實現要求:
實現局域網有線無線需在網頁輸入用戶名和密碼登錄,不同用戶登錄有不同的訪問內外網權限。
環境要求:
一台PC機安裝三張網卡,第一張網卡連接外網,第二張網卡配置局域網,第三張網卡做配置連接使用 (標注:只要兩張網卡也是可以滿足要求)
配置說明:
1、外網: (電信IP運營商固定IP地址)
IP地址:218.17.198.29/26
網關:218.17.198.7
2、內網:
IP地址:172.18.0.7/16
3、配置網卡
IP地址:10.8.9.110/24
以下配置如果不會配置請參考本人博客
《ROUTEROS軟路由配置固定IP上網+DHCP》
http://www.cnblogs.com/zoulongbin/p/5845699.html
圖形介面操作
1、 配置HotSpot虛擬地址池IP
禁止上外網 (能訪問內網,但訪問不了外網) 172.18.150.0/24
內部人員 (能訪問內網也能訪問外網) 172.18.100.0/24
外來人員 (能訪問外網,但不能訪問內網) 172.18.200.0/24
2、 配置HotSpot虛擬地址池網關
禁止上外網 (能訪問內網,但訪問不了外網) 172.18.150.254
內部人員 (能訪問內網也能訪問外網) 172.18.100.254
外來人員 (能訪問外網,但不能訪問內網) 172.18.200.254
3、進入 ip hotspot user profile 設置用戶分組規則
4、 進入 ip hotspot user 添加登錄用戶賬號
User1 添加到禁用上網規則
User2 添加到內部人員上網規則
User3 添加到外部人員上網規則
5、 進入 ip hotspot server profile 配置服務器規則
6、選擇采用傳輸加密方式,一般默認啟用HTTP CHAP即可
7、進入 ip hotspot server 添加並啟用hotspot服務
8、設置防火牆規則
禁止上外網 (能訪問內網,但訪問不了外網) 172.18.150.0/24
內部人員 (能訪問內網也能訪問外網) 172.18.100.0/24
外來人員 (能訪問外網,但不能訪問內網) 172.18.200.0/24
A、 禁止上外網設定兩條規則和兩條jump指令跳轉
禁止上外網pool--禁止上外網 ----- drop (攔截)
禁止上外網pool—可以訪問內網 ----- accept (放行)
<1>設置jump指令跳轉到 禁止上外網pool--禁止上外網規則
<2>設置jump指令跳轉到 禁止上外網pool—可以訪問內網規則
跳轉jump指令在防火牆規則是先執行前面后執行后面的順序,需要把<2>的放<1>指令前面
B、 外來人員只需要設定一條規則
外來人員pool--禁止訪問內網 ---- drop (攔截)
設置jump指令跳轉到 外來人員pool--禁止訪問內網規則
A1、添加禁止上外網pool--禁止上外網規則 設置 drop (攔截)
A2、禁止上外網pool—可以訪問內網 設置 accept (放行)
A3、設置jump指令跳轉到 禁止上外網pool--禁止上外網規則
A4、設置jump指令跳轉到 禁止上外網pool—可以訪問內網規則
B1、外來人員pool--禁止訪問內網 設置成 drop (攔截)
B2、設置jump指令跳轉到 外來人員pool--禁止訪問內網規則
當你完成后,所有對路由器或者外網訪問都需要通過web認證,當用戶隨便輸入一個網站都會跳轉到認證頁面如下圖所示:
輸入賬號和密碼后會跳轉到以下頁面
這時我們可以在ip hotspot active 中看到用戶登錄的在線情況
