設定SDA無線光纖中的預先驗證URL過濾器

下載選項

  • PDF     (667.1 KB)
    在多種裝置上使用 Adobe Reader 檢視
已更新: 2025 年 9 月 22 日
文件 ID:224970

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本檔案介紹如何在SDA無線光纖中設定預先驗證URL過濾器,以在Web驗證暫掛階段允許特定URL。

    必要條件

    需求

    思科建議您瞭解以下主題:

    • SDA無線交換矩陣架構和身份驗證模式
    • 無線區域網路控制器(WLC)組態
    • URL過濾概念和實施
    • 支援FlexConnect/交換矩陣的無線部署模式

    採用元件

    本文中的資訊係根據以下軟體和硬體版本:

    • 思科DNA 2.3.7.7
    • 採用C9150/C9120存取點且執行Cisco IOS-XE® 17.6.5的C9800-40

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

    背景資訊

    本檔案提供在Cisco SDA無線光纖環境中設定預先驗證URL過濾器的詳細步驟。

    在SDA無線EWA(外部Web身份驗證)身份驗證模式下,客戶需要在身份驗證完成之前訪問特定URL,通常是為了允許訪問身份驗證門戶或組織資源。此功能相當於傳統無線架構中的預先驗證URL過濾器。配置預身份驗證URL過濾器可確保處於Web身份驗證掛起狀態的客戶端能夠訪問指定的URL,從而改善使用者體驗並支援必要的身份驗證工作流程。

    設定

    網路圖表

    xintsong_0-1757480870125

    組態

    使用以下步驟在SDA無線交換矩陣中設定預先驗證URL過濾器。

    步驟1.在URL過濾器中新增允許URL

    導航到URL過濾器配置部分,然後新增要在預身份驗證階段允許的URL。

    Configuration > Security > URL Filters > Add permit URLs

    Add Permit URLs in URL Filter

    步驟2.在SSID上啟用Web Auth

    配置SSID以啟用Web身份驗證。這可確保將無線客戶端置於正確的身份驗證工作流程中。

    Configuration > Tags & Profiles > WLANs > Security=Web Auth

    Enable Web Auth on SSO

    步驟3.在策略配置檔案中配置URL過濾器

    將URL過濾器清單應用於所需的策略配置檔案。這會將預先驗證URL過濾器與適當的使用者端原則相關聯。

    Configuration > Tags & Profiles > Policy

    Edit Policy Profile

    步驟4.在Flex設定檔中設定URL過濾器

    將URL過濾器清單分配給預設的Flex配置檔案。在啟用交換矩陣無線中,AP執行與FlexConnect類似的本地交換。必須在預設彈性配置檔案中配置所有ACL和URL過濾器,以確保AP在本地繼承和強制執行這些過濾器。

    Configuration > Tags & Profiles > Flex

    Configure the URL Filter in the Flex Profile

    Edit Flex Profile

    note-icon

    附註:在啟用交換矩陣無線中,AP執行本地交換。所有ACL/URL過濾器必須在預設的flex配置檔案中配置。此方法允許AP繼承和強制執行這些過濾器,這是CWA(中央Web身份驗證)和EWA(外部Web身份驗證)模式所必需的。

    驗證

    驗證設定

    使用以下步驟和CLI命令驗證配置。

    步驟1.驗證URL過濾器的WLC組態

    使用CLI驗證URL過濾器是否正確應用在Flex和策略配置檔案上,以及過濾器中是否列出了正確的URL。

    WLC上的組態範例:

    wireless profile flex default-flex-profile
 acl-policy EXT_REDIRECT_ACL_X.X.X.X
 urlfilter list Test-url                             <<<<<

wireless profile policy "Inspire Creativity-Guest_profile"
 urlfilter list pre-auth-filter Test-url             <<<<<

urlfilter list Test-url
 action permit
     url www.cisco.com                                   <<<<<
 url www.test.com.sdalab.local                       <<<<<

    在此輸出中,URL Filter Test-url同時應用於Flex和策略配置檔案,並且指定的URL(www.test.com.sdalab.local)包含在permit操作中。

    步驟2.驗證無線客戶端對URL過濾的URL的訪問

    確保連線到SSID的無線客戶端可以在Web Auth Pending階段訪問URL過濾器中列出的允許的URL。

    此步驟沒有特定CLI輸出,但客戶端必須能夠訪問URL,例如www.test.com.sdalab.local,才能完成身份驗證。

    疑難排解

    疑難排解步驟

    如果使用者端取得預先驗證URL過濾器,但無法訪問允許的URL,請使用以下疑難排解步驟。

    步驟1.驗證使用者端是否已取得URL篩選清單

    使用以下命令檢查使用者端是否正確取得了URL篩選清單:

    device# show wireless client mac-address <xxxx.xxxx.xxxx> detail

    此命令提供有關客戶端會話的詳細資訊,包括應用的任何URL過濾器清單。

    步驟2.驗證允許的URL的DNS解析

    確保客戶端可以解析允許的URL的DNS名稱。如果DNS解析但ping失敗,則可能存在網路路由或訪問控制問題。

    步驟3.確認使用者端存取允許的URL

    如果使用者端無法存取URL,請確認URL過濾器已在flex設定檔中正確設定。在彈性配置檔案中配置過濾器失敗是導致此問題的常見原因。

    原因:URL過濾器未在flex配置檔案中配置。請參閱配置步驟4以解決此問題。

    相關資訊

    修訂記錄

    修訂 發佈日期 意見
    1.0
    22-Sep-2025
    初始版本
    TAC Authored

    由思科工程師貢獻

    • 宋心濤
      技術諮詢工程師

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品