Описание

В рамках данной инструкции будет рассмотрен процесс настройки портальной авторизации в связке: Контроллер точек доступа CISCO WLC 9800 + Портал Eltex NAICE. На контроллере CISCO WLC 9800 в ходе настройки будут отредактированы или созданы следующие сущности:

  • Создан VLAN для гостевого трафика
  • Создан новый внешний Radius-сервер, а также дополнительные сущности
  • Создан Redirect-ACL
  • Создан профиль Flex Profile
  • Настроен новый профиль SSID 
  • Созданы необходимые Policy Profiles

В конце статьи расположен разбор некоторых возможных проблем при настройке.

Схема с агрегацией клиентского трафика через CAPWAP-туннель

Описание

Схема с агрегацией клиентского трафика через туннель CAPWAP предполагает, что к VALN'у для размещения и маршрутизации гостевого трафика будет организован доступ на самом контроллере точек доступа, клиенты беспроводной сети после подключения к SSID будут попадать в клиентский VLAN через туннель между точкой доступа и контроллером. Также предполагается что адресация клиентов, а также маршрутизация гостевого трафика будет выполняться вне контроллера беспроводных сетей. на отдельном маршрутизаторе.

Схема


Настройка контроллера CISCO

Создание VLAN для гостевого трафика

Предполагается, что в сети предприятия уже существует или был ранее настроен VLAN с гостевой адресацией и маршрутизацией гостевого трафика. VLAN должен быть "проброшен" до интерфейса UpLink контроллера WLC, чтобы его возможно было создать и использовать в рамках контроллера.

Настройка

Перейти в раздел Configuration > Layer2 > Vlan , далее необходимо перейти во вкладку VLAN и нажать +ADD:

В открывшемся окне:

  • Задать VLAN ID и Name согласно подготовленного заранее VLAN'а
  • Переключить включатель State в состояние Activated
  • Добавить VLAN на порт UpLink доступный в Available, переместив его в Associated
В данной инструкции внимание не будет акцентироваться на сетевых параметрах контроллера слишком подробно, при возникновении вопросов по настройке сетевых параметров - необходимо обратиться к официальному руководству контроллера.

Настройка внешнего Radius-сервера и необходимых сущностей

1) Открыть раздел ConfigurationSecurity > AAA и создать новый Radius кликнув +ADD:

В открывшемся окне необходимо задать следующие поля:

  • Name (Имя сервера в свободной форме).
  • Server Address (ip-адрес хоста NAICE).
  • Задать пароль для Radius (совпадающий с паролем в настройках "Устройства" в NAICE), а затем подтвердить его.
  • Включить поддрежку CoA (перевести тумблер "Support for CoA" в режим Enable).
  • Задать пароль CoA Server Key, а затем подтвердить его (Совпадает с паролем Radius).

Подтвердить и сохранить кнопкой Apply to Device


2) Далее перейти в подраздел Server Groups в этом же разделе, и создать новую группу кликнув "+ADD":

Затем в открывшемся окне:

  • Заполнить поле Name (в примере использовано имя naice-radius-servgroup).
  • Переместить созданный ранее Radius из Available Servers в Assigned Server.

Подтвердить и сохранить кнопкой Apply to Device.


3) Далее перейти в подраздел AAA Method List > Authorization  и создать новую сущность кликнув "+ADD":

В открывшемся окне:

  • Заполнить поле Name (в примере использовано имя naice-auth-ml).
  • Type - выбрать network.
  • Group Type Type выбрать group.
  • Переместить созданный ранее Radius из Available Server groups в Assigned Serve groups.

Подтвердить и сохранить кнопкой Apply to Device.


4) Затем необходимо перейти в подраздел AAA Method List > Accounting и создать новую сущность кликнув "+ADD":

В открывшемся окне настроить

Затем в открывшемся окне необходимо:

  • Заполнить поле Name (в примере использовано имя naice-acc-ml).
  • Type - выбрать identity.
  • Переместить созданный ранее Radius из Available Server groups в Assigned Serve groups.

Подтвердить и сохранить кнопкой Apply to Device.

Настройка ACL

Необходимо перейти в раздел ConfigurationSecurity > ACL и создать новый ACL (Redirect-ACL) кликнув +ADD:

В открывшемся окне создайте список правил с содержанием как на рисунке выше. Для правил 10 и 20 используйте ip-адрес хоста NAICE.

Быстро создать лист ACL можно через CLI, для этого необходимо подключиться к хосту WLC при помощи ssh, перейти в режим конфигурирования с соответствующими привилегиями и использовать следующие команды:

ip access-list extended naice-acl-main
 10 deny ip any host <ip-адрес хоста NAICE>
 20 deny ip host <ip-адрес хоста NAICE> any
 30 deny udp any any eq domain
 40 deny udp any eq domain any
 50 deny udp any eq bootpc any
 60 deny udp any eq bootps any
 200 permit tcp any any eq www


Логика работы ACL-листа при назначении его в качестве Redirect-ACL отличается от стандартной! Actions Deny и Permit не "запрещают или разрешают" тип трафика подходящий под условие, а "запрещают или разрешают выполнять редирект" данного трафика.

Включение HTTP сервера

Необходимо перейти в раздел Administration > HTTP/HTTPS/Netconf/VTY и включить опцию HTTP Access:

Создание профиля flex profile

Для корректной работы редиректа также необходим профиль Flex Profile Необходимо перейти в раздел Configurations > Tags & Profiles > Flex и создать новый профиль кликнув +ADD:

В открывшемся окне, во вкладке General необходимо сделать следующее:

  • Ввести имя профиля в поле Name (В примере использовано portal-flexprofile).
  • В поле Native VLAN ID ввести номер VLAN предназначенный для клиентского трафика (В примере использован VLAN 1846, важно корректно указать VLAN).

Далее этом же окне необходимо перейти к вкладке Policy ACL:

В ней необходимо сделать следующее:

  • Нажать +ADD для добавления Policy ACL.
  • В появившемся дополнительном окне ADD Policy ACL выбрать в качестве ACL Name созданный ранее лист ACL (В данном примере это naice-acl-main).
  • Отметить флажок Central WEB Auth.

Далее, в этом же окне, необходимо перейти к вкладке VLAN:

В ней необходимо сделать следующее:

  • Нажать +ADD для добавления VLAN клиентской сети.
  • В появившемся дополнительном окне Edit VLAN, в поле VLAN Name выбрать созданный ранее VLAN для клиентов (В данном примере это 1846).
  • В поле VLAN ID ввести номер созданного ранее VLAN для клиентов (В данном примере это 1846).

Далее необходимо кликнуть Save, затем Update & Apply to Device для подтверждения и сохранения настроек.

Настройка SSID (Профиля WLAN)

Необходимо перейти в раздел Configuration > Tags & Profiles > WLANs и создать новый профиль кликнув +ADD:

В открывшемся окне, во вкладке General необходимо сделать следующее:

  • В поле Profile Name введите имя для профиля.
  • В поле SSID введите имя SSID (То что вы будете видеть при поиске беспроводной сети), параметр может совпадать с полем Profile Name.
  • Включите профиль переключателем Status.
  • Включите Вещание SSID переключателем Broadcast SSID.
  • В правой части окошка отрегулируйте частоты согласно используемым точкам доступа и необходимым для вас частотным диапазонам (В примере включено вещание только в 5 GHz).

Далее, в этом же окне, необходимо перейти к вкладке Security > Layer 2:

В открывшейся вкладке необходимо:

  • Выбрать защиту None (ее отсутствие).
  • Снять флажок OWE Transition Mode.
  • Поставить флажок MAC Filtering, в появившемся рядом поле Authorization List, выбрать созданный ранее AAA Authorization List (В примере это naice-auth-ml).

Далее необходимо кликнуть Apply to Device для подтверждения и сохранения настроек.

Настройка Policy Profile

Необходимо перейти в раздел Configuration > Tags & Profiles > Policy и создать новый профиль кликнув +ADD:

В открывшемся окне во вкладке General необходимо:

  • В поле Name ввести имя профиля (В примере это portal-policy-profile).
  • Включить следующие переключатели: Status, Central Switching, Central Authentication, Central DHCP.

Затем в том же окне необходимо перейти во вкладку Access Policies:

В открывшей окне во вкладке Access Policies необходимо:

  • В выпадающем меню VLAN/VLAN Group выбрать созданный ранее клиентский VLAN (В примере это VLAN 1846).

Затем в том же окне необходимо перейти во вкладку Advanced и промотать вниз до блока AAA Policy:

В блоке AAA Policy необходимо сделать следующее:

  • Отметить флажки Allow AAA Override и NAC State.
  • В выпадающем меню Accounting List выбрать созданный ранее Accounting List (В данном примере это naice-acc-ml).

Далее необходимо кликнуть Apply to Device для подтверждения и сохранения настроек.


Настройка профиля Site Tag Policy

Необходимо перейти в раздел Configuration > Tags & Profiles > Tags и затем перейти во вкладку Policy, чтобы создать новую политику необходимо кликнуть +ADD:

В открывшемся окне Add Policy Tag необходимо сделать следующее:

  • Задать имя в поле Name.
  • Кликнуть +ADD в блоке WLAN-POLICY Maps.
  • В открывшемся новом Map WLAN and Policy выбрать созданный для портала WLAN Profile и Policy Profile.
  • Кликнуть флажок для применения.

Далее необходимо кликнуть Apply to Device для подтверждения и сохранения настроек.

Оставаясь на этой же странице, необходимо перейти во вкладку Site и кликнуть +ADD для создания нового профиля Site Tag:

В открывшемся окне необходимо выполнить следующее:

  • Ввести имя профиля в поле Name (В примере используется имя portal-site-tag).
  • Выбрать нужный AP Join Profile (не создается в рамках данной инструкции, необходим для подключения ТД к контроллеру).
  • Выбрать Flex Profile созданный ранее в рамках данной инструкции.

Настройка NAICE

Настройка портала на NAICE выполняется по общей инструкции которая отражена здесь, поэтому не будет подробно рассматриваться в данной статье, но есть важные моменты на которые необходимо отдельно обратить внимание при конфигурировании портала:

1) В настройках профиля сетевого устройства, созданного в сервисе NAICE для взаимодействия с CISCO 9800, необходимо указать альтернативный порт CoA - 1700.

2) В параметрах профиля авторизации NAICE, созданного в сервисе NAICE для взаимодействия с CISCO 9800, необходимо указать имя листа Redirect-ACL созданного в ходе данной инструкции.

Настройка альтернативного порта CoA в профиле сетевого устройства

Для работы с контроллером в раздел Администрирование → Сетевые ресурсы → Профили устройств добавлен профиль по умолчанию Cisco WLC.

Необходимо перейти в раздел Администрирование → Сетевые ресурсы → Профили устройств и затем открыть профиль созданный для взаимодействия с CISCO 9800, затем открыть вкладку Настройки RADIUS CoA:

В данном блоке настроек необходимо в поле RADIUS CoA указать порт 1700

Настройка имени Redirect-ACL в параметрах профиля авторизации

Необходимо перейти в раздел Политики → Элементы → Профили авторизации и открыть профиль используемый для портала профиль авторизации, затем спуститься вниз до блока настроек Общие задачи:

и указать параметры:

  • WebRedirection - включить;
  • Портал - выбрать портал;
  • Имя ACL - указать имя ACL настроенной на контроллере.

Нажать кнопку Добавить.

На данном этапе настройку можно считать оконченной


Troubleshooting распространенных проблем

При подключении к беспроводной сети не происходит редирект, либо редирект выполняется, но портал не открывается

1) После подключения клиентом к беспроводной сети, необходимо на WLC перейти в раздел Monitoring > Clents:


В открывшемся окне выберите свой клиент чтобы перейти к деталям, в открывшемся новом окне Client необходимо перейти в раздел General затем в подраздел Security Information. Необходимо убедиться, что в блоках Server Policies / Resultant policies отображаются ссылка для редиректа в корректном виде, корректное имя ACL листа, совпадающее с именем листа созданного в рамках инструкции, а также корректный VLAN для гостевого трафика с нужным ID:

Ссылка для редиректа динамическая, она определяется сервисом NAICE, и имеет следующий формат:

https://{ip}:{port}/portal/1?user_mac={client_mac}&nas_ip={nas_ip}

Если ссылка и ACL-лист не получены - необходимо проверить, настройку портала на NICE по инструкции.


2) Устройства-клиенты на различных ОС обращаются к различным сайтам Connectivity Check при подключении к беспроводным сетям, поэтому важно чтобы имена DNS этих сайтов корректно разрешались DNS-сервером. Необходимо убедиться, что в сети к которым подключены точки доступа, а также гостевой сети - работает DNS и имена корректно разрешаются в IP-адреса. Примеры сайтов, используемых различными ОС:

http://captive.apple.com
http://msftconnecttest.com
http://connectivity-check.ubuntu.com
http://connectivitycheck.android.com


3) Необходимо проверить, что созданный в этой инструкции ACL-лист совпадает с рекомендациями инструкции в точности, также, что он назначен в профиле Flex Profile, а флажок Central Web Auth установлен: 

4) Необходимо временно отключить возможные правила Firewall для обеспечения отсутствия ограничений взаимодействия между CISCO WLC 9800 и сервисом NAICE, если Firewall используется.


После авторизации на портале нет доступа в интернет или сообщение об ошибке

Необходимо в интерфейсе сервиса NAICE перейти в раздел Администрирование → Сетевые ресурсы → Профили устройств, открыть профиль созданный для взаимодействия с CISCO 9800, открыть вкладку Настройки RADIUS CoA и проверить что порт выставлен корректно, значение должно быть 1700:


SSID настроен, и привязан к точке доступа, но не виден в эфире.

Необходимо убедиться, что в разделе Configuration > Tags & Profiles > Policy в созданном в рамках инструкции профиле включен переключатель Central Authentication:

  • Нет меток