在WLC和ISE配置示例的中央Web验证

简介

本文描述使用为了完成中央Web验证的配置示例(CWA)在无线局域网控制器(WLC)。

它由多取代完整访客部署指南联机此处：https://communities.cisco.com/docs/DOC-77590

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本：

• Cisco Identity Services Engine Software Release 2.0
  
  
• Cisco WLC Software Release 8.2.141.0

配置

Web验证第一种方法是本地Web验证。在这种情况下， WLC重定向HTTP数据流到提示验证用户的内部或外部服务器。WLC然后拿来凭证(被退还的通过一旦外部服务器的一HTTP GET请求)并且做RADIUS验证。一旦来宾用户，外部服务器(例如身份服务引擎(ISE)或NAC访客服务器(NGS))因为门户提供功能例如设备注册和Self供应，要求。流包括这些步骤：

1. 用户联合到Web验证服务设备识别器(SSID)。
   
   
2. 用户打开浏览器。
   
   
3. 对访客门户的WLC重定向(例如ISE或NGS)，当URL被输入。
   
   
4. 用户在门户验证。
   
   
5. 回到WLC的访客门户重定向与被输入的凭证。
   
   
6. WLC通过RADIUS验证来宾用户。
   
   
7. 回到原始URL的WLC重定向。

此流包括几重定向。新的方法将使用CWA。此方法与ISE (后版本一起使用比1.1)和WLC (后版本比7.2)。流包括这些步骤：

1. 用户关联对Web验证SSID，实际上是open+macfiltering和没有第3层安全。
   
   
2. 用户打开浏览器。
   
   
3. 对访客门户的WLC重定向。
   
   
4. 用户在门户验证。
   
   
5. ISE发送授权(CoA RADIUS更改- UDP端口1700)表明到控制器用户有效和最终推送RADIUS属性例如访问控制表(ACL)。
   
   
6. 用户是被提示的重试原始URL。

使用的设置是：

WLC 配置

WLC配置是相当简单的。窍门用于(同一样在交换机)为了从ISE获取动态验证URL (因为使用更改授权(CoA)，会话必须创建，并且会话ID是URL的一部分)。SSID配置为了使用MAC过滤。ISE配置为了返回access-accept，即使没找到MAC地址，因此发送所有用户的重定向URL。 

除此之外，必须启用ISE网络准入控制(NAC)和验证、授权和统计(AAA)覆盖。ISE NAC允许ISE发送表明的CoA请求用户当前验证并且能访问网络。在ISE更改根据状态结果情况下的用户配置文件它也使用状态评估。

保证RADIUS服务器有“”启用的CoA的支持，默认情况下是。

最后一步将创建重定向ACL。此ACL被参考ISE的access-accept并且定义了应该重定向不应该重定向什么流量(拒绝由ACL)，并且什么流量(允许由ACL)。您防止往ISE的重定向流量。您也许要是更多特定和只防止到/从ISE的流量在端口8443 (访客门户)，但是仍然重定向，如果用户设法访问在端口80/443的ISE。

Note:WLC软件更早版本例如7.2或7.3没有要求您指定域名系统(DNS)，但是代码版本要求您允许在该重定向ACL的DNS流量。

配置当前完成在WLC。

ISE配置

创建授权配置文件

在ISE，必须创建授权配置文件。然后，认证和授权策略配置。应该已经配置WLC作为网络设备。

在授权配置文件，请输入在WLC创建的前ACL的名称。

1. 点击策略，然后单击策略元素。
   
   
2. 点击结果。
   
   
3. 展开授权，然后单击授权配置文件。
   
   
4. 点击Add按钮为了创建中央webauth的一新的授权配置文件。
   
   
5. 在Name字段，请输入一名称对于配置文件。此示例使用WLC_CWA。
   
   
6. 从访问类型下拉列表选择ACCESS_ACCEPT。
   
   
7. 检查Web重定向复选框，并且从下拉列表选择集中化Web验证。
   
   
8. 在ACL字段，请输入ACL的名称在定义了将重定向的流量的交换机的。此示例使用cwa_redirect。
   
   
9. 在Value字段，一个人能从下拉列表选择被赞助的访客门户或Self注册的访客门户。在被赞助的访客门户，赞助商创建访客帐户，并且访客访问网络使用他们的给定用户名和密码，当在Self注册访客门户时，使用他们的给定用户名和密码，访客允许创建他们自己的帐户和访问网络。此示例使用被赞助的访客门户。

创建验证规则

保证ISE接受所有从WLC的MAC验证并且确保它继续处理验证，即使没有找到用户。

在策略菜单下，请点击验证。

下镜像显示示例如何配置验证策略规则。在本例中，触发的规则配置，当MAB检测时。

1. 输入一名称对于您的验证规则。此示例使用MAB，默认情况下在ISE版本1.2已经存在。
   
   
2. 选择正(+)在的图标，如果情况字段。
   
   
3. 选择复合条件，然后选择Wired_MAB或Wireless_MAB。
   
   
4. 点击箭头查找在旁边和…为了进一步展开规则。
   
   
5. 点击+在标识Source字段的图标，并且选择内部终端。
   
   
6. 选择从继续，如果用户没被找到的下拉列表。

Note:默认情况下现在有在ISE创建的MAB验证规则。

创建授权策略

配置授权策略。要了解的一重点是有两个认证/授权：

• 第一是，当用户联合对SSID (“CWA”在这种情况下)时，并且CWA配置文件返回。
  在此示例Airespace WLAN Id中使用作为情况。 当客户端连接对SSID时，对ISE的RADIUS访问请求包含Airespace-WLAN-Id属性。此属性用于做出在ISE的政策决策。因此，当一个未知客户端连接对SSID CWA时， ISE发送与重定向URL (Web门户)和ACL的一acceess接受。使用Airespace WLAN Id规则保证入口页面被提交给只连接对CWA SSID的用户。 

• 第二是，当用户在Web门户时验证。这一个匹配默认规则(内部用户)在此配置(方面可以配置为了符合您的要求)。重要的是授权零件不再匹配CWA配置文件。否则，将有重定向环路。网络访问：UseCase等于访客流属性可以用于为了匹配此第二验证。结果如下所示:

如上一个镜像所显示，完成这些步骤为了创建授权规则：

1. 创建新规则，并且输入名称。此示例使用访客重定向。
   
   
2. 在情况字段点击正(+)图标，并且选择创造新的条件。
   
   
3. 展开表达式下拉列表。
   
   
4. 选择Airespace，并且展开它。
   
   
5. 点击Airespace WLAN Id[1]，并且选择等于操作员。
   
   
6. 在右边的字段输入WLAN ID，在本例中1。 
   
   
7. 在一般授权页，请在然后词右边选择WLC_CWA (授权配置文件)在字段。
   
   此步骤允许ISE继续，即使用户(或MAC地址)不知道，当连接对CWA SSID并且提交他们与登录门户。
   
   
8. 点击Action按钮查找在访客重定向规则结束时，并且选择在它前插入新规则。
   
   

   注意：重要的是非常此新规则来，在访客重定向规则前。

   
   
   
9. 输入一名称对于新规则。此示例使用访客门户验证。
   
   
10. 在情况字段，请点击正(+)图标，并且选择创造新的条件。
    
    
11. 选择网络访问，并且点击UseCase。
    
    
12. 选择等于作为操作员。
    
    
13. 选择GuestFlow作为正确的操作数。
    
    
14. 在授权页，请点击正(+)图标(查找在然后旁边)为了选择您的规则的一种结果。
    
    您能选择Permit访问选项或创建一自定义配置文件为了返回您喜欢的VLAN或属性。如果GuestFlow，您能添加更多情况为了返回根据用户组的多种authz配置文件请注意在顶部。按照步骤7所述，此在ISE以后启动的在成功的门户登录以后和第二MAC地址验证的访客门户验证规则匹配发送CoA为了重新鉴别客户端。与此第二验证的差异是，而不是来到与其MAC地址的ISE， ISE记住在门户给的用户名。您能做此授权规则考虑到以前被输入的凭证一些毫秒在访客门户。

注意：在一个多控制器环境WLAN-ID应该是相同的在WLCs间。如果一不要使用Airespace WLAN Id属性作为情况，则匹配Wireless_MAB (内置的情况)最好的请求。 

启用IP续订(可选-不推荐)

如果分配VLAN，最后一步是为了客户端PC能更新其IP地址。此步骤由Windows客户端的访客门户达到。如果没有设置第2个验证规则的VLAN前，您能跳到此步骤。这不是一推荐的设计作为更改客户端VLAN，在已经获得了IP地址将打乱连接后，一些客户端也许错误起反应到它，并且要求高的Windows权限良好工作。

如果分配VLAN，请完成这些步骤为了启用IP续订：

1. 点击访客访问，然后单击配置。
   
   
2. 点击访客门户。
   
   
3. 点击被赞助的访客门户(用于此示例)，然后展开VLAN DHCP版本页定位。
   
   
4. 点击VLAN DHCP Release复选框。
   
   

   Note:此选项为Windows客户端仅工作。

锚点外国方案

此设置能也与WLCs的自动锚点功能一起使用。唯一的抓住是那，因为此Web认证方法是Layer2，您必须知道完成所有RADIUS工作的它将是外国WLC。仅外国WLC与ISE联系，并且重定向ACL一定也是存在外国WLC。外国需要安排ACL名称存在(不需要ACL条目)。外国WLC将发送ACL名称到锚点，并且它将是应用重定向的锚点(并且需要正确的ALC内容)。

正如在其他情况下，外国WLC迅速显示客户端在运转状态，不是完全地真的。意味着流量发送到从那里的锚点。实时客户端状态在它应该显示CENTRAL_WEBAUTH_REQD的锚点能被看到。

这是在一个锚点外国设置的流：

1. 客户端连接对在外国WLC的SSID。外国WLC联系MAB的ISE服务器。ISE发送与重定向URL和重定向ACL的access-accept对外国。
2. 现在客户端在CENTRAL_WEBAUTH_REQD停住对它获得IP地址的锚点WLC和放置。
3. 当客户端设法访问网站时，锚点WLC重定向客户端对ISE入口页面。客户端提交与登录页。
4. 在成功登录以后， ISE发送CoA对外国WLC。
5. 外国WLC在运转状态与锚点WLC联系告诉它放置客户端。
6. 所有客户端的流量从外国转发停住，并且出去锚点WLC。

要求允许WLC和ISE之间的通信的防火墙端口是：

• UDP:1645， 1812 (RADIUS验证)
• UDP:1646， 1813 (RADIUS核算)
• UDP:1700 (RADIUS CoA)
• TCP:8443门户的访客或8905，如果有摆姿势。 

Note:与仅中央Web验证(CWA)工作的锚点外国设置在版本7.3或以上。

Note:因为导致 描出变为不正确由于IP对MAC绑定的潜在的缺乏由于Cisco Bug ID CSCul83594，您不能运行在锚点的核算和外国。它也创建与会话ID的许多问题访客门户的。如果希望配置核算，则请配置它在外国控制器。注意这不应该是再开始8.6会话ID将共享在锚点的WLC软件的案件和外国控制器和核算之间然后将是可能启用在两个。

验证

使用本部分可确认配置能否正常运行。

1. 一旦用户关联对SSID， WLC与ISE联系(当MAC过滤配置)。ISE配置返回访问接受与重定向URL和ACL。这是第一验证。

   在WLC的客户端详细信息显示重定向URL和ACL应用。

   

   在WLC客户端和AAA中所有调试，您能看到访问接受与从ISE和ACL发送的重定向URL。

   *radiusTransportThread: 5c:c5:d4:b1:09:95 Access-Accept received from RADIUS server 10.48.39.161
   *radiusTransportThread: AVP[04] Cisco / Url-Redirect-Acl.................cwa_redirect (12 bytes)
   *radiusTransportThread: AVP[05] Cisco / Url-Redirect.....................DATA (177 bytes)
   
   *apfReceiveTask: 5c:c5:d4:b1:09:95 Redirect URL received for client from RADIUS.
    Client will be moved to WebAuth_Reqd state to facilitate redirection. Skip web-auth Flag = 0
   *apfReceiveTask: 5c:c5:d4:b1:09:95 AAA Override Url-Redirect-Acl 'cwa_redirect' 

   同一件事在ISE可能也验证。选择操作> Radius livelogs。点击该MAC的详细信息。

   您能看到对于第一验证(过滤的MAC) ISE返回AuthZ配置文件WLC_CWA，当点击验证规则MAB和authz策略访客重定向。 

   

2. 这时客户端获得IP地址。现在客户端在CENTRAL_WEB_AUTH状态。当所有地址在客户端时打开，浏览器重定向对ISE。保证DNS正确地设置。

   

3. 一旦正确凭证被输入，网络访问授权。这是第二验证。

   

   当凭证被输入时， ISE验证客户端并且发送CoA。 

   

   

   在WLC这在AAA能被看到所有调试。

   *radiusCoASupportTransportThread: audit session ID recieved in CoA = 0a30279c0000003b58887c51 
   *radiusCoASupportTransportThread: Received a 'CoA-Request' from 10.48.39.161
   
   *radiusCoASupportTransportThread: CoA - Received IP Address : 10.48.39.156
   *radiusCoASupportTransportThread: 5c:c5:d4:b1:09:95 Calling-Station-Id ---> 5c:c5:d4:b1:09:95
   *radiusCoASupportTransportThread: Handling a valid 'CoA-Request' regarding station 5c:c5:d4:b1:09:95
   *radiusCoASupportTransportThread: 5c:c5:d4:b1:09:95 Reauthenticating station 5c:c5:d4:b1:09:95
   *radiusCoASupportTransportThread: Sent a 'CoA-Ack' to 10.48.39.161 

4. 在这客户端重新鉴别和对网络后的授权访问。 

   

5. 在控制器、Policy Manager状态和RADIUS NAC状态变换从CENTRAL_WEB_AUTH到RAN。

   Note:在版本7.2中或前，状态CENTRAL_WEB_AUTH呼叫POSTURE_REQD。

注意CoA种类由在版本间演变的ISE返回。ISE 2.0将请求WLC重新运行验证而不是无格式断开客户端。

ISE 2.0 CoA请求示例：

WLC然后不会发送分离帧给客户端，并且再请运行RADIUS验证并且应用新的结果透明地给客户端。

然而，如果PSK是在使用中的，事不同的。从8.3， WLC支持设置在CWA SSID的一WPA预先共享密钥。由于亲切情况，当接收到从ISE的同样CoA后如上所述， WLC将必须再触发一新的WPA密钥交换。所以在PSK的情况下， WLC将必须发送取消关联帧对将必须重新连接的客户端。在古典非PSK方案中， WLC不会发送取消关联帧给客户端，并且请应用新的授权结果。然而“关联答复”将是仍然发送的ot客户端，虽然“关联申请”未从客户端接收，也许似乎好奇，当分析嗅探器跟踪时。

故障排除

完成这些步骤为了排除故障或隔离CWA问题：

1. 输入调试client> on命令客户端< MAC地址控制器和监视器为了确定客户端是否到达CENTRAL_WEBAUTH_REQD状态。不存在的常见问题被观察，当ISE返回重定向ACL时(或不适当地是输入)在WLC。如果这是实际情形，则客户端deauthenticated，一旦CENTRAL_WEBAUTH_REQD状态到达，造成进程再开始。
   
   
2. 如果正确客户端状态可以到达，则请导航给WLC Web GUI的监视器>客户端并且验证正确重定向ACL和URL为客户端应用。
   
   
3. 验证使用正确DNS。客户端应该有能力解决互联网网站和ISE主机名。您能通过nslookup验证此。
   
   
4. 验证所有验证步骤在ISE发生：
   
   
   • MAC验证应该首先出现， CWA属性返回。
     
     
   • 门户登录认证出现。
     
     
   • 动态授权发生。
     
     
   • 最终验证是显示在ISE的门户用户名，最终授权结果返回的MAC验证(例如最终VLAN和ACL)。

停住的方案特别注意事项

考虑限制CWA进程效率在移动性方案的这些Cisco Bug ID (特别是当认为时配置) ：

• CSCuo56780 - ISE RADIUS服务拒绝服务的弱点
  
  
• CSCul83594 -，如果网络是开放的，会话ID没有在移动性间同步