CMX互聯體驗 — 社交、SMS和自定義門戶註冊配置示例

下載選項

  • PDF     (2.2 MB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (2.1 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (1.5 MB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2018 年 12 月 4 日
文件 ID:212841

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本文的目的為指導網路管理員通過互聯移動體驗(CMX)上的訪客門戶配置完成客戶端註冊。

    CMX允許使用者使用社交註冊登入、SMS和自定義門戶在網路中註冊和身份驗證。在本文中,可以找到無線LAN控制器(WLC)和CMX上的組態步驟概觀。

    必要條件

    需求

    CMX應正確配置基本配置。

    從Prime基礎設施匯出地圖是可選的。

    採用元件

    本文中的資訊係根據以下軟體和硬體版本:

    • 思科無線控制器版本8.2.166.0、8.5.110.0和8.5.135.0。
    • 思科互連行動體驗版本10.3.0-62、10.3.1-35、10.4.1-22。

    設定

    網路圖表

    本文檔將介紹使用CMX對無線網路中的使用者/客戶端進行身份驗證的兩種不同方法。

    首先介紹使用社交網路帳戶設定身份驗證,然後使用SMS進行身份驗證。

    在這兩種情況下,客戶端將嘗試通過CMX使用身份驗證在SSID上註冊。

    WLC將HTTP流量重新導向到CMX,系統會提示使用者進行驗證。CMX包含用於客戶註冊的門戶設定,包括社交帳戶和SMS。

    下面介紹了註冊流程:

    1. 客戶端嘗試加入SSID並開啟瀏覽器。
    2. WLC會將其重新導向至訪客輸入網站,而不是存取所請求的網站。
    3. 使用者端會提供其憑證並嘗試進行驗證。
    4. CMX處理身份驗證過程。
    5. 如果成功,則現在為客戶端提供完全網際網路訪問。
    6. 客戶端被重定向到最初請求的站點。

    使用的拓撲是:

    組態

    通過SMS進行身份驗證

     Cisco CMX允許通過SMS進行客戶端身份驗證。此方法需要設定HTML頁面,以便使用者可以向系統提供其憑據。預設模板由CMX原生提供,以後可以編輯或用自定義模板替換。

     文本消息服務通過將CMX與Twilio(一個允許傳送和接收文本消息的雲通訊平台)相整合來完成。Twilio允許每個門戶都有一個電話號碼,這意味著如果使用多個門戶,則每個門戶需要一個電話號碼。

    A.  WLC組態

    在WLC端,將同時配置SSID和ACL。AP應連線到控制器且處於RUN狀態。

    1.  ACL

     需要在WLC上設定允許HTTP流量的ACL。要配置ACL,請轉至Security->Access Control Lists->Add New Rule。

    使用的IP是為CMX配置的IP。這允許WLC和CMX之間的HTTP流量。下圖顯示了建立的ACL,其中「10.48.39.100」是指CMX ip地址。

     2. WLAN

    因此,與門戶的整合已完成,必須在WLAN上更改安全策略。

    首先,進入WLANs->Edit->Layer 2->Layer 2 Security,然後在下拉選單中選擇None,因此禁用Layer 2 Security。然後,在同一安全頁籤中,更改為第3層。在第3層安全下拉選單中,選擇Web策略,然後選擇Passthrough。在預先驗證ACL中,選擇先前設定的IPv4 ACL,將其繫結到必須提供SMS驗證的各個WLAN。必須啟用Over-ride Global Config選項,且Web Auth型別必須為External(重定向到外部伺服器),因此客戶端可以重定向到CMX服務。URL必須與CMX SMS身份驗證門戶相同,格式為http://<CMX-IP>/visitor/login。

    B.特維利奧

    CMX為文本消息服務提供了Twilio整合。在Twilio上的帳戶配置正確後提供憑據。需要帳戶SID和身份驗證令牌。

    Twilio有自己的配置要求,在設定服務的過程中記錄這些要求。在與CMX整合之前,可以對Twilio服務進行測試,即在將其與CMX結合使用之前,可以檢測到與Twilio設定相關的問題。

    C. CMX配置

    必須將控制器正確新增到CMX中,並從Prime基礎設施匯出對映。

    • SMS註冊頁面

     註冊門戶有一個預設模板。選擇CONNECT&ENGAGE->Library(庫)即可找到門戶。如果需要模板,請在下拉選單中選擇「模板」。

    若要將Twilio與門戶整合,請轉到Twilio配置並提供帳戶ID和身份驗證令牌。如果整合成功,將彈出Twilio帳戶中使用的編號。

      

    通過社交網路帳戶進行身份驗證

    使用社交網路帳戶驗證客戶端需要網路管理員在CMX上新增有效的Facebook APP識別符號。

    A. WLC配置

    在WLC端,將同時配置SSID和ACL。AP應連線到控制器且處於RUN狀態。

     1. ACL

     由於此處我們使用HTTPS作為驗證方式,因此必須在WLC上設定允許HTTPS流量的ACL。要配置ACL,請轉至Security->Access Control Lists->Add New Rule。

    CMX IP必須用於允許WLC和CMX之間的HTTPS流量。(在本例中,CMX ip為10.48.39.100)

     還必須使用帶有Facebook URL的DNS ACL。為此,請在Security -> Access Control Lists中查詢先前配置的ACL條目(本例中為CMX_Auth),並將滑鼠移動到條目末尾的藍色箭頭上,然後選擇Add-Remove URL。然後,在URL字串名稱和新增上鍵入Facebook的URL。

      2. WLAN 

    安全策略更改以使註冊生效,需要對WLAN進行特定配置。

    與之前的SMS註冊一樣,首先進入WLAN -> Edit -> Layer 2 -> Layer 2 Security,然後在下拉選單中選擇None,這樣將禁用Layer 2 Security。在同一個「安全」頁籤中,更改為「第3層」。在「第3層安全」下拉選單中,選擇「Web策略」,然後選擇「傳遞」。在預先驗證ACL中,選擇先前設定的IPv4 ACL,將其繫結到必須提供透過Facebook驗證的各個WLAN。必須啟用Over-ride Global Config選項,且Web Auth型別必須為External(重定向到外部伺服器),因此客戶端可以重定向到CMX服務。請注意,這次的URL必須採用以下格式https://<CMX-IP>/visitor/login。

    B.面向開發者的Facebook

    對於Facebook和CMX的整合,需要使用Facebook應用來在兩部分之間交換正確的令牌。

    轉到Facebook for Developers以建立應用。為了整合服務,有一些應用配置要求。

    在「應用設定」中,確保啟用客戶端OAuth登入和Web OAuth登入。此外,請驗證有效的OAuth重定向URI是否具有https://<CMX-IP>/visitor/login格式的CMX URL。

    要發佈該應用並準備好與CMX整合,必須將其公開。要執行此操作,請轉到「應用審閱 — >公開<App-Name>?」並將狀態更改為「是」。

    C. CMX配置

    必須將控制器正確新增到CMX中,並從Prime基礎設施匯出對映。

    • 註冊頁面

    要在CMX上建立註冊頁面,應執行與之前為SMS註冊頁面建立頁面相同的步驟。選擇CONNECT&ENGAGE->庫,可通過選擇下拉選單中的「模板」找到準備編輯的模板門戶。

    通過Facebook憑據註冊需要門戶具有社交帳戶連線。若要從頭開始操作,在建立自定義門戶時,請轉到CONTENT->Common Elements->Social Auth,然後選擇Facebook。然後插入從Facebook獲得的應用名稱和應用ID(金鑰)。

    通過自定義門戶進行身份驗證

    使用自定義門戶對客戶端進行身份驗證類似於配置外部Web身份驗證。重新導向將完成至CMX上託管的自定義門戶。

    A. WLC配置

    在WLC端,將同時配置SSID和ACL。AP應連線到控制器且處於RUN狀態。

     1. ACL

     由於此處我們使用HTTPS作為驗證方式,因此必須在WLC上設定允許HTTPS流量的ACL。要配置ACL,請轉至Security->Access Control Lists->Add New Rule。

    CMX IP必須用於允許WLC和CMX之間的HTTPS流量。(在本示例中,CMX IP為10.48.71.122)。 

    :在CMX CLI上發出「cmxctl node sslmode enable」命令,確保在CMX上啟用ssl。

      2. WLAN 

    安全策略更改以使註冊生效,需要對WLAN進行特定配置。

    正如之前在SMS和Social Network Registration中所做的那樣,首先進入WLANs->Edit->Layer 2->Layer 2 Security,然後在下拉選單中選擇None,因此禁用第2層安全。在同一個「安全」頁籤中,更改為「第3層」。在「第3層安全」下拉選單中,選擇「Web策略」,然後選擇「傳遞」。在預先驗證ACL中,選擇先前設定的IPv4 ACL(在本範例中命名為CMX_HTTPS),並將其繫結到各自的WLAN。必須啟用Over-ride Global Config選項,且Web Auth型別必須為External(重定向到外部伺服器),因此客戶端可以重定向到CMX服務。請注意,這次的URL必須採用以下格式https://<CMX-IP>/visitor/login。

    C. CMX配置

    必須將控制器正確新增到CMX中,並從Prime基礎設施匯出對映。

    • 註冊頁面

    要在CMX上建立註冊頁,與以前為其他身份驗證方法建立該頁時執行的步驟相同。選擇「連線&參與」 — >「庫」,可通過選擇下拉選單中的「模板」找到準備編輯的模板門戶。

    用於正常註冊的門戶可以從頭開始(選擇「自定義」),也可以從CMX庫上提供的「登錄檔」模板中進行修改。

    驗證

    WLC

    若要確認使用者是否已在系統上成功通過驗證,請在WLC GUI上,前往MONITOR->Clients,並在清單中搜尋使用者端的MAC位址:

     按一下客戶端的MAC地址,並在詳細資訊中確認客戶端策略管理器狀態為運行狀態:

    CMX

    通過開啟CONNECT&ENGAGE頁籤,可以驗證在CMX上驗證的使用者數:

    要檢查使用者詳細資訊,請在同一頁籤右上角按一下Visitor Search:

    疑難排解

    為了檢查元素之間的互動流,可以在WLC中進行一些調試:

    >debug client<MAC addr1> <MAC addr2>(輸入一個或多個客戶端的MAC地址)

    >debug web-auth redirect enable mac <MAC addr>(輸入web-auth客戶端的MAC地址)

    >debug web-auth webportal-server enable

    >debug aaa all enable

    此調試允許進行故障排除,如果需要,可以使用某些資料包捕獲作為補充。

    TAC Authored

    由思科工程師貢獻

    • Catarina Pires Da Silva
      Cisco TAC

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品