Начиная с версии 1.1.490 система управления беспроводным доступом поддерживает работу в сетях,маршрутизацию в которых осуществляют устройства Cisco ISG.
К семейству устройств ISG (Intelligent Services Gateway) относятся высокопроизводительные маршрутизаторы операторского уровня, такие как Cisco 7200, 7300, 7600, 10000, ASR1000 и другие. При использовании специальной версии программного обеспечения они позволяют обеспечивать агрегацию и контроль доступа больших сетей передачи данных, с сотнями тысяч абонентов. Маршрутизаторы ISG - единственные в линейке маршрутизаторов Cisco, способные обеспечить функционал "портала перехвата", необходимый для проведения авторизации пользователя сети, в том числе беспроводного.
Для реализации поддержки ISG необходимо в административном интерфейсе WNAM создать сервер доступа с заданным типом, и параметрами:
В отличие от типовых настроек сервера доступа, необходимо указать ещё два дополнительных параметра, определяющих наборы RADIUS-атрибутов, передаваемых маршрутизатору.
В качестве атрибутов предварительно авторизации необходимо передать имя сервиса, вызывающей перенаправление неавторизованной сессии на сервер WNAM (для проведения авторизации).
Сервис LOCAL_L4R, в свою очередь, ссылается на список доступа 197, в котором определены правила перенаправления всего трафика, кроме трафика до сервера авторизации, а также указание на сервер (через правило REDIRECT_NOPAY) 10.219.7.71 порт 81.
Для перехвата всего трфвика, попадающего на сервер авторизации, установлен прокси-сервер nginx со следующим конфигурационным файлом:
/etc/nginx/sites-enabled/wnam-redirect
server {
listen *:81;
server_name wnam;
expires -10s;
rewrite ^(.*)$ http://10.219.7.71/cp/isg redirect;
}
Согласно этой конфигурации, все HTTP-запросы неавторизованных пользователей перенаправляются на портал авторизации WNAM.
Для корректной работы системы необходима связка MAC-адреса клиента, и текущего IP-адреса, при помощи скрипта /usr/local/bin/wnam-leases.pl
Внимание! DHCP-сервер должен быть запущен на сервере WNAM. Допускается использование маршрутизатора между ISG и клиентской подсетью.В нашем примере клиентская подсеть имеет адреса 10.10.100.0/24После успешной авторизации на портале WNAM необходимо сообщить маршрутизатору ISG об изменении сервиса, и об установке правил аккаунтинга. Для этого WNAM отправляет пакеты RADIUS CoA в сторону маршрутизатора, с параметрами, указанными в окне настроек сервера доступа. В данном примере удаляется сервис перенаправления и включается сервис "INTERNET", в который входит аккаунтинг (список доступа 100).Никаких дополнительных настроек на стороне FreeRADIUS не требуется.
Ниже приведен лог процесса успешной авторизации пользователя (10.10.100.10) на сервере WNAM (10.219.7.71):
...
10:15:16.330 DEBUG [c.n.wnam.services.LinuxCPService:329] - create ISG session IP=10.10.100.10, NAS=10.219.7.75, MAC=00:00:00:00:00:01, SESS=0ADB074B7600000000000054
10:15:17.813 DEBUG [c.n.w.web.cp.CaptivePortalController:240] - CP isg redirect: IP=10.10.100.10, MAC=00:18:E7:0E:37:EF, ID='TP2-TKI-mAPM', CUST=known, phone=null
10:15:17.814 DEBUG [c.n.wnam.services.LinuxCPService:343] - update ISG session IP=10.10.100.10, NAS=10.219.7.75, MAC=00:18:E7:0E:37:EF, SESS=0ADB074B7600000000000054
10:15:17.816 DEBUG [c.n.w.web.cp.CaptivePortalController:697] - processAuthRequest ISG: username=00:18:E7:0E:37:EF, ip=10.10.100.10, server=, site_id=null, dst=''
10:15:17.817 DEBUG [c.n.w.web.cp.CaptivePortalController:760] - processRedirectRequest username=00:18:E7:0E:37:EF, method=FORM
10:15:19.594 DEBUG [c.n.w.web.cp.CaptivePortalController:591] - Redirect login: site_id=2, username=00:18:E7:0E:37:EF, dst='http://bash.im'
10:15:19.595 DEBUG [c.n.w.web.cp.CaptivePortalController:829] - loginAtNas ISG username=00:18:E7:0E:37:EF, ip=10.10.100.10, server=, dst='http://bash.im'
10:15:19.597 DEBUG [c.n.wnam.services.LinuxCPService:276] - open ISG access REQ for IP=10.10.100.10, MAC=00:18:E7:0E:37:EF
10:15:19.612 DEBUG [c.n.wnam.services.LinuxCPService:301] - open ISG access SUCCESS for IP=10.10.100.10, MAC=00:18:E7:0E:37:EF
10:15:19.618 DEBUG [c.n.wnam.services.WnamCmdService:537] - ACCT-Start uhid task NAS=10.219.7.75, CUST=00:18:E7:0E:37:EF, IP=10.10.100.10, DB=wnam_db
10:15:19.618 DEBUG [c.n.wnam.services.WnamCmdService:173] - ACCT-Start uhid processing NAS=10.219.7.75, CUST=00:18:E7:0E:37:EF, IP=10.10.100.10, DB=wnam_db
Ниже приведен фрагмент конфигурационного файла маршрутизатора ISG (его адрес - 10.219.7.75).
boot-start-marker
boot system flash disk0:c7200-k91p-mz.122-31.SB3.bin
boot-end-marker
!
!
aaa new-model
!
!
aaa group server radius ISG-RADIUS
server 10.219.7.71 auth-port 1812 acct-port 1813
ip radius source-interface FastEthernet0/1.2
!
aaa authentication login TAL_LIST group ISG-RADIUS
aaa authorization exec default local
aaa authorization network TAL_LIST group ISG-RADIUS
aaa authorization subscriber-service default local group ISG-RADIUS
aaa accounting delay-start all
aaa accounting update periodic 1 jitter maximum 0
aaa accounting network TAL_LIST start-stop group ISG-RADIUS
!
!
!
aaa server radius dynamic-author
client 10.219.7.71
client 10.219.7.76
client 10.10.100.10
server-key 7 04480E051D2458
auth-type any
!
aaa session-id common
ip subnet-zero
no ip icmp rate-limit unreachable
ip cef
!
!
ip dhcp relay information option
ip dhcp relay information policy keep
ip dhcp relay information trust-all
!
!
redirect server-group REDIRECT_NOPAY
server ip 10.219.7.71 port 81
!
!
!
class-map type traffic match-any CLASS-TO-REDIRECT
match access-group output 197
match access-group input 197
!
class-map type traffic match-any INTERNET
match access-group output 100
match access-group input 100
!
class-map type control match-all ISG-IP-UNAUTH
match authen-status unauthenticated
match timer UNAUTH-TIMER
!
policy-map type service LOCAL_L4R
1 class type traffic CLASS-TO-REDIRECT
redirect to group REDIRECT_NOPAY
!
!
policy-map type service INTERNET
1 class type traffic INTERNET
accounting aaa list TAL_LIST
!
!
policy-map type control ISG-CUSTOMERS-POLICY
class type control ISG-IP-UNAUTH event timed-policy-expiry
1 service disconnect
!
class type control always event session-start
1 collect identifier source-ip-address
10 authorize aaa list TAL_LIST password cisco identifier source-ip-address
20 set-timer UNAUTH-TIMER 1
!
class type control always event account-logoff
1 service disconnect
!
class type control always event session-restart
10 authorize aaa list TAL_LIST password cisco identifier source-ip-address
20 set-timer UNAUTH-TIMER 1
!
!
!
!
interface Loopback0
ip address 1.1.1.1 255.255.255.255
!
interface FastEthernet0/0
no ip address
speed auto
duplex auto
!
interface FastEthernet0/0.400 ! transport network - to access routers
encapsulation dot1Q 400
ip address 172.16.125.1 255.255.255.252
no snmp trap link-status
service-policy type control ISG-CUSTOMERS-POLICY
ip subscriber routed
initiator unclassified ip-address
!
interface FastEthernet0/1
no ip address
speed auto
duplex auto
!
interface FastEthernet0/1.2 ! wan network - to border router and Internet
encapsulation dot1Q 2
ip address 10.219.7.75 255.255.248.0
no snmp trap link-status
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.219.2.1
ip route 10.10.100.0 255.255.255.0 172.16.125.2
!
!
access-list 100 permit ip any any
access-list 197 deny ip host 10.219.7.71 any
access-list 197 deny ip any host 10.219.7.71
access-list 197 permit tcp any any eq www
access-list 197 permit tcp any eq www any
access-list 197 permit tcp any any eq 443
access-list 197 permit tcp any eq 443 any
access-list 197 deny ip any any
!
!
radius-server attribute 44 include-in-access-req vrf default
radius-server attribute 44 extend-with-addr
radius-server attribute 8 include-in-access-req
radius-server attribute 32 include-in-access-req
radius-server attribute 32 include-in-accounting-req
radius-server attribute 55 include-in-acct-req
radius-server attribute 55 access-request include
radius-server attribute nas-port format e UUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU
radius-server host 10.219.7.71 auth-port 1812 acct-port 1813 key 7 095F4B0A0B0003
radius-server unique-ident 118
radius-server vsa send cisco-nas-port
radius-server vsa send accounting
radius-server vsa send authentication
!