本文档介绍如何为隔离访客网络配置Cisco身份服务引擎(ISE)的静态重定向以保持冗余。还介绍了如何配置策略节点,以便客户端不会收到无法验证的证书警告。
Cisco 建议您了解以下主题:
本文档中的信息基于以下软件和硬件版本:
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
在许多自带设备(BYOD)环境中,访客网络与非军事化区域(DMZ)中的内部网络完全隔离。通常,访客DMZ中的DHCP为访客用户提供公共域名系统(DNS)服务器,因为提供的唯一服务是互联网访问。
因此,在版本1.2之前,很难在ISE上进行访客重定向,因为ISE会将客户端重定向到用于Web身份验证的完全限定域名(FQDN)。但是,对于ISE版本1.2及更高版本,管理员可以将访客用户重定向到静态IP地址或主机名。
这是一个逻辑图。
WLC上的配置与普通CWA配置相比保持不变。配置SSID以允许使用RADIUS身份验证进行MAC过滤,并且RADIUS记账指向两个或多个ISE策略节点。
本文档重点介绍ISE配置。
当WLC向ISE发送RADIUS MAC身份验证绕行(MAB)请求时,CWA流程开始。ISE向控制器回复重定向URL,以便将HTTP流量重定向到ISE。RADIUS和HTTP流量进入同一策略服务节点(PSN)非常重要,因为会话在单个PSN上维护。这通常通过单个规则执行,并且PSN会将自己的主机名插入CWA URL。但是,通过静态重定向,您必须为每个PSN创建规则以确保RADIUS和HTTP流量发送到同一PSN。
完成以下步骤以配置ISE:
完成以下步骤以确认您的配置是否工作正常:
Authentication Details(身份验证详细信息)窗口是一个显示身份验证/授权过程每个步骤的强大视图。要访问它,请导航到操作>身份验证,然后单击“详细信息”列下的放大镜图标。使用此窗口验证身份验证/授权规则条件已正确配置。
在本例中,Policy Server字段是主要关注领域。此字段包含用于进行身份验证的ISE PSN的主机名:
比较策略服务器条目与规则条件,并确保两者匹配(此值区分大小写):
版本 | 发布日期 | 备注 |
---|---|---|
1.0 |
23-Apr-2014
|
初始版本 |