简介
本文描述使用为了完成中央Web验证的配置示例(CWA)在无线局域网控制器(WLC)。
它由多取代完整访客部署指南联机此处:https://communities.cisco.com/docs/DOC-77590
本文档没有任何特定的要求。
使用的组件
本文档中的信息基于以下软件和硬件版本:
- Cisco Identity Services Engine Software Release 2.0
- Cisco WLC Software Release 8.2.141.0
配置
Web验证第一种方法是本地Web验证。在这种情况下, WLC重定向HTTP数据流到提示验证用户的内部或外部服务器。WLC然后拿来凭证(被退还的通过一旦外部服务器的一HTTP GET请求)并且做RADIUS验证。一旦来宾用户,外部服务器(例如身份服务引擎(ISE)或NAC访客服务器(NGS))因为门户提供功能例如设备注册和Self供应,要求。流包括这些步骤:
- 用户联合到Web验证服务设备识别器(SSID)。
- 用户打开浏览器。
- 对访客门户的WLC重定向(例如ISE或NGS),当URL被输入。
- 用户在门户验证。
- 回到WLC的访客门户重定向与被输入的凭证。
- WLC通过RADIUS验证来宾用户。
- 回到原始URL的WLC重定向。
此流包括几重定向。新的方法将使用CWA。此方法与ISE (后版本一起使用比1.1)和WLC (后版本比7.2)。流包括这些步骤:
- 用户关联对Web验证SSID,实际上是open+macfiltering和没有第3层安全。
- 用户打开浏览器。
- 对访客门户的WLC重定向。
- 用户在门户验证。
- ISE发送授权(CoA RADIUS更改- UDP端口1700)表明到控制器用户有效和最终推送RADIUS属性例如访问控制表(ACL)。
- 用户是被提示的重试原始URL。
使用的设置是:

WLC 配置
WLC配置是相当简单的。窍门用于(同一样在交换机)为了从ISE获取动态验证URL (因为使用更改授权(CoA),会话必须创建,并且会话ID是URL的一部分)。SSID配置为了使用MAC过滤。ISE配置为了返回access-accept,即使没找到MAC地址,因此发送所有用户的重定向URL。
除此之外,必须启用ISE网络准入控制(NAC)和验证、授权和统计(AAA)覆盖。ISE NAC允许ISE发送表明的CoA请求用户当前验证并且能访问网络。在ISE更改根据状态结果情况下的用户配置文件它也使用状态评估。
保证RADIUS服务器有“”启用的CoA的支持,默认情况下是。





最后一步将创建重定向ACL。此ACL被参考ISE的access-accept并且定义了应该重定向不应该重定向什么流量(拒绝由ACL),并且什么流量(允许由ACL)。您防止往ISE的重定向流量。您也许要是更多特定和只防止到/从ISE的流量在端口8443 (访客门户),但是仍然重定向,如果用户设法访问在端口80/443的ISE。
Note:WLC软件更早版本例如7.2或7.3没有要求您指定域名系统(DNS),但是代码版本要求您允许在该重定向ACL的DNS流量。

配置当前完成在WLC。
ISE配置
创建授权配置文件
在ISE,必须创建授权配置文件。然后,认证和授权策略配置。应该已经配置WLC作为网络设备。
在授权配置文件,请输入在WLC创建的前ACL的名称。
- 点击策略,然后单击策略元素。
- 点击结果。
- 展开授权,然后单击授权配置文件。
- 点击Add按钮为了创建中央webauth的一新的授权配置文件。
- 在Name字段,请输入一名称对于配置文件。此示例使用WLC_CWA。
- 从访问类型下拉列表选择ACCESS_ACCEPT。
- 检查Web重定向复选框,并且从下拉列表选择集中化Web验证。
- 在ACL字段,请输入ACL的名称在定义了将重定向的流量的交换机的。此示例使用cwa_redirect。
- 在Value字段,一个人能从下拉列表选择被赞助的访客门户或Self注册的访客门户。在被赞助的访客门户,赞助商创建访客帐户,并且访客访问网络使用他们的给定用户名和密码,当在Self注册访客门户时,使用他们的给定用户名和密码,访客允许创建他们自己的帐户和访问网络。此示例使用被赞助的访客门户。

创建验证规则
保证ISE接受所有从WLC的MAC验证并且确保它继续处理验证,即使没有找到用户。
在策略菜单下,请点击验证。
下镜像显示示例如何配置验证策略规则。在本例中,触发的规则配置,当MAB检测时。
- 输入一名称对于您的验证规则。此示例使用MAB,默认情况下在ISE版本1.2已经存在。
- 选择正(+)在的图标,如果情况字段。
- 选择复合条件,然后选择Wired_MAB或Wireless_MAB。
- 点击箭头查找在旁边和…为了进一步展开规则。
- 点击+在标识Source字段的图标,并且选择内部终端。
- 选择从继续,如果用户没被找到的下拉列表。
Note:默认情况下现在有在ISE创建的MAB验证规则。

创建授权策略
配置授权策略。要了解的一重点是有两个认证/授权:
- 第一是,当用户联合对SSID (“CWA”在这种情况下)时,并且CWA配置文件返回。
在此示例Airespace WLAN Id中使用作为情况。 当客户端连接对SSID时,对ISE的RADIUS访问请求包含Airespace-WLAN-Id属性。此属性用于做出在ISE的政策决策。因此,当一个未知客户端连接对SSID CWA时, ISE发送与重定向URL (Web门户)和ACL的一acceess接受。使用Airespace WLAN Id规则保证入口页面被提交给只连接对CWA SSID的用户。
- 第二是,当用户在Web门户时验证。这一个匹配默认规则(内部用户)在此配置(方面可以配置为了符合您的要求)。重要的是授权零件不再匹配CWA配置文件。否则,将有重定向环路。网络访问:UseCase等于访客流属性可以用于为了匹配此第二验证。结果如下所示:

如上一个镜像所显示,完成这些步骤为了创建授权规则:
- 创建新规则,并且输入名称。此示例使用访客重定向。
- 在情况字段点击正(+)图标,并且选择创造新的条件。
- 展开表达式下拉列表。
- 选择Airespace,并且展开它。
- 点击Airespace WLAN Id[1],并且选择等于操作员。
- 在右边的字段输入WLAN ID,在本例中1。
- 在一般授权页,请在然后词右边选择WLC_CWA (授权配置文件)在字段。
此步骤允许ISE继续,即使用户(或MAC地址)不知道,当连接对CWA SSID并且提交他们与登录门户。
- 点击Action按钮查找在访客重定向规则结束时,并且选择在它前插入新规则。
注意:重要的是非常此新规则来,在访客重定向规则前。
- 输入一名称对于新规则。此示例使用访客门户验证。
- 在情况字段,请点击正(+)图标,并且选择创造新的条件。
- 选择网络访问,并且点击UseCase。
- 选择等于作为操作员。
- 选择GuestFlow作为正确的操作数。
- 在授权页,请点击正(+)图标(查找在然后旁边)为了选择您的规则的一种结果。
您能选择Permit访问选项或创建一自定义配置文件为了返回您喜欢的VLAN或属性。如果GuestFlow,您能添加更多情况为了返回根据用户组的多种authz配置文件请注意在顶部。按照步骤7所述,此在ISE以后启动的在成功的门户登录以后和第二MAC地址验证的访客门户验证规则匹配发送CoA为了重新鉴别客户端。与此第二验证的差异是,而不是来到与其MAC地址的ISE, ISE记住在门户给的用户名。您能做此授权规则考虑到以前被输入的凭证一些毫秒在访客门户。
注意:在一个多控制器环境WLAN-ID应该是相同的在WLCs间。如果一不要使用Airespace WLAN Id属性作为情况,则匹配Wireless_MAB (内置的情况)最好的请求。

启用IP续订(可选-不推荐)
如果分配VLAN,最后一步是为了客户端PC能更新其IP地址。此步骤由Windows客户端的访客门户达到。如果没有设置第2个验证规则的VLAN前,您能跳到此步骤。这不是一推荐的设计作为更改客户端VLAN,在已经获得了IP地址将打乱连接后,一些客户端也许错误起反应到它,并且要求高的Windows权限良好工作。
如果分配VLAN,请完成这些步骤为了启用IP续订:
- 点击访客访问,然后单击配置。
- 点击访客门户。
- 点击被赞助的访客门户(用于此示例),然后展开VLAN DHCP版本页定位。
- 点击VLAN DHCP Release复选框。
Note:此选项为Windows客户端仅工作。
锚点外国方案
此设置能也与WLCs的自动锚点功能一起使用。唯一的抓住是那,因为此Web认证方法是Layer2,您必须知道完成所有RADIUS工作的它将是外国WLC。仅外国WLC与ISE联系,并且重定向ACL一定也是存在外国WLC。外国需要安排ACL名称存在(不需要ACL条目)。外国WLC将发送ACL名称到锚点,并且它将是应用重定向的锚点(并且需要正确的ALC内容)。
正如在其他情况下,外国WLC迅速显示客户端在运转状态,不是完全地真的。意味着流量发送到从那里的锚点。实时客户端状态在它应该显示CENTRAL_WEBAUTH_REQD的锚点能被看到。
这是在一个锚点外国设置的流:
- 客户端连接对在外国WLC的SSID。外国WLC联系MAB的ISE服务器。ISE发送与重定向URL和重定向ACL的access-accept对外国。
- 现在客户端在CENTRAL_WEBAUTH_REQD停住对它获得IP地址的锚点WLC和放置。
- 当客户端设法访问网站时,锚点WLC重定向客户端对ISE入口页面。客户端提交与登录页。
- 在成功登录以后, ISE发送CoA对外国WLC。
- 外国WLC在运转状态与锚点WLC联系告诉它放置客户端。
- 所有客户端的流量从外国转发停住,并且出去锚点WLC。
要求允许WLC和ISE之间的通信的防火墙端口是:
- UDP:1645, 1812 (RADIUS验证)
- UDP:1646, 1813 (RADIUS核算)
- UDP:1700 (RADIUS CoA)
- TCP:8443门户的访客或8905,如果有摆姿势。
Note:与仅中央Web验证(CWA)工作的锚点外国设置在版本7.3或以上。
Note:因为导致
描出变为不正确由于IP对MAC绑定的潜在的缺乏由于Cisco Bug ID CSCul83594,您不能运行在锚点的核算和外国。它也创建与会话ID的许多问题访客门户的。如果希望配置核算,则请配置它在外国控制器。注意这不应该是再开始8.6会话ID将共享在锚点的WLC软件的案件和外国控制器和核算之间然后将是可能启用在两个。
使用本部分可确认配置能否正常运行。
- 一旦用户关联对SSID, WLC与ISE联系(当MAC过滤配置)。ISE配置返回访问接受与重定向URL和ACL。这是第一验证。
在WLC的客户端详细信息显示重定向URL和ACL应用。

在WLC客户端和AAA中所有调试,您能看到访问接受与从ISE和ACL发送的重定向URL。
*radiusTransportThread: 5c:c5:d4:b1:09:95 Access-Accept received from RADIUS server 10.48.39.161
*radiusTransportThread: AVP[04] Cisco / Url-Redirect-Acl.................cwa_redirect (12 bytes)
*radiusTransportThread: AVP[05] Cisco / Url-Redirect.....................DATA (177 bytes)
*apfReceiveTask: 5c:c5:d4:b1:09:95 Redirect URL received for client from RADIUS.
Client will be moved to WebAuth_Reqd state to facilitate redirection. Skip web-auth Flag = 0
*apfReceiveTask: 5c:c5:d4:b1:09:95 AAA Override Url-Redirect-Acl 'cwa_redirect'
同一件事在ISE可能也验证。选择操作> Radius livelogs。点击该MAC的详细信息。
您能看到对于第一验证(过滤的MAC) ISE返回AuthZ配置文件WLC_CWA,当点击验证规则MAB和authz策略访客重定向。

- 这时客户端获得IP地址。现在客户端在CENTRAL_WEB_AUTH状态。当所有地址在客户端时打开,浏览器重定向对ISE。保证DNS正确地设置。

- 一旦正确凭证被输入,网络访问授权。这是第二验证。

当凭证被输入时, ISE验证客户端并且发送CoA。


在WLC这在AAA能被看到所有调试。
*radiusCoASupportTransportThread: audit session ID recieved in CoA = 0a30279c0000003b58887c51
*radiusCoASupportTransportThread: Received a 'CoA-Request' from 10.48.39.161
*radiusCoASupportTransportThread: CoA - Received IP Address : 10.48.39.156
*radiusCoASupportTransportThread: 5c:c5:d4:b1:09:95 Calling-Station-Id ---> 5c:c5:d4:b1:09:95
*radiusCoASupportTransportThread: Handling a valid 'CoA-Request' regarding station 5c:c5:d4:b1:09:95
*radiusCoASupportTransportThread: 5c:c5:d4:b1:09:95 Reauthenticating station 5c:c5:d4:b1:09:95
*radiusCoASupportTransportThread: Sent a 'CoA-Ack' to 10.48.39.161
-
在这客户端重新鉴别和对网络后的授权访问。

- 在控制器、Policy Manager状态和RADIUS NAC状态变换从CENTRAL_WEB_AUTH到RAN。
Note:在版本7.2中或前,状态CENTRAL_WEB_AUTH呼叫POSTURE_REQD。
注意CoA种类由在版本间演变的ISE返回。ISE 2.0将请求WLC重新运行验证而不是无格式断开客户端。
ISE 2.0 CoA请求示例:

WLC然后不会发送分离帧给客户端,并且再请运行RADIUS验证并且应用新的结果透明地给客户端。
然而,如果PSK是在使用中的,事不同的。从8.3, WLC支持设置在CWA SSID的一WPA预先共享密钥。由于亲切情况,当接收到从ISE的同样CoA后如上所述, WLC将必须再触发一新的WPA密钥交换。所以在PSK的情况下, WLC将必须发送取消关联帧对将必须重新连接的客户端。在古典非PSK方案中, WLC不会发送取消关联帧给客户端,并且请应用新的授权结果。然而“关联答复”将是仍然发送的ot客户端,虽然“关联申请”未从客户端接收,也许似乎好奇,当分析嗅探器跟踪时。
完成这些步骤为了排除故障或隔离CWA问题:
- 输入调试client> on命令客户端< MAC地址控制器和监视器为了确定客户端是否到达CENTRAL_WEBAUTH_REQD状态。不存在的常见问题被观察,当ISE返回重定向ACL时(或不适当地是输入)在WLC。如果这是实际情形,则客户端deauthenticated,一旦CENTRAL_WEBAUTH_REQD状态到达,造成进程再开始。
- 如果正确客户端状态可以到达,则请导航给WLC Web GUI的监视器>客户端并且验证正确重定向ACL和URL为客户端应用。
- 验证使用正确DNS。客户端应该有能力解决互联网网站和ISE主机名。您能通过nslookup验证此。
- 验证所有验证步骤在ISE发生:
- MAC验证应该首先出现, CWA属性返回。
- 门户登录认证出现。
- 动态授权发生。
- 最终验证是显示在ISE的门户用户名,最终授权结果返回的MAC验证(例如最终VLAN和ACL)。
停住的方案特别注意事项
考虑限制CWA进程效率在移动性方案的这些Cisco Bug ID (特别是当认为时配置) :