Como leer e interpretar las líneas de comando
En el presente manual se usan las
siguientes convenciones para comandos a ingresar en la interfaz de lineas de
configuracion (CLI).
Comando para ingresar al modo de
configuracion global:
configure terminal
Comando para especificar el valor
de una varible:
ntp server 172.18.58.200
Comando cuya variable usted debe
definir:
Class-map [highest class
name]
Comando para ingresar al modo de
configuracion privilegiado y campos universales imperativos :
Router>enable
Las comandos de configuracion muy
largos y que ocupan varias lineas se subrayan
police
rate 10000 pps burst 10000 packets conform-action
Las variables que se muestran como
salida de respuesta a peticiones en CLI son sombreadas
interface Van64
ip address 10.5.204.5
255.255.255.0
En publicaciones anteriores habiamos
comentado acerca de la autenticación y autorizacion de usuarios (ya sea de
empleados o invitados) a través del ISE (1) o inclusive LDAP (2), pero que
sucedería si hubiese un caso donde a través de un SSID o WLAN existiesen varios
tipos o clases de usuarios a los que se le deben otorgar accesos muy específicos
a nivel local, redes remotas e internet.
En
lo consecutivo, visualizaremos un ejemplo práctico a fin de brindar
una solución al caso planteado.
Muy
importante, ya debemos en este punto, contar con un despliegue de ISEv2.X (3),
alguna version de WLC 8.X (4) y configurados las Vlan, interfaces SVI y Scopes
DHCP, lo que implica que una LAN ya halla sido desarrollada y planificada con
anterioridad.
(1) Campus 802.1X sobre Cisco ISE v2.1 y
Wireless
Network para ISE v2.1 y vWLC 8.2.130.0
(2) Wireless
Network - Integración AD y LDAP - Cisco WLC 8.2.130.0
(3) Desplegando
Cisco ISE v2.1
(4) Despliegue
Cisco Virtual Wireless LAN Controler (vWLC)
___________________________________________________________________________________
Nota Importante: Para este despliegue se debe contar con un
Controlador de Dominio establecido al igual que una estructura básica de
Directorio Activo. A su vez con un servicio de DNS local.
En este punto, les hago llegar ciertos link, donde la información se hace ver muy detallada:
Crear un Controlador de Dominio, Instalar Active Directory.
En este punto, les hago llegar ciertos link, donde la información se hace ver muy detallada:
Crear un Controlador de Dominio, Instalar Active Directory.
https://www.taringa.net/post/hazlo-tu-mismo/14626374/Crear-un-Controlador-de-Dominio-Instalar-Active-Directory.html
Windows Server 2012 (R2): Crear un Dominio – Instalación del Primer Controlador de Dominio
Windows Server 2012 (R2): Crear un Dominio – Instalación del Primer Controlador de Dominio
https://windowserver.wordpress.com/2014/11/26/windows-server-2012-r2-crear-un-dominio-instalacin-del-primer-controlador-de-dominio/
___________________________________________________________________________________
___________________________________________________________________________________
Proceso
1: Configurar interfaces en WLC.
Paso 1: Navegar en la ruta Controller > Interfaces. En
la sección derecha hacer click en el botón New.
Paso 2: Configurar los valores de los campos correspondientes a
la identificación de la ACL y sus reglas Interface
Name,... Validar el ejemplo de la Figura1.
En este punto se configuran las interfaces de red que se aplicaran a
cada clase de usuario con el resto de la LAN.
Figura1.: Configurando
Interfaces en WLC
Proceso
2: Configurar grupos de interfaces en WLC.
La idea de un grupo de interfaces, es que a través de la autenticación
del usuario y su posterior autorización por parte del ISE, se le asignará una
etiqueta al usuario que lo asignará una vlan específica. Es ésta etiqueta que
interpretará el WLC a fin de colocar al host del usuario dentro del segmento de
red al que debe pertenecer.
Paso 1: Navegar en la ruta Controller > Interfaces Groups. En
la sección derecha hacer click en el botón Add Group.
Paso 2: Configurar los valores de los campos correspondientes a
la identificación del grupo y descripción Interface Group Name y Description.
Click en Add,... Validar el ejemplo
de la Figura2.
Figura2.: Creando
Grupo de Interfaces
Paso 3: En la nueva
ventana es el menú desplegable Interface Nave, escoger la interfaz que
formará parte de este grupo y hacer click sobre Add Interface. Repetir
hasta que la última interfaz sea agregada. Validar la Figura 3.
Figura3.: Agregando
interfaces al interface Groups
Proceso
3: Configurar la red inalámbrica o WLAN.
Paso 1: Navegar en la ruta WLANs > WLANs En
la sección derecha hacer click en el botón New.
Paso 2: Configurar los valores de los campos correspondientes a
la identificación de la Red Wifi y SSID, además en el campo Interface/Interfaces
Groups(G) el cual asignara el direccionamiento y red a utilizar por el SSID.
Es aquí donde colocaremos especial atención, en este campo optaremos por el
grupo de interfaces ya creado anteriormente. Cisco en el diseño de la solución
a optado por marcar el grupo de interfaces con el símbolo (G),... Validar
Figura4.
Para el caso del ejemplo, autenticaremos al usuario via Dot1X e ISE como
servidor Radius.
Figura4.: Creando
Wlan y asociando el Interface Group
Proceso
3: Creando Perfil de Autorización en ISEv2.1.
En el perfil de
autorización se configura el ID de etiquetas que distinguirán al host del
usuario y será utilizado por el WLC para asignarlo dentro de un segmento de
red.
Paso 1: Navegar a través de
la ruta Policy > Policy Elements > Result.
Paso 2: En el panel de la
izquierda, desplegar la sección de Authorization y allí click
sobre Authorization Profiles.
Paso 3: Ahora sobre la
derecha en el campo, hacer click en +Add, se desplegara un cuadro
de dialogo donde en el campo Name colocar un nombre para el
perfil, por ejemplo: Acceso_Bronce_BYOD
Paso 4: En el campo Access
Type elegir ACCESS_ACCEPT, en el campo Network Device
Profile optar por Cisco y en la sección Common
Task marcar la casilla DACL Name, además de elegir la
opción ACL_Bronce_BYOD (lista de acceso descargable creada
previamente), marcar el campo Vlan y llenar el campo ID/Name con el Tag de Vlan
correspondiente, en este ejemplo optamos por 42. Validar Figura 5.
Paso 5: Click en Save.
Paso6: Repetir nuevamente
los pasos del 1 al 5 mientras existan clases de usuarios a autorizar.
Figura5.: Creando
Wlan y asociando el Interface Group
Proceso
4: Configurando regla de autorización para usuario.
Paso 1: Navegar a traves de
la ruta Policy > Authorization Poliy.
Paso 2: En la política por
default Enployee_Wired click sobre el menú desplegable de
Edit. Hacer click sobre Add New Rule Above. Agregar el
nombre, por ejemplo: Bronce_BYOD_Wireless.
Paso 3: Ahora sobre el
campo Conditions elegir las condiciones correspondientes de autorización,
y en nuestro caso de ejemplo, el dispositivo del usuario debe estar registrado
en el grupo EndPonits Dispositivo_BYOD, además la autenticación debe venir
a través algún dispositivos de red inalámbrico WLC y autenticado el SSID via
Dot1X Wireless_802.1X, también dentro de las condiciones
estipulamos que el usuario se vea en la necesidad de autenticarse y conectarse
a través de su SSID correspondiente: Wlan_BEC_Colaboradores y por último que
pertenezca a un grupo específico de Active Directory GSAR_Bronce.
Paso 4: En el campo Permitions hacer click en el
simbolo “+” y optar por el perfil de autorizacion creado en el proceso
anterior, Acceso_Bronce_BYOD. Validar Figura6.
Paso 5: Click en Done y
luego en Save.
Figura6.: Creando regla
de autorización
Apéndice:
Figura7:
Grupo “Dispositivos_BYOD” creado. Ruta:
Administration > Identity Management > Groups > Endpoint Identity
Groups
Figura8:
Condición de Autorización “Wlan_BEC_Colaboradores” creado. Ruta: Policy > Policy Elements > Conditions >
Authorization > Compound Conditions
Nota:
El valor “8” es obtenido en la sección del WLC correspondiente al resumen WLANs
y es denominado Wlan-ID
Figura9:
Condición de Autorización “GASR_Bronce” creado. Ruta: Policy > Policy Elements > Conditions >
Authorization > Simple Conditions
Nota:
El valor corresponde a uno de los grupos de seguridad que fueron asimilados en
el despliegue del ISE y que forman parte del AD.
Referencias
Cisco Ejemplo de Configuracion de la autenticacion Web del regulador del Wireless LAN. Octubre 2016.
Cisco Identity Services Engine Administrator Guide, Release 2.1. Marzo 2015.
Cisco Autenticacion Web en el Controlador WLAN. Diciembre 2014
Campus 802.1X Authentication. Technology Design Guide. Agosto 2014.
Cisco Campus Wireless LAN. Technology Design Guide. Agosto 2014.
Cisco Virtual Wireless Controller Deployment Guide. Document ID 113677. Enero 2014.
Cisco Wireless Deployment Guide (SBA). Febrero 2013
Cisco Wireless LAN Advanced Guest Access Deployment Guide. Febrero 2013.
