De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft hoe u centrale webverificatie kunt configureren met FlexConnect AP’s op een WLC ISE in lokale switchingmodus.
Er zijn geen specifieke vereisten van toepassing op dit document.
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Opmerking: op dit moment wordt lokale verificatie op de FlexAP’s niet ondersteund voor dit scenario.
Andere documenten in deze serie
Er zijn meerdere methoden om centrale webverificatie te configureren op de draadloze LAN-controller (WLC). De eerste methode is lokale webverificatie waarbij de WLC het HTTP-verkeer omleidt naar een interne of externe server waar de gebruiker wordt gevraagd om te verifiëren. De WLC haalt dan de referenties (teruggestuurd via een HTTP GET request in het geval van een externe server) en maakt een RADIUS-verificatie. In het geval van een gastgebruiker, is een externe server (zoals Identity Service Engine (ISE) of NAC Guest Server (NGS)) vereist, aangezien het portaal functies biedt zoals apparaatregistratie en zelfbevoorrading. Dit proces omvat de volgende stappen:
Dit proces omvat veel omleiding. De nieuwe benadering is om centrale webverificatie te gebruiken die werkt met ISE (versies later dan 1.1) en WLC (versies later dan 7.2). Dit proces omvat de volgende stappen:
In deze sectie worden de stappen beschreven die nodig zijn om centrale webverificatie op WLC en ISE te configureren.
Deze configuratie gebruikt de volgende netwerkinstellingen:
De WLC-configuratie is vrij eenvoudig. Er wordt een trucje gebruikt (hetzelfde als bij switches) om de URL voor de dynamische verificatie van de ISE te verkrijgen (omdat er CoA wordt gebruikt, moet er een sessie worden aangemaakt omdat de sessie-id deel uitmaakt van de URL). De SSID is ingesteld om MAC-filtering te gebruiken en de ISE is ingesteld om een Access-Accept-bericht terug te sturen, zelfs als het MAC-adres niet wordt gevonden, zodat de omleiding URL voor alle gebruikers wordt verzonden.
Daarnaast moeten RADIUS-netwerktoegangscontrole (NAC) en AAA-overschrijding zijn ingeschakeld. Met RADIUS NAC kan de ISE een CoA-verzoek verzenden dat aangeeft dat de gebruiker nu is geverifieerd en toegang heeft tot het netwerk. Het wordt ook gebruikt voor de beoordeling van de houding waarin de ISE het gebruikersprofiel wijzigt op basis van het resultaat van de houding.
Waarschuwing: een probleem met FlexConnect AP's is dat u een FlexConnect ACL moet maken die losstaat van uw normale ACL. Dit probleem is gedocumenteerd in Cisco bug-id CSCue68065 en is opgelost in release 7.5. In WLC 7.5 en hoger is alleen een FlexACL vereist en is geen standaard ACL nodig. De WLC verwacht dat de door ISE geretourneerde omgestuurde ACL een normale ACL is. Om er echter zeker van te zijn dat het werkt, hebt u dezelfde ACL nodig als de FlexConnect ACL. (Alleen geregistreerde Cisco-gebruikers kunnen toegang krijgen tot interne Cisco-tools en -informatie.)
Dit voorbeeld laat zien hoe u een FlexConnect ACL met de naam flexred kunt maken:
De WLC-configuratie is nu voltooid.
Voltooi de volgende stappen om het autorisatieprofiel te maken:
Klik op Beleid en klik vervolgens op Beleidselementen.
Klik op Resultaten.
Breid Autorisatie uit en klik vervolgens op Autorisatieprofiel.
Klik op de knop Toevoegen om een nieuw autorisatieprofiel voor de centrale webauth te maken.
Typ in het veld Naam een naam voor het profiel. Dit voorbeeld gebruikt CentralWebauth.
Kies ACCESS_ACCEPTEREN in de vervolgkeuzelijst Toegangstype.
Schakel het aanvinkvakje Web Verification in en kies Gecentraliseerde webautorisatie in de vervolgkeuzelijst.
Voer in het veld ACL de naam in van de ACL op de WLC die het verkeer definieert dat wordt omgeleid. Dit voorbeeld gebruikt flexred.
Kies Standaard in de vervolgkeuzelijst Omleiden.
Het kenmerk Redirect bepaalt of de ISE de standaard webportal ziet of een aangepaste webportal die de ISE-beheerder heeft gemaakt. Bijvoorbeeld, leidt de gebogen ACL in dit voorbeeld tot een omleiding op HTTP-verkeer van de client naar overal.
Voltooi de volgende stappen om het verificatieprofiel te gebruiken om de verificatieregel te maken:
Deze afbeelding toont een voorbeeld van hoe de verificatieregelgeving te configureren. In dit voorbeeld wordt een regel ingesteld die wordt geactiveerd wanneer MAC-filtering wordt gedetecteerd.
Deze optie maakt het mogelijk om een apparaat te authenticeren (via webauth) zelfs als het MAC-adres niet bekend is. Dot1x-clients kunnen nog steeds authenticeren met hun referenties en moeten niet betrokken zijn bij deze configuratie.
Er zijn nu verscheidene regels in het vergunningsbeleid te vormen. Wanneer de PC is gekoppeld, zal het door mac filtering gaan; er wordt aangenomen dat het MAC-adres niet bekend is, dus de webauth en ACL worden teruggegeven. Deze niet bekende MAC-regel wordt in de volgende afbeelding getoond en wordt in deze sectie geconfigureerd.
Voltooi de volgende stappen om de autorisatieregel te maken:
Maak een nieuwe regel en voer een naam in. Dit voorbeeld gebruiktMAC niet bekend.
Klik op het pictogram plus (+) in het veld Voorwaarden en kies om een nieuwe voorwaarde te maken.
Breid de vervolgkeuzelijst expressie uit.
Kies Netwerktoegang en breid deze uit.
Klik op Verificatiestatus en kies de operator Gelijk.
Kies Onbekende gebruiker in het rechterveld.
Kies op de pagina Algemene autorisatie CentralWebauth (Autorisatieprofiel) in het veld rechts van het woord dan .
Met deze stap kan de ISE doorgaan, ook al is de gebruiker (of de MAC) niet bekend.
Onbekende gebruikers krijgen nu de inlogpagina te zien. Echter, zodra ze hun referenties invoeren, worden ze opnieuw gepresenteerd met een authenticatieverzoek op de ISE; daarom moet een andere regel worden geconfigureerd met een voorwaarde die wordt voldaan als de gebruiker een gastgebruiker is. In dit voorbeeld, Als UseridentiteitsGroup gelijk is aan Guestis gebruikt, en er wordt aangenomen dat alle gasten tot deze groep behoren.
Klik op de knop Acties aan het einde van de MAC onbekende regel en kies ervoor om een nieuwe regel toe te voegen.
Opmerking: het is heel belangrijk dat deze nieuwe regel vóór de onbekende regel van de MAC komt.
Voer in het veld Naam 2e AUTH in.
Waarschuwing: in ISE versie 1.3, afhankelijk van het type webverificatie, kan de Guest Flow-gebruikscase niet meer worden gevonden. De autorisatieregel zou dan de gastgebruikersgroep als enige mogelijke voorwaarde moeten bevatten.
Als u een VLAN toewijst, is de laatste stap voor de client-pc om zijn IP-adres te vernieuwen. Deze stap wordt bereikt door het gastportaal voor Windows-clients. Als u geen VLAN hebt ingesteld voor de 2e AUTH-regel eerder, kunt u deze stap overslaan.
Merk op dat op FlexConnect AP’s het VLAN vooraf op het AP zelf moet bestaan. Daarom als het niet, kunt u een VLAN-ACL-afbeelding op AP zelf of op de flex groep tot stand brengen waar u geen ACL voor het nieuwe VLAN toepast u wilt creëren. Dat maakt feitelijk een VLAN (zonder ACL).
Als u een VLAN hebt toegewezen, moet u deze stappen uitvoeren om IP-vernieuwing in te schakelen:
Klik op Beheer en klik vervolgens op Gastbeheer.
Klik op Instellingen.
Breid Gast uit en breid dan Multi-Portal Configuration uit.
Klik op DefaultGuestPortal of de naam van een aangepaste portal die u hebt gemaakt.
Klik op het aankruisvakje VLAN DHCP release.
Opmerking: deze optie werkt alleen voor Windows-clients.
Het kan moeilijk lijken te begrijpen welk verkeer in dit scenario naar waar wordt gestuurd. Hier is een snelle beoordeling:
Zodra de gebruiker aan de SSID is gekoppeld, wordt de autorisatie weergegeven op de ISE-pagina.
Vanaf de basis kunt u de MAC-adresfiltering-verificatie zien die de CWA-kenmerken retourneert. Vervolgens wordt de portal ingelogd met de gebruikersnaam. De ISE stuurt dan een CoA naar de WLC en de laatste verificatie is een Layer 2 mac filtering-verificatie aan de WLC-kant, maar ISE onthoudt de client en de gebruikersnaam en past het benodigde VLAN toe dat we in dit voorbeeld hebben geconfigureerd.
Wanneer een adres wordt geopend op de client, wordt de browser omgeleid naar de ISE. Zorg ervoor dat Domain Name System (DNS) correct is geconfigureerd.
Netwerktoegang wordt verleend nadat de gebruiker het beleid heeft aanvaard.
Op de controller veranderen de Policy Manager-status en de RADIUS NAC-status van POSTURE_REQD naar RUN.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
08-Dec-2023 |
Eerste vrijgave |