본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.
이 문서에서는 WLC(Wireless LAN Controller)에서 CWA(Central Web Authentication)를 완료하는 데 사용되는 컨피그레이션 예를 설명합니다.
이 가이드는 여기에서 제공하는 보다 완전한 게스트 구축 가이드로 대체됩니다.https://communities.cisco.com/docs/DOC-77590
이 문서에 대한 특정 요건이 없습니다.
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
웹 인증의 첫 번째 방법은 로컬 웹 인증입니다.이 경우 WLC는 HTTP 트래픽을 내부 또는 외부 서버로 리디렉션합니다. 여기서 사용자는 인증 프롬프트가 표시됩니다.그런 다음 WLC는 자격 증명을 가져와(외부 서버의 경우 HTTP GET 요청을 통해 다시 전송) RADIUS 인증을 만듭니다.게스트 사용자의 경우 포털에서 디바이스 등록 및 셀프 프로비저닝 등의 기능을 제공하므로 ISE(Identity Services Engine)와 같은 외부 서버가 필요합니다.플로우에는 다음 단계가 포함됩니다.
이 플로우에는 몇 가지 리디렉션이 포함되어 있습니다.새로운 접근 방식은 CWA를 사용하는 것입니다.플로우에는 다음 단계가 포함됩니다.
사용되는 설정은 다음과 같습니다.
WLC 구성은 매우 간단합니다.CoA(Change of Authorization)를 사용하므로 ISE에서 동적 인증 URL을 얻기 위해 트릭이 사용됨(스위치에서와 동일), 세션이 생성되어야 하며 세션 ID는 URL의 일부입니다. SSID는 MAC 필터링을 사용하도록 구성됩니다.MAC 주소를 찾을 수 없는 경우에도 ISE가 액세스 수락을 반환하여 모든 사용자에 대한 리디렉션 URL을 전송하도록 구성됩니다.
이 외에도 ISE NAC(Network Admission Control) 및 AAA(Authentication, Authorization, and Accounting) 재정의가 활성화되어야 합니다.ISE NAC는 ISE가 사용자가 이제 인증되고 네트워크에 액세스할 수 있음을 나타내는 CoA 요청을 보낼 수 있습니다.포스처 평가에도 사용됩니다. 이 경우 ISE는 포스처 결과를 기반으로 사용자 프로필을 변경합니다.
RADIUS 서버가 CoA에 대한 지원(기본적으로 활성화됨)을 사용하는지 확인합니다.
마지막 단계는 리디렉션 ACL을 생성하는 것입니다.이 ACL은 ISE의 액세스 수락에서 참조되고 리디렉션되어야 할 트래픽(ACL에서 거부)과 리디렉션해서는 안 되는 트래픽(ACL에서 허용)을 정의합니다. 여기서는 ISE로 트래픽을 리디렉션하는 것을 방지합니다.포트 8443(게스트 포털)에서 ISE로 가는/로 가는 트래픽을 더 구체적이고 방지할 수 있지만 사용자가 포트 80/443에서 ISE에 액세스하려고 할 경우 리디렉션됩니다.
참고:7.2 또는 7.3과 같은 이전 버전의 WLC 소프트웨어는 DNS(Domain Name System)를 지정할 필요가 없었지만 이후 코드 버전에서는 리디렉션 ACL에 대한 DNS 트래픽을 허용해야 합니다.
이제 WLC에서 컨피그레이션이 완료되었습니다.
ISE에서 권한 부여 프로파일을 생성해야 합니다.그런 다음 인증 및 권한 부여 정책이 구성됩니다.WLC는 이미 네트워크 디바이스로 구성되어야 합니다.
권한 부여 프로파일에 앞서 WLC에서 생성한 ACL의 이름을 입력합니다.
ISE가 WLC의 모든 MAC 인증을 수락하고 사용자를 찾을 수 없는 경우에도 인증을 계속 진행하는지 확인합니다.
Policy(정책) > Policy Sets(정책 집합) > Default Policy Set(기본 정책 집합)에서 Authentication(인증)을 클릭합니다.
다음 이미지는 인증 정책 규칙을 구성하는 방법의 예를 보여줍니다.이 예에서는 MAB가 탐지될 때 트리거되는 규칙이 구성됩니다.
참고:MAB 인증 규칙은 기본적으로 ISE에서 이미 생성됩니다.
권한 부여 정책을 구성합니다.한 가지 중요한 사항은 두 가지 인증/권한 부여가 있다는 것입니다.
이전 이미지에 표시된 대로 권한 부여 규칙을 생성하려면 다음 단계를 완료합니다.
참고:이 새 규칙이 게스트 리디렉션 규칙보다 우선한다는 것은 매우 중요합니다.
참고:다중 컨트롤러 환경에서는 WLAN-ID가 WLC 전체에서 동일해야 합니다.Airespace-Wlan-Id 특성을 조건으로 사용하지 않으려는 경우 Wireless_MAB(기본 제공 조건) 요청을 확인하는 것이 좋습니다.
VLAN을 할당하는 경우 마지막 단계는 클라이언트 PC가 IP 주소를 갱신하는 것입니다.이 단계는 Windows 클라이언트용 게스트 포털에서 수행합니다.앞서 두 번째 AUTH 규칙에 대해 VLAN을 설정하지 않은 경우 이 단계를 건너뛸 수 있습니다.이미 IP 주소를 받은 후 클라이언트 VLAN을 변경하면 연결이 중단되고, 일부 클라이언트가 이에 잘못 대응하고 향상된 Windows 권한이 제대로 작동하기 위해 필요하므로 이 설계는 권장되지 않습니다.
VLAN을 할당한 경우 IP 갱신을 활성화하려면 다음 단계를 완료하십시오.
참고:VLAN DHCP 릴리스 지원은 Windows 디바이스에만 사용할 수 있습니다.모바일 장치에는 사용할 수 없습니다.등록 중인 디바이스가 모바일이고 VLAN DHCP Release 옵션이 활성화된 경우 게스트는 IP 주소를 수동으로 갱신하도록 요청됩니다.모바일 장치 사용자의 경우 VLAN을 사용하는 대신 WLC에서 ACL(Access Control List)을 사용하는 것이 좋습니다.
이 설정은 WLC의 자동 앵커 기능에서도 사용할 수 있습니다.유일한 catch는 이 웹 인증 방법이 레이어 2이므로 모든 RADIUS가 작동하는 외부 WLC가 된다는 것을 알아야 합니다.외부 WLC만 ISE에 연결하고 리디렉션 ACL도 외부 WLC에 있어야 합니다.외국에는 ACL 이름이 있어야 합니다(ACL 항목이 필요 없음). 외부 WLC는 ACL 이름을 앵커에게 전송하고 리디렉션을 적용하는 앵커로 지정되며 따라서 올바른 ALC 콘텐츠가 필요합니다.
다른 시나리오와 마찬가지로 외부 WLC는 클라이언트가 RUN 상태에 있음을 신속하게 보여주는데, 이는 완전히 사실이 아닙니다.즉, 트래픽이 앵커에게 전송됨을 의미합니다.실제 클라이언트 상태는 CENTRAL_WEBAUTH_REQD를 표시해야 하는 앵커에서 확인할 수 있습니다.
앵커-외부 설정의 플로우는 다음과 같습니다.
WLC와 ISE 간의 통신을 허용하는 데 필요한 방화벽 포트는 다음과 같습니다.
참고:CWA(Central Web Authentication)를 사용하는 anchor-foreign 설정은 릴리스 7.3 이상에서만 작동합니다.
참고:Cisco 버그 ID CSCul83594로 인해 앵커 및 외부 모두에서 어카운팅을 실행할 수 없습니다. IP-MAC 바인딩이 없는 잠재적인 이유로 프로파일링이 부정확해집니다.또한 게스트 포털의 세션 ID에 대한 많은 문제를 생성합니다.어카운팅을 구성하려면 외부 컨트롤러에서 구성합니다.더 이상 8.6 WLC 소프트웨어를 시작할 때는 이러한 문제가 발생하지 않아야 합니다. 그러면 앵커 컨트롤러와 외부 컨트롤러 간에 세션 ID가 공유되며 두 가지 모두에서 계정 관리를 활성화할 수 있습니다.
이 섹션을 사용하여 컨피그레이션이 제대로 작동하는지 확인합니다.
WLC의 클라이언트 세부 정보는 리디렉션 URL 및 ACL이 적용되었음을 보여줍니다.
WLC 클라이언트 및 AAA all debug에서 ISE에서 전송된 리디렉션 URL 및 ACL로 액세스 수락을 볼 수 있습니다.
*radiusTransportThread: d0:37:45:89:ef:64 Access-Accept received from RADIUS server 10.106.32.25 (qid:4) with port:1812, pktId:24 for mobile d0:37:45:89:ef:64 receiveId = 0
*radiusTransportThread: AuthorizationResponse: 0x166ab570
*radiusTransportThread: structureSize................................425
*radiusTransportThread: resultCode...................................0
*radiusTransportThread: protocolUsed.................................0x00000001
*radiusTransportThread: proxyState...................................D0:37:45:89:EF:64-00:00
*radiusTransportThread: Packet contains 4 AVPs:
*radiusTransportThread: AVP[01] User-Name................................D0-37-45-89-EF-64 (17 bytes)
*radiusTransportThread: AVP[02] Class....................................CACS:0a6a207a0000000a5fe8f217:ISE3-1/397801666/90 (49 bytes)
*radiusTransportThread: AVP[03] Cisco / Url-Redirect-Acl.................CWA_Redirect (12 bytes)
*radiusTransportThread: AVP[04] Cisco / Url-Redirect.....................DATA (175 bytes)
*radiusTransportThread: d0:37:45:89:ef:64 processing avps[0]: attribute 1
*radiusTransportThread: d0:37:45:89:ef:64 username = D0-37-45-89-EF-64
!
*apfReceiveTask: d0:37:45:89:ef:64 Redirect URL received for client from RADIUS. Client will be moved to WebAuth_Reqd state to facilitate redirection. Skip web-auth Flag = 0
ISE에서도 동일한 내용을 확인할 수 있습니다.Operations(작업) > Radius livelogs로 이동합니다.해당 MAC에 대한 세부 정보를 클릭합니다.
첫 번째 인증(MAC 필터링) ISE는 인증 규칙 MAB 및 authz 정책 게스트 리디렉션에 도달할 때 AuthZ 프로파일 WLC_CWA를 반환한다는 것을 확인할 수 있습니다.
자격 증명이 입력되면 ISE는 클라이언트를 인증하고 CoA를 전송합니다.
WLC에서는 모든 디버그를 AAA에서 볼 수 있습니다.
*radiusCoASupportTransportThread: audit session ID recieved in CoA = 0a6a207a0000000b5fe90410
*radiusCoASupportTransportThread: Received a 'CoA-Request' from 10.106.32.25 port 23974
*radiusCoASupportTransportThread: CoA - Received IP Address : 10.106.32.122, Vlan ID: (received 0)
*radiusCoASupportTransportThread: d0:37:45:89:ef:64 Calling-Station-Id ---> d0:37:45:89:ef:64
*radiusCoASupportTransportThread: Handling a valid 'CoA-Request' regarding station d0:37:45:89:ef:64
*radiusCoASupportTransportThread: Sending Radius CoA Response packet on srcPort: 1700, dpPort: 2, tx Port: 23974
*radiusCoASupportTransportThread: Sent a 'CoA-Ack' to 10.106.32.25 (port:23974)
이렇게 하면 클라이언트가 재인증되고 네트워크에 대한 액세스 권한이 부여됩니다.
참고:릴리스 7.2 이하에서 상태 CENTRAL_WEB_AUTH를 POSTURE_REQD라고 합니다.
ISE에서 반환한 CoA의 유형은 버전 간에 진화했습니다.ISE 3.0은 마지막 방법(이 경우 MAB)을 사용하여 재인증을 시작하도록 WLC에 요청합니다.WLC는 Authorize-Only 특성을 사용하여 RADIUS Access-Request를 전송할 때 사용자를 다시 인증합니다.
ISE 3.0 CoA 요청의 예:
그런 다음 WLC는 연결 해제 프레임을 클라이언트로 전송하지 않으며 radius 인증을 다시 실행하고 새 결과를 클라이언트에 투명하게 적용합니다. 8.3 이후 WLC는 CWA SSID에 WPA 사전 공유 키 설정을 지원합니다.사용자 환경은 기존의 비 PSK 시나리오와 동일하게 유지되며, WLC는 연결 해제 프레임을 클라이언트로 전송하지 않으며 단순히 새 인증 결과를 적용합니다.그러나 클라이언트로부터 "연계 요청"을 받은 적이 없지만 "연계 응답"은 여전히 클라이언트에 전송되며, 이는 스니퍼 추적을 분석할 때 호기심 있게 보일 수 있습니다.
CWA 문제를 트러블슈팅하거나 격리하려면 다음 단계를 완료하십시오.
모빌리티 시나리오에서 CWA 프로세스의 효율성을 제한하는 다음 Cisco 버그 ID를 고려하십시오(특히 어카운팅이 구성된 경우).