Eltex Documentation
Дерево страниц

Сравнение версий

Старая версия 2

changes.mady.by.user Сервисный центр Wi-Fi

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Сервисный центр Wi-Fi

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Настройка Global параметра Web Auth

  • Открыть в браузере GUI CiscoWLC
  • Перейти в раздел "Configuration" → "Security" → "Web Auth"
  • Открыть настройки global параметра (глобальные настройки применяемые ко всем созданным в будущем параметрам):
    • Sleeping Client Status: Enabled
    • Sleeping Client Timeout (minutes): 720
    • Virtual IPv4 Address: ввести любой валидный IP-адрес
    • Trustpoint: выбрать (если отсутствует) сертификат
    • Enable HTTP server for Web Auth: Enabled
    • Disable HTTP secure server for Web Auth: Enabled
  • Нажать кнопку "Update & Apply to device"

Настройка параметра Eltex-portal Web Auth

  • Перейти в раздел "Configuration" → "Security" → "Web Auth"
  • Нажать кнопку "Add" для создания нового параметра:
    • Parameter-map name: eltex-portal
    • Maximum HTTP connections: 200
    • Init-State Timeout: 3600
    • Type: webauth
  • Нажать кнопку "Apply to device"
  • Открыть настройки Eltex-portal параметра
  • Перейти на вкладку General:
    • Banner Type: None
    • Captive Bypass Portal: Disabled
    • Disable Success Window: Enabled
    • Disable Logout Window: Enabled
    • Disable Cisco Logo: Enabled
    • Sleeping Client Status: Enabled
    • Sleeping Client Timeout: 720
  • Перейти на вкладку Advanced:
    • Redirect for log-in: Ссылка портальной авторизации, полученная из EMS SoftWLC (см. Создание ссылки портальной авторизации, которая будет указана на контроллере CiscoWLC)
    • Redirect On-Success: Оставляем пустым
    • Redirect On-Failure: Ссылка портальной авторизации, полученная из EMS SoftWLC
    • Redirect Append for AP MAC Address: ap_mac
    • Redirect Append for Client MAC Address: client_mac
    • Redirect Append for WLAN SSID: wlan
    • Portal IPV4 Address: ip-адрес SoftWLC
  • Нажать кнопку "Update & Apply to device"


...

Добавление сервера

  • Перейти в раздел "Configuration" → "Security" → "AAA" → "Servers / Groups" → "RADIUS" → "Servers"
  • Нажать кнопку "Add":
    • Name: eltex-radius
    • Server Address: ip-адрес eltex-radius (SoftWLC)
    • Key Type: Clear text
    • Key: ключ radius (см Изменение см Изменение ключа RADIUS устройства в EMS)
    • Confirm Key: ключ radius
    • Auth Port: 31812
    • Acct Port: 31813
    • Server Timeout: 10
    • Retry Count: 3
    • Support for CoA: Disabled
  • Нажать кнопку "Apply to device"
Примечание

RADIUS взаимодействие контроллера CiscoWLC выполняется с сервисом SoftWLC.Eltex-PCRF, который по умолчанию использует auth порт 31812 и acct порт 31813 !


Добавление группы серверов

  • Перейти в раздел "Configuration" → "Security" → "AAA" → "Servers / Groups" → "RADIUS" → "Server Groups"
  • Нажать кнопку "Add":
    • Name: eltex-radius-group
    • Group Type: RADIUS
    • MAC-Delimiter: hyphen
    • MAC-Filtering: none
    • Assigned Servers: eltex-radius
  • Нажать кнопку "Apply to device"

Добавление списка методов аутентификации

  • Перейти в раздел "Configuration" → "Security" → "AAA" → "AAA Method List" → "Authentication"
  • Нажать кнопку "Add":
    • Method List Name: eltex-portal-auth
    • Type: login
    • Group Type: Group
    • Assigned Server Groups: eltex-radius-group
  • Нажать кнопку "Apply to device"

Добавление списка методов аккаунтинга

  • Перейти в раздел "Configuration" → "Security" → "AAA" → "AAA Method List" → "Accounting"
  • Нажать кнопку "Add":
    • Method List Name: eltex-portal-acct
    • Type: Identity
    • Assigned Server Groups: eltex-radius-group
  • Нажать кнопку "Apply to device"

Редактирование Global параметра AAA

  • Перейти в раздел "Configuration" → "Security" → "AAA" → "AAA Advanced"
  • Нажмите "Show Advanced Settings" и настройте следующие параметры одинаково для Accounting и Authentication:
    • Call Station ID: ap-macaddress-ssid
    • Call Station ID Case: upper
    • MAC-Delimiter: hyphen
    • Username Case: lower
    • Username Delimiter: none
  • Нажать кнопку "Apply"

...

  • Перейти в раздел "Configuration" → "Tags & Profiles" → "WLANs"
  • Нажать кнопку "Add"
  • Вкладка "General":
    • "Profile Name": имя профиля
    • "SSID": имя SSID, должно совпадать с тем, что настроено в EMS
    • "WLAN ID": номер SSID
    • "Status": enabled
    • "Broadcast SSID": enabled
    • "Radio Policy": настройка диапазонов работы
  • Вкладка "Security"→ "Layer 2":
    • "Layer 2 Security": "None"
    • "MAC Filtering": disable
    • "OWE Transition Mode": disable
  • Вкладка "Security"→ "Layer 3":
    • "Web Policy": enable
    • "Web Auth Parameter Map": выбрать ранее настроенный для портальной авторизации 
    • "Authentication List": выбрать ранее настроенный настроенный для портальной авторизации 
    • Нажать "Show Advanced Settings"
    • "Preauthentication ACL" → "IPv4" : выбрать ранее выбрать ранее настроенный для портальной авторизации список доступа
  • Нажать кнопку "Apply to device"
Информация

Если требуется выполнять MAC-авторизацию пользователя (путем отправки запроса Access-Request сразу после подключения пользователя) необходимо в настройках SSID:

  • На странице "Security"→ "Layer 2" указать:
    • "Layer 2 Security": "None"
    • "MAC Filtering": enabled
  • На странице "Security"→ "Layer 3" указать:
    • "Authentication" - убрать выбор

В этом случае для неавторизованного на контроллере CiscoWLC клиента всегда будет выполняться MAC-авторизация


Примечание

Имя SSID в настройках контроллера CiscoWLC и в настройках EMS должны совпадать!


Страница "General"

Страница "Security"→ "Layer 2"

Страница "Security"→ "Layer 3"

...

  • Перейти в раздел "Configuration" → "Tags & Profiles" → "Policy"
  • Нажать кнопку "Add"
  • Вкладка "General
    • "Name": имя политики
    • "Description": описание политики
    • "Status": enabled
    • "Passive Client": disabled
    • "IP MAC Binding": enabled
    • "Encrypted Traffic Analytics": disabled
    • "Central Switching": enabled
    • "Central Authentication": enabled
    • "Central DHCP": enabled
    • "Flex NAT/PAT": disabled
  • Вкладка "Access Policies
    • "VLAN/VLAN Group": выбираем настроенный VLAN (настраивается при установке контроллера Cisco)
  • Вкладка "Advanced" → "AAA Policy"
    • "Allow AAA Override": enabled
    • "Accounting List": выбрать созданный ранеесозданный ранее

6.6. Добавление WLAN в Policy Tags

Группа Policy Tags для WLAN необходима для обозначения групп SSID. Определяет какие SSID на какие ТД будут назначены.

  • Перейти в раздел "Configuration" → "Tags & Profiles" → "Tags" → "Policy"
  • Нажать кнопку "Add"
    • "Name": имя группы
    • "Description": описание группы
    • Нажать кнопку "WLAN-POLICY" → "Add"
      • "WLAN Profile": выбрать созданный выбрать созданный ранее SSID
      • "Policy Profile": выбрать созданный выбрать созданный ранее профиль
      • Нажать на галочку
  • Нажать кнопку "Apply to device"

...

  • Перейти в раздел "Configuration" → "Tags & Profiles" → "Tags" → "AP" → "Location"
  • Нажать кнопку "Add"
  • Вкладка "General": 
    • "Location": имя группы
    • "Description": описание группы
    • "Policy Tag Name": созданный  созданный ранее профиль
    • "Site Tag Name": выбираем настройки ТД (для примера был выбран default tag. Настроить свои параметры можно нажав на стрелочку рядом со списком)
    • "RF Tag Name": выбираем настройки антенн (для примера был выбран default tag. Настроить свои параметры можно нажав на стрелочку рядом со списком)
  • Вкладка "AP Provisioning":
    • Выбираем подключенную ТД или добавляем по MAC
    • Нажимаем на стрелку и добавляем в список
  • Нажать кнопку "Apply to device"

...