与FlexConnect APs的中央Web认证在与ISE配置示例的一WLC

Introduction

本文描述如何用FlexConnect接入点(APs)配置中央Web认证在一个无线局域网控制器(WLC)用身份服务引擎(ISE)在本地交换模式。

注意事项：此时，在FlexAPs的本地认证不为此方案支持。

其他文件此系列

• 与交换机和身份服务引擎配置示例的中央Web认证
• 在WLC和ISE的中央Web认证配置示例

Prerequisites

Requirements

There are no specific requirements for this document.

Components Used

本文档中的信息基于以下软件和硬件版本：

• 思科身份服务引擎(ISE)，版本1.2.1
• 无线局域网控制器软件，版本版本7.4.100.0

Configure

有配置在无线局域网控制器(WLC)的中央Web认证的多种方法。第一种方法是WLC重定向HTTP数据流到一个内部或外部服务器用户提示验证的本地Web认证。WLC然后拿来证件(被退还通过HTTP GET请求一旦一个外部服务器)并且做RADIUS认证。一旦客人身份的用户，一个外部服务器(例如身份服务引擎(ISE)或NAC客户服务器(NGS))需要作为门户提供功能例如设备注册和自设置。此进程包括这些步骤：

1. 用户联合对Web认证SSID。
2. 用户打开他们的浏览器。
3. 对客户门户的WLC重定向(例如ISE或NGS)，当URL被输入。
4. 用户在门户验证。
5. 回到WLC的客户门户重定向与被输入的证件。
6. WLC通过RADIUS验证客人身份的用户。
7. 回到原始URL的WLC重定向。

此进程包括很多重定向。新的方法将使用与ISE的中央Web认证(版本一起使用晚于1.1)和WLC (版本晚于7.2)。此进程包括这些步骤：

1. 用户联合对Web认证SSID。
2. 用户打开他们的浏览器。
3. 对客户门户的WLC重定向。
4. 用户在门户验证。
5. ISE发送授权(CoA的RADIUS更改- UDP端口1700)表明到控制器用户是有效的和最终推进RADIUS属性例如访问控制表(ACL)。
6. 提示用户再试原始URL。

此部分描述必要步骤配置在WLC和ISE的中央Web认证。

Network Diagram

此配置使用此网络建立：

WLC 配置

WLC配置是相当简单的。“窍门？使用(同一样在交换机)获得从ISE的动态认证URL。(因为使用CoA，会话需要被创建作为会话ID是URL的一部分。)配置SSID使用过滤的MAC，并且配置ISE返回Access-Accept消息，即使没找到MAC地址，以便发送所有用户的重定向URL。 

另外， RADIUS网络准入控制(NAC)和AAA覆盖一定是启用的。RADIUS NAC允许ISE发送指示的CoA请求用户当前验证并且能访问网络。它也使用ISE更改根据状态结果的用户配置文件的状态评估。

1. 保证RADIUS服务器有(CoA)被启用的RFC3576，是默认值。
   
   
   
   
2. 创建一新的WLAN。此示例创建名为CWAFlex的一新的WLAN并且分配它到vlan33。(请注意它不会有效果，因为接入点在本地交换模式。)
   
   
   
   
3. 在安全选项，过滤作为第2层安全的enable (event) MAC。
   
   
   
   
4. 在第3层选项，请保证安全是失效的。(如果Web认证在第3层被启用，本地Web认证是启用，不中央Web认证。)
   
   
   
   
5. 在AAA服务器上请选中，选择ISE服务器作为RADIUS服务器为WLAN。随意地，您能为认为选择它为了有关于ISE的详细信息。
   
   
   
   
6.  在高级选项卡。，请保证允许AAA覆盖被检查，并且Radius NAC为NAC状态选择。
   
   
   
   
7. 创建重定向ACL。
   
   ThisACL被参考theISE Access-Accept消息并且定义了应该重定向不应该重定向什么数据流(拒绝由theACL)以及什么数据流(允许由theACL)。基本上， DNS和数据流到/从theISE需要允许。

   Note:FlexConnect APs的一个问题是您必须创建FlexConnect ACL分别于您的正常ACL。此问题在Cisco Bug CSCue68065方面在版本7.5描述和被调整。 在WLC 7.5及以后，需要仅FlexACL，并且标准ACL不是需要的。WLC预计ISE返回的重定向ACL是正常ACL。然而，保证它工作，您需要象FlexConnect ACL适用的同样ACL。

   
   此示例显示如何创建名为flexred的FlexConnect ACL ：
   
   
   
   

   1. 创建规则允许DNS数据流以及数据流往ISE和拒绝其余。
      
      
      如果想要最大安全性，您能允许往ISE的仅端口8443。(如果摆姿势，您必须添加典型的状态端口，例如8905,8906,8909,8910。)
      
      
   2. (仅在版本7.5前的代码由于CSCue68065)请选择创建相同的ACL的安全>访问控制列表用同一个名字。
      
      
      
      
   3. 准备特定FlexConnect AP。注意为更大的配置，您典型地会使用FlexConnect组和不会执行根据一个每个AP基本类型的这些项目为可扩展性原因。
      
      
      1. 点击无线，并且选择特定接入点。
      2. 点击FlexConnect选项，并且点击外部Webauthentication ACL。(在版本7.4之前，此选项被命名了Web策略。)
         
         
         
         
      3. 添加ACL (命名flexred在本例中)到Web政策方面。这PRE推进对接入点的ACL。没有适用它，但是ACL内容产生AP，以便能适用，当需要。
         
         
         

WLC配置当前完成。

ISE配置

创建授权配置文件

完成这些步骤为了创建授权配置文件：

1. 点击策略，然后点击策略元素。

2. 点击结果。

3. 扩展授权，然后点击授权配置文件。

4. 点击Add按钮为了创建中央webauth的一个新的授权配置文件。

5. 在名称字段，请输入一个名字对于配置文件。此示例使用CentralWebauth。

6. 从访问类型下拉列表选择ACCESS_ACCEPT。

7. 检查Web认证复选框，并且从下拉列表选择集中化Web Auth。

8. 在ACL字段，请输入定义了数据流将重定向ACL的名字在WLC的。此示例使用flexred。

9. 从重定向下拉列表选择默认值。

重定向属性定义了ISE是否看到ISE admin创建的默认Web门户或一个自定义Web门户。例如，在本例中的flexred ACL触发重定向在从客户端的HTTP数据流到任何地方。

创建认证规则

完成这些步骤为了使用认证配置文件创建认证规则：

1. 在策略菜单下，请点击认证。

   此镜像显示示例如何配置认证策略规则。在本例中的规则将触发配置，当发现时MAC过滤。
   
   

2. 输入一个名字对于您的认证规则。此示例使用无线mab。
3. 选择正(+)在的图标，如果情况字段。
4. 选择复合条件，然后选择Wireless_MAB。
5. 选择"Default network access"作为允许的协议。
6. 点击箭头被找出在旁边和…为了进一步扩展规则。
7. 点击+在身份Source字段的图标，并且选择内部终端。
8. 选择从继续，如果用户没被找到的下拉列表。 
   
   

此选项允许设备验证(通过webauth)，即使其MAC地址不知道。Dot1x客户端仍然验证与他们的证件，并且不应该牵涉到此配置。

创建授权规则

当前有配置的几个规则在授权策略。当PC是关联的，将通过mac过滤;假设， MAC地址不知道，因此webauth和ACL返回。此MAC没已知规则在下面镜像显示和在此部分被配置。

 

完成这些步骤为了创建授权规则：

1. 创建一新规则，并且输入名字。此示例使用没已知的MAC。

2. 点击正(+)在情况字段的图标，并且选择创造新的条件。

3. 扩展表达式下拉列表。

4. 选择网络访问，并且扩展它。

5. 点击AuthenticationStatus，并且选择等于运算符。

6. 选择在右边的字段的UnknownUser。

7. 在一般授权页，请在然后词右边选择CentralWebauth (授权配置文件)在字段。

   此步骤允许ISE继续，即使用户(或MAC)不知道。

   未知用户当前向用户显示登录页。然而，一旦他们输入他们的证件，他们再看到在ISE的认证请求;因此，必须配置有另一个规则符合的情况，如果用户是客人身份的用户。在本例中，如果UseridentityGroup使用等于客户和它假设，所有客户属于此组。

8. 点击Action按钮查找在MAC没已知规则结束时，并且选择插入上面新规则。

   Note: 重要的是非常此新规则在MAC没已知规则前来。

9. 输入第2个AUTH在名称字段。

10. 选择一个身份组作为情况。此示例选择了客户。
    
    
11. 在情况字段，请点击正(+)图标，并且选择创造新的条件。
    
    
12. 选择网络访问，并且点击UseCase。
    
    
13. 选择等于作为运算符。
    
    
14. 选择GuestFlow作为正确的操作数。这意味着您将捉住在网页登陆并且回来，在授权后的用户(规则的客户流零件的更改)，并且，只有当他们属于客户身份组。
    
    
15. 在授权页，请点击正(+)图标(位于在然后旁边)为了选择您的规则的一个结果。
    
    在本例中，一个预先配置的配置文件(vlan34)分配;此配置在本文没有显示。
    
    您能选择许可证访问选项或创建一个自定义配置文件为了返回您喜欢的VLAN或属性。

注意事项：在ISE Version1.3，根据Web认证的种类， “客户流”用例也许不再遇到。授权规则然后将必须包含客户用户组作为唯一的可能的情况。 

Enable (event) IP续订(可选)

如果分配VLAN，最终步骤是为了客户端PC机能更新其IP地址。此步骤由Windows客户端的客户门户达到。如果没有设置第2个AUTH规则的VLAN前，您能跳到此步骤。

注意在FlexConnect APs， VLAN在AP需要事先存在。所以，如果它不，您能创建在AP的一个VLAN-ACL映射或在您不适用新的VLAN的任何ACL的弹性组您要创建。那实际上创建VLAN (没有对此的ACL)。

如果分配VLAN，请完成这些步骤为了enable (event) IP续订：

1. 点击管理，然后点击客户管理。

2. 单击设置。

3. 扩展客户，然后扩展多PORTAL配置。

4. 点击DefaultGuestPortal或您可能创建了一个自定义门户的名字。

5. 点击VLAN DHCP Release复选框。

   Note: 此选项为Windows客户端仅工作。

 

通信流

了解能似乎难哪数据流在此方案的地方被发送。这是快速复核：

• 客户端发送在空气的关联申请SSID的。
• WLC处理过滤与ISE的MAC认证(其中接受重定向属性)。
• 在MAC过滤完成后，客户端只收到assoc答复。
• 客户端提交DHCP请求，并且那由接入点为了obain本地交换远程站点的IP地址。
• 在Central_webauth状态下，数据流标记为在重定向典型ACL (因此HTTP拒绝)在中央被交换。不因此执行重定向，但是WLC的它是AP;例如，当客户端请求所有网站时， AP发送此到在CAPWAP和网站IP地址和重定向往ISE的WLC欺骗封装的WLC。
• 客户端重定向对ISE重定向URL。(因为在弹性重定向ACL的许可证击中)，这本地再被交换。
• 一旦在运转状态，数据流本地交换。

Verify

一旦用户被关联对SSID，授权在ISE页显示。

从底部，您能看到返回CWA属性的MAC地址过滤认证。其次与用户名的门户登录。ISE然后发送CoA到WLC，并且前个认证是过滤在WLC边的第2层mac认证，但是ISE切记客户端和用户名并且适用我们在本例中配置的必要的VLAN。

当所有地址在客户端时被打开，浏览器重定向对ISE。保证域名系统(DNS)正确地被配置。

网络访问，在用户接受策略后，准许。

在控制器上，策略管理器状态和RADIUS NAC状态变换从POSTURE_REQD到RAN。