Содержание
Версия документа | Дата выпуска | Содержание изменений |
Версия 1.0 | 07.10.2022 | 1 |
1. Общая архитектура
Интеграция SoftWLC с контроллером CiscoWLC для аутентификации и тарификации абонентских устройств. Взаимодействие обеспечивается согласно RFC 2865 RADIUS Authentication и RFC 2866 RADIUS Accounting.
1.1 Общая схема интеграции контроллера
- Контроллер Cisco добавить в SoftWLC.EMS как устройство Cisco контроллера.
- В SoftWLC.EMS добавить географически домен для целевого филиала. Контроллер переместить в этот домен.
- В SoftWLC.EMS создать сервисный домен, определяющий тип и свойства услуги.
- В SoftWLC.EMS создать целевые SSID, привязать к соответствующему сервисному домену и настроить на предоставление конкретной услуги.
- В SoftWLC.EMS создать SSID привязки к контроллерам Cisco. Привязки могут быть созданы на локацию, то есть географический домен.
- По данным привязок, контроллер SoftWLC может получить сведения о сервисном домене для каждого конкретного SSID и реализовывать политику ограничений на их основе.
- Существующих пользователей переместить вручную. Скрипт миграции позволяет хешировать заданные пароли для пользователей.
- Новых пользователей создать через ЛК SoftWLC, проставить целевой SSID, либо сервисный домен и тариф.
- Тарификация пользователей осуществляется при использовании индивидуальному проставлению тарифов. Для пользователей Enterprise сетей оператор проставляет тариф в ЛК SoftWLC. Так же в качестве тарификации можно использовать настройки QOS на контроллере Cisco(в тарификации можно будет выбирать уровни для определенных ролей)
1.2 Механизмы аутентификации SoftWLC
На основании информации о контроллерах Cisco и SSID, работающих на них, из SoftWLC EMS, строится механизм аутентификации пользователей. SoftWLC PCRF ищет сервисный домен пользователя и подставляет их в RADIUS пакет, на основании уже присутствующих атрибутов NAS IP и названию SSID.
2. Настройка Cisco для работы с SoftWLC
Для корректной работы с контроллером SoftWLC на контроллере Cisco требуется выполнить небольшую конфигурацию.
- Добавить RADIUS сервер. Для работы с аккаунтингом и получением статистики по пользователю в настройках Cisco контроллера в качестве адреса RADIUS сервера будет выступать сервис eltex-pcrf. Пакет SoftWLC PCRF доработан таким образом, чтобы найти сервисный домен пользователя и провести аутентификацию стандартными способами SoftWLC. SoftWLC PCRF ищет сервисные домены и подставляет их в RADIUS пакет, на основании уже присутствующих атрибутов NAS IP и названию SSID.
SoftWLC PCRF осуществляет Mac Authentication Bypass на основании внутреннего механизма мак-авторизации. - Настроить SSID. В зависимости от настроек можно использовать enterprise или MAC авторизацию. Добавлять ограничение по трафику на каждый SSID. При создании нового SSID требуется добавить его в AP Group.
2.1 Настройка RADIUS сервера
На вкладке Security добавить настройки RADIUS сервера:
Authentication
Нажать “Apply” для сохранения изменений |
|
Accounting
Нажать “Apply” для сохранения изменений |
|
MAC Filter Для работы с MAC на владке Mac Filtering указать “FreeRadius” и выбрать в качестве разделителя “-” - Hyphen |
|
2.2 Настройка SSID
2.2.1 Enterprise авторизация
Во вкладке WLANs добавить/отредактировать SSID |
|
Указать
|
|
Основная вкладка настройки Указать NAS ID – IP контроллера Cisco |
|
Security Выбрать тип шифрования В случае когда необходимо использовать MAC авторизацию – установить значение None и чекбокс MAC Filtering. |
|
AAA Server Для настройки аутентификации и аккаунтинга
|
|
QOS Выбрать уровень для данного SSID из установленных (Silver,Gold Platinum, Bronse) Так же можно выставить значение QOS для каждого SSID, указывая значения Override Per-User Bandwidth Contracts (kbps) |
|
2.2.2 MAB авторизация
Во вкладке WLANs добавить/отредактировать SSID |
|
Указать
|
|
Основная вкладка настройки Указать NAS ID – IP контроллера Cisco |
|
Security Установить значение None и чекбокс MAC Filtering. |
|
AAA Server Для настройки аутентификации и аккаунтинга
|
|
QOS Выбрать уровень для данного SSID из установленных (Silver,Gold Platinum, Bronse) Так же можно выставить значение QOS для каждого SSID, указывая значения Override Per-User Bandwidth Contracts (kbps) |
|
3. Настройка EMS для работы с Cisco
Для возможности использования геораспределенных систем контроллер Cisco добавляется в дерево объектов EMS и назначаются привязки SSID. На домен можно установить определенные тарифы, в которых возможно настроить различные ограничения трафика
Существует возможность перемещать контроллер по доменам внутри дерева. Домены используются в качестве гео-идентификатора региона или филиала. Для корректной работы авторизации добавляется соответсвующая запись контроллера в RADIUS.
На основании данных SSID и домена строится механихм аутентификации пользователей.
3.1 Добавление лицензии
Для работы с контроллером Cisco требуется лицензия
cp licence.xml /usr/lib/eltex-ems/conf/licence/licence.xml
После установки лицензии требуется перезапустить сервис eltex-ems
systemctl restart eltex-ems
3.2 Добавление Cisco в EMS
Добавление устройства
|
|
Добавить устройства в RADIUS RADIUS → "Управление точками доступа на RADIUS сервере" → Выбрать устройство (если отсутствует, добавить) Указать:
SECRET KEY ДОЛЖЕН БЫТЬ ОДИНАКОВЫЙ НА ВСЕЙ ЦЕПОЧКЕ cisco wlc -> pcrf -> eltex-radius |
|
3.3 Настройка SSID
3.3.1 Enterprise авторизация
Добавить SSID Для корректной работы привязок к геодомену необходимо добавить соответствующий SSID. Для этого перейти: Wireless → Менеджер SSID → Добавить SSID Заполнить данные в зависимости от типа аутентификации. |  |
Enterprise авторизация Указать:
В качестве RADIUS сервера указать IP адрес сервера eltex-pcrf |
|
Добавить привязки Выбрать SSID → "Добавить SSID привязку" → "Выбрать объекты для привзяки" → Принять После чего на вкладке “Привязки SSID” будет добавлена запись привзяки для SSID. |
|
3.3.1 MAB авторизация
Добавить SSID Для корректной работы привязок к геодомену необходимо добавить соответствующий SSID. Для этого перейти: Wireless → Менеджер SSID → Добавить SSID Заполнить данные в зависимости от типа аутентификации. | |
MAB авторизация Указать:
В качестве RADIUS сервера указать IP адрес сервера eltex-pcrf |
|
Добавить привязки Выбрать SSID → "Добавить SSID привязку" → "Выбрать объекты для привзяки" → Принять После чего на вкладке “Привязки SSID” будет добавлена запись привзяки для SSID. |
|
4. Настройка "Личного кабинета" для работы с Cisco
Для интеграции с Cisco необходимо включить соответствующий атрибут в настройках. После чего появляется возможность добавления атрибутов cisco в тарифах. Через тарифы реализуется per-user-shaping. Атрибуты позволяют настроить индивидуальные ограничения для пользователя.
4.1 Включение интеграции Cisco
Перейти “Настройки” → “Интеграция”. Установить чекбокс “Включить интеграцию с Cisco” и нажать “Сохранить” После включения интеграции в настройках тарифа доступны “Атрибуты Cisco” |
|
4.2 Настройка "Тарифа"
Создать тариф Перейти в меню “Сервисы и тарифы” и нажать кнопку “Добавить” Указать обязательный поля:
|
|
Атрибуты Cisco Установить чекбокс “Атрибуты Cisco” и выставить необходимые атрибуты, после чего нажать “Сохранить” Значение атрибутов расписано в документации: v1.24_Личный Кабинет_Тарифы |
|
4.3 MAB авторизация
Для успешной MAB авторизации необходимо создать пользователя:
- в качестве логина использовать MAC адрес устройства в формате 00-AA-BB-CC-DD-EE
- пароль должен иметь значение NOPASSWORD
Подробную информацию по настройке можно найти в документации по настройке SoftWLC - v1.24_Настройка MAC-авторизации на RADIUS
4.4 Хеширование паролей Enterprise пользователей
Для включения хеширования паролей перейти “Настройка” и выбрать тип хранения паролей пользователей
При включении NT хеширование:
|
|
