Task:
User dibagi atas dua kelompok yaitu "staff" dan "student", dimana user dalam grup "staff" akan mendapatkan IP Address yang berbeda dengan user dalam grup "student".
Mereka terkoneksi ke dalam SSID yang sama.
Hal ini sangat menarik karena tidak membroadcast banyak SSID dalam kampus/gedung.
Di balik layar, SSID akan memanipulasi dengan role sehingga kedua grup tersebut terpisahkan oleh VLAN ID.
Tools:
Microsoft Windows Server 2012
Controller menggunakan Aruba Mobility Controller 3400
AP yang digunakan adalah Aruba AP 135 dan AP 105
Router Board Mikrobits Ainos
Step:
1. Create koneksi ke Radius Server dengan nama "nps"
2. Tambahkan"nps" pada Server grup dengan nama "ias" dan tentukan rule seperti pada gambar.
3. Tentukan profile untuk L2-Authentication dengan nama "dot1x"
4. Create AAA Profile dengan nama "aaa_dot1x" seperti gambar di bawah.
5. Tentukan role dengan nama "staff_role" dan "student_role"
6. Arahkan "student_role" sebagai VLAN 204 dan "staff_role" sebagai VLAN 205
7. Create Profile Virtual AP. Perhatikan bahwa VLAN tidak perlu diisi.
8. Create Radius Client pada Windows Server 2012
9. Create Connection Request Policy
0
10. Create Network Policy, perhatikan ada 2 rule. "Policy Student" dan "Policy Staff"
11. Pada policy staff, tentukan attributes Class dengan value "staff_role". Value ini harus sama dengan User Role yang telah ditentukan pada Aruba Controller. Sama halnya pada policy student.
12. Aktifkan DHCP Server pada Windows Server. Dan Enable fitur Filter Allow dan Deny dengan tujuan Filtering Mac Address untuk User.
13. Karena saya pakai Mikrotik sebagai Main Gateway, maka harus aktifkan DHCP Relay sbb.
14. Aktifkan Active Directory pada Windows Server sebagai database User dengan dua grup, yaitu Staff dan Students.
15. Berikan user pada grup yang seharusnya.
Itulah gambaran garis besar yang harus dikonfigurasi, selebihnya disesuaikan dengan infrastruktur yang ada.
Semoga bermanfaat.
No comments:
Post a Comment