此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。
本文描述如何用有线客户端配置中央Web认证被联络到交换机在身份服务引擎(ISE)帮助下。
中央Web认证的概念被反对本地Web认证,是在交换机的通常Web认证。在该系统中,在dot1x/mab故障,交换机故障切换对webauth配置文件和重定向客户端的流量到在交换机的一个网页。
中央Web认证提供可能性有作为Web门户的一个中央设备(在Th是示例, ISE)。主要区别与通常本地Web认证比较是被转移与mac/dot1x认证一起分层堆积2。概念也有所不同因为RADIUS服务器(在本例中的ISE)返回表明到交换机的特殊属性Web重定向必须发生。此解决方案有排除的优点是必要为了Web认证能插入的所有延迟。全局,如果客户端工作站的MAC地址不由RADIUS服务器(但是其他标准知道能也使用),服务器回归重定向属性,并且交换机核准位置(通过MAC验证旁路[MAB]),但是放置访问列表重定向Web数据流到门户。一旦在客户门户的用户登录,它通过CoA (授权的更改是可能)重新启动交换端口,以便一个新的第2层MAB认证出现。ISE能然后切记它是webauth用户和适用第2层属性(类似动态范assignment)于用户。ActiveX组件能也强制客户端PC机刷新其IP地址。
Cisco 建议您了解以下主题:
身份服务引擎(ISE)
Cisco IOS交换机配置
本文档中的信息基于以下软件和硬件版本:
思科身份服务引擎(ISE),版本1.1.1
运行软件版本12.2.55SE3的Cisco Catalyst 3560 Series Switch
Note:程序为其他Catalyst交换机型号是类似或相同的。您能除非陈术否则使用在所有Cisco IOS Software Releases的这些步骤Catalyst。
The information in this document was created from the devices in a specific lab environment.All of the devices used in this document started with a cleared (default) configuration.If your network is live, make sure that you understand the potential impact of any command.
ISE配置被做这五个步骤:
这不是一个必须的步骤。用中央webauth配置文件传送的重定向ACL确定哪数据流(HTTP或HTTPS)重定向对ISE。可下载的ACLS允许您定义什么数据流允许。您应该典型地允许DNS, HTTP和8443和拒绝其余。否则,交换机重定向HTTP数据流,但是允许其他协议。
完成这些步骤为了创建可下载的ACLS :
此镜像显示典型的DACL内容,准许:
完成这些步骤为了创建授权配置文件:
重定向属性定义了ISE是否看到ISE admin创建的默认Web门户或一个自定义Web门户。例如,在本例中的重定向ACL触发从客户端的重定向在HTTP或HTTPS流量到任何地方。ACL在交换机后被定义在此配置示例。
完成这些步骤为了使用认证配置文件创建认证规则:
当前有配置的几个规则在授权策略。当接通PC时,通过MAB;假设, MAC地址不知道,因此webauth和ACL返回。此MAC没已知规则在此镜像显示和在此部分被配置:
完成这些步骤为了创建授权规则:
Note:重要的是非常此新规则在MAC没已知规则前来。
如果分配VLAN,最终步骤是为了客户端PC机能更新其IP地址。此步骤由Windows客户端的客户门户达到。如果没有设置第2个AUTH规则的VLAN前,您能跳到此步骤。
如果分配VLAN,请完成这些步骤为了enable (event) IP续订:
Note:此选项为Windows客户端仅工作。
此部分提供交换机配置的摘要。请参阅交换机配置(充分)关于完全配置。
此示例显示一种简单的MAB配置。
interface GigabitEthernet1/0/12
description ISE1 - dot1x clients - UCS Eth0
switchport access vlan 100
switchport mode access
ip access-group webauth in
authentication order mab
authentication priority mab
authentication port-control auto
mab
spanning-tree portfast
end
VLAN 100是VLAN该提供充分的网络连通性。默认端口ACL (已命名webauth)是适用和定义成显示这里:
ip access-list extended webauth
permit ip any any
此配置示例提供充分的网络访问,即使用户没有验证;因此,您也许要限制对未认证的用户的访问。
在此配置中, HTTP和HTTPS访问不工作没有认证(每个另一个ACL),因为配置ISE使用重定向ACL (已命名重定向)。这是在交换机的定义:
ip access-list extended redirect
deny ip any host <ISE ip address>
permit TCP any any eq www
permit TCP any any eq 443
在交换机在哪数据流必须定义此访问列表为了定义交换机将执行重定向。(它在许可证配比。)在本例中、客户端发送触发器Web重定向的任何HTTP或者HTTPS流量。此示例也拒绝ISE IP地址,因此对ISE的数据流在循环去ISE,并且不重定向。(在此方案,请拒绝不阻塞数据流;它就是不重定向数据流。)如果使用异常的HTTP端口或一个代理,您能添加其他端口。
另一种可能性是允许HTTP访问到一些网站和重定向其他网站。例如,如果在ACL定义了仅内部Web服务器的一个许可证,客户端可能访问Web,无需验证,但是遇到重定向,如果他们设法访问一内部Web服务器。
最后一步是允许在交换机的CoA。否则, ISE不能强制交换机重新鉴别客户端。
aaa server radius dynamic-author
client <ISE ip address> server-key <radius shared secret>
此命令对于交换机是必需的重定向基于HTTP数据流:
ip http server
要求此命令重定向基于HTTPS流量:
ip http secure-server
这些命令也是重要的:
radius-server vsa send authentication
radius-server vsa send accounting
如果用户没有验证, show authentication会话int <interface num>返回此输出:
01-SW3750-access#show auth sess int gi1/0/12
Interface: GigabitEthernet1/0/12
MAC Address: 000f.b049.5c4b
IP Address: 192.168.33.201
User-Name: 00-0F-B0-49-5C-4B
Status: Authz Success
Domain: DATA
Security Policy: Should Secure
Security Status: Unsecure
Oper host mode: single-host
Oper control dir: both
Authorized By: Authentication Server
Vlan Policy: N/A
ACS ACL: xACSACLx-IP-myDACL-51519b43
URL Redirect ACL: redirect
URL Redirect: https://ISE2.wlaaan.com:8443/guestportal/gateway?
sessionId=C0A82102000002D8489E0E84&action=cwa
Session timeout: N/A
Idle timeout: N/A
Common Session ID: C0A82102000002D8489E0E84
Acct Session ID: 0x000002FA
Handle: 0xF60002D9
Runnable methods list:
Method State
mab Authc Success
Note:尽管一个成功的MAB认证,重定向ACL,因为MAC地址不由ISE,知道放置。
此部分列出充分的交换机配置。一些多余的接口和命令行被省略;因此,应该用于此配置示例仅参考并且不应该复制。
Building configuration...
Current configuration : 6885 bytes
!
version 15.0
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
no service password-encryption
!
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$xqtx$VPsZHbpGmLyH/EOObPpla.
!
aaa new-model
!
!
aaa group server radius newGroup
!
aaa authentication login default local
aaa authentication dot1x default group radius
aaa authorization exec default none
aaa authorization network default group radius
!
!
!
!
aaa server radius dynamic-author
client 192.168.131.1 server-key cisco
!
aaa session-id common
clock timezone CET 2 0
system mtu routing 1500
vtp interface Vlan61
udld enable
nmsp enable
ip routing
ip dhcp binding cleanup interval 600
!
!
ip dhcp snooping
ip device tracking
!
!
crypto pki trustpoint TP-self-signed-1351605760
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1351605760
revocation-check none
rsakeypair TP-self-signed-1351605760
!
!
crypto pki certificate chain TP-self-signed-1351605760
certificate self-signed 01
30820245 308201AE A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31333531 36303537 3630301E 170D3933 30333031 30303033
35385A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 33353136
30353736 3030819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100B068 86D31732 E73D2FAD 05795D6D 402CE60A B93D4A88 C98C3F54 0982911D
D211EC23 77734A5B 7D7E5684 388AD095 67354C95 92FD05E3 F3385391 8AB9A866
B5925E04 A846F740 1C9AC0D9 6C829511 D9C5308F 13C4EA86 AF96A94E CD57B565
92317B2E 75D6AB18 04AC7E14 3923D3AC 0F19BC6A 816E6FA4 5F08CDA5 B95D334F
DA410203 010001A3 6D306B30 0F060355 1D130101 FF040530 030101FF 30180603
551D1104 11300F82 0D69696C 796E6173 2D333536 302E301F 0603551D 23041830
16801457 D1216AF3 F0841465 3DDDD4C9 D08E06C5 9890D530 1D060355 1D0E0416
041457D1 216AF3F0 8414653D DDD4C9D0 8E06C598 90D5300D 06092A86 4886F70D
01010405 00038181 0014DC5C 2D19D7E9 CB3E8ECE F7CF2185 32D8FE70 405CAA03
dot1x system-auth-control
dot1x critical eapol
!
!
!
errdisable recovery cause bpduguard
errdisable recovery interval 60
!
spanning-tree mode pvst
spanning-tree logging
spanning-tree portfast bpduguard default
spanning-tree extend system-id
spanning-tree vlan 1-200 priority 24576
!
vlan internal allocation policy ascending
lldp run
!
!
!
!
!
!
interface FastEthernet0/2
switchport access vlan 33
switchport mode access
authentication order mab
authentication priority mab
authentication port-control auto
mab
spanning-tree portfast
!
interface Vlan33
ip address 192.168.33.2 255.255.255.0
!
ip default-gateway 192.168.33.1
ip http server
ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 192.168.33.1
!
ip access-list extended MY_TEST
permit ip any any
ip access-list extended redirect
deny ip any host 192.168.131.1
permit tcp any any eq www
permit tcp any any eq 443
ip access-list extended webAuthList
permit ip any any
!
ip sla enable reaction-alerts
logging esm config
logging trap warnings
logging facility auth
logging 10.48.76.31
snmp-server community c3560public RO
snmp-server community c3560private RW
snmp-server community private RO
radius-server host 192.168.131.1 auth-port 1812 acct-port 1813 key cisco
radius-server vsa send authentication
radius-server vsa send accounting
!
!
!
privilege exec level 15 configure terminal
privilege exec level 15 configure
privilege exec level 2 debug radius
privilege exec level 2 debug aaa
privilege exec level 2 debug
!
line con 0
line vty 0 4
exec-timeout 0 0
password Cisco123
authorization commands 1 MyTacacs
authorization commands 2 MyTacacs
authorization commands 15 MyTacacs
authorization exec MyTacacs
login authentication MyTacacs
line vty 5 15
!
ntp server 10.48.76.33
end
如果使用一个HTTP代理您的客户端,意味着您的客户端:
为了安排交换机监听在非常规的端口(例如, 8080),请使用这些命令:
ip http port 8080
ip port-map http port 8080
您也需要配置所有客户端继续使用他们的代理,但是不使用代理ISE IP地址。所有浏览器包括允许您输入主机名或IP地址不应该使用代理的一个功能。如果不添加ISE的例外,您遇到循环认证页。
您在代理端口(8080也需要修改您的重定向ACL允许在本例中)。
此时,交换机需要Switch Virtual Interface (SVI)为了回复客户端和发送Web门户重定向到客户端。此SVI不一定必须在客户端子网/VLAN。然而,如果交换机没有SVI在客户端子网/VLAN,它必须使用另一SVIs中的任一和发送数据流如对客户端路由表定义。这典型地意味着数据流被发送到在网络的核心的另一个网关;此数据流回来到接入交换机在客户端子网里面。
典型防火墙块数据流从和对同一台交换机,正如在此方案,因此重定向也许不适当地运作。解决方法是允许在防火墙的此工作情况或创建在接入交换机的一SVI在客户端子网。
交换机能重定向HTTPS流量。因此,如果客户客户端有主页在HTTPS,重定向正确地发生。
重定向的全部的概念根据事实设备(在这种情况下,交换机)伪装网站IP地址。然而,一个主要问题出现,当交换机拦截并且重定向HTTPS流量,因为交换机能提交其唯一在传输层安全(TLS)握手的自己的认证。因为这不是和一样网站最初请求的认证,多数浏览器问题主要戒备。浏览器正确地处理另一个认证的重定向和介绍作为安全性问题。没有解决方法的此和没有办法的伪装的交换机您的原始网站认证。
客户端PC机接通并且执行MAB。MAC地址不知道,因此ISE推进重定向属性回到交换机。用户设法去网站和重定向。
当登录页的认证是成功的时, ISE通过授权的更改重新启动连接孔,再开始第2层MAB认证。
然而, ISE知道它是一个前webauth客户端并且核准根据webauth证件的客户端(虽然这是第2层认证)。
在ISE认证日志, MAB认证出现于日志的底部。虽然它未知, MAC地址验证并且被描出了,并且webauth属性返回了。其次,认证发生在用户的用户名(即用户类型他的在登录页的证件)。在认证之后,一个新的第2层认证发生在用户名作为证件;此认证步骤是您能回来归因于这样动态VLAN的地方。
当前没有可用于此配置的验证过程。
目前没有针对此配置的故障排除信息。