このドキュメントでは、Autonomous アクセス ポイント(AP)自体に組み込まれている内部 Web ページを使用して、その AP にゲスト アクセス用の設定を行う方法について説明します。
この設定を開始する前に、次の項目に関する知識を得ておくことを推奨します。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
Web 認証は、ブラウザが開いたときにクライアントがリダイレクトされる Web ポータルで、有効なユーザ名とパスワードをゲストが入力するまで、Autonomous AP が IP トラフィック(DHCP およびドメイン ネーム サーバ(DNS)関連のパケットを除く)をブロックできるようにする、レイヤ 3 (L3)のセキュリティ機能です。
Web 認証では、各ゲスト用に異なるユーザ名とパスワードを定義する必要があります。ゲストはローカル RADIUS サーバまたは外部 RADIUS サーバでユーザ名とパスワードを使用して認証されます。
この機能は、Cisco IOS リリース 15.2(4)JA1 で導入されました。
ゲスト アクセス用に AP を設定するには、次の手順を実行します。
ap(config)#dot11 ssid Guest
ap(config-ssid)#authentication open
ap(config-ssid)#web-auth
ap(config-ssid)#guest-mode
ap(config-ssid)#exit
ap(config)#ip admission name web_auth proxy http
ap(config)#interface dot11radio 0
ap(config-if)#ssid Guest
ap(config-if)#ip admission web_auth
ap(confi-if)#no shut
ap(config-if)#exit
ap(config)#ip admission name web_auth method-list authentication web_list
ap(config)#aaa new-model
ap(config)#radius-server local
ap(config-radsrv)#nas 192.168.10.2 key cisco
ap(config-radsrv)#exit
ap(config)#dot11 guest
ap(config-guest-mode)#username user1 lifetime 60 password user1
ap(config-guest-mode)#exit
ap(config)#
ap(config)#radius-server host 192.168.10.2 auth-port 1812
acct-port 1813 key cisco
ap(config)#aaa authentication login web_list group radius
次の手順を実行して、無線クライアントを設定します。
設定が完了したら、クライアントは SSID に正常に接続でき、AP コンソールに次のように表示されます。
%DOT11-6-ASSOC: Interface Dot11Radio0, Station ap 0027.10e1.9880
Associated KEY_MGMT[NONE]
ap#show dot11 ass
802.11 Client Stations on Dot11Radio0:
SSID [Guest] :
MAC Address IP address IPV6 address Device Name Parent State
0027.10e1.9880 0.0.0.0 :: ccx-client ap self Assoc
クライアントのダイナミックIPアドレスは192.168.10.11です。ただし、クライアントのIPアドレスにpingを実行しようとすると、クライアントが完全に認証されていないため、失敗します。
ap#PING 192.168.10.11
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.11, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
クライアントがブラウザを開き、たとえば http://1.2.3.4 に到達しようとすると、クライアントは内部ログイン ページにリダイレクトされます。
クライアントがログイン ページにリダイレクトされると、ユーザ クレデンシャルが入力され、AP 設定に従ってローカル RADIUS サーバに対して検証されます。認証が成功すると、クライアントで送受信されるトラフィックが完全に許可されます。
認証に成功した後にユーザに送信されるメッセージ例を次に示します。
認証が成功すると、クライアントの IP 情報を表示できます。
ap#show dot11 ass
802.11 Client Stations on Dot11Radio0:
SSID [Guest] :
MAC Address IP address IPV6 address Device Name Parent State
0027.10e1.9880 192.168.10.11 :: ccx-client ap self Assoc
正常な認証が完了した後、クライアントへの ping は正しく動作します。
ap#ping 192.168.10.11
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.11, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/6 ms
現在、この設定に関する特定のトラブルシューティング情報はありません。
ルータやスイッチでの IOS と同様、ユーザはカスタム ファイルを使ってページをカスタマイズできます。ただし、外部 Web ページへリダイレクトすることはできません。
ポータル ファイルをカスタマイズするには、次のコマンドを使用します。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
27-Jan-2014 |
初版 |