Huawei Cloud Campus

Owned by Marce De Miguel (Unlicensed)
Last updated: Oct 18, 2021 by Pedro Doroshenko
6 min read

El objetivo del siguiente manual es una descripción de la configuración necesaria en la plataforma Huawei Cloud Campus para la integración con Octopus Platform

1- Requisitos previos

  • Si en la instalación existe un firewall que bloquee el tráfico se deberá permitir el acceso libre a ciertos dominios e IPs para habilitar la autenticación de los usuarios.

    • Servidores Radius:

      • Primario: <IP_Radius_1> puertos 1812 y 1813 UDP

      • Secundario: <IP_Radius_2> puertos 1812 y 1813 UDP

    • Servidor Splash Portal

      • Dominio <dominio_captive_portal> puertos 80 y 443 TCP

  • Para el funcionamiento de la configuración de los módulos Guest y Enterprise, previamente será necesario contratar las licencias de la plataforma Octopus con los respectivos módulos.

2- Configuración módulo Guest

2.1 Radius Servers

El siguiente paso es configurar los parámetros del Servidor Radius al que se enviarán las peticiones de autenticación de los usuarios. Para ello dentro del menú de la plataforma Huawei, Design > Basic Network Design > Template Management > Policy Template > Radius Relay Server y crear uno nuevo.

  • Name: OctopusRadius (o cualquier nombre que se quiera utilizar).

  • Authentication Service: Portal Authentication

  • Authentication server address > Add

    • Host: <IP_Radius_1> | Port: 1812 | key: <secret>

    • Host: <IP_Radius_2> | Port: 1812 | key: <secret>

  • Authentication Protocol: PAP Protocol

  • Accounting server address:

    • Host: <IP_Radius_1> | Port: 1813 | key: <secret>

    • Host: <IP_Radius_2> | Port: 1813 | key: <secret>

  • Load balacing mode: Strict accordance with priority

  • MAC address format setting:

    • MAC address separator: Hyphen

    • MAC address case: Uppercase

    • MAC address format: XX-XX-XX-XX-XX-XXXX-XX-XXXX-XX-XX-XX-XX-XX-XX-XX-XX

 

Pulsar “OK” para salvar.

2.2 Access Control List (ACL)

Dentro del menú de la plataforma Huawei, Design > Basic Network Design > Template Management > Policy Template > ACL y crear una nueva.

Dentro de IPv4:

  • Name: OctopusACL (o cualquier nombre que se quiera utilizar).

  • ACL Number: 6000 (o cualquier número entre 6000 y 6031)

  • Rule List > Add:

    • IP / Domain: domain, ip or network

    • Protocol: any

    • Port: any

    • Descripción: Descripción de la entreda.

Dentro del listado de IPs / dominios, añadir:

  • IPs de servidores DNS utilizados en la red.

  • IP del gateway de la red.

  • IP de servidores radius

  • Dominios necesarios para la autenticación. Para ello revisar el listado que viene a continuación.

Si se desean añadir dominios extra (Redes Sociales, Paypal, etc...) pueden consultarse desde el siguiente enlace.

Pulsar “OK” para salvar.

2.3 Configuracion WLAN

Dentro del menú de la plataforma Provision > Site Configuration > Site > AP > SSID y crear uno nuevo o modificar el SSID que queramos integrar el portal cautivo de Octopus Wifi.

Basic Settings:

  • SSID Name: Nombre de la red Wifi Invitados que podrán visualizar los usuarios. Este mismo SSID será necesario configurarlo en Octopus Wifi

  • Working status: On

  • El resto de configuraciones dependerán de la configuración de nuestra red, pero tipicamente:

    • Effective radio: 2.4/5G

    • Network connection mode: NAT

Security Authentication:

  • Authentication mode: Open Network

  • Push Pages (Portal Authentication): Enabled

  • Page pushing mode: Relay Authentication by cloud platform

  • Interconnection mode: RADIUS Relay

  • Page push protocol: HTTPS

  • Third-party portal page authentication parameters

    • Username: username

    • Password: password

    • Parameter name for the authentication success redirect URL: RedirectUrl

    • Parameter name for the authentication failure redirect URL: failure_url

  • RADIUS Relay Server: OctopusRadius (creado anteriormente)

  • Real-time accounting: Enabled

  • Billing reporting cycle (min): 10

  • Default permit rule: OctopusACL (creado anteriormente)

  • Bypass policy: Esta opción es personalizable según las necesidades de cada ciente, pero se aconseja la opción “Authenticated users can continue accessing the network, and new users are not allowed to access the network.” para que no existan conexiones sin registro.

Policy Control: Si se quiere incluir alguna política especial, no es necesario modificar nada para la integración.

Pulsar “OK” para salvar

 

2.4 Política Portal Cautivo

Dentro del menú de la plataforma Huawei, acceder a Admission > Page Management > Portal Page Push Policy y crear una nueva:

 

Name: OctopusPortalPolicy (o cualquier nombre que se quiera utilizar).

Access mode: Wirelless

Site: Site donde se ha creado el SSID Wifi Invitados

Access device type: AP

SSID Matching: Enabled

SSID: Añadir SSID al que queremos asociar el portal.

Push Page Rule

  • Authentication mode: Cloud platform-based relay authenticacion

  • Interconnection mode: Radius Relay

  • URL Template: OctopusURL

  • Thrid-party authentication url: https://<domain-name>/login/hotspot/huawei

Pulsar “Apply” para salvar

2.5 Template URL

Dentro del menú de la plataforma Huawei, Design > Basic Network Design > Template Management > Policy Template > URL Template y crear una nueva.

  • Name: OctopusURL (o cualquier nombre que se quiera utilizar).

  • Template Type: Cloud platform-based relay authentication

  • Parameters in template. Pulsar Crear y en todos seleccionar Replace the existing value of the controller)

    • redirect-url > RedirectUrl

    • user-mac > usermac

    • loginurl > abc

    • ssid > ssid

    • user-ip > userip

    • ap-mac > apmac

 

Pulsar “OK” para salvar.

2.6 Listado MACs autorizadas

Para que la validación de los usuarios funcione correctamente es necesario identificar los NAS que podrán realizar peticiones de autenticación al Servidor Radius. En este caso se debe añadir a la plataforma WIFI la MAC de los equipos en cada Localización. Se pueden observar en: Monitoring > Health > Device 360 > AP y columna MAC Address

 

3- Configuración módulo Enterprise

Para poder integrar las configuraciones de este módulo con la plataforma, es necesario contratar el Módulo Enterprise de Octopus Wifi

3.1  MAC Authentication

Para activar la autenticación por MAC es necesario editar el SSID creado anteriormente destinado para el wifi invitados. Dentro acceder a Provision > Site Configuration > Site > AP > SSID y modificarlo. Dentro de Security Authentication >  Third-party portal page authentication parameters:

  • Portal authentication-free: Enabled

3.2 Configuración funcionalidades “Access Profiles” plataforma Octopus Wifi

A través de la plataforma Octopus es posible configurar una serie de atributos reply de los paquetes Access-Accept, agrupados en los llamados Access Profile. Estos Access Profile, permite activar una serie de funcionalidades en el Huawei. Aunque están disponibles los dictionarys radius más comunes y propietarios de Huawei, a continuación se lista algunos considerados como más interesantes:

Atributo

Descripción

Formato

Atributo

Descripción

Formato

Acct-Interim-Interval

Define el intervalo de tiempo en el que el NAS manda la actualización del paquete accounting con toda la información de sesión del usuario. Tiene que ser configurado en segundos.

Segundos

HW-Input-Peak-Burst-Size

Definen límites de velocidad de bajada para una determinada sesión. Tiene que ser configurado en bits.

Bytes

HW-Output-Peak-Burst-Size

Definen límites de velocidad de subida para una determinada sesión. Tiene que ser configurado en bits.

Bytes

Reply-Message

Útil para funciones de troubleshooting, ya que permite identificar elementos asociados de la plataforma Octopus Wifi, como un access profile, método de acceso , localización, …

 

 

Ejemplo de configuración de un Access Profile con los atributos anteriormente explicados:

 

Para mas información sobre como crear un Access Profile en Octopus Platform ir a Perfiles de Acceso