適用於Omada控制器/OC200/EAP
在某些情況下,客戶可能希望為訪客提供 Internet 的 Wi-Fi 存取。 但出於安全考量,他們不希望訪客存取本地有線網路或其他無線網路
對於 Omada控制器,有兩種方法可以通過存取控制功能或訪客網路來實現這一目標。 本文旨在為您提供一些有關如何在 Omada 控制器上設定存取控制或訪客網路的說明。.
下面是一個範例拓樸。 在此範例中,連接到訪客 SSID 的手機可以訪問 Internet,但無法存取有線設備。
1.增加存取控制(Access Control )規則 Wireless Control->Access Control->Add Access Control Rule, 點擊 Apply. 例如,如果無線客戶端和有線客戶端屬於同一網段 (192.168.1.x)。 我們可以將攔阻的網段設定為 192.168.1.0/24,排除封鎖的網段設定為 192.168.1.1(Gateway),192.168.1.7(Omada 控制器的 IP 地址)。 (如果訪客客戶端需要連接某些特殊設備,您可以將這些設備的 IP 地址添加到排除封鎖的網段列表中。請注意,您不能阻止閘道(gateway)、DHCP 伺服器、DNS 伺服器,否則您將無法連接到 Internet!
2. 添加訪客SSID 至 Wireless Settings->Basic Wireless Setting
3.編輯此SSID,然後將相應的存取控制規則(access control rule)添加到此SSID, 點擊Apply. (注意:存取控制(Access Control )功能對連接同一個AP的相同SSID的無線客戶端會產生失效。)
4. 如果要阻止連接到同一個AP的相同SSID的無線客戶端之間的通訊,請啟用SSID Isolation 功能 (在Wireless Settings->Basic Wireless Setting->Edit SSID,阻止連接到相同AP的同一SSID的無線客戶端之間的通訊
注意:
1) 有兩種規則模式,包括允許和阻止。 Allow 是白名單,Block 是黑名單。
2) IP位址在 “Subnets”列表符合您選擇的規則模式,, 除了IP位址 “Except Subnets” 列表. 例如,如果您設置 Block 規則:192.168.1.0/24 和除網段外:192.168.1.2/32。 那麼使用這個 SSID 連接的客戶端將只能存取 192.168.1.x 網段的 192.168.1.2。 但是客戶端可以存取其他網段。
3) 您可能不會在控制器上看到SSID isolation 設定, 因為自控制器3.1.4版本以來此功能已升級到Guest Network 功能 您可以繼續閱讀下面的內容,以查看訪客網路功能的工作原理。
我們在 Omada 控制器和 EAP 中添加了訪客網路。 啟用訪客網路,
- 連接到 SSID 的所有無線設備無法相互通訊;
- 連接到SSID的所有無線設備將被阻止到達任何私人IP網段 (10.0.0.0 -- 10.255.255.255; 172.16.0.0 -- 172.31.255.555; 192.168.0.0 -- 192.168.255.255 ).
當我們配置訪客SSID時,只需啟用訪客網路,訪客網路將阻止客戶端到達任何私有IP 網段
注意:
1. 訪客網路僅在 控制器3.1.4 或更高版本上可用。
2. 訪客網路只能在您的 EAP 升級到相應的韌體後才能使用。