Versions Compared

Old Version 9

changes.mady.by.user Anton Vinokurov

Saved on

compared with

New Version 10

changes.mady.by.user Anton Vinokurov

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

  • Сменить пароль взаимодействия между FreeRADIUS и контроллером по протоколам RADIUS Auth и Acct на "password" (либо другой пароль, прописанный в wnam-freeradius-bridge.pl и wnam.properties). Пароль меняется, соответственно, в файле /etc/freeradius/clients.conf и в разделе Security-AAA-RADIUS-Authentication и затем Accounting.
  • Изменить параметры MAC-авторизации на контроллере в разделе Security-MAC Filtering:
  • Добавить параметр "MAC Filtering" в L2 настройке профиля Wi-Fi сети:
  • Изменить параметр "Layer 3 Security" на "On MAC Filter failure" в L3 настройке профиля Wi-Fi сети:

  • Перевести запись о пользователе, которому разрешен такой доступ, в категорию VIP (не забыть нажать "сохранить"):
    Image Added
Указанные изменения приводят к следующему сценарию.
При подключении абонента к Wi-Fi сети контроллер Cisco WLC прежде, чем организовать его перенаправление на сервер WNAM и даже прежде, чем выдать IP-адрес, проводит предварительную проверку по МАС-адресу на сервере WNAM через RADIUS:
rad_recv: Access-Request packet from host 10.208.144.213 port 32769, id=63, length=168
 User-Name = "5c:57:ca:3c:0f:4c"
 Called-Station-Id = "00:21:55:4e:15:d0:tmp"
 Calling-Station-Id = "5c:57:ca:3c:0f:4c"
 NAS-Port = 1
 NAS-IP-Address = 10.208.144.213
 NAS-Identifier = "tmp-wlan"
 Airespace-Wlan-Id = 2
 User-Password = "password"
 Service-Type = Call-Check
 Framed-MTU = 1300
 NAS-Port-Type = Wireless-802.11
 Tunnel-Type:0 = VLAN
 Tunnel-Medium-Type:0 = IEEE-802
 Tunnel-Private-Group-Id:0 = "406"

На такой запрос WNAM отвечает OK или FAIL в зависимости от того, есть ли абонент с указанным адресом в базе данных (внимание: проверка того, не закончился ли срок действия авторизации, и нет ли каких-то других ограничений, не производится).выполнены ли условия допуска:

Если абонент присутствует, уже проходил идентификацию, срок её действия не закончился, статус абонента называется "VIP пользователь (без рекламы)", происходит автоматическое создание авторизованной сессии на контроллере, допуск абонента в сеть и аккаунтинг трафика (Acct Start). В таком случае WNAM сразу создает в своей базе запись о начавшейся сессии абонента и начинает учитывать трафик. Абонент не должен выполнять никаких дополнительных действий для входа в сеть.

Если В остальных случаях если при запросе типа "Call-Check" абонента в базе не найдено (не верный статус, идентификация истекла) и WNAM возвращает FAIL, то контроллер переводит сессию абонента в статус "WEBAUTH_REQD", то есть производится обычное перенаправление HTTP сессии абонента на страницу авторизации для входа в сеть, и работает обычная механика WNAM.

 

...