Начиная с версии 1.2.607 WNAM поддерживает взаимодействие с беспроводным контроллером Aruba (теперь это Hewlett Packard Enterprise). Тестировался контроллер Aruba3200 с ArubaOS 6.4.2.4.
Используемые в описании настройки параметры:
- IP адрес контроллера (публичный): 89.11.95.20
- IP адрес контроллера (внутренний): 172.16.0.1
- IP адрес сервера WNAM: 89.11.95.19
- VLAN для трафика гостевой сети: 162
- SSID: aruba
На следующей вкладке "AAA Profiles" создайте профиль авторизации, wnam_aaa_profile.
В настройках профиля укажите следующие значения. Обратите внимание на начальную роль "Initial role". Эта роль будет присвоена "неавторизованным сессиям" подключенных абонентов. Не забудьте также про параметры Interim Accounting:
Укажите группу радиус-серверов wnam_radius_sg в двух местах в настройке этого профиля:
Теперь необходимо создать запись о портала перехвата в меню "L3 Authentication". Создайте профиль wnam_captive_portal:
Укажите следующие параметры профиля, как на рисунке.
В качестве Login page используется внешний портал авторизации, WNAM, ссылка на который имеет вид: http://89.11.95.19/cp/aruba
То же самое необходимо указать в Welcome page (но не используется). Для пропуска клиентского трафика до сервера авторизации укажите белый список (White list) wnam_destination.
В меню расширенных настроек укажите параметры не активности пользователя и отправки промежуточной статистики (Interim stats). Укажите IP адрес сервера доступа, который будет фигурировать в RADIUS-пакетах как NAS-IP-Address. Этот адрес вам надо будет указать как адрес сервера доступа в WNAM (172.16.0.1):
Необходимо настроить списки доступа и другие разрешающие правила в меню "Configuration - Security - Access control". Измените правила политики guest-logon:
Укажите применяющийся портал перехвата wnam_captive_portal:
Отредактируйте политику wnam_captive_portal_list_operations:
Создайте политику wnam_access:
Создайте в политике wnam_access правило, разрешающее HTTP трафик до сервера WNAM:
Теперь следует настроить использование портала перехвата в беспроводной сети. Профиль сети - guestnet:
Необходимо в разделе ААА выбрать профиль wnam_aaa_profile:
На этом настройка контроллера Aruba завершена.
На стороне WNAM необходимо создать сервер доступа типа Aruba, указать IP-адрес, соответствующий NAS-IP-Address в RADIUS-пакетах от контроллера. Обратите внимание - контроллер Aruba не поддерживает определение имени абонентского устройства (через разбор DHCP-пакетов), а также экспорт статистики NetFlow.
Для примера также приведен текстовый конфигурационный файл:
ip access-list standard wnam_whitelist
permit host 89.11.95.19
netdestination wnam_destination
host 89.11.95.19
ip access-list session wnam_access
user host 89.11.95.19 svc-http permit
user-role guest-logon
captive-portal "wnam_captive_portal"
access-list session ra-guard
access-list session logon-control
access-list session captiveportal
access-list session v6-logon-control
access-list session captiveportal6
user-role guest
access-list session global-sacl
access-list session apprf-guest-sacl
access-list session ra-guard
access-list session http-acl
access-list session https-acl
access-list session dhcp-acl
access-list session icmp-acl
access-list session dns-acl
access-list session v6-http-acl
access-list session v6-https-acl
access-list session v6-dhcp-acl
access-list session v6-icmp-acl
access-list session v6-dns-acl
access-list session wnam_access
aaa rfc-3576-server "89.11.95.19"
key XXX
aaa authentication mac "wnam_mac_authprofile"
delimiter colon
case upper
aaa authentication-server radius "wnam_radius"
host "89.11.95.19"
key XXX
nas-identifier "Aruba"
nas-ip 89.11.95.20
mac-delimiter colon
called-station-id type macaddr include-ssid enable delimiter colon
aaa server-group "wnam_radius_sg"
auth-server wnam_radius
aaa profile "wnam_aaa_profile"
initial-role "guest-logon"
mac-server-group "wnam_radius_sg"
radius-accounting "wnam_radius_sg"
radius-interim-accounting
rfc-3576-server "89.11.95.19"
aaa authentication captive-portal "wnam_captive_portal"
server-group "wnam_radius_sg"
guest-logon
no logout-popup-window
protocol-http
login-page "http://89.11.95.19/cp/aruba"
welcome-page "http://89.11.95.19/cp/aruba?welcome"
no enable-welcome-page
switchip-in-redirection-url
user-vlan-in-redirection-url
ip-addr-in-redirection-url "89.11.95.20"
white-list "wnam_destination"
apple-cna-bypass
wlan virtual-ap "guestnet"
aaa-profile "wnam_aaa_profile"
ssid-profile "cittel-aruba"
vlan 162
band-steering
broadcast-filter all
deny-inter-user-traffic
dos-prevention
wmm-traffic-management-profile "wnm"
!
ap-group "guestnet"
virtual-ap "guestnet"
Также вашему вниманию предлагается альтернативное описание настройки контроллера.