Пример настройки веб-авторизации и сегментирования сети на основе маршрутизаторов DSR-500(N)/DSR-1000(N).

Этот пример основан на реальной ситуации.

Небольшая офисная сеть была построена на маршрутизаторе DSR-500N и нескольких неуправляемых коммутаторах. Некоторые сотрудники офиса подключались к сети по проводным соединениям, другие – по беспроводному соединению (с типом безопасности WPA2/PSK).

Со временем возникла потребность организовать доступ в Интернет для гостей этого офиса (и по проводному, и по беспроводному соединению) таким образом, чтобы:

  • ·  сети для сотрудников и для гостей были полностью изолированы друг от друга;
  • ·  для получения доступа в Интернет все гости обязательно проходили веб-авторизацию.

Процесс настройки такого решения рассмотрим на примере следующей тестовой сети (см. Рис. 1). Оговоримся, что в этом примере используется маршрутизатор DSR-500N с внутренним ПО («прошивкой») версии 1.08B56_WW. На маршрутизаторах DSR-500(N)/DSR-1000(N) с другими версиями прошивок процесс настройки такого решения может несколько отличаться от описанного ниже.

Рисунок 1. Общая схема сегментированной проводной и беспроводной сети

Основная информация о начальной настройке интерфейсов маршрутизатора DSR-500N в данном примере приведена на Рис. 2.

Рисунок 2. Информация о состоянии интерфейсов маршрутизатора DSR-500N

Сначала настроим VLAN и соответствующие IP-подсети

Множество пошаговых инструкций по настройке маршрутизаторов DSR-500(N)/DSR-1000(N) приведено в разделе http://www.dlink.ua/dsr. В частности, процесс настройки VLAN на этих маршрутизаторах подробно описан в документе по ссылке «Настройка VLAN с множеством подсетей». Поэтому в данном примере не будем сосредотачиваться на этом, а обратим внимание лишь на существенные моменты того, что в итоге необходимо получить.

Основная информация о начальной настройке в данном примере VLAN, IP-подсетей для разных VLAN, и правильного соответствия физических портов разным VLAN на маршрутизаторе DSR-500N приведена на Рис. 3, Рис. 4 и Рис. 5.

Рисунок 3. Список VLAN и информация об их основных настройках на маршрутизаторе DSR-500N

Рисунок 4. Список соответствия IP-подсетей разным VLAN на маршрутизаторе DSR-500N

Рисунок 5. Список соответствия физических портов разным VLAN на маршрутизаторе DSR-500N

Теперь настроим дополнительный SSID для «гостевой» беспроводной сети

Процесс настройки Multi-SSID на маршрутизаторах серии DSR подробно описан в документе по ссылке «Настройка гостевого доступа на DSR-500N\DSR-1000N» в разделе http://www.dlink.ua/dsr. Поэтому в данном примере не будем сосредотачиваться на этом, а обратим внимание лишь на существенные моменты того, что в итоге необходимо получить.

Основная информация о настройке в данном примере точки беспроводного доступа, интегрированной в  маршрутизатор DSR-500N, приведена на Рис. 6 и Рис. 7.

Рисунок 6. Список разных профилей и информация об их основных настройках для точки беспроводного доступа, интегрированной в  маршрутизатор DSR-500N

Рисунок 7. Список Multi-SSID и информация об их основных настройках для точки беспроводного доступа, интегрированной в  маршрутизатор DSR-500N

Теперь сопоставим «гостевой» беспроводной сети ту VLAN, которая ранее была создана для гостей (см. Рис. 8).

Рисунок 8. Итоговый список соответствия физических портов разным VLAN на маршрутизаторе DSR-500N

После выполнения всех приведенных выше настроек, мы уже создали сеть, топология которой изображена на Рис. 1.

В нашем примере VLAN для сотрудников и VLAN для гостей полностью изолированы друг от друга, поскольку на них выключена (Disabled) функция «Inter VLAN Routing» (см. Рис. 3).

Теперь настроим обязательную веб-авторизацию пользователей гостевой VLAN для получения доступа в Интернет

Для этого на маршрутизаторе DSR-500N сначала создадим группу пользователей портала веб-авторизации и запретим пользователям этой группы подключаться со стороны интерфейса WAN (см. Рис. 9, Рис. 10 и Рис. 11).

Рисунок 9. Создание группы пользователей портала веб-авторизации на маршрутизаторе DSR-500N

Рисунок 10. Вызов на редактирование политики входа в систему группы пользователей портала веб-авторизации на маршрутизаторе DSR-500N

Рисунок 11. Запрет группе пользователей портала веб-авторизации подключаться со стороны интерфейса WAN на маршрутизаторе DSR-500N

После этого создадим требуемое количество учётных записей пользователей портала веб-авторизации на маршрутизаторе DSR-500N (см. Рис. 12 и Рис. 13).

Рисунок 12. Создание учётной записи пользователя портала веб-авторизации на маршрутизаторе DSR-500N

Рисунок 13. Список созданных учётных записей пользователей портала веб-авторизации на маршрутизаторе DSR-500N

После этого настроим желаемый вид страницы веб-авторизации пользователей. В нашем примере для этого просто отредактируем профиль портала веб-авторизации с именем «default2» (см. Рис. 14 и Рис. 15).

Рисунок 14. Вызов на редактирование профиля портала веб-авторизации на маршрутизаторе DSR-500N

Рисунок 15. Редактирование профиля портала веб-авторизации на маршрутизаторе DSR-500N

После этого зададим использование этого профиля для  обязательной веб-авторизации пользователей гостевой VLAN (см. Рис. 16, Рис. 17 и Рис. 18).

Рисунок 16. Вызов на редактирование настроек гостевой VLAN на маршрутизаторе DSR-500N

Рисунок 17. Задание использования профиля с именем «default2» для обязательной веб-авторизации пользователей гостевой VLAN на маршрутизаторе DSR-500N

Рисунок 18. Итоговый список VLAN и информация об их основных настройках на маршрутизаторе DSR-500N

На этом настройка требуемого решения завершена. Осталось только проверить его работу.

Для сотрудников офиса ничего не изменилось: они могут подключаться к сети и по проводному, и по беспроводному соединению (с типом безопасности WPA2/PSK) и выходить в Интернет без ограничений.

А пользователи гостевой сети (как проводной, так и беспроводной) при попытке доступа в Интернет посредством веб-браузера обязательно получат окно для веб-авторизации (см. Рис. 19). И доступ в Интернет они получат только после успешного прохождения этой авторизации (см. Рис. 20).

Рисунок 19. Окно веб-авторизации пользователей гостевой сети на маршрутизаторе DSR-500N

Рисунок 20. Окно подтверждения успешной веб-авторизации пользователя гостевой сети на маршрутизаторе DSR-500N

После завершения всех требуемых настроек на маршрутизаторе DSR-500N рекомендуется перепроверить следующую информацию:

  • ·  об активных пользователях портала веб-авторизации (см. Рис. 21)
  • ·  обо всех LAN-клиентах (см. Рис. 22);
  • ·  о текущих маршрутах (см. Рис. 23);
  • ·  обо всех текущих сессиях (см. Рис. 24).

Рисунок 21. Информация об активных пользователях портала веб-авторизации на маршрутизаторе DSR-500N

Рисунок 22. Информация о LAN-клиентах из разных IP-подсетей на маршрутизаторе DSR-500N

Рисунок 23. Информация о текущих маршрутах на маршрутизаторе DSR-500N

Рисунок 24. Информация о текущих сессиях на маршрутизаторе DSR-500N

* * *

Ещё раз оговоримся, что этот пример основан на реальной ситуации. В зависимости от размеров и конкретных требований к той или иной сети, сегментирование проводной и беспроводной сети, а также портал веб-авторизации клиентов сети могут быть реализованы по-разному.

В частности, рекомендуем обратить внимание на следующие решения: