Сравнение версий

Старая версия 4

changes.mady.by.user Отдел Документации

Сохранено

по сравнению с

Новая версия 5

changes.mady.by.user Отдел Документации

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Настройка контроллера

Далее приведен приведен пример настройки Eltex WLC-30 (v.1.30.6) с точкой доступа WEP-30L (2.8.0). Предполагается, что на контроллере уже настроен IP-адрес, обеспечена сетевая связность с сервером Cisco-ISE. Руководство по обновлению ПО Eltex WLC-30 можно найти по ссылке. Полностью ознакомится ознакомиться с документацией по настройке контроллера можно на официальном сайте компании https://eltex.ru. За основу будет взята заводская конфигурация, пример настройки которой доступен по ссылке.

Настройка конфигурации контроллера


Добавьте Cisco-ISE, как радиус Radius-сервер, и настройте проксирование RADIUS-запросов от ТД на него. Также настройте проксирование CoA-запросов со стороны Cisco-ISE на ТД через WLC:

...

Блок кода
object-group service das
  port-range 1700
exit
 
security zone-pair untrusted self
  rule 2
    action permit
    match protocol udp
    match destination-port object-group radius_auth  # Разрешить UDP -трафик для RADIUS-аутентификации
    enable
  exit
  rule 3
    action permit
    match protocol udp
    match destination-port object-group das          # Разрешить UDP -трафик для CoA-запросов
    enable
  exit
  rule 4
    action permit
    match protocol tcp
    match destination-port object-group ssh          # Разрешить подключение по SSH (Используйте осторожно, если контроллер подключен напрямую к ISP)
    enable
  exit
  rule 5
    action permit
    match protocol icmp
    enable
  exit
exit

...

Создание нового профиля сетевых устройств

В разделе "Administration " " Network Resources " " Network Device" создайте устройство (в примере на скриншоте ниже – 'F.E.-Eltex_AP' ).

  1. Указать можно, как подсеть из устройств, так и одно устройство (например, если настроено проксирование через WLC).
  2. В поле Device Profile выберите ранее созданный профайл профиль 'Eltex-AP_for-CoA'.
  3. Настройте взаимодействие с ТД по протоколу Radius. Укажите secret key для протокола Radius, ранее настроенный на ТД (testing123).
  4. Убедитесь, что указан порт CoA 1700 (который использует WLC).

...

Настройка последовательности действий для гостевого портала (Guest Portal Sequence)

  1. Перейдите в настройки Work Centers → Guest Access → Identities → Identity Source Sequence → Guest Portal Sequence – это предустановленная последовательность аутентификации гостевых пользователей.
  2. В поле Authentication Search List выберите порядок аутентификации пользователей (или удалите все, оставив только Internal Endpoints).

...

  1. Создайте гостевой портал с именем 'Portal_4test-Redirect&CoA'. Логическую последовательность процедуры портальной авторизации можно увидеть на диаграмме Guest Flow (Based on settings).
  2. В Authentication method укажите настроенный ранее Guest Portal Sequence.
  3. В параметрах входа в систему выберите дефолтное значение Daily (или найтройте настройте и примените свое правило).
  4. В подменю Registration Form Settings можно оставить, как отображено на скриншоте. Учетные записи будут создаваться в гостевом типе Daily, срок жизни учетки будет 1 день. В форме укажите логин, и после регистрации отобразится страница Self-Registration Success page с данными аутентификации.
  5. В подменю Self-Registration Success Settings включите показ только User name и Password.
  6. В подменю Guest Device Registration Settings включите только Automatically register guest devices.
  7. В подменю Authentication Success Settings включите показ определенного URL , (на примере – https://eltex.ru/). Также можно включить Originating URL, тогда после авторизации, клиента клиент будет перенаправлен на страницу, запрошенную изначально при подключении к WIFI.  В В базовом варианте настройки прочие изменения не требуются.

...

Используйте хранилище 'GuestEndpoints' (задано ранее в настройках портала и 'Guest Type'). В него будут вноситься MAC-адреса конечных устройств (клиентов) прошедших аутентификацию на портале.

...

  1. На вкладке  Work Centers → Guest Access → Policy Elements → Results → Authorization Profiles → Add создайте профиль авторизации ('AP-TEST_CoA').
  2. Для Access Type укажите использование пакета ACCESS_ACCEPT.
  3. Для Network Device Profile укажите ранее созданный профиль разрешенных протоколов 'Eltex_for_AP-CoA'.
  4. В Common Tasks включите и найтройте настройте Web Redirector:
    1. Выберите Centralized Web Auth.
    2. Укажите имя ACL (настроенный ранее на ТД с помощью WLC).
    3. Выбирите имя ранее созданного гостевого портала ('Portal_4test-Redirect&CoA').
  5. Детали выполненной настройки можно увидеть в выпадающем окне Attributes Details:

...

Создание политики авторизации

  1. На вкладке Work Centers → Guest Access → Policy Sets создайте политику доступа для WiFi-пользователей с названием 'Eltex-AP-Portal-CoA'. В эту политику попадают клиенты, приходящие с SSID "!F.E.portal-CoA" (и другие, на которых должна работать данная авторизация). 
  2. Поле посередине кликабельно. В нем настройте Flow Type Conditions (соответствуют Wireless_MAB (, который был настроен при создании Network Device Profiles)).
  3. В Allowed Protocols/Server Sequence выберите созданную ранее политику ('Allowed_for_AP-CoA').

...

Перейти в политику можно по синей стрелке справа ">". Настройте Authentication Policy и Authorization Policy как отображено на скриншоте:

  1. В правиле аутентификации проверяется МАС-адрес в базе EndPoints (MAB). И если пользователь не найден (If User not found), то следует продолжение работы политики CONTINUE.
  2. В первом правиле авторизации с именем 'MAB_Access', под которое запрос попадает, если он относится к Wireless_MAB потоку, и имя пользователя (MAC-адрес) имеется в хранилище 'GuestEndpoints' навешивается действие 'PermitAccess'. То есть Radius-сервер в ответ на Access-Request отправит Access-Accept , без дополнительных атрибутов (preAuth_ACL, url_redirect).
    • В дефолтном правиле авторизации, туда попадет запрос, если он не попал в верхнее правило (т. е. если портал еще не знает клиента). Запрос попадет под созданную ранее политику авторизации 'AP-TEST_CoA' и тогда в пакете Access-Accept на ТД (NAS-server) будут дополнительные атрибуты (preAuth_ACL, url_redirect) и клиент получит ограниченный доступ и редирект на гостевой портал.

Radius-обмен между WLC и Cisco-ISE в процессе авторизации

Radius-пакеты и атрибуты:

Radius-обмен процесса авторизации

...

Атрибуты пакета Access-Request (MAB-аутентификации)

Блок кода
RADIUS Protocol
    Code: Access-Request (1)
    Packet identifier: 0x42 (66)
    Length: 272
    Authenticator: 4410fb4412b13fc162d59f59c8bd68e3
    [The response to this request is in frame 2]
    Attribute Value Pairs
        AVP: t=User-Name(1) l=19 val=78-98-e8-1e-67-07
        AVP: t=User-Password(2) l=34 val=Encrypted
        AVP: t=Framed-IP-Address(8) l=6 val=0.0.0.0
        AVP: t=Framed-MTU(12) l=6 val=1500
        AVP: t=Connect-Info(77) l=23 val=CONNECT 0Mbps 802.11a
        AVP: t=Vendor-Specific(26) l=12 vnd=Eltex Enterprise, Ltd.(35265)
        AVP: t=Vendor-Specific(26) l=12 vnd=Eltex Enterprise, Ltd.(35265)
        AVP: t=Called-Station-Id(30) l=35 val=68-13-e2-c2-28-e0:!F.E.portal-CoA
        AVP: t=Calling-Station-Id(31) l=19 val=78-98-e8-1e-67-07
        AVP: t=NAS-Port(5) l=6 val=1
        AVP: t=Framed-MTU(12) l=6 val=1500
        AVP: t=NAS-Port-Type(61) l=6 val=Wireless-802.11(19)
        AVP: t=Acct-Session-Id(44) l=19 val=06FB2545-40E87D76
        AVP: t=NAS-IP-Address(4) l=6 val=100.127.2.200
        AVP: t=NAS-Identifier(32) l=19 val=68-13-E2-C2-28-E0
        AVP: t=Service-Type(6) l=6 val=Call-Check(10)
        AVP: t=Message-Authenticator(80) l=18 val=2fa7c052431324b024d1d5d5490badcd

...