Начиная с версии WNAM 1.6.4010 доступно взаимодействие системы авторизации с аппаратным контроллером и точками доступа Eltex WLC.
В этом сценарии контроллер построен на основе маршрутизатора ESR, который выполняет не только функции управления точками доступа, но и выполняет роль сервисного маршрутизатора, обеспечивая также фильтрацию трафика, DHCP, NAT. Контроллер должен иметь установленную лицензию на BRAS, а также работать точкой терминации SoftGRE туннелей от точек доступа. Работа функции хотспота в режиме Local switching не поддерживается.
Рекомендуется внимательно ознакомиться с документацией производителя контроллера: BRAS L3, BRAS L2.
Описанный ниже сценарий предполагает, что вы предварительно полностью протестировали настройку контроллера и беспроводной сети в открытом режиме (без авторизации), и все сетевые сервисы подключающихся беспроводных клиентов успешно функционируют.
Контроллер имеет адрес 172.16.130.101
Сервер авторизации WNAM имеет адрес 172.16.130.5
Клиенты получают адреса, и работают в сети VLAN 10, адресация 10.10.10.0/24
Сервис для доступа в Интернет имеет имя INTERNET
Полная конфигурация контроллера приведена в приложенном файле: wlc30_guest.txt
Основной блок конфигурации, описывающий функцию BRAS:
subscriber-control
aaa das-profile bras_das
aaa sessions-radius-profile bras_radius
aaa services-radius-profile bras_radius
nas-ip-address 172.16.130.101
session mac-authentication
bypass-traffic-acl BYPASS
default-service
class-map BYPASS
filter-name local defaultserv
filter-action permit
default-action redirect http://172.16.130.5/cp/eltexwlc
session-timeout 600
exit
enable
exit
Описание RADIUS-сервера WNAM:
radius-server host 172.16.130.5
key ascii-text encrypted 8BBA02608F1D49FF4E300D
source-address 172.16.130.101
exit
aaa radius-profile bras_radius
radius-server host 172.16.130.5
exit
aaa radius-profile default_radius
radius-server host 127.0.0.1
exit
das-server das
key ascii-text encrypted 8BBA02608F1D49FF4E300D
port 3799
clients object-group wnam_servers
exit
aaa das-profile bras_das
das-server das
exit
На стороне системы авторизации создаётся объект Сервер доступа (тип: Eltex), указывается RADIUS-ключ, а также дополнительные параметры RADIUS:
Cisco-AVPair=subscriber:command=account-loggon
Idle-Timeout=1200
Acct-Interim-Interval=300
Cisco-AVPair=subscriber:vrf=1
Атрибуты MAC авторизации
Cisco-Account-Info=AINTERNET
Контроллер в ходе авторизации запрашивает параметры сервиса INTERNET, и WNAM автоматически отдаёт их (subscriber:traffic-class=INTERNET).
Если вы используете WNAM в режиме корпоративной авторизации, вы также должны настроить правило авторизации с исходящим атрибутом Cisco-Account-Info=AINTERNET.
Активные Wi-Fi подключения клиента, сервисы и сессии видны на контроллере:
wlc-30# sh subscriber-control services status
Service id Session id Service name User name Quota volume Quota time
(Bytes) (Seconds)
-------------------- -------------------- --------------- --------------- -------------- --------------
3350678122763649135 3314649325744685204 A INTERNET 2E:CE:FB:3D:44: -- --
D0
wlc-30# sh subscriber-control services counters session-id 3314649325744685204
Service id Service name Recv packets Recv bytes Send packets Send bytes
-------------------- --------------- -------------- -------------- -------------- --------------
3350678122763649135 A INTERNET 48 15834 68 24802
wlc-30# sh wlc clients
MAC User MAC AP Interface SSID RSSI AP-Location Username
----------------- ----------------- ----------------- --------------- ------- ----------------- -----------------
2e:ce:fb:3d:44:d0 68:13:e2:02:6c:c0 wlan1-vap1 eltex-bras-open -76 default-location --
На стороне WNAM виден процесс авторизации устройства:
00:12:09.427 DEBUG [EltexWlcService.java:196] - CP ELTEX WLC clicked: username=2E:CE:FB:3D:44:D0, ip=10.10.10.18, server=172.16.130.101, sessionId=3314649325744685202, dst='http://captive.apple.com/hotspot-detect.html'
00:12:09.554 DEBUG [PageGenerator.java:711] - processAuthRequest ELTEXWLC: username=2E:CE:FB:3D:44:D0, ip=10.10.10.18, server=172.16.130.101, site_id=713, domain_id=3314649325744685202, dst='http://www.ru' adv curr/max=1/1
00:12:09.556 DEBUG [PageGenerator.java:1296] - captive portal redirected to SMS page, username=2E:CE:FB:3D:44:D0, cust=new, form='5f21574af572b1641811b819'
00:12:17.474 DEBUG [CaptivePortalController.java:1057] - postSms: site_id=713, username=2E:CE:FB:3D:44:D0, phone=79998881111, smscode=null, ci.key=868d3a6f-876c-4129-8be8-2594eb94e8db
00:12:17.494 DEBUG [SmsQCache.java:59] - smsq_cache requesting phone: 79998881111, item: null
00:12:17.494 DEBUG [SmsQCache.java:53] - smsq_cache put phone: 79998881111, item: { ip=null, mac=null, phone=null, code=0000, attempts=0 }
00:12:17.496 DEBUG [SmsHandler.java:88] - CP SMS phase 1: mac=2E:CE:FB:3D:44:D0, ip=10.10.10.18, phone=79998881111, smscode=4333, lang=null, ci.lang=ru
00:12:17.498 DEBUG [SmsQCache.java:53] - smsq_cache put phone: 79998881111, item: { ip=10.10.10.18, mac=2E:CE:FB:3D:44:D0, phone=79998881111, code=4333, attempts=0 }
00:12:18.547 DEBUG [SmsQCache.java:59] - smsq_cache requesting phone: 79998881111, item: { ip=10.10.10.18, mac=2E:CE:FB:3D:44:D0, phone=79998881111, code=4333, attempts=0 }
00:12:18.547 DEBUG [CaptivePortalController.java:1215] - postSmsPhase2 phone=79998881111, code=4333, r={ ip=10.10.10.18, mac=2E:CE:FB:3D:44:D0, phone=79998881111, code=4333, attempts=0 }, r_ir=false, ap_m=SMS
00:12:18.549 DEBUG [SmsQCache.java:53] - smsq_cache put phone: 79998881111, item: { ip=10.10.10.18, mac=2E:CE:FB:3D:44:D0, phone=79998881111, code=4333, attempts=0 }
00:12:18.552 DEBUG [CaptivePortalController.java:1249] - CP SMS phase 2: mac=2E:CE:FB:3D:44:D0, ip=10.10.10.18, phone=79998881111, smscode=4333 CORRECT in 1060 ms.
перехода на приветствие:
00:12:18.851 DEBUG [PageGenerator.java:711] - processAuthRequest ELTEXWLC: username=2E:CE:FB:3D:44:D0, ip=10.10.10.18, server=172.16.130.101, site_id=713, domain_id=3314649325744685202, dst='http://www.ru' adv curr/max=1/1
00:12:18.852 DEBUG [PageGenerator.java:389] - processRedirectRequestCi mac=2E:CE:FB:3D:44:D0, method=FORM, formName=64077df78c8f3d66b34e0a0f, redirectUrl=http://www.ru, key=1cab4e1d-7799-4073-87d5-42c9fe298e18
00:12:20.486 DEBUG [CaptivePortalController.java:2147] - webLoginCi: site_id=713, username=2E:CE:FB:3D:44:D0, dst='http://www.ru', dst_extra='http://www.ru'
00:12:20.487 DEBUG [PageGenerator.java:845] - loginAtNasCi ELTEXWLC mac=2E:CE:FB:3D:44:D0, ip=10.10.10.18, server=172.16.130.101, dst='http://www.ru'
00:12:20.500 DEBUG [EltexWlcService.java:66] - backToEltexWLC login server='172.16.130.101', user=2E:CE:FB:3D:44:D0, password=password, dst='http://www.ru'
активации доступа RADIUS CoA:
00:12:20.500 DEBUG [EltexWlcService.java:85] - open EltexWLC access REQ for IP=10.10.10.18, MAC=2E:CE:FB:3D:44:D0 at NAS_IP=172.16.130.101
00:12:20.505 DEBUG [WnamRadiusService.java:557] - handleRadiusPacket AUTH as=172.16.130.101, secret_len=11, attrs=[Vendor-Specific: 0x, User-Name: 2E:CE:FB:3D:44:D0, User-Password: <stripped out>, NAS-IP-Address: 172.16.130.101,
Acct-Session-Id: 3314649325744685202, Vendor-Specific: 0x, Vendor-Specific: 0x, NAS-Port-Id: location USER]
00:12:20.539 DEBUG [EltexWlcService.java:176] - sendCoa attrs=8, fail=false, resp=CoA-ACK
00:12:20.539 DEBUG [EltexWlcService.java:148] - open EltexWLC access SUCCESS for IP=10.10.10.18, MAC=2E:CE:FB:3D:44:D0, num_avp=1
старта аккаунтинг-сессии:
00:12:20.545 DEBUG [WnamRadiusService.java:557] - handleRadiusPacket ACCT as=172.16.130.101, secret_len=11, attrs=[User-Name: INTERNET, Vendor-Specific: 0x, Acct-Session-Id: 3350678122763649133, Vendor-Specific: 0x,
Acct-Status-Type: Start, Vendor-Specific: 0x, Event-Timestamp: 1710709940, NAS-Port-Id: location USER, Called-Station-Id: CC-9D-A2-71-97-48:USER, Vendor-Specific: 0x, Vendor-Specific: 0x, Vendor-Specific: 0x,
NAS-Identifier: wlc-30, Framed-IP-Address: 10.10.10.18, Calling-Station-Id: 2E-CE-FB-3D-44-D0, NAS-IP-Address: 172.16.130.101]
00:12:20.546 TRACE [A12Service.java:3091] - fixRecentASessionWithIP ip=10.10.10.18, session_id=3350678122763649133
00:12:20.551 DEBUG [WnamCmdService.java:630] - ACCT Start new session ID=3314649325744685202, MAC=2E:CE:FB:3D:44:D0, IP=10.10.10.18, User=INTERNET, NAS_IP=172.16.130.101, site_id=713