简介
本文档介绍身份服务引擎(ISE)访客访问配置的不同方法。根据授权规则中的不同条件:
- 可以提供对网络的永久访问(无需后续身份验证)
- 可以提供对网络的临时访问(需要在会话到期后进行访客身份验证)
此外,还介绍了会话删除的特定无线LAN控制器(WLC)行为以及对临时访问场景的影响。
先决条件
要求
Cisco 建议您了解以下主题:
- ISE部署和访客流量
- 无线局域网控制器(WLC)的配置
使用的组件
本文档中的信息基于以下软件和硬件版本:
- Microsoft Windows 7
- Cisco WLC版本7.6及更高版本
- ISE软件1.3版及更高版本
配置
有关基本访客访问配置,请参阅参考配置示例。本文重点介绍授权规则配置和授权条件之间的差异。
网络图

永久访问
在启用了设备注册的情况下,在访客门户上成功进行身份验证后,对于ISE版本1.3及更高版本。

终端设备(mac地址)在特定终端组(本示例中为GuestEndpoints)中静态注册。

该组源自用户的访客类型,如本图所示。

如果是企业用户(身份库,而不是访客),则从门户设置派生该设置。

因此,与访客关联的MAC地址始终属于该特定身份组。不能自动更改(例如,通过Profiler服务)。
注意:要应用分析器结果,可以使用EndPointPolicy授权条件。
由于知道设备始终属于特定终端身份组,因此可以基于该身份组构建授权规则,如下图所示。

用户未经身份验证后,授权将匹配通用规则RedirectToPortal。重定向到访客门户并进行身份验证后,终端会置于特定终端身份组中。这是第一个更具体的情况。该终端的所有后续身份验证均符合第一授权规则,并且用户被提供完全网络访问权限,而无需在访客门户上重新进行身份验证。
访客帐户的终端清除
这种情况可能永远持续下去。但在ISE 1.3中引入了“清除终端”功能。使用默认配置。

用于访客身份验证的所有终端将在30天后删除(从终端创建)。 因此,通常在30天后,访客用户尝试访问网络时,会命中RedirectToPortal授权规则并重定向以进行身份验证。
注意:终端清除功能独立于访客帐户清除策略和访客帐户过期。
注意:在ISE 1.2中,仅当达到内部分析器队列限制时,才能自动删除终端。然后删除最近最少使用的端点。
临时访问权限
访客访问的另一种方法是使用访客流条件。

该条件检查ISE上的活动会话及其属性。如果该会话具有指示先前访客用户已经成功通过身份验证的属性,则匹配条件。在ISE收到来自网络接入设备(NAD)的Radius记帐停止消息后,会话被终止并随后被删除。在此阶段,不再满足Network Access:UseCase = Guest Flow的条件。因此,该终端的所有后续身份验证均命中通用规则重定向到访客身份验证。
注意:通过热点门户对用户进行身份验证时,不支持访客流。对于这些情况,UseCase属性设置为Host Lookup,而不是Guest Flow。
WLC断开行为
客户端与无线网络断开连接后(例如,在Windows中使用disconnect按钮),它会发送取消身份验证帧。但WLC忽略了这一点,可以使用“debug client xxxx”确认这一点 — WLC在客户端与WLAN断开连接时不显示调试。因此,在Windows客户端上:
但在WLC上,状态保持不变(客户端仍然处于RUN状态)。
这是为WLC规划的设计,当出现以下情况时,会话将被删除
- 用户空闲超时命中数
- session-timeout hits
- 如果使用L2加密,则当组密钥轮换间隔命中时
- 其他情况会导致AP/WLC关闭客户端(例如AP无线电重置、某些人关闭WLAN等)
使用此行为和临时访问配置,在用户从WLAN会话断开连接后,不会从ISE中删除,因为WLC从未清除它(并且从未发送Radius Accounting Stop)。 如果未删除会话,ISE仍会记住旧会话,并且满足访客流条件。断开连接并重新连接后,用户无需重新验证即可拥有完全的网络访问权限。

但是,如果断开连接后用户连接到不同的WLAN,则WLC会决定清除旧会话。Radius Accounting Stop被发送并且ISE删除会话。如果客户端尝试连接到原始的WLAN访客流条件不满足,用户将被重定向以进行身份验证。
注意:配置有管理帧保护(MFP)的WLC接受来自CCXv5 MFP客户端的加密取消身份验证帧。
验证
永久访问
重定向到访客门户并成功进行身份验证后,ISE发送授权更改(CoA)以触发重新身份验证。因此,正在构建新的MAC身份验证绕行(MAB)会话。此时间终端属于GuestEndpoints身份组并匹配提供完全访问权限的规则。

在此阶段,无线用户可以断开连接,连接到不同的WLAN,然后重新连接。所有后续身份验证都基于mac地址使用身份,但由于终端属于特定身份组,因此命中了第一个规则。提供完全网络访问,无需访客身份验证。

临时访问权限
对于第二个场景(条件基于访客流),开始处是相同的。

但在删除所有后续身份验证的会话后,访客将命中通用规则,并再次重定向以进行访客身份验证。

当会话存在正确的属性时,将满足访客流条件。这可以通过查看终端属性进行验证。显示成功的访客身份验证的结果。

PortalUser guest
StepData 5=MAB, 8=AuthenticatedGuest
UseCase Guest Flow
漏洞
CSCuu41157 ISE ENH CoA在访客帐户删除或到期时终止发送。
(访客帐户删除或到期后终止访客会话的增强请求)
参考