Введение
В документе описывается настройка беспроводной сети с MAB/MAB+CWA платформы Wimark One 1.11 (версии 1.11) совместно с Cisco ISE (Identity Service Engine).
Описание работы MAB / MAB с CWA
В настоящее время поддерживаются статические ACL с именами redirect / internet + динамические URL в CIsco Attributes.
MAB (MAC Authentication Bypass)
Пользователь подключается к беспроводной сети и отправляет сетевой трафик через точку доступа, подключенную к платформе One.
Точка доступа передает MAC-адрес пользователя на платформу.
С платформы отправляется запрос на авторизацию на RADIUS-сервер (Cisco ISE), указывая MAC-адрес пользователя.
RADIUS-сервер выполняет проверку MAC-адреса пользователя и, если он разрешен, отправляет ответ "Access-Accept" на платформу.
Платформа разрешает доступ пользователя к беспроводной сети без дополнительной аутентификации.
Представлены следующие дампы:
MAB с CWA (MAC Authentication Bypass with Central Web Authentication)
Пользователь подключается к беспроводной сети и отправляет сетевой трафик через точку доступа, подключенную к платформе.
Точка доступа передает MAC-адрес пользователя на платформу.
С платформы отправляется запрос на авторизацию на RADIUS-сервер (Cisco ISE), указывая MAC-адрес пользователя.
RADIUS-сервер выполняет проверку MAC-адреса пользователя и определяет, что требуется дополнительная аутентификация.
RADIUS-сервер отправляет ответ "Access-Accept" на платформу c ACL redirect и ссылкой на портал авторизации.
Пример:
Cisco-AVPair: url-redirect=https://ip.or.domainNameIse:8443/portal/gateway?sessionId=0a0a0e0eL6KPuaajRWB80BWsGw0EoVgmIJOb62fWv3BShJKMB0g&portal=77b653c9-924d-41a5-a5c3-1c40c4e7a5a7&action=cwa&type=drw&token=b67ef4485a259fe357e6fe6f82911d6f
- С платформы перенаправляется ответ на точку доступа, которая в свою очередь отправляет пользователю ссылку на веб-страницу аутентификации, предоставляемую Cisco ISE.
Важно отметить, что в текущей реализации за работу функции редиректа и функций ACL (списков доступа) отвечает точка доступа.
Пользователь открывает веб-браузер и вводит учетные данные на странице аутентификации.
Все указанные в walled garden IP / Domain, а также DNS и BOOTP будут доступны пользователю без авторизации (ACL name redirect).
Cisco ISE проверяет учетные данные пользователя и, если они действительны, отправляет ответ CoA-Request на платформу.
После получения CoA-Request на платформе обрабатывается запрос и применяются указанные изменения в параметрах доступа пользователя.
Кроме того, в дампе видно CoA-ACK (Change of Authorization Acknowledgment) пакет, который представляет собой подтверждение от платформы о приеме и успешной обработке CoA-Request от Cisco ISE.
Далее после отправки CoA-Request от Cisco ISE, следует получение ответа в виде Access-Accept с ACL "internet".
Пример:
Airespace-ACL-Name: internet
Платформа разрешает доступ пользователя в интернет.
Представлены следующие дампы:
Рисунок 1 - Схема работы при подключении пользователя
Рисунок 2 - Процесс подключения к данной сети пользователем
В настоящее время поддерживаются статические ACL с именами redirect / internet и динамические URL в CIsco Attributes.
Настройка MAB на Wimark One
Добавление AAA сервера для MAB
Необходимо перейти в раздел “NMS / Radius серверы” (рисунок 3).
Рисунок 3 - Раздел “Radius серверы”
2. Нажать “Добавить” и в форме (рисунок 4) заполнить следующие поля:
IP адрес - IP адрес радиус-сервера для MAB. Это должен быть адрес, на котором работает радиус-сервер пользователя для аутентификации посредством MAB;
Имя - имя радиус-сервера для MAB. Это может быть любое удобное для пользователя имя, которое поможет идентифицировать этот сервер;
Ключ - ключ для аутентификации между сетевым оборудованием пользователя и радиус-сервером. Это общий секретный ключ, который используется для безопасной связи между оборудованием и сервером;
Подтверждение ключа - ввести ключ ещё раз для подтверждения. Убедиться, что оба введенных значения совпадают;
Порт авторизации - порт, который будет использоваться для авторизации на радиус-сервере. Обычно, это порт 1812;
Порт аккаунтинга - порт, который будет использоваться для аккаунтинга на радиус-сервере. Обычно, это порт 1813;
Ключ CoA сервера - ключ CoA. Можно не заполнять, если используется MAB без CWA;
Подтверждение ключа CoA сервера - ввести ключ CoA сервера ещё раз для подтверждения. Убедиться, что оба введенных значения совпадают. Можно не заполнять, если используется MAB без CWA.
Переключатель оставить в положении “Клиент на ТД”.
Рисунок 4 - Форма добавления Radius сервера
После заполнения нажать кнопку “Добавить”, и сервер отобразится в таблице (рисунок 3).
Создание WLAN с MAB (добавление MAB к уже существующей сети)
Следует перейти в раздел “NMS \ Сети Wi-Fi” (рисунок 5).
Рисунок 5 - Раздел “Сети Wi-Fi”
2. Нажать “Добавить” и в форме (рисунки 6 и 7) заполнить следующие поля:
на вкладке “Основное” (рисунок 6):
SSID - имя сети (Service Set Identifier), которое будет отображаться при поиске доступных сетей Wi-Fi;
Описание - (по желанию). Добавить описание для этой сети, чтобы помочь идентифицировать ее цель или особенности;
Переключатель “Скрытая” - (по желанию). Если сеть должна быть скрытой и не отображалась в списке общедоступных сетей Wi-Fi, установить этот переключатель в положение "Включено". В противном случае, оставить его выключенным;
на вкладке “Безопасность” → “Слой 2” (рисунок 7):
Настройки безопасности - выбрать необходимый тип безопасности сети, который соответствует требованиям пользователя;
MAC RADIUS Авторизация - выбрать ранее созданный радиус-сервер из списка.
После заполнения всех необходимых полей и настройки безопасности нажать кнопку “Добавить”. Сеть отобразится в таблице Wi-Fi сетей (рисунок 5).
Рисунок 6 - Вкладка "Основное"
Рисунок 7 - Вкладка "Безопасность"
Для добавления к уже существующей сети следует выбрать необходимую сеть и внести изменения в режиме редактирования (рисунок 8).
Рисунок 8 - Режим редактирования сети Wi-Fi
Далее необходимо перейти к добавлению сети на точку доступа и проверить, что все работает корректно.
Проверка настройки
Шаг 1. Подключение неавторизованного клиента
Подключиться к Wi-Fi сети с устройством, MAC-адрес которого не был добавлен в список разрешенных на ISE.
Результат: клиент не сможет успешно подключиться к сети. Это свидетельствует о том, что контроль доступа по MAC-адресам работает и неавторизованные клиенты не могут получить доступ к сети.
Шаг 2. Подключение авторизованного клиента
Подключиться к Wi-Fi сети с устройством, MAC-адрес которого был добавлен в список разрешенных на ISE.
Результат: клиент успешно подключается к сети. Это подтверждает, что авторизованные клиенты с разрешенными MAC-адресами могут получить доступ к Wi-Fi сети.
Заключение
При правильной настройке только клиенты с разрешенными MAC-адресами смогут успешно подключиться к сети, в то время как неавторизованным клиентам будет отказано в доступе.
Настройка MAB с CWA на Wimark One
Добавление AAA сервера для MAB
Добавление ААА сервера выполнить в соответствии с описанием Добавление AAA сервера для MAB.
Создание Redirect Rule (правила перенаправления)
Перейти в раздел “NMC \ Гостевой контроль” (рисунок 9).
Рисунок 9 - Раздел “Гостевой контроль”
2. Нажать кнопку “Создать правило редиректа” и в форме (рисунок 10) заполнить соответствующие поля.
Рисунок 10 - Форма создания правила редиректа
Имя - имя правила редиректа;
Домен - домен для перенаправления. Должен указываться тот адрес, где развёрнут "Wimark portal" относительно клиента. Если это общедоступный домен, в "Walled garden", достаточно указать только IP адрес. Если нет, в "Walled garden" также необходимо указать домен. Домен должен быть указан без протокола. (Можно вставить любое значение т.к. ссылка редиректа приходит с внешнего Radius сервера);
Точки доступа - выбрать из выпадающего списка точку доступа, на которую будет распространятся данное правило редиректа, либо оставить “Все точки доступа” (В общем, изменять со стандартного значения не обязательно, т.к. правило будет работать только на SSID, в котором оно добавлено);
Сеть Wi-Fi - из выпадающего списка выбрать сеть WiFi а которую будет распространятся данное правило редиректа, либо оставить “Все Wi-Fi сети”. (В общем, изменять со стандартного значения не обязательно, так как правило будет работать только на SSID в котором оно добавлено);
URL платформы - Адрес платформы (IP или доменное имя), на который перенаправляется клиент. Должен содержать только имя хоста (например, "http://www.example.com "). Протокол, порт и URL-путь указывать не нужно. (В данном случае, указывать так же не требуется, так как это тоже будет приходить с внешнего Radius сервера);
URL портала авторизации, для перенаправления пользователей - адрес, на который перенаправляется клиент после успешной авторизации. (В данном случае, указывать так же не требуется, так как это тоже будет приходить с внешнего Radius сервера);
Walled garden - указать список доверенных доменов или IP-адресов, которые будут доступны для клиентов до авторизации. Обязательно необходимо добавить ip адрес/доменное имя Radius сервера.
Переключатель “без NAP/PAT” оставить без изменений.
Рисунок 11 - Пример заполнения формы
После заполнения всех необходимых полей нажать кнопку “Далее”, после чего будет осуществлен переход на страницу подтверждения (рисунок 12). Здесь необходимо проверить ранее введенные данные (рисунок 10) и нажать кнопку “Создать”. После чего правило отобразится в таблице (рисунок 9).
Рисунок 12
Ссылка в пункте “URL портала авторизации для перенаправления пользователей” генерируется автоматически и никаким образом не используется, так как URL портала авторизации приходит с внешнего Radius сервера.
Создание WLAN+CWA с MAB (добавление MAB к уже существующей сети)
Следует перейти в раздел “NMS \ Сети Wi-Fi” (рисунок 13).
Рисунок 13
2. Нажать кнопку “Добавить” и в форме заполнить соответствующие поля.
на вкладке “Основное” (рисунок 14):
SSID - ввести имя сети (Service Set Identifier), которое будет отображаться при поиске доступных сетей Wi-Fi;
Описание - (по желанию). Добавить описание для этой сети, чтобы помочь идентифицировать ее цель или особенности;
Переключатель “Скрытая” - (по желанию). Если сеть должна быть скрытой и не отображалась в списке общедоступных сетей Wi-Fi, установить этот переключатель в положение "Включено". В противном случае, оставить его выключенным;
на вкладке “Безопасность” → “Слой 2” (рисунок 15):
Настройки безопасности - выбрать необходимый тип безопасности сети, который соответствует требованиям пользователя;
MAC RADIUS Авторизация - выбрать ранее созданный радиус-сервер из списка;
на вкладке “Безопасность” → “Слой 3” (рисунок 16):
Перенаправление - выбрать из выпадающего списка ранее созданное правило редиректа.
Рисунок 14
Рисунок 15
Рисунок 16
После заполнения всех необходимых полей и настройки безопасности нажать кнопку “Добавить”. Сеть отобразится в таблице Wi-Fi сетей (рисунок 13).
Для добавления к уже существующей сети следует выбрать необходимую сеть и внести изменения в режиме редактирования (рисунок 17).
Рисунок 17
Далее необходимо перейти к добавлению сети на точку доступа и проверить, что все работает корректно.
Проверка настройки
Шаг 1. Подключение неавторизованного клиента
Подключиться к Wi-Fi сети с устройством, MAC-адрес которого не был добавлен в список разрешенных на ISE.
Результат: клиента редиректит на страницу портала авторизации и поступит запрос авторизации, выход в интернет ограничен, доступны только ресурсы указанные в “Walled Garden”.
Пройти авторизацию, после успешного прохождения интернет будет доступен.
Шаг 2. Подключение авторизованного клиента
Подключиться к Wi-Fi сети ранее авторизованным устройством.
Результат: клиент успешно подключится, редиректа не произойдет и интернет будет доступен.
Заключение
При правильной настройке, неавторизованные ранее клиенты будут перенаправляться на страницу авторизации, в то время как авторизованным клиентам будет открыт доступ в интернет сразу без перенаправления на страницу авторизации.