Wie kann ich meinen EAP so konfigurieren, dass er eine Haupt-SSID und eine Gast-SSID mit Portalauthentifizierung aufspannt?

Configuration Guide
Updated 03-23-2017 16:35:25 PM
Dieser Artikel gilt für: 

Situation und Ziele:

Sie haben einen eigenen und einen Gast-Router. Beide sind an einen Layer2+- oder Layer3-Switch angeschlossen. Nun möchten Sie einen EAP oder eine EAP-Gruppe so konfigurieren, dass er/sie zwei SSIDs aussendet:
SSID 1: Authentifizierung nur über WPA2-PSK, Zugriff auf Ihr Firmennetz, Internetzugang über den Firmenrouter
SSID 2: Authentifizierung über WPA2-PSK und Captive Portal mittels Voucher, kein Zugriff auf Ihr Firmennetz, Internetzugang über Ihren Gast-Router

 

Voraussetzungen:

In Ihrem Netz existiert ein EAP-Controller (in diesem Beispiel wurde Version 2.2.3 verwendet).
Dem EAP-Controller unterliegen die zu verwendeten EAPs („Adopt“ wurde bereits durchgeführt).
Es sind zwei SSIDs (in diesem Beispiel „main“ und „gast“) angelegt, ein PSK-Passwort ist hinterlegt. „main“ ist mit VLAN-ID 1 versehen, „gast“ mit VLAN-ID 10. Für „gast“ ist das Portal aktiv, für dieses ist der Authentication Type „Hotspot“ aktiviert.
Im Hotspot-Manager existiert eine zum Testen ausreichende Anzahl Vouchers.
Sowohl in Ihrem Firmennetz als auch auf dem Gast-Router läuft ein DHCP-Dienst.
Sie haben Zugriff auf die Konfigurationsseiten beider Router.

 

Weitere Annahmen:

Bei Ihrem Layer2+-Switch handelt es sich um das Modell T1600G-28PS mit folgender Portbelegung:

  • Port 1: Router 1 (IP-Adresse 192.168.1.1, Subnetzmaske 255.255.255.0)
  • Port 2: Router 2 (Gastrouter) (IP-Adresse 10.0.0.1, Subnetzmaske 255.255.0.0)
  • Port 6: EAP. Verwenden Sie mehrere EAPs, tätigen Sie sämtliche für Port 6 vorgesehenen Schritte in dieser Anleitung auch für die Ports, an denen die anderen EAPs angeschlossen sind.
  • Port 12: EAP-Controller-PC, IP-Adresse 192.168.1.100
  • übrige Ports: Weitere Teilnehmer Ihres Firmennetzes

Die IP-Adresse des Switches lautet 192.168.1.24.

 

Vorgehensweise:

  1. Im Menü VLAN -> 802.1Q VLAN des Switches erstellen Sie das VLAN 10 (mittels Create) und nennen es beispielsweise „Gast“. Markieren Sie die Ports 2 und 12 als „Untagged ports“ und Port 6 als „Tagged port“. Klicken Sie Apply.
    VLAN Config
  2. Wechseln Sie in den Tab Port Config. Setzen Sie die PVID von Port 2 auf 10.
    Port Config
    Ihre VLAN Config sieht nun so aus:
    VLAN Config fertig
  3. Gehen Sie in das Menü Routing -> Interface. Hier erstellen Sie ein Interface für VLAN 10. IP Address Mode ist Static. Die IP-Adresse liegt im Gast-Subnetz, lautet also beispielsweise 10.0.0.2. Verwenden Sie die Subnetzmaske des Gast-Subnetzes, hier 255.255.0.0. Als Interface Name können Sie wiederum „Gast“ setzen. Klicken Sie Create.
    Interface anlegen
  4. Im Router Ihres Firmennetzes hinterlegen Sie eine Statische Route ins Gastnetz, damit der EAP-Controller den dort befindlichen Clients die Portalauthentifizierung anbieten kann.
    Statisches Routing
  5. Gleiches tun Sie analog im Gast-Router, damit die WLAN-Clients mit dem EAP-Controller kommunizieren können.
    Statisches Routing
  6. Nun haben die Gäste Zugriff auf Ihr Firmennetz. Um dies zu unterbinden, kehren Sie zu Ihrem Switch zurück und öffnen das Menü ACL -> ACL Config. Legen Sie im Tab ACL Create zwei neue ACLs an, beispielsweise 1111 und 1112.
  7. Gehen Sie in den Tab Standard-IP ACL, wählen Sie zunächst die ACL 1111 aus und vergeben Sie eine Rule ID, der Einfachheit halber nehmen wir als solche die ACL ID 1111. Operation bleibt Permit, als S-IP setzen Sie die Netzadresse Ihres Gastnetzes, also 10.0.0.0, die Mask ist die Subnetzmaske Ihres Gastnetzes, lautet also 255.255.0.0. Als D-IP setzen Sie die IP-Adresse Ihres EAP-Controller-PCs, also 192.168.1.100. Mask setzen Sie in diesem Fall auf 255.255.255.255. Klicken Sie Apply. Damit ist sichergestellt, dass Gäste mit Ihrem EAP-Controller zwecks Authentifizierung kommunizieren können.
    Standard-IP ACL
  8. Wählen Sie anschließend die andere ACL aus (1112), vergeben Sie wiederum eine Rule ID (1112) und setzen Sie Operation auf Deny und S-IP erneut auf die Netzadresse Ihres Gastnetzes, also 10.0.0.0, die Mask ist immer noch die Subnetzmaske Ihres Gastnetzes, lautet also 255.255.0.0. Als D-IP setzen Sie dieses Mal die Netzadresse Ihres Firmennetzes, also 192.168.1.0, als Mask 255.255.255.0. Klicken Sie Apply. Hiermit verhindern Sie alle Zugriffe aus dem Gastnetz auf Ihr Firmennetz. Eine Ausnahme bildet der EAP-Controller, der bereits von der vorigen Regel erfasst wird.
    Standard-IP ACL
  9. Gehen Sie nun in das Menü ACL -> ACL Binding. Im Tab Port Binding assoziieren Sie die beiden soeben angelegten ACLs mit den Ports Ihres Switches. Hier genügt es, wenn Sie beide ACLs nacheinander anwählen und Port 6 und dann Apply klicken.
    Binding
    Binding
  10. Nach erfolgreichem Test bietet es sich an, das Menü Save Config zu nutzen, damit Ihre Konfiguration beim Trennen der Spannungsversorgung nicht verloren geht.
    Save Config

Ergebnis:

Von Ihrem Gast-WLAN haben Sie nun Zugriff auf das Gast-Netz (inklusive Gast-Router und Internet) sowie den EAP-Controller. Auf das Firmennetz haben Sie keinen Zugriff.

Von Ihrem Haupt-WLAN erreichen Sie beide Netze, der Internetzugang erfolgt aber über den Firmenrouter.