集中式Web认证在无线控制器FlexConnect解决方案和ISE上的配置实例

集中式Web认证在无线控制器

FlexConnect解决方案和ISE上的配置实例

介绍

本文档介绍了在启用了本地交换模式下的无线局域网控制器（WLC）与FlexConnect接入点（AP）和身份服务引擎（ISE）上如何配置集中Web认证。

重要注意事项：此时，这种情况下Flex无线接入点不支持本地认证。

本系列的其他文件

*交换机集中Web认证与身份服务引擎的配置实例

*无线控制器集中Web认证和ISE配置示例

先决条件

要求

本文档有没有具体的要求。

使用的组件

本文件中的信息是基于这些软件和硬件版本：

*思科身份服务引擎（ISE），1.1.2版

*无线局域网控制器软件发行版本- 7.4.100.0

配置

有多种方法在无线局域网控制器（WLC）上配置集中Web认证。第一种方法是在本地web 认证，无线控制器将HTTP流量重定向到内部或外部的服务器上，用户会被提示进行身份验证。然后无线控制器获取认证信息（在一个外部服务器的情况下，通过一个HTTP GET请求发回）并采用RADIUS认证。对于来宾用户的情况下，需要一个外部服务器（如身份服务引擎（ISE）或NAC来宾服务器（NGS））提供门户功能，如设备登记和自我配置。这个过程包括以下步骤：

1.用户关联到Web认证的SSID。

2.用户打开自己的浏览器。

3.一旦输入URL，无线控制器会重定向到来宾门户网站（如ISE或NGS）。

4.用户在门户网站上进行身份验证。

5.来宾门户网站将认证信息重定向到无线控制器。

6.无线控制器通过RADIUS对来宾进行认证。

7.无线控制器重定向回原始URL。

这个过程包括很多的重定向操作。新的方法是使用ISE（版本1.1以上）和无线控制器（版本7.2以上）的集中Web认证。这个过程包括以下步骤：

1.用户关联到Web认证的SSID。

2.用户打开自己的浏览器。

3.无线控制器重定向到来宾门户。

4.用户在门户网站上进行身份验证。

5. ISE发送RADIUS授权更改（CoA - UDP端口1700）给无线控制器，表明该用户有效，并最终推送RADIUS属性，例如访问控制列表（ACL）。

6.提示用户重试原始的URL。

本节介绍了无线控制器和ISE上配置集中Web认证的必要步骤。

网络拓扑图

此配置使用以下网络设置：

无线控制器配置

无线控制器的配置相当简单。使用一个“小窍门”（与交换机上一样）从ISE获得动态认证URL。（由于它使用CoA，会话创建的会话ID需要包含在URL中。）SSID配置为使用MAC过滤，以及ISE配置为返回Access-Accept消息，即使在找不到MAC地址情况下，它为所有用户发送重定向URL。

此外，必须启用RADIUS网络准入控制（NAC）和AAA覆盖功能。RADIUS NAC允许ISE发送CoA请求，表明用户现在已经得到认证并且能够访问网络。它也被用于用户行为评估，ISE 会根据行为结果来更改用户配置。

1.确保RADIUS服务器启用RFC3576（CoA），默认下启用。

2.创建一个新的WLAN。此示例创建一个新的名为CWAFlex的WLAN，并将其分配到vlan33。（需要注意的是，它不会有太大的影响，因为无线接入点是在本地交换模式）。

3.在“Security”选项卡中启用Layer 2 Security的MAC Filtering。

4.在“Layer 3”选项卡中，确保Security被禁用。（如果在3层启用了Web认证，则是启用了本地Web身份验证，而不是集中Web认证）。

5.在“AAA Servers”选项卡中，选择ISE服务器作为WLAN的RADIUS服务器。或者，你可以选择它来计费，以便获取ISE更详细的信息。

6.在“Advanced”选项卡上，确保启用AAA Override，并选择NAC State为Radius NAC。

7.创建一个重定向ACL。

ACL在ISE的Access-Accept消息中使用，它定义了哪些流量应该被重定向（由ACL拒绝），以及什么样的流量不应该重定向（由ACL允许）。基本上DNS和从ISE发来和发向ISE的流量需要被允许。

注：FlexConnect无线接入点的一个问题是你必须创建一个区别于普通ACL 的FlexConnect ACL。这个问题在Cisco Bug CSCue68065中提到，未来的版本会解决此问题，更多信息可以参考Bug信息。无线控制器预计ISE返回的重定向ACL是一个普通ACL。然而，为了确保它正常工作，你需要一个完全相同的FlexConnect ACL。

这个例子显示了如何创建一个名为flexred 的FlexConnect ACL：

a.创建规则，允许DNS流量以及与ISE之间的流量，拒绝其他流量。

如果你想确保最大的安全性，针对ISE可以仅允许端口8443。（如果有行为评估，你必须添加标准的行为端口，如8905,8906,8909,8910）。

b.选择“Security > Access Control Lists”，创建相同名称的ACL，这一步很重要！

3.准备特定的FlexConnect 无线接入点。

I.点击Wireless选择特定的无线接入点。

II.点击“FlexConnect”选项卡，然后单击External Webauthentication ACL。（7.4版本之前，该选项叫做为web policies 。）

III.添加ACL（在这个例子中名为flexred ）到web policies 区域。

现在已经完成无线控制器的配置。

ISE配置

创建授权配置文件

完成这些步骤，以创建授权配置文件：

1.点击Policy，然后单击Policy Elements。

2.点击Result。

3.展开Authorization，然后点击Authorization profile。

4.点击Add按钮以创建一个新的集中WebAuth授权配置。

5.在Name字段中，输入配置文件的名称。这个例子使用CentralWebauth。

6.在Access Type下拉列表中选择ACCESS_ACCEPT。

7..勾选Web Authentication 复选框，并从下拉列表中选择Centralized 。

8.在ACL字段中，输入无线控制器上定义的ACL名称，它定义哪些流量将被重定向。这个例子中使用flexred。

9.在Redirect下拉列表中选择Default。

Redirect属性定义ISE是否能看到默认的门户网站或ISE管理员创建的自定义门户网站。例如，在这个例子中flexred ACL触发一个HTTP流量重定，可以把客户端重定向到任何地方。

创建验证规则

完成这些步骤，以使用身份验证配置文件来创建验证规则：

1.在Policy菜单下，点击Authentication。下图片显示了如何配置认证策略规则。在这个例子中配置一个规则，当检测到MAC过滤时，会触发这个规则。

2.输入您验证规则的名称。这个例子使用Wireless MAB。

3.在If条件字段中选择加号（+）图标。

4.选择Compound条件，然后选择Wireless_MAB。

5.选择“Default network access"”作为允许的协议。

6.点击and…旁边的箭头，为了进一步扩大规则。

7.在Identity Source字段中点击“+”图标，选择Internal端点。

8.在If user not found下拉列表中选择Continue。

此选项允许即使在不知道一台设备MAC地址的情况下，对其进行身份验证（通过WebAuth 的）。DOT1X客户端仍然可以验证其信息，而不应该关注这个配置。

创建授权规则

现在有几个规则来配置授权策略。当PC关联上时，它会通过MAC地址过滤；假设不知道MAC地址，所以需要WebAuth和返回ACL。这个MAC not know规则在下面的图片所示，也会在本节中配置。

完成这些步骤，以创建授权规则：

1.创建一个新的规则，并输入一个名称。这个例子使用MAC not known。

2.在condition字段，点击加号（+）图标，选择to create a new condition。

3.展开expression下拉列表。

4.选择Network access，并展开它。

5.点击AuthenticationStatus，并选择Equals操作。

6.在右手字段选择UnknownUser。

7.在General Authorization页面，在then右边的字段中选择CentralWebauth( Authorization Profile )。

此步骤允许在不知道用户（或MAC地址）的情况下，ISE继续工作。

现在未知的用户显示出登录页面。然而，一旦他们输入验证信息，他们会再次出现在ISE 认证请求上；因此，必须定义另外一种规则，即如果用户是Guest用户配置。在这个例子中，如果使用UseridentityGroup等于Guest，这是假设所有的客人都属于这个组。

8.点击位于MAC not known规则下的按钮，选择insert a new rule above。注：这点非常重要的，保证这个新的规则在MAC not know规则之上。

9.输入新规则的名称。这个例子使用的是IS-a-GUEST。

10.选择符合您Guest用户的条件。

这个例子使用InternalUser：IdentityGroup Equals Guest，因为所有的来宾用户绑定到Guest 组（或在sponsor设置中配置的组）。

11.在result box（then右边）中选择PermitAccess。

当用户在登录页面上授权，ISE在交换机端口上重启2层认证和新MAB。在这种情况下，不同的是ISE被设置一个看不见的标志位，指明记住这是一个来宾身份验证的用户。此规则是2nd AUTH，条件是Network Access:UseCase Equals GuestFlow。当用户通过WebAuth认证和交换机端口重新设置一个新MAB，这一条件得到满足。您可以指定任何你想要的属性。这个例子使用配置vlan34，用户在他第二次MAB认证后被分配到到VLAN 34。

12.点击Actions（IS-A-GUEST规则后），并选择Insert new rule above。

13.在name字段中输入2nd AUTH。

14.在condition字段中，单击加号（+）图标，然后选择to create a new condition。

15.选择Network Access，点击UseCase

16.选择Equals作为操作。

17.操作数选为GuestFlow。

18.在授权页面，单击加号（+）图标，（then旁边），以便选择为执行完规则的结果。

在这个例子中，一个预配置的配置文件（vlan34）被分配；本文档中未示出该配置。

您可以选择Permit Access选项，或create a custom profile，以便返回VLAN或你喜欢的属性。

启用IP地址刷新（可选）

如果你分配一个VLAN，最后一步是客户端PC更新IP地址。这一步是Windows客户端的来宾门户网站完成的。如果您在2nd AUTH规则中没有设置VLAN，你可以跳过这一步。

如果你分配一个VLAN，完成这些步骤保证IP续约：

1.点击Administration，然后点击Guest Management。

2.点击Settings。

3.展开Guest ，然后展开Mult-Portal Configuration。

4.点击DefaultGuestPortal或者一个你可能已经创建了的门户名称。

5.勾选VLAN DHCP Release复选框。

注意：此选项仅适用于Windows客户端。

确认

一旦用户关联到SSID，授权显示在ISE页面。

从下往上，你可以看到MAC地址过滤验证返回的CWA属性。其次是门户网站的登录用户名。然后ISE向无线控制器发送CoA，最后认证的是一个无线控制器侧的2层MAC过滤验证，但是ISE记得客户端和用户名，并把我们在这个例子中配置必要的VLAN应用上去。

当客户端上打开任何地址，浏览器会重定向到ISE。确保域名系统（DNS）配置正确。

在用户接受策略后，给予网络访问权限。

在无线控制器上，Policy Manager和RADIUS NAC状态从POSTURE_REQD变成RUN。

原文链接：https://www.360docs.net/doc/b66031423.html,/en/US/products/ps11640/products_configuration_example09186a0080c090eb.shtml 翻译：杨帆

校对：谢清

译于2013年6月