Dit document beschrijft hoe u de spatpagina kunt configureren en de functie opnieuw instellen op de draadloze LAN-controllers.
Zorg ervoor dat u aan deze vereisten voldoet voordat u deze configuratie probeert:
Kennis van LWAPP-beveiligingsoplossingen
Kennis van de manier waarop u Cisco Secure ACS kunt configureren
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Cisco 4400 Series draadloze LAN-controller (WLC) met firmware versie 5.0
Cisco 1232 Series lichtgewicht access point (LAP)
Cisco Aironet 802.a/b/g draadloze clientadapter voor firmware versie 4.1
Cisco Secure ACS-server met versie 4.1
Externe webserver van derden
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Smart Page Web redirect is een optie die wordt geïntroduceerd met Wireless LAN Controller versie 5.0. Met deze functie wordt de gebruiker opnieuw gericht op een bepaalde webpagina nadat 802.1x verificatie is voltooid. Herdirect gebeurt wanneer de gebruiker een browser opent (gevormd met een standaard homepage) of probeert om tot een URL toegang te hebben. Nadat de herleiding naar de webpagina is voltooid, heeft de gebruiker volledige toegang tot het netwerk.
U kunt de pagina opnieuw sturen op de RADIUS-server (Remote Authentication Dial-In User Service). De RADIUS-server moet worden geconfigureerd om de RADIUS-kenmerken van Cisco v-paar via URL-directie aan de draadloze LAN-controller terug te geven bij succesvolle 802.1x-verificatie.
De optie Webex-pagina's doorsturen is alleen beschikbaar voor WLAN’s die zijn geconfigureerd voor 802.1x of WAP2 Layer 2.
In dit voorbeeld worden een Cisco 4404 WLC en een Cisco 1232 Series LAP aangesloten via een Layer 2 switch. De Cisco Secure ACS-server (die fungeert als een externe RADIUS-server) is ook verbonden met dezelfde switch. Alle apparaten zijn in hetzelfde net.
De LAP is aanvankelijk geregistreerd bij de controller. U moet twee WLAN’s maken: één voor de gebruikers van de Admin-afdeling en de andere voor de gebruikers van de afdeling Operaties. Beide draadloze LAN’s maken gebruik van WAP2/AES (EAP-FAST wordt gebruikt voor verificatie). Beide WLAN’s gebruiken de optie Splash Page Redirect om gebruikers te richten op de juiste startpagina-URL’s (op externe webservers).
Het netwerk in dit document is als volgt opgebouwd:
In de volgende sectie wordt uitgelegd hoe u de apparaten voor deze instelling kunt configureren.
Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.
Opmerking: Gebruik het Opname Gereedschap (alleen geregistreerde klanten) om meer informatie te verkrijgen over de opdrachten die in deze sectie worden gebruikt.
Volg deze stappen om de apparaten te configureren zodat de spatpagina wordt omgeleid:
Configureer de WLC voor RADIUS-verificatie via de Cisco Secure ACS-server.
Configureer de WLAN’s voor de beheerder- en operationele afdelingen.
Configureer de Cisco Secure ACS ter ondersteuning van de spatpagina om de optie opnieuw te sturen.
De WLC moet worden geconfigureerd om de gebruikersreferenties naar een externe RADIUS-server te kunnen doorsturen.
Voltooi deze stappen om de WLC te configureren voor een externe RADIUS-server:
Kies Security en RADIUS-verificatie van de controller GUI om de pagina RADIUS-verificatieservers weer te geven.
Klik op New om een RADIUS-server te definiëren.
Defineert de parameters van de RADIUS-server op de RADIUS-verificatieservers > Nieuwe pagina.
Deze parameters omvatten:
IP-adres voor RADIUS-servers
Gedeeld geheim
Poortnummer
Serverstatus
Dit document gebruikt de ACS-server met een IP-adres van 10.7.24.196.
Klik op Apply (Toepassen).
In deze stap, vormt u de twee WLAN’s (één voor de beheerder en de andere voor de operationele afdeling) die de clients gebruiken om verbinding te maken met het draadloze netwerk.
WLAN SSID voor de Admin-afdeling is Admin. De WLAN SSID voor de afdeling Transacties wordt uitgevoerd.
Gebruik EAP-FAST-verificatie om WAP2 als Layer 2-beveiligingsmechanisme op zowel WLAN’s als het webbeleid in te schakelen - Weefselpagina-Web Redirect als Layer 3-beveiligingsmethode.
Voltooi deze stappen om de WLAN’s en de bijbehorende parameters te configureren:
Klik op WLAN’s vanuit de GUI van de controller om de WLAN’s pagina weer te geven.
Deze pagina toont de WLAN’s die op de controller bestaan.
Klik op Nieuw om een nieuw WLAN te maken.
Voer de WLAN-naam en de profielnaam in op de WLAN’s > Nieuwe pagina.
Klik op Apply (Toepassen).
Laat ons eerst de WLAN voor de beheerder maken.
Zodra u een nieuw WLAN hebt gemaakt, wordt de WLAN > Pagina-bewerken voor het nieuwe WLAN weergegeven. Op deze pagina kunt u verschillende parameters definiëren die specifiek zijn voor dit WLAN. Dit omvat algemeen beleid, veiligheidsbeleid, QOS-beleid en geavanceerde parameters.
Onder Algemeen beleid, controleer de optie Status om het WLAN in te schakelen.
Klik op het tabblad Beveiliging en klik vervolgens op het tabblad Layer 2.
Kies WAP+WAP2 uit de vervolgkeuzelijst Layer 2-beveiliging.
Deze stap maakt WAP-verificatie voor WLAN mogelijk.
Controleer onder WAP+WAP2-parameters het vakje WAP2-beleid en AES-encryptie.
Kies 802.1x in de vervolgkeuzelijst Auth Key Mgmt. Deze optie maakt WAP2 mogelijk met 802.1x/EAP-verificatie en AES-encryptie voor WLAN.
Klik op het tabblad Layer 3 Security.
Controleer het vakje Web Policy en klik vervolgens op de radioknop Splitsen Pagina Web Redirect.
Met deze optie kunt u de functie Web Redirect van de spatpagina instellen.
Klik op het tabblad AAA-servers.
Selecteer onder Verificatieservers het juiste IP-adres van de server in de vervolgkeuzelijst Server 1.
In dit voorbeeld wordt 10.77.244.196 gebruikt als RADIUS-server.
Klik op Apply (Toepassen).
Herhaal stappen 2 tot en met 15 om het WLAN voor de operationele afdeling te maken.
De WLAN’s pagina toont de twee WLAN’s die u hebt gemaakt.
Let op dat het beveiligingsbeleid ook de spatpagina-omleiding bevat.
De volgende stap is het configureren van de RADIUS-server voor deze functie. De RADIUS-server moet MAP-FAST-verificatie uitvoeren om de clientreferenties te valideren en bij succesvolle verificatie de gebruiker om te sturen naar de URL (op de externe webserver) die is gespecificeerd in de Cisco av-paar url-redirect-RADIUS-eigenschap.
Configuratie van Cisco Secure ACS voor EAP-FAST-verificatie
Opmerking: Dit document gaat ervan uit dat de draadloze LAN-controller aan de Cisco Secure ACS als een AAA-client is toegevoegd.
Voltooi deze stappen om EAP-FAST-verificatie in de RADIUS-server te configureren:
Klik op System Configuration van de RADIUS-serverGUI en kies vervolgens de Global Verification Setup van de pagina voor systeemconfiguratie.
Klik vanuit de setup-pagina van Global Verificatie op EAP-FAST Configuration om naar de pagina met EAP-FAST-instellingen te gaan.
Kijk in het aanvinkvakje EAP-FAST op de pagina EAP-FAST-instellingen om EAP-FAST in de RADIUS-server mogelijk te maken.
Configureer de hoofdtoets TTL (Time-to-Live) van de actieve/afgedankte toets naar wens of stel deze in op de standaardwaarde zoals in dit voorbeeld.
Het veld Infraroodnaam van de Autoriteit vertegenwoordigt de tekstidentiteit van deze ACS-server, die een eindgebruiker kan gebruiken om te bepalen tegen welke ACS-server gewaarmerkt moet worden. Dit veld invullen is verplicht.
In het veld eerste display van de client wordt een bericht verzonden naar gebruikers die een MAP-FAST-client als authentiek beschouwen. Maximale lengte is 40 tekens. Een gebruiker ziet het eerste bericht alleen als de eindgebruiker de weergave ondersteunt.
Als u wilt dat ACS anonieme in-band PAC provisioning uitvoert, controleer dan het vakje Toestanonieme in-band PAC provisioning.
De toegestane innerlijke methodiek bepaalt welke innerlijke MAP-methoden in de MAP-FAST TLS-tunnel kunnen worden gebruikt. Voor anonieme in-band provisioning moet u EAP-GTC en EAP-MS-CHAP inschakelen voor compatibiliteit met de achterzijde. Als u de optie anoniem in-band PAC-provisioning toestaan, moet u EAP-MS-CHAP (fase nul) en EAP-GTC (fase twee) selecteren.
Klik op Inzenden.
Opmerking: Voor gedetailleerde informatie en voorbeelden over de manier waarop u EAP FAST kunt configureren met Anonymous In-band PAC Provisioning en Geautomatiseerde In-band Provisioning, zie EAP-FAST verificatie met draadloze LAN-controllers en het Configuratievoorbeeld van externe RADIUS-servers.
Het configureren van de gebruikersdatabase en het definiëren van de eigenschap URL-redirect RADIUS
Dit voorbeeld vormt gebruikersnaam en wachtwoord van de draadloze client als respectievelijk Gebruiker1 en Gebruiker1.
Voltooi deze stappen om een gebruikersdatabase te maken:
Kies in de navigatiebalk van de ACS-GUI de optie Gebruikersinstelling.
Maak een nieuw gebruikersdraadloos, en klik vervolgens op Toevoegen/Bewerken om naar de pagina Bewerken van deze gebruiker te gaan.
Klik vanuit de pagina Bewerken door gebruiker op Real Name en Description, evenals de wachtwoordinstellingen die in dit voorbeeld worden weergegeven.
Dit document maakt gebruik van een ACS-interne database voor wachtwoordverificatie.
Scrolt naar de pagina om de RADIUS-kenmerken aan te passen.
Controleer het vakje [009\0001] cisco-av-paar.
Voer deze Cisco av-paren in het [009\001] cisco-av-paar in om de URL te specificeren waarop de gebruiker wordt omgeleid:
url-redirect=http://10.77.244.196/Admin-Login.html
Dit is de startpagina van de Admin-gebruikers.
Klik op Inzenden.
Herhaal deze procedure om Gebruiker2 toe te voegen (Gebruiker van de afdeling Bewerkingswijze).
Herhaal stap 1 tot en met 6 om meer gebruikers van de Admin-afdeling en gebruikers van de afdeling Operations aan de database toe te voegen.
Opmerking: De RADIUS-kenmerken kunnen worden ingesteld op gebruikersniveau of op groepsniveau op Cisco Secure ACS.
Om de configuratie te verifiëren, associeer een WLAN’s-client van de Admin-afdeling en de operationele afdeling aan hun juiste WLAN’s.
Wanneer een gebruiker van de Admin-afdeling zich aansluit op de draadloze LAN-beheerder, wordt de gebruiker gevraagd naar 802.1x-aanmeldingsgegevens (EAP-FAST-referenties in ons geval). Zodra de gebruiker de aanmeldingsgegevens aanbiedt, geeft WLC deze referenties toe aan de Cisco Secure ACS-server. De Cisco Secure ACS-server bevestigt de aanmeldingsgegevens van de gebruiker tegen de database en bij succesvolle verificatie retourneert de URL-redirect eigenschap naar de draadloze LAN-controller. De authenticatie is in dit stadium voltooid.
Wanneer de gebruiker een webbrowser opent, wordt de gebruiker opnieuw gericht naar de startpagina URL van de Admin-afdeling. (Deze URL wordt teruggegeven aan WLC door de cisco-av-paareigenschap). Nadat u het programma hebt omgeleid, heeft de gebruiker volledige toegang tot het netwerk. Dit zijn de screenshots:
De zelfde sequenties van gebeurtenissen komen voor wanneer een gebruiker van de Bewerkingsafdeling aan de operaties van WLAN aansluit.
Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.
Opmerking: Raadpleeg Belangrijke informatie over debug Commands voordat u debug-opdrachten gebruikt.
U kunt de volgende opdrachten gebruiken om de configuratie van het probleem op te lossen.
Laat WLAN_id-Toont de status van het web redirect functies voor een bepaalde WLAN zien.
Hierna volgt een voorbeeld:
WLAN Identifier.................................. 1 Profile Name..................................... Admin Network Name (SSID).............................. Admin ... Web Based Authentication......................... Disabled Web-Passthrough.................................. Disabled Conditional Web Redirect......................... Disabled Splash-Page Web Redirect......................... Enabled
debug van dot1x gebeurtenissen schakelt het debug van 802.1x pakketberichten in.
Hierna volgt een voorbeeld:
Fri Feb 29 10:27:16 2008: 00:40:96:ac:dd:05 Sending EAP Request from AAA to mobile 00:40:96:ac:dd:05 (EAP Id 16) Fri Feb 29 10:27:16 2008: 00:40:96:ac:dd:05 Received EAPOL EAPPKT from mobile 00:40:96:ac:dd:05 Fri Feb 29 10:27:16 2008: 00:40:96:ac:dd:05 Received EAP Response from mobile 00:40:96:ac:dd:05 (EAP Id 16, EAP Type 43) Fri Feb 29 10:27:16 2008: 00:40:96:ac:dd:05 Processing Access-Challenge for mobile 00:40:96:ac:dd:05 Fri Feb 29 10:27:16 2008: 00:40:96:ac:dd:05 Setting re-auth timeout to 1800 seconds, got from WLAN config. Fri Feb 29 10:27:16 2008: 00:40:96:ac:dd:05 Station 00:40:96:ac:dd:05 setting dot1x reauth timeout = 1800 Fri Feb 29 10:27:16 2008: 00:40:96:ac:dd:05 Creating a new PMK Cache Entry for station 00:40:96:ac:dd:05 (RSN 2) Fri Feb 29 10:27:16 2008: 00:40:96:ac:dd:05 Adding BSSID 00:1c:58:05:e9:cf to PMKID cache for station 00:40:96:ac:dd:05 Fri Feb 29 10:27:16 2008: New PMKID: (16) Fri Feb 29 10:27:16 2008: [0000] 79 ee 88 78 9c 71 41 f0 10 7d 31 ca fb fa 8e 3c Fri Feb 29 10:27:16 2008: 00:40:96:ac:dd:05 Disabling re-auth since PMK lifetime can take care of same. Fri Feb 29 10:27:16 2008: 00:40:96:ac:dd:05 Sending EAP-Success to mobile 00:40:96:ac:dd:05 (EAP Id 17) Fri Feb 29 10:27:16 2008: Including PMKID in M1 (16) Fri Feb 29 10:27:16 2008: [0000] 79 ee 88 78 9c 71 41 f0 10 7d 31 ca fb fa 8e 3c Fri Feb 29 10:27:16 2008: 00:40:96:ac:dd:05 Sending EAPOL-Key Message to mobile 00:40:96:ac:dd:05 state INITPMK (message 1), replay counter 00.00.00.00.00.00.00.00 Fri Feb 29 10:27:16 2008: 00:40:96:ac:dd:05 Received Auth Success while in Authenticating state for mobile 00:40:96:ac:dd:05
debug a gebeurtenissen toelaten—hiermee wordt de debug uitvoer van alle a gebeurtenissen mogelijk.
Hierna volgt een voorbeeld:
Thu Feb 28 07:55:18 2008: 00:40:96:ac:dd:05 Successful transmission of Authentication Packet (id 103) to 10.77.244.196:1812, proxy state 00:40:96:ac:dd:05-00:00 Thu Feb 28 07:55:18 2008: ****Enter processIncomingMessages: response code=11 Thu Feb 28 07:55:18 2008: ****Enter processRadiusResponse: response code=11 Thu Feb 28 07:55:18 2008: 00:40:96:ac:dd:05 Access-Challenge received from RADIUS server 10.77.244.196 for mobile 00:40:96:ac:dd:05 receiveId = 3 Thu Feb 28 07:55:18 2008: 00:40:96:ac:dd:05 Successful transmission of Authentication Packet (id 104) to 10.77.244.196:1812, proxy state 00:40:96:ac:dd:05-00:00 Thu Feb 28 07:55:18 2008: ****Enter processIncomingMessages: response code=2 Thu Feb 28 07:55:18 2008: ****Enter processRadiusResponse: response code=2 Thu Feb 28 07:55:18 2008: 00:40:96:ac:dd:05 Access-Accept received from RADIUS server 10.77.244.196 for mobile 00:40:96:ac:dd:05 receiveId = 3 Thu Feb 28 07:55:18 2008: 00:40:96:ac:dd:05 AAA Override Url-Redirect 'http://10.77.244.196/Admin-login.html' set Thu Feb 28 07:55:18 2008: 00:40:96:ac:dd:05 Applying new AAA override for station 00:40:96:ac:dd:05 Thu Feb 28 07:55:18 2008: 00:40:96:ac:dd:05 Override values for station 00:40:96:ac:dd:05 source: 4, valid bits: 0x0 qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1 dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1 vlanIfName: '', aclName: '
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
29-Feb-2008 |
Eerste vrijgave |