Introducción
Este documento proporciona un ejemplo de configuración para usar la función Web Authentication Proxy en un Controlador de LAN Inalámbrico (WLC).
Prerequisites
Requirements
Asegúrese de cumplir estos requisitos antes de intentar realizar esta configuración:
-
Tener conocimiento de la configuración de Lightweight Access Points (LAP) y Cisco WLC.
-
Conocimiento del protocolo ligero de punto de acceso (LWAPP)/control y aprovisionamiento de puntos de acceso inalámbricos (CAPWAP).
-
Conocimiento de la autenticación Web.
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
-
Cisco 4400 WLC que ejecuta la versión 7.0.116.0 del firmware
-
LAP de la serie Cisco 1130AG
-
Adaptador de cliente inalámbrico Cisco 802.11a/b/g que utiliza firmware versión 4.2
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.
Convenciones
Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.
Proxy de autenticación web en un WLC
Este documento asume que el lector tiene conocimiento previo de la autenticación Web y de los pasos involucrados en la configuración de la autenticación Web en los WLCs de Cisco. Si es un usuario nuevo, lea estos documentos que explican el proceso de autenticación web en detalle:
La función Web Authentication Proxy fue introducida con la versión 7.0.116.0 del WLC.
Un navegador web tiene tres tipos de parámetros de Internet que el usuario puede configurar:
-
Detección automática
-
Proxy del sistema
-
Manual
Esta función permite a los clientes que tienen habilitado el proxy web manual en el navegador facilitar la autenticación web con el controlador.
En una red configurada para la autenticación Web, si el cliente está configurado para la configuración manual de proxy, el controlador no escucha dichos puertos proxy y, por lo tanto, el cliente no podría establecer una conexión TCP con el controlador. En efecto, el usuario no puede acceder a ninguna página de inicio de sesión para la autenticación y obtener acceso a la red.
Cuando el cliente solicita cualquier URL con la función Web Authentication Proxy habilitada, el controlador responde con una página web solicitando al usuario que cambie la configuración del proxy de Internet para detectar automáticamente la configuración del proxy.
Este proceso evita que se pierda la configuración manual del proxy del navegador. Después de configurar esta función, el usuario puede obtener acceso a la red a través de la política de autenticación web.
De forma predeterminada, esta funcionalidad se proporciona para los puertos 80, 8080 y 3128, ya que son los puertos más utilizados para el servidor proxy web.
Configuración del Proxy de Autenticación Web en un WLC
En esta sección encontrará la información para configurar las funciones descritas en este documento.
Configuraciones
Complete estos pasos para configurar el Proxy de Autenticación Web usando el controlador GUI:
-
Desde la GUI del controlador, elija Controller > General.
-
Para habilitar WebAuth Proxy, elija Enabled de la lista desplegable WebAuth Proxy Redirection Mode.
-
En el cuadro de texto Puerto de redirección de proxy de WebAuth, ingrese el número de puerto del proxy de autenticación web. Este cuadro de texto consta de los números de puerto en los que el controlador escucha la redirección del proxy de autenticación web. De forma predeterminada, se asumen los tres puertos 80, 8080 y 3128. Si configuró el puerto de redirección de autenticación web en cualquier puerto que no sea estos valores, debe especificar ese valor.
-
Haga clic en Apply (Aplicar).
Para configurar WebAuth Proxy desde la CLI, ejecute este comando:
config network web-auth proxy-redirect {enable | disable}
Establezca el número de puerto de autenticación web mediante el comando config network web-auth port <port-number>.
Una vez que el WLC se configura, guarde la configuración y reinicie el controlador para que la configuración tenga efecto.
Verificación
Para ver el estado actual de la configuración del proxy de autenticación web, ejecute el comando show network summary o el comando show running-config.
(Cisco Controller) >show network summary
RF-Network Name............................. WLAN-LAB
Web Mode.................................... Disable
Secure Web Mode............................. Enable
Secure Web Mode Cipher-Option High.......... Disable
Secure Web Mode Cipher-Option SSLv2......... Enable
Secure Shell (ssh).......................... Enable
Telnet...................................... Enable
Ethernet Multicast Forwarding............... Disable
Ethernet Broadcast Forwarding............... Disable
AP Multicast/Broadcast Mode................. Unicast
IGMP snooping............................... Disabled
IGMP timeout................................ 60 seconds
IGMP Query Interval......................... 20 seconds
User Idle Timeout........................... 300 seconds
ARP Idle Timeout............................ 300 seconds
Cisco AP Default Master..................... Disable
AP Join Priority............................ Disable
Mgmt Via Wireless Interface................. Disable
Mgmt Via Dynamic Interface.................. Disable
Bridge MAC filter Config.................... Enable
Bridge Security Mode........................ EAP
--More-- or (q)uit
Mesh Full Sector DFS........................ Enable
Apple Talk ................................. Disable
AP Fallback ................................ Enable
Web Auth Redirect Ports .................... 80
Web Auth Proxy Redirect ................... Enable
Fast SSID Change ........................... Disabled
802.3 Bridging ............................. Disable
IP/MAC Addr Binding Check .................. Enabled
Ahora, conectemos un cliente inalámbrico al SSID de invitado que hemos configurado para la autenticación web.
Suponiendo que tiene un servidor DHCP interno, el cliente se conecta a WLAN Guest1 y adquiere una dirección IP. Cuando el cliente intenta acceder a una URL (por ejemplo, www.cisco.com), dado que el proxy manual está habilitado en el navegador del cliente, el controlador que utiliza la función de proxy de autenticación web responde con una página web que solicita al usuario que cambie la configuración del proxy de Internet para detectar automáticamente la configuración del proxy.
En este punto, el cliente es consciente de que la configuración manual del proxy debe ser inhabilitada. Aquí puede ver cómo inhabilitar la configuración manual del proxy en Firefox versión 3.6.
-
En el navegador Firefox, seleccione Herramientas > Opciones, y luego seleccione Avanzado.
-
Haga clic en la ficha Red y, a continuación, seleccione Configuración.
-
En la ventana Configuración de la conexión, seleccione Detectar automáticamente la configuración del proxy para esta red.
Cuando haya terminado, actualice el navegador e intente acceder a la URL de nuevo. Esta vez, será redirigido a la página Autenticación Web. El cliente puede proporcionarle credenciales y usted puede iniciar sesión en la red de invitado.
Información Relacionada