Acceso de invitado por cable con anclaje y acceso externo como WLC 5760
Contenido
Introducción
Este documento cubre la implementación de la función de acceso de invitado por cable en el Cisco 5760 Wireless LAN Controller que actúa como un anclaje externo y el controlador Cisco 5760 Wireless LAN que actúa como anclaje de invitado en la zona desmilitarizada (DMZ) con la versión 03.03.2.SE Release Software. Hoy en día, existen soluciones para proporcionar acceso de invitado a través de redes inalámbricas y por cable en el controlador de LAN inalámbrica Cisco 5508. La función funciona de manera similar en el switch Cisco Catalyst 3650 que actúa como controlador externo.
En las redes empresariales, normalmente es necesario proporcionar acceso a la red a sus invitados en el campus. Los requisitos de acceso de invitados incluyen el suministro de conectividad a Internet u otros recursos empresariales selectivos a invitados por cable e inalámbricos de una forma coherente y fácil de gestionar. El mismo controlador de LAN inalámbrica se puede utilizar para proporcionar acceso a ambos tipos de invitados en el campus. Por razones de seguridad, un gran número de administradores de red de la empresa segregan el acceso de invitados a un controlador DMZ mediante la tunelización. La solución de acceso de invitado también se utiliza como método de reserva para los clientes invitados que fallan en los métodos de autenticación dot1x y MAC Authentication Bypass (MAB).
El usuario invitado se conecta al puerto cableado designado en un switch de capa de acceso para el acceso y opcionalmente se puede hacer pasar por los modos Web Consent o Web Authentication, dependiendo de los requisitos de seguridad (detalles en secciones posteriores). Una vez que la autenticación de invitado se realiza correctamente, se proporciona acceso a los recursos de red y el controlador de invitado administra el tráfico del cliente. El anclaje externo es el switch principal donde el cliente se conecta para el acceso a la red. Inicia solicitudes de túnel. El ancla de invitado es el switch en el que el cliente se ancló realmente. Además del controlador WLAN de la serie Cisco 5500, el controlador LAN inalámbrico Cisco 5760 se puede utilizar como ancla para invitados. Antes de que se pueda implementar la función de acceso de invitado, debe haber un túnel de movilidad establecido entre los switches de anclaje externo y los de invitado. La función de acceso de invitado funciona para los modelos MC (Foreign Anchor) >> MC (Guest Anchor) y MA (Foreign Anchor) >> MC (Guest Anchor). El switch de anclaje externo conecta el tráfico de invitado por cable al controlador de anclaje de invitado y se pueden configurar varios anclajes de invitado para el balanceo de carga. El cliente está anclado a un controlador de anclaje DMZ. También es responsable de manejar la asignación de dirección IP DHCP así como la autenticación del cliente. Una vez finalizada la autenticación, el cliente puede acceder a la red.
Escenario de implementación
El documento abarca casos prácticos comunes en los que los clientes conectados por cable a switches de acceso para el acceso a la red. Dos modos de acceso se explican en distintos ejemplos. En todos los métodos, la función de acceso de invitado por cable puede actuar como método de reserva para la autenticación. Normalmente, se trata de un caso práctico en el que un usuario invitado trae un dispositivo final desconocido para la red. Dado que el dispositivo final falta el suplicante del terminal, fallará el modo de autenticación dot1x. De manera similar, la autenticación MAB también fallaría, ya que la dirección MAC del dispositivo final sería desconocida para el servidor de autenticación. Cabe destacar que en tales implementaciones, los dispositivos finales corporativos obtendrían acceso con éxito ya que tendrían un suplicante dot1x o sus direcciones MAC en el servidor de autenticación para la validación. Esto permite flexibilidad en la implementación, ya que el administrador no necesita restringir ni vincular los puertos específicamente para el acceso de invitados.
Topología
Este diagrama muestra la topología utilizada en el escenario de implementación:
OPENAUTH
Configuración del anclaje de invitado
- Habilite el seguimiento de dispositivos IP (IPDT) y el snooping DHCP en las VLAN cliente, en este caso VLAN 75. La VLAN del cliente debe crearse en el anclaje de invitado.
ip device tracking ip dhcp relay information trust-all ip dhcp snooping vlan 75 ip dhcp snooping information option allow-untrusted ip dhcp snooping
- Cree la VLAN 75 y la interfaz VLAN L3.
vlan 75 interface Vlan75 ip address 75.1.1.1 255.255.255.0 ip helper-address 192.168.1.1 ip dhcp pool DHCP_75 network 75.1.1.0 255.255.255.0 default-router 75.1.1.1 lease 0 0 10 update arp
- Cree una LAN de invitado que especifique la VLAN del cliente con el 5760 mismo que actúa como anclaje de movilidad.
Para openmode, se requiere el comando no security web-auth.
guest-lan GUEST_LAN_OPENAUTH 3 client vlan 75 mobility anchor no security web-auth no shutdown
Configuración externa
- Habilite DHCP y la creación de la VLAN. Como se ha señalado, la VLAN del cliente no necesita configurarse en el router externo.
ip dhcp relay information trust-all
ip dhcp snooping information option allow-untrusted
ip dhcp snooping
ip device tracking - El switch detecta la dirección MAC del cliente entrante en el canal de puerto configurado con "access-Session port-control auto" y aplica la política del suscriptor OPENAUTH. La política OPENAUTH como se describe aquí debe crearse primero.
policy-map type control subscriber OPENAUTH
event session-started match-all
1 class always do-until-failure
2 activate service-template SERV-TEMP3-OPENAUTH
3 authorize
interface Po1
switchport trunk allowed vlan 19,137
switchport mode trunk
ip arp inspection trust
access-session port-control auto
service-policy type control subscriber OPENAUTH
ip dhcp snooping trust
end - El aprendizaje de direcciones MAC se debe configurar en el externo para VLAN.
mac address-table learning vlan 19
- La política OPENAUTH se refiere a una secuencia, que en este caso apunta a un servicio.
La plantilla denominada "SERV-TEMP3 OPENAUTH" se define aquí:
service-template SERV-TEMP3-OPENAUTH
tunnel type capwap name GUEST_LAN_OPENAUTH - La plantilla de servicio contiene una referencia al tipo y nombre del túnel. La VLAN 75 del cliente sólo necesita existir en el anclaje del invitado ya que es responsable de manejar el tráfico del cliente.
guest-lan GUEST_LAN_OPENAUTH 3
client vlan 75
mobility anchor 9.7.104.62
no security web-auth
no shutdown - La solicitud de túnel se inicia desde el router externo al de invitado para el cliente cableado y un túnel addSuccess indica que el proceso de compilación del túnel está completo.
En ACCESS-SWITCH1, el administrador de la red conecta un cliente con cables al puerto Ethernet configurado para el modo de acceso. Es el puerto GigabitEthernet1/0/11 en este ejemplo.
interface GigabitEthernet1/0/11
switchport access vlan 19
switchport mode access
WEBAUTH
Configuración del anclaje de invitado
- Habilite la indagación de IPDT y DHCP en las VLAN del cliente, en este caso VLAN 75. La VLAN del cliente debe crearse en el anclaje de invitado.
ip device tracking
ip dhcp relay information trust-all
ip dhcp snooping vlan 75
ip dhcp snooping information option allow-untrusted
ip dhcp snooping - Cree la VLAN 75 y la interfaz VLAN L3.
vlan 75
interface Vlan75
ip address 75.1.1.1 255.255.255.0
ip helper-address 192.168.1.1
ip dhcp pool DHCP_75
network 75.1.1.0 255.255.255.0
default-router 75.1.1.1
lease 0 0 10
update arp -
Cree una LAN de invitado que especifique la VLAN de cliente con el 5760 actuando como el propio ancla de movilidad. Para openmode, se requiere el comando no security web-auth.
guest-lan GUEST_LAN_WEBAUTH 3
client vlan VLAN0075
mobility anchor
security web-auth authentication-list default
security web-auth parameter-map webparalocal
no shutdown
Configuración externa
- Habilite DHCP y la creación de una VLAN. Como se ha señalado, la VLAN del cliente no necesita configurarse en el router externo.
ip dhcp relay information trust-all
ip dhcp snooping information option allow-untrusted
ip dhcp snooping
ip device tracking - El switch detecta la dirección MAC del cliente entrante en el canal de puerto configurado con "access-Session port-control auto" y aplica la política del suscriptor WEBAUTH. La política WEBAUTH como se describe aquí debe crearse primero.
policy-map type control subscriber WEBAUTH
event session-started match-all
1 class always do-until-failure
2 activate service-template SERV-TEMP3-WEBAUTH
3 authorize
interface po1
switchport trunk allowed vlan 19,137
switchport mode trunk
ip arp inspection trust
access-session port-control auto
service-policy type control subscriber WEBAUTH
ip dhcp snooping trust
end - El aprendizaje de MAC se debe configurar en el externo para la VLAN.
mac address-table learning vlan 19
- Configure el radio y el mapa de parámetro.
aaa new-model
aaa group server radius rad-grp
server Radius1
dot1x system-auth-control
aaa authentication dot1x default group rad-grp
radius server Radius1
address ipv4 172.19.45.194 auth-port 1812 acct-port 1813
timeout 60
retransmit 3
key radius
parameter-map type webauth webparalocal
type webauth
timeout init-state sec 5000 - La política WEBAUTH se refiere a una secuencia, que en este caso apunta a un servicio. La plantilla denominada SERV-TEMP3 WEBAUTH como se define aquí.
service-template SERV-TEMP3-WEBAUTH
tunnel type capwap name GUEST_LAN_WEBAUTH - La plantilla de servicio contiene una referencia al tipo y nombre del túnel. La VLAN de cliente 75 sólo necesita existir en el anclaje de invitado ya que es responsable de manejar el tráfico del cliente.
guest-lan GUEST_LAN_WEBAUTH 3
client vlan 75
mobility anchor 9.7.104.62
security web-auth authentication-list default
security web-auth parameter-map webparalocal
no shutdown - La solicitud de túnel se inicia desde el router externo al de invitado para el cliente cableado y un "tunneladdSuccess" indica que el proceso de compilación del túnel se ha completado.
En ACCESS-SWITCH1, un cliente con cables se conecta al puerto Ethernet que el administrador de la red configura para el modo de acceso. Es el puerto GigabitEthernet1/0/11 en este ejemplo.
interface GigabitEthernet1/0/11
switchport access vlan 19
switchport mode access
Configuración de OPENAUTH y WEBAUTH en paralelo
Para tener dos LANS de invitado y asignarlos a diferentes clientes, debe basarlos en las VLAN en las que se aprenden los clientes.
Configuración del anclaje de invitado
- Habilite IPDT y la indagación DHCP en las VLAN del cliente, en este caso VLAN 75. La VLAN del cliente debe crearse en el anclaje de invitado.
ip device tracking
ip dhcp relay information trust-all
ip dhcp snooping vlan 75
ip dhcp snooping information option allow-untrusted
ip dhcp snooping - Cree la VLAN 75 y la interfaz VLAN L3.
vlan 75
interface Vlan75
ip address 75.1.1.1 255.255.255.0
ip helper-address 192.168.1.1
ip dhcp pool DHCP_75
network 75.1.1.0 255.255.255.0
default-router 75.1.1.1
lease 0 0 10
update arp - Cree una LAN de invitado que especifique la VLAN del cliente con el 5760 mismo que actúa como anclaje de movilidad.
Para openmode, se requiere el comando no security web-auth.
guest-lan GUEST_LAN_OPENAUTH 3
client vlan 75
mobility anchor
no security web-auth
no shutdown
guest-lan GUEST_LAN_WEBAUTH 4
client vlan VLAN0075
mobility anchor
security web-auth authentication-list joseph
security web-auth parameter-map webparalocal
no shutdown
Configuración externa
- Habilite DHCP y la creación de una VLAN. Como se ha señalado, la VLAN del cliente no necesita configurarse en el router externo.
ip dhcp relay information trust-all
ip dhcp snooping information option allow-untrusted
ip dhcp snooping
ip device tracking - El switch detecta la dirección MAC del cliente entrante en el canal de puerto configurado con "access-Session port-control auto" y aplica la política del suscriptor DOUBLEAUTH. El mapa de clase mac1 contiene las direcciones MAC que agrega para OPENAUTH. Todo lo demás es WEBAUTH usando el segundo mapa de clase "siempre" con el evento "match-first". La política DOUBLEAUTH como se describe aquí debe crearse primero.
policy-map type control subscriber DOUBLEAUTH
event session-started match-first
1 class vlan19 do-until-failure
2 activate service-template SERV-TEMP3-OPENAUTH
3 authorize
2 class vlan18 do-until-failure
2 activate service-template SERV-TEMP4-WEBAUTH
3 authorize
interface po1
switchport trunk allowed vlan 19,137
switchport mode trunk
ip arp inspection trust
access-session port-control auto
service-policy type control subscriber DOUBLEAUTH
ip dhcp snooping trust
end - El aprendizaje de MAC se debe configurar en el externo para las VLAN 18 y 19.
mac address-table learning vlan 18 19
- Los class-maps VLAN 19 y VLAN18 contienen los criterios de coincidencia de VLAN en función de los cuales se diferenciará en qué LAN de invitado se encuentra el cliente. Se define aquí:
class-map type control subscriber match-any vlan18
match vlan 18
class-map type control subscriber match-any vlan19
match vlan 19 - La política OPENAUTH se refiere a una secuencia, que en este caso apunta a un servicio.
La plantilla denominada SERV-TEMP3 OPENAUTH como se define aquí.
service-template SERV-TEMP3-OPENAUTH
tunnel type capwap name GUEST_LAN_OPENAUTH
service-template SERV-TEMP4-WEBAUTH
tunnel type capwap name GUEST_LAN_WEBAUTH - La plantilla de servicio contiene una referencia al tipo y nombre del túnel. La VLAN 75 del cliente sólo necesita existir en el anclaje del invitado ya que es responsable de manejar el tráfico del cliente.
guest-lan GUEST_LAN_OPENAUTH 3
client vlan 75
mobility anchor 9.7.104.62
no security web-auth
no shutdown
guest-lan GUEST_LAN_WEBAUTH 4
client vlan VLAN0075
mobility anchor 9.7.104.62
security web-auth authentication-list joseph
security web-auth parameter-map webparalocal
no shutdown - La solicitud de túnel se inicia desde el router externo al de invitado para el cliente cableado y un "tunneladdSuccess" indica que el proceso de compilación del túnel se ha completado.
En los SWITCHES DE ACCESO hay varios clientes cableados que se conectan a VLAN 18 o VLAN19, a los que se les puede asignar las LAN invitadas en consecuencia. Es el puerto GigabitEthernet1/0/11 en este ejemplo.
interface GigabitEthernet1/0/11
switchport access vlan 19
switchport mode access
Ejemplo de O/P del Comando WEBAUTH
Extranjero
FOREIGN#show wir client summary
Number of Local Clients : 2
MAC Address AP Name WLAN State Protocol
--------------------------------------------------------------------------------
0021.ccbc.44f9 N/A 3 UP Ethernet
0021.ccbb.ac7d N/A 4 UP Ethernet
ANCHOR#show mac address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
19 0021.ccbc.44f9 DYNAMIC Po1
19 0021.ccbb.ac7d DYNAMIC Po1
FOREIGN#show access-session mac 0021.ccbc.44f9 details
Interface: Port-channel1
IIF-ID: 0x83D880000003D4
MAC Address: 0021.ccbc.44f9
IPv6 Address: Unknown
IPv4 Address: Unknown
User-Name: 0021.ccbc.44f9
Device-type: Un-Classified Device
Status: Unauthorized
Domain: DATA
Oper host mode: multi-auth
Oper control dir: both
Session timeout: N/A
Common Session ID: 090C895F000012A70412D338
Acct Session ID: Unknown
Handle: 0x1A00023F
Current Policy: OPENAUTH
Session Flags: Session Pushed
Local Policies:
Service Template: SERV-TEMP3-OPENAUTH (priority 150)
Tunnel Profile Name: GUEST_LAN_OPENAUTH
Tunnel State: 2
Method status list:
Method State
webauth Authc Success
Anclaje
#show wir client summary
Number of Local Clients : 1
MAC Address AP Name WLAN State Protocol
--------------------------------------------------------------------------------
0021.ccbc.44f9 N/A 3 WEBAUTH_PEND Ethernet
0021.ccbb.ac7d N/A 4 WEBAUTH_PEND Ethernet
ANCHOR#show wir client summary
Number of Local Clients : 2
MAC Address AP Name WLAN State Protocol
--------------------------------------------------------------------------------
0021.ccbc.44f9 N/A 3 UP Ethernet
0021.ccbb.ac7d N/A 4 UP Ethernet
ANCHOR#show mac address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
19 0021.ccbc.44f9 DYNAMIC Po1
18 0021.ccbb.ac7d DYNAMIC Po1
ANCHOR#show wir client summary
Number of Local Clients : 1
MAC Address AP Name WLAN State Protocol
--------------------------------------------------------------------------------
0021.ccbc.44f9 N/A 3 UP Ethernet
0021.ccbb.ac7d N/A 4 UP Ethernet
ANCHOR#show access-session mac 0021.ccbc.44f9
Interface MAC Address Method Domain Status Fg Session ID
----------------------------------------------------------------------
Ca1 0021.ccbc.44f9 webauth DATA Auth 090C895F000012A70412D338
ANCHOR#show access-session mac 0021.ccbc.44f9 details
Interface: Capwap1
IIF-ID: 0x6DAE4000000248
MAC Address: 0021.ccbc.44f9
IPv6 Address: Unknown
IPv4 Address: 75.1.1.11
User-Name: 0021.ccbc.44f9
Status: Authorized
Domain: DATA
Oper host mode: multi-auth
Oper control dir: both
Session timeout: N/A
Common Session ID: 090C895F000012A70412D338
Acct Session ID: Unknown
Handle: 0x4000023A
Current Policy: (No Policy)
Method status list:
Method State
webauth Authc Success
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)