Exemplo de configuração do ISE com redirecionamento estático para redes de convidado isoladas

Opções de download

  • PDF     (785.8 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (620.9 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (616.8 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:23 de abril de 2014
ID do documento:117620

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve como configurar o Cisco Identity Services Engine (ISE) com redirecionamento estático para redes de convidado isoladas para manter a redundância. Ele também descreve como configurar o nó de política para que os clientes não recebam um aviso de certificado não verificável.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Cisco ISE Central Web Authentication (CWA) e todos os componentes relacionados
  • Verificação do navegador da validade do certificado
  • Cisco ISE Versão 1.2.0.899 ou posterior
  • Versão do Cisco Wireless LAN Controller (WLC) 7.2.110.0 ou posterior (a versão 7.4.100.0 ou posterior é preferível)

Observação: o CWA é descrito no artigo Central Web Authentication on the WLC and ISE Configuration Example da Cisco.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco ISE Versão 1.2.0.899
  • Versão do Cisco Virtual WLC (vWLC) 7.4.110.0
  • Cisco Adaptive Security Appliance (ASA)) Versão 8.2.5

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando. 

Informações de Apoio

Em muitos ambientes de consumerização de TI, a rede de convidados é totalmente isolada da rede interna em uma DMZ (Zona desmilitarizada). Frequentemente, o DHCP no DMZ convidado oferece servidores públicos de Sistema de Nome de Domínio (DNS) aos usuários convidados, pois o único serviço oferecido é o acesso à Internet.

Isso dificulta o redirecionamento de convidados no ISE antes da versão 1.2, pois o ISE redireciona clientes para o Fully Qualified Domain Name (FQDN) para autenticação da Web. No entanto, com as versões 1.2 e posteriores do ISE, os administradores podem redirecionar usuários convidados para um endereço IP estático ou nome de host.

Configurar

Diagrama de Rede

Este é um diagrama lógico.

Observação: fisicamente, há um controlador sem fio na rede interna, os pontos de acesso (APs) estão na rede interna e o Service Set Identification (SSID) está ancorado no controlador DMZ. Consulte a documentação das Cisco WLCs para obter mais informações. 

Configuração

A configuração na WLC permanece inalterada em relação a uma configuração normal do CWA. O SSID é configurado para permitir a filtragem MAC com autenticação RADIUS e a contabilização RADIUS aponta para dois ou mais nós de política do ISE.

Este documento concentra-se na configuração do ISE.

Observação: neste exemplo de configuração, os nós de política são jesse-dunkel (172.18.124.20) e jesse-maibock (172.18.124.21).

O fluxo do CWA começa quando o WLC envia uma solicitação RADIUS MAC Authentication Bypass (MAB) ao ISE. O ISE responde com um URL de redirecionamento para o controlador para redirecionar o tráfego HTTP para o ISE. É importante que o tráfego RADIUS e HTTP vá para o mesmo Nó de Serviços de Política (PSN) porque a sessão é mantida em um único PSN. Isso normalmente é executado com uma única regra, e o PSN insere seu próprio nome de host no URL do CWA. No entanto, com um redirecionamento estático, você deve criar uma regra para cada PSN para garantir que o tráfego RADIUS e HTTP seja enviado para o mesmo PSN.

Conclua estas etapas para configurar o ISE:

  1. Configure duas regras para redirecionar o cliente para o endereço IP PSN. Navegue até Política > Elementos de política > Resultados > Autorização > Perfis de autorização.

    Estas imagens mostram as informações para o nome de perfil DunkelGuestWireless:







    Estas imagens mostram as informações para o nome de perfil MaibockGuestWireless:







    Observação: a ACL-PROVISION é uma lista de controle de acesso (ACL) local configurada na WLC para permitir que o cliente se comunique com o ISE na autenticação. Consulte o artigo Central Web Authentication on the WLC and ISE Configuration Example Cisco para obter mais informações.

  2. Configure as políticas de autorização de modo que elas correspondam ao atributo Acesso à rede:Nome do host ISE e forneça o perfil de autorização apropriado:



    Agora que o cliente é redirecionado para um endereço IP, os usuários recebem avisos de certificado porque a URL não corresponde às informações no certificado. Por exemplo, o FQDN no certificado é jesse-dunkel.rtpaaa.local, mas o URL é 172.18.124.20. Aqui está um exemplo de certificado que permite que o navegador valide o certificado com o endereço IP:



    Com o uso de entradas de Nome alternativo do assunto (SAN), o navegador pode validar o URL que inclui o endereço IP 172.18.124.20. Três entradas SAN devem ser criadas para resolver as várias incompatibilidades do cliente.

  3. Crie uma entrada SAN para o Nome DNS e verifique se ela corresponde à entrada CN= do campo Assunto.

  4. Crie duas entradas para permitir que os clientes validem o endereço IP; elas se referem tanto ao Nome DNS do endereço IP quanto ao endereço IP que aparece no atributo Endereço IP. Alguns clientes se referem apenas ao Nome DNS. Outros não aceitam um endereço IP no atributo Nome DNS, mas fazem referência ao atributo Endereço IP.

    Observação: para obter mais informações sobre a geração de certificados, consulte o Guia de Instalação de Hardware do Cisco Identity Services Engine, Versão 1.2.

Verificar

Conclua estas etapas para confirmar se sua configuração funciona corretamente:

  1. Para verificar se as duas regras estão funcionando, defina manualmente a ordem das PSNs do ISE que estão configuradas na WLAN:



  2. Faça login no SSID convidado, navegue até Operation > Authentications no ISE e verifique se as regras de autorização corretas foram atingidas:



    A autenticação MAB inicial é fornecida ao perfil de autorização DunkelGuestWireless. Essa é a regra que redireciona especificamente para jesse-dunkel, que é o primeiro nó do ISE. Após o login do usuário convidado01, a permissão final correta de GuestPermit é fornecida.

  3. Para limpar as sessões de autenticação da WLC, desconecte o dispositivo cliente da rede sem fio, navegue para Monitor > Clients na WLC e exclua a sessão da saída. A WLC mantém a sessão ociosa por cinco minutos por padrão, portanto, para executar um teste válido, você deve começar de novo.

  4. Inverta a ordem dos PSNs do ISE na configuração da WLAN convidada:



  5. Faça login no SSID convidado, navegue até Operation > Authentications no ISE e verifique se as regras de autorização corretas foram atingidas:



    Para a segunda tentativa, o perfil de autorização MaibockGuestWireless é atingido corretamente para a autenticação MAB inicial. Semelhante à primeira tentativa de jesse-dunkel (Etapa 2), a autenticação para jesse-maibock atinge corretamente o GuestPermit para a autorização final. Como não há informações específicas de PSN no perfil de autorização GuestPermit, uma única regra pode ser usada para autenticação em qualquer PSN.

Troubleshooting

A janela Detalhes da autenticação é uma exibição poderosa que exibe cada etapa do processo de autenticação/autorização. Para acessá-lo, navegue até Operations > Authentications e clique no ícone de lupa na coluna Details. Use esta janela para verificar se as condições da regra de autenticação/autorização estão configuradas corretamente. 

Nesse caso, o campo Servidor de políticas é a área de foco principal. Esse campo contém o nome de host do PSN do ISE pelo qual a autenticação é atendida:

Compare a entrada do Servidor de políticas com a condição da regra e certifique-se de que as duas correspondam (esse valor diferencia maiúsculas de minúsculas):

Observação: é importante lembrar que você deve se desconectar do SSID e limpar a entrada do cliente do WLC entre os testes.

Histórico de revisões

Revisão Data de publicação Comentários
1.0
23-Apr-2014
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Jesse Dubois
    Cisco TAC Engineer.

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos