配置ISE访客临时和永久访问

简介

本文档介绍身份服务引擎(ISE)访客访问配置的不同方法。根据授权规则中的不同条件：

• 可以提供对网络的永久访问权限（后续身份验证无要求）
• 可以提供对网络的临时访问（会话过期后需要访客身份验证）

此外，还介绍了会话删除的特定无线LAN控制器(WLC)行为以及对临时访问方案的影响。

先决条件

要求

Cisco 建议您了解以下主题：

• ISE部署和访客流量
• 无线局域网控制器(WLC)的配置

使用的组件

本文档中的信息基于以下软件和硬件版本：

• Microsoft Windows 7
• Cisco WLC 7.6版及更高版本
• ISE软件1.3版及更高版本

配置

对于基本访客访问配置，请查看参考和配置示例。本文重点介绍授权规则配置和授权条件中的差异。

网络图

永久访问

在启用设备注册的访客门户上成功进行身份验证后，适用于ISE版本1.3及更高版本。

终端设备（mac地址）在特定终端组（本示例中为GuestEndpoints）中静态注册。

该组派生自用户的访客类型，如下图所示。

如果是企业用户（身份库，而不是访客），则从门户设置中派生该设置。

因此，与访客关联的mac地址始终属于该特定身份组。无法自动更改（例如，通过Profiler服务）。

注意：要应用分析器结果，可以使用EndPointPolicy授权条件。

由于知道设备始终属于特定终端身份组，因此可以基于该设备构建授权规则，如下图所示。

一旦用户未通过身份验证，授权将匹配通用规则RedirectToPortal。重定向到访客门户和身份验证后，终端被置于特定终端身份组中。这是第一个更具体的条件。该终端的所有后续身份验证均符合第一授权规则，并且用户获得完全网络访问权限，而无需在访客门户上重新进行身份验证。

访客帐户的终端清除

这种情况可能会永远持续下去。但在ISE 1.3中引入了清除终端功能。使用默认配置。

用于访客身份验证的所有终端将在30天后（从终端创建）删除。因此，通常在30天之后，尝试访问网络的访客用户会命中RedirectToPortal授权规则，然后被重定向以进行身份验证。

注意：终端清除功能独立于访客帐户清除策略和访客帐户过期。

注意：在ISE 1.2中，仅当达到内部分析器队列限制时，才能自动删除终端。然后，将删除最近最少使用的终端。

临时访问权限

访客访问的另一种方法是使用访客流条件。

该条件检查ISE上的活动会话及其属性。如果该会话具有指示先前访客用户已成功通过身份验证的属性，则匹配条件。在ISE收到来自网络接入设备(NAD)的Radius记帐停止消息后，会话将终止并随后删除。在该阶段，不再满足Network Access：UseCase = Guest Flow的条件。因此，该终端的所有后续身份验证都会命中通用规则重定向以进行访客身份验证。

注意：用户通过热点门户进行身份验证时，不支持访客流。对于这些情况，UseCase属性设置为Host Lookup，而不是Guest Flow。

WLC断开行为

客户端从无线网络断开连接后（例如，在Windows中使用disconnect按钮），它会发送取消身份验证帧。但WLC省略了这一点，可以使用“debug client xxxx”来确认这一点- WLC在客户端与WLAN断开连接时不提供调试信息。因此，在Windows客户端上：

• ip地址将从接口删除
• 接口处于状态：介质已断开连接

但在WLC上，状态保持不变（客户端仍处于RUN状态）。

这是为WLC计划的设计，会话将在以下情况下被删除

• 用户空闲超时命中数
• session-timeout hits 
• 如果使用L2加密，则当组密钥轮换间隔命中时
• 其他情况会导致AP/WLC关闭客户端（例如，AP无线电重置、某人关闭WLAN等）

使用此行为和临时访问配置，在用户从WLAN会话断开连接后，不会从ISE中删除，因为WLC从未清除它（并且从未发送Radius Accounting Stop）。如果未删除会话，ISE仍会记住旧会话，并且满足访客流条件。断开连接并重新连接后，用户无需重新验证即可获得完整的网络访问权限。

但是，如果断开连接后用户连接到不同的WLAN，则WLC决定清除旧的会话。Radius记账停止已发送，并且ISE删除会话。如果客户端尝试连接到不满足原始WLAN访客流条件且用户被重定向以进行身份验证。

注意：配置有管理帧保护(MFP)的WLC接受来自CCXv5 MFP客户端的加密反身份验证帧。

验证

永久访问

重定向到访客门户并成功进行身份验证后，ISE发送授权更改(CoA)以触发重新身份验证。因此，正在构建新的MAC身份验证绕行(MAB)会话。此时间终端属于GuestEndpoints身份组并匹配提供完全访问权限的规则。

在此阶段，无线用户可以断开连接，连接到不同的WLAN，然后重新连接。所有后续身份验证都使用基于mac地址的身份，但由于终端属于特定身份组而符合第一条规则。提供完全网络访问，无需访客身份验证。

临时访问权限

对于第二个场景（条件基于访客流量），开始是相同的。

但是，删除所有后续身份验证的会话后，访客命中通用规则，并再次重定向以进行访客身份验证。

当会话存在正确的属性时，将满足访客流条件。这可以通过查看终端属性进行验证。指示成功的访客身份验证的结果。

PortalUser guest
StepData 5=MAB, 8=AuthenticatedGuest
UseCase Guest Flow

漏洞

CSCuu41157 ISE ENH CoA在访客帐户删除或到期时终止发送。

（访客帐户删除或到期后终止访客会话的增强请求）

参考

• Cisco ISE 1.3管理员指南
• 思科ISE 1.4管理员指南
• ISE版本1.3热点配置示例
• ISE版本1.3自助注册访客门户配置示例
• WLC 和 ISE 上的集中式 Web 身份验证配置示例
• 使用ISE的WLC上使用FlexConnect AP进行集中Web身份验证的配置示例
• 技术支持和文档 - Cisco Systems