Сравнение версий

Старая версия 3

changes.mady.by.user Ольга Шаповалова

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Ольга Шаповалова

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.


Оглавление

Введение

В документе описывается настройка беспроводной сети с MAB/MAB+CWA платформы Wimark One 1.11 (версии 1.11) совместно с Cisco ISE (Identity Service Engine).

Описание работы MAB / MAB с CWA

В настоящее время поддерживаются статические ACL с именами redirect / internet + динамические URL в CIsco Attributes.

MAB (MAC Authentication Bypass)

  • Пользователь подключается к беспроводной сети и отправляет сетевой трафик через точку доступа, подключенную к платформе One.

  • Точка доступа передает MAC-адрес пользователя на платформу.

  • С платформы отправляется запрос на авторизацию на RADIUS-сервер (Cisco ISE), указывая MAC-адрес пользователя.

  • RADIUS-сервер выполняет проверку MAC-адреса пользователя и, если он разрешен, отправляет ответ "Access-Accept" на платформу.

  • Платформа разрешает доступ пользователя к беспроводной сети без дополнительной аутентификации.

Представлены следующие дампы:

View filenameMabPermit.pcapheight250

View filenameMabDeny.pcapheight250

MAB с CWA (MAC Authentication Bypass with Central Web Authentication)

  • Пользователь подключается к беспроводной сети и отправляет сетевой трафик через точку доступа, подключенную к платформе.

  • Точка доступа передает MAC-адрес пользователя на платформу.

  • С платформы отправляется запрос на авторизацию на RADIUS-сервер (Cisco ISE), указывая MAC-адрес пользователя.

  • RADIUS-сервер выполняет проверку MAC-адреса пользователя и определяет, что требуется дополнительная аутентификация.

  • RADIUS-сервер отправляет ответ "Access-Accept" на платформу c ACL redirect и ссылкой на портал авторизации.
    Пример:

...

  • Далее после отправки CoA-Request от Cisco ISE, следует получение ответа в виде Access-Accept с ACL "internet".
    Пример:

Блок кода
Airespace-ACL-Name: internet

  • Платформа разрешает доступ пользователя в интернет.

Представлены следующие дампы:view-file

nameCWA+MAB_Internet.pcapheight250 View filename

CWA+MAB_Redirect.pcapheight250


Image RemovedImage Added

Рисунок 1 - Схема работы при подключении пользователя

...

В настоящее время поддерживаются статические ACL с именами redirect / internet и динамические URL в CIsco Attributes.

Настройка MAB на Wimark One

Добавление AAA сервера для MAB

  1. Необходимо перейти в раздел “NMS / Radius серверы” (рисунок 3).

Рисунок 3 - Раздел “Radius серверы”

2. Нажать “Добавить” и в форме (рисунок 4) заполнить следующие поля:

IP адрес - IP адрес радиус-сервера для MAB. Это должен быть адрес, на котором работает радиус-сервер пользователя для аутентификации посредством MAB.;

Имя - имя радиус-сервера для MAB. Это может быть любое удобное для пользователя имя, которое поможет идентифицировать этот сервер.;

Ключ - ключ для аутентификации между сетевым оборудованием пользователя и радиус-сервером. Это общий секретный ключ, который используется для безопасной связи между оборудованием и сервером.;

Подтверждение ключа - ввести ключ ещё раз для подтверждения. Убедиться, что оба введенных значения совпадают.;

Порт авторизации - порт, который будет использоваться для авторизации на радиус-сервере. Обычно, это порт 1812.;

Порт аккаунтинга - порт, который будет использоваться для аккаунтинга на радиус-сервере. Обычно, это порт 1813.;

Ключ CoA сервера - ключ CoA. Можно не заполнять, если используется MAB без CWA.;

Подтверждение ключа CoA сервера - ввести ключ CoA сервера ещё раз для подтверждения. Убедиться, что оба введенных значения совпадают. Можно не заполнять, если используется MAB без CWA.

Переключатель оставить в положении “Клиент на ТД”.

Рисунок 4 - Форма добавления Radius сервера

После заполнения нажать кнопку “Добавить”, и сервер отобразится в таблице (рисунок 3).

Создание WLAN с MAB (добавление MAB к уже существующей сети)

  1. Следует перейти в раздел “NMS \ Сети Wi-Fi” (рисунок 5).

Рисунок 5 - Раздел “Сети Wi-Fi”

2. Нажать “Добавить” и в форме (рисунки 6 и 7) заполнить следующие поля:

...

После заполнения всех необходимых полей и настройки безопасности нажать кнопку “Добавить”. Сеть отобразится в таблице Wi-Fi сетей (рисунок 5).

Рисунок 6 - Вкладка "Основное"

Рисунок 7 - Вкладка "Безопасность"

Для добавления к уже существующей сети следует выбрать необходимую сеть и внести изменения в режиме редактирования (рисунок 8).

Рисунок 8 - Режим редактирования сети Wi-Fi

Далее необходимо перейти к добавлению сети на точку доступа и проверить, что все работает корректно.

Проверка настройки

Шаг 1. Подключение неавторизованного клиента

...

При правильной настройке только клиенты с разрешенными MAC-адресами смогут успешно подключиться к сети, в то время как неавторизованным клиентам будет отказано в доступе.

Настройка MAB с CWA на Wimark One

Добавление AAA сервера для MAB

Добавление ААА сервера выполнить в соответствии с описанием Добавление AAA сервера для MAB.

Создание Redirect Rule (правила перенаправления)

  1. Перейти в раздел “NMC \ Гостевой контроль” (рисунок 9).

Рисунок 9 - Раздел “Гостевой контроль”

2. Нажать кнопку “Создать правило редиректа” и в форме (рисунок 10) заполнить соответствующие поля.

Рисунок 10 - Форма создания правила редиректа

Имя - имя правила редиректа;

...

Ссылка в пункте “URL портала авторизации для перенаправления пользователей” генерируется автоматически и никаким образом не используется, так как URL портала авторизации приходит с внешнего Radius сервера.


Создание WLAN+CWA с MAB (добавление MAB к уже существующей сети)

  1. Следует перейти в раздел “NMS \ Сети Wi-Fi” (рисунок 13).

...

Для добавления к уже существующей сети следует выбрать необходимую сеть и внести изменения в режиме редактирования (рисунок 17).

Image Modified

Рисунок 17

Далее необходимо перейти к добавлению сети на точку доступа и проверить, что все работает корректно.

Проверка настройки

Шаг 1. Подключение неавторизованного клиента

...