融合接入无线控制器(5760/3850/3650) BYOD客户端自注册,带FQDN ACL
简介
本文档介绍一个配置示例,该示例使用基于DNS的访问列表(ACL)和完全限定域名(FQDN)域列表,以在融合接入控制器上的Web身份验证/客户端自带设备(BYOD)调配状态期间允许访问特定域列表。
先决条件
要求
本文档假设您已经知道如何配置基本集中网络身份验证(CWA),这只是演示使用FQDN域列表来支持BYOD的一个补充。本文档末尾引用了CWA和ISE BYOD配置示例。
使用的组件
本文档中的信息基于以下软件和硬件版本:
思科身份服务引擎软件版本1.4
Cisco WLC 5760软件版本3.7.4
基于DNS的ACL流程
身份服务引擎(ISE)返回重定向ACL名称(用于确定哪些流量将被重定向到ISE以及哪些流量将不被重定向的ACL名称)和FQDN域列表名称(映射到控制器上的FQDN URL列表的ACL名称,允许在身份验证前访问)后,流将如下所示:
- 无线局域网控制器(WLC)将向接入点(AP)发送capwap负载,以启用URL的DNS监听。
- AP侦听来自客户端的DNS查询。
- 如果域名与允许的URL匹配,则AP会将请求转发到DNS服务器,等待DNS服务器的响应,然后解析DNS响应并转发只解析了第一个IP地址的DNS响应。
- 如果域名不匹配,则DNS响应会原样(未经修改)转发回客户端。
- 如果域名匹配,第一个解析的IP地址将发送到capwap负载中的WLC。WLC使用以下方法使用从AP获取的解析IP地址隐式更新映射到FQDN域列表的ACL:
- 解析的IP地址将作为目标地址添加到映射到FQDN域列表的每条ACL规则中。
- ACL的每条规则从permit到deny反过来,反之亦然,ACL将应用到客户端。
- 要明确这一点,假设网络管理员已使用列表中的cisco.com url配置了FQDN域列表,并将该域列表映射到以下ACL:
ip access-list extended FQDN_ACL permit ip any any
在客户端请求cisco.com时,AP将域名cisco.com解析为IP地址72.163.4.161并将其发送给控制器,ACL将被修改为如下所示,并应用于客户端:
ip access-list extended FQDN_ACL deny ip any host 72.163.4.161
- 当客户端发送HTTP“GET”请求时:
- 如果ACL允许流量,客户端将被重定向。
- 使用被拒绝的IP地址将允许http流量。
- 在客户端上下载应用且调配完成之后,ISE服务器会向WLC发送CoA会话终止消息。
- 客户端从WLC取消身份验证后,AP将删除每个客户端的监听标志,并禁用监听。
配置
WLC 配置
- 创建重定向ACL:
此ACL用于定义哪些流量不应重定向到ISE(在ACL中拒绝)以及哪些流量应重定向(在ACL中允许)。
ip access-list extended REDIRECT_ACL deny udp any eq bootps any deny udp any any eq bootpc deny udp any eq bootpc any deny udp any any eq domain deny udp any eq domain any deny ip any host 10.48.39.228 deny ip host 10.48.39.228 any permit tcp any any eq www permit tcp any any eq 443
在此访问列表中,10.48.39.228是ISE服务器IP地址。 -
配置FQDN域列表:
此列表包含客户端在调配或CWA身份验证之前可以访问的域名。
passthru-domain-list URLS_LIST match play.google.*.* match cisco.com
- 使用permit ip any any配置要与URLS_LIST结合使用的访问列表:
需要将此ACL映射到FQDN域列表,因为我们必须将实际的IP访问列表应用于客户端(无法应用独立FQDN域列表)。
ip access-list extended FQDN_ACL permit ip any any
- 将URLS_LIST域列表映射到FQDN_ACL:
access-session passthru-access-group FQDN_ACL passthru-domain-list URLS_LIST
- 配置自注册CWA SSID:
此SSID将用于客户端集中Web身份验证和客户端调配,ISE会将FQDN_ACL和REDIRECT_ACL应用于此SSID
wlan byod 2 byod aaa-override accounting-list rad-acct client vlan VLAN0200 mac-filtering MACFILTER nac no security wpa no security wpa akm dot1x no security wpa wpa2 no security wpa wpa2 ciphers aes no shutdown
在此SSID配置中,MACFILTER方法列表是指向ISE RADIUS组的方法列表,而rad-acct是指向同一ISE RADIUS组的记帐方法列表。
本示例中使用的方法列表配置摘要:
aaa group server radius ISEGroup server name ISE1
aaa authorization network MACFILTER group ISEGroup
aaa accounting network rad-acct start-stop group ISEGroup
radius server ISE1 address ipv4 10.48.39.228 auth-port 1812 acct-port 1813 key 7 112A1016141D5A5E57
aaa server radius dynamic-author client 10.48.39.228 server-key 7 123A0C0411045D5679 auth-type any
ISE 配置
本节假设您熟悉CWA ISE配置部分,ISE配置在以下修改后几乎相同。
无线CWA Mac地址身份验证绕行(MAB)身份验证结果应返回以下属性以及CWA重定向URL:
cisco-av-pair = fqdn-acl-name=FQDN_ACL cisco-av-pair = url-redirect-acl=REDIRECT_ACL
其中,FQDN_ACL是映射到域列表的IP访问列表的名称,而REDIRECT_ACL是普通CWA重定向访问列表。
因此,应该按如下所示配置CWA MAB身份验证结果:
验证
要验证FQDN域列表是否已应用到客户端,请使用以下命令:
show access-session mac <client_mac> details
显示允许的域名的命令输出示例:
5760-2#show access-session mac 60f4.45b2.407d details Interface: Capwap7 IIF-ID: 0x41BD400000002D Wlan SSID: byod AP MAC Address: f07f.0610.2e10 MAC Address: 60f4.45b2.407d IPv6 Address: Unknown IPv4 Address: 192.168.200.151 Status: Authorized Domain: DATA Oper host mode: multi-auth Oper control dir: both Session timeout: N/A Common Session ID: 0a30275b58610bdf0000004b Acct Session ID: 0x00000005 Handle: 0x42000013 Current Policy: (No Policy) Session Flags: Session Pushed Server Policies: FQDN ACL: FQDN_ACL Domain Names: cisco.com play.google.*.* URL Redirect: https://bru-ise.wlaaan.com:8443/portal/gateway?sessionId=0a30275b58610bdf0000004b&portal=27963fb0-e96e-11e4-a30a-005056bf01c9&action=cwa&token=fcc0772269e75991be7f1ca238cbb035 URL Redirect ACL: REDIRECT_ACL Method status list: empty
参考
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
02-Jan-2017 |
初始版本 |
反馈