Captive Portal für Ihr Cisco Wireless-Netzwerk
Captive Portal in Ihrem Cisco Wireless-Netzwerk
In einer zunehmend mobilen und auf Zusammenarbeit ausgelegten Geschäftswelt eröffnen immer mehr Unternehmen ihre Netzwerkumgebungen für eine kontrollierte gemeinsame Nutzung von Ressourcen mit Geschäftspartnern, Kunden und anderen Gästen. Unternehmen suchen nach besseren Möglichkeiten, um:
・ Sicherer Wireless-Internetzugang für Kunden, die zu Besuch sind
・ Ermöglichung des eingeschränkten Zugriffs auf Unternehmensnetzwerkressourcen für Geschäftspartner
・ Schnelle Authentifizierung und Konnektivität für Mitarbeiter, die private Mobilgeräte verwenden
Ein Cisco Small Business Wireless Access Point (AP) wie der WAP321 oder der WAP561 lässt sich einfach in das bestehende kabelgebundene Netzwerk integrieren und bietet so eine Wireless-Verbindung mit der gleichen Geschwindigkeit und Sicherheit wie eine herkömmliche kabelgebundene Verbindung.
Das Cisco Captive Portal bietet eine komfortable, sichere und kosteneffiziente Möglichkeit, Kunden und Besuchern einen Wireless-Zugang zu ermöglichen, ohne die Sicherheit Ihres internen Netzwerks zu beeinträchtigen. Ein Gastnetzwerk kann für viele wichtige Geschäftszwecke genutzt werden. Dazu gehören die Optimierung der Geschäftsbeziehung mit Partnern, die Steigerung der Kundenzufriedenheit und die Steigerung der Mitarbeiterproduktivität.
Captive Portal bietet folgende grundlegende Funktionen:
・ Benutzerdefinierte Gast-Anmeldeseite mit Firmenlogos
・ Erstellung mehrerer Instanzen des Captive Portals
・ Mehrere Authentifizierungsoptionen
・ Zuweisung verschiedener Rechte und Rollen
・ Zuweisung von Bandbreite (Upstream und Downstream)
Einrichtung von Captive Portal
Captive Portal kann über die Geräte-GUI eingerichtet werden. Kunden können die Funktion schnell und einfach mithilfe des Setup-Assistenten aktivieren. Weitere Informationen hierzu finden Sie in den folgenden Schritten:
Verwenden des Installationsassistenten
Führen Sie den Setup-Assistenten über das Haupt-Dashboard der Geräte-GUI aus.
Folgen Sie den Bildschirmen des Assistenten.
Gastzugriff aktivieren (Captive Portal).
Geben Sie Ihrem Gastnetzwerk einen Namen, z. B. "My Company- Guest".
Wählen Sie einen Sicherheitstyp aus.
Wenn Sie eine bestimmte Webseite haben, die Sie anzeigen möchten, nachdem die Benutzer die Nutzungsbedingungen von der Willkommensseite akzeptiert haben, geben Sie die URL ein und als Nächstes kann diese URL Ihre Unternehmens-Website sein.
Wählen Sie Weiter aus, um zur nächsten Seite zu wechseln.
Nach Abschluss der Einrichtung von Captive Portal kann sich Ihr Kunde mit Ihrem Gastnetzwerk verbinden und die Willkommensseite aufrufen.
Um das Portal vorab einzurichten und anzupassen, melden Sie sich über das Captive Portal-Menü in der Geräte-GUI an.
Wählen Sie die Instanzkonfiguration aus. Sie werden feststellen, dass der Assistent einen Instanznamen mit der Bezeichnung "wiz-cp-inst1" erstellt hat. Sie können diesen Namen wählen oder einen neuen Namen für Ihre Instanzkonfiguration erstellen und dann speichern. Wenn Sie "wiz-cp-inst1" auswählen, wird der Bildschirm Sie zur Seite "Instance-Konfiguration" führen.
Sie werden feststellen, dass der Setup-Assistent den Captive Portal-Instanznamen "wiz-cp-inst1" automatisch mit der Gast-SSID verknüpft hat, die Sie während des Setup-Assistenten erstellt haben.
Wenn Sie die Instanz über die GUI erstellt haben, müssen Sie sie jetzt dem von Ihnen erstellten Gastnetzwerk zuordnen.
Wählen Sie aus dem Dropdown-Menü den Instanznamen "Guest" oder die Instanz aus, die vom Assistenten "wiz-cp-inst1" erstellt wurde.
Wählen Sie im Menü Web Portal Configuration (Webportalkonfiguration) aus, um die Willkommensseite des Gasts zu konfigurieren, und wählen Sie den Instanznamen aus dem Dropdown-Menü aus.
Wählen Sie die Authentifizierungsmethode aus, die Captive Portal zum Verifizieren von Clients verwenden soll:
・ Gast - Der Benutzer muss nicht von einer Datenbank authentifiziert werden.
・ Lokal — Das WAP-Gerät verwendet eine lokale Datenbank, um Benutzer zu authentifizieren.
・ RADIUS - Das WAP-Gerät verwendet eine Datenbank auf einem Remote-RADIUS-Server, um Benutzer zu authentifizieren.
Wenn Sie die Überprüfungsmethode "Locale" (Gebietsschema) auswählen, müssen Sie lokale Benutzer erstellen.
Wählen Sie im Menü Local (Lokal) aus.
Geben Sie den Nutzungsparameter (den Namen des Benutzers) ein, und wählen Sie die Parameter für das Benutzerprofil aus.
Webportal-Seitenanpassung, jetzt haben Sie die Wahl, Ihr Firmenlogo und Grafiken hochzuladen, Sie können bis zu 3 Grafikdateien hochladen, eine für den Seitenhintergrund (Standard cisco-bkg), die zweite für das Firmenlogo (Standard, cisco-log) und die dritte für den Anmeldebildschirm (Standard, log-key).
** Beachten Sie, dass die Dateigröße für diese Grafikdatei 5 KB betragen muss.
Jetzt können Sie Ihre Web-Portal-Seite anpassen, wie hinzufügen Akzeptanz Nutzungsrichtlinie, Fenstertitel und Name und so weiter...
Benutzerdefinierte Seite mit Verifizierungsmethode als Gast, das bedeutet, dass keine Authentifizierung erforderlich ist, der Benutzer lediglich die Nutzungsbedingungen akzeptieren und die Schaltfläche "Verbinden" auswählen muss. Die Eingabe des Benutzernamens ist optional.
Benutzerdefinierte Seite mit der Verifizierungsmethode Lokal bedeutet, dass der Benutzer einen Benutzernamen und ein Kennwort eingeben muss, um sich zu authentifizieren. Anschließend muss der Benutzer die Nutzungsbedingungen akzeptieren und die Schaltfläche Verbinden auswählen.
Captive Portal in einer Multi-VLAN-Umgebung
In einigen Fällen benötigt ein Netzwerk mehrere VLANs für verschiedene Zwecke, die verschiedene Benutzergruppen bedienen. Ein gängiges Beispiel ist ein separates Netzwerk für Gastbenutzer, das verhindert, dass nicht autorisierte Benutzer auf Ressourcen im Unternehmensnetzwerk zugreifen. Manchmal müssen aus demselben Grund mehrere Wireless-Netzwerke für verschiedene Benutzer verfügbar sein. Der WAP321 und der WAP561 können diese Anforderungen über das Captive Portal erfüllen, erfordern jedoch eine zusätzliche Konfiguration im Netzwerk. In diesem Abschnitt wird diese Konfiguration erläutert.
Einführung - Bestehende Konfiguration
In diesem Dokument wird davon ausgegangen, dass bereits eine Netzwerkkonfiguration vorhanden ist. In diesem Beispiel gibt es zwei Netzwerke, das Hauptnetzwerk und das Gastnetzwerk. Die Konfiguration zum Erstellen und Bereitstellen von DHCP-Adressen für die einzelnen Netzwerke wurde bereits konfiguriert. Der WAP321 wurde bereits so konfiguriert, dass für jedes Netzwerk eine andere SSID gesendet wird. Die aktuelle Konfiguration sieht wie folgt aus:
Nach Abschluss der Konfiguration wird Inter-VLAN-Routing im Netzwerk aktiviert, sodass alle Wireless-Clients auf das Captive Portal zugreifen können, um die Netzwerkverbindung zu ermöglichen.
Konfiguration
Aktivieren Sie zunächst VLAN-übergreifendes Routing auf dem Core-Router, in diesem Fall einem RV320. Um dies zu konfigurieren, gehen Sie zu Port Management > VLAN Membership, um Inter-VLAN-Routing zu aktivieren. Aktivieren Sie links auf der Seite VLAN 1 und 25, und klicken Sie auf Edit. Klicken Sie in der Spalte Inter-VLAN Routing (Inter-VLAN-Routing) jeweils auf das Dropdown-Feld, und wählen Sie Enabled (Aktiviert) aus. Speichern der Einstellungen
Nun sollten alle Benutzer auf das Captive Portal zugreifen können, sie können aber auch auf alle Ressourcen im Haupt- oder Gast-VLAN zugreifen. Konfigurieren Sie eine Zugriffskontrollregel auf dem RV320, um den Zugriff zu beschränken. Gehen Sie zu Firewall > Access Rules, um diese Einschränkung zu konfigurieren.
Klicken Sie unten auf der Seite auf Hinzufügen. Wir möchten für unser Szenario insgesamt zwei Zugriffsregeln hinzufügen. Konfigurieren Sie zunächst die Regel, die den Zugriff vom Gastsubnetz 192.168.25.x/24 auf das interne Subnetz 192.168.1.x/24 verweigert, wie rechts angezeigt.
Klicken Sie unten auf der Seite auf Speichern und anschließend auf Zurück. Fügen Sie nun eine weitere Regel hinzu. Legen Sie die Aktion diesmal als "Zulassen" und die Ziel-IP-Adresse als "Single" fest. Konfigurieren Sie die Regel so, dass der Zugriff vom Subnetz 192.168.25.x/24 auf das Subnetz 192.168.1.5 zugelassen wird, das derzeit als statische WAP321-IP konfiguriert ist. Diese Regel wird vor die soeben erstellte Deny-Regel gestellt, sodass der Datenverkehr von 192.168.1.5 Gastnetzwerk und an keiner anderen Stelle im Hauptnetzwerk.
Wenn Sie fertig sind, sollte die Seite mit den Zugriffsregeln wie folgt aussehen.
Um Captive Portal in dieser Konfiguration zu konfigurieren, befolgen Sie einfach die Schritte aus dem ersten Abschnitt für jedes Netzwerk, das Sie für die Konfiguration des Captive Portals benötigen.
Revisionsverlauf
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
1.0 |
11-Dec-2018 |
Erstveröffentlichung |
Feedback