无线BYOD用身份服务引擎

第一项服务是提供方式描出根据属性自动地的终点设备类型ISE从多种信息源接受的Cisco。此服务(称为Profiler)提供等同的功能给什么Cisco以前提供了与Cisco NAC Profiler工具。
另一项重要服务Cisco ISE提供是扫描终端标准;例如， AV/AS软件安装和其定义文件正确性(叫作状态)。Cisco以前仅提供此确切的状态功能Cisco NAC设备。

Cisco ISE提供功能的一个等同的级别，并且集成802.1X认证机制。

Cisco ISE集成无线局域网控制器(WLCs)能提供描出移动设备机制例如Apple iDevices (IP电话、iPad和iPod)，机器人根据智能电话和其他。对于802.1X用户， Cisco ISE能提供服务的同样水平例如描出和状态扫描。在Cisco ISE的客户服务可能也集成Cisco WLC通过重定向对Cisco ISE的Web认证请求认证的。

本文引入Bring的无线解决方案您自己的设备(BYOD)，例如提供根据已知终端和用户策略的被区分的访问。本文不提供BYOD完整的解决方案，然而服务展示动态访问一简单的用例。使用ISE赞助商门户，其他配置示例包括，一个特权用户能赞助设置的无线访客访问一个客户。

Prerequisites

Requirements

There are no specific requirements for this document.

Components Used

本文档中的信息基于以下软件和硬件版本：

有软件版本的7.2.103 Cisco无线LAN控制器2504或2106
Catalyst 3560 – 8个端口
WLC 2504
身份服务引擎1.0MR (VMware服务器镜像版本)
Windows 2008服务器(VMware镜像) — 512M， 20GB磁盘
- Active Directory
- DNS
- DHCP
- 证书服务

拓扑

Conventions

Refer to Cisco Technical Tips Conventions for more information on document conventions.

无线局域网控制器RADIUS NAC和CoA概述

此设置enable (event)寻找网域名称转址AV对的WLC来自ISE RADIUS服务器。附加对与设置被启用的RADIUS NAC的一个接口的这仅在WLAN。当网域名称转址的Cisco AV对被接受时，客户端被放到POSTURE_REQD状态。这基本上是相同的象WEBAUTH_REQD状态内部地在控制器。

当ISE RADIUS服务器视为时客户端是Posture_Compliant，它发出CoA ReAuth。Session_ID用于配合它。使用此新的AuthC (再Auth)它不发送URLRedirec AV对。由于没有URL重定向AV对， WLC知道客户端其中任一长期不需要状态。

如果RADIUS NAC设置不是启用的， WLC忽略URL重定向VSA'S。

CoaReAuth ：这启用RFC 3576设置。ReAuth功能被添加了到早先支持的现有的CoA命令。

RADIUS NAC设置从此功能是互相排斥，虽然对于CoA是必需的工作。

PRE状态ACL ：当客户端是在POSTURE_REQ状态时， WLC的默认行为是阻塞除了DHCP/DNS的所有数据流。(它在url-redirect-acl AV对被呼叫)的PRE状态ACL适用于客户端，并且什么允许ACL是什么客户端能到达。

PREAuth ACL与VLAN覆盖：是与访问VLAN不同7.0MR1不支持的检疫或AuthC VLAN。如果设置从策略服务器的VLAN，它将是整个会话的VLAN。VLAN更改在第一AuthZ以后不是需要的。

无线局域网控制器RADIUS NAC和CoA功能流

当客户端验证对后端服务器和NAC状态验证时，下面的图消息的提供详细资料交换。

使用dot1x认证，客户端验证。
RADIUS访问接受运载包括允许IP地址和端口的端口的80重定向的URL和PREauth ACL，或者检疫VLAN。
客户端将重定向对在访问提供的URL接受，并且放到新状态，直到状态验证完成。此状态的客户端与ISE服务器谈并且验证自己在ISE NAC服务器配置的策略。
在客户端的NAC代理程序起动状态验证(对端口80)的数据流：代理程序发送HTTP发现请求到控制器重定向对在访问提供的URL接受的端口80。ISE知道设法的客户端到达并且回应直接地客户端。客户端得知ISE服务器IP的这样，并且从现在起，客户端直接地与ISE服务器谈。
因为配置ACL允许此数据流， WLC允许此数据流。在VLAN覆盖的情况下，数据流桥接，以便到达ISE服务器。
一旦ISE客户端完成评估，与reauth服务的一RADIUS CoA Req被发送到WLC。这起动客户端的再验证(通过发送EAP-START)。一旦再验证成功， ISE发送访问接受与新的ACL (若有)和没有URL重定向或者访问VLAN。
WLC有CoA Req的技术支持和断开Req根据RFC 3576。WLC需要根据RFC 5176支持再auth服务的CoA Req。
而不是可下载的ACLs，预先配置的ACL在WLC使用。ISE服务器发送ACL名称，在控制器已经被配置。
此设计应该为VLAN和ACL案件工作。在VLAN覆盖的情况下，我们重定向端口80重定向并且允许(数据流的网桥)其余在检疫VLAN的。对于ACL，在访问接收的PREauth ACL接受适用。

此图提供此功能流的一个视觉表示法：

描出概述的ISE

不管他们的设备类型， Cisco ISE仿形铣床服务提供在发现，找出和确定所有附上终端的功能的功能在您的网络，为了保证和维护对您的企业网络的适当的访问。它主要收集属性或一套所有终端属性在您的网络的并且根据他们的配置文件分类他们。

仿形铣床包括这些组件：

传感器包含一定数量的探测。探测通过查询网络接入设备获取网络信息包，并且转发从终端收集到分析器的属性和他们的属性值。
分析器评估终端使用匹配属性和他们的属性值收集的被配置的策略和身份组，在Cisco ISE数据库分类终端给指定的组并且存储与被匹配的配置文件的终端。

对于移动设备检测，它是推荐使用这些探测的组合适当的设备标识：

RADIUS (呼叫位置ID) ：提供MAC地址(OUI)
DHCP (主机名) ：主机名-默认主机名-能包括设备类型;例如：jsmithipad
DNS (反向IP查找) ：FQDN -默认主机名-能包括设备类型
HTTP (用户代理) ：在特定移动设备类型的详细资料

在本例中iPad的，仿形铣床从用户代理属性捕获Web浏览器信息，以及从请求消息的其他HTTP属性，并且添加他们到终端属性列表。

创建内部身份用户

MS激活目录(AD)没有对于简单的proof-of-concept是必需的。ISE可以使用作为唯一的身份存储，包括区分访问和精细的策略控制的用户访问。

在版本ISE 1.0，使用AD集成， ISE在授权策略能使用AD组。如果ISE使用内部用户存储(没有AD集成)，组不可能用于策略与设备身份组(在ISE将解决的被识别的Bug一道1.1)。所以，只有个人用户可以被区分，例如员工或承包商，当使用除设备身份组之外。

完成这些步骤：

对https://ISEip地址打开浏览器窗口。
连接对Administration >身份管理>身份。
选择用户，然后点击添加(网络访问用户)。输入这些用户值并且分配到雇员组：
- 名字：员工
- 密码：
单击 submit。
- 名字：承包商
- 密码：
确认两个帐户被创建。

添加无线局域网控制器到ISE

起动RADIUS请求对ISE的所有设备必须有在ISE的一个定义。这些网络设备根据他们的IP地址被定义。ISE网络设备定义能指定因而允许定义的IP地址范围表示多个实际设备。

在什么之外对于RADIUS通信是必需的， ISE网络设备定义包含其他ISE/device通信的设置，例如SNMP和SSH。

网络设备定义的另一个重要方面适当地组队设备，以便组队的这在网络访问策略可以被有效利用。

在此练习，配置对于您的实验室是必需的设备定义。

完成这些步骤：

从ISE请去Administration >网络资源>网络设备。
从网络设备，请点击添加。输入IP地址，屏蔽检查验证设置，然后输入“cisco’共有的秘密的。
保存WLC条目，并且确认在列表的控制器。

配置无线认证的ISE

ISE需要为验证的802.1x无线客户端被配置和使用激活目录作为身份存储。

完成这些步骤：

从ISE请连接对策略>认证。
点击扩展Dot1x > Wired_802.1X (-)。
点击齿轮图标从库添加情况。
从下拉式情况的选择，请选择复合条件> Wireless_802.1X。
设置Express情况对或。
扩展以后允许协议选项，并且接受默认内部用户(默认值)。
留下一切别的东西在默认值。点击“Save”完成步骤。

引导无线局域网控制器

连接WLC到网络

Cisco2500无线局域网控制器部署指南也是可用的在Cisco 2500系列无线控制器部署指南。

配置使用启动向导的控制器

(Cisco Controller) 
 Welcome to the Cisco Wizard Configuration Tool Use the '-' character to backup
 Would you like to terminate autoinstall? [yes]: yes AUTO-INSTALL: process terminated 
-- no configuration loaded System Name [Cisco_d9:24:44] (31 characters max): 
   ISE-Podx Enter Administrative User Name (24 characters max): admin 
   Enter Administrative Password 
   (3 to 24 characters): Cisco123 
   Re-enter Administrative Password: Cisco123 
Management Interface IP Address: 10.10.10.5 
Management Interface Netmask: 255.255.255.0
Management Interface Default Router: 10.10.10.1
Management Interface VLAN Identifier (0 = untagged): 0
Management Interface Port Num [1 to 4]: 1
Management Interface DHCP Server IP Address: 10.10.10.10
 Virtual Gateway IP Address: 1.1.1.1
Mobility/RF Group Name: ISE
 Network Name (SSID): PODx
Configure DHCP Bridging Mode [yes][NO]: no
Allow Static IP Addresses [YES][no]: no
 Configure a RADIUS Server now? [YES][no]: no
Warning! The default WLAN security policy requires a RADIUS server.
Please see documentation for more details.
 Enter Country Code list (enter 'help' for a list of countries) [US]: US

Enable 802.11b Network [YES][no]: yes
Enable 802.11a Network [YES][no]: yes
Enable 802.11g Network [YES][no]: yes
Enable Auto-RF [YES][no]: yes
 Configure a NTP server now? [YES][no]: no
Configure the ntp system time now? [YES][no]: yes
Enter the date in MM/DD/YY format: mm/dd/yy
Enter the time in HH:MM:SS format: hh:mm:ss
Configuration correct? If yes, system will save it and reset. [yes][NO]: yes
 Configuration saved!
 Resetting system with new configuration...
Restarting system.

邻接交换机配置

控制器被连接到在相邻交换机(快速以太网1)的以太网端口。邻居交换机端口被配置作为802.1Q中继并且允许在Trunk的所有VLAN。本地VLAN10允许WLC的管理接口被连接。

802.1Q交换机端口配置如下：

switchport
switchport trunk encapsulation dot1q 
switchport trunk native VLAN 10
switchport mode trunk
end

添加认证服务器(ISE)到WLC

ISE需要被添加到WLC为了enable (event) 802.1X和CoA功能无线终端的。

完成这些步骤：

打开浏览器，然后连接到荚WLC (使用安全HTTP) > https://wlc。
连接对Security > Authentication >New。
输入这些值：
- 服务器IP地址：10.10.10.70 (检查分配)
- 共有的秘密：cisco
- RFC 3576 (CoA)的技术支持：启用(默认值)
- 一切别的东西：默认值
点击适用继续。
选择新RADIUS认为的> Add。
输入这些值：
- 服务器IP地址：10.10.10.70
- 共有的秘密：cisco
- 一切别的东西：默认值
点击运用，然后保存WLC的配置。

创建WLC雇员动态接口

完成这些步骤为了添加WLC的一个新的动态接口和映射它对员工VLAN ：

从WLC，请连接对Controller>接口。然后单击 New。
从WLC，请连接对Controller>接口。输入以下：
- 接口名称：员工
- VLAN id ：11
进入以下雇员接口的：
- 端口号：1
- VLAN标识符：11
- IP 地址：10.10.11.5
- 子网掩码：255.255.255.0
- 网关：10.10.11.1
- DHCP ：10.10.10.10
确认新的雇员动态接口被创建。

创建WLC客户动态接口

完成这些步骤为了添加WLC的一个新的动态接口和映射它对客户VLAN ：

从WLC，请连接对Controller>接口。然后单击 New。
从WLC，请连接对Controller>接口。输入以下：
- 接口名称：客户
- VLAN id ：12
为客户接口进入这些：
- 端口号：1
- VLAN标识符：12
- IP 地址：10.10.12.5
- 子网掩码：255.255.255.0
- 网关：10.10.12.1
- DHCP ：10.10.10.10
确认客户接口被添加了。

添加802.1x WLAN

从WLC最初的引导，也许已经有被创建的默认WLAN。如果那样，请修改它或创建一新的WLAN支持无线802.1X认证如指南所示。

完成这些步骤：

从WLC，请连接对WLAN >创建新。
对于WLAN，请输入以下：
- 配置文件名字：pod1x
- SSID：同样
对于WLAN设置> General选项，请使用以下：
- 收音策略：所有
- 接口/组：管理
- 一切别的东西：默认值
对于WLAN > Security选项>层2，请设置以下：
- 分层堆积2个Security:WPA+WPA2
- WPA2策略/加密：启用/AES
- Auth键Mgmt ：802.1X
对于WLAN > Security选项>AAA服务器，请设置以下：
- 无线电服务器重写接口：禁用
- 认证/记帐服务器：启用
- Server1 ：10.10.10.70
对于WLAN >Advanced选项，请设置以下：
- 允许AAA覆盖：启用
- NAC状态：Radius NAC (所选)
回到WLAN > General选项> Enable (event) WLAN (复选框)。

测试WLC动态接口

您需要做一次快速检查有效雇员和客户接口。请使用所有设备联合到WLAN，然后更改WLAN接口分配。

从WLC，请连接对WLAN > WLANs。点击编辑在更早的练习创建的您安全的SSID。
更改接口/接口组到员工，然后点击适用。
若被设定适当地，设备从员工VLAN (10.10.11.0/24)收到一个IP地址。此示例显示获得一个新的IP地址的一个IOS设备。
一旦早先接口被确认了，请更改WLAN接口分配到客户，然后点击适用。
若被设定适当地，设备从客户VLAN (10.10.12.0/24)收到一个IP地址。此示例显示获得一个新的IP地址的一个IOS设备。
重要信息：更改接口分配回到原始管理。
点击运用并且保存WLC的配置。

iOS的(IP电话/iPad)无线认证

关联对WLC通过一验证的SSID一个内部用户(或集成， AD用户)使用一个IOS设备例如IP电话、iPad或者iPod。跳到这些步骤，如果不可适用。

在IOS设备上，请去WLAN设置。Enable (event) WIFI，然后选择在前面的部分创建的802.1X被启用的SSID。
提供此信息为了连接：
- 用户名：员工(内部–员工)或承包商(内部–承包商)
- 密码：
点击接受ISE认证。
确认IOS设备从管理(VLAN10)接口获得IP地址。
在WLC >监控程序>客户端，请验证终端信息包括使用、状态和EAP类型。
同样地，客户端信息可以由ISE >监控程序>认证页提供。
点击Details图标为了操练下来到会话的详细信息的会话。

添加状态重定向ACL到WLC

状态重定向ACL在WLC被配置， ISE将使用限制状态的客户端。有效地和在最小数量ACL允许ISE之间的数据流。若需要可选的规则在此ACL可以增加。

连接到WLC > Security >访问控制列出>访问控制列表。点击 New（新建）。
为ACL提供一个名字(ACL-POSTURE-REDIRECT)。
点击添加新的ACL的新规则。设置以下值为ACL顺序#1。点击适用，当完成时。
- 来源：Any
- 目的地：IP地址10.10.10.70， 255.255.255.255
- 协议：Any
- 动作：许可证
确认顺序被添加了。
单击 Add New Rule。设置以下值为ACL顺序#2。点击适用，当完成时。
- 来源：IP地址10.10.10.70， 255.255.255.255
- 目的地：Any
- 协议：Any
- 动作：许可证
确认顺序被添加了。
设置以下值为ACL顺序#3。点击适用，当完成时。
- 来源：Any
- 目的地：Any
- 协议：UDP
- 源端口：DNS
- 目的地端口：Any
- 动作：许可证
确认顺序被添加了。
单击 Add New Rule。设置以下值为ACL顺序#4。点击适用，当完成时。
- 来源：Any
- 目的地：Any
- 协议：UDP
- 源端口：Any
- 目的地端口：DNS
- 动作：许可证
确认顺序被添加了。
保存当前WLC配置。

描出在ISE的Enable (event)探测

ISE需要被配置作为探测有效描出终端。默认情况下，这些选项是失效的。此部分显示如何配置ISE是探测。

从ISE管理，请连接对管理>System >配置。
选择ISE。点击编辑ISE主机。
从Edit节点页，请选择配置文件配置并且配置以下：
- DHCP ：启用，所有(或默认值)
- DHCPSPAN ：启用，所有(或默认值)
- HTTP ：启用，所有(或默认值)
- RADIUS ：启用， N/A
- DNS ：启用， N/A
重新关联设备(IP电话/iPads/Droids/Mac等等)。
确认ISE终端身份。连接对Administration >身份管理>身份。点击终端列出什么被描出了。

Note: 首字母描出是从RADIUS探测。

Enable (event) ISE设备的配置文件策略

箱外， ISE提供多种终端配置文件库。完成设备的这些步骤为了enable (event)配置文件：

从ISE，请连接对策略>描出。
从左窗格，请扩展描出策略。
点击Apple设备> Apple iPad，并且设置以下：
- 被启用的策略：启用
- 创建配比的身份组：选择
点击Apple设备> Apple IP电话，设置以下：
- 被启用的策略：启用
- 创建配比的身份组：选择
点击机器人，设置以下：
- 被启用的策略：启用
- 创建配比的身份组：选择

ISE状态发现重定向的授权配置文件

完成这些步骤为了配置授权策略状态重定向允许新的设备重定向到适当发现和描出的ISE ：

从ISE，请连接对策略>Policy元素>结果。
扩展授权。点击授权配置文件(左窗格)并且点击添加。
用以下创建授权配置文件：
- 名字：Posture_Remediation
- 访问类型：Access_Accept
- 常见工具：
  - 状态发现，被启用
  - 状态发现， ACL ACL-POSTURE-REDIRECT
点击提交完成此任务。
确认新的授权配置文件被添加。

创建ISE员工的授权配置文件

添加员工的一个授权配置文件允许ISE授权和允许与分配的属性的访问。雇员VLAN11在这种情况下分配。

完成这些步骤：

从ISE，请连接对策略>结果。扩展授权，然后点击授权配置文件并且点击添加。
进入以下雇员授权配置文件的：
- 名字：Employee_Wireless
- 普通的任务：
  - VLAN，被启用
  - VLAN，子值11
点击提交完成此任务。
确认新的雇员授权配置文件被创建了。

创建ISE承包商的授权配置文件

添加承包商的一个授权配置文件允许ISE授权和允许与分配的属性的访问。承包商VLAN 12在这种情况下分配。

完成这些步骤：

从ISE，请连接对策略>结果。扩展授权，然后点击授权配置文件并且点击添加。
进入以下雇员授权配置文件的：
- 名字：Employee_Wireless
- 普通的任务：
  - VLAN，被启用
  - VLAN，子值12
点击提交完成此任务。
确认承包商授权配置文件被创建了。

设备状态/描出的授权策略

一点信息知道关于新设备，当首先来在网络上时，管理员将创建相应的策略允许未知终端在允许访问前被识别。在此练习，授权策略将被创建，以便新设备将重定向对状态评估的ISE (对于移动设备agentless，因此只描出是相关的);终端将重定向对ISE俘虏门户并且被识别。

完成这些步骤：

从ISE，请连接对策略>授权。
有Profiled Cisco IP电话的一个策略。这是箱外。编辑此作为状态策略。
输入此策略的以下值：
- 规则名称：Posture_Remediation
- 身份组：Any
- 其他情况>创建新：(先进的)会话> PostureStatus
- PostureStatus >等于：未知
设置以下权限的：
- 权限>标准：Posture_Remediation
Click Save.

Note: 二者择一海关政策元素可以被创建添加易用。

测试状态修正策略

对简单的演示可执行表示， ISE适当地描出根据状态策略的新设备。

从ISE，请连接对Administration >身份管理>身份。
点击终端。关联并且连接一个设备(在本例中的一个IP电话)。
刷新终端列表。观察提供什么信息。
从终点设备，请访问对：
- URL ：http://www (或10.10.10.10)
设备重定向。接受其中任一提示输入证书。
在移动设备完全地重定向后，从ISE再请刷新终端列表。观察什么更改了。早先终端(例如， Apple设备)应该变成了“AppleiPhone'etc。原因是HTTP探测器有效得到用户代理信息，作为重定向一部分的进程到俘虏门户。

被区分的访问的授权策略

在成功测试状态授权以后，请继续建立策略支持员工和承包商的被区分的访问用已知设备和对用户角色的另外VLAN分配特定(在此方案、员工和承包商)。

完成这些步骤：

连接对ISE >Policy >授权。
添加/插入在状态修正策略/线路上的一新规则。
输入此策略的以下值：
- 规则名称：员工
- 身份组(请扩展) ：终端身份组
- 终端身份组：描出
- 描出：机器人、AppleiPad或者Apple IP电话
为了指定附加设备类型，请点击+并且添加更多设备(若需要) ：
- 终端身份组：描出
- 描出：机器人、AppleiPad或者Apple IP电话
为此策略指定以下权限的值：
- 其他情况(请扩展) ：创造新的条件(Advanced选项)
- 情况>表达式(从列表) ：InternalUser >名字
- InternalUser >名字：员工
添加兼容状态的会话的一个条件：
- 权限> Profiles>标准：Employee_Wireless
Click Save.确认策略适当地被添加了。
通过添加承包商策略继续。在本文中，早先策略被复制为了加快进程(或，您能为好习惯手工配置)。

从雇员策略>动作，请点击下面重复项。
编辑此策略的(备份)以下字段：
- 规则名称：承包商
- 其他情况> InternalUser >名字：承包商
- 权限：Contractor_Wireless
Click Save.确认适当配置早先备份(或新的策略)。
为了预览策略，请点击策略在扫视。

策略一览查看统一的提供总结和容易发现策略。

测试CoA被区分的访问的

当为区分访问和策略授权配置文件准备的，是时间测试。有单个获取的WLAN，员工将被分配员工VLAN，并且承包商将是为承包商VLAN。Apple IP电话/iPad用于以下的示例。

完成这些步骤：

连接到获取的WLAN (POD1x)用移动设备并且请使用这些证件：
- 用户名：员工
- 密码：
点击加入。确认员工是分配的VLAN 11 (员工VLAN)。
点击忘记此网络。确认通过点击忘记。
(如果同样用于早先步骤)，请去WLC并且取消现有的客户端连接。连接监控>客户端> MAC地址，然后点击去除。
另一个可靠方法清除上次客户端会话将禁用/enable (event) WLAN。
1. 去WLC > WLANs > WLAN，然后点击WLAN编辑。
2. 不选定启用>适用(禁用)。
3. 检查机箱启用>适用(重新授权给)。
回到移动设备。再连接到同样WLAN用这些证件：
- 用户名：承包商
- 密码：
点击加入。确认承包商用户是分配的VLAN 12 (承包商/客户VLAN)。
您能查看在ISE >监控程序>授权的ISE实时日志视图。您应该看到个人用户(员工，承包商)获得被区分的授权配置文件(Employee_WirelessvsContractor_Wireless)用不同的VLAN。

WLC客户WLAN

完成这些步骤为了添加客户WLAN允许客户访问ISE赞助商客户门户：

从WLC，请连接对新WLANs > WLANs的>Add。
进入以下新的客户WLAN的：
- 配置文件名字：pod1guest
- SSID：pod1guest
单击 Apply。
进入以下在客户WLAN > General选项下：
- 状态：禁用
- 接口/接口组：客户
连接对客户WLAN > Security > Layer2并且输入以下：
- 第 2 层安全：无
连接对客户WLAN > Security > Layer3选项并且输入以下：
- 第3层安全：无
- Web策略：启用
- Web策略sub值：认证
- 预先身份验证ACL ：ACL-POSTURE-REDIRECT
- Web认证类型：外部(请重定向到外部服务器)
- URL ：https://10.10.10.70:8443/guestportal/Login.action
单击 Apply。
保证保存WLC配置。

测试客户WLAN和客户门户

现在，您能测试客户WLAN的配置。它应该重定向客户到ISE客户门户。

完成这些步骤：

从一个IOS设备例如IP电话，请连接对Wi-Fi网络> Enable (event)。然后，请选择Pod客户网络。
您的IOS设备应该显示从客户VLAN (10.10.12.0/24)的一个有效IP地址。
打开Safari浏览器并且连接对：
- URL ：http://10.10.10.10
Web认证重定向出现。
请点击继续，直到您到达了ISE客户入口页面。

下张示例屏幕画面显示在客户门户洛金的IOS设备。这确认WLAN和ISE客户的正确的设置门户是活跃的。

ISE无线赞助了访客访问

可以配置ISE允许客户被赞助。在这种情况下您将配置ISE客户策略允许赞助内部或AD域(如果集成)的用户访客访问。您也将配置ISE允许赞助商查看客户密码(可选)，对此实验室是有用的。

完成这些步骤：

添加雇员用户到SponsorAllAccount组。有不同的方式执行此：去直接地组或者编辑用户并且分配组。对于此示例，请连接对Administration >身份管理> Groups >用户身份组。然后，请点击SponsorAllAccount并且添加雇员用户。
连接对Administration >客户Management>赞助商组。
点击编辑，然后选择SponsorAllAccounts。
选择授权级别并且设置以下：
- 查看客户密码：是
点击“Save”为了完成此任务。

赞助的客户

以前，您配置适当的客户策略和组允许AD域用户赞助临时客户。其次，您将访问门户的赞助商并且创建一临时访客访问。

完成这些步骤：

从浏览器，请连接对这些URL之一：http:// <ise ip>:8080/sponsorportal/或https:// <ise ip>:8443/sponsorportal/。然后，与以下的登录：
- 用户名：aduser (激活目录)，员工(内部用户)
- 密码：
从赞助商页，请点击创建单个客户用户帐户。
对于一个临时客户，请添加以下：
- 名字：必需(例如，山姆)
- 姓氏：必需(例如， Jones)
- 组角色：客户
- 时间配置文件：DefaultOneHour
- 时间区域：其中任一/默认值
单击 submit。
客户帐户根据您的早先条目被创建。注意密码是可视的(从早先练习)与哈希***相对。
打开此窗口显示客户的用户名和密码。您将使用他们测试客户门户洛金(其次)。

测试客户门户访问

当新的客户帐户创建的是由AD用户/赞助商，是时间测试客户门户和访问。

完成这些步骤：

在一个首选设备(在这种情况下Apple iOS/iPad)上，请连接到荚客户SSID并且检查IP地址/connectivity。
请使用浏览器并且尝试连接到http://www。

您重定向对客户门户登录页。
使用客户帐户的洛金被创建在早先练习。

如果成功，可接受的使用规定页出版。
检查接受条款和条件，然后点击接受。

原始URL完成，并且终端是允许的访问作为客户。

身份验证配置

为了与ISE的安全通信，确定通信是否是涉及的认证或为ISE管理。例如，对于配置使用ISE Web UI， X.509证书和认证信任一系列需要被配置到enable (event)不对称加密。

完成这些步骤：

从您的有线被连接的PC，对https://AD/certsrv请打开浏览器窗口。

Note: 请使用安全HTTP。

Note: 用Mozilla Firefox或MS Internet Explorer为了访问ISE。
登陆作为administrator/Cisco123。
单击 Download a CA certificate, certificate chain, or CRL。
点击下载CA证书并且保存它(请注释保存位置)。
对https:// <Pod-ISE>打开浏览器窗口。
去管理>System >证书>证书权限证书。
选择认证机关证书操作并且访问对以前下载的CA cert。
为有EAP-TLS的客户端选择信任，然后提交。
确认CA被添加了委托作为根CA。
从浏览器，请去管理>System >证书>证书权限证书。
点击添加，然后生成认证署名请求。
提交这些值：
- 证书主题：CN=ise.corp.rf-demo.com
- 密钥长度：2048
ISE提示CSR是可用的在CSR页。单击 Ok。
选择CSR从ISE CSR页并且点击导出。
保存文件到所有位置(例如，下载等等)
文件将被保存作为*.pem。
寻找CSR文件并且编辑与任一Notepad/Wordpad/TextEdit。
复制内容(挑选all>复制)。
对https:// <Pod-AD>/certsrv打开浏览器窗口。
点击请求认证。
点击提交先进的证书请求。
粘贴在保存的请求字段的CSR内容。
选择Web服务器作为认证模板，然后点击提交。
选择编码的DER，然后点击下载认证。
保存文件到已知位置(例如，下载)
去管理>System >证书>证书权限证书。
点击Add>捆绑CA证书。
访问对以前下载的CA证书。
选择协议EAP和管理接口，然后点击提交。
确认CA被添加了委托作为根CA。

Windows 2008激活目录集中

ISE能直接地与激活目录(AD)联络用户/机器认证的或检索的授权信息用户属性。为了与AD沟通，必须“加入ISE’到AD域。在此练习您将加入ISE对AD域，并且确认AD通信正确地运作。

完成这些步骤：

为了加入ISE对AD域，从ISE去Administration >身份管理>外部身份来源。
从左窗格(外部身份来源)，请选择激活目录。
在右边，请选择Connection选项并且输入以下：
- 域名：corp.rf-demo.com
- 身份存储名称：AD1
点击测试连接。输入AD用户名(aduser/Cisco123)，然后点击OK键。
确认测试状态显示成功的测试。
选择显示详细日志并且对排除故障观察有用的详细资料。点击OK键继续。
点击保存配置。
点击加入。输入AD用户(administrator/Cisco123)，然后点击OK键。
确认加入操作状态显示成功，然后点击OK键继续。

服务器连接状态显示连接。如果此在任何时间状态变化，测试连接将帮助用AD操作排除问题故障。

添加激活目录组

当AD组被添加时，更加粒状的控制允许对ISE策略。例如， AD组可以由功能角色区分，例如雇员或承包小组，不用体验的相关Bug在早先ISE策略对用户仅被限制的1.0练习。

在此实验室，使用域用户和仅雇员组。

完成这些步骤：

从ISE，去Administration >身份管理>外部身份来源。
选择活动Directory>组选项。
点击+Add，然后从目录选择组。
在继续采取的行动窗口(请选择目录组)，请接受域的(corp RFdemo.com)默认值并且过滤(*)。然后，请点击RetrieveGroups。
为域用户和雇员组选择机箱。点击OK键，当完成时。
确认组被添加了到列表。

添加身份来源顺序

默认情况下，设置ISE使用内部用户认证存储。如果AD被添加，顺序优先级顺序可以被创建包括ISE将使用检查认证的AD。

完成这些步骤：

从ISE，请连接对Administration >身份管理>身份来源顺序。
点击+Add为了添加一个新的顺序。
输入新名字：AD_Internal。添加所有可用的来源到所选的字段。然后，请重新命令，当需要，以便AD1被移动向列表的顶层。单击 submit。
确认顺序被添加了到列表。

ISE无线赞助了与集成AD的访客访问

可以配置ISE允许客户赞助与策略为了允许AD域用户赞助访客访问。

完成这些步骤：

从ISE，请连接对Administration >客户Management>设置。
扩展赞助商，并且点击认证来源。然后，请选择AD_Internal，身份存储顺序。
确认AD_Internal，身份存储顺序。Click Save.
连接对Administration >客户Management>赞助商组策略。
插入在第一个规则上的新的策略(请点击从权利的动作图标)。
对于新的赞助商组策略，请创建以下：
- 规则名称：域用户
- 身份组：Any
- 其他情况：(请创建新的/Advanced) > AD1
- AD1 ：外部组
- AD1外部Groups>等于> corp.rf-demo.com/Users/Domain用户
在赞助商组，请设置以下：
- 赞助商组：SponsorAllAccounts
连接对Administration >客户Management>赞助商组。
选择编辑> SponsorAllAccounts。
选择授权级别并且设置以下：
- 查看客户密码：是

配置在交换机的SPAN

配置SPAN - ISE mgt/探测接口是L2在WLC管理接口附近。交换机可以被配置到SPAN和其他接口，例如雇员和客户接口VLAN。

Podswitch(config)#monitor session 1 source vlan10 , 11 , 12
Podswitch(config)#monitor session 1 destination interface Fa0/8

ISE virtual probe interface.

参考：Apple MAC OS X的无线认证

WLC的关联通过一验证的SSID作为一个内部用户(或集成， AD用户)使用Apple Mac OS X无线膝上型计算机。跳过，如果不可适用。

在Mac，请去WLAN设置。Enable (event) WIFI，然后选择并且连接到802.1X被启用的Pod在早先练习创建的SSID。
提供以下信息连接：
- 用户名：aduser (如果曾经AD)，员工(内部–员工)，内部的承包商(–承包商)
- 密码：
- 802.1X ：自动
- TLS认证：无
此时，膝上型计算机也许不连接。另外， ISE能投掷一个失败的事件如下：
```
Authentication failed :12514 EAP-TLS failed SSL/TLS handshake because of 
an unknown CA in the client certificates chain
```
去设置系统首选>网络>机场>的802.1X并且设置新的Pod SSID/WPA配置文件认证如下：
- TLS ：禁用
- PEAP ：启用
- TTL ：禁用
- EAP-FAST ：禁用
点击OK键继续和允许设置被保存。
在网络屏幕上，请选择适当的SSID + 802.1X WPA配置文件并且点击连接。
系统也许为用户名和密码提示。输入AD用户和密码()，然后点击OK键。

客户端应该显示连接通过PEAP用有效IP地址。

参考：Microsoft Windows XP的无线认证

WLC的关联通过一验证的SSID作为一个内部用户(或集成， AD用户)使用Windows XP无线膝上型计算机。跳过，如果不可适用。

完成这些步骤：

在膝上型计算机上，请去WLAN设置。Enable (event) WIFI和连接到802.1X被启用的Pod在早先练习创建的SSID。
访问WIFI接口的网络属性。
连接对Wireless Networks选项。选择荚SSID网络属性> Authentication选项> EAP type= Protected EAP (PEAP)。
点击EAP属性。
设置以下：
- 验证服务器证明：禁用
- 认证方法：获取的密码(EAP-MSCHAP v2)
点击OK键在所有窗口的完成此配置任务。
Windows XP客户端提示输入用户名和密码。在本例中，它是。
确认网络连通性， IP编址(v4)。

参考：微软视窗的7无线认证

WLC的关联通过一验证的SSID作为一个内部用户(或集成， AD用户)使用Windows 7无线膝上型计算机。

在膝上型计算机上，请去WLAN设置。Enable (event) WIFI和连接到802.1X被启用的Pod在早先练习创建的SSID。
访问无线管理器并且编辑新的Pod无线配置文件。
设置以下：
- 认证方法：PEAP
- 切记我的证件… ：禁用
- 验证服务器证明(高级设置) ：禁用
- 认证方法(副词。设置) ：EAP-MSCHAP v2
- 请自动地请使用我的Windows登录… ：禁用