您现在的位置 : 路由人 > 路由器设置 > 正文 IP地址冲突 路由人教你更换IP地址 / 如何防蹭网的终极解决办法 / 连接上192.168.1.1没有账号、密码输入框 /

具有不同VLAN的多个子网的热点认证

1.简介在当今的企业网络环境中,网络管理员为不同的VLAN分配不同的IP子网并对安全问题应用不同的ACL /防火墙设置是非常普遍的。因此,有必要使不同的SSID属于不同的VLAN,以符合您的Wi-Fi设备上的ACL /防火墙设...
 
1.简介
 
在当今的企业网络环境中,网络管理员为不同的VLAN分配不同的IP子网并对安全问题应用不同的ACL /防火墙设置是非常普遍的。因此,有必要使不同的SSID属于不同的VLAN,以符合您的Wi-Fi设备上的ACL /防火墙设置。
 
您可以在客户端的Wi-Fi热点上使用打印的凭证启用轻松身份验证。但是当计算机安装的控制器在不同的VLAN,并且您想禁止您的客户端访问控制器,在这里我们将给你一些说明如何实现这一在TP-Link产品。
 
我们将在本文中实现的目标如下:
 
在您的EAP设备上设置多SSID,每个SSID都有自己的VLAN ID和子网。
连接到SSID的客户端可以在热点身份验证后上网。
客户端无法互相通信。
无线客户端只能通过端口8088访问控制器,以通过“热点认证”。
2.拓扑,IP分配和端口定义
 
1)TL-ER6120作为Internet网关路由器,T3700G-28TQ作为L3交换机。下图描述了拓扑:
\
 
 
2)网络地址,VLAN和SSID分配:
 
\
 
 
3)交换机上的端口分配。
 
\
 
3.在网关路由器上配置
 
步骤1
 
为172.16.10.0/24和172.16.20.0/24分别添加多网NAT条目。没有这个设置路由器不会NAT这两个子网。
 
\
 
第2步
 
为172.16.10.0/24和172.16.20.0/24添加静态路由条目。两个子网的下一跳应该是交换机T3700G-28TQ上的VLAN 1的IP。如果目的网络是172.16.10.0/24或172.16.20.0/24,静态路由可以让网关路由器TL-ER6120知道在哪里传送分组。
\
 
有关TL-ER6120的更详细配置,请参阅FAQ 887。
 
4.在T3700G-28TQ上进行配置
 
步骤1
 
将VLAN 1的接口IP更改为192.168.0.11。
 
第2步
 
在交换机上创建VLAN 2和VLAN 3。将端口5设置为Tunk端口,并将其分配给VLAN 2和VLAN 3。
 
\
 
 
\
步骤3
 
分别为VLAN 2和VLAN 3设置接口IP。 172.16.10.1/24是VLAN 2的IP,是172.16.10.0/24的网关。 172.16.20.1/24是VLAN 3的IP,是172.16.20.0/24的网关。
 
 
\
步骤4
 
添加默认路由条目,使所有设备都可以使用TL-ER6120作为Internet网关。
 
\
 
步骤5
 
为VLAN 2和VLAN 3配置“DHCP服务器”。VLAN 2的默认网关为172.16.10.1,而VLAN 3的默认网关为172.16.20.1。 VLAN 2和VLAN 3的DNS服务器均为192.168.0.1
 
\
 
步骤6
 
配置“扩展IP ACL”,使不同VLAN内的客户端之间不能互相通信,也不能访问控制器。但它要求所有的客户端都能够上网。
\
 
 
11条规则的解释如下:
 
规则1:VLAN 2中的允许设备可以访问控制器端口8088,并通过“热点认证”。
 
规则2:允许控制器通过端口8088将数据发送回VLAN 2中的设备。
 
规则3:VLAN 2中的允许设备可以通过端口53通过网关路由器访问互联网。
 
规则4:允许网关路由器将数据发送回VLAN 2中的设备。
 
规则5-8与规则1-4几乎相同,不同之处在于规则5-8用于VLAN 3,而规则1-4用于VLAN 2。
 
规则9:拒绝VLAN 2中的设备访问192.168.0.0/24子网,但规则1-4中的权限除外。
 
规则10:拒绝VLAN 3中的设备访问192.168.0.0/24子网,但规则5-8中的权限除外。
 
规则11:VLAN 2中的拒绝设备与VLAN 3中的设备进行通信。
 
注意:
 
关于“扩展IP ACL”的详细配置,请参阅FAQ 402。
不要忘记保存配置。
5. EAP控制器上的配置
 
 
步骤1
 
在VLAN 2和VLAN 3中分别创建两个SSID。所有需要启用“SSID隔离”功能。 “SSID隔离”功能可以禁止连接相同SSID的客户端彼此通信。
 
第2步
 
选择热点作为您的身份验证类型。您将能够事先生成一堆随机凭证代码。有一个唯一的代码为每个用户通过身份验证。此功能需要您的控制器保持运行所有的时间。
 
步骤3
 
启用“protal”功能,使热点认证生效。
 
有关热点认证的详细配置,请参阅FAQ915。
 
6.结论
 
使用拓扑和上述所有设置,连接到不同SSID的客户端可以在传递热点认证后上网,但不能彼此通信,也不能访问控制器。

 

延伸阅读:
  • 本月热点
  • 随机推荐
路由人提示:如需转载本站无线连接及路由器设置等技术文章请您注明出处,谢谢!
Copyright © www.LuYouRen.com, All Rights Reserved.
  苏ICP备12075116号