TAREA 1: Configuración de
WLC
Paso 1.1: En el equipo WLC asegurar que el servicio CoA (FRC3576) este habilitado, para esto se debe dirigir a;
Security>
AAA> RADIUS> Authentication
Paso 1.2: Configurar un nuevo SSID abierto “Open” con “MAC
Filtering” a nivel de seguridad de capa 2, además de la siguiente información;
Paso 1.3: Configurar una ACL para
redirección. Esta lista de acceso será configurada en el ISE definiendo el
tráfico que será redireccionado (deny) y que tráfico no deberá ser
redireccionado (permit). Para esto se debe configurar cada una de las
siguientes líneas en;
Security> Access Control Lists> Access Control
Lists
TAREA 2: Configuración de Perfil
de Autorización en ISE.
Paso 2.1: Configurar un perfil de
autorización que permita a los usuarios redirigirse al CWA, para esto se debe
dirigir a;
Policy>
Policy Elements> Results
Paso 2.2: Expandir la carpeta Authorization
y seleccionar Authorization
Profile.
Paso 2.3: Seleccionar Add
Paso 2.4: Configurar el nombre del
perfil y seleccione ACESS_ACCEPT desde el tipo de acceso.
Paso 2.5: Marcar Web Redirection (CWA, MDM, NSP, CPP) y
seleccionar Centralized
Web Auth, y la ACL correspondiente a la configurada en el WLC (Paso
1.3).
Paso 2.6: Seleccionar el valor de Self-Registered
Guest Portal, en este caso el usuario se enviara al portal para auto
registrarse y le entregara un usuario y contraseña.
TAREA 3: Configuración de
Condición de Autorización
Paso 3.1: Configurar una condición
para hacerla coincidir con el SSID de invitados, permitiendo que sea usada
dentro de las políticas de autorización para esto se debe dirigir a;
Policy> Policy
Elements> Conditions> Authorization> Simple Conditions
Paso 3.2: Configurar una condición
asociada al SSID que se conecten los usuarios invitados de acuerdo a lo
siguiente;
Paso 3.3: Configurar Value correspondiente
a la expresión regular .*(:nombre del SSID)$
TAREA 4: Configuración una
regla de Autenticación
Paso 4.1: Configurar una regla de
autenticación que permita al ISE aceptar todas las autenticaciones de
direcciones MAC desde el WLC, para esto se debe dirigir a;
Policy> Authentication>
Paso 4.2: Configurar MAB
que ya existe por defecto y seleccione Edit, manteniendo lo siguiente;
Paso 4.3: Configurar en Internal
Endpoints lo siguiente;
TAREA 5: Configuración
Políticas de Autorización
Paso 5.1: Configurar las políticas de
autorización de acuerdo al siguiente orden, para esto se debe ir a;
Policy> Authorization>
Paso 5.2: Configurar una nueva regla.
(Ej. Redirección Invitados) en el campo condition(s) seleccione (+), y elija create a new
condition.
Paso 5.3: Seleccionar en select
attribute la opción Network Access y dentro de esta opción elegir UseCase.
Paso 5.4: Seleccionar el operador Equals
y elegir Host
Loockup.
Paso 5.5: Seleccionar Add Condition
from Library y AND en Select Condition elegir Simple Condition y buscar la
condición creada en la Tarea 3 correspondiente al nombre del SSID.
Paso 5.6: Seleccionar then y
elegir el perfil de autorización correspondiente al Portal de Autenticación
(Ej. Wireless_Portal, Tarea 2)
Paso 5.7: Configurar una nueva
política de autenticación, la cual debe estar posicionada antes de la creada
anteriormente (Ej. Redirección Invitados) para esto se debe ir a;
Policy> Authorization>
Paso 5.8: Configurar una nueva regla.
(Ej. Redirección Invitados) en el campo condition(s) seleccione (+), y elija create a new
condition.
Paso 5.9: Seleccionar en select
attribute la opción Network Access y dentro de esta opción elegir UseCase.
Paso 5.10: Seleccionar el operador Equals
y elegir GuestFlow.
Paso 5.11: Seleccionar Add Condition
from Library y AND en Select Condition elegir Simple Condition y buscar la
condición creada en la Tarea 3 correspondiente al nombre del SSID.
Paso 5.12: Seleccionar then y
elegir PermitAccess
Paso 5.13: Finalmente
debiese quedar configurado de la siguiente forma;
TAREA 6: Verificación de Usuario Conectado
Paso 6.1: Finalmente para verificar que los usuarios se están conectando sin problemas se debe dirigir a;
Operations> Authentications>
No hay comentarios.:
Publicar un comentario