...
Система Netams WNAM будет рассмотрена для портальной авторизации пользователей Wi-Fi.
| Информация | ||
|---|---|---|
| title | Взаимодействие системы авторизации Netams WNAM с контроллероми WLC/ESR доступна на | :WLC/ESR-15/30/3200, vWLC, начиная с версии WNAM 1.6.4010. |
В данной статье рассмотрен пример настройки авторизации клиента через гостевой портал путем идентификации по коду ваучера. Другие способы гостевой авторизации выходят за рамки данной статьи, так как взаимодействие между системой WNAM и BRAS WLC не изменяется.
Перед началом построения взаимодействия между Netams WNAM и WLC необходимо настроить и протестировать работу беспроводной сети и контроллера WLC без портальной авторизации и сетевого экрана. Если беспроводная сеть функционирует корректно, можно приступать к настройки портальной авторизации.
В данной статье используется подключение ТД к контроллеру WLC на основе сети L3 с построением Data SoftGRE-туннеля. В статье "Настрoйка WLC" детально описана настройка данной схемы подключения.
...
Конфигурация object-group:
Перейдите в конфигурационный режим:
Блок кода wlc# configure wlc(config)#
Создайте группу wnam_servers для последующего создания профиля RADIUS:
Блок кода wlc(config)# object-group network wnam_servers
Добавьте адрес WNAM-сервера:
Блок кода wlc(config-object-group-network)# ip address-range 100.110.1.44 wlc(config-object-group-network)# exit
Создайте группу bras_users:
Блок кода wlc(config)# object-group network bras_users
Добавьте пул адресов клиентов, которые будут попадать в авторизацию через портал (Bridge 1, Vlan 1):
Блок кода wlc(config-object-group-network)# ip address-range 192.168.2.2-192.168.2.254 wlc(config-object-group-network)# exit
Создайте группу local:
Блок кода wlc(config)# object-group network local
Добавьте пул адресов из сети клиентов, которые будут получать доступ в интернет через NAT:
Блок кода wlc(config-object-group-network)# ip address-range 192.168.2.1-192.168.2.254 wlc(config-object-group-network)# exit
Создайте группу defaultService:
Блок кода wlc(config)# object-group url defaultService
Добавьте url с адресом WNAM-сервера для работы правила фильтрации авторизации пользователей:
Блок кода wlc(config-object-group-url)# http://100.110.1.44 wlc(config-object-group-url)# exit
Создайте группу redirect:
Блок кода wlc(config)# object-group service redirect
Добавьте пул портов для прослушивания http/https-трафика:
Блок кода wlc(config-object-group-service)# port-range 3128-3135 wlc(config-object-group-service)# exit
Подсказка Слушающий порт прокси (HTTP/HTTPS) будет открыт для каждого ядра WLC/ESR. Порты HTTP начинаются с порта 3128.
На WLC-15/30 4 ядра, нужно разрешить порты для HTTP 3128-3131, для HTTPS 3132-3135.
На WLC-3200 24 ядра, нужно разрешить порты для HTTP 3128-3151, для HTTPS 3152-3175.Полная конфигурация object-group:
Блок кода object-group network wnam_servers ip address-range 100.110.1.44 exit object-group network bras_users ip address-range 192.168.2.2-192.168.2.254 exit object-group network local ip address-range 192.168.2.1-192.168.2.254 exit object-group url defaultService url http://100.110.1.44 exit object-group service redirect port-range 3128-3135 exit
Конфигурация Bridge:
Конфигурация Bridge для uplink:
Блок кода wlc(config)# bridge 2
Пропишите ip-адрес для связности с сервером WNAM:
Блок кода wlc(config-bridge)# ip address 100.110.0.246/23 wlc(config-bridge)# exit
Конфигурация Bridge для пользователей:
Блок кода wlc(config)# bridge 3
Добавьте location, по нему сервер WNAM определит площадку для неавторизованных клиентов:
Блок кода wlc(config-bridge)# location data10 wlc(config-bridge)# exit
Полная конфигурация Bridge:
Блок кода bridge 1 vlan 1 description "MGMT-AP" security-zone trusted ip address 192.168.1.1/24 no spanning-tree enable exit bridge 2 vlan 2 description "UPLINK" security-zone untrusted ip address 100.110.0.246/23 no spanning-tree enable exit bridge 3 description "BRAS-users" vlan 3 mtu 1458 history statistics security-zone users ip address 192.168.2.1/24 no spanning-tree location data10 enable exit
Конфигурация Vlan:
Конфигурация клиентского Vlan 3 (Bridge 3):
Блок кода wlc(config)# vlan 3
Добавьте параметр force-up, который переводит Vlan в режим постоянного статуса UP:
Блок кода wlc(config-vlan)# force-up wlc(config-vlan)# exit
Полная конфигурация Vlan:
Блок кода vlan 3 force-up exit
Настройка списков контроля доступа:
Создайте список контроля доступа для ограничения неавторизованных пользователей в сети. Список разрешает прохождение DNS- и DHCP-трафика:
Блок кода wlc(config-acl)# ip access-list extended BYPASS
Создайте правило с номером 10, это правило отвечает за разрешение получение адреса по протоколу DHCP неавторизованным клиентам:
Блок кода wlc(config-acl)# rule 10
Добавьте действие правила – разрешение:
Блок кода wlc(config-acl-rule)# action permit
Добавьте совпадение по протоколу udp:
Блок кода wlc(config-acl-rule)# match protocol udp
Добавьте совпадение по порту источника:
Блок кода wlc(config-acl-rule)# match source-port 68
Добавьте совпадение по порту назначения:
Блок кода wlc(config-acl-rule)# match destination-port 67
Включите правило:
Блок кода wlc(config-acl-rule)# enable wlc(config-acl-rule)# exit
Создайте правило под номером 11, оно отвечает за разрешение DNS-запросов неавторизованных клиентов:
Блок кода wlc(config-acl)# rule 11
Добавьте действие правило – разрешение:
Блок кода wlc(config-acl-rule)# action permit
Добавьте совпадение по протоколу udp:
Блок кода wlc(config-acl-rule)# match protocol udp
Добавьте совпадение по порту назначения 53:
Блок кода wlc(config-acl-rule)# match destionation-port 53
Включите правило:
Блок кода wlc(config-acl-rule)# enable wlc(config-acl-rule)# exit wlc(config-acl)# exit
Создайте список контроля доступа, который будет применяться после авторизации клиента, он разрешит полный доступ:
Создание списка:
Блок кода wlc(config)# ip access-list extended INTERNET
Создайте правило с номером 10, которое разрешает все:
Блок кода wlc(config-acl)# rule 10
Добавьте действие правила – разрешение:
Блок кода wlc(config-acl-rule)# action permit
Включите правило:
Блок кода wlc(config-acl-rule)# enable wlc(config-acl-rule)# exit wlc(config-acl)# exit
Полная конфигурация списков контроля доступа:Scroll Pagebreak Блок кода ip access-list extended BYPASS rule 10 action permit match protocol udp match source-port 68 match destination-port 67 enable exit rule 11 action permit match protocol udp match destination-port 53 enable exit exit ip access-list extended INTERNET rule 10 action permit enable exit exitНастройка RADIUS:
Добавьте RADIUS-сервер с адресом WNAM:
Блок кода wlc(config)# radius-server host 100.110.1.44
Укажите ключ для взаимодействия:
Блок кода wlc(config-radius-server)# key ascii-text wnampass
Укажите адрес источник (Bridge 2):
Блок кода wlc(config-radius-server)# source-address 100.110.0.246 wlc(config-radius-server)# exit
Создайте AAA-профиль с адресом WNAM-сервера:
Блок кода wlc(config)# aaa radius-profile bras_radius
Укажите адрес WNAM-сервера:
Блок кода wlc(config-aaa-radius-profile)# radius-server host 100.110.1.44 wlc(config-aaa-radius-profile)# exit
Создайте сервер DAS:
Блок кода wlc(config)# das-server das
Укажите ключ:
Блок кода wlc(config-das-server)# key ascii-text wnampass
Укажите порт:Scroll Pagebreak Блок кода wlc(config-das-server)# port 3799
Добавьте object-group, в которой указан адрес сервера WNAM, запросы с адресов из группы wnam_servers поступят в обработку, остальные будут отброшены:
Блок кода wlc(config-das-server)# clients object-group wnam_servers wlc(config-das-server)# exit
Создайте AAA-профиль для DAS-сервера:
Блок кода wlc(config)# aaa das-profile bras_das
Укажите имя DAS-сервера, которое создали ранее:
Блок кода wlc(config-aaa-das-server)# das-server das wlc(config-aaa-das-server)# exit
Полная конфигурация RADIUS:
Блок кода radius-server host 100.110.1.44 key ascii-text wnampass source-address 100.110.0.246 exit aaa radius-profile bras_radius radius-server host 100.110.1.44 exit das-server das key ascii-text wnampass port 3799 clients object-group wnam_servers exit aaa das-profile bras_das das-server das exit
Настройка NAT:
Перейдите в блок конфигурации NAT:
Блок кода wlc(config)# nat source
Создайте пул, в котором указывается адрес для подмены:
Блок кода wlc(config-snat)# pool translate
Укажите адрес (Bridge 2):
Блок кода wlc(config-snat-pool)# ip address-range 100.110.0.246 wlc(config-snat-pool)# exit
Создайте список правил:
Блок кода wlc(config-snat)# ruleset SNAT
Укажите внешний интерфейс, в котором будет происходить трансляция адресов:Scroll Pagebreak Блок кода wlc(config-snat-ruleset)# to interface gigabitethernet 1/0/1
Создайте правило с номером 1:
Блок кода wlc(config-snat-ruleset)# rule 1
Добавьте совпадение по адресу источника, в качестве которого выступает object-group с пулом адресов клиентов:
Блок кода wlc(config-snat-rule)# match source-address object-group local
Укажите действие правила – преобразование адресов источника в адрес, указанный в пуле translate:
Блок кода wlc(config-snat-rule)# action source-nat pool translate
Включите правило:
Блок кода wlc(config-snat-rule)# enable wlc(config-snat-rule)# exit wlc(config-snat-ruleset)# exit wlc(config-snat)# exit
Полная конфигурация NAT:
Блок кода nat source pool translate ip address-range 100.110.0.246 exit ruleset SNAT to interface gigabitethernet 1/0/1 rule 1 match source-address object-group local action source-nat pool translate enable exit exit exitКонфигурация security zone-pair:
Перейдите в блок security zone-pair users self, чтобы открыть http/https-порты в файрволле для клиентов:
Блок кода wlc(config)# security zone-pair users self
Добавьте правило с номером 50:
Блок кода wlc(config-security-zone-pair)# rule 50
Укажите действие для правила – разрешение:
Блок кода wlc(config-security-zone-pair-rule)# action permit
Добавьте совпадение по протоколу tcp:Scroll Pagebreak Блок кода wlc(config-security-zone-pair-rule)# match protocol tcp
Добавьте совпадение по пулу портов в object-group:
Блок кода wlc(config-security-zone-pair-rule)# match destionation-port object-group redirect
Включите правило:
Блок кода wlc(config-security-zone-pair-rule)# enable wlc(config-security-zone-pair-rule)# exit wlc(config-security-zone)# exit
Полная конфигурация security zone-pair:
Блок кода security zone-pair trusted untrusted rule 1 action permit enable exit exit security zone-pair trusted trusted rule 1 action permit enable exit exit security zone-pair trusted self rule 10 action permit match protocol tcp match destination-port object-group ssh enable exit rule 20 action permit match protocol icmp enable exit rule 30 action permit match protocol udp match source-port object-group dhcp_client match destination-port object-group dhcp_server enable exit rule 40 action permit match protocol udp match destination-port object-group ntp enable exit rule 50 action permit match protocol tcp match destination-port object-group dns enable exit rule 60 action permit match protocol udp match destination-port object-group dns enable exit rule 70 action permit match protocol tcp match destination-port object-group netconf enable exit rule 80 action permit match protocol tcp match destination-port object-group sa enable exit rule 90 action permit match protocol udp match destination-port object-group radius_auth enable exit rule 100 action permit match protocol gre enable exit rule 110 action permit match protocol tcp match destination-port object-group airtune enable exit rule 120 action permit match protocol tcp match destination-port object-group web enable exit exit security zone-pair untrusted self rule 1 action permit match protocol udp match source-port object-group dhcp_server match destination-port object-group dhcp_client enable exit exit security zone-pair users self rule 10 action permit match protocol icmp enable exit rule 20 action permit match protocol udp match source-port object-group dhcp_client match destination-port object-group dhcp_server enable exit rule 30 action permit match protocol tcp match destination-port object-group dns enable exit rule 40 action permit match protocol udp match destination-port object-group dns enable exit rule 50 action permit match protocol tcp match destination-port object-group redirect enable exit exit security zone-pair users untrusted rule 1 action permit enable exit exit- Настройка SSID:
Перейдите в раздел конфигурации WLC
Блок кода wlc(config)# wlc
Перейдите в конфигурацию SSID:
Блок кода wlc(config-wlc)# ssid-profile test-ssid
Укажите имя SSID, которое будет вещаться для клиентов:
Блок кода wlc(config-wlc-ssid)# ssid F.E.freeSSID wlc(config-wlc-ssid)# exit wlc(config-wlc)# exit
Полная конфигурация SSID:
Блок кода wlc ssid-profile test-ssid description F.E.free ssid F.E.freeSSID vlan-id 3 802.11kv band 2g band 5g enable exit exit Включение ssid-profile в локацию:
Включите созданный SSID в локацию. ТД получит конфигурацию и начнёт вещать данные SSID. В примере ниже ssid-profile включен в локацию default-location.
Блок кода language vb theme Eclipse ap-location default-location ssid-profile test-ssid exit
- Конфигурация редиректа клиентов:
Перейдите в блок настроек редиректа:
Блок кода wlc(config)# subscriber-control
Добавьте профиль AAA das-сервера:
Блок кода wlc(config-subscriber-control)# aaa das-profile bras_das
Добавьте профиль AAA RADIUS для создания сессий:
Блок кода wlc(config-subscriber-control)# aaa sessions-radius-profile bras_radius
Добавьте профиль AAA RADIUS для доступа к сервисам:
Блок кода wlc(config-subscriber-control)# aaa services-radius-profile bras_radius
Укажите внешний IP WLC (Bridge 2), который будет выступать атрибутом NAS-IP-Address в RADIUS-запросах на WNAM:
Блок кода wlc(config-subscriber-control)# nas-ip-address 100.110.0.246
Включите аутентификацию сессий по mac-адресам:
Блок кода wlc(config-subscriber-control)# session mac-authentication
Укажите список контроля доступа для неавторизованных клиентов:
Блок кода wlc(config-subscriber-control)# bypass-traffic-acl BYPASS
Перейдите в блок конфигурации сервиса:
Блок кода wlc(config-subscriber-control)# default-service
Укажите список контроля доступа, который будет применяться для неавторизованных клиентов:
Укажите локальный белый список URL, доступ к этим адресам по протоколам HTTP/HTTPS будет работать до авторизации:Блок кода wlc(config-subscriber-default-service)# class-map BYPASS
Блок кода wlc(config-subscriber-default-service)# filter-name local defaultService
Укажите действие сервиса – разрешить:
Блок кода wlc(config-subscriber-default-service)# filter-action permit
Укажите url-адрес, куда будут перенаправляться неавторизованные клиенты:Scroll Pagebreak Блок кода wlc(config-subscriber-default-service)# default-action redirect http://100.110.1.44/cp/eltexwlc
Укажите время таймаута сессии:
Блок кода wlc(config-subscriber-default-service)# session-timeout 600 wlc(config-subscriber-default-service)# exit
Включите работу редиректа:
Блок кода wlc(config-subscriber-control)# enable wlc(config-subscriber-control)# exit
Полная конфигурация настроек редиректа:
Блок кода subscriber-control aaa das-profile bras_das aaa sessions-radius-profile bras_radius aaa services-radius-profile bras_radius nas-ip-address 100.110.0.246 session mac-authentication bypass-traffic-acl BYPASS default-service class-map BYPASS filter-name local defaultService filter-action permit default-action redirect http://100.110.1.44/cp/eltexwlc session-timeout 600 exit enable exitПодсказка title Важно!При конфигурации default-action redirect всегда используется шаблон "http://<address WNAM>/cp/eltexwlc", где <address WNAM> сетевой адрес сервера Netams WNAM.
В случае указания другого url авторизация работать не будет.
Полная конфигурация WLC
| Раскрыть | ||
|---|---|---|
|
Конфигурация WNAM
Создание сервера
...
В поле «Тип» выберите Площадка, в поле «Разрешенный сервер доступа» выберите созданный ранее сервер. В поле «Присвоенная IP подсеть или МАС точек доступа» укажите наш пул IP для пользователей портала (сеть Bridge 3 на WLC).
| Подсказка | title | Важно!
|---|
Таким образом через привязку пулов IP можно привязать разные Площадки с разными порталами авторизации, трафик клиентов которых терминируется на одном WLC. Разрешенный сервер соответственно на разных площадках будет один и тот же. |
...
1. Перейдите к созданию ваучеров для авторизации: Конфигурация → Гостевая авторизация → Ваучеры → Создать группу ваучеров.
В дальнейшем коды данных ваучеров будут использоваться для авторизации клиентов на гостевом портале.
Конфигурирование правил аутентификации
1. Перейдите во вкладку : Конфигурация → Правила аутентификации.
...
Таким образом свяжите данное правило с SSID с гостевым доступом.
| Подсказка | title | Важно!
|---|
В правило можно добавить дополнительными параметрами при необходимости. |
Правило аутентификации привязывается к правилу авторизации при помощи тега. В данном примере указан тег guest-wifi-redirect.
| Подсказка | ||
|---|---|---|
| ||
Обратите внимание, чтобы тег был уникальным и совпадал Тег должен быть уникальным и должен совпадать с соответствующим правилом авторизации. |
2. Приступите к созданию правила аутентификации для доступа клиента в Internet.
...
| Подсказка |
|---|
Необходимо использовать уникальный тег, как в примере выше. В данном примере указан тег guest-wifi-permit. |
| Scroll Pagebreak |
|---|
Конфигурирование правил авторизации
...
| Подсказка |
|---|
Правило привязывается по совпадению тега, поэтому тег должен быть такой же, как и в правиле аутентификации. |
2. Второе правило для предоставления доступа в Internet. В блоке «Применить» параметра «RADIUS-атрибуты» пропишите атрибут, назначающий сервис доступа с названием INTERNET, который настроен в виде списка контроля доступа на WLC.
| Блок кода |
|---|
Cisco-Account-Info=AINTERNET |
В результате, на данном этапе, должен быть ответ протокола Radius формата Access-Accept от сервиса авторизации системе BRAS на WLC. В нем будет содержаться атрибут с указанием наименования сервиса доступного абоненту.
| Информация | ||
|---|---|---|
| ||
Контроллер WLC в ходе авторизации запрашивает параметры сервиса INTERNET в пакете Radius Access-Request, а WNAM, в свою очередь, отдаёт их в ответном пакете Access-Accept, где в атрибуте «Cisco-AVPair», со значением "subscriber:traffic-class=INTERNET". |
На этом конфигурация сервиса Netams WNAM завершена.
...
Для просмотра и мониторинга логов работы правил авторизации перейдите в вкладку Диагностика → Корпоративные подключения:
| Блок кода | ||
|---|---|---|
| ||
1: fillFromRadiusAttributes - identity: '78:98:E8:1E:67:07', portType: EthernetMAB
2: fillFromRadiusAttributes - mac: '78:98:E8:1E:67:07'
3: fillFromRadiusAttributes - password: present in request
4: fillFromRadiusAttributes - nas: 'WLC-30 [F.E.]', ip: 100.110.0.246, id: 6614c699fd772e622ebb0689, vendor: ELTEX [enabled]
5: fillFromRadiusAttributes - nas: IP address: 100.110.0.246, identifier: 'null', port: 'location data10'
6: fillFromRadiusAttributes - site: 'test', id: new [enabled]
7: fillFromRadiusAttributes - session id: '3098476543630901255'
8: radius - received 8 attributes in the request:
Cisco-AVPair-subscriber:vrf = 1
User-Name = 78:98:E8:1E:67:07
Cisco-AVPair-subscriber:CELL = d998075724dc24029b359a8db24682a0
User-Password = (password length: 8)
NAS-IP-Address = 100.110.0.246
Cisco-AVPair-subscriber:l2-interface = softgre 1.4
Acct-Session-Id = 3098476543630901255
NAS-Port-Id = location data10
9: filterForPapMacMethod - checkMABPassword: matched captiveportal_pass for 'Редирект для гостевого Wi-Fi tester'
10: authentication - a1profiles candidates: 1 with preliminary processing result: RadiusResponse [state=OK, attributes=[]]
11: authentication - final result: Redirect with policy 'Редирект для гостевого Wi-Fi tester' and tag 'guest-wifi-redirect'
12: authorization - guest redirect
13: radius - send RADIUS REJECT, reason: This will instruct Wi-Fi controller to execute redirect action |
...