Configurazione di Captive Portal su un WAP571 o WAP571E

Obiettivo

Un Captive Portal (CP) consente di limitare l'accesso alla rete wireless fino a quando gli utenti wireless non vengono verificati. Quando un utente apre un browser Web, viene reindirizzato a una pagina di accesso in cui deve immettere il nome utente e la password. Due tipi di utenti possono essere autorizzati ad accedere alla rete; utenti autenticati e guest. Gli utenti autenticati devono fornire un nome utente e una password corrispondenti a un database locale o al database di un server RADIUS. Non è necessario fornire un nome utente o una password.

Questo articolo spiega come configurare un portale captive sul punto di accesso wireless (WAP).

Dispositivi interessati

• Serie WAP500 - WAP571, WAP571E

Versione del software

• 1.0.0.15 -€“ WAP571, WAP571E

Configura Captive Portal

Le impostazioni di base di Captive Portal possono essere configurate tramite la procedura guidata, mentre le impostazioni avanzate possono essere configurate tramite l'utility basata sul Web. Per un'installazione rapida e di base, è possibile utilizzare l'installazione guidata per attivare la funzione. Vedere i passaggi seguenti:

Nota: Le immagini seguenti sono state acquisite da WAP571.

Utilizzo dell'Installazione guidata

Passaggio 1. Accedere all'utility basata sul Web e fare clic su Esegui installazione guidata.

Nota: Se è la prima volta che si configura il WAP, verrà visualizzata automaticamente l'installazione guidata.

Passaggio 2. Seguire le istruzioni visualizzate nelle schermate dell'installazione guidata. Per una configurazione dettagliata di WAP mediante l'installazione guidata, fare clic qui per istruzioni.

Passaggio 3. Una volta visualizzata la schermata Abilita Captive Portal - Crea rete guest, scegliere Sì e fare clic su Avanti.

Passaggio 4. Immettere il nome della rete guest e fare clic su Avanti.

Nota: Il nome predefinito della rete guest è ciscosb-guest.

Passaggio 5. Scegliere un tipo di protezione per la rete guest wireless.

Nota: Di seguito è riportato un esempio di protezione ottimale (WPA2 Personal - AES).

Passaggio 6. Immettere la chiave di protezione e fare clic su Avanti.

Passaggio 7. Immettere un ID VLAN per la rete guest e fare clic su Avanti.

Passaggio 8. (Facoltativo) Se si desidera visualizzare una pagina Web specifica dopo che gli utenti hanno accettato le condizioni per l'utilizzo del servizio dalla pagina di benvenuto, selezionare la casella di controllo Abilita URL di reindirizzamento. Immettere l'URL e fare clic su Avanti.

Nota: L'URL può essere il sito Web della società.

Passaggio 9. Verificare e confermare le impostazioni, quindi fare clic su Invia.

Passaggio 10. Quando viene visualizzata la schermata Device Setup Complete (Configurazione dispositivo completata), fare clic su Finish (Fine) per chiudere l'installazione guidata.

A questo punto è necessario configurare le impostazioni di base della funzionalità Portale vincolato del WAP.

Utilizzo dell'utilità basata sul Web

Per configurare le impostazioni avanzate di Captive Portal sul WAP, è necessario eseguire diversi passaggi:

• Abilita globalmente il portale vincolato: consente di rendere effettivi i portali vincolati.

• Creazione di un'istanza di portale captive: un'istanza di portale captive è un set di parametri che controlla la modalità di accesso di un utente a un punto di accesso virtuale (VAP).

• Associare un'istanza del portale vincolata a un punto di accesso virtuale: gli utenti che tentano di accedere al punto di accesso virtuale devono seguire i parametri configurati per l'istanza.

• Personalizzare il portale Web: il portale Web è la pagina Web in cui gli utenti vengono reindirizzati quando tentano di accedere al VAP.

• Crea gruppo locale - Il gruppo locale può essere assegnato a un'istanza, che accetta gli utenti che appartengono a quel gruppo.

• Crea utente locale: gli utenti locali vengono aggiunti a un gruppo locale e possono accedere al portale captive a cui è configurato il gruppo.

Abilita globalmente il portale vincolato

Passaggio 1. Nell'utility basata sul Web, scegliere Captive Portal > Global Configuration.

Passaggio 2. (Facoltativo) Immettere il numero di secondi di cui l'utente dispone per immettere le informazioni di autenticazione prima che WAP chiuda la sessione di autenticazione nel campo Timeout autenticazione.

Passaggio 3. (Facoltativo) Se si desidera che le informazioni HTTP tra WAP e il client utilizzino una porta diversa da quella predefinita, immettere il numero della porta HTTP da aggiungere nel campo Porta HTTP aggiuntiva. Il protocollo HTTP e altri protocolli Internet utilizzano le porte per assicurarsi che i dispositivi sappiano dove trovare un determinato protocollo. Le opzioni sono 80, tra 1025 e 65535, oppure immettere 0 per disabilitare. La porta HTTP e la porta HTTPS non possono essere uguali.

Passaggio 4. (Facoltativo) Se si desidera che le informazioni HTTP tra WAP e client utilizzino una porta diversa da quella predefinita, immettere il numero di porta HTTPS da aggiungere nel campo Porta HTTPS aggiuntiva. Le opzioni sono 443, tra 1025 e 65535, oppure immettere 0 per disabilitare. La porta HTTP e la porta HTTPS non possono essere uguali.

Le informazioni seguenti vengono visualizzate nell'area Contatori configurazione portale vincolato e non possono essere configurate.

• Conteggio istanze — Il numero di istanze CP configurate sul dispositivo WAP. In WAP è possibile configurare al massimo due CCP.

• Conteggio gruppi: il numero di gruppi CP configurati sul dispositivo WAP. È possibile configurare fino a due gruppi. Impossibile eliminare il gruppo predefinito.

• Conteggio utenti: il numero di utenti CP configurati sul dispositivo WAP. Sul WAP è possibile configurare un massimo di 128 utenti.

Passaggio 5. Fare clic su Salva.

Nota: Le modifiche vengono salvate nella configurazione di avvio.

Configurazione istanza

Passaggio 6. Nell'utility basata sul Web, scegliere Captive Portal > Instance Configuration.

Passaggio 7. Nell'elenco a discesa Istanze di Captive Portal, è necessario notare l'istanza wiz-cp-inst1. È possibile scegliere questo nome o crearne uno nuovo per la configurazione dell'istanza.

Passaggio 8. (Facoltativo) Nel campo Nome istanza, immettere un nome per la configurazione, quindi fare clic su Salva.

Nota: In questo esempio viene creata una nuova variante.

Nota: È possibile creare un massimo di due configurazioni. Se avete già creato due varianti, dovete scegliere una variante da modificare.

Passaggio 9. Nella finestra Configurazione istanza vengono visualizzate informazioni aggiuntive. L'ID istanza è un campo non configurabile che mostra l'ID istanza dell'istanza corrente.

Passaggio 10. Selezionare la casella di controllo Abilita in modalità amministrativa per abilitare l'istanza di CP.

Passaggio 11. Dall'elenco a discesa Protocollo, scegliere il protocollo da utilizzare per il processo di autenticazione.

• HTTP: non esegue la crittografia delle informazioni utilizzate nel processo di autenticazione.

• HTTPS: fornisce la crittografia per le informazioni utilizzate nel processo di autenticazione.

Nota: Nell'esempio viene utilizzato HTTP.

Passaggio 12. Scegliere un metodo di autenticazione per CP da utilizzare dall'elenco a discesa Verifica.

• Guest: l'utente non deve fornire alcuna autenticazione.

• Locale: WAP controlla le informazioni di autenticazione fornite dall'utente rispetto a un database locale memorizzato sul WAP.

• RADIUS: il protocollo WAP controlla le informazioni di autenticazione fornite dall'utente rispetto al database di un server RADIUS remoto.

Timesaver: Se si sceglie Locale o Guest, andare al passo 28.

Passaggio 13. (Facoltativo) Se si desidera reindirizzare gli utenti verificati a un URL configurato, selezionare la casella di controllo Abilita reindirizzamento. Se questa opzione è disattivata, gli utenti verificati visualizzeranno una pagina di benvenuto specifica delle impostazioni internazionali.

Passaggio 14. (Facoltativo) Immettere l'URL a cui reindirizzare gli utenti verificati.

Nota: Questo passo è applicabile solo se è stato abilitato Redirect nel passo 13.

Passaggio 15. Nel campo Timeout assente, immettere il periodo di tempo (in minuti) durante il quale un utente può essere dissociato dal WAP e rimanere nell'elenco dei client autenticati WAP. Se l'utente non è connesso al WAP per un periodo di tempo superiore al valore di Timeout di assenza, deve essere autorizzato di nuovo prima di poter utilizzare il WAP.

Passaggio 16. Nel campo Timeout sessione, immettere il periodo di tempo (in minuti) che il WAP attende prima di terminare la sessione. Il valore 0 indica che il timeout non viene applicato.

Passaggio 17. Nel campo Upstream della larghezza di banda massima, immettere la velocità di caricamento massima (in Mbps) con cui un client può inviare i dati tramite il portale vincolato.

Passaggio 18. Nel campo Massima larghezza di banda a valle, immettere la velocità massima di download (in Mbps) alla quale un client può ricevere i dati tramite il portale captive.

Passaggio 19. Dall'elenco a discesa Nome gruppo utenti, scegliere il gruppo che si desidera assegnare all'istanza CP. Qualsiasi utente membro del gruppo selezionato può accedere al WAP.

Nota: La modalità di verifica nel passo 12 deve essere Locale o RADIUS per assegnare un gruppo.

Passaggio 20. Dall'elenco a discesa Rete IP RADIUS, scegliere il tipo di protocollo Internet utilizzato dal client RADIUS.

IPv4: l'indirizzo del client RADIUS sarà nel formato xxx.xxx.xxx.xxx (192.0.2.10).

IPv6: l'indirizzo del client RADIUS sarà nel formato xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx (2001:DB8::CAD5:7D91).

Passaggio 21. (Facoltativo) Selezionare la casella di controllo Abilita RADIUS globale se si desidera utilizzare l'elenco dei server RADIUS globali per l'autenticazione. Se si desidera utilizzare un insieme distinto di server RADIUS, lasciare deselezionata la casella di controllo e configurare i server RADIUS in questa pagina.

Timesaver: Se attivate RAGGIO globale (Global RADIUS), passate al passo 28.

Nota: Nell'esempio, Global RADIUS non è abilitato.

Passaggio 22. (Facoltativo) Selezionare la casella di controllo Abilita accounting RADIUS se si desidera tenere traccia e misurare l'utilizzo di tempo e dati dei client sulla rete WAP.

Nota: Se la casella di controllo RADIUS globale è stata attivata nel passaggio 21, non è necessario configurare altri server RADIUS.

Passaggio 23. Nel campo Server IP Address-1, immettere l'indirizzo IP del server RADIUS che si desidera utilizzare come server primario. L'indirizzo IP deve essere conforme al formato di indirizzo IPv4 o IPv6.

Passaggio 24. (Facoltativo) È possibile configurare fino a tre server RADIUS di backup che verranno controllati in sequenza finché non viene trovata una corrispondenza. Se non viene trovata alcuna corrispondenza, all'utente verrà negato l'accesso. Nei campi Indirizzo IP server - (da 2 a 4), immettere l'indirizzo IP dei server RADIUS di backup da utilizzare se l'autenticazione non riesce con il server primario.

Passaggio 25. Nel campo Key-1, immettere la chiave segreta condivisa utilizzata dal dispositivo WAP per l'autenticazione al server RADIUS primario. Deve essere la stessa chiave configurata nel server RADIUS.

Passaggio 26. Negli altri campi Chiave (2-4), immettere la chiave segreta condivisa utilizzata dal dispositivo WAP per l'autenticazione nei rispettivi server RADIUS di backup.

Nota: Conteggio impostazioni locali è un campo non configurabile che visualizza il numero di impostazioni locali associate all'istanza.

Passaggio 27. (Facoltativo) Per eliminare l'istanza corrente, selezionare la casella di controllo Elimina istanza.

Passaggio 28. Fare clic su Salva.

Associa istanza a VAP

Passaggio 29. Nell'utility basata sul Web, scegliere Portale vincolato > Associazione istanza.

Passaggio 30. Fare clic sul pulsante di opzione della radio a cui si desidera associare un'istanza nell'area Radio.

Nota: Nell'esempio, viene scelto Radio 1 (5 GHz).

Passaggio 31. Scegliere una configurazione di istanza dall'elenco a discesa Nome istanza da associare al VAP specificato.

Nota: In questo esempio, l'istanza 1 creata nel passaggio 8 viene utilizzata per il VAP 1 (Virtual Access Point 2).

Passaggio 32. Fare clic su Salva.

Personalizza portale Web

Una lingua (pagina Web di autenticazione) è la pagina Web visualizzata dall'utente WAP quando tenta di accedere a Internet. La pagina Personalizzazione del portale Web consente di personalizzare una lingua e assegnarla a un'istanza del portale in uso.

Passaggio 3. Nell'utility basata sul Web, scegliere Captive Portal > Web Portal Customization.

Passaggio 34. Scegliere Crea dall'elenco a discesa Locale Web portale vincolato per creare una nuova lingua.

Passaggio 35. Immettere il nome delle impostazioni internazionali nel campo Nome impostazioni internazionali Web.

Passaggio 36. Scegliere un'istanza di portale con impostazioni locali associate dall'elenco a discesa Istanze di portale con impostazioni locali. È possibile associare più impostazioni locali a una singola istanza del portale vincolato. L'utente può fare clic su un collegamento per passare a un'altra lingua.

Passaggio 37. Fare clic su Salva per creare una nuova lingua.

Nota: Nella pagina Personalizzazione del portale Web vengono visualizzate ulteriori informazioni.

• ID impostazioni internazionali è un campo non configurabile che visualizza il numero ID delle impostazioni internazionali correnti.

• Nome istanza è un campo non configurabile che visualizza il nome dell'istanza del portale vincolato associata alle impostazioni internazionali.

Passaggio 38. Dall'elenco a discesa Background Image Name (Nome immagine di sfondo), scegliere un'immagine da visualizzare sullo sfondo delle impostazioni internazionali. Fare clic sul pulsante Carica/Elimina immagine personalizzata per aggiungere un'immagine personalizzata. Per ulteriori informazioni, andare alla sezione Carica/Elimina immagine personalizzata.

Passaggio 39. Dall'elenco a discesa Nome immagine logo, scegliere un'immagine da visualizzare nell'angolo superiore sinistro della pagina.

Passaggio 40. Nel campo Foreground Color (Colore primo piano), immettere il codice HTML (Hyper Text Transfer Protocol) a 6 cifre per il colore di primo piano delle impostazioni internazionali.

Passaggio 41. Nel campo Background Color (Colore di sfondo), immettere il codice HTML a 6 cifre per il colore di sfondo delle impostazioni internazionali.

Passaggio 42. Nel campo Separatore, immettere il codice HTML a 6 cifre per il colore della linea orizzontale che separa l'intestazione della pagina dal corpo della pagina.

Passaggio 43. Inserire un nome descrittivo per le impostazioni internazionali nel campo Etichetta impostazioni internazionali. Se si dispone di più lingue, questo è il nome del collegamento su cui si fa clic per passare da una lingua all'altra. Se, ad esempio, si dispone di una lingua inglese e spagnola, è possibile che si desideri indicarla nel nome della propria lingua.

Passaggio 4. Immettere un'abbreviazione per le impostazioni internazionali nel campo Impostazioni internazionali.

Passaggio 45. Dall'elenco a discesa Immagine account, scegliere un'immagine da visualizzare sopra il campo di accesso.

Passaggio 46. Nel campo Etichetta conto, immettere le istruzioni che richiedono all'utente di immettere il proprio nome utente.

Passaggio 47. Nel campo Etichetta utente, immettere l'etichetta per la casella di testo del nome utente.

Passaggio 48. Nel campo Etichetta password, immettere l'etichetta per la casella di testo della password.

Passaggio 49. Nel campo Etichetta pulsante immettere l'etichetta del pulsante su cui gli utenti fanno clic per inviare il nome utente e la password.

Passaggio 50. Nel campo Fonts (Tipi di carattere), immettere il nome del tipo di carattere utilizzato per le impostazioni internazionali. È possibile immettere più nomi di carattere separati da una virgola. Se il dispositivo client non trova il primo stile di carattere, viene utilizzato quello successivo. Se il nome di un tipo di carattere contiene più parole separate da spazi, racchiuderlo tra virgolette singole. Per esempio, 'MS UI Gothic'€™, arial, sans-serif, e così via.

Passaggio 51. Nel campo Browser Title (Titolo browser), immettere il testo da visualizzare nella barra del titolo del browser.

Passaggio 52. Nel campo Contenuto browser, immettere il testo da visualizzare nell'intestazione della pagina.

Passaggio 53. Nel campo Contenuto immettere il testo che indica all'utente le operazioni da eseguire. Questo campo viene visualizzato sotto le caselle di testo Nome utente e Password.

Passaggio 54. Nel campo Criterio d'uso accettazione, immettere i termini che gli utenti devono accettare per poter accedere al WAP.

Passaggio 5. Nel campo Accetta etichetta, immettere il testo che indica agli utenti di controllare di aver letto e accettato la politica sull'utilizzo dell'accettazione.

Passaggio 56. Nel campo Testo non accettato, immettere il testo che richiede all'utente se sottomette le credenziali di accesso ma non accetta la politica sull'utilizzo dell'accettazione.

Passaggio 57. Nel campo Work In Progress Text (Testo Work In Progress), immettere il testo visualizzato mentre il WAP controlla le credenziali fornite.

Passaggio 58. Nel campo Testo rifiutato, immettere il testo che viene visualizzato quando un utente non esegue correttamente l'autenticazione.

Passaggio 59. Nel campo Welcome Title (Titolo benvenuto), immettere il testo del titolo visualizzato quando un client viene autenticato correttamente.

Passaggio 60. Nel campo Contenuto introduttivo, immettere il testo da visualizzare a un client che si è connesso alla rete.

Passaggio 61. (Facoltativo) Per eliminare le impostazioni internazionali correnti, selezionare la casella di controllo Elimina impostazioni internazionali.

Passaggio 62. Fare clic su Salva.

Passaggio 63. (Facoltativo) Per visualizzare le impostazioni internazionali correnti, fare clic su Anteprima. Se si apportano modifiche, fare clic su Salva prima di visualizzare l'anteprima per aggiornare le modifiche.

Nota: La schermata di accesso del portale in entrata è simile all'immagine seguente:

Crea gruppo locale

Un portale vincolato non guest richiede agli utenti di eseguire l'accesso in base al nome utente e alla password. WAP crea un gruppo locale che contiene un gruppo di utenti locali. Il gruppo locale viene quindi associato a un'istanza. Gli utenti locali che sono membri del gruppo locale possono accedere tramite il portale vincolato. Il gruppo locale predefinito è sempre attivo e non può essere eliminato. È possibile aggiungere al WAP fino a due gruppi locali aggiuntivi.

Passaggio 64. Nell'utility basata sul Web, scegliere Captive Portal > Local Groups/Users.

Passaggio 65. Scegliere Crea dall'elenco a discesa Gruppi portale vincolati.

Passaggio 6. Inserire il nome del gruppo locale nel campo Nome gruppo.

Passaggio 67. Fare clic su Aggiungi gruppo per salvare il gruppo.

Nota: È possibile assegnare un gruppo locale a un'istanza nel passo 19 della sezione Configurazione istanza.

Crea utente locale

Gli utenti locali vengono aggiunti a un gruppo locale. Questi utenti sono in grado di accedere a un portale vincolato con un'istanza con il proprio gruppo locale configurato. Alcune informazioni configurate nella pagina Utenti locali sono configurate anche nella pagina Configurazione istanza. Il valore configurato per un utente locale ha la precedenza sul valore configurato per un'istanza. È possibile configurare fino a 128 utenti autorizzati nel database locale.

Passaggio 68. Scegliere Crea dall'elenco a discesa Utenti portale vincolati.

Passaggio 69. Nel campo Nome utente, immettere il nome utente che si desidera aggiungere.

Passaggio 70. Fare clic su Aggiungi utente per creare il nuovo utente. Nella finestra Impostazioni utenti locali vengono visualizzate informazioni aggiuntive.

Passaggio 71. Nel campo Password utente, immettere la password associata all'utente.

Passaggio 72. (Facoltativo) Per visualizzare la password in testo non crittografato, selezionare la casella di controllo Mostra password come testo non crittografato. Se la casella di controllo è deselezionata, la password è nascosta.

Passaggio 73. Nel campo Timeout assente, immettere il periodo di tempo (in minuti) durante il quale un utente può essere dissociato dal WAP e rimanere nell'elenco dei client autenticati WAP. Se l'utente non è connesso al WAP per un periodo di tempo superiore al timeout di assenza, deve essere nuovamente autorizzato prima di poter utilizzare il WAP.

Passaggio 74. Nel campo Nome gruppo fare clic sul gruppo locale a cui si desidera che l'utente partecipi.

Passaggio 75. Nel campo Upstream della larghezza di banda massima, immettere la velocità di caricamento massima in Mbps che un client può inviare dati tramite il portale captive.

Passaggio 76. Nel campo Massima larghezza di banda a valle, immettere la velocità di download massima in Mbps che un client può ricevere dati tramite il portale captive.

Passaggio 7. (Facoltativo) Per eliminare un utente locale, selezionare la casella di controllo Elimina utente.

Passaggio 78. Fare clic su Salva.

A questo punto, è necessario configurare le impostazioni avanzate di Captive Portal di WAP571 o WAP571E.