Общее описание

В общем случае предполагается, что управление настройками точек доступа выполняется с помощью контроллера Eltex WLC. Но при необходимости можно выполнить настройку ТД вручную.

Для корректной работы требуется версия ПО ТД не ниже 2.8.0. Настройка VAP с портальной авторизацией может быть выполнена только через CLI ТД. Поддержки настроек в GUI ТД нет.

Настройка ТД

Перед настройкой выполнить сброс ТД к настройкам по умолчанию.

Подключиться к ТД по ssh.

следует учитывать, что при настройке некоторые сущности могут создаваться достаточно долго (~1 сек), поэтому просто скопировать и вставить весь блок команд нельзя! Требуется последовательный ввод команд!

Настройка ACL

В приведённом примере используется имя ACL "portal", т.к именно с таким именем она указана в дефолтном профиле авторизации "Portal web redirect profile". При необходимости можно задать другое имя ACL.

configure
  acl
    ipv4
	  add portal
      portal
	    entry
		add 0
        0
		  action permit
		  protocol-mode any
		  dst-mode host
		  dst-port-mode any
		  dst-ip <IP-адрес сервера NAICE>
          src-mode any
          src-port-mode any
		  exit
		add 1
		1
		  action permit
		  protocol-mode value
		  protocol udp
		  dst-mode any
		  dst-port-mode eq
		  dst-port-start 53
		  src-mode any
		  src-port-mode any
          exit
		add 2
		2
		  action deny
          protocol-mode any
		  dst-mode any
		  dst-port-mode any
          src-mode any
          src-port-mode any
		  exit
		exit
	  exit
	exit
  exit

Настройка DAS

Добавить настройки DAS-сервера.

DAS-сервер настраивается глобально для всей ТД - нельзя сделать индивидуальные настройки для определенного SSID.

configure
  das-server
	auth-password <секретный ключ CoA>
	enabled true
	exit
  exit

По умолчанию ожидание CoA запросов на ТД выполняется на порту UDP:3799.

Настройка VAP

На ТД есть два радиоинтерфейса wlan0 и wlan1:

wlan0 - работает в 2,4 GHz;
wlan1 - в 5GHz.

На каждом интерфейсе можно настроить до 7 VAP. При этом настройки VAP на одном радиоинтерфейсе никак не влияют на настройки VAP на другом радиоинтерфейсе.

Для корректной работы SSID в обоих диапазонах последовательно выполнить настройку VAP для каждого радиоинтерфейса. Далее приведен пример настройки для интерфейса wlan1-va0:

configure
  interface
    wlan1-va0
      common
	    enabled true
	    exit
	  vap
	    ssid <Имя SSID>
	    captive-portal
	      enabled true
		  verification-mode external-portal
		  preauth-filter-mode acl
		  disconnect-on-reject true
		  exit
	    radius
	      auth-address <IP-адрес NAICE>
          auth-password <секретный ключ RADIUS> 
          acct-enable true
          acct-address <IP-адрес NAICE>
          acct-password <секретный ключ RADIUS>
          use-macaddr-as-password true
          macaddr-format xx-xx-xx-xx-xx-xx
		  exit
	    exit
	  exit
	exit
  exit

Секретные ключи CoA и RADIUS на одной ТД должны совпадать! Это особенность реализации, т.к. со стороны NAICE секретный ключ указывается только в одном месте при добавлении сетевого устройства!