На скринах отметить  что  нужно выбрать для настройки

Конфигурацю привесит к виду factory, настроить  firewall 

Оставил пометки по тексту.

Нужно зафиксировать результат, что получили осле настройки и как это поверить.

Описание

Описание

Система Netams WNAM будет Стема Netams WNAM   будет рассмотрена для портальной авторизации пользователей Wi-Fi.

...

В данной статье

...

рассмотрен пример настройки авторизации клиента через гостевой портал путем идентификации по коду ваучера.

...

Другие способы гостевой авторизации выходят за рамки данной статьи, так как взаимодействие между системой WNAM и BRAS WLC не изменяется.

...

 

Перед началом построения взаимодействия между Netams WNAM и WLC

...

необходимо настроить и протестировать работу беспроводной сети и контроллера WLC без портальной авторизации и

...

сетевого экрана. Если беспроводная сеть функционирует корректно

...

, можно приступать к настройки портальной авторизации

...

.

В данной статье используется подключение ТД к контроллеру WLC на основе сети L3 с построением Data SoftGRE-туннеля. В

...

статье настрoйка WLC детально описана настройка данной схемы подключения

...

.

...

Рекомендуется ознакомиться с тонкостями настройки BRAS на ESR/WLC с портальной авторизацией на основе

...

SoftWLC в следующих статьях:

• BRAS/BRAS в vrf. L3 WiFi - руководство по настройке с резервированием
• BRAS. L2 WiFi - руководство по настройке и быстрому запуску
• BRAS. Troubleshooting Guide

Задача

Настроить портальную авторизацию через контроллер WLC с порталом WNAM.Описание схемы сети

• Контроллер WLC имеет адреса:
  • из сети WNAM: 100.110.0.246/23 (Vlan 10002);
  • из сети управления ТД: 192.168.1.1/24 (Bridge 1, Vlan 1);
  • из сети клиентов ТД с портальной авторизацией: 192.168.3.1/24 (Bridge 43, Vlan 43).
• Сервер авторизации WNAM имеет адрес: 100.110.1.44/23 (Vlan 10002);
• Точка доступа подключена к WLC и получит физический (первичный), адрес регистрации на WLC, а также подопцию для построения Data туннеля  . Получает адрес контроллера и терминации GRE-туннеля в 43 опции из пула DHCP, настроенного на WLC из сети: 192.168.1.0/24 (Vlan 1);
• Клиенты ,  получают адреса из пула DHCP, настроенного на WLC из сети: 192.168.32.0/24 (Vlan 43).
• Сервис для доступа в Интернет после авторизации на портале имеет имя: INTERNET.

Лицензирование

Для конфигурации взаимодействия Netams WNAM и WLC, необходима лицензия BRAS для WLC.
Детально о том, как установить и применить лицензию описано в статье – Активация функционала по лицензии.
Проверить наличие лицензии можно с помощью команды show licence:

wlc-30# show licence
Feature                            Source     State         Value                              Valid from             Expiries               
--------------------------------   --------   -----------   --------------------------------   --------------------   --------------------   
BRAS                               File       Active        true                               --                     --                     
BRAS                               File       Candidate     true                               --                     --                     
WLC                                Boot       Active        true                               --                     --                     
WLC                                Boot       Candidate     true                               --                     --                     
WLC-AP                             File       Active        100                                --                     --                     
WLC-AP                             File       Candidate     100                                --                     --                     
WLC-WIDS-WIPS                      File       Active        true                               --                     --                     
WLC-WIDS-WIPS                      File       Candidate     true                               --                     --                   

Взаимодействие элементов системы

...

Конфигурация адресных объектов:

object-group network wnam_servers
  ip address-range 100.110.1.44
exit
object-group network bras_users
  ip address-range 192.168.3.20-192.168.3.250
exit
object-group network local
  ip address-range 192.168.2.1-192.168.2.254
exit
object-group network local2
  ip address-range 192.168.3.1-192.168.3.254
exit
object-group url defaultService
  url http://100.110.1.44
exit

...

Решение

Настройка будет выполнена на базе заводской конфигурации (Factory).

Шаги выполнения:

1. Конфигурирование WLC:
   
   1. Конфигурация object-group – группы адресов для NAT, неавторизованных пользователей, url-адрес для перенаправления авторизации, адрес WNAM-сервера;
   2. Конфигурация bridge – для сетевой связности;
   3. Конфигурация vlan;
   4. Конфигурация ACL – для ограничения доступа к сети неавторизованных (до авторизации) и авторизованных клиентов (после авторизации);
   5. Конфигурация RADIUS – для взаимодействия WLC и WNAM;
   6. Конфигурация NAT – для доступа в интернет Wi-Fi клиентам;
   7. Конфигурация security zone – для разрешения редиректа запросов неавторизованных клиентов на WNAM;
   8. Конфигурация SSID – для подключения клиентов;
   9. Конфигурация subscriber-control – для пересылки неавторизованных клиентов на WNAM.
2. Конфигурирование WNAM:
   1. Создание сервера;
   2. Создание площадки;
   3. Создание группы ваучеров;
   4. Конфигурирование правил аутентификации;
   5. Конфигурирование правил авторизации.

Лицензирование

Для конфигурации взаимодействия Netams WNAM и WLC необходима лицензия BRAS для WLC.

Детальнее о том, как установить и применить лицензию описано в статье Активация функционала по лицензии.

Проверить наличие лицензии можно с помощью команды show licence:

wlc# show licence
Feature                            Source     State         Value                              Valid from             Expiries               
--------------------------------   --------   -----------   --------------------------------   --------------------   --------------------   
BRAS                               File       Active        true                               --                     --                     
BRAS                               File       Candidate     true                               --                     --                     
WLC                                Boot       Active        true                               --                     --                     
WLC                                Boot       Candidate     true                               --                     --                            

Scroll Pagebreak

Взаимодействие элементов системы

...

Конфигурирование WLC

1. Конфигурация object-group:

   Перейдите в конфигурационный режим:

   Блок кода
   wlc# configure wlc(config)#

   Создайте группу wnam_servers для последующего создания профиля RADIUS:

   Блок кода
   wlc(config)# object-group network wnam_servers

   Добавьте адрес WNAM-сервера:

   Блок кода
   wlc(config-object-group-network)# ip address-range 100.110.1.44 wlc(config-object-group-network)# exit

   Создайте группу bras_users:

   Блок кода
   wlc(config)# object-group network bras_users

   Добавьте пул адресов клиентов, которые будут попадать в авторизацию через портал (Bridge 1, Vlan 1):

   Блок кода
   wlc(config-object-group-network)# ip address-range 192.168.2.2-192.168.2.254 wlc(config-object-group-network)# exit

   Создайте группу local:

   Блок кода
   wlc(config)# object-group network local

   Добавьте пул адресов из сети клиентов, которые будут получать доступ в интернет через NAT:

   Блок кода
   wlc(config-object-group-network)# ip address-range 192.168.2.1-192.168.2.254 wlc(config-object-group-network)# exit

   Создайте группу defaultService:

   Блок кода
   wlc(config)# object-group url defaultService

   Добавьте url с адресом WNAM-сервера для работы правила фильтрации авторизации пользователей:

   Блок кода
   wlc(config-object-group-url)# http://100.110.1.44 wlc(config-object-group-url)# exit

   Создайте группу redirect:

   Блок кода
   wlc(config)# object-group service redirect

   Добавьте пул портов для прослушивания http/https-трафика:

   Блок кода
   wlc(config-object-group-service)# port-range 3128-3135 wlc(config-object-group-service)# exit

   Подсказка
   Слушающий порт прокси (HTTP/HTTPS) будет открыт для каждого ядра WLC/ESR. Порты HTTP начинаются с порта 3128.  На WLC-15/30 4 ядра, нужно разрешить порты для HTTP 3128-3131, для HTTPS 3132-3135. На WLC-3200 24 ядра, нужно разрешить порты для HTTP 3128-3151, для HTTPS 3152-3175.

   Полная конфигурация object-group:

   Блок кода
   object-group network wnam_servers ip address-range 100.110.1.44 exit object-group network bras_users ip address-range 192.168.2.2-192.168.2.254 exit object-group network local ip address-range 192.168.2.1-192.168.2.254 exit object-group url defaultService url http://100.110.1.44 exit object-group service redirect port-range 3128-3135 exit

   
   

2. Конфигурация Bridge:

   Конфигурация Bridge для uplink:

   Блок кода
   wlc(config)# bridge 2

   Пропишите ip-адрес для связности с сервером WNAM:

   Блок кода
   wlc(config-bridge)# ip address 100.110.0.246/23 wlc(config-bridge)# exit

   Конфигурация Bridge для пользователей:

   Блок кода
   wlc(config)# bridge 3

   Добавьте location, по нему сервер WNAM определит площадку для неавторизованных клиентов:

   Блок кода
   wlc(config-bridge)# location data10 wlc(config-bridge)# exit

   Полная конфигурация Bridge:

   Блок кода
   bridge 1 vlan 1 description "MGMT-AP" security-zone trusted ip address 192.168.1.1/24 no spanning-tree enable exit bridge 2 vlan 2 description "UPLINK" security-zone untrusted ip address 100.110.0.246/23 no spanning-tree enable exit bridge 3 description "BRAS-users" vlan 3 mtu 1458 history statistics security-zone users ip address 192.168.2.1/24 no spanning-tree location data10 enable exit

   
   

3. Конфигурация Vlan:

   Конфигурация клиентского Vlan 3 (Bridge 3):

   Блок кода
   wlc(config)# vlan 3

   Добавьте параметр force-up, который переводит Vlan в режим постоянного статуса UP:

   Блок кода
   wlc(config-vlan)# force-up wlc(config-vlan)# exit

   Полная конфигурация Vlan:

   Блок кода
   vlan 3 force-up exit

   
   

4. Настройка списков контроля доступа:

   Создайте список контроля доступа для ограничения неавторизованных пользователей в сети. Список разрешает прохождение DNS- и DHCP-трафика:

   Блок кода
   wlc(config-acl)# ip access-list extended BYPASS

   Создайте правило с номером 10, это правило отвечает за разрешение получение адреса по протоколу DHCP неавторизованным клиентам:

   Блок кода
   wlc(config-acl)# rule 10

   Добавьте действие правила – разрешение:

   Блок кода
   wlc(config-acl-rule)# action permit

   Добавьте совпадение по протоколу udp:

   Блок кода
   wlc(config-acl-rule)# match protocol udp

   Добавьте совпадение по порту источника:

   Блок кода
   wlc(config-acl-rule)# match source-port 68

   Добавьте совпадение по порту назначения:

   Блок кода
   wlc(config-acl-rule)# match destination-port 67

   Включите правило:

   Блок кода
   wlc(config-acl-rule)# enable wlc(config-acl-rule)# exit

   Создайте правило под номером 11, оно отвечает за разрешение DNS-запросов неавторизованных клиентов:

   Блок кода
   wlc(config-acl)# rule 11

   Добавьте действие правило – разрешение:

   Блок кода
   wlc(config-acl-rule)# action permit

   Добавьте совпадение по протоколу udp:

   Блок кода
   wlc(config-acl-rule)# match protocol udp

   Добавьте совпадение по порту назначения 53:

   Блок кода
   wlc(config-acl-rule)# match destionation-port 53

   Включите правило:

   Блок кода
   wlc(config-acl-rule)# enable wlc(config-acl-rule)# exit wlc(config-acl)# exit

   Создайте список контроля доступа, который будет применяться после авторизации клиента, он разрешит полный доступ:

   Создание списка:

   Блок кода
   wlc(config)# ip access-list extended INTERNET

   Создайте правило с номером 10, которое разрешает все:

   Блок кода
   wlc(config-acl)# rule 10

   Добавьте действие правила – разрешение:

   Блок кода
   wlc(config-acl-rule)# action permit

   Включите правило:

   Блок кода
   wlc(config-acl-rule)# enable wlc(config-acl-rule)# exit wlc(config-acl)# exit

   Полная конфигурация списков контроля доступа:

   Блок кода
   ip access-list extended BYPASS rule 10 action permit match protocol udp match source-port 68 match destination-port 67 enable exit rule 11 action permit match protocol udp match destination-port 53 enable exit exit ip access-list extended INTERNET rule 10 action permit enable exit exit

5. Настройка RADIUS:

   Добавьте RADIUS-сервер с адресом WNAM:

   Блок кода
   wlc(config)# radius-server host 100.110.1.44

   Укажите ключ для взаимодействия:

   Блок кода
   wlc(config-radius-server)# key ascii-text wnampass

   Укажите адрес источник (Bridge 2):

   Блок кода
   wlc(config-radius-server)# source-address 100.110.0.246 wlc(config-radius-server)# exit

   Создайте AAA-профиль с адресом WNAM-сервера:

   Блок кода
   wlc(config)# aaa radius-profile bras_radius

   Укажите адрес WNAM-сервера:

   Блок кода
   wlc(config-aaa-radius-profile)# radius-server host 100.110.1.44 wlc(config-aaa-radius-profile)# exit

   Создайте сервер DAS:

   Блок кода
   wlc(config)# das-server das

   Укажите ключ:

   Блок кода
   wlc(config-das-server)# key ascii-text wnampass

   Укажите порт:

   Блок кода
   wlc(config-das-server)# port 3799

   Добавьте object-group, в которой указан адрес сервера WNAM, запросы с адресов из группы wnam_servers поступят в обработку, остальные будут отброшены:

   Блок кода
   wlc(config-das-server)# clients object-group wnam_servers wlc(config-das-server)# exit

   Создайте AAA-профиль для DAS-сервера:

   Блок кода
   wlc(config)# aaa das-profile bras_das

   Укажите имя DAS-сервера, которое создали ранее:

   Блок кода
   wlc(config-aaa-das-server)# das-server das wlc(config-aaa-das-server)# exit

   Полная конфигурация RADIUS:

   Блок кода
   radius-server host 100.110.1.44 key ascii-text wnampass source-address 100.110.0.246 exit aaa radius-profile bras_radius radius-server host 100.110.1.44 exit das-server das key ascii-text wnampass port 3799 clients object-group wnam_servers exit aaa das-profile bras_das das-server das exit

6. Настройка NAT:

   Перейдите в блок конфигурации NAT:

   Блок кода
   wlc(config)# nat source

   Создайте пул, в котором указывается адрес для подмены:

   Блок кода
   wlc(config-snat)# pool translate

   Укажите адрес (Bridge 2):

   Блок кода
   wlc(config-snat-pool)# ip address-range 100.110.0.246 wlc(config-snat-pool)# exit

   Создайте список правил:

   Блок кода
   wlc(config-snat)# ruleset SNAT

   Укажите внешний интерфейс, в котором будет происходить трансляция адресов:

   Блок кода
   wlc(config-snat-ruleset)# to interface gigabitethernet 1/0/1

   Создайте правило с номером 1:

   Блок кода
   wlc(config-snat-ruleset)# rule 1

   Добавьте совпадение по адресу источника, в качестве которого выступает object-group с пулом адресов клиентов:

   Блок кода
   wlc(config-snat-rule)# match source-address object-group local

   Укажите действие правила – преобразование адресов источника в адрес, указанный в пуле translate:

   Блок кода
   wlc(config-snat-rule)# action source-nat pool translate

    Включите правило:

   Блок кода
   wlc(config-snat-rule)# enable wlc(config-snat-rule)# exit wlc(config-snat-ruleset)# exit wlc(config-snat)# exit

   Полная конфигурация NAT:

   Блок кода
   nat source pool translate ip address-range 100.110.0.246 exit ruleset SNAT to interface gigabitethernet 1/0/1 rule 1 match source-address object-group local action source-nat pool translate enable exit exit exit

7. Конфигурация security zone-pair:

   Перейдите в блок security zone-pair users self, чтобы открыть http/https-порты в файрволле для клиентов:

   Блок кода
   wlc(config)# security zone-pair users self

   Добавьте правило с номером 50:

   Блок кода
   wlc(config-security-zone-pair)# rule 50

   Укажите действие для правила – разрешение:

   Блок кода
   wlc(config-security-zone-pair-rule)# action permit

   Добавьте совпадение по протоколу tcp:

   Блок кода
   wlc(config-security-zone-pair-rule)# match protocol tcp

   Добавьте совпадение по пулу портов в object-group:

   Блок кода
   wlc(config-security-zone-pair-rule)# match destionation-port object-group redirect

   Включите правило:

   Блок кода
   wlc(config-security-zone-pair-rule)# enable wlc(config-security-zone-pair-rule)# exit wlc(config-security-zone)# exit

   Полная конфигурация security zone-pair:

   Блок кода

   security zone-pair trusted untrusted rule 1 action permit enable exit exit security zone-pair trusted trusted rule 1 action permit enable exit exit security zone-pair trusted self rule 10 action permit match protocol tcp match destination-port object-group ssh enable exit rule 20 action permit match protocol icmp enable exit rule 30 action permit match protocol udp match source-port object-group dhcp_client match destination-port object-group dhcp_server enable exit rule 40 action permit match protocol udp match destination-port object-group ntp enable exit rule 50 action permit match protocol tcp match destination-port object-group dns enable exit rule 60 action permit match protocol udp match destination-port object-group dns enable exit rule 70 action permit match protocol tcp match destination-port object-group netconf enable exit rule 80 action permit match protocol tcp match destination-port object-group sa enable exit rule 90 action permit match protocol udp match destination-port object-group radius_auth enable exit rule 100 action permit match protocol gre enable exit rule 110 action permit match protocol tcp match destination-port object-group airtune enable exit rule 120 action permit match protocol tcp match destination-port object-group web enable exit exit security zone-pair untrusted self rule 1 action permit match protocol udp match source-port object-group dhcp_server match destination-port object-group dhcp_client enable exit exit security zone-pair users self rule 10 action permit match protocol icmp enable exit rule 20 action permit match protocol udp match source-port object-group dhcp_client match destination-port object-group dhcp_server enable exit rule 30 action permit match protocol tcp match destination-port object-group dns enable exit rule 40 action permit match protocol udp match destination-port object-group dns enable exit rule 50 action permit match protocol tcp match destination-port object-group redirect exit security zone-pair users untrusted rule 1 action permit enable exit exit

8. Настройка SSID: 

   Перейдите в раздел конфигурации WLC

   Блок кода
   wlc(config)# wlc

   Перейдите в конфигурацию SSID:

   Блок кода
   wlc(config-wlc)# ssid-profile test-ssid

   Укажите имя SSID, которое будет вещаться для клиентов:

   Блок кода
   wlc(config-wlc-ssid)# ssid F.E.freeSSID wlc(config-wlc-ssid)# exit wlc(config-wlc)# exit

   Полная конфигурация SSID:

   Блок кода
   wlc ssid-profile test-ssid description F.E.free ssid F.E.freeSSID vlan-id 3 802.11kv band 2g band 5g enable exit exit

9. Включение ssid-profile в локацию:

   Включите созданный SSID в локацию. ТД получит конфигурацию и начнёт вещать данные SSID. В примере ниже ssid-profile включен в локацию default-location.

   Блок кода
   language vb theme Eclipse
   ap-location default-location ssid-profile test-ssid exit

10. Конфигурация редиректа клиентов:

    Перейдите в блок настроек редиректа:

    Блок кода
    wlc(config)# subscriber-control

    Добавьте профиль AAA das-сервера:

    Блок кода
    wlc(config-subscriber-control)# aaa das-profile bras_das

    Добавьте профиль AAA RADIUS для создания сессий:

    Блок кода
    wlc(config-subscriber-control)# aaa sessions-radius-profile bras_radius

    Добавьте профиль AAA RADIUS для доступа к сервисам:

    Блок кода
    wlc(config-subscriber-control)# aaa services-radius-profile bras_radius

    Укажите внешний IP WLC (Bridge 2), который будет выступать атрибутом NAS-IP-Address в RADIUS-запросах на WNAM:

    Блок кода
    wlc(config-subscriber-control)# nas-ip-address 100.110.0.246

    Включите аутентификацию сессий по mac-адресам:

    Блок кода
    wlc(config-subscriber-control)# session mac-authentication

    Укажите список контроля доступа для неавторизованных клиентов:

    Блок кода
    wlc(config-subscriber-control)# bypass-traffic-acl BYPASS

    Перейдите в блок конфигурации сервиса:

    Блок кода
    wlc(config-subscriber-control)# default-service

    Укажите список контроля доступа, который будет применяться для неавторизованных клиентов:

    Блок кода
    wlc(config-subscriber-default-service)# class-map BYPASS

    Укажите локальный белый список URL, доступ к этим адресам по протоколам HTTP/HTTPS будет работать до авторизации:  

    Блок кода
    wlc(config-subscriber-default-service)# filter-name local defaultService

    Укажите действие сервиса – разрешить:

    Блок кода
    wlc(config-subscriber-default-service)# filter-action permit

    Укажите url-адрес, куда будут перенаправляться неавторизованные клиенты:

    Блок кода
    wlc(config-subscriber-default-service)# default-action redirect http://100.110.1.44/cp/eltexwlc

    Укажите время таймаута сессии:

    Блок кода
    wlc(config-subscriber-default-service)# session-timeout 600 wlc(config-subscriber-default-service)# exit

    Включите работу редиректа:

    Блок кода
    wlc(config-subscriber-control)# enable wlc(config-subscriber-control)# exit

    Полная конфигурация настроек редиректа:

    Блок кода
    subscriber-control aaa das-profile bras_das aaa sessions-radius-profile bras_radius aaa services-radius-profile bras_radius nas-ip-address 100.110.0.246 session mac-authentication bypass-traffic-acl BYPASS default-service class-map BYPASS filter-name local defaultService filter-action permit default-action redirect http://100.110.1.44/cp/eltexwlc session-timeout 600 exit enable exit

    Подсказка
    title Важно!
    При конфигурации default-action redirect всегда используется шаблон "http://<address WNAM>/cp/eltexwlc", где <address WNAM> сетевой адрес сервера Netams WNAM. В случае указания другого url авторизация работать не будет.

Полная конфигурация WLC

#!/usr/bin/clish
#260
#1.26.1
#06/08/2024
#17:35:15
hostname wlc

object-group service airtune
  port-range 8099
exit
object-group service dhcp_client
  port-range 68
exit
object-group service dhcp_server
  port-range 67
exit
object-group service dns
  port-range 53
exit
object-group service netconf
  port-range 830
exit
object-group service ntp
  port-range 123
exit
object-group service radius_auth
  port-range 1812
exit
object-group service sa
  port-range 8043-8044
exit
object-group service ssh
  port-range 22
exit
object-group service https
  port-range 443
exit
object-group service redirect
  port-range 3128-3131
exit

object-group network wnam_servers
  ip address-range 100.110.1.44
exit
object-group network bras_users
  ip address-range 192.168.2.2-192.168.2.254
exit
object-group network local
  ip address-range 192.168.2.1-192.168.2.254
exit
exit
object-group url defaultService
  url http://100.110.1.44
exit

syslog max-files 3
syslog file-size 512
syslog sequence-numbers
syslog file tmpsys:syslog/default
  severity info
exit

radius-server local
  nas ap
    key ascii-text encrypted testing123
    network 192.168.1.0/24
  exit
  nas local
    key ascii-text encrypted testing123
    network 127.0.0.1/32
  exit
  domain default
    user admin
      password ascii-text encrypted admin
    exit
    user test
      password ascii-text encrypted test
    exit
  exit
  virtual-server default
    enable
  exit
  enable
exit
username admin
  password encrypted password
exit

radius-server host 100.110.1.44
  key ascii-text encrypted wnampass
  source-address 100.110.0.246
exit
radius-server host 127.0.0.1
  key ascii-text encrypted testing123
exit
aaa radius-profile bras_radius
  radius-server host 100.110.1.44
exit
aaa radius-profile default_radius
  radius-server host 127.0.0.1
exit

das-server das
  key ascii-text encrypted wnampass
  port 3799
  clients object-group wnam_servers
exit
aaa das-profile bras_das
  das-server das
exit


boot host auto-config
boot host auto-update

vlan 3
  force-up
exit
vlan 2
exit

no spanning-tree

domain lookup enable

security zone trusted
exit
security zone untrusted
exit
security zone users
exit
security zone dmz
exit

ip access-list extended BYPASS
  rule 10
    action permit
    match protocol udp
    match source-port 68
    match destination-port 67
    enable
  exit
  rule 11
    action permit
    match protocol udp
    match destination-port 53
    enable
  exit
exit
ip access-list extended INTERNET
  rule 10
    action permit
    enable
  exit
exit

subscriber-control
  aaa das-profile bras_das
  aaa sessions-radius-profile bras_radius
  aaa services-radius-profile bras_radius
  nas-ip-address 100.110.0.246
  session mac-authentication
  bypass-traffic-acl BYPASS
  default-service
    class-map BYPASS
    filter-name local defaultService
    filter-action permit
    default-action redirect http://100.110.1.44/cp/eltexwlc
    session-timeout 600
  exit
  enable
exit

bridge 1
  vlan 1
  description "MGMT-AP"
  security-zone trusted
  ip address 192.168.1.1/24
  no spanning-tree
  enable
exit
bridge 2
  vlan 2
  description "UPLINK"
  security-zone untrusted
  ip address 100.110.0.246/23
  no spanning-tree
  enable
exit
bridge 3
  description "BRAS-users"
  vlan 3
  mtu 1458
  security-zone users
  ip address 192.168.2.1/24
  no spanning-tree
  location data10
  enable
exit

interface gigabitethernet 1/0/1
  description "UPLINK"
  mode switchport
  switchport access vlan 2
exit
interface gigabitethernet 1/0/2
  description "AP-MGMT"
  mode switchport
exit
interface gigabitethernet 1/0/3
  mode switchport
exit
interface gigabitethernet 1/0/4
  lldp receive
exit
interface tengigabitethernet 1/0/1
  mode switchport
  switchport access vlan 2
exit
interface tengigabitethernet 1/0/2
  mode switchport
exit

tunnel softgre 1
  mode data
  local address 192.168.1.1
  default-profile
  enable
exit

security zone-pair trusted self
  rule 10
    action permit
    match protocol tcp
    match destination-port object-group ssh
    enable
  exit
  rule 20
    action permit
    match protocol icmp
    enable
  exit
  rule 30
    action permit
    match protocol udp
    match source-port object-group dhcp_client
    match destination-port object-group dhcp_server
    enable
  exit
  rule 40
    action permit
    match protocol udp
    match destination-port object-group ntp
    enable
  exit
  rule 50
    action permit
    match protocol tcp
    match destination-port object-group dns
    enable
  exit
  rule 60
    action permit
    match protocol udp
    match destination-port object-group dns
    enable
  exit
  rule 70
    action permit
    match protocol tcp
    match destination-port object-group netconf
    enable
  exit
  rule 80

...

bridge 1
  description "MGMT_AP"
  security-zone trusted
  ip firewall disable
  ip address 192.168.1.1/24
  no spanning-tree
  enable
exit
bridge 2
  description "Internet"
  security-zone untrusted
  ip firewall disable
  ip address 100.110.0.246/23
  no spanning-tree
  enable
exit
bridge 3
  description "SoftGRE_or_L2"
  vlan 3
  mtu 1458
  history statistics
  security-zone users
  ip address 192.168.2.1/24
  no spanning-tree
  enable
exit
bridge 4
  description "SoftGRE_or_L2-BRAS"
  vlan 4
  security-zone users
  ip firewall disable
  ip address 192.168.3.1/24
  service-subscriber-control object-group bras_users
  location data10
  protected-ports local
  no spanning-tree
  enable
exit

Конфигурация Vlan:

vlan 3
  force-up
exit
vlan 4
  name "FreeSSID"
  force-up
exit
vlan 10
  name "MNMG-L2"
exit

Конфигурация интерфейсов:

interface gigabitethernet 1/0/1
  spanning-tree disable
exit
interface gigabitethernet 1/0/1.1000
  description "to-WNAM"
  bridge-group 2
exit
interface gigabitethernet 1/0/4
  lldp receive
exit
interface gigabitethernet 1/0/4.4
  description "L2_BRAS"
  bridge-group 4
exit
interface gigabitethernet 1/0/4.10
  description "MNGT_AP"
  bridge-group 1
exit

Конфигурация списков контроля доступа:

    action permit
    match protocol 

tcp
    match 

destination-port 

object-group sa
    enable
  exit
  rule 

90
    action permit
    match protocol udp
    match destination-port

 object-group radius_auth
    enable
  

exit

  rule 

100
    action permit
    match protocol 

gre
    enable
  exit
  rule 

110
    action permit
    match protocol tcp
    match 

destination-port object-group airtune
    enable
  exit
exit

security 

zone-

pair 

trusted 

trusted
  rule 

1
    action permit
    enable
  exit
exit

Конфигурация BRAS:

security zone-pair trusted untrusted
  

rule 1
   

action permit
    enable
  exit
exit
security zone-pair untrusted self
  rule 1
    

action permit
    

match 

protocol udp
    match 

source-

Настройка RADIUS

radius-server local
  nas ap
    key ascii-text encrypted testing123
    network 192.168.1.0/24
  exit
  nas local
    key ascii-text encrypted testing123
    network 127.0.0.1/32
  exit
  domain default
  exit
  virtual-server default
    enable
  exit
  enable
exit

radius-server host 100.110.1.44
  key ascii-text encrypted wnampass
  source-address 100.110.0.246
exit
radius-server host 127.0.0.1
  key ascii-text encrypted testing123
exit
aaa radius-profile bras_radius
  radius-server host 100.110.1.44
exit
aaa radius-profile default_radius
  radius-server host 127.0.0.1
exit

das-server das
  key ascii-text encrypted wnampass
  port 3799
  clients object-group wnam_servers
exit
aaa das-profile bras_das
  das-server das
exit

Конфигурация туннеля Softgre:

tunnel softgre 1
  mode data
  local address 192.168.1.1
  default-profile
  enable
exit

Конфигурация режима WLC:

wlc
  outside-address 192.168.1.1
  service-activator
    aps join auto
    password private-crt-key ascii-text encrypted testing123
  exit
  airtune
    enable
  exit
  ap-location default-location
    description default-location
    mode tunnel
    ap-profile default-ap
    ssid-profile default-ssid
    ssid-profile freeSSID_bras
  exit
  ssid-profile default-ssid
    description F.E.wlc-30_PSK
    ssid F.E.wlc-30_PSK
    vlan-id 3
    security-mode WPA2
    key-wpa ascii-text encrypted wifipass
    802.11kv
    band 2g
    band 5g
    enable
  exit
  ssid-profile freeSSID_bras
    description F.E.free
    ssid F.E.freeSSID
    vlan-id 4
    band 2g
    band 5g
    enable
  exit
  ap-profile default-ap
    password ascii-text encrypted testing123
    services
      ip ssh server
      ip http server
    exit
  exit
  radius-profile default-radius
    auth-address 192.168.1.1
    auth-password ascii-text encrypted testing123
    domain default
  exit
  ip-pool default-ip-pool
    description default-ip-pool
    ap-location default-location
  exit
  enable
exit

Конфигурация Softgre-controller:

port object-group dhcp_server
    match destination-port object-group dhcp_client
    enable
  exit
  rule 10
    action permit
    match protocol tcp
    match destination-port object-group ssh
    enable
  exit
  rule 20
    action permit
    match protocol tcp
    match destination-port object-group http
    enable
  exit
exit
security zone-pair users self
  rule 10
    action permit
    match protocol icmp
    enable
  exit
  rule 20
    action permit
    match protocol udp
    match source-port object-group dhcp_client
    match destination-port object-group dhcp_server
    enable
  exit
  rule 30
    action permit
    match protocol tcp
    match destination-port object-group dns
    enable
  exit
  rule 40
    action permit
    match protocol udp
    match destination-port object-group dns
    enable
  exit
exit
security zone-pair users untrusted
  rule 1
    action permit
    enable
  exit
exit

security passwords default-expired

nat source
  pool translate
    ip address-range 100.110.0.246
  exit
  ruleset factory
    to zone untrusted
    rule 10
      description "replace 'source ip' by outgoing interface ip address"
      action source-nat interface
      enable
    exit
  exit
  ruleset SNAT
    to interface gigabitethernet 1/0/1
    rule 1
      match source-address object-group local
      action source-nat pool translate
      enable
    exit
  exit
exit

ip dhcp-server
ip dhcp-server pool ap-pool
  network 192.168.1.0/24
  address-range 192.168.1.2-192.168.1.254
  default-router 192.168.1.1
  dns-server 192.168.1.1
  option 42 ip-address 192.168.1.1
  vendor-specific
    suboption 12 ascii-text "192.168.1.1"
    suboption 15 ascii-text "https://192.168.1.1:8043"
  exit
exit
ip dhcp-server pool users-pool
  network 192.168.2.0/24
  address-range 192.168.2.2-192.168.2.254
  default-router 192.168.2.1
  dns-server 192.168.2.1
exit

ip route 0.0.0.0/0 100.110.0.1

softgre-controller
  nas-ip-address 127.0.0.1
  data-tunnel configuration wlc
  aaa radius-profile default_radius
  keepalive-disable
  service-vlan add 3

  enable
exit

Конфигурация DHCP сервера:

wlc
  outside-address 192.168.1.

1
  

Конфигурация NAT:

nat source
  pool translate
    ip address-range 100.110.0.246
  exit
  ruleset SNAT
    to interface gigabitethernet 1/0/1.1000
    rule 1
      match source-address object-group local
      action source-nat pool translate
      enable
    exit
    rule 2
      match source-address object-group local2
      action source-nat pool translate
      enable
    exit
  exit
exit

Полная конфигурация приведена в файле:wlc-30_bars-wnam_hotspot.conf

Конфигурация WNAM

service-activator
    aps join auto
  exit
  airtune
    enable
  exit
  ap-location default-location
    description default-location
    mode tunnel
    ap-profile default-ap
    ssid-profile default-ssid
  exit
  ssid-profile default-ssid
    description F.E.free
    ssid F.E.freeSSID
    vlan-id 3
    802.11kv
    band 2g
    band 5g
    enable
  exit
  ap-profile default-ap
    password ascii-text encrypted testing123
    services
      ip ssh server
      ip http server
    exit
  exit
  radius-profile default-radius
    auth-address 192.168.1.1
    auth-password ascii-text encrypted testing123
    domain default
  exit
  ip-pool default-ip-pool
    description default-ip-pool
    ap-location default-location
  exit
  enable
exit

ip ssh server

clock timezone gmt +7

ntp enable
ntp broadcast-client enable
ntp server 194.190.168.1
exit

ip https server

Конфигурация WNAM

Создание сервера

На стороне системы авторизации перейдитеНа стороне системы авторизации  переходим: Конфигурация → Сервера доступа → Создать сервер.

В закладке Параметры:

• Создаётся объект Сервер доступа (тип: Eltex);
• Заполняем Заполните поля «IP адрес адрес» и «Внешний IP адрес адрес» (адрес вашего WLC, смотрящий в сторону WNAM);
• Имя устройства и Местоположение (произвольно)«Имя устройства» и «Местоположение» указывается произвольно.

Image Modified

В закладе RADIUS указывается RADIUS-ключ (wnampass), в  поле "Атрибуты поле «Атрибуты CoA / пост-авторизации"авторизации» задайте: Какой ключ задавать?

Cisco-AVPair=subscriber:command=account-loggon
Idle-Timeout=1200
Acct-Interim-Interval=300
Cisco-AVPair=subscriber:vrf=1

В поле ввода «Секретный ключ» укажите ключ, который указали для radius-server host 100.110.1

...

.44 в конфигурации WLC:

wnampass

Image Added

Создание площадки

1. Создайте

Image Removed

Далее создаем площадку, к которой у нас будет привязана страница гостевого портала: Конфигурация → Площадки → Создать площадку.

В поле "Тип" выбираем "Площадка" «Тип» выберите Площадка, в поле "Разрешенный сервер доступа" выбираем «Разрешенный сервер доступа» выберите созданный ранее сервер. В поле "Присвоенная «Присвоенная IP подсеть или МАС точек доступа" указываем доступа» укажите наш пул IP для пользователей портала (сеть Bridge 4 3 на WLC).

Image Removed

Image Added

2. Выберите созданную Далее выбираем созданную площадку.

На вкладке "Авторизация" выбираем "Метод" – "Авторизация выберите в поле «Метод» – Ввод кода с ваучера". Указываем Укажите срок валидности ваучера для авторизации. В параметре "Имя страницы" выбираем " «Имя страницы» выберите Ваучер (по умолчанию)". Данных настроек достаточно для работы Гостевого гостевого портала с авторизацией по коду из Ваучера.

Настройка других способов авторизации выходит за рамки данной статьи.

Image Added

Image Removed

Создание группы ваучеров

1. Перейдите Переходим к созданию ваучеров для авторизации: Конфигурация → Гостевая авторизация → Ваучеры → Создать группу ваучеров.

Image RemovedImage Added

В дальнейшем коды данных ваучеров будут использоваться для авторизации клиентов на гостевом портале.

Image Modified

Создаем правило для редиректа на гостевой портал (копируем стандартное правило редиректа и модифицируем его).

Конфигурирование правил аутентификации

1. Перейдите Переходим во вкладку: Конфигурация → Правила аутентификации.Создаем

Создайте новое правило аутентификации и настраиваем, настройте как на скриншоте приведенном ниже. Источник запроса выбираем проводной (BRAS у нас находится на проводном интерфейсе) «Источник запроса» выберите Проводной.

В параметре  "Входящий радиус атрибут" выбираем "параметре «Входящий радиус атрибут» выберите NAS-Port-ID" , равным тому "location" который указали , указанный в настройках Bridge 4 3 на WLC, на котором которой терминируется клиентский трафик.

Так мы привяжем Таким образом свяжите данное правило к нашему с SSID с гостевым доступом. 

Правило аутентификации привязывается к правилу авторизации при помощи тега (внизу скриншота). Напистать какой тэг вы ввели, подсветить все  настройки на скрине, которые нужно сделать. В данном примере указан тег guest-wifi-redirect.

Image AddedImage Removed
Приступаем 2. Приступите к созданию правила аутентификации для доступа клиента в Internet.

Параметры "Источник запроса" и "Входящий RADIUS атрибут" настраиваем «Источник запроса» и «Входящий RADIUS атрибут» настройте так же, как в правиле для редиректа (объяснение см. выше).

Image Removed

Создаем правила авторизации:

Image Added

Конфигурирование правил авторизации

1. Создайте правила авторизации.

Перейдите Переходим во вкладку: Конфигурация → Правила авторизации.

Первое правило для редиректа на портал приводим приведите к виду , как на примере ниже.

В результате должен быть ответ протокола Radius-формата "Access-Reject" от сервиса авторизации системе BRAS на WLC.  Подсветить все  настройки на скрине, которые нужно сделать.

Image Modified

2. Второе правило для предоставления доступа в Internet. В блоке "Применить" «Применить» параметра "RADIUS атрибуты" необходимо прописать атрибут назначающий сессии клиента сервис  «RADIUS-атрибуты» пропишите атрибут, назначающий сервис доступа с названием INTERNET, который настроен в виде списка конторля контроля доступа на WLC.

Cisco-Account-Info=AINTERNET

В результате, на данном этапе, должен быть ответ протокола Radius формата " Access-Accept" от сервиса авторизации системе BRAS на WLC. В нем будет содержаться атрибут с указанием наименования сервиса доступного абоненту.

Image Modified

На этом конфигурация сервиса Netams WNAM завершена. Напистать что получили в итоге, SSID такой-то, после подключения нас отправит на портал, там  вводим данные из ваучера и получаем  доступ в интернет

...

.

После конфигурирования портала и контроллера WLC при подключения к SSID с названием F.E.freeSSID будет регистрация в сети. Клиент попадёт на портал авторизации, где необходимо ввести один из свободных ваучеров. Посмотреть доступные ваучеры можно при переходе на следующую вкладку: Конфигурация → Гостевая авторизация → Ваучеры. Выберите созданную группу Test_Guest-Portal и введите Свободный. После авторизации будет предоставлен доступ в интернет, а введенный ваучер привяжется.

Отладочная информация Netams WNAM

Логирование работы правил авторизации

Мониторинг Для просмотра и мониторинга логов работы правил авторизации необходимо перейти перейдите в : вкладку Диагностика → Корпоративные подключения:

Image Modified

1: fillFromRadiusAttributes - identity: '78:98:E8:1E:67:07', portType: EthernetMAB
2: fillFromRadiusAttributes - mac: '78:98:E8:1E:67:07'
3: fillFromRadiusAttributes - password: present in request
4: fillFromRadiusAttributes - nas: 'WLC-30 [F.E.]', ip: 100.110.0.246, id: 6614c699fd772e622ebb0689, vendor: ELTEX [enabled]
5: fillFromRadiusAttributes - nas: IP address: 100.110.0.246, identifier: 'null', port: 'location data10'
6: fillFromRadiusAttributes - site: 'test', id: new [enabled]
7: fillFromRadiusAttributes - session id: '3098476543630901255'
8: radius - received 8 attributes in the request: 
    Cisco-AVPair-subscriber:vrf = 1
    User-Name = 78:98:E8:1E:67:07
    Cisco-AVPair-subscriber:CELL = d998075724dc24029b359a8db24682a0
    User-Password = (password length: 8)
    NAS-IP-Address = 100.110.0.246
    Cisco-AVPair-subscriber:l2-interface = softgre 1.4
    Acct-Session-Id = 3098476543630901255
    NAS-Port-Id = location data10
9: filterForPapMacMethod - checkMABPassword: matched captiveportal_pass for 'Редирект для гостевого Wi-Fi tester'
10: authentication - a1profiles candidates: 1 with preliminary processing result: RadiusResponse [state=OK, attributes=[]]
11: authentication - final result: Redirect with policy 'Редирект для гостевого Wi-Fi tester' and tag 'guest-wifi-redirect'
12: authorization - guest redirect
13: radius - send RADIUS REJECT, reason: This will instruct Wi-Fi controller to execute redirect action

...

1: fillFromRadiusAttributes - identity: '78:98:E8:1E:67:07', portType: EthernetMAB
2: fillFromRadiusAttributes - mac: '78:98:E8:1E:67:07'
3: fillFromRadiusAttributes - password: present in request
4: fillFromRadiusAttributes - nas: 'WLC-30 [F.E.]', ip: 100.110.0.246, id: 6614c699fd772e622ebb0689, vendor: ELTEX [enabled]
5: fillFromRadiusAttributes - nas: IP address: 100.110.0.246, identifier: 'null', port: 'location data10'
6: fillFromRadiusAttributes - site: 'test', id: new [enabled]
7: fillFromRadiusAttributes - session id: '3098476543630901255'
8: radius - received 8 attributes in the request: 
    Cisco-AVPair-subscriber:vrf = 1
    User-Name = 78:98:E8:1E:67:07
    Cisco-AVPair-subscriber:CELL = d998075724dc24029b359a8db24682a0
    User-Password = (password length: 8)
    NAS-IP-Address = 100.110.0.246
    Cisco-AVPair-subscriber:l2-interface = softgre 1.4
    Acct-Session-Id = 3098476543630901255
    NAS-Port-Id = location data10
9: filterForPapMacMethod - checkMABPassword: matched captiveportal_pass for 'Доступ для гостевого Wi-Fi tester'
10: authentication - a1profiles candidates: 1 with preliminary processing result: RadiusResponse [state=OK, attributes=[]]
11: authentication - final result: Allow with policy 'Доступ для гостевого Wi-Fi tester' and tag 'guest-wifi-permit'
12: authorization - a2profiles candidates: 7
13: authorization - final result: Accept with policy 'Доступ для гостевого Wi-Fi'
14: radius - send RADIUS ACCEPT with 1 attributes
15: radius -     attribute: Cisco-Account-Info = AINTERNET
16: addIP - Set IP address 192.168.3.21 on Accounting message (session 3098476543630901255)

Информация

...

о ваучерах

Информация о статусе ваучеров находится по следующему пути:Конфигурация → Гостевая авторизация → Ваучеры.Затем необходимо выбрать

Выберите нужную группу.

Image Modified

Информация

...

о клиентах Wi-Fi

...

Image Modified

Также посмотреть активные Активные клиентские подключения к Wi-Fi можно посмотреть на контроллере WLC-командой:

Блок кода
wlc-30#wlc# show subscriber-control sessions status

Ниже приведен пример вывода активных клиентских сессий на контроллере WLC:

Блок кода
wlc-30#wlc# sh subscriber-control sessions status Session id User name IP address MAC address Interface Domain -------------------- --------------- --------------- ----------------- -------------------- --------------- 3098476543630901251 78:98:E8:1E:67: 192.168.3.21 78:98:e8:1e:67:07 softgre 1.4 -- 07

Блок кода
wlc-30#wlc# sh subscriber-control services counters session-id 3098476543630901251 Service id Service name Recv packets Recv bytes Send packets Send bytes -------------------- --------------- -------------- -------------- -------------- -------------- 3134505340649865218 A INTERNET 4559 3868861 3842 692224

Блок кода
wlc-30#wlc# sh wlc clients MAC User MAC AP Hostname AP SSID RSSI AP-Location Username ----------------- ----------------- ------------------------------ --------------- ------- ----------------- ----------------- 78:98:e8:1e:67:07 68:13:e2:02:ea:20 WEP-3ax F.E.freeSSID -35 default-location --

Расположение логов

Лог На сервере WNAM лог авторизации пользователей находится на сервере WNAM в файле: /home/wnam/logs/wnam.log

11:33:41.702 DEBUG [EltexWlcService.java:196] - CP ELTEX WLC clicked: username=78:98:E8:1E:67:07, ip=192.168.3.21, server=100.110.0.246, sessionId=3098476543630901255, dst='http://www.msftconnecttest.com/redirect'
11:33:41.716 DEBUG [PageGenerator.java:713] - processAuthRequest ELTEXWLC: username=78:98:E8:1E:67:07, ip=192.168.3.21, server=100.110.0.246, site_id=new, domain_id=3098476543630901255, dst='http://www.msftconnecttest.com/redirect' adv curr/max=1/1
11:33:41.719 DEBUG [PageGenerator.java:1300] - captive portal redirected to VOUCHER page, username=78:98:E8:1E:67:07, cust=new, form='6614c99dfd772e622ebb06a7'
11:34:13.380 DEBUG [VoucherHandler.java:52] - postVoucher CODE='V3U5', FORM=6614c99dfd772e622ebb06a7, MAC=78:98:E8:1E:67:07, IP=192.168.3.21, site_id=new, name=78:98:E8:1E:67:07
11:34:13.382 DEBUG [VoucherHandler.java:62] - find_voucher: 66b34731933c505a427dad16, code=V3U5, status=Не активирован
11:34:13.395 DEBUG [VoucherHandler.java:125] - postVoucher OK CODE='V3U5', voucher='Группа: WNAM-WLC_01, владелец: admin', vg='WNAM-WLC_01'
11:34:13.399 DEBUG [PageGenerator.java:390] - processRedirectRequestCi mac=78:98:E8:1E:67:07, method=ORIGINAL, formName=, redirectUrl=null, key=b04fb14d-36fb-4c30-a886-bfbab119088c
11:34:13.401 DEBUG [PageGenerator.java:849] - loginAtNasCi ELTEXWLC mac=78:98:E8:1E:67:07, ip=192.168.3.21, server=100.110.0.246, dst='http://www.msftconnecttest.com/redirect'
11:34:13.406 DEBUG [EltexWlcService.java:66] - backToEltexWLC login server='100.110.0.246', user=78:98:E8:1E:67:07, password=password, dst='http://www.msftconnecttest.co...'
11:34:13.407 DEBUG [EltexWlcService.java:85] - open EltexWLC access REQ for IP=192.168.3.21, MAC=78:98:E8:1E:67:07 at NAS_IP=100.110.0.246
11:34:13.411 DEBUG [WnamRadiusService.java:558] - handleRadiusPacket AUTH as=100.110.0.246, secret_len=10, attrs=[Vendor-Specific: 0x, User-Name: 78:98:E8:1E:67:07, User-Password: <stripped out>, NAS-IP-Address: 100.110.0.246, Acct-Session-Id: 3098476543630901255, Vendor-Specific: 0x, Vendor-Specific: 0x, NAS-Port-Id: location data10]
11:34:13.411 DEBUG [ProfilingService.java:440] - handleMac on MAC: 78:98:E8:1E:67:07 for vendor D-Link International
11:34:13.412 DEBUG [ProfilingService.java:466] - handleMac on MAC: 78:98:E8:1E:67:07 checks added: 1, res: [D-Link International]
11:34:13.414 DEBUG [ProfilingService.java:1091] - Endpoint 78:98:E8:1E:67:07 logical profile set to Home Network Devices
11:34:13.414 DEBUG [ProfilingService.java:1102] - Endpoint 78:98:E8:1E:67:07 policy set assigned: [DLink-Device]
11:34:13.416 DEBUG [ProfilingService.java:469] - handleMac on MAC: 78:98:E8:1E:67:07 profiled in 5 ms.
11:34:13.433 DEBUG [WnamRadiusService.java:558] - handleRadiusPacket AUTH as=100.110.0.246, secret_len=10, attrs=[User-Name: INTERNET, Vendor-Specific: 0x, NAS-IP-Address: 100.110.0.246, NAS-Port-Id: location data10, User-Password: <stripped out>, Vendor-Specific: 0x, Vendor-Specific: 0x, Acct-Session-Id: 3134505340649865221, Vendor-Specific: 0x, Vendor-Specific: 0x, Vendor-Specific: 0x]
11:34:13.434 DEBUG [WnamRadiusService.java:558] - handleRadiusPacket ACCT as=100.110.0.246, secret_len=10, attrs=[User-Name: 78:98:E8:1E:67:07, Vendor-Specific: 0x, Acct-Session-Id: 3098476543630901255, Acct-Status-Type: Start, Vendor-Specific: 0x, Event-Timestamp: 1723436510, NAS-Port-Id: location data10, Called-Station-Id: CC-9D-A2-71-94-E0:data10, Vendor-Specific: 0x, Vendor-Specific: 0x, Vendor-Specific: 0x, NAS-Identifier: F.E.wlc-30, Framed-IP-Address: 192.168.3.21, Calling-Station-Id: 78-98-E8-1E-67-07, NAS-IP-Address: 100.110.0.246]
11:34:13.435 DEBUG [WnamRadiusService.java:558] - handleRadiusPacket ACCT as=100.110.0.246, secret_len=10, attrs=[User-Name: 78:98:E8:1E:67:07, Vendor-Specific: 0x, Acct-Session-Id: 3098476543630901255, Acct-Status-Type: Interim-Update, Vendor-Specific: 0x, Event-Timestamp: 1723436806, NAS-Port-Id: location data10, Called-Station-Id: CC-9D-A2-71-94-E0:data10, Vendor-Specific: 0x, Vendor-Specific: 0x, Vendor-Specific: 0x, NAS-Identifier: F.E.wlc-30, Framed-IP-Address: 192.168.3.21, Calling-Station-Id: 78-98-E8-1E-67-07, Vendor-Specific: 0x, Vendor-Specific: 0x, Acct-Input-Gigawords: 0, Acct-Input-Octets: 128192, Acct-Output-Gigawords: 0, Acct-Output-Octets: 149134, Acct-Session-Time: 286, NAS-IP-Address: 100.110.0.246]
11:34:13.436 DEBUG [EltexWlcService.java:176] - sendCoa attrs=8, fail=false, resp=CoA-ACK
11:34:13.437 DEBUG [EltexWlcService.java:148] - open EltexWLC access SUCCESS for IP=192.168.3.21, MAC=78:98:E8:1E:67:07, num_avp=1
11:34:13.440 DEBUG [WnamRadiusService.java:558] - handleRadiusPacket ACCT as=100.110.0.246, secret_len=10, attrs=[User-Name: INTERNET, Vendor-Specific: 0x, Acct-Session-Id: 3134505340649865221, Vendor-Specific: 0x, Acct-Status-Type: Start, Vendor-Specific: 0x, Event-Timestamp: 1723436806, NAS-Port-Id: location data10, Called-Station-Id: CC-9D-A2-71-94-E0:data10, Vendor-Specific: 0x, Vendor-Specific: 0x, Vendor-Specific: 0x, NAS-Identifier: F.E.wlc-30, Framed-IP-Address: 192.168.3.21, Calling-Station-Id: 78-98-E8-1E-67-07, NAS-IP-Address: 100.110.0.246]
11:34:13.450 DEBUG [WnamCmdService.java:630] - ACCT Interim-Update new session ID=3098476543630901255, MAC=78:98:E8:1E:67:07, IP=192.168.3.21, User=78:98:E8:1E:67:07, NAS_IP=100.110.0.246, site_id=new
11:34:13.450 DEBUG [WnamCmdService.java:630] - ACCT Start new session ID=3098476543630901255, MAC=78:98:E8:1E:67:07, IP=192.168.3.21, User=78:98:E8:1E:67:07, NAS_IP=100.110.0.246, site_id=new
11:34:13.450 DEBUG [WnamCmdService.java:630] - ACCT Start new session ID=3098476543630901255, MAC=78:98:E8:1E:67:07, IP=192.168.3.21, User=INTERNET, NAS_IP=100.110.0.246, site_id=new

...