...
| Примечание |
|---|
Этот механизм полезен в случае необходимости поддержки роуминга абонентов между точками доступа либо после кратковременного отключения абонентского устройства от радио, но не позволяет управлять сессией уже авторизованного клиента (нельзя отключить клиента по средствам посредством протокола radius). |
| Scroll Pagebreak |
|---|
...
Далее приведен приведен пример настройки Eltex WLC-30 (v.1.30.6) с точкой WEP-30L(2.8.0). Предполагается, что на контроллере уже настроен IP-адрес, обеспечена сетевая связность с сервером WNAM. Руководство по обновлению ПО Eltex WLC-30 можно найти по ссылке. Полностью ознакомится ознакомиться с документацией по настройке контроллера можно на официальном сайте компании https://eltex-co.ru. За основу будет взята заводская конфигурация, пример настройки которой доступен по ссылке. Подробней про сброс к заводской конфигурации можно ознакомиться в инструкции Quickstart.
| Предупреждение | ||
|---|---|---|
| ||
Физическая конфигурация интерфейсов устройств WLC-15, WLC-30 и WLC-3200 различается между собой. Попытка применения настроек для одной модели устройства на другую может вызвать ошибку инициализации интерфейсов. |
Схема организации связи
Внесение дополнений в конфигурацию
...
В конфигурацию WLC необходимо внести настройки (общий принцип работы описан в статье Авторизация через RADIUS):
В настройке WLC настроить профиль SSID, включить портальную авторизацию, создать профиль для портала, на ТД в настройках RADIUS-профиля указать настройку, чтобы MAC-адрес пользователя подставлялся в пароль.
| Блок кода | ||
|---|---|---|
| ||
wlc
outside-address 192.168.1.1 # Адрес WLC для точек доступа
service-activator
aps join auto
exit
ap-location default-location
mode tunnel
ap-profile default-ap
ssid-profile default-ssid
exit
ssid-profile default-ssid
ssid "!WNAM.test-portal"
radius-profile default-radius
portal-enable
portal-profile default-portal
vlan-id 3
band 2g
band 5g
enable
exit
ap-profile default-ap
password ascii-text password
exit
portal-profile default-portal
preauth-filter-mode acl
disconnect-on-reject
verification-mode external-portal
exit
radius-profile default-radius
auth-address 192.168.1.1 # Адрес WLC во влане точек. Необходимо указать его, как адрес RADIUS-сервера для ТД.
# Иначе WLC не сможет выполнять проксирование и подмену NAS-IP при отправке RADIUS-запроса к WNAM.
auth-password ascii-text testing123
session password mac
auth-acct-id-send # Данная настройка является критичной, так как уникальность сессии определяется по атрибуту Acct-Session-Id
acct-enable
acct-address 192.168.1.1
acct-password ascii-text testing123
acct-periodic
domain default
exit
ip-pool default-ip-pool
description "default-ip-pool"
ap-location default-location
exit
enable
exit |
...
| Блок кода | ||
|---|---|---|
| ||
security zone-pair untrusted self
rule 2
action permit
match protocol udp
match destination-port object-group radius_auth # Разрешить UDP -трафик для RADIUS-аутентификации
enable
exit
rule 3
action permit
match protocol tcp
match destination-port object-group ssh # Разрешить подключение по SSH (Используйте осторожно, если контроллер подключен напрямую к ISP)
enable
exit
rule 4
action permit
match protocol icmp
enable
exit
exit |
...
| Раскрыть | |||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| |||||||||||||||||||||||||||||
Для повышения безопасности передачи данных между клиентом и ТД необходимо обеспечить шифрование трафика с использованием SSL. Для этого требуется:
Для защиты приватного ключа в схеме с портальной авторизацией рекомендуется использовать пароль. Стандартный процесс выпуска сертификатов не предусматривает автоматическое шифрование приватного ключа. Однако это можно выполнить вручную с помощью утилиты OpenSSL. Команда для шифрования ключа:
Параметры:
После выполнения команды OpenSSL запросит пароль, который будет использоваться для защиты ключа. Этот подход обеспечит дополнительный уровень защиты приватного ключа от несанкционированного доступа.
После шифрования ключа его необходимо добавить к сертификату, например через текстовый редактор. Файл сертификата с шифрованным ключом должен иметь вид:
Загрузите файл сертификата с шифрованным ключом на контроллер WLC в директорию crypto:cert/ Настройте проверку сертификата и включите режим HTTPs:
Перед применением конфигурации произойдёт проверка псевдонима сертификата и пароля шифрованного ключа. Допустимо использовать сертификат без шифрованного ключа. В таком случае приватный ключ добавляется к сертификату. Настройка crypto private-key-password не требуется. Формат файла для сертификата без шифрованного ключа:
Конфигурация:
|
Настройка точки доступа
В заводской конфигурации WLC-30 предусмотрено автоматическое подключение точек доступа к контроллеру. Для этого требуется подключить точку доступа в порт gi1/0/2 и контроллер WLC сам выполнит обновление, если версия ПО на точке доступа не соответствует версии, которая размещена на контроллере, выполнит конфигурирование в соответствие с настройками: выбранными профилями конфигурации и SSID. Инструкцию по загрузке актуальной версии ПО точек доступа на контроллер можно найти по ссылке.
...
В разделе "Конфигурация" → "Сервера доступа" необходимо создать запись о сервере доступа типа Cisco WLC (сервер доступа - – контроллер), где указать адрес, имя и местоположение (логин и пароль не используются).
...
Во вкладке RADIUS необходимо указать секретный RADIUS-ключ (который указали на контроллере в настройках ААА-сервера) и включить МАС-авторизацию.
...
Затем необходимо настроить запись о площадке оказания услуги (раздел "Конфигурация" → "Площадки"). Также можно указать название сети (SSID) и в качестве "Дополнительный ID" указать название "Сервера доступа" (NAS).
На вкладке "Авторизация" выбираем метод "Отправка СМС абоненту", провайдера СМС "Тестовый провайдер (без отправки)" и тогда идентификация на портале (в рамках теста авторизации) будет проходить по присланному коду, после ввода фейкового номера телефона (в рамках тестов гостевого портала).
На вкладке "Приветствие" выбираем, куда будет направляться клиент после финального редиректа. В нашем случае на сайт https://eltex-co.ru/
...
Настраиваем правило как на скрине ниже. Источник запроса выбираем беспроводной. В настройках эндпоинта ставим "Не известен" и "Просрочен/не валиден", так - как при первом подключении наш клиент неизвестен и его макMAC-адрес не изучен. В Результате выбираем "Redirect на гостевой портал авторизации", это значит что будет возвращен accept-reject и ТД будет редиректить запрос пользователя на преднастроенный адрес портала.
Если у вас много правил и используется много разных политик аутентификаций и авторизаций клиентов, данное правило можно кастомизировать дополнительными параметрами (чтоб данное правило отрабатывало только необходимые запросы radius), под свои потребности.
Правило аутентификации привязывается к правилу авторизации при помощи тега (в самом низу скрина). Обратите внимание, чтоб тэг бэл уникальным и совпадал .
| Примечание |
|---|
Тэг должен быть уникальным и совпадать с соответствующим правилом авторизации (если сработало правило аутентификации, далее по данному тегу запускается соответствующее правило авторизации). |
...
Создание правила аутентификации для доступа клиента в Internet
Данное правило проверяет наличие мак-адреса в хранилище гостевых эндпоинтов. Мак-адрес попадает туда после того как клиент идентифицировал себе на гостевом портале. Поэтому в настройках "Эндпоит" выбираем пункт "Известен и валиден", а в "Результат" выбираем "Allow (и проверять правила авторизации)". Так-же обращаю внимание на необходимости уникальность тега (объяснение выше)
...
Создание правил авторизации
Первое правило для редиректа на портал
Результатом должно стать отправка пакета Radius 'Access-Reject' контроллеру (NAS)
Пример . Пример настройки представлен на скрине ( ниже).
| Примечание |
|---|
...
Правило привязывается по совпадению тега (должен быть такой же как в соответствующем правиле аутентификации). |
Второе правило авторизации
...
для предоставления доступа в Internet
...
Результатом должно стать: отправка пакета Radius 'Access-Accept' контроллеру (NAS)
Пример . Пример настройки представлен на скрине ( ниже).
...
Диагностика на стороне WLC
Radius-обмен между WLC и WNAM в процессе авторизации
Radius-пакеты и атрибуты:
| Блок кода | ||||
|---|---|---|---|---|
| ||||
No. Time Source Destination Protocol Length Info 1 0.000000 100.127.2.200 93.180.6.157 RADIUS 354 Access-Request id=159 2 0.103235 93.180.6.157 100.127.2.200 RADIUS 84 Access-Reject id=159 3 26.950520 100.127.2.200 93.180.6.157 RADIUS 338 Access-Request id=219 4 27.066876 93.180.6.157 100.127.2.200 RADIUS 97 Access-Accept id=219 5 27.071716 100.127.2.200 93.180.6.157 RADIUS 296 Accounting-Request id=93 6 27.192914 93.180.6.157 100.127.2.200 RADIUS 66 Accounting-Response id=93 7 39.051705 100.127.2.200 93.180.6.157 RADIUS 389 Accounting-Request id=173 8 39.116628 93.180.6.157 100.127.2.200 RADIUS 66 Accounting-Response id=173 9 65.711184 100.127.2.200 93.180.6.157 RADIUS 354 Access-Request id=103 10 65.788076 93.180.6.157 100.127.2.200 RADIUS 97 Access-Accept id=103 11 66.662961 100.127.2.200 93.180.6.157 RADIUS 291 Accounting-Request id=44 12 66.770910 93.180.6.157 100.127.2.200 RADIUS 66 Accounting-Response id=44 13 88.551562 100.127.2.200 93.180.6.157 RADIUS 384 Accounting-Request id=45 14 88.629895 93.180.6.157 100.127.2.200 RADIUS 66 Accounting-Response id=45 |
...
Корпоративные подключения
Диагностика → Корпоративные подключения
...