WNAM 1.6 поддерживает RADIUS-взаимодействие с аппаратными контроллерами Eltex моделей WLC-15 и WLC-30 для авторизации беспроводного доступа, в том числе по протоколу 802.1x. Специальных доработок системы не требуется. Предполагается, что контроллер функционирует в режиме маршрутизатора.
Внимание! Никогда не приступайте к настройке сложных методов авторизации, таких как 802.1х или гостевой, пока вы не отладили работу сети в открытом (Open) режиме и не проверили полную работоспособность радио, DHCP, DNS, NAT, маршрутизации и т.п.
В описанном ниже примере используется:
- Адрес сервера авторизации 172.16.130.5, адрес контроллера (внешний) 172.16.130.101, точка доступа находится в той же сети. Это - VLAN1
- Точка доступа подключена в коммутатор, который также имеет клиентские VLAN 10 и 11, поданные на точку и контроллер. Последний выступает DHCP-сервером сетей 10.10.10.0/24 и 10.10.11.0/24, их шлюзом и выполняет функцию NAT.
Конфигурация контроллера предусматривает работу в режиме Radius Proxy для запросов точки доступа, взаимодействующей с системой авторизации WNAM. Правило аутентификации по 802.1х на WNAM настроено с применением PEAP, но может использоваться и EAP-TLS. При авторизации клиентскому подключению назначается 10 или 11 VLAN.
RADIUS-конфигурация контроллера:
radius-server local
nas ap
key ascii-text encrypted 8BBA02608F1D49FF4E300D
network 172.16.130.0/24
exit
nas local
key ascii-text encrypted 8CB5107EA7005AFF
network 127.0.0.1/32
exit
domain default
exit
virtual-server default
proxy-mode
nas-ip-address 172.16.130.101
upstream-server radius_wnam
host 172.16.130.5
server-type all
key ascii-text encrypted 8BBA02608F1D49FF4E300D
exit
enable
exit
enable
exit
Сетевая конфигурация:
bridge 1
vlan 1
security-zone untrusted
ip firewall disable
ip address 172.16.130.101/24
no spanning-tree
enable
exit
bridge 10
vlan 10
security-zone trusted
ip address 10.10.10.1/24
enable
exit
bridge 11
vlan 11
security-zone trusted
ip address 10.10.11.1/24
enable
exit
interface gigabitethernet 1/0/1
mode switchport
switchport mode trunk
switchport trunk native-vlan 1
switchport trunk allowed vlan add 10-11
exit
Конфигурация трансляции адресов:
nat source
ruleset factory
to zone untrusted
rule 10
action source-nat interface
enable
exit
exit
exit
Конфигурация DHCP:
ip dhcp-server pool users-pool-10
network 10.10.10.0/24
address-range 10.10.10.10-10.10.10.100
default-router 10.10.10.1
dns-server 8.8.8.8
exit
ip dhcp-server pool users-pool-11
network 10.10.11.0/24
address-range 10.10.11.10-10.10.11.100
default-router 10.10.11.1
dns-server 8.8.8.8
exit
Конфигурация WLC-контроллера:
wlc
outside-address 172.16.130.101
ssid-profile default-ssid
description default-ssid
ssid eltex-test
radius-profile default-radius
vlan-id 10
security-mode WPA2_1X
local-switching
802.11kv
band 2g
band 5g
enable
exit
radius-profile default-radius
auth-address 172.16.130.101
auth-password ascii-text encrypted 8BBA02608F1D49FF4E300D
auth-acct-id-send
acct-enable
acct-address 172.16.130.101
acct-password ascii-text encrypted 8BBA02608F1D49FF4E300D
acct-periodic
acct-interval 300
domain default
exit
enable
exit
При попытке подключения к беспроводной сети eltex-test происходит авторизация доступа, а сервер WNAM отображает данные по авторизационной сессии:
На контроллере также видна эта сессия:
wlc-30# show wlc clients 6a:ce:44:92:fd:bb detailed
Client client-1:
MAC AP: 68:13:e2:02:6c:c0
MAC address: 6a:ce:44:92:fd:bb
IP address: 10.10.10.13
Hostname: --
SSID: eltex-test
Interface: wlan1-vap0
RSSI: -76 -79
SNR: 19 16
Transmit rate: HE NSS2-MCS7 2xLTF GI 0.8us 172
Receive rate: OFDM 24
Wireless mode: ax
Authorized: true
Username: wifiuser
Domain: default
Link Quality: 100
Link Quality Common: 0
Actual transmit rate: 1
Actual receive rate: 6
Transmit bytes: 42217
Receive bytes: 36281
Transmit packets: 154
Receive packets: 250
Uptime: 00:00:29
Transmit bandwidth: 20
Receive bandwidth: 20