...
- На вкладке Work Centers → Guest Access → Policy Sets создайте политику доступа для WiFi-пользователей с названием 'Eltex-AP-Portal-CoA'. В эту политику попадают клиенты, приходящие с SSID "!F.E.portal-CoA" (и другие, на которых должна работать данная авторизация).
- Поле посередине кликабельно. В нем настройте Flow Type Conditions (соответствуют Wireless_MAB, который был настроен при создании Network Device Profiles).
- В Allowed Protocols/Server Sequence выберите созданную ранее политику ('Allowed_for_AP-CoA').
Создание правил аутентификации и авторизации в данной политике
...
- В правиле аутентификации проверяется МАС-адрес в базе EndPoints (MAB). И если пользователь не найден (If User not found), то следует продолжение работы политики CONTINUE.
- В первом правиле авторизации с именем 'MAB_Access', под которое запрос попадает, если он относится к Wireless_MAB потоку, и имя пользователя (MAC-адрес) имеется в хранилище 'GuestEndpoints' навешивается действие 'PermitAccess'. То есть Radius-сервер в ответ на Access-Request отправит Access-Accept без дополнительных атрибутов (preAuth_ACL, url_redirect).
- В дефолтном правиле авторизации, туда попадет запрос, если он не попал в верхнее правило (т. е. если портал еще не знает клиента). Запрос попадет под созданную ранее политику авторизации 'AP-TEST_CoA' и тогда в пакете Access-Accept на ТД (NAS-server) будут дополнительные атрибуты (preAuth_ACL, url_redirect) и клиент получит ограниченный доступ и редирект на гостевой портал.
Radius-обмен между WLC и Cisco-ISE в процессе авторизации
...
| Блок кода |
|---|
No. Time Source Destination Protocol Length Info 11 0.000000 100.127.2.200 100.110.0.161 RADIUS 316 Access-Request id=66 2 0.054155 100.110.0.161 100.127.2.200 RADIUS 427 Access-Accept id=66 3 46.933863 100.110.0.161 100.127.2.200 RADIUS 230 CoA-Request id=101 4 46.978071 100.127.2.200 100.110.0.161 RADIUS 316 Access-Request id=67 5 46.979828 100.127.2.200 100.110.0.161 RADIUS 88 CoA-ACK id=101 6 47.014845 100.110.0.161 100.127.2.200 RADIUS 209 Access-Accept id=67 7 47.016633 100.127.2.200 100.110.0.161 RADIUS 262 Accounting-Request id=68 8 47.026206 100.110.0.161 100.127.2.200 RADIUS 64 Accounting-Response id=68 |
Scroll Pagebreak
Атрибуты пакета Access-Request (MAB-аутентификации)
...
| Блок кода |
|---|
RADIUS Protocol
Code: Access-Accept (2)
Packet identifier: 0x42 (66)
Length: 383
Authenticator: b5df40483c0b863ff0a967af7b60618d
[This is a response to a request in frame 1]
[Time from request: 0.054155000 seconds]
Attribute Value Pairs
AVP: t=User-Name(1) l=19 val=78-98-E8-1E-67-07
AVP: t=Class(25) l=78 val=434143533a363436653030613163724738754f466a64647352704e714a61543074616550…
AVP: t=Message-Authenticator(80) l=18 val=90d3bb0e49b633199d8a7f74f3b6270a
AVP: t=Vendor-Specific(26) l=30 vnd=ciscoSystems(9)
Type: 26
Length: 30
Vendor ID: ciscoSystems (9)
VSA: t=Cisco-AVPair(1) l=24 val=url-redirect-acl=test1
AVP: t=Vendor-Specific(26) l=218 vnd=ciscoSystems(9)
Type: 26
Length: 218
Vendor ID: ciscoSystems (9)
[…]VSA: t=Cisco-AVPair(1) l=212 val=url-redirect=https://100.110.0.161:8443/portal/gateway?sessionId=646e00a1crG8uOFjddsRpNqJaT0taePWbRimqRw1M3d0sv_xEcs&portal=4f22cb25-630a-4c50-b257-4aa2c04fd552&action=cwa&token=edccfff2ba55759ac1f762
|
Scroll Pagebreak
Атрибуты пакета CoA-Request
...
Авторизация пока еще неизвестного клиента с целью редиректа на портал регистрации
Scroll Pagebreak
Регистрация и авторизация на портале
Scroll Pagebreak
...
Отправка команды на реаунтификацию посредством CoA
Scroll Pagebreak
Финальный Permit-Access
Аккаунтинг
