Press "Enter" to skip to content

LWA i CWA sa FlexConnect AP –ovima za Cisco WLC i Mobility Express, sa primerima za Cisco ISE

Web autentifikaciju korisnika na wireless mrezi je moguce obaviti uz pomoc Cisco ISE servera.

2 vrste web autentifikacije:

  • Lokalna
    LWA (Local Web Authentication)
    potrebna 2 sertifikata: po jedan za WLC i ISE
  • Centralna
    CWA (Central Web Authentication)
    potreban samo 1 sertifikat, samo za ISE

U prvoj vrsti (LWA) WLC redirektuje HTTP saobracaj ka internom ili eksternom serveru, gde se korisniku nudi mogucnost za upisivanje kredencijala. WLC zatim preuzima te kredencijale (koji se salju putem HTTP GET zahteva, u slucaju eksternog servera) i pokusava RADIUS autentifikaciju. U slucaju guest korisnika, potreban je eksterni server (npr. ISE ili NAC Guest Server (NGS)) jer portal obezbedjuje opcije kao sto su registracija uredjaja i self-provisioning.

LWA proces ide po sledecim koracima:

  • Korisnik se asocira na SSID u kojem se koristi web autentifikacija
  • Korisnik otvara svoj browser
  • WLC ga preusmerava na guest portal (npr. ISE il NGS) cim korisnik unese neki URL
  • Korisnik se autentifikuje na portalu
  • Guest portal preusmerava korisnika nazad ka WLC-u sa unetim kredencijalima
  • WLC autentifikuje guest korisnika preko RADIUS-a
  • WLC redirektuje nazad na originalni URL.

Ovaj proces ukljucuje mnogo redirekcija. Takodje, LWA zahteva 2 sertifikata; jedan na WLC-u, a drugi na ISE-u.

Novi pristup, koji pojednostavljuje proces autentifikacije, je uz pomoc centralne web autentifikacije – CWA (radi od ISE verzije 1.1 i WLC verzije 7.2… dakle, odavno).

U ovom slucaju, potreban je samo jedan sertifikat – na Cisco ISE-u… jer kontroler samo prosledjuje zahtev za autentifikaciju.

CWA proces ide po sledecim koracima:

  • Korisnik se asocira na SSID u kojem se koristi web autentifikacija
  • Korisnik otvara svoj browser
  • WLC ga prosledjuje na guest portal
  • Korisnik se autentifikuje na portalu
  • ISE salje RADIUS CoA poruku (Change of Authorization – UDP Port 1700) kako bi naglasio WLC-u da je korisnik ispravno uneo kredencijale i eventualno salje RADIUS atribute kao sto je Access Control List (ACL)
  • Korisniku se napominje da je potrebno da ponovo upise zeljeni URL.

Konfiguracija WLC-a za LWA – FlexConnect rezim (vWLC)

Pre svega, dodaj RADIUS authentication i accounting servere na WLC…

WLC –> Security –> RADIUS –> Authentication

WLC –> Security –> RADIUS –> Accounting


Kreiraj novi WLAN (BYOD), sa sledecim security parametrima…

WLAN L2 security: none

WLAN L3 security: Web Policy

Potrebno je kreirati redirekcionu ACL koja ce dozvoliti prolaz samo odredjenog saobracaja do ostatka mreze (DNS, DHCP i sve ka ISE-u), a sve ostalo braniti, sve dok ISE ne javi da li je korisnik autentifikovan. Ova ACL mora biti dvosmerna! (sto se sa slike i vidi)…

WLC –> Security –> Access Control Lists…

Dodaj RADIUS parametre za WLAN…

WLC –> WLAN –> Security –> AAA Servers…

Advanced opcije ostavi po default-u (Alow AAA Override je iskljucen), osim eventualno da iskljucis opciju “Enable Session Timeout”…

Napomena: S obzirom da se ne koristi “AAA Override”, WLC kontrolise AAA parametre klijenta, pa tako i vreme trajanja sesije. Ako je u nekom slucaju potrebno da sesija klijenta povezanog na SSID ne istice, potrebno je iskljuciti “Session Timeout” opciju.

Kada se klijent poveze na BYOD SSID, bice preusmeren na stranicu za logovanje, koju mu obezbedjuje WLC. Autentifikacija se obavlja na ISE-u, koji vraca WLC-u nazad info o ispravnosti logovanja.

VAZNO!!! Ne zaboravi da upises ime WLC-a i ISE-a na lokalni DNS!!!

Ako je sve u redu, klijent moze pristupiti mrezi.

S obzirom da se klijentu u ovom slucaju predstavlja WLC, a zatim i ISE, potreban je po jedan sertifikat za ova dva uredjaja, sto komplikuje proceduru, a takodje i kosta (sertifikati nisu jeftini na godisnjem nivou).

Konfiguracija WLC-a za CWA – FlexConnect rezim (vWLC)

Kreiraj novi WLAN (CWA), sa sledecim security parametrima…

WLAN L2 security: none + MAC Filtering

WLAN L3 security: Web Policy

Potrebno je kreirati redirekcionu ACL koja ce dozvoliti prolaz samo odredjenog saobracaja do ostatka mreze (DNS, DHCP i sve ka ISE-u), a sve ostalo braniti, sve dok ISE ne javi da li je korisnik autentifikovan.

VAZNO!!!Ovu standardnu ACL (koja je koriscena za LWA) sada nemam gde da primenim na WLAN security polisu, jer se koristi L2 security “Open + MAC filtering”, a L3 security je “none” (ACL je bila primenjena na L3 security, web polisu).

Zbog toga je potrebno kreirati Flex Connect ACL koja ce biti koriscena od strane svakog AP-a iz Flex Connect grupe, a prilikom autentifikacije na Cisco ISE. ACL za Flex Connect je identicna obicnoj ACL, samo ima drugo ime. Ova ACL mora biti dvosmerna! (sto se sa slike i vidi)…

WLC –> Wireless –> FlexConnect ACLs…

Ovu ACL je sada potrebno dodati na Flex Connect grupu AP-ova…

WLC –> Wireless –> FlexConnect –> default-flex-group –> ACL Mapping –> Policies…

VAZNO!!!U slucaju da dodas ACL na “AAA VLAN-ACL mapping” ili na “WLAN-ACL mapping”, desava se da je ACL stalno primenjena na VLAN (ili WLAN) i da kao takva onemogucava bilo kakav saobracaj, osim ka DNS, DHCP i ISE serveru.

Stavljanjem ACL na polisu, ACL se koristi samo kada se klijent autentifikuje… nakon uspesne autentifikacije klijenta, ISE vraca nazad parametre WLC-u u kojem mu govori da klijenta u potpunosti propusti dalje ka mrezi. Zbog toga je neophodno ukljuciti “Alow AAA Override” parametar, jer je ISE taj koji definise kuda sve klijent moze ici po mrezi.

RADIUS parametri su vec dodati, pa ih sada samo treba izabrati iz padajuceg menija.

WLC –> WLAN –> Security –> AAA Servers…

U Advanced opcijama ukljuci Alow AAA Override, kao i NAC State

Napomena: S obzirom da se koristi “AAA Override”, ISE kontrolise AAA parametre klijenta, pa tako i vreme trajanja sesije. Ako je u nekom slucaju potrebno da sesija klijenta povezanog na SSID ne istice, potrebno je ukljuciti i podesiti “Reauthentication” parametar na samom ISE-u…

ISE –> Policy –> Policy Elements –> Authorization –> Authorization Profiles…

Konacni atribut detalji koji se salju WLC-u, nakon uspesne autentifikacije korisnika…

Kada se klijent poveze na CWA SSID, bice preusmeren na stranicu za logovanje, koju mu obezbedjuje ISE. Autentifikacija se takodje obavlja na ISE-u, koji vraca WLC-u nazad info o ispravnosti logovanja.

VAZNO!!! Ne zaboravi da upises ime WLC-a i ISE-a na lokalni DNS!!!

Ako je sve u redu, klijent moze pristupiti mrezi.

S obzirom da se klijentu u ovom slucaju predstavlja ISE, jer WLC samo prosledjuje zahtev, potreban je samo jedan sertifikat i to za ISE, sto pojednostavljuje proceduru, a takodje je i jeftinije.

Konfiguracija Mobility Express -a za CWA

Od ME verzije 8.7 postoji CWA opcija, koja se konfigurise pod WLAN-om. Medjutim – TO NE RADI!!!… a trebalo bi automatski – sve dok se dodatno ne podesi.

Takodje, ne radi ni pod novijom verzijom 8.8.111. U ovoj verziji se cak ni ne vidi dinamicka ACL koju generise ME (CWA ACL Rule Name), a cije ime je potrebno upisati u ISE.

Potrebno je kreirati WLAN sa “Central Web Auth” security tipom, kao i definisanim RADIUS serverom za autentifikaciju i autorizaciju…

Opcija “Captive Network Assistant” omogucava da se klijentu automatski pojavi strana za logovanje nakon pristupanja SSID-u, kao i da automatski nestane kada uspesno unese kredencijale.

Verzija 8.7… pojavljuje se dinamicka ACL (Pre Auth ACLs), ali je kroz GUI nemoguce dodati bilo koju stavku…

U tom slucaju, pribegavamo CLI-u!!!

Uloguj se na ME preko SSH i udji u konfiguracioni rezim (config).

Dozvoli DNS preko UDP-a (UDP je protokol 17, a port 53) …

flexconnect acl rule add me_cwa_acl_redirect_1 1
flexconnect acl rule action me_cwa_acl_redirect_1 1 permit
flexconnect acl rule source address me_cwa_acl_redirect_1 1 0.0.0.0 0.0.0.0
flexconnect acl rule destination address me_cwa_acl_redirect_1 1 0.0.0.0 0.0.0.0
flexconnect acl rule protocol me_cwa_acl_redirect_1 1 17
flexconnect acl rule source port range me_cwa_acl_redirect_1 1 53 53
flexconnect acl rule destination port range me_cwa_acl_redirect_1 1 0 65535
flexconnect acl rule dscp me_cwa_acl_redirect_1 1 any
flexconnect acl rule add me_cwa_acl_redirect_1 2
flexconnect acl rule action me_cwa_acl_redirect_1 2 permit
flexconnect acl rule source address me_cwa_acl_redirect_1 2 0.0.0.0 0.0.0.0
flexconnect acl rule destination address me_cwa_acl_redirect_1 2 0.0.0.0 0.0.0.0
flexconnect acl rule protocol me_cwa_acl_redirect_1 2 17
flexconnect acl rule source port range me_cwa_acl_redirect_1 2 0 65535
flexconnect acl rule destination port range me_cwa_acl_redirect_1 2 53 53
flexconnect acl rule dscp me_cwa_acl_redirect_1 2 any

Dozvoli DHCP preko UDP-a (UDP je protokol 17, a port 67) …

flexconnect acl rule add me_cwa_acl_redirect_1 3
flexconnect acl rule action me_cwa_acl_redirect_1 3 permit
flexconnect acl rule source address me_cwa_acl_redirect_1 3 0.0.0.0 0.0.0.0
flexconnect acl rule destination address me_cwa_acl_redirect_1 3 0.0.0.0 0.0.0.0
flexconnect acl rule protocol me_cwa_acl_redirect_1 3 17
flexconnect acl rule source port range me_cwa_acl_redirect_1 3 67 67
flexconnect acl rule destination port range me_cwa_acl_redirect_1 3 0 65535
flexconnect acl rule dscp me_cwa_acl_redirect_1 3 any
flexconnect acl rule add me_cwa_acl_redirect_1 4
flexconnect acl rule action me_cwa_acl_redirect_1 4 permit
flexconnect acl rule source address me_cwa_acl_redirect_1 4 0.0.0.0 0.0.0.0
flexconnect acl rule destination address me_cwa_acl_redirect_1 4 0.0.0.0 0.0.0.0
flexconnect acl rule protocol me_cwa_acl_redirect_1 4 17
flexconnect acl rule source port range me_cwa_acl_redirect_1 4 0 65535
flexconnect acl rule destination port range me_cwa_acl_redirect_1 4 67 67
flexconnect acl rule dscp me_cwa_acl_redirect_1 4 any

Dozvoli pristup ISE-u, IP protokol (4), na bilo koji port …

flexconnect acl rule add me_cwa_acl_redirect_1 5
flexconnect acl rule action me_cwa_acl_redirect_1 5 permit
flexconnect acl rule source address me_cwa_acl_redirect_1 5 192.168.40.40 255.255.255.255
flexconnect acl rule destination address me_cwa_acl_redirect_1 5 0.0.0.0 0.0.0.0
flexconnect acl rule protocol me_cwa_acl_redirect_1 5 4
flexconnect acl rule source port range me_cwa_acl_redirect_1 5 0 65535
flexconnect acl rule destination port range me_cwa_acl_redirect_1 5 0 65535
flexconnect acl rule dscp me_cwa_acl_redirect_1 5 any
flexconnect acl rule add me_cwa_acl_redirect_1 6
flexconnect acl rule action me_cwa_acl_redirect_1 6 permit
flexconnect acl rule source address me_cwa_acl_redirect_1 6 0.0.0.0 0.0.0.0
flexconnect acl rule destination address me_cwa_acl_redirect_1 6 192.168.40.40 255.255.255.255
flexconnect acl rule protocol me_cwa_acl_redirect_1 6 4
flexconnect acl rule source port range me_cwa_acl_redirect_1 6 0 65535
flexconnect acl rule destination port range me_cwa_acl_redirect_1 6 0 65535
flexconnect acl rule dscp me_cwa_acl_redirect_1 6 any

Zabrani sve ostalo…

flexconnect acl rule add me_cwa_acl_redirect_1 7
flexconnect acl rule action me_cwa_acl_redirect_1 7 deny

Pregled ACL…

show flexconnect acl detailed me_cwa_acl_redirect_1

Ako je potrebno brisati neku ACL…

flexconnect acl rule delete me_cwa_acl_redirect_1 7

Ostalo je jos podesiti ISE kako bi se klijent uspesno autentifikovao.