GUÍA DE CONFIGURACIÓN
El objetivo del siguiente manual es una descripción de la configuración necesaria en el equipamiento Aruba Instant para el uso del portal cautivo y plataforma WIFI.
| Panel | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||
|
1- Configuración WLAN e importación de certificados.
Antes de nada habrá que importar los certificados que se usarán en el controlador, para ello en la configuración habrá que dirigirse a Maintenance > Certificates, y hacer click en
Upload New Certificate y rellenar los valores:
- Certificate file to upload: seleccionar el archivo .pem facilitado.
- Certificate type: Captive portal server.
- Certificate format: PAM (.pem .cert or .crt)
- Passphrase: dejar en blanco.
- Retype Passphrase: dejar en blanco.
Una vez rellenado todos los campos pulsar el botón Upload Certificate y verificar que
se ha descargado correctamente,
Comprobar en CLI que se ha añadido correctamente el certificado ejecutando el
comando show cert
Para configurar el portal cautivo en una red / SSID en concreto con la solución Aruba Instant, se deberá seguir la siguiente guía para editar una determinada Network en el interfaz gráfica del Virtual Controller.
Dentro del menú Networks editar la WLAN que consideremos o crear una nueva. Tras abrirse una nueva pestaña con el Wizard de configuración seguir los siguientes pasos.
1.1 WLAN Settings
Configurar los siguientes parámetros:
- Name (SSID): SSID que radiarán los iAPs.
- Primary usage: Guest
Pulsar el botón Next para continuar con el Wizard de configuración.
1.2 VLAN
Dentro del apartado VLAN configurar los siguientes parámetros.
- Client IP assignment: seleccionar la opción dependiendo del diseño de red (DHCP asignado por el Virtual Controller o por otro elemento de la red).
- Client VLAN assignment: añadir la VLAN que se asociará con el SSID.
1.3 Security
En el siguiente apartado se debe configurar el portal cautivo externo, para ello introducir los siguientes parámetros:
- Splash page type: External
- Captive portal profile: añadir un nuevo Captive Portal Profile con la siguiente configuración:
- Name: WIFI
- Type: Radius Authentication
- IP or hostname:
- HTTP: <dominio_captive_portal>
- URL: /login/hotspot/arubaiap
- Port: 443
- Use https: Enabled
- Captive portal failure: Deny internet
- Automatic URL whitelisting: Disabled
- Redirect URL: dejar en blanco para gestionar la redirección desde la plataforma WIFI.
...
- Auth server 1: añadir un nuevo Servidor Radius con los siguientes parámetros:
- Type: RADIUS
- Name: RADIUS1
- IP address: <IP_Radius_1>
- Auth port: 1812
- Acct port: 1813
- Shared key: <Secret>
- Retype key: <Secret>
- Auth server 2: añadir un nuevo Servidor Radius con los siguientes parámetros:
- Type: RADIUS
- Name: RADIUS2
- IP address: <IP_Radius_2>
- Auth port: 1812
- Acct port: 1813
- Shared key: <Secret>
- Retype key: <Secret>
- Reauth interval: 24 hrs
- Accounting: Use authentication servers
- Accounting mode: Authentication
- Accounting interval: 10 min
- Blacklisting: Disabled
...
- Walled garden: introducir los dominios a los que se permite el acceso libre dentro de la lista WhiteList
...
| title | Walled Garden / Domain Whitelist |
|---|
...
1.4 Access
Por ultimo en el apartado Access se debe configurar el rol.
- Seleccionar la opción role-based (Opción con mayor control)
- En el apartado “Roles”, crear un nuevo role llamado Preauth
- Añadir nuevas reglas a este role para cada uno de los dominios del walled garden con la siguiente configuración:
- Rule type: Access control
- Service: Network - any
- Action: allow
- Destination: to domain name
- Domain name: <dominio_captive_portal>
- Assign pre-authenticaction role: seleccionar Preauth
...
2- Configuración Dynamic Radius Proxy (DRP)
Dentro de los iAPs el Dynamic Radius Proxy permite activar la configuración para que todas las peticiones enviadas al servidor Radius se hagan siempre con la IP del Virtual Controller, mientras que si no está activada se realizarían con la IP de cada uno de los APs.
Para habilitar esta opción ir a System > General y habilitar la opción Dynamic Radius Proxy tal y como se observa en la siguiente imagen:
Una vez habilitada esta opción todas las peticiones enviadas al servidor Radius serán enviadas por defecto con la IP del Virtual Controller sin embargo se puede modificar esta IP por defecto para establecer cualquier otra IP aunque no sea la del Virtual Controller.
Para cambiar la IP con la que se envían los mensajes al servidor Radius se debe editar el SSID y dentro de la pestaña Security editar la configuración del servidor Radius modificando los siguientes parámetros:
3- Listado MACs Autorizadas
Para que la validación de los usuarios funcione correctamente es necesario identificar los NAS que podrán realizar peticiones de autenticación al Servidor Radius. En este caso se deben añadir todas las direcciones MAC de los Access Point que radiarán el SSID configurado.
Estas direcciones MAC son fácilmente accesibles dentro del apartado Access Point ubicado en la pestaña principal de configuración del Virtual Controller AP.
| Info |
|---|
Para obtener información sobre cómo añadir la dirección MAC de cada AP como un NAS autorizado en la plataforma WIFI consulte el siguiente enlace Configuración WiFiAreas |
4- Configuraciones adicionales
4.1 MAC Authentication (opcional)
Para activar la autenticación por MAC es necesario editar la WLAN creada y habilitar esta opción. Para ello dentro del menú “Networks” hacer click en la WLAN en la que se desee activar MAC Authentication.
A continuación en el wizard de configuración ir a la pestaña Security y modificar los siguientes parámetros:
- MAC Authenticaiton: Enabled
- Delimitir character: :
Una vez realizados los cambios hacer click en el botón Next y a continuación hacer click en el botón Finish para guardar los cambios realizados.
4.2 Límites de velocidad por usuario (opcional)
Desde la plataforma WIFI es posible establecer los límites de velocidad de cada usuario pero es necesario realizar una configuración adicional en el Virtual Controller AP para crear los roles que se asignarán a cada usuario dependiendo del ancho de banda establecido.
Para ello acceder al wizard de configuración de la WLAN que se haya creado en los apartados anteriores y hacer click en el botón edit.
A continuación ir a la pestaña 4 del wizard de configuración denominada Access. Añadir un nuevo Rol y asignarle un nombre que identifique el ancho de banda que tendrá el usuario. Por ejemplo Role2MB/1MB si el usuario tendría 2MB de bajada y 1 MB de subida.
Una vez creado el nuevo Rol crear una nueva Access Rule asignada a este Rol con la siguiente configuración:
- Rule Type: Bandwidth Contract
- Downstream: indicar el ancho de banda de bajada en kbps. Marcar además la opción Per user
- Upstream: indicar el ancho de banda de subida en kbps. Marcar también la opción Per user
Por último se debe añadir la regla que determinará el Rol que se asignará al usuario dependiendo del contenido del atributo Radius Aruba-User-Role que le devolverá el servidor Radius. Para ello añadir una nueva Role Assignment Rule con la siguiente configuración:
- Attribute: Aruba-User-Role
- Operator: equals
- String: indicar el ancho de banda del usuario tanto de bajada como de subida con el formato Donwload_Upload en bit/s. Por ejemplo para el Role2MB/1MB quedaría 2000000_1000000
- Role: indicar el Rol creado para el ancho de banda en particular.
Repetir este proceso para todas las combinaciones de ancho de banda que se deseen otorgar desde la plataforma WIFI.
...
Elija la opción deseada para acceder a la guía específica:
| Child pages (Children Display) |
|---|