تكوين الوصول المؤقت والدائم إلى ISE Guest

خيارات التنزيل

  • PDF     (1.3 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (1.1 MB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (1.3 MB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:١٨ نوفمبر ٢٠١٥
معرّف المستند:200273

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).


المقدمة

يصف هذا المستند طرقا مختلفة لتكوين وصول الضيف لمحرك خدمات الهوية (ISE). استنادا إلى شروط مختلفة في قواعد التخويل:

  • يمكن توفير وصول دائم إلى الشبكة (لا يتطلب الأمر أي مصادقة لاحقة)
  • يمكن توفير وصول مؤقت إلى الشبكة (يتطلب مصادقة الضيف بعد انتهاء صلاحية الجلسة)

كما يتم تقديم سلوك محدد لوحدة تحكم الشبكة المحلية اللاسلكية (WLC) لإزالة جلسة العمل عبر التأثير على سيناريو الوصول المؤقت.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

  • عمليات نشر ISE وتدفق الضيوف
  • تكوين وحدات التحكم في الشبكة المحلية (LAN) اللاسلكية (WLCs)

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

  • نظام التشغيل Microsoft Windows 7
  • Cisco WLC، الإصدار 7.6 والإصدارات الأحدث
  • برنامج ISE، الإصدار 1.3 والإصدارات الأحدث

التكوين

للحصول على تكوين الوصول الأساسي للضيف، الرجاء التحقق من المراجع باستخدام أمثلة التكوين. تركز هذه المقالة على تكوين قواعد التخويل والاختلافات في شروط التخويل.

الرسم التخطيطي للشبكة

200273-Configure-ISE-Guest-Temporary-and-Perman-00.jpeg

وصول دائم

بالنسبة للإصدار 1.3 من ISE والإصدار الأحدث بعد المصادقة الناجحة على بوابة الضيوف مع تمكين تسجيل الجهاز.

200273-Configure-ISE-Guest-Temporary-and-Perman-01.png

جهاز نقطة النهاية (عنوان MAC) مسجل بشكل ثابت في مجموعة نقاط نهاية محددة (GuestEndpoints في هذا المثال).

200273-Configure-ISE-Guest-Temporary-and-Perman-02.png

هذه المجموعة مشتقة من "نوع الضيف" للمستخدم، كما هو موضح في هذه الصورة.

200273-Configure-ISE-Guest-Temporary-and-Perman-03.png

إذا كان هذا الإعداد مستعملا من إعدادات البوابة من مستخدم شركة (مخزن هوية آخر ثم ضيف).

200273-Configure-ISE-Guest-Temporary-and-Perman-04.png

ونتيجة لذلك، ينتمي دائما عنوان MAC المقترن بالضيف إلى مجموعة الهوية المحددة هذه. لا يمكن تغيير ذلك تلقائيا (على سبيل المثال بواسطة خدمة Profiler).

ملاحظة: يمكن إستخدام شرط تفويض EndPointPolicy لتطبيق نتائج منشئ ملفات التعريف.

مع العلم بأن الجهاز ينتمي دائما إلى مجموعة هوية نقطة نهاية محددة، من الممكن إنشاء قواعد تخويل استنادا إلى ذلك، كما هو موضح في هذه الصورة.

200273-Configure-ISE-Guest-Temporary-and-Perman-05.png

بمجرد عدم مصادقة المستخدم، يتطابق التفويض مع القاعدة العامة RedirectToPortal. بعد إعادة التوجيه إلى مدخل الضيف والمصادقة، يتم وضع نقطة النهاية في مجموعة هوية نقطة النهاية المحددة. التي يستخدمها الشرط الأول، الأكثر تحديدا. تصل جميع المصادقات التالية لنقطة النهاية هذه إلى قاعدة التخويل الأولى، ويتم تزويد المستخدم بالوصول الكامل إلى الشبكة دون الحاجة إلى إعادة المصادقة على بوابة الضيوف.

إزالة نقطة النهاية لحسابات الضيوف

وقد يستمر هذا الوضع إلى الأبد. ولكن تم إدخال وظيفة نقطة النهاية ل ISE 1.3 Purge. مع التكوين الافتراضي.

200273-Configure-ISE-Guest-Temporary-and-Perman-06.png

تتم إزالة جميع نقاط النهاية المستخدمة لمصادقة الضيف بعد 30 يوما (من إنشاء نقطة النهاية). نتيجة لذلك، عادة بعد 30 يوما من محاولة المستخدم الضيف الوصول إلى الشبكة، يضرب قاعدة تخويل RedirectToPortal ويعاد توجيهه للمصادقة.

ملاحظة: تعد وظيفة إزالة نقطة النهاية مستقلة عن سياسة إزالة حساب الضيف وانتهاء صلاحية حساب الضيف.

ملاحظة: لا يمكن إزالة نقاط النهاية في ISE 1.2 تلقائيا إلا عند الوصول إلى حدود قوائم انتظار منشئ ملفات التعريف الداخلية. يتم الآن إزالة نقاط النهاية الأقل إستخداما مؤخرا.

الوصول المؤقت

طريقة أخرى للوصول إلى الضيوف هي إستخدام حالة تدفق Guest.

200273-Configure-ISE-Guest-Temporary-and-Perman-07.png

هذا شرط يتم التحقق من جلسة نشط على ISE وسماته. إذا كانت لجلسة العمل تلك السمة التي تشير إلى أن المستخدم الضيف السابق قد صادق بنجاح شرط مطابق. بعد أن يستلم ISE رسالة توقف محاسبة RADIUS من جهاز الوصول إلى الشبكة (NAD)، يتم إنهاء الجلسة وإزالتها فيما بعد. في تلك المرحلة، يكون الشرط Network Access:UseCase = Guest Flow غير مكتف بعد الآن. ونتيجة لذلك، فإن كافة عمليات المصادقة اللاحقة لنقطة النهاية هذه تقوم بإعادة توجيه القاعدة العامة لمصادقة الضيف.

ملاحظة: لا يتم دعم تدفق الضيف عندما تتم مصادقة المستخدم عبر بوابة HotSpot. بالنسبة لتلك السيناريوهات، يتم تعيين سمة UseCase على بحث المضيف بدلا من تدفق الضيف.

سلوك قطع اتصال WLC

بعد قطع اتصال العملاء بالشبكة اللاسلكية (على سبيل المثال باستخدام زر قطع الاتصال في Windows)، يرسل إطار إلغاء المصادقة. ولكن يتم حذف ذلك من قبل عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) ويمكن التأكد من ذلك باستخدام "debug client xxxx" - لا يقدم عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) أي تصحيح أخطاء عند قطع اتصال العميل بشبكة WLAN. نتيجة لذلك على عميل Windows:

  • تمت إزالة عنوان IP من الواجهة
  • الواجهة بالحالة: تم قطع اتصال الوسائط

ولكن الحالة على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) لم تتغير (العميل ما زال في حالة RUN).

أن يكون تصميم مخطط ل WLC، الجلسة أزلت عندما

  • انتهاء مهلة وضع الخمول للمستخدم
  • عدد مرات انتهاء مهلة جلسة العمل 
  • إذا كنت تستخدم تشفير L2، فعندئذ عندما تصل فترة تدوير مفتاح المجموعة إلى
  • ثمة شيء آخر يدفع AP/WLC إلى طرد الزبون (مثل أجهزة الراديو AP، وشخص ما يغلق الشبكة المحلية اللاسلكية (WLAN)، وما إلى ذلك)

مع هذا السلوك وتكوين الوصول المؤقت بعد قطع اتصال المستخدم بجلسة عمل الشبكة المحلية اللاسلكية (WLAN) لا تتم إزالته من ISE لأن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) لم يقم بمسحه قط (ولم يرسل مطلقا توقف محاسبة RADIUS). إذا لم تتم إزالة جلسة العمل، فإن ISE لا يزال يتذكر جلسة العمل القديمة ويتم تلبية حالة تدفق الضيف. بعد قطع الاتصال وإعادة الاتصال، يتمتع المستخدم بوصول كامل إلى الشبكة دون الحاجة إلى إعادة المصادقة.

200273-Configure-ISE-Guest-Temporary-and-Perman-08.png

غير أنه إذا قام المستخدم بعد قطع الاتصال بالاتصال بشبكة WLAN مختلفة، فإن WLC يقرر مسح الجلسة القديمة. يتم إرسال توقف محاسبة RADIUS ويقوم ISE بإزالة جلسة العمل. إذا حاول العميل الاتصال بشرط تدفق ضيف WLAN الأصلي غير مكتمل وتمت إعادة توجيه المستخدم للمصادقة.

ملاحظة: يقبل عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) الذي تم تكوينه باستخدام حماية إطار الإدارة (MFP) إطار إلغاء مصادقة مشفر من عميل CCXv5 MFP.

التحقق من الصحة

وصول دائم

بعد إعادة التوجيه إلى مدخل الضيف والمصادقة الناجحة يرسل ISE تغيير التخويل (CoA) لتشغيل إعادة المصادقة. ونتيجة لذلك يتم إنشاء جلسة عمل جديدة لمصادقة MAC (MAB). تنتمي نقطة النهاية الزمنية هذه إلى مجموعة هوية GuestEndpoints وتطابق القاعدة التي توفر الوصول الكامل.

200273-Configure-ISE-Guest-Temporary-and-Perman-09.png

في هذه المرحلة، يمكن للمستخدم اللاسلكي قطع الاتصال بشبكات WLAN المختلفة والاتصال بها ثم إعادة الاتصال. تستخدم جميع هذه المصادقات التالية الهوية استنادا إلى عنوان MAC، ولكنها تصل إلى القاعدة الأولى بسبب نقطة النهاية التي تنتمي إلى مجموعة هوية محددة. يتم توفير الوصول الكامل إلى الشبكة دون مصادقة الضيف.

200273-Configure-ISE-Guest-Temporary-and-Perman-10.png

الوصول المؤقت

بالنسبة للسيناريو الثاني (مع شرط يستند إلى تدفق Guest) فإن البداية هي نفسها.

200273-Configure-ISE-Guest-Temporary-and-Perman-11.png

ولكن بعد إزالة جلسة العمل لجميع المصادقات التالية، أصبح الضيف قاعدة عامة وأعيد توجيهه مرة أخرى لمصادقة الضيف.

200273-Configure-ISE-Guest-Temporary-and-Perman-12.png

يتم استيفاء شرط تدفق الضيف عندما تكون السمات الصحيحة موجودة لجلسة العمل. يمكن التحقق من ذلك من خلال النظر إلى سمات نقطة النهاية. يتم الإشارة إلى نتيجة مصادقة الضيف الناجحة.

200273-Configure-ISE-Guest-Temporary-and-Perman-13.png

PortalUser guest
StepData 5=MAB, 8=AuthenticatedGuest
UseCase Guest Flow

حشرات

CSCuu41157 ISE ENH CoA إرسال على إزالة حساب الضيف أو انتهاء صلاحيته.

(طلب تعزيز لإنهاء جلسات الضيوف بعد إزالة حساب الضيف أو انتهاء صلاحيته)

المراجع

محفوظات المراجعة

المراجعة تاريخ النشر التعليقات
1.0
24-Nov-2015
الإصدار الأولي
TAC Authored

تمت المساهمة بواسطة مهندسو Cisco

  • ميخال غاركارز
    مهندس TAC من Cisco
  • سيرهي كوشرنكو
    مهندس TAC من Cisco

هل كان هذا المستند مفيدًا؟

Feedbackالتعليقات

اتصل بنا

ينطبق هذا المستند على هذه المنتجات