概述


本文将说明如何创建,配置和管理来宾网络,以及可选的来宾 Portal 热点系统


目录


  1. 简介
  2. 怎样创建来宾网络
  3. 怎样配置来宾网络和来宾 Portal
  4. UniFi 热点系统
  5. 怎样限制来宾带宽
  6. 局域网范围内的来宾隔离
  7. 相关文章

简介


本文介绍了如何配置来宾网络、来宾 Portal和热点系统(如果需要)。需要注意的是这三者之间的区别。

来宾网络独立于来宾 Portal 和/或热点系统而存在,后者独立存在,作为内置工具用于来宾身份认证、授权与计费。来宾网络上的用户将面临与默认 UniFi 网络上受信任的 “企业 “用户不同的访问限制。管理员可以创建一个访客网络,但不能启用来宾 Portal 进行身份验证,也不能启用热点,热点是一个免费或付费使用网络的访客管理系统。另一方面,要使用来宾 Portal 或热点系统,必须启用并配置来宾网络。本文将介绍如何配置这三种系统。

来宾用户流量默认受到以下限制:

  • 在来宾网络控制设置选项卡下,对 RFC 1918 专用 LAN IP 范围进行授权前和授权后访问限制。
  • 客户端隔离:同一本地网络上的来宾客户端之间的单播消息被阻止。 默认情况下,这意味着访客流量仅通过上行或下行,例如使用互联网时。
用户提示:
  • 为了使来宾 Portal 功能能正常运行,UniFi 网络控制器必须始终保持运行。访客会被重定向到控制器以到达来宾 portal,如果控制器无法访问,重定向将不会成功。详情请参阅我们在 SELFRUN 上的相关文章。
  • 要阻止不同 AP 上无线客户端之间的广播和组播流量,请使用 SSID 设置下的“阻止 LAN 到 WLAN 的组播和广播数据”选项。 这可防止输入端(来自LAN)组播和 SSID(WLAN)广播数据。

  • 怎样创建来宾网络


    1. 打开 UniFi 控制器,来到 设置 > 无线网络
    2. 选择 创建新的无线网络,或者编辑已存在的网络。
    3. 命名。用户尝试连接时将在其设备的 WiFi 网络列表中看到的 WiFi(SSID)名称。
    4. 选择验证来宾网络的方法。 可以使用安全密钥,同时还可以使用来宾 Portal,也可以将其保持开放状态。
    5. 要将新网络设为来宾网络,请选择 “应用来宾策略…”
    6. 确保选中 启用此无线网络。如果以后你只想禁用此网络但不想删除,那你可以点击 保存

    此时,来宾网络可以正常工作,但是也可以配置更多设置。 下一部分将说明如何设置来宾控制并创建来宾 Portal ,这是网络的来宾用户在尝试访问网络时将看到的内容。


    怎样配置来宾网络和来宾-portal


    在 UniFi 网络控制器中,“来宾控制”部分是管理员配置自定义来宾 Portal 的地方,并定义了他们在授权前后可访问的子网。


    配置来宾限制

    1. 打开 UniFi 网络控制器 设置>来宾限制
    2. 在访问限制下,您可以按以下方式限制或授予对主机名或子网的访问权限:
      • 在授权前可访问中:启用授权前后来宾可以访问的特定主机名或子网(外网和内网)。
      • 在授权后限制访问中:启用授权后限制,以防止来宾访问特定的主机名或子网。

    8.png


    配置来宾 Portal

    3.为了允许来宾与来宾 Portal 进行交互,请选中启用来宾 Portal 的复选框。 这样做将打开其他选项,包括与来宾 Portal 关联的身份验证方法,有效期等。

    用户提示: 为了使来宾 Portal 重定向:使用安全入口页,您需要购买或生成 UniFi 网络控制器的 SSL 证书。

    9.png

    4.在“Portal 自定义”下,在 AngularJS 和 Legacy JSP 之间进行选择。 AngularJS 允许调整和预览 Portal 自定义选项。旧版 JSP 为来宾提供了基本的登录页面。

    用户提示: 尽可能少地或任意地配置 Portal。 对于背景图像,建议使用 jpg 格式。 建议使用约 920px 宽和 640px 高的图像。 对于徽标图像,建议使用 PNG 格式以及 400px 的宽度和高度。

    10.png

    5.如步骤 2 所述,来宾控制将定义设备在授权前后,来宾限制设置可以定义授权前后能够访问的子网。授权前可访问权限可以让设备在授权之前可以访问来宾 Portal——要做到这一点,只需定义包含来宾 Portal IP 地址的子网。类似地,如果您不希望在连接后允许客户机访问内部网络中的子网,则可以使用授权后限制来定义这些子网。

    当用户报告无法访问来宾 Portal 时,最常见的原因是没有正确配置访问限制。

    图片名4.png


    UniFi 热点系统


    作为一个单独的客户管理平台,UniFi 热点系统免费集成到 UniFi 网络控制器中。UniFi 网络管理员和热点运营商可以通过在 UniFi 网络控制器的“设置> 来宾控制>热点”区域右侧的“转到热点管理器”链接访问热点系统。用户将被重定向到控制器的另一个区域,专门进行热点管理。

    5.png

    独立于 UniFi 网络控制器管理系统(设备配置/采用部分),可以授予受信任的员工限制访问热点帐户,对来宾用户执行操作,包括:

    • 打印凭证
    • 管理来宾的授权
    • 审查付款
    • 检查来宾身份验证等

    要创建新的凭证,请在“热点管理”页面中转到“凭证”部分,然后单击“创建凭证”。 管理员可以使用“凭证”页面来定义,创建和撤消用于网络访问的凭证。

    6.png

    用户提示: 在浏览器中打开新的标签页或窗口,输入: https://:8443/manage/hotspot/account/login/。记住用控制器的 IP 地址替换:<IP-or-hostname-of-controller>

    怎样限制来宾带宽


    UniFi 网络控制器可以将带宽分配限制到不同的用户群组。这既可以确保限制来宾带宽,也不影响受信任用户/关键应用程序的日常网络使用。要限制带宽,请执行以下步骤:

    1. 转到 设置 > 用户群组
    2. 单击 创建新用户群组
    3. 定义所需的带宽限制。

    7.png

    接下来,要将这个组关联到来宾网络:

    1. 转到 设置 > 无线网络
    2. 单击相应的来宾网络,然后展开 高级选项
    3. 单击 “用户群组” 旁边的下拉框,然后选择访客用户群组。
    4. 单击 保存 以应用更改。
    用户提示: 为了使来宾 Portal,带宽限制和所有来宾策略更改生效,您将需要断开设备与无线网络的连接并重新连接。

    局域网范围内的来宾隔离


    在 WLAN(AP)端设置了来宾网络之后,除了确保局域网具有足够的隔离性,还允许操作可能需要的公共服务(打印机、服务器等)。 除了提供所需的客户端隔离外,局域网对客户端隔离的控制减少/消除了不必要的广播/组播数据,如果不勾选这些限制,将对安装大约 10 个或更多 WLAN AP 产生不利影响(请参阅这里了解详细信息)。 下图显示了网络范围(WLAN 和 LAN)客户端隔离的总体布局,同时仍然允许网络范围内的核心服务。

    Broadcast_Multitask_Diagram-01.png

    如上面示例中的 UniFi 控制器,设置方法如下:

    1. 首先,打开管理您的网络的 UniFi 控制器。
    2. 单击左侧的设备选项卡以查看您的设备。
    3. 单击要启用端口隔离的交换机,然后转到“端口”选项卡。
    4. 单独选择要启用端口隔离的端口,或单击选择所有端口。
    5. 单击底部的“编辑所选内容”。
    6. 转到高级。
    7. 展开高级选项。
    8. 在“隔离”下,选择“启用端口隔离”。
    9. 单击“应用”完成更改。

    有关与来宾网络的更高级配置,请参见以下相关文章


    相关文章