介绍
本文档描述了如何使用带有AireOS控制器的Cisco DNA Spaces配置捕获门户。
Andres Silva Cisco TAC工程师撰稿。
前提条件
要求
Cisco建议您了解以下主题:
- 无线控制器的命令行界面(CLI)或图形用户界面(GUI)访问
- 思科DNA空间
使用的组件
本文档中的信息基于以下软件和硬件版本:
配置
网络图
配置
将WLC连接到Cisco DNA空间
控制器需要使用任何可用设置、直接连接、通过DNA空间连接器或使用CMX Tethering连接到DNA空间。
在本例中,使用的是直接连接选项,尽管对所有设置都以相同的方式配置了捕获入口。
要将控制器连接到Cisco DNA Spaces,它必须能够通过HTTPS访问Cisco DNA Spaces云。有关如何将控制器连接到DNA空间的更多信息,请参阅此链接:DNA空间直接连接配置示例
在DNA空间上创建SSID
步骤1。单击专用门户在DNA空间的仪表板中:
步骤2。单击页面左上角的三行图标,打开捕获门户菜单,然后单击SSID:
步骤3。单击导入/配置SSID,选择套管(CMX/WLC)作为“无线网络”类型,并输入SSID名称:
控制器上的ACL配置
需要预身份验证ACL,因为这是一个web身份验证SSID,一旦无线设备连接到SSID并接收到IP地址,设备的策略管理器状态就会移动到Web授权请求状态,ACL应用于客户端会话以限制设备可以访问的资源。
步骤1。引导到安全>访问控制列表>访问控制清单,点击新建并配置规则以允许无线客户端与DNA空间之间的通信,如下所示。用DNA空间为正在使用的帐户提供的IP地址替换:
注释:要获取ACL中允许的DNA空间的IP地址,请单击手动配置第节步骤3中创建的SSID中的选项在DNA空间上创建SSID在ACL配置部分下。
可以将SSID配置为使用RADIUS服务器或不使用它。如果在行动第节中,SSID需要配置RADIUS服务器,否则无需使用RADIUS Server。这两种配置都支持DNA空间上的各种门户。
DNA空间上没有RADIUS服务器的强制门户
控制器上的SSID配置
步骤1。引导到WLAN>WLAN。创建新的WLAN。配置配置文件名称和SSID。确保SSID名称与第节的步骤3中配置的名称相同在DNA空间上创建SSID。
步骤2。配置第2层安全性。导航到安全>第2层选项卡,然后选择作为无从Layer 2 Security的下拉菜单中.确保禁用MAC筛选。
步骤3。配置第3层安全。导航到安全>第三层选项卡,配置网状物 政策作为第三层安全方法,启用Passthrough公司,配置预身份验证ACL,启用覆盖全局 配置按设置Web身份验证类型作为外部,配置重定向URL。
注释:要获取重定向URL,请单击手动配置选项,从第节的步骤3中创建的SSID在DNA空间上创建SSID,在SSID配置部分下。
DNA空间上带有RADIUS服务器的Captive Portal
注释:DNA Spaces RADIUS服务器仅支持来自控制器的PAP身份验证。
控制器上的RADIUS服务器配置
步骤1。导航到安全>AAA>RADIUS>身份验证,点击新建并输入RADIUS服务器信息。Cisco DNA Spaces充当RADIUS服务器进行用户身份验证,它可以在两个IP地址上响应。配置两个RADIUS服务器:
注释:要获取主服务器和辅助服务器的RADIUS IP地址和密钥,请单击手动配置在第节的步骤3中创建的SSID中的选项在DNA空间上创建SSID并导航到RADIUS服务器配置第节。
步骤2。配置记帐RADIUS服务器。引导到安全>AAA>RADIUS>会计然后单击新建。配置相同的两个RADIUS服务器:
控制器上的SSID配置
重要:在开始SSID配置之前,请确保Web Radius身份验证在控制器>常规下设置为“PAP”。
步骤1。引导到WLAN>WLAN。创建新的WLAN。配置配置文件名和SSID。确保SSID名称与第节的步骤3中配置的名称相同在DNA空间上创建SSID。
步骤2。配置第2层安全性。导航到安全>第2层选项卡。将第2层安全配置为无。启用Mac筛选。
步骤3。配置第3层安全。导航到安全>第三层选项卡,配置网状物 政策作为第三层安全方法,启用Mac上的筛选器失败,配置预身份验证ACL,启用覆盖全局 配置按设置Web身份验证类型作为外部,配置重定向URL。
步骤4。配置AAA服务器。导航到安全>AAA服务器选项卡,启用身份验证服务器和记帐服务器并从下拉菜单中选择两个RADIUS服务器:
步骤6。配置web身份验证用户的身份验证优先级顺序。导航到安全>AAA服务器选项卡,并将RADIUS设置为第一个。
第7步。导航到高级选项卡,然后启用允许AAA覆盖。
在DNA空间上创建门户
步骤1。单击专用门户在DNA空间的仪表板中:
步骤2。单击新建,输入门户名称,然后选择可以使用门户的位置:
步骤3。选择身份验证类型,选择是否要在门户主页上显示数据捕获和用户协议,以及是否允许用户选择接收消息。单击下一步:
步骤4。配置数据捕获元素。如果要从用户捕获数据,请选中启用数据捕获框并单击+添加字段元素以添加所需字段。单击下一步:
步骤5。检查启用条款&条件并单击保存并配置门户:
步骤6。根据需要编辑门户,单击保存:
在DNA空间上配置捕获门户规则
步骤1。打开捕获门户菜单并单击Captive Portal规则:
步骤2。单击+创建新规则。输入规则名称,选择以前配置的SSID,然后选择此门户规则可用于的位置:
步骤3。选择捕获门户的操作。在这种情况下,当命中规则时,将显示门户。单击保存并发布。
验证
要确认连接到SSID的客户端的状态,请导航到监视器>客户端,单击MAC地址并查找策略管理器状态:
疑难解答
在测试之前,可以在控制器中启用以下命令,以确认客户端的关联和身份验证过程。
(5520-Andressi)>调试客户端<client-MAC-Address>
(5520-Andressi)>调试web身份重定向启用mac
这是在连接到没有RADIUS服务器的SSID时,成功尝试标识关联/身份验证过程中的每个阶段的输出:
802.11关联/身份验证:
*apfOpenDtlSocket:Apr 09 21:49:06.227:34:e1:2d:23:a6:68在BSSID 70上收到管理帧ASSOCIATION REQUEST:d3:79:dd:d2:0f目标地址70:d3:79:dd:d2.0f插槽1
*apfMsConnTask_5:Apr 09 21:49:06.227:34:e1:2d:23:a6:68将客户端功能更新为4
*apfMsConnTask_5:4月9日21:49:06.227:34:e1:2d:23:a6:68处理相关请求站:34:e1:2d:23.a6:68 AP:70:d3:79:dd:d2:00-01 ssid:AireOS-DNASpaces线程:bd271d6280
*apfMsConnTask_5:4月9日21:49:06.227:34:e1:2d:23:a6:68 CL_EVENT_ASSOC_START(1)、reasonCode(1),Result(0)、Ssid(AireOS-DNASpaces)、ApMac(70:d3:79:dd:d2:00)、RSSI(-72)、SNR(22)
*apfMsConnTask_5:4月9日21:49:06.228:34:e1:2d:23:a6:68在apVapId 1上发送状态为0的关联响应station:34:e1.2d:23:a6:68 AP:70:d3:79:dd:d2:00-01
DHCP和第3层身份验证:
*apfMsConnTask_5:Apr 09 21:49:06.228:34:e1:2d:23:a6:68移动性查询,PEM状态:DHCP_REQD
*webauthRedirect:Apr 09 21:49:51.949:已启用捕获旁路检测,检查HTTP GET中的纤程,客户端mac=34:e1:2d:23:a6:68
*webauthRedirect:Apr 09 21:49:51.949:已启用俘虏网络模式,mac=34:e1:2d:23:a6:68 user_agent=AnyConnect agent 4.7.04056
*webauthRedirect:Apr 09 21:49:51.949:34:e1:2d:23:a6:68-根据配置的Web-Auth类型准备重定向URL
*webauthRedirect:Apr 09 21:49:51.949:34:e1:2d:23:a6:68-无法使用虚拟IP=192.0.2.1获取虚拟IP的hostName
*webauthRedirect:Apr 09 21:49:51.949:34:e1:2d:23:a6:68-检查WLAN ID的custom-web配置:1
*webauthRedirect:Apr 09 21:49:51.949:34:e1:2d:23:a6:68-WLAN上的全局状态为0
*webauthRedirect:Apr 09 21:49:51.949:34:e1:2d:23:a6:68-检查WLAN web-auth类型
*webauthRedirect:Apr 09 21:49:51.949:34:e1:2d:23:a6:68-Web-auth类型External,使用URL:https://splash.dnaspaces.io/p2/meseast1
*webauthRedirect:Apr 09 21:49:51.949:34:e1:2d:23:a6:68-添加了switch_url,重定向url现在https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html
*webauthRedirect:Apr 09 21:49:51.949:34:e1:2d:23:a6:68-添加了ap_mac(Radio),重定向URL现在是https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00
*webauthRedirect:Apr 09 21:49:51.949:34:e1:2d:23:a6:68-添加了client_mac,重定向URL现在https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6
*webauthRedirect:Apr 09 21:49:51.950:34:e1:2d:23:a6:68-添加了wlan,重定向URL现在为https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6:68&wla
*webauthRedirect:4月9日21:49:51.950:34:e1:2d:23:a6:68-http_response_msg_body1是<HTML><HEAD><TITLE>Web身份验证重定向
*webauthRedirect:Apr 09 21:49:51.950:34:e1:2d:23:a6:68-添加了redirect=,URL现在为https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6:68&wlan=Ai
*webauthRedirect:Apr 09 21:49:51.950:34:e1:2d:23:a6:68-str1现在https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6:68&wlan=AireOS-DNA空间(&r)
*webauthRedirect:Apr 09 21:49:51.950:34:e1:2d:23:a6:68-要发送的消息是
HTTP/1.1 200正常
位置:https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:
*webauthRedirect:4月9日21:49:51.950:34:e1:2d:23:a6:68-200 send_data=HTTP/1.1 200 OK
位置:https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23
*webauthRedirect:Apr 09 21:49:51.950:34:e1:2d:23:a6:68-发送数据长度=688
*webauthRedirect:Apr 09 21:49:51.950:34:e1:2d:23:a6:68-网址:https://splash.dnaspaces.io/p2/meseast1
*webauthRedirect:Apr 09 21:49:51.950:34:e1:2d:23:a6:68-发送后清理
第3层身份验证成功,将客户端移动到RUN状态:
*emWeb:Apr 09 21:49:57.633:为MAC创建的连接:34:e1:2d:23:a6:68
*emWeb:4月9日21:49:57.634:
ewaURLHook:输入:url=/login.html,virtIp=192.0.2.1,ssl_connection=0,secureweb=1
*ewmwebWebauth1:Apr 09 21:49:57.634:34:e1:2d:23:a6:68 10.10.30.42 WEBAUTH_NOL3SEC(14)将状态更改为RUN(20)最后一个状态WEBAUTH _NOL3SEC(14
*ewmwebWebauth1:2009年4月21日:49:57.634:34:e1:2d:23:a6:68 CL_EVENT_WEB_AUTH_DONE(8),原因代码(0),结果(0)、服务器IP()、用户名()
*ewmwebWebauth1:Apr 09 21:49:57.634:34:e1:2d:23:a6:68 CL_EVENT_RUN(9),原因代码(0),结果(0),角色(1),VLAN/VNID(20),Ipv4Addr(10.10.30.42),Ipv6发送(否)
*ewmwebWebauth1:Apr 09 21:49:57.634:34:e1:2d:23:a6:68 10.10.30.42 RUN(20)已成功查找移动规则(IPv4 ACL ID 255、IPv6 ACL ID 255、L2 ACL ID 255、URL ACL ID 255、URL ACL操作0)
*emWeb:Apr 09 21:49:57.634:用户登录成功,向用户展示登录成功页面