简介
本文档介绍Catalyst 9800无线局域网控制器(WLC)与Aruba ClearPass的集成,以提供访客无线服务集标识符(SSID)。
先决条件
本指南假设已配置并验证以下组件:
- 所有相关组件均同步到网络时间协议(NTP),并验证其时间是否正确(证书验证需要)
- 运行DNS服务器(访客流量流需要,证书撤销列表(CRL)验证)
- 可操作的DHCP服务器
- 可选的证书颁发机构(CA)(签署CPPM托管访客门户时需要)
- Catalyst 9800 WLC
- Aruba ClearPass服务器(需要平台许可证、访问许可证、板载许可证)
- Vmware ESXi
要求
Cisco 建议您了解以下主题:
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 运行17.3.4c的Cisco Catalyst C9800-L-C
- 思科Catalyst C9130AX
- Aruba ClearPass,6-8-0-109592和6.8-3补丁
- MS Windows服务器
- Active Directory(GP配置为向受管终端自动发布基于计算机的证书)
- 带选项43和选项60的DHCP服务器
- DNS 服务器
- NTP服务器对所有组件进行时间同步
- CA
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
Catalyst 9800 WLC实施的集成在Flexconnect模式的无线接入点(AP)部署中为无线客户端使用集中式Web身份验证(CWA)。
访客无线身份验证由访客门户支持,带有匿名可接受用户策略(AUP)页面,托管在Aruba Clearpass的安全隔离区(DMZ)网段中。
该图显示了访客WiFi接入交换的详细信息,然后允许访客用户访问网络:
1.访客用户与远程办公室中的访客Wifi关联。
2.初始RADIUS访问请求由C9800代理到RADIUS服务器。
3.服务器在本地MAC终端数据库中查找提供的访客MAC地址。
如果未找到MAC地址,则服务器会使用MAC身份验证绕行(MAB)配置文件进行响应。此RADIUS响应包括:
4.客户端通过IP Learn过程,在该过程中为其分配IP地址。
5. C9800将访客客户端(由其MAC地址标识)转换为“Web Auth Pending”状态。
6.大多数与访客WLAN关联的现代设备操作系统都执行某种强制网络门户检测。
确切的检测机制取决于具体的操作系统实施。客户端操作系统会打开一个弹出窗口(伪浏览器)对话框,其中页面由C9800重定向到访客门户URL,由RADIUS服务器托管,作为RADIUS访问接受响应的一部分提供。
7.访客用户接受显示的弹出窗口ClearPass上的条款和条件,在其终端数据库(DB)中为客户端MAC地址设置一个标志,以指示客户端已完成身份验证,并通过根据路由表选择接口(如果ClearPass上存在多个接口)来启动RADIUS授权更改(CoA)。
8. WLC将访客客户端转换到“运行”状态,用户无需进一步重定向即可访问Internet。
注意:对于Cisco 9800外部、锚点无线控制器状态流程图(包含RADIUS和外部托管的访客门户),请参阅本文的附录部分。
访客中心Web身份验证(CWA)状态图
CWA访客企业部署的流量
在具有多个分支机构的典型企业部署中,每个分支机构都设置为在访客接受EULA后通过访客门户提供对访客的安全分段访问。
在此配置示例中,9800 CWA用于访客接入,通过集成到单独的ClearPass实例,该实例专门为网络安全DMZ中的访客用户部署。
访客必须接受DMZ ClearPass服务器提供的Web同意弹出门户中列出的条款和条件。此配置示例重点介绍匿名访客访问方法(即,无需访客用户名/密码即可对访客门户进行身份验证)。
与此部署对应的流量如图所示:
1. RADIUS - MAB阶段
2.访客客户端URL重定向到访客门户
3.访客在访客门户上接受EULA后,RADIUS CoA Reauthenticate将从CPPM颁发到9800 WLC
4.允许访客访问互联网
网络图
注意:为了进行实验室演示,使用单个/组合的Aruba CPPM服务器实例同时提供访客和公司SSID网络访问服务器(NAS)功能。 最佳做法实施建议使用独立的NAS实例。
配置
在此配置示例中,利用C9800上的新配置模型来创建必要的配置文件和标记,以便为企业分支机构提供dot1x企业接入和CWA访客接入。下图总结了生成的配置:
配置访客无线接入C9800参数
C9800 — 访客的AAA配置
注:关于Cisco Bug ID CSCvh03827,请确保定义的身份验证、授权和记帐(AAA)服务器未进行负载均衡,因为此机制依赖WLC中的SessionID持续性进行ClearPass RADIUS交换。
步骤1:将Aruba ClearPass DMZ服务器添加到9800 WLC配置并创建身份验证方法列表。导航到Configuration > Security > AAA > Servers/Groups > RADIUS > Servers > +Add
,然后输入RADIUS服务器信息。
第二步:定义访客的AAA服务器组,并将步骤1中配置的服务器分配给此服务器组。导航至Configuration > Security > AAA > Servers/Groups > RADIUS > Groups > +Add
。
第三步:定义访客访问的授权方法列表并映射第2步中创建的服务器组。 导航至Configuration > Security > AAA > AAA Method List > Authorization > +Add
。选择Type Network
,然后AAA Server Group
在步骤2中进行配置。
第四步:为访客访问创建记账方法列表并映射第2步中创建的服务器组。 导航至Configuration > Security > AAA > AAA Method List > Accounting > +Add
。从Type Identity
下拉菜单中选择,然后在AAA Server Group
步骤2中进行配置。
C9800 — 配置重定向ACL
重定向ACL定义必须重定向到访客门户的流量与允许无重定向通过的流量。 此处,ACL deny表示绕过重定向或通过,而permit表示重定向到门户。对于每个流量类,在创建访问控制条目(ACE)并创建与入口和出口流量均匹配的ACE时,必须考虑流量的方向。
导航至Configuration > Security > ACL
,然后定义一个名为CAPTIVE_PORTAL_REDIRECT
的ACL。使用以下ACE配置ACL:
- ACE1:允许双向互联网控制消息协议(ICMP)流量绕过重定向,主要用于验证可达性。
- ACE10、ACE30:允许双向的DNS流量流向DNS服务器10.0.10.4,且不会重定向到门户。要触发访客流,需要进行DNS查找和响应拦截。
- ACE70、ACE80、ACE110、ACE120:允许用户通过HTTP和HTTPS访问访客强制网络门户。
- ACE150:重定向所有HTTP流量(UDP端口80)。
C9800 — 访客WLAN配置文件配置
步骤1:导航至Configuration > Tags & Profiles > Wireless > +Add
。 创建新的SSID配置文件WP_Guest,广播访客客户端关联的SSID 'Guest'。
在同一对话框Add WLAN
下,导航到选项卡Security > Layer 2
。
— 第2层安全模式:无
- MAC过滤:已启用
— 授权列表:下拉菜单中的AAA_Authz_CPPPM(在第3步中配置。作为AAA配置的一部分)
C9800 — 访客策略配置文件定义
在C9800 WLC GUI上,导航至Configuration > Tags & Profiles > Policy > +Add
。
名称:PP_Guest
状态:已启用
中央交换:已禁用
集中身份验证:已启用
中央DHCP:禁用
中央关联:已禁用
导航至同一Access Policies
对话框中的选项卡Add Policy Profile
。
- RADIUS分析:已启用
- VLAN/VLAN组:210(即,VLAN 210是每个分支机构位置的访客本地VLAN)
注意:Flex的访客VLAN不必在9800 WLC的VLAN下定义,在VLAN/VLAN组类型VLAN编号中。
已知缺陷:如果在WLC下和Flex配置文件中定义了相同的Flex访客VLAN,则Cisco bug ID CSCvn48234会导致不广播SSID。
在同一对话Add Policy Profile
中,导航到选项卡Advanced
。
— 允许AAA覆盖:已启用
- NAC状态:已启用
- NAC类型:RADIUS
— 记帐列表:AAA_Accounting_CPPPM(在步骤4中定义。作为AAA配置的一部分)
注意:要启用C9800 WLC以接受RADIUS CoA消息,需要“网络准入控制(NAC)状态 — 启用”。
C9800 — 策略标记
在C9800 GUI上,导航至Configuration > Tags & Profiles > Tags > Policy > +Add
。
— 名称:PT_CAN01
— 说明:CAN01分支站点的策略标记
在同一对话框中Add Policy Tag
,在WLAN-POLICY MAPS
下单击+Add
,然后将之前创建的WLAN配置文件映射到策略配置文件:
- WLAN配置文件:WP_Guest
— 策略配置文件:PP_Guest
C9800 - AP加入配置文件
在C9800 WLC GUI上,导航至Configuration > Tags & Profiles > AP Join > +Add
。
— 名称:Branch_AP_Profile
- NTP服务器:10.0.10.4(请参阅实验拓扑图)。这是Branch中的AP用于同步的NTP服务器。
C9800 - Flex配置文件
配置文件和标签是模块化的,可以重复用于多个站点。
对于FlexConnect部署,如果所有分支机构站点使用相同的VLAN ID,您可以重复使用相同的Flex配置文件。
步骤1:在C9800 WLC GUI上,导航至Configuration > Tags & Profiles > Flex > +Add
。
— 名称:FP_Branch
— 本征VLAN ID:10(仅当具有非默认本征VLAN且要具有AP管理接口时才需要)
在同一对话Add Flex Profile
中,导航到选项卡Policy ACL
,然后点击+Add
。
- ACL名称:CAPTIVE_PORTAL_REDIRECT
— 集中Web身份验证:已启用
在Flexconnect部署中,当重定向发生在AP而不是C9800上时,预期每个托管AP都将在本地下载重定向ACL。
在同一对话Add Flex Profile
框中,导航到VLAN
选项卡并单+Add
击(请参见实验拓扑图)。
- VLAN名称:访客
- VLAN Id:210
C9800 — 站点标记
在9800 WLC GUI上,导航至Configuration > Tags & Profiles > Tags > Site > Add
。
注意:为每个远程站点创建一个唯一的站点标记,该标记必须支持两个无线SSID(如所述)。
地理位置、站点标签和Flex Profile配置之间有1-1映射。
FlexConnect站点必须具有与其关联的FlexConnect配置文件。每个Flex Connect站点最多可以有100个接入点。
— 名称:ST_CAN01
- AP加入配置文件:Branch_AP_Profile
- Flex配置文件:FP_Branch
— 启用本地站点:已禁用
C9800 - RF配置文件
在9800 WLC GUI上,导航至Configuration > Tags & Profiles > Tags > RF > Add
。
— 名称:Branch_RF
- 5 GHz频段射频(RF)配置文件:Typical_Client_Density_5gh(系统定义的选项)
- 2.4 GHz频段RF配置文件:Typical_Client_Density_2gh(系统定义的选项)
C9800 — 为AP分配标记
有两个选项可用于将定义的标记分配到部署中的单个AP:
— 基于AP名称的分配,利用与AP名称字段中的模式匹配的regex规则(Configure > Tags & Profiles > Tags > AP > Filter
)
— 基于AP以太网MAC地址的分配(Configure > Tags & Profiles > Tags > AP > Static
)
在使用Cisco DNA Center的生产部署中,强烈建议使用DNAC和AP PNP工作流程,或使用9800中提供的静态批量逗号分隔值(CSV)上传方法,以避免手动分配每个AP。导航至Configure > Tags & Profiles > Tags > AP > Static > Add
(请注Upload File
意选项)。
- AP MAC地址:<AP_ETHERNET_MAC>
— 策略标记名称:PT_CAN01
— 站点标记名称:ST_CAN01
- RF标记名称:Branch_RF
注:从Cisco IOS® XE 17.3.4c开始,每个控制器最多有1,000个regex规则。如果部署中的站点数量超过此数量,则必须使用静态的每MAC分配。
注意:或者,要利用基于AP名称正则表达式的标签分配方法,请导航至Configure > Tags & Profiles > Tags > AP > Filter > Add
。
— 名称:BR_CAN01
- AP名称正则表达式:BR-CAN01-.(7)(此规则与组织中采用的AP名称约定匹配。在本例中,标签分配给具有AP名称字段的AP,该字段包含“BR_CAN01 — ”,后面跟任意七个字符。)
— 优先级:1
— 策略标记名称:PT_CAN01(根据定义)
— 站点标记名称:ST_CAN01
- RF标记名称:Branch_RF
配置Aruba CPPM实例
有关基于Aruba CPPM配置的生产/最佳实践,请联系您当地的HPE Aruba SE资源。
Aruba ClearPass服务器初始配置
Aruba ClearPass使用开放式虚拟化格式(OVF)模板部署在ESXi <>服务器上,该服务器分配以下资源:
- 两个保留的虚拟CPU
- 6 GB RAM
- 80 GB磁盘(必须在初始虚拟机部署后手动添加,然后才能启动计算机)
申请许可证
通过申请平台许可Administration > Server Manager > Licensing
。添Platform
加Access
、和Onboard licenses
。
服务器主机名
导航到Administration > Server Manager > Server Configuration
,然后选择新调配的CPPPM服务器。
— 主机名:cpppm
- FQDN:cppm.example.com
— 验证管理端口IP编址和DNS
生成CPPPM Web服务器证书(HTTPS)
当ClearPass Guest Portal页面通过HTTPS呈现给连接到分支机构中访客Wifi的访客客户端时,使用此证书。
步骤1:上传CA发布链证书。
导航至Administration > Certificates > Trust List > Add
。
— 用法:启用其他
第二步: 创建证书签名请求。
导航至Administration > Certificates > Certificate Store > Server Certificates > Usage: HTTPS Server Certificate
。
-单击 Create Certificate Signing Request
— 公用名称:CPPPM
— 组织: cppm.example.com
确保填充SAN字段(SAN中必须存在通用名称,IP和其他FQDN必须根据需要存在)。格式为DNS
,DNS:
,IP
。
第三步:在您选择的CA中,签署新生成的CPPPM HTTPS服务CSR。
第四步:导航至Certificate Template > Web Server > Import Certificate
。
— 证书类型:服务器证书
— 用法: HTTP服务器证书
— 证书文件:浏览,然后选择CA签名的CPPPM HTTPS服务证书
将C9800 WLC定义为网络设备
导航至Configuration > Network > Devices > Add
。
— 名称:WLC_9800_Branch
- IP或子网地址:10.85.54.99(请参阅实验拓扑图)
- RADIUS共享思科:<WLC RADIUS密码>
— 供应商名称:Cisco
— 启用RADIUS动态授权:1700
访客门户页面和CoA计时器
在整个配置中设置正确的计时器值非常重要。如果未调整计时器,则您可能会遇到客户端的循环Web门户重定向,而不是“运行状态”。
要注意的计时器:
- 门户Web登录计时器:此计时器会延迟重定向页面,然后才允许访问访客门户页面通知CPPM服务状态转换,注册终端自定义属性“Allow-Guest-Internet”值,并触发从CPPM到WLC的CoA进程。导航至
Guest > Configuration > Pages > Web Logins
。
— 选择Guest Portal Name: Lab Anonymous Guest Registration(此访客门户页面配置如图所示)
-点击 Edit
— 登录延迟:6秒
- ClearPass CoA延迟计时器:这会延迟CoA消息从ClearPass发送到WLC。在CoA确认(ACK)从WLC返回之前,CPPM在内部成功转换客户端终端状态时需要此步骤。实验室测试显示来自WLC的亚毫秒响应时间,如果CPPM尚未完成终端属性的更新,则来自WLC的新RADIUS会话将与未经身份验证的MAB服务实施策略相匹配,并且客户端将再次获得重定向页面。导航到
CPPM > Administration > Server Manager > Server Configuration
,然后选择CPPM Server > Service Parameters
。
- RADIUS动态授权(DM/CoA)延迟 — 设置为六秒
ClearPass — 访客CWA配置
ClearPass-side CWA配置包括(3)服务点/阶段:
ClearPass组件 |
服务类型 |
目的 |
1.策略管理器 |
服务:Mac身份验证 |
如果自定义属Allow-Guest-Internet 性= TRUE,则允许它进入网络。 否则,触发Redirect 和COA: Reauthenticate 。 |
2.访客 |
Web登录 |
显示Anonymous login AUP页面。 身份验证后设置自定义属性Allow-Guest-Internet = TRUE。 |
3.策略管理器 |
服务:基于Web的身份验证 |
将终端更新到 Known 设置自定义属Allow-Guest-Internet 性= TRUE
COA: Reauthenticate |
ClearPass终端元数据属性:Allow-Guest-Internet
创建类型为Boolean的元数据属性,以便在客户端在“Webauth Pending”和“Run”状态之间转换时跟踪访客终端状态:
— 连接到Wifi的新访客将默认元数据属性设置为Allow-Guest-Internet=false。基于此属性,客户端身份验证通过MAB服务
— 当您点击AUP Accept按钮时,访客客户端会更新其元数据属性,以便Allow-Guest-Internet=true。随后基于此属性设置为True的MAB允许对互联网进行非重定向访问
导航至ClearPass > Configuration > Endpoints
,从列表中选择任何终端,点击选项卡Attributes
,使用值Allow-Guest-Internet
“添加”false
,然后Save
。
注意:您也可以编辑同一端点,并在之后删除此属性 — 此步骤只是在“端点”元数据数据库中创建一个可在策略中使用的字段。
ClearPass重新验证实施策略配置
创建在客户端接受Guest Portal页面上的AUP后立即分配给访客客户端的强制配置文件。
导航至ClearPass > Configuration > Profiles > Add
。
— 模板:RADIUS动态授权
— 名称:Cisco_WLC_Guest_COA
Radius:IETF |
Calling-Station-Id |
%{Radius:IETF:Calling-Station-Id} |
Radius:思科 |
Cisco-AVPair |
subscriber:command=reauthenticate |
Radius:思科 |
Cisco-AVPair |
%{Radius:Cisco:Cisco-AVPair:subscriber:audit-session-id} |
Radius:思科 |
Cisco-AVPair |
subscriber:reauthenticate-type=last-type=last |
ClearPass访客门户重定向实施配置文件配置
创建在初始MAB阶段应用到访客的强制配置文件,当MAC地址在“Allow-Guest-Internet”设置为“true”的CPPM终端数据库中找不到。
这会导致9800 WLC将访客客户端重定向到CPPM访客门户进行外部身份验证。
导航至ClearPass > Enforcement > Profiles > Add
。
— 名称:Cisco_Portal_Redirect
— 类型:RADIUS
— 操作:接受
ClearPass重定向实施配置文件
在同一对话框的选项卡下Attributes
,根据此映像配置两个属性:
ClearPass重定向配置文件属性
属url-redirect-acl
性设置为CAPTIVE-PORTAL-REDIRECT
,这是在C9800上创建的ACL的名称。
注:RADIUS消息中只传递对ACL的引用,而不传递ACL内容。在9800 WLC上创建的ACL的名称必须与此RADIUS属性的值完全匹配(如下所示),这一点非常重要。
属url-redirect
性由多个参数组成:
导航到时,会看到ClearPass访客Web登录页面的URLCPPM > Guest > Configuration > Pages > Web Logins > Edit
。
在本示例中,CPPPM中的访客门户页面名称定义为iaccept
。
注:访客门户页面的配置步骤如中所述。
注意:对于思科设备audit_session_id
,通常使用,但其他供应商不支持此功能。
ClearPass元数据实施配置文件配置
配置实施配置文件以更新终端元数据属性,该属性用于CPPM跟踪状态转换。
此配置文件应用于终端数据库中访客客户端的MAC地址条目,并将参数设置为Allow-Guest-Internet
“true”。
导航至ClearPass > Enforcement > Profiles > Add
。
— 模板:ClearPass实体更新实施
— 类型:Post_Authentication
在同一对话框中,选择Attributes
选项卡。
— 类型:终端
— 名称:Allow-Guest-Internet
注意:要将此名称显示在下拉菜单中,您必须按照步骤中的说明为至少一个终端手动定义此字段。
— 值:true
ClearPass访客互联网访问实施策略配置
导航至ClearPass > Enforcement > Policies > Add
。
— 名称:WLC Cisco Guest Allow
— 实施类型:RADIUS
— 默认配置文件:Cisco_Portal_Redirect
在同一对话框中,导航到选项卡Rules
,然后单击Add Rule
。
— 类型:终端
— 名称:Allow-Guest-Internet
— 运算符:等于
— 值正确
— 配置文件名称/选择添加:[RADIUS] [允许访问配置文件]
ClearPass访客在AUP后实施策略配置
导航至ClearPass > Enforcement > Policies > Add
。
— 名称:Cisco WLC Webauth实施策略
— 实施类型:WEBAUTH(SNMP/Agent/CLI/CoA)
— 默认配置文件:[RADIUS_CoA] Cisco_Reauthenticate_Session
在同一对话框中,导航至Rules > Add
。
— 条件:身份验证
— 名称:状态
— 运算符:等于
— 值:用户
— 配置文件名称:
- [身份验证后] [更新终端已知]
- [Post Authentication] [Make-Cisco-Guest-Valid]
- [RADIUS_CoA] [Cisco_WLC_Guest_COA]
注:如果您遇到具有连续访客门户重定向伪浏览器弹出窗口的方案,则表明CPPM计时器需要调整或RADIUS CoA消息在CPPM和9800 WLC之间没有正确交换。检验这些站点。
— 导航到CPPM > Monitoring > Live Monitoring > Access Tracker
,并确保RADIUS日志条目包含RADIUS CoA详细信息。
— 打开9800 WLC
,导航到Troubleshooting > Packet Capture
,在预期会到达RADIUS CoA数据包的接口上启用PCAP,并验证从CPPM收到RADIUS CoA消息。
ClearPass MAB身份验证服务配置
服务在属性值(AV)对Radius:Cisco上匹配 | CiscoAVPair | cisco-wlan-ssid
导航至ClearPass > Configuration > Services > Add
。
“服务”选项卡:
— 名称:GuestPortal - Mac Auth
— 类型:MAC身份验证
— 更多选项:选择授权,配置文件终端
添加匹配规则:
— 类型:Radius:思科
— 名称:Cisco-AVPair
— 运算符:等于
— 值:cisco-wlan-ssid=Guest(匹配配置的访客SSID名称)
注:“Guest”是通过9800 WLC广播的访客SSID的名称。
在同一对话框中,选择Authentication
“Tab”。
— 身份验证方法:删除[MAC AUTH],添加[允许所有MAC AUTH]
— 身份验证源:[终端存储库][本地SQL数据库],[访客用户存储库][本地SQL数据库]
在同一对话框中,选择Enforcement
“Tab”。
— 实施策略:WLC Cisco Guest Allow
在同一对话框中,选择Enforcement
“Tab”。
ClearPass Webauth服务配置
导航至ClearPass > Enforcement > Policies > Add
。
— 名称:Guest_Portal_Webauth
— 类型:基于Web的身份验证
在同一对话框中,在Enforcement
“Enforcement Policy: Cisco WLC Webauth Enforcement Policy”(实施策略:Cisco WLC Webauth实施策略)选项卡下。
ClearPass - Web登录
对于Anonymous AUP Guest Portal页面,请使用没有密码字段的单个用户名。
使用的用户名必须定义/设置以下字段:
username_auth | 用户名身份验证: | 1
要设置用户的“username_auth”字段,必须首先在“edit user”表单中显示该字段。导航到ClearPass > Guest > Configuration > Pages > Forms
,然后选择create_user
表单。
选择visitor_name
(第20行),然后单击Insert After
。
现在创建用户名以便在AUP访客门户页面后使用。
导航至CPPM > Guest > Guest > Manage Accounts > Create
。
— 访客名称:GuestWiFi
— 公司名称:Cisco
— 电邮地址:guest@example.com
— 用户名身份验证(Username Authentication):仅允许访客使用其用户名进行访问:已启用(Enabled)
— 帐户激活:现在
— 帐户过期:帐户不会过期
— 使用条款:我是发起人:已启用
创建Web登录表单。导航至CPPM > Guest > Configuration > Web Logins
。
名称:实验室匿名访客门户
页面名称:iaccept
供应商设置:Aruba网络
登录方法:服务器启动 — 发送至控制器的授权更改(RFC 3576)
身份验证:匿名 — 不需要用户名或密码
匿名用户:访客Wifi
条款:要求确认条款和条件
登录标签:接受并连接
默认URL:www.example.com
登录延迟:6
更新终端:将用户的MAC地址标记为已知终端
高级:自定义与终端一起存储的属性,在身份验证后部分中的终端属性:
用户名 | 用户名
visitor_name | 访问者姓名
cn | 访问者姓名
visitor_phone | 访客电话
邮件 | 发送邮件
邮件 | 发送邮件
sponsor_name | 保证人名称
sponsor_email | 发起人电子邮件
Allow-Guest-Internet | true
验证 — 访客CWA授权
在CPPPM中,导航至Live Monitoring > Access Tracker
。
新访客用户连接并触发MAB服务。
“摘要”选项卡:
在同一对话框中,导航到Input
“选项卡”。
在同一对话框中,导航到Output
“选项卡”。
Appendix
为便于参考,此处提供了思科9800外部锚点控制器与RADIUS服务器和外部托管访客门户交互的状态流程图。
具有锚点WLC的访客中心Web身份验证状态图
相关信息