...
- На вкладке Work Centers → Guest Access → Policy Sets создайте политику доступа для WiFi-пользователей с названием 'Eltex-AP-Portal-CoA'. В эту политику попадают клиенты, приходящие с SSID "!F.E.portal-CoA" (и другие, на которых должна работать данная авторизация).
- Поле посередине кликабельно. В нем настройте Flow Type Conditions (соответствуют Wireless_MAB, который был настроен при создании Network Device Profiles).
- В Allowed Protocols/Server Sequence выберите созданную ранее политику ('Allowed_for_AP-CoA').
Создание правил аутентификации и авторизации в данной политике
...
- В правиле аутентификации проверяется МАС-адрес в базе EndPoints (MAB). И если пользователь не найден (If User not found), то следует продолжение работы политики CONTINUE.
- В первом правиле авторизации с именем 'MAB_Access', под которое запрос попадает, если он относится к Wireless_MAB потоку, и имя пользователя (MAC-адрес) имеется в хранилище 'GuestEndpoints' навешивается действие 'PermitAccess'. То есть Radius-сервер в ответ на Access-Request отправит Access-Accept без дополнительных атрибутов (preAuth_ACL, url_redirect).
- В дефолтном правиле авторизации, туда попадет запрос, если он не попал в верхнее правило (т. е. если портал еще не знает клиента). Запрос попадет под созданную ранее политику авторизации 'AP-TEST_CoA' и тогда в пакете Access-Accept на ТД (NAS-server) будут дополнительные атрибуты (preAuth_ACL, url_redirect) и клиент получит ограниченный доступ и редирект на гостевой портал.
Radius-обмен между WLC и Cisco-ISE в процессе авторизации
...
Авторизация пока еще неизвестного клиента с целью редиректа на портал регистрации
Scroll Pagebreak
Регистрация и авторизация на портале
Scroll Pagebreak
...
Отправка команды на реаунтификацию посредством CoA
Scroll Pagebreak
...