การรับรองความถูกต้องของ Hotspot สำหรับเครือข่ายย่อยหลายเครือข่ายที่มี VLAN ต่างกัน
1. บทนำสั้น ๆ
ในสภาพแวดล้อมเครือข่ายขององค์กรในปัจจุบัน เป็นเรื่องปกติมากที่ผู้ดูแลระบบเครือข่ายจะกำหนดเครือข่ายย่อย IP ที่แตกต่างกันสำหรับ VLAN ที่แตกต่างกัน และใช้การตั้งค่า ACL/ไฟร์วอลล์ที่แตกต่างกันเพื่อความปลอดภัย ดังนั้นจึงจำเป็นต้องทำให้ SSID ที่แตกต่างกันเป็นของ VLAN ที่แตกต่างกัน เพื่อให้สอดคล้องกับการตั้งค่า ACL/ไฟร์วอลล์บนอุปกรณ์ Wi-Fi ของคุณ
คุณสามารถเปิดใช้งานการพิสูจน์ตัวตนอย่างง่ายด้วยเวาเชอร์ที่พิมพ์บน Wi-Fi hotspot สำหรับลูกค้า แต่เมื่อคอมพิวเตอร์ติดตั้งคอนโทรลเลอร์ใน VLAN อื่น และคุณต้องการห้ามไม่ให้ไคลเอนต์ของคุณเข้าถึงคอนโทรลเลอร์ ที่นี่เราจะให้คำแนะนำบางอย่างเกี่ยวกับวิธีดำเนินการดังกล่าวในผลิตภัณฑ์ TP-Link
เป้าหมายที่เราจะบรรลุในบทความนี้มีดังต่อไปนี้:
ตั้งค่า Multi-SSID บนอุปกรณ์ EAP ของคุณ และแต่ละ SSID จะมี VLAN ID และซับเน็ตของตัวเอง
ไคลเอนต์ที่เชื่อมต่อกับ SSID สามารถท่องอินเทอร์เน็ตได้หลังจากตรวจสอบสิทธิ์ Hotspot
ลูกค้าไม่สามารถสื่อสารกันได้
ไคลเอนต์ไร้สายสามารถเข้าถึงคอนโทรลเลอร์ผ่านพอร์ต 8088 เพื่อผ่าน “การตรวจสอบฮอตสปอต” เท่านั้น
2. โทโพโลยี การกำหนด IP และการกำหนดพอร์ต
1) TL-ER6120 ทำหน้าที่เป็นเราเตอร์อินเทอร์เน็ตเกตเวย์ และ T3700G-28TQ ทำหน้าที่เป็นสวิตช์ L3 รูปภาพด้านล่างแสดงโทโพโลยี:
2) ที่อยู่เครือข่าย การกำหนด VLAN และ SSID:
3) การกำหนดพอร์ตบนสวิตช์
3. การกำหนดค่าบนเราเตอร์เกตเวย์
ขั้นตอนที่ 1
เพิ่มรายการ Multi-nets NAT สำหรับ 172.16.10.0/24 และ 172.16.20.0/24 ตามลำดับ หากไม่มีการตั้งค่านี้ เราเตอร์จะไม่ NAT สำหรับซับเน็ตทั้งสองนี้
ขั้นตอนที่ 2
เพิ่มรายการ Static Route สำหรับ 172.16.10.0/24 และ 172.16.20.0/24 ฮอปถัดไปสำหรับซับเน็ตทั้งสองควรเป็น IP ของ VLAN 1 บนสวิตช์ T3700G-28TQ เส้นทางแบบสแตติกสามารถให้เราเตอร์เกตเวย์ TL-ER6120 ทราบตำแหน่งที่จะส่งแพ็คเก็ตหากเครือข่ายปลายทางคือ 172.16.10.0/24 หรือ 172.16.20.0/24
คุณสามารถดูคำถามที่พบบ่อย 887 สำหรับการกำหนดค่าโดยละเอียดเพิ่มเติมของ TL-ER6120
4. การกำหนดค่าบน T3700G-28TQ
ขั้นตอนที่ 1
เปลี่ยน IP ของอินเทอร์เฟซสำหรับ VLAN 1 เป็น 192.168.0.11
ขั้นตอนที่ 2
สร้าง VLAN 2 และ VLAN 3 บนสวิตช์ ตั้งค่าพอร์ต 5 เป็นพอร์ต Tunk และกำหนดให้กับทั้ง VLAN 2 และ VLAN 3
ขั้นตอนที่ 3
ตั้งค่า IP ของอินเตอร์เฟสสำหรับ VLAN 2 และ VLAN 3 ตามลำดับ 172.16.10.1/24 เป็น IP สำหรับ VLAN 2 และเป็นเกตเวย์สำหรับ 172.16.10.0/24 172.16.20.1/24 เป็น IP สำหรับ VLAN 3 และเป็นเกตเวย์สำหรับ 172.16.20.0/24
ขั้นตอนที่ 4
เพิ่มรายการเส้นทางเริ่มต้นเพื่อให้อุปกรณ์ทั้งหมดสามารถใช้ TL-ER6120 เป็นเกตเวย์อินเทอร์เน็ต
ขั้นตอนที่ 5
กำหนดค่า “เซิร์ฟเวอร์ DHCP” สำหรับ VLAN 2 และ VLAN 3 เกตเวย์เริ่มต้นสำหรับ VLAN 2 คือ 172.16.10.1 และสำหรับ VLAN 3 คือ 172.16.20.1 เซิร์ฟเวอร์ DNS สำหรับทั้ง VLAN 2 และ VLAN 3 คือ 192.168.0.1
ขั้นตอนที่ 6
กำหนดค่า “Extend-IP ACL” เพื่อให้ไคลเอนต์ใน VLAN ต่างๆ ไม่สามารถสื่อสารระหว่างกันและไม่สามารถเข้าถึงคอนโทรลเลอร์ได้เช่นกัน แต่ต้องการให้ลูกค้าทุกคนสามารถท่องอินเทอร์เน็ตได้
คำอธิบายของกฎ 11 ข้อมีดังนี้:
กฎข้อที่ 1: อนุญาตให้อุปกรณ์ใน VLAN 2 สามารถเข้าถึงพอร์ตคอนโทรลเลอร์ 8088 และผ่าน “การตรวจสอบสิทธิ์ฮอตสปอต”
กฎข้อที่ 2: อนุญาตให้ Controller ส่งข้อมูลกลับไปยังอุปกรณ์ใน VLAN 2 ผ่านพอร์ต 8088
กฎข้อที่ 3: อนุญาตให้อุปกรณ์ใน VLAN 2 สามารถเข้าถึงอินเทอร์เน็ตผ่านเกตเวย์เราเตอร์โดยพอร์ต 53
กฎข้อที่ 4: อนุญาตให้เราเตอร์เกตเวย์ส่งข้อมูลกลับไปยังอุปกรณ์ใน VLAN 2
กฎข้อที่ 5-8 เกือบจะเหมือนกับกฎข้อที่ 1-4 ต่างกันตรงที่กฎข้อที่ 5-8 ใช้สำหรับ VLAN 3 ในขณะที่กฎข้อที่ 1-4 ใช้สำหรับ VLAN 2
กฎข้อที่ 9: ปฏิเสธอุปกรณ์ใน VLAN 2 เข้าถึงซับเน็ต 192.168.0.0/24 ยกเว้นการอนุญาตในกฎ 1-4
กฎข้อที่ 10: ปฏิเสธอุปกรณ์ใน VLAN 3 เข้าถึงซับเน็ต 192.168.0.0/24 ยกเว้นการอนุญาตในกฎ 5-8
กฎข้อที่ 11: ปฏิเสธอุปกรณ์ใน VLAN 2 สื่อสารกับอุปกรณ์ใน VLAN 3
บันทึก:
โปรดดูคำถามที่พบบ่อย 402 สำหรับรายละเอียดการกำหนดค่าของ “Extend-IP ACL”
อย่าลืมบันทึกการกำหนดค่า
5. การกำหนดค่าบนตัวควบคุม EAP
ขั้นตอนที่ 1
สร้าง SSID สองตัวใน VLAN 2 และ VLAN 3 แยกกัน ทั้งหมดจำเป็นต้องเปิดใช้ฟังก์ชัน “SSID Isolation” ฟังก์ชัน “การแยก SSID” อาจห้ามไม่ให้ไคลเอ็นต์ที่เชื่อมต่อ SSID เดียวกันสื่อสารกัน
ขั้นตอนที่ 2
เลือก Hotspot เป็นประเภทการตรวจสอบสิทธิ์ของคุณ คุณจะสามารถสร้างรหัสบัตรกำนัลแบบสุ่มได้ล่วงหน้า มีรหัสเฉพาะสำหรับผู้ใช้แต่ละคนเพื่อผ่านการรับรองความถูกต้อง ฟังก์ชันนี้ต้องการให้คอนโทรลเลอร์ของคุณทำงานตลอดเวลา
ขั้นตอนที่ 3
เปิดใช้งานฟังก์ชัน “protal” เพื่อให้การรับรองความถูกต้องของ Hotspot มีผล
โปรดดูที่ FAQ915 สำหรับรายละเอียดการกำหนดค่าของ Hotspot Authentication
6. บทสรุป
ด้วยโทโพโลยีและการตั้งค่าทั้งหมดข้างต้น ไคลเอนต์ที่เชื่อมต่อกับ SSID ที่แตกต่างกันสามารถท่องอินเทอร์เน็ตได้หลังจากผ่านการตรวจสอบสิทธิ์ Hotspot แต่ไม่สามารถสื่อสารระหว่างกันและไม่สามารถเข้าถึงคอนโทรลเลอร์ได้เช่นกัน