Ejemplo de Configuración de DNA Spaces Captive Portal con Controlador AireOS

Opciones de descarga

  • PDF     (924.9 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (784.9 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (655.8 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:3 de mayo de 2021
ID del documento:215424

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar portales cautivos usando Cisco DNA Spaces con un controlador AireOS.

    Colaboración de Andrés Silva, ingeniero del TAC de Cisco.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Acceso mediante interfaz de línea de comandos (CLI) o interfaz gráfica de usuario (GUI) a los controladores inalámbricos
    • Espacios de ADN de Cisco

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Controlador de LAN inalámbrica 5520, versión 8.10.112.0

    Configurar

    Diagrama de la red

    Screen Shot 2020-03-11 at 2.29.32 PM

    Configuraciones

    Conecte el WLC a Cisco DNA Spaces

    El controlador debe estar conectado a Espacios de ADN mediante cualquiera de las configuraciones disponibles, Conexión directa, a través del Conector de Espacios de ADN o mediante tethering CMX.

    En este ejemplo, la opción Conexión directa está en uso, aunque los portales cautivos se configuran de la misma manera para todas las configuraciones.

    Para conectar el controlador a Cisco DNA Spaces, debe poder alcanzar la nube Cisco DNA Spaces a través de HTTPS. Para obtener más información sobre cómo conectar el controlador a los Espacios DNA, consulte este enlace: Ejemplo de Configuración de Conexión Directa de Espacios DNA

    Crear el SSID en espacios de ADN

    Paso 1. Haga clic en Portales cautivos en el panel de Espacios de ADN:

    Screen Shot 2020-03-11 at 2.54.36 PM

    Paso 2. Abra el menú del portal cautivo haciendo clic en el icono de tres líneas en la esquina superior izquierda de la página y haga clic en SSIDs:

    Screen Shot 2020-03-11 at 2.59.24 PM

    Paso 3. Haga clic en Import/Configure SSID, seleccione CUWN (CMX/WLC) como el tipo "Wireless Network" (Red inalámbrica) e introduzca el nombre de SSID:

    Screen Shot 2020-03-11 at 3.00.30 PM

    Configuración de ACL en el controlador

    Se requiere una ACL previa a la autenticación, ya que se trata de un SSID de autenticación web, y tan pronto como el dispositivo inalámbrico se conecta al SSID y recibe una dirección IP, el estado del administrador de políticas del dispositivo pasa al estado Webauth_Reqd y la ACL se aplica a la sesión del cliente para restringir los recursos a los que puede llegar el dispositivo.

    Paso 1. Navegue hasta Seguridad > Listas de control de acceso > Listas de control de acceso, haga clic en Nuevo y configure las reglas para permitir la comunicación entre los clientes inalámbricos a los Espacios de ADN de la siguiente manera. Reemplace las direcciones IP por las direcciones proporcionadas por DNA Spaces para la cuenta en uso:

    Screen Shot 2020-03-11 at 4.15.05 PM

    Nota: Para obtener las direcciones IP de los Espacios de ADN que se permitirán en la ACL, haga clic en la opción Configure Manually del SSID creado en el paso 3 de la sección Create the SSID on DNA Spaces bajo la sección de configuración de ACL.

    El SSID se puede configurar para utilizar un servidor RADIUS o sin él. Si la duración de la sesión, el límite de ancho de banda o el aprovisionamiento de Internet sin problemas se configuran en la sección Acciones de la configuración de la regla de portal cautivo, el SSID debe configurarse con un servidor RADIUS; de lo contrario, no es necesario utilizar el servidor RADIUS. En ambas configuraciones se admiten todo tipo de portales en espacios DNA.

    Portal cautivo sin servidor RADIUS en espacios DNA

    Configuración de SSID en el controlador

    Paso 1. Vaya a WLAN > WLANs. Cree una nueva WLAN. Configure el nombre del perfil y el SSID. Asegúrese de que el nombre SSID es el mismo que el configurado en el paso 3 de la sección Creación del SSID en Espacios de ADN.

    Screen Shot 2020-03-13 at 5.58.52 PM

    Paso 2. Configuración de la seguridad de capa 2. Vaya a la pestaña Security > Layer 2 en la pestaña WLAN configuration y seleccione as None en el menú desplegable Layer 2 Security. Asegúrese de que el filtrado de MAC está desactivado.

    Screen Shot 2020-03-13 at 6.01.13 PM

    Paso 3. Configuración de la seguridad de capa 3. Navegue hasta la pestaña Security > Layer 3 en la pestaña de configuración WLAN, configure la política web como el método de seguridad de la capa 3, habilite Passthrough, configure la ACL de preautenticación, habilite Override Global Config como set the Web Auth Type as External, configure la URL de redirección.

    Screen Shot 2020-03-13 at 6.03.49 PM

    Nota: Para obtener la URL de redirección, haga clic en la opción Configure Manually (Configurar manualmente) del SSID creado en el paso 3 de la sección Create the SSID on DNA Spaces (Crear el SSID en espacios de ADN), en la sección de configuración de SSID.

    Portal cautivo con servidor RADIUS en espacios DNA

    Nota: El servidor RADIUS de Espacios de ADN sólo soporta la autenticación PAP proveniente del controlador.

    Configuración de servidores RADIUS en el controlador

    Paso 1. Navegue hasta Seguridad > AAA > RADIUS > Autenticación, haga clic en Nuevo e ingrese la información del servidor RADIUS. Cisco DNA Spaces actúa como servidor RADIUS para la autenticación de usuarios y puede responder en dos direcciones IP. Configure ambos servidores RADIUS:

    Screen Shot 2020-03-11 at 4.24.45 PM

    Nota: Para obtener la dirección IP de RADIUS y la clave secreta para los servidores primario y secundario, haga clic en la opción Configure Manually del SSID creado en el paso 3 de la sección Create the SSID on DNA Spaces y navegue hasta la sección RADIUS Server Configuration.

    Paso 2. Configure el servidor RADIUS de cuentas. Navegue hasta Seguridad > AAA > RADIUS > Contabilización y haga clic en Nuevo. Configure los mismos servidores RADIUS:

    Screen Shot 2020-03-11 at 4.28.26 PM

    Configuración de SSID en el controlador

    Importante: Antes de comenzar con la configuración SSID, asegúrese de que Web Radius Authentication esté configurado como "PAP" en Controller > General.

    Paso 1. Vaya a WLAN > WLANs. Cree una nueva WLAN. Configure el nombre del perfil y el SSID. Asegúrese de que el nombre SSID es el mismo que el configurado en el paso 3 de la sección Creación del SSID en Espacios de ADN.

    Screen Shot 2020-03-13 at 5.58.52 PM

    Paso 2. Configuración de la seguridad de capa 2. Vaya a la pestaña Security > Layer 2 en la pestaña de configuración WLAN. Configure la Seguridad de Capa 2 como Ninguna. Active el filtrado de Mac.

    Screen Shot 2020-03-11 at 4.44.09 PM

    Paso 3. Configuración de la seguridad de capa 3. Vaya a la pestaña Security > Layer 3 en la pestaña de configuración WLAN, configure Web Policy como el método de seguridad de la Capa 3, Enable On Mac Filter failure, configure la ACL de preautenticación, habilite Override Global Config como set the Web Auth Type as External, configure la URL de redirección.

    Screen Shot 2020-03-11 at 4.56.16 PM

    Paso 4. Configuración de servidores AAA. Navegue hasta la pestaña Security > AAA Servers en la pestaña de configuración WLAN, habilite Authentication Servers y Accounting Servers y en el menú desplegable elija los dos servidores RADIUS:

    Screen Shot 2020-03-11 at 5.03.32 PM

    Paso 6. Configure el orden de prioridad de autenticación para los usuarios de autenticación Web. Navegue hasta la pestaña Security > AAA Servers en la pestaña de configuración de WLAN y establezca RADIUS como el primero en orden.

    Screen Shot 2020-03-11 at 5.06.41 PM

    Paso 7. Vaya a la pestaña Advanced en la pestaña WLAN configuration y habilite Allow AAA Override.

    Screen Shot 2020-03-11 at 5.10.37 PM

    Crear el portal en espacios de ADN

    Paso 1. Haga clic en Portales cautivos en el panel de Espacios de ADN:

    Screen Shot 2020-03-11 at 2.54.36 PM

    Paso 2. Haga clic en Create New, ingrese el nombre del portal y seleccione las ubicaciones que pueden utilizar el portal: 

    Screen Shot 2020-03-11 at 5.15.10 PM

    Paso 3. Seleccione el tipo de autenticación, elija si desea mostrar la captura de datos y los acuerdos de usuario en la página principal del portal y si los usuarios pueden participar para recibir un mensaje. Haga clic en Next (Siguiente):

    Screen Shot 2020-03-11 at 5.16.51 PM

    Paso 4. Configurar elementos de captura de datos. Si desea capturar datos de los usuarios, marque la casilla Enable Data Capture y haga clic en +Add Field Element para agregar los campos deseados. Haga clic en Next (Siguiente):

    Screen Shot 2020-03-11 at 5.23.28 PM

    Paso 5. Marque la opción Enable Terms & Conditions y haga clic en Save & Configure Portal:

    Screen Shot 2020-03-11 at 5.24.56 PM

    Paso 6. Edite el portal según sea necesario, haga clic en Guardar:

    Screen Shot 2020-03-11 at 5.31.14 PM

    Configuración de las reglas del portal cautivo en espacios DNA

    Paso 1. Abra el menú del portal cautivo y haga clic en Reglas del portal cautivo:

    Screen Shot 2020-03-11 at 5.32.25 PM

    Paso 2. Haga clic en + Crear nueva regla. Introduzca el nombre de la regla, elija el SSID configurado anteriormente y seleccione las ubicaciones para las que esta regla de portal está disponible:

    Screen Shot 2020-03-11 at 5.34.38 PM

    Paso 3. Elija la acción del portal cautivo. En este caso, cuando se alcanza la regla, se muestra el portal. Haga clic en Guardar y publicar.

    Screen Shot 2020-03-11 at 5.36.50 PM

    Verificación

    Para confirmar el estado de un cliente conectado al SSID, navegue hasta Monitor > Clients, haga clic en la dirección MAC y busque Policy Manager State:

    Screen Shot 2020-03-11 at 5.52.54 PM

    Troubleshoot

    El siguiente comando se puede habilitar en el controlador antes de la prueba para confirmar el proceso de asociación y autenticación del cliente.

    (5520-Andressi) >debug client 
    
     
     
     
        (5520-Andressi) >debug web-auth redirect enable mac

    Este es el resultado de un intento exitoso de identificar cada una de las fases durante el proceso de asociación/autenticación mientras se conecta a un SSID sin servidor RADIUS:

    Asociación/autenticación 802.11:

    *apfOpenDtlSocket: Apr 09 21:49:06.227: 34:e1:2d:23:a6:68 Received management frame ASSOCIATION REQUEST on BSSID 70:d3:79:dd:d2:0f destination addr 70:d3:79:dd:d2:0f slotid 1
    *apfMsConnTask_5: Apr 09 21:49:06.227: 34:e1:2d:23:a6:68 Updating the client capabiility as 4
    *apfMsConnTask_5: Apr 09 21:49:06.227: 34:e1:2d:23:a6:68 Processing assoc-req station:34:e1:2d:23:a6:68 AP:70:d3:79:dd:d2:00-01 ssid : AireOS-DNASpaces thread:bd271d6280
    *apfMsConnTask_5: Apr 09 21:49:06.227: 34:e1:2d:23:a6:68 CL_EVENT_ASSOC_START (1), reasonCode (1), Result (0), Ssid (AireOS-DNASpaces), ApMac (70:d3:79:dd:d2:00), RSSI (-72), SNR (22)
    *apfMsConnTask_5: Apr 09 21:49:06.228: 34:e1:2d:23:a6:68 Sending assoc-resp with status 0 station:34:e1:2d:23:a6:68 AP:70:d3:79:dd:d2:00-01 on apVapId 1

    Autenticación DHCP y de capa 3:

    *apfMsConnTask_5: Apr 09 21:49:06.228: 34:e1:2d:23:a6:68 Mobility query, PEM State: DHCP_REQD
    *webauthRedirect: Apr 09 21:49:51.949: captive-bypass detection enabled, checking for wispr in HTTP GET, client mac=34:e1:2d:23:a6:68
    *webauthRedirect: Apr 09 21:49:51.949: captiveNetworkMode enabled, mac=34:e1:2d:23:a6:68 user_agent = AnyConnect Agent 4.7.04056
    *webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Preparing redirect URL according to configured Web-Auth type
    *webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- unable to get the hostName for virtual IP, using virtual IP =192.0.2.1
    *webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Checking custom-web config for WLAN ID:1
    *webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Global status is 0 on WLAN 
    *webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- checking on WLAN web-auth type
    *webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Web-auth type External, using URL:https://splash.dnaspaces.io/p2/mexeast1
    *webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Added switch_url, redirect URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html
    *webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Added ap_mac (Radio ), redirect URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00
    *webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Added client_mac , redirect URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6
    *webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- Added wlan, redirect URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6:68&wla
    *webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- http_response_msg_body1 is <HTML><HEAD><TITLE> Web Authentication Redirect</TITLE><META http-equiv="Cache-control" content="no-cache"><META http-equiv="Pragma" content="
    *webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- added redirect=, URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6:68&wlan=Ai
    *webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- str1 is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6:68&wlan=AireOS-DNASpaces&r

    *webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- Message to be sent is
    HTTP/1.1 200 OK
    Location: https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:
    *webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- 200 send_data =HTTP/1.1 200 OK
    Location: https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23
    *webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- send data length=688
    *webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- Url:https://splash.dnaspaces.io/p2/mexeast1 
    *webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- cleaning up after send

    Autenticación de capa 3 exitosa, mueva el cliente al estado RUN:

    *emWeb: Apr 09 21:49:57.633: Connection created for MAC:34:e1:2d:23:a6:68
    *emWeb: Apr 09 21:49:57.634: 
    ewaURLHook: Entering:url=/login.html, virtIp = 192.0.2.1, ssl_connection=0, secureweb=1

    *ewmwebWebauth1: Apr 09 21:49:57.634: 34:e1:2d:23:a6:68 10.10.30.42 WEBAUTH_NOL3SEC (14) Change state to RUN (20) last state WEBAUTH_NOL3SEC (14)
    *ewmwebWebauth1: Apr 09 21:49:57.634: 34:e1:2d:23:a6:68 CL_EVENT_WEB_AUTH_DONE (8), reasonCode (0), Result (0), ServerIp (), UserName ()
    *ewmwebWebauth1: Apr 09 21:49:57.634: 34:e1:2d:23:a6:68 CL_EVENT_RUN (9), reasonCode (0), Result (0), Role (1), VLAN/VNID (20), Ipv4Addr (10.10.30.42), Ipv6Present (No)
    *ewmwebWebauth1: Apr 09 21:49:57.634: 34:e1:2d:23:a6:68 10.10.30.42 RUN (20) Successfully plumbed mobile rule (IPv4 ACL ID 255, IPv6 ACL ID 255, L2 ACL ID 255,URL ACL ID 255,URL ACL Action 0)

    *emWeb: Apr 09 21:49:57.634: User login successful, presenting login success page to user

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    22-Apr-2020
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Andres Silva
      Cisco TAC

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos