Содержание


Версия документа

Дата выпуска

Содержание изменений

Версия 1.0

07.10.2022

1


1. Общая архитектура

Интеграция SoftWLC с контроллером CiscoWLC для аутентификации и тарификации абонентских устройств. Взаимодействие обеспечивается согласно RFC 2865 RADIUS Authentication и  RFC 2866 RADIUS Accounting.

1.1 Общая схема интеграции контроллера

  1. Контроллер Cisco добавить в SoftWLC.EMS как устройство Cisco контроллера.
  2. В SoftWLC.EMS добавить географически домен для целевого филиала. Контроллер переместить в этот домен.
  3. В SoftWLC.EMS создать сервисный домен, определяющий тип и свойства услуги.
  4. В SoftWLC.EMS создать целевые SSID, привязать к соответствующему сервисному домену и настроить на предоставление конкретной услуги.
  5. В SoftWLC.EMS создать SSID привязки к контроллерам Cisco. Привязки могут быть созданы на локацию, то есть географический домен.
  6. По данным привязок, контроллер SoftWLC может получить сведения о сервисном домене для каждого конкретного SSID и реализовывать политику ограничений на их основе.
  7. Существующих пользователей переместить вручную. Скрипт миграции позволяет хешировать заданные пароли для пользователей.
  8. Новых пользователей создать через ЛК SoftWLC, проставить целевой SSID, либо сервисный домен и тариф.
  9. Тарификация пользователей осуществляется при использовании индивидуальному проставлению тарифов. Для пользователей Enterprise сетей оператор проставляет тариф в ЛК SoftWLC. Так же в качестве тарификации можно использовать настройки QOS на контроллере Cisco(в тарификации можно будет выбирать уровни для определенных ролей)


1.2 Механизмы аутентификации SoftWLC 

На основании информации о контроллерах Cisco и SSID, работающих на них, из SoftWLC EMS, строится механизм аутентификации пользователей. SoftWLC PCRF ищет сервисный домен пользователя и подставляет их в RADIUS пакет, на основании уже присутствующих атрибутов NAS IP и названию SSID. 


  1. image2022-8-19_17-16-7.png



  2. При авторизации в radius пакете в качестве логина отправляется MAC адрес устройства и в качестве пароля - secret key radius. При проверке на ELTEX PCRF происходит подмена пароля на NOPASSWORD.  




2. Настройка CiscoWLC AIR-CT3504 для работы с SoftWLC

Для корректной работы с контроллером SoftWLC на контроллере Cisco требуется выполнить небольшую конфигурацию. 

  1. Добавить RADIUS сервер. Для работы с аккаунтингом и получением статистики по пользователю в настройках Cisco контроллера  в качестве  адреса RADIUS сервера будет выступать сервис eltex-pcrf. Пакет SoftWLC PCRF доработан таким образом, чтобы найти сервисный домен пользователя и провести аутентификацию стандартными способами SoftWLC.  SoftWLC PCRF ищет сервисные домены и подставляет их в RADIUS пакет, на основании уже присутствующих атрибутов NAS IP и названию SSID. 
    SoftWLC PCRF осуществляет Mac Authentication Bypass на основании внутреннего механизма мак-авторизации.
  2. Настроить SSID. В зависимости от настроек можно использовать enterprise или MAC авторизацию. Добавлять ограничение по трафику на каждый SSID. При создании нового SSID требуется добавить его в AP Group. 

2.1 Настройка RADIUS сервера

На вкладке Security добавить настройки RADIUS сервера:

Authentication

  • Указать адрес сервера
  • Secret key
  • Указать порт (по умолчанию для pcrf 31812)

Нажать “Apply” для сохранения изменений

Accounting

  • Указать адрес сервера
  • Secret key
  • Указать порт (по умолчанию для pcrf 31813)

Нажать “Apply” для сохранения изменений

MAC Filter 

Для работы с MAC на владке Mac Filtering указать “FreeRadius” и выбрать в качестве разделителя “-” - Hyphen



2.2 Настройка SSID

2.2.1 Enterprise авторизация

Во вкладке WLANs добавить/отредактировать SSID

Указать

  • имя профиля
  • название SSID
  • WLAN id

Основная вкладка настройки

Указать NAS ID – IP контроллера Cisco

Security


Выбрать тип шифрования


В случае когда необходимо использовать MAC авторизацию – установить значение None и чекбокс MAC Filtering.


AAA Server

Для настройки аутентификации и аккаунтинга

  • установить чекбокс Interim Update
  • выставить  Iterium Interval = 180s
  • включить аутентификацию и аккаунтинг
  • выбрать необходимый сервер

QOS

Выбрать уровень для данного SSID из установленных (Silver,Gold Platinum, Bronse)


Так же можно выставить значение QOS для каждого SSID, указывая значения Override Per-User Bandwidth Contracts (kbps)


2.2.2 MAB авторизация

Во вкладке WLANs добавить/отредактировать SSID

Указать

  • имя профиля
  • название SSID
  • WLAN id

Основная вкладка настройки

Указать NAS ID – IP контроллера Cisco

Security


Установить значение None и чекбокс MAC Filtering.



AAA Server

Для настройки аутентификации и аккаунтинга

  • установить чекбокс Interim Update
  • выставить  Iterium Interval = 180s
  • включить аутентификацию и аккаунтинг
  • выбрать необходимый сервер

QOS

Выбрать уровень для данного SSID из установленных (Silver,Gold Platinum, Bronse)


Так же можно выставить значение QOS для каждого SSID, указывая значения Override Per-User Bandwidth Contracts (kbps)


3. Настройка CiscoWLC Catalyst 9800-CL для работы с SoftWLC

Для корректной работы с контроллером SoftWLC на контроллере Cisco требуется выполнить небольшую конфигурацию. 

  1. Добавить RADIUS сервер. Для работы с аккаунтингом и получением статистики по пользователю в настройках Cisco контроллера  в качестве  адреса RADIUS сервера будет выступать сервис eltex-pcrf. Пакет SoftWLC PCRF доработан таким образом, чтобы найти сервисный домен пользователя и провести аутентификацию стандартными способами SoftWLC.  SoftWLC PCRF ищет сервисные домены и подставляет их в RADIUS пакет, на основании уже присутствующих атрибутов NAS IP и названию SSID. 
    SoftWLC PCRF осуществляет Mac Authentication Bypass на основании внутреннего механизма мак-авторизации.
  2. Настроить SSID. В зависимости от настроек можно использовать enterprise или MAC авторизацию. Добавлять ограничение по трафику на каждый SSID. При создании нового SSID требуется добавить его в группу SSID, назначенную на ваши группы ТД. 

3.1 Настройка параметров AAA

Добавление сервера

  • Перейти в раздел "Configuration" → "Security" → "AAA" → "Servers / Groups" → "RADIUS" → "Servers"
  • Нажать кнопку "Add":
    • Name: eltex-radius
    • Server Address: ip-адрес eltex-radius (SoftWLC)
    • Key Type: Clear text
    • Key: ключ radius (см Изменение ключа RADIUS устройства в EMS)
    • Confirm Key: ключ radius
    • Auth Port: 31812
    • Acct Port: 31813
    • Server Timeout: 10
    • Retry Count: 3
    • Support for CoA: Disabled
  • Нажать кнопку "Apply to device"

RADIUS взаимодействие контроллера CiscoWLC выполняется с сервисом SoftWLC.Eltex-PCRF, который по умолчанию использует auth порт 31812 и acct порт 31813 !

Добавление группы серверов

  • Перейти в раздел "Configuration" → "Security" → "AAA" → "Servers / Groups" → "RADIUS" → "Server Groups"
  • Нажать кнопку "Add":
    • Name: eltex-radius-group
    • Group Type: RADIUS
    • MAC-Delimiter: hyphen
    • MAC-Filtering: none
    • Assigned Servers: eltex-radius
  • Нажать кнопку "Apply to device"

Добавление списка методов аутентификации

  • Перейти в раздел "Configuration" → "Security" → "AAA" → "AAA Method List" → "Authentication"
  • Нажать кнопку "Add":
    • Method List Name: eltex-enterprise-auth
    • Type: dot1x
    • Group Type: Group
    • Assigned Server Groups: eltex-radius-group
  • Нажать кнопку "Apply to device"

Добавление списка методов аккаунтинга

  • Перейти в раздел "Configuration" → "Security" → "AAA" → "AAA Method List" → "Accounting"
  • Нажать кнопку "Add":
    • Method List Name: eltex-portal-acct
    • Type: Identity
    • Assigned Server Groups: eltex-radius-group
  • Нажать кнопку "Apply to device"


3.2 Настройка SSID

  • Перейти в раздел "Configuration" → "Tags & Profiles" → "WLANs"
  • Нажать кнопку "Add"
  • Вкладка "General":
    • "Profile Name": имя профиля
    • "SSID": имя SSID, должно совпадать с тем, что настроено в EMS
    • "WLAN ID": номер SSID
    • "Status": enabled
    • "Broadcast SSID": enabled
    • "Radio Policy": настройка диапазонов работы
  • Вкладка "Security"→ "Layer 2":
    • "Layer 2 Security": выбрать метод
    • "MAC Filtering": disable
    • "Auth Key Mgmt": 802.1X
  • Вкладка "Security"→ "Layer 3":
    • "Web Policy": disable
  • Вкладка "Security"→ "AAA":
    • "Authentication List": выбрать ранее настроенный
В случае когда необходимо использовать MAC авторизацию – установить значение"Layer 2 Security" = None и чекбокс MAC Filtering, а также в появившемся списке выберете список для accountinng.


Имя SSID в настройках контроллера CiscoWLC и в настройках EMS должны совпадать!


Страница "General"

Страница "Security"→ "Layer 2"

Страница "Security"→ "AAA"

3.3. Настройка Policy Profile на интерфейс VLAN

  • Перейти в раздел "Configuration" → "Tags & Profiles" → "Policy"
  • Нажать кнопку "Add"
  • Вкладка "General
    • "Name": имя политики
    • "Description": описание политики
    • "Status": enabled
    • "Passive Client": disabled
    • "IP MAC Binding": enabled
    • "Encrypted Traffic Analytics": disabled
    • "Central Switching": enabled
    • "Central Authentication": enabled
    • "Central DHCP": enabled
    • "Flex NAT/PAT": disabled
  • Вкладка "Access Policies
    • "VLAN/VLAN Group": выбираем настроенный VLAN (настраивается при установке контроллера Cisco)
  • Вкладка "QOS and AVC
    • Настроить необходимые параметры QoS
  • Вкладка "Advanced" → "AAA Policy"
    • "Allow AAA Override": enabled
    • "Accounting List": выбрать созданный ранее

3.4. Добавление WLAN в Policy Tags

Группа Policy Tags для WLAN необходима для обозначения групп SSID. Определяет какие SSID на какие ТД будут назначены.

  • Перейти в раздел "Configuration" → "Tags & Profiles" → "Tags" → "Policy"
  • Нажать кнопку "Add"
    • "Name": имя группы
    • "Description": описание группы
    • Нажать кнопку "WLAN-POLICY" → "Add"
      • "WLAN Profile": выбрать созданный ранее SSID
      • "Policy Profile": выбрать созданный ранее профиль
      • Нажать на галочку
  • Нажать кнопку "Apply to device"

3.5 Добавление ТД в группу

  • Перейти в раздел "Configuration" → "Tags & Profiles" → "Tags" → "AP" → "Location"
  • Нажать кнопку "Add"
  • Вкладка "General": 
    • "Location": имя группы
    • "Description": описание группы
    • "Policy Tag Name": созданный ранее профиль
    • "Site Tag Name": выбираем настройки ТД (для примера был выбран default tag. Настроить свои параметры можно нажав на стрелочку рядом со списком)
    • "RF Tag Name": выбираем настройки антенн (для примера был выбран default tag. Настроить свои параметры можно нажав на стрелочку рядом со списком)
  • Вкладка "AP Provisioning":
    • Выбираем подключенную ТД или добавляем по MAC
    • Нажимаем на стрелку и добавляем в список
  • Нажать кнопку "Apply to device"

3.6 Сохранение настроек

После выполнения настроек необходимо сохранить их энергонезависимую память устройства.

  • Нажать кнопку "Save Configuration" вверху справа

4. Настройка EMS для работы с Cisco

Для возможности использования геораспределенных систем контроллер Cisco добавляется в дерево объектов EMS и назначаются привязки SSID. На домен можно установить определенные тарифы, в которых возможно настроить различные ограничения трафика

Существует возможность перемещать контроллер по доменам внутри дерева. Домены используются в качестве гео-идентификатора региона или филиала. Для корректной работы авторизации добавляется соответсвующая запись контроллера в RADIUS. 

На основании данных SSID и домена строится механихм аутентификации пользователей. 

4.1 Добавление лицензии


Для работы с контроллером Cisco требуется лицензия


cp licence.xml /usr/lib/eltex-ems/conf/licence/licence.xml


После установки лицензии требуется перезапустить сервис eltex-ems


systemctl restart eltex-ems


4.2 Добавление Cisco в EMS 

Добавление устройства

  • Нажать  "добавление объекта в дерево"
  • Ввести требуемое имя 
  • Выбрать тип “Cisco WLC”
  • Указать IP устройства и домен, в котором он будет находиться

Добавить устройства в RADIUS


RADIUS → "Управление точками доступа на RADIUS сервере" → Выбрать устройство (если отсутствует, добавить)

Указать:

  • IP устройства
  • домен расположения
  • тип 
  • Secret Key для работы RADUIS


SECRET KEY ДОЛЖЕН БЫТЬ ОДИНАКОВЫЙ НА ВСЕЙ ЦЕПОЧКЕ cisco wlc -> pcrf -> eltex-radius


4.3 Настройка SSID

4.3.1 Enterprise авторизация

Добавить SSID

Для корректной работы привязок к геодомену необходимо добавить соответствующий SSID. 

Для этого перейти:

Wireless → Менеджер SSID → Добавить SSID


Заполнить данные в зависимости от типа аутентификации.


Enterprise авторизация

Указать:

  • Тип – Enterprise

  • Ввести имя SSID

  • Домен

  • Выбрать режим безопасности – WPA Enterprise + WPA2-AES

  • Указать RADIUS IP Address

  • RADIUS Key

  • RADIUS port – 31812 (pcrf)


В качестве RADIUS сервера указать IP адрес сервера eltex-pcrf


Добавить привязки

Выбрать SSID → "Добавить SSID привязку" → "Выбрать объекты для привзяки" → Принять


После чего на вкладке “Привязки SSID” будет добавлена запись привзяки для SSID.


4.3.2 MAB авторизация

Добавить SSID

Для корректной работы привязок к геодомену необходимо добавить соответствующий SSID. 

Для этого перейти:

Wireless → Менеджер SSID → Добавить SSID


Заполнить данные в зависимости от типа аутентификации.


MAB авторизация

Указать:

  • Тип – Enterprise

  • Ввести имя SSID

  • Домен

  • Выбрать режим безопасности – Без шифрования

  • MAC Auth type: RADIUS

  • Policy: Allow

  • Указать RADIUS IP Address

  • RADIUS Key

  • RADIUS port – 31812 (pcrf)


В качестве RADIUS сервера указать IP адрес сервера eltex-pcrf



Добавить привязки

Выбрать SSID → "Добавить SSID привязку" → "Выбрать объекты для привзяки" → Принять


После чего на вкладке “Привязки SSID” будет добавлена запись привзяки для SSID.

5. Настройка "Личного кабинета" для работы с Cisco


Для интеграции с Cisco необходимо включить соответствующий атрибут в настройках. После чего появляется возможность добавления атрибутов cisco в тарифах. Через тарифы реализуется per-user-shaping. Атрибуты позволяют настроить индивидуальные ограничения для пользователя.

5.1 Включение интеграции Cisco


Перейти “Настройки” → “Интеграция”. Установить чекбокс “Включить интеграцию с Cisco” и нажать “Сохранить”



После включения интеграции в настройках тарифа доступны “Атрибуты Cisco”


5.2 Настройка "Тарифа"

Создать тариф

Перейти в меню “Сервисы и тарифы” и нажать кнопку “Добавить”

Указать обязательный поля:

  • Наименование

  • Код тарифа

  • Домен

Атрибуты Cisco

Установить чекбокс “Атрибуты Cisco” и выставить необходимые атрибуты, после чего нажать “Сохранить”


Значение атрибутов расписано в документации: v1.35_Личный Кабинет_Тарифы

5.3 MAB авторизация

Для успешной MAB авторизации необходимо создать пользователя:

Подробную информацию по настройке можно найти в документации по настройке SoftWLC -  v1.35_Настройка MAC-авторизации на RADIUS

5.4 Хеширование паролей Enterprise пользователей

Для включения хеширования паролей перейти “Настройка” и выбрать тип хранения паролей пользователей

  • 1. Простой пароль – пароли без хеширования

  • 2. NT хеширование -хранить пароли в хешированном виде



При включении NT хеширование:

  • пароль скрыт в профиле пользователя(отображается дефолтное количество точек)

  • новые установленные пароли создаются в хешированном виде

  • для хеширования старых паролей можно использовать скрипт
    Инструкция по ссылке: v1.35_Скрипт для хеширования паролей пользователей