You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 3 Next »

Начиная с версии 1.4.1391 WNAM поддерживает работу с контроллером по новому механизму авторизации.

Этот способ разработан для взаимодействия контроллера с программным обеспечением Cisco ISE, однако WNAM полностью эмулирует поведение ISE в данной задаче. Документация по настройке контроллера и ISE доступна на сайте производителя.

Традиционный способ веб-авторизации на контроллере Cisco построен на основе:

  • перехвата трафика новой веб-сессии контроллером и перенаправления пользователя на заданную на контроллере ссылку
  • авторизации на внешней системе (WNAM)
  • перенаправления пользователя обратно на контроллер, на его виртуальный интерфейс 
  • авторизации пользователя контроллером на RADIUS-сервере и перенаправления пользователя в интернет

Этот механизм с точки зрения пользователя представляет цепочку редиректов, что отрицательно сказывается на его восприятии сервиса. Этот метод также требует точной настройки DNS, SSL-сертификата. Иногда даже корректно авторизованный абонент перенаправляется на URL контроллера http://1.1.1.1/ и сессия на этом застревает.

Для того, чтобы исключить эти дополнительные редиректы, новый метод CWA основан на следующем:

  • при подключении устройства абонента к сети контроллером проводится RADIUS-запрос к серверу политики (WNAM) с целью получить ACL и URL перенаправления
  • проводится перехват трафика новой веб-сессии и перенаправление пользователя на полученную ссылку
  • осуществляется авторизация на внешней системе (WNAM)
  • по завершении авторизации WNAM сообщает контроллеру по протоколу RADIUS CoA о необходимости реавторизации сессии
  • производится повторная авторизация пользователя контроллером на RADIUS-сервере и применение полученной политики "пропуска"
  • WNAM осуществляет перенаправление пользователя на заданную ссылку

При этом с точки зрения пользователя нет дополнительных редиректов, и ассоциированных с этим проблем.

Для настройки CWA необходимо вначале настроить SSID, точки доступа, маршрутизацию, DHCP и протестировать обычный доступ в интернет без авторизации.

В приведенных ниже примерах используются следующие адреса:

172.16.130.13 - RADIUS-сервер WNAM

172.16.130.5 порт 8080 - административный и абонентский интерфейс WNAM 

10.208.144.213 - контроллер Cisco vWLC с ПО версии 8.0.140.0

10.208.148.0/24 - подсеть для устройств беспроводных абонентов

В вашем случае сервер WNAM может использовать один адрес, т.е. оба компонента (веб-часть и RADIUS-сервер) размещены на одном сервере.

1. Настройка контроллера

На этом настройка контроллера закончена. Необходимо настроить WNAM.

 

 

 

  • No labels