Ejemplo de configuración para restringir el acceso a WLAN en función del SSID con WLC y Cisco Secure ACS Contenido Introducción Requisitos previos Requerimientos Componentes utilizados Convenciones Antecedentes Configuración de la red Configuración Configuración de WLC Configuración de Cisco Secure ACS Configuración del cliente inalámbrico y verificación Resolución de problemas Comandos para resolución de problemas Introducción Este documento proporciona un ejemplo de configuración para restringir el acceso por usuario a una WLAN en función del identificador de conjunto de servicios (SSID). Requisitos previos Requerimientos Asegúrese de que cumple estos requerimientos antes de intentar esta configuración: Tener conocimiento de cómo configurar el controlador para redes LAN inalámbricas (WLC) y el punto de acceso ligero (LAP) para el funcionamiento básico Tener conocimiento básico sobre cómo configurar Cisco Secure Access Control Server (ACS) Tener conocimiento del protocolo de punto de acceso ligero (LWAPP) y de los métodos de seguridad inalámbricos Componentes utilizados La información que contiene este documento se basa en las siguientes versiones de software y hardware: WLC de la serie 2000 de Cisco que ejecuta el firmware 4.0 LAP de la serie 1000 de Cisco Servidor Cisco Secure ACS versión 3.2 Adaptador de cliente inalámbrico 802.11a/b/g de Cisco que ejecuta firmware 2.6 Cisco Aironet Desktop Utility (ADU) versión 2.6 La información que contiene este documento se creó a partir de los dispositivos en un entorno de laboratorio específico. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuración sin definir (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando. Convenciones Consulte Convenciones sobre consejos técnicos de Cisco para obtener más información sobre las convenciones del documento. Antecedentes Con el uso del acceso a WLAN en función del SSID, es posible autenticar a los usuarios según el SSID que utilicen para conectar con la WLAN. El servidor Cisco Secure ACS se utiliza para autenticar usuarios. La autenticación se produce en dos etapas en Cisco Secure ACS: 1. Autenticación EAP 2. Autenticación de SSID según las restricciones de acceso a la red (NAR) en Cisco Secure ACS Si la autenticación según EAP y SSID son correctas, el usuario puede acceder a la WLAN, en caso contrario, se anula la asociación del usuario. Cisco Secure ACS utiliza la característica NAR para restringir el acceso del usuario en función del SSID. NAR es una definición, que se realiza en Cisco Secure ACS, de condiciones adicionales que se deben cumplir para que un usuario pueda acceder a la red. Cisco Secure ACS aplica estas condiciones con la información de los atributos que se envía desde los clientes AAA. Aunque hay varias maneras de configurar NAR, todas consisten en establecer coincidencias con la información de atributos enviada por el cliente AAA. Por lo tanto, debe comprender el formato y el contenido de los atributos que envían los clientes AAA si desea utilizar correctamente definiciones NAR. Cuando se configura una definición NAR, se puede elegir que el filtro funcione positiva o negativamente. Es decir, en la definición NAR se especifica si se permite o deniega el acceso a la red, en función de una comparación entre la información enviada desde los clientes AAA y la información almacenada en NAR. Sin embargo, si una NAR no encuentra información suficiente para funcionar, se establece predeterminadamente la denegación de acceso. Puede definir y aplicar una definición NAR para un usuario o un grupo de usuarios específico. Consulte Informe oficial de las restricciones de acceso a red (en inglés) para obtener más información. Cisco Secure ACS admite dos tipos de filtros NAR: 1. Filtros basados en IP: los filtros de NAR basados en IP limitan el acceso en función de las direcciones IP del cliente usuario final y del cliente AAA. Consulte Acerca de los filtros NAR basados en IP (en inglés) para obtener más información sobre este tipo de filtro NAR. 2. Filtros no basados en IP: los filtros que no están basados en IP limitan el acceso en función de una comparación de cadena simple de un valor enviado desde el cliente AAA. El valor puede ser el número de ID de la línea que llama (CLI), el número del servicio de identificación de número marcado (DNIS), la dirección MAC, o bien otro valor que se origine del cliente. Para que este tipo de NAR funcione, el valor de la descripción de NAR debe coincidir exactamente con el que se envía desde el cliente, independientemente del formato que se utilice. Por ejemplo: (217) 555-4534 no coincide con 217-555-4534. Consulte Acerca de los filtros NAR no basados en IP (en inglés) para obtener más información sobre este tipo de filtro NAR. En este documento se utilizan los filtros no basados en IP para realizar la autenticación basada en SSID. Un filtro NAR no basado en IP (es decir, un filtro NAR basado en DNIS/CLI) es una lista de llamadas/punto de ubicaciones de acceso permitidos o denegados, que se pueden utilizar en la restricción de un cliente AAA cuando no se tiene establecida una conexión basada en IP. La función de NAR no basada en IP generalmente utiliza el número de CLI y el de DNIS. Existen excepciones en el uso de los campos de DNIS/CLI. Puede introducir el nombre de SSID en el campo DNIS y realizar una autenticación en función del SSID. Esto se produce porque WLC envía al servidor RADIUS el nombre de SSID en el atributo DNIS. De esta manera, al generar NAR DNIS en el usuario o grupo, puede crear restricciones de SSID por usuario. Si utiliza RADIUS, los campos de NAR que se muestran a continuación utilizan estos valores: AAA client (Cliente AAA): dirección IP de NAS (atributo 4) o, si ésta no existe, se utiliza el identificador de NAS (RADIUS atributo 32). Port (Puerto): puerto de NAS (atributo 5) o, si éste no existe, se utiliza la ID del puerto de NAS (atributo 87). CLI: se utiliza la ID de la estación que llama (atributo 31). DNIS: se utiliza la ID de la estación que llama (atributo 30). Consulte Restricciones de acceso a red (en inglés) para obtener más información sobre el uso de NAR. Como WLC envía el nombre de SSID en el atributo DNIS, se pueden crear restricciones de SSID por usuario. En este caso, los campos de NAR tienen estos valores: AAA client (Cliente AAA): dirección IP de WLC Port (puerto): * CLI: * DNIS: *nombre de ssid El resto de este documento proporciona un ejemplo de configuración con el procedimiento correspondiente. Configuración de la red En esta configuración de ejemplo, WLC se registra al LAP. Se utilizan dos WLAN. Una WLAN para los usuarios del departamento de administración (Admin) y otra WLAN para los usuarios del departamento de ventas (Sales). El cliente A1 inalámbrico (usuario de Admin) y S1 (usuario de Sales) se conectan a la red inalámbrica. Es necesario configurar el WLC y el servidor RADIUS para que el usuario A1 de Admin pueda acceder solamente a la WLAN Admin y tenga acceso restringido a la WLAN Sales, mientras que el usuario S1 de Ventas pueda acceder a la WLAN Sales y tenga acceso restringido a la WLAN Admin. Todos los usuarios utilizan la autentificación LEPA como método de autentificación de capa 2. Nota: En este documento se asume que WLC está registrado en el controlador. Si no está familiarizado con WLC y no sabe cómo configurar su funcionamiento básico, consulte Registro de AP ligero (LAP) en un controlador para redes LAN inalámbricas (WLC) (en inglés). Configuración Para establecer los dispositivos para esta configuración, es necesario llevar a cabo los siguientes pasos: 1. Configurar el WLC para las dos WLAN y el servidor RADIUS. 2. Configurar Cisco Secure ACS. 3. Configurar el cliente inalámbrico y verificarlo. Configuración de WLC Siga los pasos a continuación para configurar el WLC para esta configuración: 1. WLC se debe configurar para reenviar las credenciales de usuario a servidor RADIUS externo. A continuación, el servidor RADIUS externo (Cisco Secure ACS en este caso) valida las credenciales del usuario y permite el acceso a los clientes inalámbricos. Complete estos pasos: a. Seleccione Security > RADIUS Authentication (Seguridad > Autenticación de RADIUS) en la interfaz gráfica de usuario del controlador para mostrar la página del servidor de autenticación RADIUS. b. Haga clic en New (Nuevo) para definir los parámetros del servidor RADIUS. Entre estos parámetros se incluyen la dirección IP del servidor RADIUS, la contraseña, el número de puerto y el estado del servidor. Las casillas de verificación Network User (Usuario de red) y Management (Administración) determinan si la autenticación basada en RADIUS se aplica a usuarios de red y de la administración. En este ejemplo se utiliza Cisco Secure ACS como servidor RADIUS con la dirección IP 172.16.1.60. c. Haga clic en Apply (Aplicar). 2. Configure una WLAN para el departamento de administración con el SSID Admin y la otra WLAN para el departamento de ventas con el SSID Sales. Para ello, complete los siguientes pasos: a. Haga clic en WLANs en la interfaz gráfica de usuario del controlador para crear una WLAN. Aparece la ventana de WLAN. Esta ventana enumera las WLAN configuradas en el controlador. b. Haga clic en New (Nueva) para configurar una WLAN nueva. En este ejemplo se crea una WLAN denominada Admin para el departamento de administración y el valor del campo WLAN ID (ID de la WLAN) es 1. Haga clic en Apply (Aplicar). c. En la ventana WLANs > Edit (WLANs > Editar), defina los parámetros específicos de la WLAN: a. En los menús desplegables de Layer 2 Security (Seguridad de capa 2), seleccione 802.1x. De forma predeterminada, la opción de Layer 2 Security (Seguridad de capa 2) es 802.1x. De esta forma se activa la autenticación 802.1x para la WLAN. b. En General Policies (Políticas generales), active la casilla Allow AAA override (Permitir anulación de AAA). Cuando la casilla Allow AAA Override (Permitir anulación de AAA) está activada y un cliente tiene parámetros de autenticación del controlador para redes WLAN y de AAA incompatibles, la autenticación del cliente se realiza mediante el servidor AAA. c. Seleccione el servidor RADIUS apropiado del menú desplegable que aparece en RADIUS Servers (Servidores RADIUS). El resto de parámetros se pueden modificar en función de los requerimientos de la red WLAN. Haga clic en Apply (Aplicar). d. De igual manera, para crear una WLAN para el departamento de ventas, repita los pasos b y c. A continuación, se muestran las capturas de pantallas. Configuración de Cisco Secure ACS En el servidor Cisco Secure ACS, debe: 1. Configurar el WLC como un cliente AAA. 2. Crear la base de datos del usuario y definir NAR para la autenticación basada en SSID. 3. Activar la autenticación EAP. Siga estos pasos en Cisco Secure ACS: 1. Para definir el controlador como un cliente AAA en el servidor ACS, haga clic en Network Configuration (Configuración de red) desde la interfaz gráfica de usuario de ACS. En AAA Clients (Clientes AAA), haga clic en Add Entry (Agregar entrada). 2. Cuando aparezca la página Network Configuration (Configuración de red), defina el nombre del WLC, la dirección IP, la contraseña y el método de autenticación (RADIUS Cisco Airespace). 3. Haga clic en User Setup (Configuración de usuario) desde la interfaz gráfica de usuario de ACS, introduzca el nombre de usuario y haga clic en Add/Edit (Agregar/editar). En este ejemplo el usuario es A1. 4. Cuando aparezca la página User Setup (Configuración de usuario), defina todos los parámetros específicos del usuario. En este ejemplo, el nombre de usuario, la contraseña y la información del usuario complementaria se configuran porque estos parámetros son necesarios para la autenticación LEAP. 5. Desplácese hacia abajo en la página User Setup (Configuración de usuario), hasta que vea la sección Network Access Restrictions (Restricciones de acceso a la red). En la interfaz del usuario de la restricción de acceso DNIS/CLI, seleccione Permitted Calling/Point of Access Locations (Llamadas/punto de ubicaciones de acceso) y defina los siguientes parámetros: AAA client (Cliente AAA): dirección IP de WLC (172.16.1.30, en el ejemplo) Port (puerto): * CLI: * DNIS: *nombre de ssid 6. El atributo DNIS define el SSID con el que el usuario puede acceder. El WLC envía el SSID en el atributo DNIS al servidor RADIUS. Si el usuario sólo tiene que acceder a la WLAN denominada Admin, introduzca *Admin para el campo DNIS. Esto garantiza que el usuario sólo tenga acceso a la WLAN denominada Admin. Haga clic en Enter (Introducir). Nota: El SSID debe estar siempre precedido por *. Es obligatorio. 7. Haga clic en Submit (Enviar). 8. De igual manera, cree un usuario para el usuario del departamento de ventas. A continuación, se muestran las capturas de pantallas. 9. Repita el mismo proceso para agregar más usuarios a la base de datos. Nota: De forma predeterminada, todos los usuarios se incluyen en el grupo predeterminado. Si desea asignar usuarios específicos a diferentes grupos, consulte la sección User Group Management (Administración de grupos de usuarios) en User Guide for Cisco Secure ACS for Windows Server 3.2 (Guía del usuario de Cisco Secure ACS para Windows Server). Nota: Si no ve la sección Network Access Restrictions (Restricciones de acceso a la red) en la ventana User Setup (Configuración de usuario), puede deberse a que no esté activada. Para activar la sección Network Access Restrictions (Restricciones de acceso a la red) para los usuarios, seleccione Interfaces > Advanced Options (Interfaces > Opciones avanzadas) de la interfaz gráfica de usuario de ACS, User-Level Network Access Restrictions (Restricciones de acceso a red para usuarios) y haga clic en Submit (Enviar). Así se activa NAR y aparece la ventana User Setup (Configuración de usuario). 10. Para activar la autenticación EAP, haga clic en System Configuration (Configuración del sistema) y en Global Authentication Setup (Configuración de autenticación global) para asegurarse de que el servidor esté configurado para realizar el método de autenticación EAP. En los parámetros de configuración de EAP, seleccione el método EAP apropiado. En este ejemplo, se utiliza la autenticación EAP. Haga clic en Submit (Enviar) cuando haya terminado. Configuración del cliente inalámbrico y verificación Utilice esta sección para confirmar que la configuración funciona correctamente. Intente asociar un cliente inalámbrico a LAP con la autenticación LEAP, para verificar que la configuración funciona según lo esperado. Nota: En este documento se considera que el perfil del cliente está configurado para la autenticación LEAP. Consulte Uso de autenticación EAP (en inglés) para obtener más información sobre cómo configurar el adaptador de cliente inalámbrico 802.11 a/b/g para la autenticación LEAP. Nota: En la ADU puede ver que ha configurado dos perfiles de clientes. Uno para los usuarios del departamento de administración, con SSID Admin, y otro para los usuarios del departamento de ventas, con SSID Sales. Los dos perfiles están configurados para la autenticación LEAP. Cuando se activa el perfil para el usuario inalámbrico del departamento de administración, se pide al usuario que proporcione el nombre de usuario y la contraseña para la autenticación LEAP. Aquí tiene un ejemplo: LAP y, a continuación, WLC transmiten las credenciales del usuario al servidor externo RADIUS (Cisco Secure ACS) para validar las credenciales. WLC transmite las credenciales, entre las que se incluye el atributo DNIS (nombre de SSID) para que el servidor RADIUS lo valide. El servidor RADIUS verifica las credenciales del usuario, comparando los datos con los de la base de datos de usuarios (y con las NAR), y permite el acceso al cliente inalámbrico siempre que las credenciales del usuario sean válidas. A partir de la autenticación correcta de RADIUS, el cliente inalámbrico se asocia a LAP. De la misma manera, cuando un usuario del departamento de ventas activa el perfil Sales, el servidor RADIUS autentica al usuario en función del nombre de usuario y la contraseña de LEAP y del SSID. El informe Passed Authentications (Autenticaciones aprobadas) del servidor ACS muestra que el cliente ha pasado la autenticación de RADIUS (autenticación EAP y SSID). Aquí tiene un ejemplo: Ahora, si el usuario Sales intenta acceder al SSID de Admin, el servidor RADIUS deniega el acceso del usuario a la WLAN. Aquí tiene un ejemplo: De esta manera, se puede restringir el acceso de los usuarios en función del SSID. En un entorno empresarial, se puede agrupar a todos los usuarios de un departamento en un solo grupo y el acceso a la WLAN se puede permitir en función del SSID que utilicen, como se ha explicado anteriormente en el documento. Resolución de problemas Comandos para resolución de problemas La herramienta Output Interpreter (Intérprete de resultados) (OIT) (sólo para clientes registrados) admite determinados comandos show. Utilice la OIT para ver un análisis del resultado del comando show. Nota: Consulte Información importante sobre comandos de depuración (en inglés) antes de utilizar los comandos debug: debug dot1x aaa enable: activa la depuración de las interacciones de 802.1x AAA. debug dot1x packet enable: activa la depuración de todos los paquetes dot1x. debug aaa all enable: configura la depuración de todos los mensajes AAA. También puede utilizar el informe de autenticaciones aprobadas y el informe de autenticaciones fallidas del servidor Cisco Secure ACS para resolver los problemas de configuración. Estos informes se encuentran en la ventana Reports and Activity (Informes y actividad) en la interfaz gráfica de usuario de ACS. © 1992-2014 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 20 Mayo 2008 http://www.cisco.com/cisco/web/support/LA/7/77/77769_wlan-ssid-wlc-acs.html