تكوين CWA باستخدام نقاط الوصول FlexConnect APs على وحدة تحكم في الشبكة المحلية اللاسلكية (WLC) باستخدام تقنية ISE

المقدمة

يوضح هذا المستند كيفية تكوين مصادقة الويب المركزية باستخدام نقاط الوصول FlexConnect APs على WLC ISE في وضع التحويل المحلي.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• Cisco Identity Services Engine (ISE)، الإصدار 1.2.1
• برنامج وحدة التحكم في شبكة LAN اللاسلكية (WLC)، إصدار - 7.4.100.0
• نقاط الوصول (AP)

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

مستندات أخرى في هذه السلسلة

• المصادقة المركزية للويب مع محول ومثال تكوين محرك خدمات الهوية
• مثال على تكوين مصادقة الويب المركزية على شبكة LAN اللاسلكية (WLC) ومحرك خدمات كشف الهوية (ISE)

التكوين

هناك طرق متعددة لتكوين مصادقة الويب المركزية على وحدة التحكم في الشبكة المحلية اللاسلكية (WLC). الطريقة الأولى هي مصادقة الويب المحلية حيث يقوم عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) بإعادة توجيه حركة مرور بيانات HTTP إلى خادم داخلي أو خارجي حيث يتم مطالبة المستخدم بالمصادقة. تقوم WLC بعد ذلك بجلب بيانات الاعتماد (يتم إرسالها مرة أخرى عبر طلب HTTP GET في حالة وجود خادم خارجي) وإجراء مصادقة RADIUS. في حالة مستخدم ضيف، يلزم توفر خادم خارجي (مثل محرك خدمة الهوية (ISE) أو خادم ضيف NAC (NGS) حيث توفر البوابة ميزات مثل تسجيل الجهاز والإمداد الذاتي. تتضمن هذه العملية الخطوات التالية:

1. يتصل المستخدم ب SSID لمصادقة الويب.
2. يفتح المستخدم المستعرض.
3. تتم إعادة توجيه عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) إلى مدخل الضيف (مثل ISE أو NGS) بمجرد إدخال عنوان URL.
4. يقوم المستخدم بالمصادقة على البوابة.
5. تقوم بوابة الضيف بإعادة التوجيه إلى WLC مع بيانات الاعتماد التي تم إدخالها.
6. يقوم WLC بمصادقة المستخدم الضيف عبر RADIUS.
7. يقوم WLC بإعادة التوجيه إلى عنوان URL الأصلي.

تتضمن هذه العملية الكثير من إعادة التوجيه. تتمثل الطريقة الجديدة في إستخدام مصادقة الويب المركزية التي تعمل مع ISE (الإصدارات الأحدث من 1.1) و WLC (الإصدارات الأحدث من 7.2). تتضمن هذه العملية الخطوات التالية:

1. يتصل المستخدم ب SSID لمصادقة الويب.
2. يفتح المستخدم المستعرض.
3. يقوم WLC بإعادة التوجيه إلى بوابة الضيف.
4. يقوم المستخدم بالمصادقة على البوابة.
5. يرسل ISE تغيير تفويض RADIUS (CoA - UDP port 1700) للإشارة إلى وحدة التحكم إلى أن المستخدم صالح ويدفع أخيرا سمات RADIUS مثل قائمة التحكم في الوصول (ACL).
6. تتم مطالبة المستخدم بإعادة محاولة عنوان URL الأصلي.

يصف هذا القسم الخطوات اللازمة لتكوين مصادقة الويب المركزية على WLC و ISE.

الرسم التخطيطي للشبكة

يستخدم هذا التكوين إعداد الشبكة التالي:

Network Setup (إعداد الشبكة)

تكوين وحدة التحكُّم في شبكة LAN اللاسلكية (WLC)

يكون تكوين WLC بسيطًا إلى حد ما. يتم إستخدام حيلة (مثل على المحولات) للحصول على عنوان URL للمصادقة الديناميكية من ISE. (بما أنه يستخدم CoA، يلزم إنشاء جلسة عمل حيث أن معرف الجلسة هو جزء من عنوان URL.) يتم تكوين SSID لاستخدام تصفية MAC، ويتم تكوين ISE لإرجاع رسالة قبول الوصول حتى إذا لم يتم العثور على عنوان MAC بحيث يرسل عنوان URL لإعادة التوجيه لجميع المستخدمين. 

وبالإضافة إلى ذلك، يجب تمكين التحكم في الدخول إلى شبكة RADIUS (NAC) وتجاوز AAA. يسمح RADIUS NAC ل ISE بإرسال طلب CoA يشير إلى أن المستخدم قد تمت مصادقته الآن وقادر على الوصول إلى الشبكة. كما يتم إستخدامه لتقييم الوضع حيث يقوم ISE بتغيير ملف تعريف المستخدم استنادا إلى نتيجة الوضع.

1. تأكد من أن خادم RADIUS به تمكين RFC3576 (CoA)، وهو الإعداد الافتراضي.
   
   يحتوي خادم RADIUS على RFC3576
   
   
2. إنشاء شبكة WLAN جديدة. يخلق هذا مثال WLAN جديد يعين CWAFlex ويعين هو إلى VLAN33. (لاحظ أن هو لن يتلقى كثير تأثير بما أن نقطة الوصول في محلي تحويل أسلوب.)
   
   إنشاء شبكة WLAN جديدة
   
   
3. في صفحة التأمين، قم بتمكين تصفية MAC كطبقة 2 تأمين.
   
   تمكين تصفية MAC
   
   
4. على علامة تبويب الطبقة 3، تأكد من تعطيل التأمين. (في حالة تمكين مصادقة الويب على الطبقة 3، يتم تمكين مصادقة الويب المحلية، وليس مصادقة الويب المركزية.)
   
   التأكد من تعطيل الأمان
   
   
5. على علامة التبويب خوادم AAA، حدد خادم ISE كخادم RADIUS للشبكة المحلية اللاسلكية (WLAN). وبشكل إختياري، يمكنك تحديده للمحاسبة للحصول على معلومات أكثر تفصيلا حول ISE.
   
   تحديد خادم ISE
   
   
   
6.  على علامة التبويب خيارات متقدمة، تأكد من تحديد السماح بتجاوز AAA وتحديد RADIUS NAC لحالة NAC.
   
   تأكد من تحديد السماح بتجاوز AAA
   
   
7. إنشاء قائمة تحكم في الوصول (ACL) لإعادة التوجيه.
   
   تتم الإشارة إلى قائمة التحكم في الوصول (ACL) هذه في رسالة قبول الوصول الخاصة ب ISE وتحدد حركة المرور التي يجب إعادة توجيهها (رفضها بواسطة قائمة التحكم في الوصول (ACL)) وكذلك حركة المرور التي يجب عدم إعادة توجيهها (المسموح بها بواسطة قائمة التحكم في الوصول (ACL). وبشكل أساسي، يجب السماح بالحواسيب الرقمية (DNS) وحركة المرور من/إلى ISE
   

   تحذير: توجد مشكلة في نقاط الوصول FlexConnect APs وهي أنه يجب عليك إنشاء قائمة تحكم في الوصول (ACL) ل FlexConnect منفصلة عن قائمة التحكم في الوصول (ACL) العادية لديك. وثقت هذا إصدار في cisco بق id CSCue68065 وثابت في إطلاق 7.5. في WLC 7.5 وفيما بعد، فقط FlexACL مطلوب، ولا حاجة إلى قائمة تحكم في الوصول قياسية. تتوقع وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) أن تكون قائمة التحكم في الوصول (ACL) المعاد توجيهها بواسطة ISE قائمة تحكم في الوصول (ACL) عادية. ومع ذلك، لضمان عمله، يلزمك قائمة التحكم في الوصول (ACL) نفسها المطبقة على قائمة التحكم في الوصول (ACL) إلى FlexConnect (يمكن فقط لمستخدمي Cisco المسجلين الوصول إلى أدوات ومعلومات Cisco الداخلية.)

   
   يوضح هذا المثال كيفية إنشاء قائمة تحكم في الوصول (ACL) المسماة FlexConnect FlexRed:
   
   

   إنشاء قائمة تحكم في الوصول (ACL) المسماة FlexConnect

   
   
   

   1. قم بإنشاء قواعد للسماح بحركة مرور DNS وكذلك حركة المرور باتجاه ISE ورفض الباقي.
      السماح بحركة مرور DNS
      
      إن يريد أنت الحد الأقصى أمن، أنت يستطيع سمحت فقط ميناء 8443 باتجاه ISE. (إن posture، أنت ينبغي أضفت نموذجي وضعية ميناء، مثل 8905،8906،8909،8910.)
      
      
   2. (فقط في الرمز قبل الإصدار 7.5 بسبب IDCSCue68065 من Cisco) أختر أمان > قوائم التحكم في الوصول لإنشاء قائمة تحكم في الوصول (ACL) متطابقة بنفس الاسم.
      
      إنشاء قائمة تحكم في الوصول (ACL) متطابقة
      
      
   3. تجهيز نقطة الوصول FlexConnect AP المحددة. لاحظ أنه بالنسبة لعمليات نشر أكبر، فإنك تستخدم عادة مجموعات FlexConnect ولا تقوم بأداء هذه العناصر لكل نقطة وصول وذلك لأسباب تتعلق بقابلية التوسعة.
      
      
      1. انقر على لاسلكي ، وحدد نقطة الوصول المحددة.
      2. انقر فوق علامة التبويب FlexConnect، وانقر فوق قوائم التحكم في الوصول (ACL) الخارجية لمصادقة الويب . (قبل الإصدار 7.4، كان هذا الخيار يسمى سياسات الويب .)
         
         انقر فوق علامة التبويب FlexConnect
         
         
      3. إضافة قائمة التحكم في الوصول (ACL) (المسماة FlexRed في هذا المثال) إلى منطقة سياسات الويب. يؤدي هذا إلى دفع قائمة التحكم في الوصول (ACL) مسبقا إلى نقطة الوصول. لا يتم تطبيقها بعد، ولكن يتم منح محتوى قائمة التحكم في الوصول إلى نقطة الوصول حتى يمكن تطبيقها عند الحاجة.
         إضافة قائمة التحكم في الوصول (ACL) إلى منطقة سياسات الويب
         
         

اكتمل تكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) الآن.

تكوين ISE

إنشاء ملف تعريف التفويض

أكمل الخطوات التالية لإنشاء ملف تعريف التخويل:

1. انقر فوق السياسة، ثم انقر فوق عناصر السياسة.

2. انقر فوق النتائج.

3. قم بتوسيع التخويل، ثم انقر فوق ملف تعريف التخويل.

4. انقر فوق الزر إضافة لإنشاء ملف تعريف تخويل جديد لـ webauth المركزي.

5. في حقل الاسم، أدخِل اسمًا لملف التعريف. يستخدم هذا المثال CentralWebauth.

6. اختر ACCESS_ACCEPT من القائمة المنسدلة نوع الوصول.

7. حدد خانة الاختيار مصادقة الويب، واختر مصادقة الويب المركزية من القائمة المنسدلة.

8. في حقل قائمة التحكم في الوصول (ACL)، أدخل اسم قائمة التحكم في الوصول (ACL) على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) الذي يحدد حركة المرور التي سيتم إعادة توجيهها. تستخدم هذه الأمثلة تقنية FlexRed.

9. أختر الافتراضي من القائمة المنسدلة إعادة التوجيه.

تحدد سمة إعادة التوجيه ما إذا كان ISE يرى مدخل ويب الافتراضي أو مدخل ويب مخصص أنشأه مسؤول ISE. على سبيل المثال، تعمل قائمة التحكم في الوصول (ACL) المرنة في هذا المثال على تشغيل إعادة التوجيه على حركة مرور HTTP من العميل إلى أي مكان.

تقوم قائمة التحكم في الوصول (ACL) بتشغيل إعادة توجيه لحركة مرور HTTP من العميل إلى أي مكان

إنشاء قاعدة مصادقة

أكمل هذه الخطوات لاستخدام ملف تعريف المصادقة لإنشاء قاعدة المصادقة:

1. تحت قائمة "نهج"، انقر فوق المصادقة.

   توضح هذه الصورة مثالا لكيفية تكوين قاعدة سياسة المصادقة. في هذا المثال، يتم تكوين قاعدة سيتم تشغيلها عند اكتشاف تصفية MAC.
   
   

   كيفية تكوين قاعدة النهج

2. أدخل اسمًا لقاعدة المصادقة الخاصة بك. يستخدم هذا المثال Wireless MAB .
3. حدد أيقونة الزائد ( + ) في حقل شرط If.
4. أختر حالة مركبة ، ثم أختر Wireless_MAB .
5. أختر الوصول الافتراضي إلى الشبكة كبروتوكول مسموح به.
6. انقر فوق السهم الموجود بجوار و ... لتوسيع القاعدة بشكل أكبر.
7. انقر أيقونة + في حقل مصدر الهوية، واختر نقاط النهاية الداخلية.
8. أختر متابعة من القائمة المنسدلة إذا لم يتم العثور على المستخدم. 
   
   انقر فوق "متابعة"

يتيح هذا الخيار مصادقة الجهاز (من خلال مصادقة الويب) حتى إذا كان عنوان MAC الخاص به غير معروف. لا يزال بإمكان عملاء dot1x المصادقة باستخدام بيانات الاعتماد الخاصة بهم ويجب ألا يكونوا مهتمين بهذا التكوين.

إنشاء قاعدة تخويل

هناك الآن عدة قواعد للتكوين في نهج التخويل. عند اقتران الكمبيوتر الشخصي، سيتم إجراء تصفية MAC، ومن المفترض أن عنوان MAC غير معروف، لذلك يتم إرجاع مصادقة الويب وقائمة التحكم في الوصول (ACL). تظهر قاعدة MAC غير المعروفة هذه في الصورة التالية ويتم تكوينها في هذا القسم.

MAC غير معروف

أكمل الخطوات التالية لإنشاء قاعدة التخويل:

1. أنشئ قاعدة جديدة وأدخِل اسمًا. يستخدم هذا المثال MAC غير المعروف.

2. انقر أيقونة زائد (+) في حقل الشرط، واختر أن تنشئ شرط جديد.

3. قم بتوسيع القائمة المنسدلة بالتعبير.

4. أختر الوصول إلى الشبكة ، وقم بتمديده.

5. انقر فوق AuthenticationStatus، واختر المشغل يساوي.

6. أختر UnknownUser في الحقل الأيمن.

7. في صفحة "التخويل العام"، أختر CentralWebauth (ملف تعريف التخويل) في الحقل إلى يمين الكلمة ثم .

   وهذه الخطوة تسمح باستمرار ISE حتى وإن كان المستخدم (أو MAC) غير معروف.

   يتم الآن تقديم مستخدمين غير معروفين بصفحة تسجيل الدخول. ومع ذلك، بمجرد إدخال بيانات الاعتماد الخاصة بهم، يتم تقديمها مرة أخرى مع طلب مصادقة على ISE، لذلك، يجب تكوين قاعدة أخرى مع شرط يتم تلبيته إذا كان المستخدم ضيفا. في هذا المثال، إذا كان UserIdentityGroup يساوي Guestis مستخدم، ويفترض أن جميع الضيوف ينتمون إلى هذه المجموعة.

8. انقر زر الإجراءات الموجود في نهاية قاعدة MAC غير المعروفة، واختر إدراج قاعدة جديدة أعلاه.

   

   ملاحظة: من المهم جدا أن تأتي هذه القاعدة الجديدة قبل قاعدة MAC غير المعروفة.

9. أدخل المصادقة الثانية في حقل الاسم.

10. حدد مجموعة هوية كشرط. هاد المثال اختار ضيف.
    
    
11. في حقل الشرط، انقر أيقونة زائد ( + )، واختر أن يخلق شرط جديد.
    
    
12. اختر الوصول إلى الشبكة، وانقر فوق حالة الاستخدام.
    
    
13. اختر يساوي كمشغل.
    
    
14. اختر GuestFlow كمعامل صحيح. وهذا يعني أنك ستقبض على المستخدمين الذين قاموا بتسجيل الدخول للتو على صفحة الويب ثم يعودون بعد تغيير التفويض (جزء تدفق الضيف من القاعدة) وفقط إذا كانوا ينتمون إلى مجموعة هوية الضيف.
    
    
15. في صفحة التخويل، انقر فوق أيقونة زائد ( + ) (الموجودة بعد ذلك) لاختيار نتيجة للقاعدة الخاصة بك.
    
    في هذا المثال، يتم تعيين ملف تعريف تم تكوينه مسبقا (VLAN34)، ولا يتم عرض هذا التكوين في هذا المستند.
    
    أنت يستطيع أخترت يسمح منفذ خيار أو خلقت توصيف مخصص in order to رجعت ال VLAN أو شعار أن أنت تحبه.

تمكين تجديد IP (إختياري)

إذا قمت بتعيين شبكة VLAN، فإن الخطوة الأخيرة هي أن يقوم جهاز الكمبيوتر الخاص بالعميل بتجديد عنوان IP الخاص به. يتم تنفيذ هذه الخطوة من خلال بوابة الضيف لعملاء Windows. إذا لم تقم بتعيين شبكة VLAN لقاعدة AUTH الثانية مسبقًا، فيمكنك تخطي هذه الخطوة.

لاحظ أنه في نقاط الوصول FlexConnect APs، يلزم وجود شبكة VLAN مسبقا على نقطة الوصول نفسها. لذلك، إن لا، أنت يستطيع خلقت VLAN-ACL يخطط على ال AP نفسه أو على المجموعة flex حيث أنت لا يطبق أي ACL ل ال VLAN جديد أنت تريد أن يخلق. في الواقع، يؤدي ذلك إلى إنشاء شبكة VLAN (بدون قائمة تحكم في الوصول عليها).

إذا قمت بتعيين VLAN، أكمل هذه الخطوات لتمكين تجديد IP:

1. انقر فوق إدارة ، ثم انقر فوق إدارة الضيوف.

2. انقر فوق الإعدادات.

3. قم بتوسيع Guest ، ثم قم بتوسيع التكوين متعدد المنافذ.

4. انقر فوق DefaultGuestPortal أو اسم مدخل مخصص قمت بإنشائه.

5. انقر فوق مربع الاختيار إصدار VLAN DHCP.

طقطقت VLAN DHCP إطلاق تدقيق صندوق

تدفق حركة المرور

قد يبدو من الصعب فهم حركة المرور التي يتم إرسالها إلى أين في هذا السيناريو. فيما يلي مراجعة سريعة:

• يرسل العميل طلب اقتران عبر الهواء ل SSID.
• تعالج عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) مصادقة تصفية MAC باستخدام ISE (حيث يستلم سمات إعادة التوجيه).
• يتلقى العميل إستجابة ASSOC فقط بعد اكتمال تصفية MAC.
• يرسل العميل طلب DHCP ويتم تحويله محليا بواسطة نقطة الوصول للحصول على عنوان IP للموقع البعيد.
• في حالة central_webAuth، يتم تحويل حركة المرور التي تم وضع علامة لرفض قائمة التحكم في الوصول (ACL) المعاد توجيهها (حتى HTTP بشكل مركزي. إذا ليست نقطة الوصول هي التي تقوم بإعادة التوجيه ولكن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)؛ على سبيل المثال، عندما يطلب العميل أي موقع ويب، ترسل نقطة الوصول هذا إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) المضمن في CAPWAP ومزائف عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) التي تقوم بعنوان IP على موقع الويب وإعادة توجيهه نحو ISE.
• تتم إعادة توجيه العميل إلى URL لإعادة توجيه ISE. يتم تبديل هذا محليا مرة أخرى (لأنه يستخدم الإذن على قائمة التحكم في الوصول (ACL) المرنة لإعادة التوجيه).
• وبمجرد تشغيلها في حالة التشغيل، يتم تحويل حركة المرور محليا.

التحقق من الصحة

وبمجرد اقتران المستخدم ب SSID، يتم عرض التخويل في صفحة ISE.

يتم عرض التخويل

من الأسفل إلى الأعلى، يمكنك أن ترى مصادقة تصفية عنوان MAC التي ترجع خصائص CWA. التالي هو تسجيل الدخول إلى المدخل باسم المستخدم. بعد ذلك يرسل ISE CoA إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) والمصادقة الأخيرة هي مصادقة mac layer 2 على جانب عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، ولكن ISE يتذكر العميل واسم المستخدم ويطبق شبكة VLAN الضرورية التي قمنا بتكوينها في هذا المثال.

عند فتح أي عنوان على العميل، تتم إعادة توجيه المستعرض إلى ISE. تأكد من تكوين نظام اسم المجال (DNS) بشكل صحيح.

تمت إعادة التوجيه إلى ISE

يتم منح الوصول إلى الشبكة بعد قبول المستخدم للنهج.

تم منح الوصول إلى الشبكة

في وحدة التحكم، تتغير حالة مدير السياسة وحالة RADIUS NAC من Posture_REQD إلى Run.

معلومات ذات صلة

• الدعم الفني والتنزيلات من Cisco