隔离访客网络的带静态重定向的ISE配置示例

下载选项

PDF (903.0 KB)
在各种设备上使用 Adobe Reader 查看
ePub (611.5 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (605.1 KB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2014 年 4 月 23 日

文档 ID:117620

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍如何为隔离访客网络配置Cisco身份服务引擎(ISE)的静态重定向以保持冗余。还介绍了如何配置策略节点，以便客户端不会收到无法验证的证书警告。

先决条件

要求

Cisco 建议您了解以下主题：

思科ISE中心Web身份验证(CWA)和所有相关组件
证书有效性的浏览器验证
思科ISE 版本 1.2.0.899 或更高版本
思科无线局域网控制器(WLC)版本 7.2.110.0或更高版本（首选版本7.4.100.0或更高版本）

注意：CWA在WLC和ISE上的集中Web身份验证配置示例Cisco文章中进行了说明。

使用的组件

本文档中的信息基于以下软件和硬件版本：

思科ISE 1.2.0.899 版
思科虚拟WLC (vWLC)版本 7.4.110.0
思科自适应安全设备(ASA))8.2.5 版

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

背景信息

在许多自带设备(BYOD)环境中，访客网络与非军事化区域(DMZ)中的内部网络完全隔离。通常，访客DMZ中的DHCP为访客用户提供公共域名系统(DNS)服务器，因为提供的唯一服务是互联网访问。

因此，在版本1.2之前，很难在ISE上进行访客重定向，因为ISE会将客户端重定向到用于Web身份验证的完全限定域名(FQDN)。但是，对于ISE版本1.2及更高版本，管理员可以将访客用户重定向到静态IP地址或主机名。

配置

网络图

这是一个逻辑图。

注意：从物理上讲，内部网络中有一个无线控制器，接入点(AP)在内部网络中，并且服务集标识(SSID)锚定到DMZ控制器。有关详细信息，请参阅Cisco WLC的文档。

配置

WLC上的配置与普通CWA配置相比保持不变。配置SSID以允许使用RADIUS身份验证进行MAC过滤，并且RADIUS记账指向两个或多个ISE策略节点。

本文档重点介绍ISE配置。

注意：在此配置示例中，策略节点是jesse-dunkel (172.18.124.20)和jesse-maibock (172.18.124.21)。

当WLC向ISE发送RADIUS MAC身份验证绕行(MAB)请求时，CWA流程开始。ISE向控制器回复重定向URL，以便将HTTP流量重定向到ISE。RADIUS和HTTP流量进入同一策略服务节点(PSN)非常重要，因为会话在单个PSN上维护。这通常通过单个规则执行，并且PSN会将自己的主机名插入CWA URL。但是，通过静态重定向，您必须为每个PSN创建规则以确保RADIUS和HTTP流量发送到同一PSN。

完成以下步骤以配置ISE：

设置两个规则以将客户端重定向到PSN IP地址。导航到策略>Policy元素>结果>授权>授权配置文件。

下图显示配置文件名称DunkelGuestWireless的信息：

这些图像显示配置文件名称MaibockGuestWireless的信息：

注意：ACL-PROVISION是在WLC上配置的本地访问控制列表(ACL)，以允许客户端在身份验证时与ISE通信。有关详细信息，请参阅WLC和ISE上的中心Web身份验证配置示例 Cisco文章。
配置授权策略，使其在网络访问：ISE主机名属性上匹配，并提供相应的授权配置文件：

客户端重定向到IP地址后，用户将收到证书警告，因为URL与证书中的信息不匹配。例如，证书中的FQDN是jesse-dunkel.rtpaaa.local，但是URL是172.18.124.20。以下是允许浏览器使用IP地址验证证书的示例证书：

使用主题备用名称(SAN)条目，浏览器可以验证包括IP地址172.18.124.20的URL。必须创建三个SAN条目以解决各种客户端不兼容问题。
为DNS名称创建一个SAN条目，并确保该条目与Subject字段中的CN=条目匹配。
创建两个条目以允许客户端验证IP地址；这两个条目同时用于IP地址的DNS名称和IP地址属性中显示的IP地址。某些客户端仅引用DNS名称。其他路由器不接受“DNS名称”属性中的IP地址，而是引用“IP地址”属性。

注意：有关证书生成的详细信息，请参阅思科身份服务引擎硬件安装指南，版本1.2。

验证

完成以下步骤以确认您的配置是否工作正常：

为了验证两个规则是否都正常工作，请手动设置WLAN上配置的ISE PSN的顺序：
登录访客SSID，在ISE中导航到操作>身份验证，然后验证是否达到了正确的授权规则：

初始MAB身份验证会提供给DunkelGuestWireless授权配置文件。此规则专门重定向到jesse-dunkel，它是第一个ISE节点。在gguest01用户登录后，将给予正确的GuestPermit最终权限。
为了从WLC清除身份验证会话，断开客户端设备与无线网络的连接，导航到WLC上的Monitor > Clients，然后从输出中删除该会话。默认情况下，WLC会保留空闲会话五分钟，因此，要执行有效测试，必须重新开始。
在访客WLAN配置下颠倒ISE PSN的顺序：
登录访客SSID，在ISE中导航到操作>身份验证，然后验证是否达到了正确的授权规则：

在第二次尝试中，已为初始MAB身份验证正确命中MaibockGuestWireless授权配置文件。与第一次尝试jesse-dunkel（第2步）相似，jesse-maibock的身份验证会正确命中GuestPermit，以获取最终授权。由于GuestPermit授权配置文件中没有PSN特定信息，因此可以使用单个规则对任何PSN进行身份验证。