带有AireOS控制器配置的DNA空间专用门户示例

可用语言

下载选项

  • PDF格式     (693.8 KB)
    在多种设备上使用Adobe Reader查看
  • 电子出版物     (783.3 KB)
    在iPhone、iPad、Android、Sony Reader或Windows Phone上的各种应用程序中查看
  • Mobi(Kindle)     (653.4 KB)
    在多台设备上的Kindle设备或Kindle应用程序上查看
更新时间:2021年5月3日
文档ID:215424

无偏见语言

本产品的文档集力求使用无偏见的语言。在本文档集中,无偏见被定义为不意味着基于年龄、残疾、性别、种族身份、种族认同、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件用户界面中硬编码的语言、基于RFP文档使用的语言或引用的第三方产品使用的语言,文档中可能存在例外情况。了解更多信息关于思科如何使用包容性语言。

    介绍

    本文档描述了如何使用带有AireOS控制器的Cisco DNA Spaces配置捕获门户。

    Andres Silva Cisco TAC工程师撰稿。

    前提条件

    要求

    Cisco建议您了解以下主题:

    • 无线控制器的命令行界面(CLI)或图形用户界面(GUI)访问
    • 思科DNA空间

    使用的组件

    本文档中的信息基于以下软件和硬件版本:

    • 5520无线LAN控制器版本8.10.112.0

    配置

    网络图

    屏幕截图2020-03-11,下午2.29.32

    配置

    将WLC连接到Cisco DNA空间

    控制器需要使用任何可用设置、直接连接、通过DNA空间连接器或使用CMX Tethering连接到DNA空间。

    在本例中,使用的是直接连接选项,尽管对所有设置都以相同的方式配置了捕获入口。

    要将控制器连接到Cisco DNA Spaces,它必须能够通过HTTPS访问Cisco DNA Spaces云。有关如何将控制器连接到DNA空间的更多信息,请参阅此链接:DNA空间直接连接配置示例

    在DNA空间上创建SSID

    步骤1。单击专用门户在DNA空间的仪表板中:

    屏幕截图2020-03-11,下午2.54.36

    步骤2。单击页面左上角的三行图标,打开捕获门户菜单,然后单击SSID:

    屏幕截图2020-03-11,下午2.59.24

    步骤3。单击导入/配置SSID,选择套管(CMX/WLC)作为“无线网络”类型,并输入SSID名称:

    屏幕截图2020-03-11,下午3.00.30

    控制器上的ACL配置

    需要预身份验证ACL,因为这是一个web身份验证SSID,一旦无线设备连接到SSID并接收到IP地址,设备的策略管理器状态就会移动到Web授权请求状态,ACL应用于客户端会话以限制设备可以访问的资源。

    步骤1。引导到安全>访问控制列表>访问控制清单,点击新建并配置规则以允许无线客户端与DNA空间之间的通信,如下所示。用DNA空间为正在使用的帐户提供的IP地址替换:

    屏幕截图2020-03-11,下午4:15.05

    注释:要获取ACL中允许的DNA空间的IP地址,请单击手动配置第节步骤3中创建的SSID中的选项在DNA空间上创建SSID在ACL配置部分下。

    可以将SSID配置为使用RADIUS服务器或不使用它。如果在行动第节中,SSID需要配置RADIUS服务器,否则无需使用RADIUS Server。这两种配置都支持DNA空间上的各种门户。

    DNA空间上没有RADIUS服务器的强制门户

    控制器上的SSID配置

    步骤1。引导到WLAN>WLAN。创建新的WLAN。配置配置文件名称和SSID。确保SSID名称与第节的步骤3中配置的名称相同在DNA空间上创建SSID。

    屏幕截图2020-03-13,下午5.58.52

    步骤2。配置第2层安全性。导航到安全>第2层选项卡,然后选择作为从Layer 2 Security的下拉菜单中.确保禁用MAC筛选。

    屏幕截图2020-03-13,下午6.01.13

    步骤3。配置第3层安全。导航到安全>第三层选项卡,配置网状物 政策作为第三层安全方法,启用Passthrough公司,配置预身份验证ACL,启用覆盖全局 配置按设置Web身份验证类型作为外部,配置重定向URL。

    屏幕截图2020-03-13,下午6.03.49

    注释:要获取重定向URL,请单击手动配置选项,从第节的步骤3中创建的SSID在DNA空间上创建SSID,在SSID配置部分下。

    DNA空间上带有RADIUS服务器的Captive Portal

    注释:DNA Spaces RADIUS服务器仅支持来自控制器的PAP身份验证。

    控制器上的RADIUS服务器配置

    步骤1。导航到安全>AAA>RADIUS>身份验证,点击新建并输入RADIUS服务器信息。Cisco DNA Spaces充当RADIUS服务器进行用户身份验证,它可以在两个IP地址上响应。配置两个RADIUS服务器:

    屏幕截图2020-03-11,下午4.24.45

    注释:要获取主服务器和辅助服务器的RADIUS IP地址和密钥,请单击手动配置在第节的步骤3中创建的SSID中的选项在DNA空间上创建SSID并导航到RADIUS服务器配置第节。

    步骤2。配置记帐RADIUS服务器。引导到安全>AAA>RADIUS>会计然后单击新建。配置相同的两个RADIUS服务器:

    屏幕截图2020-03-11,下午4.28.26

    控制器上的SSID配置

    重要:在开始SSID配置之前,请确保Web Radius身份验证在控制器>常规下设置为“PAP”。

    步骤1。引导到WLAN>WLAN。创建新的WLAN。配置配置文件名和SSID。确保SSID名称与第节的步骤3中配置的名称相同在DNA空间上创建SSID。

    屏幕截图2020-03-13,下午5.58.52

    步骤2。配置第2层安全性。导航到安全>第2层选项卡。将第2层安全配置为。启用Mac筛选。

    屏幕截图2020-03-11,下午4.44.09

    步骤3。配置第3层安全。导航到安全>第三层选项卡,配置网状物 政策作为第三层安全方法,启用Mac上的筛选器失败,配置预身份验证ACL,启用覆盖全局 配置按设置Web身份验证类型作为外部,配置重定向URL。

    下午4.56.16截图2020-03-11

    步骤4。配置AAA服务器。导航到安全>AAA服务器选项卡,启用身份验证服务器记帐服务器并从下拉菜单中选择两个RADIUS服务器:

    屏幕截图2020-03-11下午5.03.32

    步骤6。配置web身份验证用户的身份验证优先级顺序。导航到安全>AAA服务器选项卡,并将RADIUS设置为第一个。

    屏幕截图2020-03-11下午5.06.41

    第7步。导航到高级选项卡,然后启用允许AAA覆盖。

    屏幕截图2020-03-11,下午5.10.37

    在DNA空间上创建门户

    步骤1。单击专用门户在DNA空间的仪表板中:

    屏幕截图2020-03-11,下午2.54.36

    步骤2。单击新建,输入门户名称,然后选择可以使用门户的位置:

    下午5.15.10截屏2020-03-11

    步骤3。选择身份验证类型,选择是否要在门户主页上显示数据捕获和用户协议,以及是否允许用户选择接收消息。单击下一步:

    屏幕截图2020-03-11,下午5.16.51

    步骤4。配置数据捕获元素。如果要从用户捕获数据,请选中启用数据捕获框并单击+添加字段元素以添加所需字段。单击下一步:

    屏幕截图2020-03-11下午5.23.28

    步骤5。检查启用条款&条件并单击保存并配置门户:

    屏幕截图2020-03-11,下午5.24.56

    步骤6。根据需要编辑门户,单击保存:

    屏幕截图2020-03-11,下午5:31.14

    在DNA空间上配置捕获门户规则

    步骤1。打开捕获门户菜单并单击Captive Portal规则:

    屏幕截图2020-03-11,下午5:32.25

    步骤2。单击+创建新规则。输入规则名称,选择以前配置的SSID,然后选择此门户规则可用于的位置:

    屏幕截图2020-03-11下午5:34.38

    步骤3。选择捕获门户的操作。在这种情况下,当命中规则时,将显示门户。单击保存并发布。

    屏幕截图2020-03-11,下午5:36.50

    验证

    要确认连接到SSID的客户端的状态,请导航到监视器>客户端,单击MAC地址并查找策略管理器状态:

    屏幕截图2020-03-11,下午5.52.54

    疑难解答

    在测试之前,可以在控制器中启用以下命令,以确认客户端的关联和身份验证过程。

    (5520-Andressi)>调试客户端<client-MAC-Address>
    (5520-Andressi)>调试web身份重定向启用mac

    这是在连接到没有RADIUS服务器的SSID时,成功尝试标识关联/身份验证过程中的每个阶段的输出:

    802.11关联/身份验证:

    *apfOpenDtlSocket:Apr 09 21:49:06.227:34:e1:2d:23:a6:68在BSSID 70上收到管理帧ASSOCIATION REQUEST:d3:79:dd:d2:0f目标地址70:d3:79:dd:d2.0f插槽1
    *apfMsConnTask_5:Apr 09 21:49:06.227:34:e1:2d:23:a6:68将客户端功能更新为4
    *apfMsConnTask_5:4月9日21:49:06.227:34:e1:2d:23:a6:68处理相关请求站:34:e1:2d:23.a6:68 AP:70:d3:79:dd:d2:00-01 ssid:AireOS-DNASpaces线程:bd271d6280
    *apfMsConnTask_5:4月9日21:49:06.227:34:e1:2d:23:a6:68 CL_EVENT_ASSOC_START(1)、reasonCode(1),Result(0)、Ssid(AireOS-DNASpaces)、ApMac(70:d3:79:dd:d2:00)、RSSI(-72)、SNR(22)
    *apfMsConnTask_5:4月9日21:49:06.228:34:e1:2d:23:a6:68在apVapId 1上发送状态为0的关联响应station:34:e1.2d:23:a6:68 AP:70:d3:79:dd:d2:00-01

    DHCP和第3层身份验证:

    *apfMsConnTask_5:Apr 09 21:49:06.228:34:e1:2d:23:a6:68移动性查询,PEM状态:DHCP_REQD
    *webauthRedirect:Apr 09 21:49:51.949:已启用捕获旁路检测,检查HTTP GET中的纤程,客户端mac=34:e1:2d:23:a6:68
    *webauthRedirect:Apr 09 21:49:51.949:已启用俘虏网络模式,mac=34:e1:2d:23:a6:68 user_agent=AnyConnect agent 4.7.04056
    *webauthRedirect:Apr 09 21:49:51.949:34:e1:2d:23:a6:68-根据配置的Web-Auth类型准备重定向URL
    *webauthRedirect:Apr 09 21:49:51.949:34:e1:2d:23:a6:68-无法使用虚拟IP=192.0.2.1获取虚拟IP的hostName
    *webauthRedirect:Apr 09 21:49:51.949:34:e1:2d:23:a6:68-检查WLAN ID的custom-web配置:1
    *webauthRedirect:Apr 09 21:49:51.949:34:e1:2d:23:a6:68-WLAN上的全局状态为0
    *webauthRedirect:Apr 09 21:49:51.949:34:e1:2d:23:a6:68-检查WLAN web-auth类型
    *webauthRedirect:Apr 09 21:49:51.949:34:e1:2d:23:a6:68-Web-auth类型External,使用URL:https://splash.dnaspaces.io/p2/meseast1
    *webauthRedirect:Apr 09 21:49:51.949:34:e1:2d:23:a6:68-添加了switch_url,重定向url现在https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html
    *webauthRedirect:Apr 09 21:49:51.949:34:e1:2d:23:a6:68-添加了ap_mac(Radio),重定向URL现在是https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00
    *webauthRedirect:Apr 09 21:49:51.949:34:e1:2d:23:a6:68-添加了client_mac,重定向URL现在https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6
    *webauthRedirect:Apr 09 21:49:51.950:34:e1:2d:23:a6:68-添加了wlan,重定向URL现在为https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6:68&wla
    *webauthRedirect:4月9日21:49:51.950:34:e1:2d:23:a6:68-http_response_msg_body1是<HTML><HEAD><TITLE>Web身份验证重定向
    *webauthRedirect:Apr 09 21:49:51.950:34:e1:2d:23:a6:68-添加了redirect=,URL现在为https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6:68&wlan=Ai
    *webauthRedirect:Apr 09 21:49:51.950:34:e1:2d:23:a6:68-str1现在https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6:68&wlan=AireOS-DNA空间(&r)

    *webauthRedirect:Apr 09 21:49:51.950:34:e1:2d:23:a6:68-要发送的消息是
    HTTP/1.1 200正常
    位置:https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:
    *webauthRedirect:4月9日21:49:51.950:34:e1:2d:23:a6:68-200 send_data=HTTP/1.1 200 OK
    位置:https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23
    *webauthRedirect:Apr 09 21:49:51.950:34:e1:2d:23:a6:68-发送数据长度=688
    *webauthRedirect:Apr 09 21:49:51.950:34:e1:2d:23:a6:68-网址:https://splash.dnaspaces.io/p2/meseast1
    *webauthRedirect:Apr 09 21:49:51.950:34:e1:2d:23:a6:68-发送后清理

    第3层身份验证成功,将客户端移动到RUN状态:

    *emWeb:Apr 09 21:49:57.633:为MAC创建的连接:34:e1:2d:23:a6:68
    *emWeb:4月9日21:49:57.634:
    ewaURLHook:输入:url=/login.html,virtIp=192.0.2.1,ssl_connection=0,secureweb=1

    *ewmwebWebauth1:Apr 09 21:49:57.634:34:e1:2d:23:a6:68 10.10.30.42 WEBAUTH_NOL3SEC(14)将状态更改为RUN(20)最后一个状态WEBAUTH _NOL3SEC(14
    *ewmwebWebauth1:2009年4月21日:49:57.634:34:e1:2d:23:a6:68 CL_EVENT_WEB_AUTH_DONE(8),原因代码(0),结果(0)、服务器IP()、用户名()
    *ewmwebWebauth1:Apr 09 21:49:57.634:34:e1:2d:23:a6:68 CL_EVENT_RUN(9),原因代码(0),结果(0),角色(1),VLAN/VNID(20),Ipv4Addr(10.10.30.42),Ipv6发送(否)
    *ewmwebWebauth1:Apr 09 21:49:57.634:34:e1:2d:23:a6:68 10.10.30.42 RUN(20)已成功查找移动规则(IPv4 ACL ID 255、IPv6 ACL ID 255、L2 ACL ID 255、URL ACL ID 255、URL ACL操作0)

    *emWeb:Apr 09 21:49:57.634:用户登录成功,向用户展示登录成功页面

    修订历史记录

    修订 发布日期 评论
    1
    2020年4月22日
    首次发布
    TAC作者

    思科工程师贡献

    • 安德烈斯·席尔瓦
      思科TAC

    这份文件有用吗?

    反馈反馈

    联系Cisco

    本文件适用于这些产品