| Оглавление |
|---|
Введение
В документе описывается настройка беспроводной сети с MAB/MAB+CWA платформы Wimark One 1.11 (версии 1.11) совместно с Cisco ISE (Identity Service Engine).
Описание работы MAB / MAB с CWA
В настоящее время поддерживаются статические ACL с именами redirect / internet + динамические URL в CIsco Attributes.
MAB (MAC Authentication Bypass)
Пользователь подключается к беспроводной сети и отправляет сетевой трафик через точку доступа, подключенную к платформе One.
Точка доступа передает MAC-адрес пользователя на платформу.
С платформы отправляется запрос на авторизацию на RADIUS-сервер (Cisco ISE), указывая MAC-адрес пользователя.
RADIUS-сервер выполняет проверку MAC-адреса пользователя и, если он разрешен, отправляет ответ "Access-Accept" на платформу.
Платформа разрешает доступ пользователя к беспроводной сети без дополнительной аутентификации.
...
MAB с CWA (MAC Authentication Bypass with Central Web Authentication)
Пользователь подключается к беспроводной сети и отправляет сетевой трафик через точку доступа, подключенную к платформе.
Точка доступа передает MAC-адрес пользователя на платформу.
С платформы отправляется запрос на авторизацию на RADIUS-сервер (Cisco ISE), указывая MAC-адрес пользователя.
RADIUS-сервер выполняет проверку MAC-адреса пользователя и определяет, что требуется дополнительная аутентификация.
RADIUS-сервер отправляет ответ "Access-Accept" на платформу c ACL redirect и ссылкой на портал авторизации.
Пример:
...
Рисунок 1 - Схема работы при подключении пользователя
...
В настоящее время поддерживаются статические ACL с именами redirect / internet и динамические URL в CIsco Attributes.
Настройка MAB на Wimark One
Добавление AAA сервера для MAB
Необходимо перейти в раздел “NMS / Radius серверы” (рисунок 3).
Рисунок 3 - Раздел “Radius серверы”
2. Нажать “Добавить” и в форме (рисунок 4) заполнить следующие поля:
...
Переключатель оставить в положении “Клиент на ТД”.
Рисунок 4 - Форма добавления Radius сервера
После заполнения нажать кнопку “Добавить”, и сервер отобразится в таблице (рисунок 3).
Создание WLAN с MAB (добавление MAB к уже существующей сети)
Следует перейти в раздел “NMS \ Сети Wi-Fi” (рисунок 5).
Рисунок 5 - Раздел “Сети Wi-Fi”
2. Нажать “Добавить” и в форме (рисунки 6 и 7) заполнить следующие поля:
...
После заполнения всех необходимых полей и настройки безопасности нажать кнопку “Добавить”. Сеть отобразится в таблице Wi-Fi сетей (рисунок 5).
Рисунок 6 - Вкладка "Основное"
Рисунок 7 - Вкладка "Безопасность"
Для добавления к уже существующей сети следует выбрать необходимую сеть и внести изменения в режиме редактирования (рисунок 8).
Рисунок 8 - Режим редактирования сети Wi-Fi
Далее необходимо перейти к добавлению сети на точку доступа и проверить, что все работает корректно.
Проверка настройки
Шаг 1. Подключение неавторизованного клиента
...
При правильной настройке только клиенты с разрешенными MAC-адресами смогут успешно подключиться к сети, в то время как неавторизованным клиентам будет отказано в доступе.
Настройка MAB с CWA на Wimark One
Добавление AAA сервера для MAB
Добавление ААА сервера выполнить в соответствии с описанием Добавление AAA сервера для MAB.
Создание Redirect Rule (правила перенаправления)
Перейти в раздел “NMC \ Гостевой контроль” (рисунок 9).
Рисунок 9 - Раздел “Гостевой контроль”
2. Нажать кнопку “Создать правило редиректа” и в форме (рисунок 10) заполнить соответствующие поля.
Рисунок 10 - Форма создания правила редиректа
Имя - имя правила редиректа;
...
Ссылка в пункте “URL портала авторизации для перенаправления пользователей” генерируется автоматически и никаким образом не используется, так как URL портала авторизации приходит с внешнего Radius сервера.
Создание WLAN+CWA с MAB (добавление MAB к уже существующей сети)
Следует перейти в раздел “NMS \ Сети Wi-Fi” (рисунок 13).
...
Далее необходимо перейти к добавлению сети на точку доступа и проверить, что все работает корректно.
Проверка настройки
Шаг 1. Подключение неавторизованного клиента
...