En un entorno empresarial cada vez más móvil y colaborativo, cada vez más organizaciones están abriendo sus entornos de red para compartir de forma controlada los recursos con partners empresariales, clientes y otros invitados. Las empresas buscan mejores formas de:
· Proporcionar acceso inalámbrico seguro a Internet a los clientes visitantes
· Permitir un acceso limitado a los recursos de red de la empresa para los partners empresariales
· Proporcionar autenticación y conectividad rápidas a los empleados que utilizan allí dispositivos móviles personales
Un punto de acceso inalámbrico (AP) Cisco Small Business, como el WAP321 o el WAP561, se puede integrar fácilmente en la red por cable existente para proporcionar una conectividad inalámbrica con velocidad y seguridad equivalente a una conexión por cable típica.
La función Cisco Captive Portal proporciona una forma cómoda, segura y rentable de ofrecer acceso inalámbrico a clientes y otros visitantes al tiempo que mantiene la seguridad de su red interna. Una red de invitados puede servir para muchos objetivos empresariales importantes, como optimizar la relación comercial con los partners y proporcionar una mayor satisfacción del cliente y mejorar la productividad de los empleados.
Captive Portal puede proporcionar las siguientes funciones básicas:
· página de inicio de sesión de invitado personalizada con logotipos de empresa
· Capacidad de crear varias instancias del portal cautivo
· varias opciones de autenticación
· Capacidad de asignar diferentes derechos y funciones
· Capacidad de asignar ancho de banda (ascendente y descendente)
El portal cautivo se puede configurar a través de la GUI del dispositivo. Para una configuración rápida y básica, el cliente puede utilizar el asistente de configuración para habilitar la función, consulte los pasos siguientes:
Ejecute el asistente de configuración desde el panel principal de la GUI del dispositivo.
Siga las pantallas del asistente.
Habilitar acceso de invitado (portal cautivo).
Dé un nombre a la red de invitados; por ejemplo, "Mi empresa: invitado".
Seleccione un tipo de seguridad.
Si tiene una página web específica que desea mostrar después de que los usuarios acepten los términos de servicio de la página de bienvenida, escriba la URL y, a continuación, esta URL puede ser el sitio web de su empresa.
Seleccione Siguiente para ir a la página siguiente.
Ahora que la configuración del portal cautivo ha finalizado, el cliente puede conectarse a su red de invitados y obtener la página de bienvenida.
Para la configuración y personalización avanzadas del portal, inicie sesión en la interfaz gráfica de usuario del dispositivo en el menú Portal cautivo.
Seleccione Configuración de instancia, observará que el asistente ha creado un nombre de instancia denominado "wiz-cp-inst1". Puede elegir este nombre o crear un nuevo nombre para la configuración de instancia y, a continuación, guardarlo. Si elige "wiz-cp-inst1", la pantalla le llevará a la página Configuración de la Instancia.
Observará que el asistente de configuración asoció automáticamente el nombre de instancia del portal cautivo "wiz-cp-inst1" al SSID de invitado que se creó durante el asistente de configuración.
Si creó la instancia mediante la GUI, ahora debe asociarse a la red de invitados que creó.
En el menú desplegable, seleccione el nombre de la instancia "Guest" o la instancia creada por el asistente "wiz-cp-inst1".
En el menú seleccione Configuración del portal web para configurar la página de bienvenida de invitado, elija el nombre de la instancia en el menú desplegable.
Seleccione el método de autenticación que el portal cautivo utilizará para verificar los clientes:
Invitado ·: el usuario no necesita ser autenticado por una base de datos.
· Local: el dispositivo WAP utiliza una base de datos local para los usuarios autenticados.
· RADIUS: el dispositivo WAP utiliza una base de datos en un servidor RADIUS remoto para autenticar a los usuarios.
Si selecciona el método de verificación "Configuración regional", deberá crear usuarios locales.
En el menú, elija Local.
Introduzca el parámetro use (nombre del usuario) y elija los parámetros del perfil de usuario.
Personalización de la página del portal web: ahora tiene la opción de cargar el logotipo y los gráficos de su empresa. Puede cargar hasta 3 archivos gráficos, uno para el fondo de la página (Default cisco-bkg) segundo para el logotipo de la empresa (predeterminado, cisco-log) y el tercero para la pantalla de inicio de sesión (valor predeterminado, clave de registro).
** Tenga en cuenta que el tamaño del archivo de esta ilustración debe ser de 5 KB.
Ahora puede personalizar su página del portal web, como añadir la política de uso de aceptación, el título y el nombre de la ventana, etc.
Página personalizada con el método de verificación como Invitado, esto significa que no hay necesidad de autenticarse, el usuario sólo tendrá que aceptar los términos de servicio y seleccionar el botón Conectar, introduciendo el nombre de usuario es opcional.
Página personalizada con el método de verificación como Local, lo que significa que el usuario debe introducir allí el nombre de usuario y la contraseña para la autenticación y, a continuación, el usuario deberá aceptar los términos de servicio y seleccionar el botón Conectar.
En algunos casos, una red necesita varias VLAN para diferentes propósitos, prestando servicio a diferentes grupos de usuarios. Un ejemplo común es una red independiente para usuarios invitados que impide que usuarios no autorizados accedan a los recursos de la red corporativa. A veces hay varias redes inalámbricas que deben estar disponibles para diferentes usuarios por la misma razón. Los dispositivos WAP321 y WAP561 pueden satisfacer estas necesidades mediante el portal cautivo, pero requieren un poco de configuración adicional en la red. Esta sección pasará a esa configuración.
Este documento asume que ya existe una configuración de red. En este ejemplo, hay dos redes, la red principal y la red de invitados. La configuración para crear y servir direcciones DHCP a cada red ya se ha configurado. El WAP321 ya se ha configurado para difundir un SSID diferente para cada red. La configuración actual tendrá el siguiente aspecto:
Cuando se complete la configuración, el ruteo InterVLAN se activará en la red para que todos los clientes inalámbricos puedan acceder al portal cautivo, lo que habilita la conectividad de red.
Primero, habilite el ruteo interVLAN en el router de núcleo, en este caso un RV320. Para configurar esto, vaya a Administración de puertos > Afiliación VLAN para habilitar el ruteo InterVLAN. Marque las VLAN 1 y 25 a la izquierda de la página y haga clic en Editar. En la columna InterVLAN Routing, haga clic en el cuadro desplegable de cada uno y seleccione Enabled (Activado). Guarde las configuraciones.
Ahora todos los usuarios deben poder acceder al portal cautivo, pero también pueden acceder a cualquier recurso en la VLAN principal o en la VLAN de invitado. Para restringir el acceso, configure una regla de control de acceso en el RV320. Vaya a Firewall > Access Rules para configurar esta restricción.
En la parte inferior de la página, haga clic en Agregar. Queremos agregar un total de 2 reglas de acceso para nuestro escenario. Primero, configure la regla que niega el acceso desde la subred de invitado 192.168.25.x/24 a la subred interna 192.168.1.x/24, como se muestra a la derecha.
Haga clic en Guardar en la parte inferior de la página y, a continuación, haga clic en Volver. Ahora agregue otra regla, esta vez establezca la acción como "Permitir" y la IP de destino como "Única". Configure la regla para permitir el acceso desde la subred 192.168.25.x/24 a 192.168.1.5, que actualmente está configurada para ser la IP estática WAP321. Esta regla se colocará por delante de la regla de denegación que acabamos de crear, permitiendo el tráfico a 192.168.1.5 desde la red de invitados y en ninguna otra parte de la red principal.
Cuando haya terminado, la página de reglas de acceso debe tener este aspecto.
Para configurar el portal cautivo en esta configuración, simplemente siga los pasos de la primera sección para cada red que necesita para configurar el portal cautivo.