Настройка сервиса "САИ-WiFi" на контроллерах NXC2500 и NXC5500

Как настроить контроллер беспроводных сетей NXC2500/NXC5500 для работы с сервисом "САИ-WiFi"?

"САИ-WiFi" представляет сервис аутентификации и идентификации клиентов по СМС в корпоративных и публичных сетях Wi-Fi для выполнения требований законодательства, согласно постановлению Правительства РФ от 31.07.2014 №758 и 12.08.2014 №801. Такой метод подключения к Wi-Fi сети требуется при организации публичного доступа в Интернет в ресторанах, отелях, торговых центрах и других общественных местах.
 
Приведем пример настройки сервиса "САИ-WiFi" (saiwifi.ru) на контроллере беспроводных сетей NXC2500 (настройка на контроллере NXC5500 будет аналогична).
 
1. Для работы с сервисом не важно какие сетевые настройки для доступа в Интернет имеет NXC2500 — можно использовать режим моста или режим маршрутизатора с конфигурированными wan- и lan-интерфейсами. Контроллер может находиться внутри частной IP-сети и подключаться к Интернету через шлюз доступа (роутер) с использованием трансляции адресов NAT. Настройку выполняйте через встроенный веб-интерфейс контроллера.
 
2. Выполните настройки внешнего RADIUS-сервера.
 
Настройки находятся в меню Object > AAA Server > RADIUS.
Щелкните на иконке Add, чтобы открыть окно для создания новой записи с настройками внешнего сервера RADIUS.
В поле Name впишите произвольное название этой записи с настройками, например, sai.  
Укажите IP-адрес основного сервера RADIUS 176.111.96.30 и резервного 92.63.105.213, как показано на скриншоте ниже. Для работы сервиса RADIUS используется стандартный номер порта 1812.
В поле Key впишите пароль (секретное слово), которое используется для шифрования сообщений между сервером RADIUS и контроллером NXC. Ниже в этом же окне впишите в поле NAS IP Address адрес сервера RADIUS 176.111.96.30, а в поле NAS Identifier – имя устройства NAS ID, используемое для идентификации в САИ-WiFi. Оба значения, Key и NAS ID, нужно взять из личного кабинета сервиса "САИ-WiFi".
 
3. Отключите использование протокола HTTPS на контроллере (меню System > WWW > Service Control).
 
4. Создайте метод Аутентификации, в котором укажите созданную ранее учетную запись с сервером RADIUS (в нашем примере sai). Сделать это можно в меню Object > Auth. Method > Authentication Method.
 
5. В меню Object > Address > Address добавьте следующие адреса:
а) серверов RADIUS и ЕСИА (176.111.96.30, 92.63.105.213 и 109.207.2.205)
б) vlan публичной сети Wi-Fi, пользователи которой будут проходить аутентификацию и идентификацию по СМС через сервис САИ-WiFi.
 
6. На вкладке Address Group создайте группу адресов для более удобного использования в дальнейшем, включив в нее адреса из пункта 5a.
 
7. Настройте Captive Portal.
 
а) в поле Login URL впишите: 
http://hotspot.saiwifi.ru/?nasid=номер&
где вместо «номер» укажите имя устройства, используемое для идентификации в САИ-WiFi как NAS-Identifier, взяв его из личного кабинета сервиса "САИ-WiFi";
б) в полях Welcome URL и Session URL нужно вписать сайт, который вы хотите увидеть после авторизации (в нашем примере указан сайт http://ya.ru);
в) в поле Authentication Method выберите из списка метод аутентификации, созданный в пункте 4.
 
8. Настройте Authentication Policy Rule в разделе Redirect on Controller (перенаправления на контроллере) в меню Captive Portal.
 
а) Доступ до серверов SAI и ECИA сделать без авторизации (5а).
б) Доступ в Интернет из гостевого vlan сделать с обязательной авторизацией (5б).
 
9. Настройка ограничения длительности сессии.
 
При необходимости можно установить ограничение интернет-сессии Wi-Fi клиентов. Укажите в поле Reauthentication Time значение длительности в минутах, отличное от нуля. Для этого надо обратиться к разделу Configuration > Object > User/Group и щелкнуть на radius-users, чтобы открыть окно с настройками пользователей сервера RADIUS.
 

KB-4917

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 1 из 2

Комментарии

0 комментариев