Guida alla distribuzione dell'autenticazione Web esterna con switching locale FlexConnect

Opzioni per il download

  • PDF     (264.3 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (311.3 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (445.9 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:8 dicembre 2017
ID documento:113605

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento spiega come utilizzare un server Web esterno con la commutazione locale FlexConnect per diversi criteri Web.

    Prerequisiti

    Requisiti

    Prima di provare questa configurazione, accertarsi di soddisfare i seguenti requisiti:

    • Conoscenze base dell'architettura FlexConnect e dei punti di accesso (AP)

    • Informazioni su come configurare un server Web esterno

    • Informazioni su come configurare i server DHCP e DNS

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • Cisco 7500 Wireless LAN Controller (WLC) con firmware versione 7.2.10.0

    • Cisco serie 3500 Lightweight Access Point (LAP)

    • Server Web esterno che ospita la pagina di accesso per l'autenticazione Web

    • Server DNS e DHCP nel sito locale per la risoluzione degli indirizzi e l'allocazione degli indirizzi IP ai client wireless

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Sebbene per questa guida all'installazione venga utilizzato un WLC serie 7500, questa funzione è supportata sui WLC 2500, 5500 e WiSM-2. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Convenzioni

    Per ulteriori informazioni sulle convenzioni usate, consultare il documento Cisco sulle convenzioni nei suggerimenti tecnici.

    Panoramica delle funzionalità

    Questa funzionalità estende la funzionalità di autenticazione Web a un server Web esterno dall'access point in modalità FlexConnect, per le WLAN con traffico a commutazione locale (FlexConnect - Switching locale). Prima della versione 7.2.110.0 del WLC, l'autenticazione Web a un server esterno era supportata per i punti di accesso in modalità locale o in modalità FlexConnect per le WLAN con traffico a commutazione centrale (FlexConnect - Switching centrale).

    Questa funzione, nota spesso come autenticazione Web esterna, estende la capacità della WLAN di switching locale FlexConnect di supportare tutti i tipi di sicurezza reindirizzamento Web di layer 3 attualmente forniti dal controller:

    • Autenticazione Web

    • Pass-through Web

    • Reindirizzamento condizionale Web

    • Reindirizzamento condizionale pagina iniziale

    Se si prende in considerazione una WLAN configurata per l'autenticazione Web e per la commutazione locale, la logica alla base di questa funzionalità è la distribuzione e l'applicazione della lista di controllo dell'accesso (ACL) FlexConnect di preautenticazione direttamente a livello di access point anziché a livello di WLC. In questo modo, l'access point commuta localmente i pacchetti provenienti dal client wireless autorizzati dall'ACL. I pacchetti non consentiti vengono comunque inviati al WLC attraverso il tunnel CAPWAP. D'altra parte, quando l'access point riceve il traffico sull'interfaccia cablata, se autorizzato dall'ACL, lo inoltra al client wireless. In caso contrario, il pacchetto viene scartato. Dopo aver autenticato e autorizzato il client, l'ACL FlexConnect di preautenticazione viene rimosso e tutto il traffico di dati del client viene autorizzato e commutato localmente.

    Nota: questa funzione si basa sul presupposto che il client possa raggiungere il server esterno dalla VLAN a commutazione locale.

    ewa-flex-guide-01.gif

    Riepilogo:

    • WLAN configurata per switching locale FlexConnect e sicurezza L3

    • Gli ACL FlexConnect verranno utilizzati come ACL di preautenticazione

    • Una volta configurati, gli ACL FlexConnect devono essere inviati al database AP tramite Flex Group o un singolo AP, oppure possono essere applicati alla WLAN

    • AP consente di commutare localmente tutto il traffico che corrisponde all'ACL di preautenticazione

    Procedura:

    Per configurare questa funzionalità, completare la procedura seguente:

    1. Configurare una WLAN per lo switching locale FlexConnect.

      ewa-flex-guide-02.gif

    2. Per abilitare l'autenticazione Web esterna, è necessario configurare i criteri Web come criteri di sicurezza per la WLAN a commutazione locale. Questa opzione include una delle seguenti quattro opzioni:

      • Autenticazione

      • Pass-through

      • Reindirizzamento Web condizionale

      • Reindirizzamento Web pagina iniziale

      In questo documento viene illustrato un esempio di autenticazione Web:

      ewa-flex-guide-03.gif

      I primi due metodi sono simili e possono essere raggruppati come metodi di autenticazione Web da un punto di vista della configurazione. I secondi due (Reindirizzamento condizionale e Pagina iniziale) sono criteri Web e possono essere raggruppati come metodi di criteri Web.

    3. È necessario configurare l'ACL FlexConnect di preautenticazione in modo che i client wireless possano raggiungere l'indirizzo IP del server esterno. Il traffico ARP, DHCP e DNS è consentito automaticamente e non deve essere specificato. In Protezione > Lista di controllo di accesso, scegliere ACL FlexConnect. Quindi, fare clic su Add (Aggiungi) e definire i nomi e le regole come un normale ACL del controller.

      ewa-flex-guide-04.gif

      Nota: È necessario creare ogni volta regole di inversione per il traffico.

    4. Dopo aver creato gli ACL FlexConnect, occorre applicarli a diversi livelli: AP, FlexConnect Group e WLAN. L'ultima opzione (ACL Flex su WLAN) è valida solo per l'autenticazione Web e il pass-through Web per altri due metodi in Criteri Web, ad esempio Conditional e Splash Redirect. Gli ACL possono essere applicati solo all'access point o al Flex Group. Di seguito è riportato un esempio di ACL assegnato al livello AP. Andare su Wireless > selezionare AP, quindi fare clic sulla scheda FlexConnect:

      ewa-flex-guide-05.gif

      Fare clic sul collegamento ACL di autenticazione Web esterna. Quindi, scegliere l'ACL per l'ID WLAN specifico:

      ewa-flex-guide-06.gif

      Analogamente, per l'ACL del criterio Web (ad esempio, il reindirizzamento condizionale o il reindirizzamento della pagina iniziale), sarà possibile selezionare l'ACL di Flex Connect in Criteri Web dopo aver fatto clic sullo stesso collegamento ACL di autenticazione Web esterna. Di seguito viene illustrato come eseguire questa operazione:

      ewa-flex-guide-07.gif

    5. L'ACL può essere applicato anche a livello di gruppo FlexConnect. A tale scopo, andare alla scheda di mappatura WLAN-ACL nella configurazione del gruppo FlexConnect. Quindi, selezionare l'ID WLAN e l'ACL che si desidera applicare. Fare clic su Add. Ad esempio, per definire un ACL per un gruppo di access point.

      ewa-flex-guide-08.gif

      Analogamente, per l'ACL del criterio Web (per il reindirizzamento Web condizionale e della pagina iniziale), è necessario selezionare la scheda Criteri Web.

      ewa-flex-guide-09.gif

    6. L'autenticazione Web e gli ACL Web Pass-through Flex possono essere applicati anche sulla WLAN. A tale scopo, scegliere l'ACL dall'elenco a discesa WebAuth FlexACL nella scheda Layer 3 in WLAN > Sicurezza.

      ewa-flex-guide-10.gif

    7. Per l'autenticazione Web esterna, è necessario definire l'URL di reindirizzamento. Questa operazione può essere eseguita a livello globale o a livello di WLAN. Per il livello WLAN, fare clic sul segno di spunta Override Global Config (Ignora configurazione globale) e inserire l'URL. A livello globale, selezionare Protezione > Web Auth > Pagina di accesso Web:

      ewa-flex-guide-11.gif

      Limitazioni:

      • L'autenticazione Web (interna o verso un server esterno) richiede che l'access point Flex sia in modalità connessa. L'autenticazione Web non è supportata se Flex AP è in modalità standalone.

      • L'autenticazione Web (interna o verso un server esterno) è supportata solo con l'autenticazione centrale. Se una WLAN configurata per la commutazione locale è configurata per l'autenticazione locale, non è possibile eseguire l'autenticazione Web.

      • Tutto il reindirizzamento Web viene eseguito a livello WLC e non a livello AP.

    Informazioni correlate

    TAC Authored

    Contributo dei tecnici Cisco

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti