Versions Compared

Old Version 1

changes.mady.by.user Anton Vinokurov

Saved on

compared with

New Version 2

changes.mady.by.user Anton Vinokurov

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Приведем пример настройки политик для следующего корпоративного сценария:

  • Беспроводная ЛВС на одном контроллере Cisco
  • Корпоративная сеть Corporate Wi-Fi, авторизация WPA2-Enterprise с проверкой по логину-паролю из Active Directory, допуск только членам группы Wi-Fi Users в VLAN 100
  • Гостевая сеть Free Wi-Fi, открытая, авторизация по СМС с допуском в Интернет

Первым делом необходимо настроить взаимодействие с Active Directory так, как описано здесь.

Затем настройте сервер доступа типа "Cisco WLC":

Image Added

Обязательным является указание URL редиректа на портал авторизации, и ACL для гостевого доступа. Эти настройки не будут применяться для корпоративного подключения.

Image Added

Затем настройте две записи о площадках. Принципиальным моментом является указание различных имен SSID на каждой. Также можно указать профиль WLAN сети в параметре "Дополнительный ID на сервере".

Image Added

Image Added

Также для работы СМС (портальной) авторизации настройте СМС провайдера, внешний вид соответствующей страницы в конструкторе, и т.п.

Теперь необходимо настроить профили аутентификации и авторизации для RADIUS-взаимодействия "WNAM-контроллер". Важно иметь в виду следующее:

Портальная авторизация использует протокол PAP. Контроллер Cisco ожидает получить Access-Accept для случаев:

  • неизвестный/просроченный абонент: параметры в ответе для редиректа на портал, и применения ACL
  • авторизованный абонент: тайм-аут сессии

Внимание! Если вы используете контроллер любого другого вендора, то для неизвестного/просроченного абонента надо отправлять Access-Reject, а параметры ACL и URL портала устанавливаются в таком контроллере непосредственно в его настройках, а не приходят с RADIUS-сервера, как у Cisco.

Корпоративная авторизация использует протокол EAP/PEAP(MSCHAPv2) из набора сообщений Request-Challenge-Response, в конце чего следует Access-Accept с различными атрибутами сессии, в том числе MS-MPPE ключами шифрования данных в радио-канале

Таким образом, вам необходимо настроить три политики аутентификации и три политики авторизации:

  1. Правило аутентификации №1
    Номер 10
    Имя "WLC Portal"
    SSID "Free Wi-Fi"
    Метод PAP
    Отмечено MAC адрес Не известенПросрочен/не валиден
    Результат Allow

  2. Правило аутентификации №2
    Номер 20
    Имя "WLC Pass"
    SSID "Free Wi-Fi"
    Метод PAP
    Отмечено MAC адрес Известен и валиден
    Результат Allow

  3. Правило аутентификации №3
    Номер 30
    Имя "AD сотрудники"
    SSID "Corporate Wi-Fi"
    Метод EAP-PEAP
    Совпадение чекбокс Группа AD и выбрана группа "Wi-Fi Users"
    Результат Allow

  4. Правило авторизации №1
    Номер 10
    Имя "WLC Portal Rule"
    Результат аутентификации  Allow и совпадение правила "WLC Portal"
     Accept

  5. Правило авторизации №2
    Номер 20
    Имя "WLC Pass Rule"
    Результат аутентификации  Allow и совпадение правила "WLC Pass"
    ДобавитьТэг или категорию в запись пользователя,  Метку "портальный"
     Accept

  6. Правило авторизации №3
    Номер 30
    Имя "AD сотрудники Rule"
    Результат аутентификации  Allow и совпадение правила "AD сотрудники"
    VLAN ID номер 100
    Учётную запись пользователя с MAC адресом
    ДобавитьТэг или категорию в запись пользователя,  Имя правила авторизации
     Accept