隔离访客网络的带静态重定向的ISE配置示例

简介

本文档介绍如何为隔离访客网络配置Cisco身份服务引擎(ISE)的静态重定向以保持冗余。还介绍了如何配置策略节点，以便客户端不会收到无法验证的证书警告。

先决条件

要求

Cisco 建议您了解以下主题：

• 思科ISE中心Web身份验证(CWA)和所有相关组件
• 证书有效性的浏览器验证
• 思科ISE 版本 1.2.0.899 或更高版本
• 思科无线局域网控制器(WLC)版本 7.2.110.0或更高版本（首选版本7.4.100.0或更高版本）

注意：CWA在WLC和ISE上的集中Web身份验证配置示例Cisco文章中进行了说明。

使用的组件

本文档中的信息基于以下软件和硬件版本：

• 思科ISE 1.2.0.899 版
• 思科虚拟WLC (vWLC)版本 7.4.110.0
• 思科自适应安全设备(ASA))8.2.5 版

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 

背景信息

在许多自带设备(BYOD)环境中，访客网络与非军事化区域(DMZ)中的内部网络完全隔离。通常，访客DMZ中的DHCP为访客用户提供公共域名系统(DNS)服务器，因为提供的唯一服务是互联网访问。

因此，在版本1.2之前，很难在ISE上进行访客重定向，因为ISE会将客户端重定向到用于Web身份验证的完全限定域名(FQDN)。但是，对于ISE版本1.2及更高版本，管理员可以将访客用户重定向到静态IP地址或主机名。

配置

网络图

这是一个逻辑图。

注意：从物理上讲，内部网络中有一个无线控制器，接入点(AP)在内部网络中，并且服务集标识(SSID)锚定到DMZ控制器。有关详细信息，请参阅Cisco WLC的文档。 

配置

WLC上的配置与普通CWA配置相比保持不变。配置SSID以允许使用RADIUS身份验证进行MAC过滤，并且RADIUS记账指向两个或多个ISE策略节点。

本文档重点介绍ISE配置。

注意：在此配置示例中，策略节点是jesse-dunkel (172.18.124.20)和jesse-maibock (172.18.124.21)。

当WLC向ISE发送RADIUS MAC身份验证绕行(MAB)请求时，CWA流程开始。ISE向控制器回复重定向URL，以便将HTTP流量重定向到ISE。RADIUS和HTTP流量进入同一策略服务节点(PSN)非常重要，因为会话在单个PSN上维护。这通常通过单个规则执行，并且PSN会将自己的主机名插入CWA URL。但是，通过静态重定向，您必须为每个PSN创建规则以确保RADIUS和HTTP流量发送到同一PSN。

完成以下步骤以配置ISE：

1. 设置两个规则以将客户端重定向到PSN IP地址。导航到策略>Policy元素>结果>授权>授权配置文件。
   
   下图显示配置文件名称DunkelGuestWireless的信息：
   
   
   
   
   
   
   
   这些图像显示配置文件名称MaibockGuestWireless的信息：
   
   
   
   
   
   
   
   

   注意：ACL-PROVISION是在WLC上配置的本地访问控制列表(ACL)，以允许客户端在身份验证时与ISE通信。有关详细信息，请参阅WLC和ISE上的中心Web身份验证配置示例 Cisco文章。

2. 配置授权策略，使其在网络访问：ISE主机名属性上匹配，并提供相应的授权配置文件：
   
   
   
   客户端重定向到IP地址后，用户将收到证书警告，因为URL与证书中的信息不匹配。例如，证书中的FQDN是jesse-dunkel.rtpaaa.local，但是URL是172.18.124.20。以下是允许浏览器使用IP地址验证证书的示例证书：
   
   
   
   使用主题备用名称(SAN)条目，浏览器可以验证包括IP地址172.18.124.20的URL。必须创建三个SAN条目以解决各种客户端不兼容问题。
   
   
3. 为DNS名称创建一个SAN条目，并确保该条目与Subject字段中的CN=条目匹配。
   
   
4. 创建两个条目以允许客户端验证IP地址；这两个条目同时用于IP地址的DNS名称和IP地址属性中显示的IP地址。某些客户端仅引用DNS名称。其他路由器不接受“DNS名称”属性中的IP地址，而是引用“IP地址”属性。
   
   

   注意：有关证书生成的详细信息，请参阅思科身份服务引擎硬件安装指南，版本1.2。

验证

完成以下步骤以确认您的配置是否工作正常：

1. 为了验证两个规则是否都正常工作，请手动设置WLAN上配置的ISE PSN的顺序：
   
   
   
   
2. 登录访客SSID，在ISE中导航到操作>身份验证，然后验证是否达到了正确的授权规则：
   
   
   
   初始MAB身份验证会提供给DunkelGuestWireless授权配置文件。此规则专门重定向到jesse-dunkel，它是第一个ISE节点。在gguest01用户登录后，将给予正确的GuestPermit最终权限。
   
   
3. 为了从WLC清除身份验证会话，断开客户端设备与无线网络的连接，导航到WLC上的Monitor > Clients，然后从输出中删除该会话。 默认情况下，WLC会保留空闲会话五分钟，因此，要执行有效测试，必须重新开始。
   
   
4. 在访客WLAN配置下颠倒ISE PSN的顺序：
   
   
   
   
5. 登录访客SSID，在ISE中导航到操作>身份验证，然后验证是否达到了正确的授权规则：
   
   
   
   在第二次尝试中，已为初始MAB身份验证正确命中MaibockGuestWireless授权配置文件。与第一次尝试jesse-dunkel（第2步）相似，jesse-maibock的身份验证会正确命中GuestPermit，以获取最终授权。由于GuestPermit授权配置文件中没有PSN特定信息，因此可以使用单个规则对任何PSN进行身份验证。

故障排除

Authentication Details（身份验证详细信息）窗口是一个显示身份验证/授权过程每个步骤的强大视图。要访问它，请导航到操作>身份验证，然后单击“详细信息”列下的放大镜图标。使用此窗口验证身份验证/授权规则条件已正确配置。 

在本例中，Policy Server字段是主要关注领域。此字段包含用于进行身份验证的ISE PSN的主机名：

比较策略服务器条目与规则条件，并确保两者匹配（此值区分大小写）：

注意：请务必记住，您必须在测试之间断开与SSID的连接，并从WLC中清除客户端条目。