使用无线局域网控制器的外部Web身份验证配置示例.PDF

使用无线局域网控制器的外部 Web 身份验证配置 示例 目录 简介 先决条件 要求 使用的组件 规则 背景信息 外部 Web 身份验证过程 网络设置 配置 为来宾用户创建动态接口 创建预先身份验证ACL 在 WLC 上为来宾用户创建本地数据库 配置外部 Web 身份验证的 WLC 为来宾用户配置 WLAN 验证 故障排除 重定向到外部 Web 身份验证服务器的客户端收到证书警告 Error:“page cannot be displayed” 相关信息 简介 本文档介绍如何使用外部 Web 服务器设置无线 LAN 控制器 (WLC) 以进行 Web 身份验证。 先决条件 要求 尝试进行此配置之前，请确保满足以下要求： 了解轻量接入点 (LAP) 和 Cisco WLC 配置的基础知识 基础知识轻量级接入点协议(LWAPP)和控制和供应无线接入点(CAPWAP) 有关如何设置和配置外部 Web 服务器的知识 有关如何设置和配置 DHCP 和 DNS 服务器的知识 使用的组件 本文档中的信息基于以下软件和硬件版本： 运行固件版本的思科4400 WLC 思科1131AG系列LAP 运行固件版本3.6的思科802.11a/b/g无线客户端适配器 托管 Web 身份验证登录页面的外部 Web 服务器 用于地址解析和为无线客户端分配 IP 地址的 DNS 和 DHCP 服务器 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 背景信息 Web验证是造成控制器不允许IP数据流的第3层安全功能(除了DHCP和DNS相关的数据包)从特定的 客户端，直到该客户端正确地供应了一个有效用户名和密码。没有需要对于请求方或客户端工具， Web验证是简单验证方法。 Web验证可以执行使用： 在WLC的默认登录窗口 默认登录窗口的修正的版本在WLC的 您在外部 Web 服务器上配置的自定义登录窗口（外部 Web 身份验证） 您下载到控制器的自定义登录窗口 本文提供配置示例以说明如何配置 WLC 使用外部 Web 服务器上的登录脚本。 外部 Web 身份验证过程 使用外部Web验证，用于Web验证的登录页在外部Web服务器存储。下面是无线客户端尝试接入启 用了外部 Web 身份验证的 WLAN 网络时的事件顺序： 1. 客户端(最终用户)连接对WLAN并且打开Web浏览器并且输入URL，例如。 2. 客户端发送DNS请求到DNS服务器为了解决到IP地址。 3. WLC寄请求给，反过来，解决对IP地址并且发送DNS回复的DNS服务器。控 制器寄回复给客户端。 4. 客户端设法通过发送TCP Syn信息包首次TCP连接用 IP地址对 IP地址。 5. WLC有为客户端配置的规则并且能作为的一个代理。它退还TCP SYN-ACK数 据包给有来源的客户端作为的IP地址。客户端发回 TCP ACK 数据包，以完成 三次 TCP 握手，从而完全建立 TCP 连接。 6. 客户端向 发送 HTTP GET 数据包。WLC 拦截此数据包，并发送以进行重定 向处理。HTTP 应用程序网关准备 HTML 主体并将其作为客户端 HTTP GET 请求的应答返回 。此HTML使客户端去WLC的默认网页URL，例如， http:// Virtual-Server-IP/login.html。 7. 客户端然后开始发送它对对重定向URL的HTTPS连接。这是控制器的虚拟IP地址。客 户端必须验证或忽略服务器证书，以建立 SSL 隧道。 8. 由于外部Web验证启用， WLC重定向客户端对外部Web服务器。 9. 外部Web验证登录URL带有参数例如AP_Mac_Address、client_url ()和客户端 需要与控制器Web服务器联系的action_URL。注意： action_URL告诉Web服务器用户名和密 码在控制器存储。凭证一定被退还的到控制器为了得到验证。 10. 外部 Web 服务器 URL 可将用户定向到登录页。 11. 登录页采取用户凭证输入，并且送回请求到action_URL，示例/login.html，