Начиная с версии 1.3.1090 система WNAM поддерживает взаимодействие с точками доступа и контроллерами Huawei. Беспроводные системы Wi-Fi компании Huawei представлены в двух исполнениях:

  • точки доступа AP2050, AP5030, AP4050, AP6050, AP6010 и так далее, работающие в режиме FAT, то есть локальном режиме с управлением непосредственно на точку доступа;
  • те же точки доступа в режиме FIT (без возможностей непосредственной настройки) и контроллеры точек доступа AC6005, AC6605.

В обоих случаях настройка взаимодействия с системой WNAM одинакова и сводится к настройке функционала "External Portal Server". При этом необязательно использовать оригинальный продукт компании Huawei (Agile Controller) для целей обеспечения авторизации доступа через внешнюю систему.

Настройка взаимодействия системы WNAM с контроллером или точкой выполняется таким же образом, как и настройка любого другого сервера доступа. В меню "Конфигурация" → "Сервера доступа" необходимо создать новую запись, указав тип сервера - Huawei, IP-адрес контроллера или точки доступа, а также логин и пароль. Параметры "Определять имена абонентов" и "Принимать детализацию потоков NetFlow" включать не следует.

Устройства Huawei воспринимают установку ограничения на длительность сессии и скорость трафика одного клиента (среднюю) в обе стороны. Взаимодействие системы WNAM и контроллера (точки) осуществляется и по протоколу RADIUS и по специализированному протоколу "портала", что требует доступа от сервера WNAM до сервера/контроллера по порту UDP:2000 (на удаленной стороне).

Для работы авторизации требуется возможность беспрепятственно отправлять трафик:

  • с контроллера на сервер WNAM, на его UDP порты 1812 и 1813;
  • с сервера WNAM на контроллер, на его UDP порт 2000.

Если между сервером и контроллером расположен Firewall или NAT, необходимо настроить разрешающие правила и пробросы портов.

Дополнительно в настройках сервера доступа типа Huawei необходимо убрать настройку "пароля" в первой вкладке, а также убрать какой-либо пароль в настройках контроллера в разделе web-auth-server (при конфигурировании через GUI пароль убрать нельзя). Если требуется оставить пароль, следует убедиться, что они совпадают.

Без выполнения вышеперечисленных требований произвести настройку контроллера невозможно!

Далее приведен пример настройки для точки доступа типа AP5030DN с программным обеспечением FAT V200R006C10SPCa00. Настройку точки доступа можно выполнить из командной строки и из графического Web-интерфейса, однако некоторые параметры (RADIUS-взаимодействия) можно настроить только через CLI. Ниже приведен пример конфигурационного файла точки доступа. Указаны только значащие параметры. В примере используется IP-адрес сервера WNAM: 172.16.130.5, он же является RADIUS-сервером и доступен абонентам по порту 80.

#

authentication-profile name wnam-authentication-profile
 portal-access-profile wnam-portal-access-profile
 free-rule-template default_free_rule
 authentication-scheme radius
 accounting-scheme default
 radius-server wnam_radius
#
portal captive-bypass disable
#
radius-server template wnam_radius
 radius-server shared-key cipher %^%#Nl=Y8Wyh"ZWb:P(H`d)8>Nf1<Pio=2bWLA"Xn1A8%^%#
 radius-server authentication 172.16.130.5 1812 weight 80
 radius-server accounting 172.16.130.5 1813 weight 80
 radius-server hw-dhcp-option-format new
 radius-server hw-ap-info-format include-ap-ip
 calling-station-id mac-format hyphen-split mode2 uppercase
 radius-attribute check Session-Timeout
 radius-attribute check HW-Input-Committed-Information-Rate
 radius-attribute check HW-Output-Committed-Information-Rate
#
free-rule-template name default_free_rule
 free-rule 1 destination ip 172.16.130.5 mask 255.255.255.255
#
url-template name urlTemplate_0
 url http://172.16.130.5/cp/huawei
 url-parameter ap-ip AP-IP ap-mac AP-MAC redirect-url redirect-url ssid ssid user-ipaddress user-ipaddress user-mac user-mac sysname sysname ac-ip AC-IP
 url-parameter mac-address format delimiter : normal
#
web-auth-server wnam-server
 server-ip 172.16.130.5
 port 50200
 url http://172.16.130.5/cp/huawei
 url-template urlTemplate_0
 server-source ip-address указать_айпи_адрес_вашего_mgmt_интерфейса_контроллера
#
portal-access-profile name wnam-portal-access-profile
 web-auth-server wnam-server layer3
#
aaa
 authentication-scheme default
 authentication-scheme radius
 authentication-mode radius
 authorization-scheme default
 accounting-scheme default
 accounting-mode radius
 accounting realtime 5
 accounting start-fail online
 domain default
 domain default_admin
#
wlan
 traffic-profile name default
 security-profile name default
 security-profile name default-mesh
 security wpa2 psk pass-phrase %^%#U/o>@VZq@K@@r-BP_rFX!&H3Gc`_{HZ<3|*AE(WR%^%# aes
 ssid-profile name default
 ssid HUAWEI
 vap-profile name default
 authentication-profile wnam-authentication-profile
 mesh-handover-profile name default
 mesh-profile name default
 country-code RU
 air-scan-profile name default
 rrm-profile name default
 radio-2g-profile name default
 radio-5g-profile name default
 wids
#
interface Wlan-Radio0/0/0
 vap-profile default wlan 1
#

Если в конфигурационном файле контроллера включена опция:

portal captive-bypass enable

то это означает, что при подключении устройств Apple к беспроводной сети не появится окно мини-браузера с предложением авторизации, и устройство (и абонент) будет считать, что доступ в сеть Интернет предоставлен. При этом, фактически, доступ в сеть Интернет будет отсутствовать. Попытка открыть клиентом соцсети, мессенджер или любимый сайт (конечно же, он окажется https-сайтом) приведет к ошибке, и как следствие к недовольству абонента.

Поэтому настоятельно рекомендуется отключить обход CNA командой:

undo portal captive-bypass enable

Ниже приведены скриншоты графического интерфейса точки доступа, а также примеры настройки точки доступа:

Настройка площадки и сервера доступа в интерфейсе системы WNAM производится обычным порядком. 

Конфигурационный файл контроллера содержит строки:

 radius-attribute check Session-Timeout
 radius-attribute check HW-Input-Committed-Information-Rate
 radius-attribute check HW-Output-Committed-Information-Rate

Данные строки означают, что контроллер в RADIUS-Accept сообщениях от сервера WNAM будет проверять наличие этих трех атрибутов. Следовательно, необходимо указать лимиты скорости (rx/tx) и длительности сессии в разделе "Ограничения" общих настроек или в разделе настроек для заданной площадки. В противном случае, если ограничения не выставлены, атрибутов в ответе не будет, и контроллер не пропустит абонента. Если данные ограничения не требуются совсем, следует убрать соответствующие строки из конфигурации контроллера.

При корректной настройке при попытке подключения абонента к Wi-Fi сети в лог-файле системы WNAM будут отображаться следующие записи:

21:08:11.706 DEBUG [c.n.w.web.cp.CaptivePortalController:544] - CP huawei redirect: mac=4C:57:CA:XX:XX:XX, ip=172.16.130.154, ap=d4:c8:b0:15:1d:40 [HUAWEI], server=Huawei, 192.168.0.5
21:08:11.722 DEBUG [c.n.w.web.cp.CaptivePortalController:1661] - processAuthRequest HUAWEI: username=4C:57:CA:XX:XX:XX, ip=172.16.130.154, server=Huawei, site_id=3, dst='http://www.ru/'
21:08:11.722 DEBUG [c.n.w.web.cp.CaptivePortalController:1804] - processRedirectRequestCi mac=4C:57:CA:XX:XX:XX, method=FORM, formName=58addf80bd045a2fa888c7a6, redirectUrl=http://www.ru/, key=33f0eb37-ee12-4572-ad58-10a1c237de00
21:08:13.053 DEBUG [c.n.w.web.cp.CaptivePortalController:1530] - RedirectCi login: site_id=3, username=4C:57:CA:2C:0F:4C, dst='http://www.ru/', dst_extra='null'
21:08:13.053 DEBUG [c.n.w.web.cp.CaptivePortalController:2102] - loginAtNasCi HUAWEI mac=4C:57:CA:XX:XX:XX, ip=172.16.130.154, server=Huawei, dst='http://www.ru/'
21:08:13.057 DEBUG [com.netams.wnam.web.cp.Huawei:85] - backToHuawei login len=439, server='172.16.130.75', username=4C:57:XX:XX:XX:XX, password=password, dst='http://www.ru/'
21:08:13.079 INFO [WnamRadius:522] - AUTH for new session ID=Huawei000000000000019e7f4f000019-2c0f4c, request MAC=4C:57:CA:XX:XX:XX, IP=172.16.130.154, cust_clientid=iSE
21:08:13.112 INFO [WnamRadius:683] - ACCT Start new session ID=Huawei000000000000019e7f4f000019-2c0f4c, MAC=4C:57:CA:XX:XX:XX, IP=172.16.130.154, NAS=172.16.130.75
21:13:13.124 INFO [WnamRadius:683] - ACCT Interim-Update existing (Huawei000000000000019e7f4f000019-2c0f4c) session ID=Huawei000000000000019e7f4f000019-2c0f4c, MAC=4C:57:CA:XX:XX:XX, IP=172.16.130.154, NAS=172.16.130.75
21:13:13.652 INFO [WnamRadius:683] - ACCT Stop existing (Huawei000000000000019e7f4f000019-2c0f4c) session ID=Huawei000000000000019e7f4f000019-2c0f4c, MAC=4C:57:CA:XX:XX:XX, IP=172.16.130.154, NAS=172.16.130.75

 На данном этапе настройка контроллера и точки доступа Huawei завершена.


  • No labels