Tweet
Bài lab này tương tự với bài lab trước: Cấu hình self-register cho WiFi Guest (dùng wizard trên Cisco ISE)
Tuy nhiên với bài lab này ta sẽ cấu hình một cách thủ công (không dùng wizard), việc cấu hình thủ công giúp ta có thể tùy chỉnh được nhiều hơn, bật hoặc tắt những tính năng không mong muốn.
Trước khi cấu hình, ta cũng cần đảm bảo AP đã join được vào WLC
Ta cấu hình khai báo Radius Server (Cisco ISE) với WLC như sau: vào mục Security → AAA → Radius → Authentication → New
Ta khai báo các tham số của Authentication bao gồm các thông tin sau như sau:
Tại mục Security này, ta phải tạo ra 1 ACL để có thể Redirect traffic xác thực của Guest đến được Cisco ISE, ta tạo như sau: Tại tab Security → Access Control List → Chọn FlexConnect ACLs → Chọn New:
Ta đặt tên cho ACL này và chọn Apply để lưu lại:
Sau khi Apply, ta sẽ có 1 ACL được tạo ra như bên dưới:
Tuy nhiên ACL này vẫn chưa có bất kì hành động nào, ta sẽ tiếp hành tạo hành động cho ACL này bằng cách click vào ACL vừa tạo và tiến hành tạo rule cho ACL này như sau: click vào Add New Rule và tạo hành động giống như hình bên dưới:
Lưu ý: địa chỉ IP trên ACL là địa chỉ IP của Cisco ISE
Tiếp theo ta sẽ tạo SSID trên WLC: Chọn WLAN → tại mục Create new chọn Go
Điền thông tin Profilename và SSID (2 thông tin này không nhất thiết phải giống nhau) → Chọn Apply để lưu lại cấu hình
Tại tab General → Enable Status SSID để cho phép SSID này hoạt động
Qua tab Security, tại mục layer 2 chọn None và check Mac Filtering:
Tại mục layer 3 chọn None, qua mục AAA server chọn đến địa chỉ Authentication Server mà chúng ta đã cấu hình lúc nãy
Qua tab Advanced → Check Allow AAA overide, tìm đến mục NAC → chọn ISE NAC → Apply để lưu cấu hình
Tiếp tục cấu hình để AP có thể Redirect user khi kết nối đến SSID thì chúng ta cần cấu hình như sau: qua tab Wireless → chọn AP đang kết nối → qua tab Flexconnect →Click vào External WebAuthentication ACLs
Tại mục Policy → click Add ACL mà chúng ta đã tạo lúc nãy → chọn Apply để lưu lại cấu hình
Bây giờ chúng ta sẽ tiến hành cấu hình Portal trên Cisco ISE để Guest xác thực khi kết nối vào SSID là Guest HotSpot, chúng ta có thể sử dụng Portal default trên Cisco ISE hoặc ta có thể tạo mới 1 Portal khác trên Cisco ISE (ở đây mình sẽ sử dụng Portal default trên Cisco ISE)
Đầu tiên đăng nhập vào Cisco ISE và Add thiết bị WLC vào Cisco ISE → chọn Administration → Chọn Network devices, sau khi cửa sổ hiện ra chọn ADD để tiến hành Add WLC vào Cisco ISE bao gồm Tên WLC (1), địa chỉ IP của WLC (2), sau đó click vào Radius Authentication Setting → điền thông tin Shared Secret vào (lưu ý Shared Secret phải giống với WLC) → chọn Submit để lưu cấu hình
Tiếp theo, ta sẽ tạo Result cho việc Authentication trên Cisco ISE, ta làm như sau: Chọn Policy → Result → chọn Authentication Profiles → Add
Một cửa sổ mới hiện ra ta điền các thông tin cho Authentication như bên dưới, đầu tiên là Tên của profile này và Action Types là Access_Accept, tại mục Common Tasks → tìm đến Web Redirction (CWA, MDM, NSP, CPP) → chọn Centralized Web Auth → tại ô ACL ta điền tên ACL mà chúng ta đã tạo ở WLC vào → tại mục Value chọn Self-Registered Guest Portal (default), tại mục này ta điền thông tin địa chỉ IP của Cisco ISE vào mục Static IP/ Host name/FQDN, sau đó chọn Submit để lưu cấu hình
Tiếp theo ta sẽ tạo Policy cho việc truy cập vào SSID Guest HotSpot như sau: Chọn Policy → Policy Set → chọn biểu tượng Setting và click vào Insert new row above.
Ta có thể sửa tên cho Policy vừa tạo, ở đây mình đặt là Test-Self-Register-> Tại mục Condition chọn kiểu xác thực là Wireles_MAB, tại mục Allowed Protocol/ Server Sequence chọn Defaul Network Access -> chọn Save để lưu cấu hình sau đó chọn biểu tượng mũi tên > để tiếp tục cấu hình cho Policy này
Tại mục Authentication Policy, tại mục USE chọn Internal Endpoint, tại mục option -> If User not found chọn Continue
Tiếp tục kéo xuống mục Authorization Policy, Click vào biểu tượng Setting -> Chọn Insert new row above để tạo ra cách thức xác thực cho SSID Self-Register
Cấu hình như hình bên dưới, sau khi tạo xong các Row chọn Save để lưu lại cấu hình
Ta có thể cấu hình cho Portal Self-Register này tự động Ridirect đến Website của doanh nghiệp của mình như sau: vào mục Work Centers -> Guest Access -> Portals & Components
Tại mục Guest Portal -> Click vào Self-Register Guest Portal (default) để cấu hình cho Portal này
Đầu tiên ta phải chắc chắn rằng Guest có thể đăng nhập thành công vào mạng sau khi tự đăng ký tài khoản, đảm bảo đã check vào Allow guest to log in directly from the Self-Registration Success page
Tìm đến mục Authentication Success Settings và làm như hình bên dưới để Redirect tới một Website nào đó -> chọn Save để lưu lại cấu hình Portal này
Kiểm tra SSID như sau, mở card mạng Wireless → chọn SSID cần kết nối là Self-Register → Connect để kết nối
Sau khi connect vào SSID này, Web browser sẽ truy cập đến Cisco để mở trang Portal trên Cisco ISE, người dùng ctrang Or register for guest access để có thể đăng kí tài khoản truy cập SSID này
Tiếp theo người dùng sẽ tự điền tất cả các thông tin yêu cầu nhập bên dưới vào và chọn Register để sử dụng SSID này
Sau khi Click Register, Portal sẽ thông báo rằng user đã đăng kí thành công, click Sign On để sử dụng SSID này
Click Accept
Click Continue
Web browser sẽ redirect đến Website mà chúng ta đã cấu hình lúc nãy
Tuy nhiên với bài lab này ta sẽ cấu hình một cách thủ công (không dùng wizard), việc cấu hình thủ công giúp ta có thể tùy chỉnh được nhiều hơn, bật hoặc tắt những tính năng không mong muốn.
Trước khi cấu hình, ta cũng cần đảm bảo AP đã join được vào WLC
Ta cấu hình khai báo Radius Server (Cisco ISE) với WLC như sau: vào mục Security → AAA → Radius → Authentication → New
Ta khai báo các tham số của Authentication bao gồm các thông tin sau như sau:
- Địa chỉ IP của Radius Server
- Shared Secret: lưu ý thông tin Shared secret phải giống nhau giữa WLC và Radius Server, điền lại thông tin shared secret 1 lần nữa tại mục Confirm
- Enable Support CoA
- Enable Network User
Tại mục Security này, ta phải tạo ra 1 ACL để có thể Redirect traffic xác thực của Guest đến được Cisco ISE, ta tạo như sau: Tại tab Security → Access Control List → Chọn FlexConnect ACLs → Chọn New:
Ta đặt tên cho ACL này và chọn Apply để lưu lại:
Sau khi Apply, ta sẽ có 1 ACL được tạo ra như bên dưới:
Tuy nhiên ACL này vẫn chưa có bất kì hành động nào, ta sẽ tiếp hành tạo hành động cho ACL này bằng cách click vào ACL vừa tạo và tiến hành tạo rule cho ACL này như sau: click vào Add New Rule và tạo hành động giống như hình bên dưới:
Lưu ý: địa chỉ IP trên ACL là địa chỉ IP của Cisco ISE
Tiếp theo ta sẽ tạo SSID trên WLC: Chọn WLAN → tại mục Create new chọn Go
Điền thông tin Profilename và SSID (2 thông tin này không nhất thiết phải giống nhau) → Chọn Apply để lưu lại cấu hình
Tại tab General → Enable Status SSID để cho phép SSID này hoạt động
Qua tab Security, tại mục layer 2 chọn None và check Mac Filtering:
Tại mục layer 3 chọn None, qua mục AAA server chọn đến địa chỉ Authentication Server mà chúng ta đã cấu hình lúc nãy
Qua tab Advanced → Check Allow AAA overide, tìm đến mục NAC → chọn ISE NAC → Apply để lưu cấu hình
Tiếp tục cấu hình để AP có thể Redirect user khi kết nối đến SSID thì chúng ta cần cấu hình như sau: qua tab Wireless → chọn AP đang kết nối → qua tab Flexconnect →Click vào External WebAuthentication ACLs
Tại mục Policy → click Add ACL mà chúng ta đã tạo lúc nãy → chọn Apply để lưu lại cấu hình
Bây giờ chúng ta sẽ tiến hành cấu hình Portal trên Cisco ISE để Guest xác thực khi kết nối vào SSID là Guest HotSpot, chúng ta có thể sử dụng Portal default trên Cisco ISE hoặc ta có thể tạo mới 1 Portal khác trên Cisco ISE (ở đây mình sẽ sử dụng Portal default trên Cisco ISE)
Đầu tiên đăng nhập vào Cisco ISE và Add thiết bị WLC vào Cisco ISE → chọn Administration → Chọn Network devices, sau khi cửa sổ hiện ra chọn ADD để tiến hành Add WLC vào Cisco ISE bao gồm Tên WLC (1), địa chỉ IP của WLC (2), sau đó click vào Radius Authentication Setting → điền thông tin Shared Secret vào (lưu ý Shared Secret phải giống với WLC) → chọn Submit để lưu cấu hình
Tiếp theo, ta sẽ tạo Result cho việc Authentication trên Cisco ISE, ta làm như sau: Chọn Policy → Result → chọn Authentication Profiles → Add
Một cửa sổ mới hiện ra ta điền các thông tin cho Authentication như bên dưới, đầu tiên là Tên của profile này và Action Types là Access_Accept, tại mục Common Tasks → tìm đến Web Redirction (CWA, MDM, NSP, CPP) → chọn Centralized Web Auth → tại ô ACL ta điền tên ACL mà chúng ta đã tạo ở WLC vào → tại mục Value chọn Self-Registered Guest Portal (default), tại mục này ta điền thông tin địa chỉ IP của Cisco ISE vào mục Static IP/ Host name/FQDN, sau đó chọn Submit để lưu cấu hình
Tiếp theo ta sẽ tạo Policy cho việc truy cập vào SSID Guest HotSpot như sau: Chọn Policy → Policy Set → chọn biểu tượng Setting và click vào Insert new row above.
Ta có thể sửa tên cho Policy vừa tạo, ở đây mình đặt là Test-Self-Register-> Tại mục Condition chọn kiểu xác thực là Wireles_MAB, tại mục Allowed Protocol/ Server Sequence chọn Defaul Network Access -> chọn Save để lưu cấu hình sau đó chọn biểu tượng mũi tên > để tiếp tục cấu hình cho Policy này
Tại mục Authentication Policy, tại mục USE chọn Internal Endpoint, tại mục option -> If User not found chọn Continue
Tiếp tục kéo xuống mục Authorization Policy, Click vào biểu tượng Setting -> Chọn Insert new row above để tạo ra cách thức xác thực cho SSID Self-Register
Cấu hình như hình bên dưới, sau khi tạo xong các Row chọn Save để lưu lại cấu hình
Ta có thể cấu hình cho Portal Self-Register này tự động Ridirect đến Website của doanh nghiệp của mình như sau: vào mục Work Centers -> Guest Access -> Portals & Components
Tại mục Guest Portal -> Click vào Self-Register Guest Portal (default) để cấu hình cho Portal này
Đầu tiên ta phải chắc chắn rằng Guest có thể đăng nhập thành công vào mạng sau khi tự đăng ký tài khoản, đảm bảo đã check vào Allow guest to log in directly from the Self-Registration Success page
Tìm đến mục Authentication Success Settings và làm như hình bên dưới để Redirect tới một Website nào đó -> chọn Save để lưu lại cấu hình Portal này
Kiểm tra SSID như sau, mở card mạng Wireless → chọn SSID cần kết nối là Self-Register → Connect để kết nối
Sau khi connect vào SSID này, Web browser sẽ truy cập đến Cisco để mở trang Portal trên Cisco ISE, người dùng ctrang Or register for guest access để có thể đăng kí tài khoản truy cập SSID này
Tiếp theo người dùng sẽ tự điền tất cả các thông tin yêu cầu nhập bên dưới vào và chọn Register để sử dụng SSID này
Sau khi Click Register, Portal sẽ thông báo rằng user đã đăng kí thành công, click Sign On để sử dụng SSID này
Click Accept
Click Continue
Web browser sẽ redirect đến Website mà chúng ta đã cấu hình lúc nãy