Captive Spaces Portal configureren met Catalyst 9800 WLC

Inleiding

In dit document wordt beschreven hoe u captive portals configureert op Cisco Spaces.

Voorwaarden

Met dit document kunnen clients op de Catalyst 9800 Wireless LAN Controller (C9800 WLC) Spaces gebruiken als een externe inlogpagina voor webverificatie.

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Toegang tot de 9800 draadloze controllers via de Command Line Interface (CLI) of de grafische gebruikersinterface (GUI)
• Cisco Spaces

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• 9800-L controller versie 16.12.2s

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

Webverificatie is een eenvoudige Layer 3-verificatiemethode zonder dat een aanvrager of clienthulpprogramma nodig is. Dit kan worden gedaan

a) Met de interne pagina op C9800 WLC, zoals deze is of na wijzigingen.

b) Met aangepaste inlogbundel geüpload naar C9800 WLC.

c) Aangepaste aanmeldpagina gehost op een externe server.

Om gebruik te maken van de captive portal van Spaces is in wezen een manier om externe webauthenticatie te implementeren voor klanten op C9800 WLC.

Het externe webauth-proces wordt in detail beschreven op: Webgebaseerde verificatie op Cisco Catalyst 9800 Series-controllers

Op C9800 WLC is het virtuele IP-adres gedefinieerd als de globale parameter-map en is het meestal 192.0.2.1

Configureren

Netwerkdiagram

De 9800-controller aansluiten op Cisco Spaces

De controller moet worden aangesloten op Spaces met een van deze opties - Direct Connect, via Spaces Connector of met CMX Tethering.

In dit voorbeeld is de optie Direct Connect in gebruik, hoewel captive portals op dezelfde manier zijn geconfigureerd voor alle instellingen.

Om de controller met Cisco Spaces te verbinden, moet deze Cisco Spaces Cloud via HTTPS kunnen bereiken. Voor meer informatie over het aansluiten van de 9800-controller op Spaces, raadpleegt u deze link: Spaces - 9800 Controller Direct Connect

De SSID op ruimten maken

Stap 1. Klik op Captive Portals in het dashboard van Spaces:

Stap 2. Open het specifieke menu van de portaalsite, klik op het pictogram met drie regels in de linkerbovenhoek van de pagina en klik op SSID's:

Stap 3. Klik op SSID importeren/configureren, selecteer CUWN (CMX/WLC) als type draadloos netwerk en voer de naam van de SSID in:

ACL- en URL-filterconfiguratie op de 9800-controller

Verkeer van een draadloze client is niet toegestaan op het netwerk totdat de verificatie is voltooid. In het geval van webverificatie maakt een draadloze client verbinding met deze SSID, ontvangt een IP-adres en wordt de status Client Policy Manager verplaatst naar de status Webauth_readd. Aangezien de client nog niet is geverifieerd, wordt al het verkeer dat afkomstig is van het IP-adres van de client verwijderd, behalve DHCP, DNS en HTTP (dat wordt onderschept en omgeleid).

De 9800 maakt standaard vooraf gecodeerde ACL's wanneer u een web-auth WLAN instelt. Deze hardcoded ACL's staan DHCP, DNS en verkeer naar de externe web-auth-server toe. De rest wordt omgeleid zoals elk ander http-verkeer.

Als u echter een specifiek niet-HTTP-verkeerstype moet toestaan, kunt u een vooraf gedefinieerde ACL configureren. U moet dan de inhoud van de bestaande hardcoded pre-auth ACL imiteren (vanaf stap 1 van deze sectie) en deze aan uw behoeften aanpassen.

Stap 1. Controleer de huidige hardcoded ACL's.

CLI-configuratie:

Andressi-9800L#show ip access list

Extended IP access list WA-sec-10.235.248.212
10 permit tcp any host 10.235.248.212 eq www
20 permit tcp any host 10.235.248.212 eq 443
30 permit tcp host 10.235.248.212 eq www any
40 permit tcp host 10.235.248.212 eq 443 any
50 permit tcp any any eq domain
60 permit udp any any eq domain
70 permit udp any any eq bootpc
80 permit udp any any eq bootps
90 deny ip any any

Extended IP access list WA-v4-int-10.235.248.212
10 deny tcp any host 10.235.248.212 eq www
20 deny tcp any host 10.235.248.212 eq 443
30 permit tcp any any eq www
40 permit tcp any host 192.0.2.1 eq 443

WA-sec-10.235.248.212 wordt als zodanig genoemd omdat het een automatische Web Auth (WA) beveiliging (sec) ACL of portal ip 10.235.248.212 is. Beveiliging ACL's gedefinieerd wat is toegestaan (op vergunning) of gedaald (op ontkennen). Wa-v4-int is een intercept ACL, dat is een punt ACL of omleiden ACL, en definieert wat wordt verzonden naar CPU voor omleiding (op vergunning) of wat wordt verzonden naar dataplane (op ontkennen).

WA-v4-int10.235.248.212 wordt eerst toegepast op verkeer dat van de client komt en houdt HTTP(s)-verkeer naar Spaces portal IP 10.235.248.212 op het dataplane (nog geen drop- of forward-actie, gewoon overhandigen aan dataplane). Het stuurt alle HTTP(s)-verkeer naar de CPU (voor omleiding, behalve virtueel IP-verkeer dat wordt onderhouden door de webserver). Andere soorten verkeer worden gegeven aan de dataplane.

WA-sec-10.235.248.212 staat HTTP- en HTTPS-verkeer toe naar de Cisco DNA-ruimte IP 10.235.248.212 die u hebt geconfigureerd in de parameterkaart voor webverificatie en het staat ook DNS- en DHCP-verkeer toe en laat de rest vallen. HTTP-verkeer dat moet worden onderschept, werd al onderschept voordat het deze ACL raakt en hoeft daarom niet onder deze ACL te vallen.

Opmerking: Als u wilt dat de IP-adressen van Spaces worden toegestaan in de ACL, klikt u op de optie Handmatig configureren van de SSID die is gemaakt in stap 3 van de sectie SSID maken op Spaces onder de sectie ACL-configuratie. Een voorbeeld bevindt zich in de sectie Wat zijn de IP-adressen die Spaces gebruiken, aan het einde van het document.

Spaces gebruikt 2 IP-adressen en het mechanisme in stap 1 staat slechts toe dat één IP-portaal wordt toegestaan. Om pre-authenticatie toegang tot meer HTTP-bronnen mogelijk te maken, moet u URL-filters gebruiken die dynamisch gaten maken in de onderschepping (redirect) en beveiliging (preauth) ACL's voor de IP's met betrekking tot de website waarvan de URL u invoert in het URL-filter. DNS-verzoeken worden dynamisch doorzocht voor de 9800 om het IP-adres van die URL's te leren en deze dynamisch aan de ACL's toe te voegen.

Stap 2. Configureer het URL-filter om het domein Spaces toe te staan.

Ga naar Configuratie > Beveiliging > URL-filters. Klik op +Toevoegen en configureer de lijstnaam. Selecteer PRE-AUTH als het type, PERMIT als de actie en de URL splash.dnaspaces.io (of .eu als u het EMEA-portaal gebruikt):

CLI-configuratie:

Andressi-9800L(config)#urlfilter list 
Andressi-9800L(config-urlfilter-params)#action permit
Andressi-9800L(config-urlfilter-params)#url splash.dnaspaces.io

De SSID kan worden geconfigureerd voor gebruik van een RADIUS-server of zonder. Als die sessieduur, bandbreedtelimiet of naadloze internetprovisioning is geconfigureerd in het gedeelte Acties van de configuratie van de regel voor interne portalen, moet de SSID worden geconfigureerd met een RADIUS-server, anders hoeft de RADIUS-server niet te worden gebruikt. Allerlei portals op Spaces worden ondersteund op beide configuraties.

Captive Portal zonder RADIUS-server op ruimten

Web Auth Parameter Map Configuration op de 9800-controller

Stap 1. Navigeer naar Configuratie > Beveiliging > Web Auth. Klik op +Toevoegen om een nieuwe parametermap te maken. Configureer in het venster dat verschijnt de naam van de parameter map en selecteer Toestemming als type:

Stap 2. Klik op de parametermap die in de vorige stap is geconfigureerd, ga naar het tabblad Geavanceerd en voer de URL Omleiden voor aanmelding in, Toevoegen voor MAC-adres AP, Toevoegen voor MAC-adres van client, Toevoegen voor WLAN SSID en IPv4-adres van portal in zoals geïllustreerd. Klik op Bijwerken en toepassen:

Opmerking: Als u de URL van de splash-pagina en het IPv4-redirect-adres wilt ophalen, klikt u op de optie Handmatig configureren op de SSID-pagina van Spaces. Dit wordt geïllustreerd in het gedeelte Wat is de URL die het portaal Spaces gebruikt, aan het einde van het document.

Opmerking: het Cisco Spaces-portaal kan twee IP-adressen instellen, maar met de 9800-controller kan slechts één IP-adres worden geconfigureerd. Kies een van deze IP-adressen en configureer deze op de parameterkaart als het IPv4-adres van het portaal.

Opmerking: zorg ervoor dat zowel virtuele IPv4- als IPv6-adressen zijn geconfigureerd in de globale web auth-parametermap. Als de Virtual IPv6 niet is geconfigureerd, worden de clients soms doorgestuurd naar het interne portaal in plaats van het geconfigureerde Spaces-portaal. Daarom moet een virtueel IP altijd worden geconfigureerd. 192.0.2.1 kan worden geconfigureerd als Virtual IPv4 en FE80:0:0:0:903A::11E4 als Virtual IPV6. Er zijn weinig tot geen redenen om andere IP's te gebruiken dan die.

CLI-configuratie:

Andressi-9800L(config)#parameter-map type webauth 
Andressi-9800L(config-params-parameter-map)#type consent
Andressi-9800L(config-params-parameter-map)#timeout init-state sec 600
Andressi-9800L(config-params-parameter-map)#redirect for-login  
Andressi-9800L(config-params-parameter-map)#redirect append ap-mac tag ap_mac
Andressi-9800L(config-params-parameter-map)#redirect append wlan-ssid tag wlan
Andressi-9800L(config-params-parameter-map)#redirect append client-mac tag client_mac
Andressi-9800L(config-params-parameter-map)#redirect portal ipv4 
Andressi-9800L(config-params-parameter-map)#logout-window-disabled
Andressi-9800L(config-params-parameter-map)#success-window-disabled

De SSID maken op de 9800-controller

Stap 1. Navigeer naar Configuratie > Tags en profielen > WLAN's. Klik op +Toevoegen. Configureer de profielnaam, SSID en schakel het WLAN in. Controleer of de SSID dezelfde naam heeft als de naam die is geconfigureerd in stap 3 van het gedeelte SSID maken op ruimten.

Stap 2. Navigeer naar Beveiliging > Layer2. Stel de beveiligingsmodus van Layer 2 in op Geen. Zorg ervoor dat MAC Filtering is uitgeschakeld.

Stap 3. Navigeer naar Beveiliging > Layer3. Schakel Web Policy in en configureer de parameter map web auth. Klik op Toepassen op apparaat.

Beleidsprofiel configureren op de 9800-controller

Stap 1. Navigeer naar Configuratie > Codes en profielen > Beleid en maak een nieuw beleidsprofiel of gebruik het standaardbeleidsprofiel. Configureer op het tabblad Beleid toegang het client-VLAN en voeg het URL filter toe.

Beleidstag op de 9800-controller configureren

Stap 1. Navigeer naar Configuratie > Tags en profielen > Beleid. Maak een nieuwe beleidstag of gebruik de standaardbeleidstag. Koppel het WLAN aan het beleidsprofiel in de beleidstag.

Stap 2. Pas de beleidstag toe op het toegangspunt om de SSID uit te zenden. Ga naar Configuratie > Draadloos > Toegangspunten. Selecteer het betreffende toegangspunt en voeg de tag Policy toe. Dit zorgt ervoor dat de AP de CAPWAP-tunnel opnieuw start en terugkeert naar de 9800-controller:

CLI-configuratie:

Andressi-9800L(config)#wlan   
Andressi-9800L(config-wlan)#no security wpa
Andressi-9800L(config-wlan)#no security wpa akm dot1x
Andressi-9800L(config-wlan)#no security wpa wpa2 ciphers aes
Andressi-9800L(config-wlan)#security web-auth 
Andressi-9800L(config-wlan)#security web-auth parameter-map Andressi-9800L(config-wlan)#no shutdown

Andressi-9800L(config)#wireless profile policy 
Andressi-9800L(config-wireless-policy)#vlan <id>
Andressi-9800L(config-wireless-policy)#urlfilter list pre-auth-filter 
Andressi-9800L(config-wireless-policy)#no shutdown

Andressi-9800L(config)#wireless tag policy 
Andressi-9800L(config-policy-tag)#wlan  policy 

Captive Portal met RADIUS-server op ruimten

Opmerking: de RADIUS-spaties-server ondersteunt alleen PAP-verificatie die afkomstig is van de controller.

Web Auth Parameter Map Configuration op de 9800-controller

Stap 1. Maak een web auth parametermap. Navigeer naar Configuratie > Beveiliging > Web Auth. Klik op +Toevoegen, configureer de naam van de parameter map en selecteer webauth als type:

Stap 2. Klik op de in stap 1 geconfigureerde parametermap. Klik op Geavanceerd en voer de optie Omleiden voor aanmelden in, Toevoegen voor MAC-adres AP, Toevoegen voor MAC-adres van client, Toevoegen voor WLAN SSID en IPv4-adres van portal in. Klik op Bijwerken en toepassen:

Opmerking: Als u de URL van de splash-pagina en het IPv4-redirect-adres wilt ophalen, klikt u op de optie Handmatig configureren van de SSID die is gemaakt in stap 3 van de sectie SSID maken op ruimten onder de sectie SSID's maken in WLC Direct Connect De configuratie van de toegangscontrolelijst maken sectie.

Opmerking: Cisco Spaces portal kan oplossen naar twee IP-adressen, maar de 9800 controller kan slechts één IP-adres worden geconfigureerd, één geval kiest een van die IP-adressen te worden geconfigureerd op de parameter map als de Portal IPv4-adres.

Opmerking: zorg ervoor dat zowel virtuele IPv4- als IPv6-adressen zijn geconfigureerd in de globale web auth-parametermap. Als de Virtual IPv6 niet is geconfigureerd, worden de clients soms doorgestuurd naar het interne portaal in plaats van het geconfigureerde Spaces-portaal. Daarom moet een virtueel IP altijd 192.0.2.1 worden geconfigureerd en kan worden geconfigureerd als virtueel IPv4 en FE80:0:0:0:903A:11E4 als virtueel IPV6. Er zijn weinig tot geen redenen om andere IP's te gebruiken dan die.

CLI-configuratie:

Andressi-9800L(config)#parameter-map type webauth 
Andressi-9800L(config-params-parameter-map)#type webauth
Andressi-9800L(config-params-parameter-map)#timeout init-state sec 600
Andressi-9800L(config-params-parameter-map)#redirect for-login  
Andressi-9800L(config-params-parameter-map)#redirect append ap-mac tag ap_mac
Andressi-9800L(config-params-parameter-map)#redirect append wlan-ssid tag wlan
Andressi-9800L(config-params-parameter-map)#redirect append client-mac tag client_mac
Andressi-9800L(config-params-parameter-map)#redirect portal ipv4 
Andressi-9800L(config-params-parameter-map)#logout-window-disabled
Andressi-9800L(config-params-parameter-map)#success-window-disabled

Configuratie van RADIUS-servers op de 9800-controller

Stap 1. De RADIUS-servers configureren. Cisco Spaces fungeert als de RADIUS-server voor gebruikersverificatie en kan reageren op twee IP-adressen. Navigeer naar Configuratie > Beveiliging > AAA. Klik op +Toevoegen en configureer beide RADIUS-servers:

Opmerking: Als u het RADIUS-IP-adres en de geheime sleutel voor zowel primaire als secundaire servers wilt ophalen, klikt u op de optie Handmatig configureren in de SSID die is gemaakt in stap 3 van het gedeelte SSID maken op ruimten en navigeert u naar het gedeelte RADIUS-serverconfiguratie.

Stap 2. Configureer de RADIUS-servergroep en voeg beide RADIUS-servers toe. Navigeer naar Configuratie > Beveiliging > AAA > Servers / Groepen > RADIUS > Servergroepen, klik +toevoegen, configureer de naam van de servergroep, MAC-scheidingsteken als koppelteken, MAC-filtering als MAC en wijs de twee RADIUS-servers toe:

Stap 3. Configureer een lijst met verificatiemethoden. Navigeer naar Configuratie > Beveiliging > AAA > Methodenlijst > Authenticatie. Klik op +toevoegen. Configureer de naam van de methodenlijst, selecteer aanmelden als type en wijs de servergroep toe:

Stap 4. Configureer een lijst met autorisatiemethoden. Navigeer naar Configuratie > Beveiliging > AAA > Methodenlijst AAA > Autorisatie, klik op +toevoegen. Configureer de naam van de methodenlijst, selecteer netwerk als het type en wijs de servergroep toe:

De SSID maken op de 9800-controller

Stap 1. Navigeer naar Configuratie > Tags en profielen > WLAN's, klik op +Toevoegen. Configureer de profielnaam, SSID en schakel het WLAN in. Controleer of de SSID dezelfde naam heeft als de naam die is geconfigureerd in stap 3 van het gedeelte SSID maken op ruimten.

Stap 2. Navigeer naar Beveiliging > Layer2. Stel de Layer 2-beveiligingsmodus in op Geen, schakel MAC-filtering in en voeg de autorisatielijst toe:

Stap 3. Navigeer naar Beveiliging > Layer3. Schakel Webbeleid in, configureer de map met de parameter web-auth en de verificatielijst. Schakel On Mac Filter Failure in en voeg de ACL voor preverificatie toe. Klik op Toepassen op apparaat.

Beleidsprofiel configureren op de 9800-controller

Stap 1. Navigeer naar Configuratie > Codes en profielen > Beleid en maak een nieuw beleidsprofiel of gebruik het standaardbeleidsprofiel. Configureer op het tabblad Toegangsbeleid het client-VLAN en voeg het URL-filter toe.

Stap 2. Schakel op het tabblad Geavanceerd AAA Override in en configureer optioneel de lijst met boekhoudmethoden:

Beleidstag op de 9800-controller configureren

Stap 1. Navigeer naar Configuratie > Tags en profielen > Beleid. Maak een nieuwe beleidstag of gebruik de standaardbeleidstag. Koppel het WLAN aan het beleidsprofiel in de beleidstag.

Stap 2. Pas de beleidstag toe op het toegangspunt om de SSID uit te zenden. Navigeer naar Configuratie > Draadloos > Toegangspunten, selecteer het betreffende toegangspunt en voeg de beleidstag toe. Dit zorgt ervoor dat de AP de CAPWAP-tunnel opnieuw start en terugkeert naar de 9800-controller:

CLI-configuratie:

Andressi-9800L(config)#wlan   
Andressi-9800L(config-wlan)#ip access-group web 
Andressi-9800L(config-wlan)#no security wpa
Andressi-9800L(config-wlan)#no security wpa akm dot1x
Andressi-9800L(config-wlan)#no security wpa wpa2 ciphers aes
Andressi-9800L(config-wlan)#mac-filtering 
Andressi-9800L(config-wlan)#security web-auth 
Andressi-9800L(config-wlan)#security web-auth authentication-list  
Andressi-9800L(config-wlan)#security web-auth on-macfilter-failure
Andressi-9800L(config-wlan)#security web-auth parameter-map Andressi-9800L(config-wlan)#no shutdown

Andressi-9800L(config)#wireless profile policy 
Andressi-9800L(config-wireless-policy)#aaa-override
Andressi-9800L(config-wireless-policy)#accounting-list 
Andressi-9800L(config-wireless-policy)#vlan <id>
Andressi-9800L(config-wireless-policy)#urlfilter list pre-auth-filter 
Andressi-9800L(config-wireless-policy)#no shutdown

Andressi-9800L(config)#wireless tag policy 
Andressi-9800L(config-policy-tag)#wlan  policy 

De globale parameterkaart configureren

Onaanbevolen stap: Voer deze opdrachten uit om HTTPS-omleiding toe te staan, maar houd er rekening mee dat omleiden in client HTTPS-verkeer niet nodig is als het besturingssysteem van de client de detectie van een captive portal uitvoert en zwaarder CPU-gebruik veroorzaakt en altijd een certificaatwaarschuwing geeft. Het wordt aanbevolen om te voorkomen dat het wordt geconfigureerd, tenzij dit nodig is voor een zeer specifieke use case.

Andressi-9800L(config)#parameter-map type webauth global
Andressi-9800L(config-params-parameter-map)#intercept-https-enable

Opmerking: u moet een geldig SSL-certificaat hebben voor het virtuele IP-adres dat is geïnstalleerd in de draadloze controller uit de Cisco Catalyst 9800-reeks.

Stap 1. Kopieer het ondertekende certificaatbestand met extensie p12 naar een TFTP-server en voer deze opdracht uit om het certificaat over te zetten naar en te installeren op de 9800-controller:

Andressi-9800L(config)#crypto pki import  pkcs12 tftp://:/ password 

Stap 2. Voer de volgende opdrachten uit om het geïnstalleerde certificaat toe te wijzen aan de parameter map web auth:

Andressi-9800L(config)#parameter-map type webauth global
Andressi-9800L(config-params-parameter-map)#trustpoint 

Alleen FlexConnect Local Switching Access Points

In de installatie van flexconnect of EWC hebt u een extra stap nodig om het URL-filter naar de toegangspunten te pushen door de lijst met uitgebreide URL-filters te definiëren:

Navigeer naar Configuration > Security > URL Filters, klik onder Enhanced URL filter op+Add en configureer de lijstnaam. Voeg de URL splash.dnaspaces.io en Action as Permit toe.

CLI-configuratie:

EWC (config) #urlfilter enhanced-list DNASpaces-URLfilter
EWC (config—urIfilter-enhanced-params)#url splash.dnaspaces.io preference 1 action permit
EWC (config-urlfilter-params)#end

Lijst met URL-filters toepassen op Flex-profiel

Navigeer naar Configuratie > Tags en profielen > Flexibel en kies uw Flex-profiel. Navigeer vervolgens naar het tabblad ACL-beleid.

Kies WA-sec-10.235.248.212 ACL naam en voeg Enhanced URL filter zoals weergegeven in de afbeelding. Vergeet niet om op Opslaan te drukken en vervolgens Bijwerken en toepassen op het apparaat:

CLI-configuratie:

EWC(config)# wireless profile flex default-flex-profile
EWC(config-wireless-flex-profile)# acl-policy WA-sec-10.235.248.212
EWC(config-wireless-flex-profile-acl)# urlfilter list DNASpaces-URLfilter

U kunt controleren of ACL's naar het toegangspunt worden gepusht met behulp van deze opdrachten (vanuit de AP CLI):

show flexconnect url-acl
show ip access-lists

Opmerking: Verbeterde URL-filter wordt niet toegepast op het toegangspunt, tenzij u het bewerkt vanwege Cisco-bug-ID CSCwi16553 Als tijdelijke oplossing kunt u de IP-adressen van de DNA-ruimten handmatig in het nieuwe ACL opnemen en dat ACL toevoegen aan het flex-profiel. Voeg het vervolgens toe aan WLAN onder Beveiliging > Layer3 > vooraf ACL instellen.

Het portaal voor ruimten maken

Stap 1. Klik op Captive Portals in het dashboard van Spaces:

Stap 2. Klik op Nieuw maken, voer de naam van het portaal in en selecteer de locaties die het portaal kunnen gebruiken: 

Stap 3. Selecteer het type verificatie, kies of u gegevensvastlegging en gebruikersovereenkomsten wilt weergeven op de startpagina van het portaal en of gebruikers zich mogen aanmelden om een bericht te ontvangen. Klik op Volgende:

Stap 4. Configureer elementen voor gegevensvastlegging. Als u gegevens van de gebruikers wilt vastleggen, schakelt u het vak Gegevensvastlegging inschakelen in en klikt u op +Veldelement toevoegen om de gewenste velden toe te voegen. Klik op Volgende:

Stap 5. Controleer de Algemene voorwaarden inschakelen en klik op Portal opslaan en configureren:

Stap 6. Bewerk het portaal indien nodig. Klik op Opslaan:

Configureer de regels voor Captive Portal op Spaces

Stap 1. Klik op Captive Portals in het dashboard van Spaces:

Stap 2. Open het menu Captive Portal en klik op Captive Portal Rules:

Stap 3. Klik op + Nieuwe regel maken. Voer de naam van de regel in en kies de eerder geconfigureerde SSID.

Stap 4. Selecteer de locaties waar het portaal beschikbaar is. Klik op + Locaties toevoegen in de sectie LOCATIES. Kies de gewenste locatie uit de hiërarchie.

Stap 5. Kies de actie van de captive portal. In dit geval, wanneer de regel wordt geraakt, wordt het portaal weergegeven. Klik op Opslaan en publiceren.

Specifieke informatie van Spaces ophalen

Wat zijn de IP-adressen die Spaces gebruiken 

Om te controleren welke IP-adressen Spaces gebruiken voor het portaal in uw regio, navigeert u naar de pagina Captival Portal op de Cisco DNA Space-startpagina. Klik op SSID in het linkermenu en klik vervolgens op Handmatig configureren onder de SSID. De IP-adressen worden genoemd in het voorbeeld van ACL. Dat zijn de IP-adressen van het portaal voor gebruik in ACL's en webauth-parameterkaart. Spaces gebruiken andere IP-adressen voor de algehele NMSP/cloud-connectiviteit van het besturingsvlak.

In het eerste gedeelte van het pop-upvenster dat wordt weergegeven, ziet u in stap 7 de IP-adressen die worden vermeld in de ACL-definitie. U hoeft deze instructies niet te doen en een ACL te maken, maar let op de IP-adressen. Dit zijn de IP's die door het portaal in uw regio worden gebruikt

Wat is de URL die de Spaces Log In Portal gebruikt 

Om te controleren welke URL Spaces voor het portaal in uw regio wordt gebruikt, gaat u naar de pagina Captival Portal op de Cisco DNA Space-startpagina. Klik op SSID in het linkermenu en klik vervolgens op Handmatig configureren onder de SSID.

Scroll naar beneden naar het pop-upvenster dat verschijnt en in de tweede sectie toont stap 7 u de URL die u in uw parametermap op de 9800 moet configureren.

Wat zijn de RADIUS-serverdetails voor ruimten

Om erachter te komen wat de IP-adressen van de RADIUS-server zijn die u moet gebruiken, evenals het gedeelde geheim, navigeert u naar de pagina Captival Portal op de Cisco DNA Space-startpagina. Klik op SSID in het linkermenu en klik vervolgens op Handmatig configureren onder de SSID. 

In het pop-upvenster dat wordt weergegeven, scrolt u naar beneden in het derde gedeelte (RADIUS) en stap 7 geeft u de IP/poort en het gedeelde geheim voor radiusverificatie. Boekhouding is optioneel en wordt behandeld in stap 12.

Verifiëren

Als u de status wilt bevestigen van een client die is verbonden met de SSID, gaat u naar Controle > Clients. Klik op het MAC-adres van het apparaat en zoek naar de status van Policy Manager:

Problemen oplossen

Veelvoorkomende problemen

1. Als de virtuele interface op de controller geen IP-adres heeft geconfigureerd, worden de clients omgeleid naar het interne portaal in plaats van het omleidingsportaal dat is geconfigureerd in de parametermap.

2. Als clients een 503-fout ontvangen terwijl ze worden doorgestuurd naar het portaal op Spaces, moet u ervoor zorgen dat de controller is geconfigureerd in de locatiehiërarchie op Spaces.

Always-ON-tracering

WLC 9800 biedt altijd ON-traceringsmogelijkheden. Dit zorgt ervoor dat alle connectiviteitsgerelateerde fouten, waarschuwingen en meldingen op meldingsniveau voortdurend worden geregistreerd en dat u logboeken kunt bekijken voor een incident of een storing nadat deze zich heeft voorgedaan. 

Opmerking: afhankelijk van het volume van de logs die worden gegenereerd, kunt u een paar uur tot enkele dagen teruggaan.

Om de sporen te bekijken die 9800 WLC standaard heeft verzameld, kunt u via SSH/Telnet verbinding maken met de 9800 WLC en deze stappen uitvoeren. Zorg ervoor dat u de sessie vastlegt in een tekstbestand.

Stap 1. Controleer de huidige tijd van de controller, zodat u de logs kunt volgen in de tijd terug naar het moment waarop het probleem zich voordeed.

# show clock

 Stap 2. Verzamel syslogs van de controllerbuffer of de externe syslog zoals voorgeschreven door de systeemconfiguratie. Dit geeft een snel overzicht van de systeemstatus en eventuele fouten.

# show logging

Stap 3. Controleer of eventuele foutopsporingsvoorwaarden zijn ingeschakeld.

# show debugging
Cisco IOS XE Conditional Debug Configs:

Conditional Debug Global State: Stop

Cisco IOS XE Packet Tracing Configs:


Packet Infra debugs:

Ip Address                                               Port
------------------------------------------------------|----------

Opmerking: Als u een voorwaarde ziet die wordt vermeld, betekent dit dat de sporen worden aangemeld op foutopsporingsniveau voor alle processen die de ingeschakelde voorwaarden tegenkomen (mac-adres, IP-adres en binnenkort). Dit zou het volume van de logboeken vergroten. Daarom wordt aanbevolen om alle voorwaarden te wissen wanneer niet actief debuggen

Stap 4. Als het geteste MAC-adres niet als voorwaarde in stap 3 is vermeld, verzamelt u de traces voor het niveau van de always-on-melding voor het specifieke MAC-adres.

# show logging profile wireless filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file always-on-<FILENAME.txt> 

U kunt de inhoud van de sessie weergeven of het bestand kopiëren naar een externe TFTP-server.

# more bootflash:always-on-<FILENAME.txt>
or
# copy bootflash:always-on-<FILENAME.txt> tftp://a.b.c.d/path/always-on-<FILENAME.txt> 

Voorwaardelijke foutopsporing en radioactieve tracering 

Als de always-on traces u niet genoeg informatie geven om de trigger voor het onderzochte probleem te bepalen, kunt u voorwaardelijke foutopsporing inschakelen en Radio Active (RA)-tracering vastleggen, die foutopsporingsniveau-traces biedt voor alle processen die met de opgegeven voorwaarde interageren (client-MAC-adres in dit geval). Voer de volgende stappen uit om voorwaardelijk foutopsporing in te schakelen.

Stap 1. Zorg ervoor dat er geen foutopsporingsvoorwaarden zijn ingeschakeld.

# clear platform condition all

Stap 2. Schakel de voorwaarde debug in voor het draadloze MAC-adres van de client dat u wilt controleren.

Met deze opdrachten wordt het opgegeven MAC-adres gedurende 30 minuten (1800 seconden) gecontroleerd. U kunt deze tijd optioneel verhogen tot 2.085.978.494 seconden.

# debug wireless mac <aaaa.bbbb.cccc> {monitor-time <seconds>}

Opmerking: Als u meer dan één client tegelijk wilt controleren, voert u de opdracht debug wireless mac <aaaa.bbbb.cccc> per mac-adres uit.

Opmerking: U ziet niet de uitvoer van de clientactiviteit op de terminalsessie, omdat alles intern wordt gebufferd om later te worden bekeken.

Stap 3. Reproduceer het probleem of gedrag dat u wilt controleren.

Stap 4. Stop de foutopsporing als het probleem wordt gereproduceerd voordat de standaardtijd of de geconfigureerde monitortijd is verstreken.

# no debug wireless mac <aaaa.bbbb.cccc>

Nadat de tijd voor de monitor is verstreken of het draadloze foutopsporingsapparaat is gestopt, genereert de 9800 WLC een lokaal bestand met de naam:

ra_trace_MAC_aabbbbcccc_HMMSS.XXX_timezone_DayWeek_Month_Day_year.log

Stap 5. Verzamel het bestand van de MAC-adresactiviteit.  U kunt het ra trace.log naar een externe server kopiëren of de uitvoer rechtstreeks op het scherm weergeven.

Controleer de naam van het RA-traces-bestand

# dir bootflash: | inc ra_trace

Kopieer het bestand naar een externe server:

# copy bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log tftp://a.b.c.d/ra-FILENAME.txt

De inhoud weergeven:

# more bootflash:ra_trace_MAC_aaaabbbbcccc_HHMMSS.XXX_timezone_DayWeek_Month_Day_year.log

Stap 6. Als de hoofdoorzaak nog steeds niet duidelijk is, verzamelt u de interne logs die een uitgebreidere weergave zijn van logboeken op debugniveau. U hoeft de client niet opnieuw te debuggen, omdat u alleen een nadere gedetailleerde blik werpt op debug-logs die al zijn verzameld en intern zijn opgeslagen.

# show logging profile wireless internal filter { mac | ip } { <aaaa.bbbb.cccc> | <a.b.c.d> } to-file ra-internal-<FILENAME>.txt

Opmerking: deze opdrachtuitvoer retourneert sporen voor alle logboekniveaus voor alle processen en is vrij omvangrijk. Schakel Cisco TAC in om deze sporen te ontleden.

U kunt de ra-internal-FILENAME.txt kopiëren naar een externe server of de uitvoer rechtstreeks op het scherm weergeven.

Kopieer het bestand naar een externe server:

# copy bootflash:ra-internal-<FILENAME>.txt tftp://a.b.c.d/ra-internal-<FILENAME>.txt

De inhoud weergeven:

# more bootflash:ra-internal-<FILENAME>.txt

Stap 7. Verwijder de foutopsporingsvoorwaarden.

# clear platform condition all

Opmerking: zorg ervoor dat u altijd de foutopsporingsvoorwaarden verwijdert na een probleemoplossingssessie.

Voorbeeld van een geslaagde poging

Dit is de uitvoer van de RA_traces voor een succesvolle poging om elk van de fasen tijdens het associatie-/verificatieproces te identificeren terwijl verbinding wordt gemaakt met een SSID zonder RADIUS-server.

802.11 Associatie/authenticatie:

Association received. BSSID 10b3.d694.00ee, WLAN 9800DNASpaces, Slot 1 AP 10b3.d694.00e0, 2802AP-9800L
Received Dot11 association request. Processing started,SSID: 9800DNASpaces1, Policy profile: DNASpaces-PP, AP Name: 2802AP-9800L, Ap Mac Address: 10b3.d694.00e0 BSSID MAC0000.0000.0000 wlan ID: 1RSSI: 0, SNR: 32
Client state transition: S_CO_INIT -> S_CO_ASSOCIATING
dot11 send association response. Sending association response with resp_status_code: 0 
dot11 send association response. Sending assoc response of length: 144 with resp_status_code: 0, DOT11_STATUS: DOT11_STATUS_SUCCESS
Association success. AID 1, Roaming = False, WGB = False, 11r = False, 11w = False 
DOT11 state transition: S_DOT11_INIT -> S_DOT11_ASSOCIATED
Station Dot11 association is successful

IP Learn-proces:

IP-learn state transition: S_IPLEARN_INIT -> S_IPLEARN_IN_PROGRESS
Client IP learn successful. Method: ARP IP: 10.10.30.42
IP-learn state transition: S_IPLEARN_IN_PROGRESS -> S_IPLEARN_COMPLETE
Received ip learn response. method: IPLEARN_METHOD_AR

Layer 3-verificatie:

Triggered L3 authentication. status = 0x0, Success
Client state transition: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_L3_AUTH_IN_PROGRESS
L3 Authentication initiated. LWA 
Client auth-interface state transition: S_AUTHIF_L2_WEBAUTH_DONE -> S_AUTHIF_WEBAUTH_PENDING


Client auth-interface state transition: S_AUTHIF_L2_WEBAUTH_DONE -> S_AUTHIF_WEBAUTH_PENDING
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]GET rcvd when in INIT state
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]HTTP GET request
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]Parse GET, src [10.10.30.42] dst [10.107.4.52] url [http://www.msftconnecttest.com/connecttest.txt]
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]Retrieved user-agent = Microsoft NCSI
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]GET rcvd when in LOGIN state
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]HTTP GET request
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]Parse GET, src [10.10.30.42] dst [10.101.24.81] url [http://www.bbc.com/]
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]Retrieved user-agent = Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko
[webauth-httpd] [17798]: (info): capwap_90000005[34e1.2d23.a668][10.10.30.42]POST rcvd when in LOGIN state

Layer 3-verificatie geslaagd. De client verplaatsen naar de status UITVOEREN:

[34e1.2d23.a668:capwap_90000005] Received User-Name 34E1.2D23.A668 for client 34e1.2d23.a668
L3 Authentication Successful. ACL:[]
Client auth-interface state transition: S_AUTHIF_WEBAUTH_PENDING -> S_AUTHIF_WEBAUTH_DONE
%CLIENT_ORCH_LOG-6-CLIENT_ADDED_TO_RUN_STATE: Username entry (34E1.2D23.A668) joined with ssid (9800DNASpaces) for device with MAC: 34e1.2d23.a668
Managed client RUN state notification: 34e1.2d23.a668 
Client state transition: S_CO_L3_AUTH_IN_PROGRESS -> S_CO_RU