Сравнение версий

Старая версия 15

changes.mady.by.user Отдел Документации

Сохранено

по сравнению с

Новая версия 16

changes.mady.by.user Отдел Документации

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Информация
iconfalse

Начиная с версии 1.6.2524 система WNAM поддерживает работу с контроллерами Cisco нового поколения, использующими операционную систему IOS XE семейства Catalyst 9800 Wireless Controllers. Взаимодействие реализовано по механизму Central Web Auth (CWA), который разработан компанией Cisco для взаимодействия контроллера с программным обеспечением Cisco ISE. Система WNAM полностью эмулирует поведение ISE в данной задаче. Документация по настройке контроллеров серии 9800 вместе с ISE доступна на сайте производителя контроллера.

Примечание

Данная схема поддержана контроллерами Eltex серии WLC (начиная с версии ПО 1.30.6) и точками доступа WEP/WOP-30Lx (начиная с версии ПО 2.8.0).

Авторизация по методу CWA основана на следующем:

  • при подключении устройства абонента к сети, контроллером производится RADIUS-запрос к серверу политики (WNAM) с целью получения ACL и URL перенаправления;
  • производится перехват трафика новой веб-сессии и перенаправление пользователя на полученную ссылку (без редиректа на контроллер);
  • осуществляется авторизация на внешней системе (WNAM) и/или показ рекламной/приветственной страницы;
  • по завершении авторизации система WNAM сообщает контроллеру по протоколу RADIUS CoA о необходимости  повторной авторизации сессии пользователя;
  • производится повторная авторизация пользователя контроллером на RADIUS-сервере и применение полученной политики "пропуска";
  • система WNAM осуществляет перенаправление пользователя на заданную ссылку.

При этом с точки зрения пользователя нет дополнительных редиректов и ассоциированных с этим проблем. При повторном подключении абонента, если включена МАС-авторизация на сервере доступа и "прозрачные повторные сессии" в настройках ограничений, цепочка действий сокращается: 

  • при подключении устройства абонента к сети, контроллером производится RADIUS-запрос к серверу политики (WNAM);
  • если системе авторизации абонент известен, его авторизация валидна (не истекла и не сброшена), абонент не блокирован и после последней сессии подключения прошло время меньше, чем указано в настройках ограничений "прозрачные повторные сессии", система WNAM отвечает сообщением Access-Accept (с некоторыми дополнительными параметрами);
  • устройство абонента получает доступ в сеть Интернет без дополнительных "всплывающих окон" и редиректов.

Этот механизм полезен в случае необходимости поддержки роуминга абонентов между точками доступа либо после кратковременного отключения абонентского устройства от радио.

Предупреждение

Перед настройкой авторизации через CWA необходимо вначале настроить SSID, точки доступа, маршрутизацию, DHCP, а затем протестировать обычный доступ в сеть Интернет без авторизации.

Требования

  • Eltex WLC не ниже версии 1.30.6
  • Eltex AP не ниже версии 2.8.0 с моделью из списка: WEP-30L, WEP-30L-Z, WOP-30L, WOP-30LI, WOP-30LS
    • .

Описание

Данная схема работает исключительно посредством MAB-авторизации.

...

  1. При первом подключении клиента (WNAM ничего о нем не знает, ТД тоже), ТД пытается пройти MAB-авторизацию на NAC-сервере, подставляя MAC-адрес клиента в атрибуты User-Name и User-Password запроса access-request к Radius-серверу. WNAM ничего не знает о данном клиенте (не находит его в своей базе гостевых endpoints), отправляет access-accept, содержащий два атрибута (ссылку редиректа на гостевой портал и имя ограничивающего доступ preAuth-ACL):
    Блок кода
    languagebash
    cisco-av-pair = url-redirect-acl=test1
cisco-av-pair = url-redirect=http://100.127.2.150/cp/cisco?client_mac=78:98:E8:1E:67:07&switch_url=100.127.2.200&redirect=&wlan=!WNAM.test-portal&ap_mac=68:13:E2:C2:F7:40&sessionId=2564CCA4-772DE0CA
  2. Клиент получает ограниченный доступ (правилами ACL) и редиректится перенаправляется на портал.
  3. Пользователь попадает на страницу саморегистрации, где вводит идентификационные данные (в нашем случае, ваучер).
  4. После ввода кода ваучера, портал инициирует процесс ре-аутентификации клиента, отправляя на ТД CoA-request c атрибутом:
    Блок кода
    Cisco-AVPair: subscriber:command=reauthenticate
  5. ТД запускает повторную MAB-авторизацию, отправляя запрос access-request к Radius-серверу, и получает в ответ пакет Access-Accept, не содержащий дополнительных атрибутов (ссылки редиректа и ACL).
  6. ТД предоставляет клиенту полный доступ и редиректит осуществляет редирект на заданную в сценарии портальной авторизации страницу (в нашем случае случае https://eltex-co.ru/).
Примечание

В нашем (демонстрационном случае) используется упрощенная схема подтверждения идентификационных данных, путем введения кода за ранее выпущенного ваучера.
Описание использования SMS шлюзов, телефонных шлюзов, почтовых серверов, соц.сетей и тд, т. д. для подтверждения идентификационных данных, выходит за рамки данной статьи.

Диаграмма подключения

Диаграмма портальной авторизации на ТД, подключенной через контроллер WLC

...

...

  1. Подключается к ТД.
  2. ТД выполняет MAB-аутентификацию устройства пользователя.
  3. WLC выполняет проксирование RADIUS-запроса авторизации, чтобы со стороны WNAM выглядело как подключение со стороны одного устройства (WLC).
  4. RADIUS-запрос приходит в WNAM и он в соответствии с настройкой политик проверяет наличие гостевого эндпоинта в БД.
  5. Т.к. подключение происходит в первый раз – эндпоинт не найден, вместе с ответом Access-Accept возвращаются параметры с адресом портала для редиректа и именем ACL (настроенном на WLC, включающий список разрешенных ресурсов, в который должен быть включен адрес портала).
  6. WLC проксирует ответ на ТД, от которой был получен запрос.
  7. Клиент получает IP-адрес и пытается получить доступ в Интернет. В ответ ТД начинает возвращать редирект со ссылкой на портал.
  8. Пользовательское устройство, получая ссылку редиректа, открывает всплывающий браузер и страницу портальной авторизации.
  9. Успешно пройдя саморегистрацию и авторизацию на портале (посредством ввода ваучера), для устройства клиента добавляется запись о гостевом эндпоинте, содержащая MAC-адрес клиента.
  10. После успешной авторизации на портале на WLC отправляется запрос CoA re-authenticate.
  11. WLC перенаправляет данный запрос на ТД.
  12. ТД выполняет повторную ре-аутентификацию устройства пользователя с использованием MAB-аутентификации.
  13. WNAM, повторно получив запрос, в соответствии с настройкой политик проверяет наличие гостевого эндпоинта в БД. 
  14. Т.к. ранее пользователь прошел регистрацию на портале – гостевой эндпоинт в БД есть. На ТД отправляется Access-Accept и пользователь получает доступ в сеть.

Настройка контроллера

Далее приведен приведен пример настройки Eltex WLC-30 (v.1.30.6) с точкой WEP-30L (2.8.0). Предполагается Предполагается, что на контроллере уже настроен IP-адрес, обеспечена сетевая связность с сервером WNAM. Руководство по обновлению ПО Eltex WLC-30 можно найти по ссылке. Полностью ознакомится с документацией по настройке контроллера можно на официальном сайте компании компании https://eltex-co.ru. За основу будет взята заводская конфигурация, пример настройки которой доступен по по ссылке.

Настройка конфигурации контроллера

Добавить Добавьте WNAM, как радиус сервер, и настроить настройте проксирование RADIUS-запросов от ТД на него. Также требуется настроить настройте проксирование CoA-запросов со стороны WNAM на ТД через WLC:

Блок кода
languageplain
radius-server local
  nas AP_subnet                    # Подсеть ТД, на которые будет выполняться проксирование CoA-запросов
    key ascii-text testing123
    network 192.168.1.0/24
  exit
  nas wnam
    key ascii-text testing123
    network 100.127.2.150/32       # Адрес WNAM, для которого будет выполняться проксирование CoA-запросов на ТД
  exit
  virtual-server default
    mode proxy
    upstream-pool wnam
    das-server enable
    nas-ip-address 100.127.2.200   # Адрес WLC, который будет заменять в поле NAS-IP-Address адрес ТД при выполнении проксирования RADIUS-запросов
    enable
  exit
  upstream-server wnam
    host 100.127.2.150             # Адрес WNAM, на который выполняется проксирование RADIUS-запросов от ТД
    server-type all
    key ascii-text testing123
  exit
  upstream-pool wnam
    server-type all
    upstream-server wnam
  exit
  enable
exit

Создать Создайте ACL с тем же именем, которое было указано при настройке профиля авторизации в WNAM:

Блок кода
languageplain
ip access-list extended test1
  rule 1
    action permit
    match destination-address 100.127.2.150 255.255.255.255   # Адрес WNAM
    enable
  exit
  rule 2
    action permit
    match protocol udp
    match destination-port port-range 53
    enable
  exit
  rule 3
    action permit
    match protocol udp
    match source-port port-range 68
    match destination-port port-range 67
    enable
  exit
exit

В настройке WLC настроить настройте профиль SSID, включить включите портальную авторизацию, создать создайте профиль для портала, включить включите das-server на ТД и в настройках RADIUS-профиля указать укажите настройку, чтобы MAC-адрес пользователя подставлялся в пароль:

...

В заводской конфигурации WLC-30 предусмотрено автоматическое подключение точек доступа к контроллеру. Для этого требуется подключить точку доступа в порт gi1/0/2 и контроллер WLC сам выполнит обновление, если версия ПО на точке доступа не соответствует версии, которая размещена на контроллере, выполнит конфигурирование в соответствие соответствии с настройками: выбранными профилями конфигурации и SSID. Инструкцию по загрузке актуальной версии ПО точек доступа на контроллер можно найти по ссылке.

...

В разделе "Конфигурация" → "Сервера доступа" создайте запись о сервере доступа типа Cisco WLC (сервер доступа – контроллер), укажите адрес, имя и местоположение (логин и пароль не используются). 

Во вкладке RADIUS в параметрах "Атрибуты предварительной авторизации" укажите:

...

  • cisco-avpair=url-redirect=https://%HOSTNAME%.provider.ru/cp/cisco?%URL% — позволит реализовать отказоустойчивый доступ в кластере двух серверов WNAM: ссылка на сервер с его именем будет отправлена в ответе на RADIUS-запрос и на тот сервер, куда попал этот запрос.

Также необходимо указать укажите секретный RADIUS-ключ (который указали на контроллере в настройках ААА-сервера) и включить включите МАС-авторизацию.

 

Предупреждение

Если сеть, в которой находится контроллер, ещё не была глобально разрешена для работы системы WNAM в настройках "Конфигурация" → "Дополнительные настройки" (ключ "radiusd_networks"), необходимо добавить сеть.

...

Создание "Площадки" (портала)

Затем необходимо настроить настройте запись о площадке оказания услуги (раздел "Конфигурация" → "Площадки"). Также можно указать укажите название сети (SSID) и в качестве "Дополнительный ID" указать укажите название "Сервера доступа" (NAS).

...

Также для теста авторизации можно выбрать выберите метод "Отправка СМС абоненту", провайдера СМС "Тестовый провайдер (без отправки)" и тогда идентификация на портале (в рамках теста авторизации) будет проходить по присланному коду, после ввода фейкового номера телефона (на нашем тестовом стенде данный функционал не доступен, поэтому используем ваучеры).

...

В дальнейшем коды данных ваучеров будут использоваться для авторизации клиентов на гостевом портале.

Правила аутентификации

Правило для редиректа на гостевой портал (

...

создание своего правила или использование дефолтного)

В разделе "Конфигурация" → "Правила аутентификации" настройте правило, как на скрине ниже.

...

При большом количестве правил и при использовании разных политик аутентификаций и авторизаций клиентов, данное правило можно кастомизировать дополнительными параметрами под свои потребности (чтоб данное правило отрабатывало только необходимые запросы radius).  
Правило аутентификации привязывается к правилу авторизации при помощи тега. 

...