Erläuterungen zu Gastnetzwerk und EAP ACL auf Omada Controller 4.0

Knowledgebase
Configuration Guide
04-15-2021

Auf dem Omada Controller können wir für jede SSID "Guest Network" aktivieren. Wenn "Guest Network" aktiviert ist, haben die WLAN-Clients außer dem Gateway keinen Zugriff auf das lokale Netzwerk, wodurch ihr Zugriff auf lokale Netzwerkressourcen eingeschränkt wird.
 

Die Konfiguration von “Guest Network” ist sehr einfach. Die “Guest Network”-Option wird angehakt, wenn eine SSID erstellt wird.

Wie funktioniert “Guest Network”?

Wenn “Guest Network” enabled wird, erstellt der Controller creates 3 ACL-Regeln im HIntergrund für die EAPS:

  1. Beschränkung des Zugriffs auf das Netzwerk 10.0.0.0/8 für alle WLAN-Endgeräte.
  2. Beschränkung des Zugriffs auf das Netzwerk 172.16.0.0/12 für alle WLAN-Endgeräte.
  3. Beschränkung des Zugriffs auf das Netzwerk 192.168.0.0/16 für alle WLAN-Endgeräte.

 

In einigen Szenarien möchte der IT-Administrator, dass die Gäste auf einige öffentliche Dienste auf einem lokalen Server mit einer lokalen IP zugreifen können, anstatt den gesamten lokalen Zugriff zu beschränken. Dies widerspricht natürlich den Regeln der "Gastnetzwerk"-Funktion des Omada Controllers.

 

Wie können wir also Gästen den Zugriff auf eine bestimmte lokale IP erlauben, sie aber auf alle anderen lokalen Ressourcen beschränken?

Die Anforderung ist im folgenden Diagramm dargestellt:

  1. WLAN-Client kann über den Router auf das Internet zugreifen.
  2. WLAN-Client kann auf den öffentlichen NAS zugreifen.
  3. WLAN-Client nicht in der Lage, auf den privaten NAS zuzugreifen.

 

Bevor wir zur Lösung kommen, müssen wir an dieser Stelle darauf hinweisen, dass in der Omada-Lösung die ACL-Regel eine höhere Priorität hat als die "Guest Network"-Regel. Wenn wir dieses Prinzip verstehen, können wir uns leicht eine Lösung für diese Anforderung ausdenken:

  1. Aktivieren Sie "Gastnetzwerk" für das WLAN-Netzwerk, dadurch wird der Verkehr von den WLAN-Clients zu allen lokalen IPs außer dem Router blockiert.
  2. Erstellen Sie eine EAP-ACL-Regel, die den Verkehr von den WLAN-Clients zum öffentlichen NAS erlaubt.


Nachfolgend finden Sie die schrittweise Konfiguration auf dem Controller (3 einfache Schritte):
Schritt 1: Erstellen Sie ein drahtloses Netzwerk mit dem Namen "Guest Wi-Fi" und aktivieren Sie "Guest Network" dafür.

Schritt 2: Erstellen Sie unter Profile->Gruppen eine Gruppe für den öffentlichen NAS.

 

Schritt 3: Erstellen Sie eine EAP-ACL-Regel, um den Verkehr von Guest-WLAN-Clients zum öffentlichen NAS zuzulassen.

 

Bitte bewerten Sie dieses Dokument

Verwandte Dokumente