Начиная с версии 1.3.1090 WNAM поддерживает взаимодействие с точками доступа и контроллерами Huawei.

Беспроводные системы Wi-Fi компании Huawei представлены в двух пополнениях:

В обоих случаях настройка взаимодействия с WNAM одинакова и сводится к настройке функционала "External Portal Server". При этом вы не обязаны использовать оригинальный продукт компании Huawei, а именно Agile Controller, для целей обеспечения авторизации доступа через внешнюю систему.

Настройка взаимодействия WNAM с контроллером или точкой выполняется таким же образом, как и настройка любого другого сервера доступа. В меню "Конфигурация - Сервер доступа" создайте новую запись, укажите тип сервера - Huawei, укажите IP-адрес контроллера или точки доступа. Логин, пароль, "Определять имена абонентов" и "Принимать детализацию потоков NetFlow" указывать не следует.

Устройства Huawei воспринимают установку ограничения на длительность сессии и скорость трафика одного клиента (среднюю) в обе стороны.

Взаимодействие WNAM и контроллера (точки) осуществляется и по протоколу RADIUS, и по специализированному протоколу "портала", что требует доступа от сервера WNAM до сервера/контроллера по порту UDP:2000 (на удаленной стороне).

Внимание!

Для работы авторизации требуется возможность беспрепятственно отправлять трафик:

С контроллера на сервер WNAM, на его UDP порты 1812 и 1813

С сервера WNAM на контроллер, на его UDP порт 2000

Если у вас между сервером и контроллером расположен фаерволл или нат, сделайте разрешающие правила и пробросы портов.

Также, в настройках сервера доступа типа Huawei вы обязаны убрать настройку "пароля" в первой вкладке, и убрать какой-либо пароль в настройках контроллера в разделе web-auth-server (при конфигурировании через GUI пароль убрать нельзя). Если вы все же хотите оставить пароль, убедитесь, что они совпадают.

Без выполнения вышеперечисленных требований у вас гарантированно ничего не заработает!


Далее приведен пример настройки для точки доступа типа AP5030DN с программным обеспечением FAT V200R006C10SPCa00.

Настройку точки доступа можно выполнить из командной строки и из графического Web-интерфейса, однако некоторые параметры (RADIUS-взаимодействия) можно настроить только через CLI.

Ниже приведен пример конфигурационного файла точки доступа. Указаны только значащие параметры. В примере IP-адрес сервера WNAM: 172.16.130.5, он же является RADIUS-сервером и доступен абонентам по порту 80.

#

authentication-profile name wnam-authentication-profile
portal-access-profile wnam-portal-access-profile
free-rule-template default_free_rule
authentication-scheme radius
accounting-scheme default
radius-server wnam_radius
#
portal captive-bypass disable
#
radius-server template wnam_radius
radius-server shared-key cipher %^%#Nl=Y8Wyh"ZWb:P(H`d)8>Nf1<Pio=2bWLA"Xn1A8%^%#
radius-server authentication 172.16.130.5 1812 weight 80
radius-server accounting 172.16.130.5 1813 weight 80
radius-server hw-dhcp-option-format new
radius-server hw-ap-info-format include-ap-ip
calling-station-id mac-format hyphen-split mode2 uppercase
radius-attribute check Session-Timeout
radius-attribute check HW-Input-Committed-Information-Rate
radius-attribute check HW-Output-Committed-Information-Rate
#
free-rule-template name default_free_rule
free-rule 1 destination ip 172.16.130.5 mask 255.255.255.255
#
url-template name urlTemplate_0
url http://172.16.130.5/cp/huawei
url-parameter ap-ip AP-IP ap-mac AP-MAC redirect-url redirect-url ssid ssid user-ipaddress user-ipaddress user-mac user-mac sysname sysname ac-ip AC-IP
url-parameter mac-address format delimiter : normal
#
web-auth-server wnam-server
server-ip 172.16.130.5
port 50200
url http://172.16.130.5/cp/huawei
url-template urlTemplate_0
#
portal-access-profile name wnam-portal-access-profile
web-auth-server wnam-server layer3
#
aaa
authentication-scheme default
authentication-scheme radius
authentication-mode radius
authorization-scheme default
accounting-scheme default
accounting-mode radius
accounting realtime 5
accounting start-fail online
domain default
domain default_admin
#
wlan
traffic-profile name default
security-profile name default
security-profile name default-mesh
security wpa2 psk pass-phrase %^%#U/o>@VZq@K@@r-BP_rFX!&H3Gc`_{HZ<3|*AE(WR%^%# aes
ssid-profile name default
ssid HUAWEI
vap-profile name default
authentication-profile wnam-authentication-profile
mesh-handover-profile name default
mesh-profile name default
country-code RU
air-scan-profile name default
rrm-profile name default
radio-2g-profile name default
radio-5g-profile name default
wids
#
interface Wlan-Radio0/0/0
vap-profile default wlan 1
#

Внимание!!!

Если в вашем конфигурационном файле контроллера включена опция:

portal captive-bypass enable

Это означает, что при подключении устройств Apple к беспроводной сети не появится окно мини-браузера с предложением авторизации, и устройство (и абонент) будет считать, что доступ в интернет есть. При этом, на самом деле, его нет. Попытка открыть клиент соцсети, мессенджер или любимый сайт (конечно же, он окажется https-сайтом) приведет к ошибке, и как следствие к недовольству абонента.

Поэтому рекомендуется  категорически требуется отключить обход CNA командой:

undo portal captive-bypass enable


Ниже приведены скриншоты графического интерфейса точки доступа:

Настройка площадки и сервера доступа в интерфейсе WNAM производится обычным порядком. 

Внимание! Конфигурационный файл контроллера содержит строки:

 radius-attribute check Session-Timeout
radius-attribute check HW-Input-Committed-Information-Rate
radius-attribute check HW-Output-Committed-Information-Rate

Они означают, что контроллер в RADIUS-Accept сообщениях от сервера WNAM будет проверять наличие этих трех атрибутов. Следовательно, вы обязаны указать лимиты скорости (rx/tx) и длительности сессии в разделе "Ограничения" общих, или для заданной площадки. В противном случае, если ограничения не выставлены, атрибутов в ответе не будет, и контроллер не пропустит абонента. Если вам совсем не нужны эти ограничения, уберите соответствующие строки из конфигурации контроллера.

При корректной настройке при попытке подключения абонента к Wi-Fi сети в лог-файле WNAM будут отображаться следующие записи:

21:08:11.706 DEBUG [c.n.w.web.cp.CaptivePortalController:544] - CP huawei redirect: mac=4C:57:CA:XX:XX:XX, ip=172.16.130.154, ap=d4:c8:b0:15:1d:40 [HUAWEI], server=Huawei, 192.168.0.5
21:08:11.722 DEBUG [c.n.w.web.cp.CaptivePortalController:1661] - processAuthRequest HUAWEI: username=4C:57:CA:XX:XX:XX, ip=172.16.130.154, server=Huawei, site_id=3, dst='http://www.ru/'
21:08:11.722 DEBUG [c.n.w.web.cp.CaptivePortalController:1804] - processRedirectRequestCi mac=4C:57:CA:XX:XX:XX, method=FORM, formName=58addf80bd045a2fa888c7a6, redirectUrl=http://www.ru/, key=33f0eb37-ee12-4572-ad58-10a1c237de00
21:08:13.053 DEBUG [c.n.w.web.cp.CaptivePortalController:1530] - RedirectCi login: site_id=3, username=4C:57:CA:2C:0F:4C, dst='http://www.ru/', dst_extra='null'
21:08:13.053 DEBUG [c.n.w.web.cp.CaptivePortalController:2102] - loginAtNasCi HUAWEI mac=4C:57:CA:XX:XX:XX, ip=172.16.130.154, server=Huawei, dst='http://www.ru/'
21:08:13.057 DEBUG [com.netams.wnam.web.cp.Huawei:85] - backToHuawei login len=439, server='172.16.130.75', username=4C:57:XX:XX:XX:XX, password=password, dst='http://www.ru/'
21:08:13.079 INFO [WnamRadius:522] - AUTH for new session ID=Huawei000000000000019e7f4f000019-2c0f4c, request MAC=4C:57:CA:XX:XX:XX, IP=172.16.130.154, cust_clientid=iSE
21:08:13.112 INFO [WnamRadius:683] - ACCT Start new session ID=Huawei000000000000019e7f4f000019-2c0f4c, MAC=4C:57:CA:XX:XX:XX, IP=172.16.130.154, NAS=172.16.130.75
21:13:13.124 INFO [WnamRadius:683] - ACCT Interim-Update existing (Huawei000000000000019e7f4f000019-2c0f4c) session ID=Huawei000000000000019e7f4f000019-2c0f4c, MAC=4C:57:CA:XX:XX:XX, IP=172.16.130.154, NAS=172.16.130.75
21:13:13.652 INFO [WnamRadius:683] - ACCT Stop existing (Huawei000000000000019e7f4f000019-2c0f4c) session ID=Huawei000000000000019e7f4f000019-2c0f4c, MAC=4C:57:CA:XX:XX:XX, IP=172.16.130.154, NAS=172.16.130.75