Беспроводной контроллер Cisco (Cisco vWLC, CT2500, CT5500, WISM2) предназначен для управления точками доступа и построения сложных беспроводных сетей. Несмотря на то, что точки доступа и контроллеры Cisco стоят дорого, они обеспечивают превосходную управляемость, богатый функционал, производительность, расширенные средства мониторинга и являются одним из лучших решений для построения масштабных беспроводных сетей связи.
Вся работа WNAM совместно с беспроводной сетью Cisco сводится к взаимодействию с контроллером. Специальным образом точки настраивать не нужно.
Предварительно необходимо настроить и протестировать саму беспроводную сеть, что достаточно детально описано на сайте производителя или в серии статей здесь. После того, как для пользователей выбранной радио-сети (SSID, WLAN) будет устойчиво работать доступ в Интернет - подключение, получение IP-адреса, авторизация, маршрутизация, NAT, можно приступать к интеграции контроллера с WNAM.
Настройка совместной работы WNAM и беспроводного контроллера Cisco WLC сводится к:
- Создании списков доступа (acl) для безусловного пропуска трафика пользователей к серверу авторизации
- Указанию ссылки редиректа сессии пользователя на страницу авторизации WNAM
- Включении дополнительно авторизации (Layer 3 security) для выбранной радио-сети
- Настройки взаимодействия с RADIUS-сервером для учёта сессий и трафика авторизовавшихся пользователей
Как работает механизм веб-авторизации пользователей подробно описано на сайте производителя.
Сначала создаём список доступа с произвольным именем:
Затем добавляем в этот список разрешающие правила. Они должны обеспечивать трафик от пользователей до адреса веб-сервера, на котором работает программное обеспечение WNAM. В примере ниже IP адреса сервера WNAM - 10.20.30.36. Необходимо указать корректный TCP-порт веб-сервера. Он зависит от того, как установлен WNAM и как запущен tomcat - на порту 80 (HTTP, как в примере ниже), или 8080. Необходимо задать два правила - от клиента к серверу, и от сервера клиенту.
Теперь необходимо указать ссылку-редирект, куда встроенный в контроллер портал перехвата будет направлять пользовательскую сессию для продолжения авторизации. В данном примере - это встроенный компонент на сервере WNAM с адресом 10.20.30.36, и полная ссылка имеет вид:
http://10.20.30.36/cp/cisco
При этом не имеет значение, какой механизм дальнейшей авторизации пользовательской сессии (прозрачный, с СМС-подтверждением, с кодом доступа и т.п.) настроен в WNAM. Ссылка на контроллере одна и та же.
Вы также можете указать URL перенаправления (Redirect URL after login), однако если соответствующий URL настроен и в WNAM, он будет иметь больший приоритет.
Теперь необходимо зайти в настройки контроллера через интерфейс командной строки, и ввести дополнительные команды.
Необходимо отключить HTTPS-авторизацию для веб-авторизации:
config network web-auth secureweb disable
(настройка этого через GUI доступна только для версии контроллера 7.3 и выше)
Необходимо включить поддержку обхода Apple Captive Network Assistant (CNA) для корректной работы iOS устройств:
config network web-auth captive-bypass enable
Необходимо затем сохранить конфигурацию и перезагрузить контроллер. К сожалению, обе указанные выше команды этого требуют.
save config
reset system
После загрузки контроллера необходимо для выбранной беспроводной сети (WLAN) включить дополнительную авторизацию на уровне 3. Необходимо также указать созданный ранее список доступа (Preauthentication ACL IPv4).
При этом на 2 уровне вы можете оставить прозрачный (беспарольный) доступ к сети, либо использовать авторизацию WPA/WPA2 PSK.
Для корректной работы учёта сессий необходимо убедиться, что в соседней вкладке включено использование серверов авторизации и учёта (это RADIUS-сервера).
Теперь создаём записи о серверах авторизации и учёта. Это будет один и тот же сервер с адресом 10.20.30.36 (сервер WNAM), стандартные порты 1812 и 1813.
Обратите внимание на типа передаваемого идентификатора Called Station и разделитель в MAC-адресе.
Настройки FreeRADIUS (/etc/freeradius/clients.conf) должны содержать верный IP-адрес контроллера и такой же ключ (shared secret).
Настройка закончена. Не забудьте сохранить конфигурационный файл контроллера.