URL-Filter vor der Authentifizierung in SDA Wireless Fabric konfigurieren

Download-Optionen

  • PDF     (564.0 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (375.2 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (375.1 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:22. September 2025
Dokument-ID:224970

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird die Konfiguration des URL-Filters vor der Authentifizierung in der SDA Wireless Fabric beschrieben, um bestimmte URLs während der Phase "Web Auth Pending" (Webauthentifizierung ausstehend) zuzulassen.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • SDA Wireless Fabric-Architektur und Authentifizierungsmodi
    • Konfiguration des Wireless LAN Controllers (WLC)
    • Konzepte und Implementierung der URL-Filterung
    • FlexConnect/Fabric-fähige Wireless-Bereitstellungsmodelle

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Cisco DNA 2.3.7.7
    • C9800-40 mit Cisco IOS-XE® 17.6.5 mit C9150/C9120 Access Points

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    Dieses Dokument enthält detaillierte Schritte zum Konfigurieren der URL-Filter vor der Authentifizierung in Cisco SDA Wireless Fabric-Umgebungen.

    Im Authentifizierungsmodus SDA Wireless EWA (External Web Authentication) benötigen Kunden vor Abschluss der Authentifizierung Zugriff auf bestimmte URLs, um in der Regel den Zugriff auf Authentifizierungsportale oder Unternehmensressourcen zuzulassen. Diese Funktion entspricht dem URL-Filter vor der Authentifizierung in herkömmlichen Wireless-Architekturen. Durch die Konfiguration von URL-Vorauthentifizierungsfiltern wird sichergestellt, dass Clients mit dem Status "Web Auth Pending" (Webauthentifizierung ausstehend) bestimmte URLs erreichen können. Dies verbessert die Benutzerfreundlichkeit und unterstützt die erforderlichen Authentifizierungs-Workflows.

    Konfigurieren

    Netzwerkdiagramm

    xintsong_0-1757480870125

    Konfigurationen

    Verwenden Sie diese Schritte, um den URL-Filter vor der Authentifizierung in der SDA Wireless Fabric zu konfigurieren.

    Schritt 1: Zulässige URLs im URL-Filter hinzufügen

    Navigieren Sie zum Konfigurationsabschnitt "URL-Filter", und fügen Sie die URLs hinzu, die während der Phase vor der Authentifizierung zugelassen werden sollen.

    Configuration > Security > URL Filters > Add permit URLs

    Add Permit URLs in URL Filter

    Schritt 2: Aktivieren der Webauthentifizierung auf der SSID

    Konfigurieren Sie die SSID, um die Webauthentifizierung zu aktivieren. So wird sichergestellt, dass Wireless-Clients in den richtigen Authentifizierungs-Workflow eingebunden werden.

    Configuration > Tags & Profiles > WLANs > Security=Web Auth

    Enable Web Auth on SSO

    Schritt 3: Konfigurieren des URL-Filters im Richtlinienprofil

    Wenden Sie die URL-Filterliste auf das gewünschte Richtlinienprofil an. Dadurch wird der URL-Filter vor der Authentifizierung der entsprechenden Client-Richtlinie zugeordnet.

    Configuration > Tags & Profiles > Policy

    Edit Policy Profile

    Schritt 4: Konfigurieren Sie den URL-Filter im Flex Profile-System.

    Weisen Sie die URL-Filterliste dem standardmäßigen Flex Profile zu. In Fabric Enabled Wireless führen APs lokales Switching ähnlich wie FlexConnect durch. Alle ACLs und URL-Filter müssen im Flex-Standardprofil konfiguriert werden, um sicherzustellen, dass die APs diese Filter übernehmen und lokal durchsetzen.

    Configuration > Tags & Profiles > Flex

    Configure the URL Filter in the Flex Profile

    Edit Flex Profile

    note-icon

    Anmerkung: In Fabric Enabled Wireless führen APs lokales Switching aus. Alle ACLs/URL-Filter müssen im Flex-Standardprofil konfiguriert werden. Auf diese Weise können die APs diese Filter übernehmen und durchsetzen. Dies ist sowohl für den CWA- (Central Web Authentication) als auch für den EWA-Modus (External Web Authentication) erforderlich.

    Überprüfung

    Konfiguration überprüfen

    Verwenden Sie diese Schritte und CLI-Befehle, um die Konfiguration zu überprüfen.

    Schritt 1: Überprüfen der WLC-Konfiguration für URL-Filter

    Verwenden Sie die CLI, um sicherzustellen, dass der URL-Filter ordnungsgemäß auf Flex-Profile und Richtlinienprofile angewendet wird und dass die richtigen URLs im Filter aufgeführt sind.

    Beispielkonfiguration des WLC:

    wireless profile flex default-flex-profile
 acl-policy EXT_REDIRECT_ACL_X.X.X.X
 urlfilter list Test-url                             <<<<<

wireless profile policy "Inspire Creativity-Guest_profile"
 urlfilter list pre-auth-filter Test-url             <<<<<

urlfilter list Test-url
 action permit
     url www.cisco.com                                   <<<<<
 url www.test.com.sdalab.local                       <<<<<

    In dieser Ausgabe wird die URL-Filter-Test-URL sowohl auf die Flex-Profile als auch auf die Richtlinienprofile angewendet, und die angegebene URL (www.test.com.sdalab.local) ist in der Genehmigungsaktion enthalten.

    Schritt 2: Überprüfen des Zugriffs des Wireless-Clients auf URL-gefilterte URLs

    Stellen Sie sicher, dass ein mit der SSID verbundener Wireless-Client während der Phase "Web Auth Pending" (Webauthentifizierung ausstehend) auf die im URL-Filter aufgelisteten zulässigen URLs zugreifen kann.

    Für diesen Schritt gibt es keine spezifische CLI-Ausgabe, aber die Clients müssen in der Lage sein, URLs wie www.test.com.sdalab.local zu erreichen, bevor die Authentifizierung abgeschlossen wird.

    Fehlerbehebung

    Schritte zur Fehlerbehebung

    Wenn ein Client den URL-Filter vor der Authentifizierung erhält, aber nicht auf die zulässigen URLs zugreifen kann, gehen Sie wie folgt vor, um den Fehler zu beheben.

    Schritt 1: Überprüfen, ob der Client die URL-Filterliste erhalten hat

    Überprüfen Sie mithilfe des folgenden Befehls, ob der Client die URL-Filterliste korrekt abgerufen hat:

    device# show wireless client mac-address <xxxx.xxxx.xxxx> detail

    Dieser Befehl liefert detaillierte Informationen über die Clientsitzung, einschließlich aller angewendeten URL-Filterlisten.

    Schritt 2: Überprüfen der DNS-Auflösung für die zulässige URL

    Stellen Sie sicher, dass der Client den DNS-Namen der zulässigen URL auflösen kann. Wenn DNS aufgelöst wird, der Ping-Befehl jedoch fehlschlägt, kann ein Problem mit dem Netzwerk-Routing oder der Zugriffskontrolle auftreten.

    Schritt 3: Client-Zugriff auf die zulässige URL bestätigen

    Wenn der Client nicht auf die URL zugreifen kann, stellen Sie sicher, dass der URL-Filter im Flex-Profil richtig konfiguriert ist. Ein häufiger Grund für dieses Problem besteht darin, dass Sie den Filter nicht im Flex-Profil konfigurieren.

    Grund: Der URL-Filter ist im Flexprofil nicht konfiguriert. Lesen Sie Konfigurationsschritt 4, um dieses Problem zu beheben.

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    22-Sep-2025
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Xintao Song
      Technischer Berater

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.