Sem fio : Controladores de LAN sem fio Cisco 4400 Series

A página do respingo do controlador do Wireless LAN reorienta o exemplo de configuração

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (20 Dezembro 2015) | Feedback


Índice


Introdução

Este documento descreve como configurar a característica de redirecionamento da página de abertura nos Controllers de LAN Wireless.

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

  • Conhecimento de soluções da Segurança LWAPP

  • Conhecimento de como configurar o Cisco Secure ACS

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • O controlador do Wireless LAN do Cisco 4400 Series (WLC) esse executa a versão de firmware 5.0

  • Access point de pouco peso do Cisco 1232 Series (REGAÇO)

  • Adaptador de cliente Wireless do Cisco Aironet 802.a/b/g que executa a versão de firmware 4.1

  • Server do Cisco Secure ACS que executa a versão 4.1

  • Algum servidor de Web externo da terceira

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

A Web da página do respingo reorienta é uma característica introduzida com versão 5.0 do controlador do Wireless LAN. Com esta característica, o usuário está reorientado a um página da web particular depois que a autenticação do 802.1x terminou. A reorientação ocorre quando o usuário abre um navegador (configurado com um Home Page de padrão) ou tentativas para alcançar uma URL. Depois que a reorientação ao página da web está completa, o usuário tem o acesso direto à rede.

Você pode especificar a página da reorientação no server do Remote Authentication Dial-In User Service (RADIUS). O servidor Radius deve ser configurado para retornar o par Cisco AV URL-reorienta o atributo RADIUS ao controlador do Wireless LAN em cima da autenticação bem sucedida do 802.1x.

A Web da página do respingo reorienta a característica está disponível somente para os WLAN configurados para o 802.1x ou WPA/WPA2 a Segurança da camada 2.

Instalação de rede

Neste exemplo, Cisco 4404 WLC e um REGAÇO do Cisco 1232 Series são conectados através de um switch de Camada 2. O server do Cisco Secure ACS (que atua como um servidor de raio externo) é conectado igualmente ao mesmo interruptor. Todos os dispositivos estão na mesma sub-rede.

O REGAÇO é registrado inicialmente ao controlador. Você deve criar dois WLAN: um para os usuários do departamento administrativo e o outro para os usuários do departamento de operações. Ambos os uso WPA2/ AES do Sem fio LAN (EAP-FAST é usado para a autenticação). Ambos os WLAN usam a página do respingo reorientam a característica a fim reorientar usuários ao Home Page apropriado URL (em servidores de Web externos).

Este documento utiliza a seguinte configuração de rede:

splash_page_redirect_01.gif

A próxima seção explica como configurar os dispositivos para esta instalação.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Termine estas etapas a fim configurar os dispositivos para usar a página do respingo reorientam a característica:

  1. Configurar o WLC para a autenticação RADIUS através do server do Cisco Secure ACS.

  2. Configurar os WLAN para os departamentos Admin e de operações.

  3. Configurar o Cisco Secure ACS para apoiar a página do respingo reorientam a característica.

Etapa 1. Configurar o WLC para a autenticação RADIUS através do server do Cisco Secure ACS.

O WLC precisa de ser configurado a fim enviar as credenciais do usuário a um servidor de raio externo.

Termine estas etapas a fim configurar o WLC para um servidor de raio externo:

  1. Escolha a Segurança e a autenticação RADIUS do controlador GUI a fim indicar a página dos servidores de autenticação RADIUS.

  2. Clique novo a fim definir um servidor Radius.

  3. Defina os parâmetros do servidor Radius nos servidores de autenticação RADIUS > página nova.

    Estes parâmetros incluem:

    • Endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor Radius

    • shared secret

    • número da porta

    • Status de servidor

    splash_page_redirect_02.gif

    Este documento usa o servidor ACS com um endereço IP de Um ou Mais Servidores Cisco ICM NT de 10.77.244.196.

  4. Clique em Apply.

Etapa 2. Configurar os WLAN para o departamento Admin e de operações.

Nesta etapa, você configura os dois WLAN (um para o departamento administrativo e o outro para o departamento de operações) que os clientes usarão a fim conectar à rede Wireless.

O WLAN SSID para o departamento administrativo será Admin. O WLAN SSID para o departamento de operações será operações.

Use a autenticação EAP-FAST a fim permitir o WPA2 como o mecanismo de segurança da camada 2 em ambos os WLAN e na política da Web - a Web da página do respingo reorienta a característica como o método de segurança da camada 3.

Termine estas etapas a fim configurar o WLAN e seus parâmetros relacionados:

  1. Clique WLAN do GUI do controlador a fim indicar a página WLAN.

    Esta página alista os WLAN que existem no controlador.

  2. Clique novo a fim criar um WLAN novo.

    /image/gif/paws/100787/splash_page_redirect_03.gif

  3. Dê entrada com o nome WLAN SSID e o nome de perfil no WLAN > página nova.

  4. Clique em Apply.

  5. Deixe-nos primeiramente criam o WLAN para o departamento administrativo.

    Uma vez que você cria um WLAN novo, o WLAN > edita a página para o WLAN novo aparece. Nesta página, você pode definir os vários parâmetros específicos a este WLAN. Isto inclui políticas gerais, políticas de segurança, políticas de QoS, e parâmetros avançados.

  6. Sob políticas gerais, verifique a caixa de verificação de status a fim permitir o WLAN.

    splash_page_redirect_04.gif

  7. Clique a ABA de segurança, e clique então a aba da camada 2.

  8. Escolha WPA+WPA2 da lista de drop-down da Segurança da camada 2.

    Esta etapa permite a autenticação WPA para o WLAN.

  9. Sob os parâmetros WPA+WPA2, verifique as caixas de seleção da política WPA2 e da criptografia de AES.

    splash_page_redirect_05.gif

  10. Escolha o 802.1x da lista de drop-down de Mgmt da chave do AUTH. Esta opção permite o WPA2 com autenticação 802.1x/EAP e criptografia de AES para o WLAN.

  11. Clique a ABA de segurança da camada 3.

  12. Verifique a caixa da política da Web, e clique então a Web da página do respingo reorientam o botão de rádio.

    Esta opção permite a Web da página do respingo reorienta a característica.

    /image/gif/paws/100787/splash_page_redirect_06.gif

  13. Clique a aba dos servidores AAA.

  14. Sob Authentication Server, escolha o endereço IP do servidor apropriado da lista de drop-down do servidor1.

    splash_page_redirect_07.gif

    Neste exemplo, 10.77.244.196 é usado como o servidor Radius.

  15. Clique em Apply.

  16. Repita etapas 2 a 15 a fim criar o WLAN para o departamento de operações.

    Os WLAN paginam lista os dois WLAN que você criou.

    /image/gif/paws/100787/splash_page_redirect_13.gif

    Observe que as políticas de segurança incluem a página do respingo reorientam.

Etapa 3. Configurar o Cisco Secure ACS para apoiar a página do respingo reorientam a característica.

A próxima etapa é configurar o servidor Radius para esta característica. O servidor Radius precisa de executar a autenticação EAP-FAST a fim validar as credenciais do cliente, e em cima da autenticação bem sucedida, para reorientar o usuário à URL (no servidor de Web externo) especificada no par Cisco AV URL-reoriente o atributo RADIUS.

Configurar o Cisco Secure ACS para a autenticação EAP-FAST

Nota: Este documento supõe que o controlador do Wireless LAN está adicionado ao Cisco Secure ACS como um cliente de AAA.

Termine estas etapas a fim configurar a autenticação EAP-FAST no servidor Radius:

  1. Clique a configuração de sistema do servidor Radius GUI, e escolha-a então escolhem a autenticação global Setup da página da configuração de sistema.

    splash_page_redirect_14.gif

  2. Da página de instalação da autenticação global, clique a configuração EAP-FAST a fim ir à página EAP-FAST dos ajustes.

    /image/gif/paws/100787/splash_page_redirect_15.gif

  3. Dos ajustes EAP-FAST pagine, verifique a caixa de verificação EAP-FAST reservar a fim permitir EAP-FAST no servidor Radius.

    /image/gif/paws/100787/splash_page_redirect_16.gif

  4. Configurar o Active/valores aposentados do chave mestre TTL (tempo ao vivo) como desejado, ou ajuste-os ao valor padrão segundo as indicações deste exemplo.

    O campo de informação de ID da autoridade representa a identidade textual deste servidor ACS, que um utilizador final pode usar para determinar que servidor ACS a ser autenticado contra. Encher-se neste campo é imperativo.

    O campo da mensagem do indicador da inicial do cliente especifica uma mensagem a ser enviada aos usuários que autenticam com um cliente EAP-FAST. O comprimento máximo é 40 caráteres. Um usuário verá a mensagem inicial somente se os suportes ao cliente do utilizador final o indicador.

  5. Se você quer o ACS executar o abastecimento anônimo da em-faixa PAC, verifique a caixa de verificação anônima do abastecimento da em-faixa PAC reservar.

  6. A opção interna permitida dos métodos determina que métodos de EAP internos podem ser executado dentro do túnel EAP-FAST TLS. Para o abastecimento anônimo da em-faixa, você deve permitir o EAP-GTC e o EAP-MS-CHAP para a compatibilidade retrógrada. Se você seleciona permita o abastecimento anônimo da em-faixa PAC, você deve selecionar EAP-MS-CHAP (fase zero) e EAP-GTC (fase dois).

  7. Clique em Submit.

    Nota: Para a informação detalhada e os exemplos sobre como configurar o EAP JEJUE com abastecimento anônimo da Em-faixa PAC e o abastecimento autenticado da Em-faixa, refere a autenticação EAP-FAST com exemplo de configuração dos controladores e do servidor de raio externo do Wireless LAN.

Configurar a base de dados de usuário e defina o atributo RADIUS da URL-reorientação

Este exemplo configura o nome de usuário e senha do cliente Wireless como o usuário1 e o usuário1, respectivamente.

Termine estas etapas a fim criar uma base de dados de usuário:

  1. Do ACS GUI na barra de navegação, escolha a instalação de usuário.

  2. Crie um Sem fio do novo usuário, e clique-o então adicionam/editam a fim ir à página da edição deste usuário.

    splash_page_redirect_17.gif

  3. Da instalação de usuário edite a página, configurar o nome real e a descrição, assim como as configurações de senha, segundo as indicações deste exemplo.

    Este documento usa o base de dados interno ACS para a autenticação de senha.

    /image/gif/paws/100787/splash_page_redirect_18.gif

  4. Enrole para baixo a página para alterar os atributos RADIUS.

  5. Verifique a caixa de verificação do Cisco-av-pair [009\001].

  6. Inscreva estes pares Cisco AV na caixa de edição do Cisco-av-pair [009\001] a fim especificar a URL a que o usuário é reorientado:

    url-redirect=http://10.77.244.196/Admin-Login.html

    splash_page_redirect_22.gif

    Este é o Home Page dos usuários do departamento administrativo.

  7. Clique em Submit.

  8. Repita este procedimento a fim adicionar User2 (usuário do departamento de operações).

  9. Repita etapas 1 com 6 a fim adicionar mais usuários dos usuários do departamento administrativo e do departamento de operações ao base de dados.

    Nota: Os atributos RADIUS podem ser configurados a nível de usuário ou nível do grupo no Cisco Secure ACS.

Verificar

A fim verificar a configuração, associe um cliente de WLANs do departamento administrativo e do departamento de operações a seus WLAN apropriados.

Quando um usuário do departamento administrativo conecta ao Wireless LAN Admin, o usuário está alertado para as credenciais do 802.1x (credenciais EAP-FAST em nosso caso). Uma vez que o usuário fornece as credenciais, o WLC passa aquelas credenciais ao server do Cisco Secure ACS. O server do Cisco Secure ACS valida as credenciais do usuário contra o base de dados, e em cima da autenticação bem sucedida, retorna o atributo da URL-reorientação ao controlador do Wireless LAN. A autenticação está completa nesta fase.

/image/gif/paws/100787/splash_page_redirect_23.gif

Quando o usuário abre um navegador da Web, o usuário está reorientado ao Home Page URL do departamento administrativo. (Esta URL é retornada ao WLC com o atributo do Cisco-av-pair). Depois que a reorientação, o usuário tem o acesso direto à rede. Estão aqui os screenshots:

splash_page_redirect_24.gif

As mesmas sequências de evento ocorrem quando um usuário do departamento de operações conecta às operações WLAN.

splash_page_redirect_25.gif

splash_page_redirect_26.gif

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

Você pode usar os comandos seguintes pesquisar defeitos sua configuração.

  • mostre o wlan_id wlan — Indica o estado da Web reorientam características para um WLAN particular.

    Aqui está um exemplo:

    WLAN Identifier.................................. 1
    Profile Name..................................... Admin	
    Network Name (SSID).............................. Admin
    ...
    Web Based Authentication......................... Disabled
    Web-Passthrough.................................. Disabled
    Conditional Web Redirect......................... Disabled
    Splash-Page Web Redirect......................... Enabled
    
  • debugar eventos do dot1x permitem — Permite debugar de mensagens de pacote do 802.1x.

    Aqui está um exemplo:

    Fri Feb 29 10:27:16 2008: 00:40:96:ac:dd:05 Sending EAP Request from AAA to 
        mobile 00:40:96:ac:dd:05 (EAP Id 16)
    Fri Feb 29 10:27:16 2008: 00:40:96:ac:dd:05 Received EAPOL EAPPKT from  
        mobile 00:40:96:ac:dd:05
    Fri Feb 29 10:27:16 2008: 00:40:96:ac:dd:05 Received EAP Response from  
        mobile 00:40:96:ac:dd:05 (EAP Id 16, EAP Type 43)
    Fri Feb 29 10:27:16 2008: 00:40:96:ac:dd:05 Processing Access-Challenge for  
        mobile 00:40:96:ac:dd:05
    Fri Feb 29 10:27:16 2008: 00:40:96:ac:dd:05 Setting re-auth timeout to 1800 
        seconds, got from WLAN config.
    Fri Feb 29 10:27:16 2008: 00:40:96:ac:dd:05 Station 00:40:96:ac:dd:05  
        setting dot1x reauth timeout = 1800
    Fri Feb 29 10:27:16 2008: 00:40:96:ac:dd:05 Creating a new PMK Cache Entry  
        for station 00:40:96:ac:dd:05 (RSN 2)
    Fri Feb 29 10:27:16 2008: 00:40:96:ac:dd:05 Adding BSSID 00:1c:58:05:e9:cf  
        to PMKID cache for station 00:40:96:ac:dd:05
    Fri Feb 29 10:27:16 2008: New PMKID: (16)
    Fri Feb 29 10:27:16 2008:      [0000] 79 ee 88 78 9c 71 41 f0 10 7d 31 ca  
        fb fa 8e 3c
    Fri Feb 29 10:27:16 2008: 00:40:96:ac:dd:05 Disabling re-auth since PMK  
        lifetime can take care of same.
    Fri Feb 29 10:27:16 2008: 00:40:96:ac:dd:05 Sending EAP-Success to mobile  
        00:40:96:ac:dd:05 (EAP Id 17)
    Fri Feb 29 10:27:16 2008: Including PMKID in M1  (16)
    Fri Feb 29 10:27:16 2008:      [0000] 79 ee 88 78 9c 71 41 f0 10 7d 31 ca  
        fb fa 8e 3c
    Fri Feb 29 10:27:16 2008: 00:40:96:ac:dd:05 Sending EAPOL-Key Message to  
        mobile 00:40:96:ac:dd:05
        state INITPMK (message 1), replay counter 00.00.00.00.00.00.00.00
    Fri Feb 29 10:27:16 2008: 00:40:96:ac:dd:05 Received Auth Success while  
        in Authenticating state for mobile 00:40:96:ac:dd:05
    
  • debugar eventos aaa permitem — Permite o resultado do debug de todos os eventos aaa.

    Aqui está um exemplo:

    Thu Feb 28 07:55:18 2008: 00:40:96:ac:dd:05 Successful transmission of  
        Authentication Packet (id 103) to 10.77.244.196:1812, proxy state  
        00:40:96:ac:dd:05-00:00
    Thu Feb 28 07:55:18 2008: ****Enter processIncomingMessages: response code=11
    Thu Feb 28 07:55:18 2008: ****Enter processRadiusResponse: response code=11
    Thu Feb 28 07:55:18 2008: 00:40:96:ac:dd:05 Access-Challenge received from  
        RADIUS server 10.77.244.196 for mobile 00:40:96:ac:dd:05 receiveId = 3
    Thu Feb 28 07:55:18 2008: 00:40:96:ac:dd:05 Successful transmission of  
        Authentication Packet (id 104) to 10.77.244.196:1812, proxy state  
        00:40:96:ac:dd:05-00:00
    Thu Feb 28 07:55:18 2008: ****Enter processIncomingMessages: response code=2
    Thu Feb 28 07:55:18 2008: ****Enter processRadiusResponse: response code=2
    Thu Feb 28 07:55:18 2008: 00:40:96:ac:dd:05 Access-Accept received from  
        RADIUS server 10.77.244.196 for mobile 00:40:96:ac:dd:05 receiveId = 3
    Thu Feb 28 07:55:18 2008: 00:40:96:ac:dd:05 AAA Override Url-Redirect  
        'http://10.77.244.196/Admin-login.html' set
    Thu Feb 28 07:55:18 2008: 00:40:96:ac:dd:05 Applying new AAA override for  
        station 00:40:96:ac:dd:05
    Thu Feb 28 07:55:18 2008: 00:40:96:ac:dd:05 Override values for station  
        00:40:96:ac:dd:05
           source: 4, valid bits: 0x0
           qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1
           dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
           vlanIfName: '', aclName: '

Informações Relacionadas


Document ID: 100787