Дерево страниц
Перейти к концу метаданных
Переход к началу метаданных

Содержание


Версия документа

Дата выпуска

Содержание изменений

Версия 1.0

07.10.2022

1



1. Общая архитектура

Интеграция SoftWLC с контроллером CiscoWLC для аутентификации и тарификации абонентских устройств. Взаимодействие обеспечивается согласно RFC 2865 RADIUS Authentication и  RFC 2866 RADIUS Accounting.

1.1 Общая схема интеграции контроллера

  1. Контроллер Cisco добавить в SoftWLC.EMS как устройство Cisco контроллера.
  2. В SoftWLC.EMS добавить географически домен для целевого филиала. Контроллер переместить в этот домен.
  3. В SoftWLC.EMS создать сервисный домен, определяющий тип и свойства услуги.
  4. В SoftWLC.EMS создать целевые SSID, привязать к соответствующему сервисному домену и настроить на предоставление конкретной услуги.
  5. В SoftWLC.EMS создать SSID привязки к контроллерам Cisco. Привязки могут быть созданы на локацию, то есть географический домен.
  6. По данным привязок, контроллер SoftWLC может получить сведения о сервисном домене для каждого конкретного SSID и реализовывать политику ограничений на их основе.
  7. Существующих пользователей переместить вручную. Скрипт миграции позволяет хешировать заданные пароли для пользователей.
  8. Новых пользователей создать через ЛК SoftWLC, проставить целевой SSID, либо сервисный домен и тариф.
  9. Тарификация пользователей осуществляется при использовании индивидуальному проставлению тарифов. Для пользователей Enterprise сетей оператор проставляет тариф в ЛК SoftWLC. Так же в качестве тарификации можно использовать настройки QOS на контроллере Cisco(в тарификации можно будет выбирать уровни для определенных ролей)


1.2 Механизмы аутентификации SoftWLC 

На основании информации о контроллерах Cisco и SSID, работающих на них, из SoftWLC EMS, строится механизм аутентификации пользователей. SoftWLC PCRF ищет сервисный домен пользователя и подставляет их в RADIUS пакет, на основании уже присутствующих атрибутов NAS IP и названию SSID. 

  1.  Enterprise аутентификация

    image2022-8-19_17-16-7.png

  2.  MAB аутентификация. 

    При авторизации в radius пакете в качестве логина отправляется MAC адрес устройства и в качестве пароля - secret key radius. При проверке на ELTEX PCRF происходит подмена пароля на NOPASSWORD.  


2. Настройка Cisco для работы с SoftWLC

Для корректной работы с контроллером SoftWLC на контроллере Cisco требуется выполнить небольшую конфигурацию. 

  1. Добавить RADIUS сервер. Для работы с аккаунтингом и получением статистики по пользователю в настройках Cisco контроллера  в качестве  адреса RADIUS сервера будет выступать сервис eltex-pcrf. Пакет SoftWLC PCRF доработан таким образом, чтобы найти сервисный домен пользователя и провести аутентификацию стандартными способами SoftWLC.  SoftWLC PCRF ищет сервисные домены и подставляет их в RADIUS пакет, на основании уже присутствующих атрибутов NAS IP и названию SSID. 
    SoftWLC PCRF осуществляет Mac Authentication Bypass на основании внутреннего механизма мак-авторизации.
  2. Настроить SSID. В зависимости от настроек можно использовать enterprise или MAC авторизацию. Добавлять ограничение по трафику на каждый SSID. При создании нового SSID требуется добавить его в AP Group. 

2.1 Настройка RADIUS сервера

На вкладке Security добавить настройки RADIUS сервера:



Authentication

  • Указать адрес сервера
  • Secret key
  • Указать порт (по умолчанию для pcrf 31812)

Нажать “Apply” для сохранения изменений

Accounting


  • Указать адрес сервера
  • Secret key
  • Указать порт (по умолчанию для pcrf 31813)

Нажать “Apply” для сохранения изменений

MAC Filter 

Для работы с MAC на владке Mac Filtering указать “FreeRadius” и выбрать в качестве разделителя “-” - Hyphen



2.2 Настройка SSID

2.2.1 Enterprise авторизация

Во вкладке WLANs добавить/отредактировать SSID

Указать

  • имя профиля
  • название SSID
  • WLAN id

Основная вкладка настройки

Указать NAS ID – IP контроллера Cisco

Security


Выбрать тип шифрования


В случае когда необходимо использовать MAC авторизацию – установить значение None и чекбокс MAC Filtering.

AAA Server

Для настройки аутентификации и аккаунтинга

  • установить чекбокс Interim Update
  • выставить  Iterium Interval = 180s
  • включить аутентификацию и аккаунтинг
  • выбрать необходимый сервер

QOS

Выбрать уровень для данного SSID из установленных (Silver,Gold Platinum, Bronse)


Так же можно выставить значение QOS для каждого SSID, указывая значения Override Per-User Bandwidth Contracts (kbps)

2.2.2 MAB авторизация

Во вкладке WLANs добавить/отредактировать SSID

Указать

  • имя профиля
  • название SSID
  • WLAN id

Основная вкладка настройки

Указать NAS ID – IP контроллера Cisco

Security


Установить значение None и чекбокс MAC Filtering.


AAA Server

Для настройки аутентификации и аккаунтинга

  • установить чекбокс Interim Update
  • выставить  Iterium Interval = 180s
  • включить аутентификацию и аккаунтинг
  • выбрать необходимый сервер

QOS

Выбрать уровень для данного SSID из установленных (Silver,Gold Platinum, Bronse)


Так же можно выставить значение QOS для каждого SSID, указывая значения Override Per-User Bandwidth Contracts (kbps)

3. Настройка EMS для работы с Cisco

Для возможности использования геораспределенных систем контроллер Cisco добавляется в дерево объектов EMS и назначаются привязки SSID. На домен можно установить определенные тарифы, в которых возможно настроить различные ограничения трафика

Существует возможность перемещать контроллер по доменам внутри дерева. Домены используются в качестве гео-идентификатора региона или филиала. Для корректной работы авторизации добавляется соответсвующая запись контроллера в RADIUS. 

На основании данных SSID и домена строится механихм аутентификации пользователей. 

3.1 Добавление лицензии


Для работы с контроллером Cisco требуется лицензия


cp licence.xml /usr/lib/eltex-ems/conf/licence/licence.xml


После установки лицензии требуется перезапустить сервис eltex-ems


systemctl restart eltex-ems



3.2 Добавление Cisco в EMS 

Добавление устройства

  • Нажать  "добавление объекта в дерево"
  • Ввести требуемое имя 
  • Выбрать тип “Cisco WLC”
  • Указать IP устройства и домен, в котором он будет находиться

Добавить устройства в RADIUS


RADIUS → "Управление точками доступа на RADIUS сервере" → Выбрать устройство (если отсутствует, добавить)

Указать:

  • IP устройства
  • домен расположения
  • тип 
  • Secret Key для работы RADUIS


SECRET KEY ДОЛЖЕН БЫТЬ ОДИНАКОВЫЙ НА ВСЕЙ ЦЕПОЧКЕ cisco wlc -> pcrf -> eltex-radius

3.3 Настройка SSID

3.3.1 Enterprise авторизация

Добавить SSID

Для корректной работы привязок к геодомену необходимо добавить соответствующий SSID. 

Для этого перейти:

Wireless → Менеджер SSID → Добавить SSID


Заполнить данные в зависимости от типа аутентификации.


Enterprise авторизация

Указать:

  • Тип – Enterprise

  • Ввести имя SSID

  • Домен

  • Выбрать режим безопасности – WPA Enterprise + WPA2-AES

  • Указать RADIUS IP Address

  • RADIUS Key

  • RADIUS port – 31812 (pcrf)


В качестве RADIUS сервера указать IP адрес сервера eltex-pcrf

Добавить привязки

Выбрать SSID → "Добавить SSID привязку" → "Выбрать объекты для привзяки" → Принять


После чего на вкладке “Привязки SSID” будет добавлена запись привзяки для SSID.


3.3.1 MAB авторизация

Добавить SSID

Для корректной работы привязок к геодомену необходимо добавить соответствующий SSID. 

Для этого перейти:

Wireless → Менеджер SSID → Добавить SSID


Заполнить данные в зависимости от типа аутентификации.


MAB авторизация

Указать:

  • Тип – Enterprise

  • Ввести имя SSID

  • Домен

  • Выбрать режим безопасности – Без шифрования

  • MAC Auth type: RADIUS

  • Policy: Allow

  • Указать RADIUS IP Address

  • RADIUS Key

  • RADIUS port – 31812 (pcrf)

В качестве RADIUS сервера указать IP адрес сервера eltex-pcrf


Добавить привязки

Выбрать SSID → "Добавить SSID привязку" → "Выбрать объекты для привзяки" → Принять


После чего на вкладке “Привязки SSID” будет добавлена запись привзяки для SSID.

4. Настройка "Личного кабинета" для работы с Cisco


Для интеграции с Cisco необходимо включить соответствующий атрибут в настройках. После чего появляется возможность добавления атрибутов cisco в тарифах. Через тарифы реализуется per-user-shaping. Атрибуты позволяют настроить индивидуальные ограничения для пользователя.

4.1 Включение интеграции Cisco


Перейти “Настройки” → “Интеграция”. Установить чекбокс “Включить интеграцию с Cisco” и нажать “Сохранить”



После включения интеграции в настройках тарифа доступны “Атрибуты Cisco”


4.2 Настройка "Тарифа"

Создать тариф

Перейти в меню “Сервисы и тарифы” и нажать кнопку “Добавить”

Указать обязательный поля:

  • Наименование

  • Код тарифа

  • Домен

Атрибуты Cisco

Установить чекбокс “Атрибуты Cisco” и выставить необходимые атрибуты, после чего нажать “Сохранить”


Значение атрибутов расписано в документации: v1.24_Личный Кабинет_Тарифы

4.3 MAB авторизация

Для успешной MAB авторизации необходимо создать пользователя:

  • в качестве логина использовать MAC адрес устройства в формате 00-AA-BB-CC-DD-EE
  • пароль должен иметь значение NOPASSWORD

Подробную информацию по настройке можно найти в документации по настройке SoftWLC -  v1.24_Настройка MAC-авторизации на RADIUS

4.4 Хеширование паролей Enterprise пользователей

Для включения хеширования паролей перейти “Настройка” и выбрать тип хранения паролей пользователей

  • 1. Простой пароль – пароли без хеширования

  • 2. NT хеширование -хранить пароли в хешированном виде



При включении NT хеширование:

  • пароль скрыт в профиле пользователя(отображается дефолтное количество точек)

  • новые установленные пароли создаются в хешированном виде

  • для хеширования старых паролей можно использовать скрипт
    Инструкция по ссылке: v1.33_Скрипт для хеширования паролей пользователей











  • Нет меток