Сравнение версий

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление


На скринах отметить  что  нужно выбрать для настройки

Конфигурацю привесит к виду factory, настроить  firewall 

Оставил пометки по тексту.

Нужно зафиксировать результат, что получили осле настройки и как это поверить.

Описание

...

Netams WNAM - система Стема Netams WNAM   будет рассмотрена для портальной авторизации пользователей Wi-Fi через гостевую сеть.

Информация
titleВзаимодействие системы авторизации Netams WNAM с контроллероми WLC/ESR доступна на:
WLC/ESR-15/30/3200, vWLC - начиная с версии WNAM 1.6.4010

Функциональные возможности системы Netams WNAM:

  • Корпоративная аутентифкация (dot1x) по протоколам PEAP и EAP-TLS;
  • Аутентификация устройств по MAC-адресу;
  • Интеграция с внешними каталогами MS AD и FreeIPA;
  • Встроенный центр управления сертификатами;
  • Поддержка атрибутов авторизации (VLAN ID, Downloadable ACL, Dynamic ACL, ограничение скорости, в том числе проприетарных RADIUS атрибутов);
  • Профилирование устройств;
  • Аутентификация, авторизация и учет действий для административного доступа на сетевые устройства (RADIUS и TACACS+) ;
  • Гостевые порталы с аутентификацией, соответствующей законодательству РФ (обратный вызов, SMS, Госуслуги/ЕСИА);
  • Детальное логирование действий пользователей в сети: длительность сессий, скорость, количество подключений, объем трафика.
1.6.4010

В  Однако в  данной статье будет рассмотрен пример настройки авторизации клиента через гостевой портал путем идентификации по коду Ваучераваучера. Иные способы гостевой авторизации выходят за рамки данной статьи, так как взаимодействие между системой WNAM и BRAS WLC Eltex не изменяется. При возникновении трудностей с другими видами гостевой авторизации необходимо обратиться в поддержку WNAM.

Перед началом построения взаимодействия между Netams WNAM и WLC рекомендуется сконфигурировать и протестировать работу беспроводной сети и контроллера WLC без портальной авторизации и файрволла. Если беспроводная сеть корректно функционирует, можно приступать к настройки портальной авторизации и конфигурации настроек файрволла.

В данной статье используется подключение ТД к контроллеру WLC на основе сети L3 с построением Data SoftGRE туннеля. В данной статье детально описана настройка данной схемы подключения Настрoйка WLC.
Также необходимо ознакомиться с тонкостями настройки BRAS на ESR/WLC с портальной авторизацией на основе SoftWLC, с которыми можно ознакомиться в следующих статьях:

...

Описание схемы сети

  • Контроллер WLC имеет адреса:
    • из сети WNAM: 100.110.0.246/23 (Vlan 1000);
    • из сети управления ТД: 192.168.1.1/24 (Bridge 1);
    • из сети клиентов ТД c с портальной авторизацией Enterprise : 192.168.2.1/24 (Bridge 3, Vlan 3);из сети клиентов ТД с портальной авторизацией: 192.1683.1/24 (Bridge 4, Vlan 4).
  • Сервер авторизации WNAM имеет адрес: 100.110.1.44/23 (Vlan 1000);
  • Точка доступа подключена к WLC и получит физический (первичный), адрес регистрации на WLC, а также подопцию для построения Data туннеля  из пула DHCP, настроенного на WLC из сети: 192.168.1.0/24 ;Клиенты,  получают адреса из пула DHCP, настроенного на WLC:без портальной авторизации, из сети: 192.168.21.0/24 (Vlan 3) ;
  • с портальной авторизацией, из Клиенты,  получают адреса из пула DHCP, настроенного на WLC из сети: 192.168.3.0/24 (Vlan 4).
  • Сервис для доступа в Интернет после авторизации на портале имеет имя: INTERNET.

...

Блок кода
wlc
  outside-address 192.168.1.1
  service-activator
    aps join auto
    password private-crt-key ascii-text encrypted testing123
  exit
  airtune
    enable
  exit
  ap-location default-location
    description default-location
    mode tunnel
    ap-profile default-ap
    ssid-profile default-ssid
    ssid-profile freeSSID_bras
  exit
  ssid-profile default-ssid
    description F.E.wlc-30_PSK
    ssid F.E.wlc-30_PSK
    vlan-id 3
    security-mode WPA2
    key-wpa ascii-text encrypted wifipass
    802.11kv
    band 2g
    band 5g
    enable
  exit
  ssid-profile freeSSID_bras
    description F.E.free
    ssid F.E.freeSSID
    vlan-id 4
    band 2g
    band 5g
    enable
  exit
  ap-profile default-ap
    password ascii-text encrypted testing123
    services
      ip ssh server
      ip http server
    exit
  exit
  radius-profile default-radius
    auth-address 192.168.1.1
    auth-password ascii-text encrypted testing123
    domain default
  exit
  ip-pool default-ip-pool
    description default-ip-pool
    ap-location default-location
  exit
  enable
exit

Конифгурация Конфигурация Softgre-controller:

Блок кода
softgre-controller
  nas-ip-address 127.0.0.1
  data-tunnel configuration wlc
  aaa radius-profile default_radius
  keepalive-disable
  service-vlan add 3-4
  enable
exit

...

В закладе RADIUS указывается RADIUS-ключ (wnampass), в  поле "Атрибуты CoA / пост-авторизации": Какой ключ задавать?

Блок кода
Cisco-AVPair=subscriber:command=account-loggon
Idle-Timeout=1200
Acct-Interim-Interval=300
Cisco-AVPair=subscriber:vrf=1

...

Правило аутентификации привязывается к правилу авторизации при помощи тега (внизу скриншота). Напистать какой тэг вы ввели, подсветить все  настройки на скрине, которые нужно сделать

Подсказка
titleВажно!

Обратите внимание, чтоб тег был уникальным и совпадал с соответствующим правилом авторизации.
Если сработало правило аутентификации, далее по данному тегу запускается соответствующее правило авторизации.

...

Подсказка
titleВажно!

Обращаем внимание на необходимость уникальности тега, как в примере выше. Напистать какой тэг вы ввели, подсветить все  настройки на скрине, которые нужно сделать

Создаем правила авторизации:

Переходим во вкладку: Конфигурация → Правила авторизации.
Первое правило для редиректа на портал приводим к виду, как на примере ниже.
В результате должен быть ответ протокола Radius формата "Access-Reject" от сервиса авторизации системе BRAS на WLC.  Подсветить все  настройки на скрине, которые нужно сделать.

Подсказка
titleВажно!

Правило привязывается по совпадению тега, поэтому тег должен быть такой же, как и в правиле аутентификации. 


Второе правило для предоставления доступа в Internet. В блоке "Применить" параметра "RADIUS атрибуты" необходимо прописать атрибут назначающий сессии клиента сервис  доступа с названием INTERNET, который настроен в виде списка конторля доступа на WLC.

...

На этом конфигурация сервиса Netams WNAM завершена. Напистать что получили в итоге, SSID такой-то, после подключения нас отправит на портал, там  вводим данные из ваучера и получаем  доступ в интернет

Debug Netams WNAM

...

Логирование работы правил авторизации

...