Các chế độ SSID dành để triển khai mạng không dây cho Meraki MR

- Trong phần Client IP assignment của trang Wireless > Configure > Access control làm cách nào các client sẽ ở trong mạng hữu tuyến và nhận một địa chỉ IP khi tham gia.

- Bài viết mô tả mỗi tùy chọn chỉ định IP client đang có, cũng như cách chúng ảnh hướng đến các client, và các trường hợp nên ứng dụng từng tùy chọn.

BRIDGE MODE:
- Trong Bridge mode, các AP Meraki MR hoạt động như các cầu nối, cho phép các client không dây lấy được IP từ một DHCP server.
- Bridge mode nên được bật lên trong những trường hợp sau:

• Clients hữu tuyến và vô tuyến trong mạng cần kết nối lẫn nhau (vd: laptop cần tìm thấy địa chỉ của máy in mạng, hoặc máy PC kết nối tới camera giám sát không dây).
• Những gói tin Multicast và Broadcast Layer 2 (vd: ARP, Bonjour) cần quảng bá trong một quy tắc đã được giới hạn cho cả 2 mạng có và không dây để dò tìm, tạo lập mạng...
• Mạng không dây cần hỗ trợ các Legacy VPN client (vd: do các giao thức không hỗ trợ cho NAT Traversal).
• Các client mạng có và không dây cần phải có IP trong cùng subnet để giám sát và/hoặc để kiếm soát truy cập qua Access Control (vd: một web gateway trong mạng cho phép/từ chối truy cập internet tùy theo địa chỉ của IP).
• Wireless Traffic cần được gắn thẻ VLAN giữa Meraki AP và hạ tầng có dây ở vùng upstream.

- Ý nghĩa của việc kích hoạt Bridge mode như sau:

• Quản trị viên không thể bật bộ lọc "Adult content" trên SSID, nó bị tắt bởi Bridge mode sử dụng các DNS server được giới thiệu bằng DHCP server của mạng vì tính năng dựa trên DNS.
• Nhiều DHCP server được cho phép, nhưng chúng phải chỉ định các địa chỉ IP tới các client không dây từ cùng một subnet; bật lên để các địa chỉ IP được định tuyến bởi LAN, nơi các Meraki AP được kết nối.

Các trường hợp áp dụng:
- Bridge mode hoạt động tốt trong hầu hết các trường hợp, đặc biệt là cho roaming liền mạch, và là tùy chọn đơn giản nhất đặt các wireless client vào LAN. Firewall rules Layer 3/7 và Traffic shapping có thể được sử dụng để giới hạn traffic của client trước khi nó có thể đi đến mạng có dây, và VLAN tagging có thể được dùng để đặt các client không dây vào một subnet upstream nhất định.

Biểu đồ:
- Trong ví dụ dưới đây, lưu ý rằng địa chỉ source-IP của client traffic giữ nguyên sau khi đi qua AP.

​

NAT MODE:
- Trong NAT mode, các Meraki AP chạy như một DHCP serve để cung cấp IP tới các wireless clients bên ngoài IP pool cá nhân 10.x.x.x phía sau NAT.

- NAT mode nên được dùng cho các điều kiện như sau:
Wireless client tham gia vào SSID chỉ cần truy cập internet, không truy cập vào mạng local hoặc các tài nguyên không dây.

• Không có DHCP server trong LAN để có thể cấp địa chỉ IP cho các client không dây này.
• Có DHCP server trong LAN, nhưng không có đủ địa chỉ IP để cấp cho toàn bộ wireless client.

- Ý nghĩa của việc kích hoạt NAT mode như sau:

• Các thiết bị bên ngoài mạng wireless không thể thiết lập kết nối tới thiết bị không dây.
• Wireless client không thể sử dụng các giao thức khám phá Layer 2 để tìm kiếm các thiết bị khác trong cả mạng có và không dây.
• Legacy VPN client (vd không hỗ trợ NAT Traversal) có thể không thể thiết lập IPSec tunnel qua mạng không dây. (Một giải pháp là nâng cấp VPN client hoặc cấu hình VPN client tạo IPSec tunnel thông qua TCP, ví dụ: SSL).
• Lưu lượng mạng không dây được gắn thẻ VLAN không được hỗ trợ trong NAT mode.

- Hãy nhớ rằng mỗi AP sẽ NAT sẽ sở hữu địa chỉ IP quản lý. Kết quả là, luồng dữ liệu LAN sẽ bị ngắt quãng khi client chuyển vùng giữa các AP.

- Dịch vụ DHCP dành cho NAT mode sẽ chỉ chứa các địa chỉ trong subnet 10.0.0.0/8. Các SSID trong NAT mode có thể vẫn được sử dụng trong mạng dây hiện đang sử dụng khoảng địa chỉ 10.x.x.x, tuy nhiên các client trên NAT SSID có thể không giao tiếp được với các mạng đó.

Trường hợp áp dung:
- NAT mode hoạt động tốt để cung cấp một mạng vãng lai không dây vì nó đặt các client vào mạng không dây riêng biệt với địa chỉ cấp tự động. Các quy tắc Firewall Layer 3 cũng có thể được sử dụng để giới hạn nhanh hoặc khóa truy cập tới các nguồn tài nguyên trong mạng.

Biểu đồ:
- Trong ví dụ này, chú ý khi client nhận IP trong mạng 10.0.0.0/8, IP nguồn được thay đổi thành IP của AP trước khi vào trong LAN.

​

LAYER 3 ROAMING:
- Layer 3 roaming là tính năng được tích hợp sẵn nhằm cho phép chuyển vùng liền mạch ngay cả khi thay đổi sang một AP được đặt trong một VLAN khác. Tính năng này không yêu cầu một bộ trung tâm giúp loại bỏ tắc nghẽn bên trong mạng, và cho phép thiết bị client giữ lại cùng địa chỉ IP đã nhận được trên AP đầu tiên kết nối. Các Access Point sẽ tạo một kết nối từ AP hiện tại trở lại thành AP khởi đầu nếu VLAN không có trên AP mục tiêu. Kết nối này sau đó sẽ chuyển các tunnel traffic về AP ban đầu nơi tồn tại VLAN. Cấu hình Distributed Layer 3 Roaming trên trang Access Control.

- Layer 3 roaming test sẽ cảnh báo mọi sự cố mạng upstream tiềm ẩn có thể ngăn tính năng khỏi thiết lặp tunnel giữa các AP.

Trường hợp áp dung:
- Distributed layer 3 roaming là lựa chọn tốt nhất cho mạng quy mô lớn với nhiều thiết bị di động. Chế độ này sẽ cung cấp một trải nghiệm liền mạch cho các thiết bị client, đảm bảo chúng chuyển vùng hiệu quả giữa các AP nằm trong ranh giới Layer 3 khác nhau trên mạng.

​

Biểu đồ:
- Trong ví dụ này, client khởi tạo kết nối ở điểm 1 nơi traffic được chuyển vào mạng. Như client chuyển vùng tới điểm 2 và 3, và kết nối tới AP mới, các AP sẽ tạo tunnel để chuyển traffic về AP khởi đầu, và sau đó được chuyển tiếp vào mạng. Tất cả tunnel được thực hiện trực tiếp giữa các AP.

​

LAYER 3 ROAMING VỚI MỘT THIẾT BỊ TRUNG TÂM (CONCENTRATOR):
- Layer 3 roaming cho phép một thiết bị client duy trì địa chỉ IP nhất định khi nó chuyển vùng qua các AP đặt trong các VLAN. Bằng cách giữ IP nhất quán, client có thể đảm bảo truy cập không bị gián đoạn vào các ứng dụng nhạy cảm với độ trễ, như VoIP.

- Layer 3 roaming có thể áp dụng cho các AP Meraki MR bằng cách tạo một tunnel di động bảo mật từ mỗi AP tới một điểm tập trung di động, có thểtlaf một VPN concentrator hoặc một thiết bị Meraki MX.

Trường hợp áp dung:
- Layer 3 roaming với một bộ tập trung hữu ích nhất cho các mạng với một số lượng thiết bị di động vừa phải. Chế độ này sẽ cung cấp trải nghiệm liền mạch.

Biểu đồ:
- Trong ví dụ này, client tạo kết nối ở điểm 1, sau đó chuyển tới điểm 2 và 3. Ở mỗi điểm, các traffic của client được chuyển tới bộ tập trung sau đó chuyển tiếp vào mạng.

​

CẤU HÌNH MỘT MOBILITY CONCENTRATOR:
- Chúng ta có thể cấu hình một thiết bị tường lửa MX để hoạt động như một Mobility Concentrator dành cho Layer 3 roaming.
- Khi Mobility Concentrator của bạn trực tuyến và được kết nối tới mạng, hãy đặt MX hoặc VPN concentrator này trong chế độ passthrough mode:

​

CÀI ĐẶT SSID CHO LAYER 3 ROAMING:
- Sau khi cấu hình một Mobility Concentrator, một SSID có thể được cấu hình cho Concentrate traffic:

1. Tạo một SSID được dùng cho Layer 3 roaming trên trang Wireless > Configure > SSIDs.
2. Trên Wireless > Configure > Access control > Client IP and VLAN, chọn External DHCP server assigned và click tiếp Tunneled.
3. Chọn Mobility Concentrator đã được tạo trước đó trong menu Concentrator.
4. Các Layer 3 roaming client có thể thêm tùy chọn được gắn thẻ VLAN nếu cần trong ô VLAN tagging ID.

​

VPN – TUNNEL DATA TỚI CONCENTRATOR:
- Meraki Teleworker VPN cho phép admin mở rộng mạng LAN công ty đến nhân viên ở xa với Meraki AP mà không yêu cầu thiết bị client phải cài đặt và chạy phần mềm VPN. Trải nghiệm của người dùng không dây kết nối tới các AP ở xa sẽ tương tự như khi họ ở tại văn phòng chính với toàn bộ quyền truy cập mạng.

- SSID có thể được cấu hình ở chế độ Full-tunnel hoặc Split-tunnel tùy vào mục đích thiết kế mạng:

​

Trường hợp áp dung:
- Teleworker VPN có thể được sử dụng để kế nối tới các chi nhánh nhỏ, nhân viên làm việc từ xa hoặc văn phòng thiết lập tại nhà, văn phòng thời vụ (đơn vị thi công), và nhân viên đang du lịch đang trên đường trở lại LAN công ty, cũng như cung cấp truy cập về các tài nguyên đặt tại chính.

Biểu đồ:
- Trong ví dụ này, traffic của client được đi qua VPN tunnel bảo mật thông qua internet tới VPN concentrator trước khi được chuyển tiếp vào mạng.

---o0o---​