You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 12 Next »

Начиная с версии 1.6.2524 WNAM поддерживает работу с контроллерами Cisco нового поколения, использующими операционную систему IOS XE, семейства Catalyst 9800 Wireless Controllers.

При этом взаимодействие реализовано по механизму Central Web Auth (CWA), который разработан Cisco для взаимодействия контроллера с программным обеспечением Cisco ISE. WNAM полностью эмулирует поведение ISE в данной задаче. Документация по настройке контроллеров серии 9800 вместе с ISE доступна на сайте производителя.

Авторизация по методу CWA основана на следующем:

  • при подключении устройства абонента к сети контроллером проводится RADIUS-запрос к серверу политики (WNAM) с целью получить ACL и URL перенаправления
  • проводится перехват трафика новой веб-сессии и перенаправление пользователя на полученную ссылку (без редиректа на контроллер)
  • осуществляется авторизация на внешней системе (WNAM) и/или показ рекламной/приветственной страницы
  • по завершении авторизации WNAM сообщает контроллеру по протоколу RADIUS CoA о необходимости ре-авторизации сессии пользователя
  • производится повторная авторизация пользователя контроллером на RADIUS-сервере и применение полученной политики "пропуска"
  • WNAM осуществляет перенаправление пользователя на заданную ссылку

При этом с точки зрения пользователя нет дополнительных редиректов, и ассоциированных с этим проблем.

При повторном подключении абонента, если включена МАС-авторизация на сервере доступа, и "прозрачные повторные сессии" в настройках ограничений, цепочка действий сокращается: 

  • при подключении устройства абонента к сети контроллером проводится RADIUS-запрос к серверу политики (WNAM) 
  • если системе авторизации абонент известен, его авторизация валидна (не истекла и не сброшена), абонент не блокирован, после последней сессии подключения прошло время меньше, чем указано в настройках ограничений "прозрачные повторные сессии", WNAM отвечает сообщением Access-Accept (с некоторыми дополнительными параметрами)
  • устройство абонента тут же получает доступ в интернет, без дополнительных "всплывающих окон" и редиректов

Этот механизм полезен в случае необходимости поддержки роуминга абонентов между точками доступа, либо после кратковременного отключения абонентского устройства от радио

Внимание! Перед настройкой авторизации через CWA необходимо вначале настроить SSID, точки доступа, маршрутизацию, DHCP и протестировать обычный доступ в интернет без авторизации.

В приведенных ниже примерах используются следующие адреса:

  • 172.16.131.5 - RADIUS-сервер WNAM
  • 172.16.131.5 порт 80 - административный и абонентский интерфейс WNAM 
  • 93.180.6.168 - контроллер Cisco 9800-CL с ПО версии IOS XE 17.3.1
  • 10.241.144.0/24 - сеть для устройств беспроводных абонентов
  • SSID - IOS_XE_Test
  • Название стенда (сайт, профили, политики и т.п.) - R20
  • Конфигурация сети - Central switching, т.е. абонентский трафик терминируется на сети на стороне контроллера

Об особенностях настройки системы в конфигурации FlexConnect Local switching (абонентский трафик терминируется на сети на стороне точки доступа) см. ниже. 

1. Настройка контроллера

Первым делом вы должны настроить SSID в режиме "без авторизации" и проверить, что беспроводной абонент имеет доступ в Интернет, то есть работают радио-часть, DHCP, NAT, маршрутизация.

Вы также можете выполнить все настройки по этой инструкции, но перед проверкой схемы с авторизацией отключить все настройки, связанные с перенаправлением (MAC Filtering, сервера authentication и authorization).

Сначала создаем запись о RADIUS-сервере, указав секретный ключ и IP-адрес.

Создаем метод Authentication:

Создаем метод Authorization:

Создаем метод Accounting:

Указываем дополнительные настройки RADIUS, в первую очередь интервал обновлений аккаунтинга, и формат данных в RADIUS-пакетах:

Создаем политику обработки трафика, которую потом применим к нашей сети. Обратите внимание, что наша сеть имеет свойство Central switching.

Политика доступа включает профилирование трафика абонентов, а также локальный (для контроллера) VLAN, куда абоненты будут подключаться.

Включение глобальной классификации производится в разделе "Configuration - Wireless - Wireless Global", подробнее об этом на сайте Cisco

Расширенные настройки, помимо прочего, привязывают политику к ААА-серверу.

Теперь настроим сам профиль беспроводной сети WLAN, задав SSID и другие настройки. В части авторизации выберем открытую сеть и свойство MAC Filtering, также укажем ссылку на метод авторизации.

Привяжем профиль к политике, и запомним, что профиль имеет номер 1 - это потом понадобится.

Создадим полиси тэг - ещё одну связку.

Привяжем его к локации (сайту), где в терминологии контроллера (не WNAM!) находятся точки доступа. Обратите внимание на чекбокс Local Site: он определяет, что точки доступа на этом сайте находятся в Local, а не FlexConnect режиме.

Наконец, привяжем все эти тэги, сайты и политики к точке доступа:

Для такой привязки есть удобный визард (даже два) в разделе Wireless Setup.

Обратите внимание, что мы нигде не задаём имя URL перенаправления на внешний сервер WNAM. Эта информация поступит на контроллер в RADIUS-ответе в специальных атрибутах. Там же поступит имя списка доступа, ACL, который необходимо предварительно создать на контроллере. Это делается в меню "Configuration-ACL". Список доступа в явном виде (в настройках контроллера) не применяется ни к профилю SSID, ни к политике. 

Список доступа определяет правила пропуска неавторизованного трафика абонента. Внимание! В контроллерах на базе IOS XE формат списка доступа противоположен формату, применяемому в контроллерах предыдущего поколения. там где раньше было правило типа permit, требуется указывать deny, и наоборот.

Создайте список доступа с именем (в примере: wnam_acl_xe) и обязательно запомните это имя. Оно понадобится позже при настройке сервера доступа WNAM.

Задайте правила доступа к DNS-серверам, и к вашему серверу WNAM (можно по IP, можно и с указанием TCP-портов). Последнее правило типа permit any any.

  

На этом настройка контроллера закончена.

Вы также можете посмотреть на настройки контроллера в формате текстового файла для CLI здесь.

2. Настройка WNAM

Создайте запись о сервере доступа типа Cisco WLC (сервер доступа - контроллер). Укажите адрес, имя, местоположение. Логин и пароль не используются.

Во вкладке RADIUS укажите:

В параметрах "атрибуты предварительной авторизации"

  • cisco-avpair=url-redirect=http://имя_вашего_сервера_wnam/cp/cisco?%URL%
  • cisco-avpair=url-redirect-acl=wnam_acl_xe

При этом имя ACL должно соответствовать тому имени, что вы создали на контроллере. Параметр %URL% будет заменен системой WNAM при формировании ответа контроллеру. При копировании атрибутов отсюда убедитесь, что они не начинаются с пробелов.

Также укажите секретный RADIUS ключ (как вы указали на контроллере в настройках ААА-сервера), и включите МАС-авторизацию.

Внимание! Если сеть, в которой находится контроллер, ещё не была глобально разрешена для работы WNAM в настройках "Конфигурация - Дополнительные настройки, ключ radiusd_networks", обязательно добавьте её там.

Настройте запись о площадке оказания услуги. В качестве "дополнительного ID" необходимо обязательно указать индекс (порядковый номер) профиля WLAN/SSID на контроллере, который соответствует вашей гостевой сети. Этот номер соответствует RADIUS-атрибуту Airespace-Wlan-Id, который передает контроллер. Вы также можете указать название сети (SSID).

На этом и настройка WNAM закончена.

3. Тестирование

Проведите попытку авторизации в Wi-Fi сети.

На контроллере абонент должен находиться в состоянии WebAuth Pending, при этом к нему применится политика перенаправления, и ACL:

В логе WNAM, в файле /home/wnam/logs/wnam.log появятся строки, говорящие о срабатывании подключения:

21:11:49.743 DEBUG [c.n.wnam.services.WnamCmdService:1307] - Cisco CWA AUTH MAC=74:9E:AF:6C:3F:20, NAS_IP=93.180.6.168, CUST=existing, site_id=262
21:11:51.254 DEBUG [c.n.wnam.services.WnamCmdService:671] - ACCT Start new session ID=A806B45D00000063CB9DBB06, MAC=74:9E:AF:6C:3F:20, IP=null, User=749eaf6c3f20, NAS_IP=93.180.6.168, site_id=262
21:11:51.283 DEBUG [c.n.wnam.services.WnamCmdService:671] - ACCT Interim-Update new session ID=A806B45D00000063CB9DBB06, MAC=74:9E:AF:6C:3F:20, IP=10.241.144.103, User=749eaf6c3f20,
NAS_IP=93.180.6.168, site_id=262
21:11:53.524 DEBUG [c.n.wnam.services.WnamCmdService:671] - ACCT Interim-Update existing session ID=A806B45D00000063CB9DBB06, duration=00:00:02, MAC=74:9E:AF:6C:3F:20, IP=10.241.144.103,
User=749eaf6c3f20, NAS_IP=93.180.6.168, site_id=262

Если в логе ничего нет, либо появляется три подряд события типа  Cisco CWA AUTH, значит у вас неправильный RADIUS-ключ или не настроен доступ (не проходят пакеты) протокола RADIUS.

Обратите внимание, что IP адрес мобильное устройство получает не сразу, а только после срабатывание CWA Auth запроса. Два события подряд типа Accounting-Interim сообщают о присвоении IPv4 и IPv6 адресов.

После этого срабатывает хотспот-авторизация (CNA) на мобильном устройстве (появление всплывающего окна) с отображением страниц авторизации/приветствия:

21:11:54.638 DEBUG [c.n.w.services.vendors.AuthHandler:28] - CP cisco minibrowser: iOS/hotspot
21:11:54.639 DEBUG [c.n.w.services.vendors.CiscoService:170] - CP cisco redirect: client_mac=74:9E:AF:6C:3F:20, wlan=IOS_XE_Test, ip=10.241.144.103, dst='', switch_url='93.180.6.168'
21:11:54.679 DEBUG [com.netams.wnam.web.cp.PageGenerator:638] - processAuthRequest CISCO: username=74:9E:AF:6C:3F:20, ip=10.241.144.103, CNA, server=93.180.6.168, site_id=262,
domain_id=A806B45D00000063CB9DBB06, dst='http://bash.im' adv curr/max=1/1
21:11:54.683 DEBUG [com.netams.wnam.web.cp.PageGenerator:387] - processRedirectRequestCi mac=74:9E:AF:6C:3F:20, method=FORM, formName=58bdc4965e4df6273ac60210, redirectUrl=http://bash.im,
key=0a9c38fc-7d58-45b3-adde-c03ede1b34bf

которое завершается нажатием абонентом кнопки перехода в Интернет, и цепочкой RADIUS-событий:  

21:11:56.865 DEBUG [c.n.w.web.cp.CaptivePortalController:2049] - webLoginCi: site_id=262, username=74:9E:AF:6C:3F:20, dst='http://bash.im', dst_extra='http://bash.im'
21:11:56.866 DEBUG [com.netams.wnam.web.cp.PageGenerator:767] - loginAtNasCi CISCO mac=74:9E:AF:6C:3F:20, ip=10.241.144.103, server=93.180.6.168, dst='http://bash.im'
21:11:56.889 DEBUG [c.n.w.services.vendors.CiscoService:130] - backToCiscoCwa CoA status=true, response=CoA-ACK, MAC=74:9E:AF:6C:3F:20, controller IP=93.180.6.168, dst='http://bash.im'
21:11:56.933 DEBUG [c.n.wnam.services.WnamCmdService:1433] - AUTH for existing session ID=a806b45d00000063cb9dbb06, request MAC=74:9E:AF:6C:3F:20, IP=10.241.144.103, site_id=262
21:11:57.005 DEBUG [c.n.wnam.services.WnamCmdService:671] - ACCT Interim-Update existing session ID=A806B45D00000063CB9DBB06, duration=00:00:05, MAC=74:9E:AF:6C:3F:20, IP=10.241.144.103,
User=749eaf6c3f20, NAS_IP=93.180.6.168, site_id=262
21:11:58.936 DEBUG [c.n.wnam.services.WnamCmdService:671] - ACCT Interim-Update existing session ID=A806B45D00000063CB9DBB06, duration=00:00:07, MAC=74:9E:AF:6C:3F:20, IP=10.241.144.103,
User=749eaf6c3f20, NAS_IP=93.180.6.168, site_id=262
21:12:20.591 DEBUG [c.n.wnam.services.WnamCmdService:671] - ACCT Stop existing session ID=A806B45D00000063CB9DBB06, duration=00:00:29, MAC=74:9E:AF:6C:3F:20, IP=10.241.144.103, User=749eaf6c3f20,
NAS_IP=93.180.6.168, site_id=262

С точки зрения контроллера, абонентское подключение переходит в состояние Run, а примененный временный ACL убирается:

При этом в веб-интерфейсе WNAM появляется запись о сессии вида:

Идущую в настоящий момент сессию абонента также возможно остановить вручную, нажав на соответствующую кнопку:

При повторной авторизации (если сработали условия прозрачного входа абонента) RADIUS-цепочка событий сокращается:

22:25:54.083 DEBUG [c.n.wnam.services.WnamCmdService:1227] - AUTH transparent next session MAC=74:9E:AF:6C:3F:20, NAS_IP=93.180.6.168, site_id=262, back=0 s., counter=1, PERMIT
22:25:55.166 DEBUG [c.n.wnam.services.WnamCmdService:671] - ACCT Start new session ID=A806B45D00000064CBE18CF6, MAC=74:9E:AF:6C:3F:20, IP=10.241.144.103, User=749eaf6c3f20, NAS_IP=93.180.6.168, site_id=262
22:25:59.103 DEBUG [c.n.wnam.services.WnamCmdService:671] - ACCT Interim-Update existing session ID=A806B45D00000064CBE18CF6, duration=00:00:03, MAC=74:9E:AF:6C:3F:20, IP=10.241.144.103, User=749eaf6c3f20, NAS_IP=93.180.6.168, site_id=262

Абонент сразу получает доступ в сеть.

3. Особенности настройки в режиме FlexConnect

Напомним, что в режиме FlexConnect точка доступа может работать по более медленным каналам связи с контроллером, и с большей задержкой взаимодействия, т.е. в более автономном виде, принимая часть функций контроллера на себя. При этом возможна реализация режима Local switching, при котором трафик беспроводного абонента терминируется в VLAN прямо на точке доступа, а не уходит на контроллер.

Настройка WNAM для работы сети в FlexConnect режиме ничем не отличается от традиционного, локального режима. RADIUS-трафик проксируется контроллером, т.е. WNAM по-прежнему не взаимодействует с точкой доступа напрямую. Поведение беспроводного абонента, и последовательность шагов при его подключении такие же. Настройка беспроводного контроллера при этом несет ряд отличий.


 

  • No labels