Версия документа | Дата выпуска | Содержание изменений |
---|---|---|
Версия 1.0 | 17.02.2023 | Первая публикация. |
1. Общая архитектура
Портальная авторизация предназначена для аутентификации гостевых пользователей. Аутентификация и авторизация пользователя выполняется через web-портал SoftWLC.
1.1 Общая схема интеграции контроллера
- В SoftWLC.EMS добавить географический домен для целевого филиала.
- Контроллер Cisco добавить в этот домен.
- В конструкторе порталов создать портал для гостевой авторизации (по умолчанию есть один портал с дефолтными настройками, можно использовать один портал в различных SSID).
- В Личном кабинете создать тариф пользователя (по умолчанию есть один тариф).
- В SoftWLC.EMS создать гостевой SSID в соответствующем сервисном домене, указать портал и ссылку на него.
- В SoftWLC.EMS создать привязку SSID к соответствующему географическому домену. Привязка так же может быть создана к определенному контроллеру Cisco по его мак-адресу.
- По данным привязок SoftWLC может получить сведения о сервисном домене для каждого SSID и зарегистрировать пользователя именно в этом домене.
- Сгенерировать ссылку портальной авторизации, которую надо будет указать в настройках контроллера Cisco в "Redirect URL".
- Настроить SSID на Cisco WLC с портальной аутентификацией (WEB Auth), указав ранее сгенерированную ссылку портальной авторизации.
1.2 Механизмы аутентификации и авторизации пользователей гостевых сетей
Для реализации портальной авторизации в настройках SSID (WLAN) на контроллере CiscoWLC требуется указать строку редиректа, которой пользователь WiFi будет направляться на портал. Для создания ссылки редиректа в EMS реализован механизм, который позволяет на основании привязки SSID с портальной авторизацией сгенерировать ссылку портальной авторизации для контроллера Cisco и сохранить ее в отдельную таблицу. Таким образом для каждой привязки SSID генерируется уникальная ссылка, которая позволяет однозначно определить портал, который требуется показать клиенту WiFi.
На основании информации о положении в дереве доменов контроллера Cisco, ссылки редиректа отдаваемой контроллером Cisco клиенту WiFi и привязки гостевого SSID в ссылку определяется портал, который надо показать пользователю и сервисный домен пользователя, который будет использоваться при регистрации. Поддержаны два режима аутентификации при выполнении портальной авторизации: с поддержкой мак-авторизации пользователя и без нее. Если поддержка мак-авторизации не включена - клиент WiFi при подключении к контроллеру Cisco будет всегда перенаправляться на портал, не зависимо от того регистрировался он ранее или нет на этом SSID.
Ниже приведена диаграмма портальной авторизации на контроллере Cisco.
- Клиент WiFi подключается к SSID с портальной авторизацией.
- Контроллер CiscoWLC отправляет запрос Access-Request, в котором в качестве UserName указан мак-адрес клиента WiFi на PCRF.
- PCRF определяет в каком домене находится контроллер CiscoWLC, по привязанному к домену SSID определяет домен пользователя и добавляет полученную в радиус-пакет в виде AVP Eltex-AP-Domain, Eltex-Domain, Eltex-Group и отправляет запрос на Radius.
- Radius, получив Access-Request выполняет поиск пользователя в БД.
- Не найдя пользователя - отправляет Access-Reject, который передается через PCRF на контроллер CiscoWLC.
- К SSID прикреплена ACL, в которой разрешается без аутентификации получить IP-адрес по DHCP, выполнить DNS запрос и перейти на портал.
- Клиент WiFi после подключения к SSID получает IP-адрес, и пытается открыть сайт в Интернете установив HTTP-сессию.
- В ответ на попытку установить HTTP-сессию контроллер CiscoWLC, используя HTTP заголовок Location передает клиенту WiFi ссылку редиректа на портал.
- Клиент переходит на портал, вводит номер телефона, получает SMS (или иным способом подтверждает введенный номер телефона, процесс опущен на схеме).
- Пройдя процесс аутентификации и авторизации, клиент выполняет POST-запрос на виртуальный интерфейс CiscoWLC, который включает в себя логин и пароль пользователя.
- После получения запроса от клиента, CiscoWLC выполняет radius запрос Access-Request на сервис PCRF, который содержит логин и пароль, а так же NAS-IP-адрес, мак-адрес пользователя и имя SSID.
- Используя полученные данные, PCRF определяет в каком домене находится контроллер CiscoWLC, по привязанному к домену SSID определяет домен пользователя и добавляет полученную в радиус-пакет в виде AVP Eltex-AP-Domain, Eltex-Domain, Eltex-Group и отправляет запрос на radius.
- Radius выполняет проверку пользователя в БД, и в случае если логин/пароль, домен пользователя и имя SSID совпадает - формирует ответ Access-Accept, заполняя его при наличии дополнительными атрибутами из тарифного плана пользователя.
- PCRF получив ответ Access-Accept перенаправляет его на контроллер CiscoWLC.
- Контроллер CiscoWLC, получив Access-Accept авторизует клиента WiFi, применяет к нему полученные в дополнительных атрибутах ограничения и выпускает в сеть Интернет.
2. Настройка EMS для портальной авторизации CiscoWLC
2.1 Добавление лицензии
Для работы с контроллером Cisco требуется лицензия
cp licence.xml /usr/lib/eltex-ems/conf/licence/licence.xml
После установки лицензии требуется перезапустить сервис eltex-ems
systemctl restart eltex-ems
2.2 Включение интеграции с CiscoWLC
Включение режима
|
2.3 Добавление CiscoWLC в дерево объектов EMS
Добавление устройства в дерево объектов EMS
| |
Изменение ключа RADIUS устройства в EMS
SECRET KEY ДОЛЖЕН БЫТЬ ОДИНАКОВЫЙ НА ВСЕЙ ЦЕПОЧКЕ CiscoWLC -> PCRF -> eltex-radius Аналогичным способом изменить ключ для взаимодействия с Radius-сервером. |
2.4 Настройка SSID
Добавление SSID Настройка SSID не отличается от традиционной настройки SSID для ТД Eltex. SSID может быть одновременно использован в привязках для любых типов устройств (ТД Eltex и CiscoWLC)
В открывшемся окне выбрать:
В раскрывшихся после включения настройках "RADIUS" указать:
В разделе "Captive portal" указать:
Для взаимодействия с контроллером CiscoWLC значимыми полями являются: "Тип", "Имя", "Virtual portal name", "External URL". | |
Добавление привязки SSID
Домен привязки (ключ NAS) должен совпадать с доменом, куда добавлен контроллер CiscoWLC. Привязка может выполняться только к домену (ключ DOMAIN). | |
Создание ссылки портальной авторизации, которая будет указана на контроллере CiscoWLC
| |
Работа с ссылками портальной авторизации
|
3. Настройка Личного Кабинета для работы с контроллером CiscoWLC
3.1 Включение интеграции
После включения интеграции: Станут доступны настройки CiscoWLC атрибутов в настройках тарифного плана Контроллер CiscoWLC станет доступен как тип устройства в меню "Точки доступа" |
3.2 Включение хранения паролей пользователей в зашифрованном виде
Данная настройка не является обязательной для корректной работы портальной авторизации через контроллер CiscoWLC Пароли пользователей, сохраненные до включения настройки останутся в открытом виде. Их изменение возможно только через изменение пароля пользователя в "Пользователи WiFi" или при повторной регистрации на портале |
3.3. Настройка атрибутов CiscoWLC в тарифных планах
|
4. Настройка портала
4.1 Включение хранения паролей в зашифрованном виде
При регистрации пользователя можно выбрать в настройках портала способ хранения пароля. Выбор может осуществляться индивидуально для каждого портала.
После этого пароли при регистрации пользователей на выбранном портале будут сохраняться в хешированом виде. | |
В остальном настройка выполняется обычным способом и не имеет специфичных требовании при интеграции с контроллером CiscoWLC | Работа с конструктором порталов описана в разделе: v1.33_Конструктор порталов |
5. Настройка контроллера CiscoWLC AIR-CT3504
5.1 Добавление интерфейсов в настройки контроллера
В рамках описания настройки предполагается, что административный интерфейс управления контроллером CiscoWLC и для взаимодействия с сервисом PCRF уже создан.
Настройка виртуального интерфейса, используемого при портальной авторизации
| |
Добавление интерфейса, используемого в настройках SSID
|
5.2 Добавление RADIUS-сервера в настройки контроллера
Добавление сервера для аутентификации
RADIUS взаимодействие контроллера CiscoWLC выполняется с сервисом SoftWLC.Eltex-PCRF, который по умолчанию использует auth порт 31812 ! | |
Добавление сервера для отправки аккаунтинга
RADIUS взаимодействие контроллера CiscoWLC выполняется с сервисом SoftWLC.Eltex-PCRF, который по умолчанию использует auth порт 31813 ! |
5.3 Настройка списка доступа (ACL) для портальной авторизации
Для корректной работы портальной авторизации требуется, что бы клиент WiFi мог после подключения к SSID до прохождения аутентификации мог получить IP-адрес по DHCP, выполнить DNS запрос и открыть страницу портальной авторизации.
|
5.4 Настройка SSID
Если требуется не выполнять MAC-авторизацию пользователя (путем отправки запроса Access-Request сразу после подключения пользователя) необходимо в настройках SSID:
В этом случае для неавторизованного на контроллере CiscoWLC клиента всегда будет выполняться редирект на портал. Имя SSID в настройках контроллера CiscoWLC и в настройках EMS должны совпадать! | После нажатия кнопки "Go" Страница "General" Страница "Security"→ "Layer 2" Страница "Security"→ "Layer 3" Страница "Security"→ "AAA Servers" Страница "Advanced" |
5.5. Настройка группы для SSID
Группа (AP Group) необходима для обозначения локации, используется в настройках SSID и при подключении ТД. Определяет какие SSID на какую группу ТД будут назначены.
|
5.6 Добавление SSID в группу
|
5.7 Добавление ТД в группу
|
5.8 Сохранение настроек
После выполнения настроек необходимо сохранить их энергонезависимую память устройства.
|
6. Настройка контроллера CiscoWLC Catalyst 9800-CL
В рамках описания настройки предполагается, что административный интерфейс управления контроллером CiscoWLC и для взаимодействия с сервисом PCRF уже создан.
6.1 Настройка параметров Web Auth
Настройка Global параметра Web Auth
| |
Настройка параметра Eltex-portal Web Auth
|
6.2 Настройка параметров AAA
Добавление сервера
RADIUS взаимодействие контроллера CiscoWLC выполняется с сервисом SoftWLC.Eltex-PCRF, который по умолчанию использует auth порт 31812 и acct порт 31813 ! | |
Добавление группы серверов
| |
Добавление списка методов аутентификации
| |
Добавление списка методов аккаунтинга
| |
Редактирование Global параметра AAA
|
6.3 Настройка списка доступа (ACL) для портальной авторизации
Для корректной работы портальной авторизации требуется, что бы клиент WiFi мог после подключения к SSID до прохождения аутентификации мог получить IP-адрес по DHCP, выполнить DNS запрос и открыть страницу портальной авторизации.
|
6.4 Настройка SSID
Если требуется выполнять MAC-авторизацию пользователя (путем отправки запроса Access-Request сразу после подключения пользователя) необходимо в настройках SSID:
В этом случае для неавторизованного на контроллере CiscoWLC клиента всегда будет выполняться MAC-авторизация Имя SSID в настройках контроллера CiscoWLC и в настройках EMS должны совпадать! | Страница "General" Страница "Security"→ "Layer 2" Страница "Security"→ "Layer 3" |
6.5. Настройка Policy Profile на интерфейс VLAN
|
6.6. Добавление WLAN в Policy Tags
Группа Policy Tags для WLAN необходима для обозначения групп SSID. Определяет какие SSID на какие ТД будут назначены.
|
6.7 Добавление ТД в группу
|
6.8 Сохранение настроек
После выполнения настроек необходимо сохранить их энергонезависимую память устройства.
|
7. Мониторинг контроллера CiscoWLC
| |
Настройка SNMP комьюнити на контроллере CiscoWLC:
|
8. Решение проблем
Документация по диагностике проблем с подключением к ТД Eltex расположена: v1.25_Диагностика проблем с подключениями Wi-Fi пользователей
Клиент подключается к SSID, но портал не открывается | Необходимо проверить:
|
Клиент подключается к SSID, редирект на портал выполняется, но при открытии портала возникает ошибка | При возникновении ошибки 2404 (CISCO_PORTAL_SSID_MISCONFIGURED) проверить:
|
Клиент не получает СМС после прохождения регистрации на портале |
|
Клиент получает СМС, регистрируется на портале, в течении длительного времени видит страницу портала после выполнения регистрации, после чего появляется сообщение об ошибке авторизации |
|
При диагностике обнаружилось, что в EMS в разделе "Wireless" → "Менеджер SSID" → "Привязки устройств" для данного SSID есть красные поля | Пример: Проверить:
|
Как изменить UUID ссылки в EMS, если ссылку нельзя изменять в настройках контроллера CiscoWLC | Ситуация может возникнуть, если была удалена привязка SSID и потом назначена заново. В этом случае может измениться UUID. Это значение, которое находиться после "http://<IP-адрес портала>:8080/eltex_portal/cisco/". Cisco AIR-CT3504
Cisco CL9800
SoftWLC
в открывшемся окне поставить галочку напротив параметра UUID, он станет доступен для редактирования, после этого вставить значение UUID из настройки "Redirect URL" нужного SSID контроллера CiscoWLC. |
9. Приложения
9.1 Описание параметров Cisco, настраиваемых в тарифном плане
Атрибуты не являются обязательными. Если в тарифном плане не заполнено значение атрибута - он не отправляется.
Attribute ID | Название атрибута в тарифном плане | Тип | Диапазон | Описание |
---|---|---|---|---|
1 | VAP-ID | integer | 0-512 | Порядковый номер WLAN (SSID), который настроен на контроллере CiscoWLC и к которому должен подключаться клиент. Если не совпадает с номером WLAN, к которому подключается клиент - запрос на авторизацию будет отклонен. |
2 | Уровень QoS | integer | 3 – Bronze (Background) 0 – Silver (Best Effort) 1 – Gold (Video) 2 – Platinum (Voice) | Уровень QoS, который должен быть назначен трафику клиента WiFi. |
3 | DSCP | integer | 0-63 | Метка DSCP, которая должна быть назначена трафику клиента WiFi. |
4 | 802.1p Tag Type | integer | 0-7 | Метка приоритета 802.1p, которая должна быть назначену трафику клиента WiFi. |
5 | Название интерфейса | string | Буквы/цифры 0-31 | Название интерфеса, заданного на контроллере CiscoWLC, через который необходимо выпустить трафик клиента. |
6 | Название списка управления доступом | string | Буквы/цифры | Название списка управления доступом (ACL), который настроен на контроллере CiscoWLC и который будет применен к трафику клиента WiFi. |
7 | Airespace Data Bandwidth Average Contract, kbps | integer | kbps | Ограничение средней скорости на скачивание. (TCP) |
8 | Airespace Real Time Bandwidth Average Contract, kbps | integer | kbps | Ограничение средней скорости на скачивание. (UDP) |
9 | Airespace Data Bandwidth Burst Contract, kbps | integer | kbps | Ограничение пиковой скорости на скачивание. (TCP) |
10 | Airespace Real Time Bandwidth Burst Contract, kbps | integer | kbps | Ограничение пиковой скорости на скачивание. (UDP) |
11 | Название гостевой роли | string | Буквы/цифры 0-51 | Имя роли, настроенной на контроллере CiscoWLC, которая должна быть назначена клиенту WiFi. Роль определяет полосу пропускания и отменяет ограничения скорости, указанные в других атрибутах. Применяется после успешного завершения аутентификации. Ограничение скорости в роли настраиваются только в направлении DownStream (скачивание). |
13 | Airespace Data Bandwidth Average Contract Upstream, kbps | integer | kbps | Ограничение средней скорости на отправку. (TCP) |
14 | Airespace Real Time Bandwidth Average Contract Upstream, kbps | integer | kbps | Ограничение средней скорости на отправку. (UDP) |
15 | Airespace Data Bandwidth Burst Contract Upstream, kbps | integer | kbps | Ограничение пиковой скорости на отправку. (TCP) |
16 | Airespace Real Time Bandwidth Burst Contract Upstream, kbps | integer | kbps | Ограничение пиковой скорости на отправку. (UDP) |
9.2 Описание аттрибутов, отправляемых в RADIUS-аккаунтинге
ID атрибута | Описание |
---|---|
1 | User-Name |
4 | NAS-IP-Address |
5 | NAS-Port |
8 | Framed-IP-Address |
25 | Class |
30 | Called-Station-ID (MAC address) |
31 | Calling-Station-ID (MAC address) |
32 | NAS-Identifier |
40 | Accounting-Status-Type |
41 | Accounting-Delay-Time (Stop and interim messages only) |
42 | Accounting-Input-Octets (Stop and interim messages only) |
43 | Accounting-Output-Octets (Stop and interim messages only) |
44 | Accounting-Session-ID |
45 | Accounting-Authentic |
46 | Accounting-Session-Time (Stop and interim messages only) |
47 | Accounting-Input-Packets (Stop and interim messages only) |
48 | Accounting-Output-Packets (Stop and interim messages only) |
49 | Accounting-Terminate-Cause (Stop messages only) |
52 | Accounting-Input-Gigawords |
53 | Accounting-Output-Gigawords |
55 | Event-Timestamp |
64 | Tunnel-Type |
65 | Tunnel-Medium-Type |
81 | Tunnel-Group-ID |