配置与聚合的访问(5760/3650/3850)的外部Web验证

下载选项

  • PDF     (695.8 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (616.6 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (570.2 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2017 年 9 月 11 日
文档 ID:212039

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文定义了如何配置外部Web验证用聚合的访问控制器。访客入口页面和凭证验证是两个在身份服务引擎(ISE)在本例中。 

    先决条件

    要求

    Cisco 建议您了解以下主题:

    1. 思科聚合访问控制器。

    2. Web验证

    3. 思科ISE

    使用的组件

    本文档中的信息基于以下软件和硬件版本:

    1. 思科5760控制器(在下面的图表的NGWC), 03.06.05E

    2. ISE 2.2

    配置

    网络图

    CLI 配置

    在控制器的RADIUS配置

    step1 :定义外部RADIUS服务器

    radius server ISE.161
address ipv4 10.48.39.161 auth-port 1812 acct-port 1813
timeout 10
retransmit 5
key Cisco123

    步骤2 :。定义AAA RADIUS组并且指定将使用的RADIUS服务器

    aaa group server radius ISE-Group
server name ISE.161
deadtime 10

    步骤3.定义指向radius组的方法列表并且映射它在WLAN下。

    aaa authentication login webauth group ISE-Group

    参数映射配置

    步骤4.配置全局参数地图用为外部和内部webauth要求的虚拟IP地址。logout按钮用途虚拟IP。其总是良好的做法配置一个不可路由的虚拟IP。

    parameter-map type webauth global
type webauth
virtual-ip ipv4 1.1.1.1

    步骤5 :配置指定参数地图。它将操作类似webauth方法的类型。这将呼叫在WLAN设置下。

    parameter-map type webauth web
type webauth
redirect for-login https://10.48.39.161:8443/portal/PortalSetup.action?portal=0c712cd0-6d90-11e5-978e-005056bf2f0a
redirect portal ipv4 10.48.39.161


    前验证ACL。这也将呼叫在WLAN下。

    步骤6 :配置允许对ISE、DHCP和DNS的访问的Preauth_ACL,在验证结束前

    ip access-list extended Preauth_ACL
permit ip any host 10.48.39.161
permit ip host 10.48.39.161 any
permit udp any eq bootps any
permit udp any any eq bootpc
permit udp any eq bootpc any
permit udp any eq domain any
permit udp any any eq domain

    WLAN设置

    步骤7 :配置WLAN

    wlan ext-webauth 7 ext-webauth
client vlan vlan232
ip access-group web Preauth_ACL
no security wpa
no security wpa akm dot1x
no security wpa wpa2
no security wpa wpa2 ciphers aes
security web-auth
security web-auth authentication-list webauth
security web-auth parameter-map web
session-timeout 1800
no shutdown

    步骤8 :打开HTTP服务器。 

    ip http server  

ip http secure-server (for secure web-auth, use 'no' to disable secure web)

    GUI配置

    我们在以下此处步骤和上述一样。屏幕画面为参照提供。

    step1 :定义外部RADIUS服务器

     步骤2 :。定义AAA RADIUS组并且指定将使用的RADIUS服务器

    步骤3.定义指向radius组的方法列表并且映射它在WLAN下。

    参数映射配置

    步骤4.配置全局参数地图用为外部和内部webauth要求的虚拟IP地址。logout按钮用途虚拟IP。其总是良好的做法配置一个不可路由的虚拟IP。

    步骤5 :配置指定参数地图。它将操作类似webauth方法的类型。这将呼叫在WLAN设置下。

    前验证ACL。这也将呼叫在WLAN下。

    步骤6 :配置允许对ISE、DHCP和DNS的访问的Preauth_ACL,在验证结束前

    WLAN设置

    步骤7 :配置WLAN

    验证

    联络客户端并且确保,如果打开浏览器,客户端将重定向对您的登录入口页面。下面的屏幕画面说明ISE访客入口页面。

    一旦适当的凭证提交,成功页将显示:

    ISE服务器将报告两验证:一在guest页本身(与仅用户名的最后一行)和秒钟验证,一旦WLC通过RADIUS验证(仅此验证提供相同用户名/密码将使客户端移动向成功相位)。如果RADIUS验证(与MAC地址和WLC详细信息作为NAS)不出现, RADIUS配置将验证。

    TAC Authored

    由思科工程师提供

    • Ritin Mahajan
      Cisco TAC

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品