| Оглавление |
|---|
Введение
В документе описывается настройка беспроводной сети с MAB/MAB+CWA платформы Wimark One (версии 1.12 - 1.13) совместно с Cisco ISE (Identity Service Engine).
Описание работы MAB / MAB с CWA
В настоящее время поддерживаются статические ACL с именами redirect / internet + динамические URL в CIsco Attributes. Это нужно обязательно учитывать при настройке Radius сервера.
...
ACL internet используется для разрешения доступа к интернету.
MAB (MAC Authentication Bypass)
Пользователь подключается к беспроводной сети и отправляет сетевой трафик через точку доступа, подключенную к платформе One.
Точка доступа передает MAC-адрес пользователя на платформу.
С платформы отправляется запрос на авторизацию на RADIUS-сервер (Cisco ISE), указывая MAC-адрес пользователя.
RADIUS-сервер выполняет проверку MAC-адреса пользователя и, если он разрешен, отправляет ответ "Access-Accept" на платформу.
Платформа разрешает доступ пользователя к беспроводной сети без дополнительной аутентификации.
...
MAB с CWA (MAC Authentication Bypass with Central Web Authentication)
Пользователь подключается к беспроводной сети и отправляет сетевой трафик через точку доступа, подключенную к платформе.
Точка доступа передает MAC-адрес пользователя на платформу.
С платформы отправляется запрос на авторизацию на RADIUS-сервер (Cisco ISE), указывая MAC-адрес пользователя.
RADIUS-сервер выполняет проверку MAC-адреса пользователя и определяет, что требуется дополнительная аутентификация.
RADIUS-сервер отправляет ответ "Access-Accept" на платформу c ACL redirect и ссылкой на портал авторизации.
Пример:
...
В настоящее время поддерживаются статические ACL с именами redirect / internet и динамические URL в CIsco Attributes.
Настройка MAB на Wimark One
| Предупреждение |
|---|
Если настройка производится на платформе Wimark One HA, то на Radius-сервере (например Cisco ISE) в разрешенных сетевых устройствах необходимо указать management IP-адреса обеих нод Wimark One HA, а не VIP-адрес, т.к. запросы на Radius-сервер отправляются с management IP master ноды. Если указать только management IP master машины, то RADIUS-сервер будет принимать запросы только от неё. В случае переключения на резервную машину, устройства не смогут подключиться к сети. |
Добавление AAA сервера для MAB
Необходимо перейти в раздел “NMS / Radius серверы” (рисунок 3).
...
После заполнения нажать кнопку “Добавить”, и сервер отобразится в таблице (рисунок 3).
Создание WLAN с MAB (добавление MAB к уже существующей сети)
Следует перейти в раздел “NMS \ Сети Wi-Fi” (рисунок 5).
...
Далее необходимо перейти к добавлению сети на точку доступа и проверить, что все работает корректно.
Проверка настройки
Шаг 1. Подключение неавторизованного клиента
...
При правильной настройке только клиенты с разрешенными MAC-адресами смогут успешно подключиться к сети, в то время как неавторизованным клиентам будет отказано в доступе.
Настройка MAB с CWA на Wimark One
Добавление AAA сервера для MAB
Добавление ААА сервера выполнить в соответствии с описанием Добавление AAA сервера для MAB .
Создание Redirect Rule (правила перенаправления)
Перейти в раздел “NMC \ Гостевой контроль” (рисунок 10).
...
Ссылка в пункте “URL портала авторизации для перенаправления пользователей” генерируется автоматически и никаким образом не используется, так как URL портала авторизации приходит с внешнего Radius сервера.
Создание WLAN+CWA с MAB (добавление MAB к уже существующей сети)
Следует перейти в раздел “NMS \ Сети Wi-Fi” (рисунок 14).
...
Далее необходимо перейти к добавлению сети на точку доступа и проверить, что все работает корректно.
Проверка настройки
Шаг 1. Подключение неавторизованного клиента
...