Tweet
TRiển khai bảo mật mạng không dây
Bạn muốn mạng Wi-Fi doanh nghiệp không chỉ chạy — mà chạy an toàn, mượt, chuyên nghiệp? Bắt đầu từ những tùy chọn bảo mật này!
Bảo mật WLAN: Không chỉ là mật khẩu Wi-Fi!
Khi cấu hình một WLAN, bạn đang làm nhiều hơn là chỉ đặt tên SSID và password. Một WLAN bảo mật đúng chuẩn đòi hỏi cấu hình kỹ cả xác thực và mã hóa ở tầng 2 (L2) lẫn tầng 3 (L3). Vậy cụ thể chúng ta có gì trong tay khi vào tab Security trên controller?
1️⃣ Bảo mật Layer 2 – Bức tường đầu tiên
Layer 2 là nơi quyết định SSID của bạn mở hay bảo mật. Và nếu bảo mật, thì bạn chọn kiểu mã hóa nào: WPA2 AES, WPA3, hay (trong trường hợp bắt buộc) hỗ trợ cả WPA TKIP? WEP? Xin lỗi, đã “về hưu”.
Từ phiên bản AireOS 8.3, Cisco còn hỗ trợ Adaptive 802.11r — một cơ chế chuyển vùng nhanh (Fast Transition) tối ưu hóa đặc biệt cho thiết bị Apple. Khi bật tùy chọn này, các AP sẽ phát sóng beacon chứa IE đặc biệt chỉ thiết bị Apple mới hiểu, giúp quá trình roam trở nên trơn tru. Thiết bị khác vẫn liên kết bình thường — không hỗ trợ 802.11r cũng không sao. Ngoài ra còn có gì ở tab này?
2️⃣ Bảo mật Layer 3 – Không phải ai cũng dùng dot1X
Nếu bạn dùng Local Web Authentication (LWA) — kiểu Captive Portal quen thuộc trên mạng khách sạn, quán cà phê — thì cấu hình nằm tại đây. Chọn Layer 3 Web Policy, bạn có thể điều chỉnh dạng chuyển hướng cổng và xác thực người dùng.
📌 Hướng dẫn chính thức cấu hình LWA của Cisco:
https://www.cisco.com/c/en/us/suppor...-guide-00.html
3️⃣ Tab Advanced – Những lá chắn bổ sung
Đây là nơi tinh chỉnh cho các môi trường thực tế:
🎯 Tổng kết cho anh em triển khai thực chiến
📚 Tham khảo thêm từ Cisco:
https://www.cisco.com/c/en/us/td/doc...r_0100111.html
Bạn muốn mạng Wi-Fi doanh nghiệp không chỉ chạy — mà chạy an toàn, mượt, chuyên nghiệp? Bắt đầu từ những tùy chọn bảo mật này!
Bảo mật WLAN: Không chỉ là mật khẩu Wi-Fi!
Khi cấu hình một WLAN, bạn đang làm nhiều hơn là chỉ đặt tên SSID và password. Một WLAN bảo mật đúng chuẩn đòi hỏi cấu hình kỹ cả xác thực và mã hóa ở tầng 2 (L2) lẫn tầng 3 (L3). Vậy cụ thể chúng ta có gì trong tay khi vào tab Security trên controller?
1️⃣ Bảo mật Layer 2 – Bức tường đầu tiên
Layer 2 là nơi quyết định SSID của bạn mở hay bảo mật. Và nếu bảo mật, thì bạn chọn kiểu mã hóa nào: WPA2 AES, WPA3, hay (trong trường hợp bắt buộc) hỗ trợ cả WPA TKIP? WEP? Xin lỗi, đã “về hưu”.
Từ phiên bản AireOS 8.3, Cisco còn hỗ trợ Adaptive 802.11r — một cơ chế chuyển vùng nhanh (Fast Transition) tối ưu hóa đặc biệt cho thiết bị Apple. Khi bật tùy chọn này, các AP sẽ phát sóng beacon chứa IE đặc biệt chỉ thiết bị Apple mới hiểu, giúp quá trình roam trở nên trơn tru. Thiết bị khác vẫn liên kết bình thường — không hỗ trợ 802.11r cũng không sao. Ngoài ra còn có gì ở tab này?
- Xác thực Fast Transition (FT) kiểu Adaptive.
- Cấu hình quản lý khóa chuyển vùng — chuẩn bị cho các môi trường di động cao.
- Và đừng quên, bật WPA2 AES cũng tự động kích hoạt Adaptive 802.11r.
2️⃣ Bảo mật Layer 3 – Không phải ai cũng dùng dot1X
Nếu bạn dùng Local Web Authentication (LWA) — kiểu Captive Portal quen thuộc trên mạng khách sạn, quán cà phê — thì cấu hình nằm tại đây. Chọn Layer 3 Web Policy, bạn có thể điều chỉnh dạng chuyển hướng cổng và xác thực người dùng.
📌 Hướng dẫn chính thức cấu hình LWA của Cisco:
https://www.cisco.com/c/en/us/suppor...-guide-00.html
3️⃣ Tab Advanced – Những lá chắn bổ sung
Đây là nơi tinh chỉnh cho các môi trường thực tế:
- AAA Override: Cho phép server RADIUS ghi đè cấu hình WLAN. Ví dụ: gán VLAN động cho từng user khác nhau.
- P2P Blocking: Ngăn thiết bị trong cùng WLAN “nói chuyện” với nhau — cực kỳ hữu ích cho mạng khách hoặc Wi-Fi công cộng.
- Client Exclusion: Bảo vệ chống lại brute force hoặc client lỗi bằng cách tự động chặn các thiết bị sau nhiều lần thất bại kết nối.
- DHCP Required: Không có IP từ DHCP? Không được vào mạng. Rất hợp lý cho WLAN khách, tránh các thiết bị tự đặt IP tĩnh gây xung đột.
🎯 Tổng kết cho anh em triển khai thực chiến
- Đừng nghĩ SSID chỉ cần password là xong.
- Hãy chọn đúng Layer 2 encryption, kết hợp FT nếu cần roaming mượt.
- Đừng quên kiểm tra và tinh chỉnh Layer 3 policy nếu có captive portal.
- Và nhớ, những thứ “ẩn” trong tab Advanced có thể là sự khác biệt giữa một mạng Wi-Fi ổn định – bảo mật và một cơn ác mộng hỗn loạn.
📚 Tham khảo thêm từ Cisco:
https://www.cisco.com/c/en/us/td/doc...r_0100111.html
Bạn muốn mạng Wi-Fi doanh nghiệp không chỉ chạy — mà chạy an toàn, mượt, chuyên nghiệp? Bắt đầu từ những tùy chọn bảo mật này!