みなさんこんにちは。 各ワイヤレスネットワークとドメイン認証に異なるアクセスポリシーを使用して、複数のSSIDに企業wifiを実装するオプションを共有したいと思います。
テストベンチのレイアウトは次のようになります。
カットの下の詳細。
したがって、タスクは次のとおりです。 ポイントは3つのワイヤレスネットワークをブロードキャストする必要があります
- vlan 10-SSID PL_Public-従業員の個人用デバイスを企業リソースにアクセスせずにインターネットに接続するためのドメイン認証付きネットワーク
- vlan 20-SSID PL_Private-企業リソースへのアクセス権を持つWIFI_PL_Privateグループ内のドメインに配置された従業員のためのドメイン許可を持つネットワーク
- vlan 30-SSID PL_Guest-有効期間8時間のワンタイムパスワードを使用したネットワークがWebポータルから入力されたネットワーク
最初のタスクは、コントローラー上に必要なワイヤレスネットワークを作成することです。 コントローラを使用すると、ネットワーク上のすべてのポイントの設定をこぼすことができます。
プロファイルでは、共有シークレットを示すRadiusサーバーを追加します。 ポイントは、サーバー上のRadiusクライアントとして追加する必要があります。 多くのポイントがある場合は、同じIPを持つサーバー上ですべてのポイントが見えるようにnatを構成できます。
目的のSSIDをコントローラーに追加します。
ソリューションの特性は、RadiusサーバーがこれらのSSIDに異なる認証ポリシーを適用する必要があることです。 認証要求で送信され、MACポイントとSSIDを表す
Called-Station-IDフィールドに基づいて、ポリシーの分離を行うことができます。
これを行うには、ユーザーが
WIFI_PL_Privateドメイングループのメンバーであるかどうかを確認するプライベートVLANのポリシーを作成します。
条件では、ネットワーク上のすべてのポイントからSSIDをチェックできるようにするCaller Station IDの正規表現を指定します
*:PL_Private 、およびグループのメンバーシップをチェックします。
2番目のポリシーは、このSSIDへの他のすべてのドメインユーザーのアクセスを禁止します。 これは、明示的なアクセス拒否が存在しない場合、リストの次のポリシーがすべてのユーザーを認証するためです。
3番目のポリシーは、すべてのドメインユーザーのPL_Publicネットワークへのアクセスを許可します。
2番目のタスクは、ワンタイムパスワード用のゲストポータルです。 この問題は、UniFiコントローラー自体によって解決されます。
PL_Guestネットワークの場合、オープンでゲストであると判断します。
[ゲストポータル]タブで、ホットスポット認証を有効にします。必要に応じて、ポータルの開始ページをカスタマイズします。
ホットスポット設定で、バウチャーによる認証を有効にします。
[
ホットスポットマネージャーに
移動 ]リンクをクリックして、バウチャーを生成します。
電話からゲストネットワークに接続しようとすると、バウチャーコードを入力する招待が表示されます。
接続すると、ホットスポットマネージャーに統計が表示されます。
ゲストネットワークが配置されているVLANから、UniFiコントローラーにアクセスする必要があります。これは、ポータルがポータル上で回転しているためです。
ご清聴ありがとうございました:)