在WLC上使用ISE为CWA配置FlexConnect AP

简介

本文档介绍如何在本地交换模式下使用身份服务引擎(ISE)的无线局域网控制器(WLC)上使用FlexConnect接入点(AP)配置中央网络身份验证。

重要说明：此时，此方案不支持FlexAP上的本地身份验证。

此系列中的其他文档

• 使用交换机和身份服务引擎的集中Web身份验证配置示例
• WLC和ISE上的中央Web身份验证配置示例

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本：

• 思科身份服务引擎(ISE)，版本1.2.1
• 无线局域网控制器软件版本 — 7.4.100.0

配置

在无线局域网控制器(WLC)上配置中央Web身份验证的方法有多种。 第一种方法是本地Web身份验证，其中WLC将HTTP流量重定向到内部或外部服务器，在该服务器中，用户会被提示进行身份验证。然后，WLC获取凭证（在外部服务器的情况下通过HTTP GET请求发回）并进行RADIUS身份验证。对于访客用户，需要外部服务器(如身份服务引擎(ISE)或NAC访客服务器(NGS))，因为门户提供设备注册和自调配等功能。此过程包括以下步骤：

1. 用户与Web身份验证SSID关联。
2. 用户打开其浏览器。
3. 一旦输入URL，WLC将重定向到访客门户（如ISE或NGS）。
4. 用户在门户上进行身份验证。
5. 访客门户使用输入的凭证重定向回WLC。
6. WLC通过RADIUS对访客用户进行身份验证。
7. WLC重定向回原始URL。

此过程包括大量重定向。新方法是使用与ISE（1.1版以上）和WLC（7.2版以上）配合使用的中央网络身份验证。 此过程包括以下步骤：

1. 用户与Web身份验证SSID关联。
2. 用户打开其浏览器。
3. WLC重定向到访客门户。
4. 用户在门户上进行身份验证。
5. ISE发送RADIUS授权更改（CoA - UDP端口1700）以向控制器指示用户有效并最终推送RADIUS属性，如访问控制列表(ACL)。
6. 系统将提示用户重试原始URL。

本节介绍在WLC和ISE上配置中央Web身份验证所需的步骤。

网络图

此配置使用以下网络设置：

WLC 配置

WLC配置相当简单。一个“魔术？使用（与交换机上相同）从ISE获取动态身份验证URL。（由于它使用CoA，因此需要创建会话，因为会话ID是URL的一部分。） SSID配置为使用MAC过滤，而ISE配置为返回Access-Accept消息，即使找不到MAC地址，它也会为所有用户发送重定向URL。 

此外，必须启用RADIUS网络准入控制(NAC)和AAA覆盖。RADIUS NAC允许ISE发送CoA请求，该请求指示用户现在已通过身份验证并能够访问网络。它还用于状态评估，其中ISE根据状态结果更改用户配置文件。

1. 确保RADIUS服务器启用了RFC3576(CoA)，这是默认设置。
   
   
   
   
2. 创建新WLAN。此示例创建名为CWAFlex的新WLAN，并将其分配给vlan33。（请注意，由于接入点处于本地交换模式，因此它不会产生太大影响。）
   
   
   
   
3. 在Security选项卡上，启用MAC Filtering作为Layer 2 Security。
   
   
   
   
4. 在第3层选项卡上，确保禁用安全。（如果在第3层上启用Web身份验证，则启用本地Web身份验证，而不是集中Web身份验证。）
   
   
   
   
5. 在AAA Servers选项卡上，选择ISE服务器作为WLAN的RADIUS服务器。或者，您可以选择它进行记账，以便获得有关ISE的更详细信息。
   
   
   
   
6.  在“高级”选项卡上，确保选中“允许AAA覆盖”(Allow AAA Override)，并为NAC状态选择“Radius NAC”(Radius NAC)。
   
   
   
   
7. 创建重定向ACL。
   
   此ACL在ISE的Access-Accept消息中引用，并定义应重定向的流量（被ACL拒绝）以及不应重定向的流量（由ACL允许）。 基本上，需要允许DNS和流入/流出ISE的流量。

   注意：FlexConnect AP的一个问题是，您必须创建与普通ACL分离的FlexConnect ACL。此问题记录在Cisco Bug CSCue68065中，并在7.5版中修复。在WLC 7.5及更高版本中，仅需要FlexACL，无需标准ACL。WLC期望ISE返回的重定向ACL是普通ACL。但是，为确保其工作正常，您需要应用与FlexConnect ACL相同的ACL。

   
   此示例显示如何创建名为flexred的FlexConnect ACL:
   
   
   
   

   1. 创建规则以允许DNS流量和流向ISE的流量并拒绝其余流量。
      
      
      如果要获得最高安全性，您只能允许端口8443到ISE。（如果进行故障评估，您必须添加典型的状态端口，例如8905,8906,8909,8910。）
      
      
   2. (仅在7.5版之前的代码上，由于CSCue68065)选择Security > Access Control Lists 以创建具有相同名称的相同ACL。
      
      
      
      
   3. 准备特定FlexConnect AP。请注意，对于较大的部署，出于可扩展性原因，您通常会使用FlexConnect组，而不按AP执行这些项目。
      
      
      1. 单击Wireless，然后选择特定接入点。
      2. 单击FlexConnect选项卡，然后单击External Webauthentication ACL。(在版本7.4之前，此选项被命名为Web策略。)
         
         
         
         
      3. 将ACL(在本示例中为flexred命名)添加到Web策略区域。这会将ACL预推送到接入点。它尚未应用，但ACL内容会提供给AP，以便在需要时应用。
         
         
         

WLC配置现已完成。

ISE配置

创建授权配置文件

要创建授权配置文件，请完成以下步骤：

1. 单击Policy，然后单击“Policy Elements”。

2. 单击“Results（结果）”。

3. 展开授权，然后单击授权配置文件。

4. 单击Add按钮，为中心Webauth创建新授权配置文件。

5. 在Name字段中，输入配置文件的名称。本示例使用CentralWebauth。

6. 从Access Type下拉列表中选择ACCESS_ACCEPT。

7. 选中Web Authentication复选框，然后从下拉列表中选择Centralized Web Auth。

8. 在ACL字段中，输入WLC上定义要重定向的流量的ACL的名称。此示例使用flexred。

9. 从“重定向”下拉列表中选择默认。

重定向属性定义ISE是否看到默认Web门户或ISE管理员创建的自定义Web门户。例如，本例中的flexred ACL会在HTTP流量从客户端到任何位置时触发重定向。

创建身份验证规则

要使用身份验证配置文件创建身份验证规则，请完成以下步骤：

1. 在Policy菜单下，单击Authentication。

   此图显示了如何配置身份验证策略规则的示例。在本例中，配置了一条规则，该规则将在检测到MAC过滤时触发。
   
   

2. 输入身份验证规则的名称。本示例使用Wireless mab。
3. 在If条件字段中选择加号(+)图标。
4. 选择复合条件，然后选择Wireless_MAB。
5. 选择“默认网络访问”作为允许的协议。
6. 单击和……旁边的箭头以进一步展开规则。
7. 单击“身份源”字段中的+图标，然后选择“内部终端”。
8. 从If user not found下拉列表中选择Continue。 
   
   

此选项允许设备进行身份验证（通过webauth），即使其MAC地址未知也是如此。Dot1x客户端仍可使用其凭证进行身份验证，因此不应关注此配置。

创建授权规则

现在，授权策略中有多个规则需要配置。当PC关联时，它将通过mac过滤；假设MAC地址未知，因此返回webauth和ACL。此MAC未知规则显示在下图中，并在本节中进行配置。

 

要创建授权规则，请完成以下步骤：

1. 创建新规则，然后输入名称。此示例使用未知的MAC。

2. 单击条件字段中的加号(+)图标，然后选择创建新条件。

3. 展开expression下拉列表。

4. 选择Network access，然后展开它。

5. 单击AuthenticationStatus，然后选择Equals运算符。

6. 在右侧字段中选择UnknownUser。

7. 在General Authorization页面上，在单词右侧的字段中选择CentralWebauth(Authorization Profile)。

   此步骤允许ISE继续，即使用户（或MAC）未知。

   现在，未知用户将显示登录页面。但是，一旦他们输入其凭证，他们将再次在ISE上提供身份验证请求；因此，必须为另一规则配置一个条件，如果用户是访客用户，则满足该条件。在本例中，如果UseridentityGroup等于Guest，则假设所有访客都属于此组。

8. 单击位于MAC not known规则末尾的操作按钮，然后选择在上面插入新规则。

   注意：此新规则必须早于MAC未知规则，这非常重要。

9. 在名称字段中输入第2个AUTH。

10. 选择身份组作为条件。此示例选择Guest。
    
    
11. 在条件字段中，单击加号(+)图标，然后选择创建新条件。
    
    
12. 选择Network Access,然后单击UseCase。
    
    
13. 选择Equals作为运算符。
    
    
14. 选择GuestFlow作为正确的操作数。这意味着，您将捕获刚登录网页并在授权更改（规则的访客流部分）后返回的用户，并且仅当他们属于访客身份组时。
    
    
15. 在授权页面上，单击加号(+)图标(位于其后的旁边)，以便为规则选择结果。
    
    在本例中，分配了预配置的配置文件(vlan34);本文档中未显示此配置。
    
    您可以选择允许访问选项或创建自定义配置文件以返回所需的VLAN或属性。

重要说明：在ISE版本1.3中，根据Web身份验证的类型，“访客流”使用案例可能不再出现。然后，授权规则必须将访客用户组作为唯一可能的条件。 

启用IP续约（可选）

如果分配VLAN，最后一步是客户端PC更新其IP地址。此步骤由Windows客户端的访客门户实现。如果之前未为第2个AUTH规则设置VLAN，则可跳过此步骤。

请注意，在FlexConnect AP上，VLAN需要预存在于AP本身。因此，如果没有，您可以在AP本身或不为要创建的新VLAN应用任何ACL的Flex组上创建VLAN-ACL映射。这实际上会创建VLAN（上没有ACL）。

如果已分配VLAN，请完成以下步骤以启用IP续约：

1. 单击Administration，然后单击Guest Management。

2. 单击设置。

3. 展开Guest，然后展开Multi-Portal Configuration。

4. 单击DefaultGuestPortal或您可能已创建的自定义门户的名称。

5. 单击Vlan DHCP Release复选框。

   注意：此选项仅适用于Windows客户端。

 

流量传输

在此场景中，似乎很难理解哪些流量是在何处发送的。下面是一个简要回顾：

• 客户端通过空中发送SSID的关联请求。
• WLC使用ISE处理MAC过滤身份验证（在此处接收重定向属性）。
• 客户端仅在MAC过滤完成后收到assoc响应。
• 客户端提交DHCP请求，即 本地 交换，以便获取远程站点的IP地址。
• 在Central_webauth状态下，在重定向ACL上标记为拒绝的流量（通常为HTTP）为 集中 交换。因此，执行重定向的不是AP，而是WLC;例如，当客户端请求任何网站时，AP将其发送到封装在CAPWAP中的WLC，WLC会欺骗该网站IP地址并重定向到ISE。
• 客户端重定向到ISE重定向URL。这是 本地 重新交换（因为它在flex redirect ACL上命中permit）。
• 一旦进入RUN状态，流量将在本地交换。

验证

用户关联到SSID后，授权将显示在ISE页面。

从下到上，您可以看到返回CWA属性的MAC地址过滤身份验证。接下来是使用用户名登录的门户。然后，ISE向WLC发送CoA，最后一次身份验证是WLC端的第2层MAC过滤身份验证，但ISE会记住客户端和用户名并应用我们在本示例中配置的必要VLAN。

当客户端上打开任何地址时，浏览器将重定向到ISE。确保正确配置域名系统(DNS)。

在用户接受策略后授予网络访问权限。

在控制器上，策略管理器状态和RADIUS NAC状态从POSTURE_REQD更改为RUN状态。