思科身份服务引擎(ISE)是思科的下一代策略服务器,为Cisco TrustSec解决方案提供身份验证和授权基础设施。它还提供另外两项关键服务:
第一项服务是提供一种方法,根据Cisco ISE从各种信息源接收的属性自动分析终端设备类型。此服务(称为分析器)提供与思科之前提供的思科NAC分析器设备相同的功能。
思科ISE提供的另一个重要服务是扫描终端合规性;例如,AV/AS软件安装及其定义文件有效性(称为状态)。 思科以前仅通过Cisco NAC设备提供此精确状态功能。
思科ISE提供同等级别的功能,并与802.1X身份验证机制集成。
与无线局域网控制器(WLC)集成的思科ISE可以提供移动设备(如iPhone、iPad和iPod)、基于Android的智能手机等的分析机制。对于802.1X用户,思科ISE可提供相同级别的服务,如分析和状态扫描。思科ISE上的访客服务也可以通过将网络身份验证请求重定向到思科ISE进行身份验证与思科WLC集成。
本文档介绍自带设备(BYOD)无线解决方案,例如根据已知终端和用户策略提供差异化访问。本文档不提供BYOD的完整解决方案,但用于演示动态访问的简单使用案例。其他配置示例包括使用ISE保证人门户,特权用户可以保证访客进行无线访客访问的调配。
本文档没有任何特定的要求。
本文档中的信息基于以下软件和硬件版本:
思科无线局域网控制器2504或2106,软件版本7.2.103
Catalyst 3560 - 8端口
WLC 2504
身份服务引擎1.0MR(VMware服务器映像版本)
Windows 2008 Server(VMware映像) — 512M,20GB磁盘
Active Directory
DNS
DHCP
证书服务
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
此设置使WLC能够查找来自ISE RADIUS服务器的URL重定向AV对。这仅在与启用RADIUS NAC设置的接口关联的WLAN上。当收到用于URL重定向的Cisco AV-Pair时,客户端将进入POSTURE_REQD状态。这基本上与控制器内部的WEBAUTH_REQD状态相同。
当ISE RADIUS服务器认为客户端是Posture_Compliant时,它会发出CoA重新身份验证。Session_ID用于将其连接在一起。使用此新的AuthC(重新身份验证),它不发送URL重定向AV对。由于没有URL重定向AV-Pair,WLC知道客户端不再需要状态。
如果未启用RADIUS NAC设置,WLC将忽略URL重定向VSA。
CoA-ReAuth:RFC 3576设置启用了此功能。ReAuth功能已添加到先前支持的现有CoA命令。
RADIUS NAC设置与此功能互斥,但CoA需要此设置才能工作。
预状态ACL:当客户端处于POSTURE_REQ状态时,WLC的默认行为是阻止除DHCP/DNS外的所有流量。预状态ACL(在url-redirect-acl AV-Pair中称为)将应用于客户端,该ACL中允许的是客户端可以访问的内容。
预身份验证ACL与VLAN覆盖:7.0MR1不支持与接入VLAN不同的隔离或授权VLAN。如果从策略服务器设置VLAN,它将是整个会话的VLAN。首次授权后无需更改VLAN。
下图提供当客户端向后端服务器进行身份验证和NAC状态验证时消息交换的详细信息。
客户端使用dot1x身份验证进行身份验证。
RADIUS Access Accept为端口80和预身份验证ACL传送重定向的URL,包括允许IP地址和端口,或隔离VLAN。
客户端将重新定向到访问接受中提供的URL,并进入新状态,直到状态验证完成。处于此状态的客户端与ISE服务器对话,并根据ISE NAC服务器上配置的策略验证自身。
客户端上的NAC代理启动状态验证(到端口80的流量):代理向端口80发送HTTP发现请求,控制器将该请求重定向到访问接受中提供的URL。ISE知道客户端尝试访问并直接响应客户端。这样,客户端获知ISE服务器IP,从现在开始,客户端直接与ISE服务器通信。
WLC允许此流量,因为ACL配置为允许此流量。如果VLAN覆盖,流量将桥接到达ISE服务器。
ISE客户端完成评估后,RADIUS CoA-Req将发送到WLC,并提供重新身份验证服务。这将启动客户端的重新身份验证(通过发送EAP-START)。 重新身份验证成功后,ISE将使用新ACL(如果有)和无URL重定向或访问VLAN发送接入接受。
根据RFC 3576,WLC支持CoA-Req和Disconnect-Req。根据RFC 5176,WLC需要支持CoA-Req进行重新身份验证服务。
WLC上使用预配置的ACL,而不是可下载的ACL。ISE服务器只发送已在控制器中配置的ACL名称。
此设计应适用于VLAN和ACL情况。如果VLAN覆盖,我们只是重定向端口80,允许(桥接)隔离VLAN上的其余流量。对于ACL,应用在access accept中收到的预身份验证ACL。
此图提供了此功能流的直观表示:
思科ISE分析器服务提供发现、定位和确定网络上所有连接终端的功能(无论其设备类型如何),以确保和保持对企业网络的适当访问。它主要收集网络上所有终端的属性或属性集,并根据其配置文件对其进行分类。
分析器由以下组件组成:
传感器包含许多探测。探测器通过查询网络访问设备来捕获网络数据包,并将从终端收集的属性及其属性值转发到分析器。
分析器使用已配置策略和身份组评估终端,以匹配所收集的属性及其属性值,将终端分类到指定组并在思科ISE数据库中存储具有匹配配置文件的终端。
对于移动设备检测,建议结合使用以下探测功能来正确识别设备:
RADIUS(呼叫站ID):提供MAC地址(OUI)
DHCP(主机名):主机名 — 默认主机名可以包括设备类型;例如:jsmith-ipad
DNS(反向IP查找):FQDN — 默认主机名可以包括设备类型
HTTP(用户代理):特定移动设备类型的详细信息
在iPad的本例中,分析器从User-Agent属性以及请求消息中捕获Web浏览器信息,并将其添加到终端属性列表。
简单的概念验证不需要MS Active Directory(AD)。ISE可用作唯一身份库,包括区分用户访问权限和精细策略控制。
在ISE 1.0版本中,ISE使用AD集成,可在授权策略中使用AD组。如果使用ISE内部用户存储(无AD集成),则组不能与设备身份组(在ISE 1.1中要解决的已识别错误)一起在策略中使用。 因此,除设备身份组外,仅可区分单个用户,例如员工或承包商。
请完成以下步骤:
打开指向https://ISEip地址的浏览器窗口。
导航至管理>身份管理>身份。
选择Users,然后单击Add(Network Access User)。 输入以下用户值并分配给员工组:
名称:员工
密码:XXXX
单击“Submit”。
名称:承包商
密码:XXXX
确认已创建两个帐户。
向ISE发起RADIUS请求的任何设备都必须在ISE中定义。这些网络设备根据其IP地址进行定义。ISE网络设备定义可以指定IP地址范围,因此允许定义代表多个实际设备。
除RADIUS通信所需的设置外,ISE网络设备定义还包含其他ISE/设备通信的设置,如SNMP和SSH。
网络设备定义的另一个重要方面是对设备进行适当分组,以便在网络访问策略中利用此分组。
在本练习中,将配置实验所需的设备定义。
请完成以下步骤:
从ISE转到Administration > Network Resources > Network Devices。
从网络设备,单击添加。输入IP地址,掩码选中Authentication Setting,然后输入“cisco”作为共享密钥。
保存WLC条目,并确认列表中的控制器。
ISE需要配置为对802.1x无线客户端进行身份验证并使用Active Directory作为身份库。
请完成以下步骤:
从ISE导航到Policy > Authentication。
单击展开Dot1x > Wired_802.1X(-)。
单击齿轮图标以从库添加条件。
从条件选择下拉列表中,选择复合条件> Wireless_802.1X。
将Express条件设置为OR。
展开after allow protocols选项,并接受默认的Internal Users(默认)。
将其他所有内容保留为默认值。单击Save完成步骤。
《Cisco 2500系列无线控制器部署指南》中也提供了Cisco 2500无线局域网控制器部署指南。
使用启动向导配置控制器
(Cisco Controller) Welcome to the Cisco Wizard Configuration Tool Use the '-' character to backup Would you like to terminate autoinstall? [yes]: yes AUTO-INSTALL: process terminated -- no configuration loaded System Name [Cisco_d9:24:44] (31 characters max): ISE-Podx Enter Administrative User Name (24 characters max): admin Enter Administrative Password (3 to 24 characters): Cisco123 Re-enter Administrative Password: Cisco123 Management Interface IP Address: 10.10.10.5 Management Interface Netmask: 255.255.255.0 Management Interface Default Router: 10.10.10.1 Management Interface VLAN Identifier (0 = untagged): 0 Management Interface Port Num [1 to 4]: 1 Management Interface DHCP Server IP Address: 10.10.10.10 Virtual Gateway IP Address: 1.1.1.1 Mobility/RF Group Name: ISE Network Name (SSID): PODx Configure DHCP Bridging Mode [yes][NO]: no Allow Static IP Addresses [YES][no]: no Configure a RADIUS Server now? [YES][no]: no Warning! The default WLAN security policy requires a RADIUS server. Please see documentation for more details. Enter Country Code list (enter 'help' for a list of countries) [US]: US Enable 802.11b Network [YES][no]: yes Enable 802.11a Network [YES][no]: yes Enable 802.11g Network [YES][no]: yes Enable Auto-RF [YES][no]: yes Configure a NTP server now? [YES][no]: no Configure the ntp system time now? [YES][no]: yes Enter the date in MM/DD/YY format: mm/dd/yy Enter the time in HH:MM:SS format: hh:mm:ss Configuration correct? If yes, system will save it and reset. [yes][NO]: yes Configuration saved! Resetting system with new configuration... Restarting system.
邻居交换机配置
控制器连接到相邻交换机(快速以太网1)上的以太网端口。 邻居交换机端口配置为802.1Q中继,允许中继上的所有VLAN。本征VLAN 10允许连接WLC的管理接口。
802.1Q交换机端口配置如下:
switchport switchport trunk encapsulation dot1q switchport trunk native VLAN 10 switchport mode trunk end
需要将ISE添加到WLC,以便为无线终端启用802.1X和CoA功能。
请完成以下步骤:
打开浏览器,然后连接到Pod WLC(使用安全HTTP)> https://wlc。
导航至Security > Authentication > New。
输入以下值:
服务器 IP 地址:10.10.10.70(检查分配)
共享密钥: 思科
支持RFC 3576(CoA):已启用(默认)
其他一切:默认
单击Apply(应用)继续。
选择RADIUS Accounting > add NEW。
输入以下值:
服务器 IP 地址:10.10.10.70
共享密钥: 思科
其他一切:默认
单击Apply,然后保存WLC的配置。
要为WLC添加新的动态接口并将其映射到员工VLAN,请完成以下步骤:
从WLC导航至Controller > Interfaces。然后单击 New。
从WLC导航至Controller > Interfaces。输入以下内容:
接口名称:员工
VLAN ID:11
为员工界面输入以下内容:
端口号:1
VLAN标识符:11
IP Address:10.10.11.5
网络掩码:255.255.255.0
网关:10.10.11.1
DHCP:10.10.10.10
确认新员工动态界面已创建。
要为WLC添加新的动态接口并将其映射到访客VLAN,请完成以下步骤:
从WLC导航至Controller > Interfaces。然后单击 New。
从WLC导航至Controller > Interfaces。输入以下内容:
接口名称:访客
VLAN ID:12
为访客接口输入以下命令:
端口号:1
VLAN标识符:12
IP Address:10.10.12.5
网络掩码:255.255.255.0
网关:10.10.12.1
DHCP:10.10.10.10
确认已添加访客接口。
从WLC的初始引导程序,可能已创建默认WLAN。如果是,请修改它或创建新的WLAN,以支持无线802.1X身份验证,如指南中所述。
请完成以下步骤:
从WLC导航至WLAN > Create New。
对于WLAN,输入以下命令:
配置文件名称:pod1x
SSID:相同
对于WLAN设置>常规选项卡,请使用以下命令:
无线电策略:all
接口/组:管理
其他一切:默认
对于WLAN > Security(安全)选项卡> Layer 2,设置以下设置:
第2层安全:WPA+WPA2
WPA2策略/加密:已启用/ AES
身份验证密钥管理:802.1X
对于WLAN > Security(安全)选项卡> AAA Servers(AAA服务器),请设置以下设置:
无线电服务器覆盖接口:禁用
身份验证/记帐服务器:启用
服务器 1:10.10.10.70
对于WLAN > Advanced(高级)选项卡,请设置以下设置:
允许AAA覆盖:启用
NAC状态:Radius NAC(已选)
返回WLAN > General(常规)选项卡> Enable WLAN(复选框)。
您需要快速检查有效的员工和访客接口。使用任何设备关联到WLAN,然后更改WLAN接口分配。
从WLC导航至WLAN > WLANs。单击以编辑在前面的练习中创建的安全SSID。
将接口/接口组更改为员工,然后单击应用。
如果配置正确,设备将从员工VLAN(10.10.11.0/24)接收IP地址。 此示例显示获取新IP地址的iOS设备。
确认上一个接口后,将WLAN接口分配更改为“访客”,然后单击“应用”。
如果配置正确,设备将从访客VLAN(10.10.12.0/24)接收IP地址。 此示例显示获取新IP地址的iOS设备。
重要信息:将接口分配改回原始管理。
单击Apply并保存WLC的配置。
使用iOS设备(如iPhone、iPad或iPod)通过经过身份验证的SSID与内部用户(或集成AD用户)关联。如果不适用,请跳过这些步骤。
在iOS设备上,转到WLAN设置。启用WIFI,然后选择上一节中创建的启用802.1X的SSID。
提供以下信息以连接:
username:员工(内部 — 员工)或承包商(内部 — 承包商)
密码:XXXX
点击接受ISE证书。
确认iOS设备从管理(VLAN10)接口获取IP地址。
在WLC > Monitor > Clients上,验证终端信息,包括使用、状态和EAP类型。
同样,客户端信息可以通过ISE > Monitor > Authentication页面提供。
单击Details图标以向下钻取到会话,以获取会话的详细信息。
终端安全评估重定向ACL在WLC上配置,ISE将用于限制客户端安全评估。ACL至少有效地允许ISE之间的流量。如有需要,可在此ACL中添加可选规则。
导航至WLC >安全>访问控制列表>访问控制列表。单击 New。
为ACL提供名称(ACL-POSTURE-REDIRECT)。
单击Add New Rule for the new ACL。将以下值设置为ACL序列#1。完成后单击“应用”。
来源:any
目的地:IP地址10.10.10.70、255.255.255.255
协议:any
操作:允许
确认序列已添加。
单击 Add New Rule。将以下值设置为ACL序列#2。完成后单击“应用”。
来源:IP地址10.10.10.70、255.255.255.255
目的地:any
协议:any
操作:允许
确认序列已添加。
将以下值设置为ACL序列#3。完成后单击“应用”。
来源:any
目的地:any
协议:UDP
源端口:DNS
目的端口:any
操作:允许
确认序列已添加。
单击 Add New Rule。将以下值设置为ACL序列#4。完成后单击“应用”。
来源:any
目的地:any
协议:UDP
源端口:any
目的端口:DNS
操作:允许
确认序列已添加。
保存当前WLC配置。
ISE需要配置为探测,以有效分析终端。默认情况下,这些选项处于禁用状态。本部分显示如何将ISE配置为探测。
从ISE管理,导航至管理>系统>部署。
选择ISE。单击编辑ISE主机。
从“编辑节点”页中,选择分析配置并配置以下内容:
DHCP:已启用、全部(或默认)
DHCPSPAN:已启用、全部(或默认)
HTTP:已启用、全部(或默认)
RADIUS:已启用,不适用
DNS:已启用,不适用
重新关联设备(iPhone/iPad/Droids/Mac等)。
确认ISE终端身份。导航至管理>身份管理>身份。点击终端(Endpoints)列出已分析的内容。
注意:初始分析来自RADIUS探测。
开箱即用,ISE提供各种终端配置文件库。要为设备启用配置文件,请完成以下步骤:
从ISE,导航至Policy > Profiling。
从左窗格中,展开分析策略。
单击Apple Device > Apple iPad,然后设置以下设置:
启用策略:启用
创建匹配身份组:已选择
单击Apple Device > Apple iPhone,设置以下内容:
启用策略:启用
创建匹配身份组:已选择
单击Android,设置以下内容:
启用策略:启用
创建匹配身份组:已选择
完成以下步骤以配置授权策略状态重定向允许将新设备重定向到ISE以进行正确发现和分析:
从ISE,导航至Policy > Policy Elements > Results。
展开授权。单击授权配置文件(左窗格),然后单击添加。
使用以下内容创建授权配置文件:
名称:状态_补救
访问类型:Access_Accept
常用工具:
状态发现,已启用
状态发现,ACL ACL-POSTURE-REDIRECT
单击Submit完成此任务。
确认新授权配置文件已添加。
为员工添加授权配置文件允许ISE授权和允许使用已分配的属性访问。在本例中为员工分配VLAN 11。
请完成以下步骤:
从ISE,导航至Policy > Results。展开Authorization,然后单击Authorization Profiles,然后单击Add。
为员工授权配置文件输入以下内容:
名称:Employee_Wireless
常见任务:
VLAN,已启用
VLAN,子值11
单击Submit完成此任务。
确认新员工授权配置文件已创建。
为承包商添加授权配置文件允许ISE授权和允许使用已分配的属性访问。本例中为承包商VLAN 12分配。
请完成以下步骤:
从ISE,导航至Policy > Results。展开Authorization,然后单击Authorization Profiles,然后单击Add。
为员工授权配置文件输入以下内容:
名称:Employee_Wireless
常见任务:
VLAN,已启用
VLAN,子值12
单击Submit完成此任务。
确认已创建承包商授权配置文件。
当新设备首次进入网络时,对其知之甚少,管理员将创建适当的策略以允许在允许访问之前识别未知终端。在本练习中,将创建授权策略,以便将新设备重定向到ISE进行状态评估(对于移动设备,无代理,因此仅分析相关);终端将重定向到ISE强制网络门户并进行识别。
请完成以下步骤:
从ISE,导航至Policy > Authorization。
已分析的思科IP电话有策略。这是开箱的。将其编辑为状态策略。
为此策略输入以下值:
规则名称:状态_补救
身份组:any
其他条件>创建新:(高级)会话>状态状态
状态>等于:未知
设置以下权限:
权限>标准:状态_补救
Click Save.
注意:也可以创建自定义策略元素以增加易用性。
为了简单演示,可以显示ISE正确分析基于状态策略的新设备。
从ISE,导航至Administration > Identity Management > Identities。
单击Endpoints。关联并连接设备(本例中为iPhone)。
刷新终端列表。观察所提供的信息。
从终端设备浏览到:
URL:http://www(或10.10.10.10)
设备被重定向。接受证书的任何提示。
移动设备完全重定向后,从ISE再次刷新终端列表。观察已发生的变化。以前的终端(例如,Apple-Device)应更改为“Apple-iPhone”等。原因是HTTP探测有效获取用户代理信息,这是重定向到强制网络门户的过程的一部分。
在成功测试状态授权后,继续构建策略,以支持员工和承包商使用已知设备和特定于用户角色的不同VLAN分配进行差异化访问(在此场景中,员工和承包商)。
请完成以下步骤:
导航到ISE > Policy > Authorization。
在Posture Remediation策略/行上方添加/插入新规则。
为此策略输入以下值:
规则名称:员工
身份组(展开):终端身份组
终端身份组:已分析
已分析:Android、Apple-iPad或Apple-iPhone
要指定其他设备类型,请单击+并添加更多设备(如果需要):
终端身份组:已分析
已分析:Android、Apple-iPad或Apple-iPhone
为此策略指定以下权限值:
其他条件(展开):创建新条件(高级选项)
条件>表达式(从列表):内部用户>名称
内部用户>名称:员工
添加终端安全评估会话合规条件:
权限>配置文件>标准:Employee_Wireless
Click Save.确认策略已正确添加。
继续添加承包商策略。在本文档中,为了加快流程(或者,您可以手动配置以实现良好操作规范),需要复制以前的策略。
在Employee策略>操作中,单击Duplicate Below。
编辑此策略的以下字段(复制副本):
规则名称:承包商
其他条件>内部用户>名称:承包商
权限:承包商_无线
Click Save.确认已正确配置以前的复制副本(或新策略)。
要预览策略,请单击“策略概览”。
“策略概览”视图提供了一个综合汇总且易于查看的策略。
通过为区分访问而准备的授权配置文件和策略,是时候进行测试了。拥有一个安全的WLAN后,将为员工分配VLAN,承包商将负责承包商VLAN。下例使用Apple iPhone/iPad。
请完成以下步骤:
使用移动设备连接到安全WLAN(POD1x),并使用以下凭证:
username:员工
密码:XXXXX
单击Join。确认为员工分配了VLAN 11(员工VLAN)。
单击Forge this Network。单击“忘记”进行确认。
转到WLC并删除现有客户端连接(如果在前面的步骤中使用过)。 导航至“监控”>“客户端”>“MAC地址”,然后单击“删除”。
清除以前客户端会话的另一种确定方法是禁用/启用WLAN。
转到WLC > WLANs > WLAN,然后单击WLAN进行编辑。
取消选中已启用>应用(禁用)。
选中“已启用”>“应用”复选框(重新启用)。
返回移动设备。使用以下凭证再次连接到同一WLAN:
username:承包商
密码:XXXX
单击Join。确认为承包商用户分配了VLAN 12(承包商/访客VLAN)。
您可以在ISE > Monitor > Authorizations中查看ISE实时日志视图。您应看到不同VLAN中的个别用户(员工、承包商)获得不同的授权配置文件(Employee_WirelessvsContractor_Wireless)。
要添加访客WLAN以允许访客访问ISE发起人访客门户,请完成以下步骤:
从WLC,导航至WLANs > WLANs > Add New。
为新访客WLAN输入以下内容:
配置文件名称:pod1guest
SSID:pod1guest
单击 Apply。
在访客WLAN > General(常规)选项卡下输入以下内容:
状态:禁用
接口/接口组:访客
导航至访客WLAN > Security > Layer2,然后输入以下内容:
第 2 层安全:无
导航至访客WLAN >安全>第3层选项卡,然后输入以下内容:
第 3 层安全:无
Web策略:启用
Web策略子值:身份验证
预身份验证ACL:ACL-POSTURE-REDIRECT
网络身份验证类型:外部(重新定向到外部服务器)
URL:https://10.10.10.70:8443/guestportal/Login.action
单击 Apply。
确保保存WLC配置。
现在,您可以测试访客WLAN的配置。它应将访客重定向到ISE访客门户。
请完成以下步骤:
从iOS设备(如iPhone),导航至Wi-Fi网络>启用。然后,选择POD访客网络。
您的iOS设备应显示来自访客VLAN(10.10.12.0/24)的有效IP地址。
打开Safari浏览器并连接到:
URL:http://10.10.10.10
系统将显示Web身份验证重定向。
单击Continue,直到您到达ISE访客门户页面。
下一个示例屏幕截图显示访客门户登录上的iOS设备。这确认WLAN和ISE访客门户的正确设置处于活动状态。
ISE可配置为允许访客发起。在这种情况下,您将配置ISE访客策略以允许内部或AD域(如果已集成)用户发起访客访问。您还将配置ISE以允许发起人查看访客密码(可选),这对本实验有帮助。
请完成以下步骤:
将员工用户添加到SponsorAllAccount组。有不同的方法可以做到这一点:直接转到组,或编辑用户并分配组。对于本示例,导航至Administration > Identity Management > Groups > User Identity Groups。然后,单击“保证人”“所有帐户”并添加员工用户。
导航至管理>访客管理>发起人组。
单击Edit,然后选择SponsorAllAccounts。
选择授权级别并设置以下项:
查看访客密码:Yes
单击Save以完成此任务。
以前,您已配置适当的访客策略和组以允许AD域用户发起临时访客。接下来,您将访问发起人门户并创建临时访客访问。
请完成以下步骤:
在浏览器中,导航至以下URL之一:http://<ise ip>:8080/sponsorportal/或https://<ise ip>:8443/sponsorportal/。然后,使用以下命令登录:
username:aduser(Active Directory)、employee(内部用户)
密码:XXXX
在“发起人”页中,单击创建单个访客用户帐户。
对于临时访客,请添加以下内容:
名字:必需(例如,Sam)
姓氏:必需(例如,Jones)
组角色:访客
时间配置文件:DefaultOneHour
时区:任意/默认
单击“Submit”。
访客帐户根据您之前的条目创建。请注意,密码是可见的(从上一练习中),而不是哈希***。
保持此窗口打开,显示访客的用户名和密码。您将使用它们测试访客门户登录(下一步)。
使用AD用户/发起人创建的新访客帐户,是时候测试访客门户和访问。
请完成以下步骤:
在首选设备(本例中为Apple iOS/iPad)上,连接到Pod访客SSID并检查IP地址/连接。
使用浏览器并尝试导航至http://www。
您将重定向到访客门户登录页面。
使用在上一练习中创建的访客帐户登录。
如果成功,则显示“可接受的使用策略”页。
选中接受条款和条件,然后单击接受。
原始URL已完成,终端可作为访客访问。
为了保护与ISE的通信,请确定通信是与身份验证相关还是用于ISE管理。例如,对于使用ISE Web UI的配置,需要配置X.509证书和证书信任链以启用非对称加密。
请完成以下步骤:
从有线连接的PC打开浏览器窗口,访问https://AD/certsrv。
注意:使用安全HTTP。
注意:使用Mozilla Firefox或MS Internet Explorer以访问ISE。
以管理员/Cisco123身份登录。
单击 Download a CA certificate, certificate chain, or CRL。
单击Download CA certificate(下载CA证书)并保存(注意保存位置)。
打开浏览器窗口,访问https://<Pod-ISE>。
转到管理>System >证书>证书颁发机构证书。
选择Certificate Authority Certificates操作并浏览到之前下载的CA证书。
为具有EAP-TLS的客户端选择Trust,然后提交。
确认已将CA添加为受信任的根CA。
从浏览器转到管理>系统>证书>证书颁发机构证书。
单击Add,然后单击Generate Certificate Signing Request。
提交以下值:
证书使用者:CN=ise.corp.rf-demo.com
密钥长度:2048
ISE提示CSR在CSR页面中可用。Click OK.
从ISE CSR页面选择CSR,然后点击导出。
将文件保存到任何位置(例如,下载等)
文件将另存为*.pem。
找到CSR文件,然后使用记事本/写字板/文本编辑进行编辑。
复制内容(全选>复制)。
打开浏览器窗口,访问https://<Pod-AD>/certsrv。
单击Request a certificate。
单击以提交高级证书申请。
将CSR内容粘贴到“已保存的请求”字段。
选择Web Server作为证书模板,然后单击提交。
选择DER编码,然后单击Download certificate。
将文件保存到已知位置(例如,下载)
转到管理>System >证书>证书颁发机构证书。
单击Add > Bind CA Certificate。
浏览到之前下载的CA证书。
选择协议EAP和管理接口,然后单击Submit。
确认已将CA添加为受信任的根CA。
ISE可以直接与Active Directory(AD)通信,用于用户/计算机身份验证或用于检索授权信息用户属性。要与AD通信,ISE必须“加入”到AD域。在本练习中,您将将ISE加入AD域,并确认AD通信正常运行。
请完成以下步骤:
要将ISE加入AD域,请从ISE转到Administration > Identity Management > External Identity Sources。
从左窗格(外部身份源)中,选择Active Directory。
在右侧,选择“连接”选项卡并输入以下内容:
域名:corp.rf-demo.com
身份库名称:AD1
单击“Test Connection(测试连接)”。输入AD用户名(aduser/Cisco123),然后单击OK。
确认“测试状态”显示“测试成功”。
选择Show Detailed Log(显示详细日志)并观察对故障排除有用的详细信息。单击 OK 继续。
单击“Save Configuration”。
单击Join。输入AD用户(administrator/Cisco123),然后单击OK。
确认“加入操作状态”显示“成功”,然后单击“确定”继续。
服务器连接状态显示CONNECTED。如果此状态随时更改,测试连接将帮助排除AD操作问题。
添加AD组时,允许对ISE策略进行更精细的控制。例如,AD组可以按职能角色(如员工或承包商组)进行区分,而不会在以前的ISE 1.0练习中遇到相关错误,在此练习中策略仅限于用户。
在本实验中,仅使用域用户和/或员工组。
请完成以下步骤:
从ISE,转到管理>身份管理>外部身份源。
选择“Active Directory”>“组”选项卡。
单击+添加,然后从目录选择组。
在后续窗口(选择目录组)中,接受域(corp-rf-demo.com)和过滤器(*)的默认值。 然后,单击“Retrieve Groups”。
选择域用户和员工组框。完成后单击 OK。
确认组已添加到列表。
默认情况下,ISE设置为使用内部用户进行身份验证存储。如果添加了AD,则可以创建优先顺序以包括ISE用于检查身份验证的AD。
请完成以下步骤:
从ISE,导航至Administration > Identity Management > Identity Source Sequences。
单击+Add以添加新序列。
输入新名称:AD_Internal。将所有可用源添加到“选定”字段。然后,根据需要重新排序,AD1将移至列表顶部。单击“Submit”。
确认序列已添加到列表。
ISE可配置为允许访客使用策略发起,以允许AD域用户发起访客访问。
请完成以下步骤:
从ISE,导航至Administration > Guest Management > Settings。
展开保证人,然后单击身份验证源。然后,选择AD_Internal作为身份库序列。
确认AD_Internal作为身份库序列。Click Save.
导航至管理>访客管理>发起人组策略。
在第一个规则上方插入新策略(单击右侧的操作图标)。
对于新的发起人组策略,请创建以下内容:
规则名称:域用户
身份组:any
其他条件:(新建/高级)> AD1
AD1:外部组
AD1外部组>等于> corp.rf-demo.com/Users/Domain用户
在发起人组中,设置以下项:
发起人组:SponsorAllAccounts
导航至管理>访客管理>发起人组。
选择“编辑”>“保证人”。
选择授权级别并设置以下项:
查看访客密码:Yes
配置SPAN - ISE mgt/probe接口与WLC管理接口相邻的L2。交换机可配置为SPAN和其他接口,如员工和访客接口VLAN。
Podswitch(config)#monitor session 1 source vlan10 , 11 , 12 Podswitch(config)#monitor session 1 destination interface Fa0/8 ISE virtual probe interface.
使用Apple Mac OS X无线笔记本电脑,通过经过身份验证的SSID作为内部用户(或集成AD用户)与WLC关联。跳过(如果不适用)。
在Mac上,转到WLAN设置。启用WIFI,然后选择并连接到在上一练习中创建的启用802.1X的POD SSID。
提供以下信息以连接:
username:aduser(如果使用AD)、员工(内部 — 员工)、承包商(内部 — 承包商)
密码:XXXX
802.1X:自动
TLS证书:无
此时,笔记本电脑可能无法连接。此外,ISE可以按如下方式引发故障事件:
Authentication failed :12514 EAP-TLS failed SSL/TLS handshake because of an unknown CA in the client certificates chain
转至“系统首选项”>“网络”>“机场”> 802.1X设置,并将新的POD SSID/WPA配置文件身份验证设置为:
TLS:禁用
PEAP:启用
TTLS:禁用
EAP-FAST:禁用
单击OK继续,并允许保存设置。
在Network屏幕上,选择适当的SSID + 802.1X WPA配置文件,然后单击Connect。
系统可能会提示输入用户名和密码。输入AD用户和密码(aduser/XXXX),然后单击OK。
客户端应显示通过PEAP连接且IP地址有效。
使用Windows XP无线笔记本电脑,通过经过身份验证的SSID作为内部用户(或集成AD用户)关联到WLC。跳过(如果不适用)。
请完成以下步骤:
在笔记本电脑上,转到WLAN设置。启用WIFI并连接到上一练习中创建的启用802.1X的POD SSID。
访问WIFI接口的网络属性。
导航至无线网络选项卡。选择Pod SSID网络属性>身份验证选项卡> EAP类型=受保护EAP(PEAP)。
单击EAP属性。
设置以下项:
验证服务器证书:禁用
认证方法:安全密码(EAP-MSCHAP v2)
在所有窗口上单击“确定”以完成此配置任务。
Windows XP客户端提示输入用户名和密码。在本例中,它是aduser/XXXX。
确认网络连接,IP编址(v4)。
使用Windows 7无线笔记本电脑,通过经过身份验证的SSID作为内部用户(或集成AD用户)与WLC关联。
在笔记本电脑上,转到WLAN设置。启用WIFI并连接到上一练习中创建的启用802.1X的POD SSID。
访问无线管理器并编辑新的POD无线配置文件。
设置以下项:
认证方法:PEAP
请记住我的凭证……:禁用
验证服务器证书(高级设置):禁用
身份验证方法(高级设置):EAP-MSCHAP v2
自动使用我的Windows登录……:禁用