概要
このドキュメントでは、Web 認証サービス セット識別子(SSID)により、完全な認証や数分おきの切断を必要とせずに、VPN ユーザ アクセスを許可するために必要な手順について説明します。このためには、ユーザがワイヤレス LAN コントローラ(WLC)で Web 認証(Web-auth)タイムアウトを増加させる必要があります。
前提条件
要件
WLCの基本動作とWeb認証の設定方法を理解しておくことをお勧めします。
使用するコンポーネント
このドキュメントの情報は、ファームウェアバージョン8.0.100.0が稼働するCisco 5500シリーズWLCに基づくものです。
注このドキュメントの設定とWeb認証の説明は、すべてのWLCモデルおよびCisco Unified Wireless Network(CUWN)イメージバージョン8.0.100.0以降に適用されます。
背景説明
多くのお客様のネットワーク設定では、Web認証セキュリティを通過させる必要なく、企業ユーザまたはゲストのグループが特定のIPアドレスにVPNアクセスできるようにする設定があります。これらのユーザはIPアドレスを受信し、Web認証セキュリティを介して認証を受けるためにクレデンシャルを必要とせずにVPNに直接接続します。このSSIDは、インターネットにアクセスするために通常のWeb認証と完全なWeb認証を経由する別のユーザによって使用されている可能性があります。このシナリオは、認証を通過する前にVPN IPアドレスへのユーザ接続を許可する事前認証ACLによって可能です。これらのVPNユーザの問題は、ユーザがIPアドレスを選択しても、完全なWeb認証が完了しないことです。したがって、Web認証タイムアウトタイマーがアクティブになり、クライアントの認証が解除されます。
*apfReceiveTask: Sep 03 12:01:55.694: 00:24:d7:cd:ac:30 172.30.0.118 WEBAUTH_REQD (8)
Web-Auth Policy timeout
*apfReceiveTask: Sep 03 12:01:55.694: 00:24:d7:cd:ac:30 172.30.0.118 WEBAUTH_REQD (8)
Pem timed out, Try to delete client in 10 secs.
このタイムアウトの値は5分で、7.6よりも前のWLCバージョンでは固定値になっています。この短いタイムアウト期間により、ワイヤレスネットワークは、このようなユーザではほとんど使用できなくなります。この値を変更する機能はWLCバージョン8.0で追加され、ユーザは事前認証ACL許可トラフィックを使用してVPNにアクセスできます。
設定
注:このセクションで使用されるコマンドの詳細については、Command Lookup Tool(登録ユーザ専用)を使用してください。
WLCのWeb認証タイムアウトを増やすには、次の手順を実行します。
- VPN IPアドレスへのトラフィックを許可するACLを作成します。
- ACLを事前認証ACLとして、レイヤ3セキュリティのワイヤレスLAN(WLAN)設定に適用します。
- CLIからログインし、config wlan security web-auth timeoutコマンドを入力して、Web-auth timeoutの値を増やします。
(WLC)>config wlan security web-auth timeout ?
<value> Configures Web authentication Timeout (300-14400 seconds).
(WLC)>config wlan security web-auth timeout 3600
確認
ここでは、設定が正常に機能しているかどうかを確認します。
WLANのWeb-auth session timeout値は、次の出力例に示すように表示されます。
(WLC)>show wlan 10
Web Based Authentication...................... Enabled
Web Authentication Timeout.................... 3600
トラブルシュート
ここでは、設定のトラブルシューティングに使用できる情報を示します。
debug client <mac-address>コマンドを入力して、認証なしでVPNに接続するユーザのWeb認証タイマーが開始することを確認します。