Общее описание
В общем случае предполагается, что управление настройками точек доступа выполняется с помощью контроллера Eltex WLC. Но при необходимости можно выполнить настройку ТД вручную.
Для корректной работы требуется версия ПО ТД не ниже 2.8.0. Настройка VAP с портальной авторизацией может быть выполнена только через CLI ТД. Поддержки настроек в GUI ТД нет.
Настройка ТД
Перед настройкой выполнить сброс ТД к настройкам по умолчанию.
Подключиться к ТД по ssh.
Следует учитывать, что при настройке некоторые сущности могут создаваться достаточно долго (~1 сек), поэтому просто скопировать и вставить весь блок команд нельзя! Требуется последовательный ввод команд!
Настройка ACL
В приведённом примере используется имя ACL "portal", т.к именно с таким именем она указана в дефолтном профиле авторизации "Portal web redirect profile". При необходимости можно задать другое имя ACL.
configure
acl
ipv4
add portal
portal
entry
add 0
0
action permit
protocol-mode any
dst-mode host
dst-port-mode any
dst-ip <IP-адрес сервера NAICE>
src-mode any
src-port-mode any
exit
add 1
1
action permit
protocol-mode value
protocol udp
dst-mode any
dst-port-mode eq
dst-port-start 53
src-mode any
src-port-mode any
exit
add 2
2
action deny
protocol-mode any
dst-mode any
dst-port-mode any
src-mode any
src-port-mode any
exit
exit
exit
exit
exit
Настройка DAS
Добавить настройки DAS-сервера.
DAS-сервер настраивается глобально для всей ТД - нельзя сделать индивидуальные настройки для определенного SSID.
configure das-server auth-password <секретный ключ CoA> enabled true exit exit
По умолчанию ожидание CoA запросов на ТД выполняется на порту UDP:3799.
Настройка VAP
На ТД есть два радиоинтерфейса wlan0 и wlan1:
- wlan0 - работает в 2,4 GHz;
- wlan1 - в 5GHz.
На каждом интерфейсе можно настроить до 7 VAP. При этом настройки VAP на одном радиоинтерфейсе никак не влияют на настройки VAP на другом радиоинтерфейсе.
Для корректной работы SSID в обоих диапазонах последовательно выполнить настройку VAP для каждого радиоинтерфейса. Далее приведен пример настройки для интерфейса wlan1-va0:
configure
interface
wlan1-va0
common
enabled true
exit
vap
ssid <Имя SSID>
captive-portal
enabled true
verification-mode external-portal
preauth-filter-mode acl
disconnect-on-reject true
exit
radius
auth-address <IP-адрес NAICE>
auth-password <секретный ключ RADIUS>
acct-enable true
acct-address <IP-адрес NAICE>
acct-password <секретный ключ RADIUS>
use-macaddr-as-password true
macaddr-format xx-xx-xx-xx-xx-xx
exit
exit
exit
exit
exit
Секретные ключи CoA и RADIUS на одной ТД должны совпадать! Это особенность реализации, т.к. со стороны NAICE секретный ключ указывается только в одном месте при добавлении сетевого устройства!