Сравнение версий

Старая версия 6

changes.mady.by.user Сервисный центр Wi-Fi

Сохранено

по сравнению с

Новая версия 7

changes.mady.by.user Отдел Документации

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Клиент подключается к открытому SSID. При первом подключении клиента для него пока отсутствует учетная запись во внешней системе (в RADIUS-сервере), поэтому весь клиентский трафик блокируется, кроме:

  • DHCP;
  • DNS;
  • Запросов на адрес портала;
  • Запросов URL/IP из белого списка.

После подключения клиента ТД пытается провести проводится MAB-авторизацию авторизация (MAC Authentication Bypass) на RADIUS-сервере, подставляет подставляется MAC-адрес клиента в атрибут User-Name, а в User-Password записывает записывается radius-secret в запросе Access-Request к RADIUSк RADIUS-серверу. Так как на RADIUS-сервере учетная запись с такими параметрами на данный момент отсутствует, сервер отправляет Access-Reject.

Далее клиент Клиент обращается на HTTP-ресурс. ТД перехватывает перехватывается запрос и перенаправляет клиента клиент перенаправляется на гостевой портал, который был задан в настройках SSID (portal-profile). Клиент переходит на переходит на портал по полученному URL, который содержит в себе:

  • switch_url  URL для перенаправления для перенаправления клиента после авторизации на портале;
  • ap_mac – MAC-адрес ТД, к которой подключен клиент клиент;
  • client_mac  MAC-адрес клиента;
  • wlan  название название SSID, к которому подключен клиент;
  • redirect – URL, который клиент запрашивал первоначально.

Пример URL:

Блок кода
https://eltex-co.ru/?switch_url=http://redirect.loc:10081&ap_mac=68:13:E2:35:1F:30&client_mac=38:d5:7a:e1:e0:13&wlan=Portal-SSID&redirect=http://www.msftconnecttest.com/connecttest.txt

...

Примечание

Если URL содержит спецсимволы из зарезервированного набора: ! * ' ( ) ; : @ & = + $ , / ? % # [ ] ,то необходимо использовать двойные кавычки "" при конфигурировании параметра redirect-url-custom.

Блок кода
wlc
  portal-profile default-portal
    redirect-url-custom "https://100.110.0.161:8443/portal/PortalSetup.action?portal=10968c1f-36fe-4e5c-96ff-9d74f689b29b?action_url=<SWITCH_URL>&redirect=<ORIGINAL_URL>&ap_mac=<AP_MAC>"
    age-timeout 10
    verification-mode external-portal
  exit


...

  1. Создаем белый список URL, он может содержать URL и/или RegExp. Доступ к указанным адресам будет разрешён до авторизации.

    Блок кода
    object-group url white_url
  url eltex-co.ru
  regexp '(.+\.)eltex-co\.com'
exit


  2. Создаем белый список IP-адресов, доступ к указанным адресам будет разрешён до авторизации. В белый список можно добавлять адреса подсетей, которые нужны для авторизации.

    Блок кода
    object-group network white_ip
  ip prefix 192.168.0.0/24
exit


  3. Создаем portal-profile.
    Описание  параметров:
    redirect-url –  адрес портала;
    age-timeout – временной интервал, в течение которого точка доступа "помнит" клиента и не проводит MAB-авторизацию;
    verification-mode –  режим работы портала;
    white-list domain  – белый список URL;
    white-list address – белый список IP-адресов.

    Блок кода
    wlc
  portal-profile portal-pr
    redirect-url https://eltex-co.ru
    age-timeout 10
    verification-mode external-portal
    white-list domain white_url
    white-list address white_ip 
  exit
exit


    Информация

    При режиме verification-mode external-portal к указанному URL в redirect-url автоматически добавляются параметры таким образом, что результирующий URL имеет вид:

    Блок кода
    https://eltex-co.ru/?switch_url=<SWITCH_URL>&ap_mac=<AP_MAC>&client_mac=<CLIENT_MAC>&wlan=<SSID>&redirect=<ORIGINAL_URL>

    Если необходимо изменить названия параметров switch_url, ap_mac, client_mac, wlanredirect можно задать строку самостоятельно через параметр redirect-url-custom, например:

    Блок кода
    redirect-url-custom "https://eltex-co.ru/?action_url=<SWITCH_URL>&ap_addr=<AP_MAC>&client_addr=<CLIENT_MAC>&ssid_name=<SSID>&red_url=<ORIGINAL_URL>&nas=<NAS_ID>"

    В примере в строку был добавлен  <NAS_ID> и  были изменены следующие названия параметров:

    • switch_url → action_url
    • ap_mac → ap_addr
    • client_mac →client_addr
    • wlan →ssid_name
    • redirect →red_url

    Строка редиректа может содержать плейсхолдеры:

    • <NAS_ID>
    • <SWITCH_URL>
    • <AP_MAC>
    • <CLIENT_MAC>
    • <SSID>
    • <ORIGINAL_URL>


  4. Создаем radius-profile.

    Блок кода
    wlc
  radius-profile portal_radius
    auth-address 192.168.4.5
    auth-password ascii-text encrypted 92BB3C7EB50C5AFE80
    auth-acct-id-send
    acct-enable
    acct-address 192.168.4.5
    acct-password ascii-text encrypted 92BB3C7EB50C5AFE80
    acct-periodic
    acct-interval 300
  exit
exit

    Scroll Pagebreak

  5. Создаем ssid-profile.

    Блок кода
    wlc
  ssid-profile portal_test
    ssid portal_test
    radius-profile portal_radius
    portal-enable
    portal-profile portal-pr
    vlan-id 3
    band 5g
    enable
  exit
exit

     

  6. Добавляем ssid-profile в ap-location. 

    Блок кода
    wlc
  ap-location default-location
    description default-location
    mode tunnel
    ap-profile default-ap
    ssid-profile portal_test
  exit
exit


...