You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 7 Next »

WNAM 2 поддерживает взаимодействие с контроллерами беспроводных сетей Huawei серий AC, AirEngine, а также с точками доступа c Fat прошивкой.

Взаимодействие может быть построено на использовании:

  • "Китайского портального протокола" CMPP версии 2 (универсальное решение)
  • RADIUS CoA протокола (начиная с версии ПО V200R023C00SPC100)

Ниже идет описание настройки на основе CMPP на примере точки доступа AirEngine 5761/Fat, которое подойдет и для работы с контроллером.

Гостевая авторизация через портальный протокол описана в этом документе и работает следующим образом:

  • Первоначальное подключение клиента к SSID вызывает RADIUS MAC авторизацию. WNAM 2 согласно своим правилам ищет в своей базе данных эндпоинт, не находит (находит, но с просроченной авторизацией), возвращает RADIUS Access-Reject
  • Контроллер использует настроенные в его конфигурации данные (ссылка редиректа, параметры, разрешенные ресурсы) для редиректа веб-сессии клиента на портал
  • Клиент попадает на портал по адресу http://имя-wnam2-сервера/portal , где проходит авторизацию настроенным методом
  • По её окончании WNAM 2 создаёт в БД эндпоинт типа GUEST, и отправляет в контроллер на его адрес, udp port 2000 специальный пакет, запрашивающий открытие доступа 
  • WNAM 2 согласно своим правилам ищет в своей базе данных эндпоинт, находит, возвращает RADIUS Access-Accept
  • Повторное подключение клиента вызывает отправку Access-Accept без дополнительных редиректов

Настройка сервера WNAM 2 сводится к указанию параметров, определяющих методы гостевой авторизации, и их параметры, как описано в этом документе.

Затем следует сделать настройку двух правил аутентификации типа "Беспроводный MAB":

  • Первое правило сработает для неизвестных/просроченных гостевых устройств, и вызовет отдачу Radius Access-Reject контроллеру.
  • Второе правило сработает для известных/авторизованных гостевых устройств, и вызовет отдачу Radius Access-Accept контроллеру.

Также необходимо развернуть приложение /portal, что должно происходить автоматически при установке/обновлении системы WNAM 2 и так же описано в предыдущей ссылке.

Настройку контроллера желательно производить из CLI. В примере:

  • 172.17.199.23 - адрес контроллера (точки доcтупа)
  • 172.16.133.12 - адрес сервера WNAM 2
#
authentication-profile name web1758390436165
 mac-access-profile web1758390436165
 portal-access-profile web1758390436165
 free-rule-template wnam2-template
 authentication-scheme web1758390436165
 accounting-scheme default
 radius-server wnam2-stress
#
dns resolve 
dns proxy enable
#
web-auth-server version v2
#
radius-server template wnam2-stress
 radius-server shared-key cipher wnam_radius
 radius-server authentication 172.16.133.12 1812 weight 80
 radius-server accounting 172.16.133.12 1813 weight 80
 calling-station-id mac-format colon-split mode2 uppercase
 radius-server algorithm master-backup
 radius-attribute set Service-Type 10 auth-type mac
radius-server ip-address 172.16.133.12 shared-key cipher wnam_radius
radius-server authorization 172.16.133.12 shared-key cipher wnam_radius
radius-server authorization server-source all-interface
#
free-rule-template name wnam2-template
 free-rule 1 destination ip 8.8.4.4 mask 255.255.255.255
 free-rule 2 destination ip 172.16.133.12 mask 255.255.255.255
#
url-template name wnam2-url-template
 url http://172.16.133.12/portal
 url-parameter ap-ip switch_url ap-mac ap-mac user-ipaddress client_ip user-mac client_mac ssid ssid redirect-url redirect-url sysname sysname
 url-parameter mac-address format delimiter : normal
#
web-auth-server wnam2-portal
 server-ip 172.16.133.12
 port 50200
 url-template wnam2-url-template
 server-source ip-address 172.17.199.23
#
portal-access-profile name web1758390436165
 web-auth-server wnam2-portal direct
#
aaa
 authentication-scheme web1758390436165
  authentication-mode radius
 accounting-scheme default
  accounting-mode radius
  accounting realtime 3
#
interface Vlanif1
 ip address 172.17.199.23 255.255.255.0
#
wlan
 traffic-profile name web1758390436165
 security-profile name web1758390436165
  security open
 ssid-profile name web1758390436165
  ssid Huawei-Guest
 vap-profile name web1758390436165
  ssid-profile web1758390436165
  security-profile web1758390436165
  traffic-profile web1758390436165
  authentication-profile web1758390436165
  ap-zone default
  radio 0 1 2 
  sta-network-detect assoc enable
#
mac-access-profile name web1758390436165
#

Обратите внимание, что в разделе  web-auth-server wnam2-portal отсутствует указание параметра "shared-key ciper". Он нежелателен, его подставляет веб-интерфейс контроллера как обязательный, уберите его потом в CLI.

Также обращаем особое внимание, что причина 90% случаев неработоспособности авторизации через контроллеры Huawei лежит в невнимательности удаления этого shared-key, и в не-прописывании разрешений доступа от сервера WNAM 2 до контроллера по udp:2000 на межсетевых экранах.

Если вы мигрируете конфигурацию контроллера с работающей схемы с WNAM 1.6, то единственная разница находится в измененном наборе имен параметров в строке "url-parameter ap-ip ..."

На стороне контроллера, пример информации о статусе устройство, которое прошло на редирект:

<air5761>display access-user detail 
 ------------------------------------------------------------------------------
Basic:
  User ID                         : 359
  User name                       : 4e641bd90e3e
  Domain-name                     : -                               
  User MAC                        : 4e64-1bd9-0e3e
  User IP address                 : 172.16.130.249
  User vpn-instance               : -
  User IPv6 address               : -
  User access Interface           : Wlan-Bss17
  User vlan event                 : Pre-authen     
  QinQVlan/UserVlan               : 0/1
  User vlan source                : user request                  
  User access time                : 2025/10/27 09:34:07
  User access type                : None
  AP name                         : air5761
  Radio ID                        : 1
  AP MAC                          : f4fb-b8e3-e770
  SSID                            : Huawei-Guest
  Online time                     : 13(s)
  User Group Priority             : 0
AAA:
  User authentication type        : None
  Current authentication method   : None
  Current authorization method    : Local
  Current accounting method       : None

Которое прошло авторизацию:

<air5761>display access-user detail
 ------------------------------------------------------------------------------
Basic:
  User ID                         : 360
  User name                       : 4e641bd90e3e
  User MAC                        : 4e64-1bd9-0e3e
  User IP address                 : 172.16.130.249
  User vpn-instance               : -
  User IPv6 address               : -
  User access Interface           : Wlan-Bss1
  User vlan event                 : Success        
  QinQVlan/UserVlan               : 0/1
  User vlan source                : user request                  
  User access time                : 2025/10/27 09:40:35
  User accounting session ID      : air5761000000000000016c****0000168
  User accounting mult session ID : F4FBB8E3E7704E641BD90E3E68FF1****60F8DF7
  User access type                : WEB
  AP name                         : air5761
  Radio ID                        : 0
  AP MAC                          : f4fb-b8e3-e770
  SSID                            : Huawei-Guest
  Online time                     : 25(s)
  Web-server IP address           : 172.16.133.12
  User Group Priority             : 0
AAA:            
  User authentication type        : WEB authentication
  Current authentication method   : RADIUS
  Current authorization method    : -
  Current accounting method       : RADIUS
  • No labels