- PVSM.RU - https://www.pvsm.ru -
Всем привет. Хочу поделиться вариантом реализации корпоративного wifi на нескольких SSID с разными политиками доступа для каждой беспроводной сети и доменной аутентификацией.
Схема тестового стенда выглядит так:
Подробности под катом.
Итак, задача выглядит следующим образом. Точка должна вещать 3 беспроводных сети
Первая задача — создаем на контроллере нужные беспроводные сети. Контроллер позволяет разлить настройки на все точки в сети.
В Profiles добавляем наш Radius-сервер, указав общий Secret. Точка должна быть добавлена как Radius Client на сервере. Если точек много, можно настроить nat, чтобы все точки виделись на сервере с одним IP.
Добавляем нужные SSID на контроллере.
Особенность решения заключается в том, что Radius-сервер должен применять разные политики аутентификации для этих SSID. Разделение по политикам можно сделать на основании поля Called-Station-ID, который передается в запросе аутентификации и представляет собой MAC точки и SSID.
Для этого создаем политику для Private vlan, которая проверяет, является ли пользователь членом доменной группы WIFI_PL_Private.
В условиях указываем регулярное выражение для Caller Station ID, позволяющее проверять SSID со всех точек в сети .*:PL_Private, а также проверку членства в группе.
Вторая политика запрещает доступ для всех остальных пользователей домена к этой SSID. Это сделано потому, что если не будет явного Deny Access, следующая по списку политика аутентифицирует всех пользователей.
Третья политика разрешает доступ к сети PL_Public для всех пользователей домена.
Вторая задача — гостевой портал для одноразовых паролей. Эта задача решается средствами самого контроллера UniFi.
Для сети PL_Guest определяем, что она является открытой и гостевой.
Во вкладке Guest Portal включаем Hotspot-аутентификацию, при желании кастомизируем стартовую страницу портала.
В настройках Hotspot включаем аутентификацию по ваучерам.
Нажав на ссылку Go to hotspot manager, генерируем ваучеры.
При попытке подключения к гостевой сети с телефона, видим приглашение ввести код ваучера:
После подключения видим в менеджере хотспота статистику.
Из VLAN, в котором находится гостевая сеть, должен быть доступ к UniFi контроллеру, так как портал крутится на нем.
Благодарю за внимание :)
Автор: alk0v
Источник [1]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/wifi/243079
Ссылки в тексте:
[1] Источник: https://habrahabr.ru/post/321726/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best
Нажмите здесь для печати.