گروه تکفانت

  آموزش فعال کردن Captive Portal در اکسس پوینت های سیسکو

  امروزه با گسترش محیط های تجاری و نیاز به یکپارچه بودن زیرساخت های شبکه، بسیاری از سازمان ها و مجموعه ها اقدام به راه اندازی شبکه های داده قابل سفارشی سازی در نوع دسترسی کاربران می نمایند. ابزار Captive Portal سیسکو می تواند خیالتان را بابت امن بودن دسترسی کاربران بی سیم شبکه راحت کند. Captive Portal سیسکو مفهومی شبیه به هات اسپات(HotSpot) در تجهیزات میکروتیک دارد.
 
 

 

امروزه با گسترش محیط های تجاری و نیاز به یکپارچه بودن زیرساخت های شبکه، بسیاری از سازمان ها و مجموعه ها اقدام به راه اندازی شبکه های داده قابل سفارشی سازی در نوع  دسترسی کاربران می نمایند. دسترسی هایی که می تواند برای هر کدام از شرکای تجاری، مشتریان و یا مراجعین و حاضرین موقت در یک مکان با کنترل ویژه ای  به همراه داشته باشد. غالبا سازمان ها ، ادارات و مجموعه های تجاری در بحث شبکه های(بی سیم) باز به دنبال اهداف زیر هستند:

  • فراهم کردن دسترسی امن مراجعین به اینترنت
  • امکان محدود نمودن دسترسی شرکای تجاری به منابع و هسته های اصلی شبکه
  • فراهم نمودن امکان احراز هویت و اتصال برای موبایل ها و دستگاه های همراه پرسنل

اکسس پوینت هایی نظیر اکسس پوینت های خانواده WAP سیسکو(WAP321,WAP371, WAP361, …)، به راحتی می توانند در کنار زیرساخت شبکه های کابلی موجود استفاده و با آنها تجمیع شده و در نهایت اتصالات بی سیم سریع و امنی را در اختیار شما قرار دهند.

ویژگی یا بهتر بگوییم ابزار Captive Portal سیسکو می تواند خیالتان را بابت امن بودن دسترسی کاربران بی سیم شبکه راحت کند. با این ابزار راه اندازی چنین دسترسی هایی برای مدیر شبکه هزینه (مالی و زمانی) کمتری داشته و از سوی دیگر خدمات با کیفیت و مناسبتری به کاربران ارائه خواهد شد. چنین شبکه ای را می توان یک شبکه میهمان پذیر نامید. وجود یک شبکه میهمان پذیر می تواند در راستای تحقق مفاهیم تجاری مهمی از جمله همچون تدوام و پیوستگی در ارتباط با شرکای تجاری،  ایجاد رضایتمندی بیشتر مشتریان و یا بهره وری بیشتر پرسنل یک مجموعه نقش مهمی ایفا نماید.

Captive Portal سیسکو مفهومی شبیه به هات اسپات(HotSpot) در تجهیزات میکروتیک دارد و مهمترین امکاناتی که در اختیار شما قرار می دهد عبارتند از:

  • امکان سفارشی سازی صفحه ورود کاربران به شبکه و درج لوگوی مجموعه در این صفحه
  • توانایی ایجاد چند نمونه نوع دسترسی (Multiple Instances)
  • گزینه های احراز هویت چندگانه
  • قابلیت انتساب اختیارات و نقش های مختلف به کاربران
  • قابلیت تعیین میزان مجاز بارگیری یا بارگذاری برای تک تک کاربران

 

چطور یک Captive Portal راه اندازی کنیم؟

Captive Portal را می توان از طریق واسط کاربری تحت وب یک اکسس پوینت سیسکو راه اندازی کرد.  در این آموزش ما از دستگاه WAP561 استفاده خواهیم کرد. شما می توانید برای انجام سریع و راحت تر از ویزارد ویژه اینکار که در واسط کاربری دستگاه گنجانده شده است، استفاده کنید:

 

نحوه استفاده از ویزارد برای ایجاد و پیکربندی Captive Portal:

وقتی وارد واسط کاربری یک اکسس پوینت WAP سیسکو می شوید با تصویری شبیه تصویر زیر روبرو خواهید شد. برای دسترسی به ویزارد ایجاد Captive Portal از منوی سمت چپ گزینه Getting Started  و سپس در صفحه ظاهر شده اولین گزینه یعنی Run Setup Wizard را انتخاب کنید :

 

در صفحه اول ویزارد دکمه Next را بزنید و ادامه دهید:

در صفحه زیر با انتخاب گزینه Yes امکان میهمان پذیری یا Guest را انتخاب کنید. با این کار قابلیت Captive Portal  اکسس پوینت شما فعال خواهد شد:

 

 

در صفحه بعدی برای این شبکه میهمان پذیریک نام انتخاب کنید. به عنوان مثال (My Company-Guest):

 

 

در صفحه زیر پارامتر امنیتی مورد نظر خود را انتخاب کنید:

 

 

 

اگر شما صفحه یا وب سایت خاصی دارید  و مایلید کاربران پس از اتصال به شبکه،  آن صفحه را ببینند کافی است در مرحله بعدی ویزارد، تیک گزینه Enable Redirect URL را زده و سپس نشانی URL آن صفحه را در مقابل گزینه Redirect URL وارد نمایید:

 

در صفحه زیر دکمه Next را بزنید و ویزارد را ادامه دهید:

 

در این مرحله  به صفحه پایانی ویزارد خواهید رسید. دکمه Finish را بزنید:

 

اکنون کار ساخت Captive Portal به پایان رسیده است و کاربران می توانند به شبکه Guest متصل شوند. این کاربران به محض اتصال به صفحه خوشامدگویی که شما تعیین نموده اید هدایت خواهند شد.

برای تنظیمات پیشرفته و تعیین جزئیات و سفارشی سازی بیشتر می توانید پس از ساخت پورتال دوباره به واسط کاربری دستگاه مراجعه کرده و از منوی سمت چپ گزینه Captive Portal را انتخاب کنید.

در ابتدا اگر زیرمنوی Instance Configuration را انتخاب نمایید خواهید دید که ویزارد به صورت خودکار یک Instance یا نمونه نوع دسترسی با نام “wiz-cp-inst1”  ایجاد کرده است. شما می توانید این نام را تغییر داده و یا بدون تغییر دکمه Save را بزنید:

 

 

توجه داشته باشید که ویزارد به صورت خودکار نمونه “wiz-cp-inst1”   را به SSID  شبکه Guest که در حین ویزارد ایجاد نموده اید، انتساب داده است.

اگر شما از طریق وسط کاربری دستگاه، یک نمونه ایجاد کرده باشید،لازم است از این قسمت نمونه مورد نظر را به شبکه Guest منتسب کنید. برای اینکار در زیرمنوی “Instance Association” نمونه ایجاد شده یا “wiz-cp-inst1”   را انتخاب کنید:

 

از زیر منوی “Web Portal customization” شما می توانید صفحه خوشامدگویی کاربران متصل را تنظیم کنید. در این قسمت نمونه مورد نظر را نیز از منوی کشویی موجود تعیین کنید.

همچنین در قسمت حاضر می توان نوع احراز هویت کاربران را مشخص نمود. به طور کلی سه نوع احراز هویت قابل انتخاب است:

  • Guest: در این نوع کاربر برای اتصال اصلا احراز هویت نمی شود
  • Local:  در این حالت دستگاه برای احراز هویت به دیتابیس داخلی خود مراجعه می کند
  • RADIUS: در این روش دستگاه برای احراز هویت به یک دیتابیس خارجی یک سروو RADIUS مراجعه خواهد کرد

 

 

اگر در مرحله قبل نوع احراز هویت  را “Local” را انتخاب نموده اید حتما باید از طریق زیرمنوی “Local Users” حساب های کاربری مورد نظر خود را ایجاد نمایید.

 

حال می توانید از زیر منوی “Web Portal customization”  فایل های گرافیکی صفحه ورود به پورتال را تعیین نمایید. در این قسمت امکان تعیین سه تصویر برای شما فراهم است:

  • تصویر پس زمینه صفحه ورود(پیش فرض cisco-bkg.jpg)
  • تصویر لوگوی شرکت شما(پیش فرض cisco-log.jpg)
  • تصویر بخش ورود (پیش فرض log-key.jpg)

** توجه داشته باشید که سایز این فایل ها نباید بیش از 5 کیلوبایت باشد

 

شما می توانید جزئیات صفحه پورتال خود را نیز تغییر دهید. جزئیاتی نظیر نحوه نمایش گزینه "پذیرش قوانین سایت" یا Acceptance Use Policy” ، عنوان صفحه پورتال، نام و ....

در احراز هویت Guest کاربران هیچ گونه احراز هویتی نمی شوند و تنها باید در هنگام ورود موافقت خود را با قوانین پورتال تایید کرده و سپس دکمه اتصال را بزنند. در این حالت کاربران می توانند یک نام کاربری هم برای خود تعیین کنند اما اینکار اجباری نیست: 

 

وقتی نوع احراز هویت “Local” انتخاب شده باشد کاربران در هنگام ورود نیاز به یک نام کاربری و رمز عبور خواهند داشت. همچنین تیک موافقت خود با قوانین پورتال را تایید نمایند.

 

راه اندازی Captive Portal برای محیط های دارای چند VLAN

گاهی اوقات لازم است در یک شبکه چند VLAN مختلف جهت کاربردهای مختلف و سرویس دهی به گروه های متنوع کاربری داشته باشید . یک نمونه متداول این موضوع تعریف یک VLAN مجزا برای کاربران میهمان جهت جلوگیری از دسترسی آنها به زیرساخت های اصلی شبکه سازمان هاست. گاهی اوقات نیز لازم است چندین شبکه بی سیم داشته باشید که هرکدام به گروه های متفاوتی از کاربران سرویس دهند. در اکسس پوینت های WAP سیسکو این امکان از طریق Captive Portal فراهم شده است اما برای انجام اینکار به تنظیمات اضافه تری در زیرساخت شبکه خودتان هم نیاز خواهید داشت. در ادامه به این موضوع می پردازیم:

سناریو: تنظیمات موجود

فرض کنید شبکه ای با ساختار شماتیک زیر دارید. در این مثال دو شبکه بی سیم نیاز داریم: یک شبکه میهمان پذیر و یک شبکه اصلی. همچنین فرض می کنیم تنظیمات لازم برای این زیرشبکه ها و ایجاد سرویس DHCP برای آنها از قبل انجام شده است. یک اکسس پوینت WAP371 یا WAP321 برای این منظور و انتشار یک SSID متفاوت به ازاء هر کدام از این شبکه ها تنظیم شده است.

وقتی تنظیمات تکمیل شد، InterVLAN Routing را در شبکه فعال خواهیم نمود به گونه ای که همه کاربران بی سیم می توانند به Captive Portal دسترسی داشته باشند.

تنظیمات

در ابتدا InterVLAN Routing را روی روتر شبکه خود فعال کنید. به عنوان مثال VLAN 1 را برای شبکه اصلی در نظر بگیرید و VALN 25 را برای کاربران میهمان تعریف کنید. روتر مثال ما RV320 است. وارد تنظیمات این روتر شده و از قسمت Port Management  گزینه VLAN Membership را برای فعال کردن InterVLAN Routing استفاده کنید.

در این مرحله همه کاربران می توانند به Captive Portal دسترسی داشته باشند اما مسئله این است که در این حالت هم کاربران  VLAN اصلی  و Guest VLAN به همه منابع شبکه نیز دسترسی دارند. برای محدود کردن این دسترسی ها از فایروال RV320 قسمت Access Rules”  استفاده کنید:

درپایین صفحه دکمه “Add” را بزنید. در سناریوی ما لازم است دو قانون یا “rule” مجزا تعریف کنیم. اول از همه یک قانون برای عدم دسترسی کاربران زیرشبکه میهمان (192.168.25.x/24) به زیرشبکه 192.168.1.x/24 تعریف می کنیم:

دکمه “Save” در پایین صفحه را بزنید و سپس با دکمه “Back” برای ساخت قانون دوم باز گردید.  در این مرحله یک قانون با “Action=Allow”  تعریف می کنیم که به کاربران زیرشبکه 192.168.25.x/24 (کاربران شبکه میهمان) اجازه دهد به آدرس 192.168.1.5 یا همان آدرس اکسس پوینت ما دسترسی داشته باشند. این قانون که باید در بالای قانون قبلی قرار گیرد اجازه انتقال ترافیک از طرف کاربران شبکه میهمان به اکسس پوینت ( و نه هیچ جای دیگری از شبکه اصلی) را می دهد.

پس از پایان کار محتوای صفحه “Access Rules” باید چیزی شبیه به تصویر زیر باشد.

پس از طی مراحل فوق شما می توانید یک Captive Portal مجزا به ازاء هر کدام از این زیرشبکه ها بسازید. برای ساخت این پورتال ها مراحل ذکر شده در ابتدای همین مقاله را طی کنید.

 

کاربرگرامی لطفا از طریق فرم نظر سنجی ذیل همین صفحه ما را از نظرات خود مطلع فرمائید. اطلاع از بازخورد مطالب ما را در جهت بهبود و تداوم اطلاع رسانی به شما عزیزان یاری خواهد کرد.

 

محصولات مرتبط

اکسس پوینت WAP371-E-K9 سیسکو


امتیاز بدهید
1 نفر به اين مقاله راي داده اند
نظرات کاربران
ارسال نظر