Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Начиная с версии 1.4.1391 система WNAM поддерживает работу с контроллером по новому механизму авторизации. Этот способ разработан компанией Cisco для взаимодействия контроллера с программным обеспечением Cisco ISE, однако но система WNAM полностью эмулирует поведение ISE в данной задаче. Документация по настройке контроллера и ISE доступна на сайте производителя.

...

  • перехвата трафика новой веб-сессии контроллером и перенаправления пользователя на заданную на контроллере ссылку;
  • авторизации на внешней системе (WNAM);
  • перенаправления пользователя обратно на контроллер , (на его виртуальный интерфейс интерфейс);
  • авторизации пользователя контроллером на RADIUS-сервере и перенаправления пользователя в интернетсеть Интернет.

Этот механизм с точки зрения пользователя представляет собой цепочку редиректов, что отрицательно сказывается на его восприятии сервиса пользователем. Этот метод также требует точной настройки DNS, SSL-сертификата. Иногда даже корректно авторизованный абонент перенаправляется на URL контроллера http://1.1.1.1/ и сессия на этом "застревает".

Для того, чтобы исключить эти дополнительные редиректы, новый метод CWA основан на следующем:

  • при подключении устройства абонента к сети контроллером проводится RADIUS-запрос к серверу политики (WNAM) с целью получить ACL и URL перенаправления;
  • проводится перехват трафика новой веб-сессии и перенаправление пользователя на полученную ссылку (без редиректа на контроллер);
  • осуществляется авторизация на внешней системе (WNAM);
  • по завершении авторизации система WNAM сообщает контроллеру по протоколу RADIUS CoA о необходимости реавторизации повторной авторизации сессии пользователя;
  • производится повторная авторизация пользователя контроллером на RADIUS-сервере и применение полученной политики "пропуска";
  • система WNAM осуществляет перенаправление пользователя на заданную ссылку.

При этом, с точки зрения пользователя нет дополнительных редиректов , и ассоциированных с этим проблем.

Для настройки CWA необходимо вначале настроить SSID, точки доступа, маршрутизацию, DHCP и протестировать обычный доступ в интернет сеть Интернет без авторизации.

В приведенных ниже примерах используются следующие адреса:

  • 172.16.130.13 - RADIUS-сервер системы WNAM;
  • 172.16.130.5 порт 8080 -

...

  • интерфейс администратора и абонента системы WNAM, а также RADIUS CoA сервер;
  • 10.208.144.213 - контроллер Cisco vWLC с ПО версии 8.0.140.0;
  • 10.208.148.0/24 -

...

  • сеть для устройств беспроводных абонентов;
  • SSID - tmp.

В вашем данном случае сервер системы WNAM может использовать один адрес, т.е. оба компонента (веб-часть и RADIUS-сервер) размещены на одном сервере. Также IP-адреса, указанные в примере, должны быть заменены на собственные IP-адреса, соответствующие структуре используемой сети.

1. Настройка контроллера

В первую очередь необходимо настроить SSID в режиме "без авторизации" и проверить, что беспроводной абонент имеет доступ в сеть Интернет, то есть работают радио-часть, DHCP, NAT, маршрутизация. Для готового и проверенного SSID необходимо настроить авторизацию. Безопасность L2 должна быть выключена (параметр "Layer 2 Security" необходимо перевести в режим "None"), но включен режим "Mac Filtering" установкой чекбокса. Данные настройки необходимо выполнить в интерфейсе администратора контроллера Cisco.

Image Added

В режиме L3 также следует выключить параметр "Layer 3 Security" и не производить дополнительных настроек (никаких Web Auth).

Image Added

В настройках серверов "ААА Servers" контроллера необходимо указать адреса серверов авторизации и аккаунтинга (сервер системы WNAM), а также необходимо указать Interim Update (интервал времени между обновлениями счётчиков).

Image Added

Во вкладке "Advanced" контроллера необходимо обязательно указаьб три параметра:

  • Allow AAA Override;
  • DHCP address assignment - Required;
  • NAC State: RADIUS NAC (или ISE NAC).

Обязательно следует выключить чекбокс "Client Exclusion".

Image Added

Затем необходимо создать ACL (список доступа), разрешающий доступ к серверу системы WNAM до авторизации. Необходимо запомнить имя ACL (в примере используется имя "wnam_cwa"). 

Warning
Имя ACL в дальнейшем используется при настройке сервера доступа системы WNAM. Типичная ошибка: использование на сервере доступа системы WNAM имен "wnam-cwa" или "cwa_wnam".

Image Added

В списке правил в ACL необходимо разрешить трафик до сервера авторизации и обратно, а также DNS-трафик. Это позволит получать абонентскому устройству доступ до портала авторизации и до DNS-серверов в то время, пока основной доступ в сеть Интернет ещё запрещён. Можно сделать более тонкие (узкие) настройки ограничений.

Warning

Настраивать ACL в разделе "Access Control Lists" можно только в том случае, если используется конфигурация с централизованным пропуском трафика (т.е. через контроллер).

Если трафик коммутируется локально точками доступа, которые находятся в режиме FlexConnect, необходимо создать лист wnam_cwa в разделе "FlexConnect ACLs". Затем необходимо загрузить этот ACL на точку доступа в окне контроллера  Wireless → FlexConnect Groups → ACL Mapping → Policies.

Image Added

Не требуется прикреплять этот ACL к какому-нибудь VLAN, WLAN и т.п. в соседних вкладках.

Далее следует создать и настроить сервер авторизации. В данном примере это два сервера: .13 (для авторизации) и .5 (для CoA пакетов).

Image Added

Обратите внимание на значение опции "Auth Called Station ID Type" (AP MAC Address::SSID). 

Image Added

В настройках сервера авторизации необходимо прописать секретный ключ. Его надо также поместить в /etc/freeradius/clients.conf или в настройки сервера доступа системы (для WNAM версии 1.6). Также необходимо включить опцию "Support for RFC 3576" (она может называться "Support for CoA").

Image Added

Далее необходимо создать запись об аккаунтинг-сервере в разделе "RADIUS Accounting Servers" контроллера.

Image Added

Также необходимо указать ключ для сервера аккаунтинга(скорее всего, это тот же сервер авторизации).

Image Added

На этом этапе настройка контроллера завершена. Далее следует приступить к настройке системы WNAM.

2. Настройка системы WNAM

Необходимо создать запись о сервере доступа типа Cisco WLC (создать новый сервер в разделе "Конфигурация" → "Сервера доступа"). В параметрах создаваемого сервера доступа необходимо указать адрес, имя, местоположение, логин и пароль не используются.

Image Added

Во вкладке RADIUS настроек сервера в поле "Атрибуты предварительной авторизации" необходимо указать:

  • cisco-avpair=url-redirect=http://имя_вашего_сервера_wnam/cp/cisco?%URL%
  • cisco-avpair=url-redirect-acl=wnam_cwa
Warning
Данные строки необходимо указать в представленном виде, без лишних пробелов, например, cisco-avpair = url-redirect-acl=wnam_cwa.

При этом, имя ACL должно соответствовать тому имени, которое создано на контроллере. Параметр %URL% будет заменен системой WNAM при формировании ответа контроллеру. При копировании атрибутов следует убедиться, что они не начинаются с пробелов. Если используемый сервер системы WNAM принимает обращения по HTTPS или нестандартному порту (не 80), необходимо исправтьб URL соответствующим образом.

Также необходимо указать секретный RADIUS ключ (который ранее указали на контроллере) для работы CoA.

Image Added

Затем необходимо настроить запись о площадке оказания услуги (параметры площадки в разделе "Конфигурация" → "Площадки"). Обязательно выбрать сервер доступа (контроллер) из списка. Это требуется для того, чтобы система WNAM могла определить, на какой контроллер отправлять команду RADIUS CoA для подключения абонента к сети Интернет (контроллеров может быть больше одного).

В качестве "дополнительного ID" необходимо обязательно указать индекс (порядковый номер) профиля WLAN/SSID на контроллере, который соответствует вашей гостевой сети. Этот номер соответствует RADIUS-атрибуту Airespace-Wlan-Id, который передает контроллер. 

Image Added

На этом и настройка системы WNAM завершена.

3. Тестирование механизма авторизации

После проведенных настроек контроллера и системы WNAM рекомендуется попытаться совершить провести авторизацию в Wi-Fi сети. После завершения авторизации и появления доступа в сеть Интернет в интерфейсе системы WNAM появится запись о новой сессии вида.

Image Added