DNA Spaces Captive Portal met configuratievoorbeeld van AireOS-controller

Downloadopties

  • PDF     (924.3 KB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:3 mei 2021
Document-id:215424

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u captive portals kunt configureren met behulp van Cisco DNA Spaces met een AireOS-controller.

    Bijgedragen door Andres Silva Cisco TAC Engineer.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Toegang tot de draadloze controllers via de Command Line Interface (CLI) of de grafische gebruikersinterface (GUI)
    • Cisco DNA Spaces

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • 5520 Wireless LAN Controller versie 8.10.112.0

    Configureren

    Netwerkdiagram

    Screen Shot 2020-03-11 at 2.29.32 PM

    Configuraties

    Verbind de WLC met Cisco DNA Spaces

    De controller moet worden aangesloten op DNA Spaces met behulp van een van de beschikbare instellingen, Direct Connect, via DNA Spaces Connector of met behulp van CMX Tethering.

    In dit voorbeeld is de optie Direct Connect in gebruik, hoewel captive portals op dezelfde manier zijn geconfigureerd voor alle instellingen.

    Om de controller te verbinden met Cisco DNA Spaces, moet deze in staat zijn om Cisco DNA Spaces cloud te bereiken via HTTPS. Voor meer informatie over het verbinden van de controller met DNA Spaces verwijzen we naar deze link: DNA Spaces Direct Connect Configuration Voorbeeld

    De SSID maken op DNA-ruimten

    Stap 1. Klik op Captive Portals in het dashboard van DNA Spaces:

    Screen Shot 2020-03-11 at 2.54.36 PM

    Stap 2. Open het menu van de captive portal door op het pictogram met drie regels in de linkerbovenhoek van de pagina te klikken en op SSID's te klikken:

    Screen Shot 2020-03-11 at 2.59.24 PM

    Stap 3. Klik op SSID importeren/configureren, selecteer CUWN (CMX/WLC) als het type "Draadloos netwerk" en voer de naam van de SSID in:

    Screen Shot 2020-03-11 at 3.00.30 PM

    ACL-configuratie op de controller

    Een pre-authenticatie-ACL is vereist omdat dit een webverificatie-SSID is en zodra het draadloze apparaat verbinding maakt met de SSID en een IP-adres ontvangt, wordt de status van de beleidsmanager van het apparaat verplaatst naar de status Webauth_Reqd en wordt de ACL toegepast op de cliensessie om de bronnen te beperken die het apparaat kan bereiken.

    Stap 1. Navigeer naar Beveiliging > Toegangscontrolelijsten > Toegangscontrolelijsten, klik op Nieuw en configureer de regels om communicatie tussen de draadloze clients naar DNA-ruimten als volgt mogelijk te maken. Vervang de IP-adressen door de adressen die door DNA Spaces zijn opgegeven voor het account dat wordt gebruikt:

    Screen Shot 2020-03-11 at 4.15.05 PM

    Opmerking: Als u wilt dat de IP-adressen van DNA-ruimten worden toegestaan in de ACL, klikt u op de optie Handmatig configureren van de SSID die is gemaakt in stap 3 van de sectie SSID maken op DNA-ruimten onder de sectie ACL-configuratie.

    De SSID kan worden geconfigureerd voor gebruik van een RADIUS-server of zonder. Als die sessieduur, bandbreedtelimiet of naadloze internetprovisioning is geconfigureerd in het gedeelte Acties van de configuratie voor de regel voor interne portalen, moet de SSID worden geconfigureerd met een RADIUS-server, anders hoeft de RADIUS-server niet te worden gebruikt. Allerlei portalen op DNA Spaces worden ondersteund op beide configuraties.

    Captive Portal zonder RADIUS-server op DNA-ruimten

    SSID-configuratie op de controller

    Stap 1. Ga naar WLAN > WLAN's. Maak een nieuw WLAN. Configureer de profielnaam en SSID. Controleer of de SSID-naam hetzelfde is als de naam die is geconfigureerd in stap 3 van het gedeelte De SSID maken op DNA-ruimten.

    Screen Shot 2020-03-13 at 5.58.52 PM

    Stap 2. Beveiliging laag 2 configureren. Navigeer naar het tabblad Beveiliging > Laag 2 op het tabblad WLAN-configuratie en selecteer als Geen in het vervolgkeuzemenu van Laag 2-beveiliging. Zorg ervoor dat MAC-filtering is uitgeschakeld.

    Screen Shot 2020-03-13 at 6.01.13 PM

    Stap 3. Beveiliging laag 3 configureren. Navigeer naar het tabblad Beveiliging > Layer 3 op het tabblad WLAN-configuratie, configureer Webbeleid als de beveiligingsmethode Layer 3, Schakel Passthrough in, configureer de voorverificatie-ACL, schakel Globale configuratie overschrijven in als het webauteurstype is ingesteld als Extern, configureer de URL voor omleiden.

    Screen Shot 2020-03-13 at 6.03.49 PM

    Opmerking: Als u de omleidings-URL wilt ophalen, klikt u op de optie Handmatig configureren in de sectie SSID maken in stap 3 van De SSID maken op DNA-ruimten onder de sectie SSID-configuratie.

    Captive Portal met RADIUS-server op DNA-ruimten

    Opmerking: de RADIUS-server van DNA Spaces ondersteunt alleen PAP-verificatie die afkomstig is van de controller.

    Configuratie van RADIUS-servers op de controller

    Stap 1. Navigeer naar Beveiliging > AAA > RADIUS > Authenticatie, klik op Nieuw en voer de RADIUS-servergegevens in. Cisco DNA Spaces fungeert als de RADIUS-server voor gebruikersverificatie en kan reageren op twee IP-adressen. Beide RADIUS-servers configureren:

    Screen Shot 2020-03-11 at 4.24.45 PM

    Opmerking: Als u het RADIUS-IP-adres en de geheime sleutel voor zowel primaire als secundaire servers wilt ophalen, klikt u op de optie Handmatig configureren in de SSID die is gemaakt in stap 3 van het gedeelte SSID maken op DNA-ruimten en navigeert u naar de sectie RADIUS-serverconfiguratie.

    Stap 2. Configureer de RADIUS-boekhoudserver. Navigeer naar Beveiliging > AAA > RADIUS > Boekhouding en klik op Nieuw. Configureer dezelfde RADIUS-servers:

    Screen Shot 2020-03-11 at 4.28.26 PM

    SSID-configuratie op de controller

    Belangrijk: Voordat u begint met de SSID-configuratie, moet u ervoor zorgen dat Web Radius Authentication is ingesteld op "PAP" onder Controller > General.

    Stap 1. Ga naar WLAN > WLAN's. Maak een nieuw WLAN. Configureer de profielnaam en SSID. Controleer of de SSID-naam hetzelfde is als de naam die is geconfigureerd in stap 3 van het gedeelte De SSID maken op DNA-ruimten.

    Screen Shot 2020-03-13 at 5.58.52 PM

    Stap 2. Beveiliging laag 2 configureren. Navigeer naar het tabblad Beveiliging > Layer 2 op het tabblad WLAN-configuratie. Configureer Layer 2-beveiliging als Geen. Mac-filtering inschakelen.

    Screen Shot 2020-03-11 at 4.44.09 PM

    Stap 3. Beveiliging laag 3 configureren. Navigeer naar het tabblad Beveiliging > Laag 3 op het tabblad WLAN-configuratie, configureer Webbeleid als de beveiligingsmethode Layer 3, Fout bij Mac-filter inschakelen, preverificatie-ACL configureren, Algemene configuratie overschrijven inschakelen als het webauteurstype als Extern is ingesteld, configureer de URL voor omleiden.

    Screen Shot 2020-03-11 at 4.56.16 PM

    Stap 4. AAA-servers configureren. Navigeer naar het tabblad Beveiliging > AAA-servers op het tabblad WLAN-configuratie, schakel verificatieservers en boekhoudservers in en kies in het vervolgkeuzemenu de twee RADIUS-servers:

    Screen Shot 2020-03-11 at 5.03.32 PM

    Stap 6. De volgorde van de verificatieprioriteit voor gebruikers met een webauteur configureren. Navigeer naar het tabblad Beveiliging > AAA-servers op het tabblad WLAN-configuratie en stel RADIUS als eerste in.

    Screen Shot 2020-03-11 at 5.06.41 PM

    Stap 7. Navigeer naar het tabblad Geavanceerd op het tabblad WLAN-configuratie en schakel AAA-overschrijving toestaan in.

    Screen Shot 2020-03-11 at 5.10.37 PM

    Maak het portaal op DNA Spaces

    Stap 1. Klik op Captive Portals in het dashboard van DNA Spaces:

    Screen Shot 2020-03-11 at 2.54.36 PM

    Stap 2. Klik op Nieuwe maken, voer de naam van het portaal in en selecteer de locaties die het portaal kunnen gebruiken: 

    Screen Shot 2020-03-11 at 5.15.10 PM

    Stap 3. Selecteer het verificatietype, kies of u gegevensvastlegging en gebruikersovereenkomsten wilt weergeven op de startpagina van het portaal en of gebruikers zich mogen aanmelden om een bericht te ontvangen. Klik op Volgende:

    Screen Shot 2020-03-11 at 5.16.51 PM

    Stap 4. Configureer elementen voor gegevensvastlegging. Als u gegevens van de gebruikers wilt vastleggen, schakelt u het vak Gegevensvastlegging inschakelen in en klikt u op +Veldelement toevoegen om de gewenste velden toe te voegen. Klik op Volgende:

    Screen Shot 2020-03-11 at 5.23.28 PM

    Stap 5. Controleer de Algemene voorwaarden inschakelen en klik op Portal opslaan en configureren:

    Screen Shot 2020-03-11 at 5.24.56 PM

    Stap 6. Bewerk het portaal indien nodig en klik op Opslaan:

    Screen Shot 2020-03-11 at 5.31.14 PM

    Configureer de regels voor Captive Portal op DNA-ruimten

    Stap 1. Open het menu van het portaal captive en klik op de regels van het portaal captive:

    Screen Shot 2020-03-11 at 5.32.25 PM

    Stap 2. Klik op + Nieuwe regel maken. Voer de naam van de regel in, kies de eerder geconfigureerde SSID en selecteer de locaties waarvoor deze portaalregel beschikbaar is:

    Screen Shot 2020-03-11 at 5.34.38 PM

    Stap 3. Kies de actie van de captive portal. In dit geval, wanneer de regel wordt geraakt, wordt het portaal weergegeven. Klik op Opslaan en publiceren.

    Screen Shot 2020-03-11 at 5.36.50 PM

    Verifiëren

    Om de status van een client die is verbonden met de SSID te bevestigen, navigeert u naar Monitor > Clients, klikt u op het MAC-adres en zoekt u naar de status van Policy Manager:

    Screen Shot 2020-03-11 at 5.52.54 PM

    Problemen oplossen

    De volgende opdracht kan worden ingeschakeld in de controller voordat deze wordt getest om het associatie- en authenticatieproces van de client te bevestigen.

    (5520-Andressi) >debug client 
    (5520-Andressi) >debug web-auth redirect enable mac

    Dit is de uitvoer van een succesvolle poging om elk van de fasen tijdens het associatie-/verificatieproces te identificeren terwijl verbinding wordt gemaakt met een SSID zonder RADIUS-server:

    802.11 Associatie/authenticatie:

    *apfOpenDtlSocket: Apr 09 21:49:06.227: 34:e1:2d:23:a6:68 Received management frame ASSOCIATION REQUEST on BSSID 70:d3:79:dd:d2:0f destination addr 70:d3:79:dd:d2:0f slotid 1
    *apfMsConnTask_5: Apr 09 21:49:06.227: 34:e1:2d:23:a6:68 Updating the client capabiility as 4
    *apfMsConnTask_5: Apr 09 21:49:06.227: 34:e1:2d:23:a6:68 Processing assoc-req station:34:e1:2d:23:a6:68 AP:70:d3:79:dd:d2:00-01 ssid : AireOS-DNASpaces thread:bd271d6280
    *apfMsConnTask_5: Apr 09 21:49:06.227: 34:e1:2d:23:a6:68 CL_EVENT_ASSOC_START (1), reasonCode (1), Result (0), Ssid (AireOS-DNASpaces), ApMac (70:d3:79:dd:d2:00), RSSI (-72), SNR (22)
    *apfMsConnTask_5: Apr 09 21:49:06.228: 34:e1:2d:23:a6:68 Sending assoc-resp with status 0 station:34:e1:2d:23:a6:68 AP:70:d3:79:dd:d2:00-01 on apVapId 1

    DHCP- en Layer 3-verificatie:

    *apfMsConnTask_5: Apr 09 21:49:06.228: 34:e1:2d:23:a6:68 Mobility query, PEM State: DHCP_REQD
    *webauthRedirect: Apr 09 21:49:51.949: captive-bypass detection enabled, checking for wispr in HTTP GET, client mac=34:e1:2d:23:a6:68
    *webauthRedirect: Apr 09 21:49:51.949: captiveNetworkMode enabled, mac=34:e1:2d:23:a6:68 user_agent = AnyConnect Agent 4.7.04056
    *webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Preparing redirect URL according to configured Web-Auth type
    *webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- unable to get the hostName for virtual IP, using virtual IP =192.0.2.1
    *webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Checking custom-web config for WLAN ID:1
    *webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Global status is 0 on WLAN 
    *webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- checking on WLAN web-auth type
    *webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Web-auth type External, using URL:https://splash.dnaspaces.io/p2/mexeast1
    *webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Added switch_url, redirect URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html
    *webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Added ap_mac (Radio ), redirect URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00
    *webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Added client_mac , redirect URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6
    *webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- Added wlan, redirect URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6:68&wla
    *webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- http_response_msg_body1 is <HTML><HEAD><TITLE> Web Authentication Redirect</TITLE><META http-equiv="Cache-control" content="no-cache"><META http-equiv="Pragma" content="
    *webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- added redirect=, URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6:68&wlan=Ai
    *webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- str1 is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6:68&wlan=AireOS-DNASpaces&r

    *webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- Message to be sent is
    HTTP/1.1 200 OK
    Location: https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:
    *webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- 200 send_data =HTTP/1.1 200 OK
    Location: https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23
    *webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- send data length=688
    *webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- Url:https://splash.dnaspaces.io/p2/mexeast1 
    *webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- cleaning up after send

    Layer 3-verificatie geslaagd, de client verplaatsen naar de status RUN:

    *emWeb: Apr 09 21:49:57.633: Connection created for MAC:34:e1:2d:23:a6:68
    *emWeb: Apr 09 21:49:57.634: 
    ewaURLHook: Entering:url=/login.html, virtIp = 192.0.2.1, ssl_connection=0, secureweb=1

    *ewmwebWebauth1: Apr 09 21:49:57.634: 34:e1:2d:23:a6:68 10.10.30.42 WEBAUTH_NOL3SEC (14) Change state to RUN (20) last state WEBAUTH_NOL3SEC (14)
    *ewmwebWebauth1: Apr 09 21:49:57.634: 34:e1:2d:23:a6:68 CL_EVENT_WEB_AUTH_DONE (8), reasonCode (0), Result (0), ServerIp (), UserName ()
    *ewmwebWebauth1: Apr 09 21:49:57.634: 34:e1:2d:23:a6:68 CL_EVENT_RUN (9), reasonCode (0), Result (0), Role (1), VLAN/VNID (20), Ipv4Addr (10.10.30.42), Ipv6Present (No)
    *ewmwebWebauth1: Apr 09 21:49:57.634: 34:e1:2d:23:a6:68 10.10.30.42 RUN (20) Successfully plumbed mobile rule (IPv4 ACL ID 255, IPv6 ACL ID 255, L2 ACL ID 255,URL ACL ID 255,URL ACL Action 0)

    *emWeb: Apr 09 21:49:57.634: User login successful, presenting login success page to user

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    22-Apr-2020
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Andres Silva
      Cisco TAC

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten