Configuración de 9800 WLC y Aruba ClearPass: Guest Access y FlexConnect
Contenido
Introducción
Este documento describe la integración de Catalyst 9800 Wireless LAN Controller (WLC) con Aruba ClearPass para proporcionar Guest Wireless Service Set Identifier (SSID) que aprovecha la autenticación web central (CWA) a clientes inalámbricos en una implementación de punto de acceso (AP) en modo Flexconnect.
El portal de invitados admite la autenticación inalámbrica de invitados con una página de política de usuario aceptable (AUP) anónima, alojada en Aruba Clearpass en un segmento de zona desmilitarizada segura (DMZ).
Prerequisites
Esta guía asume que estos componentes se han configurado y verificado:
- Todos los componentes pertinentes se sincronizan con el protocolo de tiempo de la red (NTP) y se comprueba que tienen la hora correcta (necesario para la validación del certificado)
- Servidor DNS operativo (necesario para flujos de tráfico de invitados, validación de la lista de revocación de certificados (CRL))
- Servidor DHCP operativo
- Autoridad de certificación (CA) opcional (necesaria para firmar el portal de invitados alojado CPPM)
- WLC Catalyst 9800
- Servidor Aruba ClearPass (requiere licencia de plataforma, licencia de acceso y licencia integrada)
- Vmware ESXi
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- Implementación de C9800 y nuevo modelo de configuración
- Switching Flexconnect en C9800
- Autenticación CWA 9800 (consulte: https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/213920-central-web-authentication-cwa-on-cata.html)
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Cisco Catalyst C9800-L-C que ejecuta 17.3.4c
- Cisco Catalyst C9130AX
- parche de Aruba ClearPass, 6-8-0-109592 y 6.8-3
- Servidor MS Windows
- Active Directory (GP configurado para la emisión automatizada de certificados basada en equipo a terminales administrados)
- Servidor DHCP con opción 43 y opción 60
- Servidor DNS
- Servidor NTP para sincronizar la hora de todos los componentes
- La CA
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Antecedentes
El diagrama transmite los detalles de los intercambios de acceso Wifi de invitado antes de que el usuario invitado pueda acceder a la red:
1. El usuario invitado se asocia con el Wifi invitado en una oficina remota.
2. El C9800 proxy la solicitud de acceso RADIUS inicial al servidor RADIUS.
3. El servidor busca la dirección MAC de invitado proporcionada en la base de datos de terminales MAC local.
Si no se encuentra la dirección MAC, el servidor responde con un perfil de omisión de autenticación MAC (MAB). Esta respuesta RADIUS incluye:
- Lista de control de acceso (ACL) de redirección de URL
- Redirección de URL
4. El cliente pasa por el proceso de aprendizaje de IP donde se le asigna una dirección IP.
5. C9800 pasa el cliente invitado (identificado por su dirección MAC) al estado 'Pendiente de autenticación web'.
6. La mayoría de los sistemas operativos de dispositivos modernos en asociación con las WLAN de invitados realizan algún tipo de detección de portal cautivo.
El mecanismo de detección exacto depende de la implementación específica del SO. El sistema operativo del cliente abre un cuadro de diálogo emergente (pseudonavegador) con una página redirigida por C9800 a la URL del portal de invitados alojada en el servidor RADIUS proporcionado como parte de la respuesta de aceptación de acceso RADIUS.
7. El Usuario invitado acepta los Términos y condiciones en la ventana emergente ClearPass establece un indicador para la dirección MAC del cliente en su Base de datos de terminales (DB) para indicar que el cliente ha completado una autenticación e inicia un Cambio de autorización (CoA) RADIUS, mediante la selección de una interfaz basada en la tabla de routing (si hay varias interfaces presentes en ClearPass).
8. El WLC pasa al cliente invitado al estado "Run" y el usuario tiene acceso a Internet sin más redireccionamientos.
Diagrama de estado de la autenticación web central para invitados (CWA)
Flujo de tráfico para la implementación empresarial de invitados de CWA
En una implementación empresarial típica con varias sucursales, cada sucursal se configura para proporcionar acceso seguro y segmentado a los invitados a través de un portal de invitados una vez que el invitado acepta el EULA.
En este ejemplo de configuración, 9800 CWA se utiliza para el acceso de invitados mediante la integración a una instancia ClearPass independiente implementada exclusivamente para usuarios invitados en la DMZ segura de la red.
Los invitados deben aceptar los términos y condiciones establecidos en el portal emergente de consentimiento web proporcionado por el servidor DMZ ClearPass. Este ejemplo de configuración se centra en el método Anonymous Guest Access (es decir, no se requiere ningún nombre de usuario/contraseña de invitado para autenticarse en el portal de invitados).
El flujo de tráfico que corresponde a esta implementación se muestra en la imagen:
1. RADIUS - fase MAB
2. URL de cliente invitado redirigida al portal de invitados
3. Después de la aceptación de invitado de EULA en el portal de invitado, RADIUS CoA Reauthenticate se emite de CPPM a 9800 WLC
4. El invitado tiene acceso a Internet
Diagrama de la red
Configurar
En este ejemplo de configuración, se aprovecha un nuevo modelo de configuración en C9800 para crear los perfiles y etiquetas necesarios para proporcionar acceso corporativo dot1x y acceso de invitado CWA a la sucursal empresarial. La configuración resultante se resume en esta imagen:
Configuración de los parámetros del acceso inalámbrico de invitado C9800
C9800 - Configuración AAA para invitado
Paso 1. Agregue los servidores DMZ Aruba ClearPass a la configuración del WLC 9800 y cree una lista de métodos de autenticación. Navegue hasta Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > +Add e ingrese la información de los servidores RADIUS.
Paso 2. Defina el grupo de servidores AAA para invitados y asigne el servidor configurado en el paso 1 a este grupo de servidores. Vaya a Configuration > Security > AAA > Servers/Groups > RADIUS > Groups > +Add.
Paso 3. Defina una lista de métodos de autorización para el acceso de invitado y asigne el grupo de servidores creado en el Paso 2. Navegue hasta Configuración > Seguridad > AAA > Lista de Métodos AAA > Autorización > +Agregar. Elija Type Network y luego AAA Server Group configurado en el Paso 2.
Paso 4. Cree una lista de métodos de contabilidad para el acceso de invitado y asigne el grupo de servidores creado en el Paso 2. Navegue hasta Configuración > Seguridad > AAA > Lista de Métodos AAA > Contabilidad > +Agregar. Elija Type Identity del menú desplegable y luego AAA Server Group configurado en el Paso 2.
C9800 - Configurar ACL de redirección
La ACL de redirección define qué tráfico debe redirigirse al portal de invitados frente a permitir el paso sin redirección. Aquí, la negación de ACL implica omitir la redirección o el paso a través, mientras que permit implica la redirección al portal. Para cada clase de tráfico, debe tener en cuenta la dirección del tráfico al crear entradas de control de acceso (ACE) y ACE que coincidan con el tráfico de entrada y de salida.
Navegue hasta Configuration > Security > ACL, y defina una nueva ACL denominada CAPTIVE_PORTAL_REDIRECT. Configure la ACL con estas ACE:
- ACE1: Permite que el tráfico del Protocolo de mensajes de control de Internet (ICMP) bidireccional omita la redirección y se utiliza principalmente para verificar la disponibilidad.
- ACE10 y ACE30: Permite el flujo de tráfico DNS bidireccional al servidor DNS 10.0.10.4 y no se redirige al portal. Se necesita una búsqueda de DNS y una intercepción de respuesta para activar el flujo de invitados.
- ACE70, ACE80, ACE110 Y ACE120: Permite el acceso HTTP y HTTPS al portal cautivo de invitados para que el usuario pueda ver el portal.
- ACE150: Todo el tráfico HTTP (puerto UDP 80) se redirige.
C9800: configuración del perfil WLAN de invitado
Paso 1. Navegue hasta Configuración > Etiquetas y perfiles > Inalámbrico > +Agregar. Cree un nuevo perfil de SSID WP_Guest, con la difusión de SSID 'Invitado' que los clientes invitados asocian.
En el mismo cuadro de diálogo Agregar WLAN, navegue hasta la pestaña Seguridad > Capa 2.
- Modo de seguridad de capa 2: Ninguno
- Filtrado de MAC: Habilitado
- Lista de autorizaciones: AAA_Authz_CPPM en el menú desplegable (configurado en el paso 3 como parte de la configuración de AAA)
C9800: definición de perfil de política de invitado
En C9800 WLC GUI, navegue hasta Configuration > Tags & Profiles > Policy > +Add.
Nombre: PP_Invitado
Estado: Habilitado
Switching central: Inhabilitado
Autenticación central: Habilitado
DHCP central: Inhabilitado
Asociación central: Inhabilitado
Navegue hasta la pestaña Políticas de acceso en el mismo diálogo Agregar perfil de política.
- Perfiles RADIUS: Habilitado
- Grupo VLAN/VLAN: 210 (es decir, VLAN 210 es la VLAN local de invitado en cada sucursal)
Defecto conocido: el ID de bug Cisco CSCvn48234 hace que el SSID no se transmita si la misma VLAN de invitado Flex se define en el WLC y en el perfil Flex.
En el mismo cuadro de diálogo Agregar perfil de política, vaya a la pestaña Avanzado.
- Permitir anulación de AAA: Habilitado
- Estado de NAC: Habilitado
- Tipo de NAC: RADIUS
- Lista de contabilidad: AAA_Accounting_CPPM (definido en el paso 4 como parte de la configuración AAA)
C9800: etiqueta de política
En C9800 GUI, navegue hasta Configuration > Tags & Profiles > Tags > Policy > +Add.
-Nombre: PT_CAN01
-Descripción: Etiqueta de política para la sucursal CAN01
En el mismo diálogo Add Policy Tag, bajo WLAN-POLICY MAPS, haga clic en +Add, y asigne el perfil WLAN creado anteriormente al perfil de política:
- Perfil WLAN: Invitado_WP
- Perfil de política: PP_Invitado
C9800 - Perfil de unión a PA
En C9800 WLC GUI, navegue hasta Configuration > Tags & Profiles > AP Join > +Add.
-Nombre: Branch_AP_Profile
- Servidor NTP: 10.0.10.4 (consulte el diagrama de topología de laboratorio). Este es el servidor NTP que utilizan los AP en la sucursal para sincronizar.
C9800: perfil flexible
Los perfiles y etiquetas son modulares y se pueden reutilizar para varios sitios.
En el caso de la implementación de FlexConnect, si se utilizan los mismos ID de VLAN en todas las sucursales, puede volver a utilizar el mismo perfil flexible.
Paso 1. En una GUI de C9800 WLC, navegue hasta Configuration > Tags & Profiles > Flex > +Add.
-Nombre: FP_Sucursal
- ID de VLAN nativa: 10 (solo se requiere si tiene una VLAN nativa no predeterminada en la que desea tener una interfaz de administración de AP)
En el mismo cuadro de diálogo Add Flex Profile, navegue hasta la pestaña Policy ACL y haga clic en +Add.
- Nombre de ACL: CAPTIVE_PORTAL_REDIRECT
- Autenticación web central: Habilitado
En una implementación de Flexconnect, se espera que cada AP administrado descargue la ACL de redirección localmente ya que la redirección ocurre en el AP y no en el C9800.
En el mismo cuadro de diálogo Add Flex Profile, navegue hasta la pestaña VLAN y haga clic en +Add (consulte el diagrama de topología de laboratorio).
- Nombre de VLAN: guest
-ID de VLAN: 210
C9800: etiqueta del sitio
En 9800 WLC GUI, navegue hasta Configuration > Tags & Profiles > Tags > Site > Add.
Existe una asignación 1-1 entre una ubicación geográfica, una etiqueta de sitio y una configuración de perfil flexible.
Un sitio de conexión flexible debe tener un perfil de conexión flexible asociado. Puede tener un máximo de 100 puntos de acceso para cada sitio de conexión flexible.
-Nombre: ST_CAN01
- Perfil de unión al PA: Branch_AP_Profile
- Perfil flexible: FP_Sucursal
- Activar sitio local: Inhabilitado
C9800: perfil de RF
En 9800 WLC GUI, navegue hasta Configuration > Tags & Profiles > Tags > RF > Add.
-Nombre: RF_sucursal
- Perfil de radiofrecuencia (RF) en banda de 5 GHz: Typical_Client_Density_5gh (opción definida por el sistema)
- Perfil de radiofrecuencia de banda de 2,4 GHz: Typical_Client_Density_2gh (opción definida por el sistema)
C9800 - Asignación de etiquetas a AP
Hay dos opciones disponibles para asignar etiquetas definidas a AP individuales en la implementación:
- Asignación basada en el nombre del AP, que aprovecha las reglas de regex que coinciden con los patrones en el campo Nombre del AP (Configurar > Etiquetas y perfiles > Etiquetas > AP > Filtro)
- Asignación basada en direcciones MAC Ethernet de PA (Configurar > Etiquetas y perfiles > Etiquetas > AP > Estático)
En la implementación de producción con DNA Center, se recomienda encarecidamente utilizar DNAC y AP PNP Workflow, o utilizar un método de carga masivo estático de valores separados por comas (CSV) disponible en 9800 para evitar la asignación manual por AP. Navegue hasta Configurar > Etiquetas y perfiles > Etiquetas > AP > Estático > Agregar (observe la opción Cargar archivo).
- Dirección MAC del punto de acceso: <AP_ETHERNET_MAC>
- Nombre de etiqueta de directiva: PT_CAN01
- Nombre de la etiqueta del sitio: ST_CAN01
- Nombre de la etiqueta RF: RF_sucursal
-Nombre: BR_CAN01
- Regex de nombre de AP: BR-CAN01-.(7) (Esta regla coincide con la convención de nombres de AP adoptada dentro de la organización. En este ejemplo, las etiquetas se asignan a AP que tienen un campo AP Name que contiene 'BR_CAN01-' seguido de siete caracteres cualesquiera.)
-Prioridad: 1
- Nombre de etiqueta de directiva: PT_CAN01 (según se define)
- Nombre de la etiqueta del sitio: ST_CAN01
- Nombre de la etiqueta RF: RF_sucursal
Configurar instancia de Aruba CPPM
Para obtener información sobre la configuración de CPPM de Aruba basada en prácticas recomendadas y producción, póngase en contacto con su recurso local de HPE Aruba SE.
Configuración inicial del servidor Aruba ClearPass
Aruba ClearPass se implementa mediante la plantilla Open Virtualization Format (OVF) en el servidor ESXi <> que asigna estos recursos:
- Dos CPU virtuales reservadas
- 6 GB de RAM
- Disco de 80 GB (se debe agregar manualmente después de la implementación inicial de la máquina virtual antes de encender la máquina)
Solicitar licencias
Aplique la licencia de plataforma mediante: Administration > Server Manager > Licensing. Agregue licencias Platform, Access y Onboard.
Hostname del servidor
Navegue hasta Administration > Server Manager > Server Configuration y elija el servidor CPPM recientemente aprovisionado.
-Hostname: cppm
- FQDN: cppm.example.com
- Verifique el direccionamiento IP y DNS del puerto de administración
Generar certificado de servidor web CPPM (HTTPS)
Este certificado se utiliza cuando la página ClearPass Guest Portal se presenta a través de HTTPS a los clientes invitados que se conectan a la red Wi-Fi de invitados en la sucursal.
Paso 1. Cargue el certificado de cadena de publicaciones de la CA.
Vaya a Administration > Certificates > Trust List > Add.
-Uso: Habilitar otros
Paso 2. Crear Solicitud de Firma de Certificado.
Vaya a Administración > Certificados > Almacén de certificados > Certificados de servidor > Uso: Certificado de servidor HTTPS.
- Haga clic en Create Certificate Signing Request
- Denominación común: CPPM
- Organización: cppm.example.com
Asegúrese de rellenar el campo SAN (debe haber un nombre común en SAN, así como IP y otros FQDN, según sea necesario). El formato es DNS: <fqdn1>,DNS:<fqdn2>,IP<ip1>.
Paso 3. En la CA que elija, firme la CSR del servicio HTTPS de CPPM recién generado.
Paso 4. Navegue hasta Plantilla de certificado > Servidor web > Importar certificado.
- Tipo de certificado: Certificado de servidor
-Uso: Certificado de servidor HTTP
- Archivo de certificado: Busque y seleccione el certificado de servicio HTTPS de CPPM firmado por la CA
Definir C9800 WLC como un dispositivo de red
Vaya a Configuration > Network > Devices > Add.
-Nombre: WLC_9800_Branch
- Dirección IP o de subred: 10.85.54.99 (consulte el diagrama de topología de laboratorio)
- Cisco compartido RADIUS: <WLC RADIUS password>
- Nombre del proveedor: Cisco
- Activar la autorización dinámica de RADIUS: 1700
Temporizadores de CoA y página del portal de invitados
Es muy importante establecer los valores de temporizador correctos en toda la configuración. Si los temporizadores no están ajustados, es probable que se encuentre con una redirección del portal web en ciclo con el cliente que no está en 'Estado de ejecución'.
Temporizadores a los que prestar atención:
- Temporizador de inicio de sesión web en el portal: este temporizador retrasa la página de redirección antes de permitir el acceso a la página del portal de invitados para notificar la transición de estado del servicio CPPM, registrar el valor del atributo personalizado 'Allow-Guest-Internet' de Endpoint y activar el proceso CoA de CPPM a WLC. Vaya a Invitado > Configuración > Páginas > Inicios de sesión web.
- Elija el nombre del portal de invitados: Registro de invitado anónimo de laboratorio (esta configuración de la página Portal de invitados se detalla como se muestra)
- Haga clic en Editar
- Retraso de inicio de sesión: 6 segundos
- Temporizador de retraso CoA ClearPass: Esto retrasa el origen de los mensajes CoA de ClearPass al WLC. Esto es necesario para que CPPM realice correctamente la transición del estado del punto final del cliente internamente antes de que el reconocimiento de CoA (ACK) regrese del WLC. Las pruebas de laboratorio muestran los tiempos de respuesta en submilisegundos desde el WLC, y si el CPPM no ha terminado de actualizar los atributos del punto final, la nueva sesión RADIUS desde el WLC coincide con la política de aplicación del servicio MAB no autenticado, y al cliente se le da una página de redirección nuevamente. Navegue hasta CPPM > Administration > Server Manager > Server Configuration y elija CPPM Server > Service Parameters.
- Retraso de la autorización dinámica (DM/CoA) de RADIUS: establecido en 6 segundos
ClearPass: configuración de CWA de invitado
La configuración CWA de ClearPass-side se compone de (3) puntos de servicio/fases:
| Componente ClearPass |
Tipo de servicio |
Propósito |
| 1. Gestor de políticas |
Servicio: Autenticación MAC |
Si el atributo personalizado Allow-Guest-Internet = TRUE, permita que se incorpore a la red. De lo contrario, active Redirect y COA: Reautenticar. |
| 2. Invitado |
Inicios de sesión web |
Presente la página AUP de inicio de sesión anónimo. |
| 3. Gestor de políticas |
Servicio: Autenticación basada en Web |
Actualizar terminal a conocido |
Atributo de metadatos del extremo ClearPass: Allow-Guest-Internet
Cree un atributo de metadatos de tipo Boolean para realizar un seguimiento del estado del extremo de invitado mientras el cliente realiza la transición entre los estados 'Webauth pendiente' y 'Ejecutar':
- Los nuevos invitados que se conectan a Wi-Fi tienen un atributo de metadatos predeterminado establecido en Allow-Guest-Internet=false. Según este atributo, la autenticación del cliente pasa a través del servicio MAB
- El cliente invitado al hacer clic en el botón Aceptar AUP, tiene su atributo de metadatos actualizado a Allow-Guest-Internet=true. El MAB posterior basado en este atributo establecido en True permite el acceso no redirigido a Internet
Vaya a ClearPass > Configuration > Endpoints, elija cualquier terminal de la lista, haga clic en la pestaña Attributes, agregue Allow-Guest-Internet con el valor false y Save.
Configuración de directiva de aplicación de reautenticación ClearPass
Cree un perfil de aplicación que se asigne al cliente invitado inmediatamente después de que el cliente acepte AUP en la página Portal de invitados.
Vaya a ClearPass > Configuration > Profiles > Add.
- Plantilla: Autorización dinámica de RADIUS
-Nombre: Cisco_WLC_Guest_COA
| Radio:IETF |
Calling-Station-Id |
%{Radius:IETF:Calling-Station-Id} |
| Radio:Cisco |
Cisco-AVPair |
subscriber:command=reautenticar |
| Radio:Cisco |
Cisco-AVPair |
%{Radius:Cisco:Cisco-AVPair:subscriber:audit-session-id} |
| Radio:Cisco |
Cisco-AVPair |
subscriber:reauthenticate-type=last-type=last |
Configuración del perfil de aplicación de redirección del portal de invitados ClearPass
Cree un perfil de aplicación que se aplique al invitado durante la fase MAB inicial, cuando la dirección MAC no se encuentre en la base de datos de terminales CPPM con 'Allow-Guest-Internet' establecido en 'true'.
Esto hace que el WLC 9800 redirija al cliente invitado al portal de invitados CPPM para la autenticación externa.
Vaya a ClearPass > Enforcement > Profiles > Add.
-Nombre: Cisco_Portal_Redirect
-Tipo: RADIUS
-Acción: Aceptar
Perfil de aplicación de redirección de ClearPass
En el mismo diálogo, en la pestaña Attributes, configure dos Attributes según esta imagen:
Atributos de perfil de redirección ClearPass
El atributo url-redirect-acl se establece en CAPTIVE-PORTAL-REDIRECT, que es el nombre de la ACL creada en C9800.
El atributo url-redirect se compone de varios parámetros:
- La URL de destino donde se aloja el portal de invitados, https://cppm.example.com/guest/iaccept.php
- MAC de cliente invitado, macro %{Connection:Client-Mac-Address-Hyphen}
- IP del autenticador (el WLC 9800 activa la redirección), macro %{Radius:IETF:NAS-IP-Address}
- cmd-login action
La URL de la página de inicio de sesión web de invitado ClearPass se ve al navegar hasta CPPM > Guest > Configuration > Pages > Web Logins > Edit.
En este ejemplo, el nombre de la página Portal de invitados en CPPM se define como iaccept.
Configuración del perfil de aplicación de metadatos ClearPass
Configure el perfil de aplicación para actualizar el atributo de metadatos de terminal que se utiliza para el seguimiento de transición de estado por CPPM.
Este perfil se aplica a la entrada Dirección MAC del cliente invitado en la base de datos de terminales y establece el argumento 'Allow-Guest-Internet' en 'true'.
Vaya a ClearPass > Enforcement > Profiles > Add.
- Plantilla: Aplicación de actualización de entidad ClearPass
-Tipo: Post_Authentication
En el mismo cuadro de diálogo, la pestaña Atributos.
-Tipo: Terminal
-Nombre: Allow-Guest-Internet
-Valor: verdadero
Configuración de la política de aplicación de acceso a Internet de invitado ClearPass
Vaya a ClearPass > Enforcement > Policies > Add.
-Nombre: WLC Cisco Guest Allow
- Tipo de aplicación: RADIUS
- Perfil predeterminado: Cisco_Portal_Redirect
En el mismo cuadro de diálogo, desplácese a la pestaña Reglas y haga clic en Agregar regla.
-Tipo: Terminal
-Nombre: Allow-Guest-Internet
- Operador: IGUAL A
- Valor verdadero
- Nombres de perfil / Seleccione esta opción para agregar: [RADIUS] [Permitir perfil de acceso]
Configuración de la política de aplicación posterior a AUP de invitado ClearPass
Vaya a ClearPass > Enforcement > Policies > Add.
-Nombre: Política de aplicación de Cisco WLC Webauth
- Tipo de aplicación: WEBAUTH (SNMP/Agente/CLI/CoA)
- Perfil predeterminado: [RADIUS_CoA] Cisco_Reauthenticate_Session
En el mismo diálogo, navegue hasta Reglas > Agregar.
-Condiciones: Autenticación
-Nombre: Estado
- Operador: IGUAL A
-Valor: Usuario
- Nombres de perfil: <add each>:
- [Autenticación posterior] [Actualización de terminal conocida]
- [Autenticación posterior] [Make-Cisco-Guest-Valid]
- [RADIUS_CoA] [Cisco_WLC_Guest_COA]
- Navegue hasta CPPM > Monitoring > Live Monitoring > Access Tracker, y asegúrese de que la entrada de registro RADIUS contenga los detalles de RADIUS CoA.
- En 9800 WLC, navegue hasta Troubleshooting > Packet Capture, habilite pcap en la interfaz donde se espera la llegada de los paquetes CoA RADIUS y verifique que los mensajes CoA RADIUS se reciban del CPPM.
Configuración del servicio de autenticación MAB ClearPass
El servicio coincide en el par Valor de atributo (AV) Radius: Cisco | CiscoAVPair | cisco-wlan-ssid
Vaya a ClearPass > Configuration > Services > Add.
Ficha Servicio:
-Nombre: GuestPortal: autenticación Mac
-Tipo: Autenticación MAC
- Más opciones: Seleccione Autorización, Extremos de perfil
Agregar regla de coincidencia:
-Tipo: Radius: Cisco
-Nombre: Cisco-AVPair
- Operador: IGUAL A
-Valor: cisco-wlan-ssid=Invitado (coincida con el nombre SSID de invitado configurado)
En el mismo diálogo, elija la pestaña Authentication.
- Métodos de autenticación: Remove [MAC AUTH], Add [Allow All MAC AUTH]
- Orígenes de autenticación: [Endpoints Repository][Local SQL DB], [Guest User Repository][Local SQL DB]
En el mismo cuadro de diálogo, elija la ficha Aplicación.
- Política de aplicación: WLC Cisco Guest Allow
En el mismo cuadro de diálogo, elija la ficha Aplicación.
Configuración del servicio ClearPass Webauth
Vaya a ClearPass > Enforcement > Policies > Add.
-Nombre: Guest_Portal_Webauth
-Tipo: Autenticación basada en Web
En el mismo diálogo, en la pestaña Aplicación, la Política de aplicación: Política de aplicación de Cisco WLC Webauth.
ClearPass: inicio de sesión web
Para la página Portal de invitados de AUP anónima, utilice un único nombre de usuario sin campo de contraseña.
El nombre de usuario que se utiliza debe tener estos campos definidos/definidos:
username_auth | Autenticación de nombre de usuario: | 1
Para establecer el campo 'username_auth' para un usuario, ese campo debe exponerse primero en el formulario 'edit user'. Navegue hasta ClearPass > Guest > Configuration > Pages > Forms, y elija el formulario create_user.
Elija visitor_name (fila 20) y haga clic en Insert After.
Ahora cree el nombre de usuario que se utilizará detrás de la página Portal de invitados de AUP.
Vaya a CPPM > Guest > Guest > Manage Accounts > Create.
- Nombre del invitado: WiFi para invitados
- Nombre de la empresa: Cisco
- Dirección de correo electrónico: guest@example.com
- Autenticación de nombre de usuario: Permitir el acceso de invitados con el uso de su nombre de usuario solamente: Habilitado
- Activación de cuenta: Ahora
- Vencimiento de la cuenta: La cuenta no caduca
- Términos de uso: Soy el patrocinador: Habilitado
Crear formulario de inicio de sesión web. Vaya a CPPM > Guest > Configuration > Web Logins.
Los atributos de terminal en la sección posterior a la autenticación:
Nombre de usuario | Nombre de usuario
visitor_name | Nombre del visitante
cn | Nombre del visitante
visitor_phone | Teléfono para visitantes
Correo electrónico | Correo electrónico
correo | Correo electrónico
nombre_patrocinador | Nombre del patrocinador
correo_electrónico_patrocinador | Correo electrónico del patrocinador
Allow-Guest-Internet | true
Verificación: autorización de CWA de invitado
En el CPPM, navegue hasta Supervisión en directo > Rastreador de acceso.
El nuevo usuario invitado que conecta y activa el servicio MAB.
Ficha Resumen:
En el mismo cuadro de diálogo, navegue hasta la ficha Entrada.
En el mismo cuadro de diálogo, navegue hasta la pestaña Salida.
Appendix
A modo de referencia, aquí se presenta un diagrama de flujo de estado para las interacciones de controlador de anclaje externo de Cisco 9800 con el servidor RADIUS y el portal de invitados alojado externamente.
Diagrama de estado de autenticación web central de invitados con WLC de anclaje
Información Relacionada
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
2.0 |
22-Jul-2022 |
Versión inicial |
1.0 |
23-Jun-2022 |
Versión inicial |
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)