Приклад налаштування веб-авторизації та сегментування мережі на основі маршрутизаторів DSR-500(N)/DSR-1000(N).

Цей приклад ґрунтується на реальній ситуації.

Невелику офісну мережу було побудовано на маршрутизаторі DSR-500N і кількох некерованих комутаторах. Деякі співробітники офісу підключалися до мережі по кабельним з'єднаннях, інші - по бездротовому з'єднанню (з типом безпеки WPA2/PSK).

З часом виникла потреба організувати доступ в Інтернет для гостей цього офісу (і по кабельному, і по бездротовому з'єднанню) таким чином, щоб:

  • ·  мережі для співробітників і для гостей були повністю ізольовані одна від одної;
  • ·  для отримання доступу в Інтернет всі гості обов'язково проходили веб-авторизацію.

Процес налаштування такого рішення розглянемо на прикладі тестової мережі (див. Рис. 1).

Зазначимо, що в цьому прикладі використовується маршрутизатор DSR-500N з внутрішнім ПЗ («прошивкою») версії 1.08B56_WW. На маршрутизаторах DSR-500(N)/DSR-1000(N) з іншими версіями прошивок процес налаштування такого рішення може дещо відрізнятися від того, що описаний нижче.

Рисунок 1. Загальна схема сегментованої кабельної та бездротової мережі

Основну інформацію про початкове налаштування інтерфейсів маршрутизатора DSR-500N в цьому прикладі наведено на Рис. 2

Рисунок 2. Інформація про стан інтерфейсів маршрутизатора DSR-500N

Спочатку налаштуємо VLAN і відповідні IP-підмережі

Безліч докладних інструкцій з налаштування маршрутизаторів DSR-500(N)/DSR-1000(N) наведено в розділі http://www.dlink.ua/ua/dsr_ua . Зокрема, процес налаштування VLAN на цих маршрутизаторах докладно описано в документі за посиланням «Налаштування VLAN з багатьма підмережами». Тому в цьому прикладі не будемо зосереджуватись на подробицях, а звернемо увагу лише на суттєві моменти того, що врешті-решт слід отримати.

Основну інформацію про початкове налаштування в цьому прикладі VLAN, IP-підмереж для різних VLAN, і правильної відповідності фізичних портів різним VLAN на маршрутизаторі DSR-500N наведено на Рис. 3, Рис. 4 і Рис. 5.

Рисунок 3. Перелік VLAN й інформація про їх основні налаштування на маршрутизаторі DSR-500N

Рисунок 4. Перелік відповідності IP-підмереж до різних VLAN на маршрутизаторі DSR-500N

Рисунок 5. Перелік відповідності фізичних портів різним VLAN на маршрутизаторі DSR-500N

Тепер налаштуємо додатковий SSID для «гостьової» бездротової мережі

Процес налаштування Multi-SSID на маршрутизаторах серії DSR докладно описано в документі за посиланням «Налаштування гостьового доступу на DSR-500N\DSR-1000N» в розділі http://www.dlink.ua/dsr. Тому в цьому прикладі не будемо зосереджуватись на подробицях, а звернемо увагу лише на суттєві моменти того, що врешті-решт слід отримати.

Основну інформацію про налаштування в цьому прикладі точки бездротового доступу, що інтегрована в  маршрутизатор DSR-500N, наведено на Рис. 6 і Рис. 7.

Рисунок 6. Перелік різних профілів й інформація про їх основні налаштування для точки бездротового доступу, що інтегрована в  маршрутизатор DSR-500N

Рисунок 7. Перелік Multi-SSID й інформація про їх основні налаштування для точки бездротового доступу, що інтегрована в  маршрутизатор DSR-500N

Тепер зіставимо «гостьовій» бездротовій мережі ту VLAN, яку раніше було створено для гостей (див. Рис. 8).

Рисунок 8. Підсумковий перелік відповідності фізичних портів різним VLAN на маршрутизаторі DSR-500N

Після виконання всіх наведених вище налаштувань, ми вже створили мережу, топологію якої зображено на Рис. 1.

У нашому прикладі VLAN для співробітників і VLAN для гостей повністю ізольовані одна від одної, оскільки на них вимкнено (Disabled) функцію «Inter VLAN Routing» (див. Рис. 3).

Тепер налаштуємо обов'язкову веб-авторизацію користувачів гостьової VLAN для доступу до Інтернету

Для цього на маршрутизаторі DSR-500N спочатку створимо групу користувачів порталу веб-авторизації та заборонимо користувачам цієї групи підключатися з боку інтерфейсу WAN (див. Рис. 9, Рис. 10 і Рис. 11).

Рисунок 9. Створення групи користувачів порталу веб-авторизації на маршрутизаторі DSR-500N

Рисунок 10. Виклик на редагування політики входу в систему групи користувачів порталу веб-авторизації на маршрутизаторі DSR-500N

Рисунок 11. Заборона групі користувачів порталу веб-авторизації підключатися з боку інтерфейсу WAN на маршрутизаторі DSR-500N

Після цього створимо потрібну кількість облікових записів користувачів порталу веб-авторизації на маршрутизаторі DSR-500N (див. Рис. 12 і Рис. 13).

Рисунок 12. Створення облікового запису користувача порталу веб-авторизації на маршрутизаторі DSR-500N

Рисунок 13. Перелік облікових записів користувачів порталу веб-авторизації, що були створені на маршрутизаторі DSR-500N

Тепер налаштуємо бажаний вид сторінки веб-авторизації користувачів. У нашому прикладі для цього просто відредагуємо профіль порталу веб-авторизації з назвою «default2» (див. Рис. 14 і Рис. 15).

Рисунок 14. Виклик на редагування профілю веб-авторизації на маршрутизаторі DSR-500N

Рисунок 15. Редагування профілю веб-авторизації на маршрутизаторі DSR-500N

Після цього призначимо використання цього профілю для обов'язкової веб-авторизації користувачів гостьової VLAN (див. Рис. 16, Рис. 17 і Рис. 18).

Рисунок 16. Виклик на редагування налаштувань гостьової VLAN на маршрутизаторі DSR-500N

Рисунок 17. Призначимо використання профілю з назвою «default2» для обов'язкової веб-авторизації користувачів гостьової на маршрутизаторі DSR-500N

Рисунок 18. Підсумковий перелік VLAN й інформація про їх основні налаштування на маршрутизаторі DSR-500N

На цьому процес налаштування потрібного рішення завершено. Залишилося лише перевірити його роботу.

Для співробітників офісу нічого не змінилося: вони можуть підключатися до мережі  як по кабельному, так і по бездротовому з'єднанню (з типом безпеки WPA2/PSK) і виходити до Інтернету без жодних обмежень.

А користувачі гостьової мережі (як кабельної, так і бездротової) при спробі доступу до Інтернету за допомогою веб-браузера обов'язково побачать вікно для веб-авторизації (див. Рис. 19). І доступ до Інтернету вони отримають лише після успішного проходження цієї авторизації (див. Рис. 20).

Рисунок 19. Вікно веб-авторизації користувачів гостьової мережі на маршрутизаторі DSR-500N

Рисунок 20. Вікно з інформацією по успішну веб-авторизацію користувача гостьової мережі на маршрутизаторі DSR-500N

Після завершення всіх потрібних налаштувань на маршрутизаторі DSR-500N рекомендується перевірити ще раз таку інформацію:

  • ·  про активних користувачів порталу веб-авторизації (див. Рис. 21)
  • ·  про всіх LAN-клієнтів (див. Рис. 22);
  • ·  про поточні маршрути (див. Рис. 23);
  • ·  про всі поточні сесії (див. Рис. 24).

Рисунок 21. Інформація про активних користувачів порталу веб-авторизації на маршрутизаторі DSR-500N

Рисунок 22. Інформація про всіх LAN-клієнтів з різних IP-підмереж на маршрутизаторі DSR-500N

Рисунок 23. Інформація про поточні маршрути на маршрутизаторі DSR-500N

Рисунок 24. Інформація про всі поточні сесії на маршрутизаторі DSR-500N

* * *

Ще раз зазначимо, що цей приклад ґрунтується на реальній ситуації. Залежно від розмірів і конкретних вимог до тієї чи іншої мережі, сегментація кабельної та бездротової мережі, а також портал веб-авторизації клієнтів мережі можуть бути реалізовані по-різному.

Зокрема, радимо звернути увагу на такі рішення: