Seguridad : Cisco Identity Services Engine Software

Ejemplo de configuración del hotspot de la versión 1.3 ISE

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

La versión 1.3 del Cisco Identity Services Engine (ISE) tiene un tipo nuevo de invitado Hotspot llamado portal. Este tipo de portal permite que usted proporcione el acceso de invitado a la red y no fuerza al usuario a proporcionar ningunas credenciales. Este documento describe cómo configurar y resolver problemas estas funciones.

Contribuido por Michal Garcarz y Nicolás Darchis, ingenieros de Cisco TAC.

Prerrequisitos

Requisitos

Cisco recomienda que usted tiene experiencia con la configuración ISE y los conocimientos básicos de estos temas:

  • Implementaciones ISE y flujos del invitado
  • Configuración de los reguladores del Wireless LAN (WLCs)

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Microsoft Windows 7
  • Versión 7.6 y posterior del WLC de Cisco
  • Software ISE, versión 1.3 y posterior

Topología y flujo

Este escenario está para los Usuarios invitados que validan el Acceptable Use Policy (AUP) y después se dé solamente el acceso a Internet (o cualquier otro acceso limitado).

Paso 1. Socios del Usuario invitado al Service Set Identifier (SSID): Hotspot. Esto es una red abierta con el MAC que filtra con el ISE para la autenticación. Esta autenticación hace juego la segunda regla de la autorización en el ISE y el perfil de la autorización reorienta al hotspot. El ISE vuelve un access-accept RADIUS con dos cisco av-pair:

  • URL-reorientar-ACL (que el tráfico debe ser reorientado, y el nombre de la lista de control de acceso (ACL) definido localmente en el WLC)
  • URL-reoriente (donde reorientar ese tráfico al ISE)

Paso 2. Reorientan al ISE, valida el AUP, y proporciona opcionalmente a un Usuario invitado un código de acceso secreto.

Paso 3. El ISE envía un cambio RADIUS de la Admin-restauración de la autorización (CoA) al WLC. El WLC reautentifica al usuario cuando envía el pedido de acceso del RADIO. El ISE responde con el access-accept y el Airespace ACL definidos localmente en el WLC, que proporciona el acceso a Internet solamente.

Nota: La Admin-restauración CoA es específica para las funciones del hotspot y se describe en el Id. de bug Cisco CSCus46754. El comportamiento para la versión 1.2 ISE con un portal del invitado era diferente; un CoA reautentifica o Terminate fue enviado.

Paso 4. Un Usuario invitado desea el acceso a la red. El administrador de la red está seguro que el usuario ha validado el AUP. El Usuario invitado puede ser reorientado al URL original, a un URL estático-configurado, o a una página del éxito. Todas las páginas visualizadas por el ISE pueden ser personalizadas.

La integración con un control opcional de la postura se presenta en la sección más reciente.

Configurar

WLC

  1. Agregue al nuevo servidor de RADIUS para la autenticación y las estadísticas. Navegue a la Seguridad >AAA > radio > autenticación para habilitar CoA RADIUS (RFC 3576).



    Hay una configuración similar para considerar. También se aconseja configurar el WLC para enviar el SSID en estación que recibe la llamada el atributo ID, que permite que el ISE configure las reglas flexibles basadas en el SSID:



  2. Bajo los WLAN tabule, cree el hotspot del Wireless LAN (red inalámbrica (WLAN)) y configure la interfaz correcta. Fije la Seguridad Layer2 a ningunos con la filtración MAC. En los servidores de la Seguridad/del Authentication, Authorization, and Accounting (AAA), seleccione la dirección IP ISE para la autenticación y las estadísticas (las estadísticas son opcionales). En la ficha Avanzadas, habilite la invalidación AAA y fije el estado del Network Admission Control (NAC) al NAC RADIUS (soporte CoA).

  3. Navegue a la Seguridad > a las listas de control de acceso > a las listas de control de acceso y cree dos Listas de acceso:

    • HotspotRedirect, que permite el tráfico que no debe ser reorientado y reorienta el resto del tráfico
    • Internet, que se niega para las redes corporativas y se permite para todos los demás


    Aquí está un ejemplo de HotspotRedirect ACL (necesidad de excluir el tráfico a/desde el ISE del cambio de dirección):

ISE

  1. Navegue al acceso de invitado > a la configuración > a los portales del invitado, y cree un nuevo tipo porta, portal del invitado del hotspot:



  2. Elija el nombre porta que será referido al perfil de la autorización. Para personalizar el portal de las configuraciones porta del comportamiento y del flujo, habilite el AUP, y un código secreto (opcional):



    Varias más opciones se pueden habilitar bajo arreglo para requisitos particulares porta de la página; todas las páginas presentadas pueden ser personalizadas.

  3. Navegue a la directiva > a los resultados > a la autorización > al perfil de la autorización para configurar los perfiles de la autorización.

    • Hotspot (con el cambio de dirección al nombre porta y a ACL HotspotRedirect del hotspot):



    • Internet (con el Airespace el ACL iguala Internet):



  4. Para verificar las reglas de la autorización, navegue a la directiva > a la autorización. En la versión 1.3 ISE por abandono para el acceso fallado de puente de la autenticación de MAC (MAB) (dirección MAC no encontrada), se continúa la autenticación (no rechazado). Esto es muy útil para los portales del invitado porque no hay necesidad de cambiar cualquier cosa en las reglas de la autenticación predeterminada.



    Para la primera autenticación MAB, se corresponde con la segunda regla (el punto final no está todavía en cualquier grupo de la identidad). Después reorientan a un webportal (hotspot), valida el AUP, y teclea opcionalmente al usuario el código de acceso secreto correcto. El ISE envía un CoA RADIUS y el WLC realiza la reautentificación. Para la segunda autenticación, la primera regla se corresponde con junto con el perfil PermitInternet de la autorización y vuelve el nombre ACL que se aplica en el WLC (este vez, el punto final está ya en el grupo de GuestEndpoints).

    Por abandono, ponen a los invitados que validan el AUP en el grupo de la identidad de GuestEndpoints. Configuran al grupo de la identidad que se asigna para esos puntos finales bajo configuración porta del invitado, que puede ser diferente para cada portal.

  5. Agregue el WLC como dispositivo de acceso a la red de la administración > de los recursos de red > de los dispositivos de red.

Verificación

Utilize esta sección para confirmar que su configuración funcione correctamente.

  1. Después de que los Usuarios invitados se asocien al hotspot SSID y tecleen un URL, los reorientan al AUP:



  2. Si el código de acceso fue configurado bajo el portal del invitado, después se requiere. Si el usuario proporciona un código incorrecto, los errores apareces:



  3. Aquí está la pantalla que visualiza si se ingresa el código correcto:



  4. Una vez que se ingresa el código correcto, el WLC realiza la reautentificación y presenta el Internet ACL asociado a la sesión.

Postura adicional

Si hay una necesidad de proporcionar el acceso a los Usuarios invitados, pero solamente cuando satisfacen una directiva específica (postura) por ejemplo las actualizaciones frescas de los contras virus y las actualizaciones de Microsoft Windows, después puede ser lograda con estas reglas:

La regla del hotspot no proporcionará el acceso a Internet, sino que por el contrario realiza el cambio de dirección a un servicio de la postura. Después el agente de la red puede ser avanzado a la estación (el aprovisionamiento del cliente gobierna) y realizar los controles de la directiva (reglas de la postura). La conformidad del informe es enviada por el agente de la red al ISE. Después de que la estación sea obediente, el ISE envía otro CoA reauthenticate, que acciona una actualización de la autorización en el WLC. Entonces la regla de HotSpot_Compliant se encuentra y el acceso a Internet se proporciona.

La configuración de la postura con el NAC o el agente de la red es muy similar como en la versión 1.2 ISE y está fuera de alcance para este documento (véase la sección de información relacionada para más información).

Troubleshooting

Esta sección proporciona la información que usted puede utilizar para resolver problemas su configuración.

El ISE debe presentar:

Aquí está el flujo:

  • El Usuario invitado encuentra la segunda regla de la autorización y se reorienta al hotspot (“autenticación tenida éxito”).

  • Después de que el usuario valide el AUP, el ISE envía la Admin-restauración CoA, que es confirmada por el WLC (“autorización dinámica tenida éxito”).

  • El WLC realiza la reautentificación, y se vuelve el nombre ACL (“Autorizar-Solamente tuvo éxito”).

Esto puede también ser verificada si usted navega a las operaciones > a los informes > al ISE señala que > el acceso de invitado señala > estatus de la aceptación AUP:

Información Relacionada


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 118741