Overview:
 
Cisco WLC 本身就有支援Web Auth,可以透過自己internal Portal來進行驗證,此外它也可以支援ISE Guest Portal,
Web Auth屬於L3 的驗證方式,未驗證前它會對IP Traffic限制,只允許DHCP及DNS的服務,直到你輸入帳密成功驗證為止。
此次文章會提到以下幾點主題,以基本設定Web Auth為主軸。
1.設定Dynamic Interface
2.設定Wlan
3.修改Virtual IP
4.QOS for Guess role設定
5.設定ACL
6.訪客帳號建立(Local User、Lobby Admin)
7.驗證
 
Step1:設定Dynamic Interface
 
1.首先先到WLC GUI畫面,點選CONTROLLER->Interfaces->New
Interface Name:webauth_int
VLAN ID:10
 
2.新增完成後,編輯Interface 資訊
Port Number: 1
VLAN Identifier:10
IP Address:192.168.10.250
Netmask:255.255.255.0
Gateway 192.168.10.254
Primary DHCP Server:10.10.1.131(此為WLC管理IP)
 
Step2:設定Wlan
 
1.點選WLANs->WLANs->New
Type:WLAN
Profile Name:guest_webauth
SSID:guest_webauth
2.點選guest_webauth進入編輯,進入General頁籤
Statas: Enable
Interface/Interface Group:webauth_int
Broadcast SSID:Enable
 
3.點選Security頁籤->Layer 2
Layer2 Security:None
4.點選Security頁籤->Layer 3
Layer3 Security:Web Policy
勾選 Autehentication(此為建立帳號供使用者進行網頁驗證)
 
Step3:修改Virtaul IP
 
 
1.點選CONTROLLER>Interfaces 
修改IP Address ,預設為1.1.1.1,範例設定為10.0.0.8
2.VIP位址設定Range建議如下
 
Step4:QOS for Guess role設定
 
1.點選WIRELESS->QOS->NEW
Role Name:guest_limit
 
2.點選guest_limit進入編輯QOS設定
以下單位為(kbps),針對流量來進行限速
Average Data Rate:300
Burst Data Rate:300
Average Real-Time Rate:300
Burst Real-Time Rate:300
 
3.後續建立訪客帳號,若要針對此帳號進行限制,須設定Guest User Role
點選Security->Local Net Users ->勾選Guest User Role->設定Role為guest_limit
範例為Local Net Users,若是透過Lobby Admin也是使用相同的方式設定Guest User Role
Step5:設定ACL
 
1.點選SECURITY->Access Control Lists->Access Control Lists>New
Access Control List Name:test_acl
ACL type:IPv4
 
2.點選test_acl進入編輯ACL,選點Add New Rule新增ACL
完成Web驗證後,會進行流量存取控制,定義允許去哪些網段哪些服務,或是拒絕某些網段及服務存取..等等
 
3.接著套用ACL設定,可針對Interface或是Wlan來進行設定
 
Option 1:Interface 套用ACL
點選CONTROLLER->Interface
ACL Name:test_acl
Option 2:Wlan套用ACL
點選WLANs->WLANs->guest_webauth->Advanced
Override Interface ACL IPv4:tes_acl
Step6:訪客帳號建立(Local User、Lobby Admin)
 
Option 1.Local User新增訪客帳號
點選SECURITY->AAA->Local Net Users->New
User Name:guest
Password:xxxxxx
Confirm Password:xxxxxx
guest User:若有要限制帳號有效時間及QOS,將此選項勾選
WLAN Profile:guest_webauth
Option 2.Lobby Admin新增訪客帳號
1.點選MANAGEMENT->Local Management Users->New
新增一筆有Lobby Admin權限的帳號
user name:guestadmin
password:xxxxxx
confirm passowrd:xxxxxx
user access mode:LobbyAdmin
2.將原本Admin帳號登出,輸入Lobby Admin帳號,即可登入訪客系統。
點選->Guest User List ->New
接著可輸入以下資訊:帳號、密碼為隨機產生(複雜度、非複雜度)、帳號有效時間、Guest User Roler、WLAN SSID、Description
Step7:驗證
 
當連上WLAN後,瀏覽器會自動Redirect到驗證畫面視窗(如下圖),驗證網頁的IP就是你設定的Virtual IP
接著輸入你申請的訪客帳號及密碼進行登入,
 
 
補充:

leo19950830 發表在 痞客邦 留言(0) 人氣()