Bu makale içerisinde sizlerle Aruba 650 Wireless Mobility Controller üzerinde Guest Network authentication konfigürasyonunu paylaşıyor olacağım.
Guest Network ihtiyacı tüm işletmelerde, misafir olarak dahil olan tüm kablolu/kablosuz kullanıcılara internet erişimini sağlamak için kullanılır. İnternet erişiminin açılmasının ardından, lokal’de bulunan işletme kaynaklarına erişim aynı zamanda engellenir.
İhtiyacın karşılanması için, yönetilebilir switch’lerde Guest Network’ü karşılayacak bir VLAN karşılığınında oluşturulmuş olması gerekmektedir.
Makalemiz içerisinde ben sizlerle Mobility Controller tarafındaki tüm ayarları adım adım gerçekleştiriyor olacağım. Çok uzunca sayfalar sürmemesi için, konfigürasyonun bir kısmını CLI’dan, bir kısmını ise WEB ara yüzünden gerçekleştiriyor olacağım.
Yapılacak işlem adımları;
1. Guest VLAN’nın Controller üzerinde oluşturulması ve Guest network için DHCP servis ayarlarının gerçekleştirilmesi.
2. Guest User’ın rollerinin belirlenmesi
3. Captive portal profil ayarlarının yapılması
4. Guest Network için SSID ayarlarının gerçekleştirilmesi
5. AAA profil ayarlarının yapılması
6. VAP profil ayarlarının yapılması
7. Guest Provisioning işlemi ve Guest hesabının oluşturulması
Guest Network için VLAN oluşturulması,
Guest profil için IP adresi ayarlarının ve İç network’den dışarı erişim için NAT ayarlarının yapılması.
Guest Network’ünden IP alacak kullanıcılar için DHCP servisinin ayarlanması,
Guest Network’ün Internal network üzerinden erişeceği Public network DNS’leri ve Destination Networkleri aşağıdaki gibi tanımlıyoruz.
Cihazın global configuration level’ında iken aşağıdaki komutları sırası ile yazabilirsiniz.
!
netdestination Internal-Network
network 10.0.0.0 255.0.0.0
network 172.16.0.0 255.240.0.0
network 192.168.0.0 255.255.255.0
!
netdestination Public-DNS
host 195.175.39.39
host 208.67.222.220
!
Guest User’ların network erişim yetkilerinin komut satırından Policy ile tanımlanması,
Global configuration mode’da yazılmalı,
ip access-list session guest-logon-access
user any udp 68 deny position 1
any any svc-dhcp permit position 2
user alias Public-DNS svc-dns permit position 3
!
Internal network erişiminin kullanıcılar için kısıtlanması,
ip access-list session block-internal-access
user alias Internal-Network any deny position 1
Guest kullanıcıların, Web tabanlı erişimlerine izin verilmesi için,
ip access-list session auth-guest-access
user any svc-http permit position 1
user any svc-https permit position 2
!
Kullanıcı erişimlerinin bloklandığında session log’larının kaydedilmesi için,
ip access-list session drop-and-log
user any any deny log position 1
Guest kullanıcılar için Logon rol konfigürasyonu,
user-role guest-logon
access-list session captiveportal position 1
access-list session guest-logon-access position 2
!
Guest kullanıcılarının logon,logout detaylarının belirlenmesi,
user-role auth-guest
access-list session cplogout position 1
access-list session guest-logon-access position 2
access-list session block-internal-access position 3
access-list session auth-guest-access position 4
access-list session drop-and-log position 5
!
Guest SSID için, SSID profil detaylarının belirlenmesi,
wlan ssid-profile “guestnet”
essid “Guest”
opmode opensystem
!
Guest Authentication için Internal Database ayarlarının yapılması,
aaa server-group “Guest-internal”
auth-server Internal
Captive portal için karşılama ekranın ayarlarının yapılması,
aaa authentication captive-portal “guestnet”
default-role “auth-guest”
no guest-logon
server-group “Guest-internal”
logout-popup-window
login-page “/auth/index.html”
welcome-page “/auth/welcome.html”
show-acceptable-use-policy
Guest Kullanıcısına, Captive portal yetkisinin bağlanması,
user-role guest-logon
captive-portal guestnet
Guest kullanıcısına, AAA profil ayarlarının bağlanması,
aaa profile “guestnet”
initial-role “guest-logon”
Guest Kullanıcısı için Guest Provisining Profil ayarlarının yapılması,
Guest provisinoning yapan kullanıcı için sayfa ayarlarının tanımlanması,
Guest Network erişimi sağlayacak kullanıcıların oluşturulması,
Guest Network’e logon olan kullanıcıların, aksiyonlarının mail sunucuya tanımlanması için ayarlarının yapılması.
Guest Network ayarlarının tamamlanması için, SSID profil detaylarınızda tanımlamak için,
Mobility Controller tarafındaki ayarlarımızın tamamını gerçekleştirdikten sonra Guest Network yayının testi için aşağıdaki adımları deneyebilirsiniz.
SSID yayını seçildikten hemen sonra, Lisans anlaşması otomatik olarak gelicektir. Anlaşmanın kabul edilmesinin ardından, Guest user doğrulanması istenecektir.
Internal kaynaklara artık erişimin sınırlı olduğu, internet erişiminde herhangi bir sınırı olmayan bir SSID’ye sahipsiniz.
Ek olarak Guest Network üzerindeki kullanıcılara, Zaman kısıtlaması, Dosya Download/Upload veya Maksimumum kullanıcı oturumu gibi limitler tanımlayarak kullanıcıları kontrol altında tutabilirsiniz.