Autenticação de hotspot para múltiplas sub-redes com diferentes VLANs.

1. Breve Introdução

No ambiente de rede empresarial atual, é muito comum que o administrador de rede atribua diferentes sub-redes IP para diferentes VLANs e aplique diferentes configurações de ACL/firewall por questões de segurança. Portanto, é necessário fazer com que diferentes SSIDs pertençam a diferentes VLANs para cumprir as configurações de ACL/firewall em seus dispositivos Wi-Fi.

Você pode habilitar a autenticação simplificada com vouchers impressos em seu hotspot Wi-Fi para os clientes. No entanto, quando o computador que instalou o controlador está em uma VLAN diferente e você deseja impedir que seus clientes acessem o controlador, forneceremos instruções sobre como conseguir isso com produtos TP-Link.

Os objetivos que alcançaremos neste artigo estão listados abaixo:

1. Configurar Multi-SSIDs no seu dispositivo EAP, onde cada SSID possui seu próprio ID de VLAN e sub-rede.
2. Garantir que os clientes conectados aos SSIDs possam navegar na Internet após a Autenticação de Hotspot.
3. Impedir que os clientes se comuniquem entre si.
4. Permitir que os clientes sem fio acessem o controlador apenas via porta 8088 para passar pela "autenticação de hotspot".

2. Topologia, atribuição de IP e definições de portas

1) O TL-ER6120 atua como o roteador gateway de Internet e o T3700G-28TQ atua como o switch L3. A imagem abaixo descreve a topologia:

2) Atribuição de endereço de rede, VLAN e SSID:

3) Atribuição de portas no switch:

3. Configuração no roteador gateway

Passo 1: Adicione entradas NAT multi-redes para 172.16.10.0/24 e 172.16.20.0/24, respectivamente. Sem essa configuração, o roteador não fará NAT para essas duas sub-redes.

Passo 2: Adicione entradas de Rota Estática para 172.16.10.0/24 e 172.16.20.0/24. O próximo salto (next hop) deve ser o IP da VLAN 1 no switch T3700G-28TQ. A rota estática permite que o gateway saiba para onde entregar os pacotes destinados a essas redes.

4. Configuração no T3700G-28TQ

Passo 1: Altere o IP da interface para a VLAN 1 como 192.168.0.11.

Passo 2: Crie a VLAN 2 e VLAN 3 no switch. Configure a porta 5 como porta Trunk e atribua-a a ambas as VLANs.

Passo 3: Defina o IP da interface para a VLAN 2 (172.16.10.1/24) e VLAN 3 (172.16.20.1/24).

Passo 4: Adicione a entrada de rota padrão (0.0.0.0) apontando para o TL-ER6120.

Passo 5: Configure o "DHCP Server" para as VLANs 2 e 3.

Passo 6: Configure a "Extend-IP ACL" para isolar as VLANs e o acesso ao Controlador:

Explicação das Regras:

• Regras 1-2 e 5-6: Permitem acesso à porta 8088 do Controlador para o portal de autenticação.
• Regras 3-4 e 7-8: Permitem acesso ao DNS (porta 53) para navegação.
• Regras 9-10: Negam acesso à sub-rede de gerenciamento 192.168.0.0/24.
• Regra 11: Nega comunicação entre a VLAN 2 e a VLAN 3.

5. Configuração no EAP Controller

Passo 1: Crie dois SSIDs nas VLANs 2 e 3. Habilite a função "SSID Isolation".

Passo 2: Escolha Hotspot como tipo de autenticação e gere os Vouchers.

Passo 3: Ative a função "Portal" para que a autenticação entre em vigor.

6. Conclusão

Com as configurações acima, os clientes em diferentes SSIDs podem navegar na Internet após a autenticação, mas estão isolados entre si e não possuem acesso administrativo ao controlador ou outras sub-redes.