WLC(Wireless LAN Controller)에서 웹 인증 문제 해결

소개

이 문서에서는 WLC(Wireless LAN Controller) 환경에서 웹 인증 문제를 해결하기 위한 팁을 제공합니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• CAPWAP(Control and Provisioning of Wireless Access Point)에 대한 지식

• 기본 작업을 위해 LAP(Lightweight Access Point) 및 WLC를 구성하는 방법에 대한 지식

• 웹 인증에 대한 기본적인 지식 및 WLC에서 웹 인증을 구성하는 방법WLC에서 웹 인증을 구성하는 방법에 대한 자세한 내용은 Wireless LAN Controller Web Authentication Configuration Example을 참조하십시오.

사용되는 구성 요소

이 문서의 정보는 펌웨어 버전 8.3.121을 실행하는 WLC 5500을 기반으로 합니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

관련 제품

이 문서는 다음 하드웨어에서 사용할 수도 있습니다.

• Cisco 5500 Series Wireless Controller

• Cisco 8500 Series Wireless Controller

• Cisco 2500 Series Wireless Controller

• Cisco Airespace 3500 Series WLAN 컨트롤러

• Cisco Airespace 4000 Series Wireless LAN Controller

• Cisco Flex 7500 Series Wireless Controller

• Cisco Wireless Services Module 2(WiSM2)

WLC의 웹 인증

웹 인증은 컨트롤러가 특정 클라이언트의 DHCP 관련 패킷/DNS(Domain Name System) 관련 패킷을 제외하고, 클라이언트가 사전 인증 ACL(Access Control List)을 통해 허용되는 트래픽을 제외하고 유효한 사용자 이름 및 비밀번호를 올바르게 제공할 때까지 IP 트래픽을 허용하지 않도록 하는 레이어 3 보안 기능입니다. 웹 인증은 클라이언트가 인증 전에 IP 주소를 가져올 수 있도록 허용하는 유일한 보안 정책입니다.서 플리 컨 트 또는 클라이언트 유틸리티가 필요 없는 간단한 인증 방법입니다.웹 인증은 WLC에서 로컬로 또는 RADIUS 서버를 통해 수행할 수 있습니다.웹 인증은 일반적으로 게스트 액세스 네트워크를 구축하려는 고객이 사용합니다.

웹 인증은 컨트롤러가 클라이언트에서 첫 번째 TCP HTTP(포트 80) GET 패킷을 인터셉트할 때 시작됩니다.클라이언트의 웹 브라우저가 이 범위를 충족하려면 클라이언트가 먼저 IP 주소를 얻고 웹 브라우저의 URL-IP 주소 변환(DNS 확인)을 수행해야 합니다.이렇게 하면 웹 브라우저에서 HTTP GET을 전송할 IP 주소를 알 수 있습니다.

WLAN에 웹 인증이 구성된 경우 컨트롤러는 DHCP 및 DNS 트래픽을 제외하고 (인증 프로세스가 완료될 때까지) 클라이언트에서 모든 트래픽을 차단합니다.클라이언트가 첫 번째 HTTP GET을 TCP 포트 80으로 전송하면 컨트롤러는 처리를 위해 https://192.0.2.1/login.html(구성된 가상 IP인 경우)으로 클라이언트를 리디렉션합니다.이 프로세스는 로그인 웹 페이지를 표시합니다.

참고:웹 인증을 위해 외부 웹 서버를 사용하는 경우 WLC 플랫폼에는 외부 웹 서버에 대한 사전 인증 ACL이 필요합니다.

이 섹션에서는 웹 인증 리디렉션 프로세스에 대해 자세히 설명합니다.

• 웹 브라우저를 열고 URL(예: http://www.google.com)을 입력합니다.클라이언트는 대상에 대한 IP를 가져오기 위해 이 URL에 대한 DNS 요청을 보냅니다.WLC는 DNS 서버로 DNS 요청을 전달하고 DNS 서버는 목적지 www.google.com의 IP 주소를 포함하는 DNS 회신으로 응답하며, 이는 무선 클라이언트로 전달됩니다.

• 그런 다음 클라이언트는 대상 IP 주소로 TCP 연결을 열려고 시도합니다.TCP SYN 패킷은 www.google.com의 IP 주소로 전송됩니다.

• WLC에는 클라이언트에 대해 구성된 규칙이 있으므로 www.google.com의 프록시 역할을 할 수 있습니다.TCP SYN-ACK 패킷을 소스(www.google.com)의 IP 주소로 클라이언트에 다시 전송합니다.클라이언트는 3방향 TCP 핸드셰이크를 완료하기 위해 TCP ACK 패킷을 다시 전송하고 TCP 연결이 완전히 설정됩니다.

• 클라이언트는 www.google.com으로 향하는 HTTP GET 패킷을 전송합니다.WLC는 이 패킷을 인터셉트하고 리디렉션 처리를 위해 전송합니다.HTTP 애플리케이션 게이트웨이는 HTML 본문을 준비하고 클라이언트가 요청한 HTTP GET에 대한 회신으로 다시 전송합니다.이 HTML을 사용하면 클라이언트가 WLC의 기본 웹 페이지 URL(예: http://<Virtual-Server-IP>/login.html)으로 이동합니다.

• 클라이언트는 IP 주소로 TCP 연결을 닫습니다(예: www.google.com).

• 이제 클라이언트가 http://<virtualip>/login.html으로 이동하려는 것이므로 WLC의 가상 IP 주소로 TCP 연결을 열려고 시도합니다.192.0.2.1(여기에서 가상 IP)용 TCP SYN 패킷을 WLC에 전송합니다.

• WLC는 TCP SYN-ACK로 다시 응답하고 클라이언트는 핸드셰이크를 완료하기 위해 WLC에 TCP ACK를 다시 전송합니다.

• 클라이언트는 로그인 페이지를 요청하기 위해 /login.html으로 향하는 HTTP GET을 192.0.2.1.

• 이 요청은 WLC의 웹 서버까지 허용되며 서버는 기본 로그인 페이지로 다시 응답합니다.클라이언트는 사용자가 계속 이동하여 로그인할 수 있는 브라우저 창에 로그인 페이지를 받습니다.

이 예에서 클라이언트의 IP 주소는 192.168.68.94입니다. 클라이언트가 액세스하던 웹 서버에 대한 URL을 확인했습니다. 10.1.0.13. 보시다시피 클라이언트는 3방향 핸드셰이크를 수행하여 TCP 연결을 시작한 다음 패킷 96부터 시작하여 HTTP GET 패킷을 전송했습니다(00은 HTTP 패킷). 이는 사용자가 트리거한 것이 아니라 운영 체제 자동 포털 탐지 트리거였습니다(요청된 URL에서 추측 가능). 컨트롤러가 패킷을 인터셉트하고 코드 200으로 응답합니다. 코드 200 패킷에는 리디렉션 URL이 있습니다.

<HTML><HEAD>
<TITLE> Web Authentication Redirect</TITLE>
<META http-equiv="Cache-control" content="no-cache">
<META http-equiv="Pragma" content="no-cache">
<META http-equiv="Expires" content="-1">
<META http-equiv="refresh" content="1; URL=https://192.0.2.1/login.html?redirect=http://captive.apple.com/hotspot-detect.html">
</HEAD></HTML>

그런 다음 3방향 핸드셰이크를 통해 TCP 연결을 닫습니다.

그런 다음 클라이언트가 리디렉션 URL에 대한 HTTPS 연결을 시작합니다. 192.0.2.1은 컨트롤러의 가상 IP 주소입니다.클라이언트는 SSL 터널을 가져오기 위해 서버 인증서를 검증하거나 무시해야 합니다.이 경우 자체 서명 인증서이므로 클라이언트가 이를 무시했습니다.로그인 웹 페이지는 이 SSL 터널을 통해 전송됩니다.패킷 112가 트랜잭션을 시작합니다.

WLC의 가상 IP 주소에 대한 도메인 이름을 구성할 수 있습니다.가상 IP 주소에 대한 도메인 이름을 구성할 경우 이 도메인 이름은 클라이언트에서 HTTP GET 패킷에 대한 응답으로 컨트롤러에서 HTTP OK 패킷에 반환됩니다.그런 다음 이 도메인 이름에 대해 DNS 확인을 수행해야 합니다.DNS 확인에서 IP 주소를 가져오면 컨트롤러의 가상 인터페이스에 구성된 IP 주소인 해당 IP 주소로 TCP 세션을 열려고 시도합니다.

결국 웹 페이지가 터널을 통해 클라이언트로 전달되고 사용자는 SSL(Secure Sockets Layer) 터널을 통해 사용자 이름/비밀번호를 다시 전송합니다.

웹 인증은 다음 세 가지 방법 중 하나로 수행됩니다.

• 내부 웹 페이지를 사용합니다(기본값). 기본 웹 페이지 사용에 대한 자세한 내용은 기본 웹 인증 로그인 페이지 선택을 참조하십시오.

• 사용자 지정 로그인 페이지를 사용합니다.사용자 지정 로그인 페이지 사용 방법에 대한 자세한 내용은 사용자 지정 웹 인증 로그인 페이지 생성을 참조하십시오.

• 외부 웹 서버의 로그인 페이지를 사용합니다.외부 웹 서버에서 로그인 페이지를 사용하는 방법에 대한 자세한 내용은 외부 웹 서버에서 사용자 정의된 웹 인증 로그인 페이지 사용을 참조하십시오.

참고:
- 사용자 지정된 웹 인증 번들은 파일 이름에 최대 30자의 제한을 가집니다.번들에 포함된 파일 이름이 30자보다 크지 않은지 확인합니다.

- WLC 릴리스 7.0부터 WLAN에서 웹 인증이 활성화되고 CPU ACL 규칙도 있는 경우 클라이언트가 WebAuth_Reqd 상태에서 인증되지 않은 경우 클라이언트 기반 웹 인증 규칙이 항상 우선순위가 높습니다.클라이언트가 RUN 상태가 되면 CPU ACL 규칙이 적용됩니다.

- 따라서 WLC에서 CPU ACL이 활성화된 경우 다음 조건에서 가상 인터페이스 IP에 대한 허용 규칙(임의의 방향)이 필요합니다.
  - CPU ACL에 양방향으로 모두 허용 규칙이 없는 경우
  - allow ALL 규칙이 있지만 포트 443 또는 우선 순위가 높은 80에 대한 DENY 규칙이 있는 경우

- 가상 IP에 대한 허용 규칙은 TCP 프로토콜에 대해, secureweb이 비활성화된 경우 포트 80에 대해, secureweb이 활성화된 경우 포트 443이어야 합니다.이는 CPU ACL이 있을 때 성공 적 인 인증 후 가상 인터페이스 IP 주소에 대한 클라이언트 액세스를 허용하기 위해 필요 합니다.

웹 인증 문제 해결

웹 인증을 구성하고 기능이 예상대로 작동하지 않으면 다음 단계를 완료합니다.

1. 클라이언트가 IP 주소를 가져오는지 확인합니다.그렇지 않은 경우 사용자는 WLAN에서 DHCP Required(DHCP 필수) 확인란의 선택을 취소하고 무선 클라이언트에 고정 IP 주소를 지정할 수 있습니다.액세스 포인트와 관련된 것으로 가정합니다.
2. 프로세스의 다음 단계는 웹 브라우저에서 URL의 DNS 확인입니다.WLAN 클라이언트가 웹 인증을 위해 구성된 WLAN에 연결되면 클라이언트는 DHCP 서버에서 IP 주소를 가져옵니다.사용자는 웹 브라우저를 열고 웹 사이트 주소를 입력합니다.그런 다음 클라이언트는 DNS 확인을 수행하여 웹 사이트의 IP 주소를 가져옵니다.이제 클라이언트가 웹 사이트에 연결하려고 하면 WLC는 클라이언트의 HTTP GET 세션을 인터셉트하고 사용자를 웹 인증 로그인 페이지로 리디렉션합니다.
3. 따라서 클라이언트가 리디렉션이 작동하도록 DNS 확인을 수행할 수 있는지 확인합니다.Microsoft Windows에서 시작 > 실행을 선택하고 CMD를 입력하여 명령 창을 열고 "nslookup www.cisco.com"를 수행하고 IP 주소가 다시 나타나는지 확인합니다.

   Mac/Linux에서 터미널 창을 열고 "nslookup www.cisco.com"를 수행하고 IP 주소가 다시 나타나는지 확인합니다.

   클라이언트가 DNS 확인을 받지 못할 경우 다음 중 하나를 수행할 수 있습니다.

   • URL의 IP 주소를 입력합니다(예: http://www.cisco.com는 http://198.133.219.25임).
   • 무선 어댑터를 통해 확인해야 할 IP 주소를 입력합니다(기존 주소도 아님).

   이 URL을 입력하면 웹 페이지가 표시됩니까?대답이 "예"인 경우 DNS 문제일 가능성이 높습니다.인증서 문제일 수도 있습니다.컨트롤러는 기본적으로 자체 서명 인증서를 사용하며 대부분의 웹 브라우저는 사용에 대해 경고합니다.

4. 사용자 지정 웹 페이지를 사용하여 웹 인증을 수행하려면 사용자 지정 웹 페이지에 대한 HTML 코드가 적절한지 확인합니다.

   Cisco 소프트웨어 다운로드에서 샘플 웹 인증 스크립트를 다운로드할 수 있습니다.예를 들어 5508 컨트롤러의 경우 Products > Wireless > Wireless LAN Controller > Standalone Controllers > Cisco 5500 Series Wireless LAN Controllers > Cisco 5508 Wireless LAN Controller > Software on Chassis > Wireless Lan Controller Web Authentication Bundle을 선택하고 webauth_bundle.zip 파일을 다운로드합니다.

   사용자 인터넷 브라우저가 사용자 지정 로그인 페이지로 리디렉션될 때 다음 매개변수가 URL에 추가됩니다.

   • ap_mac - 무선 사용자가 연결된 액세스 포인트의 MAC 주소입니다.
   • switch_url - 사용자 자격 증명을 게시해야 하는 컨트롤러의 URL입니다.
   • redirect - 인증 성공 후 사용자가 리디렉션되는 URL입니다.
   • statusCode - 컨트롤러의 웹 인증 서버에서 반환된 상태 코드입니다.
   • wlan - 무선 사용자와 연결된 WLAN SSID입니다.

   사용 가능한 상태 코드는 다음과 같습니다.

   • 상태 코드 1 - "이미 로그인되어 있습니다.추가 조치는 필요하지 않습니다."
   • 상태 코드 2 - "웹 포털에 대해 인증하도록 구성되지 않았습니다.추가 조치는 필요하지 않습니다."
   • 상태 코드 3 - "지정한 사용자 이름은 현재 사용할 수 없습니다.사용자 이름이 이미 시스템에 로그인되어 있는 것 같습니다."
   • 상태 코드 4 - "귀하는 제외되었습니다."
   • 상태 코드 5 - "입력한 사용자 이름과 암호 조합이 잘못되었습니다.다시 시도하십시오."
5. 사용자 지정 웹 페이지에 나타나야 하는 모든 파일과 그림은 WLC에 업로드되기 전에 .tar 파일로 번들로 묶어야 합니다..tar 번들에 포함된 파일 중 하나가 login.html인지 확인합니다.login.html 파일을 포함하지 않으면 다음 오류 메시지가 표시됩니다.

   

   
   사용자 지정 웹 인증 창을 만드는 방법에 대한 자세한 내용은 Wireless LAN Controller 웹 인증 컨피그레이션 예의 사용자 지정 웹 인증 지침 섹션을 참조하십시오.

   참고:크기가 큰 파일과 이름이 긴 파일은 추출 오류가 발생합니다.그림은 .jpg 형식으로 사용하는 것이 좋습니다.

6. WLC의 사용자 지정 웹 페이지가 기본적으로 HTML 스크립트이므로 Scripting 옵션이 클라이언트 브라우저에서 차단되지 않도록 합니다.
7. WLC의 가상 인터페이스에 대해 구성된 호스트 이름이 있는 경우 가상 인터페이스의 호스트 이름에 대해 DNS 확인을 사용할 수 있는지 확인합니다.

   참고:가상 인터페이스에 DNS 호스트 이름을 할당하려면 WLC GUI에서 Controller > Interfaces 메뉴로 이동합니다.

8. 때로는 클라이언트 컴퓨터에 설치된 방화벽이 웹 인증 로그인 페이지를 차단하기도 합니다.로그인 페이지에 액세스하기 전에 방화벽을 비활성화합니다.웹 인증이 완료되면 방화벽을 다시 활성화할 수 있습니다.
9. 토폴로지/솔루션 방화벽은 클라이언트와 웹 인증 서버 사이에 배치할 수 있으며, 이는 네트워크에 따라 다릅니다.구현된 각 네트워크 설계/솔루션에 대해 최종 사용자는 이러한 포트가 네트워크 방화벽에서 허용되는지 확인해야 합니다.
   
   

   프로토콜	포트
   HTTP/HTTPS 트래픽	TCP 포트 80/443
   CAPWAP 데이터/제어 트래픽	UDP 포트 5247/5246
   LWAPP 데이터/제어 트래픽(rel 5.0 이전)	UDP 포트 12222/12223
   EOIP 패킷	IP 프로토콜 97
   모빌리티	UDP 포트 16666(비보안) UDP 포트 16667(보안 IPSEC 터널)

10. 웹 인증이 발생하려면 클라이언트가 먼저 WLC의 해당 WLAN에 연결해야 합니다.클라이언트가 WLC에 연결되어 있는지 확인하기 위해 WLC GUI에서 Monitor(모니터) > Clients(클라이언트) 메뉴로 이동합니다.클라이언트에 유효한 IP 주소가 있는지 확인합니다.
11. 웹 인증이 완료될 때까지 클라이언트 브라우저에서 프록시 설정을 비활성화합니다.
12. 기본 웹 인증 방법은 PAP(Password Authentication Protocol)입니다. RADIUS 서버에서 PAP 인증을 허용하여 이 기능이 작동하는지 확인합니다.클라이언트 인증 상태를 확인하려면 RADIUS 서버에서 디버깅 및 로그 메시지를 확인합니다.RADIUS 서버에서 디버그를 보려면 WLC에서 debug aaa all 명령을 사용할 수 있습니다.
13. 컴퓨터의 하드웨어 드라이버를 제조업체의 웹 사이트에서 최신 코드로 업데이트합니다.
14. 신청자(랩톱의 프로그램)에서 설정을 확인합니다.
15. Windows에 내장된 Windows Zero Config 신청자를 사용하는 경우:
    • 사용자에게 최신 패치가 설치되어 있는지 확인합니다.
    • 신청자에서 디버그를 실행합니다.
16. 클라이언트에서 명령 창에서 EAPOL(WPA+WPA2) 및 RSTLS 로그를 켜십시오.시작 > 실행 > CMD를 선택합니다.

    netsh ras set tracing eapol enable
          netsh ras set tracing rastls enable

    로그를 비활성화하려면 동일한 명령을 실행하지만 enable을 disable로 바꿉니다.XP의 경우 모든 로그는 C:\Windows\tracing에 있습니다.

17. 여전히 로그인 웹 페이지가 없는 경우 단일 클라이언트에서 이 출력을 수집하고 분석합니다.

    debug client <mac_address in format xx:xx:xx:xx:xx:xx>
    debug dhcp message enable
    debug aaa all enable
    debug dot1x aaa enable
    debug mobility handoff enable

18. 이 단계를 완료한 후 문제가 해결되지 않으면 이러한 디버그를 수집하고 Support Case Manager를 사용하여 서비스 요청을 엽니다.

    debug pm ssh-appgw enable
    debug pm ssh-tcp enable
    debug pm rules enable
    debug emweb server enable
    debug pm ssh-engine enable packet <client ip>

관련 정보

• 무선 LAN 컨트롤러 웹 인증 컨피그레이션 예
• 무선 LAN 컨트롤러를 사용한 외부 웹 인증 컨피그레이션 예
• 기술 지원 및 문서 − Cisco Systems