El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe la integración del controlador de LAN inalámbrica (WLC) Catalyst 9800 con Aruba ClearPass.
Esta guía asume que estos componentes se han configurado y verificado:
Cisco recomienda que tenga conocimiento sobre estos temas:
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
La integración de la implementación del WLC Catalyst 9800 utiliza la autenticación web central (CWA) para clientes inalámbricos en una implementación de punto de acceso (AP) en modo Flexconnect.
El portal de invitados admite la autenticación inalámbrica de invitados con una página de política de usuario aceptable (AUP) anónima, alojada en Aruba Clearpass en un segmento de zona desmilitarizada segura (DMZ).
El diagrama transmite los detalles de los intercambios de acceso Wifi de invitado antes de que se permita al usuario invitado acceder a la red:
1. El usuario invitado se asocia con el Wifi invitado en una oficina remota.
2. El C9800 convierte en proxy la solicitud de acceso RADIUS inicial al servidor RADIUS.
3. El servidor busca la dirección MAC de invitado proporcionada en la base de datos de terminales MAC local.
Si no se encuentra la dirección MAC, el servidor responde con un perfil de omisión de autenticación MAC (MAB). Esta respuesta RADIUS incluye:
4. El cliente pasa por el proceso de aprendizaje de IP donde se le asigna una dirección IP.
5. C9800 pasa el cliente invitado (identificado por su dirección MAC) al estado 'Pendiente de autenticación web'.
6. La mayoría de los sistemas operativos de dispositivos modernos en asociación con las WLAN de invitados realizan algún tipo de detección de portal cautivo.
El mecanismo de detección exacto depende de la implementación específica del sistema operativo. El sistema operativo del cliente abre un cuadro de diálogo emergente (pseudonavegador) con una página redirigida por C9800 a la URL del portal de invitados alojada en el servidor RADIUS proporcionado como parte de la respuesta de aceptación de acceso de RADIUS.
7. El Usuario invitado acepta los Términos y condiciones en la ventana emergente ClearPass establece un indicador para la dirección MAC del cliente en su Base de datos de terminales (DB) para indicar que el cliente ha completado una autenticación e inicia un Cambio de autorización (CoA) RADIUS, mediante la selección de una interfaz basada en la tabla de routing (si hay varias interfaces presentes en ClearPass).
8. El WLC pasa el cliente invitado al estado "Run" y el usuario tiene acceso a Internet sin más redireccionamientos.
Nota: Para ver el diagrama de flujo de estado del controlador inalámbrico de anclaje externo Cisco 9800 con RADIUS y el portal de invitados alojado externamente, consulte la sección Apéndice de este artículo.
En una implementación empresarial típica con varias sucursales, cada sucursal se configura para proporcionar acceso seguro y segmentado a los invitados a través de un portal de invitados una vez que el invitado acepta el EULA.
En este ejemplo de configuración, 9800 CWA se utiliza para el acceso de invitados mediante la integración a una instancia ClearPass independiente implementada exclusivamente para usuarios invitados en la DMZ segura de la red.
Los invitados deben aceptar los términos y condiciones establecidos en el portal emergente de consentimiento web proporcionado por el servidor DMZ ClearPass. Este ejemplo de configuración se centra en el método Anonymous Guest Access (es decir, no se requiere ningún nombre de usuario/contraseña de invitado para autenticarse en el portal de invitados).
El flujo de tráfico que corresponde a esta implementación se muestra en la imagen:
1. RADIUS - fase MAB
2. Redirección de URL de cliente invitado al portal de invitados
3. Después de la aceptación de invitado de EULA en el portal de invitados, RADIUS CoA Reauthenticate se emite desde CPPM a 9800 WLC
4. El huésped tiene acceso a Internet
Nota: para fines de demostración de laboratorio, se utiliza una instancia de servidor CPPM de Aruba única/combinada para servir a las funciones de servidor de acceso a la red (NAS) SSID de invitado y de cuerpo. La implementación de prácticas recomendadas sugiere instancias de NAS independientes.
En este ejemplo de configuración, se aprovecha un nuevo modelo de configuración en C9800 para crear los perfiles y etiquetas necesarios para proporcionar acceso corporativo dot1x y acceso de invitado CWA a la sucursal empresarial. La configuración resultante se resume en esta imagen:
Nota: Acerca del Id. de bug Cisco CSCvh03827, asegúrese de que los servidores de Autenticación, Autorización y Contabilización (AAA) definidos no estén balanceados por carga, ya que el mecanismo depende de la persistencia de Id. de sesión en los intercambios WLC a ClearPass RADIUS.
Paso 1. Agregue los servidores DMZ Aruba ClearPass a la configuración del WLC 9800 y cree una lista de métodos de autenticación. Desplácese hasta Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > +Add e introduzca la información del servidor RADIUS.
Paso 2. Defina el grupo de servidores AAA para invitados y asigne el servidor configurado en el paso 1 a este grupo de servidores. Desplácese hasta
Configuration > Security > AAA > Servers/Groups > RADIUS > Groups > +Add.
Paso 3. Defina una lista de métodos de autorización para el acceso de invitado y asigne el grupo de servidores creado en el paso 2. Desplácese hasta
Configuration > Security > AAA > AAA Method List > Authorization > +Add. Elija
Type Network y configure
AAA Server Group en el paso 2.
Paso 4. Cree una lista de métodos de contabilidad para el acceso de invitado y asigne el grupo de servidores creado en el paso 2. Desplácese hasta
Configuration > Security > AAA > AAA Method List > Accounting > +Add. Elija
Type Identity en el menú desplegable y, a continuación,
AAA Server Group configure en el paso 2.
C9800 - Configurar ACL de redirección
La ACL de redirección define qué tráfico debe redirigirse al portal de invitados en lugar de permitir que pase sin redirección. En este caso, la negación de ACL implica la omisión de la redirección o el paso a través, mientras que permit implica la redirección al portal. Para cada clase de tráfico, debe tener en cuenta la dirección del tráfico al crear entradas de control de acceso (ACE) y ACE que coincidan con el tráfico de entrada y de salida.
Desplácese hasta
Configuration > Security > ACL y defina una nueva ACL denominada
CAPTIVE_PORTAL_REDIRECT. Configure la ACL con estas ACE:
- ACE1: permite que el tráfico ICMP (protocolo de mensajes de control de Internet) bidireccional omita la redirección y se utiliza principalmente para verificar la disponibilidad.
- ACE10, ACE30: permite el flujo de tráfico DNS bidireccional al servidor DNS 10.0.10.4 y no se puede redirigir al portal. Se requiere una búsqueda de DNS y una intercepción de respuesta para activar el flujo de invitados.
- ACE70, ACE80, ACE110, ACE120: permite el acceso HTTP y HTTPS al portal cautivo de invitados para que el usuario pueda ver el portal.
- ACE150: se redirige todo el tráfico HTTP (puerto UDP 80).
C9800: configuración del perfil WLAN de invitado
Paso 1. Desplácese hasta
Configuration > Tags & Profiles > Wireless > +Add. Cree un nuevo perfil de SSID WP_Guest, con la difusión de SSID 'Guest' con el que los clientes invitados se asocian.
En el mismo
Add WLAN cuadro de diálogo, vaya a la
Security > Layer 2 Ficha.
- Modo de seguridad de capa 2: Ninguno
- Filtrado de MAC: activado
- Lista de autorización: AAA_Authz_CPPM en el menú desplegable (configurado en el paso 3 como parte de la configuración AAA)
C9800: definición de perfil de política de invitado
En C9800 WLC GUI, navegue hasta
Configuration > Tags & Profiles > Policy > +Add.
Nombre: PP_Invitado
Estado: habilitado
Switching central: desactivado
Autenticación central: habilitada
DHCP central: desactivado
Asociación central: Desactivada
Navegue hasta la
Access Policies pestaña en el mismo
Add Policy Profile diálogo.
- Perfiles RADIUS: Habilitado
- Grupo VLAN/VLAN: 210 (es decir, VLAN 210 es la VLAN local de invitado en cada sucursal)
Nota: La VLAN de invitado para Flex no debe definirse en el WLC 9800 en VLAN, en el número de VLAN del tipo VLAN del grupo VLAN/VLAN.
Defecto conocido: el ID de bug Cisco CSCvn48234 hace que el SSID no se transmita si la misma VLAN de invitado Flex se define en el WLC y en el perfil Flex.
En el mismo
Add Policy Profile cuadro de diálogo, desplácese a la
Advanced ficha.
- Permitir anulación de AAA: habilitado
- Estado de NAC: habilitado
- Tipo de NAC: RADIUS
- Lista de Contabilidad: AAA_Accounting_CPPM (definida en el paso 4 como parte de la configuración de AAA)
Nota: se requiere 'Network Admission Control (NAC) State - Enable' para habilitar el WLC C9800 para aceptar los mensajes CoA de RADIUS.
C9800: etiqueta de política
En la GUI de C9800, vaya a
Configuration > Tags & Profiles > Tags > Policy > +Add.
- Nombre: PT_CAN01
- Descripción: Etiqueta de política para la sucursal CAN01
En el mismo cuadro de diálogo
Add Policy Tag, en
WLAN-POLICY MAPS, haga clic en
+Add y asigne el perfil WLAN creado anteriormente al perfil de política:
- Perfil WLAN: WP_Guest
- Perfil de política: PP_Guest
C9800 - Perfil de unión a PA
En C9800 WLC GUI, navegue hasta
Configuration > Tags & Profiles > AP Join > +Add.
- Nombre: Branch_AP_Profile
- Servidor NTP: 10.0.10.4 (consulte el diagrama de topología de laboratorio). Este es el servidor NTP que utilizan los AP en la sucursal para sincronizar.
C9800: perfil flexible
Los perfiles y las etiquetas son modulares y se pueden reutilizar para varios sitios.
En el caso de la implementación de FlexConnect, si se utilizan los mismos ID de VLAN en todas las sucursales, puede volver a utilizar el mismo perfil flexible.
Paso 1. En una GUI de C9800 WLC, navegue hasta
Configuration > Tags & Profiles > Flex > +Add.
- Nombre: FP_Branch
- ID de VLAN nativa: 10 (solo se requiere si tiene una VLAN nativa no predeterminada en la que desea tener una interfaz de administración de AP)
En el mismo
Add Flex Profile cuadro de diálogo, desplácese a la
Policy ACL ficha y haga clic en
+Add.
- Nombre de ACL: CAPTIVE_PORTAL_REDIRECT
- Autenticación web central: habilitada
En una implementación de Flexconnect, se espera que cada AP administrado descargue la ACL de redirección localmente ya que la redirección ocurre en el AP y no en el C9800.
En el mismo
Add Flex Profile cuadro de diálogo, vaya a la
VLAN ficha y haga clic en
+Add (consulte el diagrama de topología de laboratorio).
- Nombre de VLAN: invitado
- ID de VLAN: 210
C9800: etiqueta del sitio
En la GUI del 9800 WLC, navegue hasta
Configuration > Tags & Profiles > Tags > Site > Add.
Nota: cree una etiqueta de sitio única para cada sitio remoto que admita los dos SSID inalámbricos, tal como se describe a continuación.
Existe una asignación 1-1 entre una ubicación geográfica, una etiqueta de sitio y una configuración de perfil flexible.
Un sitio de conexión flexible debe tener un perfil de conexión flexible asociado. Puede disponer de un máximo de 100 puntos de acceso para cada sitio de Flex Connect.
- Nombre: ST_CAN01
- Perfil de unión a PA: Branch_AP_Profile
- Perfil flexible: FP_Branch
- Activar sitio local: desactivado
C9800: perfil de RF
En la GUI del 9800 WLC, navegue hasta
Configuration > Tags & Profiles > Tags > RF > Add.
- Nombre: Branch_RF
- Perfil de radiofrecuencia (RF) de banda de 5 GHz: Typical_Client_Density_5gh (opción definida por el sistema)
- Perfil de RF de banda de 2,4 GHz: Typical_Client_Density_2gh (opción definida por el sistema)
C9800 - Asignación de etiquetas a AP
Hay dos opciones disponibles para asignar etiquetas definidas a AP individuales en la implementación:
- Asignación basada en nombre de AP, que aprovecha las reglas de regex que coinciden con los patrones del campo Nombre de AP (
Configure > Tags & Profiles > Tags > AP > Filter)
- Asignación basada en direcciones MAC Ethernet del punto de acceso (
Configure > Tags & Profiles > Tags > AP > Static)
En la implementación de producción con Cisco DNA Center, se recomienda encarecidamente utilizar DNAC y AP PNP Workflow o utilizar un método de carga masivo estático de valores separados por comas (CSV) disponible en 9800 para evitar la asignación manual por AP. Desplácese hasta
Configure > Tags & Profiles > Tags > AP > Static > Add (observe la
Upload File opción).
- Dirección MAC del punto de acceso: <AP_ETHERNET_MAC>
- Nombre de etiqueta de directiva: PT_CAN01
- Nombre de la etiqueta del sitio: ST_CAN01
- Nombre de la etiqueta RF: Branch_RF
Nota: A partir de Cisco IOS® XE 17.3.4c, hay un máximo de 1000 reglas regex por limitación de controlador. Si el número de sitios de la implementación supera este número, se debe aprovechar la asignación estática por MAC.
Nota: como alternativa, para aprovechar el método de asignación de etiquetas basado en regex de nombre de AP, vaya a
Configure > Tags & Profiles > Tags > AP > Filter > Add.
- Nombre: BR_CAN01
- Regex de nombre de AP: BR-CAN01-.(7) (Esta regla coincide con la convención de nombre de AP adoptada dentro de la organización. En este ejemplo, las etiquetas se asignan a los AP que tienen un campo AP Name que contiene 'BR_CAN01-' seguido de siete caracteres cualesquiera.)
- Prioridad: 1
- Nombre de etiqueta de directiva: PT_CAN01 (según se define)
- Nombre de la etiqueta del sitio: ST_CAN01
- Nombre de la etiqueta RF: Branch_RF
Configurar instancia de Aruba CPPM
Para conocer las prácticas recomendadas y de producción basadas en la configuración de Aruba CPPM, póngase en contacto con su recurso local de HPE Aruba SE.
Configuración inicial del servidor Aruba ClearPass
Aruba ClearPass se implementa mediante la plantilla Open Virtualization Format (OVF) en el servidor ESXi <> que asigna estos recursos:
- Dos CPU virtuales reservadas
- 6 GB de RAM
- Disco de 80 GB (se debe agregar manualmente después de la implementación inicial de la máquina virtual antes de encender la máquina)
Solicitar licencias
Solicite una licencia de plataforma a través de
Administration > Server Manager > Licensing. Agregar
Platform
Access, y
Onboard licenses.
Hostname del servidor
Desplácese hasta
Administration > Server Manager > Server Configuration el servidor CPPM recién aprovisionado y selecciónelo.
- Nombre de host: cppm
- FQDN: cppm.example.com
- Verifique el direccionamiento IP y DNS del puerto de administración
Generar certificado de servidor web CPPM (HTTPS)
Este certificado se utiliza cuando la página ClearPass Guest Portal se presenta a través de HTTPS a los clientes invitados que se conectan a la red Wi-Fi de invitados en la sucursal.
Paso 1. Cargue el certificado de la cadena de publicaciones de la CA.
Desplácese hasta
Administration > Certificates > Trust List > Add.
- Uso: Habilitar otros
Paso 2. Crear solicitud de firma de certificado.
Desplácese hasta
Administration > Certificates > Certificate Store > Server Certificates > Usage: HTTPS Server Certificate.
- Haga clic en el
Create Certificate Signing Request
- Nombre común: CPPM
- Organización:
cppm.example.com
Asegúrese de rellenar el campo SAN (debe haber un nombre común en SAN, así como IP y otros FQDN, según sea necesario). El formato es DNS
<fqdn1>,DNS:<fqdn2>,IP<ip1>.
Paso 3. En la CA que elija, firme la CSR del servicio HTTPS de CPPM recién generado.
Paso 4. Desplácese hasta
Certificate Template > Web Server > Import Certificate.
- Tipo de certificado: Certificado de servidor
- Uso: certificado de servidor HTTP
- Archivo de certificado: Examine y elija el certificado de servicio HTTPS de CPPM firmado por la CA
Definir C9800 WLC como un dispositivo de red
Desplácese hasta
Configuration > Network > Devices > Add.
- Nombre: WLC_9800_Branch
- Dirección IP o de subred: 10.85.54.99 (consulte el diagrama de topología de laboratorio)
- RADIUS Shared Cisco: <contraseña RADIUS WLC>
- Nombre del proveedor: Cisco
- Activar la autorización dinámica de RADIUS: 1700
Temporizadores de CoA y página del portal de invitados
Es muy importante establecer los valores de temporizador correctos en toda la configuración. Si los temporizadores no están ajustados, es probable que se encuentre con una redirección del portal web en ciclo con el cliente, no en 'Estado de ejecución'.
Temporizadores a los que prestar atención:
- Temporizador de inicio de sesión web en el portal: este temporizador retrasa la página de redirección antes de permitir el acceso a la página del portal de invitados para notificar al servicio CPPM la transición de estado, registrar el valor del atributo personalizado de terminal 'Allow-Guest-Internet' y activar el proceso CoA de CPPM a WLC. Desplácese hasta
Guest > Configuration > Pages > Web Logins.
- Seleccione Guest Portal Name (Nombre del portal de invitados): Lab Anonymous Guest Registration (esta configuración de la página del portal de invitados se detalla como se muestra)
- Haga clic en Edit
- Retraso en el inicio de sesión: 6 segundos
- Temporizador de retraso CoA ClearPass: Esto retrasa el origen de los mensajes CoA de ClearPass al WLC. Esto es necesario para que CPPM realice correctamente la transición del estado del punto final del cliente internamente antes de que el reconocimiento de CoA (ACK) regrese del WLC. Las pruebas de laboratorio muestran los tiempos de respuesta en submilisegundos del WLC y, si el CPPM no ha terminado de actualizar los atributos de los terminales, la nueva sesión RADIUS del WLC coincide con la política de aplicación del servicio MAB no autenticado y se vuelve a dar al cliente una página de redirección. Desplácese hasta
CPPM > Administration > Server Manager > Server Configuration y seleccione CPPM Server > Service Parameters.
- Retraso de la autorización dinámica (DM/CoA) de RADIUS: establecido en seis segundos
ClearPass: configuración de CWA de invitado
La configuración de CWA de ClearPass-side se compone de (3) puntos de servicio/fases:
Componente ClearPass |
Tipo de servicio |
Propósito |
1. Gestor de políticas |
Servicio: autenticación Mac |
Si el atributo personalizado
|
2. Invitado |
Inicios de sesión web |
Presente la página AUP de inicio de sesión anónimo. |
3. Gestor de políticas |
Servicio: autenticación basada en Web |
Actualizar terminal a
|
Atributo de metadatos del terminal ClearPass: Allow-Guest-Internet
Cree un atributo de metadatos de tipo Booleano para realizar un seguimiento del estado del punto final de invitado mientras el cliente realiza transiciones entre los estados 'Webauth pendiente' y 'Run':
- Los nuevos invitados que se conectan a Wifi tienen un atributo de metadatos predeterminado establecido en Allow-Guest-Internet=false. Según este atributo, la autenticación del cliente pasa a través del servicio MAB
- Cliente invitado cuando hace clic en el botón Aceptar AUP, tiene su atributo de metadatos actualizado para Permitir-Invitado-Internet=true. El MAB posterior basado en este atributo establecido en True permite el acceso no redirigido a Internet
Desplácese hasta
ClearPass > Configuration > Endpoints, seleccione cualquier extremo de la lista, haga clic en la
Attributes ficha, agregue
Allow-Guest-Internet con el valor
false y
Save.
Nota: También puede editar el mismo terminal y eliminar este atributo inmediatamente después; este paso simplemente crea un campo en la base de datos de metadatos de terminales que se puede utilizar en políticas.
Configuración de directiva de aplicación de reautenticación ClearPass
Cree un perfil de aplicación que se asigne al cliente invitado inmediatamente después de que el cliente acepte la AUP en la página Portal de invitados.
Desplácese hasta
ClearPass > Configuration > Profiles > Add.
- Plantilla: Autorización dinámica de RADIUS
- Nombre: Cisco_WLC_Guest_COA
Radio:IETF |
Calling-Station-Id |
%{Radius:IETF:Calling-Station-Id} |
Radio:Cisco |
Cisco-AVPair |
subscriber:command=volver a autenticar |
Radio:Cisco |
Cisco-AVPair |
%{Radius:Cisco:Cisco-AVPair:subscriber:audit-session-id} |
Radio:Cisco |
Cisco-AVPair |
subscriber:reauthenticate-type=last-type=last |
Configuración del perfil de aplicación de redirección del portal de invitados ClearPass
Cree un perfil de aplicación que se aplique al invitado durante la fase MAB inicial, cuando la dirección MAC no se encuentre en la base de datos de terminales CPPM con 'Allow-Guest-Internet' establecido en 'true'.
Esto hace que el WLC 9800 redirija al cliente invitado al portal de invitados CPPM para la autenticación externa.
Desplácese hasta
ClearPass > Enforcement > Profiles > Add.
- Nombre: Cisco_Portal_Redirect
- Tipo: RADIUS
- Acción: Aceptar
En el mismo cuadro de diálogo, en la
Attributes ficha, configure dos Atributos según esta imagen:
El
url-redirect-acl atributo se establece en
CAPTIVE-PORTAL-REDIRECT, que es el nombre de la ACL creada en C9800.
Nota: Sólo la referencia a la ACL se pasa en el mensaje RADIUS, y no el contenido de la ACL. Es importante que el nombre de la ACL creada en el WLC 9800 coincida exactamente con el valor de este atributo RADIUS como se muestra.
El
url-redirect atributo se compone de varios parámetros:
- La URL de destino donde se aloja el portal de invitados, https://cppm.example.com/guest/iaccept.php
- MAC de cliente invitado, macro %{Connection:Client-Mac-Address-Hyphen}
- IP del autenticador (el WLC 9800 activa la redirección), macro %{Radius:IETF:NAS-IP-Address}
- cmd-login action
La URL de la página de inicio de sesión web de invitado ClearPass se muestra al desplazarse a
CPPM > Guest > Configuration > Pages > Web Logins > Edit.
En este ejemplo, el nombre de la página Portal de invitados en CPPM se define como
iaccept.
Nota: los pasos de configuración de la página Portal de invitados son los descritos.
Nota: para los dispositivos de Cisco, normalmente
audit_session_id se utiliza, pero no es compatible con otros proveedores.
Configuración del perfil de aplicación de metadatos ClearPass
Configure el perfil de aplicación para actualizar el atributo de metadatos de punto final que se utiliza para el seguimiento de transición de estado por CPPM.
Este perfil se aplica a la entrada de dirección MAC del cliente invitado en la base de datos de terminales y establece el
Allow-Guest-Internet argumento en 'true'.
Desplácese hasta
ClearPass > Enforcement > Profiles > Add.
- Plantilla: Aplicación de actualización de entidad ClearPass
- Tipo: Post_Authentication
En el mismo cuadro de diálogo, la
Attributes ficha.
- Tipo: terminal
- Nombre: Allow-Guest-Internet
Nota: Para que este nombre aparezca en el menú desplegable, debe definir manualmente este campo para al menos un terminal, como se describe en los pasos.
- Valor: true
Configuración de la política de aplicación de acceso a Internet de invitado ClearPass
Desplácese hasta
ClearPass > Enforcement > Policies > Add.
- Nombre: WLC Cisco Guest Allow
- Tipo de aplicación: RADIUS
- Perfil predeterminado: Cisco_Portal_Redirect
En el mismo cuadro de diálogo, desplácese a la
Rules ficha y haga clic en
Add Rule.
- Tipo: terminal
- Nombre: Allow-Guest-Internet
- Operador: EQUALS
- Valor verdadero
- Nombres de perfil / Agregar: [RADIUS] [Permitir perfil de acceso]
Configuración de la política de aplicación posterior a AUP de invitado ClearPass
Desplácese hasta
ClearPass > Enforcement > Policies > Add.
- Nombre: Política de aplicación de Cisco WLC Webauth
- Tipo de aplicación: WEBAUTH (SNMP/Agent/CLI/CoA)
- Perfil predeterminado: [RADIUS_CoA] Cisco_Reauthenticate_Session
En el mismo cuadro de diálogo, desplácese hasta
Rules > Add.
- Condiciones: Autenticación
- Nombre: Estado
- Operador: EQUALS
- Valor: Usuario
- Nombres de perfil: <add each>:
- [Autenticación posterior] [Actualización de terminal conocida]
- [Autenticación posterior] [Make-Cisco-Guest-Valid]
- [RADIUS_CoA] [Cisco_WLC_Guest_COA]
Nota: Si se encuentra con un escenario con una ventana emergente continua del pseudonavegador de redirección del portal de invitados, es indicativo de que los temporizadores CPPM requieren ajustes o que los mensajes RADIUS CoA no se intercambian correctamente entre CPPM y 9800 WLC. Verifique estos sitios.
- Desplácese hasta
CPPM > Monitoring > Live Monitoring > Access Tracker y asegúrese de que la entrada del registro RADIUS contenga los detalles de RADIUS CoA.
- En
9800 WLC, navegue hasta
Troubleshooting > Packet Capture, habilite PCAP en la interfaz donde se espera la llegada de los paquetes CoA de RADIUS y verifique que los mensajes CoA de RADIUS se reciban del CPPM.
Configuración del servicio de autenticación MAB ClearPass
El servicio coincide en el par Valor de atributo (AV) Radius: Cisco | CiscoAVPair | cisco-wlan-ssid
Desplácese hasta
ClearPass > Configuration > Services > Add.
Ficha Servicio:
- Nombre: GuestPortal - Mac Auth
- Tipo: autenticación MAC
- Más opciones: seleccione Autorización, terminales de perfil
Agregar regla de coincidencia:
- Tipo: Radio: Cisco
- Nombre: Cisco-AVPair
- Operador: EQUALS
- Valor: cisco-wlan-ssid=Invitado (coincida con el nombre SSID de invitado configurado)
Nota: 'Invitado' es el nombre del SSID de invitado transmitido por el WLC 9800.
En el mismo cuadro de diálogo, elija la
Authentication ficha.
- Métodos de autenticación: Remove [MAC AUTH], Add [Allow All MAC AUTH]
- Orígenes de autenticación: [Repositorio de terminales][Base de datos SQL local], [Repositorio de usuarios invitados][Base de datos SQL local]
En el mismo cuadro de diálogo, elija la
Enforcement ficha.
- Política de aplicación: WLC Cisco Guest Allow
En el mismo cuadro de diálogo, elija la
Enforcement ficha.
Configuración del servicio ClearPass Webauth
Desplácese hasta
ClearPass > Enforcement > Policies > Add.
- Nombre: Guest_Portal_Webauth
- Tipo: autenticación basada en Web
Mientras que en el mismo diálogo, en la
Enforcement pestaña, la Política de aplicación: Cisco WLC Webauth Política de aplicación.
ClearPass: inicio de sesión web
Para la página Portal de invitados de AUP anónima, utilice un único nombre de usuario sin campo de contraseña.
El nombre de usuario que se utiliza debe tener estos campos definidos/definidos:
username_auth | Autenticación de nombre de usuario: | 1
Para establecer el campo 'username_auth' para un usuario, ese campo debe exponerse primero en el formulario 'edit user'. Desplácese hasta
ClearPass > Guest > Configuration > Pages > Forms y elija
create_userformulario.
Elija
visitor_name (fila 20) y haga clic en
Insert After.
Ahora cree el nombre de usuario para utilizarlo detrás de la página del portal de invitados de AUP.
Desplácese hasta
CPPM > Guest > Guest > Manage Accounts > Create.
- Nombre del invitado: GuestWiFi
- Nombre de la empresa: Cisco
- Correo electrónico: guest@example.com
- Autenticación de nombre de usuario: permitir el acceso de invitado con el uso de su nombre de usuario solamente: Habilitado
- Activación de la cuenta: ahora
- Vencimiento de la cuenta: la cuenta no caduca
- Términos de uso: Soy el patrocinador: Habilitado
Cree un formulario de inicio de sesión web. Desplácese hasta
CPPM > Guest > Configuration > Web Logins.
Nombre: Lab Anonymous Guest Portal
Nombre de página: iaccept
Configuración del proveedor: Aruba Networks
Método de inicio de sesión: iniciado por el servidor: cambio de autorización (RFC 3576) enviado al controlador
Autenticación: anónima: no requiere nombre de usuario ni contraseña
Usuario anónimo: GuestWifi
Términos: requiere una confirmación de los Términos y condiciones
Etiqueta de inicio de sesión: aceptar y conectar
URL predeterminada: www.example.com
Retraso de inicio de sesión: 6
Actualizar extremo: marque la dirección MAC del usuario como un extremo conocido
Avanzado: personalice los atributos almacenados con el terminal, los atributos del terminal en la sección posterior a la autenticación:
Nombre de usuario | Nombre de usuario
visitor_name | Nombre del visitante
cn | Nombre del visitante
visitor_phone | Teléfono del visitante
Correo electrónico | Correo electrónico
correo | Correo electrónico
nombre_patrocinador | Nombre del patrocinador
correo_electrónico_patrocinador | Correo electrónico del patrocinador
Allow-Guest-Internet | verdadero
Verificación - Autorización de CWA de invitado
En el CPPM, vaya a
Live Monitoring > Access Tracker.
El nuevo usuario invitado se conecta y activa el servicio MAB.
Ficha Resumen:
En el mismo cuadro de diálogo, vaya a la
Input Ficha.
En el mismo cuadro de diálogo, vaya a la
Output Ficha.
Appendix
A modo de referencia, aquí se presenta un diagrama de flujo de estado para las interacciones de controlador de anclaje externo de Cisco 9800 con el servidor RADIUS y el portal de invitados alojado externamente.
Información Relacionada
Es importante tener en cuenta que el WLC 9800 no utiliza de manera confiable el mismo puerto de origen UDP para una transacción RADIUS de cliente inalámbrico dada. Esto es algo a lo que ClearPass puede ser sensible. También es importante basar cualquier balanceo de carga RADIUS en el id de la estación de llamada del cliente y no intentar confiar en el puerto de origen UDP del lado del WLC.
- Guía de prácticas recomendadas de implementación de Cisco 9800
- Comprenda el modelo de configuración de los controladores inalámbricos Catalyst 9800
- Comprensión de FlexConnect en el controlador inalámbrico Catalyst 9800
Revisión | Fecha de publicación | Comentarios |
---|---|---|
3.0 |
20-Jun-2024 |
Se agregó una nota sobre el balanceo de RADIUS del puerto de origen |
2.0 |
22-Jul-2022 |
Versión inicial |
1.0 |
23-Jun-2022 |
Versión inicial |