配置与聚合的访问(5760/3650/3850)的外部Web验证

下载选项

  • PDF     (832.7 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (624.7 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (569.9 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2017 年 9 月 11 日
文档 ID:212039

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档定义如何使用融合接入控制器配置外部网络身份验证。在本示例中,访客门户页面和凭证身份验证都在身份服务引擎(ISE)上。 

    先决条件

    要求

    Cisco 建议您了解以下主题:

    1.思科融合接入控制器。

    2. Web身份验证

    3.思科ISE

    使用的组件

    本文档中的信息基于以下软件和硬件版本:

    1. Cisco 5760控制器(下图中的NGWC),03.06.05E

    2. ISE 2.2

    配置

    网络图

    CLI 配置

    控制器上的RADIUS配置

    步骤 1:定义外部RADIUS服务器

    radius server ISE.161
address ipv4 10.48.39.161 auth-port 1812 acct-port 1813
timeout 10
retransmit 5
key Cisco123

    第2步:定义AAA RADIUS组并指定要使用的RADIUS服务器

    aaa group server radius ISE-Group
server name ISE.161
deadtime 10

    步骤3.定义指向RADIUS组的方法列表,并将其映射到WLAN下。

    aaa authentication login webauth group ISE-Group

    参数映射配置

    步骤4.使用外部和内部Webauth所需的虚拟IP地址配置全局参数映射。注销按钮使用虚拟IP。它始终是配置不可路由的虚拟IP的好做法。

    parameter-map type webauth global
type webauth
virtual-ip ipv4 1.1.1.1

    步骤 5:配置命名参数映射。它将像一种webauth方法一样工作。这将在WLAN配置下调用。

    parameter-map type webauth web
type webauth
redirect for-login https://10.48.39.161:8443/portal/PortalSetup.action?portal=0c712cd0-6d90-11e5-978e-005056bf2f0a
redirect portal ipv4 10.48.39.161


    预身份验证ACL。这也将在WLAN下调用。

    步骤 6:配置Preauth_ACL,允许在身份验证结束之前访问ISE、DHCP和DNS

    ip access-list extended Preauth_ACL
permit ip any host 10.48.39.161
permit ip host 10.48.39.161 any
permit udp any eq bootps any
permit udp any any eq bootpc
permit udp any eq bootpc any
permit udp any eq domain any
permit udp any any eq domain

    WLAN 配置

    步骤 7:配置WLAN

    wlan ext-webauth 7 ext-webauth
client vlan vlan232
ip access-group web Preauth_ACL
no security wpa
no security wpa akm dot1x
no security wpa wpa2
no security wpa wpa2 ciphers aes
security web-auth
security web-auth authentication-list webauth
security web-auth parameter-map web
session-timeout 1800
no shutdown

    步骤 8::打开http服务器。 

    ip http server  

ip http secure-server (for secure web-auth, use 'no' to disable secure web)

    GUI 配置

    我们在此执行与上述步骤相同的步骤。屏幕截图仅供交叉参考。

    步骤 1:定义外部RADIUS服务器

     第2步:定义AAA RADIUS组并指定要使用的RADIUS服务器

    步骤3.定义指向RADIUS组的方法列表,并将其映射到WLAN下。

    参数映射配置

    步骤4.使用外部和内部Webauth所需的虚拟IP地址配置全局参数映射。注销按钮使用虚拟IP。它始终是配置不可路由的虚拟IP的好做法。

    步骤 5:配置命名参数映射。它将像一种webauth方法一样工作。这将在WLAN配置下调用。

    预身份验证ACL。这也将在WLAN下调用。

    步骤 6:配置Preauth_ACL,允许在身份验证结束之前访问ISE、DHCP和DNS

    WLAN 配置

    步骤 7:配置WLAN

    验证

    连接客户端并确保如果打开浏览器,客户端将重定向到您的登录门户页面。以下屏幕截图说明ISE访客门户页面。

    提交正确的凭证后,将显示成功页面:

    ISE服务器将报告两个身份验证:一个在访客页面本身(仅包含用户名的底线),一旦WLC通过radius身份验证提供相同的用户名/密码(只有此身份验证会使客户端进入成功阶段),则进行第二次身份验证。 如果RADIUS身份验证(MAC地址和WLC详细信息作为NAS)未发生,则需要验证RADIUS配置。

    TAC Authored

    由思科工程师提供

    • Ritin Mahajan
      Cisco TAC

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品