簡介
本檔案介紹如何在本地交換模式下使用WLC ISE上的FlexConnect AP配置中央Web驗證。
必要條件
需求
本文件沒有特定需求。
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- 思科身分識別服務引擎(ISE)版本1.2.1
- 無線區域網路控制器(WLC)軟體版本版本 — 7.4.100.0
- 存取點(AP)
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
註:此時,此方案不支援FlexAP上的本地身份驗證。
此系列中的其他檔案
設定
在無線LAN控制器(WLC)上設定中央Web驗證的方法有多種。第一種方法是本地Web驗證,其中WLC將HTTP流量重新導向至內部或外部伺服器,以提示使用者進行驗證。然後WLC取得憑證(如果是外部伺服器,則透過HTTP GET要求傳回)並進行RADIUS驗證。在訪客使用者的情況下,需要外部伺服器(如身份服務引擎(ISE)或NAC訪客伺服器(NGS)),因為門戶提供裝置註冊和自助調配等功能。此過程包括以下步驟:
- 使用者關聯到Web身份驗證SSID。
- 使用者開啟其瀏覽器。
- 輸入URL後,WLC會立即重新導向到訪客輸入網站(例如ISE或NGS)。
- 使用者在門戶上進行身份驗證。
- 使用輸入的憑證,訪客輸入網站重新導向回WLC。
- WLC透過RADIUS驗證訪客使用者的身分。
- WLC重新導向回原始URL。
此過程包括許多重新導向。新方法是使用中央Web驗證,這與ISE(1.1版之後)和WLC(7.2版之後)配合使用。此過程包括以下步驟:
- 使用者關聯到Web身份驗證SSID。
- 使用者開啟其瀏覽器。
- WLC重新導向至訪客輸入網站。
- 使用者在門戶上進行身份驗證。
- ISE會傳送RADIUS授權變更(CoA - UDP連線埠1700)以告知控制器使用者為有效且最終會推送RADIUS屬性,例如存取控制清單(ACL)。
- 系統將提示使用者重試原始URL。
本節介紹在WLC和ISE上配置中央Web身份驗證的必要步驟。
網路圖表
此配置使用以下網路設定:
網路設定
WLC組態
WLC的組態相當簡單。使用技巧(與交換機上的相同)從ISE獲取動態身份驗證URL。(由於它使用CoA,因此需要建立會話,因為會話ID是URL的一部分。) SSID配置為使用MAC過濾,而ISE配置為返回訪問接受消息,即使MAC地址未找到,也如此ISE會為所有使用者傳送重定向URL。
此外,必須啟用RADIUS網路認可控制(NAC)和AAA覆寫。RADIUS NAC允許ISE傳送CoA要求,表示使用者現已通過驗證且能夠存取網路。它還用於安全評估中,ISE根據安全評估結果更改使用者配置檔案。
- 確保RADIUS伺服器已啟用RFC3576(CoA)(這是預設值)。
RADIUS伺服器有RFC3576
- 建立一個新的 WLAN。此範例建立名為CWAFlex的新WLAN,並將其分配給vlan33。(請注意,由於存取點處於本機交換模式,因此不會有太大影響。)
建立一個新的WLAN
- 在Security頁籤上,啟用MAC Filtering as Layer 2 Security。
啟用MAC過濾
- 在第3層頁籤上,確保已禁用安全性。(如果在第3層啟用Web驗證,則啟用本地Web驗證,而不是中央Web驗證。)
確保禁用了安全性
- 在AAA Servers頁籤上,選擇ISE伺服器作為WLAN的radius伺服器。或者,您可以選擇它進行記帳,以便獲得有關ISE的更多詳細資訊。
選擇ISE伺服器
- 在Advanced頁籤上,確保選中Allow AAA Override並為NAC狀態選擇Radius NAC。
確保選中Allow AAA Override
- 建立重新導向ACL。
此ACL在ISE的Access-Accept消息中引用,並定義哪些流量必須重定向(被ACL拒絕)以及哪些流量不能重定向(由ACL允許)。基本上,需要允許DNS和來自ISE的流量
註意:FlexConnect AP的問題是您必須建立獨立於普通ACL的FlexConnect ACL。此問題已記錄在Cisco錯誤ID CSCue68065中,並在7.5版中修正。在WLC 7.5及更新版本中,僅需使用FlexACL,不需要標準型ACL。WLC預期ISE返回的重定向ACL是普通ACL。但是,為確保其正常工作,您需要應用與FlexConnect ACL相同的ACL。(只有註冊的思科使用者才能訪問內部思科工具和資訊。)
以下範例顯示如何建立名為flexred的FlexConnect ACL:
建立名為Flexred的FlexConnect ACL
- 建立規則以允許DNS流量以及指向ISE的流量,並拒絕其餘流量。
允許DNS流量
如果您希望獲得最高安全性,則只能允許埠8443指向ISE。(如果進行姿態,必須新增典型終端安全評估埠,例如8905、8906、8909、8910。)
- (由於Cisco錯誤IDCSCue68065,因此僅限版本7.5之前的代碼)選擇Security > Access Control清單以建立具有相同名稱的相同ACL。
建立相同的ACL
- 準備特定FlexConnect AP。請注意,對於大型部署,通常使用FlexConnect組,出於可擴充性原因,不會逐個AP執行這些專案。
- 按一下「Wireless」,然後選擇特定的存取點。
- 點選FlexConnect選項卡,然後點選外部Web驗證ACL。(7.4之前的版本將此選項命名為Web策略。)
點選FlexConnect頁籤
- 將ACL(在本示例中命名為flexred)新增到Web策略區域。這會將ACL預先推送到存取點。它尚未應用,但會將ACL內容提供給AP,以便在需要時應用。
將ACL新增到Web策略區域
WLC配置現在已完成。
ISE 組態
建立授權配置檔案
完成以下步驟以建立授權配置檔案:
-
按一下Policy,然後按一下Policy Elements。
-
按一下Results。
-
展開Authorization,然後按一下Authorization profile。
-
按一下Add按鈕,為中央webauth建立一個新的授權設定檔。
-
在「Name」欄位中,輸入設定檔的名稱。此範例使用CentralWebauth。
-
從Access Type下拉選單中選擇ACCESS_ACCEPT。
-
勾選「Web Authentication」覈取方塊,然後從下拉式清單中選擇「集中式Web Auth」。
-
在ACL欄位中,輸入WLC上用於定義將重新導向的流量的ACL名稱。此示例使用flexred。
-
從Redirect下拉式清單中選擇Default。
Redirect屬性定義ISE看到預設Web門戶還是ISE管理員建立的自定義Web門戶。例如,此範例中的flexred ACL會觸發從使用者端到任何位置的HTTP流量重新導向。
ACL會觸發從客戶端到任意位置的HTTP流量重定向
建立驗證規則
完成以下步驟,即可使用驗證設定檔建立驗證規則:
- 在Policy(策略)選單下,按一下Authentication。
此圖顯示如何配置身份驗證策略規則的示例。在此示例中,配置了一個規則,當檢測到MAC過濾時將觸發該規則。
如何配置策略規則
- 輸入身份驗證規則的名稱。本示例使用Wireless mab。
- 在If條件欄位中選擇加號(+)圖示。
- 選擇複合條件,然後選擇Wireless_MAB。
- 選擇Default network access 作為allowed protocol。
- 按一下和……旁邊的箭頭可進一步展開規則。
- 點選Identity Source欄位中的+圖示,然後選擇Internal endpoints。
- 從If user not found下拉選單中選擇Continue。
按一下「繼續」
此選項允許通過webauth對裝置進行身份驗證(即使裝置的MAC地址未知)。Dot1x使用者端仍可以使用其憑證進行驗證,且不得與此組態相關。
建立授權規則
現在,在授權策略中有幾個規則需要配置。連線PC後,會進行mac過濾;假設MAC地址未知,因此會返回webauth和ACL。此MAC not known規則顯示在下一影象中,並在本節中配置。
MAC未知
完成以下步驟以建立授權規則:
-
建立新規則並輸入名稱。此示例使用未知MAC。
-
按一下條件欄位中的加號(+)圖示,並選擇建立新條件。
-
展開expression下拉選單。
-
選擇Network access,然後展開它。
-
按一下AuthenticationStatus,然後選擇Equals運算子。
-
在右側欄位中選擇UnknownUser。
-
在General Authorization頁面上,然後在該字詞右側的欄位中選擇CentralWebauth(Authorization Profile)。
即使使用者(或MAC)未知,此步驟也允許ISE繼續。
現在,「登入」頁面將顯示未知使用者。但是,一旦他們輸入其憑證,他們就會再次在ISE上顯示身份驗證請求;因此,必須為另一規則配置一個條件,如果該使用者是訪客使用者,則此條件必須滿足。在此示例中,如果UseridentityGroup等於已使用的Guestis,則假定所有來賓均屬於此組。
-
按一下位於MAC未知規則末尾的操作按鈕,然後選擇在上方插入新規則。
-
在name欄位中輸入第2個AUTH。
- 選擇身份組作為條件。此示例選擇訪客。
- 在條件欄位中,按一下加號(+)圖示,然後選擇建立新條件。
- 選擇Network Access,然後按一下UseCase。
- 選擇Equals作為運算子。
- 選擇GuestFlow作為正確的運算元。這意味著您將捕獲剛剛登入該網頁的使用者,並在授權更改(規則的訪客流部分)後再次登入,並且僅當這些使用者屬於訪客身份組時。
- 在授權頁面上,點選加號(+)圖示(位於tothen旁邊),為您的規則選擇結果。
在本範例中,已指派一個預先設定的設定檔(vlan34);本檔案沒有顯示此組態。
您可以選擇Permit Access選項或建立自定義配置檔案,以返回您喜歡的VLAN或屬性。
注意:在ISE版本1.3中,根據Web身份驗證的型別,無法再遇到訪客流使用案例。然後,授權規則必須包含訪客使用者組作為唯一可能的條件。
啟用IP續訂(可選)
如果分配VLAN,最後一步是客戶端PC更新其IP地址。此步驟由Windows客戶端的訪客門戶實現。如果之前沒有為第2個AUTH規則設定VLAN,則可以跳過此步驟。
請注意,在FlexConnect存取點上,VLAN需要預先存在於AP上。因此,如果沒有,則您可以在AP本身或靈活組上建立VLAN-ACL對映,其中您不需要為要建立的新VLAN應用任何ACL。實際上會建立VLAN(不含ACL)。
如果您分配了VLAN,請完成以下步驟以啟用IP續訂:
-
按一下Administration,然後按一下Guest Management。
-
按一下Settings。
-
展開Guest,然後展開Multi-Portal Configuration。
-
按一下DefaultGuestPortal或您建立的自定義門戶的名稱。
-
按一下Vlan DHCP Release 覈取方塊。
按一下Vlan DHCP釋放覈取方塊
流量
在此案例中,可能很難理解將哪些流量傳送到何處。以下是快速回顧:
- 客戶端通過無線方式傳送SSID的關聯請求。
- WLC使用ISE處理MAC過濾身份驗證(它接收重定向屬性)。
- 客戶端只在MAC過濾完成後收到關聯響應。
- 客戶端提交DHCP請求,即 本地 由接入點交換,以獲得遠端站點的IP地址。
- 在Central_webauth狀態下,重新導向ACL(因此通常為HTTP)上標籤為deny的流量會顯示 集中 交換.因此,進行重新導向的並非存取點,而是使用者連線埠WLC;例如,當使用者端要求建立任何網站時,AP會將此網站傳送至封裝在CAPWAP中的WLC,而WLC會偽裝該網站的IP位址,並將重新導向至ISE。
- 客戶端被重定向到ISE重定向URL。這是 本地 再次交換(因為它在flex重新導向ACL上命中permit)。
- 一旦進入RUN狀態,流量就會在本地進行交換。
驗證
使用者與SSID關聯後,授權將顯示在ISE頁面中。
顯示授權
從下到上,您可以看到返回CWA屬性的MAC地址過濾身份驗證。接下來是使用使用者名稱的門戶登入。ISE然後向WLC傳送CoA,最後身份驗證是WLC端的第2層mac過濾身份驗證,但ISE會記住客戶端和使用者名稱並應用我們在此示例中配置的必要VLAN。
當在客戶端上開啟任何地址時,瀏覽器將重定向到ISE。確保域名系統(DNS)配置正確。
已重定向至ISE
在使用者接受策略後授予網路訪問許可權。
已授予網路訪問許可權
在控制器上,策略管理器狀態和RADIUS NAC狀態從POSTURE_REQD更改為RUN。
相關資訊