WNAM 2 поддерживает взаимодействие с контроллерами беспроводных сетей Huawei серий AC, AirEngine, а также с точками доступа c Fat прошивкой.
Взаимодействие может быть построено на использовании:
- "Китайского портального протокола" CMPP версии 2 (универсальное решение)
- RADIUS CoA протокола (начиная с версии ПО V200R023C00SPC100)
Ниже идет описание настройки на основе CoA на примере точки доступа AirEngine 5761/Fat, которое подойдет и для работы с контроллером.
Гостевая авторизация через RADIUS протокол по аналогии с Cisco CWA описана в этом документе и работает следующим образом:
Первоначальное подключение клиента к SSID вызывает RADIUS MAC авторизацию. WNAM 2 согласно своим правилам ищет в своей базе данных эндпоинт, не находит (находит, но с просроченной авторизацией), возвращает RADIUS Access-Accept с набором атрибутов (заданы в правиле Авторизации):
Filter-Id=3011
HW-Portal-URL=http://172.16.133.12/portal?%URL%
HW-Redirect-ACL=3012
На контроллере НЕ настраиваются секции, связанные с free-rule, url-template, web-auth-server, portal-profile. Вместо этого на контроллере должны быть преднастроены два ACL с заданными номерами(3011, 3012) и содержимым, определяющим параметры редиректа и параметры разрешенных до авторизации ресурсов.
Клиент попадает на портал по адресу http://имя-wnam2-сервера/portal , где проходит авторизацию настроенным методом
По её окончании WNAM 2 создаёт в БД эндпоинт типа GUEST, и отправляет в контроллер на его адрес, udp port 3799 пакет RADIUS CoA с дополнительным атрибутом HW-Ext-Specific=user-command=1, запрашивающий переавторизацию МАС адреса
WNAM 2 согласно своим правилам ищет в своей базе данных эндпоинт, находит, возвращает RADIUS Access-Accept
Повторное подключение клиента вызывает отправку Access-Accept без дополнительных редиректов
Настройка сервера WNAM 2 сводится к указанию параметров, определяющих метод авторизации, и его параметры, как описано в этом документе. Также необходимо развернуть приложение /portal, что должно происходить автоматически при установке/обновлении системы WNAM 2 и так же описано в предыдущей ссылке.
Настройку контроллера желательно производить из CLI. В примере
- 172.17.199.23 - адрес контроллера (точки доcтупа)
- 172.16.133.12 - адрес сервера WNAM 2
#
authentication-profile name web1758390436165
mac-access-profile web1758390436165
authentication-scheme web1758390436165
accounting-scheme default
radius-server wnam2-stress
#
dns resolve
dns proxy enable
#
radius-server template wnam2-stress
radius-server shared-key cipher wnam_radius
radius-server authentication 172.16.133.12 1812 weight 80
radius-server accounting 172.16.133.12 1813 weight 80
calling-station-id mac-format colon-split mode2 uppercase
radius-server algorithm master-backup
radius-attribute set Service-Type 10 auth-type mac
radius-server ip-address 172.16.133.12 shared-key cipher wnam_radius
radius-server authorization 172.16.133.12 shared-key cipher wnam_radius
radius-server authorization server-source all-interface
#
acl number 3011
description Dynamic ACL
rule 5 permit udp destination-port eq dns
rule 10 permit udp source-port eq dns
rule 15 permit udp destination-port eq bootps
rule 20 permit udp destination-port eq bootpc
rule 25 permit udp source-port eq bootps
rule 30 permit udp source-port eq bootpc
rule 35 permit ip destination 172.16.133.12 0
rule 40 permit tcp destination-port eq www
rule 45 permit tcp destination-port eq 443
rule 50 deny ip
acl number 3012
description Rediect ACL
rule 5 deny udp destination-port eq dns
rule 10 deny udp source-port eq dns
rule 15 deny udp destination-port eq bootps
rule 20 deny udp destination-port eq bootpc
rule 25 deny udp source-port eq bootps
rule 30 deny udp source-port eq bootpc
rule 35 deny ip destination 172.16.133.12 0
rule 40 permit ip
#
aaa
authentication-scheme web1758390436165
authentication-mode radius
accounting-scheme default
accounting-mode radius
accounting realtime 3
#
interface Vlanif1
ip address 172.17.199.23 255.255.255.0
#
wlan
traffic-profile name web1758390436165
security-profile name web1758390436165
security open
ssid-profile name web1758390436165
ssid Huawei-Guest
vap-profile name web1758390436165
ssid-profile web1758390436165
security-profile web1758390436165
traffic-profile web1758390436165
authentication-profile web1758390436165
ap-zone default
radio 0 1 2
sta-network-detect assoc enable
#
mac-access-profile name web1758390436165
#
Также обращаем особое внимание, что причина половины случаев неработоспособности авторизации через контроллеры Huawei лежит в не-прописывании разрешений доступа от сервера WNAM 2 до контроллера по udp:3799 на межсетевых экранах.
Описанный подход позволяет серверу WNAM 2 динамически подставлять своё имя/адрес в URL редиректа, что даёт возможность контроллеру работать с обоими экземплярами серверов кластера WNAM 2, работающих рядом, или в разных сетях/ЦОДах. На какой из серверов WNAM 2 упадёт первоначальный RADIUS MAB запрос, тот и будет работать гостевым порталом для данного подключения.