GUÍA DE CONFIGURACIÓN

El objetivo del siguiente manual es una descripción de la configuración necesaria en el equipamiento Cisco Catalyst 9800 con IOS-XE software para la integración con Octopus Platform

1 GUÍA DE CONFIGURACIÓN
- 1.1 1- Requerimientos previos
- 1.2 2- Configuración módulo Guest
  - 1.2.1 2.1 Radius Server
    - 1.2.1.1 Servers Group
    - 1.2.1.2 Method Lists
    - 1.2.1.3 AAA Advanced
  - 1.2.2 2.2 WebAuth
  - 1.2.3 2.3 WLAN
  - 1.2.4 2.4 URL Filter
  - 1.2.5 2.5 Policy
  - 1.2.6 2.6 Tags
  - 1.2.7 2.7 Opción de configuración Flexconnect
  - 1.2.8 2.8 Desplegar configuración en Access Point
  - 1.2.9 2.9 Otras configuraciones
  - 1.2.10 2.10 Listado MACs autorizadas
- 1.3 3- Configuración módulo Enterprise
  - 1.3.1 3.1 Configuración Captive portal + MAC Authentication
  - 1.3.2 3.2 Mac Authentication
  - 1.3.3 3.3 Configuración iPSK
    - 1.3.3.1 Configuración Cisco Catalyst 9800
    - 1.3.3.2 Configuración plataforma Octopus > Access Profile
  - 1.3.4 3.4 Configuración Access Profiles

1- Requerimientos previos

Si en la instalación existe un firewall que bloquee el tráfico se deberá permitir el acceso libre a ciertos dominios e IPs para habilitar la autenticación de los usuarios.
- Servidores Radius:
  - Primario: <IP_Radius_1> puertos 1812 y 1813 UDP
  - Secundario: <IP_Radius_2> puertos 1812 y 1813 UDP
- Servidor Splash Portal:
  - Dominio <dominio_captive_portal> puertos 80 y 443 TCP
Para el funcionamiento de la configuración de los módulos Guest y Enterprise, previamente será necesario contratar las licencias de la plataforma Octopus con los respectivos módulos.

2- Configuración módulo Guest

2.1 Radius Server

Para configurar los servidores radius ir al apartado Configuration > Security > AAA > Servers / Groups > RADIUS > Servers.

Una vez dentro hacer click en el boton Add para añadir los nuevos servidores de autenticación y configurar los siguientes parámetros:

Name: octopus_radius1
IPv4 / IPv6 Server Address: <IP_Radius_1>
Key: <Secret>
Confirm key: <Secret>
Auth Port: 1812
Acct Port: 1813
Server Timeout: 3
Retry Count: 2

Name: octopus_radius2
IPv4 / IPv6 Server Address: <IP_Radius_2>
Key: <Secret>
Confirm key: <Secret>
Auth Port: 1812
Acct Port: 1813
Server Timeout: 3
Retry Count: 2

Servers Group

Crear un grupo donde se añadirán los datos de los radius creados anteriormente. Para ello acceder a AAA > Servers / Groups > Server Groups > Radius y crear uno nuevo:

Group Name: octopus_radiusgroup
Group type: RADIUS
MAC-delimiter: hyphen
MAC-filtering: none
Dead time: 2
Assigned Servers: Seleccionar octopus_radius1 y octopus_radius2 y añadirlos al cuadrante de la derecha.

Method Lists

A continuación, acceder a AAA > AAA Method Lists > Authentication y añadir uno nuevo:

Method List Name: octopus_methodauth
Type: login
Group Type: group
Fallback to local: disabled
Assigned Server Groups: Seleccionar octopus_radiusgroup y añadirlo al cuadrante de la derecha.

En AAA > Method Lists > Accounting, pulsar el botón Add y configurar los siguientes parámetros:

Method List Name: octopus_methodacct
Type: network
Group type: Group
Groups In This Method: Seleccionar el creado octopus_radiusgroup creado anteriormente y añadirlo al cuadrante de la derecha.

AAA Advanced

En el apartado a AAA > AAA Advanced > Global Config pulsar Show Advanced Settings y seleccionar tanto en Accounting como en Authentication:

Call Station ID: ap-macaddress-ssid
Call Station ID Case: lower
MAC-Delimeter: hidden

Por último para activar el accounting, añadir otro Method List mediante los comandos:

#configure terminal

#(config)#aaa accounting identity octopus_methodacct start-stop group octopus_radiusgroup

#(config)#aaa accounting update periodic 10

2.2 WebAuth

Para crear un perfil webauth acceder a Configuration > Security > Web Auth > Webauth Parameter Map, pulsar en Add y configurar:

Parameter-map name: octopus_webauth
Maximum HTTP connection: 100
Init-State Timeout(secs): 300
Type: webauth

Editar la entrada creada y configurar en la Pestaña General:

Banner Type: none
Turn-on Consent with Email: Disabled.
Captive Bypass Portal: Disabled.
Disable Success Window: Enabled
Disable Logout Window: Enabled.

Pestaña Advanced:

Redirect for login: https://<dominio_captive_portal>/login/hotspot/cisco
Redirect Append for AP MAC Address: ap_mac
Redirect Append for Client MAC Address: client_mac
Redirect Append for WLAN SSID: wlan
Portal IPv4 Address: <portal-ipaddress>

Posteriormente editar el Paramener Map global:

Type: webauth
Virtual IPv4 Hostname: <dominio asociado a certificado>
Webauth intercept HTTPs: Enabled

El dominio asociado al certificado tiene que resolver a la IP Virtual del controlador (Configuration > Security > Webauth Parameter Map > Global > Virtual IPv4 Address)

Ir a Configuration > Security > Web Auth > Certificate y añadir un Nuevo certificado con los siguientes datos:

Server IP Address: <ip servidor tftp>
Certificate File Path: <path>
Certificate destination File: <nombre del certificado>.pfx
Certificate Password: <password>

En interfaz CLI, ejecutar comando:

#configure terminal

#(config)#parameter-map type webauth global

#(config-parameter-map)#trustpoint <nombre del certificado>

Reiniciar servidor web para aplicar cambios:

#configure terminal

#(config)#no ip http server

#(config)#ip http server

En caso de que el controlador no entregue el certificado correcto, sería necesario reiniciarlo.

2.3 WLAN

En este punto se configura la WLAN objeto del Wifi Invitados. Dentro de la configuración acceder a Configuration > Tags & Profiles > WLANs. Pulsar Add para añadir un nuevo WLAN profile con los siguientes parámetros:

Profile Name: octopus_wlan
SSID: Nombre de la red WiFi a radiar.
Status: Enabled
Broadcast SSID: Enabled

Security > Layer2:

Layer 2 Security Mode: None

Security > Layer3:

Web Policy: Enabled
Web Auth Parameter Map: octopus_webauth (anteriormente creado)
Authentication List: octopus_methodauth (anteriormente creado)

2.4 URL Filter

Para que el proceso de validación de los usuarios funcione correctamente es necesario permitir el acceso a ciertos dominios, será necesario crear una nueva entrada ACL. Para ello, acceder al apartado Security > URL Filters y añadir una nueva:

Name: octopus_urlfilter
Type: PREAUTH
Action: permit
URLs: añadimos las URL necesarias para la correcta validación de los usuarios. Para ello ver el listado que viene a continuación.

En caso de que el modo de gestión de los APs sea FlexConnect no aplica esta configuración.

2.5 Policy

En este punto se configura la política objeto del Wifi Invitados. Acceder a Configuration > Tags & Profiles > Policy. Pulsar Add para añadir un nuevo Profile WLAN:

Pestaña General:

Nombre: octopus_policy
Status: Enabled
Central Switching: Dependiendo nuestra configuración de red.
Central Authentication: Enabled
Central DHCP: Dependiendo nuestra configuración de red.
Central Association: Dependiendo nuestra configuración de red.

Pestaña Access Policies

VLAN > VLAN/VLAN Group: Dependiendo si se ha seleccionado Central Switching, seleccionar VLAN o directamente escribir el ID.
URL Filters: urlfilter (Creado anteriormente)

Pestaña Advanced

Idle Timeout: 600
Allow AAA Override: Enabled
Accounting List: octopus_methodacct (Creado anteriormente)

2.6 Tags

Una vez realizadas las configuraciones hay que realizar los cambios en los Tags que posteriormente serán aplicados a los Access Points. Para ello acceder a Configuration > Tags & Profiles > Tags > Policy y hacer click en Add.

Name: octopus_tagpolicy
WLAN-Policy: Add
- WLAN Profile: octopus_wlan (Creado anteriormente)
- Policy Profile: octopus_policy (Creado anteriormente)

2.7 Opción de configuración Flexconnect

En caso de que los APs se configuren en modo FlexConnect, acceder a Configuration > Tags & Profiles > Flex y pulsar Add. Dentro de la configuración:

Pestaña General

Nombre: octopus_flex
Native VLAN ID: Añadir el ID de la VLAN nativa aplicada al AP

VLAN

Pulsar ADD y crear la VLAN o VLANs de las redes que radiarán en el Access Point y su ID asociado.

Posteriormente dentro de Configuration > Tags & Profiles > Tags > Site, pulsar Add:

Name: octopus_sitetag
Enable Local Site: Disabled
Flex Profile: octopus_flex (Creado anteriormente)

2.8 Desplegar configuración en Access Point

En el apartado Configuration > Wireless > Access Points en los Access Point que queramos desplegar la configuración, en apartado Tags, configurar:

Policy: octopus_tagpolicy (Creado anteriormente)
Site: octopus_sitetag (Creado anteriormente)

2.9 Otras configuraciones

Por último, realizar unas configuraciones necesarias para el correcto funcionamiento del servicio.

Dentro del interfaz de configuración en Administration > HTTP/HTTPS/Netconf verificar los siguientes parámetros:

HTTP Access: Enabled
HTTPS Access: Enabled

2.10 Listado MACs autorizadas

Para que la validación de los usuarios funcione correctamente es necesario identificar los NAS que podrán realizar peticiones de autenticación al Servidor Radius. En este caso se debe añadir a la plataforma WIFI la Base Radio MAC de los equipos en cada Localización.

Comprobar en el apartado "Monitoring > AP Statistics > Join Statistics" y columna Base Radio MAC

3- Configuración módulo Enterprise

Para poder integrar las configuraciones de este módulo con la plataforma, es necesario contratar el Módulo Enterprise de Octopus Platform

3.1 Configuración Captive portal + MAC Authentication

Para activar la funcionalidad MAC Authentication, previa a la validación en el portal cautivo, se deben seguir los siguientes pasos:

En Configuration > Security > AAA > AAA Method Lists > Authorization, pulsar el botón Add y configurar:

Method List Name: octopus_methodauthr
Type: network
Group type: Group
Groups In This Method: Seleccionar octopus_radiusgroup y añadirlo al cuadrante de la derecha.

Configuration > Tags & Profiles > WLANs, editar el profile creado para wifi invitados.

Security > Layer2:

Marcar la casilla MAC Filtering: Enabled
Authorization List: methodauth (Creado anteriormente)

Security > Layer 3 > Show Advanced Settings:

On Mac Filter Failure: Enabled.

3.2 Mac Authentication

Para crear un SSID dedicado únicamente a la validación por MAC Authentication, primero es necesario configurar los radius servers, ir al apartado Configuration > Security > AAA > Servers / Groups > RADIUS > Servers y realizar la configuración especificada en el apartado 2.2 WebAuth

Después dirigirse al apartado a la sección Configuration > Tags & Profiles > WLANs y pulsar add para añadir un nuevo WLAN profile con los siguientes parámetros:

Profile Name: MAC_Auth
SSID: configurar SSID por ejemplo Mac_Auth_Guest
Status: Enabled
Broadcast SSID: Enabled

Security > Layer2:

Layer 2 Security Mode: None

Security > Layer3:

Web Policy: Enabled
Web Auth Parameter Map: octopus_webauth (anteriormente creado)
Authentication List: octopus_methodauth (anteriormente creado)

3.3 Configuración iPSK

Algunos dispositivos que se conectan a nuestras redes, especialmente dispositivos IoT, no tienen la capacidad de realizar conexiones a través de validaciones seguras como 802.1X y por ello se conectan a través de validaciones WPA-PSK. Este tipo de validación tiene inconvenientes de seguridad ya que la clave es única y cualquier dispositivo puede conectase. La funcionalidad Multi-PSK de Cisco, permite un doble factor de autenticación a través de filtrado MAC y claves PSK, que pueden ser asignadas por dispositivo o grupos de dispositivo, permitiendo seguridad y control a gran escala. Para configurar la identificación por iPSK:

Configuración Cisco Catalyst 9800

Acceder al apartado Configuration > Tags & Profiles > WLANs y acceder en la configuración de la WLAN a Security > Layer2

Layer 2 Security Mode: WPA+WPA2
MAC Filtering: Enabled
Authorization List: Seleccionar Authotization list anteriormente creada
WPA2 Policy: Enabled
MPSK: Enabled
Auth Key Mgmt: PSK Enabled

Acceder al apartado Security > AAA

Authentication list: Seleccionar la creada previamente

Configuración plataforma Octopus > Access Profile

Atributos radius a configurar:

cisco-av-pair = “psk-mode=ascii”
cisco-av-pair += “psk=password”

Posible combinar con local policy con el atributo

cisco-av-pair += “role=policyCisco9800”

3.4 Configuración Access Profiles

A través de la plataforma Octopus es posible configurar una serie de atributos reply de los paquetes Access-Accept, agrupados en los llamados Access Profile. Estos Access Profile, permite activar una serie de funcionalidades en el Cisco Catalyst 9800. Aunque están disponibles los dictionarys radius más comunes y propietarios de Cisco, a continuación se lista algunos considerados como más interesantes:

Atributo	Descripción	Formato

Atributo	Descripción	Formato
Airespace-Data-Bandwidth-Average-Contract Airespace-Real-Time-Bandwidth-Average-Contract Airespace-Data-Bandwidth-Burst-Contract Airespace-Real-Time-Bandwidth-Burst-Contract	Definen límites de velocidad para una determinada sesión, tanto de subida como bajada.	Kilobyte
Airespace-Guest-Role-Name	Asignación de un QoS Rol Name, previamente creado en Cisco Catalyst 9800
Airespace-ACL-Name	Asignación de una Access Control List previamente creado en Cisco Catalyst 9800
cisco-av-pair	String con muchas posibilidades
Reply-Message	Útil para funciones de troubleshooting, ya que permite identificar elementos asociados de la plataforma Octopus, como un access profile, método de acceso , localización, …

Asignación QoS Role Name: Aunque se puede enviar los parámetros de configuración directamente desde el servidor radius, también es posible asignar un QoS Role, que podrá ser asociado desde la plataforma con el atriburo radius Airespace-Guest-Role-Name.

Asignación ACL Name: También es posible asignar desde la plataforma Octopus el ACL que aplicaría a un determinado usuario conectado a la WLAN. Para crearlos serían seguir los pasos del apartado 2.4

Ejemplo de configuración de un Access Profile con los atributos anteriormente explicados:

WIKI (ES)

Cisco Catalyst 9800 Series - IOS-XE