Ruijie
GUÍA DE CONFIGURACIÓN
El objetivo del siguiente manual es una descripción de la configuración necesaria en el equipamiento Ruijie para la integración con Octopus Platform. La configuración aquí presente es relativa a la activación de la autenticación en una WLAN mediante la activación de un portal cautivo externo junto con RADIUS, por lo que la configuración interna de la red así como la topología de la misma quedan fuera del alcance de este manual de configuración.
1- Requerimientos previos
Si en la instalación existe un firewall que bloquee el tráfico se deberá permitir el acceso libre a ciertos dominios e IPs para habilitar la autenticación de los usuarios.
Servidores Radius:
Primario: <IP_Radius_1> puertos 1812 y 1813 UDP
Secundario: <IP_Radius_2> puertos 1812 y 1813 UDP
Servidor Splash Portal:
Dominio <dominio_captive_portal> puerto 80 TCP
Para el funcionamiento de la configuración de los módulos Guest y Enterprise, previamente será necesario contratar las licencias de la plataforma Octopus con los respectivos módulos.
La configuración abajo indicada puede realizarse tanto para el uso mediante AC + APs (realizándose la configuración sobre el AC) como para su uso sin AC (realizando la configuración directamente en el AP elegido), en esta guía se usará el modelo AC + APs.
Hay que destacar que este fabricante no permite autenticación mediante el uso de cifrado HTTPS, por lo que únicamente se podrá configurar sobre HTTP y por tanto, el método de acceso “login mediante cuenta de Google” no estará disponible, siendo un requerimiento del propio Google el uso de HTTPS en las comunicaciones.
2- Configuración acceso Portal Cautivo Externo + Mac Caching (módulo Enterprise)
Para realizar la configuración de los equipos, la mayoría de la misma se realizará por comandos, para ello desde la propia interfaz web del equipo, podemos acceder a la consola web ( (o mediante SSH si se ha configurado previamente):
2.1 Radius Server
El primer paso para configurar los equipos de Ruijie será añadir los Servidores Radius tanto para la Autenticación de los usuarios como para el envío de los paquetes de Accounting. Para ello ejecutamos los siguientes comandos:
Para ello desde la propia interfaz web del equipo, podemos acceder a la consola web ( (o mediante SSH si se ha configurado previamente) y ejecutar los siguientes comandos:
#entrar en modo configuración
AC# con ter
#lanzamos tantos radius como IPs tengamos
AC(config)# radius-server host <IP_Radius_1> key <secret>
#creamos un modelo y grupo y lo asignamos como AAA
AC(config)# aaa new-model
AC(config)# aaa groupserver radius octopus_radius
#añadimos tantos como tengamos
AC(config-gs-radius)# server <IP_Radius_1>
AC(config-gs-radius)# exit
AC(config)# aaa authentication cpweb octopus group octopus_radius
AC(config)# aaa accounting network octopus start-stop group octopus_radius
AC(config)# aaa authentication dot1x octopus group octopus_radius
#guardamos configuración
AC(config)# wr
2.2 Servidor local HTTP Autenticador
Levantamos el servidor local del AC / AP que recibirá las peticiones de autenticación por parte del portal cautivo externos. Para ello ejecutamos los comandos:
#entrar en modo configuración
AC# con ter
#activamos el servidor local en la ip 1.1.1.1
AC(config)# web-auth auth-server ip 1.1.1.1
#en http (no permite https)
AC(config)# web-auth auth-server http
#y por ultimo indicamos la url que recibirá los datos de autenticación
AC(config)# web-auth auth-server submit-url http://1.1.1.1:8082/login
#guardamos configuración
AC(config)# wr
MUY IMPORTANTE: El servidor local únicamente responde en la IP 1.1.1.1 en el puerto 8082 (si se configura una IP distinta de esta, no funcionará la integración). La URL configurada también debe ser la indicada arriba, de lo contrario no funcionará el portal.
2.3 Activación template Octopus
Para que el AC / AP maneje la redirección al portal cautivo, vamos a activar la plantilla correspondiente y a asignar los datos del portal. Para ello ejecutamos los comandos:
#entrar en modo configuración
AC# con ter
#activamos la plantilla para su configuración
AC(config)# web-auth template cpweb
#indicamos la IP del portal cautivo externo proporcionada
AC(config.tmplt.cpweb)#ip <IP_Portal>
#indicamos la url a la que se redirigirá la petición
AC(config.tmplt.cpweb)# url http://<dominio_captive_portal>/login/hotspot/ruijie
#por ultimo activamos el envio extendido de parametros al portal cautivo
AC(config.tmplt.cpweb)# fmt custom encry none ac-name wlanacname ap-mac wlanapmac mac-format none ap-name wlanapname nas-ip wlannasip ssid ssid url url user-ip wlanuserip user-mac mac mac-format none
AC(config.tmplt.cpweb)# end
#guardamos configuración
AC(config)# wr
2.4 Activación autenticación en WLAN
Activamos la autenticación mediante el portal cautivo para la WLAN requerida mediante la ejecución de los comandos:
#entrar en modo configuración
AC# con ter
#seleccionamos la WLAN requerida, el ID lo podemos obtener de la WLAN creada en la interfaz web o ya existente en el AC / AP
AC(config)# wlansec <WLAN_ID>
#activamos el portal y el cacheo mac
AC(config-wlansec)# dot1x-mab
AC(config-wlansec)# dot1x authentication octopus
AC(config-wlansec)# dot1x accounting octopus
AC(config-wlansec)# web-auth accounting cpweb octopus
AC(config-wlansec)# web-auth authentication cpweb octopus
AC(config-wlansec)# web-auth portal cpweb
AC(config-wlansec)# webauth
AC(config-wlansec)# exit
#guardamos configuración
AC(config)# wr
2.5 Walled Garden
Una vez realizada la configuración se deben añadir los dominios del Walled Garden a los que el usuario tendrá acceso libre. A continuación se muestra un ejemplo de como se realizaría mediante la interfaz web para añadir los dominios dentro del DNS Whitelist, para ello debemos acceder al apartado: Authentication → web auth → Advanced settings. Debemos habilitar el check “Whitelisted URL enable” y añadir todos los dominios que sean necesarios para el funcionamiento del portal cautivo:
Si se desean añadir dominios extra (Redes Sociales, Paypal, etc...) pueden consultarse desde el siguiente enlace