安全 : Cisco NAC Appliance (Clean Access)

NAC (Clean Access) :配置访客访问

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


目录


简介

本文描述如何配置访客访问或NAC设备的多种类型在思科Clean Access的与Clean Access管理器(CAM)的。

先决条件

要求

此配置是可适用的对CAM版本3.5和以上。

使用的组件

本文档中的信息根据CAM版本4.1。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

访客访问的类型

有访客访问三种主要类型:

  • 单个guest按钮

    • 通过单个guest按钮允许访客访问。

    • 接受的提供可接受用户页/拒绝。

    • 提供策略、带宽和会话/非活动控制。

    • 不记录各自的访客用户名。

    • 不防止访客relogin/重新使用。

  • 本地用户访客帐户

    • 允许大厅admin编辑仅本地用户字段。

    • 允许用户创建/删除/更改多个访客帐户。

    • 记录在线用户的各自的访客用户名。

    • 提供AUP, policy/bw/session/inactivity控制。

    • 不自动地删除访客帐户。

  • 外部访客门户通过Clean Access API

    • 通过API (https)支持远程访客门户。

    • 允许用户创建/删除/更改多个访客帐户。

    • 支持所有雇员访客帐户创建的外部DB/AD。

    注意: 通过使用仅HTTPS,但是不通过HTTP,来宾用户可以验证。热点通过仅HTTPS支持。

配置单个guest按钮

您在两个模式能使用单个guest按钮:

  • 有线的访客访问(最佳)

    • 用于会议室,培训的房间,访客报亭

    • 用户能只访问访客网络,当允许或陪同由员工

    • 限制访客访问到仅互联网

    • 能有根据Wired的不同的登录页VLAN (营销)

  • 无线访客访问(取决于)

    • 好,如果在仅校园内的AP伸手可及的距离

    • 用户在停车场能获取访客访问

完成这些步骤:

  1. 创建用户角色:

    1. 在CAM中,请选择用户管理>用户角色为了创建来宾用户角色,如显示。

    2. 可选:指定重定向URL在访客洛金。

      /image/gif/paws/107496/cca_guestaccess1_107496.gif

  2. 选择用户管理>数据流控制> IP为了创建访客的一个数据流策略,例如“互联网路由器的到端口80/443仅”。

    /image/gif/paws/107496/cca_guestaccess2_107496.gif

  3. 选择用户管理>本地用户>New为了创建新的来宾用户

    /image/gif/paws/107496/cca_guestaccess3_107496.gif

  4. 选择Administration >用户页>登录页>Add为了指定用户页的信息,例如镜像、标题、访客标签和说明。

    cca_guestaccess4_107496.gif

  5. 创建销售或标记的一个帧用户页。

    /image/gif/paws/107496/cca_guestaccess5_107496.gif

    • 正确的帧访问(即对仅cisco.com)在未经鉴定的角色允许。

    • 一旦用户点击访客,用户能访问互联网。

配置本地用户访客帐户

本地用户访客帐户

  • 大厅Admin必须登录到有仅限制本地用户用户访问的Clean Access管理器。

  • 大厅Admin手工必须创建/删除/修改访客帐户。

  • 事件日志由时间戳和访客帐户登录显示特定访客帐户创建。

  • 允许根据访客角色的类型的多个重定向页。例如,对www.cisco.com/go/training的guest_to_training的重定向。

  • 不防止访客直到删除的帐户relogin本地用户。

  • 最佳为介质对低访客帐户创建,例如每周20个访客。

完成这些步骤:

  1. 选择Administration >管理员用户> Admin组为了创建大厅Admin group。选择在下拉菜单的完全控制本地用户字段的。

    /image/gif/paws/107496/cca_guestaccess6_107496.gif

  2. 选择Administration >管理员用户>管理员用户为了创建大厅用户名用密码。

    单击创建Admin,并且单击创建Admin

    /image/gif/paws/107496/cca_guestaccess7_107496.gif

  3. 创建多个用户角色基于准时使用情况,例如Guest_4hours、Guest_8hours和访客(1个小时)。

    cca_guestaccess8_107496.gif

  4. 编辑根据日程的用户角色。

    /image/gif/paws/107496/cca_guestaccess9_107496.gif

  5. 大厅Admin创建本地用户并且分配用户到一个特定访客角色,单击创建用户

    /image/gif/paws/107496/cca_guestaccess10_107496.gif

  6. 创建销售或标记的一个帧用户页

    /image/gif/paws/107496/cca_guestaccess11_107496.gif

    • 正确的帧访问(即对仅cisco.com)在未经鉴定的角色允许。

    • 一旦用户输入用户名/密码,用户能访问互联网。

    • 能重定向一个特定访客类型到销售的URL。

外部访客门户通过API

  • 最佳为高访客帐户创建,例如每天的20个访客。

  • 最佳,如果有在CAM访问的安全性问题由大厅Admin。

  • 外部门户可以由客户或思科高级服务构件。

  • 门户能有排进日程,给,打印和报告功能发电子邮件。

  • 门户可执行计费或记帐信息到发单。

  • 思科Clean Access API工具脚本, cisco_api.jsp,提供允许管理员创建,删除和查看在CAM的本地用户帐户的三个功能:

    • getlocaluserlist —返回本地用户列表有用户名和角色的名称。

    • addlocaluser —占领用户名、密码和角色名称。回归成功或失败。

    • deletelocaluser —采取用户名或“所有” (删除整个列表)。回归成功或失败。

  • 思科Clean Access不活动计时器注销用户,当非激活(在波段之内模式)。

cca_guestaccess12_107496.gif

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 107496