Пример применения функции контроля доступа на EAP контроллере версии 2.2.3

Требования к использованию
Обновлено 07-24-2017 12:06:52 PM
Эта статья подходит для: 

Подходит для контроллера EAP версии 2.2.3 или более поздней.

В некоторых сценариях применения, например, в офисной сети, администратору необходимо предоставить пользователям доступ к Wi-Fi, но при этом ограничить доступ к локальной сети Ethernet в целях безопасности.

Для беспроводных маршрутизаторов TP-Link такое требование может быть реализовано с помощью гостевой сети. В точках доступа EAP это возможно с помощью функции контроля доступа. В этой статье вы найдете несколько инструкций по настройке контроля доступа на контроллере EAP 2.2.3.

Ниже приведен пример топологии. В нем мы хотим, чтобы ноутбук имел доступ к интернету, но не мог получить доступ к серверу в локальной сети.

1. Перейдите в раздел Wireless Control (Настройки беспроводного модуля) -> Access Control (Контроль доступа). Вы можете изменить правило по умолчанию или добавить правило контроля доступа с выбранным вами именем правила. В нашем примере мы выбираем Block (Блокировать) в Rule Mode (Тип правила), заполняем 192.168.1.0/24 в поле Subnets (Подсети) и нажимаем кнопку Apply (Применить).

2. Go to Wireless Control-> Access Control. You can either edit the Default rule or Add Access Control Rule with the Rule Name you choose. In our example we choose Block as Rule Mode and fill 192.168.1.0/24 in the restricted Subnets field and click Apply button.

Примечание:

1) Есть два типа правил (Rule Modes): Allow (Разрешить) и Block (Заблокировать), которые вы можете выбрать. Allow – это белый список, а Block - черный список.

2) Пользователи подсетей следуют выбранному типу правила, за исключением клиентов, указанных в Except Subnets (Исключения). Другие подсети, не указанные в правиле, также не следуют ему. Например, я настраиваю блокировку для подсети: 192.168.1.0/24 с исключением для подсети: 192.168.1.2/32. Клиенты, подключенные к EAP, могут получить доступ только к 192.168.1.2 в подсети 192.168.1.x. Пользователи также имеют доступ в другие подсети. 

3. Выберите соответствующее правило контроля доступа (Access Control) на странице Wireless Settings (Параметры беспроводного модуля) -> Edit SSID (Редактировать SSID).  

4. Убедитесь, что ноутбук не имеет связи с сервером (проверьте с помощью ping), но имеет доступ в Интернет. 

В приведенном выше примере ноутбук не может связаться с каким-либо устройством в подсети 192.168.1.0/24. Вы должны убедиться, что DNS-сервер, который использует ноутбук, находится за пределами подсети 192.168.1.0/24, иначе ноутбук не сможет получить доступ в Интернет. Одним из решений является настройка DHCP-сервера для назначения общедоступного DNS, либо вы можете указать адрес вашего шлюза в поле Except Subnets (Исключения).