Dengan semakin banyaknya perangkat mobile dari berbagai macam vendor
dan jenis maka saat ini manajemen koneksi wireless cukup penting. Hal
ini digunakan untuk memastikan kelancaran dan best experience dalam
koneksi wireless di jaringan.
Dan pada artikel kali ini, kita akan mencoba melakukan konfigurasi pada perangkat
Access Point cnPilot dari Cambium Networks untuk manajemen koneksi Guest Access
di jaringan wireless. Konfigurasi ini nantinya bisa digunakan untuk memberikan
prioritas koneksi pada perangkat-perangkat tertentu.
Sebagai contoh kasus kita akan melakukan konfigurasi dan membagi koneksi antara
karyawan (employee) dan tamu (guest). Deskripsi dari contoh kasus ini adalah sebagai
berikut:
- Memberikan koneksi kepada karyawan dengan full access di jaringan wireless sebuah
perusahaan/kantor
- Memberikan akses tamu dengan servis tersendiri
- Tamu akan diterapkan metode authentikasi dengan menggunakan username & password
(captive portal) untuk akses ke internet
- Jaringan dari tamu harus dipisahkan (isolated) dari karyawan
- Untuk tamu hanya diperbolehkan akess ke jaringan internet dan dibatasi untuk
akses jaringan internal perusahaan/kantor
Topologi
Skenario Konfigurasi
1. Sesuai dengan topologi diatas, SSID1 akan di-mapping ke VLAN1 dengan nama
SSID-Karyawan. Dan interface ETH1 dari AP juga akan menggunakan VLAN1 sehingga
cilent yang terkoneksi ke SSID-Karyawan akan mendapatkan alokasi IP Address langsung
dari router gateway, yaitu dengan network 10.100.0.0/24.
Untuk metode authentikasi dari SSID-Karyawan ini menggunakan WPA2 Personal.
2. Selain itu kita juga bisa mengaktifkan DHCP-Client pada VLAN1 di AP untuk
IP Management dari perangkat AP cnPilot dan juga untuk koneksi ke internet AP
dan sebagai nexthop gateway dari koneksi tamu.
3. SSID2 akan di-mapping ke VLAN10 dengan nama SSID-Tamu. Untuk VLAN10 akan digunakan
network terpisah dan sebagai default gateway dari koneksi tamu, yaitu dengan network
192.168.10.0/24.
Dan jangan lupa mengaktifkan NAT pada VLAN10 ini.
4. Untuk alokasi IP Address kita setting DHCP Server pada VLAN10. Pada menu Network
VLAN10 --> Tab DHCP, klik 'Create Pool'.
Kemudian isi parameter yang lain pada pool yang sudah dibuat tersebut, seperti
Address Range, Default Router, DNS Address, Network, dan lainnya.
5. Sebagai metode authentikasi dari koneksi tamu, kita juga mengaktifkan service
captive portal dengan menggunakan local data base pada AP. Konfigurasi dapat dilakukan
pada menu WLAN --> SSID-Tamu --> Guest Access.
Selanjutnya tinggal checklist opsi 'Enabled'.
Portal Mode = Internal Access Point
Access Policy = Local Guest Account
Username = [username]
Password = [password]
Redirect = HTTP
Konfigurasi parameter yang lain bisa di cutom sesuai kebutuhan.
Ketika perangkat terkoneksi ke SSID-Tamu, maka akan ditampilkan halaman login
untuk proses authentikasi menggunakan username & password yang sudah disetting
sebelumnya.
6. Selanjutnya, konfigurasi IP ACL untuk 'blocking' trafik dari tamu ke jaringan
lokal perusahaan namun tetap bisa akses ke jaringan internet.
Konfigurasi dilakukan pada menu WLAN --> pilih 'SSID-Tamu' --> Tab 'Access'
Dan di setting dengan menambahkan 2 rule, yaitu:
acl deny ip 1 192.168.10.0/255.255.255.0 10.100.0.0/255.255.255.0 in
acl permit ip 2 any any any
Hasilnya, ketika perangkat terkoneksi ke SSID-Tamu dan setelah berhasil login,
maka untuk akses ke jaringan perusahaan (network 10.100.0.0/24) tidak bisa dilakukan.
Sedangkan jaringan
pulic/internet tetap bisa diakses.
referensi:
Guest Access Solution on cnPilot - Cambium Networks Community
artikel dibuat pada 4 Agustus 2020
oleh Sulih Tiyo Adi (Tech. Support Engineer)