Sem fio : Controladores sem fio Cisco 5500 Series

Sem fio BYOD para o guia de distribuição de FlexConnect

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Os dispositivos móvéis estão tornando-se mais computacionalmente poderosos e populares entre consumidores. Milhões destes dispositivos são vendidos aos consumidores com Wi-fi de alta velocidade assim que os usuários podem comunicar-se e colaborar. Os consumidores agora são acostumados ao realce que da produtividade estes dispositivos móvéis trazem em suas vidas e estão procurando trazer sua experiência pessoal no espaço de trabalho. Isto cria as necessidades da funcionalidade de uma solução de Bring Your Own Device (BYOD) no local de trabalho.

Este documento fornece o desenvolvimento do ramo para a solução BYOD. Um empregado conecta a um Service Set Identifier (SSID) corporativo com o o seu/seu iPad novo e obtém reorientado a um portal do auto-registo. O Cisco Identity Services Engine (ISE) autentica o usuário contra o diretório ativo corporativo (AD) e transfere um certificado com um MAC address do iPad e um username encaixados ao iPad, junto com um perfil do suplicante que reforce o uso da Segurança da camada do Protocolo-transporte da autenticação extensível (EAP-TLS) como um método para a Conectividade do dot1x. Baseado na política da autorização no ISE, o usuário pode então conectar com o uso do dot1x e aceder para apropriar recursos.

As funcionalidades ISE em software release do controlador de LAN do Cisco Wireless mais cedo do que 7.2.110.0 não apoiaram os clientes do switching local que associam através dos Access point de FlexConnect (AP). Libere 7.2.110.0 apoia estas funcionalidades ISE para FlexConnect AP para o switching local e clientes centralmente autenticados. Além disso, a liberação 7.2.110.0 integrado com ISE 1.1.1 fornece (mas não é limitado a) estas características da solução BYOD para o Sem fio:

  • Perfilamento e postura do dispositivo
  • Registo do dispositivo e abastecimento do suplicante
  • Onboarding de dispositivos pessoais (iOS da disposição ou dispositivos de Android)

Nota: Embora apoiados, os outros dispositivos, tais como o PC ou portáteis wireless e estações de trabalho do Mac, não são incluídos neste guia.

Contribuído por Surendra BG e por Ramamurthy Bakthavatchalam, engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco catalyst Switchs
  • Controladores do Cisco Wireless LAN (WLAN)
  • Software release 7.2.110.0 do controlador de WLAN de Cisco (WLC) e mais tarde
  • 802.11n AP no modo de FlexConnect
  • Software Release 1.1.1 e Mais Recente de Cisco ISE
  • Windows 2008 AD com Certificate Authority (CA)
  • Servidor DHCP
  • Server do Domain Name System (DNS)
  • Network Time Protocol (NTP)
  • Portátil, smartphone, e tabuletas do cliente Wireless (iOS de Apple, Android, Windows, e Mac)

Nota: Refira Release Note para controladores de LAN e Lightweight Access Points do Cisco Wireless para a liberação 7.2.110.0 para a informação importante sobre este software release. Entre ao local do cisco.com para os Release Note os mais atrasados antes que você carregue e teste o software.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Topologia

Uma instalação de rede mínima, segundo as indicações deste diagrama é exigida a fim executar e testar corretamente estas características:

byod-flexconnect-dg-001.gif

Para esta simulação, você precisa uma rede com um FlexConnect AP, um local/local remoto com DHCP local, DNS, o WLC, e o ISE. O FlexConnect AP é conectado a um tronco a fim testar o switching local com vlan múltiplos.

Registo do dispositivo e abastecimento do suplicante

Um dispositivo deve ser registrado de modo que seu suplicante nativo possa fornecida para a autenticação do dot1x. Baseado na política de autenticação direita, o usuário é reorientado à página do convidado e autenticado por credenciais do empregado. O usuário vê a página do registo do dispositivo, que pede sua informação do dispositivo. O processo de provisionamento do dispositivo começa então. Se o operating system (OS) não é apoiado para o abastecimento, o usuário está reorientado ao portal do registo do ativo a fim marcar que dispositivo para o acesso do desvio da autenticação de MAC (MAB). Se o OS é apoiado, o processo do registro começa e configura o suplicante nativo do dispositivo para a autenticação do dot1x.

Portal do registo do ativo

O portal do registo do ativo é o elemento da plataforma ISE que permite que os empregados iniciem onboarding dos valores-limite com uma autenticação e um processo de registro.

Os administradores podem suprimir de ativos da página das identidades dos valores-limite. Cada empregado pode editar, suprimir, e põr dos ativos que se registraram. Os valores-limite põr são atribuídos a um grupo da identidade da lista negra, e uma política da autorização é criada a fim impedir o acesso de rede por valores-limite põr.

Portal do Auto-registo

No fluxo central da autenticação da Web (CWA), os empregados são reorientados a um portal que permita que incorporem suas credenciais, autentiquem, e incorporem os específicos do ativo que particular desejam se registrar. Este portal é chamado o portal do abastecimento do auto e é similar ao portal do registo do dispositivo. Permite que os empregados entrem no MAC address assim como em um escription significativo do valor-limite.

Autenticação e abastecimento

Uma vez que os empregados selecionam o portal do Auto-registo, estão desafiados a fornecer um grupo de credenciais válidas do empregado a fim continuar à fase do abastecimento. Após a autenticação bem sucedida, o valor-limite pode ser fornecida no banco de dados dos valores-limite, e um certificado é gerado para o valor-limite. Um link na página permite que o empregado transfira o assistente do piloto do suplicante (SPW).

Nota: Refira o artigo de Cisco da matriz de recurso de FlexConnect a fim ver a matriz de recurso a mais atrasada de FlexConnect para BYOD.

Abastecimento para iOS (iPhone/iPad/iPod)

Para a configuração do EAP-TLS, o ISE segue Apple sobre - o processo do registro do ar (OTA):

  • Após a autenticação bem sucedida, o motor da avaliação avalia políticas do cliente-abastecimento, que conduz a um perfil do suplicante.
  • Se o perfil do suplicante é para o ajuste do EAP-TLS, o processo OTA determina se o ISE é se usar auto-assinada ou assinada por CA desconhecido. Se uma das circunstâncias é verdadeira, o usuário está pedido para transferir o certificado do ISE ou do CA antes que o processo do registro possa começar.
  • Para outros métodos de EAP, o ISE empurra o perfil final em cima da autenticação bem sucedida.

Abastecimento para Android

Devido às considerações de segurança, o agente de Android deve ser transferido do local do mercado de Android e não pode ser fornecida do ISE. Cisco transfere arquivos pela rede uma versão de candidato da liberação do assistente no mercado de Android com a conta do editor do mercado de Cisco Android.

Este é o processo de provisionamento de Android:

  1. Cisco usa o Software Development Kit (SDK) a fim criar o pacote de Android com uma extensão .apk.
  2. Cisco transfere arquivos pela rede um pacote no mercado de Android.
  3. O usuário configura a política no abastecimento do cliente com os parâmetros apropriados.
  4. Após o registo do dispositivo, o utilizador final está reorientado ao serviço do abastecimento do cliente quando a autenticação do dot1x falha.
  5. A página portal do abastecimento fornece um botão que reoriente o usuário ao portal do mercado de Android onde podem transferir o SPW.
  6. Cisco SPW é lançado e executa o abastecimento do suplicante:
    1. SPW descobre o ISE e transfere o perfil do ISE.
    2. SPW cria um CERT/par de chaves para o EAP-TLS.
    3. SPW faz um atendimento da solicitação de proxy do protocolo simple certificate enrollment (SCEP) ao ISE e obtém o certificado.
    4. SPW aplica os perfis wireless.
    5. SPW provoca a reautenticação se os perfis são aplicados com sucesso.
    6. Saídas SPW.

Auto-registo wireless duplo SSID BYOD

Este é o processo para o auto-registo wireless duplo SSID BYOD:

  1. Os associados do usuário ao convidado SSID.
  2. O usuário abre um navegador e é reorientado ao portal do convidado ISE CWA.
  3. O usuário incorpora um nome de usuário e senha do empregado ao portal do convidado.
  4. O ISE autentica o usuário, e, com base no fato de que são um empregado e não um convidado, reorienta o usuário à página do convidado do registo do dispositivo do empregado.
  5. O MAC address PRE-é povoado na página do convidado do registo do dispositivo para o DeviceID. O usuário incorpora uma descrição e aceita a política de uso aceitável (AUP) se for necessário.
  6. O usuário seleciona aceita e começa a transferir e instalar o SPW.
  7. O suplicante para o dispositivo desse usuário é fornecida junto com todos os Certificados.
  8. O CoA ocorre, e o dispositivo reassocia ao SSID corporativo (CORP) e autentica com EAP-TLS (ou o outro método de autorização no uso para esse suplicante).

Único Auto-registo wireless SSID BYOD

Nesta encenação, há um único SSID para o acesso corporativo (CORP) esse protocolo extensible authentication protegido dos apoios (PEAP) e EAP-TLS. Não há nenhum convidado SSID.

Este é o processo para o único auto-registo wireless SSID BYOD:

  1. Os associados do usuário ao CORP.
  2. O usuário incorpora um nome de usuário e senha do empregado no suplicante para a autenticação de PEAP.
  3. O ISE autentica o usuário, e, com base no método PEAP, fornece uma política da autorização de aceita com reorienta à página do convidado do registo do dispositivo do empregado.
  4. O usuário abre um navegador e é reorientado à página do convidado do registo do dispositivo do empregado.
  5. O MAC address PRE-é povoado na página do convidado do registo do dispositivo para o DeviceID. O usuário incorpora uma descrição e aceita o AUP.
  6. O usuário seleciona aceita e começa a transferir e instalar o SPW.
  7. O suplicante para o dispositivo desse usuário é fornecida junto com todos os Certificados.
  8. O CoA ocorre, e o dispositivo reassocia ao CORP SSID e autentica com EAP-TLS.

Configuração da característica

Termine estas etapas a fim começar a configuração:

  1. Para este guia, assegure-se de que a versão WLC seja 7.2.110.0 ou mais tarde.

    byod-flexconnect-dg-002.gif

  2. Navegue à Segurança > ao RAIO > à autenticação, e adicionar o servidor Radius ao WLC.

    byod-flexconnect-dg-003.gif

  3. Adicionar o ISE 1.1.1 ao WLC:

    • Incorpore um segredo compartilhado.
    • Ajuste o apoio para o RFC 3576 ao permitido.

    byod-flexconnect-dg-004.gif

  4. Adicionar o mesmo server ISE que um servidor de contabilidade do RAIO.

    byod-flexconnect-dg-005.gif

  5. Crie um PRE-AUTH ACL WLC para usar-se mais tarde na política ISE. Navegue ao > segurança > às listas de controle de acesso > ao FlexConnect ACL WLC, e crie um FlexConnect novo ACL nomeado ACL-REDIRECT (neste exemplo).

    byod-flexconnect-dg-006.gif

  6. Nas regras ACL, permita todo o tráfego para/desde o ISE, e permita o tráfego do cliente durante o abastecimento do suplicante.

    1. Para a primeira regra (sequência 1):

      • Ajuste a fonte a alguns.
      • Ajusta-se IP () do endereço ISE/Máscara de rede 255.255.255.255.
      • Ajuste a ação para permitir.

      byod-flexconnect-dg-007.gif

    2. Para segundo regra (sequência 2), ajusta-se fonte IP () do endereço ISE/máscara 255.255.255.255 a alguns e ação a permitir.

      byod-flexconnect-dg-008.gif

  7. Crie um grupo novo de FlexConnect nomeado Flex1 (neste exemplo):

    1. Navegue à aba do grupo > do WebPolicies de FlexConnect.
    2. Sob o campo de WebPolicy ACL, o clique adiciona, e ACL-REDIRECT seleto ou o FlexConnect ACL criado previamente.
    3. Confirme que povoa o campo das listas de controle de acesso de WebPolicy.

    byod-flexconnect-dg-009.gif

  8. O clique aplica e salvar a configuração.

Configuração WLAN

Termine estas etapas a fim configurar o WLAN:

  1. Crie um WLAN aberto SSID para o exemplo duplo SSID:

    • Dê entrada com um nome WLAN: DemoCWA (neste exemplo).
    • Selecione a opção permitida para o estado.

    byod-flexconnect-dg-010.gif

  2. Navegue à aba da ABA de segurança > da camada 2, e ajuste estes atributos:

    • Segurança da camada 2: Nenhum
    • Filtração MAC: Permitido (a caixa é verificada)
    • Transição rápida: Deficiente (a caixa não é verificada)

    byod-flexconnect-dg-011.gif

  3. Vá à aba dos servidores AAA, e ajuste estes atributos:

    • Server da autenticação e da conta: Habilitado
    • Servidor1: Endereço IP de Um ou Mais Servidores Cisco ICM NT <ISE >

    byod-flexconnect-dg-012.gif

  4. Enrole para baixo da aba dos servidores AAA. Sob a ordem da prioridade da autenticação para o usuário do Web-AUTH, certifique-se de que o RAIO está usado para a autenticação e o outro não está usado.

    byod-flexconnect-dg-013.gif

  5. Vá ao guia avançada, e ajuste estes atributos:

    • Permita a ultrapassagem AAA: Habilitado
    • Estado NAC: Raio NAC

    byod-flexconnect-dg-014.gif

    Nota: O Network Admission Control (NAC) do RAIO não é apoiado quando o FlexConnect AP reage do modo desligado. Assim, se o FlexConnect AP reage do modo independente e perde a conexão ao WLC, todos os clientes são desligados, e o SSID é anunciado já não.

  6. Enrole para baixo no guia avançada, e ajuste o switching local de FlexConnect ao permitido.

    byod-flexconnect-dg-015.gif

  7. O clique aplica e salvar a configuração.

    byod-flexconnect-dg-016.gif

  8. Crie um 802.1X WLAN SSID nomeado Demo1x (neste exemplo) para únicas e encenações duplas SSID.

    byod-flexconnect-dg-017.gif

  9. Navegue à aba da ABA de segurança > da camada 2, e ajuste estes atributos:

    • Segurança da camada 2: WPA+WPA2
    • Transição rápida: Deficiente (a caixa não é verificada)
    • Gerenciamento de chave de autenticação: 802.lX: Enable

    byod-flexconnect-dg-018.gif

  10. Vá ao guia avançada, e ajuste estes atributos:

    • Permita a ultrapassagem AAA: Habilitado
    • Estado NAC: Raio NAC

    byod-flexconnect-dg-019.gif

  11. Enrole para baixo no guia avançada, e ajuste o switching local de FlexConnect ao permitido.

    byod-flexconnect-dg-020.gif

  12. O clique aplica e salvar a configuração.

    byod-flexconnect-dg-021.gif

  13. Confirme que ambos os WLAN novos estiveram criados.

    byod-flexconnect-dg-022.gif

Configuração de FlexConnect AP

Termine estas etapas a fim configurar o FlexConnect AP:

  1. Navegue a WLC > Sem fio, e clique o alvo FlexConnect AP.

    byod-flexconnect-dg-023.gif

  2. Clique a aba de FlexConnect.

    byod-flexconnect-dg-024.gif

  3. Permita o suporte de VLAN (a caixa é verificada), ajuste o VLAN nativo ID, e clique mapeamentos VLAN.

    byod-flexconnect-dg-025.gif

  4. Ajuste o ID de VLAN a 21 (neste exemplo) para o SSID para o switching local.

    byod-flexconnect-dg-026.gif

  5. O clique aplica e salvar a configuração.

Configuração ISE

Termine estas etapas a fim configurar o ISE:

  1. Entre ao server ISE: < https://ise >.

    byod-flexconnect-dg-027.gif

  2. Navegue à administração > ao Gerenciamento de identidades > fontes externos da identidade.

    byod-flexconnect-dg-028.gif

  3. Clique o diretório ativo.

    byod-flexconnect-dg-029.gif

  4. Na aba da conexão:

    1. Adicionar o Domain Name de corp.rf-demo.com (neste exemplo), e mude o padrão do nome da loja da identidade a AD1.
    2. Clique a configuração da salvaguarda.
    3. O clique junta-se, e fornece-se ao nome de usuário e senha da conta de administrador AD exigido para juntar-se.
    4. O estado deve ser verde. Permita conectado a: (a caixa é verificada).

    byod-flexconnect-dg-030.gif

  5. Execute um teste da conexão básica ao AD com um usuário do domínio atual.

    byod-flexconnect-dg-031.gif

  6. Se a conexão ao AD é bem sucedida, um diálogo confirma que a senha está correta.

    byod-flexconnect-dg-032.gif

  7. Navegue à administração > ao Gerenciamento de identidades > fontes externos da identidade:

    1. Clique o perfil do certificado de autenticação.
    2. O clique adiciona para um perfil novo do certificado de autenticação (TAMPÃO).

    byod-flexconnect-dg-033.gif

  8. Dê entrada com um nome de CertAuth (neste exemplo) para o TAMPÃO; para o atributo principal username X509, selecione o Common Name; então, o clique submete-se.

    byod-flexconnect-dg-034.gif

  9. Confirme que o TAMPÃO novo está adicionado.

    byod-flexconnect-dg-035.gif

  10. Navegue às sequências da fonte da administração > do Gerenciamento de identidades > da identidade, e o clique adiciona.

    byod-flexconnect-dg-036.gif

  11. Dê à sequência um nome de TestSequence (neste exemplo).

    byod-flexconnect-dg-037.gif

  12. Enrole para baixo para certificate a autenticação baseada:

    1. Permita o perfil seleto do certificado de autenticação (a caixa é verificada).
    2. Selecione CertAuth (ou um outro perfil do TAMPÃO criado mais cedo).

    byod-flexconnect-dg-038.gif

  13. Enrole para baixo a lista da busca da autenticação:

    1. Mova AD1 de disponível para selecionado.
    2. Clique o botão ascendente a fim mover AD1 para a prioridade máxima.

    byod-flexconnect-dg-039.gif

  14. O clique submete-se a fim salvar.

    byod-flexconnect-dg-040.gif

  15. Confirme que a sequência nova da fonte da identidade está adicionada.

    byod-flexconnect-dg-041.gif

  16. Use o AD a fim autenticar meus dispositivos portais. Navegue a ISE > sequência da fonte da administração > do Gerenciamento de identidades > da identidade, e edite MyDevices_Portal_Sequence.

    byod-flexconnect-dg-042.gif

  17. Adicionar AD1 à lista selecionada, e clique o botão ascendente a fim mover AD1 para a prioridade máxima.

    byod-flexconnect-dg-043.gif

  18. Clique em Salvar.

    byod-flexconnect-dg-044.gif

  19. Confirme que a sequência da loja da identidade para MyDevices_Portal_Sequence contém AD1.

    byod-flexconnect-dg-045.gif

  20. Repita etapas 16-19 a fim adicionar AD1 para Guest_Portal_Sequence, e clique a salvaguarda.

    byod-flexconnect-dg-046.gif

  21. Confirme que Guest_Portal_Sequence contém AD1.

    byod-flexconnect-dg-047.gif

  22. A fim adicionar o WLC ao dispositivo do acesso de rede (WLC), para navegar à administração > aos recursos de rede > aos dispositivos de rede, e ao clique adicionar.

    byod-flexconnect-dg-048.gif

  23. Adicionar o nome WLC, endereço IP de Um ou Mais Servidores Cisco ICM NT, máscara de sub-rede, e assim por diante.

    byod-flexconnect-dg-049.gif

  24. Enrole para baixo ajustes da autenticação, e incorpore o segredo compartilhado. Isto deve combinar o segredo compartilhado do RAIO WLC.

    byod-flexconnect-dg-050.gif

  25. Clique em Submit.

  26. Navegue a ISE > política > elementos > resultados da política.

    byod-flexconnect-dg-051.gif

  27. Expanda resultados e autorização, clique perfis da autorização, e o clique adiciona para um perfil novo.

    byod-flexconnect-dg-052.gif

  28. Dê a este perfil estes valores:

    • Nome: CWA

      byod-flexconnect-dg-053.gif

    • Permita a autenticação da Web (a caixa é verificada):

      • Autenticação da Web: Centralizado
      • ACL: ACL-REDIRECT (isto deve combinar o nome do PRE-AUTH ACL WLC.)
      • Redirecionar: Padrão

      byod-flexconnect-dg-054.gif

  29. Clique submetem-se, e confirmam-se que o perfil da autorização CWA esteve adicionado.

    byod-flexconnect-dg-055.gif

  30. O clique adiciona a fim criar um perfil novo da autorização.

    byod-flexconnect-dg-056.gif

  31. Dê a este perfil estes valores:

    • Nome: Disposição

      byod-flexconnect-dg-057.gif

    • Permita a autenticação da Web (a caixa é verificada):

      • Valor da autenticação da Web: Abastecimento do suplicante

        byod-flexconnect-dg-058.gif

      • ACL: ACL-REDIRECT (isto deve combinar o nome do PRE-AUTH ACL WLC.)

        byod-flexconnect-dg-059.gif

  32. Clique submetem-se, e confirmam-se que o perfil da autorização da disposição esteve adicionado.

    byod-flexconnect-dg-060.gif

  33. Enrole para baixo nos resultados, expanda o abastecimento do cliente, e clique recursos.

    byod-flexconnect-dg-061.gif

  34. Selecione o perfil nativo do suplicante.

    byod-flexconnect-dg-062.gif

  35. Dê ao perfil um nome de WirelessSP (neste exemplo).

    byod-flexconnect-dg-063.gif

  36. Incorpore estes valores:

    • Tipo de conexão: Tecnologia Wireless
    • SSID: Demo1x (este valor é da configuração do 802.1x WLAN WLC)
    • Protocolo permitido: TLS
    • Tamanho chave: 1024

    byod-flexconnect-dg-064.gif

  37. Clique em Submit.

  38. Clique em Salvar.

    byod-flexconnect-dg-065.gif

  39. Confirme que o perfil novo esteve adicionado.

    byod-flexconnect-dg-066.gif

  40. Navegue à política > ao abastecimento do cliente.

    byod-flexconnect-dg-067.gif

  41. Incorpore estes valores para a regra do abastecimento de dispositivos iOS:

    • Nome da regra: iOS
    • Grupos da identidade: Alguns

      byod-flexconnect-dg-068.gif

    • Sistemas operacionais: IOS todo do Mac

      byod-flexconnect-dg-069.gif

    • Resultados: WirelessSP (este é o perfil nativo do suplicante criado mais cedo)

      byod-flexconnect-dg-070.gif

      • Navegue aos resultados > ao perfil do assistente (lista de drop-down) > WirelessSP.

        byod-flexconnect-dg-071.gif

        byod-flexconnect-dg-072.gif

  42. Confirme que o perfil do abastecimento iOS esteve adicionado.

    byod-flexconnect-dg-073.gif

  43. No lado direito da primeira regra, encontre a lista de drop-down das ações, e selecione a duplicata abaixo (ou acima).

    byod-flexconnect-dg-074.gif

  44. Mude o nome da regra nova a Android.

    byod-flexconnect-dg-075.gif

  45. Mude os sistemas operacionais a Android.

    byod-flexconnect-dg-076.gif

  46. Deixe outros valores inalterados.

  47. Clique a salvaguarda (tela da esquerda mais baixa).

    byod-flexconnect-dg-077.gif

  48. Navegue a ISE > política > autenticação.

    byod-flexconnect-dg-078.gif

  49. Altere a circunstância para incluir Wireless_MAB, e expanda Wired_MAB.

    byod-flexconnect-dg-079.gif

  50. Clique a lista de drop-down do nome de circunstância.

    byod-flexconnect-dg-080.gif

  51. Selecione dicionários > condição composta.

    byod-flexconnect-dg-081.gif

  52. Selecione Wireless_MAB.

    byod-flexconnect-dg-082.gif

  53. À direita da regra, selecione a seta para expandir.

    byod-flexconnect-dg-083.gif

  54. Selecione estes valores da lista de drop-down:

    • Fonte da identidade: TestSequence (este é o valor criado mais cedo)
    • Se a autenticação falhou: Reject
    • Se usuário não encontrado: Continuar
    • Se o processo falhou: Gota

    byod-flexconnect-dg-084.gif

  55. Vá à regra do dot1x, e mude estes valores:

    byod-flexconnect-dg-085.gif

    • Condição: Wireless_802.1X

      byod-flexconnect-dg-086.gif

    • Fonte da identidade: TestSequence

      byod-flexconnect-dg-087.gif

  56. Clique em Salvar.

    byod-flexconnect-dg-088.gif

  57. Navegue a ISE > política > autorização.

    byod-flexconnect-dg-089.gif

  58. As regras de padrão (tais como o padrão preto da lista, perfilado, e o padrão) são configuradas já da instalação; os primeiros dois podem ser ignorados; a regra de padrão será editada mais tarde.

    byod-flexconnect-dg-090.gif

  59. À direita da segunda regra (Telefones IP perfilados de Cisco), clique a seta para baixo ao lado de editam, e selecionam a regra nova da inserção abaixo.

    byod-flexconnect-dg-091.gif

    Uma regra padrão nova # é adicionada.

    byod-flexconnect-dg-092.gif

  60. Mude o nome da regra da regra padrão # a OpenCWA. Esta regra inicia o processo de registro no WLAN aberto (SSID duplo) para os usuários que vêm à rede de convidado a fim ter os dispositivos fornecida.

    byod-flexconnect-dg-093.gif

  61. Clique o sinal positivo (+) para circunstâncias, e clique a condição existente seleta da biblioteca.

    byod-flexconnect-dg-094.gif

  62. Selecione circunstâncias compostas > Wireless_MAB.

    byod-flexconnect-dg-095.gif

  63. No perfil de AuthZ, clique o sinal positivo (+), e selecione o padrão.

    byod-flexconnect-dg-096.gif

  64. Selecione o padrão CWA (este é o perfil da autorização criado mais cedo).

    byod-flexconnect-dg-097.gif

  65. Confirme que a regra está adicionada com as circunstâncias e a autorização corretas.

    byod-flexconnect-dg-098.gif

  66. Clique feito (no lado direito da regra).

    byod-flexconnect-dg-099.gif

  67. À direita da mesma regra, clique a seta para baixo ao lado de editam, e selecionam a regra nova da inserção abaixo.

    byod-flexconnect-dg-100.gif

  68. Mude o nome da regra da regra padrão # a PEAPrule (neste exemplo). Esta regra é para o PEAP (igualmente usado para a única encenação SSID) para verificar essa autenticação do 802.1X sem o Transport Layer Security (TLS) e esse abastecimento do suplicante da rede é iniciado com o perfil da autorização da disposição criado previamente.

    byod-flexconnect-dg-101.gif

  69. Mude a circunstância a Wireless_802.1X.

    byod-flexconnect-dg-102.gif

  70. Clique o ícone da engrenagem no lado direito da circunstância, e seleto adicionar o atributo/valor. Isto é “e” circunstância, não “ou” circunstância.

    byod-flexconnect-dg-103.gif

  71. Encontre e selecione o acesso de rede.

    byod-flexconnect-dg-104.gif

  72. Selecione AuthenticationMethod, e incorpore estes valores:

    byod-flexconnect-dg-105.gif

    • AuthenticationMethod: Iguais

      byod-flexconnect-dg-106.gif

    • Selecione o MSCHAPv2.

      byod-flexconnect-dg-107.gif

    Este é um exemplo da regra; seja certo confirmar que a circunstância é E.

    byod-flexconnect-dg-108.gif

  73. No perfil de AuthZ, padrão > disposição seletos (este é o perfil da autorização criado mais cedo).

    byod-flexconnect-dg-109.gif

    byod-flexconnect-dg-110.gif

  74. Clique em Concluído.

    byod-flexconnect-dg-099.gif

  75. À direita do PEAPrule, clique a seta para baixo ao lado de editam, e selecionam a regra nova da inserção abaixo.

    byod-flexconnect-dg-111.gif

  76. Mude o nome da regra da regra padrão # a AllowRule (neste exemplo). Esta regra será usada a fim permitir o acesso aos dispositivos registrados com os Certificados instalados.

    byod-flexconnect-dg-112.gif

  77. Sob circunstâncias, selecione circunstâncias compostas.

    byod-flexconnect-dg-113.gif

  78. Selecione Wireless_802.1X.

    byod-flexconnect-dg-114.gif

  79. Adicionar E atribua-o.

    byod-flexconnect-dg-115.gif

  80. Clique o ícone da engrenagem no lado direito da circunstância, e seleto adicionar o atributo/valor.

    byod-flexconnect-dg-116.gif

  81. Encontre e selecione o raio.

    byod-flexconnect-dg-117.gif

  82. Selecione Calling-Station-ID--[31].

    byod-flexconnect-dg-118.gif

  83. Selecione iguais.

    byod-flexconnect-dg-119.gif

  84. Vá ao CERTIFICADO, e clique a seta direita.

    byod-flexconnect-dg-123.gif

  85. Selecione o nome alternativo sujeito.

    byod-flexconnect-dg-121.gif

  86. Para o perfil de AuthZ, selecione o padrão.

    byod-flexconnect-dg-122.gif

  87. Selecione o acesso da licença.

    byod-flexconnect-dg-123.gif

  88. Clique em Concluído.

    byod-flexconnect-dg-099.gif

    Este é um exemplo da regra:

    byod-flexconnect-dg-124.gif

  89. Encontre a regra de padrão a fim mudar PermitAccess a DenyAccess.

    byod-flexconnect-dg-125.gif

  90. O clique edita a fim editar a regra de padrão.

    byod-flexconnect-dg-126.gif

  91. Vá ao perfil existente de AuthZ de PermitAccess.

    byod-flexconnect-dg-127.gif

  92. Selecione o padrão.

    byod-flexconnect-dg-128.gif

  93. Selecione DenyAccess.

    byod-flexconnect-dg-129.gif

  94. Confirme que a regra de padrão tem DenyAccess se nenhum fósforo é encontrado.

    byod-flexconnect-dg-130.gif

  95. Clique em Concluído.

    byod-flexconnect-dg-099.gif

    Este é um exemplo das regras principais exigidas para este teste; são aplicáveis para um único SSID ou a encenação dupla SSID.

    byod-flexconnect-dg-131.gif

  96. Clique em Salvar.

    byod-flexconnect-dg-132.gif

  97. Navegue a ISE > administração > sistema > Certificados a fim configurar o server ISE com um perfil SCEP.

    byod-flexconnect-dg-133.gif

  98. Em operações do certificado, clique perfis SCEP CA.

    byod-flexconnect-dg-134.gif

  99. Clique em Add.

    byod-flexconnect-dg-135.gif

  100. Incorpore estes valores para este perfil:

    • Nome: mySCEP (neste exemplo)
    • URL: <ca-server> /CertSrv/mscep/ de https:// (verifique sua configuração do servidor de CA para ver se há o endereço correto.)

    byod-flexconnect-dg-136.gif

  101. Clique a Conectividade do teste a fim testar a Conectividade da conexão SCEP.

    byod-flexconnect-dg-137.gif

  102. Esta resposta mostra que a conectividade de servidor é bem sucedida.

    byod-flexconnect-dg-138.gif

  103. Clique em Submit.

    byod-flexconnect-dg-139.gif

  104. O server responde que o perfil de CA esteve criado com sucesso.

    byod-flexconnect-dg-140.gif

  105. Confirme que o perfil SCEP CA está adicionado.

    byod-flexconnect-dg-141.gif

Experiência do usuário - IOS do abastecimento

SSID duplo

Esta seção cobre o SSID duplo e descreve como conectar ao convidado para ser fornecida e como conectar a um 802.1x WLAN.

Termine estas etapas a fim provision o iOS na encenação dupla SSID:

  1. No dispositivo iOS, vá às redes do Wi-fi, e a DemoCWA seleto (WLAN aberto configurado no WLC).

    byod-flexconnect-dg-142.gif

  2. Abra o navegador do safari no dispositivo iOS, e visite uma URL alcançável (por exemplo, web server interno/externo). O ISE reorienta-o ao portal. Clique em Continuar.

    byod-flexconnect-dg-143.gif

  3. Você é reorientado ao portal do convidado para o início de uma sessão.

    byod-flexconnect-dg-144.gif

  4. Início de uma sessão com uma conta de usuário e senha AD. Instale o perfil de CA quando alertado.

    byod-flexconnect-dg-145.gif

  5. O clique instala o certificado confiável do server de CA.

    byod-flexconnect-dg-146.gif

  6. Clique feito uma vez que o perfil é instalado completamente.

    byod-flexconnect-dg-147.gif

  7. Retorne ao navegador, e clique o registro. Faça uma anotação do identificador de dispositivo que contém o MAC address do dispositivo.

    byod-flexconnect-dg-148.gif

  8. O clique instala a fim instalar o perfil verificado.

    byod-flexconnect-dg-149.gif

  9. O clique instala agora.

    byod-flexconnect-dg-150.gif

  10. Depois que o processo é terminado, o perfil de WirelessSP confirma que o perfil está instalado. Clique em Concluído.

    byod-flexconnect-dg-151.gif

  11. Vá às redes do Wi-fi, e mude a rede a Demo1x. Seu dispositivo agora é conectado e usa o TLS.

    byod-flexconnect-dg-152.gif

  12. No ISE, navegue às operações > às autenticações. Os eventos mostram o processo em que o dispositivo é conectado à rede de convidado aberta, examina o processo de registro com abastecimento do suplicante, e é permitido o acesso da licença após o registo.

    byod-flexconnect-dg-153.gif

  13. Navegue a ISE > administração > Gerenciamento de identidades > grupos > grupos > RegisteredDevices da identidade do valor-limite. O MAC address foi adicionado ao banco de dados.

    byod-flexconnect-dg-154.gif

Único SSID

Esta seção cobre o único SSID e descreve como conectar diretamente a um 802.1x WLAN, fornecer o username AD/senha para a autenticação de PEAP, provision com uma conta do convidado, e reconectá-los com o TLS.

Termine estas etapas a fim provision o iOS na única encenação SSID:

  1. Se você está usando o mesmo dispositivo iOS, remova o valor-limite dos dispositivos registrados.

    byod-flexconnect-dg-155.gif

  2. No dispositivo iOS, navegue aos ajustes > aos generais > aos perfis. Remova os perfis instalados neste exemplo.

    byod-flexconnect-dg-156.gif

  3. O clique remove a fim remover os perfis precedentes.

    byod-flexconnect-dg-157.gif

    byod-flexconnect-dg-158.gif

  4. Conecte diretamente ao 802.1x com o dispositivo (cancelado) existente ou com um dispositivo novo iOS.

  5. Conecte ao dot1x, incorpore um nome de usuário e senha, e o clique junta-se.

    byod-flexconnect-dg-159.gif

  6. Repita etapas 90 e sobre da seção de configuração ISE até que os perfis apropriados estejam instalados completamente.

  7. Navegue a ISE > operações > autenticações a fim monitorar o processo. Este exemplo mostra o cliente que é conectado diretamente ao 802.1X WLAN porque é fornecida, desliga, e reconecta ao mesmo WLAN com o uso do TLS.

    byod-flexconnect-dg-160.gif

  8. Navegue a WLC > monitor > [Client MAC]. No detalhe do cliente, note que o cliente está no estado de CORRIDA, seu interruptor dos dados é ajustado ao local, e a autenticação é central. Isto é verdadeiro para os clientes que conectam a FlexConnect AP.

Experiência do usuário - Abastecimento Android

SSID duplo

Esta seção cobre o SSID duplo e descreve como conectar ao convidado para ser fornecida e como conectar a um 802.1x WLAN.

O processo da conexão para o dispositivo de Android é muito similar àquele para um dispositivo iOS (único ou SSID duplo). Contudo, uma diferença importante é que o dispositivo de Android exige o acesso ao Internet a fim alcançar o mercado de Google (agora Google Play) e transferir o agente do suplicante.

Termine estas etapas a fim provision um dispositivo de Android (tal como o Samsung Galaxy neste exemplo) na encenação dupla SSID:

  1. No dispositivo de Android, use o Wi-fi a fim conectar a DemoCWA, e abrir o convidado WLAN.

    byod-flexconnect-dg-162.gif

  2. Aceite todo o certificado a fim conectar ao ISE.

    byod-flexconnect-dg-163.gif

  3. Incorpore um nome de usuário e senha no portal do convidado a fim entrar.

    byod-flexconnect-dg-164.gif

  4. Clique o registro. O dispositivo tenta alcançar o Internet a fim alcançar o mercado de Google. Adicionar todas as regras adicionais ao PRE-AUTH ACL (tal como ACL-REDIRECT) no controlador a fim permitir o acesso ao Internet.

    byod-flexconnect-dg-165.gif

  5. Google alista a rede Cisco Setup como um App de Android. O clique INSTALA.

    byod-flexconnect-dg-166.gif

  6. Assine dentro a Google, e o clique INSTALA.

    byod-flexconnect-dg-167.gif

  7. Clique em OK.

    byod-flexconnect-dg-168.gif

  8. No dispositivo de Android, encontre o app instalado de Cisco SPW, e abra-o.

    byod-flexconnect-dg-169.gif

  9. Certifique-se de que você está entrado ainda ao portal do convidado de seu dispositivo de Android.

  10. Clique o começo a fim começar o assistente da instalação do Wi-fi.

    byod-flexconnect-dg-170.gif

  11. Cisco SPW começa a instalar Certificados.

    byod-flexconnect-dg-171.gif

  12. Quando alertado, ajuste uma senha para o armazenamento credencial.

    byod-flexconnect-dg-172.gif

  13. Cisco SPW retorna com um nome do certificado, que contenha a chave e o certificado de usuário do usuário. APROVAÇÃO do clique a fim confirmar.

    byod-flexconnect-dg-173.gif

  14. Cisco SPW continua e alerta para um outro nome do certificado, que contenha o certificado de CA. Entre no iseca do nome (neste exemplo), a seguir clique a APROVAÇÃO a fim continuar.

    byod-flexconnect-dg-174.gif

  15. O dispositivo de Android é conectado agora.

    byod-flexconnect-dg-175.gif

Meus dispositivos portais

Meu portal dos dispositivos permite que os usuários põr previamente dispositivos registrados no evento que um dispositivo é perdido ou roubado. Igualmente permite que os usuários re-recrutem se necessário.

Termine estas etapas a fim põr um dispositivo:

  1. A fim entrar a meu portal dos dispositivos, abra um navegador, conectam a https://ise-server:8443/mydevices (note o número de porta 8443), e ao início de uma sessão com uma conta AD.

    byod-flexconnect-dg-176.gif

  2. Encontre o dispositivo sob o identificador de dispositivo, e clique perdido? a fim iniciar põr de um dispositivo.

    byod-flexconnect-dg-177.gif

  3. Quando o ISE alerta um aviso, clique sim a fim continuar.

    byod-flexconnect-dg-178.gif

  4. O ISE confirma que o dispositivo está marcado como perdido.

    byod-flexconnect-dg-179.gif

  5. Toda a tentativa de conectar à rede com o dispositivo registrado é obstruída previamente agora, mesmo se há um certificado válido instalado. Este é um exemplo de um dispositivo põr que falhe a autenticação:

    byod-flexconnect-dg-180.gif

  6. Um administrador pode navegar a ISE > administração > Gerenciamento de identidades > grupos, grupos da identidade do valor-limite do clique > lista negra, e vê que o dispositivo está põr.

    byod-flexconnect-dg-181.gif

Termine estas etapas a fim restabelecer um dispositivo põr:

  1. De meu portal dos dispositivos, o clique restabelece para esse dispositivo.

    byod-flexconnect-dg-182.gif

  2. Quando o ISE alerta um aviso, clique sim a fim continuar.

    byod-flexconnect-dg-183.gif

  3. O ISE confirma que o dispositivo esteve restabelecido com sucesso. Conecte o dispositivo restabelecido à rede a fim testar que o dispositivo estará permitido agora.

    byod-flexconnect-dg-184.gif

Referência - Certificados

O ISE exige não somente um certificado de raiz válido de CA, mas igualmente precisa um certificado válido assinado por CA.

Termine estas etapas a fim adicionar, ligar, e importar o certificado de CA confiado novo:

  1. Navegue a ISE > administração > sistema > Certificados, clique Certificados locais, e o clique adiciona.

    byod-flexconnect-dg-185.gif

  2. Seleto gere a solicitação de assinatura de certificado (CSR).

    byod-flexconnect-dg-186.gif

  3. Incorpore o assunto CN=<ISE-SERVER hostname.FQDN> do certificado. Para os outros campos, você pode usar o padrão ou os valores exigido por sua instalação de CA. Clique em Submit.

    byod-flexconnect-dg-187.gif

  4. O ISE verifica que o CSR esteve gerado.

    byod-flexconnect-dg-188.gif

  5. A fim alcançar o CSR, clique as operações das solicitações de assinatura de certificado.

    byod-flexconnect-dg-189.gif

  6. Selecione o CSR criado recentemente, a seguir clique a exportação.

    byod-flexconnect-dg-190.gif

  7. O ISE exporta o CSR para um arquivo do .pem. O arquivo da salvaguarda do clique, clica então a APROVAÇÃO a fim salvar o arquivo à máquina local.

    byod-flexconnect-dg-191.gif

  8. Encontre e abra o arquivo certificado ISE com um editor de texto.

    byod-flexconnect-dg-192.gif

  9. Copie o índice inteiro do certificado.

    byod-flexconnect-dg-193.gif

  10. Conecte a CA o server, e o início de uma sessão com uma conta de administrador. O server é Microsoft 2008 CA em https://10.10.10.10/certsrv (neste exemplo).

    byod-flexconnect-dg-194.gif

  11. Pedido do clique um certificado.

    byod-flexconnect-dg-195.gif

  12. Pedido do certificado avançado do clique.

    byod-flexconnect-dg-196.gif

  13. Clique a segunda opção a fim submeter um pedido do certificado usando um base-64-encoded CMC ou….

    byod-flexconnect-dg-197.gif

  14. Cole o índice do arquivo certificado ISE (.pem) no campo da solicitação salva, assegure-se de que o molde de certificado seja servidor de Web, e o clique se submeta.

    byod-flexconnect-dg-198.gif

  15. Clique o certificado da transferência.

    byod-flexconnect-dg-199.gif

  16. Salvar o arquivo de certnew.cer; será usado mais tarde a fim ligar com o ISE.

    byod-flexconnect-dg-200.gif

  17. Dos Certificados ISE, navegue aos Certificados locais, e o clique adiciona > certificado de CA do ligamento.

    byod-flexconnect-dg-201.gif

  18. Consulte ao certificado que salvar à máquina local na etapa precedente, permitem os protocolos EAP e de interface de gerenciamento (as caixas são verificadas), e o clique submete-se. O ISE pode tomar diversos minutos ou mais a fim reiniciar serviços.

    byod-flexconnect-dg-202.gif

  19. Retorne à página da aterragem de CA (https://CA/certsrv/), e clica a transferência um certificado de CA, um certificate chain, ou um CRL.

    byod-flexconnect-dg-203.gif

  20. Clique o certificado de CA da transferência.

    byod-flexconnect-dg-204.gif

  21. Salvar o arquivo à máquina local.

    byod-flexconnect-dg-205.gif

  22. Com o server ISE em linha, vá aos Certificados, e clique Certificados do Certificate Authority.

    byod-flexconnect-dg-206.gif

  23. Clique a importação.

    byod-flexconnect-dg-207.gif

  24. Consulte para o certificado de CA, permita a confiança para a authenticação do cliente (a caixa é verificada), e o clique submete-se.

    byod-flexconnect-dg-208.gif

  25. Confirme que o certificado de CA confiado novo está adicionado.

    byod-flexconnect-dg-209.gif

Informações Relacionadas


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 113606