Настройка HotSpot / captive portal W-Fi авторизации по SMS или звонку на Cisco WLC в режиме Controller-AP

Чтобы настроить авторизацию пользователей гостевой сети Wi-Fi на Cisco WLC, необходимо создать личный кабинет в нашей системе. На первом этапе необходимо получить конфигурацию в личном кабинете, а затем настроить оборудование согласно этой конфигурации.

Шаг 1: Создание темы, профиля, места и конфигурации

Шаг 2: Создание конфигурации для выбранного места

переходите в раздел “Заведения” подраздел “Места”, затем выбираете место, для которого вы хотите настроить портал авторизации, и в верхнем правом углу нажимаете кнопку “Создать конфигурацию”

В открывшемся окне выбираете контроллер вашей версии и нажимаете кнопку “Далее”

В следующем окне ничего настраивать не надо. Нажимаете кнопку “Далее”.

Следуйте инструкции в мастере конфигурации.

Web Authentication на HTTP вместо HTTPS на Cisco

Cisco рекомендует отключать HTTPS аутентификацию при использовании внешних порталов аутентификации в случае если передаваемые данные не являются чувствительными. Для этого достаточно выполнить команду config network web-auth secureweb disable.

You can login on web authentication on HTTP instead of HTTPS. If you login on HTTP, you do not receive certificate alerts.

For earlier than WLC Release 7.2 code, you must disable HTTPS management of the WLC and leave HTTP management. However, this only allows the web management of the WLC over HTTP.

For WLC Release 7.2 code, use the config network web-auth secureweb disable command to disable. This only disables HTTPS for the web authentication and not the management. Note that this requires a reboot of the controller! On WLC Release 7.3 and later code, you can enable/disable HTTPS for WebAuth only via GUI and CLI

  1. https://www.cisco.com/c/en/us/support/docs/wireless-mobility/wlan-security/115951-web-auth-wlc-guide-00.html#anc28

Проверка требований перед установкой

Для настройки CaptivePortal на CiscoWLC или аналогичных минимальная версия прошивки должна быть 7.4

Это можно проверить, перейдя на вкладку Monitor.

Настройка RADIUS

Перейдите во вкладку Security, в левой части окна последовательно перейдите по разделам AAA —> RADIUS —> Authentication

Значение параметра Call Station ID Type необходимо установить AP Mac ADdress:SSID, значение параметра MAC Delimiter – Colon

После этого необходимо нажать кнопку New для добавления Radius Authentication Server

В открывшемся окне значение параметра Shared Secret Format необходимо установить ASCII, в поле параметра Shared Secret/Confirm Shared Secret указать информацию из полученного конфига (Shared key).

После указания данных параметров нажмите кнопку Apply.

После указания параметров RADIUS Authenticate Вам необходимо указать аналогичным образом значения для RADIUS Accounting.

Создание ACL

Для создания списка ALC перейдите во вкладку Security.

В боковом меню, справа последовательно перейдите в раздел Access Control Lists —> Access Control Lists.

В верхнем правом углу нажмите кнопку Add New Rule и укажите в нем правила, полученные в конфиге.

Данные правила необходимы для указания к каким хостам разрешить доступ без регистрации.

При необходимости авторизации через соц. сети – адреса соц. сетей добавляются в этот список.

Если вы используете FlexConnect, то Access Control List нужно создавать в разделе Access Control Lists —> FlexConnect ACLs.

Настройка Web-autch Policy

Для настройки политики авторизации необходимо перейти во вкладку Security —> Web Auth —> Web Login Page

В поле Web Authentication Type укажите значение Exteral (Redirect to external server)

В поле Redirect URL укажите ссылку, из сгенерированного конфига. Данная ссылка должна быть аналогичного вида, как на скриншоте.

В поле External Webauth URL так же укажите ссылку из полученного ранее конфига. Ссылка должна быть аналогичного вида, как на скриншоте.

Настройка WLAN

Заходим в настройки WLAN, вкладка General. Проверяем, что установлена галочка напротив параметра Status

Переходим во вкладку Security —> Layer 3, ставим галочку напротив Web policy —> Authentication, а так же выбираем созданный ранее ACL, указав его в параметре Preauthentication ACL для IPv4 или FlexConnect соответственно (в зависимости от режима использования AP).

Переходимо во вкладку AAA Servers, выбираем созданный нами ранее RADIUS-сервер.

В данном разделе опускаемся ниже, в разделе Authentication priority order for web-auth user выбираем метод RADIUS.

Данный метод должен идти первым в списке.

Для возможности перезаписи встроенных параметров AAA необходимо перейти во вкладку Adwanced и установить галочку Allow AAA Override.

На скриншоте ниже параметр FlexConnect Local Switching, отмечен звездочкой, так как используется в зависимости от инфраструктуры.

Если данная галочка установлена, то гостевой трафик будет уходить с порта точки доступа.

Использовать только если точки доступа работают в режиме FlexConnect, в остальных случаях – игнорируется.

Подключитесь к гостевой сети и проверьте результат. Если у вас возникли трудности, обратитесь в службу техподдержки (чат в личном кабинете или позвоните нам).

Не забудьте установить “детский доступ” в гостевой сети с помощью днс яндекс. Как это сделать читайте в Вопросы и ответы.

Шаг 3: Настройка времени сессии

Перейдите в раздел “Стартовая страница” подраздел “Профили” и выберите ваш профиль