История страницы

...

Представлены следующие дампы:

MAB с CWA (MAC Authentication Bypass with Central Web Authentication)

• Пользователь подключается к беспроводной сети и отправляет сетевой трафик через точку доступа, подключенную к платформе.

• Точка доступа передает MAC-адрес пользователя на платформу.

• С платформы отправляется запрос на авторизацию на RADIUS-сервер (Cisco ISE), указывая MAC-адрес пользователя.

• RADIUS-сервер выполняет проверку MAC-адреса пользователя и определяет, что требуется дополнительная аутентификация.

• RADIUS-сервер отправляет ответ "Access-Accept" на платформу c ACL redirect и ссылкой на портал авторизации.
  Пример:

Cisco-AVPair: url-redirect=https://ip.or.domainNameIse:8443/portal/gateway?sessionId=0a0a0e0eL6KPuaajRWB80BWsGw0EoVgmIJOb62fWv3BShJKMB0g&portal=77b653c9-924d-41a5-a5c3-1c40c4e7a5a7&action=cwa&type=drw&token=b67ef4485a259fe357e6fe6f82911d6f

• С платформы перенаправляется ответ на точку доступа, которая в свою очередь отправляет пользователю ссылку на веб-страницу аутентификации, предоставляемую Cisco ISE.

• Пользователь открывает веб-браузер и вводит учетные данные на странице аутентификации.

• Cisco ISE проверяет учетные данные пользователя и, если они действительны, отправляет ответ CoA-Request на платформу.

• После получения CoA-Request на платформе обрабатывается запрос и применяются указанные изменения в параметрах доступа пользователя.

• Далее после отправки CoA-Request от Cisco ISE, следует получение ответа в виде Access-Accept с ACL "internet".
  Пример:

Airespace-ACL-Name: internet

• Платформа разрешает доступ пользователя в интернет.

Представлены следующие дампы:

Image Added

Рисунок 1 - Схема работы при подключении пользователя

Image Added

Рисунок 2 - Процесс подключения к данной сети пользователем

В настоящее время поддерживаются статические ACL с именами redirect / internet и динамические URL в CIsco Attributes.

...

1. Необходимо перейти в раздел “NMS / Radius серверы” (рисунок 3).

Image Added

Рисунок 3

2. Нажать “Добавить” и в форме (рисунок 4) заполнить следующие поля:

IP адрес - IP адрес радиус-сервера для MAB. Это должен быть адрес, на котором работает радиус-сервер пользователя для аутентификации посредством MAB.

...

Переключатель оставить в положении “Клиент на ТД”.

Image Added

Рисунок 4

После заполнения нажать кнопку “Добавить”, и сервер отобразится в таблице (рисунок 3).

...

1. Следует перейти в раздел “NMS \ Сети Wi-Fi” (рисунок 5).

Image Added

Рисунок 5

2. Нажать “Добавить” и в форме (рисунки 6 и 7) заполнить следующие поля:

На на вкладке “Основное” (рисунок 6):

SSID - имя сети (Service Set Identifier), которое будет отображаться при поиске доступных сетей Wi-Fi.;

Описание - (по желанию). Добавить описание для этой сети, чтобы помочь идентифицировать ее цель или особенности.;

Переключатель “Скрытая” - (по желанию). Если сеть должна быть скрытой и не отображалась в списке общедоступных сетей Wi-Fi, установить этот переключатель в положение "Включено". В противном случае, оставить его выключенным.;

На на вкладке “Безопасность” → “Слой 2” (рисунок 7):

Настройки безопасности - выбрать необходимый тип безопасности сети, который соответствует требованиям пользователя.;

MAC RADIUS Авторизация - выбрать ранее созданный радиус-сервер из списка.

После заполнения всех необходимых полей и настройки безопасности нажать кнопку “Добавить”. Сеть отобразится в таблице Wi-Fi сетей (рисунок 5).

Image Added

Рисунок

...

6

Image Added

Рисунок 7

Для добавления к уже существующей сети следует выбрать необходимую сеть и внести изменения в режиме редактирования (рисунок 8).

Image Added

Рисунок 8

Далее необходимо перейти к добавлению сети на точку доступа и проверить, что все работает корректно.

...

1. Перейти в раздел “NMC \ Гостевой контроль” (рисунок 9).

Image Added

Рисунок 9

2. Нажать кнопку “Создать правило редиректа” и в форме (

...

рисунок 10) заполнить соответствующие поля.

Image Added

Рисунок 10

Имя - имя правила редиректа.;

Домен - домен для перенаправления. Должен указываться тот адрес, где развёрнут "Wimark portal" относительно клиента. Если это общедоступный домен, в "Walled garden", достаточно указать только IP адрес. Если нет, в "Walled garden" также необходимо указать домен. Домен должен быть указан без протокола. (Можно вставить любое значение т.к. ссылка редиректа приходит с внешнего Radius сервера).;

Точки доступа - выбрать из выпадающего списка точку доступа, на которую будет распространятся данное правило редиректа, либо оставить “Все точки доступа” (В общем, изменять со стандартного значения не обязательно, т.к. правило будет работать только на SSID, в котором оно добавлено).;

Сеть Wi-Fi - из выпадающего списка выбрать сеть WiFi а которую будет распространятся данное правило редиректа, либо оставить “Все Wi-Fi сети”. (В общем, изменять со стандартного значения не обязательно, так как правило будет работать только на SSID в котором оно добавлено).;

URL платформы - Адрес платформы (IP или доменное имя), на который перенаправляется клиент. Должен содержать только имя хоста (например, "http://www.example.com "). Протокол, порт и URL-путь указывать не нужно. (В данном случае, указывать так же не требуется, так как это тоже будет приходить с внешнего Radius сервера).;

URL портала авторизации, для перенаправления пользователей - адрес, на который перенаправляется клиент после успешной авторизации. (В данном случае, указывать так же не требуется, так как это тоже будет приходить с внешнего Radius сервера).;

Walled garden - указать список доверенных доменов или IP-адресов, которые будут доступны для клиентов до авторизации. Обязательно необходимо добавить ip адрес/доменное имя Radius сервера.

Переключатель “без NAP/PAT” оставить без изменений.

Image Added

Рисунок 11 - Пример заполнения формы

После заполнения всех необходимых полей нажать кнопку “Далее”, после чего будет осуществлен переход на страницу подтверждения (рисунок 12). Здесь необходимо проверить ранее введенные данные (рисунок 10) и нажать кнопку “Создать”. После чего правило отобразится в таблице (рисунок 9).

Image Added

Рисунок 12

Ссылка в пункте “URL портала авторизации для перенаправления пользователей” генерируется автоматически и никаким образом не используется, так как URL портала авторизации приходит с внешнего Radius сервера.

...

1. Следует перейти в раздел “NMS \ Сети Wi-Fi” (рисунок 13).

Image Added

Рисунок 13

2. Нажать кнопку “Добавить” и в форме заполнить соответствующие поля.

На на вкладке “Основное” (рисунок 14):

SSID - ввести имя сети (Service Set Identifier), которое будет отображаться при поиске доступных сетей Wi-Fi.;

Описание - (по желанию). Добавить описание для этой сети, чтобы помочь идентифицировать ее цель или особенности.;

Переключатель “Скрытая” - (по желанию). Если сеть должна быть скрытой и не отображалась в списке общедоступных сетей Wi-Fi, установить этот переключатель в положение "Включено". В противном случае, оставить его выключенным.;

На на вкладке “Безопасность” → “Слой 2” (рисунок 15):

Настройки безопасности - выбрать необходимый тип безопасности сети, который соответствует требованиям пользователя.;

MAC RADIUS Авторизация - выбрать ранее созданный радиус-сервер из списка.;

На на вкладке “Безопасность” → “Слой 3” (рисунок 16):

Перенаправление - выбрать из выпадающего списка ранее созданное правило редиректа.Рисунок 14Рисунок 15Рисунок

Image Added

Рисунок 14

Image Added

Рисунок 15

Image Added

Рисунок 16

После заполнения всех необходимых полей и настройки безопасности нажать кнопку “Добавить”. Сеть отобразится в таблице Wi-Fi сетей (рисунок 13).

Для добавления к уже существующей сети следует выбрать необходимую сеть и внести изменения в режиме редактирования . (рисунок 17).

Image Added

Рисунок 17

Далее необходимо перейти к добавлению сети на точку доступа и проверить, что все работает корректно.

...