中央 Web 認証について
中央 Web 認証では、Web ポータルとして機能する中央デバイス(この例では ISE)を配置することができます。通常のローカル Web 認証と比較した場合の主な相違点は、MAC フィルタリングまたは dot1x 認証に伴ってレイヤ 2 にシフトされることです。また、RADIUS サーバー(この例では ISE)が、スイッチに対して Web リダイレクションの必要性を指示する特別な属性を返す点も異なります。このソリューションにより、Web 認証を開始する際の遅延が解消されます。
クライアントステーションの MAC アドレスがグローバルに RADIUS サーバーに知られていない場合(ただし他の基準を使用することも可能)、サーバーはリダイレクション属性を返し、 組み込みワイヤレスコントローラは(MAC フィルタリングを使用して)ステーションを認可しますが、Web トラフィックをポータルへリダイレクトするためのアクセスリストを配置します。
ユーザがゲスト ポータルへログインすると、クライアントの再認証が可能になり、認可変更(CoA)を使用する新しいレイヤ 2 MAC フィルタリングが行われます。これにより、ISE が Web 認証ユーザーだったことが ISE によって記憶され、ISE は、ネットワークにアクセスするために必要な許可属性を 組み込みワイヤレスコントローラにプッシュします。
中央 Web 認証の前提条件
-
Cisco Identity Services Engine(ISE)