Введение

В документе описывается настройка беспроводной сети с MAB/MAB+CWA платформы Wimark One 1.11 (версии 1.11) совместно с Cisco ISE (Identity Service Engine).

Описание работы MAB / MAB с CWA

В настоящее время поддерживаются статические ACL с именами redirect / internet + динамические URL в CIsco Attributes.

MAB (MAC Authentication Bypass)

• Пользователь подключается к беспроводной сети и отправляет сетевой трафик через точку доступа, подключенную к платформе One.

• Точка доступа передает MAC-адрес пользователя на платформу.

• С платформы отправляется запрос на авторизацию на RADIUS-сервер (Cisco ISE), указывая MAC-адрес пользователя.

• RADIUS-сервер выполняет проверку MAC-адреса пользователя и, если он разрешен, отправляет ответ "Access-Accept" на платформу.

• Платформа разрешает доступ пользователя к беспроводной сети без дополнительной аутентификации.

...

MabPermit.pcap

MabDeny.pcap

MAB с CWA (MAC Authentication Bypass with Central Web Authentication)

• Пользователь подключается к беспроводной сети и отправляет сетевой трафик через точку доступа, подключенную к платформе.

• Точка доступа передает MAC-адрес пользователя на платформу.

• С платформы отправляется запрос на авторизацию на RADIUS-сервер (Cisco ISE), указывая MAC-адрес пользователя.

• RADIUS-сервер выполняет проверку MAC-адреса пользователя и определяет, что требуется дополнительная аутентификация.

• RADIUS-сервер отправляет ответ "Access-Accept" на платформу c ACL redirect и ссылкой на портал авторизации.
  Пример:

...

В настоящее время поддерживаются статические ACL с именами redirect / internet и динамические URL в CIsco Attributes.

Настройка MAB на Wimark One

Добавление AAA сервера для MAB

1. Необходимо перейти в раздел “NMS / Radius серверы” (рисунок 3).

...

После заполнения нажать кнопку “Добавить”, и сервер отобразится в таблице (рисунок 3).

Создание WLAN с MAB (добавление MAB к уже существующей сети)

1. Следует перейти в раздел “NMS \ Сети Wi-Fi” (рисунок 5).

...

Далее необходимо перейти к добавлению сети на точку доступа и проверить, что все работает корректно.

Проверка настройки

Шаг 1. Подключение неавторизованного клиента

...

При правильной настройке только клиенты с разрешенными MAC-адресами смогут успешно подключиться к сети, в то время как неавторизованным клиентам будет отказано в доступе.

Настройка MAB с CWA на Wimark One

Добавление AAA сервера для MAB

Добавление ААА сервера выполнить в соответствии с описанием Добавление AAA сервера для MAB.

Создание Redirect Rule (правила перенаправления)

1. Перейти в раздел “NMC \ Гостевой контроль” (рисунок 9).

...

Рисунок 10 - Форма создания правила редиректа

Имя - имя правила редиректа;

Домен - домен для перенаправления. Должен указываться тот адрес, где развёрнут "Wimark portal" относительно клиента. Если это общедоступный домен, в "Walled garden", достаточно указать только IP адрес. Если нет, в "Walled garden" также необходимо указать домен. Домен должен быть указан без протокола. (Можно вставить любое значение т.к. ссылка редиректа приходит с внешнего Radius сервера);

...

Ссылка в пункте “URL портала авторизации для перенаправления пользователей” генерируется автоматически и никаким образом не используется, так как URL портала авторизации приходит с внешнего Radius сервера.

Создание WLAN+CWA с MAB (добавление MAB к уже существующей сети)

1. Следует перейти в раздел “NMS \ Сети Wi-Fi” (рисунок 13).

...

Далее необходимо перейти к добавлению сети на точку доступа и проверить, что все работает корректно.

Проверка настройки

Шаг 1. Подключение неавторизованного клиента

...