Contenido

Introducción
Prerequisites
Requirements
Componentes Utilizados
Antecedentes
Configuración de AP
Configuración del cliente inalámbrico
Verificación
Troubleshoot
Personalización

Introducción

Este documento describe cómo configurar para el acceso de invitado en puntos de acceso autónomos (AP) con el uso de la página web interna que está integrada en el AP mismo.

Prerequisites

Requirements

Cisco recomienda tener conocimientos sobre estos temas antes de intentar esta configuración:


Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.


Antecedentes

La autenticación web es una función de seguridad de capa 3 (L3) que permite a los AP autónomos bloquear el tráfico IP (excepto los paquetes relacionados con DHCP y el servidor de nombres de dominio (DNS)) hasta que el invitado proporcione un nombre de usuario y una contraseña válidos en el portal web al que se redirige el cliente cuando se abre un navegador.

Con la autenticación web, se debe definir un nombre de usuario y una contraseña separados para cada invitado. El invitado se autentica con el nombre de usuario y la contraseña ya sea por el servidor RADIUS local o un servidor RADIUS externo.

Esta función se introdujo en Cisco IOS Release 15.2(4)JA1.  


Configuración de AP

Nota: Este documento asume que la interfaz virtual de puente (BVI) 1 en el AP tiene una dirección IP de 192.168.10.2 /24, y que el conjunto DHCP se define internamente en el AP para las direcciones IP de 192.168.10.10 a 192.168.10.254 (IP 192.168.10.1 a 192.168.10.10).


Complete estos pasos para configurar el AP para el acceso de invitado:

  1. Agregue un nuevo identificador de conjunto de servicios (SSID) , denomínelo Invitado y configúrelo para la autenticación web:

    ap(config)#dot11 ssid Guest

    ap(config-ssid)#authentication open

    ap(config-ssid)#web-auth

    ap(config-ssid)#guest-mode

    ap(config-ssid)#exit

  2. Cree una regla de autenticación, donde debe especificar el protocolo de autenticación de proxy y ponerle el nombre web_auth:

    ap(config)#ip admission name web_auth proxy http

  3. Aplique el SSID (Invitado) y la regla de autenticación (web_auth) a la interfaz de radio. Este ejemplo utiliza radio 802.11b/g:

    ap(config)#interface dot11radio 0 

    ap(config-if)#ssid Guest

    ap(config-if)#ip admission web_auth

    ap(confi-if)#no shut

    ap(config-if)#exit

  4. Defina la lista de métodos que especifica dónde se autentican las credenciales de usuario. Enlace el nombre de la lista de métodos con la regla de autenticación web_auth y asígnele el nombre web_list: 

    ap(config)#ip admission name web_auth method-list authentication web_list

  5. Complete estos pasos para configurar la autenticación, autorización y contabilidad (AAA) en el AP y el servidor RADIUS local, y vincule la lista de métodos con el servidor RADIUS local en el AP:

    1. Habilitar AAA:

      ap(config)#aaa new-model

    2. Configure el servidor RADIUS local:

      ap(config)#radius-server local

      ap(config-radsrv)#nas 192.168.10.2 key cisco

      ap(config-radsrv)#exit

    3. Cree las cuentas de invitado y especifique su duración (en minutos). Cree una cuenta de usuario con un nombre de usuario y una contraseña de user1, y establezca el valor de duración en 60 minutos:

      ap(config)#dot11 guest

      ap(config-guest-mode)#username  user1 lifetime 60 password user1

      ap(config-guest-mode)#exit

      ap(config)#

      Puede crear otros usuarios con el mismo proceso.

      Nota: Debe habilitar radius-server local para crear cuentas de invitado.


    4. Defina el AP como un servidor RADIUS:

      ap(config)#radius-server host 192.168.10.2 auth-port 1812
       acct-port 1813 key cisco

    5. Enlace la lista de autenticación web con el servidor local:

      ap(config)#aaa authentication login web_list group radius

Nota: Puede utilizar un servidor RADIUS externo para alojar las cuentas de usuario invitado. Para hacer esto, configure el comando radius-server host para señalar al servidor externo en lugar de la dirección IP AP. 


Configuración del cliente inalámbrico

Complete estos pasos para configurar el cliente inalámbrico:

  1. Para configurar la red inalámbrica en su utilidad de suplicante de Windows con el SSID llamado Guest, navegue a Network and Internet > Manage Wireless Networks, y haga clic en Add.

  2. Seleccione Manually connect to a wireless network, e ingrese la información requerida, como se muestra en esta imagen:



  3. Haga clic en Next (Siguiente).  

Verificación

Después de que se complete la configuración, el cliente puede conectarse al SSID normalmente, y usted ve esto en la consola AP:


%DOT11-6-ASSOC: Interface Dot11Radio0, Station ap 0027.10e1.9880
 Associated KEY_MGMT[NONE]

ap#show dot11 ass

802.11 Client Stations on Dot11Radio0:

SSID [Guest] :

MAC Address    IP address   IPV6 address  Device    Name  Parent  State

0027.10e1.9880  0.0.0.0     ::           ccx-client  ap   self    Assoc

El cliente tiene una dirección IP dinámica de 192.168.10.11. Sin embargo, cuando intenta hacer ping a la dirección IP del cliente, éste falla porque el cliente no está completamente autenticado:


ap#PING 192.168.10.11

 Type escape sequence to abort.

 Sending 5, 100-byte ICMP Echos to 192.168.10.11, timeout is 2 seconds:

 .....

 Success rate is 0 percent (0/5)

Si el cliente abre un navegador e intenta alcanzar http://1.2.3.4 por ejemplo, el cliente se redirige a la página de inicio de sesión interna:


 


Nota: Esta prueba se completa con una dirección IP aleatoria introducida directamente (aquí la dirección URL introducida es 1.2.3.4) sin necesidad de traducir una URL a través del DNS, porque el DNS no se utilizó en la prueba. En escenarios normales, el usuario ingresa la URL de la página de inicio y se permite el tráfico DNS hasta que el cliente envía el mensaje HTTP GET a la dirección resuelta, que es interceptada por el AP. El AP falsifica la dirección del sitio web y redirige al cliente a la página de inicio de sesión almacenada internamente.


Una vez que el cliente se redirige a la página de inicio de sesión, las credenciales del usuario se ingresan y verifican con el servidor RADIUS local, según la configuración AP. Después de una autenticación exitosa, el tráfico que viene y va al cliente se permite completamente.

Este es el mensaje que se envía al usuario después de una autenticación exitosa:



Después de una autenticación exitosa, puede ver la información de IP del cliente:


ap#show dot11 ass

802.11 Client Stations on Dot11Radio0:

SSID [Guest] :

MAC Address     IP address    IPV6 address  Device    Name  Parent  State

0027.10e1.9880  192.168.10.11     ::       ccx-client  ap    self   Assoc

Los ping al cliente después de completar la autenticación exitosa deben funcionar correctamente:


ap#ping 192.168.10.11

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.10.11, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/6 ms

Troubleshoot

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.


Nota: La itinerancia entre APs durante la autenticación web no proporciona una experiencia fluida, porque los clientes deben iniciar sesión en cada nuevo AP al que se conectan.  


Personalización

Al igual que el IOS en routers o switches, puede personalizar su página con un archivo personalizado; sin embargo, no es posible redirigir a una página web externa.

Utilice estos comandos para personalizar los archivos del portal: