Introducción
Este documento proporciona un ejemplo de configuración para usar la función Web Authentication Proxy en un Controlador de LAN Inalámbrico (WLC).
Prerequisites
Requirements
Asegúrese de cumplir estos requisitos antes de realizar esta configuración:
-
Conozca la configuración de los puntos de acceso ligeros (LAP) y los WLC de Cisco.
-
Conozca el protocolo ligero de punto de acceso (LWAPP)/control y aprovisionamiento de puntos de acceso inalámbricos (CAPWAP).
-
Tener conocimiento de la autenticación web.
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
-
Cisco 4400 WLC que ejecuta la versión de firmware 7.0.116.0
-
LAP de la serie Cisco 1130AG
-
Adaptador de cliente inalámbrico Cisco 802.11a/b/g que utiliza firmware versión 4.2
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Convenciones
Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.
Proxy de autenticación Web en un WLC
Este documento asume que el lector tiene conocimiento previo de la autenticación web y de los pasos involucrados en la configuración de la autenticación web en los WLCs de Cisco. Si es un usuario nuevo, lea estos documentos que explican en detalle el proceso de autenticación web:
La función Web Authentication Proxy se introdujo con la versión 7.0.116.0 del WLC.
Un explorador Web tiene tres tipos de configuración de Internet que puede configurar el usuario:
-
Detección automática
-
Proxy del sistema
-
Manual
Esta función permite a los clientes que tienen el proxy web manual habilitado en el navegador facilitar la autenticación web con el controlador.
En una red configurada para la autenticación web, si el cliente está configurado para la configuración manual del proxy, el controlador no escucha esos puertos proxy y por lo tanto el cliente no podría establecer una conexión TCP con el controlador. En efecto, el usuario no puede acceder a ninguna página de inicio de sesión para la autenticación y obtener acceso a la red.
Cuando el cliente solicita cualquier URL con la función Proxy de autenticación web activada, el controlador responde con una página web que le pide al usuario que cambie la configuración del proxy de Internet para detectar automáticamente la configuración del proxy.
Este proceso evita que se pierda la configuración manual del proxy del explorador. Después de configurar esta función, el usuario puede obtener acceso a la red a través de la política de autenticación web.
De forma predeterminada, esta funcionalidad se proporciona para los puertos 80, 8080 y 3128 porque son los puertos más utilizados para el servidor proxy web.
Configuración del Proxy de Autenticación Web en un WLC
En esta sección encontrará la información para configurar las funciones descritas en este documento.
Configuraciones
Complete estos pasos para configurar el Proxy de Autenticación Web usando la GUI del controlador:
-
Desde la GUI del controlador, elija Controller > General.
-
Para habilitar el proxy WebAuth, elija Enabled de la lista desplegable Modo de redirección de proxy WebAuth.
-
En el cuadro de texto Puerto de redirección de proxy de WebAuth, introduzca el número de puerto del proxy de autenticación Web. Este cuadro de texto consta de los números de puerto en los que el controlador escucha la redirección del proxy de autenticación web. De forma predeterminada, se asumen los tres puertos 80, 8080 y 3128. Si ha configurado el puerto de redirección de autenticación web en cualquier puerto que no sea estos valores, debe especificar ese valor.
-
Haga clic en Apply (Aplicar).
Para configurar WebAuth Proxy desde la CLI, ejecute este comando:
config network web-auth proxy-redirect {enable | disable}
Configure el número de puerto de autenticación web usando el comando config network web-auth port <número de puerto>.
Una vez que se configura el WLC, guarde la configuración y reinicie el controlador para que la configuración tenga efecto.
Verificación
Para ver el estado actual de la configuración del proxy de autenticación web, ejecute el comando show network summary o show running-config.
(Cisco Controller) >show network summary
RF-Network Name............................. WLAN-LAB
Web Mode.................................... Disable
Secure Web Mode............................. Enable
Secure Web Mode Cipher-Option High.......... Disable
Secure Web Mode Cipher-Option SSLv2......... Enable
Secure Shell (ssh).......................... Enable
Telnet...................................... Enable
Ethernet Multicast Forwarding............... Disable
Ethernet Broadcast Forwarding............... Disable
AP Multicast/Broadcast Mode................. Unicast
IGMP snooping............................... Disabled
IGMP timeout................................ 60 seconds
IGMP Query Interval......................... 20 seconds
User Idle Timeout........................... 300 seconds
ARP Idle Timeout............................ 300 seconds
Cisco AP Default Master..................... Disable
AP Join Priority............................ Disable
Mgmt Via Wireless Interface................. Disable
Mgmt Via Dynamic Interface.................. Disable
Bridge MAC filter Config.................... Enable
Bridge Security Mode........................ EAP
--More-- or (q)uit
Mesh Full Sector DFS........................ Enable
Apple Talk ................................. Disable
AP Fallback ................................ Enable
Web Auth Redirect Ports .................... 80
Web Auth Proxy Redirect ................... Enable
Fast SSID Change ........................... Disabled
802.3 Bridging ............................. Disable
IP/MAC Addr Binding Check .................. Enabled
Ahora, conectemos un cliente inalámbrico al SSID de invitado que hemos configurado para la autenticación Web.
Suponiendo que tenga un servidor DHCP interno, el cliente se conecta al Guest1 de WLAN y adquiere una dirección IP. Cuando el cliente intenta acceder a una URL (por ejemplo, www.cisco.com), puesto que el proxy manual está habilitado en el navegador cliente, el controlador que utiliza la función proxy de autenticación web responde con una página web que le pide al usuario que cambie la configuración del proxy de Internet para detectar automáticamente la configuración del proxy.
En este punto, el cliente es consciente de que la configuración manual del proxy debe ser inhabilitada. Aquí puede ver cómo inhabilitar la configuración manual del proxy en Firefox versión 3.6.
-
En el navegador Firefox, seleccione Tools > Options y, a continuación, seleccione Advanced.
-
Haga clic en la ficha Red y, a continuación, seleccione Configuración.
-
En la ventana Connection Settings (Parámetros de conexión), seleccione Auto-detect proxy settings for this network (Detectar automáticamente los parámetros de proxy para esta red).
Una vez que se haya completado, actualice el explorador e intente acceder de nuevo a la URL. Esta vez, se le redirigirá a la página Autenticación Web. El cliente puede proporcionarle credenciales y puede iniciar sesión en la red para invitados.
Información Relacionada