Introduction
Este documento descreve como configurar a autenticação da Web central com pontos de acesso (APs) FlexConnect em um controlador de LAN sem fio (WLC) com Identity Services Engine (ISE) no modo de switching local.
Nota importante: Neste momento, a autenticação local nos FlexAPs não é suportada para este cenário.
Outros documentos nesta série
Prerequisites
Requirements
Não existem requisitos específicos para este documento.
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- Cisco Identity Services Engine (ISE), versão 1.2.1
- Software da controladora de LAN sem fio, versão - 7.4.100.0
Configurar
Há vários métodos para configurar a autenticação da Web central no Wireless LAN Controller (WLC). O primeiro método é a autenticação da Web local na qual a WLC redireciona o tráfego HTTP para um servidor interno ou externo no qual o usuário é solicitado a autenticar. Em seguida, a WLC busca as credenciais (enviadas por meio de uma solicitação HTTP GET no caso de um servidor externo) e faz uma autenticação RADIUS. No caso de um usuário convidado, um servidor externo (como Identity Service Engine (ISE) ou NAC Guest Server (NGS)) é necessário, pois o portal fornece recursos como registro de dispositivos e autoprovisionamento. Esse processo inclui estas etapas:
- O usuário se associa ao SSID de autenticação da Web.
- O usuário abre seu navegador.
- A WLC é redirecionada para o portal do convidado (como ISE ou NGS) assim que uma URL é inserida.
- O usuário se autentica no portal.
- O portal do convidado redireciona de volta para a WLC com as credenciais inseridas.
- A WLC autentica o usuário convidado via RADIUS.
- A WLC redireciona de volta para a URL original.
Esse processo inclui muito redirecionamento. A nova abordagem é usar a autenticação da Web central que funciona com ISE (versões posteriores à 1.1) e WLC (versões posteriores à 7.2). Esse processo inclui estas etapas:
- O usuário se associa ao SSID de autenticação da Web.
- O usuário abre seu navegador.
- A WLC é redirecionada para o portal do convidado.
- O usuário se autentica no portal.
- O ISE envia uma alteração de autorização RADIUS (CoA - UDP Port 1700) para indicar ao controlador que o usuário é válido e, eventualmente, envia atributos RADIUS como a Access Control List (ACL).
- O usuário é solicitado a repetir o URL original.
Esta seção descreve as etapas necessárias para configurar a autenticação da Web central em WLC e ISE.
Diagrama de Rede
Essa configuração utiliza esta configuração de rede:

Configuração de WLC
A configuração da WLC é bastante simples. Um truque? é usado (como em switches) para obter o URL de autenticação dinâmica do ISE. (Como ele usa CoA, uma sessão precisa ser criada, pois a ID da sessão faz parte do URL.) O SSID é configurado para usar a filtragem de MAC e o ISE é configurado para retornar uma mensagem Access-Accept mesmo que o endereço MAC não seja encontrado para que ele envie o URL de redirecionamento para todos os usuários.
Além disso, o Controle de Admissão de Rede (NAC - Network Admission Control) RADIUS e a Substituição de AAA devem ser ativados. O RADIUS NAC permite que o ISE envie uma solicitação de CoA que indica que o usuário agora está autenticado e pode acessar a rede. Também é usado para avaliação de postura na qual o ISE altera o perfil do usuário com base no resultado da postura.
- Certifique-se de que o servidor RADIUS tenha RFC3576 (CoA) ativado, que é o padrão.

- Crie uma nova WLAN. Este exemplo cria uma nova WLAN chamada CWAFlex e a atribui à vlan33. Observe que não terá muito efeito, já que o ponto de acesso está no modo de comutação local.

- Na guia Segurança, ative a filtragem de MAC como segurança de camada 2.

- Na guia Layer 3 (Camada 3), verifique se a segurança está desativada. (Se a autenticação da Web estiver habilitada na Camada 3, a autenticação da Web local estará habilitada, e não a autenticação da Web central.)

- Na guia Servidores AAA, selecione o servidor ISE como servidor radius para a WLAN. Opcionalmente, você pode selecioná-lo para contabilidade para ter informações mais detalhadas sobre o ISE.

- Na guia Avançado, certifique-se de que Permitir substituição de AAA esteja marcada e que o NAC de RADIUS esteja selecionado para o estado NAC.

- Crie uma ACL de redirecionamento.
Essa ACL é referenciada na mensagem Access-Accept do ISE e define qual tráfego deve ser redirecionado (negado pela ACL), bem como qual tráfego não deve ser redirecionado (permitido pela ACL). Basicamente, o DNS e o tráfego de/para o ISE precisam ser permitidos.
Note: Um problema com os APs FlexConnect é que você deve criar uma ACL FlexConnect separada da ACL normal. Esse problema está documentado no bug Cisco CSCue68065 e é corrigido na versão 7.5. Na WLC 7.5 e posterior, somente uma FlexACL é necessária e nenhuma ACL padrão é necessária. A WLC espera que a ACL de redirecionamento retornada pelo ISE seja uma ACL normal. No entanto, para garantir que funcione, você precisa da mesma ACL aplicada que a ACL FlexConnect.
Este exemplo mostra como criar uma ACL FlexConnect chamada flexred:

- Crie regras para permitir o tráfego DNS, bem como o tráfego para o ISE e negar o resto.

Se quiser a segurança máxima, você pode permitir apenas a porta 8443 para ISE. (Se estiver posturando, você deve adicionar portas de postura típicas, como 8905.8906.8909.8910.)
- (Somente no código anterior à versão 7.5 devido a CSCue68065) Escolha Segurança > Listas de Controle de Acesso para criar uma ACL idêntica com o mesmo nome.

- Prepare o AP FlexConnect específico. Observe que, para uma implantação maior, você normalmente usaria grupos FlexConnect e não executaria esses itens por AP por razões de escalabilidade.
- Clique em Wireless e selecione o ponto de acesso específico.
- Clique na guia FlexConnect e clique em External Webauthentication ACLs. (Antes da versão 7.4, essa opção era nomeada políticas da Web.)

- Adicione a ACL (nomeada flexred neste exemplo) à área de políticas da Web. Isso preenvia a ACL para o ponto de acesso. Ele ainda não é aplicado, mas o conteúdo da ACL é fornecido ao AP para que possa ser aplicado quando necessário.

A configuração da WLC está concluída.
Configuração do ISE
Criar o perfil de autorização
Conclua estes passos para criar o perfil de autorização:
Clique em Política e, em seguida, clique em Elementos de política.
Clique em Results (Resultados).
Expanda autorização e clique em perfil de autorização.
Clique no botão Adicionar para criar um novo perfil de autorização para a webauth central.
No campo Nome, digite um nome para o perfil. Este exemplo usa CentralWebauth.
Escolha ACCESS_ACCEPT na lista suspensa Tipo de acesso.
Marque a caixa de seleção Web Authentication e escolha Centralized Web Auth na lista suspensa.
No campo ACL, insira o nome da ACL na WLC que define o tráfego que será redirecionado. Este exemplo usa flexred.
Escolha Padrão na lista suspensa Redirecionar.
O atributo Redirect define se o ISE vê o portal da Web padrão ou um portal da Web personalizado criado pelo administrador do ISE. Por exemplo, a ACL flexred neste exemplo aciona um redirecionamento sobre o tráfego HTTP do cliente para qualquer lugar.

Criar uma regra de autenticação
Conclua estes passos para usar o perfil de autenticação para criar a regra de autenticação:
- No menu Política, clique em Autenticação.
Esta imagem mostra um exemplo de como configurar a regra de política de autenticação. Neste exemplo, uma regra é configurada para disparar quando a filtragem MAC é detectada.

- Digite um nome para a sua regra de autenticação. Este exemplo usa Mab sem fio.
- Selecione o ícone de mais (+) no campo Condição If.
- Escolha Condição composta e escolha Wireless_MAB.
- Escolha "Acesso à rede padrão" como protocolo permitido.
- Clique na seta ao lado de e ... para expandir ainda mais a regra.
- Clique no + ícone no campo Origem da identidade e escolha Pontos de extremidade internos.
- Escolha Continuar na lista suspensa Se o usuário não for encontrado.

Essa opção permite que um dispositivo seja autenticado (através da webauth) mesmo que seu endereço MAC não seja conhecido. Os clientes Dot1x ainda podem autenticar com suas credenciais e não devem se preocupar com essa configuração.
Criar uma regra de autorização
Agora há várias regras para configurar na política de autorização. Quando o PC estiver associado, ele passará pela filtragem mac; presume-se que o endereço MAC não é conhecido, portanto, a web e a ACL são retornadas. Esta regra MAC desconhecido é mostrada na imagem abaixo e configurada nesta seção.

Conclua estes passos para criar a regra de autorização:
Crie uma nova regra e digite um nome. Este exemplo usa MAC desconhecido.
Clique no ícone de mais ( +) no campo condição e escolha criar uma nova condição.
Expanda a lista suspensa expressão.
Escolha Acesso à rede e expanda-o.
Clique em AuthenticationStatus e escolha o operador Equals.
Escolha UnknownUser no campo à direita.
Na página Autorização geral, escolha CentralWebauth (Perfil de autorização) no campo à direita da palavra então.
Essa etapa permite que o ISE continue mesmo que o usuário (ou o MAC) não seja conhecido.
Os usuários desconhecidos agora são apresentados com a página Login. No entanto, uma vez digitadas as credenciais, eles serão novamente apresentados com uma solicitação de autenticação no ISE; portanto, outra regra deve ser configurada com uma condição atendida se o usuário for um usuário convidado. Neste exemplo, se UseridentityGroup for igual a Guest é usado, e supõe-se que todos os convidados pertençam a este grupo.
Clique no botão de ações localizado no final da regra MAC not known e escolha inserir uma nova regra acima.
Observação: é muito importante que essa nova regra vem antes da regra MAC desconhecida.
Digite 2º AUTH no campo de nome.
- Selecione um grupo de identidade como condição. Este exemplo escolheu Convidado.
- No campo condição, clique no ícone de mais (+) e escolha criar uma nova condição.
- Escolha Network Access e clique em UseCase.
- Escolha Igual ao operador.
- Escolha GuestFlow como o operando certo. Isso significa que você pegará usuários que acabaram de fazer login na página da Web e retornarão após uma alteração de autorização (a parte do fluxo de convidado da regra) e somente se eles pertencerem ao grupo de identidade de convidado.
- Na página de autorização, clique no ícone de mais (+) (ao lado de então) para escolher um resultado para sua regra.
Neste exemplo, um perfil pré-configurado (vlan34) é atribuído; esta configuração não é mostrada neste documento.
Você pode escolher uma opção Permit Access ou criar um perfil personalizado para retornar a VLAN ou os atributos que desejar.
Nota importante: No ISE Versão 1.3, dependendo do tipo de autenticação da Web, o caso de uso "fluxo de convidado" pode não ser mais encontrado. A regra de autorização deverá conter o grupo de usuários convidados como a única condição possível.
Habilitar a renovação de IP (opcional)
Se você atribuir uma VLAN, a etapa final é que o PC cliente renove seu endereço IP. Esta etapa é alcançada pelo portal de convidados para clientes Windows. Se você não configurou uma VLAN para a segunda regra AUTH antes, você pode ignorar esta etapa.
Observe que nos APs FlexConnect, a VLAN precisa pré-existir no próprio AP. Portanto, se isso não acontecer, você poderá criar um mapeamento VLAN-ACL no próprio AP ou no grupo flex onde não aplicará nenhuma ACL para a nova VLAN que deseja criar. Na verdade, isso cria uma VLAN (sem ACL nela).
Se você atribuiu uma VLAN, faça o seguinte para habilitar a renovação do IP:
Clique em Administration e, em seguida, clique em Guest Management.
Clique em Configurações.
Expanda Convidado e, em seguida, expanda Configuração de vários portais.
Clique em DefaultGuestPortal ou no nome de um portal personalizado que você pode ter criado.
Clique na caixa de seleção Vlan DHCP Release.
Observação: esta opção funciona somente para clientes Windows.
Fluxo de tráfico
Pode parecer difícil entender qual tráfego é enviado para onde neste cenário. Aqui está uma breve revisão:
- O cliente envia a solicitação de associação pelo ar para o SSID.
- A WLC lida com a autenticação de filtragem MAC com o ISE (onde recebe os atributos de redirecionamento).
- O cliente somente recebe uma resposta assoc após a conclusão da filtragem MAC.
- O cliente envia uma solicitação DHCP e isso é LOCALMENTE comutado pelo ponto de acesso para obter um endereço IP do local remoto.
- No estado Central_webauth, o tráfego marcado para negar na ACL de redirecionamento (de modo que HTTP normalmente) é CENTRALMENTE comutado. Portanto, não é o AP que faz o redirecionamento, mas a WLC; por exemplo, quando o cliente solicita qualquer site, o AP envia isso para a WLC encapsulada em CAPWAP e as spoofs da WLC que o endereço IP do site e redireciona para o ISE.
- O cliente é redirecionado para o URL de redirecionamento do ISE. Isto é LOCALMENTE comutado novamente (porque ele atinge a permissão na ACL de redirecionamento flex).
- Uma vez no estado RUN, o tráfego é comutado localmente.
Verificar
Quando o usuário estiver associado ao SSID, a autorização será exibida na página ISE.

De baixo para cima, você pode ver a autenticação de filtragem de endereços MAC que retorna os atributos CWA. A seguir, o login do portal com o nome de usuário. O ISE envia um CoA para a WLC e a última autenticação é uma autenticação de filtragem mac de camada 2 no lado da WLC, mas o ISE lembra o cliente e o nome de usuário e aplica a VLAN necessária configurada neste exemplo.
Quando qualquer endereço é aberto no cliente, o navegador é redirecionado para o ISE. Verifique se o DNS (Domain Name System) está configurado corretamente.

O acesso à rede é concedido depois que o usuário aceita as políticas.

No controlador, o estado do Policy Manager e o estado do RADIUS NAC mudam de POSTURE_REQD para RUN.