Начиная с версии 1.2.607 WNAM поддерживает взаимодействие с беспроводным контроллером Aruba (теперь это Hewlett Packard Enterprise). Тестировался контроллер Aruba3200 с ArubaOS 6.4.2.4.

Используемые в описании настройки параметры:

  • IP адрес контроллера (публичный): 89.11.95.20
  • IP адрес контроллера (внутренний): 172.16.0.1
  • IP адрес сервера WNAM: 89.11.95.19
  • VLAN для трафика гостевой сети: 162
  • SSID: aruba
Переда началом настройки взаимодействия контроллера Aruba и WNAM настройте контроллер, точки доступа, создайте гостевую сеть (SSID без авторизации и VLAN), убедитесь в том, что беспроводные клиенты подключаются к сети и имеют доступ в Интернет. Для этого используйте штатные руководства Aruba.
При редактировании конфигурации в каждом окне, где вы проводите изменение, нажимайте кнопку Apply.
Первым шагом является создание подключения контроллера к RADIUS-серверу (серверу WNAM), для чего в меню "Configuration - Security - Authentication" необходимо создать запись о радиус-сервере wnam_radius, указать ключ (по умолчанию - wnam_radius), и установить остальные параметры, как на картинке:

В качестве NAS IP укажите внешний адрес. Его, с соответствующим ключом, надо прописать на сервере WNAM в конфигурационном файле /etc/freeradius/clients.conf. 
Создайте группу серверов wnam_radius_sg и добавьте в нее запись о только что созданном сервере:
Создайте запись о сервере типа RFC3567, вбейте заново ключ:

На следующей вкладке "AAA Profiles" создайте профиль авторизации, wnam_aaa_profile.

В настройках профиля укажите следующие значения. Обратите внимание на начальную роль "Initial role". Эта роль будет присвоена "неавторизованным сессиям" подключенных абонентов. Не забудьте также про параметры Interim Accounting:

Укажите группу радиус-серверов wnam_radius_sg в двух местах в настройке этого профиля:

Теперь необходимо создать запись о портала перехвата в меню "L3 Authentication". Создайте профиль wnam_captive_portal:

Укажите следующие параметры профиля, как на рисунке.

В качестве Login page используется внешний портал авторизации, WNAM, ссылка на который имеет вид: http://89.11.95.19/cp/aruba 

То же самое необходимо указать в Welcome page (но не используется). Для пропуска клиентского трафика до сервера авторизации укажите белый список (White list) wnam_destination.

В меню расширенных настроек укажите параметры не активности пользователя и отправки промежуточной статистики (Interim stats). Укажите IP адрес сервера доступа, который будет фигурировать в RADIUS-пакетах как NAS-IP-Address. Этот адрес вам надо будет указать как адрес сервера доступа в WNAM (172.16.0.1):

Необходимо настроить списки доступа и другие разрешающие правила в меню "Configuration - Security - Access control". Измените правила политики guest-logon:

Укажите применяющийся портал перехвата wnam_captive_portal:

Отредактируйте политику wnam_captive_portal_list_operations:

Создайте политику wnam_access:

Создайте в политике wnam_access правило, разрешающее HTTP трафик до сервера WNAM:

Теперь следует настроить использование портала перехвата в беспроводной сети. Профиль сети - guestnet:

Необходимо в разделе ААА выбрать профиль wnam_aaa_profile:

На этом настройка контроллера Aruba завершена.

На стороне WNAM необходимо создать сервер доступа типа Aruba, указать IP-адрес, соответствующий NAS-IP-Address в RADIUS-пакетах от контроллера. Обратите внимание - контроллер Aruba не поддерживает определение имени абонентского устройства (через разбор DHCP-пакетов), а также экспорт статистики NetFlow.

Для примера также приведен текстовый конфигурационный файл:

ip access-list standard wnam_whitelist
 permit host 89.11.95.19
netdestination wnam_destination
 host 89.11.95.19
ip access-list session wnam_access
 user host 89.11.95.19 svc-http permit
user-role guest-logon
 captive-portal "wnam_captive_portal"
 access-list session ra-guard
 access-list session logon-control
 access-list session captiveportal 
 access-list session v6-logon-control
 access-list session captiveportal6
user-role guest
 access-list session global-sacl
 access-list session apprf-guest-sacl
 access-list session ra-guard
 access-list session http-acl
 access-list session https-acl
 access-list session dhcp-acl
 access-list session icmp-acl
 access-list session dns-acl
 access-list session v6-http-acl
 access-list session v6-https-acl
 access-list session v6-dhcp-acl
 access-list session v6-icmp-acl
 access-list session v6-dns-acl
 access-list session wnam_access
aaa rfc-3576-server "89.11.95.19"
 key XXX
aaa authentication mac "wnam_mac_authprofile"
 delimiter colon
 case upper
aaa authentication-server radius "wnam_radius"
 host "89.11.95.19"
 key XXX
 nas-identifier "Aruba"
 nas-ip 89.11.95.20
 mac-delimiter colon
 called-station-id type macaddr include-ssid enable delimiter colon
aaa server-group "wnam_radius_sg"
 auth-server wnam_radius
aaa profile "wnam_aaa_profile"
 initial-role "guest-logon"
 mac-server-group "wnam_radius_sg"
 radius-accounting "wnam_radius_sg"
 radius-interim-accounting
 rfc-3576-server "89.11.95.19"
aaa authentication captive-portal "wnam_captive_portal"
 server-group "wnam_radius_sg" 
 guest-logon
 no logout-popup-window
 protocol-http
 login-page "http://89.11.95.19/cp/aruba"
 welcome-page "http://89.11.95.19/cp/aruba?welcome"
 no enable-welcome-page
 switchip-in-redirection-url
 user-vlan-in-redirection-url
 ip-addr-in-redirection-url "89.11.95.20"
 white-list "wnam_destination"
 apple-cna-bypass
wlan virtual-ap "guestnet"
 aaa-profile "wnam_aaa_profile"
 ssid-profile "cittel-aruba"
 vlan 162
 band-steering
 broadcast-filter all
 deny-inter-user-traffic
 dos-prevention
 wmm-traffic-management-profile "wnm"
!
ap-group "guestnet"
 virtual-ap "guestnet"

Также вашему вниманию предлагается альтернативное описание настройки контроллера.

 

  • No labels