Authentification par hotspot pour plusieurs sous-réseaux avec différents VLAN
1. Brief Introduction
Dans l'environnement de réseau d'entreprise actuel, il est très courant que l'administrateur réseau attribue différents sous-réseaux IP pour différents VLAN et applique différents paramètres ACL / pare-feu pour des problèmes de sécurité. Par conséquent, il est nécessaire que différents SSID appartiennent à différents VLAN pour se conformer aux paramètres ACL / pare-feu sur vos appareils Wi-Fi.
Vous pouvez activer l'authentification facile avec des bons imprimés sur votre point d'accès Wi-Fi pour les clients. Mais lorsque l'ordinateur installé, le contrôleur se trouve dans un autre VLAN et que vous souhaitez interdire à vos clients d'accéder au contrôleur, nous vous donnerons ici des instructions sur la façon d'y parvenir sur les produits TP-Link.
Les objectifs que nous atteindrons dans cet article sont énumérés ci-dessous:
- Configurez plusieurs SSID sur votre appareil EAP et chaque SSID a son propre ID VLAN et son propre sous-réseau.
- Les clients connectés aux SSID peuvent surfer sur Internet après l'authentification Hotspot.
- Les clients ne peuvent pas communiquer entre eux.
- Les clients sans fil peuvent uniquement accéder au contrôleur via le port 8088 pour passer par «l'authentification par hotspot».
2. Topologie, attribution IP et définitions de port
1) Le TL-ER6120 agit comme routeur de passerelle Internet et le T3700G-28TQ agit comme commutateur L3. L'image ci-dessous illustre la topologie:
2) Attribution d'adresse réseau, VLAN et SSID:
3) Affectation des ports sur le commutateur.
3. Configuration sur le routeur passerelle
Étape 1
Ajoutez des entrées NAT multi-réseaux pour 172.16.10.0/24 et 172.16.20.0/24 respectivement. Sans ce paramètre, le routeur ne sera pas NAT pour ces deux sous-réseaux.
Étape 2
Ajoutez une entrée de route statique pour 172.16.10.0/24 et 172.16.20.0/24. Le prochain saut pour les deux sous-réseaux devrait être l'IP du VLAN 1 sur le commutateur T3700G-28TQ. La route statique peut indiquer au routeur de passerelle TL-ER6120 où livrer les paquets si le réseau de destination est 172.16.10.0/24 ou 172.16.20.0/24.
Vous pouvez vous référer à la FAQ 887 pour une configuration plus détaillée du TL-ER6120.
4. Configuration sur T3700G-28TQ
Étape 1
Changez l'IP d'interface pour VLAN 1 en 192.168.0.11.
Étape 2
Créez VLAN 2 et VLAN 3 sur le commutateur. Définissez le port 5 comme port Tunk et affectez-le à la fois au VLAN 2 et au VLAN 3.
Étape 3
Définissez l'IP d'interface pour VLAN 2 et VLAN 3 respectivement. 172.16.10.1/24 est l'IP pour VLAN 2 et est la passerelle pour 172.16.10.0/24. 172.16.20.1/24 est l'IP pour VLAN 3 et est la passerelle pour 172.16.20.0/24.
Étape 4
Ajoutez l'entrée de route par défaut afin que tous les appareils puissent utiliser TL-ER6120 comme passerelle Internet.
Étape 5
Configurez «DHCP Server» pour VLAN 2 et VLAN 3. La passerelle par défaut pour VLAN 2 est 172.16.10.1 et pour VLAN 3 est 172.16.20.1. Le serveur DNS pour VLAN 2 et VLAN 3 est 192.168.0.1.
Étape 6
Configurez «Extend-IP ACL» afin que les clients dans différents VLAN ne puissent pas communiquer entre eux et ne puissent pas non plus avoir accès au contrôleur. Mais cela nécessite que tous les clients puissent surfer sur Internet.
Les explications des 11 règles sont les suivantes:
Règle 1: autorisez les périphériques du VLAN 2 à accéder au port du contrôleur 8088 et à passer par «l'authentification par hotspot».
Règle 2: autorisez le contrôleur à transmettre les données au périphérique du VLAN 2 via le port 8088.
Règle 3: autoriser le périphérique dans le VLAN 2 peut accéder à Internet via un routeur de passerelle par le port 53.
Règle 4: autoriser le routeur passerelle à transmettre les données au périphérique dans le VLAN 2.
La règle 5-8 est presque la même que la règle 1-4, la différence est que la règle 5-8 concerne le VLAN 3 tandis que la règle 1-4 concerne le VLAN 2.
Règle 9: refuser au périphérique du VLAN 2 d'accéder au sous-réseau 192.168.0.0/24, sauf l'autorisation de la règle 1-4.
Règle 10: refuser au périphérique du VLAN 3 d'accéder au sous-réseau 192.168.0.0/24, sauf l'autorisation de la règle 5-8.
Règle 11: interdire au périphérique du VLAN 2 de communiquer avec le périphérique du VLAN 3.
Note:
- Reportez-vous à la FAQ 402 pour la configuration détaillée de «Extend-IP ACL».
- N'oubliez pas de sauvegarder la configuration.
5. Configuration sur le contrôleur EAP
Étape 1
Créez deux SSID dans VLAN 2 et VLAN 3 séparément. Tous doivent activer la fonction «Isolation SSID». La fonction «Isolation SSID» pourrait interdire aux clients connectés au même SSID de communiquer entre eux.
Étape 2
Choisissez Hotspot comme type d'authentification. Vous pourrez générer au préalable un tas de codes promotionnels aléatoires. Il existe un code unique pour que chaque utilisateur passe l'authentification. Cette fonction nécessite que votre contrôleur continue de fonctionner tout le temps.
Étape 3
Activez la fonction «protal» pour que l'authentification Hotspot prenne effet.
Référez-vous à FAQ915 pour la configuration détaillée de l'authentification Hotspot.
6. Conclusion
Avec la topologie et tous les paramètres ci-dessus, les clients connectés à différents SSID peuvent surfer sur Internet après avoir passé l'authentification Hotspot, mais ne peuvent pas communiquer entre eux et ne peuvent pas non plus accéder au contrôleur.