GUÍA DE CONFIGURACIÓN

El objetivo del siguiente manual es una descripción de la configuración necesaria en el equipamiento Cisco Mobility Express, para la integración con Octopus Platform

1- Requerimientos previos

Pulsar la visualización modo experto en la parte superior derecha: "Switch to Expert View", de esta manera podremos ver todas las opciones de configuración necesarias para seguir este manual.
Si en la instalación existe un firewall que bloquee el tráfico se deberá permitir el acceso libre a ciertos dominios e IPs para habilitar la autenticación de los usuarios.
- Servidores Radius:
  - Primario: <IP_Radius_1> puertos 1812 y 1813 UDP
  - Secundario: <IP_Radius_2> puertos 1812 y 1813 UDP
- Servidor Splash Portal:
  - Dominio <dominio_captive_portal> puertos 80 y 443 TCP
Para el funcionamiento de la configuración de los módulos Guest y Enterprise, previamente será necesario contratar las licencias de la plataforma Octopus con los respectivos módulos.

2- Configuración módulo Guest

2.1 Radius Servers

El siguiente paso es configurar los parámetros del Servidor Radius al que se enviarán las peticiones de autenticación de los usuarios. Para ello acceder a Management > Admin Accounts > RADIUS y seleccionar las siguientes opciones:

Authentication Call Station ID Type: AP MAC Address:SSID
Authentication MAC Delimiter: Hyphen
Accounting Call Station ID Type: AP MAC Address:SSID
Accounting MAC Delimiter: Hyphen

Posteriormente se crearán los dos Radius de autenticación. Para ello, pulsar el botón "Add Radius Authentication Server" para cada uno de los dos, e introducir los siguientes valores:

Radius 1

State: Enabled
CoA: Deshabilitado.
Server IP Address: <IP_Radius_1>
Shared Secret: <Secret>
Confirm Shared Secret: <Secret>
Port Number: 1812
Server Timeout: 3

Radius 2

State: Enabled
CoA: Deshabilitado.
Server IP Address: <IP_Radius_2>
Shared Secret: <Secret>
Confirm Shared Secret: <Secret>
Port Number: 1812
Server Timeout: 3

A continuación, introducir los servidores Radius de Accounting, pulsando el botón "Add Radius Accounting Server":

Radius 1

State: Enabled
Server IP Address: <IP_Radius_1>
Shared Secret: <Secret>
Confirm Shared Secret: <Secret>
Port Number: 1813
Server Timeout: 3

Radius 2

State: Enabled
Server IP Address: <IP_Radius_2>
Shared Secret: <Secret>
Confirm Shared Secret: <Secret>
Port Number: 1813
Server Timeout: 3

Activación Interium-Update

Para la adecuada monitorización del servicio, se debe activar los paquetes Accounting Interium-Update. Es posible activarlo por CLI con el siguiente comando:

config wlan radius_server acct interim-update 600 <Wlan_id>

2.2 Configuración WLAN

El siguiente paso es crear una nueva WLAN o modificar una ya existente. Para ello acceder a Wireless Settings > WLANs y crear o modificar una WLAN con los siguientes parámetros.

General

Profile Name: Nombre que queremos dar al perfil WLAN Guest
SSID: nombre de red o SSID Guest que radiará.
Admin State: Enabled
Radio Policy: All
Broadcast SSID: Activado

WLAN Security

Guest Network: Activado
Captive Network Assitant: Deshabilitado.
Captive Portal: External Splash page
Captive Portal URL (revisar apartado 2.3 para que la redirección de la url sea http o https)
- Opción http: http://<dominio_captive_portal>/login/hotspot/cisco
- Opción https: https://<dominio_captive_portal>/login/hotspot/cisco
Access Type: Radius
Radius Server: En pestaña Radius Server, pulsar el botón "Add Radius Authentication Server" y añadir los radius creados con la opción seleccionada Add to Pre Auth ACLs. La misma operación pulsando la opción "Add Radius Accounting Server" y añadir los radius creados.
Preath ACL: Pulsar el botón "Add URL Rules" e introducir los dominios necesarios para proporcionar el servicio, con la opción activada "Permit". A continuación se muestra un desplegable con las necesarias y las opcionales:

Si se desean añadir dominios extra (Redes Sociales, Paypal, etc...) pueden consultarse desde el siguiente enlace.

Ejemplo:

Advanced

Activar opción: Allow AAA Override

Existen dos opciones de configuración para la validación del portal cautivo: Una a través de conectividad http, donde el tráfico no iría cifrado y otra a través de https.

Opción HTTP

Para ello será necesario ejecutar los siguientes comandos:

config network web-auth https-redirect disable
config network web-auth secureweb disable
save config 
reset system

En la sección de configuración de WLAN, se indicará la URL de redirección. Si se modifican estas opciones, los cambios solo tomarán efecto una vez reiniciado el controlador.

Opción HTTPS

Si se elige configurar este opción de validación segura es muy importante saber que es necesario una resolución DNS entre el subdominio asociado al certificado y la IP virtual del controlador, de lo contrario las validaciones no se redirigirán al AP WLC y se producirán errores de autenticación. Esta entrada DNS se deberá configurar en los servidores DNS entregados por DHCP a los clientes.

Para averiguar la interfaz virtual puede realizarse con el comando: show interface summary

Lo primero, será cargar un nuevo certificado en el controlador asociado al subdomino para realizar el login. Se ofrecen certificados, para lo cual será necesario configurar e iniciar una transferencia FTP con los siguientes comandos:

transfer download mode ftp
transfer download datatype webauthcert
transfer download serverip <XX.XX.XX.XX>
transfer download path <PATH>
transfer download filename ciscosecurelogin.pem
transfer download username <username>
transfer download password <password>
transfer download port <port>
transfer download certpassword <certpassword>
transfer download start

A continuación se deberán introducir por CLI los siguientes comandos

2.4 Otras configuraciones

Para permitir a clientes VPN autenticación completa sin necesidad de web-auth security, y evitar cortes de conexión ejecutar los siguientes comandos:

Deshabilitar logout pop-up recién logado. Si el navegador no tiene habilitado el bloqueador de ventanas emergentes puede dar problemas en los procesos de logout y login. Para deshabilitarlo ejecutar el siguiente comando:

Para conexiones simultáneas de varios dispositivos con el mismo username, se deberá de configurar el parámetro "Max Concurrent Logins for a user name" a 0 para que no exista ningún límite. Para ello introducir el comando

2.5 Listado MACs Autorizadas

Para que la validación de los usuarios funcione correctamente es necesario identificar los NAS que podrán realizar peticiones de autenticación al Servidor Radius. En este caso se deben añadir todas las direcciones MAC del interfaz WiFi de los Access Point que radiarán el SSID configurado.

Para ello introducir el comando por CLI:

3- Configuración módulo Enterprise

Para poder integrar las configuraciones de este módulo con la plataforma, es necesario contratar el Módulo Enterprise de Octopus Platform.

3.1 MAC Caching

Para activar la funcionalidad de MAC Caching o MAC Authentication, es necesario editar la WLAN creada y habilitar esta opción.

3.2 Configuración funcionalidades “Access Profiles” Octopus Platform

A través de la plataforma Octopus es posible configurar una serie de atributos reply de los paquetes Access-Accept, agrupados en los llamados Access Profile. Estos Access Profile, permite activar una serie de funcionalidades en Cisco. Aunque están disponibles los dictionarys radius más comunes y propietarios de Cisco, a continuación se lista algunos considerados como más interesantes:

Atributo	Descripción	Formato

Atributo	Descripción	Formato
Airespace-Data-Bandwidth-Average-Contract Airespace-Real-Time-Bandwidth-Average-Contract Airespace-Data-Bandwidth-Burst-Contract Airespace-Real-Time-Bandwidth-Burst-Contract	Definen límites de velocidad para una determinada sesión, tanto de subida como bajada. Es necesario configurar los cuatro.	Kilobyte
Airespace-Guest-Role-Name	Asignación de un QoS Rol Name, previamente creado en Cisco
Airespace-ACL-Name	Asignación de una Access Control List previamente creado en Cisco
cisco-av-pair	string con muchas posibilidades
Reply-Message	Útil para funciones de troubleshooting, ya que permite identificar elementos asociados de la plataforma Octopus, como un access profile, método de acceso , localización, …

Asignación QoS Role Name: Aunque se puede enviar los parámetros de configuración directamente desde el servidor radius, también es posible asignar un QoS Role, que podrá ser asociado desde la plataforma con el atriburo radius Airespace-Guest-Role-Name.

Ejemplo de configuración de un Access Profile con los atributos anteriormente explicados:

3.3 Configuración Identity PSK

Algunos dispositivos que se conectan a nuestras redes, especialmente dispositivos IoT, no tienen la capacidad de realizar conexiones a través de validaciones seguras como 802.1X y por ello se conectan a través de validaciones WPA-PSK. Este tipo de validación tiene inconvenientes de seguridad ya que la clave es única y cualquier dispositivo puede conectase. La funcionalidad Identity PSK de Cisco, permite un doble factor de autenticación a través de filtrado MAC y claves PSK, que pueden ser asignadas por dispositivo o grupos de dispositivo, permitiendo seguridad y control a gran escala. Para configurar la identificación por PSK:

Configuración Cisco

Acceder al apartado Wireless Settings > WLANs, añadir o editar una WLAN y configurar en la pestaña WLAN Security:

MAC Filtering: Enable
Security type: WPA2 Personal
Add RADIUS Authentication Server
- Server: Configurado en punto 2.1 del manual.

Pestaña Advanced

Allow AAA Override: Enable

Pulsar en Apply para guardar la configuración

WPA2 Personal es un método de seguridad que utiliza la autenticación PSK. Después de una autenticación MAC exitosa, el servidor RADIUS devuelve los siguientes atributos Cisco AVPair:

psk-mode - El valor puede ser ASCII, HEX, asciiEnc, or hexEnc.
psk

Configuración plataforma Octopus > Access Profile

Atributos radius a configurar:

cisco-av-pair = “psk-mode=ascii”
cisco-av-pair += “psk=password”

Posible combinar con local policy con el atributo

cisco-av-pair += “role=policyCiscoMobilityExpress”