Inleiding
Mobiele apparaten worden steeds krachtiger en populairder onder consumenten. Miljoenen van deze apparaten worden verkocht aan consumenten met snelle Wi-Fi zodat gebruikers kunnen communiceren en samenwerken. Consumenten zijn nu gewend aan de productiviteitsverbetering die deze mobiele apparaten in hun leven brengen en proberen hun persoonlijke ervaring op de werkplek te krijgen. Dit creëert de functionaliteit behoeften van een Bring Your Ewn Devices (BYOD)-oplossing op de werkplek.
Dit document biedt de installatie van de tak voor de BYOD-oplossing. Een medewerker verbindt zich met een identificatie van de bedrijfsservice (SSID) door middel van zijn/haar nieuwe iPad en wordt doorverwezen naar een portal voor zelfregistratie. De Cisco Identity Services Engine (ISE) authenticeert de gebruiker tegen de corporate Active Directory (AD) en downloads een certificaat met een ingesloten iPad MAC-adres en gebruikersnaam voor de iPad, samen met een flexibel profiel dat het gebruik van de Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) als methode voor dot1x connectiviteit afdwingt. Op basis van het vergunningsbeleid in ISE kan de gebruiker zich dan aansluiten bij het gebruik van punt1x en toegang krijgen tot de juiste middelen.
ISE-functies in Cisco draadloze LAN-controllersoftwarereleases die eerder waren dan 7.2.10.0 ondersteunen geen lokale switching-clients die worden geassocieerd met FlexConnect access points (AP’s). release 7.2.10.0 ondersteunt deze ISE-functies voor FlexConnect APs voor lokale switching en centraal geauthenticeerde klanten. Bovendien biedt release 7.2.110.0, geïntegreerd in ISE 1.1.1, deze BYOD-oplossingsfuncties (maar niet beperkt tot) voor draadloze verbindingen:
- Apparaatprofilering en postuur
- Apparaatregistratie en levering
- Inhouding van persoonlijke hulpmiddelen (iOS- of Android-apparatuur)
Opmerking: Hoewel ondersteund, zijn andere apparaten, zoals PC- of Mac draadloze laptops en werkstations, niet in deze handleiding opgenomen.
Voorwaarden
Vereisten
Er zijn geen specifieke vereisten van toepassing op dit document.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Cisco Catalyst 9200-switches
- Cisco draadloze LAN-controllers (WLAN)
- Cisco WLAN-controller (WLC) softwarerelease 7.2.10.0 en later
- 802.11n APs in FlexConnect-modus
- Cisco ISE-softwarerelease 1.1 en hoger
- Windows 2008 AD met certificaatinstantie (CA)
- DHCP-server
- Domain Name System (DNS)-server
- Network Time Protocol (NTP)
- Draadloze client-laptop, smartphone en tabletten (Apple iOS, Android, Windows en Mac)
Opmerking: Raadpleeg Releaseopmerkingen voor Cisco draadloze LAN-controllers en lichtgewicht access points voor release 7.2.10.0 voor belangrijke informatie over deze softwarerelease. Meld u aan bij de Cisco.com-site voor de laatste releases voordat u de software laadt en test.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Topologie
Er is een minimale netwerkinstelling nodig, zoals in dit diagram wordt getoond, om deze functies correct te kunnen implementeren en testen:

Voor deze simulatie hebt u een netwerk nodig met een FlexConnect AP, een lokale/externe site met lokale DHCP, DNS, WLC en ISE. FlexConnect AP wordt aangesloten op een stam om lokale omschakeling met meerdere VLANs te testen.
Apparaatregistratie en -provisioning
Een voorziening moet worden geregistreerd zodat de oorspronkelijke leverancier kan voorzien in de verificatie van dot1x. Gebaseerd op het juiste authentificatiebeleid, wordt de gebruiker opnieuw gericht naar de gastpagina en voor authentiek verklaard door werknemersgeloofsbrieven. De gebruiker ziet de pagina voor de registratie van het apparaat, waarin om informatie over het apparaat wordt gevraagd. Het voorziening van het apparaat begint dan. Als het besturingssysteem niet wordt ondersteund voor provisioning, wordt de gebruiker opnieuw gericht naar het Asset Registration Portal, om dat apparaat te markeren voor MAC-verificatie Bypass (MAB)-toegang. Als het besturingssysteem wordt ondersteund, wordt het inlogproces gestart en vormt u de inheemse applicatie van het apparaat voor de dot1x-verificatie.
Asset Registration Portal
Het Asset Registration Portal is het onderdeel van het ISE-platform dat werknemers in staat stelt om het instappen van endpoints te initiëren door middel van een authenticatie- en registratieproces.
De beheerders kunnen activa van de pagina van eindpunten identiteiten wissen. Elke werknemer kan de door hem geregistreerde activa bewerken, verwijderen en zwart maken. Blacklist-endpoints worden toegewezen aan een groep mensen die op een zwarte lijst staan, en er wordt een vergunningenbeleid ontwikkeld om netwerktoegang te voorkomen voor op een zwarte lijst geplaatste endpoints.
Portal voor zelfregistratie
In de flow Central Web Authentication (CWA) worden de werknemers omgeleid naar een portal waar ze hun geloofsbrieven kunnen invoeren, authenticeren en de specificaties van het specifieke activum invoeren dat ze willen registreren. Dit portaal wordt het selfprovisioningportal genoemd en is vergelijkbaar met het apparaatregistratieportal. Het stelt de werknemers in staat om het MAC-adres in te voeren evenals een zinvolle omschrijving van het eindpunt.
Verificatie en provisioning
Zodra werknemers het Portal voor zelfregistratie selecteren, worden ze aangevochten om een reeks geldige werknemersgeloofsbrieven te verstrekken om naar de leveringsfase te gaan. Na succesvolle verificatie kan het eindpunt in de endpoints-database worden opgeslagen, en wordt een certificaat gegenereerd voor het eindpunt. Een link op de pagina stelt de werknemer in staat om de Suppliant Pilot Wizard (SPW) te downloaden.
Opmerking: Raadpleeg het artikel FlexConnect functiekaart van Cisco om de nieuwste FlexConnect-functiekaart voor BYOD te bekijken.
Provisioning voor iOS (iPhone/iPad/iPod)
Voor de configuratie van EAP-TLS volgt ISE het proces van de over-lucht (OTA)-inschrijving van Apple:
- Na succesvolle authenticatie evalueert de evaluatiemotor het cliëntenprovisioningbeleid, wat leidt tot een aanscherpend profiel.
- Als het aanleverprofiel voor de instelling van het MAP-TLS is, bepaalt het OTA-proces of de ISE zelf ondertekend is of door een onbekend CA ondertekend. Als een van de voorwaarden waar is, wordt de gebruiker gevraagd het certificaat van ISE of CA te downloaden voordat het registratieproces kan starten.
- Voor andere MAP-methoden wordt het uiteindelijke profiel door ISE aangescherpt bij succesvolle authenticatie.
Provisioning voor Android
Vanwege veiligheidsoverwegingen moet de Android agent gedownload worden van de website van de Android-markt en kan deze niet van ISE voorzien worden. Cisco uploadt een versie van de wizard voor de release van de wizard naar de Android-markt via de Cisco Android-account voor de uitgeverij van een marktplaats.
Dit is het Android-provisioningproces:
- Cisco gebruikt de Software Development Kit (SDK) om het Android-pakket met een .apk-extensie te maken.
- Cisco uploadt een pakket naar de Android-markt.
- De gebruiker vormt het beleid in clientvoorziening met de juiste parameters.
- Nadat het apparaat is geregistreerd, wordt de eindgebruiker naar de klantenvoorzieningsdienst verwezen wanneer dot1x-verificatie mislukt.
- De pagina met het provisioningportal biedt een knop om gebruikers te sturen naar het Android-marktplein waar ze de SPW kunnen downloaden.
- Het Cisco SPW wordt gestart en voert provisioning uit van de leverancier:
- SPW ontdekt de ISE en downloads het profiel van ISE.
- SPW creëert een cert/een sleutelpaar voor EAP-TLS.
- SPW doet een verzoek om een Eenvoudig certificaatinschrijving op het protocol (SCEP) en krijgt het certificaat.
- SPW past de draadloze profielen toe.
- SPW zorgt voor herauthenticatie als de profielen succesvol worden toegepast.
- SPW-uitgangen.
Dubbele SSID draadloze BYOD-zelfregistratie
Dit is het proces voor dubbele SSID draadloze BYOD-zelfregistratie:
- De gebruiker heeft de Guest SSID gekoppeld.
- De gebruiker opent een browser en wordt naar het ISE CWA Guest Portal opnieuw gericht.
- De gebruiker voert een gebruikersnaam en wachtwoord in in het Guest Portal.
- ISE authenticeert de gebruiker, en, op basis van het feit dat ze een werknemer en niet een gast zijn, wijst de gebruiker terug naar de de gastenpagina van de Registratie van het apparaat van de Werknemer.
- Het MAC-adres is vooraf ingevuld in de gastenpagina van de apparaatregistratie voor de machine-ID. De gebruiker geeft een beschrijving en accepteert indien nodig het Aanvaardbare Gebruiksbeleid (AUP).
- De gebruiker selecteert Accept en begint de SPW te downloaden en te installeren.
- De leverancier van het apparaat van die gebruiker is voorzien van alle certificaten.
- CoA treedt op, en het apparaat heeft zich opnieuw bij de SSID (CORP) van de onderneming aangesloten en is authentiek met EAP-TLS (of een andere autorisatiemethode in gebruik voor die aanvrager).
Enkelvoudige SSID voor draadloze BYOD-zelfregistratie
In dit scenario is er één SSID voor corporate Access (CORP) dat zowel Protected Extensible Verification Protocol (PEAP) als EAP-TLS ondersteunt. Er is geen Guest SSID.
Dit is het proces voor één SSID draadloze BYOD-zelfregistratie:
- De gebruiker associeert met CORP.
- De gebruiker voert een gebruikersnaam en wachtwoord in in de aanvrager voor de PEAP-verificatie.
- ISE authenticeert de gebruiker en biedt, op basis van de PEAP methode, een autorisatiebeleid om te accepteren met een regelafstand naar de gastenpagina voor apparaatregistratie van werknemers.
- De gebruiker opent een browser en wordt naar de gastenpagina van de Registratie van het apparaat van de Werknemer opnieuw gericht.
- Het MAC-adres is vooraf ingevuld in de gastenpagina van de apparaatregistratie voor de machine-ID. De gebruiker geeft een beschrijving en accepteert de AUP.
- De gebruiker selecteert Accept en begint de SPW te downloaden en te installeren.
- De leverancier van het apparaat van die gebruiker is voorzien van alle certificaten.
- CoA komt voor, en het apparaat herassocieert aan CORP SSID en verklaart authentiek met EAP-TLS.
Configuratie van functies
Voltooi deze stappen om de configuratie te starten:
- Zorg er voor dat de WLC-versie in dit geval 7.2.10.0 of hoger is.

- Navigeer naar Security > RADIUS > Verificatie en voeg de RADIUS-server toe aan de WLC.

- Voeg ISE 1.1.1 toe aan de WLC:
- Voer een gedeeld geheim in.
- Stel ondersteuning voor RFC 3576 in op Ingeschakeld.

- Voeg dezelfde ISE-server toe als een RADIUS-accounting server.

- Maak een WLC Pre-Auth ACL om in het ISE beleid later te gebruiken. Navigeer naar WLC > Security > Toegangscontrolelijsten > FlexConnect ACL’s en maakte een nieuwe FlexConnect ACL genaamd ACL-REDIRECT (in dit voorbeeld).

- In de ACL-regels staat al het verkeer naar/van ISE toe en staat clientverkeer toe tijdens levering.
- Voor de eerste regel (volgorde 1):
- Bron op Any.
- Stel IP (ISE-adres)/NetMash 255.255.255.255 in.
- Actie instellen op Vergunning.

- Voor de tweede regel (sequentie 2), stel bron IP (ISE-adres)/masker 255.255.255.255 in op Any en Action to Permit.

- Maak een nieuwe FlexConnect Group met de naam Flex1 (in dit voorbeeld):
- Blader naar FlexConnect Group > tabblad Webexbeleid.
- Klik onder het veld WebexPolicy ACL op Add en selecteer ACL-REDIRECT of FlexConnect ACL die eerder is gemaakt.
- Bevestig dat het het veld WebexPolicy Access Control Lists vult.

- Klik op Toepassen en Opslaan.
WLAN-configuratie
Voltooi deze stappen om de WLAN-functie te configureren:
- Maak een open WLAN-SSID voor het dubbele SSID-voorbeeld:
- Voer een WLAN-naam in: DemoCWA (in dit voorbeeld).
- Selecteer de optie Ingeschakeld voor status.

- Navigeer naar het tabblad Beveiliging > Layer 2 tabblad en stel deze eigenschappen in:
- Layer 2 security: None
- MAC-filtering: Ingeschakeld (het vakje is ingeschakeld)
- Snelle overgang: Uitgeschakeld (het vakje is niet afgevinkt)

- Ga naar het tabblad AAA-servers en stel deze eigenschappen in:
- Verificatie en accountservers: Ingeschakeld
- Server 1: <ISE IP-adres>

- Scrolt neer uit het tabblad AAA-servers. Zorg er onder Verificatieprioriteit voor webauth-gebruiker voor dat RADIUS wordt gebruikt voor verificatie en dat de andere niet worden gebruikt.

- Ga naar het tabblad Geavanceerd en stel deze eigenschappen in:
- AAA-negeren toestaan: Ingeschakeld
- NAC-staat: Radius NAC

Opmerking: RADIUS Network Admission Control (NAC) wordt niet ondersteund wanneer FlexConnect AP in losgemaakte modus is. Dus als FlexConnect AP in standalone modus is en verbinding met WLC verliest, worden alle klanten losgekoppeld en wordt SSID niet langer geadverteerd.
- Scrolt neer in het tabblad Geavanceerd en stel FlexConnect Local Switching in op Enabled.

- Klik op Toepassen en Opslaan.

- Maak een 802.1X WLAN-SSID met de naam Demo1x (in dit voorbeeld) voor één en dubbele SSID-scenario's.

- Navigeer naar het tabblad Beveiliging > Layer 2 tabblad en stel deze eigenschappen in:
- Layer 2 security: WAP+WAP2
- Snelle overgang: Uitgeschakeld (het vakje is niet afgevinkt)
- Verificatiebelangrijk beheer: 802.lX: inschakelen

- Ga naar het tabblad Geavanceerd en stel deze eigenschappen in:
- AAA-negeren toestaan: Ingeschakeld
- NAC-staat: Radius NAC

- Scrolt neer in het tabblad Geavanceerd en stel FlexConnect Local Switching in op Enabled.

- Klik op Toepassen en Opslaan.

- Bevestig dat beide nieuwe WLAN’s zijn gecreëerd.

FlexConnect AP-configuratie
Voltooi deze stappen om FlexConnect te configureren:
- Blader naar WLC > Wireless en klik op de FlexConnect AP.

- Klik op het tabblad FlexConnect.

- Schakel VLAN-ondersteuning in (hiervoor is ingeschakeld), stel de Native VLAN-id in en klik op VLAN-koppelingen.

- Stel de VLAN ID in op 21 (in dit voorbeeld) voor SSID voor lokale switching.

- Klik op Toepassen en Opslaan.
ISE-configuratie
Volg deze stappen om ISE te configureren:
- Inloggen op de ISE-server: <https://ise>.

- Navigeren naar Administratie > identiteitsbeheer > Externe identiteitsbronnen.

- Klik op Actieve map.

- In het tabblad Verbinding:
- Voeg de Domain Name van corp.rf-demo.com toe (in dit voorbeeld) en verander de standaard Identity Store Name in AD1.
- Klik op Configuratie opslaan.
- Klik op Samenvoegen en voer de gebruikersnaam voor de AD-Administrator-account en het wachtwoord in dat vereist is om mee te doen.
- De status moet groen zijn. Schakel verbindingen in op: (dit vakje is ingeschakeld).

- Voer een basisverbindingstest uit met de AD met een huidige domeingebruiker.

- Als de verbinding met de AD succesvol is, bevestigt een dialoog dat het wachtwoord juist is.

- Navigeren naar Administratie > identiteitsbeheer > Externe identiteitsbronnen:
- Klik op certificaatverificatieprofiel.
- Klik op Add voor een nieuw certificaatverificatieprofiel (CAP).

- Voer een naam van CertAuth in (in dit voorbeeld) voor het GLB; voor de hoofdnaam X509, selecteer Gemeenschappelijke naam; Klik vervolgens op Inzenden.

- Bevestig dat het nieuwe GLB wordt toegevoegd.

- Navigeer naar Administratie > identiteitsbeheer > Vereveningen van Identity Bron en klik op Add.

- Geef de sequentie een naam van TestSequence (in dit voorbeeld).

- Scrolt naar certificaatgebaseerde verificatie:
- Selecteer certificaatverificatieprofiel inschakelen (dit vakje is ingeschakeld).
- Selecteer CertAuth (of een ander eerder gemaakt CAP-profiel).

- Naar verificatiezoeklijst bladeren:
- Verplaats AD1 van Beschikbaar naar geselecteerd.
- Klik op de knop omhoog om AD1 naar de hoogste prioriteit te verplaatsen.

- Klik op Inzenden om op te slaan.

- Bevestig dat de nieuwe reeks Identity Source Sequence wordt toegevoegd.

- Gebruik de AD om het My Devices Portal te authentiseren. Navigeer naar ISE > Administration > Identity Management > Identity Source sequence en bewerk MyDevices_Portal_Sequence.

- Voeg AD1 toe aan de Geselecteerde lijst en klik op de knop omhoog om AD1 naar de hoogste prioriteit te verplaatsen.

- Klik op Opslaan.

- Bevestig dat de sequentie Identity Store voor MyDevices_Portal_Sequence AD1 bevat.

- Herhaal stappen 16-19 om AD1 toe te voegen voor Guest_Portal_Sequence, en klik op Opslaan.

- Bevestig dat Guest_Portal_Sequence AD1 bevat.

- Als u de WLC aan Network Access Devices (WLC) wilt toevoegen, navigeer dan naar Beheer > Netwerkbronnen > Netwerkapparaten en klik op Add.

- Voeg de naam van WLC, IP adres, Subnetmasker toe, enz.

- Scrolt naar verificatie-instellingen en voer het gedeelde geheim in. Dit moet overeenkomen met het gedeelde geheim van de WLC RADIUS.

- Klik op Inzenden.
- Navigeer naar ISE > Policy > Policy Elementen > Resultaten.

- Resultaten en autorisatie uitvouwen, op autorisatieprofielen klikken en op Toevoegen voor een nieuw profiel klikken.

- Geef dit profiel deze waarden:
- Name: CWA

- Webverificatie inschakelen (dit vakje is ingeschakeld):
- Web verificatie: Gecentraliseerd
- ACL: ACL-REDIRECT (Dit moet overeenkomen met de WLC-naam van voor de auth ACL.)
- Ombuigen: Standaard

- Klik op Indienen en bevestig dat het CWA-goedkeuringsprofiel is toegevoegd.

- Klik op Add om een nieuw autorisatieprofiel te maken.

- Geef dit profiel deze waarden:
- Name: bepaling

- Webverificatie inschakelen (dit vakje is ingeschakeld):
- Web verificatie waarde: Provisioning

- ACL: ACL-REDIRECT (Dit moet overeenkomen met de WLC-naam van voor de auth ACL.)

- Klik op Indienen en bevestig dat het vergunningenprofiel voor levering is toegevoegd.

- Scrolt naar beneden in Resultaten, breid Clientprovisioning uit en klik op Resources.

- Selecteer Native Supplicant Profile.

- Geef het profiel een naam van WirelessSP (in dit voorbeeld).

- Voer deze waarden in:
- Type verbinding: Draadloos
- SSID: Demo1x (deze waarde is van de WLC 802.1x WLAN-configuratie)
- Toegestaan protocol: TLS
- Sleutelgrootte: 1024

- Klik op Inzenden.
- Klik op Opslaan.

- Bevestig dat het nieuwe profiel is toegevoegd.

- Navigeer naar beleid > Clientprovisioning.

- Voer deze waarden in voor de leveringsregel van iOS-apparaten:
- Naam regel: iOS
- Identiteitsgroepen: Alle

- Besturingssystemen: Mac iOS All

- Resultaten: WirelessSP (dit is het oudere inheemse profiel)

- Navigeer naar Resultaten > Wizard Profile (vervolgkeuzelijst) > WirelessSP.


- Bevestig dat het iOS-provisioningprofiel is toegevoegd.

- Aan de rechterkant van de eerste regel plaatst u de vervolgkeuzelijst Handelingen en selecteert u Duplicaat hieronder (of hoger).

- Verander de naam van de nieuwe regel in Android.

- Wijzig de besturingssystemen in Android.

- Laat andere waarden ongewijzigd.
- Klik op Opslaan (linker benedenscherm).

- Navigeer naar ISE > Policy > Verificatie.

- Wijzig de conditie om Wireless_MAB op te nemen en Wired_MAB uit te vouwen.

- Klik op de vervolgkeuzelijst Naam conditioner.

- Selecteer Woordenboeken > Samengestelde voorwaarde.

- Selecteer Wireless_MAB.

- Selecteer de pijl die u wilt uitvouwen.

- Selecteer deze waarden in de vervolgkeuzelijst.
- Identiteitsbron: TestSequence (dit is de waarde die eerder is gemaakt)
- Indien authenticatie faalde: afwijzen
- Indien gebruiker niet gevonden: Doorgaan
- Als het proces is mislukt: druppel

- Ga naar de Dot1X regel en verander deze waarden:

- Klik op Opslaan.

- Navigeer naar ISE > Policy > Authorization.

- Standaard regels (zoals standaard zwarte lijst, profiel en standaard) worden al uit de installatie ingesteld. de eerste twee kunnen worden genegeerd; De standaard regel wordt later bewerkt.

- Rechts van de tweede regel (Gecertificeerde Cisco IP-telefoons) klikt u op het pijltje onder bij Bewerken en vervolgens selecteert u Nieuwe regel invoegen hieronder.

Er wordt een nieuwe standaardregel # toegevoegd.

- Verander de regelnaam van standaardregel # in OpenCWA. Deze regel initieert het registratieproces op het open WLAN (dubbele SSID) voor gebruikers die naar het gastnetwerk komen om apparaten provisioneerd te hebben.

- Klik op het plusteken (+) voor conditionering(en) en klik op Bestaande conditionering uit bibliotheek selecteren.

- Selecteer Samengestelde voorwaarden > Wireless_MAB.

- Klik in het AuthZ Profile op het plusteken (+) en selecteer Standaard.

- Selecteer de standaard CWA (dit is het machtigingsprofiel dat eerder is gemaakt).

- Bevestig dat de regel met de juiste voorwaarden en vergunning is toegevoegd.

- Klik op Gereed (aan de rechterkant van de regel).

- Klik rechts van de zelfde regel op de benedenpijl naast Bewerken en selecteer Nieuwe regel invoegen hieronder.

- Verander de regelnaam van standaardregel # in PEAPregel (in dit voorbeeld). Deze regel is voor PEAP (ook gebruikt voor één SSID-scenario) om te controleren of de authenticatie van 802.1X zonder Vervoerslaag Beveiliging (TLS) en dat de levering van netwerkbenodigdheden wordt gestart met het reeds aangelegde vergunningenprofiel.

- Verander de conditionering in Wireless_802.1X.

- Klik op het pictogram versnelling aan de rechterkant van de aandoening en selecteer Toevoegen kenmerk/waarde. Dit is een 'en'-voorwaarde, geen 'of'-voorwaarde.

- Lokaliseer en selecteer Network Access.

- Selecteer Verificatiemethode en voer deze waarden in:

- Verificatiemethode: Gelijk

- Selecteer MSCHAPV2.

Dit is een voorbeeld van de regel. Controleer of de conditionering een EN is.

- Selecteer in AuthZ Profile de optie Standaard > Voorziening (dit is het eerder gemaakte autorisatieprofiel).


- Klik op Klaar.

- Klik rechts van de PEAP-regel op de pijl omlaag naast Bewerken en selecteer Nieuwe regel invoegen hieronder.

- Verander de regelnaam van standaardregel # om toe te staanRegel (in dit voorbeeld). Deze regel zal worden gebruikt om toegang tot geregistreerde hulpmiddelen met geïnstalleerde certificaten mogelijk te maken.

- Selecteer onder conditionering(en) de optie Samengestelde voorwaarden.

- Selecteer Wireless_802.1x.

- Voeg een EN attribuut toe.

- Klik op het pictogram versnelling aan de rechterkant van de aandoening en selecteer Toevoegen kenmerk/waarde.

- Zoek en selecteer Straal.

- Selecteer Calling-ID[31].

- Selecteer gelijken.

- Ga naar CERTIFICAAT en klik op de rechterpijl.

- Selecteer Alternatieve naam onderwerp.

- Selecteer de optie Standaard voor het Z-profiel.

- Selecteer Toegang toestaan.

- Klik op Klaar.

Dit is een voorbeeld van de regel:

- Pak de standaardregel vast om toegang tot toegangsrechten te wijzigen.

- Klik op Bewerken om de standaardregel te bewerken.

- Ga naar het bestaande AuthZ-profiel van PermitAccess.

- Selecteer Standaard.

- Selecteer Deny Access.

- Bevestig dat de standaard regel DenyAccess heeft als er geen overeenkomsten zijn gevonden.

- Klik op Klaar.

Dit is een voorbeeld van de belangrijkste voorschriften die voor deze test vereist zijn; zij zijn van toepassing voor één SSID of een dubbel SSID-scenario.

- Klik op Opslaan.

- Navigeer naar ISE > Administration > System > Certificaten om de ISE-server te configureren met een SCEP profiel.

- Klik in certificaatbewerkingen op SCEP CA-profielen.

- Klik op Toevoegen.

- Voer deze waarden voor dit profiel in:
- Name: mySCEP (in dit voorbeeld)
- URL: https://<ca-server>/CertSrv/mscep/(controleer de serverconfiguratie van uw CA voor het juiste adres.)

- Klik op Test Connectivity om de connectiviteit van de SCEP verbinding te testen.

- Dit antwoord laat zien dat de serverconnectiviteit succesvol is.

- Klik op Inzenden.

- De server antwoordt dat het CA Profile met succes is gemaakt.

- Bevestig dat het SCEP CA-profiel is toegevoegd.

Gebruikerservaring - Provisioning als iOS
Dubbele SSID
Deze sectie bestrijkt dubbele SSID’s en beschrijft hoe u verbinding kunt maken met de gast die u hebt bevoorraad en hoe u verbinding kunt maken met een 802.1x WLAN.
Voltooi deze stappen om iOS in het duale SSID-scenario te voorzien:
- Ga in het iOS-apparaat naar Wi-Fi-netwerken en selecteer DemoCWA (geconfigureerd open WLAN op WLC).

- Open de browser Safari op het iOS-apparaat en bezoek een bereikbare URL (bijvoorbeeld een interne/externe webserver). De ISE stuurt u terug naar het portaal. Klik op Doorgaan.

- U wordt opnieuw naar het Guest Portal verwezen voor inloggen.

- Meld u aan met een AD-gebruikersaccount en wachtwoord. Installeer het CA-profiel wanneer dit wordt gevraagd.

- Klik op Installeer het vertrouwde certificaat van de CA server.

- Klik op Gereed zodra het profiel volledig is geïnstalleerd.

- Ga terug naar de browser en klik op Registreren. Maak een nota van het apparaat ID dat het MAC-adres van het apparaat bevat.

- Klik op Installeer om het geverifieerde profiel te installeren.

- Klik op Nu installeren.

- Nadat het proces is voltooid, bevestigt het WirelessSP-profiel dat het profiel is geïnstalleerd. Klik op Klaar.

- Ga naar Wi-Fi-netwerken en verander het netwerk naar Demo1x. Uw apparaat is nu aangesloten en gebruikt TLS.

- Op ISE, navigeer naar Operations > Authenticaties. De gebeurtenissen tonen het proces waarin het apparaat met het open gastnetwerk wordt verbonden, door het registratieproces met leveringsverzoek gaat en na registratie wordt de vergunning toegestaan.

- Navigeren in op ISE > Administratie > identiteitsbeheer > groepen > Endpoint Identity Groepen > Geregistreerde apparaten. Het MAC-adres is aan de database toegevoegd.

Single SSID
Deze sectie bestrijkt één SSID en beschrijft hoe u direct verbinding kunt maken met een 802.1x WLAN, AD-gebruikersnaam/wachtwoord voor PEAP-verificatie, levering via een gastaccount en herkoppeling met TLS.
Voltooi deze stappen om iOS in één SSID-scenario te voorzien:
- Als u hetzelfde iOS-apparaat gebruikt, verwijdert u het eindpunt van de geregistreerde apparaten.

- Navigeer op het iOS-apparaat naar Instellingen > Generalen > profielen. Verwijder de profielen die in dit voorbeeld zijn geïnstalleerd.

- Klik op Verwijderen om de vorige profielen te verwijderen.


- Sluit rechtstreeks aan op het 802.1x-apparaat met het bestaande (geklaard) apparaat of met een nieuw iOS-apparaat.
- Sluit aan op Dot1x, voer een gebruikersnaam en wachtwoord in en klik op Samenvoegen.

- Herhaal stap 90 en van het gedeelte ISE Configuration totdat de juiste profielen volledig zijn geïnstalleerd.
- Navigeer naar ISE > Operations > Authenticaties om het proces te controleren. Dit voorbeeld laat de client zien die rechtstreeks is aangesloten op 802.1X WLAN’s omdat deze wordt geleverd, verbroken en opnieuw verbonden met hetzelfde WLAN met het gebruik van TLS.

- Navigeer naar WLC > Monitor > [client-MAC]. In de details van de client merk op dat de client in de UN-status staat staat, dat de gegevensswitching op lokaal niveau is ingesteld en dat de verificatie centraal staat. Dit geldt voor klanten die een verbinding maken met FlexConnect AP.

Gebruikerservaring - Provisioning Android
Dubbele SSID
Deze sectie betreft dubbele SSID’s en beschrijft hoe u verbinding kunt maken met de gast die u hebt bevoorraad en hoe u verbinding kunt maken met een 802.1x WLAN.
Het aansluitproces voor het Android-apparaat lijkt sterk op dat voor een iOS-apparaat (enkele of dubbele SSID). Een belangrijk verschil is echter dat Android-apparaten toegang tot internet vereisen om toegang te hebben tot Google Marketplace (nu Google Play) en de daartoe strekkende agent te kunnen downloaden.
Voltooi deze stappen om een Android-apparaat (zoals het Samsung Galaxy in dit voorbeeld) in te zetten in het dubbele SSID-scenario:
- Gebruik in het Android-apparaat Wi-Fi om verbinding te maken met DemoCWA en open de gast WLAN’s.

- Accepteer elk certificaat om verbinding te maken met de ISE.

- Voer een gebruikersnaam en een wachtwoord in in via de gastportal om in te loggen.

- Klik op Registreren. Het apparaat probeert internet te bereiken om toegang te krijgen tot de Google-markt. Voeg eventuele aanvullende regels toe aan de Pre-Auth ACL (zoals ACL-REDIRECT) in de controller om toegang tot het internet mogelijk te maken.

- Google maakt een lijst van Cisco Network Setup als een Android-app. Klik op INSTALL.

- Meld u aan bij Google en klik op INSTALL.

- Klik op OK.

- Ga naar het Android-apparaat de geïnstalleerde Cisco SPW-app en open deze.

- Zorg dat u nog steeds via uw Android-apparaat hebt aangemeld bij het Guest Portal.
- Klik op Start om de Wi-Fi Setup Assistant te starten.

- De Cisco SPW begint certificaten te installeren.

- Stel, wanneer dit wordt gevraagd, een wachtwoord in voor het opslaan van kredieten.

- De Cisco SPW retourneert met een certificaatnaam, die de gebruikershandleiding en het gebruikerscertificaat bevat. Klik op OK om dit te bevestigen.

- Cisco SPW gaat verder en vraagt om een andere certificaatnaam, die het CA-certificaat bevat. Voer de naam iseca in (in dit voorbeeld) en klik vervolgens op OK om door te gaan.

- Het Android-apparaat is nu verbonden.

Mijn apparaatportal
Mijn Devices Portal laat gebruikers toe om eerder geregistreerde apparaten te chanteren wanneer een apparaat verloren of gestolen is. Gebruikers kunnen er ook indien nodig een nieuwe lijst mee maken.
Voltooi deze stappen om een apparaat te blokkeren:
- Om in te loggen op My Devices Portal, opent u een browser, sluit u aan op https://ise-server:8443/mydevices (let op poortnummer 8443) en logt u in met een AD-account.

- Pak het apparaat op onder ApparaatID en klik op Verlopen? om een zwarte lijst van een hulpmiddel op te stellen.

- Wanneer de ISE een waarschuwing geeft, klikt u op Ja om verder te gaan.

- ISE bevestigt dat het apparaat gemarkeerd is als verloren.

- Elke poging om verbinding te maken met het netwerk met het eerder geregistreerde apparaat is nu geblokkeerd, zelfs als er een geldig certificaat is geïnstalleerd. Dit is een voorbeeld van een op een zwarte lijst geplaatst apparaat dat de authenticatie niet kent:

- Een beheerder kan navigeren naar ISE > Administratie > Identity Management > Groepen, klik op Endpoint Identity Group > Blacklist en zie dat het apparaat is geblokkeerd.

Voltooi deze stappen om een op de zwarte lijst geplaatst apparaat opnieuw in te voeren:
- Klik in het portal Mijn apparaat op Opnieuw installeren voor dat apparaat.

- Wanneer ISE een waarschuwing geeft, klikt u op Ja om verder te gaan.

- ISE bevestigt dat het apparaat met succes is hersteld. Sluit het opnieuw geïnstalleerde apparaat aan op het netwerk om te testen of het apparaat nu is toegestaan.

Referentie - Certificaten
ISE vereist niet alleen een geldig CA root certificaat, maar ook een geldig certificaat dat ondertekend is door CA.
Voltooi deze stappen om een nieuw vertrouwd CA-certificaat toe te voegen, te binden en te importeren:
- Navigeer naar ISE > Administration > System > Certificates, klik op Local Certificates en klik op Add.

- Selecteer certificaataanvraag genereren (CSR).

- Voer het certificaatonderwerp in CN=<ISE-SERVER hostname.FQDN>. Voor de andere velden kunt u de standaard of de waarden gebruiken die bij de CA-instelling vereist zijn. Klik op Inzenden.

- ISE verifieert dat de CSR werd gegenereerd.

- Klik op de bewerkingen van de certificaataanvraag om toegang tot de CSR.

- Selecteer de CSR die onlangs is gemaakt, en klik vervolgens op Exporteren.

- ISE exporteert de CSR naar een .pem-bestand. Klik op Opslaan bestand en klik vervolgens op OK om het bestand op de lokale machine op te slaan.

- Pak de optie en open het ISE-certificaatbestand met een teksteditor.

- Kopieer de gehele inhoud van het certificaat.

- Sluit aan op de CA-server en log in met een Administrator-account. De server is een Microsoft 2008 CA op https://10.10.10.10/certsrv (in dit voorbeeld).

- Klik op Een certificaat aanvragen.

- Klik op geavanceerde certificaataanvraag.

- Klik op de tweede optie om een certificaataanvraag in te dienen met een basis-64-gecodeerde CMC of ... .

- Plakt de inhoud uit het ISE-certificaatbestand (.pem) in het veld Opslaan aanvraag, zorg ervoor dat de certificaatsjabloon webserver is en klik op Indienen.

- Klik op Download certificaat.

- Sla het bestand certnew.cer op. het zal later worden gebruikt om de ISE te binden.

- Van ISE Certificaten, navigeer naar Lokale Certificaten, en klik op Toevoegen > Bind CA Certificaat.

- Bladeren naar het certificaat dat in de vorige stap is opgeslagen op de lokale machine, schakelt u zowel de EAP-als de Management Interface-protocollen in (er worden vakjes geselecteerd) en klikt u op Inzenden. ISE kan een aantal minuten of langer duren om de services opnieuw te starten.

- Ga terug naar de startpagina van de CA (https://CA/certsrv/) en klik op Download een CA certificaat, certificeringsketen of CRL.

- Klik op CA-certificaat downloaden.

- Sla het bestand op in de lokale machine.

- Ga online met de ISE-server naar Certificaten en klik op Certificaten van de certificaatinstantie.

- Klik op Importeren.

- Bladeren voor het CA-certificaat, vertrouwen op client-verificatie inschakelen en klikken op Verzenden.

- Bevestig dat het nieuwe vertrouwde CA-certificaat wordt toegevoegd.

Gerelateerde informatie