本文說明如何使用外部Web伺服器設定無線LAN控制器(WLC)以進行Web驗證。
嘗試此組態之前,請確保符合以下要求:
輕量型存取點(LAP)和Cisco WLC組態的基本知識
輕量型存取點通訊協定(LWAPP)以及無線存取點控制和布建(CAPWAP)的基本知識
瞭解如何設定和配置外部Web伺服器
瞭解如何設定和配置DHCP和DNS伺服器
本文中的資訊係根據以下軟體和硬體版本:
Cisco 4400 WLC(執行韌體版本7.0.16.0)
Cisco 1131AG系列LAP
執行韌體版本3.6的Cisco 802.11a/b/g無線使用者端配接器
承載Web驗證登入頁面的外部Web伺服器
DNS和DHCP伺服器,用於向無線客戶端分配地址解析和IP地址
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
如需文件慣例的詳細資訊,請參閱思科技術提示慣例。
Web驗證是第3層安全功能,會導致控制器不允許來自特定使用者端的IP流量(DHCP和DNS相關封包除外),直到該使用者端正確提供了有效的使用者名稱和密碼。Web驗證是一種簡單的驗證方法,不需要請求方或客戶端實用程式。
可以使用以下工具執行Web驗證:
WLC上的預設登入視窗
WLC上預設登入視窗的修改版本
在外部Web伺服器上配置的自定義登入視窗(外部Web身份驗證)
可下載到控制器的自訂登入視窗
本文提供一個組態範例,說明如何設定WLC以使用外部Web伺服器的登入指令碼。
使用外部Web驗證時,用於Web驗證的登入頁面會儲存在外部Web伺服器上。以下是無線使用者端嘗試存取已啟用外部Web驗證的WLAN網路時的事件序列:
使用者端(一般使用者)連線到WLAN,然後開啟Web瀏覽器並輸入URL,例如www.cisco.com。
使用者端向DNS伺服器傳送DNS要求,以便將www.cisco.com解析為IP位址。
WLC將要求轉送到DNS伺服器,而DNS伺服器會將www.cisco.com解析為IP位址,並傳送DNS回覆。控制器將回覆轉送到使用者端。
使用者端嘗試透過將TCP SYN封包傳送到www.cisco.comwww.cisco.com的IP位址來啟動TCP連線。
WLC有為使用者端設定的規則,因此可以作為www.cisco.com的代理。它將TCP SYN-ACK資料包發回客戶端,源地址為www.cisco.com。客戶端發回TCP ACK資料包以完成三向TCP握手,並且TCP連線已完全建立。
使用者端將目的地為www.google.com的HTTP GET封包傳送到。WLC會攔截此封包,並將其傳送以進行重新導向處理。HTTP應用網關準備一個HTML正文,並將其作為客戶端請求的HTTP GET的回覆傳送回來。此HTML讓使用者端前往WLC的預設網頁URL,例如http://<Virtual-Server-IP>/login.html。
然後使用者端會啟動與重新導向URL的HTTPS連線,此重新導向URL會將其傳送到1.1.1.1。這是控制器的虛擬IP地址。使用者端必須驗證伺服器憑證或將其忽略,才能啟動SSL通道。
由於外部Web驗證已啟用,WLC會將使用者端重新導向到外部Web伺服器。
外部Web驗證登入URL附加了引數,例如AP_Mac_Address、client_url(www.cisco.com),以及使用者端需要與控制器Web伺服器連線的action_URL。
注意:action_URL通知Web伺服器使用者名稱和密碼儲存在控制器上。憑證必須傳回控制器才能通過驗證。
外部Web伺服器URL將使用者導向登入頁面。
登入頁面取得使用者憑證輸入,並將要求傳回WLC Web伺服器的action_URL,例如http://1.1.1.1/login.html。
WLC Web 伺服器提交使用者名稱和密碼以進行驗證。
WLC起始RADIUS伺服器要求或使用WLC上的本機資料庫並驗證使用者的身分。
如果驗證成功,WLC Web伺服器會將使用者轉送到已設定的重新導向URL或使用者端用來啟動的URL,例如www.cisco.com。
如果驗證失敗,WLC Web伺服器會將使用者重新導向回客戶登入URL。
注意:若要將外部Web驗證設定為使用HTTP和HTTPS以外的連線埠,請發出以下命令:
(Cisco Controller) >config network web-auth-port <port> Configures an additional port to be redirected for web authentication.
配置示例使用此設定。LAP已註冊到WLC。您需要為訪客使用者設定WLAN guest,且必須為使用者啟用Web驗證。您還需要確保控制器將使用者重新導向到外部Web伺服器URL(用於外部Web驗證)。外部Web伺服器承載用於驗證的Web登入頁面。
必須根據控制器上維護的本地資料庫驗證使用者憑據。驗證成功後,應允許使用者訪問WLAN訪客。需要為此設定配置控制器和其他裝置。
注意:您可以使用自定義版本的登入指令碼,該指令碼將用於Web身份驗證。您可以從思科軟體下載頁面下載範例Web驗證指令碼。例如,若是4400控制器,請導覽至Products > Wireless > Wireless LAN Controller > Standalone Controllers > Cisco 4400 Series Wireless LAN Controllers > Cisco 4404 Wireless LAN Controller > Software on Chassis > Wireless Lan Controller Web Authentication Bundle-1.0.1,然後下載webauth_bundle.zip檔案。
注意:自訂Web身份驗證套件最多只能包含30個字元的檔名。請確保套件組合中的檔案名稱不超過30個字元。
注意:本文檔假定配置了DHCP、DNS和外部Web伺服器。有關如何配置DHCP、DNS和外部Web伺服器的資訊,請參閱相應的第三方文檔。
設定WLC以進行外部Web驗證之前,必須設定WLC以達成基本操作並將LAP註冊到WLC。本檔案假設WLC已設定為基本操作,且LAP已註冊到WLC。如果您是嘗試設定WLC以進行LAP基本操作的新使用者,請參閱向無線LAN控制器(WLC)註冊輕量AP(LAP)。
完成以下步驟,以便為此設定配置LAP和WLC:
完成以下步驟,為訪客使用者建立動態介面:
在WLC GUI中選擇Controllers > Interfaces。
出現Interfaces視窗。此視窗列出控制器上配置的介面。這包括預設介面,即管理介面、ap-manager介面、虛擬介面和服務埠介面以及使用者定義的動態介面。
按一下「New」以建立一個新的動態介面。
在Interfaces > New視窗中,輸入介面名稱和VLAN Id。然後按一下Apply。
在本例中,動態介面命名為guest,且VLAN Id指派為10。
在Interfaces > Edit視窗中,為動態介面輸入IP地址、子網掩碼和預設網關。將其分配給WLC上的物理埠,並輸入DHCP伺服器的IP地址。然後,按一下「Apply」。
使用外部Web伺服器進行Web驗證時,某些WLC平台需要外部Web伺服器(Cisco 5500系列控制器、Cisco 2100系列控制器、Cisco 2000系列和控制器網路模組)的預驗證ACL。對其他WLC平台,預身份驗證ACL不是強制性的。
但是,使用外部Web驗證時,最好為外部Web伺服器設定預先驗證ACL。
完成以下步驟,以便為WLAN設定預先驗證ACL:
在WLC GUI中選擇Security > Access Control Lists。
此視窗允許您檢視與標準防火牆ACL類似的當前ACL。
按一下New以建立一個新的ACL。
輸入ACL的名稱,然後按一下Apply。
在本範例中,ACL命名為Pre-Auth-for-External-Web-Server。
對於建立的新ACL,請點選Edit。
此時會顯示ACL > Edit視窗。此視窗允許使用者定義新規則或修改現有ACL的規則。
按一下「Add New Rule」。
定義允許客戶端訪問外部Web伺服器的ACL規則。
在本示例中,172.16.1.92是外部Web伺服器IP地址。
按一下Apply以提交變更。
訪客使用者的使用者資料庫可以儲存在無線LAN控制器的本地資料庫中,也可以儲存在控制器的外部。
本檔案中使用控制器上的本機資料庫對使用者進行驗證。您必須建立本地網路使用者並定義Web身份驗證客戶端登入的密碼。完成以下步驟,以便在WLC上建立使用者資料庫:
在WLC GUI中選擇Security。
從左側的AAA選單中按一下Local Net Users。
按一下「New」以建立一個新使用者。
此時將顯示一個要求輸入使用者名稱和密碼資訊的新視窗。
輸入使用者名稱和密碼以建立新使用者,然後確認要使用的密碼。
此示例建立名為User1的使用者。
如果您選擇,請新增說明。
此示例使用Guest User1。
按一下「Apply」以儲存新使用者組態。
重複步驟3-6,向資料庫新增更多使用者。
下一步是為外部Web驗證設定WLC。請完成以下步驟:
在控制器GUI上,選擇Security > Web Auth > Web Login Page以存取Web Login Page。
在「Web Authentication Type」下拉框中選擇External(Redirect to external server)。
在「外部Web伺服器」部分,新增新的外部Web伺服器。
在「登入後重新導向URL」欄位中,輸入在成功驗證時將終端使用者重新導向到的頁面的URL。在「External Web Auth URL」欄位中,輸入登入頁面儲存在外部Web伺服器上的URL。
注意:在WLC 5.0及更新版本中,也可自訂Web驗證的註銷頁面。有關如何配置它的詳細資訊,請參閱無線LAN控制器組態設定指南5.2的每WLAN分配登入、登入失敗和登出頁面一節。
最後一步是為訪客使用者建立WLAN。請完成以下步驟:
在控制器GUI上按一下「WLANs」以建立WLAN。
出現WLANs視窗。此視窗列出控制器上設定的WLAN。
按一下New以設定新的WLAN。
在本範例中,WLAN命名為Guest,WLAN ID為1。
按一下「Apply」。
在WLAN > Edit視窗中,定義特定於WLAN的引數。
對於訪客WLAN,在General頁籤中,從Interface Name欄位選擇適當的介面。
此範例將先前建立的動態介面guest對應到WLAN guest。
轉到「安全」頁籤。在Layer 2 Security下,本示例中選擇None。
注意:802.1x身份驗證不支援Web身份驗證。這表示使用Web驗證時,不能選擇802.1x或具有802.1x的WPA/WPA2作為第2層安全性。所有其他第2層安全引數都支援Web驗證。
在Layer 3 Security欄位中,選中Web Policy覈取方塊並選擇Authentication選項。
之所以選擇此選項,是因為使用Web驗證來驗證無線訪客使用者端。
從下拉選單中選擇適當的預身份驗證ACL。
在本範例中,使用先前建立的預先驗證ACL。
按一下「Apply」。
無線客戶端啟動,使用者在Web瀏覽器中輸入URL,例如www.cisco.com。由於使用者尚未通過驗證,因此WLC會將使用者重新導向到外部Web登入URL。
系統將提示使用者輸入使用者憑證。使用者提交使用者名稱和密碼後,登入頁面取得使用者憑證輸入,在提交時將要求傳回WLC Web伺服器的action_URL範例http://1.1.1.1/login.html。提供此項目是要作為客戶重新導向 URL 的輸入參數,其中 1.1.1.1 是交換器上的虛擬介面位址。
WLC會根據WLC上設定的本機資料庫驗證使用者的身分。驗證成功後,WLC Web伺服器會將使用者轉送到已設定的重新導向URL或使用者端用來啟動的URL,例如www.cisco.com。
使用這些debug指令可對組態進行疑難排解。
debug mac addr <client-MAC-address xx:xx:xx:xx:xx:xx>
debug aaa all enable
debug pem state enable
debug pem events enable
debug dhcp message enable
debug dhcp packet enable
debug pm ssh-appgw enable
debug pm ssh-tcp enable
使用本節內容,對組態進行疑難排解。
問題:將使用者端重新導向到思科的外部Web驗證伺服器時,會收到憑證警告。伺服器上有一個有效的憑證,如果您直接連線到外部Web驗證伺服器,系統不會收到憑證警告。這是因為WLC的虛擬IP位址(1.1.1.1)會呈現給使用者端,而不是與憑證相關聯的外部Web驗證伺服器的實際IP位址?
解決方案:是。無論您執行本機還是外部Web驗證,您仍會按控制器上的內部Web伺服器。重新導向到外部Web伺服器時,除非控制器本身上有有效的憑證,否則您仍會收到控制器傳來的憑證警告。如果將重新導向傳送到https,除非控制器和外部Web伺服器都擁有有效的憑證,否則您會收到憑證警告。
若要一起清除憑證警告,需要發出根級憑證並將其下載到控制器上。系統會為主機名核發憑證,並將該主機名放在DNS主機名框中,位於控制器上的虛擬介面下。您還需要將主機名新增到本地DNS伺服器,並將其指向WLC的虛擬IP地址(1.1.1.1)。
如需詳細資訊,請參閱在WLAN控制器(WLC)上產生第三方憑證的憑證簽署請求(CSR)。
問題:將控制器升級到4.2.61.0後,當您使用下載的網頁進行Web驗證時,會顯示「page cannot be displayed」錯誤訊息。在升級之前,這種方法運行良好。預設的內部網頁載入沒有任何問題。
解決方案:從WLC 4.2及更新版本引入新功能,其中您可以有多個截斷的登入頁面用於Web驗證。
若要正確載入網頁,在Security > Web Auth > Web login page中,將Web驗證型別設定為global customized是不夠的。也必須在特定的WLAN上設定。為此,請完成以下步驟:
登入WLC的GUI。
按一下WLANs索引標籤,然後存取針對Web驗證設定的WLAN設定檔。
在WLAN > Edit頁面上,按一下Security頁籤。然後,選擇第3層。
在此頁面上,選擇None作為Layer 3 Security。
選中Web Policy框,然後選擇Authentication選項。
勾選Over-ride Global Config Enable方塊,選擇Customized(Downloaded)作為Web Auth Type,然後從Login Pagepull下拉選單中選擇所需的登入頁面。按一下「Apply」。
修訂 | 發佈日期 | 意見 |
---|---|---|
1.0 |
19-Jul-2011 |
初始版本 |