简介
本文档介绍如何在本地交换模式下使用身份服务引擎(ISE)的无线局域网控制器(WLC)上使用FlexConnect接入点(AP)配置中央网络身份验证。
重要说明:此时,此方案不支持FlexAP上的本地身份验证。
此系列中的其他文档
先决条件
要求
本文档没有任何特定的要求。
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 思科身份服务引擎(ISE),版本1.2.1
- 无线局域网控制器软件版本 — 7.4.100.0
配置
在无线局域网控制器(WLC)上配置中央Web身份验证的方法有多种。 第一种方法是本地Web身份验证,其中WLC将HTTP流量重定向到内部或外部服务器,在该服务器中,用户会被提示进行身份验证。然后,WLC获取凭证(在外部服务器的情况下通过HTTP GET请求发回)并进行RADIUS身份验证。对于访客用户,需要外部服务器(如身份服务引擎(ISE)或NAC访客服务器(NGS)),因为门户提供设备注册和自调配等功能。此过程包括以下步骤:
- 用户与Web身份验证SSID关联。
- 用户打开其浏览器。
- 一旦输入URL,WLC将重定向到访客门户(如ISE或NGS)。
- 用户在门户上进行身份验证。
- 访客门户使用输入的凭证重定向回WLC。
- WLC通过RADIUS对访客用户进行身份验证。
- WLC重定向回原始URL。
此过程包括大量重定向。新方法是使用与ISE(1.1版以上)和WLC(7.2版以上)配合使用的中央网络身份验证。 此过程包括以下步骤:
- 用户与Web身份验证SSID关联。
- 用户打开其浏览器。
- WLC重定向到访客门户。
- 用户在门户上进行身份验证。
- ISE发送RADIUS授权更改(CoA - UDP端口1700)以向控制器指示用户有效并最终推送RADIUS属性,如访问控制列表(ACL)。
- 系统将提示用户重试原始URL。
本节介绍在WLC和ISE上配置中央Web身份验证所需的步骤。
网络图
此配置使用以下网络设置:

WLC 配置
WLC配置相当简单。一个“魔术?使用(与交换机上相同)从ISE获取动态身份验证URL。(由于它使用CoA,因此需要创建会话,因为会话ID是URL的一部分。) SSID配置为使用MAC过滤,而ISE配置为返回Access-Accept消息,即使找不到MAC地址,它也会为所有用户发送重定向URL。
此外,必须启用RADIUS网络准入控制(NAC)和AAA覆盖。RADIUS NAC允许ISE发送CoA请求,该请求指示用户现在已通过身份验证并能够访问网络。它还用于状态评估,其中ISE根据状态结果更改用户配置文件。
- 确保RADIUS服务器启用了RFC3576(CoA),这是默认设置。

- 创建新WLAN。此示例创建名为CWAFlex的新WLAN,并将其分配给vlan33。(请注意,由于接入点处于本地交换模式,因此它不会产生太大影响。)

- 在Security选项卡上,启用MAC Filtering作为Layer 2 Security。

- 在第3层选项卡上,确保禁用安全。(如果在第3层上启用Web身份验证,则启用本地Web身份验证,而不是集中Web身份验证。)

- 在AAA Servers选项卡上,选择ISE服务器作为WLAN的RADIUS服务器。或者,您可以选择它进行记账,以便获得有关ISE的更详细信息。

- 在“高级”选项卡上,确保选中“允许AAA覆盖”(Allow AAA Override),并为NAC状态选择“Radius NAC”(Radius NAC)。

- 创建重定向ACL。
此ACL在ISE的Access-Accept消息中引用,并定义应重定向的流量(被ACL拒绝)以及不应重定向的流量(由ACL允许)。 基本上,需要允许DNS和流入/流出ISE的流量。
注意:FlexConnect AP的一个问题是,您必须创建与普通ACL分离的FlexConnect ACL。此问题记录在Cisco Bug CSCue68065中,并在7.5版中修复。在WLC 7.5及更高版本中,仅需要FlexACL,无需标准ACL。WLC期望ISE返回的重定向ACL是普通ACL。但是,为确保其工作正常,您需要应用与FlexConnect ACL相同的ACL。
此示例显示如何创建名为flexred的FlexConnect ACL:

- 创建规则以允许DNS流量和流向ISE的流量并拒绝其余流量。

如果要获得最高安全性,您只能允许端口8443到ISE。(如果进行故障评估,您必须添加典型的状态端口,例如8905,8906,8909,8910。)
- (仅在7.5版之前的代码上,由于CSCue68065)选择Security > Access Control Lists 以创建具有相同名称的相同ACL。

- 准备特定FlexConnect AP。请注意,对于较大的部署,出于可扩展性原因,您通常会使用FlexConnect组,而不按AP执行这些项目。
- 单击Wireless,然后选择特定接入点。
- 单击FlexConnect选项卡,然后单击External Webauthentication ACL。(在版本7.4之前,此选项被命名为Web策略。)

- 将ACL(在本示例中为flexred命名)添加到Web策略区域。这会将ACL预推送到接入点。它尚未应用,但ACL内容会提供给AP,以便在需要时应用。

WLC配置现已完成。
ISE配置
创建授权配置文件
要创建授权配置文件,请完成以下步骤:
单击Policy,然后单击“Policy Elements”。
单击“Results(结果)”。
展开授权,然后单击授权配置文件。
单击Add按钮,为中心Webauth创建新授权配置文件。
在Name字段中,输入配置文件的名称。本示例使用CentralWebauth。
从Access Type下拉列表中选择ACCESS_ACCEPT。
选中Web Authentication复选框,然后从下拉列表中选择Centralized Web Auth。
在ACL字段中,输入WLC上定义要重定向的流量的ACL的名称。此示例使用flexred。
从“重定向”下拉列表中选择默认。
重定向属性定义ISE是否看到默认Web门户或ISE管理员创建的自定义Web门户。例如,本例中的flexred ACL会在HTTP流量从客户端到任何位置时触发重定向。

创建身份验证规则
要使用身份验证配置文件创建身份验证规则,请完成以下步骤:
- 在Policy菜单下,单击Authentication。
此图显示了如何配置身份验证策略规则的示例。在本例中,配置了一条规则,该规则将在检测到MAC过滤时触发。

- 输入身份验证规则的名称。本示例使用Wireless mab。
- 在If条件字段中选择加号(+)图标。
- 选择复合条件,然后选择Wireless_MAB。
- 选择“默认网络访问”作为允许的协议。
- 单击和……旁边的箭头以进一步展开规则。
- 单击“身份源”字段中的+图标,然后选择“内部终端”。
- 从If user not found下拉列表中选择Continue。

此选项允许设备进行身份验证(通过webauth),即使其MAC地址未知也是如此。Dot1x客户端仍可使用其凭证进行身份验证,因此不应关注此配置。
创建授权规则
现在,授权策略中有多个规则需要配置。当PC关联时,它将通过mac过滤;假设MAC地址未知,因此返回webauth和ACL。此MAC未知规则显示在下图中,并在本节中进行配置。

要创建授权规则,请完成以下步骤:
创建新规则,然后输入名称。此示例使用未知的MAC。
单击条件字段中的加号(+)图标,然后选择创建新条件。
展开expression下拉列表。
选择Network access,然后展开它。
单击AuthenticationStatus,然后选择Equals运算符。
在右侧字段中选择UnknownUser。
在General Authorization页面上,在单词右侧的字段中选择CentralWebauth(Authorization Profile)。
此步骤允许ISE继续,即使用户(或MAC)未知。
现在,未知用户将显示登录页面。但是,一旦他们输入其凭证,他们将再次在ISE上提供身份验证请求;因此,必须为另一规则配置一个条件,如果用户是访客用户,则满足该条件。在本例中,如果UseridentityGroup等于Guest,则假设所有访客都属于此组。
单击位于MAC not known规则末尾的操作按钮,然后选择在上面插入新规则。
注意:此新规则必须早于MAC未知规则,这非常重要。
在名称字段中输入第2个AUTH。
- 选择身份组作为条件。此示例选择Guest。
- 在条件字段中,单击加号(+)图标,然后选择创建新条件。
- 选择Network Access,然后单击UseCase。
- 选择Equals作为运算符。
- 选择GuestFlow作为正确的操作数。这意味着,您将捕获刚登录网页并在授权更改(规则的访客流部分)后返回的用户,并且仅当他们属于访客身份组时。
- 在授权页面上,单击加号(+)图标(位于其后的旁边),以便为规则选择结果。
在本例中,分配了预配置的配置文件(vlan34);本文档中未显示此配置。
您可以选择允许访问选项或创建自定义配置文件以返回所需的VLAN或属性。
重要说明:在ISE版本1.3中,根据Web身份验证的类型,“访客流”使用案例可能不再出现。然后,授权规则必须将访客用户组作为唯一可能的条件。
启用IP续约(可选)
如果分配VLAN,最后一步是客户端PC更新其IP地址。此步骤由Windows客户端的访客门户实现。如果之前未为第2个AUTH规则设置VLAN,则可跳过此步骤。
请注意,在FlexConnect AP上,VLAN需要预存在于AP本身。因此,如果没有,您可以在AP本身或不为要创建的新VLAN应用任何ACL的Flex组上创建VLAN-ACL映射。这实际上会创建VLAN(上没有ACL)。
如果已分配VLAN,请完成以下步骤以启用IP续约:
单击Administration,然后单击Guest Management。
单击设置。
展开Guest,然后展开Multi-Portal Configuration。
单击DefaultGuestPortal或您可能已创建的自定义门户的名称。
单击Vlan DHCP Release复选框。
注意:此选项仅适用于Windows客户端。
流量传输
在此场景中,似乎很难理解哪些流量是在何处发送的。下面是一个简要回顾:
- 客户端通过空中发送SSID的关联请求。
- WLC使用ISE处理MAC过滤身份验证(在此处接收重定向属性)。
- 客户端仅在MAC过滤完成后收到assoc响应。
- 客户端提交DHCP请求,即 本地 交换,以便获取远程站点的IP地址。
- 在Central_webauth状态下,在重定向ACL上标记为拒绝的流量(通常为HTTP)为 集中 交换。因此,执行重定向的不是AP,而是WLC;例如,当客户端请求任何网站时,AP将其发送到封装在CAPWAP中的WLC,WLC会欺骗该网站IP地址并重定向到ISE。
- 客户端重定向到ISE重定向URL。这是 本地 重新交换(因为它在flex redirect ACL上命中permit)。
- 一旦进入RUN状态,流量将在本地交换。
验证
用户关联到SSID后,授权将显示在ISE页面。

从下到上,您可以看到返回CWA属性的MAC地址过滤身份验证。接下来是使用用户名登录的门户。然后,ISE向WLC发送CoA,最后一次身份验证是WLC端的第2层MAC过滤身份验证,但ISE会记住客户端和用户名并应用我们在本示例中配置的必要VLAN。
当客户端上打开任何地址时,浏览器将重定向到ISE。确保正确配置域名系统(DNS)。

在用户接受策略后授予网络访问权限。

在控制器上,策略管理器状态和RADIUS NAC状态从POSTURE_REQD更改为RUN状态。