与静态重定向的ISE隔离访客网络配置示例的

下载选项

PDF (735.1 KB)
在各种设备上使用 Adobe Reader 查看
ePub (426.9 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (525.0 KB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2014 年 4 月 23 日

文档 ID:117620

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文描述如何配置思科身份服务引擎(ISE)有隔离访客网络的静态重定向的为了维护冗余。它也描述如何配置策略节点，以便客户端没有用一不能证实的证书警告提示。

先决条件

要求

Cisco 建议您了解以下主题：

思科ISE中央Web验证(CWA)和所有相关组件
证书有效性的浏览器验证
Cisco ISE版本1.2.0.899或以上
Cisco无线LAN控制器(WLC)版本7.2.110.0或以上(版本7.4.100.0或以后更喜欢)

Note:CWA在WLC和ISE配置示例的中央Web验证描述Cisco条款。

使用的组件

本文档中的信息基于以下软件和硬件版本：

Cisco ISE版本1.2.0.899
Cisco虚拟WLC (vWLC)版本7.4.110.0
Cisco可适应安全工具(ASA)版本8.2.5

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

背景信息

在许多请带来您自己的设备(BYOD)环境，网络从在非敏感区域(DMZ)的内部网络充分地隔离的访客。通常，在访客DMZ提供公共域名称系统(DNS)服务器的DHCP对来宾用户，因为提供的唯一的服务是互联网访问。

因为ISE重定向客户端对Web验证的，完全合格的域名(FQDN)这在ISE做访客重定向困难在版本1.2之前。然而，与ISE版本1.2和以上，管理员能重定向来宾用户到静态IP地址或主机名。

配置

网络图

这是逻辑图。

Note:实际上，有在内部网络的一个无线控制器，接入点(AP)在内部网络和服务集设置识别(SSID)停住对DMZ控制器。参考思科WLCs的文档欲知更多信息。

配置

在WLC的配置依然是不可更改从正常CWA配置。SSID配置为了准许MAC过滤与RADIUS验证的和往两个或多个ISE策略节点的RADIUS认为的点。

本文着重ISE配置。

Note:在本例中配置示例，策略节点是杰西dunkel (172.18.124.20)和杰西maibock (172.18.124.21)。

CWA流开始，当WLC发送RADIUS MAC验证旁路(MAB)请求对ISE。与重定向URL的ISE回复对控制器为了重定向HTTP数据流到ISE。重要的是RADIUS和HTTP数据流去Services节点同一项的策略(PSN)，因为会话在单个PSN保养。这用单个规则通常执行，并且PSN插入其自己的主机名到CWA URL。然而，与静态重定向，您必须创建每个PSN的一个规则为了保证RADIUS和HTTP数据流发送对同样PSN。

完成这些步骤为了配置ISE ：

设置两个规则为了重定向客户端到PSN IP地址。导航对策略>Policy元素>结果>授权>授权配置文件。

这些镜像显示配置文件名称的DunkelGuestWireless信息：

这些镜像显示配置文件名称的MaibockGuestWireless信息：

Note:在WLC配置为了允许客户端与ISE联络在验证的ACL-PROVISION是本地访问控制表(ACL)。参考在WLC和ISE配置示例的中央Web验证Cisco条款欲知更多信息。
配置授权修正，以便他们在网络访问配比：ISE主机名属性和提供适当的授权配置文件：

即然客户端重定向对IP地址，用户收到证书警告，因为URL不匹配在证书的信息。例如，在证书的FQDN是杰西dunkel.rtpaaa.local，但是URL是172.18.124.20。Hereis允许浏览器验证证书用IP地址的示例证书：

使用使用附属的替代方案名称(SAN)条目，包括IP地址172.18.124.20的浏览器能验证URL。必须创建三个SAN条目为了寻址多种客户端不相容。
创建DNS名的一个SAN条目并且保证匹配从主题字段的CN=条目。
创建两个条目为了允许客户端验证IP地址;这些是为IP地址的DNS名以及在IP地址属性出现的IP地址。一些客户端只参考DNS名。其他不接受在DNS名属性的一个IP地址，反而参考IP地址属性。

Note:关于证书生成的更多信息，参考思科身份服务引擎硬件安装指南，版本1.2。

验证

完成这些步骤为了确认您的配置适当地工作：

为了验证两个规则是工作，手工设置在WLAN配置ISE PSN的命令：
登录访客SSID，导航对在ISE的操作>认证，并且验证正确授权规则点击：

初始MAB验证给对DunkelGuestWireless授权配置文件。这是特别地重定向给杰西dunkel，是第一个ISE节点的规则。在gguest01用户登录以后， GuestPermit正确最终权限给。
为了清除从WLC的验证会话，从无线网络请断开客户端设备，导航给WLC的监视器>客户端，并且删除从输出的会话。默认情况下WLC举行空闲会话五分钟，因此为了执行一有效测验，您必须重新开始。
倒转ISE PSN的命令在访客WLAN配置下：
登录访客SSID，导航对在ISE的操作>认证，并且验证正确授权规则点击：

对于第二尝试， MaibockGuestWireless授权配置文件为初始MAB验证正确地点击。类似于第一次尝试于杰西dunkel (步骤2)，对杰西maibock的验证正确地点击最终授权的GuestPermit。由于没有在GuestPermit授权配置文件的PSN特定信息，单个规则可以用于对所有PSN的验证。