Active un portal cautivo en la red inalámbrica de Cisco
Activación de Captive Portal en la red inalámbrica de Cisco
En un entorno empresarial cada vez más colaborativo y móvil, cada vez son más las organizaciones que abren sus entornos de red para el uso compartido controlado de recursos con partners empresariales, clientes y otros invitados. Las empresas buscan mejores formas de:
· Proporcionar acceso inalámbrico a Internet seguro a los clientes visitantes
· Permitir un acceso limitado a los recursos de red de la empresa para los partners empresariales
· Proporcionar autenticación y conectividad rápidas para los empleados que utilizan tres dispositivos móviles personales
Un punto de acceso inalámbrico (AP) Cisco Small Business, como el WAP321 o el WAP561, se puede integrar fácilmente en la red por cable existente para proporcionar una conectividad inalámbrica con velocidad y seguridad que rivalice con una conexión por cable típica.
La función Cisco Captive Portal proporciona una forma cómoda, segura y rentable de ofrecer acceso inalámbrico a clientes y otros visitantes al tiempo que mantiene la seguridad de su red interna. Una red para invitados puede servir para muchos propósitos empresariales importantes, entre los que se incluyen la optimización de los negocios con los partners y la mejora de la satisfacción del cliente y la productividad de los empleados.
El portal cautivo puede proporcionar las siguientes funciones básicas:
· Página de inicio de sesión de invitado personalizada con logotipos de empresa
· Capacidad de crear varias instancias del portal cautivo
· Varias opciones de autenticación
· Capacidad para asignar diferentes derechos y funciones
· Capacidad para asignar ancho de banda (flujo ascendente y descendente)
¿Cómo se configura el portal cautivo?
El portal cautivo se puede configurar a través de la GUI del dispositivo. Para una configuración rápida y básica, el cliente puede utilizar el asistente de configuración para habilitar la función. Consulte los pasos que se indican a continuación:
Uso del asistente de configuración
Ejecute el asistente de configuración desde el panel principal de la GUI del dispositivo.
Siga las pantallas del asistente.
Habilitar el acceso de invitado (portal cautivo).
Asigne un nombre a la red para invitado, por ejemplo "Mi empresa: Invitado".
Seleccione un tipo de seguridad.
Si tiene una página web específica que desea mostrar después de que los usuarios acepten los términos del servicio de la página de bienvenida, escriba la URL y, a continuación, esta URL puede ser el sitio web de su empresa.
Seleccione Siguiente para ir a la página siguiente.
Ahora que ha finalizado la configuración del portal cautivo, el cliente podrá conectarse a la red para invitados y acceder a la página de bienvenida.
Para la configuración y personalización avanzadas del portal, inicie sesión en la GUI del dispositivo, desde el menú del portal cautivo.
Seleccione Configuración de instancia, verá que el asistente ha creado un nombre de instancia llamado "wiz-cp-inst1". Puede elegir este nombre o crear un nuevo nombre para la configuración de instancia y, a continuación, guardar. Si selecciona "wiz-cp-inst1", la pantalla le llevará a la página Instance Configuration (Configuración de instancias).
Observará que el asistente de configuración asoció automáticamente el nombre de instancia del portal cautivo "wiz-cp-inst1" al SSID de invitado que creó durante el asistente de configuración.
Si ha creado la instancia mediante la GUI, ahora debe asociarse a la red para invitado que ha creado.
En el menú desplegable, seleccione el nombre de instancia "Guest" (Invitado) o la instancia creada por el asistente "wiz-cp-inst1".
En el menú, seleccione Configuración del portal web para configurar la página de bienvenida de invitado y elija el nombre de la instancia en el menú desplegable.
Seleccione el método de autenticación que utilizará Captive Portal para comprobar los clientes:
· Invitado: el usuario no necesita ser autenticado por una base de datos.
· Local: el dispositivo WAP utiliza una base de datos local para los usuarios autenticados.
· RADIUS: el dispositivo WAP utiliza una base de datos en un servidor RADIUS remoto para autenticar usuarios.
Si elige el método de verificación "Configuración regional", tendrá que crear usuarios locales.
En el menú, seleccione Local.
Introduzca el parámetro de uso (nombre del usuario) y elija los parámetros del perfil de usuario.
Personalización de la página del portal web, ahora tiene la opción de cargar el logotipo y los gráficos de su empresa. Puede cargar hasta 3 archivos gráficos, uno para el fondo de la página (Default cisco-bkg), segundo para el logotipo de la empresa (default, cisco-log) y tercero para la pantalla de inicio de sesión (default, log-key).
** Tenga en cuenta que el tamaño de archivo de este archivo de ilustración debe ser de 5 KB.
Ahora puede personalizar la página de su portal web, como agregar Política de uso de aceptación, título y nombre de la ventana, etc.
Página personalizada con el método de verificación como invitado, esto significa que no hay necesidad de autenticar, el usuario solo tendrá que aceptar los términos del servicio y seleccionar el botón Conectar, introduciendo el nombre de usuario es opcional.
Página personalizada con el método de verificación como local, esto significa que el usuario debe introducir su nombre de usuario y contraseña para autenticarse, y luego el usuario tendrá que aceptar los términos del servicio y seleccionar el botón Conectar.
Portal cautivo en un entorno Multi-VLAN
En algunos casos, una red necesita varias VLAN para diferentes propósitos, con el fin de prestar servicio a diferentes grupos de usuarios. Un ejemplo común es una red independiente para que los usuarios invitados impidan que usuarios no autorizados tengan acceso a los recursos de la red corporativa. En ocasiones, existen varias redes inalámbricas que deben estar disponibles para diferentes usuarios por el mismo motivo. Los dispositivos WAP321 y WAP561 pueden satisfacer estas necesidades mediante el portal cautivo, pero requieren una configuración adicional en la red. Esta sección se ocupará de esa configuración.
Introducción - Configuración existente
Este documento asume que ya existe una configuración de red. En este ejemplo, hay dos redes, la red principal y la red para invitados. La configuración para crear y servir direcciones DHCP a cada red ya ha sido configurada. El WAP321 ya se ha configurado para difundir un SSID diferente para cada red. La configuración actual será similar a la siguiente:
Una vez completada la configuración, el routing InterVLAN se activará en la red para que todos los clientes inalámbricos puedan acceder al portal cautivo, lo que habilitará la conectividad de red.
Configuración
Primero, habilite el ruteo interVLAN en el router de núcleo, en este caso un RV320. Para configurar esto, vaya a Administración de puertos > Pertenencia a VLAN para habilitar el ruteo InterVLAN. Marque VLAN 1 y 25 a la izquierda de la página y haga clic en Edit (Editar). En la columna Routing InterVLAN, haga clic en el cuadro desplegable para cada uno y seleccione Enabled (Activado). Guarde las configuraciones.
Ahora todos los usuarios deben poder acceder al portal cautivo, pero también pueden acceder a cualquier recurso en la VLAN principal o en la VLAN de invitado. Para restringir el acceso, configure una regla de control de acceso en el RV320. Vaya a Firewall > Access Rules (Reglas de acceso) para configurar esta restricción.
En la parte inferior de la página, haga clic en Agregar. Queremos añadir un total de 2 reglas de acceso para nuestra situación. En primer lugar, configure la regla que deniega el acceso desde la subred de invitados 192.168.25.x/24 a la subred interna 192.168.1.x/24, tal como se muestra a la derecha.
Haga clic en Guardar en la parte inferior de la página y, a continuación, haga clic en Atrás. Ahora agregue otra regla, esta vez establezca la acción como "Permitir" y la IP de destino como "Única". Configure la regla para permitir el acceso desde la subred 192.168.25.x/24 a 192.168.1.5, que actualmente está configurada como IP estática WAP321. Esta regla se colocará delante de la regla de denegación que acabamos de crear, permitiendo el tráfico a 192.168.1.5 desde la red de invitado y en ningún otro lugar de la red principal.
Cuando haya terminado, la página de reglas de acceso tendrá este aspecto.
Para configurar el portal cautivo en esta configuración, simplemente siga los pasos de la primera sección para cada red que necesite configurar el portal cautivo.
Vea un video relacionado con este artículo...
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
1.0 |
11-Dec-2018 |
Versión inicial |
Comentarios