Ejemplo de configuracin para restringir el acceso a WLAN en

funcin del SSID con WLC y Cisco Secure ACS

Contenido
Introduccin
Requisitos previos
Requerimientos
Componentes utilizados
Convenciones
Antecedentes
Configuracin de la red
Configuracin
Configuracin de WLC
Configuracin de Cisco Secure ACS
Configuracin del cliente inalmbrico y verificacin
Resolucin de problemas
Comandos para resolucin de problemas

Introduccin
Este documento proporciona un ejemplo de configuracin para restringir el acceso por usuario a una WLAN en funcin del identificador de
conjunto de servicios (SSID).

Requisitos previos
Requerimientos
Asegrese de que cumple estos requerimientos antes de intentar esta configuracin:

Tener conocimiento de cmo configurar el controlador para redes LAN inalmbricas (WLC) y el punto de acceso ligero (LAP) para el
funcionamiento bsico

Tener conocimiento bsico sobre cmo configurar Cisco Secure Access Control Server (ACS)

Tener conocimiento del protocolo de punto de acceso ligero (LWAPP) y de los mtodos de seguridad inalmbricos

Componentes utilizados

La informacin que contiene este documento se basa en las siguientes versiones de software y hardware:

WLC de la serie 2000 de Cisco que ejecuta el firmware 4.0

LAP de la serie 1000 de Cisco

Servidor Cisco Secure ACS versin 3.2

Adaptador de cliente inalmbrico 802.11a/b/g de Cisco que ejecuta firmware 2.6

Cisco Aironet Desktop Utility (ADU) versin 2.6

La informacin que contiene este documento se cre a partir de los dispositivos en un entorno de laboratorio especfico. Todos los dispositivos
que se utilizan en este documento se iniciaron con una configuracin sin definir (predeterminada). Si la red est funcionando, asegrese de haber
comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones sobre consejos tcnicos de Cisco para obtener ms informacin sobre las convenciones del documento.
Antecedentes
Con el uso del acceso a WLAN en funcin del SSID, es posible autenticar a los usuarios segn el SSID que utilicen para conectar con la WLAN.
El servidor Cisco Secure ACS se utiliza para autenticar usuarios. La autenticacin se produce en dos etapas en Cisco Secure ACS:

1. Autenticacin EAP
2. Autenticacin de SSID segn las restricciones de acceso a la red (NAR) en Cisco Secure ACS

Si la autenticacin segn EAP y SSID son correctas, el usuario puede acceder a la WLAN, en caso contrario, se anula la asociacin del usuario.

Cisco Secure ACS utiliza la caracterstica NAR para restringir el acceso del usuario en funcin del SSID. NAR es una definicin, que se realiza
en Cisco Secure ACS, de condiciones adicionales que se deben cumplir para que un usuario pueda acceder a la red. Cisco Secure ACS aplica
estas condiciones con la informacin de los atributos que se enva desde los clientes AAA. Aunque hay varias maneras de configurar NAR, todas
consisten en establecer coincidencias con la informacin de atributos enviada por el cliente AAA. Por lo tanto, debe comprender el formato y el
contenido de los atributos que envan los clientes AAA si desea utilizar correctamente definiciones NAR.

Cuando se configura una definicin NAR, se puede elegir que el filtro funcione positiva o negativamente. Es decir, en la definicin NAR se
especifica si se permite o deniega el acceso a la red, en funcin de una comparacin entre la informacin enviada desde los clientes AAA y la
informacin almacenada en NAR. Sin embargo, si una NAR no encuentra informacin suficiente para funcionar, se establece
predeterminadamente la denegacin de acceso.

Puede definir y aplicar una definicin NAR para un usuario o un grupo de usuarios especfico. Consulte Informe oficial de las restricciones de
acceso a red (en ingls) para obtener ms informacin.

Cisco Secure ACS admite dos tipos de filtros NAR:

1. Filtros basados en IP: los filtros de NAR basados en IP limitan el acceso en funcin de las direcciones IP del cliente usuario final y del
cliente AAA. Consulte Acerca de los filtros NAR basados en IP (en ingls) para obtener ms informacin sobre este tipo de filtro NAR.
2. Filtros no basados en IP: los filtros que no estn basados en IP limitan el acceso en funcin de una comparacin de cadena simple de un
valor enviado desde el cliente AAA. El valor puede ser el nmero de ID de la lnea que llama (CLI), el nmero del servicio de
identificacin de nmero marcado (DNIS), la direccin MAC, o bien otro valor que se origine del cliente. Para que este tipo de NAR
funcione, el valor de la descripcin de NAR debe coincidir exactamente con el que se enva desde el cliente, independientemente del
formato que se utilice. Por ejemplo: (217) 555-4534 no coincide con 217-555-4534. Consulte Acerca de los filtros NAR no basados en IP
(en ingls) para obtener ms informacin sobre este tipo de filtro NAR.

En este documento se utilizan los filtros no basados en IP para realizar la autenticacin basada en SSID. Un filtro NAR no basado en IP (es decir,
un filtro NAR basado en DNIS/CLI) es una lista de llamadas/punto de ubicaciones de acceso permitidos o denegados, que se pueden utilizar en la
restriccin de un cliente AAA cuando no se tiene establecida una conexin basada en IP. La funcin de NAR no basada en IP generalmente
utiliza el nmero de CLI y el de DNIS. Existen excepciones en el uso de los campos de DNIS/CLI. Puede introducir el nombre de SSID en el
campo DNIS y realizar una autenticacin en funcin del SSID. Esto se produce porque WLC enva al servidor RADIUS el nombre de SSID en el
atributo DNIS. De esta manera, al generar NAR DNIS en el usuario o grupo, puede crear restricciones de SSID por usuario.

Si utiliza RADIUS, los campos de NAR que se muestran a continuacin utilizan estos valores:

AAA client (Cliente AAA): direccin IP de NAS (atributo 4) o, si sta no existe, se utiliza el identificador de NAS (RADIUS atributo 32).
Port (Puerto): puerto de NAS (atributo 5) o, si ste no existe, se utiliza la ID del puerto de NAS (atributo 87).
CLI: se utiliza la ID de la estacin que llama (atributo 31).
DNIS: se utiliza la ID de la estacin que llama (atributo 30).

Consulte Restricciones de acceso a red (en ingls) para obtener ms informacin sobre el uso de NAR.

Como WLC enva el nombre de SSID en el atributo DNIS, se pueden crear restricciones de SSID por usuario. En este caso, los campos de NAR
tienen estos valores:

AAA client (Cliente AAA): direccin IP de WLC

Port (puerto): *
CLI: *
DNIS: *nombre de ssid

El resto de este documento proporciona un ejemplo de configuracin con el procedimiento correspondiente.

Configuracin de la red
En esta configuracin de ejemplo, WLC se registra al LAP. Se utilizan dos WLAN. Una WLAN para los usuarios del departamento de
administracin (Admin) y otra WLAN para los usuarios del departamento de ventas (Sales). El cliente A1 inalmbrico (usuario de Admin) y S1
(usuario de Sales) se conectan a la red inalmbrica. Es necesario configurar el WLC y el servidor RADIUS para que el usuario A1 de Admin
pueda acceder solamente a la WLAN Admin y tenga acceso restringido a la WLAN Sales, mientras que el usuario S1 de Ventas pueda acceder a
la WLAN Sales y tenga acceso restringido a la WLAN Admin. Todos los usuarios utilizan la autentificacin LEPA como mtodo de
autentificacin de capa 2.
Nota: En este documento se asume que WLC est registrado en el controlador. Si no est familiarizado con WLC y no sabe cmo configurar su
funcionamiento bsico, consulte Registro de AP ligero (LAP) en un controlador para redes LAN inalmbricas (WLC) (en ingls).

Configuracin
Para establecer los dispositivos para esta configuracin, es necesario llevar a cabo los siguientes pasos:

1. Configurar el WLC para las dos WLAN y el servidor RADIUS.

2. Configurar Cisco Secure ACS.
3. Configurar el cliente inalmbrico y verificarlo.

Configuracin de WLC

Siga los pasos a continuacin para configurar el WLC para esta configuracin:

1. WLC se debe configurar para reenviar las credenciales de usuario a servidor RADIUS externo. A continuacin, el servidor RADIUS
externo (Cisco Secure ACS en este caso) valida las credenciales del usuario y permite el acceso a los clientes inalmbricos. Complete estos
pasos:

a. Seleccione Security > RADIUS Authentication (Seguridad > Autenticacin de RADIUS) en la interfaz grfica de usuario del
controlador para mostrar la pgina del servidor de autenticacin RADIUS.
 b. Haga clic en New (Nuevo) para definir los parmetros del servidor RADIUS.

Entre estos parmetros se incluyen la direccin IP del servidor RADIUS, la contrasea, el nmero de puerto y el estado del servidor.
Las casillas de verificacin Network User (Usuario de red) y Management (Administracin) determinan si la autenticacin basada en
RADIUS se aplica a usuarios de red y de la administracin. En este ejemplo se utiliza Cisco Secure ACS como servidor RADIUS
con la direccin IP 172.16.1.60.

c. Haga clic en Apply (Aplicar).

2. Configure una WLAN para el departamento de administracin con el SSID Admin y la otra WLAN para el departamento de ventas con el
SSID Sales. Para ello, complete los siguientes pasos:

a. Haga clic en WLANs en la interfaz grfica de usuario del controlador para crear una WLAN. Aparece la ventana de WLAN. Esta
ventana enumera las WLAN configuradas en el controlador.

b. Haga clic en New (Nueva) para configurar una WLAN nueva.

En este ejemplo se crea una WLAN denominada Admin para el departamento de administracin y el valor del campo WLAN ID (ID
de la WLAN) es 1. Haga clic en Apply (Aplicar).
c. En la ventana WLANs > Edit (WLANs > Editar), defina los parmetros especficos de la WLAN:

a. En los mens desplegables de Layer 2 Security (Seguridad de capa 2), seleccione 802.1x. De forma predeterminada, la opcin
de Layer 2 Security (Seguridad de capa 2) es 802.1x. De esta forma se activa la autenticacin 802.1x para la WLAN.

b. En General Policies (Polticas generales), active la casilla Allow AAA override (Permitir anulacin de AAA). Cuando la
casilla Allow AAA Override (Permitir anulacin de AAA) est activada y un cliente tiene parmetros de autenticacin del
controlador para redes WLAN y de AAA incompatibles, la autenticacin del cliente se realiza mediante el servidor AAA.

c. Seleccione el servidor RADIUS apropiado del men desplegable que aparece en RADIUS Servers (Servidores RADIUS). El
resto de parmetros se pueden modificar en funcin de los requerimientos de la red WLAN. Haga clic en Apply (Aplicar).

d. De igual manera, para crear una WLAN para el departamento de ventas, repita los pasos b y c. A continuacin, se muestran las
capturas de pantallas.
Configuracin de Cisco Secure ACS

En el servidor Cisco Secure ACS, debe:

1. Configurar el WLC como un cliente AAA.

2. Crear la base de datos del usuario y definir NAR para la autenticacin basada en SSID.
3. Activar la autenticacin EAP.

Siga estos pasos en Cisco Secure ACS:

1. Para definir el controlador como un cliente AAA en el servidor ACS, haga clic en Network Configuration (Configuracin de red) desde la
interfaz grfica de usuario de ACS. En AAA Clients (Clientes AAA), haga clic en Add Entry (Agregar entrada).
2. Cuando aparezca la pgina Network Configuration (Configuracin de red), defina el nombre del WLC, la direccin IP, la contrasea y el
mtodo de autenticacin (RADIUS Cisco Airespace).

3. Haga clic en User Setup (Configuracin de usuario) desde la interfaz grfica de usuario de ACS, introduzca el nombre de usuario y haga
clic en Add/Edit (Agregar/editar). En este ejemplo el usuario es A1.

4. Cuando aparezca la pgina User Setup (Configuracin de usuario), defina todos los parmetros especficos del usuario. En este ejemplo, el
nombre de usuario, la contrasea y la informacin del usuario complementaria se configuran porque estos parmetros son necesarios para
la autenticacin LEAP.
5. Desplcese hacia abajo en la pgina User Setup (Configuracin de usuario), hasta que vea la seccin Network Access Restrictions
(Restricciones de acceso a la red). En la interfaz del usuario de la restriccin de acceso DNIS/CLI, seleccione Permitted Calling/Point of
Access Locations (Llamadas/punto de ubicaciones de acceso) y defina los siguientes parmetros:

AAA client (Cliente AAA): direccin IP de WLC (172.16.1.30, en el ejemplo)

Port (puerto): *
CLI: *
DNIS: *nombre de ssid
6. El atributo DNIS define el SSID con el que el usuario puede acceder. El WLC enva el SSID en el atributo DNIS al servidor RADIUS.

Si el usuario slo tiene que acceder a la WLAN denominada Admin, introduzca *Admin para el campo DNIS. Esto garantiza que el
usuario slo tenga acceso a la WLAN denominada Admin. Haga clic en Enter (Introducir).

Nota: El SSID debe estar siempre precedido por *. Es obligatorio.

7. Haga clic en Submit (Enviar).

8. De igual manera, cree un usuario para el usuario del departamento de ventas. A continuacin, se muestran las capturas de pantallas.
9. Repita el mismo proceso para agregar ms usuarios a la base de datos.

Nota: De forma predeterminada, todos los usuarios se incluyen en el grupo predeterminado. Si desea asignar usuarios especficos a
diferentes grupos, consulte la seccin User Group Management (Administracin de grupos de usuarios) en User Guide for Cisco Secure
ACS for Windows Server 3.2 (Gua del usuario de Cisco Secure ACS para Windows Server).

Nota: Si no ve la seccin Network Access Restrictions (Restricciones de acceso a la red) en la ventana User Setup (Configuracin de
usuario), puede deberse a que no est activada. Para activar la seccin Network Access Restrictions (Restricciones de acceso a la red) para
los usuarios, seleccione Interfaces > Advanced Options (Interfaces > Opciones avanzadas) de la interfaz grfica de usuario de ACS,
User-Level Network Access Restrictions (Restricciones de acceso a red para usuarios) y haga clic en Submit (Enviar). As se activa
NAR y aparece la ventana User Setup (Configuracin de usuario).
10. Para activar la autenticacin EAP, haga clic en System Configuration (Configuracin del sistema) y en Global Authentication Setup
(Configuracin de autenticacin global) para asegurarse de que el servidor est configurado para realizar el mtodo de autenticacin EAP.

En los parmetros de configuracin de EAP, seleccione el mtodo EAP apropiado. En este ejemplo, se utiliza la autenticacin EAP. Haga
clic en Submit (Enviar) cuando haya terminado.
Configuracin del cliente inalmbrico y verificacin
Utilice esta seccin para confirmar que la configuracin funciona correctamente. Intente asociar un cliente inalmbrico a LAP con la
autenticacin LEAP, para verificar que la configuracin funciona segn lo esperado.

Nota: En este documento se considera que el perfil del cliente est configurado para la autenticacin LEAP. Consulte Uso de autenticacin EAP
(en ingls) para obtener ms informacin sobre cmo configurar el adaptador de cliente inalmbrico 802.11 a/b/g para la autenticacin LEAP.

Nota: En la ADU puede ver que ha configurado dos perfiles de clientes. Uno para los usuarios del departamento de administracin, con SSID
Admin, y otro para los usuarios del departamento de ventas, con SSID Sales. Los dos perfiles estn configurados para la autenticacin LEAP.

Cuando se activa el perfil para el usuario inalmbrico del departamento de administracin, se pide al usuario que proporcione el nombre de
usuario y la contrasea para la autenticacin LEAP. Aqu tiene un ejemplo:
LAP y, a continuacin, WLC transmiten las credenciales del usuario al servidor externo RADIUS (Cisco Secure ACS) para validar las
credenciales. WLC transmite las credenciales, entre las que se incluye el atributo DNIS (nombre de SSID) para que el servidor RADIUS lo
valide.

El servidor RADIUS verifica las credenciales del usuario, comparando los datos con los de la base de datos de usuarios (y con las NAR), y
permite el acceso al cliente inalmbrico siempre que las credenciales del usuario sean vlidas.

A partir de la autenticacin correcta de RADIUS, el cliente inalmbrico se asocia a LAP.

De la misma manera, cuando un usuario del departamento de ventas activa el perfil Sales, el servidor RADIUS autentica al usuario en funcin del
nombre de usuario y la contrasea de LEAP y del SSID.

El informe Passed Authentications (Autenticaciones aprobadas) del servidor ACS muestra que el cliente ha pasado la autenticacin de RADIUS
(autenticacin EAP y SSID). Aqu tiene un ejemplo:
Ahora, si el usuario Sales intenta acceder al SSID de Admin, el servidor RADIUS deniega el acceso del usuario a la WLAN. Aqu tiene un
ejemplo:

De esta manera, se puede restringir el acceso de los usuarios en funcin del SSID. En un entorno empresarial, se puede agrupar a todos los
usuarios de un departamento en un solo grupo y el acceso a la WLAN se puede permitir en funcin del SSID que utilicen, como se ha explicado
anteriormente en el documento.

Resolucin de problemas
Comandos para resolucin de problemas

La herramienta Output Interpreter (Intrprete de resultados) (OIT) (slo para clientes registrados) admite determinados comandos show. Utilice la OIT
para ver un anlisis del resultado del comando show.

Nota: Consulte Informacin importante sobre comandos de depuracin (en ingls) antes de utilizar los comandos debug:

debug dot1x aaa enable: activa la depuracin de las interacciones de 802.1x AAA.
debug dot1x packet enable: activa la depuracin de todos los paquetes dot1x.
debug aaa all enable: configura la depuracin de todos los mensajes AAA.

Tambin puede utilizar el informe de autenticaciones aprobadas y el informe de autenticaciones fallidas del servidor Cisco Secure ACS para
resolver los problemas de configuracin. Estos informes se encuentran en la ventana Reports and Activity (Informes y actividad) en la interfaz
grfica de usuario de ACS.

1992-2014 Cisco Systems Inc. Todos los Derechos Reservados.

Fecha de Generacin del PDF: 20 Mayo 2008

http://www.cisco.com/cisco/web/support/LA/7/77/77769_wlan-ssid-wlc-acs.html