Начиная с версии 1.4.1391 система WNAM поддерживает работу с контроллером по новому механизму авторизации. Этот способ разработан компанией Cisco для взаимодействия контроллера с программным обеспечением Cisco ISE, однако но система WNAM полностью эмулирует поведение ISE в данной задаче. Документация по настройке контроллера и ISE доступна на сайте производителя.
...
- перехвата трафика новой веб-сессии контроллером и перенаправления пользователя на заданную на контроллере ссылку;
- авторизации на внешней системе (WNAM);
- перенаправления пользователя обратно на контроллер , (на его виртуальный интерфейс интерфейс);
- авторизации пользователя контроллером на RADIUS-сервере и перенаправления пользователя в интернетсеть Интернет.
Этот механизм с точки зрения пользователя представляет собой цепочку редиректов, что отрицательно сказывается на его восприятии сервиса пользователем. Этот метод также требует точной настройки DNS, SSL-сертификата. Иногда даже корректно авторизованный абонент перенаправляется на URL контроллера http://1.1.1.1/ и сессия на этом "застревает".
Для того, чтобы исключить эти дополнительные редиректы, новый метод CWA основан на следующем:
- при подключении устройства абонента к сети контроллером проводится RADIUS-запрос к серверу политики (WNAM) с целью получить ACL и URL перенаправления;
- проводится перехват трафика новой веб-сессии и перенаправление пользователя на полученную ссылку (без редиректа на контроллер);
- осуществляется авторизация на внешней системе (WNAM);
- по завершении авторизации система WNAM сообщает контроллеру по протоколу RADIUS CoA о необходимости реавторизации повторной авторизации сессии пользователя;
- производится повторная авторизация пользователя контроллером на RADIUS-сервере и применение полученной политики "пропуска";
- система WNAM осуществляет перенаправление пользователя на заданную ссылку.
При этом, с точки зрения пользователя нет дополнительных редиректов , и ассоциированных с этим проблем.
Для настройки CWA необходимо вначале настроить SSID, точки доступа, маршрутизацию, DHCP и протестировать обычный доступ в интернет сеть Интернет без авторизации.
В приведенных ниже примерах используются следующие адреса:
- 172.16.130.13 - RADIUS-сервер системы WNAM;
- 172.16.130.5 порт 8080 - административный и абонентский интерфейс WNAM интерфейс администратора и абонента системы WNAM, а также RADIUS CoA сервер;
- 10.208.144.213 - контроллер Cisco vWLC с ПО версии 8.0.140.0;
- 10.208.148.0/24 - сеть для устройств беспроводных абонентов;
- SSID - tmp.
В вашем данном случае сервер системы WNAM может использовать один адрес, т.е. оба компонента (веб-часть и RADIUS-сервер) размещены на одном сервере. Также IP-адреса, указанные в примере, вы должны заменить быть заменены на собственные IP-адреса, соответствующие структуре вашей используемой сети.
1. Настройка контроллера
Первым делом вы должны настроить В первую очередь необходимо настроить SSID в режиме "без авторизации" и проверить, что беспроводной абонент имеет доступ в сеть Интернет, то есть работают радио-часть, DHCP, NAT, маршрутизация. Для готового и проверенного SSID настройте необходимо настроить авторизацию. Безопасность L2 - выключенадолжна быть выключена (параметр "Layer 2 Security" необходимо перевести в режим "None"), но включен режим mac filtering"Mac Filtering" установкой чекбокса. Данные настройки необходимо выполнить в интерфейсе администратора контроллера Cisco.
В режиме L3 также ничего не настроено следует выключить параметр "Layer 3 Security" и не производить дополнительных настроек (никаких Web Auth).
В настройках серверов "ААА укажите Servers" контроллера необходимо указать адреса серверов авторизации и аккаунтинга (сервер системы WNAM), а также необходимо указать Interim Update (интервал времени между апдейтами обновлениями счётчиков).
Во вкладке "Advanced обязательно должны быть указаты " контроллера необходимо обязательно указаьб три параметра:
- Allow AAA Override;
- DHCP address assignment - Required;
- NAC State: RADIUA RADIUS NAC (или ISE NAC)
- .
Обязательно следует выключить чекбокс "Client Exclusion".
Затем необходимо создать Создайте ACL (список доступа), разрешающий доступ к серверу системы WNAM до авторизации. Запомните Необходимо запомнить имя ALC ACL (в примере - используется имя "wnam_cwa").
Warning |
---|
Имя ACL в дальнейшем используется при настройке сервера доступа системы WNAM. Типичная ошибка: использование на сервере доступа системы WNAM имен "wnam-cwa" или "cwa_wnam". |
В списке правил в ACL разрешите трафки необходимо разрешить трафик до сервера авторизации и обратно, а также DNS-трафик. Это позволит получать абонентскому устройству доступ до портала авторизации и до DNS-серверов в то время, пока основной доступ в сеть Интернет ещё запрещён. Можно сделать более тонкие (узкие) настройки ограничений.
Warning |
---|
Настраивать ACL в разделе "Access Control Lists" можно только в том случае, если используется конфигурация с централизованным пропуском трафика (т.е. через контроллер). |
Если трафик коммутируется локально точками доступа, которые находятся в режиме FlexConnect, необходимо создать лист wnam_cwa в разделе "FlexConnect ACLs". Затем необходимо загрузить этот ACL на точку доступа в окне контроллера Wireless → FlexConnect Groups → ACL Mapping → Policies.
Не требуется прикреплять этот ACL к какому-нибудь VLAN, WLAN и т.п. в соседних вкладках.
Далее следует создать и настроить Настройте сервер авторизации. В нашем данном примере это два сервера: .13 (для собственно авторизации, ) и .5 (для CoA пакетов).
Обратите внимание на значение опции "Auth Called Station ID Type" (AP MAC Address::SSID).
В настройках сервера авторизации пропишите необходимо прописать секретный ключ. Его надо также поместить в /etc/freeradius/clients.conf
или в настройки сервера доступа системы (для WNAM версии 1.6). Также необходимо включить опцию "Support for RFC 3576" (она может называться "Support for CoA").
Далее необходимо создать Создайте запись об аккаунтинг-сервере в разделе "RADIUS Accounting Servers" контроллера.
Также укажите необходимо указать ключ для сервера аккаунтинга. Скорее (скорее всего, это тот же сервер авторизации).
На этом этапе настройка контроллера закончена. Необходимо настроить завершена. Далее следует приступить к настройке системы WNAM.
2. Настройка системы WNAM
Создайте Необходимо создать запись о сервере доступа типа Cisco WLC (создать новый сервер доступа - контроллер). Укажите в разделе "Конфигурация" → "Сервера доступа"). В параметрах создаваемого сервера доступа необходимо указать адрес, имя, местоположение. Логин , логин и пароль не используются.
Во вкладке RADIUS укажите:В параметрах "атрибуты настроек сервера в поле "Атрибуты предварительной авторизации" необходимо указать:
- cisco-avpair=url-redirect=http://имя_вашего_сервера_wnam/cp/cisco?%URL%
- cisco-avpair=url-redirect-acl=wnam_cwa
Warning |
---|
Данные строки необходимо указать в представленном виде, без лишних пробелов, например, cisco-avpair=url-redirect=http://172.16.0.100/cp/cisco?%URL% |
При этом, имя ACL должно соответствовать тому имени, что вы создали которое создано на контроллере. Параметр %URL% будет заменен системой WNAM при формировании ответа контроллеру. При копировании атрибутов следует убедиться, что они не начинаются с пробелов. Если используемый сервер системы WNAM принимает обращения по HTTPS или нестандартному порту (не 80), необходимо исправить URL соответствующим образом.
Вы также можете поставить параметры %HOSTNAME% или %HOSTIP% вместо статически прописанного "имя_вашего_сервера_wnam". В этом случае параметр будет в реальном времени заменён на соответствующее значение имени сервера (без доменной части) либо его IP адрес, что требуется при настройке работы в кластерной распределённой конфигурации WNAM без общего IP-адреса или DNS-имени. Опция доступна в WNAM 1.6.4249 и старше.
Также необходимо указать Также укажите секретный RADIUS ключ (как вы который ранее указали на контроллере) для работы CoA.
настройке Затем необходимо настроить запись о площадке оказания услуги (параметры площадки в разделе "Конфигурация" → "Площадки"). Обязательно выберите выбрать сервер доступа (контроллер) из списка. Это требуется для того, чтобы система WNAM могла определить, на какой контроллер отправлять команду RADIUS CoA для подключения абонента к сети Интернет (контроллеров может быть больше одного).
В качестве "дополнительного ID" необходимо обязательно указать индекс (порядковый номер) профиля WLAN/SSID на контроллере, который соответствует вашей гостевой сети. Этот номер соответствует RADIUS-атрибуту Airespace-Wlan-Id, который передает контроллер.
На этом и настройка системы WNAM законченазавершена.
3. Тестирование
...
механизма авторизации
После проведенных настроек контроллера и системы WNAM рекомендуется попытаться совершить провести авторизацию Проведите попытку авторизации в Wi-Fi сети. После завершения авторизации и появления долступа доступа в интернет сеть Интернет в интерфейсе системы WNAM появится запись о новой сессии вида:
.