Este documento proporciona una pauta para integrar el NAC Guest Server y los controladores de LAN inalámbricos.
No hay requisitos específicos para este documento.
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
Controlador de LAN inalámbrica de Cisco (WLC) 4.2.61.0
Catalyst 3560 con IOS® versión 12.2(25)VÉASE2
Cisco ADU versión 4.0.0.279
NAC Guest Server versión 1.0
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.
Cisco NAC Guest Server es un completo sistema de aprovisionamiento y generación de informes que proporciona acceso temporal a la red para invitados, visitantes, contratistas, consultores o clientes. El servidor de invitados funciona junto con el dispositivo Cisco NAC o el controlador de LAN inalámbrica de Cisco, que proporciona el portal cautivo y el punto de aplicación para el acceso de invitados.
Cisco NAC Guest Server permite a cualquier usuario con privilegios crear fácilmente cuentas de invitado temporales y patrocinar invitados. Cisco NAC Guest Server realiza una autenticación completa de los patrocinadores, es decir, de los usuarios que crean cuentas de invitados, y permite a los patrocinadores proporcionar los detalles de la cuenta al invitado mediante impresión, correo electrónico o SMS. Toda la experiencia, desde la creación de cuentas de usuario hasta el acceso a la red de invitados, se almacena para realizar auditorías e informes.
Cuando se crean cuentas de invitado, se aprovisionan en Cisco NAC Appliance Manager (Clean Access Manager) o se almacenan en la base de datos integrada del servidor de invitados de Cisco NAC. Cuando se utiliza la base de datos integrada del servidor de invitados, los dispositivos de acceso a la red externos, como el controlador de LAN inalámbrica de Cisco, pueden autenticar a los usuarios en el servidor de invitados con el protocolo RADIUS (Servicio de usuario de acceso telefónico de autenticación remota).
El servidor Cisco NAC Guest Server aprovisiona la cuenta de invitado durante el tiempo especificado al crear la cuenta. Al expirar la cuenta, el servidor de invitados elimina la cuenta directamente desde el administrador de dispositivos Cisco NAC o envía un mensaje RADIUS que notifica al dispositivo de acceso a la red (NAD) la cantidad de tiempo válido que queda para la cuenta antes de que el NAD deba eliminar el usuario.
El servidor Cisco NAC Guest Server proporciona una contabilidad vital del acceso de invitados a la red mediante la consolidación de toda la pista de auditoría, desde la creación de la cuenta de invitados hasta el uso de la cuenta por parte de los invitados, de modo que los informes se puedan realizar a través de una interfaz de administración central.
Conceptos de acceso de invitado
Cisco NAC Guest Server utiliza una serie de términos para explicar los componentes necesarios para proporcionar acceso de invitado.
Usuario invitado
El usuario invitado es la persona que necesita una cuenta de usuario para acceder a la red.
Patrocinador
El patrocinador es la persona que crea la cuenta de usuario invitado. Esta persona suele ser un empleado de la organización que proporciona acceso a la red. Los patrocinadores pueden ser específicos (3): personas con determinadas funciones laborales o cualquier empleado que pueda autenticarse en un directorio corporativo como Microsoft Active Directory (AD).
Dispositivo de aplicación de red
Estos dispositivos son los componentes de la infraestructura de red que proporcionan acceso a la red. Además, los dispositivos de aplicación de redes envían a los usuarios invitados a un portal cautivo, donde pueden introducir los detalles de su cuenta de invitado. Cuando un invitado introduce su nombre de usuario y contraseña temporales, el dispositivo de aplicación de red comprueba esas credenciales con las cuentas de invitado creadas por el servidor de invitados.
Servidor de invitados
Se trata del servidor Cisco NAC Guest Server, que une todos los elementos del acceso de invitado. El servidor de invitado vincula estos elementos: el patrocinador que crea la cuenta de invitado, los detalles de la cuenta que se pasan al invitado, la autenticación de invitado con el dispositivo de aplicación de red y la verificación del dispositivo de aplicación de red del invitado con el servidor de invitado. Además, Cisco NAC Guest Server consolida la información de cuentas de los dispositivos de aplicación de la red para proporcionar un único punto de informes de acceso de invitados.
En CCO encontrará documentación detallada sobre NGS.
http://www.cisco.com/en/US/docs/security/nac/guestserver/configuration_guide/10/nacguestserver.html
Descripción general de topología de laboratorio
Siga estos pasos para configurar el WLC:
Inicialice el controlador y el punto de acceso.
Configure las interfaces del controlador.
Configure RADIUS.
Configure los parámetros de WLAN.
Para la configuración inicial, utilice una conexión de consola como HyperTerminal y siga las indicaciones de configuración para rellenar la información de inicio de sesión e interfaz. El comando reset system también inicia estos mensajes.
Welcome to the Cisco Wizard Configuration Tool Use the '-' character to backup System Name [Cisco_44:36:c3]: WLC Enter Administrative User Name (24 characters max): admin Enter Administrative Password (24 characters max): admin Service Interface IP Address Configuration [none][DHCP]: <ENTER> Enable Link Aggregation (LAG) [yes][NO]:no Management Interface IP Address: 10.10.51.2 Management Interface Netmask: 255.255.255.0 Management Interface Default Router: 10.10.51.1 Management Interface VLAN Identifier (0 = untagged): 0 Management Interface Port Num [1 to 2]: 1 Management Interface DHCP Server IP Address: 10.10.51.1 AP Transport Mode [layer2][LAYER3]: layer3 AP Manager Interface IP Address: 10.10.51.3 AP-Manager is on Management subnet, using same values AP Manager Interface DHCP Server (10.10.5<X>.1):<ENTER> Virtual Gateway IP Address: 1.1.1.1 Mobility/RF Group Name: mobile-1 Enable Symmetric Mobility Tunneling: No Network Name (SSID): wireless-1 Allow Static IP Addresses [YES][no]:<ENTER> Configure a RADIUS Server now? [YES][no]:<ENTER> Enter the RADIUS Server's Address: 10.1.1.12 Enter the RADIUS Server's Port [1812]:<ENTER> Enter the RADIUS Server's Secret: cisco Enter Country Code (enter 'help' for a list of countries) [US]:<ENTER> Enable 802.11b Network [YES][no]:<ENTER> Enable 802.11a Network [YES][no]:<ENTER> Enable 802.11g Network [YES][no]:<ENTER> Enable Auto-RF [YES][no]:<ENTER> Configure a NTP server now? [YES][no]: no Configure the system time now? [YES][no]: yes Enter the date in MM/DD/YY format: mm/dd/yy Enter the time in HH:MM:SS format: hh:mm:ss
Cisco NAC Guest Server es una solución de aprovisionamiento y generación de informes que proporciona acceso temporal a la red a clientes como invitados, contratistas, etc. El servidor Cisco NAC Guest Server funciona con las soluciones Cisco Unified Wireless Network o Cisco NAC Appliance. Este documento le guía a través de los pasos para integrar el servidor de invitado Cisco NAC con un WLC de Cisco, que crea una cuenta de usuario invitado y verifica el acceso temporal a la red del invitado.
Siga estos pasos para completar la integración:
Agregue el Cisco NAC Guest Server como un servidor de autenticación en el WLC.
Busque su WLC (https://10.10.51.2, admin/admin) para configurarlo.
Elija Security > RADIUS > Authentication.
Seleccione Nuevo.
Agregue la dirección IP (10.1.1.14) para el servidor Cisco NAC Guest Server.
Agregue la clave secreta compartida.
Confirme la clave secreta compartida.
Seleccione Aplicar.
Agregue el Cisco NAC Guest Server como un servidor de contabilización en el WLC.
Elija Security > RADIUS >Accounting.
Seleccione Nuevo.
Agregue la dirección IP (10.1.1.14) para el servidor Cisco NAC Guest Server.
Agregue la clave secreta compartida.
Confirme la clave secreta compartida.
Seleccione Aplicar.
Modifique la WLAN (wireless-x) para utilizar el servidor invitado NAC.
Edite la WLAN (wireless-x).
Elija la pestaña Security.
Cambie la Seguridad de Capa 2 a None y la Seguridad de Capa 3 para utilizar la Autenticación Web.
Elija los Servidores AAA en la pestaña Seguridad.
En el cuadro Servidor 1, elija el servidor RADIUS (10.1.1.14).
En el cuadro Servidor 1, elija el Servidor de cuentas (10.1.1.14).
Elija la pestaña Advanced.
Habilite Allow AAA Override. Esto permite que el tiempo de espera por sesión de cliente se establezca desde el dispositivo de invitado NAC.
Nota: Cuando la invalidación AAA está habilitada en el SSID, el tiempo de vida restante del Usuario invitado en NGS se envía al WLC como tiempo de espera de sesión en el momento del inicio de sesión del usuario invitado.
Elija Apply para guardar la configuración de su WLAN.
Verifique si el controlador se agrega como un cliente Radius en el servidor de invitado Cisco NAC.
Vaya al servidor NAC Guest Server (https://10.1.1.14/admin) para configurarlo.
Nota: Aparecerá la página Administration (Administración) si se especifica /admin en la URL.
Elija Radius Clients.
Elija Add Radius.
Introduzca la información del cliente Radius:
Introduzca un nombre: nombre del sistema WLC.
Introduzca la dirección IP: dirección IP del WLC (10.10.51.2).
Introduzca el mismo secreto compartido que introdujo en el paso 1.
Confirma tu secreto compartido.
Ingrese una descripción.
Elija Add Radius Client.
Reinicie el servicio Radius para que los cambios surtan efecto.
Elija Radius Clients.
Elija Restart en el cuadro Restart Radius.
Cree un usuario local, es decir, un embajador de lobby, en el servidor de invitados de Cisco NAC.
Elija Usuarios locales.
Elija Add User.
Nota: Debe rellenar todos los campos.
Introduzca un nombre: lobby.
Introduzca un apellido: Ambassador.
Introducir nombre de usuario: lobby.
Introduzca una contraseña: password.
Deje Grupo como Predeterminado.
Introduzca la dirección de correo electrónico: lobby@xyz.com.
Elija Add User.
Inicie sesión como usuario local y cree una cuenta de invitado.
Vaya al servidor NAC Guest Server (https://10.1.1.14), inicie sesión con el nombre de usuario/contraseña que creó en el paso 5 y configúrelo:
Elija Create para una cuenta de usuario invitado.
Nota: Debe rellenar todos los campos.
Introduzca un nombre.
Introduzca un apellido.
Introduzca la empresa.
Introduzca la dirección de correo electrónico.
Nota: La dirección de correo electrónico es el nombre de usuario.
Introduzca la hora de finalización de la cuenta.
Elija Add User.
Conéctese a la WLAN de invitado e inicie sesión como el usuario invitado.
Conecte el cliente inalámbrico a la WLAN de invitado (wireless-x).
Abra el navegador web que se redirigirá a la página de inicio de sesión de autenticación Web.
Nota: También puede escribir https://1.1.1.1/login.html para redirigirlo a la página de inicio de sesión.
Introduzca el nombre de usuario invitado que ha creado en el paso 6.
Introduzca la contraseña generada automáticamente en el paso 6.
Establezca una conexión Telnet con el WLC y verifique que el tiempo de espera de sesión se haya configurado con el comando show client detail.
Cuando caduca el tiempo de espera de la sesión, el cliente invitado se desconecta y el ping se detiene.
Nota: Para configurar la autenticación Web desde el controlador de LAN inalámbrica, WLC al servidor invitado de NAC (NGS), debe utilizar la autenticación del modo PAP en las propiedades de web-auth. Si la política de autenticación web se establece en CHAP, la autenticación falla porque CHAP no es compatible con NGS.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
01-Aug-2008 |
Versión inicial |