Содержание

• Предварительные требования
• Вход в панель управления Cisco Catalyst 9800
• Настройка безопасного RADIUS подключения
• Настройка WLAN AA Policy
• Настройка Hotspot 2.0
• Настройка профиля беспроводной сети
• Связывание профиля безопасности с беспроводной сетью
• Настройка Policy Profile
• Настройка Policy Tag
• Конфигурация AT&T MNC / MCC

Cisco Catalyst 9800 — Конфигурация Passpoint

Предварительные требования

1. Доступ к панели управления Cisco WLC с правами администратора.
2. Информация о назначенных RADIUS серверах (IP-адрес сервера, номера портов, общие секреты):
   1. Email или документ с этой информацией
      
      ИЛИ
      
   2. Доступ к консоли управления WiFly — Войти или Открыть аккаунт

Вход в панель управления Cisco Catalyst 9800 Series Wireless Controller

Чтобы начать процесс конфигурации, войдите в панель управления Cisco Catalyst 9800-CL Wireless Controller как администратор. Для существующих сред с дополнительными пользователями войдите как пользователь с правами администратора.

Появится панель управления Cisco Catalyst 9800-CL Wireless Controller. Ваши точки доступа будут отображены.

Примечание: Существует множество опций, которые вы можете настроить. Показаны только те опции, которые требуют вашего ввода. Для опций, не требующих настройки, используются значения по умолчанию.

Настройка безопасного RADIUS подключения

Важно настроить безопасное RADIUS подключение между контроллером беспроводной сети и WiFly. Мы рекомендуем создать первичный и вторичный RADIUS сервер для высокой доступности. Затем создайте группу серверов и добавьте эти серверы в группу.

Добавление RADIUS серверов аутентификации и учета

1. Выберите Configuration > Security > AAA из меню слева в панели управления.
   Появится страница AAA.
2. Убедитесь, что выбраны RADIUS и Servers.
3. Нажмите + Add под Servers/Groups.
   Появится диалоговое окно Create AAA Radius Server.
4. Введите Name, например, «Primary_radius».
5. В поле Server Address введите IP-адрес первичного Radius сервера (из консоли)
6. В поле Key введите значение, которое будет предоставлено WiFly, затем введите то же значение в Confirm Key.
7. Убедитесь, что Auth Port установлен как auth port из консоли (RADIUS аутентификация) и Acct Port как acct port из консоли (RADIUS учет).
8. Для Server Timeout введите «30» секунд. Это максимальный таймаут, рекомендованный в RFC 5080.
9. Нажмите Apply to Device внизу справа.
   Вы вернетесь на страницу AAA, где будет указан добавленный вами сервер.
   
10. Чтобы просмотреть или изменить значения сервера, выберите сервер в списке.
11. Повторите шаги 3-10, чтобы добавить вторичный RADIUS сервер (из консоли)

Добавление группы RADIUS серверов

Используя группу серверов, вы можете отделить запросы аутентификации WiFly от остальной части вашей сети. Если вы не создадите группу серверов, контроллер будет отправлять запросы аутентификации в группу серверов по умолчанию, которая может содержать серверы, не связанные с WiFly.

1. Перейдите в Configuration > Security > AAA.
2. На странице AAA, под Servers/Groups, выберите вкладку Server Groups.
3. Убедитесь, что выбраны RADIUS и Server Groups.
4. Нажмите + Add под Servers/Groups. Появится диалоговое окно Create AAA Radius ServerGroup.
   
5. Введите Name, например, «WiFly_RADIUS».
6. Выберите все ваши RADIUS серверы в разделе Available Servers.
7. Нажмите >, чтобы переместить серверы в Assigned Servers.

Нажмите Apply to Device внизу справа.
Вы увидите сообщение о том, что конфигурация была сохранена. Вы вернетесь на страницу AAA, где будет указана добавленная вами группа серверов.

Создание AAA Method List

1. Перейдите в Configuration > Security > AAA > AAA Method List
2. Выберите вкладку Authentication и нажмите + Add
   Появится окно Quick Setup : AAA Authentication.
   
3. Введите Method List Name, например, «guest_auth«.
4. Для категории Type выберите dot1x из выпадающего меню.
5. Для категории Group Type выберите group из выпадающего меню.
6. Выберите все группы RADIUS серверов, созданные ранее, в разделе Available Server Groups.
7. Нажмите >, чтобы переместить серверы в Assigned Servers Groups.
8. Нажмите Apply to Device внизу справа.
9. Выберите вкладку Accounting слева и нажмите + Add
   Появится окно Quick Setup : AAA Accounting.
10. Введите Method List Name, например, «guest_acct«.
11. Для категории Type выберите identity из выпадающего меню.
12. Выберите все группы RADIUS серверов, созданные ранее, в разделе Available Server Groups.
13. Нажмите >, чтобы переместить серверы в Assigned Servers Groups.
14. Нажмите Apply to Device внизу справа.

Настройка WLAN AA Policy

1. Перейдите в Configuration > Security > Wireless AAA Policy
2. Нажмите + Add
   Появится диалог Add Wireless AAA Policy.

3. Введите Policy Name, например, «WiFly»
4. В NAS-ID Option 1 выберите AP MAC Address

5. Нажмите Apply to Device внизу справа.

Настройка Hotspot 2.0

Hotspot 2.0 позволяет мобильным устройствам автоматически подключаться к WiFi сети, в том числе во время роуминга, когда устройства входят в зону Hotspot 2.0.

Настройка параметров ANQP сервера

Access Network Query Protocol (ANQP) предоставляет ряд информации, такой как тип и доступность IP-адреса, а также партнеров по роумингу, доступных через точку доступа.

1. Выберите Configuration > Wireless > Hotspot/OpenRoaming из меню слева в панели управления.

Появится страница Hotspot/OpenRoaming.

2. Нажмите + Add под ANQP Servers.
Появится диалоговое окно Add New ANQP Server. Вкладка General/OpenRoaming выбрана.

Настройки General/OpenRoaming

1. В диалоговом окне Add New ANQP Server введите Name для сервера, например, «WiFly».
2. Установите флажок рядом с Internet Access.
3. Для Network Type выберите Free Public.

4. В секции NAI Realms внизу слева нажмите + Add.
Появится страница Add NAI Realm.


5. В поле NAI Realm Name введите значение, связанное с доменом вашей домашней сети, как указано в панели управления WiFly.
6. Для EAP Method выберите eap-ttls.
Появится диалоговое окно EAP-TTLS.
7. Выберите inner-auth-non-eap и установите флажок рядом с mschap2. Это метод EAP аутентификации.
8. Нажмите Save внизу диалогового окна EAP-TLS.
9. Нажмите Apply to Device внизу диалогового окна Add NAI Realm.

Вы увидите ваш realm, например, «wifly.net», указанный как NAI realm.


10. Чтобы также включить OpenRoaming, в секции Roaming OIs вверху справа введите «AA146B0000» для Roaming OI.
11. Нажмите + Add.
12. Повторите те же шаги, чтобы также добавить Roaming OI «AA146B».
Вы увидите RCOI под Assigned ROI :: Beacon State.
13. Установите флажок рядом с Beacon State. Это включает RCOI в широковещательные рассылки точек доступа.


14. В секции Domains введите домен вашей домашней сети, как указано в панели управления WiFly, например, «wifly.net» для Domain Name
15. Нажмите + Add.

Вы увидите доменное имя в списке Domain Name.

Настройки сервера (Server Settings)

1. Оставаясь в диалоговом окне Add New ANQP Server, выберите Server Settings вверху.
Появится страница Server Settings.

2. В секции WAN Metrics установите параметры, соответствующие вашей сети. Не оставляйте эти значения пустыми.
3. Установите Link Status в Up.
4. Не включайте Full Capacity Link, если только вы не хотите заблокировать подключение устройств. Эта настройка сообщает устройствам, что пропускная способность недоступна, поэтому устройства откажутся подключаться.

5. Нажмите Apply to Device внизу справа.

Вы увидите сообщение о том, что конфигурация была сохранена. Вы вернетесь на страницу Hotspot/OpenRoaming, где будет указан добавленный вами ANQP сервер.

Настройка профиля беспроводной сети (Wireless LAN Profile)

Чтобы настроить беспроводную сеть, вы создаете SSID для идентификации беспроводной сети. Затем вы связываете профиль безопасности и RADIUS серверы с беспроводной сетью.

Создание SSID

1. Выберите Configuration > Tags & Profiles > WLANs из меню слева в панели управления.


Появится страница WLANs.


2. Нажмите + Add.
Появится диалоговое окно Add WLAN. Вкладка General выбрана.


3. Введите Profile Name, например, «WiFly».
4. Для SSID введите имя вашего SSID, например, «WiFly».
5. Измените Status на Enabled.
6. Нажмите Apply to Device внизу справа.



Вы увидите сообщение о том, что конфигурация была сохранена. Вы вернетесь на страницу WLANs, где будет указана добавленная вами беспроводная сеть.

Связывание профиля безопасности и RADIUS серверов с беспроводной сетью

1. Перейдите в Configuration > Tags & Profiles > WLANs.
2. Выберите добавленную беспроводную сеть. Появится страница Edit WLAN.
3. Выберите Security вверху. Вкладка Layer2 выбрана.


4. Для Layer 2 Security Mode выберите WPA + WPA2 (default).
Примечание: не используйте уровень безопасности ниже «WPA2 + WPA3», иначе вы можете получить ошибку «Security Weak» на iOS.

5. Убедитесь, что установлены флажки рядом с этими параметрами безопасности:
WPA2 Policy
WPA2 Encryption AES(CCMP128)
Auth Key Mgmt 802.1x

6. Выберите AAA вверху.
7. Выберите список аутентификации, созданный ранее, из выпадающего меню, «guest_auth«.

Настройка Policy Profile

Policy Profile позволяет вам назначать параметры, такие как VLAN, списки контроля доступа [ACLs], качество обслуживания [QoS].

1. Перейдите в Configuration > Tags & Profiles > Policy > ADD+
2. Появится страница Add Policy Profile.

3. Введите Policy Name, например, «WiFly»
4. Введите Policy Description, например, «WiFly»
5. Включите Status этого профиля, нажав на категорию.

6. Оставаясь в диалоговом окне Add Policy Profile, выберите опцию Access Policies вверху.
Появится страница Access Policies:

7. Введите VLAN ID, выделенный для WLAN WiFly, в случае VLAN по умолчанию введите номер 1. НЕ оставляйте это поле пустым и не выбирайте default из выпадающего меню.



8. Оставаясь в диалоговом окне Add Policy Profile, выберите опцию Advanced вверху.
Появится страница Advanced Option:

9. В разделе WLAN Timeout снимите флажок с опции Client Exclusion Timeout

10. В опции Hotspot Server (вверху справа) выберите имя Hotspot Server, настроенное ранее, «WiFly».

11. В разделе AAA Policy (внизу слева) установите флажок рядом с Allow AAA Override и:
— как Policy Name выберите созданную ранее Wireless AAA Policy (например, «WiFly»)
— как Accounting List выберите созданный ранее список учета (например, «WiFly»)



12. Нажмите Apply to Device внизу справа.

Настройка Policy Tag

Policy tag настраивается для соединения профиля WLAN с профилем Policy.

1. Перейдите в Configuration > Tags & Profiles > Tags > Policy > ADD
2. Появится диалоговое окно Add Policy Tag.

3. Введите Profile Name, например, «WiFly».
4. Для Description введите «WiFly».
5. Нажмите на ADD под WLAN-POLICY Maps

6. Выберите настроенный ранее WLAN Profile из выпадающего меню («WiFly»).
7. Выберите настроенный ранее Policy Profile из выпадающего меню («WiFly»).

8. Нажмите на галочку нижеи Save & Apply to Device внизу справа.

Назначение Policy Tag

Чтобы развернуть настроенные политики на точках доступа, каждый Policy Tag должен быть прикреплен к необходимой точке доступа.

1. Перейдите в Configuration > Wireless Setup > Advanced > Start Now > Apply

2. Нажмите на Tag APs (внизу справа) страницы

3. Выберите точки доступа, которые нужно пометить, и нажмите +Tag APs вверху страницы
4. Появится диалоговое окно Tag APs

5. Для Policy выберите настроенный ранее Policy Tag из выпадающего меню.

6. Нажмите Save & Apply to Device внизу справа.

Конфигурация AT&T MNC / MCC

1. Выберите Configuration > Wireless > Hotspot/Openroaming из меню слева в панели управления.

Появится страница Hotspot/OpenRoaming.

2. Нажмите + Add под ANQP Servers.
Появится диалоговое окно Add New ANQP Server. Вкладка General/OpenRoaming выбрана.

3. Чтобы добавить коды MCC/MNC для аутентификации на основе сотовой связи, выберите меню 3GPP вверху

4. Нажмите на кнопку +Add и вставьте код MCC/MNC в разделе 3GPP Network Details. Каждый набор кодов нужно вставлять по одному.

5. Нажмите на галочку, чтобы зарегистрировать введенную пару кодов MCC/MNC. Повторите процесс для шагов 2 и 3, чтобы добавить следующие коды:
● MCC (310) ; MNC (410)
● MCC (310) ; MNC (280)
● MCC (310) ; MNC (150)
● MCC (313) ; MNC (100)

6. Нажмите Apply to Device внизу справа.

Вы увидите сообщение о том, что конфигурация была сохранена. Вы вернетесь на страницу Hotspot/OpenRoaming, где будет указан добавленный вами ANQP сервер.

---

Обновлено: 21 ноября 2025