You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 4 Next »

WNAM 2 поддерживает взаимодействие с контроллерами беспроводных сетей Huawei серий AC, AirEngine, а также с точками доступа c Fat прошивкой.

Взаимодействие может быть построено на использовании:

  • "Китайского портального протокола" CMPP версии 2 (универсальное решение)
  • RADIUS CoA протокола (начиная с версии ПО V200R023C00SPC100)

Ниже идет описание настройки на основе CMPP на примере точки доступа AirEngine 5761/Fat, которое подойдет и для работы с контроллером.

Гостевая авторизация через портальный протокол описана в этом документе и работает следующим образом:

Первоначальное подключение клиента к SSID вызывает RADIUS MAC авторизацию. WNAM 2 согласно своим правилам ищет в своей базе данных эндпоинт, не находит (находит, но с просроченной авторизацией), возвращает RADIUS Access-Reject

Контроллер использует настроенные в его конфигурации данные (ссылка редиректа, параметры, разрешенные ресурсы) для редиректа веб-сессии клиента на портал

Клиент попадает на портал по адресу http://имя-wnam2-сервера/portal , где проходит авторизацию настроенным методом

По её окончании WNAM 2 создаёт в БД эндпоинт типа GUEST, и отправляет в контроллер на его адрес, udp port 2000 специальный пакет, запрашивающий открытие доступа 

WNAM 2 согласно своим правилам ищет в своей базе данных эндпоинт, находит, возвращает RADIUS Access-Accept

Повторное подключение клиента вызывает отправку Access-Accept без дополнительных редиректов

Настройка сервера WNAM 2 сводится к указанию параметров, определяющих метод авторизации, и его параметры, как описано в этом документе. Также необходимо развернуть приложение /portal, что должно происходить автоматически при установке/обновлении системы WNAM 2 и так же описано в предыдущей ссылке.

Настройку контроллера желательно производить из CLI. В примере

  • 172.17.199.23 - адрес контроллера (точки доcтупа)
  • 172.16.133.12 - адрес сервера WNAM 2
#
authentication-profile name web1758390436165
 mac-access-profile web1758390436165
 portal-access-profile web1758390436165
 free-rule-template wnam2-template
 authentication-scheme web1758390436165
 accounting-scheme default
 radius-server wnam2-stress
#
dns resolve 
dns proxy enable
#
web-auth-server version v2
#
radius-server template wnam2-stress
 radius-server shared-key cipher wnam_radius
 radius-server authentication 172.16.133.12 1812 weight 80
 radius-server accounting 172.16.133.12 1813 weight 80
 calling-station-id mac-format colon-split mode2 uppercase
 radius-server algorithm master-backup
 radius-attribute set Service-Type 10 auth-type mac
radius-server ip-address 172.16.133.12 shared-key cipher wnam_radius
radius-server authorization 172.16.133.12 shared-key cipher wnam_radius
radius-server authorization server-source all-interface
#
free-rule-template name wnam2-template
 free-rule 1 destination ip 8.8.4.4 mask 255.255.255.255
 free-rule 2 destination ip 172.16.133.12 mask 255.255.255.255
#
url-template name wnam2-url-template
 url http://172.16.133.12/portal
 url-parameter ap-ip switch_url ap-mac ap-mac user-ipaddress client_ip user-mac client_mac ssid ssid redirect-url redirect-url sysname sysname
 url-parameter mac-address format delimiter : normal
#
web-auth-server wnam2-portal
 server-ip 172.16.133.12
 port 50200
 url-template wnam2-url-template
 server-source ip-address 172.17.199.23
#
portal-access-profile name web1758390436165
 web-auth-server wnam2-portal direct
#
aaa
 authentication-scheme web1758390436165
  authentication-mode radius
 accounting-scheme default
  accounting-mode radius
  accounting realtime 3
#
interface Vlanif1
 ip address 172.17.199.23 255.255.255.0
#
wlan
 traffic-profile name web1758390436165
 security-profile name web1758390436165
  security open
 ssid-profile name web1758390436165
  ssid Huawei-Guest
 vap-profile name web1758390436165
  ssid-profile web1758390436165
  security-profile web1758390436165
  traffic-profile web1758390436165
  authentication-profile web1758390436165
  ap-zone default
  radio 0 1 2 
  sta-network-detect assoc enable
#
mac-access-profile name web1758390436165
#

Обратите внимание, что в разделе  web-auth-server wnam2-portal отсутствует указание параметра "shared-key ciper". Он нежелателен, его подставляет веб-интерфейс контроллера как обязательный, уберите его потом в CLI.

Также обращаем особое внимание, что причина 90% случаев неработоспособности авторизации через контроллеры Huawei лежит в невнимательности удаления этого shared-key, и в не-прописывании разрешений доступа от сервера WNAM 2 до контроллера по udp:2000 на межсетевых экранах.

Если вы мигрируете конфигурацию контроллера с работающей схемы с WNAM 1.6, то единственная разница находится в измененном наборе имен параметров в строке "url-parameter ap-ip ..."

  • No labels