带身份服务引擎的无线自带设备

简介

思科身份服务引擎(ISE)是思科的下一代策略服务器，为Cisco TrustSec解决方案提供身份验证和授权基础设施。它还提供另外两项关键服务：

• 第一项服务是提供一种方法，根据Cisco ISE从各种信息源接收的属性自动分析终端设备类型。此服务（称为分析器）提供与思科之前提供的思科NAC分析器设备相同的功能。

• 思科ISE提供的另一个重要服务是扫描终端合规性；例如，AV/AS软件安装及其定义文件有效性（称为状态）。 思科以前仅通过Cisco NAC设备提供此精确状态功能。

思科ISE提供同等级别的功能，并与802.1X身份验证机制集成。

与无线局域网控制器(WLC)集成的思科ISE可以提供移动设备（如iPhone、iPad和iPod）、基于Android的智能手机等的分析机制。对于802.1X用户，思科ISE可提供相同级别的服务，如分析和状态扫描。思科ISE上的访客服务也可以通过将网络身份验证请求重定向到思科ISE进行身份验证与思科WLC集成。

本文档介绍自带设备(BYOD)无线解决方案，例如根据已知终端和用户策略提供差异化访问。本文档不提供BYOD的完整解决方案，但用于演示动态访问的简单使用案例。其他配置示例包括使用ISE保证人门户，特权用户可以保证访客进行无线访客访问的调配。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本：

• 思科无线局域网控制器2504或2106，软件版本7.2.103

• Catalyst 3560 - 8端口

• WLC 2504

• 身份服务引擎1.0MR（VMware服务器映像版本）

• Windows 2008 Server（VMware映像） — 512M，20GB磁盘

  • Active Directory

  • DNS

  • DHCP

  • 证书服务

拓扑

规则

有关文档规则的详细信息，请参阅 Cisco 技术提示规则。

无线局域网控制器RADIUS NAC和CoA概述

此设置使WLC能够查找来自ISE RADIUS服务器的URL重定向AV对。这仅在与启用RADIUS NAC设置的接口关联的WLAN上。当收到用于URL重定向的Cisco AV-Pair时，客户端将进入POSTURE_REQD状态。这基本上与控制器内部的WEBAUTH_REQD状态相同。

当ISE RADIUS服务器认为客户端是Posture_Compliant时，它会发出CoA重新身份验证。Session_ID用于将其连接在一起。使用此新的AuthC（重新身份验证），它不发送URL重定向AV对。由于没有URL重定向AV-Pair，WLC知道客户端不再需要状态。

如果未启用RADIUS NAC设置，WLC将忽略URL重定向VSA。

CoA-ReAuth:RFC 3576设置启用了此功能。ReAuth功能已添加到先前支持的现有CoA命令。

RADIUS NAC设置与此功能互斥，但CoA需要此设置才能工作。

预状态ACL:当客户端处于POSTURE_REQ状态时，WLC的默认行为是阻止除DHCP/DNS外的所有流量。预状态ACL（在url-redirect-acl AV-Pair中称为）将应用于客户端，该ACL中允许的是客户端可以访问的内容。

预身份验证ACL与VLAN覆盖：7.0MR1不支持与接入VLAN不同的隔离或授权VLAN。如果从策略服务器设置VLAN，它将是整个会话的VLAN。首次授权后无需更改VLAN。

无线局域网控制器RADIUS NAC和CoA功能流

下图提供当客户端向后端服务器进行身份验证和NAC状态验证时消息交换的详细信息。

1. 客户端使用dot1x身份验证进行身份验证。

2. RADIUS Access Accept为端口80和预身份验证ACL传送重定向的URL，包括允许IP地址和端口，或隔离VLAN。

3. 客户端将重新定向到访问接受中提供的URL，并进入新状态，直到状态验证完成。处于此状态的客户端与ISE服务器对话，并根据ISE NAC服务器上配置的策略验证自身。

4. 客户端上的NAC代理启动状态验证（到端口80的流量）：代理向端口80发送HTTP发现请求，控制器将该请求重定向到访问接受中提供的URL。ISE知道客户端尝试访问并直接响应客户端。这样，客户端获知ISE服务器IP，从现在开始，客户端直接与ISE服务器通信。

5. WLC允许此流量，因为ACL配置为允许此流量。如果VLAN覆盖，流量将桥接到达ISE服务器。

6. ISE客户端完成评估后，RADIUS CoA-Req将发送到WLC，并提供重新身份验证服务。这将启动客户端的重新身份验证（通过发送EAP-START）。 重新身份验证成功后，ISE将使用新ACL（如果有）和无URL重定向或访问VLAN发送接入接受。

7. 根据RFC 3576,WLC支持CoA-Req和Disconnect-Req。根据RFC 5176,WLC需要支持CoA-Req进行重新身份验证服务。

8. WLC上使用预配置的ACL，而不是可下载的ACL。ISE服务器只发送已在控制器中配置的ACL名称。

9. 此设计应适用于VLAN和ACL情况。如果VLAN覆盖，我们只是重定向端口80，允许（桥接）隔离VLAN上的其余流量。对于ACL，应用在access accept中收到的预身份验证ACL。

此图提供了此功能流的直观表示：

ISE分析概述

思科ISE分析器服务提供发现、定位和确定网络上所有连接终端的功能（无论其设备类型如何），以确保和保持对企业网络的适当访问。它主要收集网络上所有终端的属性或属性集，并根据其配置文件对其进行分类。

分析器由以下组件组成：

• 传感器包含许多探测。探测器通过查询网络访问设备来捕获网络数据包，并将从终端收集的属性及其属性值转发到分析器。

• 分析器使用已配置策略和身份组评估终端，以匹配所收集的属性及其属性值，将终端分类到指定组并在思科ISE数据库中存储具有匹配配置文件的终端。

对于移动设备检测，建议结合使用以下探测功能来正确识别设备：

• RADIUS（呼叫站ID）：提供MAC地址(OUI)

• DHCP（主机名）：主机名 — 默认主机名可以包括设备类型；例如：jsmith-ipad

• DNS（反向IP查找）：FQDN — 默认主机名可以包括设备类型

• HTTP（用户代理）：特定移动设备类型的详细信息

在iPad的本例中，分析器从User-Agent属性以及请求消息中捕获Web浏览器信息，并将其添加到终端属性列表。

创建内部身份用户

简单的概念验证不需要MS Active Directory(AD)。ISE可用作唯一身份库，包括区分用户访问权限和精细策略控制。

在ISE 1.0版本中，ISE使用AD集成，可在授权策略中使用AD组。如果使用ISE内部用户存储（无AD集成），则组不能与设备身份组（在ISE 1.1中要解决的已识别错误）一起在策略中使用。 因此，除设备身份组外，仅可区分单个用户，例如员工或承包商。

请完成以下步骤：

1. 打开指向https://ISEip地址的浏览器窗口。

2. 导航至管理>身份管理>身份。

   

3. 选择Users，然后单击Add(Network Access User)。 输入以下用户值并分配给员工组：

   • 名称：员工

   • 密码：XXXX

   

   

4. 单击“Submit”。

   • 名称：承包商

   • 密码：XXXX

5. 确认已创建两个帐户。

   

将无线局域网控制器添加到ISE

向ISE发起RADIUS请求的任何设备都必须在ISE中定义。这些网络设备根据其IP地址进行定义。ISE网络设备定义可以指定IP地址范围，因此允许定义代表多个实际设备。

除RADIUS通信所需的设置外，ISE网络设备定义还包含其他ISE/设备通信的设置，如SNMP和SSH。

网络设备定义的另一个重要方面是对设备进行适当分组，以便在网络访问策略中利用此分组。

在本练习中，将配置实验所需的设备定义。

请完成以下步骤：

1. 从ISE转到Administration > Network Resources > Network Devices。

   

2. 从网络设备，单击添加。输入IP地址，掩码选中Authentication Setting，然后输入“cisco”作为共享密钥。

3. 保存WLC条目，并确认列表中的控制器。

   

配置ISE进行无线身份验证

ISE需要配置为对802.1x无线客户端进行身份验证并使用Active Directory作为身份库。

请完成以下步骤：

1. 从ISE导航到Policy > Authentication。

2. 单击展开Dot1x > Wired_802.1X(-)。

3. 单击齿轮图标以从库添加条件。

   

4. 从条件选择下拉列表中，选择复合条件> Wireless_802.1X。

   

5. 将Express条件设置为OR。

6. 展开after allow protocols选项，并接受默认的Internal Users（默认）。

   

   

7. 将其他所有内容保留为默认值。单击Save完成步骤。

引导无线LAN控制器

将WLC连接到网络

《Cisco 2500系列无线控制器部署指南》中也提供了Cisco 2500无线局域网控制器部署指南。

使用启动向导配置控制器

(Cisco Controller) 
 Welcome to the Cisco Wizard Configuration Tool Use the '-' character to backup
 Would you like to terminate autoinstall? [yes]: yes AUTO-INSTALL: process terminated 
-- no configuration loaded System Name [Cisco_d9:24:44] (31 characters max): 
   ISE-Podx Enter Administrative User Name (24 characters max): admin 
   Enter Administrative Password 
   (3 to 24 characters): Cisco123 
   Re-enter Administrative Password: Cisco123 
Management Interface IP Address: 10.10.10.5 
Management Interface Netmask: 255.255.255.0
Management Interface Default Router: 10.10.10.1
Management Interface VLAN Identifier (0 = untagged): 0
Management Interface Port Num [1 to 4]: 1
Management Interface DHCP Server IP Address: 10.10.10.10
 Virtual Gateway IP Address: 1.1.1.1
Mobility/RF Group Name: ISE
 Network Name (SSID): PODx
Configure DHCP Bridging Mode [yes][NO]: no
Allow Static IP Addresses [YES][no]: no
 Configure a RADIUS Server now? [YES][no]: no
Warning! The default WLAN security policy requires a RADIUS server.
Please see documentation for more details.
 Enter Country Code list (enter 'help' for a list of countries) [US]: US

Enable 802.11b Network [YES][no]: yes
Enable 802.11a Network [YES][no]: yes
Enable 802.11g Network [YES][no]: yes
Enable Auto-RF [YES][no]: yes
 Configure a NTP server now? [YES][no]: no
Configure the ntp system time now? [YES][no]: yes
Enter the date in MM/DD/YY format: mm/dd/yy
Enter the time in HH:MM:SS format: hh:mm:ss
Configuration correct? If yes, system will save it and reset. [yes][NO]: yes
 Configuration saved!
 Resetting system with new configuration...
Restarting system.

邻居交换机配置

控制器连接到相邻交换机（快速以太网1）上的以太网端口。 邻居交换机端口配置为802.1Q中继，允许中继上的所有VLAN。本征VLAN 10允许连接WLC的管理接口。

802.1Q交换机端口配置如下：

switchport
switchport trunk encapsulation dot1q 
switchport trunk native VLAN 10
switchport mode trunk
end

向WLC添加身份验证服务器(ISE)

需要将ISE添加到WLC，以便为无线终端启用802.1X和CoA功能。

请完成以下步骤：

1. 打开浏览器，然后连接到Pod WLC（使用安全HTTP）> https://wlc。

2. 导航至Security > Authentication > New。

   

3. 输入以下值：

   • 服务器 IP 地址:10.10.10.70（检查分配）

   • 共享密钥: 思科

   • 支持RFC 3576(CoA):已启用（默认）

   • 其他一切：默认

4. 单击Apply(应用)继续。

5. 选择RADIUS Accounting > add NEW。

   

6. 输入以下值：

   • 服务器 IP 地址:10.10.10.70

   • 共享密钥: 思科

   • 其他一切：默认

7. 单击Apply，然后保存WLC的配置。

创建WLC员工动态接口

要为WLC添加新的动态接口并将其映射到员工VLAN，请完成以下步骤：

1. 从WLC导航至Controller > Interfaces。然后单击 New。

   

2. 从WLC导航至Controller > Interfaces。输入以下内容：

   • 接口名称:员工

   • VLAN ID:11

   

3. 为员工界面输入以下内容：

   • 端口号:1

   • VLAN标识符：11

   • IP Address:10.10.11.5

   • 网络掩码:255.255.255.0

   • 网关：10.10.11.1

   • DHCP:10.10.10.10

   

4. 确认新员工动态界面已创建。

   

创建WLC访客动态接口

要为WLC添加新的动态接口并将其映射到访客VLAN，请完成以下步骤：

1. 从WLC导航至Controller > Interfaces。然后单击 New。

2. 从WLC导航至Controller > Interfaces。输入以下内容：

   • 接口名称:访客

   • VLAN ID:12

   

3. 为访客接口输入以下命令：

   • 端口号:1

   • VLAN标识符：12

   • IP Address:10.10.12.5

   • 网络掩码:255.255.255.0

   • 网关：10.10.12.1

   • DHCP:10.10.10.10

   

4. 确认已添加访客接口。

   

添加802.1x WLAN

从WLC的初始引导程序，可能已创建默认WLAN。如果是，请修改它或创建新的WLAN，以支持无线802.1X身份验证，如指南中所述。

请完成以下步骤：

1. 从WLC导航至WLAN > Create New。

   

2. 对于WLAN，输入以下命令：

   • 配置文件名称:pod1x

   • SSID：相同

   

3. 对于WLAN设置>常规选项卡，请使用以下命令：

   • 无线电策略：all

   • 接口/组：管理

   • 其他一切：默认

   

4. 对于WLAN > Security（安全）选项卡> Layer 2，设置以下设置：

   • 第2层安全：WPA+WPA2

   • WPA2策略/加密：已启用/ AES

   • 身份验证密钥管理：802.1X

   

5. 对于WLAN > Security（安全）选项卡> AAA Servers（AAA服务器），请设置以下设置：

   • 无线电服务器覆盖接口：禁用

   • 身份验证/记帐服务器：启用

   • 服务器 1：10.10.10.70

   

6. 对于WLAN > Advanced（高级）选项卡，请设置以下设置：

   • 允许AAA覆盖：启用

   • NAC状态：Radius NAC（已选）

   

7. 返回WLAN > General（常规）选项卡> Enable WLAN（复选框）。

   

测试WLC动态接口

您需要快速检查有效的员工和访客接口。使用任何设备关联到WLAN，然后更改WLAN接口分配。

1. 从WLC导航至WLAN > WLANs。单击以编辑在前面的练习中创建的安全SSID。

2. 将接口/接口组更改为员工，然后单击应用。

   

3. 如果配置正确，设备将从员工VLAN(10.10.11.0/24)接收IP地址。 此示例显示获取新IP地址的iOS设备。

   

4. 确认上一个接口后，将WLAN接口分配更改为“访客”，然后单击“应用”。

   

5. 如果配置正确，设备将从访客VLAN(10.10.12.0/24)接收IP地址。 此示例显示获取新IP地址的iOS设备。

   

6. 重要信息：将接口分配改回原始管理。

7. 单击Apply并保存WLC的配置。

iOS(iPhone/iPad)的无线身份验证

使用iOS设备（如iPhone、iPad或iPod）通过经过身份验证的SSID与内部用户（或集成AD用户）关联。如果不适用，请跳过这些步骤。

1. 在iOS设备上，转到WLAN设置。启用WIFI，然后选择上一节中创建的启用802.1X的SSID。

2. 提供以下信息以连接：

   • username：员工（内部 — 员工）或承包商（内部 — 承包商）

   • 密码：XXXX

   

3. 点击接受ISE证书。

   

4. 确认iOS设备从管理(VLAN10)接口获取IP地址。

   

5. 在WLC > Monitor > Clients上，验证终端信息，包括使用、状态和EAP类型。

   

6. 同样，客户端信息可以通过ISE > Monitor > Authentication页面提供。

   

7. 单击Details图标以向下钻取到会话，以获取会话的详细信息。

   

向WLC添加终端安全评估重定向ACL

终端安全评估重定向ACL在WLC上配置，ISE将用于限制客户端安全评估。ACL至少有效地允许ISE之间的流量。如有需要，可在此ACL中添加可选规则。

1. 导航至WLC >安全>访问控制列表>访问控制列表。单击 New。

   

2. 为ACL提供名称(ACL-POSTURE-REDIRECT)。

   

3. 单击Add New Rule for the new ACL。将以下值设置为ACL序列#1。完成后单击“应用”。

   • 来源：any

   • 目的地：IP地址10.10.10.70、255.255.255.255

   • 协议：any

   • 操作：允许

   

4. 确认序列已添加。

   

5. 单击 Add New Rule。将以下值设置为ACL序列#2。完成后单击“应用”。

   • 来源：IP地址10.10.10.70、255.255.255.255

   • 目的地：any

   • 协议：any

   • 操作：允许

   

6. 确认序列已添加。

   

7. 将以下值设置为ACL序列#3。完成后单击“应用”。

   • 来源：any

   • 目的地：any

   • 协议：UDP

   • 源端口：DNS

   • 目的端口：any

   • 操作：允许

   

8. 确认序列已添加。

   

9. 单击 Add New Rule。将以下值设置为ACL序列#4。完成后单击“应用”。

   • 来源：any

   • 目的地：any

   • 协议：UDP

   • 源端口：any

   • 目的端口：DNS

   • 操作：允许

   

10. 确认序列已添加。

    

11. 保存当前WLC配置。

在ISE上启用分析探测

ISE需要配置为探测，以有效分析终端。默认情况下，这些选项处于禁用状态。本部分显示如何将ISE配置为探测。

1. 从ISE管理，导航至管理>系统>部署。

   

2. 选择ISE。单击编辑ISE主机。

   

3. 从“编辑节点”页中，选择分析配置并配置以下内容：

   • DHCP:已启用、全部（或默认）

   • DHCPSPAN:已启用、全部（或默认）

   • HTTP:已启用、全部（或默认）

   • RADIUS:已启用，不适用

   • DNS:已启用，不适用

   

4. 重新关联设备（iPhone/iPad/Droids/Mac等）。

5. 确认ISE终端身份。导航至管理>身份管理>身份。点击终端(Endpoints)列出已分析的内容。

   注意：初始分析来自RADIUS探测。

   

为设备启用ISE配置文件策略

开箱即用，ISE提供各种终端配置文件库。要为设备启用配置文件，请完成以下步骤：

1. 从ISE，导航至Policy > Profiling。

   

2. 从左窗格中，展开分析策略。

3. 单击Apple Device > Apple iPad，然后设置以下设置：

   • 启用策略：启用

   • 创建匹配身份组：已选择

   

4. 单击Apple Device > Apple iPhone，设置以下内容：

   • 启用策略：启用

   • 创建匹配身份组：已选择

   

5. 单击Android，设置以下内容：

   • 启用策略：启用

   • 创建匹配身份组：已选择

   

状态发现重定向的ISE授权配置文件

完成以下步骤以配置授权策略状态重定向允许将新设备重定向到ISE以进行正确发现和分析：

1. 从ISE，导航至Policy > Policy Elements > Results。

   

2. 展开授权。单击授权配置文件（左窗格），然后单击添加。

   

3. 使用以下内容创建授权配置文件：

   • 名称：状态_补救

   • 访问类型：Access_Accept

   • 常用工具：

     • 状态发现，已启用

     • 状态发现，ACL ACL-POSTURE-REDIRECT

   

4. 单击Submit完成此任务。

5. 确认新授权配置文件已添加。

   

为员工创建ISE授权配置文件

为员工添加授权配置文件允许ISE授权和允许使用已分配的属性访问。在本例中为员工分配VLAN 11。

请完成以下步骤：

1. 从ISE，导航至Policy > Results。展开Authorization，然后单击Authorization Profiles，然后单击Add。

   

2. 为员工授权配置文件输入以下内容：

   • 名称：Employee_Wireless

   • 常见任务:

     • VLAN，已启用

     • VLAN，子值11

3. 单击Submit完成此任务。

   

4. 确认新员工授权配置文件已创建。

   

为承包商创建ISE授权配置文件

为承包商添加授权配置文件允许ISE授权和允许使用已分配的属性访问。本例中为承包商VLAN 12分配。

请完成以下步骤：

1. 从ISE，导航至Policy > Results。展开Authorization，然后单击Authorization Profiles，然后单击Add。

2. 为员工授权配置文件输入以下内容：

   • 名称：Employee_Wireless

   • 常见任务:

     • VLAN，已启用

     • VLAN，子值12

   

3. 单击Submit完成此任务。

4. 确认已创建承包商授权配置文件。

   

设备状态/分析的授权策略

当新设备首次进入网络时，对其知之甚少，管理员将创建适当的策略以允许在允许访问之前识别未知终端。在本练习中，将创建授权策略，以便将新设备重定向到ISE进行状态评估（对于移动设备，无代理，因此仅分析相关）；终端将重定向到ISE强制网络门户并进行识别。

请完成以下步骤：

1. 从ISE，导航至Policy > Authorization。

   

2. 已分析的思科IP电话有策略。这是开箱的。将其编辑为状态策略。

3. 为此策略输入以下值：

   • 规则名称:状态_补救

   • 身份组：any

   • 其他条件>创建新：（高级）会话>状态状态

   • 状态>等于：未知

   

4. 设置以下权限：

   • 权限>标准：状态_补救

   

5. Click Save.

   注意：也可以创建自定义策略元素以增加易用性。

测试状态补救策略

为了简单演示，可以显示ISE正确分析基于状态策略的新设备。

1. 从ISE，导航至Administration > Identity Management > Identities。

   

2. 单击Endpoints。关联并连接设备（本例中为iPhone）。

   

3. 刷新终端列表。观察所提供的信息。

4. 从终端设备浏览到：

   • URL:http://www（或10.10.10.10）

   设备被重定向。接受证书的任何提示。

5. 移动设备完全重定向后，从ISE再次刷新终端列表。观察已发生的变化。以前的终端（例如，Apple-Device）应更改为“Apple-iPhone”等。原因是HTTP探测有效获取用户代理信息，这是重定向到强制网络门户的过程的一部分。

   

差分访问的授权策略

在成功测试状态授权后，继续构建策略，以支持员工和承包商使用已知设备和特定于用户角色的不同VLAN分配进行差异化访问（在此场景中，员工和承包商）。

请完成以下步骤：

1. 导航到ISE > Policy > Authorization。

2. 在Posture Remediation策略/行上方添加/插入新规则。

   

3. 为此策略输入以下值：

   • 规则名称:员工

   • 身份组（展开）：终端身份组

   

   • 终端身份组：已分析

   • 已分析：Android、Apple-iPad或Apple-iPhone

   

4. 要指定其他设备类型，请单击+并添加更多设备（如果需要）：

   • 终端身份组：已分析

   • 已分析：Android、Apple-iPad或Apple-iPhone

   

5. 为此策略指定以下权限值：

   • 其他条件（展开）：创建新条件（高级选项）

   

   • 条件>表达式（从列表）：内部用户>名称

   

   • 内部用户>名称：员工

   

6. 添加终端安全评估会话合规条件：

   • 权限>配置文件>标准：Employee_Wireless

   

7. Click Save.确认策略已正确添加。

   

8. 继续添加承包商策略。在本文档中，为了加快流程（或者，您可以手动配置以实现良好操作规范），需要复制以前的策略。

   在Employee策略>操作中，单击Duplicate Below。

   

9. 编辑此策略的以下字段（复制副本）：

   • 规则名称:承包商

   • 其他条件>内部用户>名称：承包商

   • 权限：承包商_无线

   

10. Click Save.确认已正确配置以前的复制副本（或新策略）。

    

11. 要预览策略，请单击“策略概览”。

    

    “策略概览”视图提供了一个综合汇总且易于查看的策略。

    

测试CoA以实现差分访问

通过为区分访问而准备的授权配置文件和策略，是时候进行测试了。拥有一个安全的WLAN后，将为员工分配VLAN，承包商将负责承包商VLAN。下例使用Apple iPhone/iPad。

请完成以下步骤：

1. 使用移动设备连接到安全WLAN(POD1x)，并使用以下凭证：

   • username：员工

   • 密码：XXXXX

   

2. 单击Join。确认为员工分配了VLAN 11（员工VLAN）。

   

3. 单击Forge this Network。单击“忘记”进行确认。

   

4. 转到WLC并删除现有客户端连接（如果在前面的步骤中使用过）。 导航至“监控”>“客户端”>“MAC地址”，然后单击“删除”。

   

   

5. 清除以前客户端会话的另一种确定方法是禁用/启用WLAN。

   1. 转到WLC > WLANs > WLAN，然后单击WLAN进行编辑。

   2. 取消选中已启用>应用（禁用）。

   3. 选中“已启用”>“应用”复选框（重新启用）。

      

6. 返回移动设备。使用以下凭证再次连接到同一WLAN:

   • username：承包商

   • 密码：XXXX

   

7. 单击Join。确认为承包商用户分配了VLAN 12（承包商/访客VLAN）。

   

8. 您可以在ISE > Monitor > Authorizations中查看ISE实时日志视图。您应看到不同VLAN中的个别用户（员工、承包商）获得不同的授权配置文件(Employee_WirelessvsContractor_Wireless)。

   

WLC访客WLAN

要添加访客WLAN以允许访客访问ISE发起人访客门户，请完成以下步骤：

1. 从WLC，导航至WLANs > WLANs > Add New。

2. 为新访客WLAN输入以下内容：

   • 配置文件名称:pod1guest

   • SSID：pod1guest

   

3. 单击 Apply。

4. 在访客WLAN > General（常规）选项卡下输入以下内容：

   • 状态:禁用

   • 接口/接口组：访客

   

5. 导航至访客WLAN > Security > Layer2，然后输入以下内容：

   • 第 2 层安全：无

   

6. 导航至访客WLAN >安全>第3层选项卡，然后输入以下内容：

   • 第 3 层安全：无

   • Web策略：启用

   • Web策略子值：身份验证

   • 预身份验证ACL:ACL-POSTURE-REDIRECT

   • 网络身份验证类型：外部（重新定向到外部服务器）

   • URL:https://10.10.10.70:8443/guestportal/Login.action

   

7. 单击 Apply。

8. 确保保存WLC配置。

测试访客WLAN和访客门户

现在，您可以测试访客WLAN的配置。它应将访客重定向到ISE访客门户。

请完成以下步骤：

1. 从iOS设备（如iPhone），导航至Wi-Fi网络>启用。然后，选择POD访客网络。

   

2. 您的iOS设备应显示来自访客VLAN(10.10.12.0/24)的有效IP地址。

   

3. 打开Safari浏览器并连接到：

   • URL:http://10.10.10.10

   系统将显示Web身份验证重定向。

4. 单击Continue，直到您到达ISE访客门户页面。

   

   下一个示例屏幕截图显示访客门户登录上的iOS设备。这确认WLAN和ISE访客门户的正确设置处于活动状态。

   

ISE无线发起访客接入

ISE可配置为允许访客发起。在这种情况下，您将配置ISE访客策略以允许内部或AD域（如果已集成）用户发起访客访问。您还将配置ISE以允许发起人查看访客密码（可选），这对本实验有帮助。

请完成以下步骤：

1. 将员工用户添加到SponsorAllAccount组。有不同的方法可以做到这一点：直接转到组，或编辑用户并分配组。对于本示例，导航至Administration > Identity Management > Groups > User Identity Groups。然后，单击“保证人”“所有帐户”并添加员工用户。

   

2. 导航至管理>访客管理>发起人组。

   

3. 单击Edit，然后选择SponsorAllAccounts。

   

4. 选择授权级别并设置以下项：

   • 查看访客密码：Yes

   

5. 单击Save以完成此任务。

赞助访客

以前，您已配置适当的访客策略和组以允许AD域用户发起临时访客。接下来，您将访问发起人门户并创建临时访客访问。

请完成以下步骤：

1. 在浏览器中，导航至以下URL之一：http://<ise ip>:8080/sponsorportal/或https://<ise ip>:8443/sponsorportal/。然后，使用以下命令登录：

   • username：aduser(Active Directory)、employee（内部用户）

   • 密码：XXXX

   

2. 在“发起人”页中，单击创建单个访客用户帐户。

   

3. 对于临时访客，请添加以下内容：

   • 名字:必需（例如，Sam）

   • 姓氏:必需（例如，Jones）

   • 组角色：访客

   • 时间配置文件：DefaultOneHour

   • 时区:任意/默认

   

4. 单击“Submit”。

5. 访客帐户根据您之前的条目创建。请注意，密码是可见的（从上一练习中），而不是哈希***。

6. 保持此窗口打开，显示访客的用户名和密码。您将使用它们测试访客门户登录（下一步）。

   

测试访客门户访问

使用AD用户/发起人创建的新访客帐户，是时候测试访客门户和访问。

请完成以下步骤：

1. 在首选设备（本例中为Apple iOS/iPad）上，连接到Pod访客SSID并检查IP地址/连接。

2. 使用浏览器并尝试导航至http://www。

   您将重定向到访客门户登录页面。

   

3. 使用在上一练习中创建的访客帐户登录。

   如果成功，则显示“可接受的使用策略”页。

4. 选中接受条款和条件，然后单击接受。

   

   原始URL已完成，终端可作为访客访问。

证书配置

为了保护与ISE的通信，请确定通信是与身份验证相关还是用于ISE管理。例如，对于使用ISE Web UI的配置，需要配置X.509证书和证书信任链以启用非对称加密。

请完成以下步骤：

1. 从有线连接的PC打开浏览器窗口，访问https://AD/certsrv。

   注意：使用安全HTTP。

   注意：使用Mozilla Firefox或MS Internet Explorer以访问ISE。

2. 以管理员/Cisco123身份登录。

   

3. 单击 Download a CA certificate, certificate chain, or CRL。

   

4. 单击Download CA certificate(下载CA证书)并保存（注意保存位置）。

   

5. 打开浏览器窗口，访问https://<Pod-ISE>。

6. 转到管理>System >证书>证书颁发机构证书。

   

7. 选择Certificate Authority Certificates操作并浏览到之前下载的CA证书。

8. 为具有EAP-TLS的客户端选择Trust，然后提交。

   

9. 确认已将CA添加为受信任的根CA。

   

10. 从浏览器转到管理>系统>证书>证书颁发机构证书。

11. 单击Add，然后单击Generate Certificate Signing Request。

    

12. 提交以下值：

    • 证书使用者：CN=ise.corp.rf-demo.com

    • 密钥长度：2048

    

13. ISE提示CSR在CSR页面中可用。单击 Ok。

    

14. 从ISE CSR页面选择CSR，然后点击导出。

15. 将文件保存到任何位置（例如，下载等）

16. 文件将另存为*.pem。

    

17. 找到CSR文件，然后使用记事本/写字板/文本编辑进行编辑。

18. 复制内容（全选>复制）。

    

19. 打开浏览器窗口，访问https://<Pod-AD>/certsrv。

20. 单击Request a certificate。

    

21. 单击以提交高级证书申请。

    

22. 将CSR内容粘贴到“已保存的请求”字段。

    

23. 选择Web Server作为证书模板，然后单击提交。

    

24. 选择DER编码，然后单击Download certificate。

    

25. 将文件保存到已知位置（例如，下载）

26. 转到管理>System >证书>证书颁发机构证书。

    

27. 单击Add > Bind CA Certificate。

    

28. 浏览到之前下载的CA证书。

    

29. 选择协议EAP和管理接口，然后单击Submit。

30. 确认已将CA添加为受信任的根CA。

    

Windows 2008 Active Directory集成

ISE可以直接与Active Directory(AD)通信，用于用户/计算机身份验证或用于检索授权信息用户属性。要与AD通信，ISE必须“加入”到AD域。在本练习中，您将将ISE加入AD域，并确认AD通信正常运行。

请完成以下步骤：

1. 要将ISE加入AD域，请从ISE转到Administration > Identity Management > External Identity Sources。

   

2. 从左窗格（外部身份源）中，选择Active Directory。

3. 在右侧，选择“连接”选项卡并输入以下内容：

   • 域名：corp.rf-demo.com

   • 身份库名称：AD1

   

4. 单击“Test Connection(测试连接)”。输入AD用户名(aduser/Cisco123)，然后单击OK。

   

5. 确认“测试状态”显示“测试成功”。

6. 选择Show Detailed Log（显示详细日志）并观察对故障排除有用的详细信息。单击 OK 继续。

   

7. 单击“Save Configuration”。

   

8. 单击Join。输入AD用户(administrator/Cisco123)，然后单击OK。

   

9. 确认“加入操作状态”显示“成功”，然后单击“确定”继续。

   服务器连接状态显示CONNECTED。如果此状态随时更改，测试连接将帮助排除AD操作问题。

   

添加Active Directory组

添加AD组时，允许对ISE策略进行更精细的控制。例如，AD组可以按职能角色（如员工或承包商组）进行区分，而不会在以前的ISE 1.0练习中遇到相关错误，在此练习中策略仅限于用户。

在本实验中，仅使用域用户和/或员工组。

请完成以下步骤：

1. 从ISE，转到管理>身份管理>外部身份源。

2. 选择“Active Directory”>“组”选项卡。

3. 单击+添加，然后从目录选择组。

   

4. 在后续窗口（选择目录组）中，接受域(corp-rf-demo.com)和过滤器(*)的默认值。 然后，单击“Retrieve Groups”。

   

5. 选择域用户和员工组框。完成后单击 OK。

   

6. 确认组已添加到列表。

   

添加身份源序列

默认情况下，ISE设置为使用内部用户进行身份验证存储。如果添加了AD，则可以创建优先顺序以包括ISE用于检查身份验证的AD。

请完成以下步骤：

1. 从ISE，导航至Administration > Identity Management > Identity Source Sequences。

   

2. 单击+Add以添加新序列。

   

3. 输入新名称：AD_Internal。将所有可用源添加到“选定”字段。然后，根据需要重新排序，AD1将移至列表顶部。单击“Submit”。

   

4. 确认序列已添加到列表。

   

带集成AD的ISE无线发起访客接入

ISE可配置为允许访客使用策略发起，以允许AD域用户发起访客访问。

请完成以下步骤：

1. 从ISE，导航至Administration > Guest Management > Settings。

   

2. 展开保证人，然后单击身份验证源。然后，选择AD_Internal作为身份库序列。

   

3. 确认AD_Internal作为身份库序列。Click Save.

   

4. 导航至管理>访客管理>发起人组策略。

   

5. 在第一个规则上方插入新策略(单击右侧的操作图标)。

   

6. 对于新的发起人组策略，请创建以下内容：

   • 规则名称:域用户

   • 身份组：any

   • 其他条件：（新建/高级）> AD1

   

   • AD1:外部组

   

   • AD1外部组>等于> corp.rf-demo.com/Users/Domain用户

   

7. 在发起人组中，设置以下项：

   • 发起人组：SponsorAllAccounts

   

8. 导航至管理>访客管理>发起人组。

   

9. 选择“编辑”>“保证人”。

   

10. 选择授权级别并设置以下项：

    • 查看访客密码：Yes

    

在交换机上配置SPAN

配置SPAN - ISE mgt/probe接口与WLC管理接口相邻的L2。交换机可配置为SPAN和其他接口，如员工和访客接口VLAN。

Podswitch(config)#monitor session 1 source vlan10 , 11 , 12
Podswitch(config)#monitor session 1 destination interface Fa0/8

ISE virtual probe interface.

参考:Apple MAC OS X的无线身份验证

使用Apple Mac OS X无线笔记本电脑，通过经过身份验证的SSID作为内部用户（或集成AD用户）与WLC关联。跳过（如果不适用）。

1. 在Mac上，转到WLAN设置。启用WIFI，然后选择并连接到在上一练习中创建的启用802.1X的POD SSID。

   

2. 提供以下信息以连接：

   • username：aduser（如果使用AD）、员工（内部 — 员工）、承包商（内部 — 承包商）

   • 密码：XXXX

   • 802.1X:自动

   • TLS证书：无

   

   此时，笔记本电脑可能无法连接。此外，ISE可以按如下方式引发故障事件：

   Authentication failed :12514 EAP-TLS failed SSL/TLS handshake because of 
   an unknown CA in the client certificates chain

3. 转至“系统首选项”>“网络”>“机场”> 802.1X设置，并将新的POD SSID/WPA配置文件身份验证设置为：

   • TLS:禁用

   • PEAP:启用

   • TTLS:禁用

   • EAP-FAST:禁用

   

4. 单击OK继续，并允许保存设置。

5. 在Network屏幕上，选择适当的SSID + 802.1X WPA配置文件，然后单击Connect。

   

6. 系统可能会提示输入用户名和密码。输入AD用户和密码(aduser/XXXX)，然后单击OK。

   

   客户端应显示通过PEAP连接且IP地址有效。

   

参考:Microsoft Windows XP的无线身份验证

使用Windows XP无线笔记本电脑，通过经过身份验证的SSID作为内部用户（或集成AD用户）关联到WLC。跳过（如果不适用）。

请完成以下步骤：

1. 在笔记本电脑上，转到WLAN设置。启用WIFI并连接到上一练习中创建的启用802.1X的POD SSID。

   

2. 访问WIFI接口的网络属性。

   

3. 导航至无线网络选项卡。选择Pod SSID网络属性>身份验证选项卡> EAP类型=受保护EAP(PEAP)。

   

4. 单击EAP属性。

5. 设置以下项：

   • 验证服务器证书：禁用

   • 认证方法:安全密码(EAP-MSCHAP v2)

   

6. 在所有窗口上单击“确定”以完成此配置任务。

7. Windows XP客户端提示输入用户名和密码。在本例中，它是aduser/XXXX。

8. 确认网络连接，IP编址(v4)。

参考:Microsoft Windows 7的无线身份验证

使用Windows 7无线笔记本电脑，通过经过身份验证的SSID作为内部用户（或集成AD用户）与WLC关联。

1. 在笔记本电脑上，转到WLAN设置。启用WIFI并连接到上一练习中创建的启用802.1X的POD SSID。

   

2. 访问无线管理器并编辑新的POD无线配置文件。

3. 设置以下项：

   • 认证方法:PEAP

   • 请记住我的凭证……:禁用

   • 验证服务器证书（高级设置）：禁用

   • 身份验证方法(高级设置):EAP-MSCHAP v2

   • 自动使用我的Windows登录……:禁用

   

相关信息

• 技术支持和文档 - Cisco Systems