流動裝置在計算方面越來越強大,在消費者中越來越受歡迎。數以百萬計的這些裝置通過高速Wi-Fi銷售給消費者,因此使用者可以進行通訊和合作。現在,消費者已經習慣了這些流動裝置為他們的生活帶來的生產力提升,並正在尋求將他們的個人體驗帶入工作空間。這就產生了在工作場所自帶裝置(BYOD)解決方案的功能需求。
本文檔提供自帶裝置解決方案的分支機構部署。員工使用新iPad連線到企業服務集識別符號(SSID),並被重定向到自助註冊門戶。思科身份服務引擎(ISE)根據公司Active Directory(AD)對使用者進行身份驗證,並將具有嵌入式iPad MAC地址和使用者名稱的證書以及請求方配置檔案下載到iPad,該請求方配置檔案強制使用可擴展身份驗證協定 — 傳輸層安全(EAP-TLS)作為dot1x連線的方法。根據ISE中的授權策略,使用者可以使用dot1x連線並訪問適當的資源。
低於7.2.110.0的思科無線區域網控制器軟體版本中的ISE功能不支援通過FlexConnect接入點(AP)關聯的本地交換客戶端。7.2.110.0版支援用於本地交換和集中身份驗證客戶端的FlexConnect AP的這些ISE功能。此外,與ISE 1.1.1整合的版本7.2.110.0提供(但不限於)以下無線自帶裝置解決方案功能:
本文件沒有特定需求。
本文中的資訊係根據以下軟體和硬體版本:
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
若要正確實施和測試這些功能,需要最低限度的網路設定,如下圖所示:
對於此模擬,您需要一個具有FlexConnect AP的網路、一個具有本地DHCP、DNS、WLC和ISE的本地/遠端站點。FlexConnect AP連線到主幹以測試具有多個VLAN的本地交換。
必須註冊裝置,以便其本機請求方可以提供dot1x身份驗證。根據正確的身份驗證策略,使用者被重定向到訪客頁面並通過員工憑據進行身份驗證。使用者會看到裝置註冊頁面,該頁面會詢問使用者的裝置資訊。然後開始裝置調配過程。如果調配不支援作業系統(OS),則將使用者重定向到資產註冊門戶,以便將該裝置標籤為MAC身份驗證繞行(MAB)訪問。如果作業系統受支援,註冊過程將開始並配置裝置的本地請求方進行dot1x身份驗證。
資產註冊門戶是ISE平台的元素,允許員工通過身份驗證和註冊流程啟動終端自註冊。
管理員可以從終端標識頁面刪除資產。每位員工都可以編輯、刪除和將其已註冊的資產列入黑名單。列入黑名單的終端被分配到黑名單身份組,並且建立授權策略以防止列入黑名單的終端訪問網路。
在中央Web驗證(CWA)流程中,員工被重新導向至一個門戶,該門戶允許他們輸入其憑證、驗證以及輸入他們希望註冊的特定資產的具體資訊。此門戶稱為自助調配門戶,類似於裝置註冊門戶。它允許員工輸入MAC地址以及終端的有意義描述。
一旦員工選擇自助註冊門戶,他們就會面臨提供一組有效員工憑據以進入調配階段的挑戰。身份驗證成功後,可將端點調配到端點資料庫中,並為端點生成證書。該頁面上的連結允許員工下載Supplicant Pilot Wizard(SPW)。
對於EAP-TLS配置,ISE遵循Apple Over-the-Air(OTA)註冊流程:
出於安全考慮,Android代理必須從Android市場網站下載,並且不能從ISE調配。思科通過思科Android市場發佈者帳戶將嚮導的候選版本上傳到Android市場。
這是Android調配過程:
以下是雙SSID無線BYOD自註冊的過程:
在此場景中,企業接入(CORP)有一個單一的SSID,它同時支援受保護的可擴展身份驗證協定(PEAP)和EAP-TLS。沒有訪客SSID。
這是單SSID無線BYOD自註冊的過程:
完成以下步驟即可開始設定:
完成以下步驟即可設定WLAN:
完成以下步驟以設定FlexConnect AP:
完成以下步驟以配置ISE:
條件:Wireless_802.1X
新增新的標準規則編號。
這是規則的示例;請務必確認條件是AND。
本節介紹雙SSID,並說明如何連線到要布建的訪客,以及如何連線到802.1x WLAN。
完成以下步驟,以便在雙SSID場景中調配iOS:
本節介紹單SSID,並說明如何直接連線到802.1x WLAN、提供PEAP身份驗證的AD使用者名稱/密碼、通過訪客帳戶調配以及重新連線TLS。
完成以下步驟,以便在單SSID場景中調配iOS:
本節介紹雙SSID,並說明如何連線到要布建的訪客,以及如何連線到802.1x WLAN。
Android裝置的連線過程與iOS裝置(單或雙SSID)的連線過程非常相似。然而,一個重要的區別是,Android裝置需要訪問Internet才能訪問Google Marketplace(現在是Google Play)和下載請求者代理。
完成以下步驟,以便在雙SSID場景中調配Android裝置(如本示例中的Samsung Galaxy):
My Devices Portal允許使用者在裝置丟失或被盜的情況下將先前已註冊的裝置列入黑名單。此外,還允許使用者在需要時重新登記。
完成以下步驟以將裝置列入黑名單:
完成以下步驟以恢復列入黑名單的裝置:
ISE不僅需要有效的CA根證書,還需要由CA簽署的有效證書。
完成以下步驟,以便新增、繫結和匯入新的受信任CA證書:
修訂 | 發佈日期 | 意見 |
---|---|---|
1.0 |
12-Sep-2013 |
初始版本 |