配置ISE访客临时和永久访问

下载选项

  • PDF     (1.4 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (1.1 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (1.3 MB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2015 年 11 月 18 日
文档 ID:200273

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。


简介

本文档介绍身份服务引擎(ISE)访客访问配置的不同方法。根据授权规则中的不同条件:

  • 可以提供对网络的永久访问(无需后续身份验证)
  • 可以提供对网络的临时访问(需要在会话到期后进行访客身份验证)

此外,还介绍了会话删除的特定无线LAN控制器(WLC)行为以及对临时访问场景的影响。

先决条件

要求

Cisco 建议您了解以下主题:

  • ISE部署和访客流量
  • 无线局域网控制器(WLC)的配置

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • Microsoft Windows 7
  • Cisco WLC版本7.6及更高版本
  • ISE软件1.3版及更高版本

配置

有关基本访客访问配置,请参阅参考配置示例。本文重点介绍授权规则配置和授权条件之间的差异。

网络图

200273-Configure-ISE-Guest-Temporary-and-Perman-00.jpeg

永久访问

在启用了设备注册的情况下,在访客门户上成功进行身份验证后,对于ISE版本1.3及更高版本。

200273-Configure-ISE-Guest-Temporary-and-Perman-01.png

终端设备(mac地址)在特定终端组(本示例中为GuestEndpoints)中静态注册。

200273-Configure-ISE-Guest-Temporary-and-Perman-02.png

该组源自用户的访客类型,如本图所示。

200273-Configure-ISE-Guest-Temporary-and-Perman-03.png

如果是企业用户(身份库,而不是访客),则从门户设置派生该设置。

200273-Configure-ISE-Guest-Temporary-and-Perman-04.png

因此,与访客关联的MAC地址始终属于该特定身份组。不能自动更改(例如,通过Profiler服务)。

注意:要应用分析器结果,可以使用EndPointPolicy授权条件。

由于知道设备始终属于特定终端身份组,因此可以基于该身份组构建授权规则,如下图所示。

200273-Configure-ISE-Guest-Temporary-and-Perman-05.png

用户未经身份验证后,授权将匹配通用规则RedirectToPortal。重定向到访客门户并进行身份验证后,终端会置于特定终端身份组中。这是第一个更具体的情况。该终端的所有后续身份验证均符合第一授权规则,并且用户被提供完全网络访问权限,而无需在访客门户上重新进行身份验证。

访客帐户的终端清除

这种情况可能永远持续下去。但在ISE 1.3中引入了“清除终端”功能。使用默认配置。

200273-Configure-ISE-Guest-Temporary-and-Perman-06.png

用于访客身份验证的所有终端将在30天后删除(从终端创建)。 因此,通常在30天后,访客用户尝试访问网络时,会命中RedirectToPortal授权规则并重定向以进行身份验证。

注意:终端清除功能独立于访客帐户清除策略和访客帐户过期。

注意:在ISE 1.2中,仅当达到内部分析器队列限制时,才能自动删除终端。然后删除最近最少使用的端点。

临时访问权限

访客访问的另一种方法是使用访客流条件。

200273-Configure-ISE-Guest-Temporary-and-Perman-07.png

该条件检查ISE上的活动会话及其属性。如果该会话具有指示先前访客用户已经成功通过身份验证的属性,则匹配条件。在ISE收到来自网络接入设备(NAD)的Radius记帐停止消息后,会话被终止并随后被删除。在此阶段,不再满足Network Access:UseCase = Guest Flow的条件。因此,该终端的所有后续身份验证均命中通用规则重定向到访客身份验证。

注意:通过热点门户对用户进行身份验证时,不支持访客流。对于这些情况,UseCase属性设置为Host Lookup,而不是Guest Flow。

WLC断开行为

客户端与无线网络断开连接后(例如,在Windows中使用disconnect按钮),它会发送取消身份验证帧。但WLC忽略了这一点,可以使用“debug client xxxx”确认这一点 — WLC在客户端与WLAN断开连接时不显示调试。因此,在Windows客户端上:

  • ip地址从接口删除
  • 接口处于状态:介质已断开连接

但在WLC上,状态保持不变(客户端仍然处于RUN状态)。

这是为WLC规划的设计,当出现以下情况时,会话将被删除

  • 用户空闲超时命中数
  • session-timeout hits 
  • 如果使用L2加密,则当组密钥轮换间隔命中时
  • 其他情况会导致AP/WLC关闭客户端(例如AP无线电重置、某些人关闭WLAN等)

使用此行为和临时访问配置,在用户从WLAN会话断开连接后,不会从ISE中删除,因为WLC从未清除它(并且从未发送Radius Accounting Stop)。 如果未删除会话,ISE仍会记住旧会话,并且满足访客流条件。断开连接并重新连接后,用户无需重新验证即可拥有完全的网络访问权限。

200273-Configure-ISE-Guest-Temporary-and-Perman-08.png

但是,如果断开连接后用户连接到不同的WLAN,则WLC会决定清除旧会话。Radius Accounting Stop被发送并且ISE删除会话。如果客户端尝试连接到原始的WLAN访客流条件不满足,用户将被重定向以进行身份验证。

注意:配置有管理帧保护(MFP)的WLC接受来自CCXv5 MFP客户端的加密取消身份验证帧。

验证

永久访问

重定向到访客门户并成功进行身份验证后,ISE发送授权更改(CoA)以触发重新身份验证。因此,正在构建新的MAC身份验证绕行(MAB)会话。此时间终端属于GuestEndpoints身份组并匹配提供完全访问权限的规则。

200273-Configure-ISE-Guest-Temporary-and-Perman-09.png

在此阶段,无线用户可以断开连接,连接到不同的WLAN,然后重新连接。所有后续身份验证都基于mac地址使用身份,但由于终端属于特定身份组,因此命中了第一个规则。提供完全网络访问,无需访客身份验证。

200273-Configure-ISE-Guest-Temporary-and-Perman-10.png

临时访问权限

对于第二个场景(条件基于访客流),开始处是相同的。

200273-Configure-ISE-Guest-Temporary-and-Perman-11.png

但在删除所有后续身份验证的会话后,访客将命中通用规则,并再次重定向以进行访客身份验证。

200273-Configure-ISE-Guest-Temporary-and-Perman-12.png

当会话存在正确的属性时,将满足访客流条件。这可以通过查看终端属性进行验证。显示成功的访客身份验证的结果。

200273-Configure-ISE-Guest-Temporary-and-Perman-13.png

PortalUser guest
StepData 5=MAB, 8=AuthenticatedGuest
UseCase Guest Flow

漏洞

CSCuu41157 ISE ENH CoA在访客帐户删除或到期时终止发送。

(访客帐户删除或到期后终止访客会话的增强请求)

参考

修订历史记录

版本 发布日期 备注
1.0
24-Nov-2015
初始版本
TAC Authored

由思科工程师提供

  • 米哈尔·加尔卡斯
    思科TAC工程师
  • 谢尔盖·库切连科
    思科TAC工程师

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品