...
Добавление SSID | Подсказка |
|---|
Настройка SSID не отличается от традиционной настройки SSID для ТД Eltex. SSID может быть одновременно использован в привязках для любых типов устройств (ТД Eltex и CiscoWLC) |
- Открыть меню "Wireless"→ "Менеджер SSID"→ "База SSID"
- Нажать кнопку "Добавить SSID"
В открывшемся окне выбрать: - Тип: "hotspot"
- Имя: указать имя SSID
- Domain: выбрать домен SSID
- enable: включить в разделе "Captive portal"
В раскрывшихся после включения настройках "RADIUS" указать: - RADIUS IP Address: указать адрес Radius-сервера (если используются несколько серверов - указать все).
В разделе "Captive portal" указать: - Virtual portal name: выбрать портал (по умолчанию default)
- External URL: http://<IP-адрес:Порт портала>/eltex_portal/
- Нажать кнопку "Принять"
| Примечание |
|---|
Для взаимодействия с контроллером CiscoWLC значимыми полями являются: "Тип", "Имя", "Virtual portal name", "External URL". |
| 
|
Добавление привязки SSID - Открыть меню "Wireless"→ "Менеджер SSID"→ "База SSID"
- Выбрать SSID
- Нажать кнопку "Добавить SSID привязку"
- Выбрать домен, в который ранее был добавлен контроллер CiscoWLC
- Ключ привязки - "DOMAIN"
- Нажать кнопку "Создать привязку"
- Нажать кнопку "Принять"
- На вопрос "Исправить привязки SSID" нажать кнопку "Нет"
| Примечание |
|---|
Домен привязки (ключ NAS) должен совпадать с доменом, куда добавлен контроллер CiscoWLC. Привязка может выполняться только к домену (ключ DOMAIN). |
| |
Создание ссылки портальной авторизации, которая будет указана на контроллере CiscoWLC - Открыть меню "Wireless"→ "Менеджер SSID"→ "Привязки SSID"
- Выбрать созданную привязку
- Нажать кнопку
 (Сгенерировать URL для портальной авторизации оборудования сторонних вендоров) - В открывшемся окне нажать кнопку "Копировать ссылку" - данная ссылка будет использоваться при настройке SSID с портальной авторизацией на контроллере Cisco
| |
Работа с ссылками портальной авторизации - Управление ссылками портальной авторизации выполняется в меню "Wireless"→ "Менеджер SSID"→ "Привязки внешних устройств"
- Кнопка "Редактировать" позволяет отредактировать и исправить параметры ссылки, если они были случайно изменены
- Кнопка "Показать URL" позволяет просмотреть URL портальной авторизации и скопировать его
| 
|
...
- Открыть "Личный Кабинет"
- Перейти в левой панели в раздел "Настройки"
- Открыть вкладку "Система"→ "Интеграция"
- Включить настройку "Включить интеграцию с Cisco"
- Нажать кнопку "Сохранить"
| Подсказка |
|---|
После включения интеграции: Станут доступны настройки CiscoWLC атрибутов в настройках тарифного плана Контроллер CiscoWLC станет доступен как тип устройства в меню "Точки доступа" |
| |
3.2 Включение хранения паролей пользователей
...
в зашифрованном виде
- Открыть "Личный кабинет"
- Перейти в левой панели в раздел "Настройки"
- Перейти во вкладку "Система"→ "Система"
- Промотав вниз в настройке "Хранение паролей пользователей" выбрать "NT хеширование"
- Нажать вверху страницы на кнопку "Сохранить"
| Примечание |
|---|
Данная настройка не является обязательной для корректной работы портальной авторизации через контроллер CiscoWLC Пароли пользователей, сохраненные до включения настройки останутся в открытом виде. Их изменение возможно только через изменение пароля пользователя в "Пользователи WiFi" или при повторной регистрации на портале |
| |
...
- Открыть "Личный кабинет"
- Перейти в левой панели в раздел "Сервисы и тарифы"
- Нажать кнопку "Добавить"
- В открывшемся окне указать:
- "Наименование": наименование тарифного плана
- "Код тарифа": код тарифного плана
- "Домен": домен тарифного плана
- "Портальная аутентификация": включить
- "Атрибуты Cisco": включить
- Откроются доступные для настройки атрибуты Cisco
- Нажать кнопку "Сохранить"
| |
4. Настройка портала
Настройка портала выполняется в "Конструкторе порталов"
...
4.1 Включение хранения паролей в зашифрованном виде
При регистрации пользователя можно выбрать в настройках портала способ хранения пароля. Выбор может осуществляться индивидуально для каждого портала. - Открыть "Конструктор порталов"
- Выбрать портал
- Открыть вкладку "Общие настройки" → "Безопасность"
- "Хранение паролей пользователей": "NT хеширование"
- Нажать кнопку "Сохранить"
После этого пароли при регистрации пользователей на выбранном портале будут сохраняться в хешированом виде. |  Image Added
|
В остальном настройка выполняется обычным способом и не имеет никаких специфичных требовании при интеграции с контроллером CiscoWLC | Работа с конструктором порталов описана в разделе: v1.25_Конструктор порталов
|
...
- Перейти в раздел "WLANs"
- Выбрать в меню "Create New"
- Нажать кнопку "Go", откроется окно настроек
- "Type": "WLAN"
- "Profile Name": имя профиля
- "SSID": имя SSID, должно совпадать с тем, что настроено в EMS
- "ID": номер SSID
- Нажать кнопку "Apply", откроется окно настроек SSID
- На странице "General" указать:
- "Status": включить enable
- "Interface/Interface Group(G)": выбрать ранее настроенный интерфейс
- "NAS-ID": IP-адрес контроллера, с которым он добавлен в EMS
- На странице "Security"→ "Layer 2" указать:
- "Layer 2 Security": "None"
- "MAC Filtering": включить
- На странице "Security"→ "Layer 3" указать:
- "Layer 3 Security": "Web Policy"
- "On MAC Filter Failure" - выбрать
- "Preauthentication ACL": выбрать ранее настроенный для портальной авторизации список доступа
- "Override Global Config": включить Enable
- "Web Auth type": "External(Re-direct to external server)"
- "Redirect URL": вставить ранее созданную в EMS ссылку портальной авторизации
- На странице "Security"→ "AAA Servers" указать:
- "Authentication Servers": выбрать ранее настроенный сервер для аутентификации
- "Accounting Server": выбрать ранее настроенный сервер для отправки аккаунтинга
- "Interim Update": включить
- "Interim Interval": указать интервал отправки аккаунтинга
- На странице "Advanced" указать:
- "Allow AAA override": включить enable
- "Enable Session Timeout": отключить
| Примечаниеinfo |
|---|
Если требуется не выполнять MAC-авторизацию пользователя (путем отправки запроса Access-Request сразу после подключения пользователя) необходимо в настройках SSID: - На странице "Security"→ "Layer 2" указать:
- "Layer 2 Security": "None"
- "MAC Filtering": не включать (отключить)
- На странице "Security"→ "Layer 3" указать:
- "Authentication" - выбрать
В этом случае для неавторизованного на контроллере CiscoWLC клиента всегда будет выполняться редирект на портал. |
| Примечание |
|---|
Имя SSID в настройках контроллера CiscoWLC и в настройках EMS должны совпадать! |
| После нажатия кнопки "Go" 
Страница "General" 
Страница "Security"→ "Layer 2" 
Страница "Security"→ "Layer 3" 
Страница "Security"→ "AAA Servers" 
Страница "Advanced" 
|
...
- Мониторинг контроллера CiscoWLC выполняется аналогично мониторингу ТД Eltex.
- Выполняется опрос устройства путем переодической отправки PING и SNMP запросов.
- По протоколу SNMP выполняется переодический опрос OID 1.3.6.1.2.1.1.3.0 (не может быть переопределен) комьюнити, указанного в настройке "Read community".
- Для корректного отображения потребуется настроить SNMP на контроллере CiscoWLC.
| |
Настройка SNMP комьюнити на контроллере CiscoWLC: - Перейти в раздел "Management" → "SNMP" → "Communities"
- Нажать кнопку "New"
- "Community Name": ввести имя комьюнити
- "Access Mode": "Read Only"
- Нажать "Apply"
| |
7.
...
Решение проблем
Документация по диагностике проблем с подключением к ТД Eltex расположена: v1.25_Диагностика проблем с подключениями Wi-Fi пользователей
Клиент подключается к SSID, но портал не открывается | Необходимо проверить: - Уровень сигнала клиентского устройства на ТД (рекомендуется не ниже -75Дб).
- Если на устройстве адрес прописан статически, то необходимо включить получение адреса динамически и проверить получает ли устройство IP-адрес.
- Если в настройках WLAN (SSID) контроллера CiscoWLC используется "MAC Filtering" - проверить доступность Radius-сервера, проверить соответствие "Secret" (ключ RADIUS) в настройках Radius контроллера CiscoWLC и в EMS в таблице "RADIUS" → "Управление точками доступа", при несоответствии исправить.
- Если устройство не получает адрес от DHCP сервера, то необходимо провести диагностику DHCP сервера и сети.
- Если устройство получает IP-адрес, но всплывающий браузер не появляется - открыть браузер и ввести имя любого сайта (но не https !), например "http://eltex-co.ru".
- Если в этом случае редирект не выполнится - ввести в адресной строке браузера 8.8.8.8. Если в этом случае редирект срабатывает: проверить работоспособность DNS-сервера - доступен ли он для пользователя, выдается ли в настройках DHCP, отвечает ли на запросы пользователя.
|
| Клиент подключается к SSID, редирект на портал выполняется, но при открытии портала возникает ошибка | При возникновении ошибки 2404 (CISCO_PORTAL_SSID_MISCONFIGURED) проверить, что: - Для ссылки на портал, отображаемой в EMS, в разделе "Wireless" → "Менеджер SSID" → "Привязки внешних устройств" для данного SSID нет красных полей.
- Ссылки на портал, сгенерированные в EMS в "Wireless" → "Менеджер SSID" → "Привязки внешних устройств" для данного SSID и в настройках WLAN контроллера CiscoWLC в разделе "WLANs" → "Security" → "Layer 3" → "Redirect URL", совпадают.
- Имя SSID в настройках SSID в EMS и в настройках контроллера CiscoWLC - в поле SSID в разделе "General" настроек WLAN, совпадают.
|
| Клиент не получает СМС после прохождения регистрации на портале | - Если после регистрации на портале было показано сообщение "Данные приняты в обработку. Ожидайте SMS на указанный Вами номер '79ххххххххх'", но СМС не приходит более 5 минут, то это означает, что сообщение было доставлено на СМС шлюз, но находится в очереди на обработку. Попробуйте пройти авторизацию снова, и если проблема повторилась, то требуется провести диагностику взаимодействия eltex-ngw и СМС шлюза.
- Если после регистрации на портале было показано сообщение "Sorry, due to an internal error the service is temporarily unavailable...", то это означает что произошла ошибка при передаче сообщения на СМС шлюз. Возможно шлюз недоступен в данный момент, попробуйте перезапросить пароль через несколько минут. Если ошибка повторяется, то нужно проверить доступность СМС шлюза с сервера eltex-ngw. Если шлюз пингуется, то необходимо собрать логи eltex-ngw в момент отправки СМС и, используя службу технической поддержки, обратиться за помощью в решении проблемы, приложив логи eltex-ngw.
|
| Клиент получает СМС, регистрируется на портале, в течении длительного времени видит страницу портала после выполнения регистрации, после чего появляется сообщение об ошибке авторизации | - Проверить доступность Radius-сервера.
- Проверить соответствие "Secret" (ключ RADIUS) в настройках Radius контроллера CiscoWLC и в EMS в таблице "RADIUS" → "Управление точками доступа", при несоответствии исправить.
|
| При диагностике обнаружилось, что в EMS в разделе "Wireless" → "Менеджер SSID" → "Привязки устройств" для данного SSID есть красные поля | Пример:  Image Added
Проверить: - Наличие настроенного SSID. Настройка описана в разделе "2.4 Настройка SSID".
- Если SSID создан - проверить корректность заполнения полей в настройках SSID: "Domain", "Virtual portal name".
- Если красным цветом подсвечено поле "Индекс привязки" - необходимо проверить в разделе EMS "Wireless" → "Менеджер SSID" → "Привязки SSID" наличие привязки SSID к домену, в который добавлен контроллер CiscoWLC.
- Если привязка была удалена , то при повторном создании для нее изменится поле "Индекс привязки". В этом случае необходимо повторно сгенерировать ссылку, сравнить ее с той, что указана в настройках WLAN контроллера CiscoWLC и при необходимости исправить.
|
| Как изменить UUID ссылки в EMS, если ссылку нельзя изменять в настройках контроллера CiscoWLC | Ситуация может возникнуть, если была удалена привязка SSID и потом назначена заново. В этом случае может измениться UUID. Это значение, которое находится после "http://<IP-адрес портала>:8080/eltex_portal/cisco/". - Открыть настройки WLAN контроллера CiscoWLC и скопировать только UUID из настройки "WLANs" → "Edit <SSID>" → "Security" → "Layer 3" → "Redirect URL":
 Image Added
- Открыть в EMS "Wirelss" → "Менеджер SSID" → "Привязки внешних устройств", выделить нужную привязку и нажать редактировать:
 Image Added
в открывшемся окне поставить галочку напротив параметра UUID, он станет доступен для редактирования, после ле этого вставить значение UUID из настройки "Redirect URL" нужного SSID контроллера CiscoWLC. |
8. Приложения
8.1 Описание параметров Cisco, настраиваемых в тарифном плане
Атрибуты не являются обязательными. Если в тарифном плане не заполнено значение атрибута - он не отправляется.
| Attribute ID | Название атрибута в тарифном плане | Тип | Диапазон | Описание |
|---|
| 1 | VAP-ID | integer | 0-512 | Порядковый номер WLAN (SSID), который настроен на контроллере CiscoWLC и к которому должен подключаться клиент. Если не совпадает с номером WLAN, к которому подключается клиент - запрос на авторизацию будет отклонен. |
| 2 | Уровень QoS | integer | 3 – Bronze (Background) 0 – Silver (Best Effort) 1 – Gold (Video) 2 – Platinum (Voice) | Уровень QoS, который должен быть назначен трафику клиента WiFi. |
| 3 | DSCP | integer | 0-63 | Метка DSCP, которая должна быть назначена трафику клиента WiFi. |
| 4 | 802.1p Tag Type | integer | 0-7 | Метка приоритета 802.1p, которая должна быть назначену трафику клиента WiFi. |
| 5 | Название интерфейса | string | Буквы/цифры 0-31 | Название интерфеса, заданного на контроллере CiscoWLC, через который необходимо выпустить трафик клиента. |
| 6 | Название списка управления доступом | string | Буквы/цифры | Название списка управления доступом (ACL), который настроен на контроллере CiscoWLC и который будет применен к трафику клиента WiFi. |
| 7 | Airespace Data Bandwidth Average Contract, kbps | integer | kbps | Ограничение средней скорости на скачивание. (TCP) |
| 8 | Airespace Real Time Bandwidth Average Contract, kbps | integer | kbps | Ограничение средней скорости на скачивание. (UDP) |
| 9 | Airespace Data Bandwidth Burst Contract, kbps | integer | kbps | Ограничение пиковой скорости на скачивание. (TCP) |
| 10 | Airespace Real Time Bandwidth Burst Contract, kbps | integer | kbps | Ограничение пиковой скорости на скачивание. (UDP) |
| 11 | Название гостевой роли | string | Буквы/цифры 0-51 | Имя роли, настроенной на контроллере CiscoWLC, которая должна быть назначена клиенту WiFi. Роль определяет полосу пропускания и отменяет ограничения скорости, указанные в других атрибутах. Применяется после успешного завершения аутентификации. Ограничение скорости в роли настраиваются только в направлении DownStream (скачивание). |
| 13 | Airespace Data Bandwidth Average Contract Upstream, kbps | integer | kbps | Ограничение средней скорости на отправку. (TCP) |
| 14 | Airespace Real Time Bandwidth Average Contract Upstream, kbps | integer | kbps | Ограничение средней скорости на отправку. (UDP) |
| 15 | Airespace Data Bandwidth Burst Contract Upstream, kbps | integer | kbps | Ограничение пиковой скорости на отправку. (TCP) |
| 16 | Airespace Real Time Bandwidth Burst Contract Upstream, kbps | integer | kbps | Ограничение пиковой скорости на отправку. (UDP) |
...
8.2 Описание аттрибутов, отправляемых в RADIUS-аккаунтинге
| ID атрибута | Описание |
|---|
| 1 | User-Name |
| 4 | NAS-IP-Address |
| 5 | NAS-Port |
| 8 | Framed-IP-Address |
| 25 | Class |
| 30 | Called-Station-ID (MAC address) |
| 31 | Calling-Station-ID (MAC address) |
| 32 | NAS-Identifier |
| 40 | Accounting-Status-Type |
| 41 | Accounting-Delay-Time (Stop and interim messages only) |
| 42 | Accounting-Input-Octets (Stop and interim messages only) |
| 43 | Accounting-Output-Octets (Stop and interim messages only) |
| 44 | Accounting-Session-ID |
| 45 | Accounting-Authentic |
| 46 | Accounting-Session-Time (Stop and interim messages only) |
| 47 | Accounting-Input-Packets (Stop and interim messages only) |
| 48 | Accounting-Output-Packets (Stop and interim messages only) |
| 49 | Accounting-Terminate-Cause (Stop messages only) |
| 52 | Accounting-Input-Gigawords |
| 53 | Accounting-Output-Gigawords |
| 55 | Event-Timestamp |
| 64 | Tunnel-Type |
| 65 | Tunnel-Medium-Type |
| 81 | Tunnel-Group-ID |
