在您的思科无线网络上启用强制网络门户

在思科无线网络上启用强制网络门户

在移动性和协作性日益增强的业务环境中，越来越多的组织开始开放其网络环境，以便与业务合作伙伴、客户和其他访客进行受控的资源共享。企业正在寻找更好的方法：

·为来访客户提供安全的无线互联网接入
·允许业务合作伙伴有限地访问公司网络资源
·为使用个人移动设备的员工提供快速身份验证和连接

思科S系列无线接入点(AP)（如WAP321或WAP561）可轻松集成到现有有线网络中，以提供速度和安全性与典型有线连接相媲美的无线连接。

思科强制网络门户功能提供一种方便、安全、经济高效的方式，为客户端和其他访客提供无线接入，同时保持内部网络的安全。访客网络可以实现许多重要的业务目的，包括简化与合作伙伴的业务，并提高客户满意度和员工工作效率。

强制网络门户可提供以下基本功能：

·使用公司徽标的自定义访客登录页
·能够创建强制网络门户的多个实例
·多个身份验证选项
·能够分配不同的权限和角色
·能够分配带宽（上游和下游）

如何设置强制网络门户？

强制网络门户可以通过设备GUI进行设置，为快速基本的设置客户可以使用设置向导启用该功能，请参阅以下步骤：

使用安装向导

从设备GUI的主控制面板运行设置向导。

按照向导屏幕操作。

启用访客访问（强制网络门户）。

为您的访客网络命名，例如“My Company- Guest”。

选择安全类型。

如果用户接受欢迎页面中的服务条款后，您有要显示的特定网页，请键入URL，然后，此URL可以是您的公司网站。

选择“下一步”转到下一页。

现在，您的强制网络门户设置已完成，您的客户现在可以连接到您的访客网络并获得欢迎页面。

有关门户的高级设置和自定义，请从强制网络门户菜单登录设备GUI。

选择Instance Configuration，您会注意到向导已创建名为“wiz-cp-inst1”的实例名称，您可以选择此名称或为实例配置创建新名称，然后保存。  如果选择“wiz-cp-inst1”，屏幕将带您进入“实例配置”页面。

您会注意到，设置向导会自动将强制网络门户实例名称“wiz-cp-inst1”与您在设置向导期间创建的访客SSID相关联。

如果使用GUI创建实例，则现在需要关联到您创建的访客网络。
从下拉菜单中选择实例名称“Guest”，或由向导“wiz-cp-inst1”创建的实例。

从菜单中选择Web门户配置以配置访客欢迎页面，从下拉菜单中选择实例名称。

选择强制网络门户用于验证客户端的身份验证方法：

·访客 — 用户不需要通过数据库进行身份验证。
·本地 — WAP设备使用本地数据库向经过身份验证的用户。
· RADIUS - WAP设备使用远程RADIUS服务器上的数据库对用户进行身份验证。

如果选择验证方法“区域设置”，则需要创建本地用户。

从菜单中选择本地。

输入使用参数（用户名），选择用户配置文件的参数。

Web门户页面定制，现在您可以选择上传公司徽标和图形，最多可上传3个图形文件，一个用于公司徽标（默认，cisco-log），第三个用于登录屏幕（默认，日志键）。

**请注意此图稿文件的文件大小需要为5KB。

现在，您可以自定义您的Web门户页面，如添加接受使用策略、窗口标题和名称等……

使用验证方法为Guest的自定义页面，这意味着无需进行身份验证，用户只需接受服务条款并选择Connect按钮，输入用户名为可选。

使用“本地”验证方法的自定义页面意味着用户需要输入用户名和密码进行身份验证，然后用户需要接受服务条款并选择“连接”按钮。

多VLAN环境中的强制网络门户

在某些情况下，网络需要多个VLAN用于不同用途，为不同的用户组提供服务。一个常见的示例是访客用户使用单独的网络来防止未经授权的用户访问公司网络上的资源。有时，由于相同的原因，需要为不同用户提供多个无线网络。WAP321和WAP561可以使用强制网络门户满足这些需求，但确实需要在网络上进行一些额外配置。本节将介绍该配置。

简介 — 现有配置

本文档假设网络配置已就绪。  在本例中，有两个网络，主网络和访客网络。  为创建DHCP地址并为每个网络提供服务的配置已经配置。  WAP321已配置为为每个网络广播不同的SSID。  当前设置如下所示：

完成配置后，网络上将启用VLAN间路由，以便所有无线客户端都可以访问强制网络门户，从而实现网络连接。

配置

首先，在核心路由器上启用VLAN间路由（本例中为RV320）。要配置该路由，请转至Port Management > VLAN Membership以启用InterVLAN路由。检查页面左侧的VLAN 1和25，然后点击Edit。在“VLAN间路由”列中，单击每个的下拉框，然后选择“已启用”。保存设置。

现在，所有用户都应该能够访问强制网络门户，但也可以访问主VLAN或访客VLAN上的任何资源。  要限制访问，请在RV320上配置访问控制规则。  转到Firewall > Access Rules以配置此限制。

在页面底部，点击Add。  我们希望为我们的场景总共添加2个访问规则。  首先，配置规则，拒绝从192.168.25.x/24访客子网访问192.168.1.x/24内部子网，如右图所示。

点击页面底部的Save，然后点击Back。  现在添加另一条规则，此时将操作设置为“允许”，目标IP设置为“单一”。将规则配置为允许从192.168.25.x/24子网访问192.168.1.5（当前配置为WAP321静态IP）。  此规则将置于我们刚刚创建的拒绝规则之前，允许流量从访客网络到192.168.1.5，而主网络上没有其他位置。

完成后，访问规则页面应如下所示。

要在此设置中配置强制网络门户，只需按照第一部分中的步骤为配置强制网络门户所需的每个网络配置。