Este documento describe cómo configurar para el acceso de invitado en puntos de acceso autónomos (AP) con el uso de la página web interna que está integrada en el AP mismo.
Cisco recomienda tener conocimientos sobre estos temas antes de intentar esta configuración:
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
La autenticación web es una función de seguridad de capa 3 (L3) que permite a los AP autónomos bloquear el tráfico IP (excepto los paquetes relacionados con DHCP y el servidor de nombres de dominio (DNS)) hasta que el invitado proporcione un nombre de usuario y una contraseña válidos en el portal web al que se redirige el cliente cuando se abre un navegador.
Con la autenticación web, se debe definir un nombre de usuario y una contraseña separados para cada invitado. El invitado se autentica con el nombre de usuario y la contraseña ya sea por el servidor RADIUS local o un servidor RADIUS externo.
Esta función se introdujo en Cisco IOS Release 15.2(4)JA1.
Complete estos pasos para configurar el AP para el acceso de invitado:
ap(config)#dot11 ssid Guest
ap(config-ssid)#authentication open
ap(config-ssid)#web-auth
ap(config-ssid)#guest-mode
ap(config-ssid)#exit
ap(config)#ip admission name web_auth proxy http
ap(config)#interface dot11radio 0
ap(config-if)#ssid Guest
ap(config-if)#ip admission web_auth
ap(confi-if)#no shut
ap(config-if)#exit
ap(config)#ip admission name web_auth method-list authentication web_list
ap(config)#aaa new-model
ap(config)#radius-server local
ap(config-radsrv)#nas 192.168.10.2 key cisco
ap(config-radsrv)#exit
ap(config)#dot11 guest
ap(config-guest-mode)#username user1 lifetime 60 password user1
ap(config-guest-mode)#exit
ap(config)#
ap(config)#radius-server host 192.168.10.2 auth-port 1812
acct-port 1813 key cisco
ap(config)#aaa authentication login web_list group radius
Complete estos pasos para configurar el cliente inalámbrico:
Después de que se complete la configuración, el cliente puede conectarse al SSID normalmente, y usted ve esto en la consola AP:
%DOT11-6-ASSOC: Interface Dot11Radio0, Station ap 0027.10e1.9880
Associated KEY_MGMT[NONE]
ap#show dot11 ass
802.11 Client Stations on Dot11Radio0:
SSID [Guest] :
MAC Address IP address IPV6 address Device Name Parent State
0027.10e1.9880 0.0.0.0 :: ccx-client ap self Assoc
El cliente tiene una dirección IP dinámica de 192.168.10.11. Sin embargo, cuando intenta hacer ping a la dirección IP del cliente, éste falla porque el cliente no está completamente autenticado:
ap#PING 192.168.10.11
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.11, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
Si el cliente abre un navegador e intenta alcanzar http://1.2.3.4 por ejemplo, el cliente se redirige a la página de inicio de sesión interna:
Una vez que el cliente se redirige a la página de inicio de sesión, las credenciales del usuario se ingresan y verifican con el servidor RADIUS local, según la configuración AP. Después de una autenticación exitosa, el tráfico que viene y va al cliente se permite completamente.
Este es el mensaje que se envía al usuario después de una autenticación exitosa:
Después de una autenticación exitosa, puede ver la información de IP del cliente:
ap#show dot11 ass
802.11 Client Stations on Dot11Radio0:
SSID [Guest] :
MAC Address IP address IPV6 address Device Name Parent State
0027.10e1.9880 192.168.10.11 :: ccx-client ap self Assoc
Los ping al cliente después de completar la autenticación exitosa deben funcionar correctamente:
ap#ping 192.168.10.11
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.11, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/6 ms
Actualmente, no hay información específica de troubleshooting disponible para esta configuración.
Al igual que el IOS en routers o switches, puede personalizar su página con un archivo personalizado; sin embargo, no es posible redirigir a una página web externa.
Utilice estos comandos para personalizar los archivos del portal:
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
27-Jan-2014 |
Versión inicial |