El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo configurar los portales cautivos utilizando Cisco DNA Spaces con un controlador AireOS.
Colaborado por Andres Silva Cisco TAC Engineer.
Cisco recomienda que tenga conocimiento sobre estos temas:
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
El controlador debe estar conectado a los espacios de ADN utilizando cualquiera de las configuraciones disponibles, Direct Connect, a través del conector de espacios de ADN o mediante la anclaje CMX.
En este ejemplo, la opción Direct Connect está en uso, aunque los portales cautivos están configurados de la misma manera para todas las configuraciones.
Para conectar el controlador a Cisco DNA Spaces, debe poder alcanzar la nube de Cisco DNA Spaces a través de HTTPS. Para obtener más información sobre cómo conectar el controlador a los espacios DNA, consulte este enlace: Ejemplo de Configuración de DNA Spaces Direct Connect
Paso 1. Haga clic en Portales cautivos en el panel de Espacios DNA:
Paso 2. Abra el menú del portal cautivo haciendo clic en el icono de tres líneas en la esquina superior izquierda de la página y haga clic en SSID:
Paso 3. Haga clic en Importar/Configurar SSID, seleccione CUWN (CMX/WLC) como tipo de "Red Inalámbrica" e introduzca el nombre SSID:
Se requiere una ACL de autenticación previa, ya que se trata de un SSID de autenticación web, y tan pronto como el dispositivo inalámbrico se conecta al SSID y recibe una dirección IP, el estado del administrador de políticas del dispositivo se mueve al estado Webauth_Reqd y la ACL se aplica a la sesión del cliente para restringir los recursos a los que el dispositivo puede llegar.
Paso 1. Navegue hasta Seguridad > Listas de control de acceso > Listas de control de acceso, haga clic en Nuevo y configure las reglas para permitir la comunicación entre los clientes inalámbricos a espacios de ADN de la siguiente manera. Reemplace las direcciones IP por las proporcionadas por los espacios DNA para la cuenta en uso:
Nota: Para que las direcciones IP de los espacios de ADN se permitan en la ACL, haga clic en la opción Configurar manualmente del SSID creado en el paso 3 de la sección Crear el SSID en espacios de ADN en la sección de configuración de ACL.
El SSID se puede configurar para utilizar un servidor RADIUS o sin él. Si esa Duración de la Sesión, Límite de Ancho de Banda o Suministro sin Problemas de Internet se configura en la sección Acciones de la configuración de regla del portal cautivo, el SSID debe configurarse con un servidor RADIUS; de lo contrario, no es necesario utilizar el servidor RADIUS. Se admiten todos los tipos de portales en espacios de ADN en ambas configuraciones.
Paso 1. Navegue hasta WLAN > WLANs. Cree una nueva WLAN. Configure el nombre del perfil y el SSID. Asegúrese de que el nombre SSID sea el mismo que el configurado en el paso 3 de la sección Crear el SSID en los espacios de ADN.
Paso 2. Configuración de la seguridad de capa 2. Vaya a la pestaña Seguridad > Capa 2 en la ficha Configuración de WLAN y seleccione Ninguno en el menú desplegable de Seguridad de Capa 2. Asegúrese de que el filtrado de MAC esté desactivado.
Paso 3. Configuración de la seguridad de capa 3. Navegue hasta la pestaña Seguridad > Capa 3 en la ficha Configuración de WLAN, configure la Política Web como el método de seguridad de Capa 3, Enable Passthrough, configure la ACL de autenticación previa, habilite Override Global Config como el Tipo de autenticación Web como externo, configure la URL de redirección.
Nota: Para obtener la URL de redirección, haga clic en la opción Configurar manualmente, desde el SSID creado en el paso 3 de la sección Crear el SSID en espacios de ADN, en la sección de configuración de SSID.
Nota: El servidor de DNA Spaces RADIUS sólo admite la autenticación PAP proveniente del controlador.
Paso 1. Navegue hasta Seguridad > AAA > RADIUS > Autenticación, haga clic en Nuevo e ingrese la información del servidor RADIUS. Cisco DNA Spaces actúa como servidor RADIUS para la autenticación de usuario y puede responder en dos direcciones IP. Configure ambos servidores RADIUS:
Nota: Para obtener la dirección IP RADIUS y la clave secreta tanto para los servidores primarios como secundarios, haga clic en la opción Configurar manualmente del SSID creado en el paso 3 de la sección Crear el SSID en espacios DNA y navegue hasta la sección Configuración del Servidor RADIUS.
Paso 2. Configure el servidor RADIUS de contabilización. Navegue hasta Seguridad > AAA > RADIUS > Contabilidad y haga clic en Nuevo. Configure los mismos dos servidores RADIUS:
Importante: Antes de comenzar con la configuración de SSID, asegúrese de que Autenticación de Web Radius esté configurada en "PAP" en Controlador > General.
Paso 1. Navegue hasta WLAN > WLANs. Cree una nueva WLAN. Configure el nombre del perfil y el SSID. Asegúrese de que el nombre SSID sea el mismo que el configurado en el paso 3 de la sección Crear el SSID en los espacios de ADN.
Paso 2. Configuración de la seguridad de capa 2. Vaya a la pestaña Seguridad > Capa 2 en la pestaña Configuración de WLAN. Configure la Seguridad de Capa 2 como Ninguno. Habilite el filtrado de Mac.
Paso 3. Configuración de la seguridad de capa 3. Navegue hasta la pestaña Seguridad > Capa 3 en la ficha Configuración de WLAN, configure Web Policy como el método de seguridad de Capa 3, Enable On Mac Filter failure, configure la ACL de autenticación previa, habilite Override Global Config como set the Web Auth Type como External, configure la URL de redirección.
Paso 4. Configure los servidores AAA. Vaya a la pestaña Seguridad > Servidores AAA en la ficha Configuración de WLAN, habilite Servidores de Autenticación y Servidores de Contabilización y, en el menú desplegable, elija los dos servidores RADIUS:
Paso 6. Configure el orden de prioridad de autenticación para los usuarios de web-auth. Navegue hasta la pestaña Seguridad > Servidores AAA en la ficha Configuración de WLAN, y configure RADIUS como el primero en ordenar.
Paso 7. Navegue a la pestaña Avanzadas en la pestaña Configuración de WLAN y habilite Permitir Anulación AAA.
Paso 1. Haga clic en Portales cautivos en el panel de Espacios DNA:
Paso 2. Haga clic en Crear nuevo, introduzca el nombre del portal y seleccione las ubicaciones que pueden utilizar el portal:
Paso 3. Seleccione el tipo de autenticación, elija si desea mostrar la captura de datos y los acuerdos de usuario en la página de inicio del portal y si se permite a los usuarios participar para recibir un mensaje. Haga clic en Next (Siguiente):
Paso 4. Configure los elementos de captura de datos. Si desea capturar datos de los usuarios, marque la casilla Habilitar captura de datos y haga clic en +Agregar elemento de campo para agregar los campos deseados. Haga clic en Next (Siguiente):
Paso 5. Verifique los términos y condiciones y haga clic en Guardar y configurar el portal:
Paso 6. Edite el portal según sea necesario, Haga clic en Guardar:
Paso 1. Abra el menú del portal cautivo y haga clic en Reglas del portal cautivo:
Paso 2. Haga clic en + Crear nueva regla. Ingrese el nombre de la regla, elija el SSID previamente configurado y seleccione las ubicaciones para las que esta regla del portal está disponible:
Paso 3. Elija la acción del portal cautivo. En este caso, cuando se pulsa la regla, se muestra el portal. Haga clic en Guardar y publicar.
Para confirmar el estado de un cliente conectado al SSID, navegue hasta Monitor > Clients, haga clic en la dirección MAC y busque Policy Manager State:
El siguiente comando se puede habilitar en el controlador antes de la prueba para confirmar el proceso de asociación y autenticación del cliente.
(5520-Andressi) >debug client(5520-Andressi) >debug web-auth redirect enable mac
Este es el resultado de un intento exitoso de identificar cada una de las fases durante el proceso de asociación/autenticación mientras se conecta a un SSID sin servidor RADIUS:
802.11 asociación/autenticación:
*apfOpenDtlSocket: Apr 09 21:49:06.227: 34:e1:2d:23:a6:68 Received management frame ASSOCIATION REQUEST on BSSID 70:d3:79:dd:d2:0f destination addr 70:d3:79:dd:d2:0f slotid 1
*apfMsConnTask_5: Apr 09 21:49:06.227: 34:e1:2d:23:a6:68 Updating the client capabiility as 4
*apfMsConnTask_5: Apr 09 21:49:06.227: 34:e1:2d:23:a6:68 Processing assoc-req station:34:e1:2d:23:a6:68 AP:70:d3:79:dd:d2:00-01 ssid : AireOS-DNASpaces thread:bd271d6280
*apfMsConnTask_5: Apr 09 21:49:06.227: 34:e1:2d:23:a6:68 CL_EVENT_ASSOC_START (1), reasonCode (1), Result (0), Ssid (AireOS-DNASpaces), ApMac (70:d3:79:dd:d2:00), RSSI (-72), SNR (22)
*apfMsConnTask_5: Apr 09 21:49:06.228: 34:e1:2d:23:a6:68 Sending assoc-resp with status 0 station:34:e1:2d:23:a6:68 AP:70:d3:79:dd:d2:00-01 on apVapId 1
Autenticación DHCP y de Capa 3:
*apfMsConnTask_5: Apr 09 21:49:06.228: 34:e1:2d:23:a6:68 Mobility query, PEM State: DHCP_REQD
*webauthRedirect: Apr 09 21:49:51.949: captive-bypass detection enabled, checking for wispr in HTTP GET, client mac=34:e1:2d:23:a6:68
*webauthRedirect: Apr 09 21:49:51.949: captiveNetworkMode enabled, mac=34:e1:2d:23:a6:68 user_agent = AnyConnect Agent 4.7.04056
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Preparing redirect URL according to configured Web-Auth type
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- unable to get the hostName for virtual IP, using virtual IP =192.0.2.1
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Checking custom-web config for WLAN ID:1
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Global status is 0 on WLAN
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- checking on WLAN web-auth type
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Web-auth type External, using URL:https://splash.dnaspaces.io/p2/mexeast1
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Added switch_url, redirect URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Added ap_mac (Radio ), redirect URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Added client_mac , redirect URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- Added wlan, redirect URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6:68&wla
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- http_response_msg_body1 is <HTML><HEAD><TITLE> Web Authentication Redirect</TITLE><META http-equiv="Cache-control" content="no-cache"><META http-equiv="Pragma" content="
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- added redirect=, URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6:68&wlan=Ai
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- str1 is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6:68&wlan=AireOS-DNASpaces&r
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- Message to be sent is
HTTP/1.1 200 OK
Location: https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- 200 send_data =HTTP/1.1 200 OK
Location: https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- send data length=688
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- Url:https://splash.dnaspaces.io/p2/mexeast1
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- cleaning up after send
Autenticación de Capa 3 exitosa, mueva el cliente al estado RUN:
*emWeb: Apr 09 21:49:57.633: Connection created for MAC:34:e1:2d:23:a6:68
*emWeb: Apr 09 21:49:57.634:
ewaURLHook: Entering:url=/login.html, virtIp = 192.0.2.1, ssl_connection=0, secureweb=1
*ewmwebWebauth1: Apr 09 21:49:57.634: 34:e1:2d:23:a6:68 10.10.30.42 WEBAUTH_NOL3SEC (14) Change state to RUN (20) last state WEBAUTH_NOL3SEC (14)
*ewmwebWebauth1: Apr 09 21:49:57.634: 34:e1:2d:23:a6:68 CL_EVENT_WEB_AUTH_DONE (8), reasonCode (0), Result (0), ServerIp (), UserName ()
*ewmwebWebauth1: Apr 09 21:49:57.634: 34:e1:2d:23:a6:68 CL_EVENT_RUN (9), reasonCode (0), Result (0), Role (1), VLAN/VNID (20), Ipv4Addr (10.10.30.42), Ipv6Present (No)
*ewmwebWebauth1: Apr 09 21:49:57.634: 34:e1:2d:23:a6:68 10.10.30.42 RUN (20) Successfully plumbed mobile rule (IPv4 ACL ID 255, IPv6 ACL ID 255, L2 ACL ID 255,URL ACL ID 255,URL ACL Action 0)
*emWeb: Apr 09 21:49:57.634: User login successful, presenting login success page to user