Blog

Overview

Tính năng cấu hình xác thực cổng cho phép các khách hàng truy cập tạm thời vào mạng không dây thông qua một trang đăng nhập. Điều này rất hữu ích cho các địa điểm như nhà hàng hoặc siêu thị, nơi khách hàng cần kết nối nhanh chóng mà không cần đăng ký phức tạp. Người dùng phải nhập thông tin xác thực để truy cập mạng, và quản trị viên có thể tùy chỉnh trang đăng nhập cũng như chỉ định URL chuyển hướng cho người dùng sau khi xác thực. Bên cạnh đó, tính năng này cũng hỗ trợ chính sách xác thực miễn phí, cho phép một số khách hàng nhất định truy cập vào tài nguyên mạng mà không cần xác thực.

Sơ đồ mạng 

Firewall sophos cấp dhcp cho switch và AP TP-Link trong lớp mạng có IP là 172.14.14.0/24

Switch PoE được cấp lớp mạng từ firewall có địa chỉ quản trị là 172.14.14.15/24 và 172.15.15.0/24

2 AP TP-Link được cấp IP để vào giao diện quản trị lần lượt là 172.14.14.16/24 và 172.15.15.14/24

Các bước cấu hình

1. Cấu hình xác thực cổng
   1. Cấu hình Portal
   2. Cấu hình chính sách xác thực miễn phí

Hướng dẫn cấu hình

1. Cấu hình xác thực cổng

Vào mục Wireless trên TP-Link, 2.4GHz Wireless Radio > Tick chọn Enable > 2.4GHz SSIDs > Add.

SSID: Đặt tên là wifi free

SSID Broadcast:Tick chọn Enable

Security Mode:

+ None:   Không có bất kỳ biện pháp bảo mật nào được áp dụng. 

  Mạng hoàn toàn mở và không yêu cầu xác thực để truy cập. 

  Không được khuyến nghị do rất dễ bị truy cập trái phép.

+ WPA-Enterprise:   Chế độ bảo mật cấp doanh nghiệp, yêu cầu xác thực RADIUS

• Cung cấp bảo mật mạnh, phù hợp cho mạng doanh nghiệp.
• Quản lý phức tạp hơn do cần cấu hình máy chủ RADIUS.

+ WPA-Personal:   Chế độ bảo mật cá nhân, sử dụng mật khẩu chia sẻ. 

  Cung cấp bảo mật tốt, phù hợp cho mạng nhà và văn phòng nhỏ. 

  Dễ cấu hình hơn so với WPA-Enterprise.

Guest Network: cung cấp 1 mạng riêng biệt dành cho khách, giúp tách biệt và quản lý truy cập.

Rate Limit: Cho phép giới hạn băng thông hoặc số lượng kết nối tối đa cho mỗi khách nhằm quản lý hiệu quả tài nguyên mạng và ngăn ngừa lạm dụng.

1. Cấu hình Portal

Tiếp theo vào mục Wireless > Portal để cấu hình portal

Có ba loại xác thực portal có sẵn: Không Xác Thực, Mật khẩu Nội bộ và Máy chủ Radius Ngoài. Các phần sau đây sẽ hướng dẫn cách cấu hình từng loại xác thực.

No authentication
Với loại xác thực này, các thiết bị có thể vượt qua quá trình xác thực và truy cập mạng mà không cần cung cấp bất kỳ thông tin đăng nhập nào. Người dùng chỉ cần chấp nhận điều khoản sử dụng trên trang xác thực.

SSID

chọn mạng bạn muốn cấu hình

Authentication Timeout

Chỉ định giá trị thời gian hết hạn xác thực. Xác thực của một thiết bị sẽ hết hạn sau thời gian xác thực và thiết bị đó cần đăng nhập lại vào trang xác thực để truy cập mạng.
Các tùy chọn bao gồm 1 giờ, 8 giờ, 24 giờ, 7 ngày và Tùy chỉnh. Với tùy chọn Tùy chỉnh, bạn có thể tự điều chỉnh thời gian theo ngày, giờ và phút.

Redirect

Với chức năng này được cấu hình, thiết bị vừa được xác thực sẽ được chuyển hướng đến URL cụ thể.

Redirect URL

Khi chuyển hướng được bật, bạn cần nhập URL vào trường này. Thiết bị vừa được xác thực sẽ được chuyển hướng đến URL này.

Portal Customization

Cấu hình trang xác thực. Local Web Portal là tùy chọn duy nhất có sẵn trong loại xác thực này. Nhập tiêu đề và điều khoản sử dụng vào hai ô.
EAP sử dụng máy chủ web tích hợp sẵn để cung cấp trang xác thực này cho các thiết bị. Để vượt qua quá trình xác thực, thiết bị chỉ cần đánh dấu vào ô Tôi chấp nhận Điều khoản sử dụng và nhấn nút Đăng nhập.

Local Password

Với loại xác thực này, các khách hàng cần cung cấp mật khẩu chính xác để vượt qua quá trình xác thực.

Các bước để cấu hình Mật Khẩu Địa Phương làm loại xác thực cổng:

1. Chọn Mật Khẩu Địa Phương làm loại xác thực.
2. Cấu hình các tham số liên quan như bảng dưới đây:

SSID: chọn mạng bạn muốn xác thực

Authentication type: Chọn loại xác thực

Password: Chỉ định mật khẩu cho xác thực

Authentication Timeout: Chỉ định giá trị thời gian xác thực. Xác thực của khách hàng sẽ hết hạn sau thời gian này, và khách hàng cần đăng nhập lại để truy cập mạng. Các tùy chọn bao gồm 1 Giờ, 8 Giờ, 24 Giờ, 7 Ngày và Tùy Chỉnh. Với tùy chọn Tùy Chỉnh, bạn có thể tùy chỉnh thời gian theo ngày, giờ và phút.

Redirect: Với chức năng này được cấu hình, khách hàng mới xác thực sẽ được chuyển hướng đến URL cụ thể.

Redirect URL: Với chức năng Chuyển Hướng được bật, bạn cũng cần nhập URL vào trường này. Khách hàng mới xác thực sẽ được chuyển hướng đến URL này.

Portal Customization: Cấu hình trang xác thực. Cổng Web Địa Phương là tùy chọn duy nhất trong loại xác thực này. Nhập tiêu đề và điều khoản sử dụng vào hai ô. EAP sử dụng máy chủ web tích hợp sẵn để cung cấp trang xác thực này cho khách hàng. Để vượt qua xác thực, khách hàng cần cung cấp mật khẩu chính xác trong trường Mật Khẩu, đánh dấu ô “Tôi chấp nhận Điều khoản Sử dụng” và nhấp vào nút Đăng Nhập.

Cấu Hình Máy Chủ RADIUS Ngoài làm loại xác thực cổng

Thực hiện các bước sau để cấu hình Máy Chủ RADIUS Ngoài:

1. Xây dựng một máy chủ RADIUS trên mạng và đảm bảo rằng EAP có thể truy cập được máy chủ này.
2. Truy cập vào trang cấu hình Cổng trên EAP. Chọn Máy Chủ RADIUS Ngoài làm loại xác thực.
3. Cấu hình các tham số liên quan như bảng dưới đây:

RADIUS Server IP: Nhập địa chỉ IP của máy chủ RADIUS

RADIUS Port: Nhập cổng của máy chủ 

RADIUS Password: Nhập mật khẩu của máy chủ RADIUS

Authentication Timeout: Chỉ định giá trị thời gian xác thực. Xác thực của khách hàng sẽ hết hạn sau thời gian này, và khách hàng cần đăng nhập lại để truy cập mạng. Các tùy chọn bao gồm 1 Giờ, 8 Giờ, 24 Giờ, 7 Ngày và Tùy Chỉnh. Với tùy chọn Tùy Chỉnh, bạn có thể tùy chỉnh thời gian theo ngày, giờ và phút.

Redirect: Với chức năng này được cấu hình, khách hàng mới xác thực sẽ được chuyển hướng đến URL cụ thể.

Redirect URL: Với chức năng Chuyển Hướng được bật, bạn cũng cần nhập URL vào trường này. Khách hàng mới xác thực sẽ được chuyển hướng đến URL này.

Portal Customization: Cấu hình trang xác thực. Có hai tùy chọn: Cổng Web Địa Phương và Cổng Web Ngoài.

2. Cấu hình chính sách xác thực miễn phí

Chính sách xác thực miễn phí cho phép một số khách hàng cụ thể truy cập vào các tài nguyên mạng nhất định mà không cần xác thực. Ví dụ, bạn có thể thiết lập một chính sách xác thực miễn phí để cho phép khách hàng truy cập vào máy chủ cổng web bên ngoài trước khi được xác thực. Bằng cách này, các khách hàng có thể truy cập vào trang đăng nhập do máy chủ cổng web cung cấp và sau đó hoàn thành quá trình xác thực tiếp theo.

Thực Hiện Các Bước Để Thêm Chính Sách Xác Thực Miễn Phí:

  Trong phần Chính Sách Xác Thực Miễn Phí, nhấp để tải trang sau.

  Cấu hình các tham số sau. Khi tất cả các điều kiện được cấu hình được đáp ứng, khách hàng có thể truy cập vào mạng mà không cần xác thực.

Policy Name: Chỉ định tên cho chính sách.

Source IP Range: Chỉ định một dải IP với subnet và độ dài mặt nạ. Các khách hàng trong dải IP này có thể truy cập vào mạng mà không cần xác thực. Để trống trường này có nghĩa là khách hàng với bất kỳ địa chỉ IP nào cũng có thể truy cập vào các tài nguyên cụ thể.

Destination IP Range: Chỉ định một dải IP với subnet và độ dài mặt nạ. Các thiết bị trong dải IP này có thể được truy cập bởi khách hàng mà không cần xác thực. Để trống trường này có nghĩa là tất cả các thiết bị trong LAN đều có thể được truy cập bởi các khách hàng cụ thể.

Source MAC Address: Chỉ định địa chỉ MAC của khách hàng, người có thể truy cập vào các tài nguyên cụ thể mà không cần xác thực. Để trống trường này có nghĩa là khách hàng với bất kỳ địa chỉ MAC nào cũng có thể truy cập vào các tài nguyên cụ thể.

Destination Port: Chỉ định số cổng của dịch vụ. Khi sử dụng dịch vụ này, khách hàng có thể truy cập vào các tài nguyên cụ thể mà không cần xác thực. Để trống trường này có nghĩa là khách hàng có thể truy cập vào các tài nguyên cụ thể bất kể dịch vụ họ đang sử dụng.

Status: Đánh dấu ô để bật chính sách.

Sau đó đăng nhập vào wifi free để vào trang xác thực và cấp internet