El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe un ejemplo de configuración que se utiliza para completar la autenticación Web central (CWA) en el controlador de LAN inalámbrica (WLC).
Se sustituye por la guía de implementación para invitados más completa disponible aquí: https://communities.cisco.com/docs/DOC-77590
No hay requisitos específicos para este documento.
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
El primer método de autenticación web es la autenticación web local. En este caso, el WLC redirige el tráfico HTTP a un servidor interno o externo donde se le pide al usuario que autentique. El WLC luego recopila las credenciales (enviadas a través de una solicitud GET HTTP en el caso de un servidor externo) y hace una autenticación RADIUS. En el caso de un usuario invitado, se requiere un servidor externo como Identity Services Engine (ISE), ya que el portal proporciona funciones como el registro de dispositivos y el autoaprovisionamiento. El flujo incluye estos pasos:
Este flujo incluye varias redirecciones. El nuevo enfoque consiste en utilizar el CWA. El flujo incluye estos pasos:
La configuración utilizada es:
La configuración del WLC es bastante sencilla. Se utiliza un truco (igual que en los switches) para obtener la URL de autenticación dinámica del ISE (ya que utiliza el Cambio de autorización (CoA), se debe crear una sesión y el ID de sesión es parte de la URL). El SSID se configura para utilizar el filtrado MAC. El ISE se configura para devolver un access-accept incluso si la dirección MAC no se encuentra para que envíe la URL de redirección para todos los usuarios.
Además, se deben habilitar el control de admisión a la red (NAC) de ISE y la anulación de autenticación, autorización y contabilidad (AAA). El ISE NAC permite al ISE enviar una solicitud de CoA que indica que el usuario ahora está autenticado y puede acceder a la red. También se utiliza para la evaluación del estado, en cuyo caso el ISE cambia el perfil del usuario en función del resultado del estado.
Asegúrese de que el servidor RADIUS tenga Support for CoA enabled, que es de forma predeterminada.
El último paso es crear una ACL de redirección. Se hace referencia a esta ACL en el access-accept del ISE y define qué tráfico se debe redirigir (denegado por la ACL) y qué tráfico no se debe redirigir (permitido por la ACL). Aquí solo evitará redirigir el tráfico hacia ISE. Es posible que desee ser más específico y evitar solamente el tráfico hacia/desde el ISE en el puerto 8443 (portal de invitados), pero aún así redirigir si un usuario intenta acceder al ISE en el puerto 80/443.
Nota: Las versiones anteriores del software del WLC como 7.2 o 7.3 no requerían que especificara Sistema de nombres de dominio (DNS), pero las versiones posteriores del código requieren que se permita el tráfico DNS en esa ACL de redirección.
La configuración ahora está completa en el WLC.
En ISE, se debe crear el perfil de autorización. A continuación, se configuran las políticas de autenticación y autorización. El WLC ya debe configurarse como un dispositivo de red.
En el perfil de autorización, ingrese el nombre de la ACL creada anteriormente en el WLC.
Asegúrese de que el ISE acepte todas las autenticaciones MAC del WLC y asegúrese de que persiga la autenticación incluso si no se encuentra al usuario.
En Policy > Policy Set > Default Policy Set, haga clic en Authentication.
La siguiente imagen muestra un ejemplo de cómo configurar la regla de política de autenticación. En este ejemplo, se configura una regla que activa cuando se detecta MAB.
Nota: La regla de autenticación MAB ya se ha creado en el ISE de forma predeterminada.
Configure la política de autorización. Un punto importante que hay que comprender es que hay dos autenticaciones/autorizaciones:
Complete estos pasos para crear las reglas de autorización como se muestra en las imágenes anteriores:
Nota: Es muy importante que esta nueva regla se aplique antes de la regla Redirección de invitado.
Nota: En un entorno multicontrolador, el WLAN-ID debe ser el mismo a través de los WLC. Si no se desea utilizar el atributo Airespace-Wlan-Id como condición, es mejor hacer coincidir las solicitudes Wireless_MAB (condición integrada).
Si asigna una VLAN, el paso final es que la PC cliente renueve su dirección IP. Este paso se logra mediante el portal de invitados para clientes de Windows. Si no configuró una VLAN para la segunda regla AUTH antes, puede saltarse este paso. Este no es un diseño recomendado ya que cambiar la VLAN del cliente después de que ya haya obtenido una dirección IP interrumpirá la conectividad, algunos clientes podrían reaccionar erróneamente a ella y requiere privilegios elevados de Windows para funcionar correctamente.
Si asignó una VLAN, complete estos pasos para habilitar la renovación de IP:
Nota: El soporte de la versión DHCP de VLAN está disponible sólo para dispositivos Windows. No está disponible para dispositivos móviles. Si el dispositivo que se está registrando es móvil y la opción VLAN DHCP Release está activada, se solicita al invitado que renueve manualmente su dirección IP. Para los usuarios de dispositivos móviles, recomendamos utilizar Listas de control de acceso (ACL) en el WLC, en lugar de utilizar VLAN.
Esta configuración también puede funcionar con la función de anclaje automático de los WLC. La única captura es que dado que este método de autenticación web es Capa 2, debe ser consciente de que será el WLC externo el que hace todo el trabajo RADIUS. Solamente el WLC externo entra en contacto con el ISE, y la ACL de redirección debe estar presente también en el WLC externo. El archivo externo sólo necesita que exista el nombre ACL (no necesita entradas ACL). El WLC externo enviará el nombre de ACL al anclaje y será el ancla que aplica la redirección (y por lo tanto necesita el contenido de ALC correcto).
Al igual que en otros escenarios, el WLC extranjero muestra rápidamente al cliente que está en el estado RUN, lo que no es completamente cierto. Simplemente significa que el tráfico se envía al ancla desde allí. El estado del cliente real se puede ver en el ancla donde debería mostrar CENTRAL_WEBAUTH_REQD.
Aquí está el flujo en una configuración de anclaje externo:
Los puertos de firewall necesarios para permitir la comunicación entre el WLC y el ISE son:
Nota: La configuración externa de anclaje con autenticación Web central (CWA) sólo funciona en las versiones 7.3 o posteriores.
Nota: Debido al Id. de error de Cisco CSCul83594, no puede ejecutar la contabilización tanto en el anclaje como en el exterior porque hace que la creación de perfiles se vuelva inexacta debido a una posible falta de enlace de IP a MAC. También crea muchos problemas con la ID de sesión para los portales de invitados. Si desea configurar la contabilidad, configúrela en el controlador externo. Tenga en cuenta que este ya no debería ser el caso comenzando con el software 8.6 WLC donde el id de sesión será compartido entre el anclaje y los controladores externos y la contabilidad entonces será posible habilitar en ambos.
Utilize esta sección para confirmar que su configuración funcione correctamente.
Los detalles del cliente en el WLC muestran que se aplican la URL de redirección y la ACL.
En el cliente WLC y AAA all debug, puede ver access accept con la URL de redirección y ACL enviadas desde el ISE.
*radiusTransportThread: d0:37:45:89:ef:64 Access-Accept received from RADIUS server 10.106.32.25 (qid:4) with port:1812, pktId:24 for mobile d0:37:45:89:ef:64 receiveId = 0
*radiusTransportThread: AuthorizationResponse: 0x166ab570
*radiusTransportThread: structureSize................................425
*radiusTransportThread: resultCode...................................0
*radiusTransportThread: protocolUsed.................................0x00000001
*radiusTransportThread: proxyState...................................D0:37:45:89:EF:64-00:00
*radiusTransportThread: Packet contains 4 AVPs:
*radiusTransportThread: AVP[01] User-Name................................D0-37-45-89-EF-64 (17 bytes)
*radiusTransportThread: AVP[02] Class....................................CACS:0a6a207a0000000a5fe8f217:ISE3-1/397801666/90 (49 bytes)
*radiusTransportThread: AVP[03] Cisco / Url-Redirect-Acl.................CWA_Redirect (12 bytes)
*radiusTransportThread: AVP[04] Cisco / Url-Redirect.....................DATA (175 bytes)
*radiusTransportThread: d0:37:45:89:ef:64 processing avps[0]: attribute 1
*radiusTransportThread: d0:37:45:89:ef:64 username = D0-37-45-89-EF-64
!
*apfReceiveTask: d0:37:45:89:ef:64 Redirect URL received for client from RADIUS. Client will be moved to WebAuth_Reqd state to facilitate redirection. Skip web-auth Flag = 0
Lo mismo se puede verificar en ISE. Navegue hasta Operaciones > Viajes de Radius. Haga clic en el detalle de esa MAC.
Puede ver que para la primera autenticación (filtrado de MAC) ISE devuelve el perfil AuthZ WLC_CWA ya que afecta a la regla de autenticación MAB y la política de autenticación Redirección de invitado.
Cuando se ingresan las credenciales, ISE autentica al cliente y envía la CoA.
En el WLC esto se puede ver en AAA todos los debugs.
*radiusCoASupportTransportThread: audit session ID recieved in CoA = 0a6a207a0000000b5fe90410
*radiusCoASupportTransportThread: Received a 'CoA-Request' from 10.106.32.25 port 23974
*radiusCoASupportTransportThread: CoA - Received IP Address : 10.106.32.122, Vlan ID: (received 0)
*radiusCoASupportTransportThread: d0:37:45:89:ef:64 Calling-Station-Id ---> d0:37:45:89:ef:64
*radiusCoASupportTransportThread: Handling a valid 'CoA-Request' regarding station d0:37:45:89:ef:64
*radiusCoASupportTransportThread: Sending Radius CoA Response packet on srcPort: 1700, dpPort: 2, tx Port: 23974
*radiusCoASupportTransportThread: Sent a 'CoA-Ack' to 10.106.32.25 (port:23974)
Después de esto, el cliente se vuelve a autenticar y se le concede acceso a la red.
Nota: En la versión 7.2 o anterior, el estado CENTRAL_WEB_AUTH se llamaba POSTURE_REQD.
Tenga en cuenta que el tipo de CoA devuelto por ISE evolucionó a través de las versiones. ISE 3.0 solicitará al WLC que inicie la reautenticación usando el último método, es decir, MAB en este caso. El WLC vuelve a autenticar al usuario cuando envía la solicitud de acceso RADIUS con el atributo Authorize-Only.
Ejemplo de solicitud de CoA de ISE 3.0:
El WLC entonces no enviará una trama de desasociación al cliente y ejecutará una autenticación radius nuevamente y aplicará el nuevo resultado de manera transparente al cliente. Desde 8.3, el WLC admite la configuración de una clave precompartida WPA en un SSID CWA. La experiencia del usuario sigue siendo la misma que en escenarios clásicos no PSK, el WLC no enviará una trama de desasociación al cliente y simplemente aplicará el nuevo resultado de autorización. Sin embargo, una "respuesta de asociación" todavía se envía al cliente aunque nunca se recibió una "solicitud de asociación" del cliente, lo que puede parecer curioso al analizar rastros de sabueso.
Complete estos pasos para resolver o aislar un problema de CWA:
Tenga en cuenta los siguientes ID de error de Cisco que limitan la eficiencia del proceso CWA en un escenario de movilidad (especialmente cuando se configura la contabilidad):