安全 : 思科身份服务引擎

与FlexConnect AP的中央Web验证在与ISE配置示例的一WLC

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

简介

本文描述如何配置中央Web验证用FlexConnect接入点(AP)在一个无线局域网控制器(WLC)用身份服务引擎(ISE)在本地交换模式。

贡献用尼古拉斯Darchis, Cisco TAC工程师。

重要说明:此时,在FlexAPs的本地认证不为此方案支持。

其他文档此系列

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 思科身份服务引擎(ISE),版本1.2.1
  • 无线局域网控制器软件,发行版本- 7.4.100.0

配置

有配置在无线局域网控制器(WLC)的中央Web验证的多种方法。第一种方法是WLC重定向HTTP数据流到内部或外部服务器用户提示验证的本地Web验证。WLC然后拿来凭证(被退还的通过一旦外部服务器的一HTTP GET请求)并且做RADIUS验证。一旦来宾用户,外部服务器(例如身份服务引擎(ISE)或美洲台访客服务器(NGS))要求作为门户提供功能例如设备注册和赛弗供应。此进程包括这些步骤:

  1. 用户关联对Web验证SSID。
  2. 用户打开他们的浏览器。
  3. 对访客门户的WLC重定向(例如ISE或NGS),当URL被输入。
  4. 用户在门户验证。
  5. 回到WLC的访客门户重定向与被输入的凭证。
  6. WLC通过RADIUS验证来宾用户。
  7. 回到原始URL的WLC重定向。

此进程包括很多重定向。新的方法将使用与ISE的中央Web验证(后版本一起使用比1.1)和WLC (后版本比7.2)。此进程包括这些步骤:

  1. 用户关联对Web验证SSID。
  2. 用户打开他们的浏览器。
  3. 对访客门户的WLC重定向。
  4. 用户在门户验证。
  5. ISE发送RADIUS授权(CoA崔凡吉莱- UDP波尔特1700)表明到控制器用户有效和最终推送RADIUS属性例如访问控制表(ACL)。
  6. 用户是被提示的重试原始URL。

此部分描述必要步骤配置在WLC和ISE的中央Web验证。

网络图

此配置使用以下网络设置:

WLC 配置

WLC配置是相当简单的。“窍门?使用(同一样在交换机)从ISE获取动态验证URL。(因为它使用CoA,会话需要创建作为会话ID是URL的一部分。)SSID配置使用过滤的MAC,并且ISE配置返回Access-Accept消息,即使没找到MAC地址,以便发送所有用户的重定向URL。 

另外,必须启用RADIUS网络准入控制(NAC)和AAA覆盖。RADIUS美洲台允许ISE发送指示的CoA请求用户当前验证并且能访问网络。它也使用ISE更改根据状态结果的用户配置文件的状态评估。

  1. 保证RADIUS服务器有(CoA)启用的RFC3576,是默认。



  2. 创建一新的WLAN。此示例创建名为CWAFlex的一新的WLAN并且分配它到vlan33。(请注意它不会有效果,因为接入点在本地交换模式。)



  3. 在安全选项卡,过滤作为第2层安全的enable (event) MAC。



  4. 在第3层选项卡,请保证安全禁用。(如果Web验证在第3层启用,本地Web验证启用,不中央Web验证。)



  5. 在AAA服务器上请选中,选择ISE服务器作为WLAN的RADIUS服务器。随意地,您能为认为选择它为了有关于ISE的详细信息。



  6.  在高级选项卡。,请保证允许AAA覆盖被检查,并且Radius NAC为NAC状态选择。



  7. 创建重定向ACL。

    ThisACL被参考theISE Access-Accept消息并且定义了应该重定向不应该重定向什么流量(拒绝由theACL)以及什么流量(允许由theACL)。基本上, DNS和流量到/从theISE需要允许。

    注意:与FlexConnect AP的一个问题是您必须创建FlexConnect ACL分别于您的正常ACL。此问题在Cisco Bug CSCue68065方面在版本7.5描述和修复。 在WLC 7.5及以后,仅FlexACL要求,并且标准ACL不是需要的。WLC预计ISE返回的重定向ACL是正常ACL。然而,保证它工作,您需要象FlexConnect ACL应用的同样ACL。


    此示例显示如何创建名为flexred的FlexConnect ACL :



    1. 创建规则允许DNS流量以及流量往ISE和拒绝其余。


      如果想要最大安全性,您能允许往ISE的仅端口8443。(如果摆姿势,您必须添加典型的状态端口,例如8905,8906,8909,8910。)

    2. (仅在版本7.5前的代码由于CSCue68065)请选择创建与同一名称的相同的ACL的安全>访问控制列表



    3. 准备特定FlexConnect AP。注意为一更加大的部署,您典型地会使用FlexConnect组和不会执行根据一个每个AP基本类型的这些项目为可扩展性原因。

      1. 点击无线,并且选择特定接入点。
      2. 点击FlexConnect选项卡,并且点击外部Webauthentication ACL。(在版本7.4之前,此选项被命名了Web策略。)



      3. 添加ACL (命名flexred在本例中)到Web政策方面。这PRE推进对接入点的ACL。它没有应用,但是ACL内容给对AP,以便能应用,当需要。


WLC配置当前完成。

ISE配置

创建授权配置文件


完成这些步骤为了创建授权配置文件:

  1. 点击策略,然后单击策略元素

  2. 点击结果

  3. 展开授权,然后单击授权配置文件

  4. 点击Add按钮为了创建中央webauth的一新的授权配置文件。

  5. Name字段,请输入一名称对于配置文件。此示例使用CentralWebauth

  6. 从访问类型下拉列表选择ACCESS_ACCEPT

  7. 检查Web验证复选框,并且从下拉列表选择集中化Web验证

  8. 在ACL字段,请输入定义了流量将重定向ACL的名称在WLC的。此示例使用flexred

  9. 从重定向下拉列表选择默认

重定向属性定义了ISE是否看到默认Web的万维网门户或该一个自定义的Web门户ISE admin创建。例如,在本例中的flexred ACL触发重定向在从客户端的HTTP数据流到任何地方。

创建验证规则


完成这些步骤为了使用验证配置文件创建验证规则:

  1. 在策略菜单下,请点击验证

    此镜像显示示例如何配置验证策略规则。在本例中,将触发的规则配置,当MAC过滤检测时。

  2. 输入一名称对于您的验证规则。此示例使用无线mab
  3. 选择正(+)在的图标,如果情况字段。
  4. 选择复合条件,然后选择Wireless_MAB
  5. 选择"Default network access"作为允许协议。
  6. 点击箭头查找在旁边和…为了进一步展开规则。
  7. 点击+在标识Source字段的图标,并且选择内部终端
  8. 选择从继续,如果用户没被找到的下拉列表。 

此选项允许将验证的设备(通过webauth),即使其MAC地址不知道。Dot1x客户端仍然验证与他们的凭证,并且不应该牵涉到此配置。

创建授权规则

当前有几个规则配置在授权策略。当PC关联,将通过mac过滤;假设, MAC地址不知道,因此webauth和ACL返回。此MAC没已知规则在下面镜像在此部分显示和配置。

 

完成这些步骤为了创建授权规则:

  1. 创建新规则,并且输入名称。此示例使用没已知的MAC

  2. 在情况字段点击正(+)图标,并且选择创造新的条件。

  3. 展开表达式下拉列表。

  4. 选择网络访问,并且展开它。

  5. 点击AuthenticationStatus,并且选择等于操作员。

  6. 在右边的字段选择UnknownUser

  7. 在一般授权页,请在然后词右边选择CentralWebauth (授权配置文件)在字段。

    此步骤允许ISE继续,即使用户(或MAC)不知道。

    未知用户当前提交与登录页。然而,一旦他们输入他们的凭证,他们再提交与在ISE的认证请求;因此,必须配置另一个规则以符合的情况,如果用户是来宾用户。在本例中,如果UseridentityGroup使用等于访客和它假设,所有访客属于此组。

  8. 点击Action按钮查找在MAC没已知规则结束时,并且选择插入上面新规则。

    注意: 重要的是非常此新规则来,在MAC没已知规则前。

  9. 在Name字段进入第2验证

  10. 选择标识组作为情况。此示例选择访客

  11. 在情况字段,请点击正(+)图标,并且选择创造新的条件。

  12. 选择网络访问,并且点击UseCase

  13. 选择等于作为操作员。

  14. 选择GuestFlow作为正确的操作数。这意味着您将捉住在网页登陆并且回来,在授权后的用户(规则的访客流零件的崔凡吉莱),并且,只有当他们属于访客标识组。

  15. 在授权页,请点击正(+)图标(查找在然后旁边)为了选择您的规则的一种结果。

    在本例中,一预先配置的配置文件(vlan34)分配;此配置在本文没有显示。

    您能选择Permit访问选项或创建一自定义配置文件为了返回您喜欢的VLAN或属性。

重要说明:在ISE Version1.3,根据Web验证种类, “访客流”用例也许不再遇到。授权规则然后将必须包含访客用户组作为唯一的可能的情况。 

启用IP续订(可选)


如果分配VLAN,最后一步是为了客户端PC能更新其IP地址。此步骤由Windows客户端的访客门户达到。如果没有设置第2个验证规则的VLAN前,您能跳到此步骤。

注意在FlexConnect AP, VLAN在AP需要事先存在。所以,如果它不,您能创建在AP的一VLAN-ACL映射或在您不申请任何ACL新的VLAN的弹性组您要创建。那实际上创建VLAN (没有对此的ACL)。

如果分配VLAN,请完成这些步骤为了启用IP续订:

  1. 点击管理,然后单击访客管理

  2. 单击设置

  3. 展开访客,然后扩展多PORTAL配置

  4. 点击DefaultGuestPortal或您可能创建一个自定义门户的名称。

  5. 点击VLAN DHCP Release复选框

    注意: 此选项为Windows客户端仅工作。

 

通信流

了解能似乎难哪个流量在此方案的地方发送。这是一快速复核:

  • 客户端发送在空气的关联申请SSID的。
  • WLC处理过滤与ISE的MAC验证(其中接收重定向属性)。
  • 在MAC过滤完成后,客户端只收到assoc答复。
  • 客户端提交DHCP请求,并且那本地由接入点为了obain交换远程站点的IP地址。
  • 在Central_webauth状态下,流量标记为在重定向典型ACL (因此HTTP拒绝)在中央交换。不因此执行重定向,但是WLC的它是AP;例如,当客户端请求所有网站时, AP发送此对在CAPWAP和网站IP地址和重定向往ISE的WLC欺骗封装的WLC。
  • 客户端重定向对ISE重定向URL。(因为在弹性重定向ACL的permit点击),这本地再交换。
  • 一旦在运转状态,流量本地交换。

验证

一旦用户关联对SSID,授权在ISE页显示。

从底部,返回CWA属性的您能看到MAC地址过滤验证。其次与用户名的门户登录。ISE然后发送CoA对WLC,并且最后验证是过滤在WLC侧的第2层mac验证,但是ISE记住客户端和用户名并且应用我们在本例中配置的必要的VLAN。

当所有地址在客户端时打开,浏览器重定向对ISE。保证域名系统(DNS)正确地配置。

在用户接受策略后,网络访问授权。

在控制器、Policy Manager状态和RADIUS美洲台状态变换从POSTURE_REQDRAN


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 116087