什么是无线设置
无线设置为设置 802.1x、访客和 BYOD 无线流提供了一种简单的方法。适当情况下,它还提供一些工作流程,用于为访客和 BYOD 配置和自定义每个门户。这些工作流程提供最常见的建议设置,要比在 ISE 中配置关联门户流程简单得多。无线设置会代为执行原本您需要在 ISE 和 WLC 中自己完成的许多步骤,以便您能够快速创建工作环境。
您可以使用无线设置创建的环境来测试和开发自己的流程。无线设置环境正常运行后,您可能希望切换到 ISE,以便支持更高级的配置。有关在 ISE 中配置访客的详细信息,请参阅 ISE 版本对应的《 ISE 管理员指南》和Cisco社区站点https://community.cisco.com/t5/security-documents/ise-guest-amp-web-authentication/ta-p/3657224。有关为 ISE 配置和使用无线设置的详细信息,请参阅https://community.cisco.com/t5/security-documents/cisco-ise-secure-access-wizard-saw-guest-byod-and-secure-access/ta-p/3636602。
注 |
ISE 无线设置为测试版软件,请勿在生产网络中使用。 |
-
全新安装Cisco ISE 后,无线设置默认被禁用。您可以在 ISE CLI 中使用 application configure ise 命令(选择选项 17)或使用 ISE GUI 主页中的无线设置选项启用无线设置。
-
如果从以前的版本升级 ISE,无线设置将不起作用。只有新安装的 ISE 才支持无线设置。
-
无线设置仅适用于独立节点。
-
一次仅运行一个无线设置实例;一次只能一人运行无线设置。
-
无线设置需要打开端口 9103 和 9104。要关闭这些端口,请使用 CLI 禁用无线设置。
-
如果要在运行某些流程后开始全新安装无线设置,可以使用 CLI 命令 application reset-config ise。此命令会重置 ISE 配置并清除 ISE 数据库,但保留网络定义。因此,您可以重置 ISE 和无线设置,而无需重新安装 ISE 并运行设置。
如果要从无线设置重新开始,可以通过以下步骤同时重置 ISE 和无线设置的配置:
-
在 CLI 中,运行 application reset-config 以重置所有 ISE 配置。如果您在全新安装中测试无线设置,此命令会删除无线设置在 ISE 中完成的配置。
-
在 CLI 中,运行 application configure ise,然后选择 [18]重置配置 Wi-Fi 设置。这将清理无线设置配置数据库。
-
在 WLC 上,删除无线设置在 WLC 上添加的配置。有关无线设置在 WLC 上的配置的信息,请参阅通过无线设置对 ISE 和 WLC 所做的更改。
您可以在完成 ISE 全新安装后为虚拟机创建快照,以便避免这些步骤。
有关 CLI 的详细信息,请参阅 ISE 版本对应的《思科身份服务引擎 CLI 参考指南》。
-
-
您必须是 ISE 超级管理员用户才能使用无线设置。
-
无线设置需要至少两个 CPU 核心和 8 GB 内存。
-
仅支持 Active Directory 组和用户。在无线配置中创建一个或多个流后,其他类型的用户、组和授权将可用于无线设置,但必须在 ISE 上进行配置。
-
如果已在 ISE 中定义 Active Directory,并计划将此 AD 用于无线设置,则:
-
加入名称和域名必须相同。如果名称不同,请在 ISE 中使之相同,然后在无线设置中使用该 AD。
-
如果已在 ISE 上配置 WLC,则必须为 WLC 配置共享密钥。如果 WLC 定义没有共享密钥,请添加共享密钥或从 ISE 中删除 WLC,然后在无线设置中配置该 WLC。
-
-
无线设置可以配置 ISE 组件,但在流程启动后无法删除或修改这些组件。有关无线设置在 ISE 中配置的所有项目的列表,请参阅 ISE 版本对应的《思科身份服务引擎 CLI 参考指南》。
-
启动流程时,必须完成该流程。点击流程中的痕迹可停止流程。当您逐步完成流程时,系统会动态更改 ISE 配置。无线设置会提供配置更改列表,以便您可以手动恢复。您无法在流程中后退以进行额外的更改,只有一个例外。您可以返回以更改访客或 BYOD 门户自定义。
-
支持多个 WLC 和 Active Directory 域,但每个流程只能支持一个 WLC 和一个 Active Directory。
-
无线设置需要Cisco ISE Essentials 许可证才能运行。BYOD 需要Cisco ISE Premier许可证。
-
如果在配置无线设置之前配置了 ISE 资源,则无线设置可能与现有策略存在冲突。如果发生这种情况,无线设置会建议您在运行该工具后查看授权策略。我们建议在运行无线设置时从干净设置 ISE 开始。对无线设置和 ISE 混合配置的支持有限。
-
无线设置支持英语,但不支持其他语言。如果要在门户中使用其他语言,请在运行无线设置后在 ISE 中配置。
-
BYOD 支持双 SSID。由于冲突,此配置中使用的开放 SSID 不支持访客访问。如果需要同时支持访客和 BYOD 的门户,则无法使用无线设置,并且不在本文档的讨论范围之内。
-
电子邮件和 SMS 通知
-
对于自注册访客,支持 SMS 和电子邮件通知。这些通知应在门户自定义通知部分进行配置。您必须将 SMTP 服务器配置为支持 SMS 和电子邮件通知。ISE 中内置的蜂窝服务提供方(包括 AT&T、T Mobile、Sprint、Orange 和 Verizon)已预先配置,是免费的邮件短信网关。
-
访客可以在门户中选择其蜂窝网络提供方。如果其提供方不在列表中,则他们无法接收消息。您还可以配置全局提供方,但这不属于本指南的范围。如果访客门户配置了 SMS 和电子邮件通知,则必须为这两项服务输入值。
-
发起的访客流程不会在无线设置中提供 SMS 或电子邮件通知配置。对于该流程,必须在 ISE 中配置通知服务。
-
为门户配置通知时,请勿选择 SMS 提供方 Global Default。未配置此提供方(默认情况下)。
-
-
无线设置仅支持无 HA 的独立设置。如果决定使用额外的 PSN 进行身份验证,请将这些 PSN 的 ISE IP 地址添加到 WLC 的 RADIUS 配置。
无线设置对 Apple 迷你浏览器(强制网络助理)的支持
-
访客流- Apple 伪浏览器的自动弹出功能适用于所有访客流。访客可以使用 Apple 的强制网络助理浏览器完成整个流程。当 Apple 用户连接到 OPEN 网络时,迷你浏览器会自动弹出,可以让他们接受 AUP(热点),或者完成自我注册或使用其凭证登录。
-
自带设备
-
单 SSID - ISE 2.2 增加了对 Apple 迷你浏览器的支持。但是,为了限制 Apple 设备上潜在的 SSID 流问题,我们向重定向 ACL 中添加了 captive.apple.com,以便抑制迷你浏览器。这会导致 Apple 设备认为它可以访问互联网。用户必须手动启动 Safari,才能重定向到门户以进行 Web 身份验证或设备激活。
-
双 SSID - 对于从初始 OPEN 网络 WLAN 开始,然后启动访客访问,或允许员工经过设备激活 (BYOD) 并重定向到安全 SSID 的双 SSID 流,迷你浏览器也会被抑制。
-
有关 Apple CAN 迷你浏览器的详细信息,请参阅https://communities.cisco.com/docs/DOC-71122。