AireOS 컨트롤러 컨피그레이션을 사용하는 DNA 스페이스 종속 포털 컨피그레이션 예
목차
소개
이 문서에서는 AireOS 컨트롤러가 있는 Cisco DNA Spaces를 사용하여 종속 포털을 구성하는 방법에 대해 설명합니다.
기고자: Andreus Silva Cisco TAC 엔지니어
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- 무선 컨트롤러에 대한 CLI(Command Line Interface) 또는 GUI(Graphic User Interface) 액세스
- Cisco DNA 공간
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- 5520 Wireless LAN Controller 버전 8.10.112.0
구성
네트워크 다이어그램
구성
WLC를 Cisco DNA Spaces에 연결
컨트롤러가 사용 가능한 설정, Direct Connect, DNA Spaces Connector 또는 CMX Teding을 통해 DNA Spaces에 연결되어야 합니다.
이 예에서는 종속 포털이 모든 설정에 대해 동일한 방식으로 구성되지만 Direct Connect 옵션이 사용 중입니다.
컨트롤러를 Cisco DNA Spaces에 연결하려면 HTTPS를 통해 Cisco DNA Spaces 클라우드에 연결할 수 있어야 합니다.컨트롤러를 DNA 공간에 연결하는 방법에 대한 자세한 내용은 다음 링크를 참조하십시오.DNA Spaces Direct Connect 컨피그레이션 예
DNA 공간에서 SSID 생성
1단계. DNA Spaces의 대시보드에서 Captive Portals를 클릭합니다.
2단계. 페이지의 왼쪽 상단 모서리에 있는 세 개의 회선 아이콘을 클릭하여 종속 포털 메뉴를 열고 SSID를 클릭합니다.
3단계. Import/Configure SSID(SSID 가져오기/구성)를 클릭하고 CUWN(CMX/WLC)을 "Wireless Network(무선 네트워크)" 유형으로 선택하고 SSID 이름을 입력합니다.
컨트롤러의 ACL 컨피그레이션
사전 인증 ACL은 웹 인증 SSID이므로 필요합니다. 무선 디바이스가 SSID에 연결되고 IP 주소를 수신하면 디바이스의 정책 관리자 상태가 Webauth_Reqd 상태로 이동하고 디바이스가 도달할 수 있는 리소스를 제한하기 위해 클라이언트 세션에 ACL이 적용됩니다.
1단계. Security(보안) > Access Control Lists(액세스 제어 목록) > Access Control Lists(액세스 제어 목록)로 이동하고 New(새로 만들기)를 클릭하고 다음과 같이 무선 클라이언트 간 DNA Spaces와의 통신을 허용하도록 규칙을 구성합니다.IP 주소를 사용 중인 계정에 대해 DNA Spaces에서 제공한 주소로 교체합니다.
SSID는 RADIUS 서버를 사용하거나 사용하지 않도록 구성할 수 있습니다.Captive Portal Rule 컨피그레이션의 Actions(작업) 섹션에서 세션 기간, 대역폭 제한 또는 원활한 인터넷 프로비저닝이 구성된 경우 SSID를 RADIUS 서버로 구성해야 합니다. 그렇지 않으면 RADIUS 서버를 사용할 필요가 없습니다.DNA Spaces의 모든 종류의 포털은 두 구성 모두에서 지원됩니다.
DNA 공간에서 RADIUS 서버가 없는 종속 포털
컨트롤러의 SSID 컨피그레이션
1단계. WLAN > WLANs로 이동합니다.새 WLAN을 생성합니다.프로파일 이름 및 SSID를 구성합니다.SSID 이름이 Create the SSID on DNA Spaces(DNA 공간에서 SSID 생성) 섹션의 3단계에서 구성된 이름과 동일한지 확인합니다.
2단계. 레이어 2 보안을 구성합니다.WLAN 컨피그레이션 탭에서 Security(보안) > Layer 2(레이어 2) 탭으로 이동하고 Layer 2 Security(레이어 2 보안)의 드롭다운 메뉴에서 None(없음)으로 선택합니다.MAC 필터링이 비활성화되어 있는지 확인합니다.
3단계. 레이어 3 보안을 구성합니다.WLAN 컨피그레이션 탭의 Security(보안) > Layer 3 탭으로 이동하여 Web Policy를 Layer 3 보안 방법으로 구성하고, Enable Passthrough(패스스루 활성화), 사전 인증 ACL을 구성하고, Web Auth Type(웹 인증 유형)을 External(외부)로 설정하여 Override Global Config(전역 컨피그레이션 재정의)를 활성화하고 Redirect URL을 구성합니다.
DNA 공간에서 RADIUS 서버를 사용하는 종속 포털
컨트롤러의 RADIUS 서버 컨피그레이션
1단계. Security(보안) > AAA > RADIUS > Authentication(인증)으로 이동하고 New(새로 만들기)를 클릭하고 RADIUS 서버 정보를 입력합니다.Cisco DNA Spaces는 사용자 인증을 위한 RADIUS 서버 역할을 하며 2개의 IP 주소에 응답할 수 있습니다.두 RADIUS 서버를 모두 구성합니다.
2단계. 어카운팅 RADIUS 서버를 구성합니다.Security(보안) > AAA > RADIUS > Accounting(계정 관리)으로 이동하고 New(새로 만들기)를 클릭합니다.동일한 두 RADIUS 서버를 구성합니다.
컨트롤러의 SSID 컨피그레이션
1단계. WLAN > WLANs로 이동합니다.새 WLAN을 생성합니다.프로파일 이름 및 SSID를 구성합니다.SSID 이름이 Create the SSID on DNA Spaces(DNA 공간에서 SSID 생성) 섹션의 3단계에서 구성된 이름과 동일한지 확인합니다.
2단계. 레이어 2 보안을 구성합니다.WLAN 컨피그레이션 탭에서 Security(보안) > Layer 2(레이어 2) 탭으로 이동합니다.Layer 2 Security를 None으로 구성합니다.Mac 필터링을 활성화합니다.
3단계. 레이어 3 보안을 구성합니다.WLAN 컨피그레이션 탭의 Security(보안) > Layer 3 탭으로 이동하여 Web Policy를 Layer 3 보안 방법으로 구성하고, Mac Filter(MAC 필터 실패 시 활성화), 사전 인증 ACL을 구성하고, Web Auth Type(웹 인증 유형)을 External(외부)로 설정하여 Override Global Config(재정의)를 활성화한 다음 Redirect URL을 구성합니다.
4단계. AAA 서버를 구성합니다.WLAN 컨피그레이션 탭에서 Security(보안) > AAA Servers(AAA 서버) 탭으로 이동하고 Authentication Servers(인증 서버) and Accounting Servers(및 어카운팅 서버)를 활성화하고 드롭다운 메뉴에서 두 RADIUS 서버를 선택합니다.
6단계. 웹 인증 사용자에 대한 인증 우선순위 순서를 구성합니다.WLAN 컨피그레이션 탭에서 Security(보안) > AAA Servers(AAA 서버) 탭으로 이동하고 RADIUS를 순서대로 설정합니다.
7단계. WLAN 컨피그레이션 탭의 Advanced(고급) 탭으로 이동하고 Allow AAA Override(AAA 재정의 허용)를 활성화합니다.
DNA 공간에서 포털 생성
1단계. DNA Spaces의 대시보드에서 Captive Portals를 클릭합니다.
2단계. Create New(새로 만들기)를 클릭하고 포털 이름을 입력한 다음 포털을 사용할 수 있는 위치를 선택합니다.
3단계. 인증 유형을 선택하고 포털 홈 페이지에 데이터 캡처 및 사용자 계약을 표시할 것인지, 사용자가 메시지 수신을 옵트인할 수 있는지 선택합니다.다음을 클릭합니다.
4단계. 데이터 캡처 요소를 구성합니다.사용자의 데이터를 캡처하려면 데이터 캡처 사용 상자를 선택하고 +필드 요소 추가를 클릭하여 원하는 필드를 추가합니다.다음을 클릭합니다.
5단계. Enable Terms &Conditions(사용 약관)를 선택하고 Save & Configure Portal(포털 저장 및 구성)을 클릭합니다.
6단계. 필요에 따라 포털을 편집하고 Save(저장)를 클릭합니다.
DNA 공간에서 종속 포털 규칙 구성
1단계. 종속 포털 메뉴를 열고 종속 포털 규칙을 클릭합니다.
2단계. + Create New Rule을 클릭합니다.규칙 이름을 입력하고, 이전에 구성한 SSID를 선택하고, 이 포털 규칙이 사용할 수 있는 위치를 선택합니다.
3단계. 종속 포털의 작업을 선택합니다.이 경우 규칙이 적중되면 포털이 표시됩니다.저장 및 게시를 클릭합니다.
다음을 확인합니다.
SSID에 연결된 클라이언트의 상태를 확인하려면 Monitor(모니터링) > Clients(클라이언트)로 이동하여 MAC 주소를 클릭하고 Policy Manager State(정책 관리자 상태)를 찾습니다.
문제 해결
클라이언트의 연결 및 인증 프로세스를 확인하기 위해 테스트하기 전에 컨트롤러에서 다음 명령을 활성화할 수 있습니다.
(5520-Andressi) >debug client
(5520-Andressi) >debug web-auth redirect enable mac
RADIUS 서버가 없는 SSID에 연결하는 동안 연결/인증 프로세스 중에 각 단계를 식별하기 위한 성공적인 시도의 출력입니다.
802.11 연결/인증:
*apfOpenDtlSocket: Apr 09 21:49:06.227: 34:e1:2d:23:a6:68 Received management frame ASSOCIATION REQUEST on BSSID 70:d3:79:dd:d2:0f destination addr 70:d3:79:dd:d2:0f slotid 1
*apfMsConnTask_5: Apr 09 21:49:06.227: 34:e1:2d:23:a6:68 Updating the client capabiility as 4
*apfMsConnTask_5: Apr 09 21:49:06.227: 34:e1:2d:23:a6:68 Processing assoc-req station:34:e1:2d:23:a6:68 AP:70:d3:79:dd:d2:00-01 ssid : AireOS-DNASpaces thread:bd271d6280
*apfMsConnTask_5: Apr 09 21:49:06.227: 34:e1:2d:23:a6:68 CL_EVENT_ASSOC_START (1), reasonCode (1), Result (0), Ssid (AireOS-DNASpaces), ApMac (70:d3:79:dd:d2:00), RSSI (-72), SNR (22)
*apfMsConnTask_5: Apr 09 21:49:06.228: 34:e1:2d:23:a6:68 Sending assoc-resp with status 0 station:34:e1:2d:23:a6:68 AP:70:d3:79:dd:d2:00-01 on apVapId 1
DHCP 및 레이어 3 인증:
*apfMsConnTask_5: Apr 09 21:49:06.228: 34:e1:2d:23:a6:68 Mobility query, PEM State: DHCP_REQD
*webauthRedirect: Apr 09 21:49:51.949: captive-bypass detection enabled, checking for wispr in HTTP GET, client mac=34:e1:2d:23:a6:68
*webauthRedirect: Apr 09 21:49:51.949: captiveNetworkMode enabled, mac=34:e1:2d:23:a6:68 user_agent = AnyConnect Agent 4.7.04056
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Preparing redirect URL according to configured Web-Auth type
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- unable to get the hostName for virtual IP, using virtual IP =192.0.2.1
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Checking custom-web config for WLAN ID:1
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Global status is 0 on WLAN
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- checking on WLAN web-auth type
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Web-auth type External, using URL:https://splash.dnaspaces.io/p2/mexeast1
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Added switch_url, redirect URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Added ap_mac (Radio ), redirect URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Added client_mac , redirect URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- Added wlan, redirect URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6:68&wla
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- http_response_msg_body1 is <HTML><HEAD><TITLE> Web Authentication Redirect</TITLE><META http-equiv="Cache-control" content="no-cache"><META http-equiv="Pragma" content="
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- added redirect=, URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6:68&wlan=Ai
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- str1 is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6:68&wlan=AireOS-DNASpaces&r
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- Message to be sent is
HTTP/1.1 200 OK
Location: https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- 200 send_data =HTTP/1.1 200 OK
Location: https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- send data length=688
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- Url:https://splash.dnaspaces.io/p2/mexeast1
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- cleaning up after send
레이어 3 인증에 성공했습니다. 클라이언트를 RUN 상태로 이동합니다.
*emWeb: Apr 09 21:49:57.633: Connection created for MAC:34:e1:2d:23:a6:68
*emWeb: Apr 09 21:49:57.634:
ewaURLHook: Entering:url=/login.html, virtIp = 192.0.2.1, ssl_connection=0, secureweb=1
*ewmwebWebauth1: Apr 09 21:49:57.634: 34:e1:2d:23:a6:68 10.10.30.42 WEBAUTH_NOL3SEC (14) Change state to RUN (20) last state WEBAUTH_NOL3SEC (14)
*ewmwebWebauth1: Apr 09 21:49:57.634: 34:e1:2d:23:a6:68 CL_EVENT_WEB_AUTH_DONE (8), reasonCode (0), Result (0), ServerIp (), UserName ()
*ewmwebWebauth1: Apr 09 21:49:57.634: 34:e1:2d:23:a6:68 CL_EVENT_RUN (9), reasonCode (0), Result (0), Role (1), VLAN/VNID (20), Ipv4Addr (10.10.30.42), Ipv6Present (No)
*ewmwebWebauth1: Apr 09 21:49:57.634: 34:e1:2d:23:a6:68 10.10.30.42 RUN (20) Successfully plumbed mobile rule (IPv4 ACL ID 255, IPv6 ACL ID 255, L2 ACL ID 255,URL ACL ID 255,URL ACL Action 0)
*emWeb: Apr 09 21:49:57.634: User login successful, presenting login success page to user
피드백