انضمام عميل BYOD إلى وحدة التحكم اللاسلكية للوصول المجمع (5760/3850/3650) باستخدام قوائم التحكم في الوصول (ACLs) إلى FQDN

المقدمة

يصف هذا المستند مثالا لتكوين إستخدام قوائم الوصول المستندة إلى DNS (ACLs)، وقائمة مجالات اسم المجال المؤهل بالكامل (FQDN) للسماح بالوصول إلى قوائم مجالات محددة أثناء مصادقة الويب/إحضار العميل حالة إمداد الجهاز الخاص بك (BYOD) على وحدات التحكم في الوصول المجمعة.

المتطلبات الأساسية

المتطلبات

يفترض هذا المستند أنك تعرف بالفعل كيفية تكوين مصادقة الويب المركزية الأساسية (CWA)، وهذه مجرد إضافة لتوضيح إستخدام قوائم مجال FQDN لتسهيل BYOD. تتم الإشارة إلى أمثلة تكوين CWA و ISE BYOD في نهاية هذا المستند.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
برنامج Cisco Identity Services Engine، الإصدار 1.4

برنامج Cisco WLC 5760، الإصدار 3.7.4

تدفق عملية قائمة التحكم في الوصول (ACL) المستندة إلى DNS

عند قيام محرك خدمات الهوية (ISE) بإرجاع اسم قائمة التحكم في الوصول (ACL) المعاد توجيهه (اسم قائمة التحكم في الوصول (ACL) المستخدم لتحديد حركة المرور التي سيتم إعادة توجيهها إلى ISE والتي لن يتم) واسم قائمة مجالات FQDN (اسم قائمة التحكم في الوصول (ACL) الذي تم تعيينه إلى قائمة عناوين URL الخاصة ب FQDN على وحدة التحكم التي سيتم السماح بالوصول إليها قبل المصادقة)، سيكون التدفق على النحو التالي:

1. ستقوم وحدة التحكم في الشبكة المحلية (LAN) اللاسلكية بإرسال حمولة Capwap إلى نقطة الوصول (AP) لتمكين التطفل على DNS لعناوين URL.
2. عمليات التطفل الخاصة ب AP لاستعلام DNS من العميل.
   • إذا طابق اسم المجال عنوان URL المسموح به، ستقوم نقطة الوصول بإعادة توجيه الطلب إلى خادم DNS، وستنتظر الاستجابة من خادم DNS وسترسل إستجابة DNS وتعيد توجيهها باستخدام عنوان IP الأول الذي تم حله فقط.
   • إذا لم يتطابق اسم المجال، فسيتم إعادة توجيه إستجابة DNS كما هي (بدون تعديل) مرة أخرى إلى العميل.
3. في حالة تطابق اسم المجال، سيتم إرسال عنوان IP الأول الذي تم حله إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) في حمولة نقطة الوصول (Capwap). يقوم WLC بتحديث قائمة التحكم في الوصول (ACL) المعينة إلى قائمة مجالات FQDN ضمنيا باستخدام عنوان IP الذي تم تحليله الذي حصل عليه من نقطة الوصول باستخدام النهج التالي:
   • ستتم إضافة عنوان IP الذي تم تحليله كعنوان وجهة على كل قاعدة من قوائم التحكم في الوصول (ACL) التي تم تعيينها إلى قائمة مجالات FQDN.
   • يتم إلغاء كل قاعدة من قواعد قائمة التحكم في الوصول (ACL) من السماح للرفض والعكس بالعكس، يتم تطبيق قائمة التحكم في الوصول (ACL) على العميل.

     ملاحظة: لا يمكننا باستخدام هذه الآلية تعيين قائمة المجالات إلى قائمة التحكم في الوصول (ACL) المعاد توجيهها إلى CWA، لأن عكس قواعد قائمة التحكم في الوصول (ACL) المعاد توجيهها سيؤدي إلى تغييرها للسماح بما يعني إعادة توجيه حركة المرور إلى ISE. لذلك سيتم تعيين قائمة مجالات FQDN إلى قائمة تحكم في الوصول (ACL) منفصلة "السماح ip any" في جزء التكوين.

   • لتوضيح هذه النقطة، افترض أن مسؤول الشبكة قام بتكوين قائمة مجالات FQDN بعنوان cisco.com url في القائمة، وقام بتعيين قائمة المجالات هذه إلى قائمة التحكم في الوصول (ACL) التالية:
     

     ip access-list extended FQDN_ACL
     permit ip any any

     
     عند طلب العميل cisco.com، تقوم نقطة الوصول بتحديد اسم المجال cisco.com إلى عنوان IP 72.163.4.161 وإرساله إلى المحتوى، وسيتم تعديل قائمة التحكم في الوصول (ACL) لتكون كما هو أدناه ويتم تطبيقها على العميل:
     

     ip access-list extended FQDN_ACL
     deny ip any host 72.163.4.161

4. عندما يرسل العميل طلب "GET" ل HTTP:
   • ستتم إعادة توجيه العميل في حال سمحت قائمة التحكم في الوصول (ACL) بحركة المرور.
   • مع عنوان IP المرفوض، سيتم السماح بحركة مرور http.
5. بمجرد تنزيل "التطبيق" على العميل وإكمال التوفير، يرسل خادم ISE إنهاء جلسة عمل CoA إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC).
6. بمجرد إلغاء مصادقة العميل من عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، ستقوم نقطة الوصول بإزالة العلامة للتطفل لكل عميل وتعطيل التطفل.

التكوين

  

تكوين وحدة التحكُّم في شبكة LAN اللاسلكية (WLC) 

1.  إنشاء قائمة التحكم في الوصول (ACL) لإعادة التوجيه:
   يتم إستخدام قائمة التحكم في الوصول هذه لتحديد حركة المرور التي يجب إعادة توجيهها إلى ISE (مرفوض في قائمة التحكم في الوصول) وحركة المرور التي يجب إعادة توجيهها (مسموح بها في قائمة التحكم في الوصول).
   

   ip access-list extended REDIRECT_ACL
   deny udp any eq bootps any
   deny udp any any eq bootpc
   deny udp any eq bootpc any
   deny udp any any eq domain
   deny udp any eq domain any
   deny ip any host 10.48.39.228
   deny ip host 10.48.39.228 any
   permit tcp any any eq www
   permit tcp any any eq 443

   في قائمة الوصول هذه، يوجد عنوان IP لخادم ISE 10.48.39.228.
   
   

2. تكوين قائمة مجالات FQDN:

   تحتوي هذه القائمة على أسماء المجالات التي يمكن للعميل الوصول إليها قبل التوفير أو مصادقة CWA.

   passthru-domain-list URLS_LIST
   match play.google.*.*
   match cisco.com

3. قم بتكوين قائمة وصول مع السماح ip any ليتم دمجها مع URLS_LIST:
   يلزم تعيين قائمة التحكم في الوصول (ACL) هذه إلى قائمة مجالات FQDN لأنه يجب علينا تطبيق قائمة وصول IP الفعلية على العميل (لا يمكننا تطبيق قائمة مجال FQDN المستقلة).
   

   ip access-list extended FQDN_ACL
   permit ip any any

4. قم بتعيين قائمة مجال URLS_LIST إلى FQDN_ACL:
   

   access-session passthru-access-group FQDN_ACL passthru-domain-list URLS_LIST

5. تكوين CWA SSID الخاص بالإدخال:
   سيتم إستخدام SSID هذا لمصادقة الويب المركزية للعميل وإمداد العميل ، وسيتم تطبيق FQDN_ACL و REDIRECT_ACL على SSID هذا بواسطة ISE
   

   wlan byod 2 byod
    aaa-override
    accounting-list rad-acct
    client vlan VLAN0200
    mac-filtering MACFILTER
    nac
    no security wpa
    no security wpa akm dot1x
    no security wpa wpa2
    no security wpa wpa2 ciphers aes
    no shutdown

   في قائمة طرق MacFilter لتكوين SSID هذه هي قائمة الطرق التي تشير إلى مجموعة ISE RADIUS وrad-acct هي قائمة طرق المحاسبة التي تشير إلى نفس مجموعة ISE RADIUS.
   
   ملخص تكوين قائمة الطرق المستخدم في هذا المثال:
   

   aaa group server radius ISEGroup
    server name ISE1

   aaa authorization network MACFILTER group ISEGroup 

   aaa accounting network rad-acct start-stop group ISEGroup

   radius server ISE1
    address ipv4 10.48.39.228 auth-port 1812 acct-port 1813
    key 7 112A1016141D5A5E57

   aaa server radius dynamic-author
    client 10.48.39.228 server-key 7 123A0C0411045D5679
    auth-type any

تكوين ISE

يفترض هذا القسم أنك متابع لجزء تكوين CWA ISE، ويكون تكوين ISE تقريبا هو نفسه مع التعديلات التالية.

يجب أن ترجع نتيجة مصادقة مجرى مصادقة CWA MAC (MAB) اللاسلكية السمات التالية مع عنوان URL لإعادة توجيه CWA:

cisco-av-pair = fqdn-acl-name=FQDN_ACL
cisco-av-pair = url-redirect-acl=REDIRECT_ACL

حيث FQDN_ACL هو اسم قائمة الوصول إلى IP التي تم تعيينها إلى قائمة المجالات و REDIRECT_ACL هو قائمة الوصول العادية لإعادة توجيه CWA.

لذلك يجب تكوين نتيجة مصادقة CWA MAB كما هو موضح أدناه:

التحقق من الصحة

 للتحقق من تطبيق قائمة مجال FQDN على الأمر إستخدام العميل أدناه:

show access-session mac <client_mac> details

مثال على مخرجات الأمر التي تظهر أسماء المجالات المسموح بها: 

5760-2#show access-session mac 60f4.45b2.407d details 
            Interface:  Capwap7
               IIF-ID:  0x41BD400000002D 
            Wlan SSID:  byod
       AP MAC Address:  f07f.0610.2e10
          MAC Address:  60f4.45b2.407d
         IPv6 Address:  Unknown
         IPv4 Address:  192.168.200.151
               Status:  Authorized
               Domain:  DATA
       Oper host mode:  multi-auth
     Oper control dir:  both
      Session timeout:  N/A
    Common Session ID:  0a30275b58610bdf0000004b
      Acct Session ID:  0x00000005
               Handle:  0x42000013
       Current Policy:  (No Policy)
        Session Flags:  Session Pushed

Server Policies:

             FQDN ACL: FQDN_ACL
         Domain Names: cisco.com play.google.*.*

         URL Redirect:  https://bru-ise.wlaaan.com:8443/portal/gateway?sessionId=0a30275b58610bdf0000004b&portal=27963fb0-e96e-11e4-a30a-005056bf01c9&action=cwa&token=fcc0772269e75991be7f1ca238cbb035
     URL Redirect ACL:  REDIRECT_ACL

Method status list: empty

   

المراجع

مثال على تكوين مصادقة الويب المركزية على شبكة LAN اللاسلكية (WLC) ومحرك خدمات كشف الهوية (ISE)

تصميم البنية الأساسية اللاسلكية BYOD

تكوين ISE 2.1 للضم إلى دفتر الكروم