Introducción
Este documento describe cómo configurar la autenticación web central con puntos de acceso (AP) FlexConnect en un controlador de LAN inalámbrica (WLC) con Identity Services Engine (ISE) en modo de switching local.
Nota importante: En este momento, la autenticación local en los FlexAP no se soporta para este escenario.
Otros documentos de esta serie
Prerequisites
Requirements
No hay requisitos específicos para este documento.
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Cisco Identity Services Engine (ISE), versión 1.2.1
- Wireless LAN Controller Software, versión 7.4.100.0
Configurar
Hay varios métodos para configurar la autenticación web central en el controlador de LAN inalámbrica (WLC). El primer método es la autenticación web local en la cual el WLC redirige el tráfico HTTP a un servidor interno o externo donde se le pide al usuario que se autentique. El WLC luego recopila las credenciales (enviadas a través de una solicitud GET HTTP en el caso de un servidor externo) y hace una autenticación RADIUS. En el caso de un usuario invitado, se requiere un servidor externo (como Identity Service Engine (ISE) o NAC Guest Server (NGS)), ya que el portal proporciona funciones como el registro de dispositivos y el autoaprovisionamiento. Este proceso incluye los siguientes pasos:
- El usuario se asocia al SSID de autenticación Web.
- El usuario abre su navegador.
- El WLC redirige al portal de invitados (como ISE o NGS) tan pronto como se ingresa una URL.
- El usuario se autentica en el portal.
- El portal de invitados redirige al WLC con las credenciales introducidas.
- El WLC autentica al usuario invitado a través de RADIUS.
- El WLC redirige a la URL original.
Este proceso incluye mucha redirección. El nuevo enfoque es utilizar la autenticación web central que funciona con ISE (versiones posteriores a 1.1) y WLC (versiones posteriores a 7.2). Este proceso incluye los siguientes pasos:
- El usuario se asocia al SSID de autenticación Web.
- El usuario abre su navegador.
- El WLC redirige al portal de invitados.
- El usuario se autentica en el portal.
- El ISE envía un cambio de autorización RADIUS (CoA - UDP Port 1700) para indicar al controlador que el usuario es válido y finalmente envía atributos RADIUS como Access Control List (ACL).
- Se solicita al usuario que vuelva a intentar la dirección URL original.
Esta sección describe los pasos necesarios para configurar la autenticación web central en WLC e ISE.
Diagrama de la red
Esta configuración utiliza esta configuración de red:

Configuración de WLC
La configuración del WLC es bastante sencilla. ¿Un truco? se utiliza (igual que en los switches) para obtener la URL de autenticación dinámica del ISE. (Dado que utiliza CoA, es necesario crear una sesión, ya que el ID de sesión forma parte de la URL.) El SSID se configura para utilizar el filtrado MAC y el ISE se configura para devolver un mensaje de aceptación de acceso incluso si no se encuentra la dirección MAC para que envíe la URL de redirección a todos los usuarios.
Además, se deben habilitar el control de admisión a la red (NAC) RADIUS y la sustitución de AAA. El RADIUS NAC permite al ISE enviar una solicitud de CoA que indica que el usuario ahora está autenticado y que puede acceder a la red. También se utiliza para la evaluación del estado en la que ISE cambia el perfil del usuario en función del resultado del estado.
- Asegúrese de que el servidor RADIUS tenga el RFC3576 (CoA) habilitado, que es el valor predeterminado.

- Cree una nueva WLAN. Este ejemplo crea una nueva WLAN denominada CWAFlex y la asigna a vlan33. (Tenga en cuenta que no tendrá mucho efecto, ya que el punto de acceso está en el modo de conmutación local.)

- En la ficha Security (Seguridad), active el filtrado de MAC como seguridad de capa 2.

- En la ficha Capa 3, asegúrese de que la seguridad esté desactivada. (Si la autenticación Web está habilitada en la Capa 3, la autenticación Web local está habilitada, no la autenticación Web central.)

- En la pestaña Servidores AAA, seleccione el servidor ISE como servidor RADIUS para la WLAN. Opcionalmente, puede seleccionarlo para la contabilidad para tener información más detallada sobre ISE.

- En la pestaña Advanced (Opciones avanzadas), asegúrese de que Allow AAA Override (Permitir sustitución AAA) esté activada y de que Radius NAC esté seleccionado para el estado NAC.

- Cree una ACL de redirección.
Esta ACL se hace referencia en el mensaje Access-Accept de ISE y define qué tráfico debe redirigirse (denegado por la ACL), así como qué tráfico no debe redirigirse (permitido por la ACL). Básicamente,se debe permitir el DNS y el tráfico hacia/desde el ISE.
Nota: Un problema con los AP de FlexConnect es que debe crear una ACL de FlexConnect separada de la ACL normal. Este problema se documenta en Cisco Bug CSCue68065 y se corrige en la versión 7.5. En WLC 7.5 y posteriores, sólo se requiere una FlexACL y no se necesita ninguna ACL estándar. El WLC espera que la ACL de redirección devuelta por ISE sea una ACL normal. Sin embargo, para asegurarse de que funciona, necesita que se aplique la misma ACL que la ACL de FlexConnect.
Este ejemplo muestra cómo crear una ACL FlexConnect denominada flexred:

- Cree reglas para permitir el tráfico DNS así como el tráfico hacia ISE y denegar el resto.

Si desea la máxima seguridad, sólo puede permitir el puerto 8443 hacia ISE. (Si se realiza una postura, debe agregar puertos de estado típicos, como 8905,8906,8909,8910.)
- (Sólo en el código anterior a la versión 7.5 debido a CSCue68065) Elija Security > Access Control Lists para crear una ACL idéntica con el mismo nombre.

- Prepare el punto de acceso FlexConnect específico. Tenga en cuenta que para una implementación mayor, normalmente utilizaría grupos FlexConnect y no realizaría estos elementos por AP por razones de escalabilidad.
- Haga clic en Wireless y seleccione el punto de acceso específico.
- Haga clic en la ficha FlexConnect y haga clic en ACL de autenticación web externa. (Antes de la versión 7.4, esta opción se denominaba políticas web).

- Agregue la ACL (denominada flexred en este ejemplo) al área de políticas web. Esto pre-empuja la ACL al punto de acceso. Todavía no se aplica, pero el contenido ACL se da al AP para que pueda aplicarse cuando sea necesario.

La configuración del WLC está completa.
Configuración de ISE
Crear el perfil de autorización
Complete estos pasos para crear el perfil de autorización:
Haga clic en Policy y, a continuación, haga clic en Policy Elements.
Haga clic en Resultados.
Expanda Autorización y, a continuación, haga clic en Perfil de autorización.
Haga clic en el botón Add para crear un nuevo perfil de autorización para webauth central.
En el campo Name, ingrese un nombre para el perfil. Este ejemplo utiliza CentralWebauth.
Elija ACCESS_ACCEPT en la lista desplegable Tipo de acceso.
Marque la casilla de verificación Autenticación Web y elija Autenticación Web Centralizada en la lista desplegable.
En el campo ACL, ingrese el nombre de la ACL en el WLC que define el tráfico que será redirigido. Este ejemplo utiliza flexred.
Elija Predeterminado en la lista desplegable Redirigir.
El atributo Redirect define si el ISE ve el portal web predeterminado o un portal web personalizado creado por el administrador de ISE. Por ejemplo, la ACL flexible en este ejemplo activa una redirección del tráfico HTTP del cliente a cualquier lugar.

Crear una regla de autenticación
Complete estos pasos para utilizar el perfil de autenticación para crear la regla de autenticación:
- En el menú Política, haga clic en Autenticación.
Esta imagen muestra un ejemplo de cómo configurar la regla de política de autenticación. En este ejemplo, se configura una regla que se activará cuando se detecte el filtrado MAC.

- Introduzca un nombre para la regla de autenticación. Este ejemplo utiliza Mab inalámbrica.
- Seleccione el icono más (+) en el campo Condición If.
- Elija la condición Compound y luego elija Wireless_MAB.
- Elija "Acceso a la red predeterminado" como protocolo permitido.
- Haga clic en la flecha situada junto a y ... para ampliar la regla.
- Haga clic en el icono + en el campo Origen de identidad y elija Terminales internos.
- Elija Continue en la lista desplegable If user not found.

Esta opción permite que un dispositivo se autentique (a través de webauth) incluso si su dirección MAC no se conoce. Los clientes Dot1x aún pueden autenticarse con sus credenciales y no deben preocuparse por esta configuración.
Crear una regla de autorización
Ahora hay varias reglas que configurar en la política de autorización. Cuando el PC esté asociado, pasará por el filtrado de mac; se supone que la dirección MAC no se conoce, por lo que se devuelven webauth y ACL. Esta regla MAC no conocida se muestra en la siguiente imagen y se configura en esta sección.

Complete estos pasos para crear la regla de autorización:
Cree una nueva regla e introduzca un nombre. Este ejemplo utiliza MAC no conocido.
Haga clic en el icono más ( +) en el campo condición y elija crear una nueva condición.
Expanda la lista desplegable expresión.
Elija Acceso a la red y expúlselo.
Haga clic en AuthenticationStatus, y elija el Equals operador.
Elija UnknownUser en el campo derecho.
En la página de autorización general, elija CentralWebauth (Perfil de autorización) en el campo situado a la derecha de la palabra luego.
Este paso permite que ISE continúe aunque el usuario (o la MAC) no se conozca.
Los usuarios desconocidos se presentan ahora con la página de inicio de sesión. Sin embargo, una vez que ingresan sus credenciales, se les vuelve a presentar una solicitud de autenticación en el ISE; por lo tanto, se debe configurar otra regla con una condición que se cumple si el usuario es un usuario invitado. En este ejemplo, se utiliza Si UseridentityGroup es igual a Guest y se supone que todos los invitados pertenecen a este grupo.
Haga clic en el botón Acciones situado al final de la regla MAC no conocida y elija insertar una nueva regla arriba.
Nota: Es muy importante que esta nueva regla se produzca antes de la regla MAC no conocida.
Introduzca 2ª AUTH en el campo name (nombre).
- Seleccione un grupo de identidad como condición. Este ejemplo eligió Invitado.
- En el campo condición, haga clic en el icono más (+) y elija crear una nueva condición.
- Elija Network Access y haga clic en UseCase.
- Elija Equals como operador.
- Elija GuestFlow como el operando adecuado. Esto significa que capturará a los usuarios que acaban de iniciar sesión en la página web y volverán después de un Cambio de autorización (la parte de flujo de invitado de la regla) y sólo si pertenecen al grupo de identidad de invitado.
- En la página de autorización, haga clic en el icono más (+) (situado junto a y a continuación) para elegir un resultado para la regla.
En este ejemplo, se asigna un perfil preconfigurado (vlan34); esta configuración no se muestra en este documento.
Puede elegir una opción Permit Access o crear un perfil personalizado para devolver la VLAN o los atributos que desee.
Nota importante: En ISE versión 1.3, en función del tipo de autenticación web, es posible que ya no se encuentre el caso práctico de "flujo de invitado". La regla de autorización tendría que contener el grupo de usuarios invitados como la única condición posible.
Habilitar la renovación de IP (opcional)
Si asigna una VLAN, el paso final es que la PC cliente renueve su dirección IP. Este paso se logra mediante el portal de invitados para clientes de Windows. Si no configuró una VLAN para la segunda regla AUTH antes, puede saltarse este paso.
Tenga en cuenta que en los AP de FlexConnect, la VLAN debe existir previamente en el propio AP. Por lo tanto, si no lo hace, puede crear un mapping de VLAN-ACL en el propio AP o en el grupo flex donde no aplica ninguna ACL para la nueva VLAN que desea crear. Esto en realidad crea una VLAN (sin ACL).
Si asignó una VLAN, complete estos pasos para habilitar la renovación de IP:
Haga clic en Administration y luego en Guest Management.
Haga clic en Settings.
Expanda Guest y, a continuación, Multi-Portal Configuration.
Haga clic en DefaultGuestPortal o en el nombre de un portal personalizado que haya creado.
Haga clic en la casilla de verificación Vlan DHCP Release .
Nota: Esta opción sólo funciona para clientes de Windows.
Flujo de tráfico
Puede parecer difícil entender qué tráfico se envía en este escenario. A continuación, una rápida reseña:
- El cliente envía una solicitud de asociación por el aire para el SSID.
- El WLC maneja la autenticación de filtrado MAC con ISE (donde recibe los atributos de redirección).
- El cliente sólo recibe una respuesta assoc después de que el filtrado MAC se complete.
- El cliente envía una solicitud DHCP y es LOCALMENTE conmutado por el punto de acceso para obtener una dirección IP del sitio remoto.
- En el estado Central_webauth, el tráfico marcado para denegar en la ACL de redirección (por lo que HTTP normalmente) es CENTRALMENTE conmutado. Así que no es el AP el que hace la redirección sino el WLC; por ejemplo, cuando el cliente solicita cualquier sitio web, el AP envía esto al WLC encapsulado en CAPWAP y el WLC imita esa dirección IP del sitio y redirige hacia ISE.
- El cliente se redirige a la URL de redirección de ISE. Esto es LOCALMENTE conmutado de nuevo (porque se encuentra en permit en la ACL de redireccionamiento flexible).
- Una vez en el estado RUN, el tráfico se conmuta localmente.
Verificación
Una vez que el usuario está asociado al SSID, la autorización se muestra en la página ISE.

De abajo hacia arriba, puede ver la autenticación de filtrado de direcciones MAC que devuelve los atributos de CWA. A continuación se encuentra el inicio de sesión del portal con el nombre de usuario. El ISE entonces envía una CoA al WLC y la última autenticación es una autenticación de filtrado MAC de capa 2 en el lado del WLC, pero ISE recuerda al cliente y al nombre de usuario y aplica la VLAN necesaria que configuramos en este ejemplo.
Cuando se abre una dirección en el cliente, el explorador se redirige al ISE. Asegúrese de que el sistema de nombres de dominio (DNS) está configurado correctamente.

El acceso a la red se concede después de que el usuario acepte las políticas.

En el controlador, el estado del administrador de políticas y el estado RADIUS NAC cambian de POSTURE_REQD a RUN.