Dit document beschrijft hoe u de toegang van uw workflow kunt configureren op basis van autonome access points (APs) met behulp van de interne webpagina die in het AP zelf is ingesloten.
Cisco raadt u aan om kennis te hebben van deze onderwerpen voordat u deze configuratie probeert:
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Web Authentication is een Layer 3 (L3) security functie die de autonome AP's in staat stelt om IP-verkeer te blokkeren (behalve DHCP- en Domain Name Server (DNS)-gerelateerde pakketten) totdat de gast een geldige gebruikersnaam en wachtwoord oplevert in het webportaal waarop de client wordt hergericht wanneer een browser wordt geopend.
Met web authenticatie moet een aparte gebruikersnaam en wachtwoord worden gedefinieerd voor elke gast. De gast is bevonden met de gebruikersnaam en het wachtwoord door de lokale RADIUS-server of een externe RADIUS-server.
Deze optie is geïntroduceerd in Cisco IOS release 15.2(4)JA1.
Voltooi deze stappen om AP voor gasttoegang te vormen:
ap(config)#dot11 ssid Guest
ap(config-ssid)#authentication open
ap(config-ssid)#web-auth
ap(config-ssid)#guest-mode
ap(config-ssid)#exit
ap(config)#ip admission name web_auth proxy http
ap(config)#interface dot11radio 0
ap(config-if)#ssid Guest
ap(config-if)#ip admission web_auth
ap(confi-if)#no shut
ap(config-if)#exit
ap(config)#ip admission name web_auth method-list authentication web_list
ap(config)#aaa new-model
ap(config)#radius-server local
ap(config-radsrv)#nas 192.168.10.2 key cisco
ap(config-radsrv)#exit
ap(config)#dot11 guest
ap(config-guest-mode)#username user1 lifetime 60 password user1
ap(config-guest-mode)#exit
ap(config)#
ap(config)#radius-server host 192.168.10.2 auth-port 1812
acct-port 1813 key cisco
ap(config)#aaa authentication login web_list group radius
Volg deze stappen om de draadloze client te configureren:
Nadat de configuratie is voltooid, kan de client normaal verbinding maken met SSID en u ziet dit in de AP-console:
%DOT11-6-ASSOC: Interface Dot11Radio0, Station ap 0027.10e1.9880
Associated KEY_MGMT[NONE]
ap#show dot11 ass
802.11 Client Stations on Dot11Radio0:
SSID [Guest] :
MAC Address IP address IPV6 address Device Name Parent State
0027.10e1.9880 0.0.0.0 :: ccx-client ap self Assoc
De client heeft een dynamisch IP-adres van 192.168.10.11. Wanneer u echter probeert het IP-adres van de client te pingelen, mislukt dit omdat de client niet volledig geauthentificeerd is:
ap#PING 192.168.10.11
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.11, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
Als de client een browser opent en probeert om http://1.2.3.4 te bereiken, bijvoorbeeld, wordt de client opnieuw gericht naar de interne loginpagina:
Nadat de client is omgeleid naar de logpagina, worden de gebruikersreferenties ingevoerd en geverifieerd via de lokale RADIUS-server, zoals beschreven in de AP-configuratie. Na succesvolle authenticatie wordt het verkeer dat van en naar de cliënt komt volledig toegestaan.
Dit is het bericht dat naar de gebruiker wordt verzonden na succesvolle authenticatie:
Na succesvolle authenticatie kunt u de client-IP-informatie bekijken:
ap#show dot11 ass
802.11 Client Stations on Dot11Radio0:
SSID [Guest] :
MAC Address IP address IPV6 address Device Name Parent State
0027.10e1.9880 192.168.10.11 :: ccx-client ap self Assoc
Pings aan de cliënt na succesvolle authenticatie moet correct werken:
ap#ping 192.168.10.11
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.11, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/6 ms
Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.
Overeenkomstig met IOS op routers of switches kunt u uw pagina met een aangepast bestand aanpassen. het is echter niet mogelijk om een nieuwe webpagina op te zetten .
Gebruik deze opdrachten om de poortbestanden aan te passen:
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
27-Jan-2014 |
Eerste vrijgave |