Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Начиная с версии 1.3.1090 система WNAM поддерживает взаимодействие с точками доступа и контроллерами Huawei. Беспроводные системы Wi-Fi компании Huawei представлены в двух пополненияхисполнениях:

  • точки доступа AP2050, AP5030, AP4050, AP6050, AP6010 и так далее, работающие в режиме FAT, то есть локальном режиме с управлением непосредственно на точку доступа;
  • те же точки доступа в режиме FIT (без возможностей непосредственной настройки) и контроллеры точек доступа AC6005, AC6605.

В обоих случаях настройка взаимодействия с системой WNAM одинакова и сводится к настройке функционала "External Portal Server". При этом вы не обязаны необязательно использовать оригинальный продукт компании Huawei , а именно (Agile Controller, ) для целей обеспечения авторизации доступа через внешнюю систему.

Настройка взаимодействия системы WNAM с контроллером или точкой выполняется таким же образом, как и настройка любого другого сервера доступа. В меню "Конфигурация - Сервер " → "Сервера доступа" создайте необходимо создать новую запись, укажите указав тип сервера - Huawei, укажите IP-адрес контроллера или точки доступа. Логин, пароль, а также логин и пароль. Параметры "Определять имена абонентов" и "Принимать детализацию потоков NetFlow" указывать включать не следует.

Устройства Huawei воспринимают установку ограничения на длительность сессии и скорость трафика одного клиента (среднюю) в обе стороны. Взаимодействие системы WNAM и контроллера (точки) осуществляется и по протоколу RADIUS , и по специализированному протоколу "портала", что требует доступа от сервера WNAM до сервера/контроллера по порту UDP:2000 (на удаленной стороне).

Внимание!
Info
Warning

Для работы авторизации требуется возможность беспрепятственно отправлять трафик:С

  • с контроллера на сервер WNAM, на его UDP порты 1812 и 1813;
С
  • с сервера WNAM на контроллер, на его UDP порт 2000.

Если у вас между сервером и контроллером расположен фаерволл Firewall или натNAT, сделайте необходимо настроить разрешающие правила и пробросы портов.

Также, Дополнительно в настройках сервера доступа типа Huawei вы обязаны необходимо убрать настройку "пароля" в первой вкладке, и а также убрать какой-либо пароль в настройках контроллера в разделе web-auth-server (при конфигурировании через GUI пароль убрать нельзя). Если вы все же хотите требуется оставить пароль, убедитесьследует убедиться, что они совпадают.

Без выполнения вышеперечисленных требований у вас гарантированно ничего не заработаетпроизвести настройку контроллера невозможно!

Далее приведен пример настройки для точки доступа типа AP5030DN с программным обеспечением FAT V200R006C10SPCa00. Настройку точки доступа можно выполнить из командной строки и из графического Web-интерфейса, однако некоторые параметры (RADIUS-взаимодействия) можно настроить только через CLI. Ниже приведен пример конфигурационного файла точки доступа. Указаны только значащие параметры. В примере используется IP-адрес сервера WNAM: 172.16.130.5, он же является RADIUS-сервером и доступен абонентам по порту 80.

#

authentication-profile name wnam-authentication-profile
portal-access-profile wnam-portal-access-profile
free-rule-template default_free_rule
authentication-scheme radius
accounting-scheme default
radius-server wnam_radius
#
portal captive-bypass disable
#
radius-server template wnam_radius
radius-server shared-key cipher %^%#Nl=Y8Wyh"ZWb:P(H`d)8>Nf1<Pio=2bWLA"Xn1A8%^%#
radius-server authentication 172.16.130.5 1812 weight 80
radius-server accounting 172.16.130.5 1813 weight 80
radius-server hw-dhcp-option-format new
radius-server hw-ap-info-format include-ap-ip
calling-station-id mac-format hyphen-split mode2 uppercase
radius-attribute check Session-Timeout
radius-attribute check HW-Input-Committed-Information-Rate
radius-attribute check HW-Output-Committed-Information-Rate
#
free-rule-template name default_free_rule
free-rule 1 destination ip 172.16.130.5 mask 255.255.255.255
#
url-template name urlTemplate_0
url http://172.16.130.5/cp/huawei
url-parameter ap-ip AP-IP ap-mac AP-MAC redirect-url redirect-url ssid ssid user-ipaddress user-ipaddress user-mac user-mac sysname sysname ac-ip AC-IP
url-parameter mac-address format delimiter : normal
#
web-auth-server wnam-server
server-ip 172.16.130.5
port 50200
url http://172.16.130.5/cp/huawei
url-template urlTemplate_0
server-source ip-address указать_айпи_адрес_вашего_mgmt_интерфейса_контроллера
#
portal-access-profile name wnam-portal-access-profile
web-auth-server wnam-server layer3
#
aaa
authentication-scheme default
authentication-scheme radius
authentication-mode radius
authorization-scheme default
accounting-scheme default
accounting-mode radius
accounting realtime 5
accounting start-fail online
domain default
domain default_admin
#
wlan
traffic-profile name default
security-profile name default
security-profile name default-mesh
security wpa2 psk pass-phrase %^%#U/o>@VZq@K@@r-BP_rFX!&H3Gc`_{HZ<3|*AE(WR%^%# aes
ssid-profile name default
ssid HUAWEI
vap-profile name default
authentication-profile wnam-authentication-profile
mesh-handover-profile name default
mesh-profile name default
country-code RU
air-scan-profile name default
rrm-profile name default
radio-2g-profile name default
radio-5g-profile name default
wids
#
interface Wlan-Radio0/0/0
vap-profile default wlan 1
#

...

Warning

Если в

...

конфигурационном файле контроллера включена опция:

portal captive-bypass enable

...

то это означает, что при подключении устройств Apple к беспроводной сети не появится окно мини-браузера с предложением авторизации, и устройство (и абонент) будет считать, что доступ в

...

сеть Интернет предоставлен. При этом,

...

фактически, доступ в сеть Интернет будет отсутствовать. Попытка открыть

...

клиентом соцсети, мессенджер или любимый сайт (конечно же, он окажется https-сайтом) приведет к ошибке, и как следствие к недовольству абонента.

Поэтому

...

настоятельно рекомендуется отключить обход CNA командой:

undo portal captive-bypass enable

Ниже приведены скриншоты графического интерфейса точки доступа, а также примеры настройки точки доступа:

Настройка площадки и сервера доступа в интерфейсе системы WNAM производится обычным порядком. 

Warning

...

Конфигурационный файл контроллера содержит строки:

 radius-attribute check Session-Timeout
radius-attribute check HW-Input-Committed-Information-Rate
radius-attribute check HW-Output-Committed-Information-Rate

...

Данные строки означают, что контроллер в RADIUS-Accept сообщениях от сервера WNAM будет проверять наличие этих трех атрибутов. Следовательно,

...

необходимо указать лимиты скорости (rx/tx) и длительности сессии в разделе "Ограничения" общих

...

настроек или в разделе настроек для заданной площадки. В противном случае, если ограничения не выставлены, атрибутов в ответе не будет, и контроллер не пропустит абонента. Если

...

данные ограничения не требуются совсем, следует убрать соответствующие строки из конфигурации контроллера.

При корректной настройке при попытке подключения абонента к Wi-Fi сети в лог-файле системы WNAM будут отображаться следующие записи:

21:08:11.706 DEBUG [c.n.w.web.cp.CaptivePortalController:544] - CP huawei redirect: mac=4C:57:CA:XX:XX:XX, ip=172.16.130.154, ap=d4:c8:b0:15:1d:40 [HUAWEI], server=Huawei, 192.168.0.5
21:08:11.722 DEBUG [c.n.w.web.cp.CaptivePortalController:1661] - processAuthRequest HUAWEI: username=4C:57:CA:XX:XX:XX, ip=172.16.130.154, server=Huawei, site_id=3, dst='http://www.ru/'
21:08:11.722 DEBUG [c.n.w.web.cp.CaptivePortalController:1804] - processRedirectRequestCi mac=4C:57:CA:XX:XX:XX, method=FORM, formName=58addf80bd045a2fa888c7a6, redirectUrl=http://www.ru/, key=33f0eb37-ee12-4572-ad58-10a1c237de00
21:08:13.053 DEBUG [c.n.w.web.cp.CaptivePortalController:1530] - RedirectCi login: site_id=3, username=4C:57:CA:2C:0F:4C, dst='http://www.ru/', dst_extra='null'
21:08:13.053 DEBUG [c.n.w.web.cp.CaptivePortalController:2102] - loginAtNasCi HUAWEI mac=4C:57:CA:XX:XX:XX, ip=172.16.130.154, server=Huawei, dst='http://www.ru/'
21:08:13.057 DEBUG [com.netams.wnam.web.cp.Huawei:85] - backToHuawei login len=439, server='172.16.130.75', username=4C:57:XX:XX:XX:XX, password=password, dst='http://www.ru/'
21:08:13.079 INFO [WnamRadius:522] - AUTH for new session ID=Huawei000000000000019e7f4f000019-2c0f4c, request MAC=4C:57:CA:XX:XX:XX, IP=172.16.130.154, cust_clientid=iSE
21:08:13.112 INFO [WnamRadius:683] - ACCT Start new session ID=Huawei000000000000019e7f4f000019-2c0f4c, MAC=4C:57:CA:XX:XX:XX, IP=172.16.130.154, NAS=172.16.130.75
21:13:13.124 INFO [WnamRadius:683] - ACCT Interim-Update existing (Huawei000000000000019e7f4f000019-2c0f4c) session ID=Huawei000000000000019e7f4f000019-2c0f4c, MAC=4C:57:CA:XX:XX:XX, IP=172.16.130.154, NAS=172.16.130.75
21:13:13.652 INFO [WnamRadius:683] - ACCT Stop existing (Huawei000000000000019e7f4f000019-2c0f4c) session ID=Huawei000000000000019e7f4f000019-2c0f4c, MAC=4C:57:CA:XX:XX:XX, IP=172.16.130.154, NAS=172.16.130.75

 

  На данном этапе настройка контроллера и точки доступа Huawei завершена.