針對具有不同VLAN的多子網路的熱點認證

1. 簡要介紹

在當今的企業網路環境中，網路管理員出於安全考慮，為不同的 VLAN 分配不同的 IP 子網路並應用不同的 ACL/防火牆設定是非常常見的做法。因此，為了符合 Wi-Fi 裝置上的 ACL/防火牆設置，必須使不同的 SSID 屬於不同的 VLAN。 

您可以透過列印憑證在您的 Wi-Fi 熱點上為用戶端啟用便利的身份驗證。但是，如果安裝控制器的電腦位於不同的 VLAN 中，並且您希望禁止用戶端存取控制器，我們將在此為您提供有關如何在 TP-Link 產品上實現此目的的一些說明。

本文將要達成的目標如下：

1. 在 EAP 裝置上設定多個 SSID，每個 SSID 都有自己的 VLAN ID 和子網路。
2. 連接到 SSID 的用戶端可以透過熱點認證上網。
3. 客戶之間無法溝通。
4. 無線用戶端只能透過連接埠 8088 存取控制器，以進行「熱點認證」。

2. 拓樸結構、IP位址分配和連接埠定義

1) TL-ER6120 用作網際網路閘道路由器，T3700G-28TQ 用作三層交換器。下圖展示了拓樸結構：

2）網路位址、VLAN 和 SSID 分配：

3）交換器上的連接埠分配。

3. 網關路由器的配置

步驟 1

分別為 172.16.10.0/24 和 172.16.20.0/24 新增多網段 NAT 條目。如果沒有此設置，路由器將不會對這兩個子網路進行 NAT 轉換。

步驟 2

新增 172.16.10.0/24 和 172.16.20.0/24 子網路的靜態路由條目。這兩個子網路的下一跳應為交換器 T3700G-28TQ 上 VLAN 1 的 IP 位址。靜態路由可以讓閘道路由器 TL-ER6120 知道，如果目標網路是 172.16.10.0/24 或 172.16.20.0/24，應該將封包轉送到哪裡。

有關 TL-ER6120 的更詳細配置，請參閱FAQ 887 。

4. T3700G-28TQ 的配置

步驟 1

將 VLAN 1 的介面 IP 變更為 192.168.0.11。

步驟 2

在交換器上建立 VLAN 2 和 VLAN 3。將連接埠 5 設定為 Tunk 端口，並將其指派給 VLAN 2 和 VLAN 3。

步驟 3

分別設定 VLAN 2 和 VLAN 3 的介面 IP 位址。 VLAN 2 的 IP 位址為 172.16.10.1/24，也是 172.16.10.0/24 的閘道。 VLAN 3 的 IP 位址為 172.16.20.1/24，也是 172.16.20.0/24 的閘道。

步驟 4

新增預設路由條目，以便所有裝置都可以使用 TL-ER6120 作為網際網路閘道。

步驟 5

為 VLAN 2 和 VLAN 3 設定「DHCP 伺服器」。 VLAN 2 的預設閘道為 172.16.10.1，VLAN 3 的預設閘道為 172.16.20.1。 VLAN 2 和 VLAN 3 的 DNS 伺服器均為 192.168.0.1。

步驟 6

配置“擴展 IP ACL”，使不同 VLAN 中的客戶端無法相互通信，也無法存取控制器。但前提是所有客戶端都必須能夠存取互聯網。

以下是對這11條規則的解釋：

規則 1：允許 VLAN 2 中的裝置存取控制器連接埠 8088 並通過「熱點認證」。

規則 2：允許控制器透過連接埠 8088 將資料傳回 VLAN 2 中的裝置。

規則 3：允許 VLAN 2 中的裝置透過網關路由器的 53 連接埠存取網際網路。

規則 4：允許網關路由器將資料傳回 VLAN 2 中的裝置。

規則 5-8 與規則 1-4 幾乎相同，區別在於規則 5-8 用於 VLAN 3，而規則 1-4 用於 VLAN 2。

規則 9：禁止 VLAN 2 中的設備存取 192.168.0.0/24 子網，但規則 1-4 中規定的權限除外。

規則 10：禁止 VLAN 3 中的設備存取 192.168.0.0/24 子網，但規則 5-8 的權限除外。

規則 11：禁止 VLAN 2 中的設備與 VLAN 3 中的設備通訊。

筆記： 

1. 有關「Extend-IP ACL」的詳細配置，請參閱常見問題 402 。
2. 別忘了儲存配置。

5. EAP 控制器上的配置

步驟 1

分別在 VLAN 2 和 VLAN 3 中建立兩個 SSID。所有 SSID 都需要啟用「SSID 隔離」功能。 「SSID 隔離」功能可以阻止連線到相同 SSID 的用戶端相互通訊。

步驟 2

選擇熱點作為身份驗證類型。您可以預先產生一批隨機的驗證碼。每個使用者都需要一個唯一的驗證碼才能通過身份驗證。此功能需要您的控制器始終保持運作。

步驟 3

啟用「連接埠」功能，使熱點認證生效。

有關熱點認證的詳細配置，請參閱 FAQ915 。

6. 結論

按照上述拓撲結構和所有設置，連接到不同 SSID 的用戶端在通過熱點認證後可以上網，但彼此之間無法通信，也無法存取控制器。