...
#
authentication-profile name web1758390436165
mac-access-profile web1758390436165
portal-access-profile web1758390436165
free-rule-template wnam2-template
authentication-scheme web1758390436165
accounting-scheme default
radius-server wnam2-stress
#
dns resolve
dns proxy enable
#
web-auth-server version v2
#
radius-server template wnam2-stress
radius-server shared-key cipher wnam_radius
radius-server authentication 172.16.133.12 1812 weight 80
radius-server accounting 172.16.133.12 1813 weight 80
calling-station-id mac-format colon-split mode2 uppercase
radius-server algorithm master-backup
radius-attribute set Service-Type 10 auth-type mac
radius-server ip-address 172.16.133.12 shared-key cipher wnam_radius
radius-server authorization 172.16.133.12 shared-key cipher wnam_radius
radius-server authorization server-source all-interface
#
free-rule-template name wnam2-template
free-rule 1 destination ip 8.8.4.4 mask 255.255.255.255
free-rule 2 destination ip 172.16.133.12 mask 255.255.255.255
#
url-template name wnam2-url-template
url http://172.16.133.12/portal
url url-parameter apdevice-ip switch_url ap-mac ap-mac user-ipaddress client_ip user-mac client_mac ssid ssid redirect-url redirect-url sysname sysname
url-parameter mac-address format delimiter : normal
#
web-auth-server wnam2-portal
server-ip 172.16.133.12
port 50200
url-template wnam2-url-template
server-source ip-address 172.17.199.23
#
portal-access-profile name web1758390436165
web-auth-server wnam2-portal direct
#
aaa
authentication-scheme web1758390436165
authentication-mode radius
accounting-scheme default
accounting-mode radius
accounting realtime 3
#
interface Vlanif1
ip address 172.17.199.23 255.255.255.0
#
wlan
traffic-profile name web1758390436165
security-profile name web1758390436165
security open
ssid-profile name web1758390436165
ssid Huawei-Guest
vap-profile name web1758390436165
ssid-profile web1758390436165
security-profile web1758390436165
traffic-profile web1758390436165
authentication-profile web1758390436165
ap-zone default
radio 0 1 2
sta-network-detect assoc enable
#
mac-access-profile name web1758390436165
#
Обратите внимание, что в разделе web-auth-server wnam2-portal отсутствует указание параметра "shared-key ciper". Он нежелателен, его подставляет веб-интерфейс контроллера как обязательный, уберите его потом в CLI.
| Note |
|---|
Если вы настраиваете не контроллер, а точку доступа в режиме Fat, замените название параметра url-parameter device-ip switch_url ... |
| Note |
|---|
Если у вашего контроллера несколько IP адресов, скорее всего вам понадобится применить (глобальные, и/или заданного сервера) команды: web-auth-server server-source web-auth-server source-interface web-auth-server source-ip для корректного взаимодействия контроллера и WNAM 2. Это требуется для того, чтобы система авторизации отправила пакет протокола СМРР в заданный адрес контроллера, а тот его воспринял. |
| Warning |
|---|
Также обращаем особое внимание, что причина 90% случаев неработоспособности авторизации через контроллеры Huawei лежит в невнимательности удаления |
...
web-auth-server ... shared-key, и в не-прописывании разрешений доступа от сервера WNAM 2 до контроллера по порту udp:2000 на межсетевых экранах. |
Если вы мигрируете конфигурацию контроллера с работающей схемы с WNAM 1.6, то единственная разница находится в измененном наборе имен параметров в строке "url-parameter ap-ip ..."
...