Introduzione
Questo documento offre un esempio di configurazione per l'uso della funzione proxy di autenticazione Web su un controller WLC.
Prerequisiti
Requisiti
Prima di provare la configurazione, verificare che siano soddisfatti i seguenti requisiti:
-
Conoscere la configurazione dei Lightweight Access Point (LAP) e dei Cisco WLC.
-
Conoscere le tecnologie LWAPP (Lightweight Access Point Protocol), CAPWAP (Control and Provisioning of Wireless Access Point).
-
Conoscere l'autenticazione Web.
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Convenzioni
Fare riferimento a Cisco Technical Tips Conventions per ulteriori informazioni sulle convenzioni dei documenti.
Proxy di autenticazione Web su un WLC
In questo documento si presume che il lettore abbia una conoscenza anticipata dell'autenticazione Web e dei passaggi relativi alla configurazione dell'autenticazione Web sui WLC di Cisco. Se si è un nuovo utente, leggere i seguenti documenti che descrivono in dettaglio il processo di autenticazione Web:
La funzionalità proxy di autenticazione Web è stata introdotta con la versione 7.0.116.0 di WLC.
Un browser Web dispone di tre tipi di impostazioni Internet che possono essere configurate dall'utente:
-
Rilevamento automatico
-
Proxy di sistema
-
Manuale
Questa funzionalità consente ai client con proxy Web manuale abilitato nel browser di facilitare l'autenticazione Web con il controller.
In una rete configurata per l'autenticazione Web, se il client è configurato per le impostazioni proxy manuali, il controller non ascolta tali porte proxy e pertanto il client non sarà in grado di stabilire una connessione TCP con il controller. In effetti, l'utente non è in grado di accedere ad alcuna pagina di accesso per l'autenticazione e ottenere l'accesso alla rete.
Quando il client richiede un URL con la funzionalità Proxy di autenticazione Web attivata, il controller risponde con una pagina Web in cui viene richiesto all'utente di modificare le impostazioni del proxy Internet per rilevare automaticamente le impostazioni del proxy.
Questo processo impedisce che le impostazioni proxy manuali del browser vadano perdute. Dopo aver configurato questa funzionalità, l'utente può accedere alla rete tramite i criteri di autenticazione Web.
Per impostazione predefinita, questa funzionalità è disponibile per le porte 80, 8080 e 3128, in quanto si tratta delle porte più utilizzate per il server proxy Web.
Configurare il proxy di autenticazione Web su un WLC
In questa sezione vengono presentate le informazioni necessarie per configurare le funzionalità descritte più avanti nel documento.
Configurazioni
Completare questa procedura per configurare il proxy di autenticazione Web con l'interfaccia utente del controller:
-
Dalla GUI del controller, selezionare Controller > General (Generale).
-
Per abilitare il proxy WebAuth, scegliere Abilitato dall'elenco a discesa Modalità di reindirizzamento proxy WebAuth.
-
Nella casella di testo Porta di reindirizzamento proxy WebAuth immettere il numero di porta del proxy di autenticazione Web. Questa casella di testo è costituita dai numeri di porta su cui il controller resta in ascolto del reindirizzamento proxy per l'autenticazione Web. Per impostazione predefinita, si presuppongono le tre porte 80, 8080 e 3128. Se la porta di reindirizzamento dell'autenticazione Web è stata configurata per una porta diversa da questi valori, è necessario specificare tale valore.
-
Fare clic su Apply (Applica).
Per configurare il proxy WebAuth dalla CLI, usare questo comando:
config network web-auth proxy-redirect {enable | disable}
Impostare il numero della porta di autenticazione Web utilizzando il comando config network web-auth port <port-number> .
Dopo aver configurato il WLC, salvare la configurazione e riavviare il controller per rendere effettiva la configurazione.
Verifica
Per visualizzare lo stato corrente della configurazione del proxy di autenticazione Web, usare il comando show network summary o show running-config.
(Cisco Controller) >show network summary
RF-Network Name............................. WLAN-LAB
Web Mode.................................... Disable
Secure Web Mode............................. Enable
Secure Web Mode Cipher-Option High.......... Disable
Secure Web Mode Cipher-Option SSLv2......... Enable
Secure Shell (ssh).......................... Enable
Telnet...................................... Enable
Ethernet Multicast Forwarding............... Disable
Ethernet Broadcast Forwarding............... Disable
AP Multicast/Broadcast Mode................. Unicast
IGMP snooping............................... Disabled
IGMP timeout................................ 60 seconds
IGMP Query Interval......................... 20 seconds
User Idle Timeout........................... 300 seconds
ARP Idle Timeout............................ 300 seconds
Cisco AP Default Master..................... Disable
AP Join Priority............................ Disable
Mgmt Via Wireless Interface................. Disable
Mgmt Via Dynamic Interface.................. Disable
Bridge MAC filter Config.................... Enable
Bridge Security Mode........................ EAP
--More-- or (q)uit
Mesh Full Sector DFS........................ Enable
Apple Talk ................................. Disable
AP Fallback ................................ Enable
Web Auth Redirect Ports .................... 80
Web Auth Proxy Redirect ................... Enable
Fast SSID Change ........................... Disabled
802.3 Bridging ............................. Disable
IP/MAC Addr Binding Check .................. Enabled
A questo punto è necessario connettere un client wireless all'SSID guest configurato per l'autenticazione Web.
Supponendo che si disponga di un server DHCP interno, il client si connette al guest WLAN1 e acquisisce un indirizzo IP. Quando il client tenta di accedere a un URL (ad esempio, www.cisco.com), poiché il proxy manuale è abilitato nel browser client, il controller che utilizza la funzionalità proxy di autenticazione Web risponde con una pagina Web in cui viene richiesto all'utente di modificare le impostazioni del proxy Internet per rilevare automaticamente le impostazioni del proxy.
A questo punto, il client è consapevole della necessità di disattivare le impostazioni manuali del proxy. Qui è possibile vedere come disattivare le impostazioni manuali del proxy in Firefox versione 3.6.
-
Dal browser Firefox, selezionare Strumenti > Opzioni, quindi selezionare Avanzate.
-
Fare clic sulla scheda Rete e quindi selezionare Impostazioni.
-
Nella finestra Impostazioni di connessione, selezionare Rileva automaticamente impostazioni proxy per questa rete.
Al termine, aggiornare il browser e riprovare ad accedere all'URL. Questa volta verrà eseguito il reindirizzamento alla pagina Autenticazione Web. Il client può fornire le credenziali ed è possibile accedere alla rete guest.
Informazioni correlate