Tecnología inalámbrica : Controladores inalámbricos Cisco de la serie 5500

Tecnología inalámbrica BYOD para la Guía de despliegue de FlexConnect

25 Agosto 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (23 Abril 2015) | Comentarios

Introducción

Los dispositivos móviles están llegando a ser más de cómputo potentes y populares entre los consumidores. Millones de estos dispositivos se venden a los consumidores con el Wi-Fi de alta velocidad así que los usuarios pueden comunicar y colaborar. Los consumidores ahora están acostumbrados a la mejora de la productividad que estos dispositivos móviles traen en sus vidas y están intentando traer su experiencia personal en el espacio de trabajo. Esto crea las necesidades de las funciones de una solución de Bring Your Own Device (BYOD) en el lugar de trabajo.

Este documento proporciona el despliegue de la bifurcación para la solución BYOD. Un empleado conecta con un Service Set Identifier (SSID) corporativo con su nuevo iPad y consigue reorientado a un portal del uno mismo-registro. El Cisco Identity Services Engine (ISE) autentica al usuario contra el Active Directory corporativo (AD) y descarga un certificado con una dirección MAC y un nombre de usuario integrados del iPad al iPad, junto con un perfil del supplicant que aplique el uso de la Seguridad de la capa del Protocolo-transporte de la autenticación ampliable (EAP-TLS) como método para la Conectividad del dot1x. De acuerdo con la directiva de la autorización en el ISE, el usuario puede después conectar con el uso del dot1x y acceder para apropiarse de los recursos.

Las funciones ISE en las versiones de software del Controlador de LAN de la Red Inalámbrica Cisco que 7.2.110.0 no apoyaron anterior a los clientes del Local Switching que se asocian con el (APS) de los Puntos de acceso de FlexConnect. La versión 7.2.110.0 soporta estas funciones ISE para FlexConnect AP para el Local Switching y los clientes centralmente autenticados. Además, la versión 7.2.110.0 integrado con ISE 1.1.1 proporciona (pero no se limita a) estas características de la solución BYOD para la Tecnología inalámbrica:

  • Perfilado y postura del dispositivo
  • Disposición del registro del dispositivo y del supplicant
  • Onboarding de los dispositivos personales (IOS de la disposición o dispositivos de Android)

Nota: Aunque estén soportados, los otros dispositivos, tales como PC o laptopes inalámbricas y puestos de trabajo del mac, no se incluyan en esta guía.

Contribuido por Surendra BG y Ramamurthy Bakthavatchalam, ingenieros de Cisco TAC.

Prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Cisco Catalyst Switchs
  • Reguladores de la Red Inalámbrica Cisco LAN (red inalámbrica (WLAN))
  • Versión de software 7.2.110.0 del Controlador de WLAN de Cisco (WLC) y posterior
  • 802.11n AP en el modo de FlexConnect
  • Software Release 1.1.1 y Posterior de Cisco ISE
  • Windows 2008 AD con el Certificate Authority (CA)
  • Servidor DHCP
  • Servidor del Domain Name System (DNS)
  • Network Time Protocol (NTP)
  • Laptop, smartphone, y tablillas del cliente de red inalámbrica (IOS de Apple, Android, Windows, y mac)

Nota: Refiera a los Release Note para los Controladores de LAN y los Puntos de acceso ligeros de la Red Inalámbrica Cisco para la versión 7.2.110.0 para la información importante sobre esta versión de software. Inicie sesión al sitio del cisco.com para los últimos Release Note antes de que usted cargue y pruebe el software.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Topología

Una configuración de la red mínima, tal y como se muestra en de este diagrama se requiere para implementar y probar correctamente estas características:

byod-flexconnect-dg-001.gif

Para esta simulación, usted necesita una red con un FlexConnect AP, un local/sitio remoto con el DHCP local, DNS, el WLC, y el ISE. El FlexConnect AP está conectado con un trunk para probar el Local Switching con los VLAN múltiples.

Disposición del registro del dispositivo y del supplicant

Un dispositivo debe ser registrado de modo que su supplicant nativo pueda el aprovisionado para la autenticación del dot1x. De acuerdo con la política de autenticación correcta, reorientan a la página del invitado y son autenticado al usuario por las credenciales del empleado. El usuario ve la página del registro del dispositivo, que pide su información del dispositivo. El proceso de abastecimiento del dispositivo entonces comienza. Si el operating system (OS) no se soporta para disposición, reorientan al usuario al portal del registro del activo para marcar que dispositivo para el acceso de puente de la autenticación de MAC (MAB). Si se soporta el OS, el proceso de la inscripción comienza y configura el supplicant nativo del dispositivo para la autenticación del dot1x.

Portal del registro del activo

El portal del registro del activo es el elemento de la plataforma ISE que permite que los empleados inicien onboarding de los puntos finales con una autenticación y un proceso de inscripción.

Los administradores pueden borrar los activos de la página de las identidades de los puntos finales. Cada empleado puede editar, borrar, y poner los activos que se han registrado. Los puntos finales puestos se asignan a un grupo de la identidad de la lista negra, y una directiva de la autorización es creada para prevenir el acceso a la red por los puntos finales puestos.

Portal del Uno mismo-registro

En el flujo central de la autenticación Web (CWA), reorientan a los empleados a un portal que permita que ingresen sus credenciales, que autentiquen, y que ingresen los específicos del activo determinado que desean registrarse. Este portal se llama el aprovisionamiento del uno mismo porta y es similar al portal del registro del dispositivo. Permite que los empleados ingresen el MAC address así como un escription significativo del punto final.

Autenticación y aprovisionamiento

Una vez que los empleados seleccionan el portal del Uno mismo-registro, los desafían a proporcionar un conjunto de las credenciales válidas del empleado para proceder a la fase del aprovisionamiento. Después de la autenticación satisfactoria, el punto final puede ser aprovisionado en la base de datos de los puntos finales, y un certificado se genera para el punto final. Un link en la página permite que el empleado descargue al Asisitente del piloto del supplicant (SPW).

Nota: Refiera al artículo de Cisco de la Matriz de la función de FlexConnect para ver la última Matriz de la función de FlexConnect para BYOD.

Disposición para IOS (iPhone/iPad/iPod)

Para la configuración del EAP-TLS, el ISE sigue Apple sobre - ventile el proceso de la inscripción (OTA):

  • Después de la autenticación satisfactoria, el motor de la evaluación evalúa las directivas del cliente-aprovisionamiento, que da lugar a un perfil del supplicant.
  • Si el perfil del supplicant está para la configuración del EAP-TLS, el proceso OTA determina si el ISE es el usar uno mismo-firmado o firmado por un CA desconocido. Si una de las condiciones es verdad, piden el usuario descargar el certificado de ISE o de CA antes de que el proceso de la inscripción pueda comenzar.
  • Para otros métodos EAP, el ISE avanza el perfil final sobre la autenticación satisfactoria.

Disposición para Android

Debido a las observaciones de seguridad, el agente de Android se debe descargar del sitio del mercado de Android y no puede ser aprovisionado del ISE. Cisco carga una versión del candidato de la versión del Asisitente en el mercado de Android con la cuenta del editor del mercado de Cisco Android.

Éste es el proceso de abastecimiento de Android:

  1. Cisco utiliza el Software Development Kit (SDK) para crear el paquete de Android con una extensión .apk.
  2. Cisco carga un paquete en el mercado de Android.
  3. El usuario configura la directiva en el aprovisionamiento del cliente con los parámetros apropiados.
  4. Después del registro del dispositivo, reorientan al usuario final al servicio del aprovisionamiento del cliente cuando la autenticación del dot1x falla.
  5. La página porta del aprovisionamiento proporciona un botón que reoriente al usuario al portal del mercado de Android en donde pueden descargar el SPW.
  6. Cisco SPW se inicia y realiza el aprovisionamiento del supplicant:
    1. SPW descubre el ISE y descarga el perfil del ISE.
    2. SPW crea un CERT/un par clave para el EAP-TLS.
    3. SPW hace una llamada de la petición del proxy del protocolo simple certificate enrollment (SCEP) al ISE y consigue el certificado.
    4. SPW aplica los perfiles inalámbricos.
    5. SPW acciona la reautentificación si los perfiles se aplican con éxito.
    6. Salidas SPW.

Uno mismo-registro inalámbrico dual SSID BYOD

Éste es el proceso para el uno mismo-registro inalámbrico dual SSID BYOD:

  1. Los socios del usuario al invitado SSID.
  2. El usuario abre a un navegador y se reorienta al portal del invitado ISE CWA.
  3. El usuario ingresa un nombre de usuario y contraseña del empleado en el portal del invitado.
  4. El ISE autentica al usuario, y, sobre la base del hecho de que son empleado y no un invitado, reorienta al usuario a la página del invitado del registro del dispositivo del empleado.
  5. La dirección MAC PRE-se puebla en la página del invitado del registro del dispositivo para el DeviceID. El usuario ingresa una descripción y valida el Acceptable Use Policy (AUP) si procede.
  6. El usuario selecciona valida y comienza a descargar y a instalar el SPW.
  7. El supplicant para el dispositivo de ese usuario es aprovisionado junto con cualquier Certificados.
  8. El CoA ocurre, y el dispositivo reasocia al SSID corporativo (CORP) y autentica con el EAP-TLS (o el otro método de autorización funcionando para ese supplicant).

Solo Uno mismo-registro inalámbrico SSID BYOD

En este escenario, hay un solo SSID para el acceso corporativo (CORP) ese protocolo extensible authentication protegido de los soportes (PEAP) y EAP-TLS. No hay invitado SSID.

Éste es el proceso para el solo uno mismo-registro inalámbrico SSID BYOD:

  1. Los socios del usuario a la corporación.
  2. El usuario ingresa un nombre de usuario y contraseña del empleado en el supplicant para la autenticación PEAP.
  3. El ISE autentica al usuario, y, sobre la base del método PEAP, proporciona una directiva de la autorización de valida con reorienta a la página del invitado del registro del dispositivo del empleado.
  4. El usuario abre a un navegador y se reorienta a la página del invitado del registro del dispositivo del empleado.
  5. La dirección MAC PRE-se puebla en la página del invitado del registro del dispositivo para el DeviceID. El usuario ingresa una descripción y valida el AUP.
  6. El usuario selecciona valida y comienza a descargar y a instalar el SPW.
  7. El supplicant para el dispositivo de ese usuario es aprovisionado junto con cualquier Certificados.
  8. El CoA ocurre, y el dispositivo reasocia al CORP SSID y autentica con el EAP-TLS.

Configuración de la característica

Complete estos pasos para comenzar la configuración:

  1. Para esta guía, asegúrese de que la versión del WLC sea 7.2.110.0 o más adelante.

    byod-flexconnect-dg-002.gif

  2. Navegue a la Seguridad > al RADIUS > a la autenticación, y agregue al servidor de RADIUS al WLC.

    byod-flexconnect-dg-003.gif

  3. Agregue el ISE 1.1.1 al WLC:

    • Ingrese un secreto compartido.
    • Fije el soporte para el RFC 3576 a habilitado.

    byod-flexconnect-dg-004.gif

  4. Agregue el mismo servidor ISE que un servidor de contabilidad RADIUS.

    byod-flexconnect-dg-005.gif

  5. Cree un PRE-auth ACL del WLC para utilizar en la directiva ISE más adelante. Navegue al > Security (Seguridad) > a las listas de control de acceso > a FlexConnect ACL del WLC, y cree un nuevo FlexConnect ACL nombrado ACL-REDIRECT (en este ejemplo).

    byod-flexconnect-dg-006.gif

  6. En las reglas ACL, permita todo el tráfico a/desde el ISE, y permita el tráfico del cliente durante la disposición del supplicant.

    1. Para la primera regla (secuencia 1):

      • Fije la fuente a ningunos.
      • Fija IP ()/netmask 255.255.255.255 del direccionamiento ISE.
      • Fije la acción para permitir.

      byod-flexconnect-dg-007.gif

    2. Para segundo regla (secuencia 2), fija fuente IP ()/máscara 255.255.255.255 a ningunos y acción del direccionamiento ISE a permitir.

      byod-flexconnect-dg-008.gif

  7. Cree un nuevo grupo de FlexConnect nombrado Flex1 (en este ejemplo):

    1. Navegue a la lengueta del grupo > de WebPolicies de FlexConnect.
    2. Bajo campo de WebPolicy ACL, el tecleo agrega, y ACL-REDIRECT selecto o el FlexConnect ACL creado previamente.
    3. Confirme que puebla el campo de las listas de control de acceso de WebPolicy.

    byod-flexconnect-dg-009.gif

  8. El tecleo aplica y salva la configuración.

Configuración de la red inalámbrica (WLAN)

Complete estos pasos para configurar la red inalámbrica (WLAN):

  1. Cree una red inalámbrica (WLAN) abierta SSID por el ejemplo dual SSID:

    • Ingrese un nombre WLAN: DemoCWA (en este ejemplo).
    • Seleccione la opción habilitada para el estatus.

    byod-flexconnect-dg-010.gif

  2. Navegue a la lengueta de la ficha de seguridad > de la capa 2, y fije estos atributos:

    • Seguridad de la capa 2: Ninguno
    • Filtración MAC: Habilitado (se marca el cuadro)
    • Transición rápida: Discapacitado (el cuadro no se marca)

    byod-flexconnect-dg-011.gif

  3. Vaya a la lengueta de los servidores de AAA, y fije estos atributos:

    • Servidores de la autenticación y de la cuenta: Habilitado
    • Server1: Dirección IP <ISE >

    byod-flexconnect-dg-012.gif

  4. Navegue hacia abajo de la lengueta de los servidores de AAA. Bajo pedido de la prioridad de la autenticación para el usuario del red-auth, aseegurese que el RADIUS está utilizado para la autenticación y los otros no están utilizados.

    byod-flexconnect-dg-013.gif

  5. Vaya a la ficha Avanzadas, y fije estos atributos:

    • Permita la invalidación AAA: Habilitado
    • Estado del NAC: NAC del radio

    byod-flexconnect-dg-014.gif

    Nota: El Network Admission Control (NAC) RADIUS no se soporta cuando el FlexConnect AP está en el modo disconnected. Así, si el FlexConnect AP está en el modo autónomo y pierde la conexión al WLC, todos los clientes son disconnected, y el SSID se hace publicidad no más.

  6. Navegue hacia abajo en la ficha de opciones avanzadas, y fije el Local Switching de FlexConnect a habilitado.

    byod-flexconnect-dg-015.gif

  7. El tecleo aplica y salva la configuración.

    byod-flexconnect-dg-016.gif

  8. Cree una red inalámbrica (WLAN) SSID del 802.1x nombrada Demo1x (en este ejemplo) para los escenarios solos y duales SSID.

    byod-flexconnect-dg-017.gif

  9. Navegue a la lengueta de la ficha de seguridad > de la capa 2, y fije estos atributos:

    • Seguridad de la capa 2: WPA+WPA2
    • Transición rápida: Discapacitado (el cuadro no se marca)
    • Administración de clave de autenticación: 802.lX: Habilitar

    byod-flexconnect-dg-018.gif

  10. Vaya a la ficha Avanzadas, y fije estos atributos:

    • Permita la invalidación AAA: Habilitado
    • Estado del NAC: NAC del radio

    byod-flexconnect-dg-019.gif

  11. Navegue hacia abajo en la ficha de opciones avanzadas, y fije el Local Switching de FlexConnect a habilitado.

    byod-flexconnect-dg-020.gif

  12. El tecleo aplica y salva la configuración.

    byod-flexconnect-dg-021.gif

  13. Confirme que ambos nuevos WLAN fueron creados.

    byod-flexconnect-dg-022.gif

Configuración de FlexConnect AP

Complete estos pasos para configurar el FlexConnect AP:

  1. Navegue al WLC > a la Tecnología inalámbrica, y haga clic la blanco FlexConnect AP.

    byod-flexconnect-dg-023.gif

  2. Haga clic la lengueta de FlexConnect.

    byod-flexconnect-dg-024.gif

  3. Habilite el soporte a VLAN (se marca el cuadro), fije el VLAN nativo ID, y haga clic las asignaciones del VLA N.

    byod-flexconnect-dg-025.gif

  4. Fije el VLAN ID a 21 (en este ejemplo) para el SSID para el Local Switching.

    byod-flexconnect-dg-026.gif

  5. El tecleo aplica y salva la configuración.

Configuración ISE

Complete estos pasos para configurar el ISE:

  1. Inicie sesión al servidor ISE: < https://ise >.

    byod-flexconnect-dg-027.gif

  2. Navegue a la administración > a la Administración de la identidad > las fuentes externas de la identidad.

    byod-flexconnect-dg-028.gif

  3. Haga clic el Active Directory.

    byod-flexconnect-dg-029.gif

  4. En la lengueta de la conexión:

    1. Agregue el Domain Name de corp.rf-demo.com (en este ejemplo), y cambie el valor por defecto del nombre del almacén de la identidad a AD1.
    2. Haga clic la configuración de la salvaguardia.
    3. El tecleo se une a, y proporciona el nombre de usuario y contraseña de la cuenta del administrador AD requerido para unirse a.
    4. El estatus debe ser verde. Permiso conectado con: (se marca el cuadro).

    byod-flexconnect-dg-030.gif

  5. Realice una prueba de la conexión básica al AD con un usuario del dominio actual.

    byod-flexconnect-dg-031.gif

  6. Si la conexión al AD es acertada, un diálogo confirma que la contraseña está correcta.

    byod-flexconnect-dg-032.gif

  7. Navegue a la administración > a la Administración de la identidad > las fuentes externas de la identidad:

    1. Haga clic el perfil de la autenticación certificada.
    2. El tecleo agrega para un nuevo perfil de la autenticación certificada (CASQUILLO).

    byod-flexconnect-dg-033.gif

  8. Ingrese un nombre de CertAuth (en este ejemplo) para el CASQUILLO; para el atributo principal del nombre de usuario X509, seleccione el Common Name; entonces, el tecleo somete.

    byod-flexconnect-dg-034.gif

  9. Confirme que el nuevo CASQUILLO está agregado.

    byod-flexconnect-dg-035.gif

  10. Navegue a las secuencias de la fuente de la administración > de la Administración de la identidad > de la identidad, y el haga click en Add

    byod-flexconnect-dg-036.gif

  11. Dé a secuencia un nombre de TestSequence (en este ejemplo).

    byod-flexconnect-dg-037.gif

  12. Navegue hacia abajo para certificar la autenticación basada:

    1. Habilite el perfil selecto de la autenticación certificada (se marca el cuadro).
    2. Seleccione CertAuth (u otro perfil del CASQUILLO creado anterior).

    byod-flexconnect-dg-038.gif

  13. Navegue hacia abajo a la lista de la búsqueda de la autenticación:

    1. Muévase AD1 desde disponible a seleccionado.
    2. Haga clic el botón ascendente para moverse AD1 a la prioridad máxima.

    byod-flexconnect-dg-039.gif

  14. El tecleo somete para salvar.

    byod-flexconnect-dg-040.gif

  15. Confirme que la nueva secuencia de la fuente de la identidad está agregada.

    byod-flexconnect-dg-041.gif

  16. Utilice el AD para autenticar los mis dispositivos porta. Navegue a ISE > secuencia de la fuente de la administración > de la Administración de la identidad > de la identidad, y edite MyDevices_Portal_Sequence.

    byod-flexconnect-dg-042.gif

  17. Agregue AD1 a la lista seleccionada, y haga clic el botón ascendente para moverse AD1 a la prioridad máxima.

    byod-flexconnect-dg-043.gif

  18. Haga clic en Save (Guardar).

    byod-flexconnect-dg-044.gif

  19. Confirme que la secuencia del almacén de la identidad para MyDevices_Portal_Sequence contiene AD1.

    byod-flexconnect-dg-045.gif

  20. Relance los pasos 16-19 para agregar AD1 para Guest_Portal_Sequence, y haga clic la salvaguardia.

    byod-flexconnect-dg-046.gif

  21. Confirme que Guest_Portal_Sequence contiene AD1.

    byod-flexconnect-dg-047.gif

  22. Para agregar el WLC al dispositivo de acceso a la red (WLC), navegue a la administración > a los recursos de red > a los dispositivos de red, y el haga click en Add

    byod-flexconnect-dg-048.gif

  23. Agregue el nombre del WLC, dirección IP, máscara de subred, y así sucesivamente.

    byod-flexconnect-dg-049.gif

  24. Navegue hacia abajo a las configuraciones de la autenticación, y ingrese el secreto compartido. Esto debe hacer juego el secreto compartido del WLC RADIUS.

    byod-flexconnect-dg-050.gif

  25. Haga clic en Submit (Enviar).

  26. Navegue a ISE > directiva > los elementos > los resultados de la directiva.

    byod-flexconnect-dg-051.gif

  27. Amplíe los resultados y la autorización, haga clic los perfiles de la autorización, y el tecleo agrega para un nuevo perfil.

    byod-flexconnect-dg-052.gif

  28. Dé a este perfil estos valores:

    • Nombre: CWA

      byod-flexconnect-dg-053.gif

    • Autenticación Web del permiso (se marca el cuadro):

      • Autenticación Web: Centralizado
      • ACL: ACL-REDIRECT (esto debe hacer juego el nombre del PRE-auth ACL del WLC.)
      • Redirigir: Predeterminado

      byod-flexconnect-dg-054.gif

  29. Haga clic someten, y confirman que se ha agregado el perfil de la autorización CWA.

    byod-flexconnect-dg-055.gif

  30. El tecleo agrega para crear un nuevo perfil de la autorización.

    byod-flexconnect-dg-056.gif

  31. Dé a este perfil estos valores:

    • Nombre: Disposición

      byod-flexconnect-dg-057.gif

    • Autenticación Web del permiso (se marca el cuadro):

      • Valor de la autenticación Web: Disposición del supplicant

        byod-flexconnect-dg-058.gif

      • ACL: ACL-REDIRECT (esto debe hacer juego el nombre del PRE-auth ACL del WLC.)

        byod-flexconnect-dg-059.gif

  32. Haga clic someten, y confirman que el perfil de la autorización de la disposición fue agregado.

    byod-flexconnect-dg-060.gif

  33. Navegue hacia abajo en los resultados, amplíe el aprovisionamiento del cliente, y haga clic los recursos.

    byod-flexconnect-dg-061.gif

  34. Seleccione el perfil nativo del supplicant.

    byod-flexconnect-dg-062.gif

  35. Dé a perfil un nombre de WirelessSP (en este ejemplo).

    byod-flexconnect-dg-063.gif

  36. Ingrese estos valores:

    • Tipo de conexión: Wireless
    • SSID: Demo1x (este valor es de la configuración de la red inalámbrica (WLAN) del 802.1x del WLC)
    • Protocolo permitido: TLS
    • Tamaños de clave: 1024

    byod-flexconnect-dg-064.gif

  37. Haga clic en Submit (Enviar).

  38. Haga clic en Save (Guardar).

    byod-flexconnect-dg-065.gif

  39. Confirme que se ha agregado el nuevo perfil.

    byod-flexconnect-dg-066.gif

  40. Navegue a la directiva > al aprovisionamiento del cliente.

    byod-flexconnect-dg-067.gif

  41. Ingrese estos valores para la regla del aprovisionamiento de dispositivos IOS:

    • ‘Nombre de la regla IOS
    • Grupos de la identidad: Ningunos

      byod-flexconnect-dg-068.gif

    • Sistemas operativos: IOS todo del mac

      byod-flexconnect-dg-069.gif

    • Resultados: WirelessSP (éste es el perfil nativo del supplicant creado anterior)

      byod-flexconnect-dg-070.gif

      • Navegue a los resultados > al perfil del Asisitente (lista desplegable) > WirelessSP.

        byod-flexconnect-dg-071.gif

        byod-flexconnect-dg-072.gif

  42. Confirme que el perfil del aprovisionamiento IOS fue agregado.

    byod-flexconnect-dg-073.gif

  43. A la derecha de la primera regla, localice la lista desplegable de las acciones, y seleccione el duplicado abajo (o arriba).

    byod-flexconnect-dg-074.gif

  44. Cambie el nombre de la nueva regla a Android.

    byod-flexconnect-dg-075.gif

  45. Cambie los sistemas operativos a Android.

    byod-flexconnect-dg-076.gif

  46. Deje otros valores sin cambios.

  47. Haga clic la salvaguardia (pantalla de la izquierda inferior).

    byod-flexconnect-dg-077.gif

  48. Navegue a ISE > directiva > autenticación.

    byod-flexconnect-dg-078.gif

  49. Modifique la condición para incluir Wireless_MAB, y amplíe Wired_MAB.

    byod-flexconnect-dg-079.gif

  50. Haga clic la lista desplegable del nombre de condición.

    byod-flexconnect-dg-080.gif

  51. Seleccione los diccionarios > condición compuesta.

    byod-flexconnect-dg-081.gif

  52. Seleccione Wireless_MAB.

    byod-flexconnect-dg-082.gif

  53. A la derecha de la regla, seleccione la flecha para ampliarse.

    byod-flexconnect-dg-083.gif

  54. Seleccione estos valores de la lista desplegable:

    • Fuente de la identidad: TestSequence (éste es el valor creado anterior)
    • Si la autenticación falló: Rechazo
    • Si usuario no encontrado: Continúe
    • Si el proceso falló: Descenso

    byod-flexconnect-dg-084.gif

  55. Vaya a la regla del dot1x, y cambie estos valores:

    byod-flexconnect-dg-085.gif

    • Condición: Wireless_802.1X

      byod-flexconnect-dg-086.gif

    • Fuente de la identidad: TestSequence

      byod-flexconnect-dg-087.gif

  56. Haga clic en Save (Guardar).

    byod-flexconnect-dg-088.gif

  57. Navegue a ISE > directiva > autorización.

    byod-flexconnect-dg-089.gif

  58. Las reglas predeterminadas (tales como valor por defecto negro de la lista, perfilado, y valor por defecto) se configuran ya de la instalación; los primeros dos pueden ser ignorados; la regla predeterminada será editada más adelante.

    byod-flexconnect-dg-090.gif

  59. A la derecha de la segunda regla (Teléfonos IP perfilados de Cisco), haga clic la flecha hacia abajo al lado de editan, y seleccionan la nueva regla del separador de millares abajo.

    byod-flexconnect-dg-091.gif

    Se agrega una nueva regla estándar #.

    byod-flexconnect-dg-092.gif

  60. Cambie el nombre de la regla de la regla estándar # a OpenCWA. Esta regla inicia el proceso de inscripción en la red inalámbrica (WLAN) abierta (SSID dual) para los usuarios que vienen a la red del invitado para tener aprovisionado de los dispositivos.

    byod-flexconnect-dg-093.gif

  61. Haga clic el signo más (+) para las condiciones, y haga clic la condición existente selecta de la biblioteca.

    byod-flexconnect-dg-094.gif

  62. Seleccione las condiciones compuestas > Wireless_MAB.

    byod-flexconnect-dg-095.gif

  63. En el perfil de AuthZ, haga clic el signo más (+), y seleccione el estándar.

    byod-flexconnect-dg-096.gif

  64. Seleccione el CWA estándar (éste es el perfil de la autorización creado anterior).

    byod-flexconnect-dg-097.gif

  65. Confirme que la regla está agregada con las condiciones y la autorización correctas.

    byod-flexconnect-dg-098.gif

  66. Haga clic hecho (a la derecha de la regla).

    byod-flexconnect-dg-099.gif

  67. A la derecha de la misma regla, haga clic la flecha hacia abajo al lado de editan, y seleccionan la nueva regla del separador de millares abajo.

    byod-flexconnect-dg-100.gif

  68. Cambie el nombre de la regla de la regla estándar # a PEAPrule (en este ejemplo). Esta regla está para el PEAP (también usado para el solo escenario SSID) para marcar esa autenticación del 802.1x sin Transport Layer Security (TLS) y esa disposición del supplicant de la red se inicia con el perfil de la autorización de la disposición creado previamente.

    byod-flexconnect-dg-101.gif

  69. Cambie la condición a Wireless_802.1X.

    byod-flexconnect-dg-102.gif

  70. Haga clic el icono del engranaje a la derecha de la condición, y selecto agregue el atributo/el valor. Éste es “y” condición, no “o” condición.

    byod-flexconnect-dg-103.gif

  71. Localice y seleccione el acceso a la red.

    byod-flexconnect-dg-104.gif

  72. Seleccione AuthenticationMethod, y ingrese estos valores:

    byod-flexconnect-dg-105.gif

    • AuthenticationMethod: Iguales

      byod-flexconnect-dg-106.gif

    • Seleccione el MSCHAPV2.

      byod-flexconnect-dg-107.gif

    Éste es un ejemplo de la regla; esté seguro de confirmar que la condición es Y.

    byod-flexconnect-dg-108.gif

  73. En el perfil de AuthZ, estándar > disposición selectos (éste es el perfil de la autorización creado anterior).

    byod-flexconnect-dg-109.gif

    byod-flexconnect-dg-110.gif

  74. Haga clic en Done (Listo).

    byod-flexconnect-dg-099.gif

  75. A la derecha del PEAPrule, haga clic la flecha hacia abajo al lado de editan, y seleccionan la nueva regla del separador de millares abajo.

    byod-flexconnect-dg-111.gif

  76. Cambie el nombre de la regla de la regla estándar # a AllowRule (en este ejemplo). Esta regla será utilizada para permitir el acceso a los dispositivos registrados con los Certificados instalados.

    byod-flexconnect-dg-112.gif

  77. Bajo condiciones, seleccione las condiciones compuestas.

    byod-flexconnect-dg-113.gif

  78. Seleccione Wireless_802.1X.

    byod-flexconnect-dg-114.gif

  79. Agregue Y atribúyalo.

    byod-flexconnect-dg-115.gif

  80. Haga clic el icono del engranaje a la derecha de la condición, y selecto agregue el atributo/el valor.

    byod-flexconnect-dg-116.gif

  81. Localice y seleccione el radio.

    byod-flexconnect-dg-117.gif

  82. Seleccione Calling-Station-ID--[31].

    byod-flexconnect-dg-118.gif

  83. Seleccione los iguales.

    byod-flexconnect-dg-119.gif

  84. Vaya al CERTIFICADO, y haga clic la flecha correcta.

    byod-flexconnect-dg-123.gif

  85. Seleccione el nombre alternativo sujeto.

    byod-flexconnect-dg-121.gif

  86. Para el perfil de AuthZ, seleccione el estándar.

    byod-flexconnect-dg-122.gif

  87. Seleccione el acceso del permiso.

    byod-flexconnect-dg-123.gif

  88. Haga clic en Done (Listo).

    byod-flexconnect-dg-099.gif

    Éste es un ejemplo de la regla:

    byod-flexconnect-dg-124.gif

  89. Localice la regla predeterminada para cambiar PermitAccess a DenyAccess.

    byod-flexconnect-dg-125.gif

  90. El tecleo edita para editar la regla predeterminada.

    byod-flexconnect-dg-126.gif

  91. Vaya al perfil existente de AuthZ de PermitAccess.

    byod-flexconnect-dg-127.gif

  92. Seleccione el estándar.

    byod-flexconnect-dg-128.gif

  93. Seleccione DenyAccess.

    byod-flexconnect-dg-129.gif

  94. Confirme que la regla predeterminada tiene DenyAccess si no se encuentra ningunas coincidencias.

    byod-flexconnect-dg-130.gif

  95. Haga clic en Done (Listo).

    byod-flexconnect-dg-099.gif

    Éste es un ejemplo de las reglas principales requeridas para esta prueba; son aplicables para un solo SSID o el escenario dual SSID.

    byod-flexconnect-dg-131.gif

  96. Haga clic en Save (Guardar).

    byod-flexconnect-dg-132.gif

  97. Navegue a ISE > la administración > sistema > los Certificados para configurar el servidor ISE con un perfil SCEP.

    byod-flexconnect-dg-133.gif

  98. En las operaciones del certificado, haga clic los perfiles SCEP CA.

    byod-flexconnect-dg-134.gif

  99. Haga clic en Add (Agregar).

    byod-flexconnect-dg-135.gif

  100. Ingrese estos valores para este perfil:

    • Nombre: mySCEP (en este ejemplo)
    • URL: <ca-server> /CertSrv/mscep/ de https:// (marque su Configuración del servidor de CA para la dirección correcta.)

    byod-flexconnect-dg-136.gif

  101. Haga clic la Conectividad de la prueba para probar la Conectividad de la conexión SCEP.

    byod-flexconnect-dg-137.gif

  102. Esta respuesta muestra que la conectividad de servidor es acertada.

    byod-flexconnect-dg-138.gif

  103. Haga clic en Submit (Enviar).

    byod-flexconnect-dg-139.gif

  104. El servidor responde que el perfil de CA fue creado con éxito.

    byod-flexconnect-dg-140.gif

  105. Confirme que el perfil SCEP CA está agregado.

    byod-flexconnect-dg-141.gif

Experiencia del usuario - IOS de disposición

SSID dual

Esta sección cubre el SSID dual y describe cómo conectar con el invitado para ser aprovisionado y cómo conectar con el 802.1x una red inalámbrica (WLAN).

Complete estos pasos para provision el IOS en el escenario dual SSID:

  1. En el dispositivo IOS, vaya a las redes del Wi-Fi, y a DemoCWA selecto (red inalámbrica (WLAN) abierta configurada en el WLC).

    byod-flexconnect-dg-142.gif

  2. Abra al navegador del safari en el dispositivo IOS, y visite un URL accesible (por ejemplo, web server interno y externo). El ISE le reorienta al portal. Haga clic en Continue (Continuar).

    byod-flexconnect-dg-143.gif

  3. Le reorientan al portal del invitado para el login.

    byod-flexconnect-dg-144.gif

  4. Login con una cuenta de usuario y la contraseña AD. Instale el perfil de CA cuando está indicado.

    byod-flexconnect-dg-145.gif

  5. El tecleo instala el certificado confiable del servidor de CA.

    byod-flexconnect-dg-146.gif

  6. Haga clic hecho una vez que el perfil está instalado totalmente.

    byod-flexconnect-dg-147.gif

  7. Vuelva al navegador, y haga clic el registro. Anote el ID del dispositivo que contiene la dirección MAC del dispositivo.

    byod-flexconnect-dg-148.gif

  8. El tecleo instala para instalar el perfil verificado.

    byod-flexconnect-dg-149.gif

  9. El tecleo ahora instala.

    byod-flexconnect-dg-150.gif

  10. Después de que se complete el proceso, el perfil de WirelessSP confirma que el perfil está instalado. Haga clic en Done (Listo).

    byod-flexconnect-dg-151.gif

  11. Vaya a las redes del Wi-Fi, y cambie la red a Demo1x. Su dispositivo ahora está conectado y utiliza TLS.

    byod-flexconnect-dg-152.gif

  12. En el ISE, navegue a las operaciones > a las autenticaciones. Los eventos muestran el proceso en el cual el dispositivo está conectado con la red del invitado abierta, entra con el proceso de inscripción con el supplicant provisioning, y no se prohibe el acceso del permiso después del registro.

    byod-flexconnect-dg-153.gif

  13. Navegue a ISE > la administración > Administración de la identidad > Groups > los grupos > RegisteredDevices de la identidad del punto final. La dirección MAC se ha agregado a la base de datos.

    byod-flexconnect-dg-154.gif

Solo SSID

Esta sección cubre el solo SSID y describe cómo conectar directamente con una red inalámbrica (WLAN) del 802.1x, proporcionar el nombre de usuario AD/la contraseña para la autenticación PEAP, provision con una cuenta de invitado, y volver a conectar con TLS.

Complete estos pasos para provision el IOS en el solo escenario SSID:

  1. Si usted está utilizando el mismo dispositivo IOS, quite el punto final de los dispositivos registrados.

    byod-flexconnect-dg-155.gif

  2. En el dispositivo IOS, navegue a las configuraciones > a los generales > a los perfiles. Quite los perfiles instalados en este ejemplo.

    byod-flexconnect-dg-156.gif

  3. El tecleo quita para quitar los perfiles anteriores.

    byod-flexconnect-dg-157.gif

    byod-flexconnect-dg-158.gif

  4. Conecte directamente con el 802.1x con el dispositivo (borrado) existente o con un nuevo dispositivo IOS.

  5. Conecte con el dot1x, ingrese un nombre de usuario y contraseña, y el tecleo se une a.

    byod-flexconnect-dg-159.gif

  6. Relance los pasos 90 y encendido de la sección de configuración ISE hasta que los perfiles apropiados estén instalados totalmente.

  7. Navegue a ISE > las operaciones > las autenticaciones para monitorear el proceso. Este ejemplo muestra al cliente que está conectado directamente con la red inalámbrica (WLAN) del 802.1x pues es aprovisionado, desconecta, y vuelve a conectar a la misma red inalámbrica (WLAN) con el uso de TLS.

    byod-flexconnect-dg-160.gif

  8. Navegue al WLC > al monitor > al [Client MAC]. En el detalle del cliente, observe que el cliente está en el estado de FUNCIONAMIENTO, su transferencia de los datos se fija al local, y la autenticación es central. Esto es verdad para los clientes que conectan con FlexConnect AP.

Experiencia del usuario - Android de disposición

SSID dual

Esta sección cubre el SSID dual y describe cómo conectar con el invitado para ser aprovisionado y cómo conectar con el 802.1x una red inalámbrica (WLAN).

El proceso de la conexión para el dispositivo de Android es muy similar a ése para un dispositivo IOS (SSID solo o dual). Sin embargo, una diferencia importante es que el dispositivo de Android requiere el acceso a Internet para acceder el mercado de Google (ahora Google Play) y descargar el agente del supplicant.

Complete estos pasos para provision un dispositivo de Android (tal como el Samsung Galaxy en este ejemplo) en el escenario dual SSID:

  1. En el dispositivo de Android, utilice el Wi-Fi para conectar con DemoCWA, y abrir la red inalámbrica (WLAN) del invitado.

    byod-flexconnect-dg-162.gif

  2. Valide cualquier certificado para conectar con el ISE.

    byod-flexconnect-dg-163.gif

  3. Ingrese un nombre de usuario y contraseña en el portal del invitado para iniciar sesión.

    byod-flexconnect-dg-164.gif

  4. Haga clic el registro. El dispositivo intenta alcanzar Internet para acceder el mercado de Google. Agregue cualquier regla adicional al PRE-auth ACL (tal como ACL-REDIRECT) en el regulador para permitir el acceso a Internet.

    byod-flexconnect-dg-165.gif

  5. Google enumera la red de Cisco puesta como App de Android. El tecleo INSTALA.

    byod-flexconnect-dg-166.gif

  6. Ingrese a Google, y el tecleo INSTALA.

    byod-flexconnect-dg-167.gif

  7. Haga clic en OK.

    byod-flexconnect-dg-168.gif

  8. En el dispositivo de Android, encuentre el app instalado de Cisco SPW, y ábralo.

    byod-flexconnect-dg-169.gif

  9. Aseegurese que le todavía abren una sesión al portal del invitado de su dispositivo de Android.

  10. Haga clic el comienzo para comenzar al ayudante de la configuración del Wi-Fi.

    byod-flexconnect-dg-170.gif

  11. Cisco SPW comienza a instalar los Certificados.

    byod-flexconnect-dg-171.gif

  12. Cuando se le pregunte, fije una contraseña para el almacenamiento de credenciales.

    byod-flexconnect-dg-172.gif

  13. Cisco SPW vuelve con un nombre del certificado, que contiene la clave y el Certificado de usuario del usuario. Haga Click en OK para confirmar.

    byod-flexconnect-dg-173.gif

  14. Cisco SPW continúa y indica para otro nombre del certificado, que contiene el certificado de CA. Ingrese el iseca del nombre (en este ejemplo), después haga clic la AUTORIZACIÓN para continuar.

    byod-flexconnect-dg-174.gif

  15. El dispositivo de Android ahora está conectado.

    byod-flexconnect-dg-175.gif

Mis dispositivos porta

Mi portal de los dispositivos permite que los usuarios pongan previamente los dispositivos registrados en el evento que se pierde o que se roba un dispositivo. También permite que los usuarios alisten de nuevo si es necesario.

Complete estos pasos para poner un dispositivo:

  1. Para iniciar sesión a mi portal de los dispositivos, abra a un navegador, conectan con https://ise-server:8443/mydevices (observe el número del puerto 8443), y inician sesión con una cuenta AD.

    byod-flexconnect-dg-176.gif

  2. ¿Localice el dispositivo bajo el ID del dispositivo, y haga clic perdido? para iniciar poner de un dispositivo.

    byod-flexconnect-dg-177.gif

  3. Cuando el ISE indica una advertencia, haga clic para proceder.

    byod-flexconnect-dg-178.gif

  4. El ISE confirma que el dispositivo está marcado como perdido.

    byod-flexconnect-dg-179.gif

  5. Cualquier tentativa de conectar con la red con el dispositivo registrado ahora se bloquea previamente, incluso si hay un certificado válido instalado. Éste es un ejemplo de un dispositivo puesto que falle la autenticación:

    byod-flexconnect-dg-180.gif

  6. Un administrador puede navegar a ISE > la administración > Administración de la identidad > Groups, los grupos de la identidad del punto final del tecleo > lista negra, y ve que el dispositivo está puesto.

    byod-flexconnect-dg-181.gif

Complete estos pasos para reinstalar un dispositivo puesto:

  1. Del mi portal de los dispositivos, el tecleo reinstala para ese dispositivo.

    byod-flexconnect-dg-182.gif

  2. Cuando el ISE indica una advertencia, haga clic para proceder.

    byod-flexconnect-dg-183.gif

  3. El ISE confirma que el dispositivo se ha reinstalado con éxito. Conecte el dispositivo reinstalado con la red para probar que el dispositivo ahora será permitido.

    byod-flexconnect-dg-184.gif

Referencia - Certificados

El ISE no sólo requiere un certificado raíz válido de CA, pero también necesita un certificado válido firmado por CA.

Complete estos pasos para agregar, atar, e importar el nuevo certificado de CA de confianza:

  1. Navegue a ISE > la administración > sistema > los Certificados, los Certificados locales del tecleo, y haga click en Add

    byod-flexconnect-dg-185.gif

  2. Selecto genere el pedido de firma de certificado (CSR).

    byod-flexconnect-dg-186.gif

  3. Ingrese el tema CN=<ISE-SERVER hostname.FQDN> del certificado. Para los otros campos, usted puede utilizar el valor por defecto o los valores requeridos por su configuración de CA. Haga clic en Submit (Enviar).

    byod-flexconnect-dg-187.gif

  4. El ISE verifica que el CSR fuera generado.

    byod-flexconnect-dg-188.gif

  5. Para acceder el CSR, haga clic las operaciones de los pedidos de firma de certificado.

    byod-flexconnect-dg-189.gif

  6. Seleccione el CSR creado recientemente, después haga clic la exportación.

    byod-flexconnect-dg-190.gif

  7. El ISE exporta el CSR a un archivo del .pem. El archivo de la salvaguardia del tecleo, entonces hace clic la AUTORIZACIÓN para salvar el archivo a la máquina local.

    byod-flexconnect-dg-191.gif

  8. Localice y abra el archivo de certificado ISE con un editor de textos.

    byod-flexconnect-dg-192.gif

  9. Copie el contenido entero del certificado.

    byod-flexconnect-dg-193.gif

  10. Conecte con CA el servidor, y el login con una cuenta del administrador. El servidor es Microsoft 2008 CA en https://10.10.10.10/certsrv (en este ejemplo).

    byod-flexconnect-dg-194.gif

  11. Petición del tecleo un certificado.

    byod-flexconnect-dg-195.gif

  12. Pedido de certificado avanzado del tecleo.

    byod-flexconnect-dg-196.gif

  13. Haga clic la segunda opción para presentar un pedido de certificado usando un base-64-encoded CMC o….

    byod-flexconnect-dg-197.gif

  14. Pegue el contenido del archivo de certificado ISE (.pem) en el campo del Saved Request, asegúrese que el Certificate Template plantilla de certificado es servidor Web, y el tecleo somete.

    byod-flexconnect-dg-198.gif

  15. Haga clic el certificado de la descarga.

    byod-flexconnect-dg-199.gif

  16. Salve el archivo de certnew.cer; será utilizado más adelante para atar con el ISE.

    byod-flexconnect-dg-200.gif

  17. De los Certificados ISE, navegue a los Certificados locales, y el tecleo agrega > certificado de CA del lazo.

    byod-flexconnect-dg-201.gif

  18. Hojee al certificado que fue guardado a la máquina local en el paso anterior, habilitan los protocolos EAP y de la interfaz de administración (se marcan los cuadros), y el tecleo somete. El ISE puede tomar varios minutos o más para recomenzar los servicios.

    byod-flexconnect-dg-202.gif

  19. Vuelva a la página del aterrizaje de CA (https://CA/certsrv/), y hace clic la descarga un certificado de CA, una Cadena de certificados, o un CRL.

    byod-flexconnect-dg-203.gif

  20. Haga clic el certificado de CA de la descarga.

    byod-flexconnect-dg-204.gif

  21. Salve el archivo a la máquina local.

    byod-flexconnect-dg-205.gif

  22. Con el servidor ISE en línea, vaya a los Certificados, y haga clic los Certificados del Certificate Authority.

    byod-flexconnect-dg-206.gif

  23. Haga clic la importación.

    byod-flexconnect-dg-207.gif

  24. Hojee para el certificado de CA, habilite la confianza para la autenticación de cliente (se marca el cuadro), y el tecleo somete.

    byod-flexconnect-dg-208.gif

  25. Confirme que el nuevo certificado de CA de confianza está agregado.

    byod-flexconnect-dg-209.gif

Información Relacionada


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 113606