Arista Networks

Owned by David López Frutos (Unlicensed)
Last updated: Oct 15, 2021 by Santiago Nanclares (Unlicensed)
10 min read

GUÍA DE CONFIGURACIÓN

El objetivo del siguiente manual es una descripción de la configuración necesaria en el equipamiento de Arista Networks para la integración con Octopus Platform

1- Requerimientos previos

  • Si en la instalación existe un firewall que bloquee el tráfico se deberá permitir el acceso libre a ciertos dominios e IPs para habilitar la autenticación de los usuarios.

    • Servidores Radius:

      • Primario: <IP_Radius_1> puertos 1812 y 1813 UDP

      • Secundario: <IP_Radius_2> puertos 1812 y 1813 UDP

    • Servidor Splash Portal: 

      • Dominio <dominio_captive_portal> puertos 80 y 443 TCP

  • Para el funcionamiento de la configuración de los módulos Guest y Enterprise, previamente será necesario contratar las licencias de la plataforma Octopus con los respectivos módulos.

2- Configuración módulo Guest

2.1 Configuración WLAN

El primer paso es crear una nueva red WLAN. Para ello acceder a la pestaña Configuration y acceder a la sección Device Configuration.

Una vez dentro hacer click en la pestaña SSID Profiles para acceder a la configuración de las WLANs.

A continuación, añadir una nueva WLAN. Para ello hacer click en Add New WiFi Profile

Dentro de las opciones de configuración que aparecen, se deben añadir un nombre para el nuevo profile así como el SSID que radiarán los APs.

Además, en Security seleccionar Open como método de autenticación para la nueva WLAN creada:

2.2 Captive Portal

En cuanto a la configuración necesaria para habilitar un portal cautivo externo se debe llevar a cabo dentro de Captive Portal en la propia página de configuración del SSID creado. En primer lugar, marcar la opción Enable Captive Portal y seleccionar dentro de las posibles opciones que aparecen External Splash Page with RADIUS Authentication y rellenar los campos con la siguiente información:

  • Splash Page URL: https://<dominio_captive_portal>/login/hotspot/mojo

  • Shared Secret: xieylpgxoypwzqtb

El siguiente paso es introducir los parámetros que enviará el AP en el HTTP redirect. Para ello, acceder a la opción Advanced Parameters y rellenar todos los campos con la siguiente configuración:

  • Request Attributes:

    • Request Type: res

    • Challenge: challenge

    • Client MAC Address: client_mac

    • AP MAC Address: ap_id

    • AP IP Address: uamip

    • AP Port Number: uamport

    • Failure Count: failure_count

    • Requested URL: userurl

    • Login URL: login_url

    • Logoff URL: logoff_url

    • Remaining Blackout Time: blackout_time

    • Service Identifier: service_id

Por otro lado, dentro del mismo desplegable es necesario rellenar también los campos que aceptará el AP como respuesta, dentro de estos campos se incluye el username y password y la url a la que se redirigirá al usuario tras su validación. A continuación se detallan los parámetros que se deben incluir:

  • Request Attributes:

    • Challenge: challenge

    • Response Type: res

    • Challenge Response: digest

    • Redirect URL: redirect

    • Login Timeout: session_timeout

    • Username: username

    • Password: password

Una vez rellenados los campos hacer click en Save para guardar los cambios realizados..

2.3 Radius Server

A continuación se debe añadir toda la configuración del servidor Radius, para ello hacer click en la opción RADIUS Profiles en Configuration:

Posteriormente pulsamos sobre la opción Add RADIUS Profile:

Y rellenamos los datos con los siguientes parámetros:

  • Profile Name: RADIUS1

  • IP Address: <IP_Radius_1>

  • Authentication Port: 1812

  • Accounting Port: 1813

  • Shared secret: <Secret>

Tras hacer click en OK, configurar los parámetros del segundo servidor Radius con los siguientes datos:

  • Profile Name: RADIUS2

  • IP Address: <IP_Radius_2>

  • Authentication Port: 1812

  • Accounting Port: 1813

  • Shared secret: <Secret>

Por último pulsamos en Radius Settings en la propia página de configuración del SSID creado. Dentro del desplegable que aparece rellenar todos los campos con los siguientes parámetros y seleccionar el Radius de Autenticación y Accounting creados anteriormente:

  • Authentication

    • Called Station ID: %m:%s

    • NAS ID: %m:%s

  • Primary Authentication Server:

    • RADIUS1

  • Secondary Authentication Server:

    • RADIUS2

  • Accounting (se debe habilitar esta opción para realizar el control de las sesiones)

    • Interval: 10 mins

  • Primary Accounting Server:

    • RADIUS1

  • Secondary Accounting Server:

    • RADIUS2

 

 

Una vez rellenados todos los parámetros hacer click en el botón Save para guardar los cambios realizados.

2.4 Walled Garden

Por último dentro de la configuración de la WLAN es necesario incluir los dominios a los que se debe permitir acceso libre dentro del walled garden. Para ello, hacer click en Captive Portal y posteriormente en Add en Walled Garden Sites y añadir todos los dominios necesarios dentro del desplegable que aparece.

Si se desean añadir dominios extra (Redes Sociales, Paypal, etc...) pueden consultarse desde el siguiente enlace.

Una vez realizados todos los cambios tanto en Security como en Captive Portal  se debe salvar la configuración haciendo click en Save.

2.5 Device Templates

Una vez configurado el portal cautivo externo se debe asociar la WLAN creada dentro de una template. Para ello ir a Configuration > Device Configuration > Device Template.

Una vez dentro de dicha pestaña de debe crear una nueva Device Template haciendo click en Add Device Template (si ya existiese una template creada se puede editar dicha template para añadir la WLAN). 

Dentro de las opciones de configuración configurar los siguientes parámetros:

  • Template Name: Template Name

  • Operating Region: Spain

 

A continuación, hay que añadir la WLAN creada anteriormente. Para ello acceder a Radio Settings y hacer click en Define settings for model.

Dentro del desplegable que aparece seleccionar el modelo de AP utilizado en la instalación. Si hay diferentes modelos de APs se deberá repetir este proceso con cada uno de ellos.

Una vez introducido el modelo de AP aparecerán las opciones configurables de dicho modelo y dentro de estas opciones se debe añadir el SSID Profile creado anteriormente. Para ello hacer click en Add SSID Profile y seleccionar el SSID profile que contiene el captive portal:

 

 

Una vez añadida el SSID Profile tanto en la banda de 2.4GHz como en la de 5GHz hacer click en Save para guardar todos los cambios.

Al salvar los cambios si no se ha configurado ninguna contraseña para el acceso a los APs dentro del Template aparecerá un error. Por lo que será necesario añadir una contraseña para poder guardar los cambios realizados. Para ello ir a Device Settings > Device Password y añadir la contraseña para el acceso a los APs.

2.6 Managed devices

Para terminar la configuración de los APs de la instalación es necesario asociar el Device Template creado anteriormente a los APs en los que se desee que se radie el SSID creado. Para ello, acceder a Monitoring > Managed Devices

Una vez dentro seleccionar todos los APs de la instalación que deban radiar el SSID creado anteriormente y hacer click en el botón que aparece al final de la página para cambiar la Template asociada a los APs.

Tras hacer click en dicho botón seleccionar la Template creada en el desplegable y confirmar que deseamos realizar estos cambios.

Por último comprobar que una vez realizados estos cambios se ha asociado la template en los APs.

2.7 Listado MACs Autorizadas

Para que la validación de los usuarios funcione correctamente es necesario identificar los NAS que podrán realizar peticiones de autenticación al Servidor Radius. Se deben añadir la dirección MAC de todos los APs.

Estas direcciones MAC son fácilmente accesibles dentro de Monitoring > Managed Devices:

Para obtener información sobre cómo añadir la dirección MAC de cada AP como un NAS autorizado en la plataforma WIFI consulte el siguiente enlace Localizaciones

3- Configuración módulo Enterprise

Para poder integrar las configuraciones de este módulo con la plataforma, es necesario contratar el Módulo Enterprise de Octopus Wifi

3.1 Configuración Captive portal + MAC Authentication

Para activar la autenticación por MAC es necesario editar el SSID Profile creado. En primer lugar, será necesario crear un role que será asignado a los usuarios que se validen a través de su dirección MAC para evitar que les aparezca el portal cautivo nuevamente.

Para ello ir a Configuration > Device Configuration y hacer click en Role Profiles.

Una vez dentro hacer click en Add Role Profile para crear un nuevo role y configurar los siguientes parámetros:

  • Profile Name: MAC AUTH USER

  • Role: MAC AUTH USER

  • Inherit from SSID: deshabilitar esta opción.

  • VLAN: habilitar esta opción y configurar:

    • VLAN ID: indicar la vlan configurada en la red.

Por último hacer click en Save para guardar el role creado.

A continuación hay que habilitar MAC Authentication dentro del SSID Profile y asignar el role anterior a los usuarios que se validen mediante su dirección MAC.

Para ello ir a Configuration > Device Configuration > SSID Profiles y seleccionar el SSID profile creado anteriormente para poder editar su configuración.

Una vez dentro del SSID Profile desplegar la sección Security y marcar la opción Secondary Authentication:

A continuación marcar la opción RADIUS MAC Authentication y hacer click en RADIUS Settings para configurar los siguientes parámetros:

  • Authentication

    • Called Station ID: %m:%s

    • NAS ID: %m:%s

  • Username and Password:

    • Username: MAC Address with Colon

    • Password: MAC Address with Colon

  • Primary Authentication Server:

    • RADIUS1

  • Secondary Authentication Server:

    • RADIUS2

  • Accounting (se debe habilitar esta opción para realizar el control de las sesiones)

    • Interval: 10 mins

  • Primary Accounting Server:

    • RADIUS1

  • Secondary Accounting Server:

    • RADIUS2

Asociar los servidores radius creados en el punto 2.3 de esta guía

 

Tras hacer click en Save habilitar la opción Assign SSID Profile y seleccionar el role creado anteriormente dentro de Select Role for Successful Clients. De este modo si la autenticación por MAC es correcta el usuario tendrá libre acceso sin necesidad de validarse de nuevo en el portal cautivo.

Una vez realizados todos estos cambios dentro de la edición del SSID Profile hacer click en Save para guardar la nueva configuración.

3.2 Configuración MAC Authentication

Para crear un SSID dedicado únicamente a la validación por MAC Authentication, dirigirse a Configuration y acceder a la sección Device Configuration.

Una vez dentro hacer click en la pestaña SSID Profiles para acceder a la configuración de las WLANs.

A continuación, añadir una nueva WLAN. Para ello hacer click en Add New WiFi Profile.

Dentro de las opciones de configuración que aparecen, se deben añadir un nombre para el nuevo profile así como el SSID que radiarán los APs, por ejemplo Mac_Auth_Guest.

Además, en Security seleccionar Open como método de autenticación para la nueva WLAN creada:

Luego será necesario crear un role que será asignado a los usuarios que se validen a través de su dirección MAC para evitar que les aparezca el portal cautivo.

Para ello ir a Configuration > Device Configuration y hacer click en Role Profiles.

Una vez dentro hacer click en Add Role Profile para crear un nuevo role y configurar los siguientes parámetros:

  • Profile Name: MAC AUTH USER

  • Role: MAC AUTH USER

  • Inherit from SSID: deshabilitar esta opción.

  • VLAN: habilitar esta opción y configurar:

    • VLAN ID: indicar la vlan configurada en la red

 

Por último, hacer click en Save para guardar el role creado.

A continuación, hay que habilitar MAC Authentication dentro del SSID Profile y asignar el role anterior a los usuarios que se validen mediante su dirección MAC.

Para ello ir a Configuration > Device Configuration > SSID Profiles y seleccionar el SSID profile creado anteriormente para poder editar su configuración.

Una vez dentro del SSID Profile desplegar la sección Security y marcar la opción Secondary Authentication:

A continuación, marcar la opción RADIUS MAC Authentication y hacer click en RADIUS Settings para configurar los siguientes parámetros:

  • Authentication

    • Called Station ID: %m:%s

    • NAS ID: %m:%s

  • Username and Password:

    • Username: MAC Address with Colon

    • Password: MAC Address with Colon

  • Primary Authentication Server:

    • RADIUS1

  • Secondary Authentication Server:

    • RADIUS2

  • Accounting (se debe habilitar esta opción para realizar el control de las sesiones)

    • Interval: 10 mins

  • Primary Accounting Server:

    • RADIUS1

  • Secondary Accounting Server:

    • RADIUS2

Asociar los servidores radius creados en el punto 2.3 de esta guía

 

 

 

Tras hacer click en Save habilitar la opción Assign SSID Profile y seleccionar el role creado anteriormente dentro de Select Role for Successful Clients. De este modo si la autenticación por MAC es correcta el usuario tendrá libre acceso a la red.

Una vez realizados todos estos cambios dentro de la edición del SSID Profile hacer click en Save para guardar la nueva configuración.