Контроллер Cisco WLC (в данном примере - Cisco 9800-CL) вы настраиваете в точности, как его настраивают для взаимодействия с Cisco ISE. Режим взаимодействия CWA, Central Web Auth).
Документация по настройке контроллеров серии 9800 вместе с ISE доступна на сайте производителя контроллера. Контроллеры предыдущих моделей (8.х) настраиваются аналогично, посмотрите в примеры к WNAM 1.6.
В настройках контроллера указывается только IP адрес RADIUS-сервера (адреса серверов кластера WNAM 2), и адрес (адреса) сервера WNAM 2 в качестве безусловно разрешенных, в ACL. Ссылку на сервер WNAM 2 (гостевой портал) указывать не надо, она динамически отправится контроллеру в RADIUS-ответе.
Настройка ACL:
Для точек доступа в Flex режиме отредактируйте профиль, чтобы ACL был заранее загружен на точку доступа. В центральном режиме редиректом и фильтрацией занимается сам контроллер.
Настройка RADIUS-сервера:
Группа RADUS серверов, в составе двух серверов кластера:
Методы аутентификации и авторизации:
Аутентификация:
Авторизация:
Аккаунтинг:
Дополнительные настройки ААА:
Настройки профиля гостевого SSID (WLAN):
Внимание! Прежде, чем настраивать и проверять работу гостевой авторизации, вы должны убедиться, что ваш SSID работает в открытом режиме без авторизации: происходит подключение, назначение IP адреса в нужном VLAN, маршрутизация, DNS, NAT работают без ошибок.
На стороне системы авторизации WNAM 2 вы настраиваете взаимодействие с контроллером (RADIUS-клиентом) и правила аутентификации/авторизации вне зависимости от того, какой способ гостевой авторизации (ваучер, смс, звонок и т.п.) вы применяете.
Сначала необходимо настроить сетевое устройство (NAS) в разделе "Объекты - Сетевые устройства": ваш контроллер Wi-Fi, указав вендора CISCO, тип WIRELESSCONTROLLER, IP адрес и RADIUS-ключ:
Теперь в разделе "NAC" настройте правила аутентификации и авторизации для гостевых пользователей.
Для ранее неизвестных/просроченных гостевых пользователей CWA аутентификация должна заканчиваться успехом с авторизацией типа Access-Accept и обязательным назначением двух атрибутов: ссылки редиректа на портал, и имени разрешающего портальный трафик ACL (в примере: wnam2_redirect).
В разделе "Главная - NAC - Аутентификация - Беспроводный MAB", первое правило:
в свойствах:
В разделе "Главная - NAC - Авторизация ", новое правило, два атрибута, ссылка и ACL (не перепутайте _ и - в имени ACL):
Для беспроводных контроллеров Cisco используется механизм CWA (Central WebAuth), при котором RADIUS-сервер WNAM 2 в результате авторизации первого подключения отправляет атрибуты URL перенаправления, и списка доступа разрешенных до авторизации ресурсов, контроллеру.
Оба атрибута - типа Cisco-AVPair (вендорские, уже есть в словаре) со значениями для нашего примера:
url-redirect=https://portal.company.ru/portal?%URL%
url-redirect-acl=wnam2_redirect
При срабатывании правила необходимо указать условие: не создавать эндпоинт (на этой стадии его создавать пока рано; он создастся позже, в момент подтверждения доступа).
Для авторизованных гостевых пользователей CWA аутентификация должна заканчиваться успехом с авторизацией типа Access-Accept и опциональным назначением атрибутов тайм-аута сессии, лимита скорости.
В разделе "Главная - NAC - Аутентификация - Беспроводный MAB", второе правило:
Параметры правила:
Авторизация доступа: Accept, возможно с назначением других атрибутов (лимиты по скорости и т.п.):
Успешное подключение и авторизация гостевого пользователя приведет к появлению записи об его устройстве (эндпоинте) в списке, с типом GUEST.
Обратите внимание на две сессии подключения, первая с редиректом, вторая с авторизацией полного доступа.
