FlexConnect 로컬 스위칭 구축 가이드를 통한 외부 웹 인증

소개

이 문서에서는 다른 웹 정책에 대해 FlexConnect 로컬 스위칭과 함께 외부 웹 서버를 사용하는 방법에 대해 설명합니다.

사전 요구 사항

요구 사항

이 구성을 시도하기 전에 다음 요구 사항을 충족해야 합니다.

• FlexConnect 아키텍처 및 액세스 포인트(AP)에 대한 기본 지식

• 외부 웹 서버를 설정하고 구성하는 방법에 대한 지식

• DHCP 및 DNS 서버를 설정하고 구성하는 방법에 대한 지식

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• 펌웨어 릴리스 7.2.110.0을 실행하는 Cisco 7500 WLC(Wireless LAN Controller)

• Cisco 3500 Series LAP(Lightweight Access Point)

• 웹 인증 로그인 페이지를 호스팅하는 외부 웹 서버

• 주소 확인 및 무선 클라이언트에 대한 IP 주소 할당을 위해 로컬 사이트의 DNS 및 DHCP 서버

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 구축 가이드에 7500 Series WLC가 사용되지만 이 기능은 2500, 5500 및 WiSM-2 WLC에서 지원됩니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.

기능 개요

이 기능은 로컬 스위칭된 트래픽이 있는 WLAN에 대해 FlexConnect 모드의 AP에서 외부 웹 서버로 웹 인증 수행 기능을 확장합니다(FlexConnect - 로컬 스위칭). WLC Release 7.2.110.0 이전에는 중앙 스위칭 트래픽이 있는 WLAN의 로컬 모드 또는 FlexConnect 모드의 AP에 대해 외부 서버에 대한 웹 인증이 지원되었습니다(FlexConnect - 중앙 스위칭).

외부 웹 인증이라고도 하는 이 기능은 FlexConnect 로컬 스위칭 WLAN의 기능을 확장하여 컨트롤러에서 현재 제공하는 모든 레이어 3 웹 리디렉션 보안 유형을 지원합니다.

• 웹 인증

• 웹 통과

• 웹 조건부 리디렉션

• 스플래시 페이지 조건부 리디렉션

웹 인증 및 로컬 스위칭을 위해 구성된 WLAN을 고려할 때 이 기능의 핵심은 WLC 수준 대신 AP 레벨에서 직접 사전 인증 FlexConnect ACL(Access Control List)을 배포 및 적용하는 것입니다.이러한 방식으로 AP는 ACL에서 허용하는 무선 클라이언트에서 오는 패킷을 로컬에서 전환합니다.허용되지 않는 패킷은 CAPWAP 터널을 통해 WLC로 계속 전송됩니다.반면 AP가 유선 인터페이스를 통해 트래픽을 수신할 때(ACL에서 허용하는 경우) 무선 클라이언트로 전달합니다.그렇지 않으면 패킷이 삭제됩니다.클라이언트가 인증되고 인증되면 Pre-Authentication FlexConnect ACL이 제거되고 모든 클라이언트 데이터 트래픽이 로컬로 허용 및 스위칭됩니다.

참고: 이 기능은 클라이언트가 로컬 스위치드 VLAN에서 외부 서버에 연결할 수 있다는 가정 하에 작동합니다.

요약:

• FlexConnect 로컬 스위칭 및 L3 보안을 위해 구성된 WLAN

• FlexConnect ACL은 사전 인증 ACL로 사용됩니다.

• 일단 구성되면 FlexConnect ACL을 Flex Group 또는 개별 AP를 통해 AP 데이터베이스에 푸시하거나 WLAN에 적용할 수 있어야 합니다.

• AP는 사전 인증 ACL과 일치하는 모든 트래픽을 로컬로 스위칭할 수 있습니다.

절차:

이 기능을 구성하려면 다음 단계를 완료하십시오.

1. FlexConnect 로컬 스위칭을 위한 WLAN을 구성합니다.

   

2. 외부 웹 인증을 활성화하려면 웹 정책을 로컬로 스위칭된 WLAN에 대한 보안 정책으로 구성해야 합니다.여기에는 다음 4가지 옵션 중 하나가 포함됩니다.

   • 인증

   • 통과

   • 조건부 웹 리디렉션

   • 스플래시 페이지 웹 리디렉션

   이 문서는 웹 인증의 예를 캡처합니다.

   

   처음 두 가지 방법은 비슷하며 구성 지점에서 웹 인증 방법으로 그룹화할 수 있습니다.두 번째 두 가지(조건부 리디렉션 및 시작 페이지)는 웹 정책이며 웹 정책 방법으로 그룹화할 수 있습니다.

3. 무선 클라이언트가 외부 서버의 IP 주소에 연결할 수 있도록 사전 인증 FlexConnect ACL을 구성해야 합니다.ARP, DHCP 및 DNS 트래픽은 자동으로 허용되며 지정할 필요가 없습니다.Security(보안) > Access Control List(액세스 제어 목록)에서 FlexConnect ACLs를 선택합니다.그런 다음 Add(추가)를 클릭하고 이름과 규칙을 일반 컨트롤러 ACL로 정의합니다.

   

   참고:매번 트래픽에 대한 역방향 규칙을 생성해야 합니다.

4. FlexConnect ACL이 생성되면 이를 적용해야 하며, 이를 다양한 레벨에서 수행할 수 있습니다.AP, FlexConnect 그룹 및 WLAN이 마지막 옵션(WLAN의 Flex ACL)은 Conditional(조건부) 및 Splash Redirect(스플래시 리디렉션)와 같은 Web Policy(웹 정책)의 다른 두 가지 방법에 대해서만 웹 인증 및 웹 패스스루에만 사용됩니다.ACL은 AP 또는 Flex 그룹에서만 적용할 수 있습니다.다음은 AP 레벨에서 할당된 ACL의 예입니다.Wireless(무선) > AP(AP)로 이동한 다음 FlexConnect 탭을 클릭합니다.

   

   External WebAuthentication ACLs 링크를 클릭합니다.그런 다음 특정 WLAN ID에 대한 ACL을 선택합니다.

   

   마찬가지로, 웹 정책 ACL(예: 조건부 리디렉션 또는 스플래시 페이지 리디렉션)의 경우 동일한 외부 웹 인증 ACL 링크를 클릭한 후 WebPolicies 아래에서 Flex Connect ACL을 선택하는 옵션이 제공됩니다.다음은 다음과 같습니다.

   

5. ACL은 FlexConnect 그룹 레벨에서도 적용할 수 있습니다.이렇게 하려면 FlexConnect 그룹 컨피그레이션의 WLAN-ACL 매핑 탭으로 이동합니다.그런 다음 적용할 WLAN Id 및 ACL을 선택합니다.Add(추가)를 클릭합니다.이는 AP 그룹에 대한 ACL을 정의하려는 경우 유용합니다.

   

   마찬가지로 웹 정책 ACL(조건부 및 스플래시 페이지 웹 리디렉션의 경우)의 경우 WebPolicies(웹 정책) 탭을 선택해야 합니다.

   

6. 웹 인증 및 웹 통과 Flex ACL은 WLAN에도 적용할 수 있습니다.이렇게 하려면 WebAuth FlexACL 드롭다운에서 WLAN > Security의 Layer 3 탭 아래에서 ACL을 선택합니다.

   

7. 외부 웹 인증의 경우 리디렉션 URL을 정의해야 합니다.이 작업은 글로벌 레벨 또는 WLAN 레벨에서 수행할 수 있습니다.WLAN 레벨의 경우 Over-ride Global Config 확인 표시를 클릭하고 URL을 삽입합니다.전역 레벨에서 Security(보안) > Web Auth(웹 인증) > Web Login Page(웹 로그인 페이지)로 이동합니다.

   

   제한 사항:

   • 웹 인증(내부 또는 외부 서버에 대한)을 사용하려면 Flex AP가 연결 모드에 있어야 합니다.Flex AP가 독립형 모드인 경우 웹 인증이 지원되지 않습니다.

   • 웹 인증(내부 또는 외부 서버에 대한)은 중앙 인증에서만 지원됩니다.로컬 스위칭에 대해 구성된 WLAN이 로컬 인증용으로 구성된 경우 웹 인증을 수행할 수 없습니다.

   • 모든 웹 리디렉션은 AP 레벨이 아니라 WLC에서 수행됩니다.

관련 정보

• 기술 지원 및 문서 − Cisco Systems