易久IT学院

作者: admin
查看: 125|回复: 2

more +今日重磅推荐Recommend No.1

最新网络安全思维导图全集(图片+pdf+原版)

more +社区热门Forums

more +随机图赏Gallery

H3CSE课程新版 V2.0 培训视频教程汇总集【COMWARE V7平台】 【共62集】H3CSE课程新版 V2.0 培训视频教程汇总集【COMWARE V7平台】 【共62集】
教学视频:华为模拟器ENSP中防火墙USG6000V如何登陆web网管教学视频:华为模拟器ENSP中防火墙USG6000V如何登陆web网管
《DCN神州数码》DCIE全套视频下载!学习网络基础和打DCN比赛的必备视频《DCN神州数码》DCIE全套视频下载!学习网络基础和打DCN比赛的必备视频
Cisco 防火墙ASA 5540许可 算号器Keygen 所有license都可以算Cisco 防火墙ASA 5540许可 算号器Keygen 所有license都可以算
50G 老男孩 王牌学习视频linux运维实战培训 初级+中级+高级 从零开始 晋升 自学视频50G 老男孩 王牌学习视频linux运维实战培训 初级+中级+高级 从零开始 晋升 自学视频
2016马哥教育全套高清不加密297G全套最新LINUX视频2016马哥教育全套高清不加密297G全套最新LINUX视频
高清~泰克 罗老师 华为全套安全署假脱产班 HCNA HCNP HCIE全套安全视频教程下载地址高清~泰克 罗老师 华为全套安全署假脱产班 HCNA HCNP HCIE全套安全视频教程下载地址
思科CCNA3.0 LAB Plus 实验环境和软件 SP-UNL.ova思科CCNA3.0 LAB Plus 实验环境和软件 SP-UNL.ova
[视频集合] [2016.3.21更新]极客学院 2016最新 所有VIP学习课程 一键打包下载[视频集合] [2016.3.21更新]极客学院 2016最新 所有VIP学习课程 一键打包下载
首发!GNS3 1.4.5完美视频教程五部曲(下载+安装+集成IOU+ASA桥接+802.1x部署+辅助配置首发!GNS3 1.4.5完美视频教程五部曲(下载+安装+集成IOU+ASA桥接+802.1x部署+辅助配置
思科模拟器Packet Tracer和GNS3统一讲解视频 韩立刚主讲 13集思科模拟器Packet Tracer和GNS3统一讲解视频 韩立刚主讲 13集
[华为]2018新版 肖哥 华为HCNA HCNP安全入门课程视频教程[华为]2018新版 肖哥 华为HCNA HCNP安全入门课程视频教程
易语言全套百集视频教程,共44部 几乎包含易语言所有方面的知识,视频合集易语言全套百集视频教程,共44部 几乎包含易语言所有方面的知识,视频合集
10秒 帮您找到您真正需要的东西 不断更新 建议收藏10秒 帮您找到您真正需要的东西 不断更新 建议收藏

集中式Web认证在无线控制器FlexConnect解决方案和ISE上的配置实例

[复制链接]
admin 发表于 2017-1-25 06:12:00 | 显示全部楼层 |阅读模式
查看: 125|回复: 2
集中式Web认证在无线控制器FlexConnect解决方案和ISE上的配置实例
0.jpg

有多种办法在无线局域网操控器(WLC)上装备会集Web 认证。榜首种办法是在本地web
认证,无线操控器将HTTP 流量重定向到内部或外部的效劳器上,用户会被提示进行身份验
证。然后无线操控器获取认证信息(在一个外部效劳器的情况下,经过一个HTTP GET 恳求
发回)并选用RADIUS 认证。关于宾客用户的情况下,需求一个外部效劳器(如身份效劳引
擎(ISE)或NAC 宾客效劳器(NGS))提供门户功用,如设备挂号和自我装备。这个进程包
括以下进程:
1.用户相关到Web 认证的SSID。
2.用户翻开自个的浏览器。
3.一旦输入URL,无线操控器会重定向到宾客门户网站(如ISE 或NGS)。
4.用户在门户网站上进行身份验证。
5.宾客门户网站将认证信息重定向到无线操控器。
6.无线操控器经过RADIUS 对宾客进行认证。
7.无线操控器重定向回初始URL。
这个进程包含许多的重定向操作。新的办法是运用ISE(版本1.1 以上)和无线操控器(版
本7.2 以上)的会集Web 认证。这个进程包含以下进程:
1.用户相关到Web 认证的SSID。
2.用户翻开自个的浏览器。
3.无线操控器重定向到宾客门户。
4.用户在门户网站上进行身份验证。
5. ISE 发送RADIUS 授权更改(CoA - UDP 端口1700)给无线操控器,标明该用户有用,并最
终推送RADIUS 特点,例如拜访操控列表(ACL)。
6.提示用户重试初始的URL。
本节介绍了无线操控器和ISE 上装备会集Web 认证的必要进程。
网络拓扑图
此装备运用以下网络设置:
无线操控器装备
无线操控器的装备相当简单。运用一个“小窍门”(与交流机上相同)从ISE 取得动态认证
URL。(由于它运用CoA,会话创立的会话ID 需求包含在URL 中。)SSID 装备为运用MAC 过
滤,以及ISE 装备为回来Access-Accept 音讯,即便在找不到MAC 地址情况下,它为所有用
户发送重定向URL。
此外,有必要启用 RADIUS 网络准入操控(NAC)和AAA 覆盖功用。RADIUS NAC 答应ISE 发送
CoA 恳求,标明用户如今现已得到认证而且能够拜访网络。它也被用于用户做法评估,ISE
会依据做法结果来更改用户装备。
1.保证RADIUS 效劳器启用RFC3576(CoA),默许下启用。

2.创立一个新的WLAN。此示例创立一个新的名为CWAFlex 的WLAN,并将其分配到 vlan33。
(需求留意的是,它不会有太大的影响,由于无线接入点是在本地交流形式)。
3.在“Security”选项卡中启用Layer 2 Security 的MAC Filtering。

4.在“Layer 3”选项卡中,保证Security 被禁用。(假如在3 层启用了Web 认证,则是启用
了本地Web 身份验证,而不是会集Web 认证)。
5.在“AAA Servers”选项卡中,挑选ISE 效劳器作为WLAN 的RADIUS 效劳器。或许,你能够
挑选它来计费,以便获取ISE 更具体的信息。
6.在“Advanced”选项卡上,保证启用AAA Override,并挑选NAC State 为Radius NAC。

7.创立一个重定向ACL。
ACL 在ISE 的Access-Accept 音讯中运用,它界说了哪些流量应该被重定向(由ACL 回绝),
以及什么样的流量不应该重定向(由ACL 答应)。基本上DNS 和从ISE 发来和发向ISE 的流
量需求被答应。
注 :FlexConnect 无线接入点的一个疑问是你有必要创立一个差异于一般ACL 的FlexConnect
ACL。这个疑问在Cisco Bug CSCue68065 中说到,未来的版本会解决此疑问,更多信息能够
参阅Bug 信息。无线操控器估计ISE 回来的重定向ACL 是一个一般ACL。但是,为了保证它
正常工作,你需求一个完全相同的FlexConnect ACL。
这个比如显现了怎么创立一个名为flexred 的FlexConnect ACL:

a.创立规矩,答应 DNS 流量以及与ISE 之间的流量,回绝其他流量。
假如你想保证最大的安全性,对于ISE 能够仅答应端口8443。(假如有做法评估,你必
须增加标准的做法端口,如8905,8906,8909,8910)。
b.挑选“Security > Access Control Lists”,创立相同称号的ACL,这一步很主要!
3.预备特定的FlexConnect 无线接入点。
I.点击Wireless 挑选特定的无线接入点。
II.点击“FlexConnect”选项卡,然后单击External Webauthentication ACL。(7.4 版
本之前,该选项叫做为web policies 。)
III.增加ACL(在这个比如中名为flexred )到web policies 区域。
如今现已完结无线操控器的装备。
ISE 装备
集中式Web认证在无线控制器FlexConnect解决方案和ISE上的配置实例
1.jpg

创立授权装备文件
完结这些进程,以创立授权装备文件:
1.点击Policy,然后单击Policy Elements。
2.点击Result。
3.打开Authorization,然后点击Authorization profile。
4.点击Add 按钮以创立一个新的会集WebAuth 授权装备。
5.在Name 字段中,输入装备文件的称号。这个比如运用CentralWebauth。
6.在Access Type 下拉列表中挑选ACCESS_ACCEPT。
7..勾选Web Authentication 复选框,并从下拉列表中挑选Centralized 。
8.在ACL 字段中,输入无线操控器上界说的ACL 称号,它界说哪些流量将被重定向。这个例
子中运用flexred。
9.在Redirect 下拉列表中挑选Default。
Redirect 特点界说ISE 是否能看到默许的门户网站或ISE 管理员创立的自界说门户网站。例如,
在这个比如中flexred ACL 触发一个HTTP 流量重定,能够把客户端重定向到任何地方。
创立验证规矩
完结这些进程,以运用身份验证装备文件来创立验证规矩:
1.在Policy 菜单下,点击Authentication。下图像显现了怎么装备认证战略规矩。在这个比如
中装备一个规矩,当检测到MAC 过滤时,会触发这个规矩。
攻城狮论坛 http://bbs.vlan5.com
2.输入您验证规矩的称号。这个比如运用Wireless MAB。
3.在If 条件字段中挑选加号(+)图标。
4.挑选Compound 条件,然后挑选Wireless_MAB。
5.挑选“Default network access"”作为答应的协议。
6.点击and…旁边的箭头,为了进一步扩展规矩。
7.在Identity Source 字段中点击“+”图标,挑选Internal 端点。
8.在If user not found 下拉列表中挑选Continue。

资源批量下载地址:
更多精品资源,打包下载(可按知识点/发布日期/培训班/讲师等方式批量下载视频/文档/资料/电子书) --->


能帮助您和更多的人找到自己想要的资料并取得更大进步,是我们最大的愿望。
本贴附件下载链接:

游客,如果您要查看本帖隐藏内容请回复
回复

使用道具 举报

9.8 发表于 2017-3-3 13:21:19 | 显示全部楼层
喜欢的摇,不喜欢的滚。
回复 支持 反对

使用道具 举报

playsofone 发表于 2017-8-8 09:34:45 | 显示全部楼层
11111111111111
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|易久IT学院 ( 粤ICP备17017336号-3 )  

GMT+8, 2018-11-20 02:46 , Processed in 0.336320 second(s), 32 queries .

Powered by Yi9.Net  © 2012-2017 Comsenz Inc.

Designed by Yi9.NeT