Описание
Netams WNAM - система портальной авторизации пользователей Wi-Fi через гостевую сеть.
Взаимодействие системы авторизации Netams WNAM с контроллероми WLC доступна на :
Функциональные возможности системы Netams WNAM:
- Корпоративная аутентифкация (dot1x) по протоколам PEAP и EAP-TLS;
- Аутентификация устройств по MAC-адресу;
- Интеграция с внешними каталогами MS AD и FreeIPA;
- Встроенный центр управления сертификатами;
- Поддержка атрибутов авторизации (VLAN ID, Downloadable ACL, Dynamic ACL, ограничение скорости, в том числе проприетарных RADIUS атрибутов);
- Профилирование устройств;
- Аутентификация, авторизация и учет действий для административного доступа на сетевые устройства (RADIUS и TACACS+) ;
- Гостевые порталы с аутентификацией, соответствующей законодательству РФ (обратный вызов, SMS, Госуслуги/ЕСИА);
- Детальное логирование действий пользователей в сети: длительность сессий, скорость, количество подключений, объем трафика.
Однако в данной статье будет рассмотрен пример настройки авторизации клиента через гостевой портал путем идентификации по коду Ваучера. Иные способы гостевой авторизации выходят за рамки данной статьи, так как взаимодействие между системой WNAM и BRAS WLC Eltex не изменяется. При возникновении трудностей с другими видами гостевой авторизации необходимо обратиться к разработчику WNAM.
Перед началом построения взаимодействия между Netams WNAM и WLC рекомендуется сконфигурировать и протестировать работу беспроводной сети и контроллера WLC без портальной авторизации и файрволла. Если беспроводная сеть корректно функционирует, можно приступать к настройки портальной авторизации и конфигурации настроек файрволла.
В данной статье используется подключение Точек Доступа к контроллеру WLC на основе сети L3 с построением Data SoftGRE туннеля. В данной статье детально описана настройка данной схемы подключения Настрoйка WLC.
Также необходимо ознакомиться с тонкостями настройки BRAS на ESR/WLC с портальной авторизацией на основе SoftWLC, с которыми можно ознакомиться в следующих статьях:
- BRAS/BRAS в vrf. L3 WiFi - руководство по настройке с резервированием
- BRAS. L2 WiFi - руководство по настройке и быстрому запуску
- BRAS. Troubleshooting Guide
Настройка BRAS на ESR/WLC с авторизацией на основе FreeRadius описана в статье по ссылке: Управление BRAS (Broadband Remote Access Server)
Описание схемы сети
- Контроллер WLC имеет адрес из сети WNAM: 100.110.0.246/23 (Vlan 1000);
- Контроллер WLC имеет адрес из сети управления ТД: 192.168.1.1/24 (Bridge 1);
- Контроллер WLC имеет адрес из сети клиентов ТД c авторизацией Enterprise : 192.168.2.1/24 (Bridge 4, Vlan 4);
- Контроллер WLC имеет адрес из сети клиентов ТД с портальной авторизацией: 192.168.3.1/24 (Bridge 4, Vlan 4);
- Сервер авторизации WNAM имеет адрес: 100.110.1.44/23 (Vlan 1000);
- Точка доступа подключена к WLC и получит физический (первичный), адрес регистрации на WLC, а также подопцию для построения Data туннеля из пула DHCP, настроенного на WLC из сети: 192.168.1.0/24 ;
- Клиенты получают адреса из пула DHCP, настроенного на WLC, из сети: 192.168.3.0/24 (Vlan 4);
- Сервис для доступа в Интернет после авторизации на портале имеет имя: INTERNET.
Лицензирование
Для конфигурации взаимодействия Netams WNAM и WLC, необходима лицензия BRAS, WLC-AP, WLC-WIDS-WIPS для WLC.
Детально о том, как установить и применить лицензию описано в статье – Активация функционала по лицензии.
Проверить наличие лицензии можно с помощью команды show licence:
wlc-30# show licence Feature Source State Value Valid from Expiries -------------------------------- -------- ----------- -------------------------------- -------------------- -------------------- BRAS File Active true -- -- BRAS File Candidate true -- -- WLC Boot Active true -- -- WLC Boot Candidate true -- -- WLC-AP File Active 100 -- -- WLC-AP File Candidate 100 -- -- WLC-WIDS-WIPS File Active true -- -- WLC-WIDS-WIPS File Candidate true -- --
Конфигурация WLC
Конфигурация адресных объектов:
object-group network wnam_servers ip address-range 100.110.1.44 exit object-group network bras_users ip address-range 192.168.3.20-192.168.3.250 exit object-group url defaultService url http://100.110.1.44 exit
Конфигурация Бриджей:
bridge 1 description "MGMT_AP" security-zone trusted ip firewall disable ip address 192.168.1.1/24 no spanning-tree enable exit bridge 2 description "Internet" security-zone untrusted ip firewall disable ip address 100.110.0.246/23 service-policy dynamic upstream no spanning-tree enable exit bridge 3 description "SoftGRE_or_L2" vlan 3 mtu 1458 history statistics security-zone users ip address 192.168.2.1/24 service-policy dynamic downstream no spanning-tree enable exit bridge 4 description "SoftGRE_or_L2-BRAS" vlan 4 security-zone users ip firewall disable ip address 192.168.3.1/24 service-subscriber-control object-group bras_users location data10 protected-ports local no spanning-tree enable exit
Конфигурация интерфейсов:
interface gigabitethernet 1/0/1 spanning-tree disable exit interface gigabitethernet 1/0/1.1000 description "to-WNAM" bridge-group 2 exit interface gigabitethernet 1/0/4 lldp receive exit interface gigabitethernet 1/0/4.4 description "L2_BRAS" bridge-group 4 exit interface gigabitethernet 1/0/4.10 description "MNGT_AP" bridge-group 1 exit
Конфигурация списков контроля доступа:
ip access-list extended BYPASS
rule 10
action permit
match protocol udp
match source-port 68
match destination-port 67
enable
exit
rule 11
action permit
match protocol udp
match destination-port 53
enable
exit
exit
ip access-list extended WELCOME
rule 10
action permit
match protocol tcp
match destination-port 443
enable
exit
rule 30
action permit
match protocol tcp
match destination-port 80
enable
exit
exit
ip access-list extended INTERNET
rule 10
action permit
enable
exit
exit
Конфигурация BRAS
Важно!
При конфигурации default-action redirect всегда используется шаблон "http://<ip-address WNAM>/cp/eltexwlc", где <ip-address WNAM> сетевой адрес сервера Netams WNAM.
В случае указания другого url авторизация работать не будет.
subscriber-control
aaa das-profile bras_das
aaa sessions-radius-profile bras_radius
aaa services-radius-profile bras_radius
nas-ip-address 100.110.0.246
session mac-authentication
bypass-traffic-acl BYPASS
default-service
class-map BYPASS
filter-name local defaultService
filter-action permit
default-action redirect http://100.110.1.44/cp/eltexwlc
session-timeout 600
exit
enable
exit
Настройка RADIUS
radius-server local
nas ap
key ascii-text encrypted testing123
network 192.168.1.0/24
exit
nas local
key ascii-text encrypted testing123
network 127.0.0.1/32
exit
domain default
exit
virtual-server default
enable
exit
enable
exit
radius-server host 100.110.1.44
key ascii-text encrypted wnampass
source-address 100.110.0.246
exit
radius-server host 127.0.0.1
key ascii-text encrypted testing123
exit
aaa radius-profile bras_radius
radius-server host 100.110.1.44
exit
aaa radius-profile default_radius
radius-server host 127.0.0.1
exit
das-server das
key ascii-text encrypted wnampass
port 3799
clients object-group wnam_servers
exit
aaa das-profile bras_das
das-server das
exit
Конфигурация туннеля Softgre:
tunnel softgre 1 mode data local address 192.168.1.1 default-profile enable exit
Конфигурация режима WLC:
wlc
outside-address 192.168.1.1
service-activator
aps join auto
password private-crt-key ascii-text encrypted 8CB5107EA7005AFF
crypto private-key wlc-sa.key
crypto cert wlc-sa.pem
exit
airtune
enable
exit
ap-location default-location
description default-location
mode tunnel
ap-profile default-ap
ssid-profile default-ssid
ssid-profile freeSSID_bras
exit
ssid-profile default-ssid
description F.E.wlc-30_PSK
ssid F.E.wlc-30_PSK
vlan-id 3
security-mode WPA2
key-wpa ascii-text encrypted C4EC5B35E85710A3
802.11kv
band 2g
band 5g
enable
exit
ssid-profile freeSSID_bras
description F.E.free
ssid F.E.freeSSID
vlan-id 4
band 2g
band 5g
enable
exit
ap-profile default-ap
password ascii-text encrypted 8CB5107EA7005AFF
services
ip ssh server
ip http server
exit
exit
radius-profile default-radius
auth-address 192.168.1.1
auth-password ascii-text encrypted 8CB5107EA7005AFF
domain default
exit
ip-pool default-ip-pool
description default-ip-pool
ap-location default-location
exit
enable
exit