Dieses Dokument beschreibt die Konfiguration des Gastzugriffs auf autonomen Access Points (APs) mithilfe der internen Webseite, die in den Access Point selbst eingebettet ist.
Cisco empfiehlt, vor dem Versuch dieser Konfiguration über Kenntnisse dieser Themen zu verfügen:
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Bei der Webauthentifizierung handelt es sich um eine Sicherheitsfunktion auf Layer 3 (L3), mit der die autonomen APs IP-Datenverkehr blockieren können (mit Ausnahme von DHCP und Paketen für Domain Name Server (DNS)), bis der Gast im Webportal, in das der Client beim Öffnen eines Browsers umgeleitet wird, einen gültigen Benutzernamen und ein gültiges Kennwort bereitstellt.
Bei der Webauthentifizierung müssen für jeden Gast ein separater Benutzername und ein separates Kennwort definiert werden. Der Gast wird entweder vom lokalen RADIUS-Server oder einem externen RADIUS-Server mit Benutzername und Kennwort authentifiziert.
Diese Funktion wurde in Cisco IOS Release 15.2(4)JA1 eingeführt.
Gehen Sie wie folgt vor, um den Access Point für den Gastzugriff zu konfigurieren:
ap(config)#dot11 ssid Guest
ap(config-ssid)#authentication open
ap(config-ssid)#web-auth
ap(config-ssid)#guest-mode
ap(config-ssid)#exit
ap(config)#ip admission name web_auth proxy http
ap(config)#interface dot11radio 0
ap(config-if)#ssid Guest
ap(config-if)#ip admission web_auth
ap(confi-if)#no shut
ap(config-if)#exit
ap(config)#ip admission name web_auth method-list authentication web_list
ap(config)#aaa new-model
ap(config)#radius-server local
ap(config-radsrv)#nas 192.168.10.2 key cisco
ap(config-radsrv)#exit
ap(config)#dot11 guest
ap(config-guest-mode)#username user1 lifetime 60 password user1
ap(config-guest-mode)#exit
ap(config)#
ap(config)#radius-server host 192.168.10.2 auth-port 1812
acct-port 1813 key cisco
ap(config)#aaa authentication login web_list group radius
Gehen Sie wie folgt vor, um den Wireless-Client zu konfigurieren:
Nachdem die Konfiguration abgeschlossen ist, kann der Client normal eine Verbindung zum SSID herstellen. Dies wird auf der AP-Konsole angezeigt:
%DOT11-6-ASSOC: Interface Dot11Radio0, Station ap 0027.10e1.9880
Associated KEY_MGMT[NONE]
ap#show dot11 ass
802.11 Client Stations on Dot11Radio0:
SSID [Guest] :
MAC Address IP address IPV6 address Device Name Parent State
0027.10e1.9880 0.0.0.0 :: ccx-client ap self Assoc
Der Client hat die dynamische IP-Adresse 192.168.10.11. Wenn Sie jedoch versuchen, die IP-Adresse des Clients zu pingen, schlägt sie fehl, weil der Client nicht vollständig authentifiziert ist:
ap#PING 192.168.10.11
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.11, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
Wenn der Client beispielsweise einen Browser öffnet und versucht, http://1.2.3.4 zu erreichen, wird der Client zur internen Anmeldeseite umgeleitet:
Wenn der Client zur Anmeldeseite umgeleitet wird, werden die Benutzeranmeldeinformationen gemäß der AP-Konfiguration für den lokalen RADIUS-Server eingegeben und überprüft. Nach erfolgreicher Authentifizierung ist der Datenverkehr vom und zum Client vollständig zulässig.
Die folgende Nachricht wird nach erfolgreicher Authentifizierung an den Benutzer gesendet:
Nach erfolgreicher Authentifizierung können Sie die Client-IP-Informationen anzeigen:
ap#show dot11 ass
802.11 Client Stations on Dot11Radio0:
SSID [Guest] :
MAC Address IP address IPV6 address Device Name Parent State
0027.10e1.9880 192.168.10.11 :: ccx-client ap self Assoc
Pings an den Client nach erfolgreicher Authentifizierung sollten ordnungsgemäß funktionieren:
ap#ping 192.168.10.11
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.11, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/6 ms
Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.
Ähnlich wie IOS auf Routern oder Switches können Sie Ihre Seite mit einer benutzerdefinierten Datei anpassen. Es ist jedoch nicht möglich, auf eine externe Webseite umzuleiten.
Verwenden Sie diese Befehle, um die Portaldateien anzupassen:
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
27-Jan-2014 |
Erstveröffentlichung |