ISE mit statischer Umleitung für isolierte Gastnetzwerke - Konfigurationsbeispiel

Download-Optionen

  • PDF     (787.0 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (619.2 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (614.7 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:23. April 2014
Dokument-ID:117620

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

Dieses Dokument beschreibt die Konfiguration der Cisco Identity Services Engine (ISE) mit statischer Umleitung für isolierte Gastnetzwerke, um die Redundanz aufrechtzuerhalten. Außerdem wird beschrieben, wie Sie den Richtlinienknoten so konfigurieren, dass den Clients keine nicht überprüfbare Zertifikatwarnung angezeigt wird.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

  • Cisco ISE Central Web Authentication (CWA) und alle zugehörigen Komponenten
  • Browser-Überprüfung der Gültigkeit von Zertifikaten
  • Cisco ISE Version 1.2.0.899 oder höher
  • Version des Cisco Wireless LAN Controllers (WLC) 7.2.110.0 oder höher (Version 7.4.100.0 oder höher wird bevorzugt)

Hinweis: CWA wird im Cisco Artikel Central Web Authentication (Zentrale Webauthentifizierung) im Konfigurationsbeispiel für den WLC und die ISE beschrieben.

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

  • Cisco ISE Version 1.2.0.899
  • Version von Cisco Virtual WLC (vWLC) 7.4.110.0
  • Cisco Adaptive Security Appliance (ASA)) Version 8.2.5

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen. 

Hintergrundinformationen

In vielen BYOD-Umgebungen (Bring Your Own Device) ist das Gastnetzwerk vom internen Netzwerk in einer demilitarisierten Zone (DMZ) vollständig isoliert. Häufig stellt der DHCP-Server in der Gast-DMZ den Gastbenutzern öffentliche DNS-Server (Domain Name System) zur Verfügung, da der einzige angebotene Dienst der Internetzugang ist.

Dies erschwert die Gastumleitung auf der ISE vor Version 1.2, da die ISE Clients zur Webauthentifizierung an den FQDN (Fully Qualified Domain Name) umleitet. Mit der ISE Version 1.2 und höher können Administratoren Gastbenutzer jedoch an eine statische IP-Adresse oder einen Hostnamen umleiten.

Konfigurieren

Netzwerkdiagramm

Dies ist ein logisches Diagramm.

Hinweis: Physisch befindet sich ein Wireless-Controller im internen Netzwerk, die Access Points (APs) befinden sich im internen Netzwerk und die Service Set Identification (SSID) ist am DMZ-Controller verankert. Weitere Informationen finden Sie in der Dokumentation zu den Cisco WLCs. 

Konfiguration

Die Konfiguration auf dem WLC bleibt gegenüber der normalen CWA-Konfiguration unverändert. Die SSID wird so konfiguriert, dass eine MAC-Filterung mit RADIUS-Authentifizierung möglich ist, und die RADIUS-Abrechnung verweist auf zwei oder mehr ISE-Richtlinienknoten.

Der Schwerpunkt dieses Dokuments liegt auf der ISE-Konfiguration.

Hinweis: In diesem Konfigurationsbeispiel sind die Richtlinienknoten jesse-dunkel (172.18.124.20) und jesse-maibock (172.18.124.21).

Der CWA-Fluss beginnt, wenn der WLC eine RADIUS MAC Authentication Bypass (MAB)-Anfrage an die ISE sendet. Die ISE antwortet mit einer Umleitungs-URL an den Controller, um HTTP-Datenverkehr an die ISE umzuleiten. Es ist wichtig, dass der RADIUS- und der HTTP-Datenverkehr zu demselben Policy Services Node (PSN) fließen, da die Sitzung auf einem einzigen PSN aufrechterhalten wird. Dies erfolgt in der Regel über eine einzelne Regel, und der PSN fügt einen eigenen Hostnamen in die CWA-URL ein. Bei einer statischen Umleitung müssen Sie jedoch eine Regel für jedes PSN erstellen, um sicherzustellen, dass der RADIUS- und der HTTP-Datenverkehr an dasselbe PSN gesendet werden.

Gehen Sie wie folgt vor, um die ISE zu konfigurieren:

  1. Richten Sie zwei Regeln ein, um den Client an die PSN-IP-Adresse umzuleiten. Navigieren Sie zu Policy > Policy Elements > Results > Authorization > Authorization Profiles (Richtlinie > Richtlinienelemente > Ergebnisse > Autorisierung > Autorisierungsprofile).

    Diese Bilder zeigen die Informationen für den Profilnamen DunkelGuestWireless:







    Diese Bilder zeigen die Informationen für den Profilnamen MaibockGuestWireless:







    Hinweis: Bei der ACL-PROVISION handelt es sich um eine lokale Zugriffskontrollliste, die auf dem WLC konfiguriert ist, damit der Client bei der Authentifizierung mit der ISE kommunizieren kann. Weitere Informationen finden Sie im Artikel Central Web Authentication (Zentrale Webauthentifizierung) auf dem WLC- und ISE-Konfigurationsbeispiel von Cisco.

  2. Konfigurieren Sie die Autorisierungsrichtlinien so, dass sie mit dem Attribut Network Access:ISE Host Name übereinstimmen, und stellen Sie das entsprechende Autorisierungsprofil bereit:



    Nachdem der Client an eine IP-Adresse umgeleitet wurde, erhalten Benutzer Zertifikatwarnungen, da die URL nicht mit den Informationen im Zertifikat übereinstimmt. Der FQDN im Zertifikat lautet beispielsweise jesse-dunkel.rtpaa.local, die URL lautet jedoch 172.18.124.20. Das nachfolgende Beispiel-Zertifikat ermöglicht dem Browser die Validierung des Zertifikats mit der IP-Adresse:



    Mithilfe von SAN-Einträgen (Subject Alternative Name) kann der Browser die URL überprüfen, die die IP-Adresse 172.18.124.20 enthält. Es müssen drei SAN-Einträge erstellt werden, um die verschiedenen Client-Inkompatibilitäten zu beheben.

  3. Erstellen Sie einen SAN-Eintrag für den DNS-Namen, und stellen Sie sicher, dass er mit dem CN=-Eintrag aus dem Feld "Subject" (Betreff) übereinstimmt.

  4. Erstellen Sie zwei Einträge, damit Clients die IP-Adresse überprüfen können. Diese Einträge gelten sowohl für den DNS-Namen der IP-Adresse als auch für die IP-Adresse, die im IP-Adressattribut angezeigt wird. Einige Clients verweisen nur auf den DNS-Namen. Andere akzeptieren keine IP-Adresse im DNS-Namensattribut, sondern verweisen auf das IP-Adressattribut.

    Hinweis: Weitere Informationen zur Zertifikatgenerierung finden Sie im Cisco Identity Services Engine Hardware Installation Guide, Release 1.2.

Überprüfung

Führen Sie die folgenden Schritte aus, um sicherzustellen, dass Ihre Konfiguration ordnungsgemäß funktioniert:

  1. Um sicherzustellen, dass beide Regeln funktionieren, legen Sie die Reihenfolge der ISE-PSNs, die im WLAN konfiguriert sind, manuell fest:



  2. Melden Sie sich bei der Gast-SSID an, navigieren Sie zu Operation > Authentications (Betrieb > Authentifizierungen in der ISE), und überprüfen Sie, ob die richtigen Autorisierungsregeln eingehalten werden:



    Die erste MAB-Authentifizierung wird dem DunkelGuestWireless-Autorisierungsprofil zugewiesen. Dies ist die Regel, die direkt zu jesse-dunkel umleitet, dem ersten ISE-Knoten. Nach der Anmeldung des Benutzers gguest01 wird die richtige endgültige Berechtigung für GuestPermit erteilt.

  3. Um die Authentifizierungssitzungen vom WLC zu löschen, trennen Sie das Client-Gerät vom Wireless-Netzwerk, navigieren Sie zu Monitor > Clients auf dem WLC, und löschen Sie die Sitzung vom Ausgang. Der WLC hält die inaktive Sitzung standardmäßig fünf Minuten lang aufrecht. Um einen gültigen Test durchführen zu können, müssen Sie also von vorne beginnen.

  4. Kehren Sie die Reihenfolge der ISE-PSNs unter der Gast-WLAN-Konfiguration um:



  5. Melden Sie sich bei der Gast-SSID an, navigieren Sie zu Operation > Authentications (Betrieb > Authentifizierungen in der ISE), und überprüfen Sie, ob die richtigen Autorisierungsregeln eingehalten werden:



    Für den zweiten Versuch wird das MaibockGuestWireless-Autorisierungsprofil für die erste MAB-Authentifizierung richtig festgelegt. Ähnlich wie beim ersten Versuch, jesse-dunkel (Schritt 2), trifft die Authentifizierung an jesse-maibock korrekt auf die GuestPermit für die endgültige Autorisierung. Da das GuestPermit-Autorisierungsprofil keine PSN-spezifischen Informationen enthält, kann eine einzige Regel für die Authentifizierung bei jedem PSN verwendet werden.

Fehlerbehebung

Das Fenster Authentifizierungsdetails ist eine leistungsstarke Ansicht, die jeden Schritt des Authentifizierungs-/Autorisierungsprozesses anzeigt. Um darauf zuzugreifen, navigieren Sie zu Operations > Authentications (Vorgänge > Authentifizierungen), und klicken Sie auf das Lupensymbol unter der Spalte Details (Details). In diesem Fenster können Sie überprüfen, ob die Bedingungen der Authentifizierungs-/Autorisierungsregel ordnungsgemäß konfiguriert wurden. 

In diesem Fall ist das Feld "Policy Server" der Hauptfokus. Dieses Feld enthält den Hostnamen des ISE PSN, über den die Authentifizierung erfolgt:

Vergleichen Sie den Policy Server-Eintrag mit der Regelbedingung, und stellen Sie sicher, dass die beiden übereinstimmen (bei diesem Wert wird die Groß-/Kleinschreibung berücksichtigt):

Hinweis: Denken Sie daran, dass Sie die Verbindung zum SSID trennen und den Client-Eintrag zwischen den Tests vom WLC löschen müssen.

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
23-Apr-2014
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Jesse Dubois
    Cisco TAC Engineer.

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.