如何给特定的无线免认证？

自从之前出了“被蹭WiFi，被薅带宽？你的损失超乎你想象！”这篇文章之后，好多客户表示不明白：

WiFi该如何做认证？

怎么做可以让网络更安全？

能否查到连过我WiFi的用户终端？

操作很简单，只要做个「智慧WiFi认证」就可以查到连过WiFi的用户，只有认证过身份的用户才能上网，否则接入会被拒绝。

但是，又有客户表示：

每天上班都要认证，能不能设置一个不用认证的WiFi，专门给我们这些工作人员用，访客用的让他们做认证。

答案必须是：可以！

维盟之前的文章有提到：VLAN的其中一个作用就是安全隔离。

设想一下，访客网络和工作网络分别设置为2个VLAN，那这两个网络不就是相互独立且隔离的吗？在不同VLAN的基础上当然可以配置一个免认证的独立无线网络了。

这个方式是建立在VLAN的基础上实现的，所以路由器、交换机和无线AP都要带有VLAN功能，否则将无法完成。

下面我们来看下具体配置：

一、 在路由器上创建VLAN 20，用于分配给内部员工使用。

登录路由器之后，点击网络配置--局域网，在这个界面开启路由器的多LAN功能，切记开启多LAN之后，路由器需要重启之后多LAN才生效。

图1  开启路由器的多LAN功能

二、 在路由器上创建VLAN 20，并指定到连接交换机的LAN口上。

将网络配置--局域网的页面拉到最下面，有一个VLAN设置的功能，在VLAN ID里填上20，VLAN IP地址填上192.168.20.1，子网掩码为255.255.255.0，MAC地址随机生成，DHCP可指定可用于分配的IP地址是哪些 ，LAN口选择必须选择和交换机连接的LAN口，如交换机连接的是路由器的LAN 1口，那么这里的LAN口选择必须是LAN 1，填好参数之后点击提交设置。

图2  在路由器上配置VLAN 20

三、 将192.168.20.1-192.168.20.254地址段设置为免认证。

点击认证管理--基本设置--不需要认证的内部主机（基于IP），将192.168.20.1-192.168.20.254添加到免认证列表中，提交设置。

图3  将192.168.20.1-192.168.20.254地址段设置为免认证

四、 在交换机上创建VLAN 20。

浏览器输入10.10.10.1登录维盟交换机，登录之后点击VLAN管理--VLAN设置--新建VLAN，在这里新建一个VLAN 20，所以VLAN ID为20，为了方便记忆，我在这里指定了20端口的VLAN ID为VLAN 20。

图4  创建VLAN 20，并指定20端口为VLAN 20

五、 将1口和2口设置为trunk口，并允许通过VLAN 1和VLAN 20。

点击VLAN管理--trunk口设置--新建trunk口，选择1口和2口，指定允许通过的VLAN为1和20，点击保存设置。

图5  将1口和2口设置为trunk口，并允许通过VLAN 1和VLAN 20

六、 登录AP，点击无线配置--基本设置，将不需要认证的SSID设置为VLAN 20，最后点击提交设置。

图6  将不需要认证的SSID设置为VLAN 20

到这里，所有设置就完成啦！

路由器指定了VLAN的LAN口接到交换机1口，无线AP的LAN口接到交换机的2口，手机连接设置了免认证VLAN对应的SSID即可跳过认证，实现免认证上网。

看一下它们内部的转发过程

图7  特定SSID免认证实现原理

特别说明：

这种特定的无线免认证上网建立在VLAN安全隔离的作用上，依靠VLAN的安全隔离作用将同一台AP上的2个不同SSID隔离在2个不同的VLAN上，然后实现2种不同的管理方式，让无线网络在安全的基础上更加人性化。