Introduction
Ce document décrit comment configurer des portails captifs à l'aide de Cisco DNA Spaces avec un contrôleur AireOS.
Contribué par Andres Silva, ingénieur TAC Cisco.
Conditions préalables
Conditions requises
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Accès à l'interface de ligne de commande (CLI) ou à l'interface utilisateur graphique (GUI) aux contrôleurs sans fil
- Espaces ADN Cisco
Components Used
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
- Contrôleur LAN sans fil 5520 version 8.10.112.0
Configuration
Diagramme du réseau

Configurations
Connectez le WLC aux espaces DNA Cisco
Le contrôleur doit être connecté à DNA Spaces à l'aide de n'importe quelle configuration disponible, Direct Connect, via DNA Spaces Connector ou via CMX Tethering.
Dans cet exemple, l'option Connexion directe est utilisée, bien que les portails captifs soient configurés de la même manière pour toutes les configurations.
Pour connecter le contrôleur à Cisco DNA Spaces, il doit pouvoir atteindre le cloud Cisco DNA Spaces via HTTPS. Pour plus d'informations sur la connexion du contrôleur à DNA Spaces, reportez-vous à ce lien : Exemple de configuration de connexion directe d'espaces DNA
Créer le SSID sur les espaces d'ADN
Étape 1. Cliquez sur Ports captifs dans le tableau de bord des espaces d'ADN :

Étape 2. Ouvrez le menu du portail captif en cliquant sur l'icône des trois lignes dans le coin supérieur gauche de la page, puis cliquez sur SSID:

Étape 3. Cliquez sur Import/Configure SSID, sélectionnez CUWN (CMX/WLC) comme type « Wireless Network » (Réseau sans fil) et entrez le nom SSID :

Configuration de la liste de contrôle d’accès sur le contrôleur
Une liste de contrôle d'accès pré-authentification est requise car il s'agit d'un SSID d'authentification Web et dès que le périphérique sans fil se connecte au SSID et reçoit une adresse IP, l'état du gestionnaire de stratégies du périphérique passe à l'état Webauth_Reqd et la liste de contrôle d'accès est appliquée à la session du client pour restreindre les ressources que le périphérique peut atteindre.
Étape 1. Naviguez jusqu'à Sécurité > Listes de contrôle d'accès > Listes de contrôle d'accès, cliquez sur Nouveau et configurez les règles pour permettre la communication entre les clients sans fil à DNA Spaces comme suit. Remplacez les adresses IP par celles fournies par DNA Spaces pour le compte utilisé :

Remarque : pour que les adresses IP des espaces d'ADN soient autorisées dans la liste de contrôle d'accès, cliquez sur l'option Configurer manuellement à partir du SSID créé à l'étape 3 de la section Créer le SSID sur les espaces d'ADN sous la section Configuration de la liste de contrôle d'accès.
Le SSID peut être configuré pour utiliser un serveur RADIUS ou non. Si la durée de session, la limite de bande passante ou le provisionnement transparent d'Internet est configuré dans la section Actions de la configuration de la règle Captive Portal, le SSID doit être configuré avec un serveur RADIUS, sinon il n'est pas nécessaire d'utiliser le serveur RADIUS. Toutes sortes de portails sur DNA Spaces sont prises en charge sur les deux configurations.
Portail captif sans serveur RADIUS sur les espaces DNA
Configuration SSID sur le contrôleur
Étape 1. Accédez à WLAN > WLAN. Créez un nouveau WLAN. Configurez le nom du profil et le SSID. Assurez-vous que le nom SSID est identique à celui configuré à l'étape 3 de la section Créer le SSID sur les espaces d'ADN.

Étape 2. Configurez la sécurité de couche 2. Accédez à l'onglet Security > Layer 2 dans l'onglet WLAN configuration et sélectionnez None dans le menu déroulant Layer 2 Security. Assurez-vous que le filtrage MAC est désactivé.

Étape 3. Configurez la sécurité de couche 3. Accédez à l'onglet Sécurité > Couche 3 dans l'onglet Configuration WLAN, configurez la stratégie Web comme méthode de sécurité de couche 3, Activez Passthrough, configurez la liste de contrôle d'accès de préauthentification, activez Remplacer la configuration globale comme défini le type d'authentification Web comme Externe, .

Remarque : pour obtenir l'URL de redirection, cliquez sur l'option Configurer manuellement, à partir du SSID créé à l'étape 3 de la section Créer le SSID sur les espaces d'ADN, sous la section Configuration du SSID.
Portail captif avec serveur RADIUS sur les espaces DNA
Note: DNA Spaces Le serveur RADIUS prend uniquement en charge l'authentification PAP provenant du contrôleur.
Configuration des serveurs RADIUS sur le contrôleur
Étape 1. Naviguez jusqu’à Security > AAA > RADIUS > Authentication, cliquez sur New et entrez les informations du serveur RADIUS. Cisco DNA Spaces agit en tant que serveur RADIUS pour l'authentification des utilisateurs et peut répondre sur deux adresses IP. Configurez les deux serveurs RADIUS :

Remarque : pour obtenir l'adresse IP RADIUS et la clé secrète pour les serveurs principal et secondaire, cliquez sur l'option Configurer manuellement à partir du SSID créé à l'étape 3 de la section Créer le SSID sur les espaces d'ADN et naviguez jusqu'à la section Configuration du serveur RADIUS.
Étape 2. Configurez le serveur RADIUS de comptabilité. Accédez à Sécurité > AAA > RADIUS > Comptabilité et cliquez sur Nouveau. Configurez les deux serveurs RADIUS :

Configuration SSID sur le contrôleur
Important : Avant de commencer avec la configuration SSID, assurez-vous que Web Radius Authentication est défini sur « PAP » sous Controller > General.
Étape 1. Accédez à WLAN > WLAN. Créez un nouveau WLAN. Configurez le nom du profil et le SSID. Assurez-vous que le nom SSID est identique à celui configuré à l'étape 3 de la section Créer le SSID sur les espaces d'ADN.

Étape 2. Configurez la sécurité de couche 2. Accédez à l'onglet Security > Layer 2 dans l'onglet WLAN configuration. Configurez la sécurité de couche 2 comme Aucune. Activez Le Filtrage Mac.

Étape 3. Configurez la sécurité de couche 3. Accédez à l'onglet Sécurité > Couche 3 dans l'onglet Configuration WLAN, configurez la stratégie Web comme méthode de sécurité de couche 3, Activez Échec du filtre Mac, configurez la liste de contrôle d'accès de préauthentification, activez Remplacer la configuration globale comme défini le type d'authentification Web comme Externe, configurez l'URL de redirection.

Étape 4. Configurez les serveurs AAA. Accédez à l'onglet Security > AAA Servers dans l'onglet WLAN configuration, activez Authentication Servers et Accounting Servers et, dans le menu déroulant, choisissez les deux serveurs RADIUS :

Étape 6. Configurez l'ordre de priorité d'authentification pour les utilisateurs d'authentification Web. Accédez à l'onglet Security > AAA Servers dans l'onglet WLAN configuration, puis définissez RADIUS en premier dans l'ordre.

Étape 7. Accédez à l'onglet Advanced de l'onglet WLAN configuration et activez Allow AAA Override.

Créer le portail sur les espaces ADN
Étape 1. Cliquez sur Ports captifs dans le tableau de bord des espaces d'ADN :

Étape 2. Cliquez sur Créer, entrez le nom du portail et sélectionnez les emplacements pouvant utiliser le portail :

Étape 3. Sélectionnez le type d'authentification, choisissez si vous voulez afficher la capture de données et les contrats utilisateur sur la page d'accueil du portail et si les utilisateurs sont autorisés à s'inscrire pour recevoir un message. Cliquez sur Suivant :

Étape 4. Configurer les éléments de capture de données. Si vous souhaitez capturer des données des utilisateurs, cochez la case Activer la capture de données et cliquez sur +Ajouter un élément de champ pour ajouter les champs souhaités. Cliquez sur Suivant :

Étape 5. Cochez la case Activer les termes et conditions et cliquez sur Enregistrer et configurer le portail :

Étape 6. Modifiez le portail si nécessaire, cliquez sur Enregistrer :

Configurer les règles du portail captif sur les espaces d'ADN
Étape 1. Ouvrez le menu du portail captif et cliquez sur Règles du portail captif :

Étape 2. Cliquez sur + Créer une règle. Entrez le nom de la règle, choisissez le SSID précédemment configuré et sélectionnez les emplacements pour lesquels cette règle de portail est disponible :

Étape 3. Sélectionnez l'action du portail captif. Dans ce cas, lorsque la règle est atteinte, le portail s'affiche. Cliquez sur Enregistrer et publier.

Vérification
Pour confirmer l'état d'un client connecté au SSID, accédez à Monitor > Clients, cliquez sur l'adresse MAC et recherchez Policy Manager State :

Dépannage
La commande suivante peut être activée dans le contrôleur avant le test pour confirmer l'association et le processus d'authentification du client.
(5520-Andressi) >debug client
(5520-Andressi) >debug web-auth redirect enable mac
Voici le résultat d'une tentative réussie d'identification de chacune des phases pendant le processus d'association/authentification lors de la connexion à un SSID sans serveur RADIUS :
Association/authentification 802.11 :
*apfOpenDtlSocket: Apr 09 21:49:06.227: 34:e1:2d:23:a6:68 Received management frame ASSOCIATION REQUEST on BSSID 70:d3:79:dd:d2:0f destination addr 70:d3:79:dd:d2:0f slotid 1
*apfMsConnTask_5: Apr 09 21:49:06.227: 34:e1:2d:23:a6:68 Updating the client capabiility as 4
*apfMsConnTask_5: Apr 09 21:49:06.227: 34:e1:2d:23:a6:68 Processing assoc-req station:34:e1:2d:23:a6:68 AP:70:d3:79:dd:d2:00-01 ssid : AireOS-DNASpaces thread:bd271d6280
*apfMsConnTask_5: Apr 09 21:49:06.227: 34:e1:2d:23:a6:68 CL_EVENT_ASSOC_START (1), reasonCode (1), Result (0), Ssid (AireOS-DNASpaces), ApMac (70:d3:79:dd:d2:00), RSSI (-72), SNR (22)
*apfMsConnTask_5: Apr 09 21:49:06.228: 34:e1:2d:23:a6:68 Sending assoc-resp with status 0 station:34:e1:2d:23:a6:68 AP:70:d3:79:dd:d2:00-01 on apVapId 1
Authentification DHCP et couche 3 :
*apfMsConnTask_5: Apr 09 21:49:06.228: 34:e1:2d:23:a6:68 Mobility query, PEM State: DHCP_REQD
*webauthRedirect: Apr 09 21:49:51.949: captive-bypass detection enabled, checking for wispr in HTTP GET, client mac=34:e1:2d:23:a6:68
*webauthRedirect: Apr 09 21:49:51.949: captiveNetworkMode enabled, mac=34:e1:2d:23:a6:68 user_agent = AnyConnect Agent 4.7.04056
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Preparing redirect URL according to configured Web-Auth type
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- unable to get the hostName for virtual IP, using virtual IP =192.0.2.1
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Checking custom-web config for WLAN ID:1
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Global status is 0 on WLAN
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- checking on WLAN web-auth type
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Web-auth type External, using URL:https://splash.dnaspaces.io/p2/mexeast1
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Added switch_url, redirect URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Added ap_mac (Radio ), redirect URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Added client_mac , redirect URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- Added wlan, redirect URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6:68&wla
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- http_response_msg_body1 is <HTML><HEAD><TITLE> Web Authentication Redirect</TITLE><META http-equiv="Cache-control" content="no-cache"><META http-equiv="Pragma" content="
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- added redirect=, URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6:68&wlan=Ai
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- str1 is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6:68&wlan=AireOS-DNASpaces&r
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- Message to be sent is
HTTP/1.1 200 OK
Location: https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- 200 send_data =HTTP/1.1 200 OK
Location: https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- send data length=688
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- Url:https://splash.dnaspaces.io/p2/mexeast1
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- cleaning up after send
Authentification de couche 3 réussie, déplacement du client à l'état RUN :
*emWeb: Apr 09 21:49:57.633: Connection created for MAC:34:e1:2d:23:a6:68
*emWeb: Apr 09 21:49:57.634:
ewaURLHook: Entering:url=/login.html, virtIp = 192.0.2.1, ssl_connection=0, secureweb=1
*ewmwebWebauth1: Apr 09 21:49:57.634: 34:e1:2d:23:a6:68 10.10.30.42 WEBAUTH_NOL3SEC (14) Change state to RUN (20) last state WEBAUTH_NOL3SEC (14)
*ewmwebWebauth1: Apr 09 21:49:57.634: 34:e1:2d:23:a6:68 CL_EVENT_WEB_AUTH_DONE (8), reasonCode (0), Result (0), ServerIp (), UserName ()
*ewmwebWebauth1: Apr 09 21:49:57.634: 34:e1:2d:23:a6:68 CL_EVENT_RUN (9), reasonCode (0), Result (0), Role (1), VLAN/VNID (20), Ipv4Addr (10.10.30.42), Ipv6Present (No)
*ewmwebWebauth1: Apr 09 21:49:57.634: 34:e1:2d:23:a6:68 10.10.30.42 RUN (20) Successfully plumbed mobile rule (IPv4 ACL ID 255, IPv6 ACL ID 255, L2 ACL ID 255,URL ACL ID 255,URL ACL Action 0)
*emWeb: Apr 09 21:49:57.634: User login successful, presenting login success page to user