Huawei Access Controller (AC)
- Marce De Miguel (Unlicensed)
- Pedro Doroshenko
- Fernando Rudilla García (Unlicensed)
- Santiago Nanclares (Unlicensed)
GUÍA DE CONFIGURACIÓN
El objetivo del siguiente manual es una descripción de la configuración necesaria en el equipamiento Huawei Access Controller para la integración con Octopus Platform
1- Requisitos previos
Si en la instalación existe un firewall que bloquee el tráfico se deberá permitir el acceso libre a ciertos dominios e IPs para habilitar la autenticación de los usuarios.
Servidores Radius:
Primario: <IP_Radius_1> puertos 1812 y 1813 UDP
Secundario: <IP_Radius_2> puertos 1812 y 1813 UDP
Servidor Splash Portal:
Dominio <dominio_captive_portal> puertos 80 y 443 TCP
Para el funcionamiento de la configuración de los módulos Guest y Enterprise, previamente será necesario contratar las licencias de la plataforma Octopus con los respectivos módulos.
Por otro lado, en la configuración de red del wifi invitados donde se integrará el portal cautivo, se creará una vlan con servidor DHCP, cuya puerta de enlace será el controlador. Si hubiese cualquier otro tipo de configuración pongasé en contacto con el equipo de soporte por si hubiese que realizar cualquier cambio.
2- Configuración módulo Guest
2.1 RADIUS Server
Dentro de la interfaz web del controlador, acceder a Configuration > Security > AAA y dentro de la pestaña RADIUS ir a la sección RADIUS Server Profile, hacer click en el botón Create para añadir un nuevo profile.
Una vez creado acceder a la configuración del Radius Server Profile y configurar los siguientes parámetros:
Profile name: Nombre identificador del radius, por ejemplo: OctopusRadiusProfile
Mode: Active/Standby mode
Profile default shared key: <secret>
Pulsar el botón Create Server
IP Address <IP_Radius_1>
Shared secret: <secret>
Server Settings:
Authentication: Enabled
Port number: 1812
Weight: 1
Accounting: Enabled
Port number: 1813
Weight: 2
Crear el segundo volviendo a pulsar Create Server
IP Address <IP_Radius_2>
Shared secret: <secret>
Server Settings:
Authentication: Enabled
Port number: 1812
Weight: 1
Accounting: Enabled
Port number: 1813
Weight: 2
2.2 ACL
Acceder a Configuration > Security > ACL > Domain Name Configuration, donde se añadirán los diferentes dominios de servicio necesarios que tendrán libre acceso sin necesidad que los usuarios estén autenticados.
Para añadir uno nuevo pulsar el botón Create
Domain name ID: Identificador único.
Domain name: Dominio o subdominio a incluir.
Añadir todos los básicos necesarios más los necesarios para el funcionamiento del servicio dependiendo de los métodos de acceso.
Si se desean añadir dominios extra (Redes Sociales, Paypal, etc...) pueden consultarse desde el siguiente enlace.
Una vez añadidos los dominios hay que crear un ACL que contenga una regla para cada dominio. Para ello acceder dentro de ACL a la pestaña User ACL Settings.
Pulsar en Create para añadir un nuevo ACL:
ACL name: Nombre identificativo, por ejemplo ACL_Octopus
ACL number: 6000
Una vez creado y aparezca en el listado, pulsar en el enlace “Add Rule” por cada uno de los subdominos añadidos anteriormente en Domain Name Configuration
Rule ID: Identificador numérico, que debe ser diferente para cada una de las reglas
Action: Permit
Protocol type: IP
Dest domain: añadir el dominio
Tras añadir cada regla, hacer click en OK para añadir la regla al ACL.
2.3 Captive Portal
Dentro del interfaz web, en Configuration > Security > AAA > Portal Server Global Configuration > External Portal
HTTP Protocol : Enabled
HTTP interoperation mode: HTTP-based
Por number for listening to HTTP packets: 2000
Dentro de Portal Authentication Sever List, pulsar Create
Server name: nombre identificativo, por ejemplo: cp_Octopus
Server IP: La puerta de enlace de la interfaz guest. Por ejemplo 10.10.0.1
Protocol type: HTTP
URL: http://<domain-name>/login/hotspot/huawei
URL Option Settings:
AC-MAC keyword: acmac
User access URL keyword: RedirectUrl
User IP address keyword: userip
login URL keyword/Login URL: abc / http://<puerta-enlace>:2000/login.html
AP-MAC keyword: apmac
User-MAC keywork: usermac
SSID keyword: ssid
Parameter Parting Configuration
Password encryption mode: Non-encryption
User name keyword: username (default)
Password keyword: password (default)
Original URL keyword: RedirectUrl
Login success response: Redirect to the original URL
Login failure response: Redirect to the specified URL
http://<domain-name>/login/hotspot/error/huawei
2.4 Portal Profile
Para crear un Portal Profile acceder a Configuration > AP Config> Profile > AAA y seleccionar Portal Profile.
Pulsar en el botón Create para añadir el nuevo profile.
Profile name: Nombre identificativo, por ejemplo portalAccessProfile_Octopus
Abrir el profile creado en el desplegable y configurar:
Portal Authentication: External portal server
Interoperation protocol: Portal
Primary Portal server group: el creado anteriormente, en el ejemplo cp_Octopus
2.5 Authentication-free Rule Profile
Para crear un Authentication-free Profile acceder a Configuration > AP Config> Profile > AAA y seleccionar Authentication-free Rule Profile.
Pulsar en el botón Create para añadir el nuevo profile.
Profile name: Nombre identificativo, por ejemplo freeRuleProfile_Octopus
Abrir el profile creado en el desplegable y seleccionar:
Control mode: ACL
ACL number: 6000
2.6 Athentication Scheme
Para crear un Authentication Scheme acceder a Configuration > AP Config> Profile > AAA y seleccionar Authentication Scheme.
Pulsar en el botón Create para añadir el nuevo profile.
Profile name: Nombre identificativo, por ejemplo AuthScheme_Octopus
Abrir el profile creado en el desplegable y configurar:
First Authentication: RADIUS authentication
2.7 Accounting Scheme
Para crear un Accounting Scheme acceder a Configuration > AP Config> Profile > AAA y seleccionar Accounting Scheme.
Pulsar en el botón Create para añadir el nuevo profile.
Profile name: Nombre identificativo, por ejemplo AcctScheme_Octopus
Abrir el profile creado en el desplegable y seleccionar:
Accounting Mode: RADIUS accounting
Real-time accounting: Enabled
Real-time accounting interval (min): 10
2.8 Authentication Profile
Para crear un Authentication Profile acceder a Configuration > AP Config> Profile > AAA y seleccionar Authentication Profile.
Pulsar en el botón Create para añadir el nuevo profile.
Profile name: Nombre identificativo, por ejemplo authProfile_Octopus
Abrir el profile creado en el desplegable e ir configurando:
Portal Profile: Pulsar en los tres puntos y seleccionar el creado anteriormente: En el ejemplo: portalAccessProfile_Octopus
Authentication-free Rule Profile: Pulsar en los tres puntos y seleccionar el creado anteriormente: En el ejemplo: freeRuleProfile_Octopus
Radius Server Profile: Seleccionar el creado anteriormente: Octopus_Radius
Authentication Scheme: Seleccionar el creado anteriormente: authScheme_Octopus
Accounting Scheme: Seleccionar el creado anteriormente: acctScheme_Octopus
2.9 VAP Profile
Por último será necesario crear un VAP Profile asociado al AP Group en el que se quiera radiar el nuevo SSID con el portal cautivo (Si no existe el AP Group también deberá ser creado) Para crear el nuevo VAP profile ir a AP Config > AP Group y acceder al AP Group en el que estén asociados los APs.
Dentro del AP Group pulsar en VAP Configuration y pulsar en Create para añadir uno nuevo:
VAP profile name: vapProfile-Octopus
WLAN ID: identificador de la WLAN no utilizado
Una vez configurado, seleccionar los parámetros dependiendo de nuestra topología de red: Forwarding mode, VLAN ID, etc.
Dentro del desplegable del profile configurar:
SSID Profile: Crear uno nuevo con un nombre identification, por ejemplo ssid_Guest
SSID: El nombre de la red que será visible por los usuarios.
Security Profile: Crear uno nuevo con un nombre identification, por ejemplo securityprofile_Octopus
Security Policy: Open
Authentication Profile: Seleccionar el creado anteriormente, en el ejemplo authProfile_Octopus
No olvidar pulsar el botón Save de la cabecera para guardar toda la configuración.
2.10 Validación en modo seguro
En caso de querer configurar que todo el proceso de login sea HTTPS y los datos vayan encriptados, serán necesarios seguir los siguientes pasos.
Lo primero será generar un certificado en formato pem o p12, asociado a un subdominio con un registro DNS que resuelva a la IP del controlador, donde se realizará el login (En el ejemplo 10.10.0.1)
Para importan el certificado dentro de la configuración del controlador dirigirse a Configuration > Security > Certificate Management
Pulsar Upload Certificate:
Certificate name: Nombre identificativo del certificado. Por ejemplo: portal_securelogin
Certificate type: Si es importado elegir Local+CA+Private key
Certificate format: Seleccionar dependiendo del formato que hayamos generado.
Certificate file: Seleccionar el certificado dentro nuestro PC.
Certificate password: Password de protección del archivo con los certificados.
Pulsar “OK” y si todo es correcto ya aparecerá en el listado.
A continuación dentro del interfaz dirigirse a Configuration > Security > SSL
Pulsar en Create:
SSL policy name: Nombre identificativo, por ejemplo ssl-Securelogin.
SSL policy type: Server
Certificate Name: Seleccionar el anteriormente creado, en el ejemplo portal_securelogin
SSL protocol: se aconseja solo tls 1.2
Support cipher suite: Ambas opciones.
A continuación dentro del interfaz dirigirse a Configuration > Security > AAA > Portal Server Global Configuration > External Portal
Http Protocol: HTTPS-based
SSL Policy: Seleccionar SSL policy name creado anteriormente, en el ejemplo ssl-Securelogin
Port number for listening to HTTP packets: 8443
Dentro de Portal Authentication Server List Editar el server creado para la integración, en el ejemplo cp_Octopus
URL: Ponerla con https: https://<domain-name>/login/hotspot/huawei
URL Opcions settings > Login URL keyword/Login URL: Poner la URL también https y el subdominio al cual resuelve el certificado y cuyo registro DNS resuelve a la IP del interfaz del controlador: abc / https://<certificate-domainname>:8443/login.html
2.11 Listado MACs Autorizadas
Para que la validación de los usuarios funcione correctamente es necesario identificar los NAS que podrán realizar peticiones de autenticación al Servidor Radius. En este caso se deben añadir todas las direcciones MAC de los Access Point que radiarán el SSID configurado. Para poder ver las direcciones MAC de los APs ir a Configuration > AP Config > AP Config y en la lista de APs, columna AP MAC, se encuentran la MAC necesarias.
Para obtener información sobre cómo añadir la dirección MAC de cada AP como un NAS autorizado en la plataforma consulte el siguiente enlace Localización
3- Configuración módulo Enterprise
Para poder integrar las configuraciones de este módulo con la plataforma, es necesario contratar el Módulo Enterprise de Octopus Wifi
3.1 Configuración Captive portal + MAC Authentication
Crear un MAC Authentication Profile, para ello acceder a Configuration > AP Config> Profile > AAA y seleccionar MAC Authentication Profile.
Pulsar en el botón Create para añadir el nuevo profile.
Profile name: Nombre identificativo, por ejemplo macAuth_Octopus
Abrir el profile creado en el desplegable y configurar:
User name mode: MAC address
MAC address: xx-xx-xx-xx-xx-xx
MAC address case: Uppercase
Dentro de Profile > Authentication Profile y desplegar el que queremos asignar el MAC Authentication Profile. En el ejemplo authProfile_Octopus
MAC Authentication Profile.: Pulsar en los tres puntos y seleccionar el creado anteriormente: En el ejemplo: macAuth_Octopus
Por último seleccionar el Authentication Profile.
Portal option: Portal server-based MAC authentication: Enabled
Tras realizar estos cambios hacer click en el botón Apply para que se apliquen los cambios. Por último hacer click en el botón Save para salvar la nueva configuración.
3.2 Configuración MAC Authentication
Para crear un SSID dedicado únicamente a la validación por MAC Authentication, primero será necesario crear una nueva WLAN con la siguiente configuración:
SSID Name: Nombre que radiara el AP
Forwarding mode: Tunnel
Haga click en Next y en el apartado Security Authentication realizar la siguiente configuración:
Security settings: Open (applicable to personal networks)
Hacer click en siguiente y en la sección de Access control configurar:
Binding the AP group: ap-group1
Finish
Después, diríjase a Configuration > AP Config > AP Group y configurar el AP group en el cual queramos configurar la autenticación MAC, ir a VAP Configuration > wlan-net > Authentication Profile haga click en crear para crear un nuevo MAC Authentication profile y haga click en apply.
3.3 Configuración Access Profiles
A través de la plataforma Octopus es posible configurar una serie de atributos reply de los paquetes Access-Accept, agrupados en los llamados Access Profile. Estos Access Profile, permite activar una serie de funcionalidades en el Huawei. Aunque están disponibles los dictionarys radius más comunes y propietarios de Huawei, a continuación se lista algunos considerados como más interesantes:
Atributo | Descripción | Formato |
|---|---|---|
Acct-Interim-Interval | Define el intervalo de tiempo en el que el NAS manda la actualización del paquete accounting con toda la información de sesión del usuario. Tiene que ser configurado en segundos. | Segundos |
HW-Input-Peak-Burst-Size | Definen límites de velocidad de bajada para una determinada sesión. Tiene que ser configurado en bits. | Bytes |
HW-Output-Peak-Burst-Size | Definen límites de velocidad de subida para una determinada sesión. Tiene que ser configurado en bits. | Bytes |
Reply-Message | Útil para funciones de troubleshooting, ya que permite identificar elementos asociados de la plataforma Octopus Wifi, como un access profile, método de acceso , localización, … |
|
Ejemplo de configuración de un Access Profile con los atributos anteriormente explicados:
Para mas información sobre como crear un Access Profile en Octopus Platform ir a Perfiles de Acceso