BYOD-client voor geconvergeerde toegang met draadloze controller (5760/3850/3650) - onboarden met FQDN-ACL’s

Downloadopties

  • PDF     (295.5 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (127.9 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (104.1 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:2 januari 2017
Document-id:200913

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft een configuratievoorbeeld voor het gebruik van DNS-gebaseerde toegangslijsten (ACL’s), een FQDN-domeinlijst (Full Qualified Domain Name) om toegang te verlenen tot specifieke domeinlijsten tijdens webverificatie/client Bring Your Own Device (BYOD) provisioningstatus op geconvergeerde toegangscontrollers.

Voorwaarden

Vereisten

Dit document gaat ervan uit dat u al weet hoe u de basis Central Web Verification (CWA) moet configureren, dit is slechts een toevoeging om het gebruik van FQDN-domeinlijsten aan te tonen om BYOD te vergemakkelijken. Aan het einde van dit document wordt verwezen naar configuratievoorbeelden van CWA en ISE BYOD.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Software voor Cisco Identity Services Engine 1.4

Cisco WLC 5760-softwarerelease 3.7.4

DNS-gebaseerde ACL-processtroom

Op Identity Services Engine (ISE) die de omleiding van de ACL-naam (naam van de ACL die wordt gebruikt om te bepalen welk verkeer naar ISE moet worden omgeleid en welke niet) en FQDN-domeinlijstnaam (naam van de ACL die is toegewezen aan de FQDN URL-lijst op de controller die voor de verificatie toegang moet worden verleend) retourneert, zal de stroom als volgt zijn:

  1. Draadloze LAN-controller (WLC) zal capwap payload naar access point (AP) sturen om DNS-spionage voor de URL’s mogelijk te maken.
  2. AP snoops voor de DNS query van de client.
    • Als de domeinnaam overeenkomt met de toegestane URL, zal AP het verzoek doorsturen naar de DNS server, zal wachten op de reactie van de DNS server en zal de DNS reactie ontleden en door:sturen het met alleen het eerste IP adres opgelost.
    • Als de domeinnaam niet overeenkomt, dan wordt de DNS reactie doorgestuurd zoals is (zonder wijziging) terug naar de client.
  3. Indien de domeinnaam overeenkomt, zal het eerste opgeloste IP-adres worden verzonden naar de WLC in de capwap payload. WLC werkt impliciet de ACL bij die aan de FQDN domeinlijst met het opgeloste IP adres wordt in kaart gebracht het kreeg van AP met behulp van de volgende benadering:
    • Het opgeloste IP-adres wordt als doeladres toegevoegd op elke regel van ACL die aan de FQDN-domeinlijst wordt toegewezen.
    • Elke regel van ACL wordt omgekeerd van vergunning te ontkennen en vice versa dan zal ACL worden toegepast op de client.

      Opmerking: met dit mechanisme kunnen we de domeinlijst niet in kaart brengen naar CWA omleiden ACL, omdat het omkeren van de omleiden ACL regels zal resulteren in het wijzigen van hen om te laten wat betekent dat verkeer moet worden omgeleid naar ISE. Daarom zal de FQDN domeinlijst aan afzonderlijke "vergunnings ip om het even welke"ACL in het configuratiedeel worden in kaart gebracht.

    • Om dat punt te verduidelijken, veronderstel de netwerkbeheerder FQDN domeinlijst met cisco.com url in de lijst heeft gevormd, en die domeinlijst aan volgende ACL in kaart gebracht:
      ip access-list extended FQDN_ACL
permit ip any any

      Op client die cisco.com vraagt, lost AP domeinnaam cisco.com op IP-adres 72.163.4.161 op en verstuurt het naar de controller, de ACL zal worden aangepast om te zijn zoals hieronder en wordt toegepast op de client:
      ip access-list extended FQDN_ACL
deny ip any host 72.163.4.161
  4. Wanneer de client HTTP "GET" aanvraag verstuurt:
    • De client wordt omgeleid voor het geval dat de ACL het verkeer toestaat.
    • Met ontzegd IP-adres wordt het http-verkeer toegestaan.
  5. Zodra de App op de client is gedownload en de provisioning is voltooid, stuurt de ISE-server CoA-sessie beëindigen naar de WLC.
  6. Zodra de client van de WLC is gedeauthenticeerd, zal het AP de vlag voor snooping per client verwijderen en snooping uitschakelen.

Configureren

  

WLC-configuratie 

  1.  Aanmaken van doorverwijzing ACL:
    Deze ACL wordt gebruikt om te definiëren welk verkeer niet naar ISE moet worden omgeleid (ontkend in de ACL) en welk verkeer moet worden omgeleid (toegestaan in de ACL).
    ip access-list extended REDIRECT_ACL
deny udp any eq bootps any
deny udp any any eq bootpc
deny udp any eq bootpc any
deny udp any any eq domain
deny udp any eq domain any
deny ip any host 10.48.39.228
deny ip host 10.48.39.228 any
permit tcp any any eq www
permit tcp any any eq 443
    In deze toegangslijst is 10.48.39.228 het IP-adres van de ISE-server.

  2. Configureer de FQDN-domeinlijst:

    Deze lijst bevat de domeinnamen waartoe client toegang heeft vóór provisioning of CWA-verificatie.

    passthru-domain-list URLS_LIST
match play.google.*.*
match cisco.com
  3. Configureer een toegangslijst met de permissie ip any to be combineerd met de URLS_LIST:
    Deze ACL moet worden toegewezen aan de FQDN-domeinlijst omdat we een echte IP-toegangslijst op de client moeten toepassen (we kunnen geen standalone FQDN-domeinlijst toepassen).
    ip access-list extended FQDN_ACL
permit ip any any
  4. Breng de URLS_LIST domeinlijst aan FQDN_ACL in kaart:
    access-session passthru-access-group FQDN_ACL passthru-domain-list URLS_LIST
  5. Configureer de CWA SSID voor onboarding:
    Deze SSID wordt gebruikt voor client centrale web verificatie en client provisioning, de FQDN_ACL en REDIRECT_ACL worden toegepast op deze SSID door ISE
    wlan byod 2 byod
 aaa-override
 accounting-list rad-acct
 client vlan VLAN0200
 mac-filtering MACFILTER
 nac
 no security wpa
 no security wpa akm dot1x
 no security wpa wpa2
 no security wpa wpa2 ciphers aes
 no shutdown
    In deze SSID-configuratie is de MACFILTER methodelijst de methodelijst die verwijst naar de groep van de ISE-straal en is de rad-act de lijst van boekhoudmethoden die verwijst naar dezelfde groep van de ISE-straal.

    Samenvatting van de configuratie van de methodelijst die in dit voorbeeld is gebruikt:
    aaa group server radius ISEGroup
 server name ISE1
    aaa authorization network MACFILTER group ISEGroup 
    aaa accounting network rad-acct start-stop group ISEGroup
    radius server ISE1
 address ipv4 10.48.39.228 auth-port 1812 acct-port 1813
 key 7 112A1016141D5A5E57
    aaa server radius dynamic-author
 client 10.48.39.228 server-key 7 123A0C0411045D5679
 auth-type any


ISE-configuratie

In deze sectie wordt ervan uitgegaan dat u bekend bent met het configuratieonderdeel van CWA ISE, ISE-configuratie is vrijwel hetzelfde met de volgende wijzigingen.

Draadloze CWA Mac-adresverificatie Bypass (MAB)-verificatieresultaat moet de volgende kenmerken retourneren, samen met de CWA-omleiding URL:

cisco-av-pair = fqdn-acl-name=FQDN_ACL
cisco-av-pair = url-redirect-acl=REDIRECT_ACL

Waar FQDN_ACL de naam van de IP toegangslijst is die aan de domeinlijst in kaart wordt gebracht en REDIRECT_ACL de normale CWA omleiden toegangslijst is.

Daarom dient het CWA MAB-verificatieresultaat te worden geconfigureerd zoals hieronder:

200913-Converged-Access-Wireless-Controller-57-00.png

Verifiëren

 Om te verifiëren dat de FQDN-domeinlijst wordt toegepast op de client gebruikt u de onderstaande opdracht:

show access-session mac <client_mac> details

Voorbeeld van de opdrachtoutput met toegestane domeinnamen: 

5760-2#show access-session mac 60f4.45b2.407d details 
            Interface:  Capwap7
               IIF-ID:  0x41BD400000002D 
            Wlan SSID:  byod
       AP MAC Address:  f07f.0610.2e10
          MAC Address:  60f4.45b2.407d
         IPv6 Address:  Unknown
         IPv4 Address:  192.168.200.151
               Status:  Authorized
               Domain:  DATA
       Oper host mode:  multi-auth
     Oper control dir:  both
      Session timeout:  N/A
    Common Session ID:  0a30275b58610bdf0000004b
      Acct Session ID:  0x00000005
               Handle:  0x42000013
       Current Policy:  (No Policy)
        Session Flags:  Session Pushed

Server Policies:

             FQDN ACL: FQDN_ACL
         Domain Names: cisco.com play.google.*.*

         URL Redirect:  https://bru-ise.wlaaan.com:8443/portal/gateway?sessionId=0a30275b58610bdf0000004b&portal=27963fb0-e96e-11e4-a30a-005056bf01c9&action=cwa&token=fcc0772269e75991be7f1ca238cbb035
     URL Redirect ACL:  REDIRECT_ACL

Method status list: empty

   

Referenties

Configuratievoorbeeld van centrale webverificatie op WLC en ISE

BYOD draadloos infrastructuurontwerp

ISE 2.1 configureren voor chromebook onboarding

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
02-Jan-2017
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Amjad Daraiseh
    Cisco TAC

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten