Безопасность : Cisco Identity Services Engine Software

Пример конфигурации хот-спота версии 1.3 ISE

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Платформа Cisco Identity Services Engine (ISE) Версия 1.3 имеет новый тип Гостевого Портала под названием Хот-спот. Этот тип портала позволяет вам предоставлять гостевой доступ к сети и не вынуждает пользователя предоставить любые учетные данные. Этот документ описывает, как настроить и устранить неполадки этой функциональности.

Внесенный Михалом Гаркарзом и Николасом Дарчисом, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Cisco рекомендует иметь опыт с конфигурацией ISE и базовыми знаниями об этих темах:

  • Развертывания ISE и Гостевые потоки
  • Конфигурация контроллеров беспроводной локальной сети (WLC)

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Microsoft Windows 7
  • Версия 7.6 WLC Cisco и позже
  • Программное обеспечение ISE, версия 1.3 и позже

Топология и поток

Этот сценарий для гостей, которые принимают политику допустимого использования (AUP) и только затем быть предоставленными доступ к Интернету (или любой другой ограниченный доступ).

Шаг 1. Гость связывается к идентификаторам наборов сервисов (SSID): Хот-спот. Это - открытая сеть с фильтрацией по MAC-адресам с ISE для аутентификации. Эта аутентификация совпадает со вторым правилом авторизации на ISE и перенаправлениях профиля авторизации к Хот-споту. ISE возвращает Access-Accept RADIUS с двумя Cisco-av-pair:

  • acl перенаправления URL (какой трафик должен быть перенаправлен, и название Списка контроля доступа (ACL), определенного локально на WLC),
  • перенаправление URL (где перенаправить тот трафик - к ISE),

Шаг 2. Гость перенаправлен к ISE, принимает AUP, и дополнительно предоставляет секретный код доступа.

Шаг 3. ISE передает изменение авторизации RADIUS (CoA), Перезагруженное Admin к WLC. WLC проходит повторную проверку подлинности пользователя, когда он передает Access-Request RADIUS. ISE отвечает Access-Accept и ACL Airespace, определенным локально на WLC, который предоставляет доступ к Интернету только.

Примечание: Перезагруженный Admin CoA является определенным для функциональности Хот-спота и описал в идентификаторе ошибки Cisco CSCus46754. Поведение для Версии 1.2 ISE с гостевым порталом было другим; CoA Проходит повторную проверку подлинности, или Оконечный передавался.

Шаг 4. Гость желает доступа к сети. Администратор сети уверен, что пользователь принял AUP. Гость может быть перенаправлен к исходному URL, статически настроенному URL или странице успеха. Могут быть настроены все страницы, отображенные ISE.

Интеграция с дополнительной проверкой положения представлена в последнем разделе.

Настройка

WLC

  1. Добавьте новый сервер RADIUS для Аутентификации и Учета. Перейдите к Безопасности> AAA> Радиус> Аутентификация для включения RADIUS CoA (RFC 3576).



    Существует подобная конфигурация для Учета. Также рекомендуется настроить WLC для передачи SSID в атрибуте ID Вызываемой станции, который позволяет ISE настраивать гибкие правила на основе SSID:



  2. Под вкладкой WLAN создайте Беспроводную локальную сеть (WLAN) Хот-спот и настройте Корректный Интерфейс. Набор безопасность Layer2 ни к Одному с фильтрацией по MAC-адресам. В Серверах Безопасности/¦утентификации, авторизации и учета (AAA) выберите IP-адрес ISE и для Аутентификации и для Считающий (Учет является дополнительным). На Вкладке Дополнительно включите Замену AAA и установите Состояние Network Admission Control (NAC) в NAC RADIUS (поддержка CoA).

  3. Перейдите к Безопасности> Списки контроля доступа> Списки контроля доступа и создайте два списка доступа:

    • HotspotRedirect, который разрешает трафик, который не должен быть перенаправлен и перенаправляет весь другой трафик
    • Интернет, который запрещен для корпоративных сетей и разрешен для всех других


    Вот пример HotspotRedirect ACL (должен исключить ISE к/ота трафика из перенаправления):

ISE

  1. Перейдите к Гостевому доступу>, Настраивают> Гостевые Порталы и создают новый портала тип, Гостевой Портал Хот-спота:



  2. Выберите портала название, на которое сошлются в профиле авторизации. Для настройки портала от Портала Параметров настройки Поведения и Потока включите AUP и (дополнительный) секретный код:



    Еще несколько опций могут быть включены при Кастомизации Страницы портала; все представленные страницы могут быть настроены.

  3. Перейдите к Политике> Результаты> Авторизация> Профиль Авторизации для настройки профилей Авторизации.

    • HotSpot (с перенаправлением к названию портала Хот-спота и ACL HotspotRedirect):



    • Интернет (с ACL Airespace равняется Интернету):



  4. Для проверки правил авторизации перейдите к Политике> Авторизация. В Версии 1.3 ISE по умолчанию для отказавшего доступа Обхода проверки подлинности MAC (MAB) (MAC-адрес, не найденный), аутентификация продолжена (не отклоненный). Это очень полезно для Гостевых Порталов, потому что нет никакой потребности изменить что-либо в правилах проверки подлинности по умолчанию.



    Для первой аутентификации MAB со вторым правилом совпадают (оконечная точка еще не находится ни в какой идентификационной группе). Затем пользователь перенаправлен к веб-порталу (хот-спот), принимает AUP, и дополнительно вводит корректный секретный код доступа. ISE передает RADIUS CoA, и WLC выполняет повторную проверку подлинности. Для второй аутентификации с первым правилом совпадают наряду с профилем авторизации PermitInternet и возвращает название ACL, которое применено на WLC (на этот раз, оконечная точка уже находится в группе GuestEndpoints).

    По умолчанию гости, которые принимают AUP, помещены в идентификационную группу GuestEndpoints. Идентификационная группа, которая назначена для тех оконечных точек, настроена под гостевой конфигурацией портала, которая может быть другой для каждого портала.

  5. Добавьте WLC как Устройство Доступа к сети от администрирования> Сетевые ресурсы> Сетевые устройства.

Проверка

Воспользуйтесь данным разделом для проверки правильности функционирования вашей конфигурации.

  1. После того, как гости связываются с Хот-спотом SSID и вводят URL, они перенаправлены к AUP:



  2. Если код доступа был настроен под гостевым порталом, то это требуется. Если пользователь предоставляет неправильный код, ошибка отображается:



  3. Вот экран, который отображается, если введен корректный код:



  4. Как только корректный код введен, WLC выполняет повторную проверку подлинности и представляет интернет-ACL, подключенный сеансу.

Дополнительное положение

Если существует потребность предоставить доступ к гостям, но только когда они удовлетворяют определенную политику (Положение), такое как новые Антивирусные обновления и обновления Microsoft Windows, то это может быть выполнено с этими правилами:

Правило HotSpot не предоставит доступ к Интернету, но вместо этого выполняет перенаправление к сервису положения. Затем веб-Агент может быть выдвинут к станции (Клиент, Настраивающий правила), и выполнить проверки политики (Правила положения). Соответствие отчёта передается веб-Агентом ISE. После того, как станция совместима, ISE передает другой CoA, повторно аутентифицируются, который инициирует обновление авторизации на WLC. Затем с правилом HotSpot_Compliant встречаются, и доступ к Интернету предоставлен.

Конфигурация положения с NAC или веб-Агентом подобна как в Версии 1.2 ISE и вне области для этого документа (см. Раздел связанных сведений для получения дополнительной информации).

Устранение неполадок

Этот раздел обеспечивает информацию, которую вы можете использовать для того, чтобы устранить неисправность в вашей конфигурации.

ISE должен представить:

Вот поток:

  • Гость встречается со вторым правилом авторизации и перенаправлен к Хот-споту ("Аутентификация , за которой следуют").

  • После того, как пользователь принимает AUP, ISE передает Перезагруженный Admin CoA, который подтвержден WLC ("Динамическая Авторизация, за которой следуют").

  • WLC выполняет повторную проверку подлинности, и название ACL возвращено ("Только авторизование, за которым следуют").

Если вы перешли к Операциям> Отчёты> Отчёты о ISE> Отчёты о Гостевом доступе> Приемный Статус AUP, это может быть также проверено:

Дополнительные сведения



Document ID: 118741