Cisco Catalyst 9800 Series - IOS-XE

GUÍA DE CONFIGURACIÓN

El objetivo del siguiente manual es una descripción de la configuración necesaria en el equipamiento Cisco Catalyst 9800 con IOS-XE software para la integración con Octopus Platform

 

1- Requerimientos previos

  • Si en la instalación existe un firewall que bloquee el tráfico se deberá permitir el acceso libre a ciertos dominios e IPs para habilitar la autenticación de los usuarios.

    • Servidores Radius:

      • Primario: <IP_Radius_1> puertos 1812 y 1813 UDP

      • Secundario: <IP_Radius_2> puertos 1812 y 1813 UDP

    • Servidor Splash Portal

      • Dominio <dominio_captive_portal> puertos 80 y 443 TCP

  • Para el funcionamiento de la configuración de los módulos Guest y Enterprise, previamente será necesario contratar las licencias de la plataforma Octopus con los respectivos módulos.

2- Configuración módulo Guest

2.1 Radius Server

Para configurar los servidores radius ir al apartado Configuration > Security > AAA > Servers / Groups > RADIUS > Servers.

Una vez dentro hacer click en el boton Add para añadir los nuevos servidores de autenticación y configurar los siguientes parámetros:

  • Name:  octopus_radius1

  • IPv4 / IPv6 Server Address: <IP_Radius_1>

  • Key: <Secret>

  • Confirm key: <Secret>

  • Auth Port: 1812

  • Acct Port: 1813

  • Server Timeout: 

  • Retry Count: 2

  • Name: octopus_radius2

  • IPv4 / IPv6 Server Address: <IP_Radius_2>

  • Key: <Secret>

  • Confirm key: <Secret>

  • Auth Port: 1812

  • Acct Port: 1813

  • Server Timeout: 

  • Retry Count:

Servers Group

Crear un grupo donde se añadirán los datos de los radius creados anteriormente. Para ello acceder a AAA > Servers / Groups > Server Groups > Radius y crear uno nuevo:

  • Group Name: octopus_radiusgroup

  • Group type: RADIUS

  • MAC-delimiter: hyphen

  • MAC-filtering: none

  • Dead time: 2

  • Assigned Servers: Seleccionar octopus_radius1 y octopus_radius2 y añadirlos al cuadrante de la derecha.

Method Lists

A continuación, acceder a AAA > AAA Method Lists > Authentication y añadir uno nuevo:

  • Method List Name: octopus_methodauth

  • Type: login

  • Group Type: group

  • Fallback to local: disabled

  • Assigned Server Groups: Seleccionar octopus_radiusgroup y añadirlo al cuadrante de la derecha.

En AAA > Method Lists > Accounting, pulsar el botón Add y configurar los siguientes parámetros:

  • Method List Name: octopus_methodacct

  • Type: network

  • Group type: Group

  • Groups In This Method: Seleccionar el creado octopus_radiusgroup creado anteriormente y añadirlo al cuadrante de la derecha.

AAA Advanced

En el apartado a AAA > AAA Advanced > Global Config pulsar Show Advanced Settings y seleccionar tanto en Accounting como en Authentication:

  • Call Station ID: ap-macaddress-ssid

  • Call Station ID Case: lower

  • MAC-Delimeter: hidden

Por último para activar el accounting, añadir otro Method List mediante los comandos:

#configure terminal

#(config)#aaa accounting identity octopus_methodacct start-stop group octopus_radiusgroup

#(config)#aaa accounting update periodic 10

2.2 WebAuth

Para crear un perfil webauth acceder a Configuration > Security > Web Auth > Webauth Parameter Map,  pulsar en Add y configurar:

  • Parameter-map name: octopus_webauth

  • Maximum HTTP connection: 100

  • Init-State Timeout(secs): 300

  • Type: webauth

Editar la entrada creada y configurar en la Pestaña General:

  • Banner Type: none

  • Turn-on Consent with Email: Disabled.

  • Captive Bypass Portal: Disabled.

  • Disable Success Window: Enabled

  • Disable Logout Window: Enabled.

Pestaña Advanced:

Posteriormente editar el Paramener Map global:

  • Type: webauth

  • Virtual IPv4 Hostname: <dominio asociado a certificado>

  • Webauth intercept HTTPs: Enabled

 

El dominio asociado al certificado tiene que resolver a la IP Virtual del controlador (Configuration > Security > Webauth Parameter Map > Global > Virtual IPv4 Address)

Ir a Configuration > Security > Web Auth > Certificate y añadir un Nuevo certificado con los siguientes datos:

  • Server IP Address: <ip servidor tftp>

  • Certificate File Path: <path>

  • Certificate destination File: <nombre del certificado>.pfx

  • Certificate Password: <password>

En interfaz CLI, ejecutar comando: 

#configure terminal

#(config)#parameter-map type webauth global

#(config-parameter-map)#trustpoint <nombre del certificado>

 

Reiniciar servidor web para aplicar cambios:

#configure terminal

#(config)#no ip http server

#(config)#ip http server

 

En caso de que el controlador no entregue el certificado correcto, sería necesario reiniciarlo. 

2.3 WLAN

En este punto se configura la WLAN objeto del Wifi Invitados. Dentro de la configuración acceder a Configuration > Tags & Profiles > WLANs. Pulsar Add para añadir un nuevo WLAN profile con los siguientes parámetros:

  • Profile Name: octopus_wlan

  • SSID: Nombre de la red WiFi a radiar.

  • Status: Enabled

  • Broadcast SSID: Enabled

 

Security > Layer2:

  • Layer 2 Security Mode: None

Security > Layer3:

  • Web Policy: Enabled

  • Web Auth Parameter Map: octopus_webauth (anteriormente creado)

  • Authentication List: octopus_methodauth (anteriormente creado)

2.4 URL Filter

Para que el proceso de validación de los usuarios funcione correctamente es necesario permitir el acceso a ciertos dominios, será necesario crear una nueva entrada ACL. Para ello, acceder al apartado Security > URL Filters y añadir una nueva:

  • Name: octopus_urlfilter

  • Type: PREAUTH

  • Action: permit

  • URLs: añadimos las URL necesarias para la correcta validación de los usuarios. Para ello ver el listado que viene a continuación.

En caso de que el modo de gestión de los APs sea FlexConnect no aplica esta configuración.

Si se desean añadir dominios extra (Redes Sociales, Paypal, etc...) pueden consultarse desde el siguiente enlace.

2.5 Policy

En este punto se configura la política objeto del Wifi Invitados. Acceder a Configuration > Tags & Profiles > Policy. Pulsar Add para añadir un nuevo Profile WLAN:

Pestaña General:

  • Nombre: octopus_policy

  • Status: Enabled

  • Central Switching: Dependiendo nuestra configuración de red.

  • Central Authentication: Enabled

  • Central DHCP: Dependiendo nuestra configuración de red.

  • Central Association: Dependiendo nuestra configuración de red.

Pestaña Access Policies

  • VLAN > VLAN/VLAN Group: Dependiendo si se ha seleccionado Central Switching, seleccionar VLAN o directamente escribir el ID.

  • URL Filters: urlfilter (Creado anteriormente)

 

En caso de que el modo de gestión de los APs sea FlexConnect no aplicará la configuración de URL Filter.

Pestaña Advanced

  • Idle Timeout: 600

  • Allow AAA Override: Enabled

  • Accounting List: octopus_methodacct (Creado anteriormente)

2.6 Tags

Una vez realizadas las configuraciones hay que realizar los cambios en los Tags que posteriormente serán aplicados a los Access Points. Para ello acceder a Configuration > Tags & Profiles > Tags > Policy y hacer click en Add. 

  • Name: octopus_tagpolicy

  • WLAN-Policy: Add

    • WLAN Profile: octopus_wlan (Creado anteriormente)

    • Policy Profile: octopus_policy (Creado anteriormente)

2.7 Opción de configuración Flexconnect

En caso de que los APs se configuren en modo FlexConnect, acceder a Configuration > Tags & Profiles > Flex y pulsar Add. Dentro de la configuración:

Pestaña General

  • Nombre: octopus_flex

  • Native VLAN ID: Añadir el ID de la VLAN nativa aplicada al AP

VLAN

  • Pulsar ADD y crear la VLAN o VLANs de las redes que radiarán en el Access Point y su ID asociado.

Posteriormente dentro de Configuration > Tags & Profiles > Tags > Site, pulsar Add:

  • Name: octopus_sitetag

  • Enable Local Site: Disabled

  • Flex Profile: octopus_flex (Creado anteriormente)

2.8 Desplegar configuración en Access Point

En el apartado Configuration > Wireless > Access Points en los Access Point que queramos desplegar la configuración, en apartado Tags, configurar:

  • Policy: octopus_tagpolicy (Creado anteriormente)

  • Site: octopus_sitetag (Creado anteriormente)

 

2.9 Otras configuraciones

Por último, realizar unas configuraciones necesarias para el correcto funcionamiento del servicio.

Dentro del interfaz de configuración en Administration > HTTP/HTTPS/Netconf verificar los siguientes parámetros:

  • HTTP Access: Enabled

  • HTTPS Access: Enabled

 

2.10 Listado MACs autorizadas

Para que la validación de los usuarios funcione correctamente es necesario identificar los NAS que podrán realizar peticiones de autenticación al Servidor Radius. En este caso se debe añadir a la plataforma WIFI la Base Radio MAC de los equipos en cada Localización.

  • Comprobar en el apartado "Monitoring > AP Statistics > Join Statistics" y columna Base Radio MAC

3- Configuración módulo Enterprise

Para poder integrar las configuraciones de este módulo con la plataforma, es necesario contratar el Módulo Enterprise de Octopus Platform

3.1 Configuración Captive portal + MAC Authentication

Para activar la funcionalidad MAC Authentication, previa a la validación en el portal cautivo, se deben seguir los siguientes pasos:

En Configuration > Security AAA > AAA Method Lists > Authorization, pulsar el botón Add y configurar:

  • Method List Name: octopus_methodauthr

  • Type: network

  • Group type: Group

  • Groups In This Method: Seleccionar octopus_radiusgroup y añadirlo al cuadrante de la derecha.

Configuration > Tags & Profiles > WLANs, editar el profile creado para wifi invitados. 

Security > Layer2:

  • Marcar la casilla MAC Filtering: Enabled

  • Authorization List: methodauth (Creado anteriormente)

Security > Layer 3 > Show Advanced Settings:

  • On Mac Filter Failure: Enabled.

3.2 Mac Authentication

Para crear un SSID dedicado únicamente a la validación por MAC Authentication, primero es necesario configurar los radius servers, ir al apartado Configuration > Security > AAA > Servers / Groups > RADIUS > Servers y realizar la configuración especificada en el apartado 2.2 WebAuth

Después dirigirse al apartado a la sección Configuration > Tags & Profiles > WLANs y pulsar add para añadir un nuevo WLAN profile con los siguientes parámetros:

  • Profile Name: MAC_Auth

  • SSID: configurar SSID por ejemplo Mac_Auth_Guest

  • Status: Enabled

  • Broadcast SSID: Enabled

Security > Layer2:

  • Layer 2 Security Mode: None

Security > Layer3:

  • Web Policy: Enabled

  • Web Auth Parameter Map: octopus_webauth (anteriormente creado)

  • Authentication List: octopus_methodauth (anteriormente creado)

3.3 Configuración iPSK

Algunos dispositivos que se conectan a nuestras redes, especialmente dispositivos IoT, no tienen la capacidad de realizar conexiones a través de validaciones seguras como 802.1X y por ello se conectan a través de validaciones WPA-PSK. Este tipo de validación tiene inconvenientes de seguridad ya que la clave es única y cualquier dispositivo puede conectase. La funcionalidad Multi-PSK de Cisco, permite un doble factor de autenticación a través de filtrado MAC y claves PSK, que pueden ser asignadas por dispositivo o grupos de dispositivo, permitiendo seguridad y control a gran escala. Para configurar la identificación por iPSK:

Configuración Cisco Catalyst 9800

Antes de nada configuración la funcionalidad MAC Authentication del apartado 3.1

Acceder al apartado Configuration > Tags & Profiles > WLANs y acceder en la configuración de la WLAN a Security > Layer2

  • Layer 2 Security Mode: WPA+WPA2

  • MAC Filtering: Enabled

  • Authorization List: Seleccionar Authotization list anteriormente creada

  • WPA2 Policy: Enabled

  • MPSK: Enabled

  • Auth Key Mgmt: PSK Enabled

 

Acceder al apartado Security > AAA

  • Authentication list: Seleccionar la creada previamente

 

Configuración plataforma Octopus > Access Profile

Atributos radius a configurar:

  • cisco-av-pair = “psk-mode=ascii”

  • cisco-av-pair += “psk=password”

Posible combinar con local policy con el atributo

  • cisco-av-pair += “role=policyCisco9800”

 

 

3.4 Configuración Access Profiles

A través de la plataforma Octopus es posible configurar una serie de atributos reply de los paquetes Access-Accept, agrupados en los llamados Access Profile. Estos Access Profile, permite activar una serie de funcionalidades en el Cisco Catalyst 9800. Aunque están disponibles los dictionarys radius más comunes y propietarios de Cisco, a continuación se lista algunos considerados como más interesantes:

Atributo

Descripción

Formato

Atributo

Descripción

Formato

Airespace-Data-Bandwidth-Average-Contract

Airespace-Real-Time-Bandwidth-Average-Contract

Airespace-Data-Bandwidth-Burst-Contract

Airespace-Real-Time-Bandwidth-Burst-Contract

Definen límites de velocidad para una determinada sesión, tanto de subida como bajada.

Kilobyte

Airespace-Guest-Role-Name

Asignación de un QoS Rol Name, previamente creado en Cisco Catalyst 9800

 

Airespace-ACL-Name

Asignación de una Access Control List previamente creado en Cisco Catalyst 9800

 

cisco-av-pair

String con muchas posibilidades

 

Reply-Message

Útil para funciones de troubleshooting, ya que permite identificar elementos asociados de la plataforma Octopus, como un access profile, método de acceso , localización, …

 

Asignación QoS Role Name: Aunque se puede enviar los parámetros de configuración directamente desde el servidor radius, también es posible asignar un QoS Role, que podrá ser asociado desde la plataforma con el atriburo radius Airespace-Guest-Role-Name.

Asignación ACL Name: También es posible asignar desde la plataforma Octopus el ACL que aplicaría a un determinado usuario conectado a la WLAN. Para crearlos serían seguir los pasos del apartado 2.4

 

Ejemplo de configuración de un Access Profile con los atributos anteriormente explicados:

 

Para mas información sobre como crear un Access Profile en Octopus Platform ir a Perfiles de Acceso