Configuratievoorbeeld van Central Web Verification met een Switch en Identity Services Engine

Inleiding

Dit document beschrijft hoe u de centrale webverificatie kunt configureren met bekabelde clients die met switches zijn verbonden met behulp van Identity Services Engine (ISE).

Het concept van centrale webverificatie is in strijd met lokale webverificatie, die de gebruikelijke webverificatie op de switch zelf is. In dat systeem, bij dot1x/mab-storing, zal de switch failover naar het webauth-profiel en omleiden van client verkeer naar een webpagina op de switch.

De centrale webauthenticatie biedt de mogelijkheid om een centraal apparaat te hebben dat fungeert als een webportaal (in dit voorbeeld, de ISE). Het belangrijkste verschil in vergelijking met de gebruikelijke lokale webverificatie is dat deze is verschoven naar Layer 2 samen met mac/dot1x-verificatie. Het concept verschilt ook in die zin dat de radiusserver (ISE in dit voorbeeld) speciale attributen teruggeeft die aan de switch aangeven dat een webomleiding moet plaatsvinden. Deze oplossing heeft het voordeel om elke vertraging te elimineren die nodig was voor web authenticatie om te kick. Als het MAC-adres van het clientstation niet bekend is bij de radiusserver (maar er kunnen ook andere criteria worden gebruikt), geeft de server de omleidingskenmerken terug en de switch autoriseert het station (via MAC-verificatie-omleiding [MAB]) maar plaatst een toegangslijst om het webverkeer naar het portal om te leiden. Zodra de gebruiker inlogt op het gastportaal, is het mogelijk via CoA (Verandering van Vergunning) om de switch poort te stuiteren zodat een nieuwe Layer 2 MAB-verificatie plaatsvindt. De ISE kan dan onthouden dat het een webauth-gebruiker was en Layer 2-attributen (zoals dynamische Van-toewijzing) toepassen op de gebruiker. Een ActiveX-component kan de client-pc ook dwingen zijn IP-adres te vernieuwen.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Identity Services Engine (ISE)

• Cisco IOS^® switch-configuratie

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Cisco Identity Services Engine (ISE), release 1.1.1

• Cisco Catalyst 3560 Series Switch waarin softwareversie 12.2.55SE3 wordt uitgevoerd

Opmerking: de procedure is gelijk of gelijk voor andere Catalyst switch-modellen. U kunt deze stappen gebruiken op alle Cisco IOS-softwarereleases voor Catalyst, tenzij anders vermeld.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Configureren

Overzicht

De ISE-configuratie bestaat uit de volgende vijf stappen:

1. Maak de downloadbare toegangscontrolelijst (ACL).
2. Maak het autorisatieprofiel aan.
3. Maak een verificatieregel aan.
4. Maak een autorisatieregel aan.
5. Schakel de IP-vernieuwing in (optioneel).

De downloadbare ACL maken

Dit is geen verplichte stap. De omleiden ACL die met het centrale webauteprofiel wordt teruggestuurd bepaalt welk verkeer (HTTP of HTTPS) aan ISE wordt opnieuw gericht. Met de downloadbare ACL kunt u bepalen welk verkeer is toegestaan. U moet doorgaans DNS, HTTP(S) en 8443 toestaan en de rest ontkennen. Anders wordt HTTP-verkeer door de switch omgeleid, maar worden andere protocollen toegestaan.

Voltooi deze stappen om de downloadbare ACL te maken:

1. Klik op Beleid en klik op Beleidselementen.
2. Klik op Resultaten.
3. Licentie uitvouwen en op Downloadbare ACL’s klikken.
4. Klik op de knop Add om een nieuwe downloadbare ACL te maken.
5. Voer in het veld Naam een naam in voor de DACL. Dit voorbeeld gebruikt myDACL.

Dit beeld toont typische DACL-inhoud, die het volgende toestaat:

• DNS - lost de ISE-portal hostnaam op
• HTTP en HTTPS - omleiding toestaan
• TCP-poort 8443 - fungeren als de guest portal
  

Het autorisatieprofiel maken

Voltooi de volgende stappen om het autorisatieprofiel te maken:

1. Klik op Beleid en klik op Beleidselementen.
2. Klik op Resultaten.
3. Breid Autorisatie uit en klik op Autorisatieprofiel.
4. Klik op de knop Toevoegen om een nieuw autorisatieprofiel voor de centrale webauth te maken.
5. Voer in het veld Naam een naam in voor het profiel. In dit voorbeeld wordt CentralWebauth gebruikt.
6. Kies ACCESS_ACCEPTEREN in de vervolgkeuzelijst Toegangstype.
7. Schakel het selectievakje Web Verification in en kies Gecentraliseerd in de vervolgkeuzelijst.
8. Voer in het veld ACL de naam van de ACL in op de switch waarin het verkeer wordt gedefinieerd dat moet worden omgeleid. In dit voorbeeld wordt omleiding gebruikt.
9. Kies Standaard in de vervolgkeuzelijst Redirect.
10. Controleer het selectievakje DACL-naam en kies myDACL in de vervolgkeuzelijst als u besluit een DACL te gebruiken in plaats van een statische poortACL op de switch.

Het kenmerk Redirect bepaalt of de ISE de standaard webportal ziet of een aangepaste webportal die de ISE-beheerder heeft gemaakt. Met de omleiding van ACL in dit voorbeeld wordt bijvoorbeeld een omleiding van HTTP- of HTTPS-verkeer van de client naar een andere locatie geactiveerd. ACL wordt op de switch later in dit configuratievoorbeeld bepaald.

Een verificatieregel maken

Voltooi de volgende stappen om het verificatieprofiel te gebruiken om de verificatieregel te maken:

1. Klik in het menu Beleid op Verificatie.
   
   Deze afbeelding toont een voorbeeld van hoe de verificatieregelgeving te configureren. In dit voorbeeld wordt een regel ingesteld die activeert wanneer MAB wordt gedetecteerd.
   
   
2. Voer een naam in voor de verificatieregel. Dit voorbeeld gebruikt MAB.
3. Selecteer het plusteken (+) in het veld Als.
4. Kies Samengestelde voorwaarde, en kies Wired_MAB.
5. Klik op de pijl naast en ... om de regel verder uit te vouwen.
6. Klik op het pictogram + in het veld Identity Source en kies Interne endpoints.
7. Kies Doorgaan in de vervolgkeuzelijst 'Als gebruiker niet gevonden'.
   
   Deze optie maakt het mogelijk om een apparaat te authenticeren (via webauth) zelfs als het MAC-adres niet bekend is. Dot1x-clients kunnen nog steeds authenticeren met hun referenties en moeten niet betrokken zijn bij deze configuratie.

Een autorisatieregel aanmaken

Er zijn nu verscheidene regels in het vergunningsbeleid te vormen. Wanneer de PC is aangesloten, gaat het door MAB; er wordt aangenomen dat het MAC-adres niet bekend is, dus de webauth en ACL worden teruggegeven. Deze niet bekende regel voor MAC wordt in deze afbeelding getoond en in deze sectie geconfigureerd:

Voltooi de volgende stappen om de autorisatieregel te maken:

1. Maak een nieuwe regel en voer een naam in. In dit voorbeeld wordt onbekend MAC gebruikt.
2. Klik op het pictogram plus (+) in het veld Voorwaarden en kies om een nieuwe voorwaarde te maken.
3. Breid de vervolgkeuzelijst expressie uit.
4. Kies Netwerktoegang en breid deze uit.
5. Klik op Authenticatiestatus en kies de operator Gelijk.
6. Kies Onbekende gebruiker in het rechterveld.
7. Kies op de pagina Algemene autorisatie CentralWebauth (Autorisatieprofiel) in het veld rechts van het woord dan.
   
   Met deze stap kan de ISE doorgaan, ook al is de gebruiker (of de MAC) niet bekend.
   
   Onbekende gebruikers worden nu voorgesteld met de Login pagina. Echter, zodra ze hun referenties invoeren, worden ze opnieuw gepresenteerd met een authenticatieverzoek op de ISE; daarom moet een andere regel worden geconfigureerd met een voorwaarde die wordt voldaan als de gebruiker een gastgebruiker is. In dit voorbeeld wordt Als UseridentiteitsGroup Gast evenaart, aangenomen dat alle gasten tot deze groep behoren.
8. Klik op de knop Acties aan het einde van de MAC onbekende regel en kies ervoor om een nieuwe regel toe te voegen.
   
   

   Opmerking: Het is erg belangrijk dat deze nieuwe regel vóór de onbekend regel van de MAC komt.

9. Voer een naam in voor de nieuwe regel. Dit voorbeeld gebruikt IS-a-GUEST.
10. Kies een voorwaarde die overeenkomt met uw gastgebruikers.
    
    In dit voorbeeld wordt gebruik gemaakt van InternalUser:IdentityGroup Equals Guest omdat alle gastgebruikers gebonden zijn aan de Guest group (of een andere groep die u hebt geconfigureerd in uw sponsor-instellingen).
11. Kies PermitAccess in het resultaatvak (dan rechts van het woord).
    
    Wanneer de gebruiker geautoriseerd is op de inlogpagina, start ISE een Layer 2-verificatie op de switch-poort opnieuw op en treedt er een nieuwe MAB op. In dit scenario is het verschil dat er een onzichtbare vlag is ingesteld voor ISE om te onthouden dat het een gast-geverifieerde gebruiker was. Deze regel is 2e AUTH, en de voorwaarde is Network Access:UseCase is gelijk aan GuestFlow. Aan deze voorwaarde wordt voldaan wanneer de gebruiker via webauth authenticeert en de switch poort opnieuw wordt ingesteld voor een nieuwe MAB. U kunt alle gewenste kenmerken toewijzen. Dit voorbeeld wijst een profiel vlan90 toe zodat de gebruiker VLAN 90 in zijn tweede MAB-verificatie krijgt toegewezen.
12. Klik op Acties (aan het einde van de IS-a-GUEST-regel) en kies Nieuwe regel invoegen hierboven.
13. Voer in het veld Naam 2nd AUTH in.
14. Klik in het veld Voorwaarde op het pictogram plus (+) en kies voor een nieuwe voorwaarde.
15. Kies Netwerktoegang en klik op UseCase.
16. Kies Gelijk als de operator.
17. Kies GuestFlow als de juiste operand.
18. Klik op de autorisatiepagina op het plusteken (+) (naast dan) om een resultaat voor uw regel te kiezen.
    
    In dit voorbeeld wordt een voorgeconfigureerd profiel (vlan90) toegewezen; deze configuratie wordt niet in dit document weergegeven.
    
    U kunt een optie Toegang toestaan kiezen of een aangepast profiel maken om het VLAN of de kenmerken die u wilt, te retourneren.

IP-verlenging inschakelen (optioneel)

Als u een VLAN toewijst, is de laatste stap voor de client-pc om zijn IP-adres te vernieuwen. Deze stap wordt bereikt door het gastportaal voor Windows-clients. Als u geen VLAN hebt ingesteld voor de tweede AUTH-regel eerder, kunt u deze stap overslaan.

Als u een VLAN hebt toegewezen, moet u deze stappen uitvoeren om IP-vernieuwing in te schakelen:

1. Klik op Beheer en klik op Gastbeheer.
2. Klik op Instellingen.
3. Gast uitvouwen en multi-portal configuratie uitbreiden.
4. Klik op DefaultGuestPortal of de naam van een aangepaste portal die u mogelijk hebt gemaakt.
5. Klik op het vakje VLAN DHCP Releasecheck.

   Opmerking: deze optie werkt alleen voor Windows-clients.

Switch-configuratie (fragment)

In deze sectie vindt u een fragment van de switch-configuratie. Zie Switch Configuration (Full) voor de volledige configuratie.

Deze steekproef toont een eenvoudige configuratie MAB.

interface GigabitEthernet1/0/12
description ISE1 - dot1x clients - UCS Eth0
switchport access vlan 100
switchport mode access
ip access-group webauth in
authentication order mab
authentication priority mab
authentication port-control auto
mab
spanning-tree portfast
end

VLAN 100 is het VLAN dat de volledige netwerkconnectiviteit biedt. Een standaard poort ACL (genaamd webauth) wordt toegepast en gedefinieerd zoals hier weergegeven:

ip access-list extended webauth
permit ip any any

Deze voorbeeldconfiguratie geeft volledige netwerktoegang, zelfs als de gebruiker niet is geverifieerd. Daarom kunt u de toegang tot niet-geverifieerde gebruikers beperken.

In deze configuratie werken HTTP en HTTPS-browsen niet zonder verificatie (volgens de andere ACL) omdat ISE is geconfigureerd om een omleidingsACL te gebruiken (genaamd omleiden). Dit is de omschrijving op de switch:

ip access-list extended redirect
deny ip any host <ISE ip address>
permit TCP any any eq www
permit TCP any any eq 443

Deze toegangslijst moet op de switch worden gedefinieerd om te definiëren op welk verkeer de switch de omleiding zal uitvoeren. (Vergelijken op vergunning.) In dit voorbeeld wordt elk HTTP- of HTTPS-verkeer dat de client verzendt, geactiveerd door een webomleiding. Dit voorbeeld ontkent ook het IP-adres van ISE, zodat het verkeer naar de ISE naar de ISE gaat en niet in een lus omleidt. (In dit scenario, ontken blokkeert niet het verkeer; het richt enkel niet het verkeer.) Als u ongebruikelijke HTTP-poorten of een proxy gebruikt, kunt u andere poorten toevoegen.

Een andere mogelijkheid is om HTTP toegang te geven tot sommige websites en andere websites om te leiden. Bijvoorbeeld, als u in ACL een vergunning voor interne webservers slechts bepaalt, konden de cliënten het Web doorbladeren zonder voor authentiek te verklaren maar zouden de redirect ontmoeten als zij proberen om tot een interne webserver toegang te hebben.

De laatste stap is CoA op de switch toe te staan. Anders kan de ISE de switch niet dwingen de client opnieuw te verifiëren.

aaa server radius dynamic-author
     client <ISE ip address> server-key <radius shared secret>

Deze opdracht is vereist om de switch om te leiden op basis van HTTP-verkeer:

ip http server

Deze opdracht is vereist om te worden omgeleid op basis van HTTPS-verkeer:

ip http secure-server

Deze opdrachten zijn ook belangrijk:

radius-server vsa send authentication
radius-server vsa send accounting

Als de gebruiker nog niet is geverifieerd, geeft de verificatiesessie voor de show in <interface num> deze uitvoer terug:

01-SW3750-access#show auth sess int gi1/0/12
            Interface:  GigabitEthernet1/0/12
          MAC Address:  000f.b049.5c4b
           IP Address:  192.168.33.201
            User-Name:  00-0F-B0-49-5C-4B
               Status:  Authz Success
               Domain:  DATA
      Security Policy:  Should Secure
      Security Status:  Unsecure
       Oper host mode:  single-host
     Oper control dir:  both
        Authorized By:  Authentication Server
          Vlan Policy:  N/A
              ACS ACL:  xACSACLx-IP-myDACL-51519b43
     URL Redirect ACL:  redirect
         URL Redirect:  https://ISE2.wlaaan.com:8443/guestportal/gateway?
                        sessionId=C0A82102000002D8489E0E84&action=cwa
      Session timeout:  N/A
         Idle timeout:  N/A
    Common Session ID:  C0A82102000002D8489E0E84
      Acct Session ID:  0x000002FA
               Handle:  0xF60002D9

Runnable methods list:

       Method   State
       mab      Authc Success

Opmerking: Ondanks een succesvolle MAB-verificatie, wordt de omleiding ACL geplaatst omdat het MAC-adres niet bekend was bij de ISE.

Switch-configuratie (volledig)

In deze sectie vindt u de volledige configuratie van de switch. Sommige onnodige interfaces en opdrachtregels zijn weggelaten; daarom dient deze voorbeeldconfiguratie alleen als referentie te worden gebruikt en niet te worden gekopieerd.

Building configuration...
 
Current configuration : 6885 bytes
!
version 15.0
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
no service password-encryption
!
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$xqtx$VPsZHbpGmLyH/EOObPpla.
!
aaa new-model
!
!
aaa group server radius newGroup
!
aaa authentication login default local
aaa authentication dot1x default group radius
aaa authorization exec default none
aaa authorization network default group radius
!
!
!
!
aaa server radius dynamic-author
client 192.168.131.1 server-key cisco
!
aaa session-id common
clock timezone CET 2 0
system mtu routing 1500
vtp interface Vlan61
udld enable
 
nmsp enable
ip routing
ip dhcp binding cleanup interval 600
!
!
ip dhcp snooping
ip device tracking
!
!
crypto pki trustpoint TP-self-signed-1351605760
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1351605760
revocation-check none
rsakeypair TP-self-signed-1351605760
!
!
crypto pki certificate chain TP-self-signed-1351605760
certificate self-signed 01
  30820245 308201AE A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 31333531 36303537 3630301E 170D3933 30333031 30303033
  35385A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 33353136
  30353736 3030819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  8100B068 86D31732 E73D2FAD 05795D6D 402CE60A B93D4A88 C98C3F54 0982911D
  D211EC23 77734A5B 7D7E5684 388AD095 67354C95 92FD05E3 F3385391 8AB9A866
  B5925E04 A846F740 1C9AC0D9 6C829511 D9C5308F 13C4EA86 AF96A94E CD57B565
  92317B2E 75D6AB18 04AC7E14 3923D3AC 0F19BC6A 816E6FA4 5F08CDA5 B95D334F
  DA410203 010001A3 6D306B30 0F060355 1D130101 FF040530 030101FF 30180603
  551D1104 11300F82 0D69696C 796E6173 2D333536 302E301F 0603551D 23041830
  16801457 D1216AF3 F0841465 3DDDD4C9 D08E06C5 9890D530 1D060355 1D0E0416
  041457D1 216AF3F0 8414653D DDD4C9D0 8E06C598 90D5300D 06092A86 4886F70D
  01010405 00038181 0014DC5C 2D19D7E9 CB3E8ECE F7CF2185 32D8FE70 405CAA03
 
dot1x system-auth-control
dot1x critical eapol
!
!
!
errdisable recovery cause bpduguard
errdisable recovery interval 60
!
spanning-tree mode pvst
spanning-tree logging
spanning-tree portfast bpduguard default
spanning-tree extend system-id
spanning-tree vlan 1-200 priority 24576
!
vlan internal allocation policy ascending
lldp run
!
!
!
!
!
!
interface FastEthernet0/2
switchport access vlan 33
switchport mode access
authentication order mab
authentication priority mab
authentication port-control auto
mab
spanning-tree portfast
!
interface Vlan33
ip address 192.168.33.2 255.255.255.0
!
ip default-gateway 192.168.33.1
ip http server
ip http secure-server
!
ip route 0.0.0.0 0.0.0.0 192.168.33.1
!
ip access-list extended MY_TEST
permit ip any any
ip access-list extended redirect
deny   ip any host 192.168.131.1
permit tcp any any eq www
permit tcp any any eq 443
ip access-list extended webAuthList
permit ip any any
!
ip sla enable reaction-alerts
logging esm config
logging trap warnings
logging facility auth
logging 10.48.76.31
snmp-server community c3560public RO
snmp-server community c3560private RW
snmp-server community private RO
radius-server host 192.168.131.1 auth-port 1812 acct-port 1813 key cisco
radius-server vsa send authentication
radius-server vsa send accounting
!
!
!
privilege exec level 15 configure terminal
privilege exec level 15 configure
privilege exec level 2 debug radius
privilege exec level 2 debug aaa
privilege exec level 2 debug
!
line con 0
line vty 0 4
exec-timeout 0 0
password Cisco123
authorization commands 1 MyTacacs
authorization commands 2 MyTacacs
authorization commands 15 MyTacacs
authorization exec MyTacacs
login authentication MyTacacs
line vty 5 15
!
ntp server 10.48.76.33
end

Configuratie HTTP-proxy

Als u een HTTP proxy voor uw klanten gebruikt, betekent dit dat uw klanten:

• Gebruik een onconventionele poort voor HTTP-protocol
• Stuur al hun verkeer naar die proxy

Gebruik de volgende opdrachten om de switch op de onconventionele poort te laten luisteren (bijvoorbeeld 8080):

ip http port 8080
ip port-map http port 8080

U moet ook alle clients configureren om hun proxy te blijven gebruiken, maar de proxy niet te gebruiken voor het ISE IP-adres. Alle browsers bevatten een functie waarmee u hostnamen of IP-adressen kunt invoeren die de proxy niet mogen gebruiken. Als u de uitzondering voor de ISE niet toevoegt, komt u een pagina voor lusverificatie tegen.

U moet ook uw omleidingsACL aanpassen om de proxypoort toe te staan (8080 in dit voorbeeld).

Belangrijke opmerking over Switch SVI’s

Op dit moment heeft de switch een switch virtual interface (SVI) nodig om te kunnen reageren op de client en de webportaalomleiding naar de client te kunnen versturen. Dit SVI hoeft niet per se op het clientsubnet/VLAN te staan. Als de switch echter geen SVI in het clientsubnetnummer/VLAN heeft, moet hij een van de andere SVI's gebruiken en verkeer verzenden zoals gedefinieerd in de routeringstabel voor clients. Dit betekent doorgaans dat het verkeer naar een andere gateway in de kern van het netwerk wordt verzonden; dit verkeer komt terug naar de access switch binnen het clientsubsysteem.

Firewalls blokkeren doorgaans verkeer van en naar dezelfde switch, zoals in dit scenario, zodat omleiding mogelijk niet goed werkt. Werkbalken zijn bedoeld om dit gedrag op de firewall toe te staan of om een SVI te maken op de access switch in het clientsubnetje.

Belangrijke opmerking over HTTPS-omleiding

Switches kunnen HTTPS-verkeer doorsturen. Als de gastclient een startpagina heeft in HTTPS, gebeurt de omleiding dus correct.

Het hele concept van omleiding is gebaseerd op het feit dat een apparaat (in dit geval de switch) het IP-adres van de website negeert. Er doet zich echter een groot probleem voor wanneer de switch HTTPS-verkeer onderschept en omleidt, omdat de switch alleen zijn eigen certificaat kan tonen in de TLS-handdruk (Transport Layer Security). Aangezien dit niet hetzelfde certificaat is als de oorspronkelijk gevraagde website, geven de meeste browsers belangrijke waarschuwingen. De browsers behandelen correct de omleiding en de presentatie van een ander certificaat als veiligheidszorg. Er is geen oplossing voor dit, en er is geen manier voor de switch om uw originele website certificaat te parasiteren.

Eindresultaat

De client-pc plugt in en voert MAB uit. Het MAC-adres is niet bekend, dus ISE duwt de omleidingskenmerken terug naar de switch. De gebruiker probeert naar een website te gaan en wordt doorgestuurd.

Wanneer de authenticatie van de inlogpagina succesvol is, stuit de ISE op de switchport via Change Of Authorisation, die opnieuw begint met een Layer 2 MAB-verificatie.

De ISE weet echter dat het een voormalige webauth-client is en autoriseert de client op basis van de webauth-referenties (hoewel dit een Layer 2-verificatie is).

In de ISE-verificatielogboeken wordt de MAB-verificatie onder in het logbestand weergegeven. Hoewel het onbekend is, is het MAC-adres geverifieerd en geprofileerd en zijn de webauth-kenmerken teruggegeven. Vervolgens wordt verificatie uitgevoerd met de gebruikersnaam van de gebruiker (dat wil zeggen, de gebruiker typt zijn referenties op de inlogpagina). Direct na verificatie vindt een nieuwe Layer 2-verificatie plaats met de gebruikersnaam als referenties; deze verificatiestap is de plaats waar u kenmerken zoals dynamisch VLAN kunt retourneren.

Verifiëren

Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.

Problemen oplossen

Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.

Gerelateerde informatie

• Cisco Identity Services Engine
• Opdrachtshandleiding voor Cisco Identity Services Engine
• Integratie van ISE (Identity Services Engine) met Cisco WLC (draadloze LAN-controller)
• Requests for Comments (RFC’s)
• Technische ondersteuning en documentatie – Cisco Systems