Avez-vous un compte?
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit comment configurer les portails captifs utilisant les espaces DNA de Cisco avec un contrôleur d'AireOS.
Contribué par l'ingénieur TAC Cisco d'Andres Silva.
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Le contrôleur doit être connecté aux espaces DNA utilisant des installations disponibles l'unes des, liées directement, par l'intermédiaire des espaces connecteur ou utilisation DNA de CMX attachant.
Dans cet exemple, l'option liée directement est en service, bien que des portails captifs soient configurés la même manière pour toutes les installations.
Pour connecter le contrôleur aux espaces DNA de Cisco, il doit pouvoir atteindre les espaces DNA de Cisco opacifient au-dessus de HTTPS. Pour plus d'informations sur la façon connecter le contrôleur aux espaces DNA référez-vous à ce lien : Le DNA espace l'exemple lié directement de configuration
Étape 1. Cliquez sur en fonction les portails captifs dans le tableau de bord des espaces DNA :
Étape 2. Ouvrez le menu portail captif en cliquant sur les trois lignes icône dans l'angle supérieur gauche de la page, et cliquez sur en fonction le SSID :
Étape 3. Cliquez sur en fonction l'importation/configurez le SSID, CUWN choisi (CMX/WLC) comme type de « réseau sans fil », et écrivez le nom SSID :
Un ACL de pré-authentification est exigé car c'est une authentification Web SSID, et dès que le périphérique sans fil se connectera au SSID et reçoit une adresse IP, les mouvements d'état de gestionnaire de la stratégie du périphérique à l'état de Webauth_Reqd et l'ACL est appliqués à la session de client pour limiter les ressources que le périphérique peut atteindre.
Étape 1. Naviguez vers la Sécurité > les listes de contrôle d'accès > les listes de contrôle d'accès, cliquez sur en fonction nouveau et configurez les règles de permettre la transmission entre les clients sans fil aux espaces DNA comme suit. Remplacez les adresses IP par celles données par les espaces DNA pour le compte en service :
Remarque: Pour obtenir les adresses IP des espaces DNA à autoriser dans l'ACL, cliquez sur en fonction l'option de configurer manuellement du SSID créé dans l'étape 3 de la section créent le SSID sur les espaces DNA sous la section de configuration d'ACL.
Le SSID peut être configuré pour utiliser un serveur de RADIUS ou sans lui. Si cette durée de session, limite de bande passante, ou sans faille Internet de disposition est configurée dans la section d'actions de la configuration portaile captive de règle, le SSID doit être configuré avec un serveur de RADIUS, autrement, il n'y a aucun besoin d'utiliser le serveur de RADIUS. Toutes sortes de portails sur les espaces DNA sont prises en charge sur les deux configurations.
Étape 1. Naviguez vers WLAN > WLAN. Créez un nouveau WLAN. Configurez le nom de profil et le SSID. Assurez-vous que le nom SSID est identique que configurés dans l'étape 3 de la section créent le SSID sur les espaces DNA.
Étape 2. Configurez le degré de sécurité de la couche 2. Naviguez vers l'onglet de Sécurité > de couche 2 dans l'onglet de configuration WLAN et sélectionnez en tant qu'aucun du menu déroulant du degré de sécurité de la couche 2. Assurez-vous que le filtrage MAC est désactivé.
Étape 3. Configurez le degré de sécurité de la couche 3. Naviguez vers l'onglet de Security > Layer 3 dans l'onglet de configuration WLAN, configurez la stratégie de Web comme la méthode de degré de sécurité de la couche 3, fonction émulation d'enable, configurent l'ACL de Préauthentification, configuration globale de priorité d'enable comme place le type authentique de Web comme externe, configurez l'URL de réorientation.
Remarque: Pour obtenir l'URL de réorientation, cliquez sur en fonction l'option de configurer manuellement, du SSID créé dans l'étape 3 de la section créent le SSID sur les espaces DNA, sous la section de configuration SSID.
Étape 1. Naviguez vers la Sécurité > l'AAA > Radius > Authentication, cliquez sur en fonction nouveau et écrivez les informations du serveur de RADIUS. Le DNA de Cisco espace des actes le serveur de RADIUS pour l'authentification de l'utilisateur et il peut répondre sur deux adresses IP. Configurez les deux serveurs de RADIUS :
Remarque: Pour obtenir l'adresse IP de RADIUS et la clé de secret pour les serveurs primaires et secondaires, cliquez sur en fonction l'option de configurer manuellement du SSID créé dans l'étape 3 de la section créent le SSID sur les espaces DNA et naviguent vers la section de configuration du serveur RADIUS.
Étape 2. Configurez le serveur de comptabilité de RADIUS. Naviguez vers la Sécurité > l'AAA > le RADIUS > la comptabilité et cliquez sur en fonction nouveau. Configurez les mêmes les deux serveurs de RADIUS :
Étape 1. Naviguez vers WLAN > WLAN. Créez un nouveau WLAN. Configurez le nom de profil et le SSID. Assurez-vous que le nom SSID est identique que configurés dans l'étape 3 de la section créent le SSID sur les espaces DNA.
Étape 2. Configurez le degré de sécurité de la couche 2. Naviguez vers l'onglet de Sécurité > de couche 2 dans la configuration tableau WLAN configurent le degré de sécurité de la couche 2 en tant qu'aucun. Filtrage de MAC d'enable.
Étape 3. Configurez le degré de sécurité de la couche 3. Naviguez vers l'onglet de Security > Layer 3 dans l'onglet de configuration WLAN, configurez la stratégie de Web comme la méthode de degré de sécurité de la couche 3, enable sur la panne de filtre de MAC, configurent l'ACL de Préauthentification, configuration globale de priorité d'enable comme place le type authentique de Web comme externe, configurez l'URL de réorientation.
Étape 4. Configurez les serveurs d'AAA. Naviguez vers l'onglet de Security > AAA Servers dans l'onglet de configuration WLAN, des serveurs d'authentification d'enable et les serveurs de comptabilité et du menu déroulant choisissent les deux serveurs de RADIUS :
Étape 6. Configurez la commande d'authentication priority pour des utilisateurs de Web-auth. Naviguez vers l'onglet de Security > AAA Servers dans l'onglet de configuration WLAN, et placez RADIUS comme d'abord dans la commande.
Étape 7. Naviguez vers l'onglet Avancé dans l'Allow AAA Override d'onglet et d'enable de configuration WLAN.
Étape 1. Cliquez sur en fonction les portails captifs dans le tableau de bord des espaces DNA :
Étape 2. Cliquez sur en fonction Create nouvelle, écrivez le nom portail, et sélectionnez les emplacements qui peuvent utiliser le portail :
Étape 3. Sélectionnez le type d'authentification, choisissez si vous voulez afficher des accords de capture de données et d'utilisateur sur la page d'accueil portaile et si des utilisateurs sont permis à Choisir-dans pour recevoir un message. Cliquez sur Next :
Étape 4. Configurez les éléments de capture de données. Si vous voulez capturer des données des utilisateurs, cocher la case de capture de données d'enable et cliquer sur en fonction l'élément de champ +Add pour ajouter les champs désirés. Cliquez sur Next :
Étape 5. Vérifiez les modalités et les conditions d'enable et cliquez sur la sauvegarde et configurez le portail :
Étape 6. Éditez le portail comme nécessaire, cliquez sur en fonction la sauvegarde :
Étape 1. Ouvrez le menu portail captif et cliquez sur en fonction les règles portailes captives :
Étape 2. Le clic + créent la nouvelle règle. Écrivez le nom de règle, choisissez le SSID précédemment configuré, et sélectionnez les emplacements que cette règle portaile est disponible pour :
Étape 3. Choisissez l'action du portail de captif. Dans ce cas, quand la règle est frappée, le portail est affiché. Cliquez sur la sauvegarde et éditez.
Pour confirmer l'état d'un client connecté au SSID naviguez vers le Monitor > Clients, cliquez sur en fonction l'adresse MAC et recherchez l'état de Policy Manager :
La commande suivante peut être activée dans le contrôleur avant le test confirmer l'association et la procédure d'authentification du client.
(5520-Andressi) >debug client <Client-MAC-Address>
(5520-Andressi) >debug web-auth redirect enable mac <Client-MAC-Address>
C'est la sortie d'une tentative réussie d'identifier chacune des phases pendant l'association/procédure d'authentification tout en se connectant à un SSID sans le serveur de RADIUS :
association/authentification de 802.11 :
*apfOpenDtlSocket: Apr 09 21:49:06.227: 34:e1:2d:23:a6:68 Received management frame ASSOCIATION REQUEST on BSSID 70:d3:79:dd:d2:0f destination addr 70:d3:79:dd:d2:0f slotid 1
*apfMsConnTask_5: Apr 09 21:49:06.227: 34:e1:2d:23:a6:68 Updating the client capabiility as 4
*apfMsConnTask_5: Apr 09 21:49:06.227: 34:e1:2d:23:a6:68 Processing assoc-req station:34:e1:2d:23:a6:68 AP:70:d3:79:dd:d2:00-01 ssid : AireOS-DNASpaces thread:bd271d6280
*apfMsConnTask_5: Apr 09 21:49:06.227: 34:e1:2d:23:a6:68 CL_EVENT_ASSOC_START (1), reasonCode (1), Result (0), Ssid (AireOS-DNASpaces), ApMac (70:d3:79:dd:d2:00), RSSI (-72), SNR (22)
*apfMsConnTask_5: Apr 09 21:49:06.228: 34:e1:2d:23:a6:68 Sending assoc-resp with status 0 station:34:e1:2d:23:a6:68 AP:70:d3:79:dd:d2:00-01 on apVapId 1
Le DHCP et posent l'authentification 3 :
*apfMsConnTask_5: Apr 09 21:49:06.228: 34:e1:2d:23:a6:68 Mobility query, PEM State: DHCP_REQD
*webauthRedirect: Apr 09 21:49:51.949: captive-bypass detection enabled, checking for wispr in HTTP GET, client mac=34:e1:2d:23:a6:68
*webauthRedirect: Apr 09 21:49:51.949: captiveNetworkMode enabled, mac=34:e1:2d:23:a6:68 user_agent = AnyConnect Agent 4.7.04056
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Preparing redirect URL according to configured Web-Auth type
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- unable to get the hostName for virtual IP, using virtual IP =192.0.2.1
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Checking custom-web config for WLAN ID:1
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Global status is 0 on WLAN
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- checking on WLAN web-auth type
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Web-auth type External, using URL:https://splash.dnaspaces.io/p2/mexeast1
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Added switch_url, redirect URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Added ap_mac (Radio ), redirect URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Added client_mac , redirect URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- Added wlan, redirect URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6:68&wla
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- http_response_msg_body1 is <HTML><HEAD><TITLE> Web Authentication Redirect</TITLE><META http-equiv="Cache-control" content="no-cache"><META http-equiv="Pragma" content="
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- added redirect=, URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6:68&wlan=Ai
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- str1 is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6:68&wlan=AireOS-DNASpaces&r
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- Message to be sent is
HTTP/1.1 200 OK
Location: https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- 200 send_data =HTTP/1.1 200 OK
Location: https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- send data length=688
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- Url:https://splash.dnaspaces.io/p2/mexeast1
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- cleaning up after send
L'authentification de la couche 3 réussie, déplacent le client à l'état de PASSAGE :
*emWeb: Apr 09 21:49:57.633: Connection created for MAC:34:e1:2d:23:a6:68
*emWeb: Apr 09 21:49:57.634:
ewaURLHook: Entering:url=/login.html, virtIp = 192.0.2.1, ssl_connection=0, secureweb=1
*ewmwebWebauth1: Apr 09 21:49:57.634: 34:e1:2d:23:a6:68 10.10.30.42 WEBAUTH_NOL3SEC (14) Change state to RUN (20) last state WEBAUTH_NOL3SEC (14)
*ewmwebWebauth1: Apr 09 21:49:57.634: 34:e1:2d:23:a6:68 CL_EVENT_WEB_AUTH_DONE (8), reasonCode (0), Result (0), ServerIp (), UserName ()
*ewmwebWebauth1: Apr 09 21:49:57.634: 34:e1:2d:23:a6:68 CL_EVENT_RUN (9), reasonCode (0), Result (0), Role (1), VLAN/VNID (20), Ipv4Addr (10.10.30.42), Ipv6Present (No)
*ewmwebWebauth1: Apr 09 21:49:57.634: 34:e1:2d:23:a6:68 10.10.30.42 RUN (20) Successfully plumbed mobile rule (IPv4 ACL ID 255, IPv6 ACL ID 255, L2 ACL ID 255,URL ACL ID 255,URL ACL Action 0)
*emWeb: Apr 09 21:49:57.634: User login successful, presenting login success page to user