Sans fil : Contrôleurs sans fil de la gamme Cisco 5500

Radio BYOD pour le guide de déploiement de FlexConnect

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Les périphériques mobiles deviennent plus de calcul puissants et populaires parmi des consommateurs. Des millions de ces périphériques sont vendus aux consommateurs avec le WiFi ultra-rapide ainsi les utilisateurs peuvent communiquer et collaborer. Des consommateurs sont maintenant accoutumés à l'amélioration de la productivité que ces périphériques mobiles introduisent dans leurs vies et recherchent à introduire leur expérience personnelle dans l'espace de travail. Ceci crée les besoins de fonctionnalité d'une solution de Bring Your Own Device (BYOD) dans le lieu de travail.

Ce document fournit le déploiement de branchement pour la solution BYOD. Un employé se connecte à un Identifiant SSID (Service Set Identifier) entreprise à son nouvel iPad et obtient réorienté à un portail d'auto-enregistrement. Le Logiciel Cisco Identity Services Engine (ISE) authentifie l'utilisateur contre le Répertoire actif entreprise (AD) et télécharge un certificat avec une adresse MAC et un nom d'utilisateur inclus d'iPad à l'iPad, avec un profil de suppliant qui impose l'utilisation du Protocol-transport Layer Security (EAP-TLS) d'authentification extensible comme méthode pour la Connectivité de dot1x. Basé sur la stratégie d'autorisation dans ISE, l'utilisateur peut alors se connecter à l'utilisation du dot1x et accéder pour s'approprier des ressources.

Les fonctionnalités ISE dans des versions logicielles Sans fil de contrôleur LAN de Cisco plus tôt que 7.2.110.0 n'ont pas pris en charge les clients de commutation locale qui s'associent par les Points d'accès de FlexConnect (aps). La release 7.2.110.0 prend en charge ces fonctionnalités ISE pour FlexConnect aps pour la commutation locale et les clients centralement authentifiés. En outre, la release 7.2.110.0 intégré avec ISE 1.1.1 fournit (mais n'est pas limité à) ces caractéristiques de solution BYOD pour la radio :

  • Profilage et posture de périphérique
  • Enregistrement de périphérique et ravitaillement de suppliant
  • Onboarding des périphériques personnels (IOS de disposition ou périphériques d'Android)

Remarque: Bien que pris en charge, d'autres périphériques, tels que le PC ou les ordinateurs portables sans fil et les postes de travail de MAC, ne sont pas inclus dans ce guide.

Contribué par Surendra BG et Ramamurthy Bakthavatchalam, ingénieurs TAC Cisco.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Cisco Catalyst Switchs
  • Contrôleurs Sans fil du RÉSEAU LOCAL de Cisco (WLAN)
  • Version logicielle 7.2.110.0 du contrôleur de WLAN Cisco (WLC) et plus tard
  • 802.11n aps en mode de FlexConnect
  • Version de logiciel 1.1.1 et ultérieures de Cisco ISE
  • AD de Windows 2008 avec l'Autorité de certification (CA)
  • Serveur DHCP
  • Serveur de Système de noms de domaine (DNS)
  • Protocole NTP (Network Time Protocol)
  • Ordinateur portable, smartphone, et tablettes de client sans fil (IOS d'Apple, Android, Windows, et MAC)

Remarque: Référez-vous aux notes de mise à jour pour les contrôleurs LAN Sans fil et le Point d'accès léger de Cisco pour la release 7.2.110.0 pour les informations importantes au sujet de cette version logicielle. Ouvrez une session au site de Cisco.com pour les dernières notes de mise à jour avant que vous chargiez et testiez le logiciel.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Topologie

Une configuration réseau minimale, suivant les indications de ce diagramme est exigée afin de correctement implémenter et tester ces caractéristiques :

byod-flexconnect-dg-001.gif

Pour cette simulation, vous avez besoin d'un réseau avec un FlexConnect AP, des gens du pays/site distant avec le DHCP de gens du pays, DN, le WLC, et l'ISE. Le FlexConnect AP est connecté à un joncteur réseau afin de tester la commutation locale avec des VLAN multiples.

Enregistrement de périphérique et ravitaillement de suppliant

Un périphérique doit être enregistré de sorte que son suppliant indigène puisse provisioned pour l'authentification de dot1x. Basé sur la bonne stratégie d'authentification, l'utilisateur est réorienté à la page d'invité et authentifié par des qualifications des employés. L'utilisateur voit la page d'inscription de périphérique, qui demande leur information sur le périphérique. Le processus d'approvisionnement de périphérique commence alors. Si le système d'exploitation (SYSTÈME D'EXPLOITATION) n'est pas pris en charge pour le ravitaillement, l'utilisateur est réorienté au portail d'enregistrement de ressource afin de marquer que périphérique pour l'accès de dérivation d'authentification MAC (MAB). Si le SYSTÈME D'EXPLOITATION est pris en charge, le procédé d'inscription commence et configure le suppliant indigène du périphérique pour l'authentification de dot1x.

Portail d'enregistrement de ressource

Le portail d'enregistrement de ressource est l'élément de la plate-forme ISE qui permet à des employés pour initier onboarding des points finaux par une authentification et une procédure d'enregistrement.

Les administrateurs peuvent supprimer des ressources de la page d'identités de points finaux. Chaque employé peut éditer, supprimer, et mettre les ressources qu'sur la liste noireelles se sont enregistrées. Des points finaux mis sur la liste noire sont assignés à un groupe d'identité de liste noire, et une stratégie d'autorisation est créée afin d'empêcher l'accès au réseau par des points finaux mis sur la liste noire.

Portail d'Auto-enregistrement

Dans l'écoulement central de l'authentification Web (CWA), des employés sont réorientés à un portail qui leur permet pour entrer dans leurs qualifications, pour authentifier, et écrire les particularités de la ressource particulière qu'elles souhaitent s'enregistrer. Ce portail s'appelle le ravitaillement d'individu portail et est semblable au portail d'enregistrement de périphérique. Il permet aux employés pour entrer dans l'adresse MAC aussi bien qu'un escription signicatif du point final.

Authentification et ravitaillement

Une fois que les employés sélectionnent le portail d'Auto-enregistrement, ils sont défiés de fournir un ensemble de qualifications valides des employés afin de poursuivre à la phase de ravitaillement. Après l'authentification réussie, le point final peut provisioned dans la base de données de points finaux, et un certificat est généré pour le point final. Un lien à la page permet à l'employé pour télécharger l'assistant de pilote de suppliant (SPW).

Remarque: Référez-vous à l'article de Cisco de matrice de caractéristique de FlexConnect afin de visualiser la dernière matrice de caractéristique de FlexConnect pour BYOD.

Ravitaillement pour IOS (iPhone/iPad/iPod)

Pour la configuration d'EAP-TLS, ISE suit Apple au-dessus de - aérez le procédé de l'inscription (OTA) :

  • Après l'authentification réussie, l'engine d'évaluation évalue des stratégies de client-ravitaillement, qui a comme conséquence un profil de suppliant.
  • Si le profil de suppliant est pour la configuration d'EAP-TLS, le processus OTA détermine si l'ISE est utilisation auto-signée ou signée par un CA inconnu. Si une des conditions est vraie, l'utilisateur est invité à télécharger le certificat d'ISE ou de CA avant que le procédé d'inscription puisse commencer.
  • Pour d'autres méthodes d'EAP, ISE pousse le profil final sur l'authentification réussie.

Ravitaillement pour Android

En raison des considérations liées à la sécurité, l'agent d'Android doit être téléchargé du site de marché d'Android et ne peut pas provisioned d'ISE. Cisco télécharge une version de candidat de release de l'assistant dans le marché d'Android par le compte d'éditeur de marché de Cisco Android.

C'est le processus d'approvisionnement d'Android :

  1. Cisco emploie le kit de développement logiciel (SDK) afin de créer le module d'Android avec une extension .apk.
  2. Cisco télécharge un module dans le marché d'Android.
  3. L'utilisateur configure la stratégie dans le ravitaillement de client avec les paramètres appropriés.
  4. Après enregistrement du périphérique, l'utilisateur final est réorienté au service de ravitaillement de client quand l'authentification de dot1x échoue.
  5. La page du portail de ravitaillement fournit un bouton qui réoriente l'utilisateur au portail de marché d'Android où ils peuvent télécharger le SPW.
  6. Cisco SPW est lancé et effectue le ravitaillement du suppliant :
    1. SPW découvre l'ISE et télécharge le profil d'ISE.
    2. SPW crée un CERT/paire de clés pour l'EAP-TLS.
    3. SPW fait un appel simple de demande de proxy de Protocol d'inscription de certificat (SCEP) à ISE et obtient le certificat.
    4. SPW applique les profils Sans fil.
    5. SPW déclenche la ré-authentification si les profils sont appliqués avec succès.
    6. Sorties SPW.

Double Auto-enregistrement Sans fil SSID BYOD

C'est le procédé pour le double auto-enregistrement Sans fil SSID BYOD :

  1. Les associés d'utilisateur à l'invité SSID.
  2. L'utilisateur ouvre un navigateur et est réorienté au portail d'invité ISE CWA.
  3. L'utilisateur écrit un nom d'utilisateur et mot de passe des employés dans le portail d'invité.
  4. ISE authentifie l'utilisateur, et, basé sur le fait qu'ils sont un employé et pas un invité, réoriente l'utilisateur à la page d'invité d'enregistrement de périphérique des employés.
  5. L'adresse MAC pré-est remplie dans la page d'invité d'enregistrement de périphérique pour le DeviceID. L'utilisateur écrit une description et reçoit la Politique d'Utilisation Acceptable (AUP) s'il y a lieu.
  6. L'utilisateur sélectionne reçoivent et commencent à télécharger et installer le SPW.
  7. Le suppliant pour le périphérique de cet utilisateur provisioned avec tous les Certificats.
  8. Le CoA se produit, et le périphérique rassocie au SSID entreprise (Corp.) et authentifie avec l'EAP-TLS (ou toute autre authorization method en service pour ce suppliant).

Auto-enregistrement Sans fil simple SSID BYOD

Dans ce scénario, il y a un SSID simple pour l'accès d'entreprise (Corp.) ce Protected Extensible Authentication Protocol de supports (PEAP) et EAP-TLS. Il n'y a aucun invité SSID.

C'est le procédé pour l'auto-enregistrement Sans fil simple SSID BYOD :

  1. Les associés d'utilisateur à la corp.
  2. L'utilisateur écrit un nom d'utilisateur et mot de passe des employés dans le suppliant pour l'authentification PEAP.
  3. L'ISE authentifie l'utilisateur, et, basé sur la méthode PEAP, fournit une stratégie d'autorisation de reçoit avec le redirect to la page d'invité d'enregistrement de périphérique des employés.
  4. L'utilisateur ouvre un navigateur et est réorienté à la page d'invité d'enregistrement de périphérique des employés.
  5. L'adresse MAC pré-est remplie dans la page d'invité d'enregistrement de périphérique pour le DeviceID. L'utilisateur écrit une description et reçoit l'AUP.
  6. L'utilisateur sélectionne reçoivent et commencent à télécharger et installer le SPW.
  7. Le suppliant pour le périphérique de cet utilisateur provisioned avec tous les Certificats.
  8. Le CoA se produit, et le périphérique rassocie à la Corp. SSID et authentifie avec l'EAP-TLS.

Configuration de caractéristique

Terminez-vous ces étapes afin de commencer la configuration :

  1. Pour ce guide, assurez-vous que la version WLC est 7.2.110.0 ou plus tard.

    byod-flexconnect-dg-002.gif

  2. Naviguez vers le Security > Radius > Authentication, et ajoutez le serveur de RAYON au WLC.

    byod-flexconnect-dg-003.gif

  3. Ajoutez l'ISE 1.1.1 au WLC :

    • Écrivez un secret partagé.
    • Placez le soutien de RFC 3576 à activer.

    byod-flexconnect-dg-004.gif

  4. Ajoutez le même serveur ISE qu'un serveur de comptabilité de RAYON.

    byod-flexconnect-dg-005.gif

  5. Créez un ACL WLC Pre-Auth pour l'utiliser dans la stratégie ISE plus tard. Naviguez vers WLC > Sécurité > listes de contrôle d'accès > FlexConnect ACLs, et créez un nouvel ACL de FlexConnect nommé ACL-REDIRECT (dans cet exemple).

    byod-flexconnect-dg-006.gif

  6. Dans les règles d'ACL, permettez tout le trafic à/de l'ISE, et permettez le trafic de client pendant le ravitaillement de suppliant.

    1. Pour la première règle (ordre 1) :

      • En placez la source à.
      • Place IP () d'adresse ISE/netmask 255.255.255.255.
      • Placez l'action de laisser.

      byod-flexconnect-dg-007.gif

    2. Pour deuxième règle (ordre 2), place source ip () d'adresse ISE/masque 255.255.255.255 à quels et action de laisser.

      byod-flexconnect-dg-008.gif

  7. Créez un nouveau groupe de FlexConnect nommé Flex1 (dans cet exemple) :

    1. Naviguez vers l'onglet de groupe > de WebPolicies de FlexConnect.
    2. Sous le champ d'ACL de WebPolicy, cliquez sur Add, et sélectionnez ACL-REDIRECT ou l'ACL de FlexConnect créé précédemment.
    3. Confirmez qu'il remplit champ de listes de contrôle d'accès de WebPolicy.

    byod-flexconnect-dg-009.gif

  8. Cliquez sur Apply et save configuration.

Configuration WLAN

Terminez-vous ces étapes afin de configurer le WLAN :

  1. Créez un WLAN ouvert SSID pour le double exemple SSID :

    • Écrivez un nom WLAN : DemoCWA (dans cet exemple).
    • Sélectionnez l'option activée pour l'état.

    byod-flexconnect-dg-010.gif

  2. Naviguez vers l'onglet d'onglet Sécurité > de couche 2, et placez ces attributs :

    • Degré de sécurité de la couche 2 : Aucun
    • Filtrage MAC : Activé (la case est cochée)
    • Transition rapide : Handicapé (la case n'est pas cochée)

    byod-flexconnect-dg-011.gif

  3. Allez à l'onglet AAA Servers, et placez ces attributs :

    • Serveurs d'authentification et de compte : Activé
    • Serveur 1 : Adresse IP <ISE >

    byod-flexconnect-dg-012.gif

  4. Faites descendre l'écran de l'onglet AAA Servers. Sous la commande d'authentication priority pour l'utilisateur de Web-auth, assurez-vous que le RAYON est utilisé pour l'authentification et les autres ne sont pas utilisés.

    byod-flexconnect-dg-013.gif

  5. Allez à l'onglet Avancé, et placez ces attributs :

    • Allow AAA Override : Activé
    • État NAC : Rayon NAC

    byod-flexconnect-dg-014.gif

    Remarque: Le Contrôle d'admission au réseau (NAC) de RAYON n'est pas pris en charge quand le FlexConnect AP est dans le mode déconnecté. Ainsi, si le FlexConnect AP est en mode autonome et perd la connexion au WLC, tous les clients sont déconnectés, et le SSID n'est plus annoncé.

  6. Faites descendre l'écran dans l'onglet Avancé, et placez la commutation locale de FlexConnect à activer.

    byod-flexconnect-dg-015.gif

  7. Cliquez sur Apply et save configuration.

    byod-flexconnect-dg-016.gif

  8. Créez un 802.1X WLAN SSID nommé Demo1x (dans cet exemple) pour les scénarios simples et doubles SSID.

    byod-flexconnect-dg-017.gif

  9. Naviguez vers l'onglet d'onglet Sécurité > de couche 2, et placez ces attributs :

    • Degré de sécurité de la couche 2 : WPA+WPA2
    • Transition rapide : Handicapé (la case n'est pas cochée)
    • Gestion des clés d'authentification : 802.lX : Enable

    byod-flexconnect-dg-018.gif

  10. Allez à l'onglet Avancé, et placez ces attributs :

    • Allow AAA Override : Activé
    • État NAC : Rayon NAC

    byod-flexconnect-dg-019.gif

  11. Faites descendre l'écran dans l'onglet Avancé, et placez la commutation locale de FlexConnect à activer.

    byod-flexconnect-dg-020.gif

  12. Cliquez sur Apply et save configuration.

    byod-flexconnect-dg-021.gif

  13. Confirmez que chacun des deux nouveaux WLAN ont été créés.

    byod-flexconnect-dg-022.gif

Configuration de FlexConnect AP

Terminez-vous ces étapes afin de configurer le FlexConnect AP :

  1. Naviguez vers WLC > radio, et cliquez sur la cible FlexConnect AP.

    byod-flexconnect-dg-023.gif

  2. Cliquez sur l'onglet de FlexConnect.

    byod-flexconnect-dg-024.gif

  3. Le support de l'enable VLAN (la case est cochée), a placé l'ID DE VLAN indigène, et des mappages du clic VLAN.

    byod-flexconnect-dg-025.gif

  4. Placez l'ID DE VLAN à 21 (dans cet exemple) pour le SSID pour la commutation locale.

    byod-flexconnect-dg-026.gif

  5. Cliquez sur Apply et save configuration.

Configuration ISE

Terminez-vous ces étapes afin de configurer l'ISE :

  1. Procédure de connexion au serveur ISE : < https://ise >.

    byod-flexconnect-dg-027.gif

  2. Naviguez vers la gestion > la Gestion de l'identité > des sources extérieures d'identité.

    byod-flexconnect-dg-028.gif

  3. Répertoire actif de clic.

    byod-flexconnect-dg-029.gif

  4. Dans l'onglet Connection :

    1. Ajoutez le nom de domaine de corp.rf-demo.com (dans cet exemple), et changez le par défaut de nom de mémoire d'identité à AD1.
    2. Save configuration de clic.
    3. Cliquez sur joignent, et fournissent le nom d'utilisateur et mot de passe de compte administrateur d'AD requis se joindre.
    4. L'état doit être vert. Enable connecté à : (la case est cochée).

    byod-flexconnect-dg-030.gif

  5. Réalisez un essai de base de connexion à l'AD avec un utilisateur en cours de domaine.

    byod-flexconnect-dg-031.gif

  6. Si la connexion à l'AD est réussie, un dialogue confirme que le mot de passe est correct.

    byod-flexconnect-dg-032.gif

  7. Naviguez vers la gestion > la Gestion de l'identité > des sources extérieures d'identité :

    1. Profil d'authentification de certificat de clic.
    2. Cliquez sur Add pour un nouveau profil d'authentification de certificat (CAP).

    byod-flexconnect-dg-033.gif

  8. Écrivez un nom de CertAuth (dans cet exemple) pour la CAP ; pour l'attribut du nom d'utilisateur X509 de principal, nom commun choisi ; puis, cliquez sur Submit.

    byod-flexconnect-dg-034.gif

  9. Confirmez que la nouvelle CAP est ajoutée.

    byod-flexconnect-dg-035.gif

  10. Naviguez vers des ordres de source de gestion > de Gestion de l'identité > d'identité, et cliquez sur Add.

    byod-flexconnect-dg-036.gif

  11. Donnez à l'ordre un nom de TestSequence (dans cet exemple).

    byod-flexconnect-dg-037.gif

  12. Faites descendre l'écran pour délivrer un certificat l'authentification basée :

    1. Profil choisi d'authentification de certificat d'enable (la case est cochée).
    2. Un CertAuth choisi (ou un profil différent de CAP créé plus tôt).

    byod-flexconnect-dg-038.gif

  13. Faites descendre l'écran à la liste de recherche d'authentification :

    1. Déplacez AD1 de disponible à sélectionné.
    2. Cliquez sur le bouton haut afin de déplacer AD1 à la haute priorité.

    byod-flexconnect-dg-039.gif

  14. Cliquez sur Submit afin de sauvegarder.

    byod-flexconnect-dg-040.gif

  15. Confirmez que le nouvel ordre de source d'identité est ajouté.

    byod-flexconnect-dg-041.gif

  16. Employez l'AD afin d'authentifier les mes périphériques portaiux. Naviguez vers ISE > ordre de source de gestion > de Gestion de l'identité > d'identité, et éditez MyDevices_Portal_Sequence.

    byod-flexconnect-dg-042.gif

  17. Ajoutez AD1 à la liste sélectionnée, et cliquez sur le bouton haut afin de déplacer AD1 à la haute priorité.

    byod-flexconnect-dg-043.gif

  18. Cliquez sur Save.

    byod-flexconnect-dg-044.gif

  19. Confirmez que l'ordre de mémoire d'identité pour MyDevices_Portal_Sequence contient AD1.

    byod-flexconnect-dg-045.gif

  20. Répétez les étapes 16-19 afin d'ajouter AD1 pour Guest_Portal_Sequence, et cliquez sur la sauvegarde.

    byod-flexconnect-dg-046.gif

  21. Confirmez que Guest_Portal_Sequence contient AD1.

    byod-flexconnect-dg-047.gif

  22. Afin d'ajouter le WLC au périphérique d'accès au réseau (WLC), naviguez vers la gestion > les ressources de réseau > les périphériques de réseau, et cliquez sur Add.

    byod-flexconnect-dg-048.gif

  23. Ajoutez le nom WLC, adresse IP, masque de sous-réseau, et ainsi de suite.

    byod-flexconnect-dg-049.gif

  24. Faites descendre l'écran aux configurations d'authentification, et écrivez le secret partagé. Ceci doit apparier le secret partagé du RAYON WLC.

    byod-flexconnect-dg-050.gif

  25. Cliquez sur Submit.

  26. Naviguez vers ISE > stratégie > éléments > résultats de stratégie.

    byod-flexconnect-dg-051.gif

  27. Développez les résultats et l'autorisation, cliquez sur les profils d'autorisation, et cliquez sur Add pour un nouveau profil.

    byod-flexconnect-dg-052.gif

  28. Donnez à ce profil ces valeurs :

    • Nom : CWA

      byod-flexconnect-dg-053.gif

    • Authentification Web d'enable (la case est cochée) :

      • Authentification Web : Centralisé
      • ACL : ACL-REDIRECT (ceci doit apparier le nom d'ACL de pre-auth WLC.)
      • Réorientez : Par défaut

      byod-flexconnect-dg-054.gif

  29. Cliquez sur Submit, et confirmez que le profil d'autorisation CWA a été ajouté.

    byod-flexconnect-dg-055.gif

  30. Cliquez sur Add afin de créer un nouveau profil d'autorisation.

    byod-flexconnect-dg-056.gif

  31. Donnez à ce profil ces valeurs :

    • Nom : Disposition

      byod-flexconnect-dg-057.gif

    • Authentification Web d'enable (la case est cochée) :

      • Valeur d'authentification Web : Ravitaillement de suppliant

        byod-flexconnect-dg-058.gif

      • ACL : ACL-REDIRECT (ceci doit apparier le nom d'ACL de pre-auth WLC.)

        byod-flexconnect-dg-059.gif

  32. Cliquez sur Submit, et confirmez que le profil d'autorisation de disposition a été ajouté.

    byod-flexconnect-dg-060.gif

  33. Faites descendre l'écran dans les résultats, développez le ravitaillement de client, et cliquez sur les ressources.

    byod-flexconnect-dg-061.gif

  34. Profil indigène choisi de suppliant.

    byod-flexconnect-dg-062.gif

  35. Donnez au profil un nom de WirelessSP (dans cet exemple).

    byod-flexconnect-dg-063.gif

  36. Écrivez ces valeurs :

    • Type de connexion : Radio
    • SSID : Demo1x (cette valeur est de la configuration du 802.1x WLAN WLC)
    • Protocol permis : TLS
    • Taille de clé : 1024

    byod-flexconnect-dg-064.gif

  37. Cliquez sur Submit.

  38. Cliquez sur Save.

    byod-flexconnect-dg-065.gif

  39. Confirmez que le nouveau profil a été ajouté.

    byod-flexconnect-dg-066.gif

  40. Naviguez vers la stratégie > le ravitaillement de client.

    byod-flexconnect-dg-067.gif

  41. Écrivez ces valeurs pour la règle de ravitaillement des périphériques IOS :

    • Nom de règle : IOS
    • Groupes d'identité : Quels

      byod-flexconnect-dg-068.gif

    • Systèmes d'exploitation : IOS tout de MAC

      byod-flexconnect-dg-069.gif

    • Résultats : WirelessSP (c'est le profil indigène de suppliant créé plus tôt)

      byod-flexconnect-dg-070.gif

      • Naviguez vers des résultats > le profil d'assistant (liste déroulante) > WirelessSP.

        byod-flexconnect-dg-071.gif

        byod-flexconnect-dg-072.gif

  42. Confirmez que le profil de ravitaillement IOS a été ajouté.

    byod-flexconnect-dg-073.gif

  43. Du côté droit de la première règle, localisez la liste déroulante d'actions, et sélectionnez le doublon ci-dessous (ou ci-dessus).

    byod-flexconnect-dg-074.gif

  44. Changez le nom de la nouvelle règle à Android.

    byod-flexconnect-dg-075.gif

  45. Changez les systèmes d'exploitation à Android.

    byod-flexconnect-dg-076.gif

  46. Laissez d'autres valeurs inchangées.

  47. Sauvegarde de clic (en bas à gauche écran).

    byod-flexconnect-dg-077.gif

  48. Naviguez vers ISE > stratégie > authentification.

    byod-flexconnect-dg-078.gif

  49. Modifiez la condition pour inclure Wireless_MAB, et développez Wired_MAB.

    byod-flexconnect-dg-079.gif

  50. Cliquez sur la liste déroulante de nom de condition.

    byod-flexconnect-dg-080.gif

  51. Dictionnaires choisis > état composé.

    byod-flexconnect-dg-081.gif

  52. Wireless_MAB choisi.

    byod-flexconnect-dg-082.gif

  53. À la droite de la règle, sélectionnez la flèche pour développer.

    byod-flexconnect-dg-083.gif

  54. Sélectionnez ces valeurs de la liste déroulante :

    • Source d'identité : TestSequence (c'est la valeur créée plus tôt)
    • Si échec de l'authentification : Anomalie
    • Si utilisateur non trouvé : Continuez
    • Si le processus manquait : Baisse

    byod-flexconnect-dg-084.gif

  55. Allez au dot1x la règle, et changez ces valeurs :

    byod-flexconnect-dg-085.gif

    • Condition : Wireless_802.1X

      byod-flexconnect-dg-086.gif

    • Source d'identité : TestSequence

      byod-flexconnect-dg-087.gif

  56. Cliquez sur Save.

    byod-flexconnect-dg-088.gif

  57. Naviguez vers ISE > stratégie > autorisation.

    byod-flexconnect-dg-089.gif

  58. Des règles par défaut (telles que le par défaut noir de liste, profilé, et le par défaut) sont déjà configurées de l'installation ; les deux premiers peuvent être ignorés ; la règle par défaut sera éditée plus tard.

    byod-flexconnect-dg-090.gif

  59. À la droite de la deuxième règle (Téléphones IP profilés de Cisco), cliquez sur vers le bas la flèche à côté de éditent, et sélectionnent la nouvelle règle d'insertion ci-dessous.

    byod-flexconnect-dg-091.gif

    Une nouvelle règle standard # est ajoutée.

    byod-flexconnect-dg-092.gif

  60. Changez le nom de règle de la règle standard # à OpenCWA. Cette règle initie la procédure d'enregistrement sur le WLAN ouvert (double SSID) pour les utilisateurs qui viennent au réseau d'invité afin de faire provisioned des périphériques.

    byod-flexconnect-dg-093.gif

  61. Cliquez sur le plus (+) pour des conditions, et cliquez sur l'état existant choisi de la bibliothèque.

    byod-flexconnect-dg-094.gif

  62. Conditions composées choisies > Wireless_MAB.

    byod-flexconnect-dg-095.gif

  63. Dans le profil d'AuthZ, cliquez sur le plus (+), et sélectionnez la norme.

    byod-flexconnect-dg-096.gif

  64. Sélectionnez le CWA standard (c'est le profil d'autorisation créé plus tôt).

    byod-flexconnect-dg-097.gif

  65. Confirmez que la règle est ajoutée dans les conditions et l'autorisation correctes.

    byod-flexconnect-dg-098.gif

  66. Clic fait (du côté droit de la règle).

    byod-flexconnect-dg-099.gif

  67. À la droite de la même règle, cliquez sur vers le bas la flèche à côté de éditent, et sélectionnent la nouvelle règle d'insertion ci-dessous.

    byod-flexconnect-dg-100.gif

  68. Changez le nom de règle de la règle standard # à PEAPrule (dans cet exemple). Cette règle est pour le PEAP (également utilisé pour le scénario simple SSID) pour vérifier cette authentification de 802.1X sans Transport Layer Security (TLS) et ce ravitaillement de suppliant de réseau est initié avec le profil d'autorisation de disposition créé précédemment.

    byod-flexconnect-dg-101.gif

  69. Changez la condition à Wireless_802.1X.

    byod-flexconnect-dg-102.gif

  70. Cliquez sur l'icône d'équipement du côté droit de la condition, et choisi ajoutez l'attribut/valeur. C'est « et » condition, pas « ou » condition.

    byod-flexconnect-dg-103.gif

  71. Localisez et sélectionnez l'accès au réseau.

    byod-flexconnect-dg-104.gif

  72. AuthenticationMethod choisi, et écrivent ces valeurs :

    byod-flexconnect-dg-105.gif

    • AuthenticationMethod : Égaux

      byod-flexconnect-dg-106.gif

    • MSCHAPV2 choisi.

      byod-flexconnect-dg-107.gif

    C'est un exemple de la règle ; soyez sûr de confirmer que la condition est ET.

    byod-flexconnect-dg-108.gif

  73. Dans le profil d'AuthZ, norme > disposition choisies (c'est le profil d'autorisation créé plus tôt).

    byod-flexconnect-dg-109.gif

    byod-flexconnect-dg-110.gif

  74. Cliquez sur Done.

    byod-flexconnect-dg-099.gif

  75. À la droite du PEAPrule, cliquez sur vers le bas la flèche à côté de éditent, et sélectionnent la nouvelle règle d'insertion ci-dessous.

    byod-flexconnect-dg-111.gif

  76. Changez le nom de règle de la règle standard # à AllowRule (dans cet exemple). Cette règle sera utilisée afin de permettre l'accès aux périphériques enregistrés avec des Certificats installés.

    byod-flexconnect-dg-112.gif

  77. Dans des conditions, conditions composées choisies.

    byod-flexconnect-dg-113.gif

  78. Wireless_802.1X choisi.

    byod-flexconnect-dg-114.gif

  79. Ajoutez ET l'attribuez.

    byod-flexconnect-dg-115.gif

  80. Cliquez sur l'icône d'équipement du côté droit de la condition, et choisi ajoutez l'attribut/valeur.

    byod-flexconnect-dg-116.gif

  81. Localisez et sélectionnez le rayon.

    byod-flexconnect-dg-117.gif

  82. Calling-Station-ID--[31] choisi.

    byod-flexconnect-dg-118.gif

  83. Égaux choisis.

    byod-flexconnect-dg-119.gif

  84. Allez au CERTIFICAT, et cliquez sur la flèche à droite.

    byod-flexconnect-dg-123.gif

  85. Nom alternatif soumis choisi.

    byod-flexconnect-dg-121.gif

  86. Pour le profil d'AuthZ, norme choisie.

    byod-flexconnect-dg-122.gif

  87. Autorisation choisie Access.

    byod-flexconnect-dg-123.gif

  88. Cliquez sur Done.

    byod-flexconnect-dg-099.gif

    C'est un exemple de la règle :

    byod-flexconnect-dg-124.gif

  89. Localisez la règle par défaut afin de changer PermitAccess à DenyAccess.

    byod-flexconnect-dg-125.gif

  90. Cliquez sur Edit afin d'éditer la règle par défaut.

    byod-flexconnect-dg-126.gif

  91. Allez au profil existant d'AuthZ de PermitAccess.

    byod-flexconnect-dg-127.gif

  92. Norme choisie.

    byod-flexconnect-dg-128.gif

  93. DenyAccess choisi.

    byod-flexconnect-dg-129.gif

  94. Confirmez que la règle par défaut a DenyAccess si aucune correspondance n'est trouvée.

    byod-flexconnect-dg-130.gif

  95. Cliquez sur Done.

    byod-flexconnect-dg-099.gif

    C'est un exemple des règles principales exigées pour ce test ; ils s'appliquent pour un SSID simple ou le double scénario SSID.

    byod-flexconnect-dg-131.gif

  96. Cliquez sur Save.

    byod-flexconnect-dg-132.gif

  97. Naviguez vers ISE > gestion > système > Certificats afin de configurer le serveur ISE avec un profil SCEP.

    byod-flexconnect-dg-133.gif

  98. Dans des exécutions de certificat, profils du clic SCEP CA.

    byod-flexconnect-dg-134.gif

  99. Cliquez sur Add.

    byod-flexconnect-dg-135.gif

  100. Écrivez ces valeurs pour ce profil :

    • Nom : mySCEP (dans cet exemple)
    • URL : <ca-server> /CertSrv/mscep/ de https:// (vérifiez votre configuration du serveur CA pour l'adresse exacte.)

    byod-flexconnect-dg-136.gif

  101. Cliquez sur la Connectivité de test afin de tester la Connectivité de la connexion SCEP.

    byod-flexconnect-dg-137.gif

  102. Cette réponse prouve que la Connectivité de serveur est réussie.

    byod-flexconnect-dg-138.gif

  103. Cliquez sur Submit.

    byod-flexconnect-dg-139.gif

  104. Le serveur répond que le profil CA a été créé avec succès.

    byod-flexconnect-dg-140.gif

  105. Confirmez que le profil SCEP CA est ajouté.

    byod-flexconnect-dg-141.gif

Expérience utilisateur - IOS de ravitaillement

Double SSID

Cette section couvre le double SSID et décrit comment se connecter à l'invité à provisioned et comment se connecter à un 802.1x WLAN.

Terminez-vous ces étapes afin de provision l'IOS dans le double scénario SSID :

  1. Sur le périphérique IOS, allez au WiFi les réseaux, et au DemoCWA choisi (WLAN ouvert configuré sur WLC).

    byod-flexconnect-dg-142.gif

  2. Ouvrez le navigateur de safari sur le périphérique IOS, et visitez un URL accessible (par exemple, web server interne et externe). L'ISE vous réoriente au portail. Cliquez sur Continue.

    byod-flexconnect-dg-143.gif

  3. Vous êtes réorienté au portail d'invité pour la procédure de connexion.

    byod-flexconnect-dg-144.gif

  4. Procédure de connexion avec un compte utilisateur et un mot de passe d'AD. Installez le profil CA une fois incité.

    byod-flexconnect-dg-145.gif

  5. Cliquez sur le certificat de confiance Install du serveur CA.

    byod-flexconnect-dg-146.gif

  6. Cliquez sur fait une fois que le profil est complètement installé.

    byod-flexconnect-dg-147.gif

  7. Revenez au navigateur, et cliquez sur le registre. Notez l'ID de périphérique qui contient l'adresse MAC du périphérique.

    byod-flexconnect-dg-148.gif

  8. Le clic installent afin d'installer le profil vérifié.

    byod-flexconnect-dg-149.gif

  9. Le clic installent maintenant.

    byod-flexconnect-dg-150.gif

  10. Après que le processus soit terminé, le profil de WirelessSP confirme que le profil est installé. Cliquez sur Done.

    byod-flexconnect-dg-151.gif

  11. Allez au WiFi les réseaux, et changez le réseau à Demo1x. Votre périphérique est maintenant connecté et utilise le TLS.

    byod-flexconnect-dg-152.gif

  12. Sur l'ISE, naviguez vers des exécutions > des authentifications. Les événements affichent le processus dans lequel le périphérique est connecté au réseau ouvert d'invité, passe par la procédure d'enregistrement avec le ravitaillement de suppliant, et est permis l'accès d'autorisation après enregistrement.

    byod-flexconnect-dg-153.gif

  13. Naviguez vers ISE > gestion > Gestion de l'identité > groupes > groupes > RegisteredDevices d'identité de point final. L'adresse MAC a été ajoutée à la base de données.

    byod-flexconnect-dg-154.gif

SSID simple

Cette section couvre le SSID simple et décrit comment se connecter directement à un 802.1x WLAN, fournir le nom d'utilisateur/mot de passe d'AD pour l'authentification PEAP, provision par un compte d'invité, et rebrancher avec le TLS.

Terminez-vous ces étapes afin de provision l'IOS dans le scénario simple SSID :

  1. Si vous utilisez le même périphérique IOS, retirez le point final des périphériques enregistrés.

    byod-flexconnect-dg-155.gif

  2. Sur le périphérique IOS, naviguez vers des configurations > des généraux > des profils. Retirez les profils installés dans cet exemple.

    byod-flexconnect-dg-156.gif

  3. Le clic retirent afin de retirer les profils précédents.

    byod-flexconnect-dg-157.gif

    byod-flexconnect-dg-158.gif

  4. Connectez directement au 802.1x au périphérique (effacé) existant ou à un nouveau périphérique IOS.

  5. Connectez au dot1x, écrivez un nom d'utilisateur et mot de passe, et le clic se joignent.

    byod-flexconnect-dg-159.gif

  6. Répétez les étapes 90 et en fonction de la section de configuration ISE jusqu'à ce que les profils appropriés soient complètement installés.

  7. Naviguez vers ISE > exécutions > authentifications afin de surveiller le processus. Cet exemple affiche le client qui est connecté directement au 802.1X WLAN pendant qu'il provisioned, déconnecte, et rebranche au même WLAN avec l'utilisation du TLS.

    byod-flexconnect-dg-160.gif

  8. Naviguez vers WLC > moniteur > [MAC de client]. Dans le petit groupe de client, notez que le client est dans l'état de PASSAGE, son commutateur de données est placé aux gens du pays, et l'authentification est centrale. Cela vaut pour les clients qui se connectent à FlexConnect AP.

Expérience utilisateur - Ravitaillement Android

Double SSID

Cette section couvre le double SSID et décrit comment se connecter à l'invité à provisioned et comment se connecter à un 802.1x WLAN.

La procédure de connexion pour le périphérique d'Android est très semblable à celle pour un périphérique IOS (SSID simple ou double). Cependant, une importante différence est que le périphérique d'Android exige de l'accès à Internet afin d'accéder au marché de Google (maintenant Google Play) et télécharger l'agent de suppliant.

Terminez-vous ces étapes afin de provision un périphérique d'Android (tel que le Samsung Galaxy dans cet exemple) dans le double scénario SSID :

  1. Dans le périphérique d'Android, employez le WiFi afin de se connecter à DemoCWA, et ouvrir le WLAN invité.

    byod-flexconnect-dg-162.gif

  2. Recevez n'importe quel certificat afin de se connecter à l'ISE.

    byod-flexconnect-dg-163.gif

  3. Écrivez un nom d'utilisateur et mot de passe au portail d'invité afin d'ouvrir une session.

    byod-flexconnect-dg-164.gif

  4. Registre de clic. Les tentatives de périphérique d'atteindre l'Internet afin d'accéder au marché de Google. Ajoutez toutes les règles supplémentaires à l'ACL de Pre-Auth (tel qu'ACL-REDIRECT) dans le contrôleur afin de permettre l'accès à Internet.

    byod-flexconnect-dg-165.gif

  5. Google répertorie la configuration réseau de Cisco comme app d'Android. Cliquez sur Install.

    byod-flexconnect-dg-166.gif

  6. Connectez-vous à Google, et le clic INSTALLENT.

    byod-flexconnect-dg-167.gif

  7. Cliquez sur OK.

    byod-flexconnect-dg-168.gif

  8. Sur le périphérique d'Android, trouvez l'app installé de Cisco SPW, et ouvrez-le.

    byod-flexconnect-dg-169.gif

  9. Assurez-vous que vous êtes encore ouvert une session au portail d'invité de votre périphérique d'Android.

  10. Début de clic afin de commencer l'assistant d'installation de WiFi.

    byod-flexconnect-dg-170.gif

  11. Cisco SPW commence à installer des Certificats.

    byod-flexconnect-dg-171.gif

  12. Une fois incité, placez un mot de passe pour la mémoire de créance.

    byod-flexconnect-dg-172.gif

  13. Cisco SPW retourne avec un nom de certificat, qui contient la clé et le certificat utilisateur d'utilisateur. Cliquez sur OK afin de confirmer.

    byod-flexconnect-dg-173.gif

  14. Cisco SPW continue et incite pour un autre nom de certificat, qui contient le certificat de CA. Entrez dans l'iseca de nom (dans cet exemple), puis cliquez sur OK afin de continuer.

    byod-flexconnect-dg-174.gif

  15. Le périphérique d'Android est maintenant connecté.

    byod-flexconnect-dg-175.gif

Mes périphériques portaiux

Mon portail de périphériques permet à des utilisateurs pour mettre les périphériques sur la liste noire précédemment enregistrés qu'un périphérique est perdu ou en cas dérobé. Il permet également à des utilisateurs re-pour enrôler si nécessaire.

Terminez-vous ces étapes afin de mettre un périphérique sur la liste noire :

  1. Afin d'ouvrir une session à mon portail de périphériques, ouvrez un navigateur, se connectent à https://ise-server:8443/mydevices (notez le numéro de port 8443), et à la procédure de connexion à un compte d'AD.

    byod-flexconnect-dg-176.gif

  2. Localisez le périphérique sous l'ID de périphérique, et cliquez sur perdu ? afin d'initier mettre d'un périphérique sur la liste noire.

    byod-flexconnect-dg-177.gif

  3. Quand l'ISE incite un avertissement, cliquez sur oui afin de poursuivre.

    byod-flexconnect-dg-178.gif

  4. ISE confirme que le périphérique est marqué en tant que perdu.

    byod-flexconnect-dg-179.gif

  5. N'importe quelle tentative de se connecter au réseau au périphérique précédemment enregistré est maintenant bloquée, même s'il y a un certificat valide installé. C'est un exemple d'un périphérique mis sur la liste noire qui échoue authentification :

    byod-flexconnect-dg-180.gif

  6. Un administrateur peut naviguer vers ISE > gestion > Gestion de l'identité > groupes, groupes d'identité de point final de clic > liste noire, et voit que le périphérique est mis sur la liste noire.

    byod-flexconnect-dg-181.gif

Terminez-vous ces étapes afin de rétablir un périphérique mis sur la liste noire :

  1. Du mon portail de périphériques, le clic rétablissent pour ce périphérique.

    byod-flexconnect-dg-182.gif

  2. Quand ISE incite un avertissement, cliquez sur oui afin de poursuivre.

    byod-flexconnect-dg-183.gif

  3. ISE confirme que le périphérique a été avec succès rétabli. Connectez le périphérique rétabli au réseau afin de tester qu'on permettra le périphérique maintenant.

    byod-flexconnect-dg-184.gif

Référence - Certificats

ISE exige non seulement un certificat racine CA valide, mais a besoin également d'un certificat valide signé par CA.

Terminez-vous ces étapes afin d'ajouter, lier, et importer le nouveau certificat de CA de confiance :

  1. Naviguez vers ISE > gestion > système > Certificats, cliquez sur les Certificats locaux, et cliquez sur Add.

    byod-flexconnect-dg-185.gif

  2. Choisi générez la demande de signature de certificat (CSR).

    byod-flexconnect-dg-186.gif

  3. Écrivez le sujet CN=<ISE-SERVER hostname.FQDN> de certificat. Pour les autres champs, vous pouvez utiliser le par défaut ou les valeurs priées par votre installation CA. Cliquez sur Submit.

    byod-flexconnect-dg-187.gif

  4. ISE vérifie que le CSR a été généré.

    byod-flexconnect-dg-188.gif

  5. Afin d'accéder au CSR, cliquez sur les exécutions de demandes de signature de certificat.

    byod-flexconnect-dg-189.gif

  6. Sélectionnez le CSR récemment créé, puis cliquez sur l'exportation.

    byod-flexconnect-dg-190.gif

  7. ISE exporte le CSR à un fichier .pem. Le fichier de sauvegarde de clic, cliquent sur OK alors afin de sauvegarder le fichier à l'ordinateur local.

    byod-flexconnect-dg-191.gif

  8. Localisez et ouvrez le fichier du certificat ISE avec un éditeur de texte.

    byod-flexconnect-dg-192.gif

  9. Copiez le contenu entier du certificat.

    byod-flexconnect-dg-193.gif

  10. Connectez au serveur CA, et à la procédure de connexion à un compte administrateur. Le serveur est Microsoft 2008 CA chez https://10.10.10.10/certsrv (dans cet exemple).

    byod-flexconnect-dg-194.gif

  11. Demande de clic un certificat.

    byod-flexconnect-dg-195.gif

  12. Demande de certificat avancée par clic.

    byod-flexconnect-dg-196.gif

  13. Cliquez sur la deuxième option afin de soumettre une demande de certificat à l'aide d'un base-64-encoded CMC ou….

    byod-flexconnect-dg-197.gif

  14. Collez le contenu à partir du fichier du certificat ISE (.pem) dans le champ enregistré de demande, l'assurez que le modèle de certificat est serveur Web, et cliquez sur Submit.

    byod-flexconnect-dg-198.gif

  15. Cliquez sur Download le certificat.

    byod-flexconnect-dg-199.gif

  16. Sauvegardez le fichier de certnew.cer ; il sera utilisé plus tard afin de lier avec l'ISE.

    byod-flexconnect-dg-200.gif

  17. Des Certificats ISE, naviguez vers les Certificats locaux, et cliquez sur Add > certificat de CA de grippage.

    byod-flexconnect-dg-201.gif

  18. Parcourez au certificat qui a été enregistré à l'ordinateur local dans l'étape précédente, activent les protocoles d'EAP et d'interface de gestion (des cases sont vérifiées), et cliquent sur Submit. ISE peut prendre plusieurs minutes ou plus afin de redémarrer des services.

    byod-flexconnect-dg-202.gif

  19. Revenez à la page de renvoi du CA (https://CA/certsrv/), et cliquent sur Download un certificat de CA, une chaîne de certificat, ou un CRL.

    byod-flexconnect-dg-203.gif

  20. Cliquez sur Download CA certificate.

    byod-flexconnect-dg-204.gif

  21. Sauvegardez le fichier à l'ordinateur local.

    byod-flexconnect-dg-205.gif

  22. Avec le serveur ISE en ligne, allez aux Certificats, et cliquez sur les Certificats d'autorité de certification.

    byod-flexconnect-dg-206.gif

  23. Cliquez sur Import.

    byod-flexconnect-dg-207.gif

  24. Recherchez le certificat de CA, activez la confiance pour l'authentification client (la case est cochée), et cliquez sur Submit.

    byod-flexconnect-dg-208.gif

  25. Confirmez que le nouveau certificat de CA de confiance est ajouté.

    byod-flexconnect-dg-209.gif

Informations connexes


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 113606