تكوين المصادقة المركزية للويب على SD-Access

المقدمة

يصف هذا المستند دليل مفصل خطوة بخطوة لتكوين المصادقة المركزية للويب (CWA) ويلخص إجراءات التحقق من الصحة عبر جميع المكونات.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• مركز Catalyst من Cisco
• محرك خدمات الهوية من Cisco (ISE)
• بنية وحدة التحكم اللاسلكية Catalyst 9800
• المصادقة والتفويض والمحاسبة (AAA)

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• وحدة التحكم في شبكة LAN اللاسلكية (WLC) من Cisco - C9800-CL، Cisco IOS® XE 17.12.04
• Cisco Catalyst Center - الإصدار 2.3.7.7
• Cisco Identity Services Engine (ISE) - الإصدار 3.0.0.458
• عقدة SDA Edge - C9300-48P، Cisco IOS® XE 17.12.05
• عقدة حد/مستوى التحكم عبر SDA - C9500-48P، Cisco IOS® XE17.12.05
• نقطة وصول Cisco - C9130AXI-A، الإصدار 17.9.5.47

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

المخطط

نظرة عامة

تستخدم المصادقة المركزية للويب (CWA) معرف SSID من نوع الضيف لإعادة توجيه متصفح الويب الخاص بالمستخدم إلى مدخل واقع يستضيفه Cisco ISE، باستخدام قائمة تحكم في الوصول (ACL) لإعادة التوجيه تم تكوينها. تتيح البوابة المقيدة للمستخدم إمكانية التسجيل والمصادقة، وبعد نجاح المصادقة، تقوم وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) بتطبيق التخويل المناسب لمنح الوصول الكامل إلى الشبكة. يوفر هذا الدليل إرشادات خطوة بخطوة لتكوين CWA باستخدام Cisco Catalyst Center.

تكوين CWA على مركز Cisco Catalyst

إنشاء ملف تعريف الشبكة

يسمح توصيف الشبكة بتكوين الإعدادات التي يمكن تطبيقها على موقع معين. يمكن إنشاء ملفات تعريف الشبكة لعناصر متنوعة في مركز Cisco Catalyst، بما في ذلك:

• إطمئنانا
• جدار الحماية
• توجيه
• تبديل
• جهاز القياس عن بعد
• لاسلكي

بالنسبة إلى CWA، يجب تكوين توصيف لاسلكي.

لتشكيل توصيف لاسلكي، انتقل إلى تصميم > توصيفات شبكة، انقر على إضافة توصيف وحدد لاسلكي.

قم بتسمية ملف التعريف كما هو مطلوب. في هذا المثال، يسمى التوصيف اللاسلكي CWA_Cisco_Wireless_Profile. يمكنك إضافة أي SSIDs موجودة إلى هذا التوصيف بتحديد إضافة SSID. يتم تغطية إنشاء SSID في القسم التالي.

حدد تعيين لاختيار الموقع الذي سيتم تطبيق ملف التعريف هذا عليه، ثم حدد الموقع المطلوب. بعد تحديد المواقع، انقر فوق حفظ.

إنشاء SSID

انتقل إلى التصميم > إعدادات الشبكة > لاسلكي > SSIDs وانقر إضافة.

تلميح: عند إنشاء SSID ل CWA، من الضروري تحديد نوع الضيف. يضيف هذا التحديد أمر إلى ملف تعريف النهج اللاسلكي الخاص ب SSID على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) - الأمر nac - الذي يسمح باستخدام CoA لإعادة المصادقة بعد تسجيل المستخدم على المدخل المضمن. بدون هذا التكوين، يمكن للمستخدمين تجربة حلقة لا نهاية لها من التسجيل وإعادة التوجيه إلى البوابة بشكل متكرر.

بعد تحديد Add، استمر في سير عمل تكوين SSID. في الصفحة الأولى، قم بتكوين اسم SSID، كما يمكنك تحديد نطاق نهج الراديو، وتحديد حالة SSID، بما في ذلك حالة الإدارة وإعدادات البث. يسمى SSID لدليل التكوين هذا CWA_Cisco.

بعد إدخال اسم SSID، يتم إنشاء اسم ملف تعريف WLAN واسم ملف تعريف النهج تلقائيا. حدد التالي للمتابعة.

يجب تكوين AAA/PSN واحد على الأقل ل CWA SSIDs. إذا لم يتم تكوين أي منها، فحدد تكوين AAA واختر عنوان IP ل PSN من القائمة المنسدلة.

بعد تحديد خادم AAA، قم بتعيين معلمات أمان الطبقة 3 وحدد نوع المدخل: نقاط اتصال مسجلة ذاتيا أو نقاط اتصال.

بوابات ضيوف النقاط الساخنة: يوفر مدخل ضيف النقطة الساخنة الوصول إلى الشبكة للضيوف دون الحاجة إلى أسماء المستخدمين وكلمات المرور. هنا، يجب على المستخدمين قبول سياسة إستخدام مقبولة (AUP) للوصول إلى الشبكة، مما يؤدي إلى الوصول إلى الإنترنت لاحقا. بوابات الضيوف المعتمدين: يتطلب الوصول من خلال بوابة الضيوف المعتمدين أن يكون للضيوف اسم مستخدم وكلمة مرور.

كما يمكن تكوين الإجراء الذي يحدث بعد تسجيل المستخدم لنهج الاستخدام أو قبوله. تتوفر ثلاثة خيارات: صفحة النجاح، عنوان URL الأصلي، وURL المخصص.

فيما يلي يصف سلوك كل خيار:

صفحة النجاح: إعادة توجيه المستخدم إلى صفحة تأكيد تشير إلى نجاح المصادقة.
عنوان URL الأصلي: يعيد توجيه المستخدم إلى عنوان URL الأصلي الذي تم طلبه قبل أن يتم اعتراضه بواسطة المدخل المتنقل.
عنوان URL المخصص: يعيد توجيه المستخدم إلى عنوان URL مخصص محدد. تحديد هذا الخيار يمكن حقل إضافي من تعريف عنوان ربط الوجهة

في الصفحة نفسها، تحت تكوين المصادقة والتخويل والمحاسبة، يمكن تكوين قائمة تحكم في الوصول (ACL) سابقة للمصادقة. تسمح قائمة التحكم في الوصول هذه بإضافة إدخالات إضافية للبروتوكولات خارج عناوين IP DHCP أو DNS أو PSN، والتي يتم الحصول عليها من إعدادات الشبكة ويتم إلحاقها بقوائم التحكم في الوصول (ACL) الخاصة بإعادة التوجيه أثناء التوفير. هذا سمة يتوفر في cisco مادة حفازة مركز صيغة 2.3.3.x وفيما بعد.

لتشكيل قائمة تحكم في الوصول (ACL) مسبقة المصادقة، انتقل إلى التصميم > إعدادات الشبكة > لاسلكي > إعدادات التأمين، وانقر إضافة.

يحدد الاسم الأول قائمة التحكم في الوصول (ACL) في مركز Catalyst، بينما يتوافق الاسم الثاني مع اسم قائمة التحكم في الوصول (ACL) على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). يمكن أن يطابق الاسم الثاني قائمة التحكم في الوصول لإعادة التوجيه الموجودة التي تم تكوينها على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). كمرجع، يوفر مركز Catalyst اسم Cisco DNA_ACL_WEBAUTH_REDIRECT إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). يتم إلحاق الإدخالات من قائمة التحكم بالوصول (ACL) للمصادقة السابقة بعد الإدخالات الموجودة.

يؤدي الرجوع إلى سير عمل إنشاء SSID، وتحديد التالي يعرض الإعدادات المتقدمة، بما في ذلك الانتقال السريع، وانتهاء مهلة جلسة العمل، وانتهاء مهلة مستخدم العميل، وتحديد المعدل. قم بضبط المعلمات كما هو مطلوب، ثم حدد التالي للمتابعة. لأغراض دليل التكوين هذا، يحتفظ المثال بالإعدادات الافتراضية.

بعد تحديد التالي، تظهر مطالبة لإقران أي قوالب ميزات ب SSID. إن أمكن، حدد القوالب المرغوبة بالنقر على إضافة، وعند الانتهاء، انقر التالي.

أربط SSID بملف التعريف اللاسلكي الذي تم إنشاؤه مسبقا. للمرجع، راجع القسم إنشاء توصيف الشبكة اللاسلكية. في هذا القسم يمكنك أيضا تحديد ما إذا كان SSID متاحا أم لا. بعد الانتهاء، انقر على ربط ملف تخصيص.

إظهار النقطة الموثوق بها للإدارة اللاسلكية

بمجرد أن يقترن التوصيف ب SSID، انقر على التالي لإنشاء المدخل الموقوف وتصميمه، للبدء، انقر على إنشاء مدخل.

يحدد اسم المدخل اسم المجال في FQDN واسم مجموعة النهج على ISE. انقر فوق حفظ عند الانتهاء. يبقى المدخل قابلا للتحرير ويمكن حذفه إذا لزم الأمر.

حدد التالي لعرض ملخص لجميع معلمات التكوين المحددة في الخطوات السابقة.

تأكد من تفاصيل التكوين، ثم حدد حفظ لتطبيق التغييرات.

إمداد البنية

بعد اقتران ملف تعريف الشبكة اللاسلكية بموقع البنية، يظهر اسم SSID ضمن التوفير > مواقع البنية > (موقعك) > Wireless SSIDs.

ملاحظة: تحتاج إلى توفير وحدة التحكم في الشبكة المحلية اللاسلكية للموقع حتى تظهر SSIDs تحت SSIDs اللاسلكية

أختر تجمع SSID، وقم بإقران علامة مجموعة أمان بشكل إختياري، وانقر فوق نشر. يتم بث SSID بواسطة نقاط الوصول فقط في حالة تعيين تجمع.

في وحدات التحكم AireOS و Catalyst 9800، قم بإعادة تزويد وحدة التحكم في الشبكة المحلية اللاسلكية بعد أي تغييرات في تكوين SSID في إعدادات الشبكة.

ملاحظة: في حالة عدم تعيين أي تجمع لمعرف SSID، من المتوقع ألا تقوم نقاط الوصول ببثه. لا يتم بث SSID إلا بعد تعيين تجمع. بمجرد تعيين المجموعة، لا يلزم إعادة توفير وحدة التحكم.

راجع التكوين المزود إلى Cisco ISE

يفحص هذا القسم التكوين المزود من قبل Catalyst Center إلى Cisco ISE.

ملف تعريف التخويل

جزء من التكوين الذي يحدده Catalyst Center على Cisco ISE هو ملف تعريف تخويل. يحدد ملف التعريف هذا النتيجة المعينة إلى عميل استنادا إلى المعلمات الخاصة به ويمكن أن يتضمن إعدادات معينة مثل تعيين شبكة VLAN أو قوائم التحكم في الوصول (ACL) أو عمليات إعادة توجيه عنوان URL.

لعرض ملف تخصيص التخويل في ISE، انتقل إلى السياسة > عناصر السياسة > النتائج. إذا كان اسم المدخل CWA_Cisco_Portal، فإن اسم ملف التعريف هو CWA_Cisco_PORTAL_PROFILE. يعرض حقل الوصف النص: تم إنشاء ملف تعريف تخويل للبوابة - CWA_Cisco_PORTAL.

لعرض السمات المرسلة إلى وحدة التحكم في الشبكة المحلية اللاسلكية من خلال ملف تعريف التخويل هذا، انقر على اسم ملف تعريف التخويل وأرجع إلى قسم المهام المشتركة.

يوفر ملف تعريف التخويل هذا قائمة التحكم في الوصول (ACL) لإعادة التوجيه وعنوان URL لإعادة التوجيه.

تتضمن سمة إعادة توجيه ويب معلمتين:

1. اسم قائمة التحكم في الوصول (ACL): تم تعيينه على Cisco DNA_ACL_WEBAUTH_REDIRECT.
2. القيمة: تشير إلى اسم البوابة المقيدة، في هذا المثال CWA_Cisco_Portal.

يتيح خيار "رسالة تجديد شهادات العرض" إمكانية إستخدام البوابة لتجديد الشهادات التي تستخدمها نقطة النهاية حاليا.

يتوفر خيار إضافي، IP/اسم المضيف/FQDN الثابت، ضمن رسالة تجديد شهادات العرض. تتيح هذه الميزة تسليم عنوان IP الخاص بالمدخل بدلا من FQDN الخاص به، وهو ما يكون مفيدا عندما يفشل تحميل البوابة المقيدة بسبب عدم القدرة على الوصول إلى خادم DNS.

مجموعات النهج

انتقل إلى السياسة > مجموعات السياسات > الافتراضي > نهج التخويل لعرض مجموعتي السياسات اللتين تم إنشاؤهما للمدخل المسمى CWA_Cisco_Portal. مجموعات النهج هذه هي:

• CWA_Cisco_Portal_GuestAccessPolicy
• CWA_Cisco_Portal_RedirectPolicy

يتم تطبيق نهج CWA_Cisco_Portal_GuestAccessPolicy عندما يكون العميل قد أكمل عملية مصادقة الويب بالفعل، إما من خلال التسجيل الذاتي أو من خلال بوابة النقاط الساخنة.

تتطابق مجموعة النهج هذه مع ثلاثة معايير:

• Wireless_MAB: يستخدم عندما يستلم Cisco ISE طلب مصادقة مجرى جانبي لمصادقة MAC (MAB) من وحدة تحكم في الشبكة المحلية اللاسلكية.
• Guest_Flow: يشير إلى ISE الذي يتحقق من عنوان MAC لنقطة النهاية مقابل مجموعة هوية GuestEndpoints. إذا لم يكن عنوان MAC لنقطة النهاية موجودا في هذه المجموعة، لن يتم تطبيق النهج.
• RADIUS call-station-id end_with: cwa_cisco: معرف Call-Station هو سمة RADIUS في ISE التي تخزن عنوان MAC لنقطة الوصول أو الجسر بتنسيق ASCII وتلحق معرف SSID الذي يتم الوصول إليه، يفصل بينها فاصلة منقوطة (:). في هذا المثال، يمثل CWA_Cisco اسم SSID.

تحت ملفات تعريف العمود ترى اسم PermitAccess، هذا ملف تعريف تفويض محجوز لا يمكن تحريره، مما يعطي وصولا كاملا إلى الشبكة ويمكنك أيضا تعيين رقيب تحت مجموعات أمان العمود، وهو في هذه الحالة ضيوف.

يتم إستخدام ملف تعريف PermitAccess. هذا ملف تعريف تفويض محجوز لا يمكن تحريره ويمنح وصولا كاملا إلى الشبكة. كما يمكن تكليف رقيب تحت عمود مجموعات الحماية؛ في هذه الحالة، يقوم الرقيب بتعيين الضيوف.

السياسة التالية للمراجعة هي CWA_Cisco_Portal_RedirectPolicy.

تتطابق مجموعة النهج هذه مع المعيارين التاليين:

• Wireless_MAB: يستخدم عندما يستلم Cisco ISE طلب مصادقة MAB من وحدة تحكم في الشبكة المحلية (LAN) اللاسلكية.
• RADIUS call-station-id end_with: cwa_cisco: معرف Call-Station هو سمة RADIUS في ISE التي تخزن عنوان MAC لنقطة الوصول أو الجسر بتنسيق ASCII وتلحق معرف SSID الذي يتم الوصول إليه، يفصل بينها فاصلة منقوطة (:). في هذا المثال، يمثل :CWA_Cisco اسم SSID.

وترتيب هذه السياسات أمر بالغ الأهمية. إذا ظهرت CWA_Cisco_Portal_RedirectPolicy أولا في القائمة، فإنها تطابق فقط مصادقة MAB واسم SSID باستخدام سمة RADIUS المسماة STATION-ID end_with: CWA_TRAINING. في هذا التكوين، حتى في حالة مصادقة نقطة النهاية بالفعل من خلال البوابة، فإنها ستستمر في مطابقة هذا النهج إلى أجل غير مسمى. ونتيجة لذلك، لا يتم منح الوصول الكامل مطلقا عبر ملف تعريف PermitAccess، ويظل العميل عالقا في حلقة مستمرة من المصادقة وإعادة التوجيه إلى البوابة.

تكوين مدخل الضيف

انتقل إلى مراكز العمل > وصول الضيف > البوابات والمكونات لعرض البوابة.

يستخدم مدخل Guest الذي تم إنشاؤه هنا نفس الاسم الموجود في Catalyst Center CWA_Cisco_Portal. حدد اسم المدخل إذا كنت ترغب في عرض تفاصيل إضافية.

راجع التكوين المزود إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)

يفحص هذا القسم التكوين المزود من قبل Catalyst Center لوحدة التحكم في الشبكة المحلية اللاسلكية.

تكوين SSID

في واجهة المستخدم الرسومية (GUI) الخاصة بوحدة التحكم في الشبكة المحلية اللاسلكية (WLC)، انتقل إلى التكوين > العلامات وملفات التعريف > شبكات WLAN لعرض تكوين SSID.

SSID CWA_Cisco به الاسم CWA_Cisco_profile على ال WLC، مع معرف 21 ونوع تأمين مفتوح باستخدام تصفية MAC. انقر نقرا مزدوجا فوق SSID لعرض التكوين الخاص به.

يتم تشغيل SSID والبث على كل من قنوات 5 و 2. 4 جيجاهيرتز وهي متصلة بملف تعريف السياسة CWA_CIsco_Profile. انقر على علامة التبويب تأمين لعرض الإعدادات.

تتضمن إعدادات المفاتيح طريقة تأمين الطبقة 2 (تصفية MAC) وقائمة تفويض AAA (Cisco DNA-cts-CWA_Cisco-0044d514). لمراجعة التكوين الخاص بها، انتقل إلى التكوين > الأمان > AAA > قائمة طرق AAA > التفويض.

تشير قائمة الطرق إلى مجموعة RADIUS DNA-rGrp-CWA_Cisco-0044d514D في عمود المجموعة1. لعرض التكوين الخاص بها، انتقل إلى التكوين > الأمان > AAA > الخادم/المجموعات > مجموعات الخوادم.

مجموعة الخادم تشير DNA-rGRP-CWA_Cisco-0044d514 إلى Cisco DNA-radius_10.88.244.180 في عمود الخادم 1. اعرض تكوينها في علامة التبويب الخوادم.

يحتوي الخادم Cisco DNA-radius_10.88.244.180 على عنوان IP 10.88.244.180، انقر فوق اسمه لعرض التكوين الخاص به

أحد التكوينات الهامة هو تغيير التفويض (CoA)، والذي يوفر آلية لتعديل سمات جلسة عمل المصادقة والتفويض والمحاسبة (AAA) بعد مصادقتها على المدخل المضمن. بدون هذه الميزة، تظل نقطة النهاية في حالة مصادقة ويب معلقة حتى بعد إكمال التسجيل على البوابة.

تكوين ملف تعريف السياسة اللاسلكية

في ملف تعريف النهج، يمكن تعيين إعدادات للعملاء مثل شبكة VLAN وقوائم التحكم في الوصول (ACL) وجودة الخدمة (QoS) وأداة ربط قابلية التنقل وأجهزة التوقيت. لعرض تكوين ملف تعريف السياسة، انتقل إلى التكوين > العلامات وملفات التعريف > السياسة.

انقر فوق اسم النهج لعرض التكوين الخاص به.

تم تمكين حالة النهج وكما هو الحال مع أي SSID بنيوي، تم تعطيل التحويل المركزي و DHCP المركزي. انقر فوق علامة التبويب خيارات متقدمة، ثم انتقل إلى قسم نهج AAA لعرض تفاصيل تكوين إضافية.

يمكن تمكين كل من تجاوز AAA والتحكم في الوصول إلى الشبكة (NAC). يسمح تجاوز AAA لوحدة التحكم بقبول السمات المرتجعة من قبل خادم RADIUS، مثل قوائم التحكم بالوصول (ACLs) أو عناوين URLs، وتطبيق هذه السمات على العملاء. تمكن NAC تغيير التفويض (CoA) بعد تسجيل العميل على البوابة.

كما يمكن عرض هذا التكوين من خلال واجهة سطر الأوامر (CLI) على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC).

للتحقق من ملف تعريف النهج، يتم إرفاق SSID لتشغيل الأمر:

WLC#show fabric wlan summary

Number of Fabric wlan : 1

WLAN  Profile Name       SSID       Status 
----------------------------------------------------------------------------
21    CWA_Cisco_profile  CWA_Cisco  UP

لعرض تكوين ملف تعريف السياسة CWA_Cisco_profile قم بتشغيل الأمر:

WLC#show running-config | section policy CWA_Cisco_profile
wireless profile policy CWA_Cisco_profile
 aaa-override
 no central dhcp
 no central switching
 description CWA_Cisco_profile
 dhcp-tlv-caching
 exclusionlist timeout 180
 fabric CWA_Cisco_profile
 http-tlv-caching
 nac
 service-policy input platinum-up
 service-policy output platinum
 no shutdown

تكوين علامة السياسة

علامة النهج هي الطريقة التي تربط بها شبكة WLAN بملف تعريف السياسة، انتقل إلى التكوين > علامات تمييز وملفات تعريف > WLAN، وانقر فوق اسم شبكة WLAN، وانتقل إلى إضافة إلى علامات النهج لتحديد علامة السياسة المعينة ل SSID.

بالنسبة ل SSID CWA_Cisco_profile يتم إستخدام علامة السياسة PT_ILAGU_TOYOT_FOOR6_a5548 لتقريب هذا التكوين إلى تكوين > علامات وتوصيفات > علامات تمييز > سياسة.

انقر فوق الاسم لعرض تفاصيله. تربط علامة النهج pt_ilagu_TOYOT_FOOR6_a5548 WLAN CWA_Cisco المرتبط باسم CWA_Cisco_PROFILE على WLC (راجع صفحة شبكات WLAN للمرجع) بملف تعريف السياسة CWA_Cisco_PROFILE.

يشير اسم WLAN cwa_cisco_profile إلى WLAN cwa_cisco.

إعادة توجيه تكوين قائمة التحكم في الوصول (ACL)

في CWA، تحدد قائمة التحكم في الوصول المعاد توجيهه حركة المرور التي تتم إعادة توجيهها إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) لمزيد من المعالجة وحركة المرور التي تتجاوز إعادة التوجيه

يتم دفع هذا التكوين إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) بعد إنشاء SSID وتوفير عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) من المخزون. لعرضه، انتقل إلى التكوين > الأمان >قائمة التحكم في الوصول (ACL)، اسم قائمة التحكم في الوصول (ACL) التي يستخدمها مركز Catalyst لقائمة التحكم في الوصول لإعادة التوجيه هو Cisco DNA_ACL_WEBAUTH_REDIRECT.

انقر فوق الاسم لعرض التكوين الخاص به. يتم اشتقاق القيم من إعدادات الشبكة لإعدادات الشبكة من الموقع على مركز Catalyst.

ملاحظة: يتم الحصول على هذه القيم من إعدادات شبكة الموقع التي تم تكوينها في Catalyst Center، ويتم الحصول على قيم DHCP/DNS من التجمع الذي تم تكوينه في شبكة WLAN. تتم الإشارة إلى عنوان ISE PSN IP في تكوين AAA داخل سير عمل SSID.

لعرض قائمة التحكم في الوصول (ACL) لإعادة التوجيه على واجهة سطر أوامر (CLI) عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، قم بتشغيل الأمر التالي:

WLC#show ip access-lists Cisco DNA_ACL_WEBAUTH_REDIRECT
Extended IP access list Cisco DNA_ACL_WEBAUTH_REDIRECT
1 deny udp host 8.8.8.8 eq bootps any eq bootpc
2 deny udp any eq bootpc host 8.8.8.8 eq bootps
3 deny udp host 1.1.1.1 eq bootps any eq bootpc
4 deny udp any eq bootpc host 1.1.1.1 eq bootps
5 deny udp host 9.9.9.9 eq bootps any eq bootpc
6 deny udp any eq bootpc host 9.9.9.9 eq bootps
7 deny ip host 10.88.244.180 any
8 deny ip any host 10.88.244.180
9 permit tcp any range 0 65535 any eq www

يمكن تطبيق قائمة التحكم في الوصول لإعادة التوجيه على ملف التعريف المرن حتى يمكن إرسالها إلى نقاط الوصول. قم بتشغيل هذا الأمر لتأكيد هذا التكوين

WLC#show running-config | section flex
wireless profile flex default-flex-profile
 acl-policy Cisco DNA_ACL_WEBAUTH_REDIRECT
  central-webauth
  urlfilter list Cisco DNA_ACL_WEBAUTH_REDIRECT

إعادة توجيه قائمة التحكم في الوصول (ACL) على نقطة الوصول

عند نقطة الوصول، يتم عكس قيم السماح والرفض: يشير التصريح إلى حركة مرور إعادة التوجيه، ويشير الرفض إلى إعادة التوجيه. لمراجعة التكوين لقائمة التحكم في الوصول (ACL) المعاد توجيهها على نقطة الوصول، قم بتشغيل هذا الأمر:

AP#sh ip access-lists 
Extended IP access list Cisco DNA_ACL_WEBAUTH_REDIRECT
1 permit udp 8.8.8.8 0.0.0.0 dhcp_server any eq 68
2 permit udp any dhcp_client 8.8.8.8 0.0.0.0 eq 67
3 permit udp 1.1.1.1 0.0.0.0 dhcp_server any eq 68
4 permit udp any dhcp_client 1.1.1.1 0.0.0.0 eq 67
5 permit udp 9.9.9.9 0.0.0.0 dhcp_server any eq 68
6 permit udp any dhcp_client 9.9.9.9 0.0.0.0 eq 67
7 permit ip 10.88.244.180 0.0.0.0 any
8 permit ip any 10.88.244.180 0.0.0.0
9 deny tcp any range 0 65535 any eq 80