miércoles, 8 de marzo de 2017

CISCO– GuestAccess_Internal_AuthWeb

Detalles de CISCO– GuestAccess_Internal_AuthWeb
Como leer e interpretar las líneas de comando
              En el presente manual se usan las siguientes convenciones para comandos a ingresar en la interfaz de lineas de configuracion (CLI).
Comando para ingresar al modo de configuracion global:
                 configure terminal
Comando para especificar el valor de una varible:
                 ntp server 172.18.58.200
Comando cuya variable usted debe definir:   
                 Class-map [highest class name]
Comando para ingresar al modo de configuracion privilegiado y campos universales imperativos      :
                 Router>enable
Las comandos de configuracion muy largos y que ocupan varias lineas se subrayan
                 police rate 10000 pps burst 10000 packets conform-action
Las variables que se muestran como salida de respuesta a peticiones en CLI son sombreadas
interface Van64   
 ip address 10.5.204.5 255.255.255.0

Introducción
          Anteriormente habíamos comentado acerca de algunas posibles maneras de autenticar y autorizar usuarios invitados dentro de una red local (1), por ejemplo con Cisco ISE y LDAP, ahora bien traemos un diseño que permite autenticar usuarios invitados a través del portal interno de un Cisco WLC pero con una base de datos de usuarios interna.
Proceso 1: Configurando Portal Local de Autenticación
Paso 1: Usando credenciales asignadas ingrese y autentíquese en el portal de administración de su WLC.
Paso 2: En configuración avanzada, navegue a través de la ruta Security > Web Auth > Web Login Page.
Paso 3: En la sección derecha en el campo Web Authentication Type, opte por Internal (Default).
Paso 4: En caso de ser necesario, indique un URL para redirección luego de una autenticación exitosa en el campo Redirect URL after login.
Paso 5: Personalice su criterio los campos Cisco Logo, Headline y Message. Validar Figura1.

Figura1.: Configurando Portal Local de Autenticación

Proceso 2: Configurando Lista de Acceso de Pre-autenticación
                 No olvidemos que una ACL de preatenticación retringirá al usuario a tener solo acceso al servicios DHCP, DNS y autenticación a través del portal interno de nuestro WLC.
Paso 1: Usando credenciales asignadas ingrese y autentíquese en el portal de administración de su WLC, en caso de ser necesario
Paso 2: En configuración avanzada, navegue a través de la ruta Security >  Access Control Lists > Access Control Lists.
Paso 3: En la sección derecha haga click en New, llene el campo Access Control List Name (por ejemplo: PreAuth_Invitado) y escoja dirección IPv4 o IPv6 según convenga. Luego haga click en Apply.
Paso 4: Una vez de nuevo en la ruta Security >  Access Control Lists > Access Control Lists, haga click sobre la lista de acceso creada (por ejemplo: PreAuth_Invitado) en el Paso 3, y comience la edición. Recuerde que: se debe restringir al nuevo usuario intivitado a tener solo acceso al servicios DHCP, DNS y autenticación a través del portal interno de nuestro WLC. Validar Figura2.

Figura2.: Configurando Lista de Acceso de Pre-autenticación


Proceso 3: Creando Interfaz de conexión para usuarios de una WLAN en el WLC
                 No olvidemos que en un WLC por lo general se establece una interfaz capa 3 para la interconexión de usuarios con el resto de la LAN.
Paso 1: Usando credenciales asignadas ingrese y autentíquese en el portal de administración de su WLC, en caso de ser necesario
Paso 2: En configuración avanzada, navegue a través de la ruta Controller >  Interfaces.
Paso 3: En la sección derecha hacer click en New, llenar el campo Interface Name con el nombre designado para la interfaz y el campo VLAN Id con el valor del encapsulamiento 802.1q asignado dentro de la LAN para este conjunto de usuarios. Click en Apply.
Paso 4: Llenar los datos de los campos Port Number, IP Address, Netmask, Gateway, Primary DHCP Server y Secondary DHCP Server, según diseño planteado. Validar Figura3.

Figura3.: Creando Interfaz de conexión para usuarios de una WLAN en el WLC


Proceso 4: Creando una WLAN  de conexión para usuarios invitados en el WLC
Aquí se creará el famoso SSID con la cual identificamos la red inalámbrica, además de asociar la interfaz de capa 3 creada en el Proceso 4 y se especificará la autenticación via web y el origen de los usuarios en el servidor LDAP.
Paso 1: Usando credenciales asignadas ingrese y autentíquese en el portal de administración de su WLC, en caso de ser necesario
Paso 2: En configuración avanzada, navegue a través de la ruta Wlans >  Wlans.
Paso 3: Sobre la sección derecha y el menú de opciones único, optar por Create New y hacer click en Go.
Paso 4: Coloque el nombre de la Wlan en el campo Profile Name y el identifcador visible de la red inalámbrica o SSID. Click sobre Apply.
Paso 5: En pantalla emergente, confirme los datos introducidos en el paso anterior y haga click sobre la casilla Enabled del campo Status. Validar Figura4.
Paso 6: En el campo Interface/Interface Group(G) opte por la interfaz de capa 3 creada en el Proceso 3.

Figura4.: Creando una WLAN  de conexión para usuarios invitados en el WLC


Paso 7: Click sobre la pestaña Security, luego en la subpestaña Layer 2 y optar por None en el campo Layer 2 Security. La casilla MAC Filtering no debe estar marcada al igual que Fast Transition. Validar Figura5.
Figura5.: Creando una WLAN  de conexión para usuarios invitados en el WLC, pestaña Security Layer2

Paso 8: Click sobre la pestaña Security, luego en la subpestaña Layer 3 y optar por Web Policy en el campo Layer 3 Security, marcar la opción Authentication y en el campo Preautentication ACL IPv4 optar por la lista de acceso creada en el Proceso 2. Validar Figura6.
Figura6.: Creando una WLAN  de conexión para usuarios invitados en el WLC, pestaña Security Layer3

Paso 9: Click sobre la pestaña Security, luego en la subpestaña AAA Servers, ubicar la última sección llamada Authentication priority order for web-auth user y dejar Local como primer y/o único origen de credenciales de usuario. Validar Figura7.
Figura7.: Creando una WLAN  de conexión para usuarios invitados en el WLC, pestaña Security AAA Servers, Local

Proceso 5: Creando usuario “Sponsor” y/o “Anfitrión” en WLC.
Paso 1: Usando credenciales asignadas ingrese y autentíquese en el portal de administración de su WLC, en caso de ser necesario
Paso 2: En configuración avanzada, navegue a través de la ruta Management >  Local Management Users. Hacer click sobre el botón New a la derecha.
Paso 3: Llenar los campos User Name, Password y Confirm Password según su diseño. Optar por LobbyAdmin en el campo User Access Mode. Validar Figura8
Pase 4: Click en Apply.

Figura8.: Creando usuario “Sponsor” y/o “Anfitrión” en WLC

Proceso 6: Creando usuario “Invitado”
Paso 1: Usando credenciales creadas en el Proceso 5, ingrese y autentíquese en el portal de administración de su WLC.
Url: https://ip.ip.ip.ip/screens/lobbyadmin_frameset.html

Paso 2: Una vez autenticado haga click en New en la sección Guest User List.
Paso 3: En la sección emergente, llene los campos User Name, Lifetime (duración máxima de la sesión del usuario) y Description, opte por el tipo de Password     según su diseño y en el campo Wlan SSID elija el identificador de su red inalámbrica para invitados. Validar Figura 9.

Figura9.: Creando usuario “Sponsor” y/o “Anfitrión” en WLC


Proceso 7: Comprobando conexión Invitado a la red Wlan diseñada
                 Paso 1: Conectar un dispositivo al SSID o WLAN invitados creada en el Proceso 4, esperar la redirección al portal de invitados y otorgar las credenciales creadas en el Proceso 6, esperar que se confirme la autenticación exitosa. Validar Figura10.
Figura10.: Inserción de credenciales del usuario invitados

Paso 2: Usando credenciales de administrador ingrese y autentíquese en el portal de administración de su WLC, en caso de ser necesario
Paso 3: En configuración avanzada, navegue a través de la ruta Monitor >  Clients  y haga clic sobre la MAC Address del dispositivo usado para la conexión en el Paso 2. Allí podrá verificar entre otras cosas, las credenciales usadas para la conexión en el dispositivo, la dirección IP tomada por el dispositivo y el AP más cercano donde se ha registrado el cliente. Validar Figura11.

Figura11.: Verificación de conexión del cliente y datos de relevancia

Referencias
Cisco: Troubleshooting Web Authentication on WLC. Julio 2011.
Cisco: Web Authentication WLC Guide. Diciembre 2014.
Cisco: Web Authentication Configuration. Octubre 2016.
Cisco: Campus Wireless LAN. Techmology Design. Agosto 2014.






Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)