Cisco Wireless LAN - Web Authentication - LWA



 ◆ WLC - Web認証の設定 - Cisco ISEとの連携

 Cisco ISEゲストポータルと連携したLWA(Local Web Authentication)の設定方法を解説します。今回は
 Cisco WLCの設定だけの解説であり、LWAを実装させるためにはCisco ISEでの設定が別途必要となります。
 ここで解説する内容は Cisco ISE 1.x、WLC 8.x を前提としますが、異なるバージョンでも役立つでしょう。
 以下で紹介する設定は、構築後のネットワークでは業務時間外に設定作業を実施することをお勧め致します。

 @ Web認証を適用したいSSIDを無効化にする( SSIDのGeneralのStatusのEnabledのチェックを外す )
 A Web認証のリダイレクト先をExternalとしてISEのアドレス(10.1.1.5)を指定します。以下の設定は
 ⇒ 「SECURITY」 ⇒ 「Web Auth」 ⇒ 「Web Login Page」で、例えば、以下のように設定を行います。

 


 すると、OSバージョンによりpreauth ACL(認証前ACL)の設定が必要ですよとメッセージが出力されます。

 


 B Web認証前に許可されるACLを定義します。CCO解説通りISEとの通信許可とUDP通信を許可します。
 ⇒ 「SECURITY」 ⇒ 「Access Control Lists」 ⇒ 「Access Control Lists」で「New...」をクリック。

 


 


 


 C Web認証を有効化するSSIDにおいて、認証前ACLを適用します。

 


 D Web認証を適用したいSSIDを有効化にする(SSIDのGeneralのStatusのEnabledのチェックを入れる)


 ◆ Radiusサーバの設定

 LWAにおいて、ISEとWLCが正常に動作した時の設定画面は以下の通り。チェック箇所も同じにしましょう。

 
◆ 認証サーバ設定

 



 
◆ 認可サーバ設定

 



 Web認証を適用するSSIDのAAA Serversの設定は以下の通りです。チェック項目は要件に応じて設定。

 

 


 以上の通り、WLCの設定は特に難しくありません。正常に動作しない場合はISEの設定を再確認しましょう。


 ここで紹介した設定例は、RadiusサーバのISEが
 1台だけ導入している事が前提なのでIPアドレスを
 Web Login Pageで設定していますが2台以上導入
 している場合は例えば以下の設定通り2台のISEの
 VIPとなるFQDNを指定して設定することが推奨。

 適切なトラフィック処理を行えるVIPとなるFQDN
 を指定することで、ISEのどちらかに障害が発生し
 ても継続してISEとWLCが連携して、LWAを提供。

 External Webauth URLを、Primary、Secondaryと2つ指定できればこの設計を意識しなくてよいので仕様を改善して欲しいです。

 



Cisco無線LAN - WLC 設定

ネットワークエンジニアとして

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.