Ruckus ZoneDirector

GUÍA DE CONFIGURACIÓN

El objetivo del siguiente manual es una descripción de la configuración necesaria en el equipamiento Zone Director de Ruckus para la integración con Octopus Platform

Ruckus Unleashed

Si va a utilizar la versión Ruckus Unleashed, por favor, siga la siguiente guía Ruckus Unleashed

 

1- Requerimientos previos

  • Si en la instalación existe un firewall que bloquee el tráfico se deberá permitir el acceso libre a ciertos dominios e IPs para habilitar la autenticación de los usuarios.

    • Servidores Radius:

      • Primario: <IP_Radius_1> puertos 1812 y 1813 UDP

      • Secundario: <IP_Radius_2> puertos 1812 y 1813 UDP

    • Servidor Splash Portal

      • Dominio <dominio_captive_portal> puertos 80 y 443 TCP

  • Para el funcionamiento de la configuración de los módulos Guest y Enterprise, previamente será necesario contratar las licencias de la plataforma Octopus con los respectivos módulos.

2- Configuración módulo Guest

2.1 Radius Servers

Para configurar todos los parámetros relacionados con el Servidor Radius al que se enviarán las peticiones de validación acceder a Configure > AAA Servers y crear una nueva entrada haciendo click en Create New configurando los siguientes campos:

Radius Authentication:

  • Name: RADIUS

  • Type: RADIUS

  • Auth Method: PAP

  • Backup RADIUS: Enable

  • IP Address First Server: <IP_Radius_1>

  • Port: 1812

  • Sharet Secret: <Secret>

  • Confirm Secret: <Secret>

  • IP Address Second Server: <IP_Radius_2>

  • Port: 1812

  • Sharet Secret: <Secret>

  • Confirm Secret: <Secret>

  • Request timeout: 3 seconds

  • Max Numbers of Retries: 2 times

Radius Accounting:

  • Name: RADIUS_acct

  • Type: RADIUS Accounting

  • Backup RADIUS: Enable

  • IP Address First Server:<IP_Radius_1>

  • Port: 1813

  • Sharet Secret: <Secret>

  • Confirm Secret: <Secret>

  • IP Address Second Server: <IP_Radius_2>

  • Port: 1813

  • Sharet Secret: <Secret>

  • Confirm Secret: <Secret>

  • Request timeout: 3 seconds

  • Max Numbers of Retries: 2 times

2.2 Captive Portal

A continuación se debe configurar el portal cautivo de la plataforma WIFI. Para ello ir a Configure > Hotspot Services y crear un nuevo Hotspot Service configurando los siguientes parámetros:

  • Name: WIFI

  • WISPr Smart Client Support: None

  • Login Page (revisar apartado 2.5 para que la redirección de la url sea http o https):

    • Opción https: https://<dominio_captive_portal>/login/hotspot/ruckus

    • Opción http: http://<dominio_captive_portal>/login/hotspot/ruckus

  • After user is authenticated: Seleccionar Redirect to the URL that the user intends to vist si se desea gestionar la redirección desde la plataforma WIFI.

  • Authentication Server: seleccionar el servidor Radius de Authentication creado anteriormente. En el caso del ejemplo sería: RADIUS

  • Accounting Server: seleccionar el servidor Radius de Accounting creado anteriormente. En el caso del ejemplo sería: RADIUS_acct

  • Send Interim-Update every: 10 minutes

  • Walled Garden: añadir los dominios a los que los usuarios tendrán acceso libre antes de validarse en el portal cautivo.

Si se desean añadir dominios extra (Redes Sociales, Paypal, etc...) pueden consultarse desde el siguiente enlace.

2.3 WLANs

Una vez creado el Hotspot Service se debe asociar al SSID que radiarán los APs. Para ello ir a Configure > WLANs y crear una nueva WLAN o modificar una ya existente configurando los siguientes parámetros:

  • Name/ESSID: configurar SSID que radiarán los APs

  • WLAN Usages Type: Hotspot Service (WISPr)

  • Authentication Method: Open

  • Encryption Method: None

  • Hotspot Services: seleccionar el portal cautivo creado anteriormente. En el ejemplo sería "WIFI"

  • Access VLAN – VLAN ID: se puede configurar la VLAN asociada al SSID.

Por último es necesario crear o editar el WLAN Group para incluir la WLAN dentro de dicho grupo. Para editar el grupo dentro de Configure > WLANs > WLAN Groups y seleccionar la WLAN que se desee que radian los APs asociados a dicho grupo.

2.4 Configuración Called-Station-ID

IMPORTANTE: Es necesario cambiar el formato del Called Station ID que envía el equipo, lo cual únicamente se puede realizar por comandos. Por lo que es necesario acceder al equipo por SSH y una vez dentro del equipo ejecutar los siguientes comandos:

  • enable, para entrar en modo privilegiado.

  • config, para entrar en modo configuración global.

  • wlan nombre_wlan, para entrar en la configuración de la WLAN en cuestión donde se activará el hotspot.

  • called-station-id-type ap-mac, para cambiar el formato de envío a nuestro servidor.

  • end, para salirse de la configuración y guardar los cambios realizados

 

2.5 Opción configuración proceso login: HTTP o HTTPS

Existen dos opciones de configuración para la validación del portal cautivo: Una a través de conectividad http, donde el tráfico no iría cifrado y otra a través de https.

Opción HTTP

Dejando valores por defecto, podremos utilizar esta configuración.

Opción HTTPS

Si se elige configurar este opción de validación segura es muy importante saber que es necesario una resolución DNS entre el subdominio asociado al certificado y la IP del controlador, de lo contrario las validaciones no se redirigirán al ZoneDirector y se producirán errores de autenticación. Esta entrada DNS se deberá configurar en los servidores DNS entregados por DHCP a los clientes.

Lo primero, será cargar un nuevo certificado en el controlador asociado al subdomino para realizar el login. Para ello acceder a Configure > Certificate y dentro de la pestaña Import Signed Certificate hacer click en el botón Seleccionar archivo para subir el archivo proporcionado:

El primer certificado que se debe subir es el archivo securelogin.xxxxxxx.pem. Una vez que se ha elegido el archivo, seleccionar la opción Accept this certificate and then install a private key to match your certificate y hacer click en el botón Import.

A continuación es necesario subir el segundo certificado: certificate.key. Una vez seleccionado en el desplegable, seleccionar la opción Install this certificate and additional intermediate certificates y hacer click en el botón Import.

Tras subir la key del certificado es necesario subir el último certificado proporcionado. Para ello, seleccionar el certificado certificate.ca.crt en la pestaña Import Intermediate Certificates y seleccionar la opción Install this intermediate certificate and then reboot y hacer click en el botón Import.

Tras hacer click en Import el controlador se reiniciará para aplicar los cambios.

IMPORTANTE

En el controlador Zone Director el cambio de certificado para el portal cautivo también afecta al certificado que se usa para acceder a la gestión del controlador vía web. Por lo que para poder acceder al dispositivo será necesario usar un acceso HTTPS y con la dirección IP del controlador. Si por el contrario se accede mediante HTTP será redirigido al dominio securelogin.<dominio_certificado> y no podrá acceder al equipo si no se ha añadido una entrada estática en el DNS que asocie dicho dominio a la IP del controlador.

2.6 Listado MACs Autorizadas

Para que la validación de los usuarios funcione correctamente es necesario identificar los NAS que podrán realizar peticiones de autenticación al Servidor Radius. En este caso se deben añadir todas las direcciones MAC de los Access Point que radiarán el SSID configurado. Estas direcciones MAC son fácilmente accesibles desde Monitor > Access Points

Para obtener información sobre cómo añadir la dirección MAC de cada AP como un NAS autorizado en la plataforma consulte el siguiente enlace Localizaciones

3- Configuración módulo Enterprise

Para poder integrar las configuraciones de este módulo con la plataforma, es necesario contratar el Módulo Enterprise de Octopus Platform

3.1 Configuración Captive portal + MAC Authentication

Si se desea configurar la funcionalidad que permitiría que las MAC dadas de alta en la plataforma WIFI puedan validarse una segunda vez directamente sin que les aparezca a los usuarios el portal cautivo, es necesario realizar una configuración adicional en el ZoneDirector. Dirigirse a Configure > Hotspot Services y seleccionar el que se quiera editar

  • Authentication Server: Seleccionar el Radius Authentication creado en el punto 2.1 de este manual.

  • Activar la casilla "Enable MAC authentication bypass (no rediretion)".

  • Marcar "Use device MAC address as authentication password".

  • MAC Address Format: Seleccionar el formato de la MAC con división por puntos.

  • Accounting Server: Seleccionar el Radius Accounting creado en el punto 2.1 de este manual.

  • Send Interim-Update every: 10 minutes

3.2 Configuración MAC Authentication

Para crear un SSID dedicado únicamente a la validación por MAC Authentication, dirigirse a Configure > WLANs y crear una nueva WLAN o modificar una ya existente configurando los siguientes parámetros:

  • Name/ESSID: configurar SSID que radiarán los APs por ejemplo Mac_Auth_Guest

  • WLAN Usages Type: Starndar Usage

  • Authentication Method: MAC Address

  • Encryption Method: None

  • Access VLAN – VLAN ID: se puede configurar la VLAN asociada al SSID.

  • Authentication Server: Seleccionar el Radius Authentication creado en el punto 2.1 de este manual.

  • MAC Address Format: aa:bb:cc:dd:ee:ff

 

3.3 Configuración Access Profiles

A través de la plataforma Octopus es posible configurar una serie de atributos reply de los paquetes Access-Accept, agrupados en los llamados Access Profile. Estos Access Profile, permite activar una serie de funcionalidades en el Ruckus. Aunque están disponibles los dictionarys radius más comunes y propietarios de Ruckus, a continuación se lista algunos considerados como más interesantes:

Atributo

Descripción

Formato

Atributo

Descripción

Formato

Idle-Timeout

Tiempo máximo de inactividad. Si el usuario no transfiere ningún dato en la red durante este tiempo, la sesión terminará y tendrá que volver a autenticarse. Tiene que ser configurado en segundos.

Segundos

Acct-Interim-Interval

Define el intervalo de tiempo en el que el NAS manda la actualización del paquete accounting con toda la información de sesión del usuario. Tiene que ser configurado en segundos.

Segundos

WISPr-Bandwidth-Max-Down

Define límites de velocidad de bajada. Tiene que ser configurado en Bytes.

Bytes

WISPr-Bandwidth-Max-Up

Define límites de velocidad de subida. Tiene que ser configurado en Bytes.

Bytes

Reply-Message

Útil para funciones de troubleshooting, ya que permite identificar elementos asociados de la plataforma Octopus Wifi, como un access profile, método de acceso , localización, …

 

Ejemplo de configuración de un Access Profile con los atributos anteriormente explicados:

 

Para mas información sobre como crear un Access Profile en Octopus Platform ir a Perfiles de Acceso