...
- "Китайского портального протокола" CMPP версии 2 (универсальное решение)
- RADIUS CoA протокола (начиная с версии ПО V200R023C00SPC100)
...
Гостевая авторизация через портальный протокол описана в этом документе и работает следующим образом:
- Первоначальное подключение клиента к SSID вызывает RADIUS MAC авторизацию. WNAM 2 согласно своим правилам ищет в своей базе данных эндпоинт, не находит (находит, но с просроченной авторизацией), возвращает RADIUS Access-Reject
- Контроллер использует настроенные в его конфигурации данные (ссылка редиректа, параметры, разрешенные ресурсы) для редиректа веб-сессии клиента на портал
- Клиент попадает на портал по адресу http://имя-wnam2-сервера/portal , где проходит авторизацию настроенным методом
- По её окончании WNAM 2 создаёт в БД эндпоинт типа GUEST, и отправляет в контроллер на его адрес, udp port 2000 специальный пакет, запрашивающий открытие доступа
- WNAM 2 согласно своим правилам ищет в своей базе данных эндпоинт, находит, возвращает RADIUS Access-Accept
- Повторное подключение клиента вызывает отправку Access-Accept без дополнительных редиректов
Настройка сервера WNAM 2 сводится к указанию параметров, определяющих метод методы гостевой авторизации, и его их параметры, как описано в этом документе. в этом документе.
Затем следует сделать настройку двух правил аутентификации типа "Беспроводный MAB":
- Первое правило сработает для неизвестных/просроченных гостевых устройств, и вызовет отдачу Radius Access-Reject контроллеру.
- Второе правило сработает для известных/авторизованных гостевых устройств, и вызовет отдачу Radius Access-Accept контроллеру.
Также необходимо развернуть приложение /portal, что должно происходить автоматически при установке/обновлении системы WNAM 2 b nfr;t jgbcfyj d ghtlsleotq ccskrt/и так же описано в предыдущей ссылке.
Настройку контроллера желательно производить из CLI. В примере:
- 172.17.199.23 - адрес контроллера (точки доcтупа)
- 172.16.133.12 - адрес сервера WNAM 2
#
authentication-profile name web1758390436165
mac-access-profile web1758390436165
portal-access-profile web1758390436165
free-rule-template wnam2-template
authentication-scheme web1758390436165
accounting-scheme default
radius-server wnam2-stress
#
dns resolve
dns proxy enable
#
web-auth-server version v2
#
radius-server template wnam2-stress
radius-server shared-key cipher wnam_radius
radius-server authentication 172.16.133.12 1812 weight 80
radius-server accounting 172.16.133.12 1813 weight 80
calling-station-id mac-format colon-split mode2 uppercase
radius-server algorithm master-backup
radius-attribute set Service-Type 10 auth-type mac
radius-server ip-address 172.16.133.12 shared-key cipher wnam_radius
radius-server authorization 172.16.133.12 shared-key cipher wnam_radius
radius-server authorization server-source all-interface
#
free-rule-template name wnam2-template
free-rule 1 destination ip 8.8.4.4 mask 255.255.255.255
free-rule 2 destination ip 172.16.133.12 mask 255.255.255.255
#
url-template name wnam2-url-template
url http://172.16.133.12/portal
url url-parameter apdevice-ip switch_url ap-mac ap-mac user-ipaddress client_ip user-mac client_mac ssid ssid redirect-url redirect-url sysname sysname
url-parameter mac-address format delimiter : normal
#
web-auth-server wnam2-portal
server-ip 172.16.133.12
port 50200
url-template wnam2-url-template
server-source ip-address 172.17.199.23
#
portal-access-profile name web1758390436165
web-auth-server wnam2-portal direct
#
aaa
authentication-scheme web1758390436165
authentication-mode radius
accounting-scheme default
accounting-mode radius
accounting realtime 3
#
interface Vlanif1
ip address 172.17.199.23 255.255.255.0
#
wlan
traffic-profile name web1758390436165
security-profile name web1758390436165
security open
ssid-profile name web1758390436165
ssid Huawei-Guest
vap-profile name web1758390436165
ssid-profile web1758390436165
security-profile web1758390436165
traffic-profile web1758390436165
authentication-profile web1758390436165
ap-zone default
radio 0 1 2
sta-network-detect assoc enable
#
mac-access-profile name web1758390436165
#
Обратите внимание, что в разделе web-auth-server wnam2-portal отсутствует указание параметра "shared-key ciper". Он нежелателен, его подставляет веб-интерфейс контроллера как обязательный, уберите его потом в CLI.
| Note |
|---|
Если вы настраиваете не контроллер, а точку доступа в режиме Fat, замените название параметра url-parameter device-ip switch_url ... |
| Note |
|---|
Если у вашего контроллера несколько IP адресов, скорее всего вам понадобится применить (глобальные, и/или заданного сервера) команды: web-auth-server server-source web-auth-server source-interface web-auth-server source-ip для корректного взаимодействия контроллера и WNAM 2. Это требуется для того, чтобы система авторизации отправила пакет протокола СМРР в заданный адрес контроллера, а тот его воспринял. |
| Warning |
|---|
Также обращаем особое внимание, что причина 90% случаев неработоспособности авторизации через контроллеры Huawei лежит в невнимательности удаления |
...
web-auth-server ... shared-key, и в не-прописывании разрешений доступа от сервера WNAM 2 до контроллера по порту udp:2000 на межсетевых экранах. |
Если вы мигрируете конфигурацию контроллера с работающей схемы с WNAM 1.6, то единственная разница находится в измененном наборе имен параметров в строке "url-parameter ap-ip ..."
На стороне контроллера, пример информации о статусе устройство, которое прошло на редирект:
<air5761>display access-user detail
------------------------------------------------------------------------------
Basic:
User ID : 359
User name : 4e641bd90e3e
Domain-name : -
User MAC : 4e64-1bd9-0e3e
User IP address : 172.16.130.249
User vpn-instance : -
User IPv6 address : -
User access Interface : Wlan-Bss17
User vlan event : Pre-authen
QinQVlan/UserVlan : 0/1
User vlan source : user request
User access time : 2025/10/27 09:34:07
User access type : None
AP name : air5761
Radio ID : 1
AP MAC : f4fb-b8e3-e770
SSID : Huawei-Guest
Online time : 13(s)
User Group Priority : 0
AAA:
User authentication type : None
Current authentication method : None
Current authorization method : Local
Current accounting method : None
Которое прошло авторизацию:
<air5761>display access-user detail
------------------------------------------------------------------------------
Basic:
User ID : 360
User name : 4e641bd90e3e
User MAC : 4e64-1bd9-0e3e
User IP address : 172.16.130.249
User vpn-instance : -
User IPv6 address : -
User access Interface : Wlan-Bss1
User vlan event : Success
QinQVlan/UserVlan : 0/1
User vlan source : user request
User access time : 2025/10/27 09:40:35
User accounting session ID : air5761000000000000016c****0000168
User accounting mult session ID : F4FBB8E3E7704E641BD90E3E68FF1****60F8DF7
User access type : WEB
AP name : air5761
Radio ID : 0
AP MAC : f4fb-b8e3-e770
SSID : Huawei-Guest
Online time : 25(s)
Web-server IP address : 172.16.133.12
User Group Priority : 0
AAA:
User authentication type : WEB authentication
Current authentication method : RADIUS
Current authorization method : -
Current accounting method : RADIUS