在SDA无线交换矩阵中配置预身份验证URL过滤器

下载选项

  • PDF     (654.5 KB)
    在各种设备上使用 Adobe Reader 查看
已更新: 2025 年 9 月 22 日
文档 ID:224970

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何在SDA无线交换矩阵中配置预身份验证URL过滤器,以便在网络身份验证挂起阶段允许特定URL。

    先决条件

    要求

    Cisco 建议您了解以下主题:

    • SDA无线交换矩阵架构和身份验证模式
    • 无线LAN控制器(WLC)配置
    • URL过滤概念和实施
    • 支持FlexConnect/交换矩阵的无线部署模式

    使用的组件

    本文档中的信息基于以下软件和硬件版本:

    • 思科DNA 2.3.7.7
    • 运行Cisco IOS-XE® 17.6.5和C9150/C9120接入点的C9800-40

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    背景信息

    本文档提供在Cisco SDA无线交换矩阵环境中配置预身份验证URL过滤器的详细步骤。

    在SDA无线EWA(外部Web身份验证)身份验证模式下,客户需要在身份验证完成之前访问特定URL,通常允许访问身份验证门户或组织资源。此功能相当于传统无线架构中的预身份验证URL过滤器。配置预身份验证URL过滤器可确保处于Web身份验证挂起状态的客户端可以访问指定的URL,从而改善用户体验并支持必要的身份验证工作流程。

    配置

    网络图

    xintsong_0-1757480870125

    配置

    使用以下步骤在SDA无线交换矩阵中配置预身份验证URL过滤器。

    步骤1.在URL过滤器中添加允许URL

    导航到URL Filter配置部分并添加要在预身份验证阶段允许的URL。

    Configuration > Security > URL Filters > Add permit URLs

    Add Permit URLs in URL Filter

    步骤2.在SSID上启用Web身份验证

    配置SSID以启用Web身份验证。这可确保无线客户端被置于正确的身份验证工作流程中。

    Configuration > Tags & Profiles > WLANs > Security=Web Auth

    Enable Web Auth on SSO

    步骤3.在策略配置文件中配置URL过滤器

    将URL过滤器列表应用于所需的策略配置文件。这会将预身份验证URL过滤器与相应的客户端策略相关联。

    Configuration > Tags & Profiles > Policy

    Edit Policy Profile

    步骤4.在Flex配置文件中配置URL过滤器

    将URL过滤器列表分配到默认的Flex配置文件。在支持交换矩阵的无线中,AP执行类似于FlexConnect的本地交换。必须在默认的flex配置文件中配置所有ACL和URL过滤器,以确保AP继承并在本地实施这些过滤器。

    Configuration > Tags & Profiles > Flex

    Configure the URL Filter in the Flex Profile

    Edit Flex Profile

    note-icon

    注意:在支持交换矩阵的无线中,AP执行本地交换。必须在默认的flex配置文件中配置所有ACL/URL过滤器。此方法允许AP继承和实施这些过滤器,这是CWA(集中式Web身份验证)和EWA(外部Web身份验证)模式所必需的。

    验证

    验证配置

    使用以下步骤和CLI命令验证配置。

    步骤1.检验URL过滤器的WLC配置

    使用CLI验证URL过滤器是否已正确应用到Flex和策略配置文件上,并且过滤器中列出了正确的URL。

    WLC上的配置示例:

    wireless profile flex default-flex-profile
 acl-policy EXT_REDIRECT_ACL_X.X.X.X
 urlfilter list Test-url                             <<<<<

wireless profile policy "Inspire Creativity-Guest_profile"
 urlfilter list pre-auth-filter Test-url             <<<<<

urlfilter list Test-url
 action permit
     url www.cisco.com                                   <<<<<
 url www.test.com.sdalab.local                       <<<<<

    在此输出中,URL Filter Test-url同时应用于Flex和策略配置文件,并且指定的URL(www.test.com.sdalab.local)包含在允许操作中。

    步骤2.验证无线客户端对URL过滤的URL的访问

    确保连接到SSID的无线客户端可以在Web Auth Pending阶段访问URL过滤器中列出的允许URL。

    此步骤没有特定的CLI输出,但客户端必须能够访问URL,例如www.test.com.sdalab.local,才能完成身份验证。

    故障排除

    故障排除步骤

    如果客户端获得预身份验证URL过滤器但无法访问允许的URL,请使用以下故障排除步骤。

    步骤1.检验客户端是否已获取URL过滤器列表

    使用以下命令检查客户端是否正确获取了URL过滤列表:

    device# show wireless client mac-address <xxxx.xxxx.xxxx> detail

    此命令提供有关客户端会话的详细信息,包括应用的任何URL过滤器列表。

    步骤2.检验允许的URL的DNS解析

    确保客户端可以解析允许的URL的DNS名称。如果DNS解析但ping失败,则可能存在网络路由或访问控制问题。

    步骤3.确认客户端访问允许的URL

    如果客户端无法访问URL,请验证URL过滤器是否在flex配置文件中正确配置。在弹性配置文件中配置过滤器失败是导致此问题的常见原因。

    理由:未在flex配置文件中配置URL过滤器。请参阅配置步骤4以解决此问题。

    相关信息

    修订历史记录

    版本 发布日期 备注
    1.0
    22-Sep-2025
    初始版本
    TAC Authored

    由思科工程师提供

    • 宋心涛
      技术咨询工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品