Вопрос: Пример настройки веб-авторизации и сегментирования сети на основе маршрутизаторов DSR-500(N)/DSR-1000(N)
Ответ:
Ответ:
Пример настройки веб-авторизации и сегментирования сети на основе маршрутизаторов DSR-500(N)/DSR-1000(N).
Этот пример основан на реальной ситуации.
Небольшая офисная сеть была построена на маршрутизаторе DSR-500N и нескольких неуправляемых коммутаторах. Некоторые сотрудники офиса подключались к сети по проводным соединениям, другие – по беспроводному соединению (с типом безопасности WPA2/PSK).
Со временем возникла потребность организовать доступ в Интернет для гостей этого офиса (и по проводному, и по беспроводному соединению) таким образом, чтобы:
• сети для сотрудников и для гостей были полностью изолированы друг от друга;
• для получения доступа в Интернет все гости обязательно проходили веб-авторизацию.
Процесс настройки такого решения рассмотрим на примере следующей тестовой сети (см. Рис. 1). Оговоримся, что в этом примере используется маршрутизатор DSR-500N с внутренним ПО («прошивкой») версии 1.08B56_WW. На маршрутизаторах DSR-500(N)/DSR-1000(N) с другими версиями прошивок процесс настройки такого решения может несколько отличаться от описанного ниже.
Рисунок 1. Общая схема сегментированной проводной и беспроводной сети
Основная информация о начальной настройке интерфейсов маршрутизатора DSR-500N в данном примере приведена на Рис. 2.
Рисунок 2. Информация о состоянии интерфейсов маршрутизатора DSR-500N
Сначала настроим VLAN и соответствующие IP-подсети.
Процесс настройки VLAN на этих маршрутизаторах подробно описан в документе по ссылке «Настройка VLAN с множеством подсетей», поэтому в данном примере не будем сосредотачиваться на этом, а обратим внимание лишь на существенные моменты того, что в итоге необходимо получить.
Основная информация о начальной настройке в данном примере VLAN, IP-подсетей для разных VLAN, и правильного соответствия физических портов разным VLAN на маршрутизаторе DSR-500N приведена на Рис. 3, Рис. 4 и Рис. 5.
Рисунок 3. Список VLAN и информация об их основных настройках на маршрутизаторе DSR-500N
Рисунок 4. Список соответствия IP-подсетей разным VLAN на маршрутизаторе DSR-500N
Рисунок 5. Список соответствия физических портов разным VLAN на маршрутизаторе DSR-500N
Теперь настроим дополнительный SSID для «гостевой» беспроводной сети
Процесс настройки Multi-SSID на маршрутизаторах серии DSR подробно описан в документе по ссылке «Настройка гостевого доступа на DSR-500N\DSR-1000N», поэтому в данном примере не будем сосредотачиваться на этом, а обратим внимание лишь на существенные моменты того, что в итоге необходимо получить.
Основная информация о настройке в данном примере точки беспроводного доступа, интегрированной в маршрутизатор DSR-500N, приведена на Рис. 6 и Рис. 7.
Рисунок 6. Список разных профилей и информация об их основных настройках для точки беспроводного доступа, интегрированной в маршрутизатор DSR-500N
Рисунок 7. Список Multi-SSID и информация об их основных настройках для точки беспроводного доступа, интегрированной в маршрутизатор DSR-500N
Теперь сопоставим «гостевой» беспроводной сети ту VLAN, которая ранее была создана для гостей (см. Рис. 8).
Рисунок 8. Итоговый список соответствия физических портов разным VLAN на маршрутизаторе DSR-500N
После выполнения всех приведенных выше настроек, мы уже создали сеть, топология которой изображена на Рис. 1.
В нашем примере VLAN для сотрудников и VLAN для гостей полностью изолированы друг от друга, поскольку на них выключена (Disabled) функция «Inter VLAN Routing» (см. Рис. 3).
Теперь настроим обязательную веб-авторизацию пользователей гостевой VLAN для получения доступа в Интернет.
Для этого на маршрутизаторе DSR-500N сначала создадим группу пользователей портала веб-авторизации и запретим пользователям этой группы подключаться со стороны интерфейса WAN (см. Рис. 9, Рис. 10 и Рис. 11).
Рисунок 9. Создание группы пользователей портала веб-авторизации на маршрутизаторе DSR-500N
Рисунок 10. Вызов на редактирование политики входа в систему группы пользователей портала веб-авторизации на маршрутизаторе DSR-500N
Рисунок 11. Запрет группе пользователей портала веб-авторизации подключаться со стороны интерфейса WAN на маршрутизаторе DSR-500N
После этого создадим требуемое количество учётных записей пользователей портала веб-авторизации на маршрутизаторе DSR-500N (см. Рис. 12 и Рис. 13).
Рисунок 12. Создание учётной записи пользователя портала веб-авторизации на маршрутизаторе DSR-500N
Рисунок 13. Список созданных учётных записей пользователей портала веб-авторизации на маршрутизаторе DSR-500N
После этого настроим желаемый вид страницы веб-авторизации пользователей. В нашем примере для этого просто отредактируем профиль портала веб-авторизации с именем «default2» (см. Рис. 14 и Рис. 15).
Рисунок 14. Вызов на редактирование профиля портала веб-авторизации на маршрутизаторе DSR-500N
Рисунок 15. Редактирование профиля портала веб-авторизации на маршрутизаторе DSR-500N
После этого зададим использование этого профиля для обязательной веб-авторизации пользователей гостевой VLAN (см. Рис. 16, Рис. 17 и Рис. 18).
Рисунок 16. Вызов на редактирование настроек гостевой VLAN на маршрутизаторе DSR-500N
Рисунок 17. Задание использования профиля с именем «default2» для обязательной веб-авторизации пользователей гостевой VLAN на маршрутизаторе DSR-500N
Рисунок 18. Итоговый список VLAN и информация об их основных настройках на маршрутизаторе DSR-500N
На этом настройка требуемого решения завершена. Осталось только проверить его работу.
Для сотрудников офиса ничего не изменилось: они могут подключаться к сети и по проводному, и по беспроводному соединению (с типом безопасности WPA2/PSK) и выходить в Интернет без ограничений.
А пользователи гостевой сети (как проводной, так и беспроводной) при попытке доступа в Интернет посредством веб-браузера обязательно получат окно для веб-авторизации (см. Рис. 19). И доступ в Интернет они получат только после успешного прохождения этой авторизации (см. Рис. 20).
Рисунок 19. Окно веб-авторизации пользователей гостевой сети на маршрутизаторе DSR-500N
Рисунок 20. Окно подтверждения успешной веб-авторизации пользователя гостевой сети на маршрутизаторе DSR-500N
После завершения всех требуемых настроек на маршрутизаторе DSR-500N рекомендуется перепроверить следующую информацию:
• об активных пользователях портала веб-авторизации (см. Рис. 21)
• обо всех LAN-клиентах (см. Рис. 22);
• о текущих маршрутах (см. Рис. 23);
• обо всех текущих сессиях (см. Рис. 24).
Рисунок 21. Информация об активных пользователях портала веб-авторизации на маршрутизаторе DSR-500N
Рисунок 22. Информация о LAN-клиентах из разных IP-подсетей на маршрутизаторе DSR-500N
Рисунок 23. Информация о текущих маршрутах на маршрутизаторе DSR-500N
Рисунок 24. Информация о текущих сессиях на маршрутизаторе DSR-500N
Ещё раз оговоримся, что этот пример основан на реальной ситуации. В зависимости от размеров и конкретных требований к той или иной сети, сегментирование проводной и беспроводной сети, а также портал веб-авторизации клиентов сети могут быть реализованы по-разному.