易久IT学院

作者: admin
查看: 100|回复: 2

more +今日重磅推荐Recommend No.1

最新网络安全思维导图全集(图片+pdf+原版)

more +社区热门Forums

more +随机图赏Gallery

[PacketTracer]新版cisco pt 7.1[PacketTracer]新版cisco pt 7.1
推荐!!!韩立刚老师 计算机网络原理精讲 105集! 入门必备!!!推荐!!!韩立刚老师 计算机网络原理精讲 105集! 入门必备!!!
Ma哥Linux 大神级视频教程 运维基础班 共83个视频Ma哥Linux 大神级视频教程 运维基础班 共83个视频
新版软考视频 网络工程师短期速成视频课程(共82课)网络技术学习视频教程新版软考视频 网络工程师短期速成视频课程(共82课)网络技术学习视频教程
CCIE经典必看书籍汇总 110本 能看完一半以上的都是网络界大神CCIE经典必看书籍汇总 110本 能看完一半以上的都是网络界大神
[Windows] 蓝屏代码查询器(包含最全的蓝屏代码)[Windows] 蓝屏代码查询器(包含最全的蓝屏代码)
数据恢复工具 分享下给大家,win10,win7亲测好用数据恢复工具 分享下给大家,win10,win7亲测好用
推荐~乾颐堂教主秦柯的一套CCIE DC视频教程分享 Nexus+UCS+Vphere5+存储视频推荐~乾颐堂教主秦柯的一套CCIE DC视频教程分享 Nexus+UCS+Vphere5+存储视频
思科与华为 最常用命令对照表 20多个 初学者可以参考一下思科与华为 最常用命令对照表 20多个 初学者可以参考一下
七大实验 玩转所有华为无线网络 HCNA-WLAN 实验指导书七大实验 玩转所有华为无线网络 HCNA-WLAN 实验指导书
[稀有资源]华为无线HCNA WLAN培训教程视频(原理+配置+实验+排错) 27集[稀有资源]华为无线HCNA WLAN培训教程视频(原理+配置+实验+排错) 27集
华为金牌合作伙伴 泰克实验室 HCNA 入门视频教程 自学推荐视频 云计算虚拟化入门视频华为金牌合作伙伴 泰克实验室 HCNA 入门视频教程 自学推荐视频 云计算虚拟化入门视频
誉天教育 60个详细入门推荐实验视频 华为HCNA实验操作【视频讲解+源文件】誉天教育 60个详细入门推荐实验视频 华为HCNA实验操作【视频讲解+源文件】
[书籍] HCNA官方最新书籍(教材加指导书)入门+进阶 实验指导书[书籍] HCNA官方最新书籍(教材加指导书)入门+进阶 实验指导书

集中式Web认证在无线控制器FlexConnect解决方案和ISE上的配置实例

[复制链接]
admin 发表于 2017-1-25 06:12:00 | 显示全部楼层 |阅读模式
查看: 100|回复: 2
集中式Web认证在无线控制器FlexConnect解决方案和ISE上的配置实例
0.jpg

有多种办法在无线局域网操控器(WLC)上装备会集Web 认证。榜首种办法是在本地web
认证,无线操控器将HTTP 流量重定向到内部或外部的效劳器上,用户会被提示进行身份验
证。然后无线操控器获取认证信息(在一个外部效劳器的情况下,经过一个HTTP GET 恳求
发回)并选用RADIUS 认证。关于宾客用户的情况下,需求一个外部效劳器(如身份效劳引
擎(ISE)或NAC 宾客效劳器(NGS))提供门户功用,如设备挂号和自我装备。这个进程包
括以下进程:
1.用户相关到Web 认证的SSID。
2.用户翻开自个的浏览器。
3.一旦输入URL,无线操控器会重定向到宾客门户网站(如ISE 或NGS)。
4.用户在门户网站上进行身份验证。
5.宾客门户网站将认证信息重定向到无线操控器。
6.无线操控器经过RADIUS 对宾客进行认证。
7.无线操控器重定向回初始URL。
这个进程包含许多的重定向操作。新的办法是运用ISE(版本1.1 以上)和无线操控器(版
本7.2 以上)的会集Web 认证。这个进程包含以下进程:
1.用户相关到Web 认证的SSID。
2.用户翻开自个的浏览器。
3.无线操控器重定向到宾客门户。
4.用户在门户网站上进行身份验证。
5. ISE 发送RADIUS 授权更改(CoA - UDP 端口1700)给无线操控器,标明该用户有用,并最
终推送RADIUS 特点,例如拜访操控列表(ACL)。
6.提示用户重试初始的URL。
本节介绍了无线操控器和ISE 上装备会集Web 认证的必要进程。
网络拓扑图
此装备运用以下网络设置:
无线操控器装备
无线操控器的装备相当简单。运用一个“小窍门”(与交流机上相同)从ISE 取得动态认证
URL。(由于它运用CoA,会话创立的会话ID 需求包含在URL 中。)SSID 装备为运用MAC 过
滤,以及ISE 装备为回来Access-Accept 音讯,即便在找不到MAC 地址情况下,它为所有用
户发送重定向URL。
此外,有必要启用 RADIUS 网络准入操控(NAC)和AAA 覆盖功用。RADIUS NAC 答应ISE 发送
CoA 恳求,标明用户如今现已得到认证而且能够拜访网络。它也被用于用户做法评估,ISE
会依据做法结果来更改用户装备。
1.保证RADIUS 效劳器启用RFC3576(CoA),默许下启用。

2.创立一个新的WLAN。此示例创立一个新的名为CWAFlex 的WLAN,并将其分配到 vlan33。
(需求留意的是,它不会有太大的影响,由于无线接入点是在本地交流形式)。
3.在“Security”选项卡中启用Layer 2 Security 的MAC Filtering。

4.在“Layer 3”选项卡中,保证Security 被禁用。(假如在3 层启用了Web 认证,则是启用
了本地Web 身份验证,而不是会集Web 认证)。
5.在“AAA Servers”选项卡中,挑选ISE 效劳器作为WLAN 的RADIUS 效劳器。或许,你能够
挑选它来计费,以便获取ISE 更具体的信息。
6.在“Advanced”选项卡上,保证启用AAA Override,并挑选NAC State 为Radius NAC。

7.创立一个重定向ACL。
ACL 在ISE 的Access-Accept 音讯中运用,它界说了哪些流量应该被重定向(由ACL 回绝),
以及什么样的流量不应该重定向(由ACL 答应)。基本上DNS 和从ISE 发来和发向ISE 的流
量需求被答应。
注 :FlexConnect 无线接入点的一个疑问是你有必要创立一个差异于一般ACL 的FlexConnect
ACL。这个疑问在Cisco Bug CSCue68065 中说到,未来的版本会解决此疑问,更多信息能够
参阅Bug 信息。无线操控器估计ISE 回来的重定向ACL 是一个一般ACL。但是,为了保证它
正常工作,你需求一个完全相同的FlexConnect ACL。
这个比如显现了怎么创立一个名为flexred 的FlexConnect ACL:

a.创立规矩,答应 DNS 流量以及与ISE 之间的流量,回绝其他流量。
假如你想保证最大的安全性,对于ISE 能够仅答应端口8443。(假如有做法评估,你必
须增加标准的做法端口,如8905,8906,8909,8910)。
b.挑选“Security > Access Control Lists”,创立相同称号的ACL,这一步很主要!
3.预备特定的FlexConnect 无线接入点。
I.点击Wireless 挑选特定的无线接入点。
II.点击“FlexConnect”选项卡,然后单击External Webauthentication ACL。(7.4 版
本之前,该选项叫做为web policies 。)
III.增加ACL(在这个比如中名为flexred )到web policies 区域。
如今现已完结无线操控器的装备。
ISE 装备
集中式Web认证在无线控制器FlexConnect解决方案和ISE上的配置实例
1.jpg

创立授权装备文件
完结这些进程,以创立授权装备文件:
1.点击Policy,然后单击Policy Elements。
2.点击Result。
3.打开Authorization,然后点击Authorization profile。
4.点击Add 按钮以创立一个新的会集WebAuth 授权装备。
5.在Name 字段中,输入装备文件的称号。这个比如运用CentralWebauth。
6.在Access Type 下拉列表中挑选ACCESS_ACCEPT。
7..勾选Web Authentication 复选框,并从下拉列表中挑选Centralized 。
8.在ACL 字段中,输入无线操控器上界说的ACL 称号,它界说哪些流量将被重定向。这个例
子中运用flexred。
9.在Redirect 下拉列表中挑选Default。
Redirect 特点界说ISE 是否能看到默许的门户网站或ISE 管理员创立的自界说门户网站。例如,
在这个比如中flexred ACL 触发一个HTTP 流量重定,能够把客户端重定向到任何地方。
创立验证规矩
完结这些进程,以运用身份验证装备文件来创立验证规矩:
1.在Policy 菜单下,点击Authentication。下图像显现了怎么装备认证战略规矩。在这个比如
中装备一个规矩,当检测到MAC 过滤时,会触发这个规矩。
攻城狮论坛 http://bbs.vlan5.com
2.输入您验证规矩的称号。这个比如运用Wireless MAB。
3.在If 条件字段中挑选加号(+)图标。
4.挑选Compound 条件,然后挑选Wireless_MAB。
5.挑选“Default network access"”作为答应的协议。
6.点击and…旁边的箭头,为了进一步扩展规矩。
7.在Identity Source 字段中点击“+”图标,挑选Internal 端点。
8.在If user not found 下拉列表中挑选Continue。

资源批量下载地址:
更多精品资源,打包下载(可按知识点/发布日期/培训班/讲师等方式批量下载视频/文档/资料/电子书) --->


能帮助您和更多的人找到自己想要的资料并取得更大进步,是我们最大的愿望。
本贴附件下载链接:

游客,如果您要查看本帖隐藏内容请回复
回复

使用道具 举报

9.8 发表于 2017-3-3 13:21:19 | 显示全部楼层
喜欢的摇,不喜欢的滚。
回复 支持 反对

使用道具 举报

playsofone 发表于 2017-8-8 09:34:45 | 显示全部楼层
11111111111111
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|易久IT学院 ( 粤ICP备17017336号-3 )  

GMT+8, 2018-7-19 09:31 , Processed in 0.462011 second(s), 37 queries .

Powered by Yi9.Net  © 2012-2017 Comsenz Inc.

Designed by Yi9.NeT