Tecnología inalámbrica / Movilidad : Seguridad de WLAN

Restrinja el acceso de la red inalámbrica (WLAN) basado en el SSID con el WLC y el ejemplo de configuración del Cisco Secure ACS

16 Enero 2016 - Traducción Automática
Otras Versiones: PDFpdf | Traducción Manual (20 Mayo 2008) | Inglés (20 Diciembre 2015) | Comentarios


Contenido


Introducción

Este documento proporciona un ejemplo de configuración para restringir el acceso por usuario a una WLAN basada en el SSID (Service Set Identifier).

prerrequisitos

Requisitos

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

  • Conocimiento de cómo configurar el regulador del Wireless LAN (WLC) y el Lightweight Access Point (REVESTIMIENTO) para la operación básica

  • Conocimiento básico en cómo configurar el Cisco Secure Access Control Server (ACS)

  • Conocimiento de los métodos del protocolo (LWAPP) y de la seguridad de red inalámbrica del Lightweight Access Point

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • WLC de las Cisco 2000 Series que funciona con el firmware 4.0

  • REVESTIMIENTO de las Cisco 1000 Series

  • Versión del servidor 3.2 del Cisco Secure ACS

  • Adaptador de red inalámbrica de cliente de Cisco 802.11a/b/g que funciona con el firmware 2.6

  • Versión 2.6 de la utilidad de escritorio del Cisco Aironet (ADU)

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Antecedentes

Con el uso del acceso SSID-basado de la red inalámbrica (WLAN), los usuarios pueden ser autenticados sobre la base del SSID que utilizan para conectar con la red inalámbrica (WLAN). El servidor del Cisco Secure ACS se utiliza para autenticar a los usuarios. La autenticación sucede en dos etapas en el Cisco Secure ACS:

  1. Autenticación EAP

  2. Autenticación SSID basada en las restricciones del acceso a la red (NAR) en el Cisco Secure ACS

Si el EAP y la autenticación SSID-basada son acertados, se permite al usuario acceder la red inalámbrica (WLAN) o bien desasocian al usuario.

El Cisco Secure ACS utiliza la característica NAR para restringir el acceso del usuario basado en el SSID. Un NAR es una definición, que usted hace en el Cisco Secure ACS, de las condiciones adicionales que deben ser cumplidas antes de que un usuario pueda acceder la red. El Cisco Secure ACS aplica estas condiciones usando la información de los atributos enviados por sus clientes AAA. Aunque haya varias maneras que usted puede configurar los NAR, todos se basan en la información de atributo que corresponde con enviada por el cliente AAA. Por lo tanto, usted debe entender que el formato y el contenido de los atributos que sus clientes AAA envían si usted quiere emplear los NAR eficaces.

Cuando usted configura un NAR, usted puede elegir si el filtro actúa positivamente o negativamente. Es decir, en el NAR usted especifica si al acceso a la red del permit or deny, sobre la base de una comparación de la información enviada de los clientes AAA a la información salvada en el NAR. Sin embargo, si un NAR no encuentra la información suficiente para actuar, omite el acceso negado.

Usted puede definir un NAR para, y aplica lo, a un usuario o a un grupo de usuarios específico. Refiera al White Paper de las restricciones del acceso a la red para más información.

El Cisco Secure ACS apoya dos tipos de filtros NAR:

  1. Filtros basados en IP — Acceso basado en IP del límite de los filtros NAR basado sobre los IP Addresses del cliente del usuario final y del cliente AAA. Refiérase sobre los filtros basados en IP NAR para más información sobre este tipo de filtro NAR.

  2. filtros NON-IP-basados — acceso NON-IP-basado del límite de los filtros NAR basado sobre la comparación de cadenas simple de un valor enviado del cliente AAA. El valor puede ser el número de la línea de llamada ID (CLI), el número del Dialed Number Identification Service (DNIS), la dirección MAC, o el otro valor que origina del cliente. Para este tipo de NAR a actuar, el valor en la descripción NAR debe hacer juego exactamente incluyendo qué se envía del cliente, se utiliza cualquier formato. Por ejemplo, el (217) 555-4534 no hace juego 217-555-4534. Refiérase sobre los filtros NON-IP-basados NAR para más información sobre este tipo de filtro NAR.

Este documento utiliza los filtros NON-IP-basados para hacer la autenticación SSID-basada. Un filtro NON-IP-basado NAR (es decir, un filtro DNIS/CLI-based NAR) es una lista de permitido o el Denied Calling/Point of Access Locations que usted puede utilizar en la restricción de un cliente AAA cuando usted no tiene una conexión basada en IP establecida. La característica NON-IP-basada NAR utiliza generalmente el número CLI y el número DNIS. Hay excepciones en el uso de los campos DNIS/CLI. Usted puede ingresar el nombre SSID en el campo DNIS y hace autenticación SSID-basada. Esto está porque el WLC envía en el atributo DNIS, el nombre SSID, al servidor de RADIUS. Tan si usted construye DNIS NAR en el usuario o el grupo, usted puede crear por usuario las restricciones SSID.

Si usted utiliza el RADIUS, los campos NAR enumerados aquí utilizan estos valores:

  • Cliente AAA — El Nas-ip-address (se utiliza el atributo 4) o, si no existe el Nas-ip-address, el NAS-identificador (atributo de RADIUS 32).

  • Puerto — El NAS-puerto (se utiliza el atributo 5) o, si no existe el NAS-puerto, el nas-port-id (atributo 87).

  • CLI — Se utiliza El llamar-estación-ID (atributo 31).

  • DNIS — Se utiliza El llamar-estación-ID (atributo 30).

Refiera a las restricciones del acceso a la red para más información sobre el uso del NAR.

Puesto que el WLC envía en el atributo DNIS y el nombre SSID, usted puede crear por usuario las restricciones SSID. En el caso del WLC, los campos NAR tienen estos valores:

  • Cliente AAA — Dirección IP del WLC

  • puerto — *

  • CLI — *

  • DNIS — *ssidname

El recordatorio de este documento proporciona un ejemplo de configuración en cómo lograr esto.

Configuración de la red

En esta configuración del ejemplo, el WLC se registra al REVESTIMIENTO. Se utilizan dos WLAN. Una red inalámbrica (WLAN) está para los usuarios del departamento administrativos y la otra red inalámbrica (WLAN) está para los usuarios del Departamento de ventas. El cliente de red inalámbrica A1 (Usuario administrador) y el s1 (usuario de las ventas) conectan con la red inalámbrica. Usted necesita configurar el WLC y el servidor de RADIUS de una manera tal que el Usuario administrador A1 pueda acceder solamente la red inalámbrica (WLAN) Admin y sea acceso restringido a las ventas de la red inalámbrica (WLAN) y al s1 del usuario de las ventas debe poder acceder las ventas de la red inalámbrica (WLAN) y debe tener acceso restringido a la red inalámbrica (WLAN) Admin. Todos los usuarios utilizan la autenticación LEAP como método de autentificación de la capa 2.

Nota: Este documento asume que el WLC está registrado al regulador. Si usted es nuevo al WLC y no sabe configurar el WLC para la operación básica, refiere al registro ligero AP (REVESTIMIENTO) a un regulador del Wireless LAN (WLC).

/image/gif/paws/71811/wlan-ssid-wlc-acs-network.gif

Configurar

Para configurar los dispositivos para esta configuración, usted necesita:

  1. Configure el WLC para los dos WLAN y servidores de RADIUS.

  2. Configure el Cisco Secure ACS.

  3. Configure a los clientes de red inalámbrica y verifiquelos.

Configure el WLC

Complete estos pasos para configurar el WLC para esta configuración:

  1. El WLC necesita ser configurado para remitir los credenciales de usuario a un servidor RADIUS externo. El servidor RADIUS externo (Cisco Secure ACS en este caso) después valida los credenciales de usuario y proporciona el acceso a los clientes de red inalámbrica. Complete estos pasos:

    1. Elija la Seguridad > la autenticación de RADIUS del regulador GUI para visualizar la página de los servidores de autenticación de RADIUS.

      wlan-ssid-wlc-acs-1.gif

    2. Haga clic nuevo para definir los parámetros del servidor de RADIUS.

      Estos parámetros incluyen la dirección IP, el secreto compartido, el número del puerto, y el estado del servidor del servidor de RADIUS. Las casillas de verificación del usuario de la red y de la Administración determinan si la autenticación basada en RADIUS solicita la Administración y los usuarios de la red. Este ejemplo utiliza el Cisco Secure ACS como el servidor de RADIUS con la dirección IP 172.16.1.60.

      wlan-ssid-wlc-acs-2.gif

    3. Haga clic en Apply (Aplicar).

  2. Configure la una red inalámbrica (WLAN) para el departamento de administración con SSID Admin y la otra red inalámbrica (WLAN) para el Departamento de ventas con las ventas SSID. Para hacerlo, complete estos pasos:

    1. Haga clic los WLAN del regulador GUI para crear una red inalámbrica (WLAN). La ventana del WLAN aparece. Esta ventana enumera los WLAN configurados en el regulador.

    2. Tecleo nuevo para configurar una nueva red inalámbrica (WLAN).

      Este ejemplo crea una red inalámbrica (WLAN) nombrada Admin para el departamento de administración y el ID DE WLAN es 1. tecleos se aplica.

      wlan-ssid-wlc-acs-3.gif

    3. En la red inalámbrica (WLAN) > edite la ventana, definen los parámetros específicos a la red inalámbrica (WLAN):

      1. Del menú desplegable de la Seguridad de la capa 2, seleccione el 802.1x. Por abandono, la opción de seguridad de la capa 2 es 802.1x. Esto habilita la autenticación 802.1x/EAP para la red inalámbrica (WLAN).

      2. Bajo políticas generales, marque el cuadro de la invalidación AAA. Cuando se habilita la invalidación AAA, y un cliente tiene parámetros de autenticación de la red inalámbrica (WLAN) AAA que están en conflicto y del regulador, la autenticación de cliente es realizada por el servidor de AAA.

      3. Seleccione al servidor de RADIUS apropiado del menú desplegable bajo los servidores de RADIUS. Los otros parámetros se pueden modificar basaron en el requisito de la red WLAN. Haga clic en Apply (Aplicar).

        /image/gif/paws/71811/wlan-ssid-wlc-acs-4.gif

    4. Semejantemente, para crear una red inalámbrica (WLAN) para el Departamento de ventas, relance los pasos b y C. Aquí está el screenshots.

      wlan-ssid-wlc-acs-5.gif

      wlan-ssid-wlc-acs-6.gif

Cisco Secure ACS de la configuración

En el servidor del Cisco Secure ACS usted necesita:

  1. Configure el WLC como cliente AAA.

  2. Cree la base de datos de usuarios y defina el NAR para la autenticación SSID-basada.

  3. Habilite la autenticación EAP.

Complete estos pasos en el Cisco Secure ACS:

  1. Para definir el regulador como cliente AAA en el servidor ACS, haga clic la configuración de red del ACS GUI. Bajo los clientes AAA haga clic en agregan la entrada.

    wlan-ssid-wlc-acs-7.gif

  2. Cuando aparece la página de la configuración de red, defina el nombre del WLC, de la dirección IP, del secreto compartido y del método de autentificación (Airespace RADIUS Cisco).

    /image/gif/paws/71811/wlan-ssid-wlc-acs-8.gif

  3. Haga clic la configuración de usuario del ACS GUI, ingrese el nombre de usuario, y el tecleo agrega/edita. En este ejemplo el usuario es A1.

  4. Cuando aparece la página de la configuración de usuario, defina todos los parámetros específicos al usuario. En este ejemplo se configuran el nombre de usuario, la contraseña y la información del usuario suplementaria porque usted necesita estos parámetros para la autenticación LEAP.

    /image/gif/paws/71811/wlan-ssid-wlc-acs-9.gif

  5. Navegue hacia abajo la página de la configuración de usuario, hasta que usted vea la sección de las restricciones del acceso a la red. Bajo interfaz de usuario de la restricción de acceso DNIS/CLI, el Permitted Calling/Point of Access Locations selecto y define estos parámetros:

    • Cliente AAA — Dirección IP del WLC (172.16.1.30 en nuestro ejemplo)

    • Puerto — *

    • CLI — *

    • DNIS — *ssidname

  6. El atributo DNIS define el SSID que se permite al usuario acceder. El WLC envía el SSID en el atributo DNIS al servidor de RADIUS.

    Si el usuario necesita acceder solamente el Admin nombrado WLAN, ingrese el *Admin para el campo DNIS. Esto se asegura de que el usuario tenga acceso solamente a la red inalámbrica (WLAN) nombrada Admin. El tecleo ingresa.

    Nota: El SSID se debe preceder siempre con *. Es obligatorio.

    /image/gif/paws/71811/wlan-ssid-wlc-acs-10.gif

  7. Haga clic en Submit (Enviar).

  8. Semejantemente, cree a un usuario para el usuario del Departamento de ventas. Aquí está el screenshots.

    /image/gif/paws/71811/wlan-ssid-wlc-acs-11.gif

    wlan-ssid-wlc-acs-20.gif

  9. Relance el mismo proceso para agregar a más usuarios a la base de datos.

    Nota: Por abandono agrupan a todos los usuarios bajo grupo predeterminado. Si usted quiere asignar a los usuarios específicos a diversos grupos, refiera a la sección de administración del grupo de usuarios del guía del usuario para el servidor 3.2 del Cisco Secure ACS for Windows.

    Nota:  Si usted no ve la sección de las restricciones del acceso a la red en la ventana de la configuración de usuario, puede ser que sea porque no se habilita. Para habilitar las restricciones del acceso a la red para los usuarios, elegir las interfaces > avanzó las opciones del ACS GUI, las restricciones selectas del acceso a la red del nivel de usuario y el tecleo somete. Esto habilita el NAR y aparece en la ventana de la configuración de usuario.

    /image/gif/paws/71811/wlan-ssid-wlc-acs-12.gif

    /image/gif/paws/71811/wlan-ssid-wlc-acs-10.gif

  10. Para habilitar la autenticación EAP, la configuración del sistema del tecleo y la autenticación global ponen para asegurarse de que configuran al servidor de autenticación para realizar el método de autenticación EAP deseado.

    Bajo el EAP los ajustes de la configuración seleccionan el método EAP apropiado. Este ejemplo utiliza la autenticación LEAP. El tecleo somete cuando le hacen.

    /image/gif/paws/71811/wlan-ssid-wlc-acs-13.gif

Configure al cliente de red inalámbrica y verifiquelo

Use esta sección para confirmar que su configuración funciona correctamente. Intente asociar a un cliente de red inalámbrica al REVESTIMIENTO usando la autenticación LEAP para verificar si la configuración trabaja como se esperaba.

Nota: Este documento asume que el perfil del cliente está configurado para la autenticación LEAP. Refiérase con la autenticación EAP para la información sobre cómo configurar el adaptador de red inalámbrica de cliente del a/b/g del 802.11 para la autenticación LEAP.

Nota: Del ADU usted ve que usted ha configurado dos perfiles del cliente. Uno para los usuarios del departamento administrativos con SSID el Admin y el otro perfil para los usuarios del Departamento de ventas con las ventas SSID. Ambos perfiles se configuran para la autenticación LEAP.

/image/gif/paws/71811/wlan-ssid-wlc-acs-14.gif

Cuando el perfil para el usuario de red inalámbrica del departamento de administración se activa, piden el usuario proporcionar el nombre de usuario/la contraseña para la autenticación LEAP. Aquí tiene un ejemplo:

wlan-ssid-wlc-acs-15.gif

El REVESTIMIENTO y entonces el WLC pasa encendido los credenciales de usuario al servidor RADIUS externo (Cisco Secure ACS) para validar las credenciales. El WLC pasa encendido las credenciales incluyendo el atributo DNIS (nombre SSID) al servidor de RADIUS para la validación.

El servidor de RADIUS verifica los credenciales de usuario comparando los datos con la base de datos de usuarios (y los NAR) y proporciona el acceso al cliente de red inalámbrica siempre que los credenciales de usuario sean válidos.

Sobre la autenticación de RADIUS acertada el cliente de red inalámbrica se asocia al REVESTIMIENTO.

/image/gif/paws/71811/wlan-ssid-wlc-acs-16.gif

Semejantemente cuando un usuario del Departamento de ventas activa el perfil de las ventas, al servidor de RADIUS autentica al usuario basado en el nombre de usuario del SALTO/la contraseña y el SSID.

wlan-ssid-wlc-acs-17.gif

El informe pasajero de la autenticación sobre el servidor ACS muestra que el cliente ha pasado la autenticación de RADIUS (autenticación EAP y autenticación SSID). Aquí tiene un ejemplo:

wlan-ssid-wlc-acs-18.gif

Ahora, si el usuario de las ventas intenta acceder el Admin SSID, el servidor de RADIUS niega el acceso del usuario a la red inalámbrica (WLAN). Aquí tiene un ejemplo:

/image/gif/paws/71811/wlan-ssid-wlc-acs-19.gif

Esta manera que los usuarios pueden ser acceso restringido basó en el SSID. En un entorno para empresas, todos los usuarios que caen en un departamento específico pueden ser agrupados en un solos grupo y acceso a la red inalámbrica (WLAN) pueden ser proporcionados basaron en el SSID que utilizan como se explica en este documento.

Troubleshooting

Comandos para resolución de problemas

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug.

  • haga el debug del permiso aaa del dot1x — Habilita el debug de las interacciones del 802.1x AAA.

  • permiso del paquete del dot1x del debug — Habilita el debug de todos los paquetes del dot1x.

  • el debug aaa todo habilita — Configura el debug de todos los mensajes AAA.

Usted puede también utilizar el informe pasajero de la autenticación y el informe de la autenticación fallida sobre el servidor del Cisco Secure ACS para resolver problemas la configuración. Estos informes están bajo los informes y la ventana de actividad en el ACS GUI.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 71811