Network

Aruba Controller ile Guest Authentication

 

Bu makale içerisinde sizlerle Aruba 650 Wireless Mobility Controller üzerinde Guest Network authentication konfigürasyonunu paylaşıyor olacağım.

 

Guest Network ihtiyacı tüm işletmelerde, misafir olarak dahil olan tüm kablolu/kablosuz kullanıcılara internet erişimini sağlamak için kullanılır. İnternet erişiminin açılmasının ardından, lokal’de bulunan işletme kaynaklarına erişim aynı zamanda engellenir.

 

İhtiyacın karşılanması için, yönetilebilir switch’lerde  Guest Network’ü karşılayacak bir VLAN karşılığınında oluşturulmuş olması gerekmektedir.

 

Makalemiz içerisinde ben sizlerle Mobility Controller tarafındaki tüm ayarları adım adım gerçekleştiriyor olacağım. Çok uzunca sayfalar sürmemesi için, konfigürasyonun bir kısmını CLI’dan, bir kısmını ise WEB ara yüzünden gerçekleştiriyor olacağım.

Yapılacak işlem adımları;

1.       Guest VLAN’nın Controller üzerinde oluşturulması ve Guest network için DHCP servis ayarlarının gerçekleştirilmesi.

2.       Guest User’ın rollerinin belirlenmesi

3.       Captive portal profil ayarlarının yapılması

4.       Guest Network için SSID ayarlarının gerçekleştirilmesi

5.       AAA profil ayarlarının yapılması

6.       VAP profil ayarlarının yapılması

7.       Guest Provisioning işlemi ve Guest hesabının oluşturulması

Guest Network için VLAN oluşturulması,

clip_image002

 

Guest profil için IP adresi ayarlarının ve İç network’den dışarı erişim için NAT ayarlarının yapılması.

clip_image004

Guest Network’ünden IP alacak kullanıcılar için DHCP servisinin ayarlanması,

clip_image006

 

Guest Network’ün  Internal network üzerinden erişeceği Public network DNS’leri ve Destination Networkleri aşağıdaki gibi tanımlıyoruz.

Cihazın global configuration level’ında iken aşağıdaki komutları sırası ile yazabilirsiniz.

!

netdestination Internal-Network

network 10.0.0.0 255.0.0.0

network 172.16.0.0 255.240.0.0

network 192.168.0.0 255.255.255.0

!

netdestination Public-DNS

host 195.175.39.39

host 208.67.222.220

!

 

Guest User’ların network erişim yetkilerinin komut satırından Policy ile tanımlanması,

Global configuration mode’da yazılmalı,

 

ip access-list session guest-logon-access

user any udp 68 deny position 1

any any svc-dhcp permit position 2

user alias Public-DNS svc-dns permit position 3

!

 

Internal network erişiminin kullanıcılar için kısıtlanması,

 

ip access-list session block-internal-access

user alias Internal-Network any deny position 1

 

Guest kullanıcıların, Web tabanlı erişimlerine izin verilmesi için,

 

ip access-list session auth-guest-access

user any svc-http permit position 1

user any svc-https permit position 2

!

Kullanıcı erişimlerinin bloklandığında session log’larının kaydedilmesi için,

 

ip access-list session drop-and-log

user any any deny log position 1

 

Guest kullanıcılar için Logon  rol konfigürasyonu,

user-role guest-logon

access-list session captiveportal position 1

access-list session guest-logon-access position 2

!

Guest kullanıcılarının logon,logout detaylarının belirlenmesi,

user-role auth-guest

access-list session cplogout position 1

access-list session guest-logon-access position 2

access-list session block-internal-access position 3

access-list session auth-guest-access position 4

access-list session drop-and-log position 5

!

Guest SSID için, SSID profil detaylarının belirlenmesi,

 

wlan ssid-profile “guestnet”

essid “Guest”

opmode opensystem

!

Guest Authentication için Internal Database ayarlarının yapılması,

 

aaa server-group “Guest-internal”

auth-server Internal

 

Captive portal için karşılama ekranın ayarlarının yapılması,

 

aaa authentication captive-portal “guestnet”

default-role “auth-guest”

no guest-logon

server-group “Guest-internal”

logout-popup-window

login-page “/auth/index.html”

welcome-page “/auth/welcome.html”

show-acceptable-use-policy

 

Guest Kullanıcısına, Captive portal yetkisinin bağlanması,

user-role guest-logon

captive-portal guestnet

 

Guest kullanıcısına, AAA profil ayarlarının bağlanması,

 

aaa profile “guestnet”

initial-role “guest-logon”

 

Guest Kullanıcısı için Guest Provisining Profil ayarlarının yapılması,

clip_image008

Guest provisinoning yapan kullanıcı için sayfa ayarlarının tanımlanması,

clip_image010

              

clip_image012

Guest Network erişimi sağlayacak kullanıcıların oluşturulması,

clip_image014

              

Guest Network’e logon olan kullanıcıların, aksiyonlarının mail sunucuya tanımlanması için ayarlarının yapılması.

clip_image016

Guest Network ayarlarının tamamlanması için, SSID profil detaylarınızda tanımlamak için,

clip_image018

 

clip_image020

 

clip_image022

 

Mobility Controller tarafındaki ayarlarımızın tamamını gerçekleştirdikten sonra Guest Network yayının testi için aşağıdaki adımları deneyebilirsiniz.

clip_image024

SSID yayını seçildikten hemen sonra, Lisans anlaşması otomatik olarak gelicektir. Anlaşmanın kabul edilmesinin ardından, Guest user doğrulanması istenecektir.

clip_image026

clip_image028

clip_image030

Internal kaynaklara artık erişimin sınırlı olduğu, internet erişiminde herhangi bir sınırı olmayan bir SSID’ye sahipsiniz.

Ek olarak Guest Network üzerindeki kullanıcılara, Zaman kısıtlaması, Dosya Download/Upload veya Maksimumum kullanıcı oturumu gibi limitler tanımlayarak kullanıcıları kontrol altında tutabilirsiniz.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu