Configure la Tecnología inalámbrica CWA ISE y el hotspot fluye con AireOS y la última generación WLCs

Introducción

 Este documento describe cómo configurar tres casos del uso del invitado en Identity Services Engine (ISE) con Cisco AireOS y reguladores inalámbricos siguientes LAN de Generation(NGWC) (WLCs).

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

• Reguladores inalámbricos LAN de Cisco (unificados y acceso convergido)
• Identity Services Engine (ISE)

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Versión 2.1 del Cisco Identity Services Engine
• Regulador inalámbrico 5508 8.0.121.0 que se ejecutan LAN de Cisco
• Catalizador inalámbrico del regulador de la última generación (NGWC) 3850(WS-C3850-24P) 03.06.04.E que se ejecuta

Configurar

Diagrama de la red

Los pasos cubiertos en este documento describen la configuración típica en el acceso unificado y convergido WLCs para utilizar cualquier flujo del invitado con ISE.

Configure unificó 5508 WLC

Sin importar el caso del uso configurado en ISE, de la perspectiva WLC todo comienza con un punto final de red inalámbrica que conecte con un SSID abierto con la filtración MAC activada (más la invalidación y RADIUS NAC AAA) esas puntas a ISE como la autenticación y el servidor de contabilidad.  Esto se asegura de que ISE pueda empujar dinámicamente los atributos necesarios al WLC para la aplicación acertada de una reorientación al portal del invitado ISE.

Configuración global

  1.  Agregue ISE global como una autenticación y servidor de contabilidad.

• Navegue a la Seguridad >AAA > autenticación y haga clic nuevo

• Ingrese ISE IP del servidor y el secreto compartido
• Asegúrese de que el estado del servidor y la ayuda para el RFC 3676 (cambio de la ayuda de la autorización o CoA) sean ambo conjunto a activado.
• Bajo descanso por abandono AireOS del servidor WLCs tendrá 2 segundos. Dependiendo de las Características de la red (tiempo de espera, ISE y WLC en las ubicaciones diferentes, etc) puede ser beneficioso aumentar el descanso del servidor por lo menos a 5 segundos para evitar los eventos de falla innecesarios.
• Haga clic en Apply (Aplicar).
• Si hay los Nodos de los servicios de las políticas múltiples (PSN) a configurar proceden a crear las Entradas de servidor adicionales.

Nota: Este ejemplo de la configuración determinada incluye 2 casos ISE

• Navegue a la Seguridad >AAA > RADIUS > las estadísticas y haga clic nuevo
• Ingrese ISE IP del servidor y el secreto compartido
• Asegúrese de que fijen al estado del servidor a activado
• Aumente el descanso del servidor en caso necesario (el valor por defecto es 2 segundos).

  2. Configuración del retraso.

En el entorno unificado una vez que se acciona el descanso del servidor el WLC se mueve al servidor configurado siguiente. Después en la línea de la red inalámbrica (WLAN). Si no otro está disponible entonces el WLC selecciona el siguiente en la lista de los servidores globales. Cuando configuran a los servidores múltiples en el SSID (primario, secundario, etc) una vez que ocurre la Conmutación por falla el WLC por abandono continúa enviando el tráfico de la autenticación y (o) de las estadísticas permanentemente al caso secundario incluso si el servidor primario está detrás en línea.

Para atenuar este retraso del permiso del comportamiento. Navegue a la Seguridad >AAA > RADIUS > retraso. El comportamiento predeterminado está apagado. La única forma de recuperarse de un evento del servidor-abajo requiere la intervención admin (global despida el estado del administrador del servidor). 

Para activar el retraso usted tiene dos opciones:

• Pasivo - En el modo pasivo, si un servidor no responde a la petición de la autenticación WLC, el WLC mueve el servidor a la cola inactiva y fija un temporizador (intervalo en la opción del Sec). Cuando expira el temporizador, el WLC mueve el servidor a la cola activa con independencia del estado real de los servidores. Si la petición de la autenticación da lugar a un evento de tiempo de espera (que signifique que el servidor todavía está abajo) que la Entrada de servidor se mueve otra vez a la cola inactiva y el temporizador golpea con el pie adentro otra vez. Si responde el servidor con éxito detrás, permanece en la cola activa. Los Valores configurables aquí van a partir 180 a 3600 segundos.

• Activo - En el modo activo, cuando un servidor no responde a la petición de la autenticación WLC, el WLC marca el servidor como muerto, después mueve el servidor al pool inactivo del servidor y comienza a enviar los mensajes de la punta de prueba periódicamente hasta que responda ese servidor. Si responde el servidor, después el WLC mueve al servidor muerto al pool activo y para el enviar de los mensajes de la punta de prueba.

En este modo el WLC le requiere ingresar un username y un intervalo de la punta de prueba en los segundos (180 a 3600).

Nota: La punta de prueba WLC no requiere una autenticación satisfactoria. Cualquier manera, las autenticaciones acertadas o falladas se considera una respuesta del servidor que sea bastante para promover el servidor a la cola activa.

Configure el Service Set Identifier (SSID) del invitado:

•  Navegue a la tabulación de las redes inalámbricas (WLAN) y debajo cree el nuevo tecleo de la opción van:

• Ingrese el nombre del perfil y el nombre SSID. Haga clic en Apply (Aplicar).
• Conforme a la ficha general seleccione el interfaz o al grupo de interfaces que se utilizarán (VLA N del invitado).

• Bajo la Seguridad > capa 2 > Seguridad de la capa 2 selecta checkbox de filtración del mac ninguno y del permiso.

• Bajo la autenticación determinada y los servidores de contabilidad de la tabulación de los servidores AAA activó y seleccionan su primario y servidores secundarios.

• Actualización interina: Ésta es una configuración optativa que no agrega ninguna ventajas a este flujo. Si usted prefiere activarla, el WLC debo funcionar con 8.x o un código más alto:

Discapacitado: La característica se inhabilita totalmente.

Activado con 0 intervalos: El WLC envía las actualizaciones de las estadísticas a ISE cada vez que hay un cambio en la entrada móvil de Block(MSCB) del control de la estación del cliente (IE. Se envían IPv4 o la asignación de dirección o el cambio del IPv6, el evento de itinerancia del cliente, los etc.) ningunas actualizaciones periódicas adicionales.

Activado con un intervalo interino configurado: En este modo el WLC envía las notificaciones a ISE sobre los cambios de la entrada MSCB del cliente y también envía las notificaciones periódicas adicionales de las estadísticas en el intervalo configurado (sin importar cualquier cambios).

• Bajo el permiso de la ficha Avanzadas permita la invalidación AAA y bajo estado NAC seleccione RADIUS NAC. Esto se asegura de que el WLC aplique cualquier par de valores de atributos (AVPs) que venga de ISE.
• Navegue a la ficha general SSID y fije el estatus SSID a activado

• Aplique los cambios.

Configure la reorientación ACL

Este ACL es referido por ISE y determina qué tráfico consigue reorientado y qué tráfico será permitido a través.

• Vaya a la ficha de seguridad > a las listas de control de acceso y haga clic nuevo
• Éste es un ejemplo del ACL

Este ACL debe permitir el acceso a y desde los servicios DNS y los Nodos ISE sobre el puerto 8443 TCP. Hay un implícito niega en la parte inferior que significa que el resto del tráfico consigue reorientado al invitado URL porta ISE. 

El HTTPS reorienta

Esta característica se utiliza en las versiones 8.0.x de AireOS y sube pero se apaga por abandono. Para activar la ayuda HTTPS vaya a la Administración WLC > al HTTP-HTTPS > al redireccionamiento HTTPS y fíjelo activado o aplique el este comando en el CLI:

(Cisco Controller) >config network web-auth https-redirect enable

Las advertencias del certificado después del HTTPS reorientan se activan

Después de que https-reoriente se active, el usuario pueda experimentar los problemas de la confianza del certificado durante la reorientación. Se ve esto incluso si hay un certificado encadenado válido en el regulador e incluso si este certificado es firmado por una autoridad de certificación confiada en las de otras compañías. La razón es que el certificado instalado en el WLC está publicado a su hostname o dirección IP de la interfaz virtual. Cuando el cliente intenta los https: //cisco.com, el navegador espera que el certificado sea publicado a cisco.com. Sin embargo, porque el WLC a poder interceptar GET publicado por el cliente, primero necesita establecer la sesión HTTPS para la cual el WLC presenta su certificado de la interfaz virtual durante la fase del contacto SSL. Esto hace al navegador visualizar una advertencia pues el certificado presentado durante el contacto SSL no se ha publicado al sitio web original que el cliente está intentando tener acceso (IE. cisco.com se opuso al hostname de la interfaz virtual WLC). Usted puede ser que vea diversos mensajes de error del certificado en diversos navegadores pero todos relacionarse con el mismo problema.

Conmutación por falla agresiva

Esta característica se activa por abandono en AireOS WLCs. Cuando se activa la Conmutación por falla agresiva, el WLC marca el servidor AAA mientras que insensible y él se mueve al servidor configurado siguiente AAA después de que un evento de tiempo de espera del radio afecte a un cliente. 

Cuando se inhabilita la característica el WLC falla encima al servidor siguiente solamente si el evento de tiempo de espera RADIUS ocurre con por lo menos 3 sesiones de cliente. Esta característica se puede inhabilitar por este comando (no se requiere ninguna reinicialización para este comando):

(Cisco Controller) >config radius aggressive-failover disable

Para verificar el estado actual de la característica:

(Cisco Controller) >show radius summary

Vendor Id Backward Compatibility................. Disabled
Call Station Id Case............................. lower
Acct Call Station Id Type........................ Mac Address
Auth Call Station Id Type........................ AP's Radio MAC Address:SSID
Extended Source Ports Support.................... Enabled
Aggressive Failover.............................. Disabled

Puente prisionero

Las puntos finales que utilizan un mecanismo auxiliar de la red prisionera (PUEDA) para descubrir un cautivo-porta y el auto-lanzamiento una página del inicio hacen generalmente esto a través de un pseudo-navegador en una ventana controlada mientras que otras puntos finales ponen en marcha a un navegador completamente capaz para accionar esto. Para las puntos finales en donde la PODER pone en marcha a un pseudo-navegador, esto puede romper el flujo cuando está reorientada a un portal prisionero ISE. Esto afecta típicamente a los dispositivos IOS de Apple y tiene especialmente efectos negativos en los flujos que requieren el registro del dispositivo, el DHCP-Rlease del VLA N, el control de la conformidad, el etc. 

Dependiendo de la complejidad del flujo funcionando puede ser recomendado para activar puente prisionero. En tal decorado, el WLC ignora el mecanismo porta del descubrimiento de la PODER y el cliente necesita abrir a un navegador para iniciar el proceso de la reorientación. 

Verifique el estatus de la característica:

(Cisco Controller) >show network summary

Web Auth CMCC Support ...................... Disabled
Web Auth Redirect Ports .................... 80,3128
Web Auth Proxy Redirect  ................... Disable
Web Auth Captive-Bypass   .................. Disabled
Web Auth Secure Web  ....................... Enable
Web Auth Secure Redirection  ............... Enable

Para activar este tipo de la característica este comando:

(Cisco Controller) >config network web-auth captive-bypass enable
Web-auth support for Captive-Bypass will be enabled.
                             
You must reset system for this setting to take effect.

El WLC alerta al usuario que para que los cambios tomen a efecto un restauración-sistema (reinicio) son necesarios. 

A este punto un resumen de la red de la demostración muestra la característica según lo activado, pero para que los cambios tomen a efecto el WLC necesitan ser recomenzados. 

Configure convergió 3850 NGWC

Configuración global

  1. Agregue ISE global como una autenticación y servidor de contabilidad

• Navegue al > Security (Seguridad) de la configuración > al RADIUS > a los servidores y haga clic nuevo
• Ingrese el IP address del servidor ISE, el secreto compartido, el descanso del servidor y la cuenta de reintentos que refleja sus condiciones ambientales.
• Asegúrese de que la ayuda para el RFC 3570 (ayuda CoA) esté activada.
• Relance el proceso para agregar una entrada del servidor secundario.

  2. Cree al grupo de servidores ISE

• Navegue al > Security (Seguridad) > a los grupos de servidores de la configuración y haga clic nuevo
• Asigne un nombre al grupo y ingrese un valor de tiempo muerto en los minutos. Éste es el tiempo que el regulador mantiene el servidor la cola inactiva antes de que se promueva otra vez a la lista del servidor activo.
• De la lista disponible de los servidores agreguelos al asignado columna Servers (Servidores).

3. Global active Dot1x

• Navegue a la configuración >AAA > las listas de métodos > general y active el control auténtico del sistema Dot1x

  4. Configure las listas de métodos

• Navegue a la configuración >AAA > las listas de métodos > autenticación y cree una nueva lista de métodos. En este caso es el tipo Dot1x y grupo ISE_Group (grupo creado en el paso anterior). Entonces el golpe se aplica

• Haga lo mismo para considerar (configuración >AAA > las listas de métodos > las estadísticas) y la autorización (configuración >AAA > las listas de métodos > autorización). Deben parecer esto

  5. Cree el método del MAC-filtro de la autorización.

  Esto se llama de las configuraciones SSID más adelante.

• Navegue a Configuration> AAA > las listas de métodos > autorización y haga clic nuevo.
• Ingrese el nombre de la lista de métodos. Eligió el tipo = el grupo de la red y del Tipo de grupo.
• Agregue ISE_Group a los grupos de servidores asignados campo.

Configuración SSID

  1. Cree al invitado SSID

• Navegue a la configuración > a la Tecnología inalámbrica > a las redes inalámbricas (WLAN) y haga clic nuevo
• Ingrese la identificación, SSID y el nombre del perfil WLAN y el tecleo se aplica.
• Una vez en las configuraciones SSID bajo el interfaz/grupo de interfaces seleccione el interfaz de la capa 3 del VLA N del invitado.

• Bajo la Seguridad > capa 2 selectas ningunos y al lado de la filtración Mac ingresan el nombre de la lista de métodos del filtro Mac que usted configuró previamente (MacFilterMethod).
• Bajo tabulación del servidor de la Seguridad >AAA seleccione la autenticación adecuada y las listas de los métodos de contabilidad (ISE_Method).

• Bajo el permiso de la ficha Avanzadas permita la invalidación AAA y el estado NAC. El resto de las configuraciones se debe ajustar según los requisitos de cada despliegue (tiempo de espera de la sesión, exclusión del cliente, ayuda para las Extensiones de Aironet, etc). 

• Navegue a la ficha general fijan el estatus a activado. Entonces el golpe se aplica.

Reoriente la configuración ACL

Este ACL es referido por ISE más adelante al acceso-validar en respuesta a la petición inicial MAB. El NGWC lo utiliza para determinar qué tráfico a reorientar y qué tráfico se debe permitir a través.

• Navegue al > Security (Seguridad) de la configuración > al ACL > a las listas de control de acceso y el tecleo agrega nuevo.
• Seleccione extendido y ingrese el nombre ACL.
• Esta imagen muestra que un ejemplo de un típico reorienta el ACL:

Nota: La línea 10 es opcional. Esto se agrega generalmente para resolver problemas propone. Este ACL debe permitir el acceso al DHCP, los servicios DNS y también a los as del puerto de servidores ISE TCP 8443(Deny). El tráfico HTTP y HTTPS consigue reorientado (los as del permiso).

Configuración del comando line interface(cli)

Toda la configuración discutida en los pasos anteriores puede también ser aplicada con el CLI. 

802.1x global activado

dot1x system-auth-control

Configuración global AAA

aaa new-model
!
aaa authentication dot1x ISE_Method group ISE_Group
aaa authorization network ISE_Method group ISE_Group
aaa authorization network MacFilterMethod group ISE_Group
aaa accounting Identity ISE_Method start-stop group ISE_Group
!
aaa server radius dynamic-author
 client 14.36.157.210 server-key *****
 client 14.36.157.21 server-key *****
 auth-type any
!
radius server ISE1
 address ipv4 14.36.157.210 auth-port 1812 acct-port 1813
 timeout 5
 retransmit 2
 key *****
!
radius server ISE2
 address ipv4 14.36.157.21 auth-port 1812 acct-port 1813
 timeout 5
 retransmit 2
 key *****
!
!
aaa group server radius ISE_Group
 server name ISE2
 server name ISE1
 deadtime 10
 mac-delimiter colon
!

Configuración de Wlan

 wlan Guest 1 Guest
 aaa-override
 accounting-list ISE_Method
 client vlan VLAN0301
 mac-filtering MacFilterMethod
 nac
 no security wpa
 no security wpa akm dot1x
 no security wpa wpa2
 no security wpa wpa2 ciphers aes
 security dot1x authentication-list ISE_Method
 no security ft over-the-ds
 session-timeout 28800
 no shutdown

Reoriente el Ejemplo de ACL

3850#show ip access-lists Guest_Redirect
Extended IP access list Guest_Redirect
    10 deny icmp any any
    20 deny udp any any eq bootps
    30 deny udp any any eq bootpc
    40 deny udp any any eq domain
    50 deny tcp any host 14.36.157.210 eq 8443
    60 deny tcp any host 14.36.157.21 eq 8443
    70 permit tcp any any eq www
    80 permit tcp any any eq 443

Ayuda HTTP y HTTPS

3850#show run | inc http
ip http server
ip http secure-server

Nota: Si usted aplica un ACL para restringir el acceso al WLC sobre el HTTP, afecta al cambio de dirección.  

Configure ISE

 Esta sección describe la configuración requerida en ISE para utilizar todos los casos de las aplicaciones discutida en este documento.

Tareas de configuración comunes ISE

1. Ábrase una sesión a ISE y navegue a la administración > a los recursos de red > a los dispositivos de red y el tecleo agrega
2. Ingrese el nombre asociado al WLC y al IP address del dispositivo.
3. Controle el cuadro de las configuraciones de la autenticación de RADIUS y pulse el secreto compartido configurado en el lado WLC. Entonces haga clic someten.

       4. Navegue a la directiva > a la autenticación y bajo tecleo MAB corrija y asegure eso bajo uso: Las puntos finales internas la opción si no encuentran al usuario se fijan para continuar (debe estar allí por abandono).

Utilice el caso 1: CWA con la autenticación del invitado en cada conexión del usuario

Descripción del flujo

1. El usuario de red inalámbrica conecta con el invitado SSID.
2. WLC autentica la punto final basada en su dirección MAC usando ISE como servidor AAA.
3. Las devoluciones ISE apoyan y acceso-validan con dos pares de valores de atributos (AVPs): URL-reoriente y URL-reorientar-acl. Una vez que el WLC aplica este AVPs a la sesión de la punto final, las transiciones de la estación a DHCP-requerido y una vez que ase una dirección IP permanece en CENTRAL_WEB_AUTH. En este paso el WLC está listo para comenzar a reorientar el tráfico HTTP/de los https del cliente.
4. El usuario final abre al buscador Web y una vez que se genera el tráfico HTTP o HTTPS, el WLC reorienta al usuario al portal del invitado ISE.
5. Una vez que el usuario llega al portal del invitado incita para ingresar las credenciales del invitado (patrocinador-creadas en este caso).
6. Sobre las credenciales que la validación ISE visualiza la página AUP y una vez que el cliente valida, un tipo dinámico CoA Re-autentique se envía al WLC.
7. El WLC trata de nuevo la autenticación de filtración MAC sin la publicación de una de-autenticidad a la estación móvil. Esto debe ser inconsútil a la punto final.
8. Una vez que sucede el evento de la re-autenticación ISE evalúa de nuevo las directivas de la autorización y este vez la punto final se da un acceso del permiso puesto que había un evento acertado anterior de la autenticación del invitado.

Este proceso se relanza cada vez que el usuario conecta con el SSID.

Configuración

1. Navegue a ISE y navegue a los centros de trabajo > al acceso de invitado > configuran > los portales del invitado > seleccionan el portal patrocinado del invitado (o cree un nuevo tipo porta Patrocinar-invitado).
2. Conforme al registro del dispositivo del invitado las configuraciones uncheck todas las opciones y hacen clic la salvaguardia.

3. Navegue a la directiva > a los elementos de la directiva > a los resultados > a la autorización > a los perfiles de la autorización. Haga clic en Add (Agregar).

4. Este perfil se empuja hacia abajo al WLC el Reorientar-URL y el Reorientar-URL-ACL en respuesta a la petición inicial de puente de la autenticación del mac (MAB).

• Una vez la red centralizada selecta controlada del cambio de dirección de la red (CWA, MDM, NSP, CPP) auténtica, después pulsa el nombre de la reorientación ACL bajo campo ACL y bajo valor selecciona el invitado patrocinado Portal(default) (o cualquier otro portal específico creado en los pasos anteriores).

El perfil debe mirar similar el que está en esta imagen. Entonces haga clic la salvaguardia.

Los detalles del atributo en la parte inferior de la página el valor de atributo Pairs(AVPs) como son se empujen al WLC

5. Navegue a la directiva > a la autorización e inserte una nueva regla. Esta regla es la que acciona el proceso de la reorientación en respuesta a la petición inicial de la autenticación MAC de WLC. (En este caso llamado Wireless_Guest_Redirect).

6. Bajo condiciones elija la condición existente selecta de la biblioteca, después bajo condición compuesta selecta del nombre de condición. Seleccione una condición compuesta predefinida llamada Wireless_MAB.

Nota: Esta condición consiste en 2 atributos de RADIUS esperados en la forma originada petición del acceso el WLC (802.11 de NAS-Port-Type= IEEE <present en todo el requests> y tipo de servicio = llamada inalámbricos Check< que refiere a una petición específica un bypass> de la autenticación del mac)

7. Bajo resultados, estándar selecto > CWA_Redirect (perfil de la autorización creado en el paso anterior). Entonces haga clic hecho y salvaguardia

8. Navegue al final de la regla de CWA_Redirect y haga clic la flecha al lado de corrigen. Entonces seleccione el duplicado arriba.

9. Modifique el nombre pues ésta es la directiva que la punto final hace juego la sesión re-se autentica una vez sobre el CoA ISE (en este caso Wireless_Guest_Access).

10. Al lado de la condición compuesta de Wireless_MAB haga clic + símbolo para ampliar las condiciones y para el final del tecleo de la condición de Wireless_MAB agregue el atributo/el valor.

11. Bajo “atributo selecto” eligió el acceso a la red > el flujo del invitado de los iguales de UseCase

12. Bajo los permisos seleccione PermitAccess. Entonces haga clic hecho y salvaguardia

Las dos directivas deben parecer similares a esto:

Utilice el caso 2: CWA con el registro del dispositivo que aplica la autenticación del invitado una vez al día.

Descripción del flujo

1. El usuario de red inalámbrica conecta con el invitado SSID.
2. WLC autentica la punto final basada en su dirección MAC usando ISE como servidor AAA.
3. Las devoluciones ISE apoyan y acceso-validan con dos pares de valores de atributos (AVPs) (URL-reoriente y URL-reorientar-acl).
4. Una vez que el WLC aplica este AVPs a la sesión de la punto final, las transiciones de la estación a DHCP-requerido y una vez que ase una dirección IP permanece en CENTRAL_WEB_AUTH. En este paso el WLC está listo para comenzar a reorientar el tráfico HTTP/de los https del cliente.
5. El usuario final abre al buscador Web y una vez que se genera el tráfico HTTP o HTTPS, el WLC reorienta al usuario al portal del invitado ISE.
6. Una vez que el usuario llega al portal del invitado, él consigue incitado para ingresar las credenciales patrocinador-creadas.
7. Sobre la validación de las credenciales ISE agrega esta punto final a un grupo (preconfigurado) específico de la identidad de la punto final (registro del dispositivo).
8. Se visualiza la página AUP y una vez que el cliente valida, un tipo dinámico CoA Re-autentica. Se envía al WLC.
9. El WLC para tratar de nuevo la autenticación de filtración MAC sin la publicación de una de-autenticidad a la estación móvil. Esto debe ser inconsútil a la punto final.
10. Una vez que sucede el re evento de la autenticación ISE evalúa de nuevo las directivas de la autorización. Esta vez puesto que la punto final es miembro del grupo ISE de la identidad de la punto final de la derecha vuelve un acceso valida sin las restricciones.
11. Puesto que la punto final se ha registrado en el paso 6, cada vez que se vuelve ésa el usuario, a le se permite en la red hasta que se quite manualmente de ISE, o una directiva de la purgación de la punto final ejecuta vaciar las puntos finales que cumplen los criterios.

En este escenario de laboratorio, la autenticación se aplica una vez al día. el activador de la Re-autenticación es la directiva de la purgación de la punto final que quita todas las puntos finales de la identidad usada de la punto final agrupa cada día.

Nota: Es posible aplicar el evento de la autenticación del invitado basado el tiempo transcurrido desde la aceptación pasada AUP. Esto puede ser una opción si usted necesita aplicar el inicio del invitado más a menudo que una vez al día (en el ejemplo cada 4 horas).

Configuración

1. En ISE navegue a los centros > al acceso de invitado de trabajo > configuran > los portales del invitado > seleccionan el portal patrocinado del invitado (o cree un nuevo tipo porta Patrocinar-invitado).
2. Bajo configuraciones del registro del dispositivo del invitado verifique que la opción registre automáticamente al invitado que se controlan los dispositivos. Click Save.

3. Navegue al centro > al acceso de invitado de trabajo > configuran > los tipos del invitado o apenas hacen clic en el acceso directo especificado bajo configuraciones del registro del dispositivo del invitado en el portal.

4. Cuando el usuario del patrocinador crea una cuenta de invitado, él le asigna un tipo del invitado. Cada tipo individual del invitado puede tener una punto final registradoa que pertenezca a una diversa identidad Group.To de la punto final asigne al grupo de la identidad de la punto final que el dispositivo debe ser agregado a, seleccione el tipo del invitado las aplicaciones del patrocinador para estos Usuarios invitados (este caso del uso se basa en el semanario (valor por defecto)).   

5. Una vez en el tipo del invitado, bajo opciones de la clave seleccione al grupo de la punto final del grupo de la identidad de la punto final del menú desplegable para el registro del dispositivo del invitado

6. Navegue a la directiva > a los elementos de la directiva > a los resultados > a la autorización > a los perfiles de la autorización. Haga clic en Add (Agregar).

7. Este perfil se empuja hacia abajo al WLC el Reorientar-URL y el Reorientar-URL-ACL en respuesta a la petición inicial de puente de la autenticación del mac (MAB).

• Una vez la red centralizada selecta controlada del cambio de dirección de la red (CWA, MDM, NSP, CPP) auténtica, después pulsa el nombre de la reorientación ACL bajo campo ACL y bajo valor selecciona el portal creado para este flujo (CWA_DeviceRegistration).

8. Navegue a la directiva > a la autorización e inserte una nueva regla. Esta regla es la que acciona el proceso de la reorientación en respuesta a la petición inicial de la autenticación MAC de WLC. (En este caso llamado Wireless_Guest_Redirect).

9. Bajo condiciones eligió la condición existente selecta de la biblioteca, después bajo condición compuesta selecta del nombre de condición. Seleccione una condición compuesta predefinida llamada Wireless_MAB.

10. Bajo resultados, estándar selecto > CWA_DeviceRegistration (perfil de la autorización creado en el paso anterior). Entonces haga clic hecho y salvaguardia

11. Duplique la directiva arriba, modifique su nombre pues ésta es la directiva que la punto final golpea después de que vuelva del evento de la re-autenticación (llamado Wireless_Guest_Access).

12. Bajo detalles del grupo de la identidad encajone, grupo selecto de la identidad de la punto final y seleccione al grupo que usted se refirió bajo el invitado Type(GuestEndpoints).

13. Bajo resultados seleccione PermitAccess. Haga clic hecho y salve los cambios.

14. Cree y la directiva de la purgación de la punto final que borra el grupo de GuestEndpoint diario.

• Navegue a la administración > a la Administración de la identidad > a las configuraciones > a la purgación de la punto final
• Bajo reglas de la purgación debe haber una por abandono esa cancelacíon de GuestEndpoints de los activadores si el tiempo transcurrido es mayor de 30 días.
• Modifique la política existente para GuestEndpoints o cree un nuevo (en caso de que se ha quitado el valor por defecto). Observe que las directivas de la purgación funcionan con cada día al tiempo definido.

En este caso la condición es miembros de GuestEndpoints con los días transcurridos menos de 1 día

Utilice el caso 3: Portal de HostSpot

Descripción del flujo

1. El usuario de red inalámbrica conecta con el invitado SSID.
2. WLC autentica la punto final basada en su dirección MAC usando ISE como servidor AAA.
3. ISE vuelve detrás un acceso-validar con dos pares de valores de atributos (AVPs): URL-reoriente y URL-reorientar-acl.
4. Una vez que el WLC aplica este AVPs a la sesión de la punto final, las transiciones de la estación a DHCP-requerido y una vez que ase una dirección IP permanece en CENTRAL_WEB_AUTH. En este paso el WLC está listo para reorientar el tráfico HTTP/de los https del cliente.
5. El usuario final abre al buscador Web y una vez que se genera el tráfico HTTP o HTTPS, el WLC reorienta al usuario al portal del hotspot ISE.
6. Una vez en el portal incitan al usuario validar un Acceptable Use Policy.
7. ISE agrega la dirección MAC de la punto final (ID del punto final) en el grupo configurado de la identidad de la punto final.
8. La directiva mantiene el nodo (PSN) ese los procesos que la petición publica un tipo dinámico Admin-restauración CoA al WLC.
9. Una vez que el WLC acaba de procesar el CoA entrante, publica una de-autenticidad al cliente (la conexión es pérdida por el tiempo que toma para que se vuelva el cliente).
10. Una vez que el cliente vuelve a conectar, se crea una nueva sesión tan allí no es ninguna continuidad de la sesión en el lado ISE. Significa que la autenticación está procesada como nuevo subproceso.
11. Puesto que la punto final se agrega al grupo configurado de la identidad de la punto final, y hay una directiva de la autorización que controla si la punto final es parte de que agrupa, la nueva autenticación hace juego esta directiva. El resultado es de total acceso a la red del invitado.
12. El usuario no debe tener que validar el AUP otra vez a menos que el objeto de la identidad de la punto final se purgue de la base de datos ISE como resultado de una directiva de la purgación de la punto final.

Configuración

1. Cree a un nuevo grupo de la identidad de la punto final para mover estos dispositivos sobre al registro. Navegue a los centros > al acceso de invitado > a la identidad de trabajo agrupa > los grupos de la identidad de la punto final y hace clic.

• Ingrese un nombre del grupo (en este caso HotSpot_Endpoints). Agregue una descripción y no hay grupo de padre necesario.

2. Navegue a los centros > al acceso de invitado de trabajo > configuran > los portales del invitado > portal selecto del hotspot (valor por defecto).

3. Amplíe las configuraciones porta y bajo grupo selecto de HostSpot_Endpoints del grupo de la identidad de la punto final bajo grupo de la identidad de la punto final. Esto envía los dispositivos registrados al grupo especificado.

4. Salve los cambios.

5. Cree el perfil de la autorización que llama el portal del hotspot sobre la autenticación MAB originada por el WLC.

• Navegue a los elementos de la directiva > de la directiva > a los resultados > a la autorización > a los perfiles de la autorización y cree uno (HotSpotRedirect).
• El cambio de dirección de la red (CWA, MDM, NSP, CPP) es una vez selecto controlado hot spot, después pulsa el nombre de la reorientación ACL en el campo ACL (Guest_Redirect) y como un portal correcto selecto del valor (portal del hotspot (valor por defecto)).

6. Cree la directiva de la autorización que acciona el resultado de HotSpotRedirect por el requerimiento inicial MAB de WLC.

• Navegue a la directiva > a la autorización e inserte una nueva regla. Esta regla es la que acciona el proceso de la reorientación en respuesta a la petición inicial de la autenticación MAC de WLC. (En este caso llamado Wireless_HotSpot_Redirect).
• Bajo condiciones elija la condición existente selecta de la biblioteca, después bajo condición compuesta selecta del nombre de condición
• Bajo resultados, estándar selecto > HotSpotRedirect (perfil de la autorización creado en el paso anterior). Entonces haga clic hecho y salvaguardia

7. Cree la segunda directiva de la autorización.

• Duplique la directiva arriba, modifique su nombre pues ésta es la directiva que la punto final golpea después de que vuelva del evento de la re-autenticación (llamado Wireless_HotSpot_Access).
• Bajo detalles del grupo de la identidad encajone, grupo selecto de la identidad de la punto final y entonces el grupo que usted creó anterior (HotSpot_Endpoints).
• Bajo resultados seleccione PermitAccess. Haga clic hecho y salve los cambios.

8. Configure la directiva de la purgación que borra las puntos finales con mayores de 5 días de un tiempo transcurrido.

• Navegue a la administración > a la Administración de la identidad > a las configuraciones > a la purgación de la punto final y bajo purgación las reglas crean un nuevo.
• Bajo el cuadro de los detalles del grupo de la identidad seleccione el grupo > HotSpot_Endpoints de la identidad de la punto final
• Bajo tecleo de las condiciones cree la nueva condición (opción avanzada).
• Bajo atributo selecto elija ENDPOINTPURGE: ElapsedDays GREATERTHAN 5 días

Verificación

Utilice el caso 1

1. El usuario conecta con el invitado SSID.
2. Él abre al navegador y tan pronto como se genere el tráfico HTTP, se visualiza el portal del invitado.
3. Una vez que el Usuario invitado autentica y valida el AUP, se visualiza una página del éxito. 
4. Se envía un CoA de la Re-autenticidad (transparente al cliente).
5. La sesión de la punto final re-se autentica con el acceso total a la red.
6. Cualquier conexión subsiguiente del invitado tiene que pasar la autenticación del invitado antes de acceder a la red.

Flujo de los registros vivos ISE RADIUS:

Utilice el caso 2

1. El usuario conecta con el invitado SSID.
2. Él abre al navegador y tan pronto como se genere el tráfico HTTP, se visualiza el portal del invitado.
3. Una vez que el Usuario invitado autentica y valida el AUP, se registra el dispositivo.
4. Se visualiza una página del éxito y se envía un CoA de la Re-autenticidad (transparente al cliente).
5. La sesión de la punto final re-se autentica con el acceso total a la red.
6. Cualquier conexión subsiguiente 9s de la ráfaga permitió sin aplicar la autenticación del invitado mientras la punto final todavía esté en el grupo configurado de la identidad de la punto final.

Flujo de los registros vivos ISE RADIUS:

Utilice el caso 3

1. El usuario conecta con el invitado SSID.
2. Él abre al navegador y tan pronto como se genere el tráfico HTTP, se visualiza una página AUP.
3. Una vez que el Usuario invitado valida el AUP, se registra el dispositivo.
4. Se visualiza una página del éxito y se envía un CoA de la Admin-restauración (transparente al cliente).
5. La punto final vuelve a conectar con el acceso total a la red.
6. Cualquier conexión subsiguiente de la ráfaga se permite sin aplicar la aceptación AUP (a menos que se configura de otra manera) para mientras siga habiendo la punto final en el grupo configurado de la identidad de la punto final.

Transferencia local de FlexConnect en AireOS

Cuando se configura la transferencia local de FlexConnect la red Admin necesita asegurar eso:

• Reoriente el ACL se configura como FlexConnect ACL.
• Reoriente el ACL se ha aplicado como directiva cualquier manera con El AP sí mismo bajo tabulación de FlexConnect > WebAuthentication externo los ACL > las directivas > selecto reorientan el ACL y el tecleo se aplican

O agregando la directiva el ACL al grupo de FlexConnect pertenece a (la Tecnología inalámbrica > los grupos de FlexConnect > seleccionan el grupo correcto > la asignación > las directivas ACL seleccionan la reorientación ACL y el tecleo agregan)

La adición de la directiva ACL acciona el WLC para empujar el ACL configurado hacia abajo a los miembros AP del grupo de FlexConnect. El error hacer esto da lugar a una red reorienta el problema.

Decorado del No nativo-ancla

En el auto-ancla (no nativa – Los decorados del ancla) es importante destacar los hechos siguientes:

• Reoriente el ACL necesita ser definido en el no nativo y el ancla WLC. Incluso cuando se aplica solamente en el ancla.
• La autenticación de la capa 2 es manejada siempre por el WLC no nativo. Esto es crítico durante las fases de diseño (también para resolver problemas) como toda la autenticación de RADIUS y el tráfico que considera ocurre entre ISE y el WLC no nativo.

• La reorientación AVPs se aplica una vez a la sesión de cliente que el WLC no nativo pone al día a la sesión de cliente en el ancla a través de un mensaje de las manos de la movilidad.
• A este punto el ancla WLC comienza a aplicar la reorientación usando el Reorientar-ACL se ha preconfigurado que.
• Las estadísticas se deben apagar totalmente en el ancla WLC SSID para evitar las actualizaciones que consideran que van hacia ISE (que se refiere al mismo evento de la autenticación) que viene ambos del ancla y no nativo.
• Los ACL basados URL no se utilizan en los decorados del No nativo-ancla.

Troubleshooting

Estados rotos comunes en AireOS y el acceso convergido WLC

1. El cliente no puede unirse a al invitado SSID

Un “cliente de la demostración detalló xx: xx: xx: xx: xx: xx” revela que pegan al cliente en el COMIENZO. Esto es generalmente un indicador del WLC que no puede aplicar un atributo ese las devoluciones del servidor AAA. 

Verifique que el nombre de la reorientación ACL empujara por las coincidencias ISE exactamente el nombre del ACL predefinido en el WLC.

El mismo principio se aplica a cualquier otro atributo que usted ha configurado ISE para empujar hacia abajo al WLC (IDs del VLA N, nombres del interfaz, Airespace-ACL, etc). El cliente debe entonces transición al DHCP y entonces a CENTRAL_WEB_AUTH.

2. Reoriente AVPs se aplican a la sesión de cliente pero reorientan no está trabajando

Verifique que el estado del encargado de la directiva del cliente sea CENTRAL_WEB_AUTH con una dirección IP válida según el interfaz dinámico configurado para el SSID y también que la reorientación ACL y URL-reoriente los atributos se aplican a la sesión de cliente.

Reoriente el ACL

En AIreOS WLCs la reorientación ACL debe permitir explícitamente el tráfico que no debe ser reorientado, como el DNS e ISE en el puerto 8443 TCP en ambas direcciones y el implícitos niegan a IP cualquier cualquier activador el resto del tráfico que se reorientará.

En el acceso convergido la lógica es el contrario. Niegue los as que puentes reorientan mientras que el permiso ACEs los activadores la reorientación. Esta es la razón por la cual se recomienda para permitir explícitamente el puerto 80 y 443 TCP.

Verifique el acceso a ISE sobre el puerto 8443 del VLA N del invitado. Si todo parece bueno de la perspectiva de la configuración la manera más fácil de moverse adelante es asir una captura detrás del adaptador de red inalámbrica del cliente y verificar adonde la reorientación se rompe.

• ¿El resoultion DNS sucede?
• ¿El apretón de manos de la manera TCP 3 se acaba contra la página pedida?
• ¿El WLC vuelve una acción de la reorientación después de que el cliente inicie el CONSEGUIR?
• ¿El apretón de manos de la manera TCP 3 contra ISE sobre 8443 se completa?

3. El cliente no puede tener acceso a la red después de ISE empujó un cambio del VLA N en el final del flujo del invitado

Una vez que el cliente asió una dirección IP al principio del flujo (pre reoriente el estado), si un cambio del VLA N se empuja hacia abajo después de que suceda la autenticación del invitado (CoA del poste re-autentique), la única forma de forzar una versión del DHCP/renueva en el invitado que el flujo (sin el agente de la postura) está a través de un Java applet que en los dispositivos móviles no trabaja.

Esto deja el cliente negro-agujereado en el VLA N X con una dirección IP del VLAN Y. Esto debe ser considerada mientras que planea la solución.

4. ISE muestra el “error interno HTTP 500, mensaje no encontrado de la sesión del radio” en el invitado que el navegador de cliente durante reorienta

Esto es generalmente un indicador de la pérdida de la sesión en ISE (se ha terminado la sesión). La mayoría de las razones comunes para esto están considerando configuraron en el ancla WLC cuando se ha desplegado el No nativo-ancla.  Para fijar estas estadísticas de la neutralización en el ancla y dejar la autenticación y las estadísticas no nativas de la manija.

  5. Las desconexiones del cliente y siguen siendo disconnected o conectan con un diverso SSID después de validar el AUP en el portal del hotspot ISE.

Esto se puede esperar en el hotspot debido al cambio dinámico de la autorización (CoA) implicado en este flujo (CoA Admin reajustado) ese las causas el WLC para publicar un deauth a la estación inalámbrica. La mayoría de los puntos finales de red inalámbrica no tiene ninguna problemas a volver al SSID después de que suceda la de-autenticidad, pero el cliente conecta en algunos casos con otro SSID preferido en respuesta al de-authenitcate event. Nada se puede hacer de ISE o de WLC para prevenir esto como incumbe al cliente de red inalámbrica a pegarse al SSID original, o para conectar con otro SSID (preferido) disponible.

En este caso el usuario de red inalámbrica debe conectar manualmente de nuevo al hotspot SSID.

AireOS WLC

(Cisco Controller) >debug client <MAC addr>  

El cliente de la depuración fija PARA PONER A PUNTO un conjunto de los componentes implicados en los cambios de la máquina de estado del cliente.

(Cisco Controller) >show debug

MAC Addr 1.................................. AA:AA:AA:AA:AA:AA

Debug Flags Enabled:
  dhcp packet enabled.
  dot11 mobile enabled.
  dot11 state enabled
  dot1x events enabled.
  dot1x states enabled.
  mobility client handoff enabled.
  pem events enabled.
  pem state enabled.
  802.11r event debug enabled.
  802.11w event debug enabled.
  CCKM client debug enabled.

Componentes AAA de la depuración

(Cisco Controller) >debug aaa {events, detail and packets} enable 

Éste puede ser recursos del impacto dependiendo de la cantidad de usuarios que conecten con MAB o Dot1X SSID.  Estos componentes en el nivel de la DEPURACIÓN registran las transacciones AAA entre WLC e ISE e imprimen los paquetes RADIUS en la pantalla.

Esto es crítico si usted que ISE puede no entregar los atributos previstos, o si el WLC no los procesa correctamente.   

La red-Auth reorienta

(Cisco Controller) >debug web-auth redirect enable mac aa:aa:aa:aa:aa:aa

Esto se puede utilizar para verificar que el WLC está accionando con éxito la reorientación. Éste es un ejemplo de cómo la reorientación debe parecer de las depuraciones:

*webauthRedirect: Jul 07 19:18:08.035: 68:7f:74:72:18:2e-  parser host is 10.10.10.10
*webauthRedirect: Jul 07 19:18:08.035: 68:7f:74:72:18:2e- parser path is /
*webauthRedirect: Jul 07 19:18:08.035: 68:7f:74:72:18:2e- added redirect=, URL is now https://TORISE21A.RTPAAA.NET:8443/portal/gateway?sessionId=0e249a0500000682577ee2a2&portal=9fc44212-2da2-11e6-a5e2-005056a15f11&action=cwa&to
*webauthRedirect: Jul 07 19:18:08.035: 68:7f:74:72:18:2e- str1 is now https://TORISE21A.RTPAAA.NET:8443/portal/gateway?sessionId=0e249a0500000682577ee2a2&portal=9fc44212-2da2-11e6-a5e2-005056a15f11&action=cwa&token=c455b075d20c
*webauthRedirect: Jul 07 19:18:08.035: 68:7f:74:72:18:2e- clen string is Content-Length: 430


*webauthRedirect: Jul 07 19:18:08.035: 68:7f:74:72:18:2e- Message to be sent is
 HTTP/1.1 200 OK
Location: https://TORISE21A.RTPAAA.NET:8443/portal/gateway?sessionId=0e249a0500000682577ee2a2&portal=9fc44212-2da2-11e6-a5e2-0050

NGWC

El cliente de la depuración fija PARA PONER A PUNTO un conjunto de los componentes implicados en los cambios de la máquina de estado del cliente.

3850#debug client mac-address <client MAC>

Este componente imprime los paquetes RADIUS (autenticación y las estadísticas) en la pantalla. Esto es práctico cuando usted necesita verificar que ISE entregue el AVPs derecho y también verificar que el CoA se está enviando y se está procesando correctamente.

3850#debug radius

Esto todas las transiciones AAA (autenticación, autorización y estadísticas) donde están implicados los clientes de red inalámbrica. Esto es crítico verificar que WLC analiza correctamente el AVPs y los aplica a la sesión de cliente.

3850#debug aaa wireless all

Esto puede activado cuando usted sospecha un problema de la reorientación en el NGWC.

3850#debug epm plugin redirect all
3850#debug ip http transactions
3850#debug ip http url

ISE

Registros vivos RADIUS 

Verifique que la petición inicial MAB se haya procesado correctamente en ISE y ese ISE echa los atributos atrás previstos. Navegue a las operaciones > al RADIUS > los registros vivos y filtre la salida usando el cliente MAC bajo ID del punto final. Una vez que se encuentra el evento de la autenticación, haga clic en los detalles y después verifique los resultados empujados como parte del validar.

TCPDump

Esta característica puede ser utilizada cuando una mirada más profunda en el intercambio del paquete RADIUS entre ISE y el WLC es necesaria. Esta manera usted puede probar que ISE envía los atributos correctos en el acceso-validar sin tener que activar las depuraciones en el lado WLC. Para comenzar una captura usando TCDDump para navegar a las operaciones > al Troubleshooting > a las herramientas >General > a TCPDump de las herramientas de diagnóstico. 

 Éste es un ejemplo de un flujo correcto capturado con TCPDump

Aquí está el AVPs enviado en respuesta a la petición inicial MAB (segundo paquete en el tiro de pantalla antedicho). 

RADIUS Protocol
    Code: Access-Accept (2)
    Packet identifier: 0x0 (0)
    Length: 401
    Authenticator: f1eaaffcfaa240270b885a9ba8ccd06d
    [This is a response to a request in frame 1]
    [Time from request: 0.214509000 seconds]
    Attribute Value Pairs
        AVP: l=19 t=User-Name(1): 00-05-4E-41-19-FC
        AVP: l=40 t=State(24): 52656175746853657373696f6e3a30653234396130353030...
        AVP: l=55 t=Class(25): 434143533a30653234396130353030303030616130353536...
        AVP: l=37 t=Vendor-Specific(26) v=ciscoSystems(9)
            VSA: l=31 t=Cisco-AVPair(1): url-redirect-acl=Gues_Redirect
        AVP: l=195 t=Vendor-Specific(26) v=ciscoSystems(9)
            VSA: l=189 t=Cisco-AVPair(1): url-redirect=https://ise21a.rtpaaa.net:8443/portal/gateway?sessionId=0e249a0500000aa05565e1c9&portal=194a5780-5e4e-11e4-b905-005056bf2f0a&action=cwa&token=c6c8a6b0d683ea0c650282b4372a7622
        AVP: l=35 t=Vendor-Specific(26) v=ciscoSystems(9)

 Depuraciones de la punto final:

Si usted necesita zambullirse más profundo en los procesos ISE que implican las decisiones de políticas, la selección porta, la autenticación del invitado, el CoA que dirige, el etc la manera más fácil de acercarse a esto es activar las depuraciones de Endpoit en vez de tener que fijar los componentes completos para poner a punto el nivel.

Para activar esto, navegue a las operaciones > al troubleshooting > a DiagnosticTools > las herramientas > depuración generales de la punto final. 

Una vez en la punto final ponga a punto la página, ingrese el MAC address de la punto final y haga clic el comienzo cuando está listo para reconstruir el problema. 

La depuración se ha parado una vez hace clic en el link que identifica el ID del punto final para descargar la salida de la depuración. 

Información Relacionada

TAC recomendó las estructuras de AireOS

Guía de configuración inalámbrica del regulador de Cisco, versión 8.0.

Guía de administrador del Cisco Identity Services Engine, 2.1 de la versión

Configuración de red inalámbrica universal NGWC con el Identity Services Engine