Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento proporciona las extremidades para resolver problemas los problemas de la autenticación Web en un entorno del regulador del Wireless LAN (WLC).
Cisco recomienda que tenga conocimiento sobre estos temas:
Conocimiento del control y aprovisionamiento de los untos de acceso de red inalámbrica (CAPWAP).
Conocimiento de cómo configurar el Lightweight Access Point (REVESTIMIENTO) y el WLC para la operación básica.
Conocimiento básico de la autenticación Web y cómo configurar la autenticación Web en el WLCs. Para la información sobre cómo configurar la autenticación Web en el WLCs, refiera al ejemplo de configuración de la autenticación Web del regulador del Wireless LAN.
La información en este documento se basa en un WLC 5500 que funciona con la versión de firmware 8.3.121.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.
Este documento se puede también utilizar con este hardware:
Cisco Wireless Controllers de la serie 5500
Cisco Wireless Controllers de la serie 2500
Cisco Airespace 3500 Series WLAN Controller
Cisco Airespace 4000 Series Wireless LAN Controller
Cisco Flex Wireless Controllers de la serie 7500
Cisco Wireless Services Module 2 (WiSM2)
La autenticación Web es una función de seguridad de la capa 3 que hace al regulador no permitir el tráfico IP, excepto el Domain Name System (DNS) DHCP-relacionado de los paquetes - los paquetes relacionados, de un cliente particular hasta que ese cliente haya suministrado correctamente un nombre de usuario válido y una contraseña una excepción del tráfico permitida con un Access Control List del PRE-auth (ACL). La autenticación Web es la única política de seguridad que permite que el cliente consiga una dirección IP antes de la autenticación. Es un método de autenticación simple sin la necesidad de un supplicant o de una utilidad de cliente. La autenticación Web se puede hacer localmente en un WLC o sobre un servidor RADIUS. La autenticación Web es utilizada típicamente por los clientes que quieren implementar una red de acceso de invitados.
La autenticación Web comienza cuando el regulador intercepta el primer paquete TCP HTTP (puerto 80) GET del cliente. Para que el buscador Web del cliente consiga esto lejano, el cliente debe primero obtener una dirección IP, y hace una traducción del URL a la dirección IP (resolución de DNS) para el buscador Web. Esto deja al buscador Web saber qué dirección IP para enviar el HTTP GET.
Cuando la autenticación Web se configura en la red inalámbrica (WLAN), el regulador bloquea todo el tráfico (hasta que se completa el proceso de autenticación) del cliente, a excepción del tráfico del DHCP y DNS. Cuando el cliente envía el primer HTTP GET al puerto TCP 80, el regulador reorienta al cliente a https://192.0.2.1/login.html (si el es IP virtual se configura que) para procesar. Este proceso saca a colación eventual la página web del login.
Note: Cuando usted utiliza a un servidor Web externo para la autenticación Web, las Plataformas del WLC necesitan una PRE-autenticación ACL para el servidor Web externo.
Esta sección explica el proceso de redireccionamiento de la autenticación Web detalladamente.
Usted abre al buscador Web y teclea adentro un URL, por ejemplo, http://www.google.com. El cliente envía una solicitud DNS para que dicha URL obtenga la IP para el destino. El WLC pasa la petición DNS al servidor DNS y el servidor DNS responde detrás con una contestación DNS, que contiene la dirección IP del destino www.google.com, que a su vez se remite a los clientes de red inalámbrica.
El cliente entonces intenta abrir una conexión con el la dirección IP de destino. Envía paquete TCP Syn un destinado a la dirección IP de www.google.com.
El WLC tiene reglas configuradas para el cliente y por lo tanto puede actuar como proxy para www.google.com. Devuelve un paquete TCP SYN-ACK al cliente con la fuente como la dirección IP de www.google.com. El cliente devuelve un paquete ACK TCP para completar la aceptación decontacto con TCP de tres vías y la conexión TCP se establece completamente.
El cliente envía un paquete HTTP GET destinado a www.google.com. El WLC intercepta este paquete y lo envía para el manejo de redireccionamiento. El aplicación HTTP gateway prepara a un cuerpo HTML y lo envía de vuelta como respuesta al HTTP GET solicitado por el cliente. Este HTML hace que el cliente vaya a la URL de la página Web predeterminada, por ejemplo, http:// /login.html.
El cliente cierra la conexión TCP con la dirección IP, por ejemplo www.google.com.
Ahora el cliente quiere ir a http:// <virtualip>/login.html y así que intenta abrir una conexión TCP con la dirección IP virtual del WLC. Envía a paquete TCP Syn para 192.0.2.1 (que sea nuestra IP virtual aquí) al WLC.
El responde con un TCP SYN-ACK y el cliente devuelve un TCP ACK al WLC para completar la aceptación de contacto.
El cliente envía un HTTP GET para /login.html destinó a 192.0.2.1 para pedir la página de registro.
Esta petición se permite hasta el servidor Web del WLC y el servidor responde detrás con la página de registro predeterminada. El cliente recibe la página de login en la ventana del navegador donde el usuario puede continuar el inicio de sesión.
En este ejemplo, la dirección IP del cliente es 192.168.68.94. El cliente resolvió el URL al servidor Web que accedía, 10.1.0.13. Como usted puede ver, el cliente hizo la entrada en contacto de tres vías para poner en marcha la conexión TCP y después envió un paquete HTTP GET que comenzaba con el paquete 96 (00 es el paquete HTTP). Esto no fue accionada por el usuario, sino era el accionar porta automatizado sistema operativo de la detección (como podemos conjeturar del URL pedido). El regulador intercepta los paquetes y las contestaciones con el código 200. El paquete del código 200 tiene una reorientación URL en él:
<HTML><HEAD>
<TITLE> Web Authentication Redirect</TITLE>
<META http-equiv="Cache-control" content="no-cache">
<META http-equiv="Pragma" content="no-cache">
<META http-equiv="Expires" content="-1">
<META http-equiv="refresh" content="1; URL=https://192.0.2.1/login.html?redirect=http://captive.apple.com/hotspot-detect.html">
</HEAD></HTML>
Entonces cierra la conexión TCP a través de la entrada en contacto de tres vías.
El cliente entonces enciende la conexión HTTPS a la reorientación URL que la envía a 192.0.2.1, que es la dirección IP virtual del regulador. El cliente tiene que validar el certificado de servidor o ignorarlo para traer para arriba el túnel SSL. En este caso, es un certificado autofirmado así que el cliente lo ignoró. La página web del login se envía a través de este túnel SSL. El paquete 112 comienza las transacciones.
Usted tiene la opción para configurar el Domain Name para la dirección IP virtual del WLC. Si usted configura el Domain Name para la dirección IP virtual, este Domain Name se vuelve en el paquete de la AUTORIZACIÓN HTTP del regulador en respuesta al paquete HTTP GET del cliente. Usted entonces tiene que realizar una resolución de DNS para este Domain Name. Una vez que consigue una dirección IP de la resolución de DNS, intenta abrir a una sesión TCP con esa dirección IP, que es una dirección IP configurada en una interfaz virtual del regulador.
Eventual, la página web se pasa a través del túnel al cliente y el usuario devuelve el nombre de usuario/la contraseña a través del túnel de Secure Sockets Layer (SSL).
La autenticación Web es realizada por uno de estos tres métodos:
Utilice una página web interna (valor por defecto). Refiera a elegir la página de la conexión con el sistema de autenticación del Web predeterminada para más información sobre el uso de la página web predeterminada.
Utilice una página de registro personalizada. Refiera a crear una página de registro personalizada de la autenticación Web para más información sobre cómo utilizar la página de registro personalizada.
Utilice una página de registro de un servidor Web externo. Refiérase usando una página de registro personalizada de la autenticación Web de un servidor Web externo para más información sobre cómo utilizar una página de registro de un servidor Web externo.
Notas:
- El conjunto personalizado de la autenticación Web tiene un límite de hasta 30 caracteres para los nombres de fichero. Asegúrese de que no hay nombres de fichero dentro del conjunto mayores de 30 caracteres.
- De la versión 7.0 del WLC hacia adelante, si la autenticación Web se habilita en la red inalámbrica (WLAN) y usted también tiene reglas ACL CPU, las reglas basadas en el cliente de la autenticación Web toman siempre la precedencia más alta mientras el cliente sea unauthenticated en el estado de WebAuth_Reqd. Una vez que el cliente va al estado de FUNCIONAMIENTO, las reglas ACL CPU consiguen aplicadas.
- Por lo tanto, si el CPU ACL se habilita en el WLC, una regla de la permit para el IP de la interfaz virtual se requiere (en CUALQUIER dirección) en estas condiciones:
- Cuando el CPU ACL no tiene una permit TODA LA regla para las ambas direcciones.
- Cuando existe una permit TODA LA regla, solamente también existe una regla de la NEGACIÓN para el puerto 443 o 80 de precedencia más alta.
- La regla de la permit para IP virtual debe estar para el protocolo TCP y el puerto 80 si se inhabilita el secureweb, o el puerto 443 si se habilita el secureweb. Esto es necesario para permitir el acceso del cliente a la autenticación satisfactoria del poste de la dirección IP de la interfaz virtual cuando el CPU ACL existe.
Después de que usted configure la autenticación Web y si la característica no trabaja como se esperaba, complete estos pasos:
En los mac/Linux, abra una ventana de terminal y haga un “nslookup www.cisco.com” y vea si se vuelve la dirección IP.
Si usted cree el cliente no consigue la resolución de DNS, usted puede cualquiera:
¿Ingresando este URL saca a colación el Web page? Si sí, es más probable un Problema de DNS. Puede ser que también sea un problema del certificado. El regulador, por abandono, utiliza un certificado autofirmado y la mayoría de los buscadores Web advierten contra su uso.
Usted puede descargar un script de la autenticación Web de la muestra de las descargas de software de Cisco. Por ejemplo, para los 5508 reguladores, elija los Productos > la Tecnología inalámbrica > el regulador del Wireless LAN > los reguladores del Wireless LAN de los Controladores autónomos > de las Cisco 5500 Series > el regulador > el software del Wireless LAN de Cisco 5508 en el chasis > el conjunto de la autenticación Web del regulador del Wireless LAN y descargue el archivo webauth_bundle.zip.
Estos parámetros se agregan al URL cuando reorientan al buscador de Internet del usuario a la página de registro personalizada:
Éstos son los códigos de estado disponibles:
Refiera a las guías de consulta para la sección de la autenticación Web Customized del ejemplo de configuración de la autenticación Web del regulador del Wireless LAN para más información sobre cómo crear una ventana personalizada de la autenticación Web.
Note: Los archivos que son grandes y los archivos que tienen nombres largos darán lugar a un error de la extracción. Se recomienda que las imágenes están en el formato de .jpg.
Note: Navegue al menú del regulador > de las interfaces del WLC GUI para asignar un nombre del host de DNS a la interfaz virtual.
Protocolo | Puerto |
---|---|
Tráfico HTTP/HTTPS | Puerto TCP 80/443 |
Datos/tráfico de control CAPWAP | Puerto 5247/5246 UDP |
Datos/tráfico de control del LWAPP (antes del rel 5.0) | Puerto 12222/12223 UDP |
Paquetes EOIP | Protocolo IP 97 |
Movilidad | Puerto 16667 (túnel IPsec asegurado) del puerto 16666 (no asegurado) UDP UDP |
netsh ras set tracing eapol enable netsh ras set tracing rastls enable
Para inhabilitar los registros, funcione con el mismo comando pero substituya el permiso por la neutralización. Para XP, todos los registros serán situados en C:\Windows\tracing.
debug client <mac_address in format xx:xx:xx:xx:xx:xx> debug dhcp message enable debug aaa all enable debug dot1x aaa enable debug mobility handoff enable
debug pm ssh-appgw enable debug pm ssh-tcp enable debug pm rules enable debug emweb server enable debug pm ssh-engine enable packet <client ip>