Introduzione
In questo documento viene descritto come configurare i portali vincolati su Cisco Spaces.
Prerequisiti
Questo documento consente ai client su Catalyst 9800 Wireless LAN Controller (C9800 WLC) di usare Spaces come pagina di accesso per l'autenticazione Web esterna.
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Accesso tramite interfaccia CLI (Command Line Interface) o GUI (Graphic User Interface) ai controller wireless 9800
- Cisco Spaces
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
- 9800-L controller versione 16.12.2s
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Premesse
L'autenticazione Web è un semplice metodo di autenticazione di layer 3 che non richiede un'utilità supplicant o client. È possibile eseguire questa operazione
a) Con la pagina interna sul WLC C9800 così come è o dopo le modifiche.
b) Con il pacchetto di accesso personalizzato caricato su C9800 WLC.
c) Pagina di accesso personalizzata ospitata su un server esterno.
Utilizzare il portale vincolato fornito da Spaces è essenzialmente un modo per implementare l'autenticazione Web esterna per i client su C9800 WLC.
Il processo webauth esterno è descritto in dettaglio all'indirizzo: Autenticazione basata sul Web sui controller Cisco Catalyst serie 9800
Sul WLC C9800, l'indirizzo ip virtuale viene definito come mappa dei parametri globali e in genere è 192.0.2.1
Configurazione
Esempio di rete

Connessione del controller 9800 a Cisco Spaces
Il controller deve essere connesso a Spaces con una di queste opzioni: Direct Connect, tramite Spaces Connector o con Tethering CMX.
In questo esempio, l'opzione Connessione diretta è in uso, anche se i portali vincolati sono configurati nello stesso modo per tutte le impostazioni.
Per connettere il controller a Cisco Spaces, deve essere in grado di raggiungere Cisco Spaces Cloud tramite HTTPS. Per ulteriori informazioni su come collegare il controller 9800 a Spaces, fare riferimento a questo collegamento: Spazi - Connessione diretta controller 9800
Crea il SSID in Spaces
Passaggio 1. Fare clic su Captive Portals nel dashboard di Spaces:

Passaggio 2. Aprire il menu specifico del portale vincolato, fare clic sull'icona a tre righe nell'angolo superiore sinistro della pagina e fare clic su SSID:

Passaggio 3. Fare clic su Import/Configure SSID, selezionare CUWN (CMX/WLC) come tipo di rete wireless, quindi immettere il nome SSID:

Configurazione di ACL e filtro URL sul controller 9800
Il traffico proveniente da un client wireless non è consentito sulla rete fino al completamento dell'autenticazione. In caso di autenticazione Web, per completarla, un client wireless si connette a questo SSID, riceve un indirizzo IP e quindi lo stato di gestione dei criteri client viene spostato su Webauth_reqd. Poiché il client non è ancora autenticato, tutto il traffico proveniente dall'indirizzo IP del client viene interrotto ad eccezione di DHCP, DNS e HTTP (che viene intercettato e reindirizzato).
per impostazione predefinita, 9800 crea ACL di preautenticazione hardcoded quando si configura una WLAN di preautenticazione Web. Questi ACL hardcoded consentono DHCP, DNS e traffico verso il server Web Auth esterno. Tutto il resto viene reindirizzato come qualsiasi traffico http.
Tuttavia, se è necessario consentire l'accesso a uno specifico tipo di traffico non HTTP, è possibile configurare un ACL di preautenticazione. Sarà quindi necessario imitare il contenuto dell'ACL di pre-autenticazione hardcoded esistente (dal passaggio 1 di questa sezione) e aumentarlo in base alle proprie esigenze.
Passaggio 1. Verificare gli ACL hardcoded correnti.
Configurazione dalla CLI:
Andressi-9800L#show ip access list
Extended IP access list WA-sec-10.235.248.212
10 permit tcp any host 10.235.248.212 eq www
20 permit tcp any host 10.235.248.212 eq 443
30 permit tcp host 10.235.248.212 eq www any
40 permit tcp host 10.235.248.212 eq 443 any
50 permit tcp any any eq domain
60 permit udp any any eq domain
70 permit udp any any eq bootpc
80 permit udp any any eq bootps
90 deny ip any any
Extended IP access list WA-v4-int-10.235.248.212
10 deny tcp any host 10.235.248.212 eq www
20 deny tcp any host 10.235.248.212 eq 443
30 permit tcp any any eq www
40 permit tcp any host 192.0.2.1 eq 443
WA-sec-10.235.248.212 viene chiamato come tale perché è un ACL con autenticazione Web automatica (WA, Automatic Web Auth) Security (sec) o un portale ip 10.235.248.212. Gli ACL con protezione definiscono gli elementi consentiti (su autorizzazione) o eliminati (su negazione). Wa-v4-int è un ACL con intercettazione, ovvero un ACL punt o reindirizzato, e definisce gli elementi inviati alla CPU per il reindirizzamento (su autorizzazione) o quelli inviati al dataplane.
WA-v4-int10.235.248.212 viene applicata per prima sul traffico proveniente dal client e mantiene il traffico HTTP(s) verso il portale di Windows Live Spaces IP 10.235.248.212 sul dataplane (non ancora indirizzato o inoltrato, è sufficiente consegnare al dataplane). Invia alla CPU (per il reindirizzamento ad eccezione del traffico IP virtuale servito dal server Web) tutto il traffico HTTP(s). Altri tipi di traffico vengono assegnati alla corsia dati.
WA-sec-10.235.248.212 consente il traffico HTTP e HTTPS verso lo spazio Cisco DNA IP 10.235.248.212 configurato nella mappa dei parametri di autenticazione Web e consente anche il traffico DNS e DHCP e scarta il resto. Il traffico HTTP da intercettare è già stato intercettato prima di raggiungere questo ACL e quindi non deve essere coperto da questo ACL.
Nota: per ottenere gli indirizzi IP degli spazi da consentire nell'ACL, fare clic sull'opzione Configura manualmente dal SSID creato nel passaggio 3 della sezione Creazione del SSID sugli spazi nella sezione di configurazione degli ACL. Un esempio si trova nella sezione Quali sono gli indirizzi IP utilizzati da Spaces alla fine del documento.
Windows Live Spaces utilizza 2 indirizzi IP e il meccanismo illustrato al passaggio 1 consente di autorizzare un solo indirizzo IP del portale. Per consentire l'accesso in fase di preautenticazione a un numero maggiore di risorse HTTP, è necessario utilizzare i filtri URL che causano in modo dinamico i buchi negli ACL di intercettazione (reindirizzamento) e di sicurezza (preautenticazione) per gli IP correlati al sito Web di cui si immette l'URL nel filtro URL. Le richieste DNS vengono dinamicamente "snooping" affinché il router 9800 possa conoscere l'indirizzo IP di questi URL e aggiungerlo dinamicamente agli ACL.
Passaggio 2. Configurare il filtro URL per consentire il dominio Spaces.
Selezionare Configuration > Security > URL Filters (Configurazione > Sicurezza > Filtri URL). Fare clic su +Aggiungi e configurare il nome elenco. Selezionare PRE-AUTH come tipo, PERMIT come azione e l'URL splash.dnaspaces.io (o .eu se si utilizza il portale EMEA):

Configurazione dalla CLI:
Andressi-9800L(config)#urlfilter list
Andressi-9800L(config-urlfilter-params)#action permit
Andressi-9800L(config-urlfilter-params)#url splash.dnaspaces.io
SSID può essere configurato per l'utilizzo di un server RADIUS o senza di esso. Se la durata della sessione, il limite della larghezza di banda o il provisioning completo di Internet sono configurati nella sezione Azioni della configurazione della regola del portale captive, è necessario configurare il SSID con un server RADIUS. In caso contrario, non è necessario utilizzare il server RADIUS. In entrambe le configurazioni sono supportati tutti i tipi di portali in Spaces.
Portale vincolato senza server RADIUS in Spaces
Configurazione mappa parametri autenticazione Web sul controller 9800
Passaggio 1. Passare a Configurazione > Sicurezza > Autenticazione Web. Fare clic su +Aggiungi per creare una nuova mappa dei parametri. Nella finestra che viene visualizzata, configurare il nome della mappa dei parametri e selezionare Consenso come tipo:

Passaggio 2. Fare clic sulla mappa dei parametri configurata nel passaggio precedente, passare alla scheda Avanzate e immettere il Reindirizzamento per l'URL di accesso, Aggiungi per indirizzo MAC AP, Aggiungi per indirizzo MAC client, Aggiungi per SSID WLAN e indirizzo IPv4 del portale come illustrato. Fare clic su Aggiorna e applica:

Nota: Per ottenere l'URL della pagina iniziale e l'indirizzo di reindirizzamento IPv4, fare clic sull'opzione Configura manualmente nella pagina SSID di Spaces. Questa condizione viene illustrata nella sezione Qual è l'URL utilizzato dal portale di Spaces alla fine del documento.
Nota: Il portale Cisco Spaces può essere risolto in due indirizzi IP, ma il controller 9800 consente di configurare un solo indirizzo IP. Selezionare uno degli indirizzi IP e configurarlo nella mappa dei parametri come Indirizzo IPv4 del portale.
Nota: Verificare che gli indirizzi IPv4 e IPv6 virtuali siano configurati nella mappa dei parametri di autenticazione Web globale. Se l'IPv6 virtuale non è configurato, a volte i client vengono reindirizzati al portale interno anziché al portale Windows Live Spaces configurato. Per questo motivo è necessario configurare sempre un IP virtuale. 192.0.2.1 può essere configurato come Virtual IPv4 e FE80:0:0:0:903A::11E4 come Virtual IPV6. L'utilizzo di IP diversi da quelli non è giustificato da motivi diversi.
Configurazione dalla CLI:
Andressi-9800L(config)#parameter-map type webauth
Andressi-9800L(config-params-parameter-map)#type consent
Andressi-9800L(config-params-parameter-map)#timeout init-state sec 600
Andressi-9800L(config-params-parameter-map)#redirect for-login
Andressi-9800L(config-params-parameter-map)#redirect append ap-mac tag ap_mac
Andressi-9800L(config-params-parameter-map)#redirect append wlan-ssid tag wlan
Andressi-9800L(config-params-parameter-map)#redirect append client-mac tag client_mac
Andressi-9800L(config-params-parameter-map)#redirect portal ipv4
Andressi-9800L(config-params-parameter-map)#logout-window-disabled
Andressi-9800L(config-params-parameter-map)#success-window-disabled
Creare il SSID sul controller 9800
Passaggio 1. Passare a Configurazione > Tag e profili > WLAN. Fare clic su +Aggiungi. Configurare il nome profilo, il SSID e abilitare la WLAN. Verificare che il nome SSID sia uguale al nome configurato nel passaggio 3 della sezione Creazione del SSID in Windows Live Spaces.

Passaggio 2. Passare a Sicurezza > Livello2. Impostare la modalità di sicurezza del livello 2 su Nessuno. Verificare che il filtro MAC sia disabilitato.

Passaggio 3. Passare a Sicurezza > Layer 3. Abilitare i criteri Web e configurare la mappa dei parametri di autenticazione Web. Fare clic su Applica alla periferica.

Configurazione del profilo dei criteri sul controller 9800
Passaggio 1. Passare a Configurazione > Tag e profili > Criterio e creare un nuovo Profilo criterio oppure utilizzare il Profilo criterio predefinito. Nella scheda Criteri di accesso, configurare la VLAN client e aggiungere il filtro URL.

Configura tag criteri sul controller 9800
Passaggio 1. Passare a Configurazione > Tag e profili > Criterio. Creare un nuovo tag criteri o utilizzare il tag criteri predefinito. Mappare la WLAN al Profilo criterio nel Tag criterio.

Passaggio 2. Applicare il codice di matricola all'access point per trasmettere l'SSID. Selezionare Configurazione > Wireless > Access Point. Selezionare l'access point in questione e aggiungere il tag criterio. In questo modo, l'access point riavvia il proprio tunnel CAPWAP e si unisce nuovamente al controller 9800:

Configurazione dalla CLI:
Andressi-9800L(config)#wlan
Andressi-9800L(config-wlan)#no security wpa
Andressi-9800L(config-wlan)#no security wpa akm dot1x
Andressi-9800L(config-wlan)#no security wpa wpa2 ciphers aes
Andressi-9800L(config-wlan)#security web-auth
Andressi-9800L(config-wlan)#security web-auth parameter-map Andressi-9800L(config-wlan)#no shutdown
Andressi-9800L(config)#wireless profile policy
Andressi-9800L(config-wireless-policy)#vlan <id>
Andressi-9800L(config-wireless-policy)#urlfilter list pre-auth-filter
Andressi-9800L(config-wireless-policy)#no shutdown
Andressi-9800L(config)#wireless tag policy
Andressi-9800L(config-policy-tag)#wlan policy
Portale vincolato con server RADIUS in Spaces
Nota: Il server RADIUS Spaces supporta solo l'autenticazione PAP proveniente dal controller.
Configurazione mappa parametri autenticazione Web sul controller 9800
Passaggio 1. Creare una mappa dei parametri di autenticazione Web. Passare a Configurazione > Protezione > Autenticazione Web. Fare clic su +Aggiungi, configurare il nome della mappa dei parametri, quindi selezionare webauth come tipo:

Passaggio 2. Fare clic sulla mappa dei parametri configurata nel passaggio 1. Fare clic su Avanzate e immettere il Reindirizzamento per l'accesso, Aggiungi per indirizzo MAC AP, Aggiungi per indirizzo MAC client, Aggiungi per SSID WLAN e indirizzo IPv4 del portale. Fare clic su Aggiorna e applica:

Nota: Per ottenere l'URL della pagina iniziale e l'indirizzo di reindirizzamento IPv4, fare clic sull'opzione Configura manualmente dall'SSID creato nel passaggio 3 della sezione Creazione dell'SSID negli spazi nella sezione Creazione degli SSID nella connessione diretta WLC rispettivamente per la creazione della sezione di configurazione dell'elenco di controllo di accesso.
Nota: Il portale Cisco Spaces può essere risolto in due indirizzi IP, ma il controller 9800 consente di configurare un solo indirizzo IP. In questo caso, scegliere uno qualsiasi degli indirizzi IP da configurare nella mappa dei parametri come indirizzo IPv4 del portale.
Nota: Verificare che gli indirizzi IPv4 e IPv6 virtuali siano configurati nella mappa dei parametri di autenticazione Web globale. Se l'IPv6 virtuale non è configurato, a volte i client vengono reindirizzati al portale interno anziché al portale Windows Live Spaces configurato. Per questo motivo, un IP virtuale deve sempre essere configurato come 192.0.2.1 e può essere configurato come IPv4 virtuale e FE80:0:0:0:903A::11E4 come IPV6 virtuale. L'utilizzo di IP diversi da quelli è limitato o nullo.
Configurazione dalla CLI:
Andressi-9800L(config)#parameter-map type webauth
Andressi-9800L(config-params-parameter-map)#type webauth
Andressi-9800L(config-params-parameter-map)#timeout init-state sec 600
Andressi-9800L(config-params-parameter-map)#redirect for-login
Andressi-9800L(config-params-parameter-map)#redirect append ap-mac tag ap_mac
Andressi-9800L(config-params-parameter-map)#redirect append wlan-ssid tag wlan
Andressi-9800L(config-params-parameter-map)#redirect append client-mac tag client_mac
Andressi-9800L(config-params-parameter-map)#redirect portal ipv4
Andressi-9800L(config-params-parameter-map)#logout-window-disabled
Andressi-9800L(config-params-parameter-map)#success-window-disabled
Configurazione dei server RADIUS sul controller 9800
Passaggio 1. Configurare i server RADIUS. Cisco Spaces funge da server RADIUS per l'autenticazione degli utenti e può rispondere a due indirizzi IP. Selezionare Configurazione > Sicurezza > AAA. Fare clic su +Aggiungi e configurare entrambi i server RADIUS:

Nota: per ottenere l'indirizzo IP e la chiave privata RADIUS per i server primario e secondario, fare clic sull'opzione Configura manualmente dal SSID creato nel passaggio 3 della sezione Creare il SSID in Windows Live Spaces e passare alla sezione Configurazione server RADIUS.
Passaggio 2. Configurare il gruppo di server RADIUS e aggiungere entrambi i server RADIUS. Selezionare Configurazione > Sicurezza > AAA > Server / Gruppi > RADIUS > Gruppi di server, fare clic su +aggiungi, configurare il nome del gruppo di server, il delimitatore MAC come trattino, il filtro MAC come MAC e assegnare i due server RADIUS:

Passaggio 3. Configurare un elenco di metodi di autenticazione. Selezionare Configurazione > Sicurezza > AAA > Lista metodi AAA > Autenticazione. Fare clic su +aggiungi. Configurare il nome dell'elenco di metodi, selezionare login come tipo e assegnare il gruppo di server:

Passaggio 4. Configurare un elenco di metodi di autorizzazione. Selezionare Configurazione > Sicurezza > AAA > Elenco metodi AAA > Autorizzazione, quindi fare clic su +aggiungi. Configurare il nome dell'elenco di metodi, selezionare rete come tipo e assegnare il gruppo server:

Creare il SSID sul controller 9800
Passaggio 1. Passare a Configurazione > Tag e profili > WLAN, quindi fare clic su +Aggiungi. Configurare il nome del profilo, l'SSID e abilitare la WLAN. Verificare che il nome SSID sia uguale al nome configurato nel passaggio 3 della sezione Creazione del SSID in Windows Live Spaces.

Passaggio 2. Passare a Sicurezza > Livello2. Impostare la modalità di sicurezza del livello 2 su Nessuno, abilitare il filtro MAC e aggiungere l'elenco di autorizzazioni:

Passaggio 3. Passare a Sicurezza > Layer 3. Abilitare il criterio Web, configurare la mappa dei parametri di autenticazione Web e l'elenco di autenticazione. Abilitare in caso di errore del filtro Mac e aggiungere l'ACL di preautenticazione. Fare clic su Applica alla periferica.

Configurazione del profilo dei criteri sul controller 9800
Passaggio 1. Passare a Configurazione > Tag e profili > Criterio e creare un nuovo Profilo criterio oppure utilizzare il Profilo criterio predefinito. Nella scheda Access Policies (Criteri di accesso), configurare la VLAN client e aggiungere il filtro URL.

Passaggio 2. Nella scheda Avanzate, abilitare la sostituzione AAA e, se si desidera, configurare l'elenco dei metodi contabili.

Configura tag criteri sul controller 9800
Passaggio 1. Passare a Configurazione > Tag e profili > Criterio. Creare un nuovo tag criteri o utilizzare il tag criteri predefinito. Mappare la WLAN al Profilo criterio nel Tag criterio.

Passaggio 2. Applicare il codice di matricola all'access point per trasmettere l'SSID. Passare a Configurazione > Wireless > Access Point, selezionare l'access point in questione e aggiungere il tag della policy. In questo modo, l'access point riavvia il proprio tunnel CAPWAP e si unisce nuovamente al controller 9800:

Configurazione dalla CLI:
Andressi-9800L(config)#wlan
Andressi-9800L(config-wlan)#ip access-group web
Andressi-9800L(config-wlan)#no security wpa
Andressi-9800L(config-wlan)#no security wpa akm dot1x
Andressi-9800L(config-wlan)#no security wpa wpa2 ciphers aes
Andressi-9800L(config-wlan)#mac-filtering
Andressi-9800L(config-wlan)#security web-auth
Andressi-9800L(config-wlan)#security web-auth authentication-list
Andressi-9800L(config-wlan)#security web-auth on-macfilter-failure
Andressi-9800L(config-wlan)#security web-auth parameter-map Andressi-9800L(config-wlan)#no shutdown
Andressi-9800L(config)#wireless profile policy
Andressi-9800L(config-wireless-policy)#aaa-override
Andressi-9800L(config-wireless-policy)#accounting-list
Andressi-9800L(config-wireless-policy)#vlan <id>
Andressi-9800L(config-wireless-policy)#urlfilter list pre-auth-filter
Andressi-9800L(config-wireless-policy)#no shutdown
Andressi-9800L(config)#wireless tag policy
Andressi-9800L(config-policy-tag)#wlan policy
Configurare la mappa dei parametri globali
Passaggio non consigliato: Eseguire questi comandi per consentire il reindirizzamento HTTPS, ma si noti che il reindirizzamento nel traffico HTTPS del client non è necessario se il sistema operativo del client esegue il rilevamento di portali vincolati e provoca un maggiore utilizzo della CPU e genera sempre un avviso di certificato. Si consiglia di evitare di configurarlo, a meno che non sia necessario in un caso di utilizzo molto specifico.
Andressi-9800L(config)#parameter-map type webauth global
Andressi-9800L(config-params-parameter-map)#intercept-https-enable
Nota: È necessario disporre di un certificato SSL valido per l'IP virtuale installato in Cisco Catalyst serie 9800 Wireless Controller.
Passaggio 1. Copiare il file del certificato firmato con estensione p12 su un server TFTP ed eseguire questo comando per trasferire e installare il certificato nel controller 9800:
Andressi-9800L(config)#crypto pki import pkcs12 tftp://:/ password
Passaggio 2. Per mappare il certificato installato alla mappa dei parametri di autenticazione Web, eseguire i seguenti comandi:
Andressi-9800L(config)#parameter-map type webauth global
Andressi-9800L(config-params-parameter-map)#trustpoint
SOLO FlexConnect Access Point con switching locale
Nell'impostazione di flexconnect o EWC, è necessario un passaggio extra per inviare il filtro URL agli access point definendo l'elenco di filtri URL avanzati:
Selezionare Configurazione > Sicurezza > Filtri URL, in Filtro URL avanzato, fare clic su+Aggiungi e configurare il nome elenco. Aggiungere l'URL splash.dnaspaces.io e Action as Permit.

Configurazione dalla CLI:
EWC (config) #urlfilter enhanced-list DNASpaces-URLfilter
EWC (config—urIfilter-enhanced-params)#url splash.dnaspaces.io preference 1 action permit
EWC (config-urlfilter-params)#end
Applicazione dell'elenco di filtri URL al profilo Flex
Passare a Configurazione > Tag e profili > Flessibilità e scegliere il proprio profilo Flex. Passare quindi alla scheda ACL dei criteri.
Selezionare il nome WA-sec-10.235.248.212 ACL e aggiungere il filtro URL avanzato, come mostrato nell'immagine. Non dimenticare di selezionare Save (Salva), quindi Update (Aggiorna) e applicare al dispositivo:

Configurazione dalla CLI:
EWC(config)# wireless profile flex default-flex-profile
EWC(config-wireless-flex-profile)# acl-policy WA-sec-10.235.248.212
EWC(config-wireless-flex-profile-acl)# urlfilter list DNASpaces-URLfilter
È possibile verificare se gli ACL vengono sottoposti a push nell'access point utilizzando questi comandi (dalla CLI dell'access point):
show flexconnect url-acl
show ip access-lists
Nota: Il filtro URL migliorato non viene applicato all'access point a meno che non venga modificato a causa dell'ID bug Cisco CSCwi16553. Per risolvere il problema, includere manualmente gli indirizzi IP degli spazi DNA nel nuovo ACL e aggiungere quell'ACL al profilo flessibile. Quindi, aggiungerlo alla WLAN in Sicurezza > Layer 3 > Preautenticazione ACL.
Crea il portale in Windows Live Spaces
Passaggio 1. Fare clic su Captive Portals nel dashboard di Spaces:

Passaggio 2. Fare clic su Crea nuovo, immettere il nome del portale e selezionare i percorsi che possono utilizzare il portale:

Passaggio 3. Selezionare il tipo di autenticazione, scegliere se si desidera visualizzare l'acquisizione dei dati e gli accordi utente nella home page del portale e se gli utenti possono scegliere di accettare per ricevere un messaggio. Fare clic su Avanti:

Passaggio 4. Configurare gli elementi di acquisizione dati. Se si desidera acquisire dati dagli utenti, selezionare la casella Abilita acquisizione dati e fare clic su +Aggiungi elemento campo per aggiungere i campi desiderati. Fare clic su Avanti:

Passaggio 5. Selezionare Enable Terms & Conditions e fare clic su Save & Configure Portal:

Passaggio 6. Modificare il portale in base alle esigenze. Fare clic su Salva:

Configura le regole del portale vincolato in Windows Live Spaces
Passaggio 1. Fare clic su Captive Portals nel dashboard di Spaces:

Passaggio 2. Aprire il menu Captive Portal e fare clic su Captive Portal Rules:

Passaggio 3. Fare clic su + Crea nuova regola. Immettere il nome della regola e scegliere il SSID configurato in precedenza.

Passaggio 4. Selezionare le posizioni in cui è disponibile il portale. Fare clic su + Aggiungi percorsi nella sezione PERCORSI. Scegliere quella desiderata dalla gerarchia ubicazioni.

Passaggio 5. Scegliere l'azione del portale vincolato. In questo caso, quando la regola viene trovata, viene visualizzato il portale. Fare clic su Salva e pubblica.

Ottieni informazioni specifiche da Windows Live Spaces
Quali sono gli indirizzi IP utilizzati da Spaces?
Per verificare gli indirizzi IP utilizzati da Spaces per il portale nella propria area, accedere alla pagina Captival Portal nella home page di Cisco DNA Space. Fare clic su SSID nel menu a sinistra, quindi fare clic su Configura manualmente sotto SSID. Gli indirizzi IP sono menzionati nell'esempio dell'ACL. Questi sono gli indirizzi IP del portale da utilizzare negli ACL e nella mappa dei parametri webauth. Gli spazi utilizzano altri indirizzi IP per la connettività NMSP/cloud globale del control plane.

Nella prima sezione del popup che viene visualizzata, il passaggio 7 mostra gli indirizzi IP menzionati nella definizione dell'ACL. Non è necessario seguire queste istruzioni e creare un ACL, è sufficiente prendere nota degli indirizzi IP. Questi sono gli IP utilizzati dal portale nella propria area

Qual è l'URL utilizzato dal portale di accesso a Spaces?
Per verificare il tipo di accesso al portale utilizzato da Spazi URL per il portale della propria area, accedere alla pagina Captival Portal nella home page di Cisco DNA Space. Fare clic su SSID nel menu a sinistra, quindi fare clic su Configura manualmente sotto SSID.

Scorrere fino al popup visualizzato e nella seconda sezione, il passo 7 mostra l'URL da configurare nella mappa dei parametri su 9800.

Informazioni sui dettagli del server RADIUS per Spaces
Per conoscere gli indirizzi IP dei server RADIUS da utilizzare e il segreto condiviso, accedere alla pagina Captival Portal nella home page di Cisco DNA Space. Fare clic su SSID nel menu a sinistra, quindi fare clic su Configura manualmente sotto SSID.

Nel popup visualizzato, scorrere verso il basso nella terza sezione (RADIUS) e il passaggio 7 fornisce l'indirizzo IP/porta e il segreto condiviso per l'autenticazione RADIUS. La contabilità è facoltativa ed è descritta al passo 12.

Verifica
Per confermare lo stato di un client connesso all'SSID, selezionare Monitoraggio > Client. Fare clic sull'indirizzo MAC del dispositivo e cercare Policy Manager State:

Risoluzione dei problemi
Problemi comuni
1. Se per l'interfaccia virtuale sul controller non è configurato alcun indirizzo IP, i client vengono reindirizzati al portale interno anziché al portale di reindirizzamento configurato nella mappa dei parametri.
2. Se i client ricevono un errore 503 durante il reindirizzamento al portale in Windows Live Spaces, verifica che il controller sia configurato nella gerarchia di posizioni in Windows Live Spaces.
Traccia sempre attiva
WLC 9800 offre funzionalità di traccia ALWAYS-ON. In questo modo, tutti gli errori relativi alla connettività del client, gli avvisi e i messaggi a livello di avviso vengono costantemente registrati ed è possibile visualizzare i registri di un evento imprevisto o di una condizione di errore dopo che si è verificato.
Nota: A seconda del volume di log generati, è possibile tornare indietro da alcune ore a diversi giorni.
Per visualizzare le tracce raccolte per impostazione predefinita dal 9800 WLC, è possibile connettersi al 9800 WLC tramite SSH/Telnet e procedere come segue. Assicurarsi di registrare la sessione in un file di testo.
Passaggio 1. Controllare l'ora corrente del controller in modo da poter tenere traccia dei log nel tempo fino a quando si è verificato il problema.
# show clock
Passaggio 2. Raccogliere i syslog dal buffer del controller o dal syslog esterno in base alla configurazione del sistema. In questo modo è possibile visualizzare rapidamente lo stato del sistema e gli eventuali errori.
# show logging
Passaggio 3. Verificare se le condizioni di debug sono abilitate.
# show debugging
Cisco IOS XE Conditional Debug Configs:
Conditional Debug Global State: Stop
Cisco IOS XE Packet Tracing Configs:
Packet Infra debugs:
Ip Address Port
------------------------------------------------------|----------
Nota: Se nell'elenco è presente una condizione, significa che le tracce vengono registrate a livello di debug per tutti i processi che soddisfano le condizioni abilitate (indirizzo MAC, indirizzo IP e così via). Ciò aumenta le dimensioni dei log. Pertanto, si consiglia di cancellare tutte le condizioni quando non si effettua attivamente il debug.
Passaggio 4. Se l'indirizzo MAC in test non è stato elencato come condizione nel Passaggio 3, raccogliere le tracce del livello di notifica sempre attive per l'indirizzo MAC specifico.
# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt>
È possibile visualizzare il contenuto della sessione oppure copiare il file su un server TFTP esterno.
# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt>
Debug condizionale e traccia Radioactive (RA)
Se le tracce sempre attive non forniscono informazioni sufficienti per determinare il trigger del problema in esame, è possibile abilitare il debug condizionale e acquisire la traccia Radio attiva (RA), che fornisce le tracce dei livelli di debug per tutti i processi che interagiscono con la condizione specificata (in questo caso l'indirizzo MAC del client). Per abilitare il debug condizionale, eseguire la procedura seguente.
Passaggio 1. Accertarsi che non siano state abilitate condizioni di debug.
# clear platform condition all
Passaggio 2. Abilitare la condizione di debug per l'indirizzo MAC del client wireless che si desidera monitorare.
Questi comandi iniziano a monitorare l'indirizzo MAC fornito per 30 minuti (1800 secondi). È possibile aumentare questo tempo fino a 2,085,978,494 secondi.
# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}
Nota: per monitorare più client alla volta, eseguire il comando debug wireless mac <aaa.bbbb.ccc> per indirizzo MAC.
Nota: non si visualizza l'output dell'attività del client nella sessione terminale, in quanto tutto viene memorizzato internamente per essere visualizzato successivamente.
Passaggio 3. Riprodurre il problema o il comportamento che si desidera monitorare.
Passaggio 4. Interrompere i debug se il problema viene riprodotto prima che sia attivo il tempo predefinito o configurato per il monitoraggio.
# no debug wireless mac <aaaa.bbbb.cccc>
Una volta trascorso il tempo di monitoraggio o una volta interrotto il debug wireless, il WLC 9800 genera un file locale con il nome:
ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Passaggio 5. Raccogliere il file dell'attività dell'indirizzo MAC. È possibile copiare il file trace.log in un server esterno oppure visualizzare l'output direttamente sullo schermo.
Controllare il nome del file delle tracce RA
# dir bootflash: | inc ra_trace
Copiare il file su un server esterno:
# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt
Visualizzare il contenuto:
# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log
Passaggio 6. Se non è stato possibile individuare la causa principale del problema, raccogliere i log interni che contengono informazioni più dettagliate dei log di debug. non è necessario eseguire di nuovo il debug del client, in quanto è sufficiente esaminare in dettaglio i log di debug già raccolti e archiviati internamente.
# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt
Nota: questo output del comando restituisce tracce per tutti i livelli di registrazione di tutti i processi ed è piuttosto voluminoso. Contattare Cisco TAC per analizzare queste tracce.
È possibile copiare il file ra-internal-FILENAME.txt su un server esterno o visualizzare l'output direttamente sullo schermo.
Copiare il file su un server esterno:
# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt
Visualizzare il contenuto:
# more bootflash:ra-internal-<FILENAME>.txt
Passaggio 7. Rimuovere le condizioni di debug.
# clear platform condition all
Nota: accertarsi di rimuovere sempre le condizioni di debug dopo una sessione di risoluzione dei problemi.
Esempio di tentativo riuscito
Questo è l'output di RA_traces per un tentativo riuscito di identificare ciascuna delle fasi durante il processo di associazione/autenticazione durante la connessione a un SSID senza server RADIUS.
Associazione/autenticazione 802.11:
Association received. BSSID 10b3.d694.00ee, WLAN 9800DNASpaces, Slot 1 AP 10b3.d694.00e0, 2802AP-9800L
Received Dot11 association request. Processing started,SSID: 9800DNASpaces1, Policy profile: DNASpaces-PP, AP Name: 2802AP-9800L, Ap Mac Address: 10b3.d694.00e0 BSSID MAC0000.0000.0000 wlan ID: 1RSSI: 0, SNR: 32
Client state transition: S_CO_INIT -> S_CO_ASSOCIATING
dot11 send association response. Sending association response with resp_status_code: 0
dot11 send association response. Sending assoc response of length: 144 with resp_status_code: 0, DOT11_STATUS: DOT11_STATUS_SUCCESS
Association success. AID 1, Roaming = False, WGB = False, 11r = False, 11w = False
DOT11 state transition: S_DOT11_INIT -> S_DOT11_ASSOCIATED
Station Dot11 association is successful
Processo di apprendimento IP:
IP-learn state transition: S_IPLEARN_INIT -> S_IPLEARN_IN_PROGRESS
Client IP learn successful. Method: ARP IP: 10.10.30.42
IP-learn state transition: S_IPLEARN_IN_PROGRESS -> S_IPLEARN_COMPLETE
Received ip learn response. method: IPLEARN_METHOD_AR
Autenticazione di livello 3:
Triggered L3 authentication. status = 0x0, Success
Client state transition: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_L3_AUTH_IN_PROGRESS
L3 Authentication initiated. LWA
Client auth-interface state transition: S_AUTHIF_L2_WEBAUTH_DONE -> S_AUTHIF_WEBAUTH_PENDING
Client auth-interface state transition: S_AUTHIF_L2_WEBAUTH_DONE -> S_AUTHIF_WEBAUTH_PENDING
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]GET rcvd when in INIT state
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]HTTP GET request
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]Parse GET, src [10.10.30.42] dst [10.107.4.52] url [http://www.msftconnecttest.com/connecttest.txt]
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]Retrieved user-agent = Microsoft NCSI
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]GET rcvd when in LOGIN state
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]HTTP GET request
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]Parse GET, src [10.10.30.42] dst [10.101.24.81] url [http://www.bbc.com/]
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]Retrieved user-agent = Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]POST rcvd when in LOGIN state
Autenticazione di livello 3 completata. Spostare il client nello stato RUN:
[34e1.2d23.a668:capwap_90000005] Received User-Name 34E1.2D23.A668 for client 34e1.2d23.a668
L3 Authentication Successful. ACL:[]
Client auth-interface state transition: S_AUTHIF_WEBAUTH_PENDING -> S_AUTHIF_WEBAUTH_DONE
%CLIENT_ORCH_LOG-6-CLIENT_ADDED_TO_RUN_STATE: Username entry (34E1.2D23.A668) joined with ssid (9800DNASpaces) for device with MAC: 34e1.2d23.a668
Managed client RUN state notification: 34e1.2d23.a668
Client state transition: S_CO_L3_AUTH_IN_PROGRESS -> S_CO_RU