Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Начиная с версии 1.4.1391 система WNAM поддерживает работу с контроллером по новому механизму авторизации. Этот способ разработан компанией Cisco для взаимодействия контроллера с программным обеспечением Cisco ISE, однако но система WNAM полностью эмулирует поведение ISE в данной задаче. Документация по настройке контроллера и ISE доступна на сайте производителя.

...

  • перехвата трафика новой веб-сессии контроллером и перенаправления пользователя на заданную на контроллере ссылку;
  • авторизации на внешней системе (WNAM);
  • перенаправления пользователя обратно на контроллер , (на его виртуальный интерфейс интерфейс);
  • авторизации пользователя контроллером на RADIUS-сервере и перенаправления пользователя в интернетсеть Интернет.

Этот механизм с точки зрения пользователя представляет собой цепочку редиректов, что отрицательно сказывается на его восприятии сервиса пользователем. Этот метод также требует точной настройки DNS, SSL-сертификата. Иногда даже корректно авторизованный абонент перенаправляется на URL контроллера http://1.1.1.1/ и сессия на этом "застревает".

Для того, чтобы исключить эти дополнительные редиректы, новый метод CWA основан на следующем:

  • при подключении устройства абонента к сети контроллером проводится RADIUS-запрос к серверу политики (WNAM) с целью получить ACL и URL перенаправления;
  • проводится перехват трафика новой веб-сессии и перенаправление пользователя на полученную ссылку (без редиректа на контроллер);
  • осуществляется авторизация на внешней системе (WNAM);
  • по завершении авторизации система WNAM сообщает контроллеру по протоколу RADIUS CoA о необходимости реавторизации повторной авторизации сессии пользователя;
  • производится повторная авторизация пользователя контроллером на RADIUS-сервере и применение полученной политики "пропуска";
  • система WNAM осуществляет перенаправление пользователя на заданную ссылку.

При этом, с точки зрения пользователя нет дополнительных редиректов , и ассоциированных с этим проблем.

Для настройки CWA необходимо вначале настроить SSID, точки доступа, маршрутизацию, DHCP и протестировать обычный доступ в интернет сеть Интернет без авторизации.

В приведенных ниже примерах используются следующие адреса:

  • 172.16.130.13 - RADIUS-сервер системы WNAM;
  • 172.16.130.5 порт 8080 - административный и абонентский интерфейс WNAM интерфейс администратора и абонента системы WNAM, а также RADIUS CoA сервер;
  • 10.208.144.213 - контроллер Cisco vWLC с ПО версии 8.0.140.0;
  • 10.208.148.0/24 - сеть для устройств беспроводных абонентов;
  • SSID - tmp.

В вашем данном случае сервер системы WNAM может использовать один адрес, т.е. оба компонента (веб-часть и RADIUS-сервер) размещены на одном сервере. Также IP-адреса, указанные в примере, должны быть заменены на собственные IP-адреса, соответствующие структуре используемой сети.

1. Настройка контроллера

В первую очередь необходимо настроить SSID в режиме "без авторизации" и проверить, что беспроводной абонент имеет доступ в сеть Интернет, то есть работают радио-часть, DHCP, NAT, маршрутизация. Для готового и проверенного SSID настройте необходимо настроить авторизацию. Безопасность L2 - выключенадолжна быть выключена (параметр "Layer 2 Security" необходимо перевести в режим "None"), но включен режим mac filtering"Mac Filtering" установкой чекбокса. Данные настройки необходимо выполнить в интерфейсе администратора контроллера Cisco.

Image RemovedImage Added

В режиме L3 также ничего не настроено следует выключить параметр "Layer 3 Security" и не производить дополнительных настроек (никаких Web Auth).

Image RemovedImage Added

В настройках серверов "ААА укажите Servers" контроллера необходимо указать адреса серверов авторизации и аккаунтинга (сервер системы WNAM), а также необходимо указать Interim Update (интервал времени между апдейтами обновлениями счётчиков).

Image RemovedImage Added

Во вкладке "Advanced обязательно должны быть указаты " контроллера необходимо обязательно указаьб три параметра:

  • Allow AAA Override;
  • DHCP address assignment - Required;
  • NAC State: RADIUA RADIUS NAC (или ISE NAC)

Image Removed

  • .

Обязательно следует выключить чекбокс "Client Exclusion".

Image Added

Затем необходимо создать Создайте ACL (список доступа), разрешающий доступ к серверу системы WNAM до авторизации. Запомните Необходимо запомнить имя ALC ACL (в примере - используется имя "wnam_cwa"). 

Warning
Имя ACL в дальнейшем используется при настройке сервера доступа системы WNAM. Типичная ошибка: использование на сервере доступа системы WNAM имен "wnam-cwa" или "cwa_wnam".

Image AddedImage Removed

В списке правил в ACL разрешите трафки необходимо разрешить трафик до сервера авторизации и обратно, а также DNS-трафик. Это позволит получать абонентскому устройству доступ до портала авторизации и до DNS-серверов в то время, пока основной доступ в сеть Интернет ещё запрещён. Можно сделать более тонкие (узкие) настройки ограничений.

Warning

Настраивать ACL в разделе "Access Control Lists" можно только в том случае, если используется конфигурация с централизованным пропуском трафика (т.е. через контроллер).

Если трафик коммутируется локально точками доступа, которые находятся в режиме FlexConnect, необходимо создать лист wnam_cwa в разделе "FlexConnect ACLs".

Image Removed

Затем необходимо загрузить этот ACL на точку доступа в окне контроллера  Wireless → FlexConnect Groups → ACL Mapping → Policies.

Image Added

Не требуется прикреплять этот ACL к какому-нибудь VLAN, WLAN и т.п. в соседних вкладках.

Далее следует создать и настроить Настройте сервер авторизации. В нашем данном примере это два сервера: .13 (для собственно авторизации, ) и .5 (для CoA пакетов).

Image Added

Обратите внимание на значение опции "Auth Called Station ID Type" (AP MAC Address::SSID). 

Image AddedImage Removed

В настройках сервера авторизации пропишите необходимо прописать секретный ключ. Его надо также поместить в /etc/freeradius/clients.conf

Image Removed

или в настройки сервера доступа системы (для WNAM версии 1.6). Также необходимо включить опцию "Support for RFC 3576" (она может называться "Support for CoA").

Image Added

Далее необходимо создать Создайте запись об аккаунтинг-сервере в разделе "RADIUS Accounting Servers" контроллера.

Image AddedImage Removed

Также укажите необходимо указать ключ для сервера аккаунтинга. Скорее (скорее всего, это тот же сервер авторизации).

Image RemovedImage Added

На этом этапе настройка контроллера закончена. Необходимо настроить завершена. Далее следует приступить к настройке системы WNAM.

2. Настройка системы WNAM

Создайте Необходимо создать запись о сервере доступа типа Cisco WLC (создать новый сервер доступа - контроллер). Укажите в разделе "Конфигурация" → "Сервера доступа"). В параметрах создаваемого сервера доступа необходимо указать адрес, имя, местоположение. Логин , логин и пароль не используются.

Image RemovedImage Added

Во вкладке RADIUS укажите:В параметрах "атрибуты настроек сервера в поле "Атрибуты предварительной авторизации" необходимо указать:

  • cisco-avpair=url-redirect=http://имя_вашего_сервера_wnam/cp/cisco?%URL%
  • cisco-avpair=url-redirect-acl=wnam_cwa
Warning
Данные строки необходимо указать в представленном виде, без лишних пробелов, например, cisco-avpair = url-redirect-acl=wnam_cwa.

При этом, имя ACL должно соответствовать тому имени, что вы создали которое создано на контроллере. Параметр %URL% будет заменен системой WNAM при формировании ответа контроллеру. При копировании атрибутов следует убедиться, что они не начинаются с пробелов. Если используемый сервер системы WNAM принимает обращения по HTTPS или нестандартному порту (не 80), необходимо исправтьб URL соответствующим образом.

Также укажите необходимо указать секретный RADIUS ключ (как вы который ранее указали на контроллере) для работы CoA.

Image RemovedImage Added

настройке Затем необходимо настроить запись о площадке оказания услуги (параметры площадки в разделе "Конфигурация" → "Площадки"). Обязательно выберите выбрать сервер доступа (контроллер) из списка. Это требуется для того, чтобы система WNAM могла определить, на какой контроллер отправлять команду RADIUS CoA для подключения абонента к сети Интернет (контроллеров может быть больше одного).

В качестве "дополнительного ID" необходимо обязательно указать индекс (порядковый номер) профиля WLAN/SSID на контроллере, который соответствует вашей гостевой сети. Этот номер соответствует RADIUS-атрибуту Airespace-Wlan-Id, который передает контроллер. 

Image RemovedImage Added

На этом и настройка системы WNAM законченазавершена.

3. Тестирование

...

механизма авторизации

После проведенных настроек контроллера и системы WNAM рекомендуется попытаться совершить провести авторизацию Проведите попытку авторизации в Wi-Fi сети. После завершения авторизации и появления долступа доступа в интернет сеть Интернет в интерфейсе системы WNAM появится запись о новой сессии вида:

Image Removed

 

.

Image Added