Cisco Mobility Express

GUÍA DE CONFIGURACIÓN

El objetivo del siguiente manual es una descripción de la configuración necesaria en el equipamiento Cisco Mobility Express, para la integración con Octopus Platform

1-  Requerimientos previos

  • Pulsar la visualización modo experto en la parte superior derecha: "Switch to Expert View", de esta manera podremos ver todas las opciones de configuración necesarias para seguir este manual. 

  • Si en la instalación existe un firewall que bloquee el tráfico se deberá permitir el acceso libre a ciertos dominios e IPs para habilitar la autenticación de los usuarios.

    • Servidores Radius:

      • Primario: <IP_Radius_1> puertos 1812 y 1813 UDP

      • Secundario: <IP_Radius_2> puertos 1812 y 1813 UDP

    • Servidor Splash Portal

      • Dominio <dominio_captive_portal> puertos 80 y 443 TCP

  • Para el funcionamiento de la configuración de los módulos Guest y Enterprise, previamente será necesario contratar las licencias de la plataforma Octopus con los respectivos módulos.

2- Configuración módulo Guest

2.1 Radius Servers

El siguiente paso es configurar los parámetros del Servidor Radius al que se enviarán las peticiones de autenticación de los usuarios. Para ello acceder a Management > Admin Accounts > RADIUS y seleccionar las siguientes opciones:

  • Authentication Call Station ID Type: AP MAC Address:SSID

  • Authentication MAC Delimiter: Hyphen

  • Accounting Call Station ID Type: AP MAC Address:SSID

  • Accounting MAC Delimiter: Hyphen

Posteriormente se crearán los dos Radius de autenticación. Para ello, pulsar el botón "Add Radius Authentication Server" para cada uno de los dos, e introducir los siguientes valores:

Radius 1

  • State: Enabled

  • CoA: Deshabilitado.

  • Server IP Address: <IP_Radius_1>

  • Shared Secret: <Secret>

  • Confirm Shared Secret: <Secret>

  • Port Number: 1812

  • Server Timeout: 3

Radius 2

  • State: Enabled

  • CoA: Deshabilitado.

  • Server IP Address: <IP_Radius_2>

  • Shared Secret: <Secret>

  • Confirm Shared Secret: <Secret>

  • Port Number: 1812

  • Server Timeout: 3

A continuación, introducir los servidores Radius de Accounting, pulsando el botón "Add Radius Accounting Server":

Radius 1

  • State: Enabled

  • Server IP Address: <IP_Radius_1>

  • Shared Secret: <Secret>

  • Confirm Shared Secret: <Secret>

  • Port Number: 1813

  • Server Timeout: 3

Radius 2

  • State: Enabled

  • Server IP Address: <IP_Radius_2>

  • Shared Secret: <Secret>

  • Confirm Shared Secret: <Secret>

  • Port Number: 1813

  • Server Timeout: 3

Activación Interium-Update

Para la adecuada monitorización del servicio, se debe activar los paquetes Accounting Interium-Update. Es posible activarlo por CLI con el siguiente comando:

config wlan radius_server acct interim-update 600 <Wlan_id>

2.2 Configuración WLAN

El siguiente paso es crear una nueva WLAN o modificar una ya existente. Para ello acceder a Wireless Settings > WLANs y crear o modificar una WLAN con los siguientes parámetros.

General

  • Profile Name: Nombre que queremos dar al perfil WLAN Guest

  • SSID: nombre de red o SSID Guest que radiará.

  • Admin State: Enabled

  • Radio Policy: All

  • Broadcast SSID: Activado

WLAN Security

  • Guest Network: Activado

  • Captive Network Assitant: Deshabilitado.

  • Captive Portal: External Splash page

  • Captive Portal URL (revisar apartado 2.3 para que la redirección de la url sea http o https)

    • Opción http: http://<dominio_captive_portal>/login/hotspot/cisco

    • Opción https: https://<dominio_captive_portal>/login/hotspot/cisco

  • Access Type: Radius

  • Radius Server: En pestaña Radius Server, pulsar el botón "Add Radius Authentication Server" y añadir los radius creados con la opción seleccionada Add to Pre Auth ACLs. La misma operación pulsando la opción "Add Radius Accounting Server" y añadir los radius creados.

  • Preath ACL: Pulsar el botón "Add URL Rules" e introducir los dominios necesarios para proporcionar el servicio, con la opción activada "Permit". A continuación se muestra un desplegable con las necesarias y las opcionales:

Si se desean añadir dominios extra (Redes Sociales, Paypal, etc...) pueden consultarse desde el siguiente enlace.

Ejemplo:

Advanced

Activar opción: Allow AAA Override

2.3  Configuración proceso login HTTP o HTTPS

Existen dos opciones de configuración para la validación del portal cautivo: Una a través de conectividad http, donde el tráfico no iría cifrado y otra a través de https.

Opción HTTP

Para ello será necesario ejecutar los siguientes comandos:

config network web-auth https-redirect disable config network web-auth secureweb disable save config reset system

En la sección de configuración de WLAN, se indicará la URL de redirección. Si se modifican estas opciones, los cambios solo tomarán efecto una vez reiniciado el controlador.

Opción HTTPS

Si se elige configurar este opción de validación segura es muy importante saber que es necesario una resolución DNS entre el subdominio asociado al certificado y la IP virtual del controlador, de lo contrario las validaciones no se redirigirán al AP WLC y se producirán errores de autenticación. Esta entrada DNS se deberá configurar en los servidores DNS entregados por DHCP a los clientes.

Para averiguar la interfaz virtual puede realizarse con el comando: show interface summary

Lo primero, será cargar un nuevo certificado en el controlador asociado al subdomino para realizar el login. Se ofrecen certificados, para lo cual será necesario configurar e iniciar una transferencia FTP con los siguientes comandos:

transfer download mode ftp transfer download datatype webauthcert transfer download serverip <XX.XX.XX.XX> transfer download path <PATH> transfer download filename ciscosecurelogin.pem transfer download username <username> transfer download password <password> transfer download port <port> transfer download certpassword <certpassword> transfer download start

A continuación se deberán introducir por CLI los siguientes comandos

config network web-auth secureweb enable config network secureweb cipher-option high enable config network web-auth https-redirect disable config interface hostname virtual securelogin.xxxxxx.xxx save config reset system

 

2.4  Otras configuraciones

Para permitir a clientes VPN autenticación completa sin necesidad de web-auth security, y evitar cortes de conexión ejecutar los siguientes comandos:

config wlan security web-auth timeout 3600 <Wlan_id>

Deshabilitar logout pop-up recién logado. Si el navegador no tiene habilitado el bloqueador de ventanas emergentes puede dar problemas en los procesos de logout y login. Para deshabilitarlo ejecutar el siguiente comando:

config custom-web logout-popup disable

Para conexiones simultáneas de varios dispositivos con el mismo username, se deberá de configurar el parámetro "Max Concurrent Logins for a user name" a 0 para que no exista ningún límite. Para ello introducir el comando

config netuser maxUserLogin 0

 

2.5 Listado MACs Autorizadas

Para que la validación de los usuarios funcione correctamente es necesario identificar los NAS que podrán realizar peticiones de autenticación al Servidor Radius. En este caso se deben añadir todas las direcciones MAC del interfaz WiFi de los Access Point que radiarán el SSID configurado.

Para ello introducir el comando por CLI:

show ap join stats summary all

Para obtener información sobre cómo añadir la dirección MAC de cada AP como un NAS autorizado en la plataforma consulte el siguiente enlace Localizaciones

 

3- Configuración módulo Enterprise

Para poder integrar las configuraciones de este módulo con la plataforma, es necesario contratar el Módulo Enterprise de Octopus Platform.

3.1  MAC Caching

Para activar la funcionalidad de MAC Caching o MAC Authentication, es necesario editar la WLAN creada y habilitar esta opción.

config wlan mac-filtering enable <Wlan_id> config wlan security web-auth on-macfilter-failure <Wlan_id>

3.2 Configuración funcionalidades “Access Profiles” Octopus Platform

A través de la plataforma Octopus es posible configurar una serie de atributos reply de los paquetes Access-Accept, agrupados en los llamados Access Profile. Estos Access Profile, permite activar una serie de funcionalidades en Cisco. Aunque están disponibles los dictionarys radius más comunes y propietarios de Cisco, a continuación se lista algunos considerados como más interesantes:

Atributo

Descripción

Formato

Atributo

Descripción

Formato

Airespace-Data-Bandwidth-Average-Contract

Airespace-Real-Time-Bandwidth-Average-Contract

Airespace-Data-Bandwidth-Burst-Contract

Airespace-Real-Time-Bandwidth-Burst-Contract

Definen límites de velocidad para una determinada sesión, tanto de subida como bajada. Es necesario configurar los cuatro.

Kilobyte

Airespace-Guest-Role-Name

Asignación de un QoS Rol Name, previamente creado en Cisco

 

Airespace-ACL-Name

Asignación de una Access Control List previamente creado en Cisco

 

cisco-av-pair

string con muchas posibilidades

 

Reply-Message

Útil para funciones de troubleshooting, ya que permite identificar elementos asociados de la plataforma Octopus, como un access profile, método de acceso , localización, …

 

  Asignación QoS Role Name: Aunque se puede enviar los parámetros de configuración directamente desde el servidor radius, también es posible asignar un QoS Role, que podrá ser asociado desde la plataforma con el atriburo radius Airespace-Guest-Role-Name.

 

Ejemplo de configuración de un Access Profile con los atributos anteriormente explicados:

 

Para mas información sobre como crear un Access Profile en Octopus Platform ir a Perfiles de Acceso

3.3 Configuración Identity PSK

Algunos dispositivos que se conectan a nuestras redes, especialmente dispositivos IoT, no tienen la capacidad de realizar conexiones a través de validaciones seguras como 802.1X y por ello se conectan a través de validaciones WPA-PSK. Este tipo de validación tiene inconvenientes de seguridad ya que la clave es única y cualquier dispositivo puede conectase. La funcionalidad Identity PSK de Cisco, permite un doble factor de autenticación a través de filtrado MAC y claves PSK, que pueden ser asignadas por dispositivo o grupos de dispositivo, permitiendo seguridad y control a gran escala. Para configurar la identificación por PSK:

Configuración Cisco

Antes de nada configuración la funcionalidad MAC Authentication del apartado 3.1

Acceder al apartado Wireless Settings > WLANs, añadir o editar una WLAN y configurar en la pestaña WLAN Security:

  • MAC Filtering: Enable

  • Security type: WPA2 Personal

  • Add RADIUS Authentication Server

    • Server: Configurado en punto 2.1 del manual.

Pestaña Advanced

  • Allow AAA Override: Enable

Pulsar en Apply para guardar la configuración

WPA2 Personal es un método de seguridad que utiliza la autenticación PSK. Después de una autenticación MAC exitosa, el servidor RADIUS devuelve los siguientes atributos Cisco AVPair:

  • psk-mode - El valor puede ser ASCII, HEX, asciiEnc, or hexEnc.

  • psk

Configuración plataforma Octopus > Access Profile

Atributos radius a configurar:

  • cisco-av-pair = “psk-mode=ascii”

  • cisco-av-pair += “psk=password”

Posible combinar con local policy con el atributo

  • cisco-av-pair += “role=policyCiscoMobilityExpress”