Guía de integración de controlador de LAN inalámbrica (WLC) y NAC Guest Server (NGS)

Introducción

Este documento proporciona una pauta para integrar el NAC Guest Server y los controladores de LAN inalámbricos.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Controlador de LAN inalámbrica de Cisco (WLC) 4.2.61.0

• Catalyst 3560 con IOS^® versión 12.2(25)SEE2

• Cisco ADU versión 4.0.0.279

• Servidor invitado NAC versión 1.0

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico.Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada).Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos Cisco para obtener más información sobre las convenciones del documento.

Antecedentes

Cisco NAC Guest Server es un completo sistema de aprovisionamiento e informes que proporciona acceso temporal a la red a invitados, visitantes, contratistas, consultores o clientes. El servidor invitado funciona junto con el dispositivo Cisco NAC o el controlador Cisco Wireless LAN Controller, que proporciona el portal cautivo y el punto de aplicación para el acceso de invitados.

Cisco NAC Guest Server permite a cualquier usuario con privilegios crear fácilmente cuentas temporales de invitados y patrocinar invitados. Cisco NAC Guest Server realiza la autenticación completa de los patrocinadores, los usuarios que crean las cuentas de invitados y permite a los patrocinadores proporcionar los detalles de la cuenta al invitado mediante impresión, correo electrónico o SMS. Toda la experiencia, desde la creación de la cuenta de usuario hasta el acceso a la red de invitado, se almacena para la auditoría y la generación de informes.

Cuando se crean las cuentas de invitado, se aprovisionan en Cisco NAC Appliance Manager (Clean Access Manager) o se almacenan en la base de datos integrada en Cisco NAC Guest Server. Cuando utiliza la base de datos integrada del servidor de invitados, los dispositivos de acceso a la red externos, como el controlador de LAN inalámbrica de Cisco, pueden autenticar a los usuarios en el servidor de invitados con el protocolo RADIUS (Servicio de usuario de acceso telefónico de autenticación remota).

Cisco NAC Guest Server aprovisiona la cuenta de invitado por el tiempo especificado al crear la cuenta. Al vencer la cuenta, el servidor invitado elimina la cuenta directamente del Cisco NAC Appliance Manager o envía un mensaje RADIUS que notifica al dispositivo de acceso a la red (NAD) la cantidad de tiempo válido que queda para la cuenta antes de que el NAD deba quitar el usuario.

Cisco NAC Guest Server proporciona una contabilidad de acceso a la red de invitado vital importancia mediante la consolidación de toda la pista de auditoría desde la creación de la cuenta de invitado hasta el uso de invitados de la cuenta, de modo que los informes se puedan realizar a través de una interfaz de administración central.

Conceptos de acceso de invitado

Cisco NAC Guest Server utiliza varios términos para explicar los componentes necesarios para proporcionar acceso de invitado.

Usuario invitado

El usuario invitado es la persona que necesita una cuenta de usuario para acceder a la red.

Patrocinador

El patrocinador es la persona que crea la cuenta de usuario invitado. Esta persona suele ser un empleado de la organización que proporciona acceso a la red. Los patrocinadores pueden ser específicos (3): personas con determinadas funciones laborales o pueden ser cualquier empleado que pueda autenticarse en un directorio corporativo como Microsoft Active Directory (AD).

Dispositivo de aplicación de la red

Estos dispositivos son los componentes de la infraestructura de red que proporcionan el acceso a la red. Además, los dispositivos de aplicación de políticas de red llevan a los usuarios invitados a un portal cautivo, donde pueden introducir los detalles de su cuenta de invitado. Cuando un invitado introduce su nombre de usuario y contraseña temporales, el dispositivo de aplicación de red comprueba esas credenciales con las cuentas de invitado creadas por el servidor de invitado.

Servidor invitado

Se trata del servidor de invitados Cisco NAC, que une todos los elementos del acceso de invitado. El servidor de invitados los vincula: el patrocinador que crea la cuenta de invitado, los detalles de la cuenta que se pasan al invitado, la autenticación de invitado en el dispositivo de aplicación de red y la verificación del dispositivo de aplicación de red del invitado con el servidor de invitado. Además, Cisco NAC Guest Server consolida la información contable de los dispositivos de aplicación de la red para proporcionar un único punto de informes de acceso de invitado.

La documentación detallada sobre NGS está disponible en CCO.

http://www.cisco.com/en/US/docs/security/nac/guestserver/configuration_guide/10/nacguestserver.html

Descripción general de la topología de laboratorio

Configuración del controlador de LAN inalámbrica (WLC)

Siga estos pasos para configurar el WLC:

1. Inicialice el controlador y el punto de acceso.

2. Configure las interfaces del controlador.

3. Configure RADIUS.

4. Configure los parámetros de WLAN.

Inicialización

Para la configuración inicial, utilice una conexión de consola como HyperTerminal y siga las indicaciones de configuración para rellenar la información de inicio de sesión e interfaz. El comando reset system también inicia estas indicaciones.

Welcome to the Cisco Wizard Configuration Tool
Use the '-' character to backup
System Name [Cisco_44:36:c3]: WLC
Enter Administrative User Name (24 characters max): admin
Enter Administrative Password (24 characters max): admin
Service Interface IP Address Configuration [none][DHCP]: <ENTER>
Enable Link Aggregation (LAG) [yes][NO]:no
Management Interface IP Address: 10.10.51.2
Management Interface Netmask: 255.255.255.0
Management Interface Default Router: 10.10.51.1
Management Interface VLAN Identifier (0 = untagged): 0
Management Interface Port Num [1 to 2]: 1
Management Interface DHCP Server IP Address: 10.10.51.1
AP Transport Mode [layer2][LAYER3]: layer3
AP Manager Interface IP Address: 10.10.51.3
AP-Manager is on Management subnet, using same values
AP Manager Interface DHCP Server (10.10.5<X>.1):<ENTER>
Virtual Gateway IP Address: 1.1.1.1
Mobility/RF Group Name: mobile-1
Enable Symmetric Mobility Tunneling: No
Network Name (SSID): wireless-1
Allow Static IP Addresses [YES][no]:<ENTER>
Configure a RADIUS Server now? [YES][no]:<ENTER>
Enter the RADIUS Server's Address: 10.1.1.12
Enter the RADIUS Server's Port [1812]:<ENTER>
Enter the RADIUS Server's Secret: cisco
Enter Country Code (enter 'help' for a list of countries) [US]:<ENTER>
Enable 802.11b Network [YES][no]:<ENTER>
Enable 802.11a Network [YES][no]:<ENTER>
Enable 802.11g Network [YES][no]:<ENTER>
Enable Auto-RF [YES][no]:<ENTER>
Configure a NTP server now? [YES][no]: no
Configure the system time now? [YES][no]: yes
Enter the date in MM/DD/YY format: mm/dd/yy
Enter the time in HH:MM:SS format: hh:mm:ss

Servidor invitado Cisco NAC

Cisco NAC Guest Server es una solución de aprovisionamiento y generación de informes que proporciona acceso de red temporal a clientes como invitados, contratistas, etc. Cisco NAC Guest Server funciona con las soluciones Cisco Unified Wireless Network o Cisco NAC Appliance. Este documento le guía a través de los pasos para integrar Cisco NAC Guest Server con un Cisco WLC, que crea una cuenta de usuario invitado y verifica el acceso temporal a la red del invitado.

Siga estos pasos para completar la integración:

1. Agregue Cisco NAC Guest Server como servidor de autenticación en el WLC.

   1. Vaya a su WLC (https://10.10.51.2, admin/admin) para configurar esto.

   2. Elija Security > RADIUS > Authentication.

      

   3. Elija Nuevo.

   4. Agregue la dirección IP (10.1.1.14) para Cisco NAC Guest Server.

   5. Agregue el secreto compartido.

   6. Confirme el secreto compartido.

      

   7. Elija Aplicar.

      

2. Agregue Cisco NAC Guest Server como un servidor de contabilidad en el WLC.

   1. Elija Security > RADIUS >Accounting.

      

   2. Elija Nuevo.

   3. Agregue la dirección IP (10.1.1.14) para Cisco NAC Guest Server.

   4. Agregue el secreto compartido.

   5. Confirme el secreto compartido.

      

   6. Elija Aplicar.

      

3. Modifique la WLAN (wireless-x) para utilizar el servidor de invitados NAC.

   1. Edite la WLAN (wireless-x).

   2. Elija la pestaña Seguridad.

   3. Cambie la Seguridad de Capa 2 a Ninguno y Seguridad de Capa 3 para utilizar Autenticación Web.

      

   4. Elija los Servidores AAA en la pestaña Seguridad.

   5. En el cuadro Servidor 1, elija el servidor RADIUS (10.1.1.14).

   6. En el cuadro Servidor 1, elija el Servidor de contabilidad (10.1.1.14).

      

   7. Elija la pestaña Avanzadas.

   8. Habilite Permitir Anulación AAA. Esto permite que el tiempo de espera de la sesión por cliente se configure desde el dispositivo de invitado NAC.

      

      Nota: Cuando se habilita el reemplazo AAA en el SSID, la vida restante del Usuario invitado en el NGS se envía al WLC como tiempo de espera de sesión en el momento del login del usuario invitado.

   9. Elija Apply para guardar la configuración de WLAN.

      

4. Verifique si el controlador se agrega como cliente Radius en el servidor de invitados Cisco NAC.

   1. Vaya a NAC Guest Server (https://10.1.1.14/admin) para configurarlo.

      Nota: Aparece la página Administration (Administración) si se especifica /admin en la URL.

      

   2. Elija Clientes Radius.

   3. Elija Add Radius.

   4. Introduzca la información del cliente Radius:

      • Introduzca un nombre: Nombre del sistema WLC.

      • Introduzca la dirección IP: Dirección IP del WLC (10.10.51.2).

      • Introduzca el mismo secreto compartido que ha especificado en el paso 1.

      • Confirme el secreto compartido.

      • Introduzca una descripción.

      • Elija Add Radius Client.

        

   5. Reinicie el servicio Radius para que los cambios tengan efecto.

   6. Elija Clientes Radius.

   7. Elija Restart en el cuadro Restart Radius.

      

5. Cree un usuario local, es decir, un embajador de vestíbulo, en el servidor de invitados Cisco NAC.

   1. Elija Usuarios Locales.

   2. Elija Add User.

      Nota: Debe rellenar todos los campos.

   3. Introduzca un nombre: vestíbulo.

   4. Introduzca un apellido: Embajador.

   5. Introducir nombre de usuario: vestíbulo.

   6. Introduzca una contraseña:contraseña.

   7. Dejar Grupo como Predeterminado.

   8. Introducir dirección de correo electrónico:lobby@xyz.com.

   9. Elija Add User.

      

6. Inicie sesión como usuario local y cree una cuenta de invitado.

   1. Vaya a NAC Guest Server (https://10.1.1.14), inicie sesión con el nombre de usuario/contraseña que creó en el paso 5 y configure lo siguiente:

      

   2. Elija Crear para una cuenta de usuario invitado.

      Nota: Debe rellenar todos los campos.

   3. Introduzca un nombre.

   4. Introduzca un apellido.

   5. Introduzca la empresa.

   6. Introduzca la dirección de correo electrónico.

      Nota: La dirección de correo electrónico es el nombre de usuario.

   7. Introduzca el fin de la cuenta:Hora.

   8. Elija Add User.

      

7. Conéctese a la WLAN de invitado e inicie sesión como usuario invitado.

   1. Conecte el cliente inalámbrico a la WLAN de invitado (wireless-x).

   2. Abra el explorador web para redirigirlo a la página de inicio de sesión de Web-Auth.

      Nota: De manera alternativa, escriba https://1.1.1.1/login.html para que se redirija a la página de inicio de sesión.

   3. Introduzca el nombre de usuario invitado que creó en el paso 6.

   4. Introduzca la contraseña generada automáticamente en el paso 6.

   5. Telnet al WLC y verifique que el Tiempo de Espera de Sesión se haya establecido con el comando show client detail.

   6. Cuando caduca el tiempo de espera de la sesión, se desconecta el cliente invitado y se detiene el ping.

      

Nota: Para configurar la autenticación web del controlador de LAN inalámbrica, WLC al servidor de invitados NAC (NGS), debe utilizar la autenticación de modo PAP en las propiedades de autenticación web. Si la política de autenticación web se establece en CHAP, la autenticación falla porque CHAP no se soporta con NGS.

Información Relacionada

• Cisco NAC Appliance - Guía de Instalación y Configuración de Clean Access Manager, Versión 4.1(3)
• Compatibilidad con switch de dispositivo Cisco NAC y controlador de LAN inalámbrica
• Guía de Configuración del Controlador de LAN Inalámbrica de Cisco, Versión 7.0.116.0
• (Vídeo) Integración de Cisco Identity Services Engine (ISE) y Wireless LAN Controller (WLC)
• NAC (acceso limpio): Configurar acceso de invitado
• Guía de implementación: Cisco Guest Access con el controlador de LAN inalámbrica de Cisco, versión 4.1
• Soporte Técnico y Documentación - Cisco Systems