Беспроводные сети : Контроллеры беспроводной локальной сети Cisco серии 5500

Беспроводный BYOD для руководства по развертыванию FlexConnect

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Мобильные устройства становятся более в вычислительном отношении мощными и популярными среди потребителей. Миллионы этих устройств проданы потребителям с высокоскоростным Wi-Fi, таким образом, пользователи могут связаться и сотрудничать. Потребители теперь приучены к усовершенствованию производительности, которое эти мобильные устройства приносят в их жизни и стремятся принести свой личный опыт в рабочую область. Это создает потребности функциональности решения для BYOD на рабочем месте.

Этот документ предоставляет развертывания ответвления для решения BYOD. Сотрудник соединяется с корпоративным идентификатором набора сервисов (SSID) с его новым iPad и перенаправлен к саморегистрационному порталу. Платформа Cisco Identity Services Engine (ISE) подтверждает подлинность пользователя против корпоративного Active Directory (AD) и загружает сертификат встроенным MAC-адресом iPad и именем пользователя к iPad, вместе с профилем соискателя, который принуждает использование Transport Layer Security расширяемого протокола аутентификации (EAP-TLS) как метод для подключения dot1x. На основе политики авторизации в ISE пользователь может тогда соединиться с использованием dot1x и получить доступ к соответствующим ресурсам.

Функциональность ISE в выпусках ПО контроллера беспроводной локальной сети Cisco ранее, чем 7.2.110.0 не поддерживала клиенты локального коммутатора, которые связываются через точки доступа FlexConnect (AP). Выпуск 7.2.110.0 поддерживает эту функциональность ISE для AP FlexConnect для локального коммутатора и централизованно аутентифицированных клиентов. Кроме того, Выпуск 7.2.110.0, интегрированный с ISE 1.1.1, предоставляет (но не ограничен), эти функции решения BYOD для радио:

  • Профилирование устройства и положение
  • Регистрация устройства и соискатель, обеспечивающий
  • Onboarding персональных устройств (iOS условия или устройства на базе Android)

Примечание: Несмотря на то, что поддерживаемый, другие устройства, такие как ПК или портативные ПК радио Mac и рабочие станции, не включены в это руководство.

Внесенный Surendra BG и Ramamurthy Bakthavatchalam, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Cisco Catalyst переключается
  • Беспроводная сеть LAN Cisco (WLAN) контроллеры
  • Контроллер беспроводной локальной сети Cisco (WLC) Выпуск ПО 7.2.110.0 и позже
  • 802.11n AP в режиме FlexConnect
  • Выпуск ПО ISE Cisco 1.1.1 и позже
  • Windows 2008 AD с центром сертификации (CA)
  • DHCP Server
  • Сервер Системы доменных имен (DNS)
  • Network Time Protocol (NTP)
  • Портативный ПК беспроводного клиента, смартфон и планшеты (iOS Apple, Android, Windows и Mac)

Примечание: Сошлитесь на Комментарии к выпуску для контроллеров беспроводной локальной сети Cisco и Облегченные точки доступа для Выпуска 7.2.110.0 для важной информации об этом выпуске ПО. Войдите к сайту Cisco.com для последних Комментариев к выпуску, прежде чем вы загрузите и протестируете программное обеспечение.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Топология

Минимальная сетевая установка, как показано в этой схеме требуется, чтобы должным образом внедрить и протестировать эти функции:

byod-flexconnect-dg-001.gif

Для этого моделирования вы требуете сети с FlexConnect AP, локального/удаленного сайта с локальным DHCP, DNS, WLC и ISE. FlexConnect AP связан с транком для тестирования локального коммутатора с несколько интерфейсов VLAN.

Регистрация устройства и соискатель, обеспечивающий

Устройство должно быть зарегистрировано так, чтобы его собственный соискатель мог обеспеченный для аутентификации dot1x. На основе правильной политики аутентификации пользователь перенаправлен к гостевой странице и заверен учетными данными сотрудника. Пользователь видит страницу регистрации устройства, которая просит их сведения об устройстве. Процесс инициализации устройства тогда начинается. Если операционная система (OS) не поддерживается для инициализации, пользователь перенаправлен к Регистрационному Порталу Актива для маркировки того устройства для доступа Обхода проверки подлинности MAC (MAB). Если ОС поддерживается, процесс регистрации начинает и настраивает собственного соискателя устройства для аутентификации dot1x.

Регистрационный портал актива

Регистрационный Портал Актива является элементом платформы ISE, которая позволяет сотрудникам инициировать onboarding оконечных точек через аутентификацию и процесс регистрации.

Администраторы в состоянии удалить активы из идентификационной страницы оконечных точек. Каждый сотрудник в состоянии отредактировать, удалить, и поместить в черный список активы, которые они зарегистрировали. Помещенные в черный список оконечные точки назначены на идентификационную группу черного списка, и политика авторизации создана для предотвращения доступа к сети помещенными в черный список оконечными точками.

Саморегистрационный портал

В потоке Центральной веб-аутентификации (CWA) сотрудники перенаправлены к порталу, который позволяет им вводить свои учетные данные, подтверждать подлинность и вводить специфические особенности определенного актива, который они хотят зарегистрировать. Этот портал вызывают Сам Инициализация Портала и подобен Порталу Регистрации устройства. Это позволяет сотрудникам вводить MAC-адрес, а также значимый escription оконечной точки.

Аутентификация и инициализация

Как только сотрудники выбирают Self-Registration Portal, им бросают вызов предоставить ряд допустимых учетных данных сотрудника для перехода к фазе инициализации. После успешной аутентификации оконечная точка может быть обеспечена в базу данных оконечных точек, и сертификат генерируется для оконечной точки. Ссылка на странице позволяет сотруднику загружать Пилота соискателя мастера (SPW).

Примечание: Сошлитесь на статью FlexConnect Feature Matrix Cisco для просмотра последней матрицы функций FlexConnect для BYOD.

Инициализация для iOS (iPhone/iPad/iPod)

Для конфигурации EAP-TLS ISE придерживается процесса регистрации Сверхвоздуха (OTA) Apple:

  • После успешной аутентификации механизм оценки оценивает обеспечивающую клиент политику, который приводит к профилю соискателя.
  • Если профиль соискателя для значения EAP-TLS, процесс OTA определяет, использует ли ISE самоподписанный или со знаком неизвестным Приблизительно, Если одно из условий истинно, пользователя просят загрузить сертификат или ISE или CA прежде чем сможет начаться процесс регистрации.
  • Для других методов EAP ISE выдвигает заключительный профиль после успешной аутентификации.

Инициализация для Android

Из-за учитываемых факторов безопасности агент Android должен быть загружен от сайта рынка Android и не может быть обеспечен от ISE. Cisco загружает версию предвыпускной версии мастера в рынок Android через учетную запись издателя рынка Android Cisco.

Это - процесс инициализации Android:

  1. Cisco использует Software Development Kit (SDK) для создания пакета Android с .apk расширением.
  2. Cisco загружает пакет в рынок Android.
  3. Пользователь настраивает политику в клиенте, обеспечивающем с соответствующими параметрами.
  4. Когда аутентификация dot1x отказывает, после регистрации устройства конечный пользователь перенаправлен клиенту, обеспечивающему сервис.
  5. Страница портала инициализации предоставляет кнопку, которая перенаправляет пользователя к порталу рынка Android, где они могут загрузить SPW.
  6. Cisco SPW запущен и выполняет инициализацию соискателя:
    1. SPW обнаруживает ISE и загружает профиль от ISE.
    2. SPW создает свидетельство/пару ключей для EAP-TLS.
    3. SPW выполняет вызов запроса прокси Протокола SCEP (SCEP) к ISE и получает сертификат.
    4. SPW применяет беспроводные профили.
    5. Если профили применены успешно, SPW вызывает повторную проверку подлинности.
    6. Выходы SPW.

Двойные беспроводные сети SSID саморегистрация BYOD

Это - процесс для двойного радио SSID саморегистрация BYOD:

  1. Пользователь связывается к Гостевому SSID.
  2. Пользователь открывает браузер и перенаправлен к ISE Гостевой Портал CWA.
  3. Пользователь вводит имя пользователя и пароль сотрудника в Гостевой Портал.
  4. ISE подтверждает подлинность пользователя, и, на основе факта, что они - сотрудник и не гость, перенаправляет пользователя к гостевой странице Регистрации устройства Сотрудника.
  5. MAC-адрес предварительно заполнен на гостевой странице Регистрации устройства для DeviceID. Пользователь вводит описание и принимает политику допустимого использования (AUP) при необходимости.
  6. Пользователь выбирает Accept и начинает загружать и устанавливать SPW.
  7. Соискатель, для которого устройство пользователя обеспечено вместе с любыми сертификатами.
  8. CoA происходит, и устройство повторно связывается к корпоративному SSID (CORP) и подтверждает подлинность с EAP-TLS (или другой метод авторизации в использовании для того соискателя).

Одиночные беспроводные сети SSID саморегистрация BYOD

В этом сценарии существует одиночный SSID для корпоративного доступа (CORP), который поддерживает и Защищенный расширяемый протокол аутентификации (PEAP) и EAP-TLS. Нет никакого Гостевого SSID.

Это - процесс для одиночного радио SSID саморегистрация BYOD:

  1. Пользователь связывается к CORP.
  2. Пользователь вводит имя пользователя и пароль сотрудника в соискателя для аутентификации PEAP.
  3. ISE подтверждает подлинность пользователя, и, на основе метода PEAP, предоставляет политику авторизации, принимают с перенаправлением к гостевой странице Регистрации устройства Сотрудника.
  4. Пользователь открывает браузер и перенаправлен к гостевой странице Регистрации устройства Сотрудника.
  5. MAC-адрес предварительно заполнен на гостевой странице Регистрации устройства для DeviceID. Пользователь вводит описание и принимает AUP.
  6. Пользователь выбирает Accept и начинает загружать и устанавливать SPW.
  7. Соискатель, для которого устройство пользователя обеспечено вместе с любыми сертификатами.
  8. CoA происходит, и устройство повторно связывается к SSID CORP и подтверждает подлинность с EAP-TLS.

Конфигурация функции

Выполните эти шаги для начала конфигурации:

  1. Для этого руководства гарантируйте, что версия WLC 7.2.110.0 или позже.

    byod-flexconnect-dg-002.gif

  2. Перейдите к Безопасности> RADIUS> Аутентификация и добавьте сервер RADIUS к WLC.

    byod-flexconnect-dg-003.gif

  3. Добавьте ISE 1.1.1 к WLC:

    • Введите общий секретный ключ.
    • Поддержка набора RFC 3576 к включенному.

    byod-flexconnect-dg-004.gif

  4. Добавьте тот же сервер ISE как учетный сервер RADIUS.

    byod-flexconnect-dg-005.gif

  5. Создайте ACL Предаутентификации WLC для использования в политике ISE позже. Перейдите к> Security WLC> Списки контроля доступа> ACL FlexConnect и создайте новое перенаправление именованного списка управления доступом (ACL) FlexConnect ACL (в данном примере).

    byod-flexconnect-dg-006.gif

  6. В правилах списка прав доступа (ACL) разрешите всему к/оту трафика ISE и разрешите трафик клиента во время соискателя, обеспечивающего.

    1. Для первого правила (последовательность 1):

      • Источник набора любому.
      • IP Набора (адрес ISE) / маска подсети 255.255.255.255.
      • Действие набора для разрешения.

      byod-flexconnect-dg-007.gif

    2. Для второго правила (последовательность 2), source IP набора (адрес ISE) / маскирует 255.255.255.255 Любому и Действию для Разрешения.

      byod-flexconnect-dg-008.gif

  7. Создайте новую FlexConnect Group по имени Flex1 (в данном примере):

    1. Перейдите к вкладке FlexConnect Group> WebPolicies.
    2. Под полем WebPolicy ACL нажмите Add и выберите ACL-REDIRECT или FlexConnect ACL, созданный ранее.
    3. Подтвердите, что это заполняет поле WebPolicy Access Control Lists.

    byod-flexconnect-dg-009.gif

  8. Нажмите Apply и Save Configuration.

WLAN Configuration

Выполните эти шаги для настройки WLAN:

  1. Создайте Открытый SSID WLAN для двойного примера SSID:

    • Введите имя WLAN: DemoCWA (в данном примере).
    • Выберите опцию Enabled для Статуса.

    byod-flexconnect-dg-010.gif

  2. Перейдите к Вкладке Безопасность> Таблица уровня 2 и установите эти атрибуты:

    • Безопасность уровня 2: Нет
    • Фильтрация по MAC-адресам: Включенный (флажок установлен),
    • Быстрый Переход: Отключенный (флажок не установлен),

    byod-flexconnect-dg-011.gif

  3. Перейдите к вкладке AAA Servers и установите эти атрибуты:

    • Аутентификация и серверы учетной записи: включенный
    • Сервер 1: <IP-адрес ISE>

    byod-flexconnect-dg-012.gif

  4. Прокрутите вниз от вкладки AAA Servers. В соответствии с заказом Приоритета аутентификации относительно веб-подлинного пользователя, удостоверьтесь, что RADIUS используется для аутентификации, и другие не используются.

    byod-flexconnect-dg-013.gif

  5. Перейдите к Вкладке Дополнительно и установите эти атрибуты:

    • Позвольте замену AAA: включенный
    • Состояние NAC: NAC радиуса

    byod-flexconnect-dg-014.gif

    Примечание: Когда FlexConnect AP находится в разъединенном режиме, Network Admission Control (NAC) RADIUS не поддерживается. Таким образом, если FlexConnect AP находится в автономном режиме и теряет соединение с WLC, все клиенты разъединены, и SSID больше не объявляется.

  6. Прокрутите вниз во Вкладке Дополнительно и установите Локальный коммутатор FlexConnect во Включенный.

    byod-flexconnect-dg-015.gif

  7. Нажмите Apply и Save Configuration.

    byod-flexconnect-dg-016.gif

  8. Создайте SSID WLAN 802.1X по имени Demo1x (в данном примере) для одиночных и двойных сценариев SSID.

    byod-flexconnect-dg-017.gif

  9. Перейдите к Вкладке Безопасность> Таблица уровня 2 и установите эти атрибуты:

    • Безопасность уровня 2: WPA+WPA2
    • Быстрый Переход: Отключенный (флажок не установлен),
    • Менеджмент ключа проверки подлинности: 802.lX: включить

    byod-flexconnect-dg-018.gif

  10. Перейдите к Вкладке Дополнительно и установите эти атрибуты:

    • Позвольте замену AAA: включенный
    • Состояние NAC: NAC радиуса

    byod-flexconnect-dg-019.gif

  11. Прокрутите вниз во Вкладке Дополнительно и установите Локальный коммутатор FlexConnect во Включенный.

    byod-flexconnect-dg-020.gif

  12. Нажмите Apply и Save Configuration.

    byod-flexconnect-dg-021.gif

  13. Подтвердите, что были созданы оба из новых WLAN.

    byod-flexconnect-dg-022.gif

Конфигурация точки доступа FlexConnect

Выполните эти шаги для настройки FlexConnect AP:

  1. Перейдите к WLC> беспроводные сети и нажмите целевой FlexConnect AP.

    byod-flexconnect-dg-023.gif

  2. Нажмите вкладку FlexConnect.

    byod-flexconnect-dg-024.gif

  3. Включите Поддержку VLAN (флажок установлен), установите ID Собственного VLAN и нажмите VLAN Mappings.

    byod-flexconnect-dg-025.gif

  4. Установите ИДЕНТИФИКАТОР VLAN в 21 (в данном примере) для SSID для локального коммутатора.

    byod-flexconnect-dg-026.gif

  5. Нажмите Apply и Save Configuration.

Конфигурация ISE

Выполните эти шаги для настройки ISE:

  1. Войдите к серверу ISE: <https://ise>.

    byod-flexconnect-dg-027.gif

  2. Перейдите к администрированию> Управление идентификацией> Внешние Идентификационные Источники.

    byod-flexconnect-dg-028.gif

  3. Нажмите Active Directory.

    byod-flexconnect-dg-029.gif

  4. Во вкладке Connection:

    1. Добавьте Доменное имя corp.rf-demo.com (в данном примере) и измените Идентификационный по умолчанию Названия магазина на AD1.
    2. Нажмите Save Configuration.
    3. Нажмите Join и предоставьте AD имя пользователя и пароль Учетной записи администратора, требуемое присоединиться.
    4. Статус должен быть зеленым. Включите Связанный к: (флажок установлен).

    byod-flexconnect-dg-030.gif

  5. Выполните тест основного подключения к AD с пользователем текущего домена.

    byod-flexconnect-dg-031.gif

  6. Если соединение с AD успешно, диалоговое окно подтверждает, что пароль корректен.

    byod-flexconnect-dg-032.gif

  7. Перейдите к администрированию> Управление идентификацией> Внешние Идентификационные Источники:

    1. Нажмите Certificate Authentication Profile.
    2. Нажмите Add для нового Профиля проверки подлинности сертификата (CAP).

    byod-flexconnect-dg-033.gif

  8. Введите имя CertAuth (в данном примере) для CAP; для Основного Атрибута X509 Имени пользователя выберите Common Name; затем щелкните Submit (Отправить).

    byod-flexconnect-dg-034.gif

  9. Подтвердите, что добавлен новый CAP.

    byod-flexconnect-dg-035.gif

  10. Перейдите к администрированию> Управление идентификацией> Идентификационные Исходные Последовательности и нажмите Add.

    byod-flexconnect-dg-036.gif

  11. Дайте последовательности название TestSequence (в данном примере).

    byod-flexconnect-dg-037.gif

  12. Прокрутите вниз для Сертификации Базирующейся Аутентификации:

    1. Включите Выбирают Certificate Authentication Profile (флажок установлен).
    2. Выберите CertAuth (или другой профиль CAP создал ранее).

    byod-flexconnect-dg-038.gif

  13. Прокрутите вниз к Опознавательному Поисковому Списку:

    1. Переместите AD1 от доступного до выбранного.
    2. Нажмите кнопка для перемещения AD1 в высший приоритет.

    byod-flexconnect-dg-039.gif

  14. Нажмите Submit для сохранения.

    byod-flexconnect-dg-040.gif

  15. Подтвердите, что добавлена новая Идентификационная Исходная Последовательность.

    byod-flexconnect-dg-041.gif

  16. Используйте AD для аутентификации Портала «мои устройства». Перейдите к ISE> администрирование> Управление идентификацией> Идентификационная Исходная Последовательность и отредактируйте MyDevices_Portal_Sequence.

    byod-flexconnect-dg-042.gif

  17. Добавьте AD1 к Выбранному списку и нажмите кнопка для перемещения AD1 в высший приоритет.

    byod-flexconnect-dg-043.gif

  18. Нажмите Save.

    byod-flexconnect-dg-044.gif

  19. Подтвердите, что Последовательность хранилища идентификаторов для MyDevices_Portal_Sequence содержит AD1.

    byod-flexconnect-dg-045.gif

  20. Повторите шаги 16-19, чтобы добавить AD1 для Guest_Portal_Sequence и нажать Save.

    byod-flexconnect-dg-046.gif

  21. Подтвердите, что Guest_Portal_Sequence содержит AD1.

    byod-flexconnect-dg-047.gif

  22. Для добавления WLC к Устройству Доступа к сети (WLC) перейдите к администрированию> Сетевые ресурсы> Сетевые устройства и нажмите Add.

    byod-flexconnect-dg-048.gif

  23. Добавьте название WLC, IP-адрес, Маску подсети, и т.д.

    byod-flexconnect-dg-049.gif

  24. Прокрутите вниз к параметрам аутентификации и введите Общий секретный ключ. Это должно совпасть с общим секретным ключом RADIUS WLC.

    byod-flexconnect-dg-050.gif

  25. Нажать кнопку submit.

  26. Перейдите к ISE> Политика> Элементы Политики> Результаты.

    byod-flexconnect-dg-051.gif

  27. Разверните Результаты и Авторизацию, нажмите Authorization Profiles и нажмите Add для нового профиля.

    byod-flexconnect-dg-052.gif

  28. Дайте этому профилю эти значения:

    • Name: CWA

      byod-flexconnect-dg-053.gif

    • Включите Web-аутентификацию (флажок установлен):

      • Web-аутентификация: централизованный
      • ACL: ПЕРЕНАПРАВЛЕНИЕ ACL (Это должно совпасть с названием ACL предаутентификации WLC.)
      • Перенаправление: По умолчанию

      byod-flexconnect-dg-054.gif

  29. Нажмите Submit и подтвердите, что был добавлен профиль авторизации CWA.

    byod-flexconnect-dg-055.gif

  30. Нажмите Add для создания нового профиля авторизации.

    byod-flexconnect-dg-056.gif

  31. Дайте этому профилю эти значения:

    • Name: Условие

      byod-flexconnect-dg-057.gif

    • Включите Web-аутентификацию (флажок установлен):

      • Значение web-аутентификации: соискатель, обеспечивающий

        byod-flexconnect-dg-058.gif

      • ACL: ПЕРЕНАПРАВЛЕНИЕ ACL (Это должно совпасть с названием ACL предаутентификации WLC.)

        byod-flexconnect-dg-059.gif

  32. Нажмите Submit и подтвердите, что был добавлен профиль авторизации Условия.

    byod-flexconnect-dg-060.gif

  33. Прокрутите вниз в Результатах, разверните Клиентскую Инициализацию и нажмите Resources.

    byod-flexconnect-dg-061.gif

  34. Выберите Native Supplicant Profile.

    byod-flexconnect-dg-062.gif

  35. Дайте Профилю название WirelessSP (в данном примере).

    byod-flexconnect-dg-063.gif

  36. Введите эти значения:

    • Тип соединения: беспроводные сети
    • SSID: Demo1x (это значение от конфигурации WLAN 802.1x WLC),
    • Разрешенный протокол: TLS
    • Размер ключа: 1024

    byod-flexconnect-dg-064.gif

  37. Нажать кнопку submit.

  38. Нажмите Save.

    byod-flexconnect-dg-065.gif

  39. Подтвердите, что был добавлен новый профиль.

    byod-flexconnect-dg-066.gif

  40. Перейдите к Политике> Клиентская Инициализация.

    byod-flexconnect-dg-067.gif

  41. Введите эти значения для правила инициализации устройств на iOS:

    • Имя правила: iOS
    • Identity Groups: любой

      byod-flexconnect-dg-068.gif

    • Операционные системы : IOS Mac Все

      byod-flexconnect-dg-069.gif

    • Результаты: WirelessSP (это - Собственный Профиль Соискателя, создал ранее),

      byod-flexconnect-dg-070.gif

      • Перейдите к Результатам> Профиль Мастера (выпадающий список)> WirelessSP.

        byod-flexconnect-dg-071.gif

        byod-flexconnect-dg-072.gif

  42. Подтвердите, что была добавлена iOS Provisioning Profile.

    byod-flexconnect-dg-073.gif

  43. На правой части первого правила найдите выпадающий список Действий и выберите Duplicate ниже (или выше).

    byod-flexconnect-dg-074.gif

  44. Измените Имя нового правила к Android.

    byod-flexconnect-dg-075.gif

  45. Измените операционные системы на Android.

    byod-flexconnect-dg-076.gif

  46. Оставьте другие значения неизменными.

  47. Нажмите Save (нижний левый экран).

    byod-flexconnect-dg-077.gif

  48. Перейдите к ISE> Политика> Аутентификация.

    byod-flexconnect-dg-078.gif

  49. Модифицируйте условие включать Wireless_MAB и развернуть Wired_MAB.

    byod-flexconnect-dg-079.gif

  50. Нажмите выпадающий список Названия Условия.

    byod-flexconnect-dg-080.gif

  51. Выберите Dictionaries> Compound Condition.

    byod-flexconnect-dg-081.gif

  52. Выберите Wireless_MAB.

    byod-flexconnect-dg-082.gif

  53. Направо от правила выберите стрелку для расширения.

    byod-flexconnect-dg-083.gif

  54. Выберите эти значения от выпадающего списка:

    • Идентификационный Источник: TestSequence (это - значение, создал ранее),
    • Если отказала аутентификация: Отклонение
    • Если пользователь, не найденный: Продолжить
    • Если отказал процесс: Отбрасывание

    byod-flexconnect-dg-084.gif

  55. Перейдите к правилу Dot1X и измените эти значения:

    byod-flexconnect-dg-085.gif

    • Условие: Wireless_802.1X

      byod-flexconnect-dg-086.gif

    • Идентификационный источник: TestSequence

      byod-flexconnect-dg-087.gif

  56. Нажмите Save.

    byod-flexconnect-dg-088.gif

  57. Перейдите к ISE> Политика> Авторизация.

    byod-flexconnect-dg-089.gif

  58. Стандартные правила (такие как По умолчанию Черного списка, Представленный, и По умолчанию), уже настроены от установки; первые два могут быть проигнорированы; Стандартное правило будет отредактировано позже.

    byod-flexconnect-dg-090.gif

  59. Направо от второго правила (Представленные Cisco IP Phone), нажмите стрелку вниз рядом с Редактированием и выберите Insert New Rule Below.

    byod-flexconnect-dg-091.gif

    Добавлено новое стандартное Правило #.

    byod-flexconnect-dg-092.gif

  60. Измените Имя правила из стандартного Правила # к OpenCWA. Это правило инициирует процесс регистрации на открытом WLAN (двойной SSID) для пользователей, которые приезжают в гостевую сеть для обеспечивания устройств.

    byod-flexconnect-dg-093.gif

  61. Нажмите знак "плюс" (+) для Условия (й) и нажмите Select Existing Condition from Library.

    byod-flexconnect-dg-094.gif

  62. Выберите Compound Conditions> Wireless_MAB.

    byod-flexconnect-dg-095.gif

  63. В Профиле AuthZ нажмите знак "плюс" (+) и выберите Standard.

    byod-flexconnect-dg-096.gif

  64. Выберите стандартный CWA (это - Профиль Авторизации, созданный ранее).

    byod-flexconnect-dg-097.gif

  65. Подтвердите, что правило добавлено с корректными Условиями и Авторизацией.

    byod-flexconnect-dg-098.gif

  66. Нажмите Done (на правой части правила).

    byod-flexconnect-dg-099.gif

  67. Направо от того же правила нажмите стрелку вниз рядом с Редактированием и выберите Insert New Rule Below.

    byod-flexconnect-dg-100.gif

  68. Измените Имя правила из стандартного Правила # к PEAPrule (в данном примере). Это правило для PEAP (также используется для одиночного сценария SSID), чтобы проверить, что аутентификация 802.1X без Transport Layer Security (TLS) и что сетевой соискатель, обеспечивающий, инициируется с профилем авторизации Условия, созданным ранее.

    byod-flexconnect-dg-101.gif

  69. Измените условие на Wireless_802.1X.

    byod-flexconnect-dg-102.gif

  70. Нажмите значок механизма на правой части условия и выберите Add Attribute/Value. Это 'и' условие, не 'или' условие.

    byod-flexconnect-dg-103.gif

  71. Найдите и выберите Network Access.

    byod-flexconnect-dg-104.gif

  72. Выберите AuthenticationMethod и введите эти значения:

    byod-flexconnect-dg-105.gif

    • Authentication method: Равняется

      byod-flexconnect-dg-106.gif

    • Выберите MSCHAPV2.

      byod-flexconnect-dg-107.gif

    Это - пример правила; обязательно подтвердите, что Условием является AND.

    byod-flexconnect-dg-108.gif

  73. В Профиле AuthZ выберите Standard> Provision (это - Профиль Авторизации, созданный ранее).

    byod-flexconnect-dg-109.gif

    byod-flexconnect-dg-110.gif

  74. Нажмите "Готово".

    byod-flexconnect-dg-099.gif

  75. Направо от PEAPrule нажмите стрелку вниз рядом с Редактированием и выберите Insert New Rule Below.

    byod-flexconnect-dg-111.gif

  76. Измените Имя правила из стандартного Правила # к AllowRule (в данном примере). Это правило будет использоваться для разрешения доступа к зарегистрированным устройствам с установленными сертификатами.

    byod-flexconnect-dg-112.gif

  77. При Условии (ях) выберите Compound Conditions.

    byod-flexconnect-dg-113.gif

  78. Выберите Wireless_802.1X.

    byod-flexconnect-dg-114.gif

  79. Добавьте атрибут AND.

    byod-flexconnect-dg-115.gif

  80. Нажмите значок механизма на правой части условия и выберите Add Attribute/Value.

    byod-flexconnect-dg-116.gif

  81. Найдите и выберите Radius.

    byod-flexconnect-dg-117.gif

  82. Выберите Calling-Station-ID - [31].

    byod-flexconnect-dg-118.gif

  83. Выберите Equals.

    byod-flexconnect-dg-119.gif

  84. Перейдите к СЕРТИФИКАТУ и нажмите правую стрелку.

    byod-flexconnect-dg-123.gif

  85. Выберите Subject Alternative Name.

    byod-flexconnect-dg-121.gif

  86. Для Профиля AuthZ выберите Standard.

    byod-flexconnect-dg-122.gif

  87. Выберите Permit Access.

    byod-flexconnect-dg-123.gif

  88. Нажмите "Готово".

    byod-flexconnect-dg-099.gif

    Это - пример правила:

    byod-flexconnect-dg-124.gif

  89. Найдите Стандартное правило для изменения PermitAccess на DenyAccess.

    byod-flexconnect-dg-125.gif

  90. Нажмите Edit для редактирования Стандартного правила.

    byod-flexconnect-dg-126.gif

  91. Перейдите к существующему профилю AuthZ PermitAccess.

    byod-flexconnect-dg-127.gif

  92. Выберите Standard.

    byod-flexconnect-dg-128.gif

  93. Выберите DenyAccess.

    byod-flexconnect-dg-129.gif

  94. Подтвердите, что Стандартное правило имеет DenyAccess, если не найдены никакие соответствия.

    byod-flexconnect-dg-130.gif

  95. Нажмите "Готово".

    byod-flexconnect-dg-099.gif

    Это - пример основных правил, требуемых для этого теста; они применимы или для одиночного SSID или для двойного сценария SSID.

    byod-flexconnect-dg-131.gif

  96. Нажмите Save.

    byod-flexconnect-dg-132.gif

  97. Перейдите к ISE> администрирование> Система> Сертификаты для настройки сервера ISE с профилем SCEP.

    byod-flexconnect-dg-133.gif

  98. В Операциях Сертификата нажмите SCEP CA Profiles.

    byod-flexconnect-dg-134.gif

  99. Нажмите кнопку Add.

    byod-flexconnect-dg-135.gif

  100. Введите эти значения для этого профиля:

    • Name: mySCEP (в данном примере)
    • Url : https://<server> CA/certsrv/mscep/(Проверяют конфигурацию сервера CA для верного адреса.)

    byod-flexconnect-dg-136.gif

  101. Нажмите Test Connectivity для тестирования подключения соединения SCEP.

    byod-flexconnect-dg-137.gif

  102. Этот ответ показывает, что возможность подключения сервера успешна.

    byod-flexconnect-dg-138.gif

  103. Нажать кнопку submit.

    byod-flexconnect-dg-139.gif

  104. Сервер отвечает, что Профиль CA был создан успешно.

    byod-flexconnect-dg-140.gif

  105. Подтвердите, что добавлен SCEP CA Профиль.

    byod-flexconnect-dg-141.gif

IOS User Experience - Provisioning

Двойной SSID

Этот раздел покрывает двойной SSID и описывает, как соединиться с гостем, чтобы быть обеспеченным и как соединиться с WLAN 802.1x.

Выполните эти шаги для инициализации iOS в двойном сценарии SSID:

  1. На устройстве на iOS перейдите к сетям Wi-Fi и выберите DemoCWA (настроенный открытый WLAN на WLC).

    byod-flexconnect-dg-142.gif

  2. Откройте браузер Safari на устройстве на iOS и посетите достижимый URL (например, внутренний/внешний веб-сервер). ISE перенаправляет вас к порталу. Нажмите кнопку Continue.

    byod-flexconnect-dg-143.gif

  3. Вы перенаправлены к Гостевому Порталу для входа в систему.

    byod-flexconnect-dg-144.gif

  4. Войдите с AD учетной записью пользователя и паролем. Установите Профиль CA, когда предложено.

    byod-flexconnect-dg-145.gif

  5. Нажмите надежный сертификат Install сервера CA.

    byod-flexconnect-dg-146.gif

  6. Нажмите Done, как только полностью установлен профиль.

    byod-flexconnect-dg-147.gif

  7. Возвратитесь к браузеру и нажмите Register. Обратите внимание на Идентификатор устройства, который содержит MAC-адрес устройства.

    byod-flexconnect-dg-148.gif

  8. Нажмите Install для установки проверенного профиля.

    byod-flexconnect-dg-149.gif

  9. Нажмите Install Now.

    byod-flexconnect-dg-150.gif

  10. После того, как процесс завершен, профиль WirelessSP подтверждает, что установлен профиль. Нажмите "Готово".

    byod-flexconnect-dg-151.gif

  11. Перейдите к сетям Wi-Fi и измените сеть на Demo1x. Устройство теперь связано и использует TLS.

    byod-flexconnect-dg-152.gif

  12. На ISE перейдите к Операциям> Аутентификации. События показывают процесс, в котором устройство связано с открытой гостевой сетью, проходит через процесс регистрации с соискателем, обеспечивающим, и предоставлено доступ разрешения после регистрации.

    byod-flexconnect-dg-153.gif

  13. Перейдите к ISE> администрирование> Управление идентификацией> Группы> Endpoint Identity Groups> RegisteredDevices. MAC-адрес был добавлен к базе данных.

    byod-flexconnect-dg-154.gif

Одиночный SSID

Этот раздел покрывает одиночный SSID и описывает, как соединиться непосредственно с WLAN 802.1x, ввести AD имя пользователя для аутентификации PEAP, условия через гостевую учетную запись и переподключения с TLS.

Выполните эти шаги для инициализации iOS в одиночном сценарии SSID:

  1. При использовании то же устройство на iOS, удаляете оконечную точку из Зарегистрированных устройств.

    byod-flexconnect-dg-155.gif

  2. На устройстве на iOS перейдите к Параметрам настройки> общие сведения> Профили. Удалите профили, установленные в данном примере.

    byod-flexconnect-dg-156.gif

  3. Нажмите Remove для удаления предыдущих профилей.

    byod-flexconnect-dg-157.gif

    byod-flexconnect-dg-158.gif

  4. Соединитесь непосредственно с 802.1x с существующим (очищенным) устройством или с новым устройством на iOS.

  5. Соединитесь с Dot1x, введите Имя пользователя и пароль и нажмите Join.

    byod-flexconnect-dg-159.gif

  6. Повторите Шаги 90 и на от Раздела конфигурации ISE, пока не будут полностью установлены соответствующие профили.

  7. Перейдите к ISE> Операции> Аутентификации для мониторинга процесса. Данный пример показывает клиенту, который связан непосредственно с WLAN 802.1X, как это обеспечено, разъединяет и повторно соединяется с тем же WLAN с использованием TLS.

    byod-flexconnect-dg-160.gif

  8. Перейдите к WLC> Монитор> [MAC - адрес клиента]. В клиентской подробности обратите внимание, что клиент находится в состоянии ВЫПОЛНЕНИЯ, его Коммутация данных установлена в локальную переменную, и Аутентификация является Центральной. Это истинно для клиентов то подключение к FlexConnect AP.

Пользовательский опыт - инициализация Android

Двойной SSID

Этот раздел покрывает двойной SSID и описывает, как соединиться с гостем, чтобы быть обеспеченным и как соединиться с WLAN 802.1x.

Процесс соединения для устройства на базе Android подобен этому для устройства на iOS (одиночный или двойной SSID). Однако важное различие - то, что устройство на базе Android требует доступа к Интернету, чтобы обратиться к Google Marketplace (теперь Google Play) и загрузить агента соискателя.

Выполните эти шаги для инициализации устройства на базе Android (такого как Samsung Galaxy в данном примере) в двойном сценарии SSID:

  1. В устройстве на базе Android используйте Wi-Fi, чтобы соединиться с DemoCWA и открыть гостевой WLAN.

    byod-flexconnect-dg-162.gif

  2. Примите любой сертификат для соединения с ISE.

    byod-flexconnect-dg-163.gif

  3. Введите Имя пользователя и пароль в Гостевой Портал для регистрации.

    byod-flexconnect-dg-164.gif

  4. Нажмите Register. Устройство пытается достигнуть Интернета для доступа к Google Marketplace. Добавьте любые дополнительные правила к Предподлинному ACL (такие как ПЕРЕНАПРАВЛЕНИЕ ACL) в контроллере для предоставления доступа к Интернету.

    byod-flexconnect-dg-165.gif

  5. Google перечисляет Настройку Сети Cisco как приложение для Android. Нажмите кнопку Install (Установить).

    byod-flexconnect-dg-166.gif

  6. Регистрируйтесь к Google и нажмите INSTALL.

    byod-flexconnect-dg-167.gif

  7. Нажмите кнопку ОК.

    byod-flexconnect-dg-168.gif

  8. На устройстве на базе Android посчитайте установленный Cisco приложением SPW и откройте его.

    byod-flexconnect-dg-169.gif

  9. Удостоверьтесь, что в вас все еще входят к Гостевому Порталу от устройства на базе Android.

  10. Нажмите Start для начала Помощника Настройки Wi-Fi.

    byod-flexconnect-dg-170.gif

  11. Cisco SPW начинает устанавливать сертификаты.

    byod-flexconnect-dg-171.gif

  12. Когда предложено, устанавливает пароль для учетного хранилища.

    byod-flexconnect-dg-172.gif

  13. SPW Cisco возвращается с названием сертификата, которое содержит пользовательский ключ и сертификат пользователя. Нажмите OK для подтверждения.

    byod-flexconnect-dg-173.gif

  14. Cisco SPW продолжает и вызывает для другого названия сертификата, которое содержит сертификат CA. Введите имя iseca (в данном примере), затем нажмите OK для продолжения.

    byod-flexconnect-dg-174.gif

  15. Устройство на базе Android теперь связано.

    byod-flexconnect-dg-175.gif

Портал «мои устройства»

Портал «мои устройства» позволяет пользователям помещать в черный список ранее зарегистрированные устройства в конечном счете, устройство потеряно или украдено. Это также позволяет пользователям повторно поступать на службу в случае необходимости.

Выполните эти шаги для помещения в черный список устройства:

  1. Для регистрации к Порталу «мои устройства» откройте браузер, соединитесь с https://ise-server:8443/mydevices (обратите внимание на номер порта 8443), и войдите с AD учетной записью.

    byod-flexconnect-dg-176.gif

  2. Определить местоположение устройства под Идентификатором устройства и нажать Lost? для инициирования помещения в черный список устройства.

    byod-flexconnect-dg-177.gif

  3. Когда ISE вызывает предупреждение, нажмите Yes для перехода.

    byod-flexconnect-dg-178.gif

  4. ISE подтверждает, что устройство отмечено, как потеряно.

    byod-flexconnect-dg-179.gif

  5. Даже если существует установленный подтвержденный сертификат, любая попытка соединиться с сетью с ранее зарегистрированное устройство теперь заблокировано. Это - пример помещенного в черный список устройства, которое отказывает аутентификацию:

    byod-flexconnect-dg-180.gif

  6. Администратор может перейти к ISE> администрирование> Управление идентификацией> Группы, нажать Endpoint Identity Groups> Blacklist и видеть, что устройство помещено в черный список.

    byod-flexconnect-dg-181.gif

Выполните эти шаги для восстановления помещенного в черный список устройства:

  1. От Портала «мои устройства» нажмите Reinstate для того устройства.

    byod-flexconnect-dg-182.gif

  2. Когда ISE вызывает предупреждение, нажмите Yes для перехода.

    byod-flexconnect-dg-183.gif

  3. ISE подтверждает, что было успешно восстановлено устройство. Подключите восстановленное устройство с сетью для тестирования этого, устройство будет теперь разрешено.

    byod-flexconnect-dg-184.gif

Ссылка - сертификаты

ISE не только требует допустимого корневого сертификата CA, но также и требует подтвержденного сертификата, подписанного Приблизительно

Выполните эти шаги, чтобы добавить, связать, и импортировать новый доверяемый сертификат CA:

  1. Перейдите к ISE> администрирование> Система> Сертификаты, нажмите Local Certificates и нажмите Add.

    byod-flexconnect-dg-185.gif

  2. Выберите Generate Certificate Signing Request (CSR).

    byod-flexconnect-dg-186.gif

  3. Введите CN Предмета Сертификата = <имя хоста СЕРВЕРА ISE. FQDN>. Для других полей можно использовать по умолчанию или значения, требуемые настройкой CA. Нажать кнопку submit.

    byod-flexconnect-dg-187.gif

  4. ISE проверяет, что генерировался CSR.

    byod-flexconnect-dg-188.gif

  5. Для доступа к CSR нажмите операции Запросов подписи сертификата.

    byod-flexconnect-dg-189.gif

  6. Выберите CSR, недавно созданный, затем нажмите Export.

    byod-flexconnect-dg-190.gif

  7. ISE экспортирует CSR в файл .pem. Нажмите Save File, затем нажмите OK, чтобы сохранить файл к локальному компьютеру.

    byod-flexconnect-dg-191.gif

  8. Найдите и откройте файл сертификата ISE с текстовым редактором.

    byod-flexconnect-dg-192.gif

  9. Скопируйте все содержание сертификата.

    byod-flexconnect-dg-193.gif

  10. Соединитесь с сервером CA и войдите с учетной записью администратора. Сервером является Microsoft 2008 CA в https://10.10.10.10/certsrv (в данном примере).

    byod-flexconnect-dg-194.gif

  11. Нажмите Request сертификат.

    byod-flexconnect-dg-195.gif

  12. Нажмите усовершенствованный запрос сертификата.

    byod-flexconnect-dg-196.gif

  13. Нажмите вторую опцию для Отправки запроса сертификата при помощи base-64-encoded CMC или....

    byod-flexconnect-dg-197.gif

  14. Вставьте содержание от файла сертификата ISE (.pem) в поле Saved Request, гарантируйте, что Шаблон сертификата является Web-сервером, и нажмите Submit.

    byod-flexconnect-dg-198.gif

  15. Нажмите сертификат Download.

    byod-flexconnect-dg-199.gif

  16. Сохраните certnew.cer файл; это будет использоваться позже для привязки с ISE.

    byod-flexconnect-dg-200.gif

  17. От Сертификатов ISE перейдите к Локальным Сертификатам и нажмите Add>, Связывают Сертификат CA.

    byod-flexconnect-dg-201.gif

  18. Передите к сертификату, который был сохранен к локальному компьютеру в предыдущем шаге, включите и EAP и протоколы Интерфейса управления (флажки установлены), и нажмите Submit. ISE может занять несколько минут или больше для перезапуска сервисов.

    byod-flexconnect-dg-202.gif

  19. Возвратитесь к целевой странице CA (https://CA/certsrv/) и нажмите Download a CA certificate, цепочку сертификатов или CRL.

    byod-flexconnect-dg-203.gif

  20. Нажмите Download CA certificate.

    byod-flexconnect-dg-204.gif

  21. Сохраните файл к локальному компьютеру.

    byod-flexconnect-dg-205.gif

  22. С сервером ISE онлайн, перейдите к Сертификатам и нажмите Certificate Authority Certificates.

    byod-flexconnect-dg-206.gif

  23. Нажмите кнопку Import (Импортировать).

    byod-flexconnect-dg-207.gif

  24. Передите для сертификата CA, включите Доверие для аутентификации клиента (флажок установлен), и нажмите Submit.

    byod-flexconnect-dg-208.gif

  25. Подтвердите, что добавлен новый доверяемый сертификат CA.

    byod-flexconnect-dg-209.gif

Дополнительные сведения


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.