Всім привіт. Хочу поділитися варіантом реалізації корпоративного wifi на декількох SSID з різними політиками доступу для кожної бездротової мережі і доменною автентифікацією.
Схема тестового стенду виглядає так:
Подробиці під катом.
Отже, завдання виглядає наступним чином. Точка повинна вести мовлення 3 бездротових мережі
- vlan 10 - SSID PL_Public - мережа з доменною авторизацією для підключення персональних пристроїв співробітників до Internet без доступу до корпоративних ресурсів
- vlan 20 - SSID PL_Private - мережа з доменною авторизацією для співробітників, що знаходяться в домені в групі WIFI_PL_Private c доступом до корпоративних ресурсів
- vlan 30 - SSID PL_Guest - мережа з одноразовими паролями з терміном дії 8 годин, що вводяться через веб-портал
Перше завдання - створюємо на контролері потрібні бездротові мережі. Контролер дозволяє розлити налаштування на всі точки в мережі.
У Profiles додаємо наш Radius-сервер, вказавши загальний Secret. Точка повинна бути додана як Radius Client на сервері. Якщо точок багато, можна налаштувати nat, щоб всі точки бачилися на сервері з одним IP.
Додаємо потрібні SSID на контролері.
Особливість рішення полягає в тому, що Radius-сервер повинен застосовувати різні політики аутентифікації для цих SSID. Поділ по політикам можна зробити на підставі поля Called-Station-ID, який передається в запиті аутентифікації і являє собою MAC точки і SSID.
Для цього створюємо політику для Private vlan, яка перевіряє, чи є користувач членом доменної групи WIFI_PL_Private.
За умов вказуємо формальний вираз для Caller Station ID, що дозволяє перевіряти SSID з усіх точок у мережі. *:PL_Private, а також перевірку членства в групі.
Друга політика забороняє доступ для всіх інших користувачів домену до цієї SSID. Це зроблено тому, що якщо не буде явного Deny Access, наступна за списком політика автентифікує всіх користувачів.
Третя політика дозволяє доступ до мережі PL_Public для всіх користувачів домену.
Друге завдання - гостьовий портал для одноразових паролів. Це завдання вирішується засобами самого контролера UniFi.
Для мережі PL_Guest визначаємо, що вона є відкритою і гостьовою.
У вкладці Guest Portal включаємо Hotspot-автентифікацію, при бажанні кастомізуємо стартову сторінку порталу.
У налаштуваннях Hotspot включаємо автентифікацію за ваучерами.
Натиснувши на посилання Go to hotspot manager, генеруємо ваучери.
При спробі підключення до гостьової мережі з телефону, бачимо запрошення ввести код ваучера:
Після підключення бачимо в менеджері хотспоту статистику.
З VLAN, в якому знаходиться гостьова мережа, повинен бути доступ до UniFi контролера, так як портал крутиться на ньому.
Дякую за увагу:)