Дерево страниц
Перейти к концу метаданных
Переход к началу метаданных

Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

« Предыдущий Версия 2 Текущий »

Версия документа

Дата выпуска

Содержание изменений

Версия 1.0

17.02.2023

Первая публикация.

1. Общая архитектура

    Портальная авторизация предназначена для аутентификации гостевых пользователей. Аутентификация и авторизация пользователя выполняется через web-портал SoftWLC.

1.1 Общая схема интеграции контроллера

  1. В SoftWLC.EMS добавить географический домен для целевого филиала.
  2. Контроллер Cisco добавить в этот домен.
  3. В конструкторе порталов создать портал для гостевой авторизации (по умолчанию есть один портал с дефолтными настройками, можно использовать один портал в различных SSID).
  4. В Личном кабинете создать тариф пользователя (по умолчанию есть один тариф).
  5. В SoftWLC.EMS создать гостевой SSID в соответствующем сервисном домене, указать портал и ссылку на него.
  6. В SoftWLC.EMS создать привязку SSID к соответствующему географическому домену. Привязка так же может быть создана к определенному контроллеру Cisco по его мак-адресу.
  7. По данным привязок SoftWLC может получить сведения о сервисном домене для каждого SSID и зарегистрировать пользователя именно в этом домене.
  8. Сгенерировать ссылку портальной авторизации, которую надо будет указать в настройках контроллера Cisco в "Redirect URL".
  9. Настроить SSID  на Cisco WLC с портальной аутентификацией (WEB Auth), указав ранее сгенерированную ссылку портальной авторизации.

1.2 Механизмы аутентификации и авторизации пользователей гостевых сетей

   Для реализации портальной авторизации в настройках SSID (WLAN) на контроллере CiscoWLC требуется указать строку редиректа, которой пользователь WiFi будет направляться на портал. Для создания ссылки редиректа в EMS реализован механизм, который позволяет на основании привязки SSID с портальной авторизацией сгенерировать ссылку портальной авторизации для контроллера Cisco и сохранить ее в отдельную таблицу. Таким образом для каждой  привязки SSID генерируется уникальная ссылка, которая позволяет однозначно определить портал, который требуется показать клиенту WiFi.

    На основании информации о положении в дереве доменов контроллера Cisco, ссылки редиректа отдаваемой контроллером Cisco клиенту WiFi и привязки гостевого SSID в ссылку определяется портал, который надо показать пользователю и сервисный домен пользователя, который будет использоваться при регистрации. Поддержаны два режима аутентификации при выполнении портальной авторизации: с поддержкой мак-авторизации пользователя и без нее. Если поддержка мак-авторизации не включена - клиент WiFi при подключении к контроллеру Cisco будет всегда перенаправляться на портал, не зависимо от того регистрировался он ранее или нет на этом SSID. 

    Ниже приведена диаграмма портальной авторизации на контроллере Cisco.

  1. Клиент WiFi подключается к SSID с портальной авторизацией.
  2. Контроллер CiscoWLC отправляет запрос Access-Request, в котором в качестве UserName указан мак-адрес клиента WiFi на PCRF.
  3. PCRF определяет в каком домене находится контроллер CiscoWLC,  по привязанному к домену SSID определяет домен пользователя и добавляет полученную в радиус-пакет в виде AVP Eltex-AP-Domain, Eltex-Domain, Eltex-Group и отправляет запрос на Radius.
  4. Radius, получив Access-Request выполняет поиск пользователя в БД.
  5. Не найдя пользователя - отправляет Access-Reject, который передается через PCRF на контроллер CiscoWLC.
  6. К SSID прикреплена ACL, в которой разрешается без аутентификации получить IP-адрес по DHCP, выполнить DNS запрос и перейти на портал.
  7. Клиент WiFi  после подключения к SSID получает IP-адрес, и пытается открыть сайт в Интернете установив HTTP-сессию.
  8. В ответ на попытку установить HTTP-сессию контроллер CiscoWLC, используя HTTP заголовок Location передает клиенту WiFi ссылку редиректа на портал.
  9. Клиент переходит на портал, вводит номер телефона, получает SMS (или иным способом подтверждает введенный номер телефона, процесс опущен на схеме).
  10. Пройдя процесс аутентификации и авторизации, клиент выполняет POST-запрос на виртуальный интерфейс CiscoWLC, который включает в себя логин и пароль пользователя.
  11. После получения запроса от клиента,  CiscoWLC выполняет radius запрос Access-Request на сервис PCRF, который содержит логин и пароль, а так же NAS-IP-адрес, мак-адрес пользователя и имя SSID.
  12. Используя полученные данные, PCRF определяет в каком домене находится контроллер CiscoWLC,  по привязанному к домену SSID определяет домен пользователя и добавляет полученную в радиус-пакет в виде AVP Eltex-AP-Domain, Eltex-Domain, Eltex-Group и отправляет запрос на radius.
  13. Radius выполняет проверку пользователя в БД, и в случае если логин/пароль, домен пользователя и имя SSID совпадает - формирует ответ Access-Accept, заполняя его при наличии дополнительными атрибутами из тарифного плана пользователя.
  14. PCRF получив ответ Access-Accept перенаправляет его на контроллер CiscoWLC.
  15. Контроллер CiscoWLC, получив Access-Accept авторизует клиента WiFi, применяет к нему полученные в дополнительных атрибутах ограничения и выпускает в сеть Интернет.

2. Настройка EMS для портальной авторизации CiscoWLC

2.1 Добавление лицензии


Для работы с контроллером Cisco требуется лицензия


cp licence.xml /usr/lib/eltex-ems/conf/licence/licence.xml


После установки лицензии требуется перезапустить сервис eltex-ems


systemctl restart eltex-ems

2.2 Включение интеграции с CiscoWLC

Включение режима

  • Открыть меню "Администрирование"→ "Настройки сервера"→ "Системные модули"
  • Перейти на вкладку "Multi-Vendor"
  • Включить "Включить интеграцию"
  • Нажать кнопку "Принять"
  • На вопрос "Хотите сохранить измененные параметры модуля ''MultiVendor" нажать кнопку "Yes"

2.3 Добавление CiscoWLC в дерево объектов EMS

Добавление устройства в дерево объектов EMS

  • Выбрать узел, в который требуется добавить устройство
  • Нажать кнопку  "Добавление объекта в дерево"
  • Ввести имя устройства
  • Выбрать тип устройства "CiscoWLC"
  • Указать IP-адрес устройства
  • Нажать кнопку "Добавить"

Изменение ключа RADIUS устройства в EMS

  • Открыть меню "RADIUS"→ "Управление точками доступа"
  • Выбрать устройство (если отсутствует - нажать кнопку "Добавить" )
  • Указать:
    • IP устройства
    • домен расположения
    • тип устройства CiscoWLC
    • Secret Key для работы RADUIS
  • Нажать кнопку "Принять"
  • Нажать кнопку "Закрыть"

SECRET KEY ДОЛЖЕН БЫТЬ ОДИНАКОВЫЙ НА ВСЕЙ ЦЕПОЧКЕ CiscoWLC -> PCRF -> eltex-radius

Аналогичным способом изменить ключ для взаимодействия с Radius-сервером.

2.4 Настройка SSID

Добавление SSID

Настройка SSID не отличается от традиционной настройки SSID для ТД Eltex. SSID может быть одновременно использован в привязках для любых типов устройств (ТД Eltex и CiscoWLC)

  • Открыть меню "Wireless"→ "Менеджер SSID"→ "База SSID"
  • Нажать кнопку "Добавить SSID"

В открывшемся окне выбрать:

  • Тип: "hotspot"
  • Имя: указать имя SSID
  • Domain: выбрать домен SSID
  • enable: включить в разделе "Captive portal"

В раскрывшихся после включения настройках "RADIUS" указать:

  • RADIUS IP Address: указать адрес Radius-сервера (если используются несколько серверов - указать все).

В разделе "Captive portal" указать:

  • Virtual portal name: выбрать портал (по умолчанию default)
  • External URL: http://<IP-адрес:Порт портала>/eltex_portal/
  • Нажать кнопку "Принять"

Для взаимодействия с контроллером CiscoWLC значимыми полями являются:

"Тип", "Имя", "Virtual portal name", "External URL".

Добавление привязки SSID

  • Открыть меню "Wireless"→ "Менеджер SSID"→ "База SSID"
  • Выбрать SSID
  • Нажать кнопку "Добавить SSID привязку"
  • Выбрать домен, в который ранее был добавлен контроллер CiscoWLC
  • Ключ привязки - "DOMAIN"
  • Нажать кнопку "Создать привязку"
  • Нажать кнопку "Принять"
  • На вопрос "Исправить привязки SSID" нажать кнопку "Нет"

Домен привязки (ключ NAS) должен совпадать с доменом, куда добавлен контроллер CiscoWLC.

Привязка может выполняться только к домену (ключ DOMAIN).

Создание ссылки портальной авторизации, которая будет указана на контроллере CiscoWLC

  • Открыть меню "Wireless"→ "Менеджер SSID"→ "Привязки SSID"
  • Выбрать созданную привязку
  • Нажать кнопку  (Сгенерировать URL для портальной авторизации оборудования сторонних вендоров)
  • В открывшемся окне нажать кнопку "Копировать ссылку" - данная ссылка будет использоваться при настройке SSID с портальной авторизацией на контроллере Cisco

Работа с ссылками портальной авторизации

  • Управление ссылками портальной авторизации выполняется в меню "Wireless"→ "Менеджер SSID"→ "Привязки внешних устройств"
  • Кнопка "Редактировать" позволяет отредактировать и исправить параметры ссылки, если они были случайно изменены
  • Кнопка "Показать URL" позволяет просмотреть URL портальной авторизации и скопировать его

3. Настройка Личного Кабинета для работы с контроллером CiscoWLC

3.1 Включение интеграции

  • Открыть "Личный Кабинет"
  • Перейти в левой панели в раздел "Настройки"
  • Открыть вкладку "Система"→ "Интеграция"
  • Включить настройку "Включить интеграцию с Cisco"
  • Нажать кнопку "Сохранить"

После включения интеграции:

Станут доступны настройки CiscoWLC атрибутов в настройках тарифного плана

Контроллер CiscoWLC станет доступен как тип устройства в меню "Точки доступа"

3.2 Включение хранения паролей пользователей в зашифрованном виде

  • Открыть "Личный кабинет"
  • Перейти в левой панели в раздел "Настройки"
  • Перейти во вкладку "Система"→ "Система"
  • Промотав вниз в настройке "Хранение паролей пользователей" выбрать "NT хеширование"
  • Нажать вверху страницы на кнопку "Сохранить"

Данная настройка не является обязательной для корректной работы портальной авторизации через контроллер CiscoWLC

Пароли пользователей, сохраненные до включения настройки останутся в открытом виде. Их изменение возможно только через изменение пароля пользователя в "Пользователи WiFi" или при повторной регистрации на портале

3.3. Настройка атрибутов CiscoWLC в тарифных планах

  • Открыть "Личный кабинет"
  • Перейти в левой панели в раздел "Сервисы и тарифы"
  • Нажать кнопку "Добавить"
  • В открывшемся окне указать:
    • "Наименование": наименование тарифного плана
    • "Код тарифа": код тарифного плана
    • "Домен": домен тарифного плана
    • "Портальная аутентификация": включить
    • "Атрибуты Cisco": включить
    • Откроются доступные для настройки атрибуты Cisco
  • Нажать кнопку "Сохранить"


4. Настройка портала

4.1 Включение хранения паролей в зашифрованном виде

При регистрации пользователя можно выбрать в настройках портала способ хранения пароля. Выбор может осуществляться индивидуально для каждого портала.

  • Открыть "Конструктор порталов"
  • Выбрать портал
  • Открыть вкладку "Общие настройки" → "Безопасность"
  • "Хранение паролей пользователей": "NT хеширование"
  • Нажать кнопку "Сохранить"

После этого пароли при регистрации пользователей на выбранном портале будут сохраняться в хешированом виде. 

В остальном настройка выполняется обычным способом и не имеет специфичных требовании при интеграции с контроллером CiscoWLC

Работа с конструктором порталов описана в разделе: v1.33_Конструктор порталов


5. Настройка контроллера CiscoWLC AIR-CT3504

5.1 Добавление интерфейсов в настройки контроллера

В рамках описания настройки предполагается, что административный интерфейс управления контроллером CiscoWLC и для взаимодействия с сервисом PCRF уже создан.


Настройка виртуального интерфейса, используемого при портальной авторизации

  • Открыть в браузере GUI CiscoWLC
  • Перейти в раздел "Controller" → "Interfaces"
  • Открыть интерфейс типа "Static" с именем "virtual"
  • "IP Address": ввести любой валидный IP-адрес
  • Нажать кнопку "Apply"

Добавление интерфейса, используемого в настройках SSID

  • Перейти в раздел "Controller" → "Interfaces"
  • Нажать кнопку "New"
  • "Interface Name": ввести имя интерфейса
  • "VLAN Id": вести VLAN Id
  • Нажать кнопку "Apply", откроются полные настройки интерфейса
  • "IP Address": IP-адрес интерфейса
  • "Netmask": маска IP-адреса
  • "Gateway": IP-адрес шлюза подсети
  • "DHCP Proxy Mode": "Global"
  • Нажать кнопку "Apply"


5.2 Добавление RADIUS-сервера в настройки контроллера

Добавление сервера для аутентификации

  • Перейти в раздел "Security" → "RADIUS" → "Authentication"
  • Нажать кнопку "New"
  • В открывшемся окне ввести:
  • "Server IP Address (Ipv4/Ipv6)": IP-адрес RADIUS-сервера
  • "Shared Secret": пароль для обращения к серверу RADIUS
  • "Confirm Shared Secret" подтверждение пароля для обращения к серверу RADIUS
  • "Port Number": порт для обращения к серверу RADIUS
  • Нажать кнопку "Apply"

RADIUS взаимодействие контроллера CiscoWLC выполняется с сервисом SoftWLC.Eltex-PCRF, который по умолчанию использует auth порт 31812 !

Добавление сервера для отправки аккаунтинга

  • Перейти в раздел "Security" → "RADIUS" → "Accounting"
  • Нажать кнопку "New"
  • В открывшемся окне ввести:
  • "Server IP Address (Ipv4/Ipv6)": IP-адрес RADIUS-сервера
  • "Shared Secret": пароль для обращения к серверу RADIUS
  • "Confirm Shared Secret" подтверждение пароля для обращения к серверу RADIUS
  • "Port Number": порт для отправки аккаунтинга на сервер RADIUS
  • Нажать кнопку "Apply"

RADIUS взаимодействие контроллера CiscoWLC выполняется с сервисом SoftWLC.Eltex-PCRF, который по умолчанию использует auth порт 31813 !

5.3 Настройка списка доступа (ACL) для портальной авторизации

Для корректной работы портальной авторизации требуется, что бы клиент WiFi мог после подключения к SSID до прохождения аутентификации мог получить IP-адрес по DHCP, выполнить DNS запрос и открыть страницу портальной авторизации.

  • Перейти в раздел "Security" → "Access Control lists"
  • Нажать кнопку "New"
  • "Access Control List Name": имя списка доступа
  • "ACL type": "IPv4"
  • Нажать кнопку "Apply"
  • Открыть созданный список доступа
  • Нажать кнопку "Add New Rule", откроется окно настройки правила
  • "Sequence": номер правила
  • "Source": IP-адрес источника
  • "Destination": IP-адрес назначения
  • "Protocol": тип протокола передачи данных
  • "Source port": порт источника
  • "Destination port": порт назначения
  • "Action": "Permit"
  • Нажать кнопку "Apply"
  • Повторять операцию "Add New Rule", пока не будут добавлены все необходимые разрешения


5.4 Настройка SSID

  • Перейти в раздел "WLANs"
  • Выбрать в меню "Create New"
  • Нажать кнопку "Go", откроется окно настроек
    • "Type": "WLAN"
    • "Profile Name": имя профиля
    • "SSID": имя SSID, должно совпадать с тем, что настроено в EMS
    • "ID": номер SSID
  • Нажать кнопку "Apply", откроется окно настроек SSID
  • На странице "General" указать:
    • "Status": включить enable
    • "Interface/Interface Group(G)": выбрать ранее настроенный интерфейс
    • "NAS-ID": IP-адрес контроллера, с которым он добавлен в EMS
  • На странице "Security"→ "Layer 2" указать:
    • "Layer 2 Security": "None"
    • "MAC Filtering": включить
  • На странице "Security"→ "Layer 3" указать:
    • "Layer 3 Security": "Web Policy"
    • "On MAC Filter Failure" - выбрать
    • "Preauthentication ACL": выбрать ранее настроенный для портальной авторизации список доступа
    • "Override Global Config": включить Enable
    • "Web Auth type": "External(Re-direct to external server)"
    • "Redirect URL": вставить ранее созданную в EMS ссылку портальной авторизации 
  • На странице "Security"→ "AAA Servers" указать:
    • "Authentication Servers": выбрать ранее настроенный сервер для аутентификации
    • "Accounting Server": выбрать ранее настроенный сервер для отправки аккаунтинга
    • "Interim Update": включить
    • "Interim Interval": указать интервал отправки аккаунтинга
  • На странице "Advanced" указать:
    • "Allow AAA override": включить enable
    • "Enable Session Timeout": отключить

Если требуется не выполнять MAC-авторизацию пользователя (путем отправки запроса Access-Request сразу после подключения пользователя) необходимо в настройках SSID:

  • На странице "Security"→ "Layer 2" указать:
    • "Layer 2 Security": "None"
    • "MAC Filtering": не включать (отключить)
  • На странице "Security"→ "Layer 3" указать:
    • "Authentication" - выбрать

В этом случае для неавторизованного на контроллере CiscoWLC клиента всегда будет выполняться редирект на портал.


Имя SSID в настройках контроллера CiscoWLC и в настройках EMS должны совпадать!


После нажатия кнопки "Go"

Страница "General"

Страница "Security"→ "Layer 2"

Страница "Security"→ "Layer 3"

Страница "Security"→ "AAA Servers"

Страница "Advanced"

5.5. Настройка группы для SSID

Группа (AP Group) необходима для обозначения локации, используется в настройках SSID и при подключении ТД. Определяет какие SSID на какую группу ТД будут назначены.

  • Перейти в раздел "WLANs" → "Advanced"→ "AP Groups"
  • Нажать кнопку "Add Group"
  • "AP Group Name": имя группы
  • Нажать кнопку "Add"

5.6 Добавление SSID в группу

  • Перейти в раздел "WLANs"
  • Открыть "Advanced" → "AP Groups"
  • Открыть ранее созданную группу
  • Перейти на вкладку "WLANS"
  • Нажать кнопку "Add New"
  • "WLAN SSID": выбрать SSID
  • "Interface /Interface Group(G)": выбрать интерфейс
  • Нажать кнопку "Add"

5.7 Добавление ТД в группу

  • Перейти в раздел "WLANs"
  • Открыть "Advanced" → "AP Groups"
  • Открыть ранее созданную группу
  • Перейти на вкладку "APs"
  • Выбрать нужную ТД и нажать кнопку "Add APs"
  • Спустя несколько минут ТД появиться в новой группе, на ней будет изменена конфигурация SSID в соответствии с указанными в группе. 

5.8 Сохранение настроек

После выполнения настроек необходимо сохранить их энергонезависимую память устройства.

  • Нажать кнопку "Save Configuration" вверху справа

6. Настройка контроллера CiscoWLC Catalyst 9800-CL

В рамках описания настройки предполагается, что административный интерфейс управления контроллером CiscoWLC и для взаимодействия с сервисом PCRF уже создан.

6.1 Настройка параметров Web Auth

Настройка Global параметра Web Auth

  • Открыть в браузере GUI CiscoWLC
  • Перейти в раздел "Configuration" → "Security" → "Web Auth"
  • Открыть настройки global параметра (глобальные настройки применяемые ко всем созданным в будущем параметрам):
    • Sleeping Client Status: Enabled
    • Sleeping Client Timeout (minutes): 720
    • Virtual IPv4 Address: ввести любой валидный IP-адрес
    • Trustpoint: выбрать (если отсутствует) сертификат
    • Enable HTTP server for Web Auth: Enabled
    • Disable HTTP secure server for Web Auth: Enabled
  • Нажать кнопку "Update & Apply to device"

Настройка параметра Eltex-portal Web Auth

  • Перейти в раздел "Configuration" → "Security" → "Web Auth"
  • Нажать кнопку "Add" для создания нового параметра:
    • Parameter-map name: eltex-portal
    • Maximum HTTP connections: 200
    • Init-State Timeout: 3600
    • Type: webauth
  • Нажать кнопку "Apply to device"
  • Открыть настройки Eltex-portal параметра
  • Перейти на вкладку General:
    • Banner Type: None
    • Captive Bypass Portal: Disabled
    • Disable Success Window: Enabled
    • Disable Logout Window: Enabled
    • Disable Cisco Logo: Enabled
    • Sleeping Client Status: Enabled
    • Sleeping Client Timeout: 720
  • Перейти на вкладку Advanced:
  • Нажать кнопку "Update & Apply to device"


6.2 Настройка параметров AAA

Добавление сервера

  • Перейти в раздел "Configuration" → "Security" → "AAA" → "Servers / Groups" → "RADIUS" → "Servers"
  • Нажать кнопку "Add":
  • Нажать кнопку "Apply to device"

RADIUS взаимодействие контроллера CiscoWLC выполняется с сервисом SoftWLC.Eltex-PCRF, который по умолчанию использует auth порт 31812 и acct порт 31813 !

Добавление группы серверов

  • Перейти в раздел "Configuration" → "Security" → "AAA" → "Servers / Groups" → "RADIUS" → "Server Groups"
  • Нажать кнопку "Add":
    • Name: eltex-radius-group
    • Group Type: RADIUS
    • MAC-Delimiter: hyphen
    • MAC-Filtering: none
    • Assigned Servers: eltex-radius
  • Нажать кнопку "Apply to device"

Добавление списка методов аутентификации

  • Перейти в раздел "Configuration" → "Security" → "AAA" → "AAA Method List" → "Authentication"
  • Нажать кнопку "Add":
    • Method List Name: eltex-portal-auth
    • Type: login
    • Group Type: Group
    • Assigned Server Groups: eltex-radius-group
  • Нажать кнопку "Apply to device"

Добавление списка методов аккаунтинга

  • Перейти в раздел "Configuration" → "Security" → "AAA" → "AAA Method List" → "Accounting"
  • Нажать кнопку "Add":
    • Method List Name: eltex-portal-acct
    • Type: Identity
    • Assigned Server Groups: eltex-radius-group
  • Нажать кнопку "Apply to device"

Редактирование Global параметра AAA

  • Перейти в раздел "Configuration" → "Security" → "AAA" → "AAA Advanced"
  • Нажмите "Show Advanced Settings" и настройте следующие параметры одинаково для Accounting и Authentication:
    • Call Station ID: ap-macaddress-ssid
    • Call Station ID Case: upper
    • MAC-Delimiter: hyphen
    • Username Case: lower
    • Username Delimiter: none
  • Нажать кнопку "Apply"

6.3 Настройка списка доступа (ACL) для портальной авторизации

Для корректной работы портальной авторизации требуется, что бы клиент WiFi мог после подключения к SSID до прохождения аутентификации мог получить IP-адрес по DHCP, выполнить DNS запрос и открыть страницу портальной авторизации.

  • Перейти в раздел "Configuration" → "Security" → "AAA"
  • Нажать кнопку "Add":
    • "ACL Name": eltex-acl-list
    • "ACL type": IPv4 Extended
    • В поле "Rules":
      • "Sequence": номер правила
      • "Action": "Permit"
      • "Source Type": Тип источника (используем Network или Any)
        • "Source IP": IP-адрес источника
        • "Source Wildcard": Маска сети
      • "Destination Type": Тип точки назначения (используем Network или Any)  
        • "Destination IP": IP-адрес назначения
        • "Source Wildcard": Маска сети
      • "Protocol": тип протокола передачи данных
      • "Source port": порт источника (eq или range)
      • "Destination port": порт назначения (eq или range
    • Нажать кнопку "Add"
    • Повторять операцию "Add", пока не будут добавлены все необходимые разрешения
  • Нажать кнопку "Apply to device"


6.4 Настройка SSID

  • Перейти в раздел "Configuration" → "Tags & Profiles" → "WLANs"
  • Нажать кнопку "Add"
  • Вкладка "General":
    • "Profile Name": имя профиля
    • "SSID": имя SSID, должно совпадать с тем, что настроено в EMS
    • "WLAN ID": номер SSID
    • "Status": enabled
    • "Broadcast SSID": enabled
    • "Radio Policy": настройка диапазонов работы
  • Вкладка "Security"→ "Layer 2":
    • "Layer 2 Security": "None"
    • "MAC Filtering": disable
    • "OWE Transition Mode": disable
  • Вкладка "Security"→ "Layer 3":
  • Нажать кнопку "Apply to device"

Если требуется выполнять MAC-авторизацию пользователя (путем отправки запроса Access-Request сразу после подключения пользователя) необходимо в настройках SSID:

  • На странице "Security"→ "Layer 2" указать:
    • "Layer 2 Security": "None"
    • "MAC Filtering": enabled
  • На странице "Security"→ "Layer 3" указать:
    • "Authentication" - убрать выбор

В этом случае для неавторизованного на контроллере CiscoWLC клиента всегда будет выполняться MAC-авторизация


Имя SSID в настройках контроллера CiscoWLC и в настройках EMS должны совпадать!

Страница "General"

Страница "Security"→ "Layer 2"

Страница "Security"→ "Layer 3"

6.5. Настройка Policy Profile на интерфейс VLAN

  • Перейти в раздел "Configuration" → "Tags & Profiles" → "Policy"
  • Нажать кнопку "Add"
  • Вкладка "General
    • "Name": имя политики
    • "Description": описание политики
    • "Status": enabled
    • "Passive Client": disabled
    • "IP MAC Binding": enabled
    • "Encrypted Traffic Analytics": disabled
    • "Central Switching": enabled
    • "Central Authentication": enabled
    • "Central DHCP": enabled
    • "Flex NAT/PAT": disabled
  • Вкладка "Access Policies
    • "VLAN/VLAN Group": выбираем настроенный VLAN (настраивается при установке контроллера Cisco)
  • Вкладка "Advanced" → "AAA Policy"
    • "Allow AAA Override": enabled
    • "Accounting List": выбрать созданный ранее

6.6. Добавление WLAN в Policy Tags

Группа Policy Tags для WLAN необходима для обозначения групп SSID. Определяет какие SSID на какие ТД будут назначены.

  • Перейти в раздел "Configuration" → "Tags & Profiles" → "Tags" → "Policy"
  • Нажать кнопку "Add"
    • "Name": имя группы
    • "Description": описание группы
    • Нажать кнопку "WLAN-POLICY" → "Add"
  • Нажать кнопку "Apply to device"

6.7 Добавление ТД в группу

  • Перейти в раздел "Configuration" → "Tags & Profiles" → "Tags" → "AP" → "Location"
  • Нажать кнопку "Add"
  • Вкладка "General": 
    • "Location": имя группы
    • "Description": описание группы
    • "Policy Tag Name": созданный ранее профиль
    • "Site Tag Name": выбираем настройки ТД (для примера был выбран default tag. Настроить свои параметры можно нажав на стрелочку рядом со списком)
    • "RF Tag Name": выбираем настройки антенн (для примера был выбран default tag. Настроить свои параметры можно нажав на стрелочку рядом со списком)
  • Вкладка "AP Provisioning":
    • Выбираем подключенную ТД или добавляем по MAC
    • Нажимаем на стрелку и добавляем в список
  • Нажать кнопку "Apply to device"

6.8 Сохранение настроек

После выполнения настроек необходимо сохранить их энергонезависимую память устройства.

  • Нажать кнопку "Save Configuration" вверху справа

7. Мониторинг контроллера CiscoWLC

  • Мониторинг контроллера CiscoWLC выполняется аналогично мониторингу ТД Eltex.
  • Выполняется опрос устройства путем периодической отправки PING и SNMP запросов.
  • По протоколу SNMP выполняется периодический опрос OID 1.3.6.1.2.1.1.3.0 (не может быть переопределен) комьюнити, указанного в настройке "Read community".
  • Для корректного отображения потребуется настроить SNMP на контроллере CiscoWLC.

Настройка SNMP комьюнити на контроллере CiscoWLC:

  • Перейти в раздел "Administration" → "Management" → "SNMP" → "Communities strings"
  • Нажать кнопку "Add"
    • "Community Name": ввести имя комьюнити
    • "Access Mode": "Read Only"
  • Нажать кнопку "Apply to device"


8. Решение проблем

Документация по диагностике проблем с подключением к ТД Eltex расположена: v1.25_Диагностика проблем с подключениями Wi-Fi пользователей 

Клиент подключается к SSID, но портал не открывается

Необходимо проверить:

  • Уровень сигнала клиентского устройства на ТД (рекомендуется не ниже -75Дб).
  • Если на устройстве адрес прописан статически, то необходимо включить получение адреса динамически и проверить получает ли устрйство IP-адрес.
  • Если в настройках WLAN (SSID) контроллера CiscoWLC используется "MAC Filtering" - проверить доступность Radius-сервера, проверить соответствие "Secret" (ключ RADIUS) в настройках Radius контроллера CiscoWLC и в EMS в таблице "RADIUS" → "Управление точками доступа", при несоответствии исправить.
  • Если устройство не получает адрес от DHCP сервера, то необходимо провести диагностику DHCP сервера и сети.
  • Если устройство получает IP-адрес но всплывающий браузер не появляется - открыть браузер и ввести имя сайта (но не https !) например "http:eltex-co.ru".
  • Если в этом случае редирект не выполниться - ввести в адресной строке браузера 8.8.8.8. Если в этом случае редирект срабатывает: проверить работоспособность DNS-сервера - доступен ли он для пользователя, выдается ли в настройках DHCP, отвечает ли на запросы пользователя.
Клиент подключается к SSID, редирект на портал выполняется, но при открытии портала возникает ошибка

При возникновении ошибки 2404 (CISCO_PORTAL_SSID_MISCONFIGURED) проверить:

  • Что для ссылки на портал, отображаемой в EMS в разделе "Wireless" → "Менеджер SSID" → "Привязки внешних устройств" для данного SSID нет красных полей.
  • Соответствие ссылки на портал, сгенерированной в EMS в "Wireless" → "Менеджер SSID" → "Привязки внешних устройств" для данного SSID и в настройках WLAN контроллера CiscoWLC в разделе "WLANs" → "Security" → "Layer 3" → "Redirect URL ("Configuration" → "Security" → "Web Auth" → "param_name" → "Advanced" → "Redirect for log-in" для CL9800)".
  • Проверить совпадает ли имя SSID на настройках SSID в EMS и в настройках контроллера CiscoWLC - в поле SSID в разделе "General" настроек WLAN.
Клиент не получает СМС после прохождения регистрации на портале
  • Если после регистрации на портале было показано сообщение "Данные приняты в обработку. Ожидайте SMS на указанный Вами номер '79ххххххххх'", но СМС не приходит более 5 минут, то это означает, что сообщение было доставлено на СМС шлюз, но находится в очереди на обработку.
  • Если после регистрации на портале было показано сообщение "Sorry, due to an internal error the service is temporarily unavailable...", то это означает что произошла ошибка при передаче сообщения на СМС шлюз, возможно шлюз недоступен в данный момент. Необходимо перезапросить пароль через несколько минут. если ошибка повторяется, то нужно проверить доступность СМС шлюза с сервера eltex-ngw. Если шлюз пингуется, то необходимо собрать логи eltex-ngw в момент отправки СМС и используя службу технической поддержки обратиться за помощью в решении проблемы, приложил логи eltex-ngw.
Клиент получает СМС, регистрируется на портале, в течении длительного времени видит страницу портала после выполнения регистрации, после чего появляется сообщение об ошибке авторизации
  • Проверить доступность Radius-сервера.
  • Проверить соответствие "Secret" (ключ RADIUS) в настройках Radius контроллера CiscoWLC и в EMS в таблице "RADIUS" → "Управление точками доступа", при несоответствии исправить.
При диагностике обнаружилось, что в EMS в разделе "Wireless" → "Менеджер SSID" → "Привязки устройств" для данного SSID есть красные поля

Пример:

Проверить:

  • Наличие настроенного SSID. Настройка описана в разделе "2.4 Настройка SSID".
  • Если SSID создан - проверить корректность заполнения полей в настройках SSID: "Domain", "Virtual portal name".
  • Если красным цветом подсвечено поле "Индекс привязки" - необходимо проверить в разделе EMS "Wireless" → "Менеджер SSID" → "Привязки SSID" наличие привязки SSID к домену, в который добавлен контроллер CiscoWLC.
  • Если привязка была удалена - то при повторном создании для нее измениться поле "Индекс привязки". В этом случае необходимо повторно сгенерировать ссылку, сравнить ее с той, что указана в настройках WLAN  контроллера CiscoWLC и при необходимости исправить.
Как изменить UUID ссылки в EMS, если ссылку нельзя изменять в настройках контроллера CiscoWLC

Ситуация может возникнуть, если была удалена привязка SSID и потом назначена заново. В этом случае может измениться UUID. Это значение, которое находиться после "http://<IP-адрес портала>:8080/eltex_portal/cisco/".

Cisco AIR-CT3504

  • Открыть настройки WLAN контроллера CiscoWLC и скопировать только UUID из настройки "WLANs" → "Edit <SSID>" → "Security" → "Layer 3" → "Redirect URL":

Cisco CL9800

  • Открыть настройки WebAuth контроллера CiscoWLC и скопировать только UUID из настройки "Configuration" → "Security" → "Web Auth" → "имя_профиля" → "Advanced" → "Redirect for log-in":

SoftWLC

  • Открыть в EMS "Wirelss" → "Менеджер SSID" → "Привязки внешних устройств", выделить нужную привязку и нажать редактировать:

в открывшемся окне поставить галочку напротив параметра UUID, он станет доступен для редактирования, после этого вставить значение UUID из настройки "Redirect URL" нужного SSID контроллера CiscoWLC.







9. Приложения

9.1 Описание параметров Cisco, настраиваемых в тарифном плане

Атрибуты не являются обязательными. Если в тарифном плане не заполнено значение атрибута - он не отправляется.

Attribute IDНазвание атрибута в тарифном планеТипДиапазонОписание
1VAP-IDinteger0-512Порядковый номер WLAN (SSID), который настроен на контроллере CiscoWLC и к которому должен подключаться клиент. Если не совпадает с номером WLAN, к которому подключается клиент - запрос на авторизацию будет отклонен.
2Уровень QoSinteger

3 – Bronze (Background)

0 – Silver (Best Effort)

1 – Gold (Video)

2 – Platinum (Voice)

Уровень QoS, который должен быть назначен трафику клиента WiFi.
3DSCPinteger0-63Метка DSCP, которая должна быть назначена трафику клиента WiFi.
4802.1p Tag Typeinteger0-7Метка приоритета 802.1p, которая должна быть назначену трафику клиента WiFi.
5Название интерфейсаstringБуквы/цифры 0-31Название интерфеса, заданного на контроллере CiscoWLC, через который необходимо выпустить трафик клиента.
6Название списка управления доступомstringБуквы/цифрыНазвание списка управления доступом (ACL), который настроен на контроллере CiscoWLC и который будет применен к трафику клиента WiFi.
7Airespace Data Bandwidth Average Contract, kbpsintegerkbpsОграничение средней скорости на скачивание. (TCP)
8Airespace Real Time Bandwidth Average Contract, kbpsintegerkbpsОграничение средней скорости на скачивание. (UDP)
9Airespace Data Bandwidth Burst Contract, kbpsintegerkbps

Ограничение пиковой скорости на скачивание. (TCP)

10Airespace Real Time Bandwidth Burst Contract, kbpsintegerkbpsОграничение пиковой скорости на скачивание. (UDP)
11Название гостевой ролиstringБуквы/цифры 0-51Имя роли, настроенной на контроллере CiscoWLC, которая должна быть назначена клиенту WiFi. Роль определяет полосу пропускания и отменяет ограничения скорости, указанные в других атрибутах. Применяется после успешного завершения аутентификации. Ограничение скорости в роли настраиваются только в направлении DownStream (скачивание).
13Airespace Data Bandwidth Average Contract Upstream, kbpsintegerkbpsОграничение средней скорости на отправку. (TCP)
14Airespace Real Time Bandwidth Average Contract Upstream, kbpsintegerkbpsОграничение средней скорости на отправку. (UDP)
15Airespace Data Bandwidth Burst Contract Upstream, kbpsintegerkbpsОграничение пиковой скорости на отправку. (TCP)
16Airespace Real Time Bandwidth Burst Contract Upstream, kbpsintegerkbpsОграничение пиковой скорости на отправку. (UDP)

9.2 Описание аттрибутов, отправляемых в RADIUS-аккаунтинге

ID атрибутаОписание
1User-Name
4NAS-IP-Address
5NAS-Port
8Framed-IP-Address
25Class
30Called-Station-ID (MAC address)
31Calling-Station-ID (MAC address)
32NAS-Identifier
40Accounting-Status-Type
41Accounting-Delay-Time (Stop and interim messages only)
42Accounting-Input-Octets (Stop and interim messages only)
43Accounting-Output-Octets (Stop and interim messages only)
44Accounting-Session-ID
45Accounting-Authentic
46Accounting-Session-Time (Stop and interim messages only)
47Accounting-Input-Packets (Stop and interim messages only)
48Accounting-Output-Packets (Stop and interim messages only)
49Accounting-Terminate-Cause (Stop messages only)
52Accounting-Input-Gigawords
53Accounting-Output-Gigawords
55Event-Timestamp
64Tunnel-Type
65Tunnel-Medium-Type
81Tunnel-Group-ID























  • Нет меток