สวัสดีครับ ในบทความนี้จะพามาดูตัวอย่างการคอนฟิก Wireless Web Authentication โดยใช้ Cisco Wireless LAN Controller กับ Cisco Identity Service Engine กันนะครับ
โดย Version ของ Software ที่ใช้มีดังนี้
– Cisco Wireless LAN Controller Version 8.5
– Cisco Identity Service Engine (ISE) Version 2.4
1. ตั้งค่า Wireless LAN Controller (WLC)
1.1 คอนฟิก Radius Server (ISE)
- เพื่อใช้ในการสื่อสารระหว่าง WLC กับ Radius Server
- ไปที่ SECURITY > RADIUS > Authentication > New
- ใส่หมายเลข IP และ Secret Key ที่จะใช้ Sync ระหว่าง ISE กับ WLC >> กด Apply
- คลิกที่ Accounting >> New
- ใส่หมายเลข IP และ Secret Key ที่จะใช้ Sync ระหว่าง ISE กับ WLC >> กด Apply
1.2 การสร้าง WLAN
- ไปที่ WLANs >> Create New >> Go
- ตั้งชื่อ Profile Name และ ชื่อ SSID >> กด Apply
- เข้าไปที่ SSID ที่เราสร้าง และไปที่ Tab General >> ติ๊ก Enable Status >> เลือก Interface ที่เราจะใช้
- ไปที่ Tab Security >> Layer 2 >> ติ๊ก Mac Filtering
- ไปที่ Tab Security >> Layer 3 >> เลือก None
- ไปที่ Tab Security >> AAA Servers >> เลือก Authentication Server และ Accounting Sever เป็น IP ของ ISE ที่เราได้สร้างไว้
- ไปที่ Tab Advance >> ติ๊ก Enable Allow AAA Override >> ติ๊ก DHCP Addr. Assignment >> เลือก NAC เป็น ISE NAC >> กด Apply
1.3 สร้าง Access Control List (ACL) สำหรับ ISE บน WLC
- ไปที่ Secutity >> Access Control List >> New
- ตั้งชื่อ >> เลือก Version IP >> Apply
- คลิ๊ก Add New Rule และกำหนด Rule ดังรูป โดยที่ IP : 192.168.1.56 คือ IP ของ ISE
2. การคอนฟิกบน Cisco Identity Service Engine (ISE)
2.1 Add WLC to Network Device on ISE
- ไปที่ Administration >> Network Devices >> Add
- ใส่ชื่อ และ หมายเลข IP ของ WLC
- เลื่อนลงมาที่ Radius Authentication Settings >> ใส่ Secret key ให้ตรงกับบน WLC
- ตรวจสอบข้อมูล และกด Summit
2.2 Add Users to ISE
ในบทความนี้จะทำการ Add Users จาก 2 ส่วน ด้วยกันคือ Local User บน ISE และ การ Add Users จาก Active Directory (AD)
2.2.1 Add Local User
- ไปที่ Administration >> Identity
- คลิ๊ก Add
- ใส่ Username , Password และเลือก User Group >> กด Summit
2.2.2 Add User จาก Active Directory(AD)
- ไปที่ Administration >> External Identity Sources
- คลิ๊ก Active Directory >> Add
- ใส่หมายเลข IP ของ Active Directory และ ชื่อ Domain >> กด Submit
- คลิ๊กเครื่องหมายถูกที่ Active Directory ที่เราเพิ่งเพิ่มมา >> จากนั้นคลิ๊ก Join
- ใส่ Username ที่เราให้สิทธิ์ในการเข้าถึงข้อมูลบน Active Directory (User บน AD Server) >> กด OK
- เมื่อ Join AD สำเร็จจะแสดงข้อมูลดังรูป
- ทดสอบ User จาก AD >> คลิ๊ก Test User
- ใส่ User บน AD ที่เราต้องการทดสอบ หากทดสอบผ่านจะแสดงข้อความ “Success”
2.3 Policy Profile
- ไปที่ Policy >> Results
- ไปที่ Authorization >> Authorization Profiles >> Add
- ตั้งชื่อ Profile ,เลือก Access Type เป็น Access_Accept
- ลงมาที่เมนู Common Task ที่หัวข้อ Web Redirection >> เลือก Centralized Web Auth จากนั้นในช่อง ACL ให้ตรงที่เราตั้งไว้บน WLC และในหัวข้อ Value เลือก หน้า Portal ที่เราต้องการ ซึ่งโดย Default จะเป็น Template ชื่อ Sponsored Guest Portal ซึ่งหน้า Template นี้ เราสามารถปรับแต่งได้ครับ
- เลื่อนลงมาด้านล่าง และตรวจสอบค่าคอนฟิก จากนั้นกด Save
2.4 Policy Set
- ไปที่ Policy >> Policy Sets
- คลิ๊กปุ่ม “+” เพื่อสร้าง Policy Set อันไหม่ >> ที่หัวข้อ Policy Set Name ให้ตั้งชื่อ Policy ที่ต้องการ >> จากนั้นที่หัวข้อ Conditions ให้เรา คลิ๊ก “+” เพื่อเพิ่ม Conditions
- เลือก Wireless MAB และลากไปใส่ในกล่องข้อความด้านซ้าย จากนั้น กด Use
- ที่หัวข้อ Allowed Protocols เลือก Default Network Access >> กด Save >> และ กด “>” เพื่อเพิ่มเงื่อนไขใน Policy Set
- ที่หัวข้อ Authentication Policy >> เราจะใช้ค่า Default >> จากนั้นที่หัวข้อ Use ให้เลือกว่าจะใช้กับ User กลุ่มใหนบ้าง เช่น AD หรือ Internal แต่ในบทความนี้ จะเลือก All_User_ID_Stores นั่นคือใช้กับ User ทุกกลุ่ม ที่ Sync อยู่กับ ISE >> ที่หัวข้อ Option เลือกเป็น Reject , Continue, Drop ตามลำดับ
- ไปที่หัวข้อ Authorization Policy เราจะสร้าง 2 Rule ด้วยกันคือ Guest _Redirect ใช้สำหรับ Redirect ไปยังหน้าเว็บ Authen เมื่อ User เชื่อมต่อเข้ามาในระบบ และ Guest_Portal_Authen ใช้สำหรับตรวจสอบสิทธิ์ในการใช้งานหลังจาก User ทำการ Login ผ่านหน้าเว็บ
- สร้าง Rule Guest_Redirect คลิ๊ก “+” เพื่อสร้าง Rule ใหม่ >> ที่หัวข้อ Rule Name ให้ตั้งชื่อของ Rule ที่ต้องการ >> ที่หัวข้อ Results Profiles เลือก Profile ที่เราได้สร้างเอาไว้ใน ขั้นตอนที่ 2.3 นั่นคือ WLC_CWA
- ที่หัวข้อ Condition ให้คลิ๊ก “+” เพื่อเพิ่ม Conditions
- เลือก Attribute เป็น Airespace-Wlan-Id และใส่ค่า Attribute เป็น Equals และใส่ ค่า WLAN ID ลงไป ในที่นี้ SSID: AbleNet_Web_Login มีค่า WLAN ID = 4 >> จากนั้นกด Use
- สร้าง Rule Guest_Portal_Authen คลิ๊ก “+” เพื่อสร้าง Rule ใหม่>> ที่หัวข้อ Rule Name ให้ตั้งชื่อของ Rule ที่ต้องการ >> ที่หัวข้อ Results Profiles เลือก PermitAccess ซึ่งเป็นค่า Default ที่ระบบมีให้เราใช้อยู่แล้ว
- ที่หัวข้อ Condition ให้คลิ๊ก “+” เพื่อเพิ่ม Conditions >> เลือก Attribute เป็น Network Access:UseCase และใส่ค่า Attribute เป็น Equals และเลือกค่าเป็น Guest Flow >> จากนั้น กด Use
- ตรวจสอบ Rule ที่เราสร้าง ซึ่งจะมีสอง Rule ดังรูป
** หากเราต้องการสร้าง Policy ให้สามารถใช้ได้กับหลายๆ SSID ให้เราเลือก Conditions ใน Rule Guest_Redirect เป็น Wireless_MAB แสดงตัวอย่างดังรูปด้านล่าง
3. ทดสอบเชื่อมต่อเข้าสู่ระบบ
- เลือกเชื่อมต่อ SSID ที่เราได้สร้างไว้
- จากนั้นระบบจะพาเข้าไปที่หน้า Web Authen เมื่อเรากรอก Usename/Password ถูกต้อง จะสามารถใช้งานระบบเครือข่ายได้
- ตรวจสอบ Session ที่ ISE โดยไปที่ Operations >> Radius >> Live Logs
- ระบบจะแสดงสถานะการเชื่อมต่อของ Client ที่เชื่อมต่อเข้ามา จากรูปแสดงให้เห็นว่า Client ที่เชื่อมต่อเข้ามา มีการ Flow สถานะตาม Policy ที่เราสร้างอย่างถูกต้อง
สามาติดตามบทความอื่นๆ ได้ทาง Social Media ด้านล่าง หรือตามลิ้ง นี้เลยครับ http://www.ablenet.co.th/category/article/