Ejemplo de Configuración de ISE con Redirección Estática para Redes de Invitados Aisladas

Opciones de descarga

  • PDF     (785.1 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (620.5 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (616.3 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:23 de abril de 2014
ID del documento:117620

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe cómo configurar Cisco Identity Services Engine (ISE) con redirección estática para redes de invitados aisladas con el fin de mantener la redundancia. También describe cómo configurar el nodo de directivas para que no se muestre a los clientes una advertencia de certificado no verificable.

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Autenticación web central (CWA) de Cisco ISE y todos los componentes relacionados
  • Verificación de la validez del certificado por el explorador
  • ISE de Cisco Versión 1.2.0.899 o posterior
  • Versión del controlador de LAN inalámbrica de Cisco (WLC) 7.2.110.0 o posterior (se recomienda la versión 7.4.100.0 o posterior)

Nota: CWA se describe en el artículo de Cisco Autenticación web central en el ejemplo de configuración de WLC e ISE.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • ISE de Cisco Versión 1.2.0.899
  • Versión de Cisco Virtual WLC (vWLC) 7.4.110.0
  • Dispositivo de seguridad adaptable de Cisco (ASA)) Versión 8.2.5

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command. 

Antecedentes

En muchos entornos BYOD (del inglés Bring Your Own Device, traiga su propio dispositivo), la red para invitados está completamente aislada de la red interna en una zona desmilitarizada (DMZ). A menudo, el DHCP de la DMZ de invitado ofrece servidores de sistema de nombres de dominio (DNS) públicos a los usuarios invitados porque el único servicio que se ofrece es el acceso a Internet.

Esto dificulta la redirección de invitados en ISE antes de la versión 1.2, ya que ISE redirige a los clientes al nombre de dominio completo (FQDN) para la autenticación web. Sin embargo, con las versiones 1.2 y posteriores de ISE, los administradores pueden redirigir a los usuarios invitados a una dirección IP estática o a un nombre de host.

Configurar

Diagrama de la red

Este es un diagrama lógico.

Nota: físicamente, hay un controlador inalámbrico en la red interna, los puntos de acceso (AP) están en la red interna y la identificación del conjunto de servicios (SSID) está anclada al controlador DMZ. Consulte la documentación para los WLCs de Cisco para obtener más información. 

Configuración

La configuración en el WLC permanece sin cambios respecto a una configuración normal de CWA. El SSID se configura para permitir el filtrado de MAC con autenticación RADIUS y las cuentas RADIUS apuntan hacia dos o más nodos de políticas ISE.

Este documento se centra en la configuración de ISE.

Nota: En este ejemplo de configuración, los nodos de política son jesse-dunkel (172.18.124.20) y jesse-maibock (172.18.124.21).

El flujo CWA comienza cuando el WLC envía una solicitud RADIUS MAC Authentication Bypass (MAB) al ISE. El ISE responde con una URL de redirección al controlador para redirigir el tráfico HTTP al ISE. Es importante que el tráfico RADIUS y HTTP vaya al mismo nodo de servicios de políticas (PSN), ya que la sesión se mantiene en un único PSN. Normalmente, esto se realiza con una sola regla y PSN inserta su propio nombre de host en la URL de CWA. Sin embargo, con un redireccionamiento estático, debe crear una regla para cada PSN para asegurarse de que el tráfico RADIUS y HTTP se envíen al mismo PSN.

Complete estos pasos para configurar el ISE:

  1. Configure dos reglas para redirigir al cliente a la dirección IP de PSN. Vaya a Política > Elementos de política > Resultados > Autorización > Perfiles de autorización.

    Estas imágenes muestran la información del nombre de perfil DunkelGuestWireless:







    Estas imágenes muestran la información para el nombre de perfil MaibockGuestWireless:







    Nota: ACL-PROVISION es una lista de control de acceso (ACL) local que se configura en el WLC para permitir que el cliente se comunique con ISE en la autenticación. Refiérase al artículo Autenticación Web Central en el Ejemplo de Configuración de WLC e ISE de Cisco para obtener más información.

  2. Configure las políticas de autorización de modo que coincidan en el atributo Network Access:ISE Host Name y proporcione el perfil de autorización adecuado:



    Ahora que el cliente se redirige a una dirección IP, los usuarios reciben advertencias de certificado porque la dirección URL no coincide con la información del certificado. Por ejemplo, el FQDN en el certificado es jesse-dunkel.rtpaaa.local, pero la URL es 172.18.124.20. A continuación se muestra un ejemplo de certificado que permite al explorador validar el certificado con la dirección IP:



    Con el uso de entradas de nombre alternativo de asunto (SAN), el navegador puede validar la URL que incluye la dirección IP 172.18.124.20. Se deben crear tres entradas SAN para abordar las diversas incompatibilidades del cliente.

  3. Cree una entrada SAN para el nombre DNS y asegúrese de que coincida con la entrada CN= del campo Subject (Asunto).

  4. Cree dos entradas para permitir que los clientes validen la dirección IP; éstas son tanto para el nombre DNS de la dirección IP como para la dirección IP que aparece en el atributo Dirección IP. Algunos clientes sólo hacen referencia al nombre DNS. Otros usuarios no aceptan una dirección IP en el atributo Nombre DNS, sino que hacen referencia al atributo Dirección IP.

    Nota: para obtener más información sobre la generación de certificados, consulte la Guía de instalación de hardware de Cisco Identity Services Engine, versión 1.2.

Verificación

Complete estos pasos para confirmar que su configuración funciona correctamente:

  1. Para verificar que ambas reglas sean funcionales, establezca manualmente el orden de las PSN de ISE que se configuran en la WLAN:



  2. Inicie sesión en el SSID de invitado, navegue hasta Operation > Authentications en ISE y verifique que se cumplan las reglas de autorización correctas:



    La autenticación MAB inicial se otorga al perfil de autorización DunkelGuestWireless. Esta es la regla que redirige específicamente a jesse-dunkel, que es el primer nodo de ISE. Una vez que el usuario guest01 inicia sesión, se le otorga el permiso final correcto de GuestPermit.

  3. Para borrar las sesiones de la autenticación del WLC, desconecte el dispositivo del cliente de la red inalámbrica, navegue a Monitor > Clients en el WLC, y elimine la sesión de la salida. El WLC mantiene la sesión inactiva durante cinco minutos por defecto, así que para realizar una prueba válida, usted debe comenzar de nuevo.

  4. Invertir el orden de las PSN de ISE en la configuración de WLAN de invitado:



  5. Inicie sesión en el SSID de invitado, navegue hasta Operation > Authentications en ISE y verifique que se cumplan las reglas de autorización correctas:



    Para el segundo intento, el perfil de autorización MaibockGuestWireless se encuentra correctamente seleccionado para la autenticación MAB inicial. De manera similar al primer intento de jesse-dunkel (Paso 2), la autenticación a jesse-maibock golpea correctamente el GuestPermit para la autorización final. Debido a que no hay información específica de PSN en el perfil de autorización GuestPermit, se puede utilizar una sola regla para la autenticación en cualquier PSN.

Troubleshoot

La ventana Detalles de autenticación es una vista potente que muestra cada paso del proceso de autenticación/autorización. Para acceder a él, navegue hasta Operaciones > Autenticaciones y haga clic en el icono de lupa debajo de la columna Detalles. Utilice esta ventana para verificar que las condiciones de la regla de autenticación/autorización estén configuradas correctamente. 

En este caso, el campo Servidor de políticas es el área principal de interés. Este campo contiene el nombre de host de ISE PSN por el que se atiende la autenticación:

Compare la entrada de Policy Server con la condición de regla y asegúrese de que las dos coincidan (este valor distingue entre mayúsculas y minúsculas):

Nota: Es importante recordar que debe desconectarse del SSID y borrar la entrada del cliente del WLC entre las pruebas.

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
23-Apr-2014
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Jesse Dubois
    Cisco TAC Engineer.

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos