Einführung
Dieses Dokument enthält die erforderlichen Schritte, damit der Web-Authentifizierungs-Service Set Identifier (SSID) einen VPN-Benutzerzugriff ohne vollständige Authentifizierung und ohne Verbindungstrennung alle paar Minuten ermöglicht. Um dies zu erreichen, muss der Benutzer das Timeout für die Webauthentifizierung (Webauthentifizierung) auf dem Wireless LAN Controller (WLC) erhöhen.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie wissen, wie der WLC für den Basisbetrieb und die Webauthentifizierung konfiguriert wird.
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf einem Cisco WLC der Serie 5500, auf dem die Firmware-Version 8.0.100.0 ausgeführt wird.
Hinweis Die Erläuterung der Konfiguration und Webauthentifizierung in diesem Dokument gilt für alle WLC-Modelle und alle Cisco Unified Wireless Network-Images der Version 8.0.100.0 und höher.
Hintergrundinformationen
In vielen Kundennetzwerkumgebungen gibt es Einstellungen, die einer Gruppe von Firmenbenutzern oder Gästen den VPN-Zugriff auf bestimmte IP-Adressen ermöglichen, ohne dass die Web-Authentifizierungssicherheit übergeben werden muss. Diese Benutzer erhalten eine IP-Adresse und stellen eine direkte Verbindung zum VPN her, ohne dass Anmeldeinformationen erforderlich sind, um über Web-Authentifizierungssicherheit authentifiziert zu werden. Diese SSID wird möglicherweise von einer anderen Gruppe von Benutzern verwendet, die ebenfalls eine normale und vollständige Webauthentifizierung durchlaufen, um auf das Internet zuzugreifen. Dieses Szenario ist über eine auf der SSID konfigurierte Pre-Authentication ACL möglich, die Benutzerverbindungen zu VPN-IP-Adressen ermöglicht, bevor diese die Authentifizierung bestehen. Das Problem dieser VPN-Benutzer besteht darin, dass sie die IP-Adresse auswählen, jedoch niemals die vollständige Webauthentifizierung beenden. Aus diesem Grund wird der Timeout-Timer für die Webauthentifizierung aktiviert und der Client deauthentifiziert:
*apfReceiveTask: Sep 03 12:01:55.694: 00:24:d7:cd:ac:30 172.30.0.118 WEBAUTH_REQD (8)
Web-Auth Policy timeout
*apfReceiveTask: Sep 03 12:01:55.694: 00:24:d7:cd:ac:30 172.30.0.118 WEBAUTH_REQD (8)
Pem timed out, Try to delete client in 10 secs.
Der Wert dieses Timeouts beträgt 5 Minuten und hat in WLC-Versionen vor 7.6 einen festen Wert. Diese kurze Zeitüberschreitung führt dazu, dass das Wireless-Netzwerk für diese Art von Benutzern nahezu unbrauchbar ist. Die Möglichkeit, diesen Wert zu ändern, wird in WLC Version 8.0 hinzugefügt, wodurch Benutzer über vorauthentifizierten ACL-zulässigen Datenverkehr auf das VPN zugreifen können.
Konfigurieren
Hinweis: Verwenden Sie das Command Lookup Tool (nur registrierte Kunden), um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten.
Gehen Sie wie folgt vor, um die Web-Auth-Zeitüberschreitung im WLC zu erhöhen:
- Erstellen Sie eine ACL, die den Datenverkehr zur VPN-IP-Adresse zulässt.
- Wenden Sie die ACL unter "Layer-3-Sicherheit" als Voreinstellungs-ACL in der WLAN-Konfiguration an.
- Melden Sie sich über die CLI an, und geben Sie den Befehl config wlan security web-auth timeout ein, um den Wert für Web-Auth-Timeout zu erhöhen:
(WLC)>config wlan security web-auth timeout ?
<value> Configures Web authentication Timeout (300-14400 seconds).
(WLC)>config wlan security web-auth timeout 3600
Überprüfen
In diesem Abschnitt überprüfen Sie, ob Ihre Konfiguration ordnungsgemäß funktioniert.
Der Timeoutwert für Webauth-Sitzungen im WLAN wird angezeigt, wie die folgende Ausgabe zeigt:
(WLC)>show wlan 10
Web Based Authentication...................... Enabled
Web Authentication Timeout.................... 3600
Fehlerbehebung
Dieser Abschnitt enthält Informationen zur Fehlerbehebung in Ihrer Konfiguration.
Geben Sie den Befehl debug client <mac-address> ein, um den Start des Webauth-Timers für den Benutzer anzuzeigen, der ohne Authentifizierung eine Verbindung zum VPN herstellt.