什么是无线设置
无线设置为设置 802.1X、访客和 BYOD 服务无线流提供了一种简单的方法。适当情况下,它还提供工作流程,用于为访客和 BYOD 服务配置和自定义每个门户。这些工作流程提供最常见的建议设置,要比在 Cisco ISE 中配置关联门户流程简单得多。无线设置会代为执行原本您需要在 Cisco ISE 和无线控制器中自己完成的许多步骤,以便您能够快速创建工作环境。
您可以使用无线设置创建的环境来测试和开发自己的流程。无线设置环境正常运行后,您可能希望切换到 Cisco ISE,以便支持高级的配置。有关在 Cisco ISE 中配置访客服务的详细信息,请参阅您的 Cisco ISE 版本对应的 《 ISE 管理员指南》 和 Cisco 社区站点 https://community.cisco.com/t5/security-documents/ise-guest-amp-web-authentication/ta-p/3657224 。有关为 Cisco ISE 配置和使用无线设置的详细信息,请参阅 https://community.cisco.com/t5/security-documents/cisco-ise-secure-access-wizard-saw-guest-byod-and-secure-access/ta-p/3636602。
![]() 注 |
Cisco ISE 无线设置为测试版软件 - 请勿在生产网络中使用。 |
-
全新安装思科 ISE 后,无线设置默认被禁用。您可以在 Cisco ISE CLI 中使用 application configure ise 命令(选择选项 17)或使用 Cisco ISE GUI 主页中的 无线设置 选项 (
) 启用无线设置。
-
如果从以前的版本升级 Cisco ISE,无线设置将不起作用。只有新安装的 Cisco ISE 才支持无线设置。
-
无线设置仅适用于独立节点。
-
一次只能运行一个无线设置的实例。一次只能有一个人运行无线设置。
-
无线设置需要打开端口 9103 和 9104。要关闭这些端口,请使用 CLI 禁用无线设置。
-
如果要在运行某些流程后开始全新安装无线设置,可以使用 CLI 命令 application reset-config ise。此命令会重置 Cisco ISE 配置并清除 Cisco ISE 数据库,但保留网络定义。因此,您可以重置 Cisco ISE 和无线设置,而无需重新安装 Cisco ISE 并运行设置。
如果要从无线设置重新开始,可以通过以下步骤同时重置 Cisco ISE 和无线设置的配置:
-
在 CLI 中,运行 application reset-config 以重置所有 Cisco ISE 配置。如果您在全新安装中测试无线设置,此命令会删除无线设置在 Cisco ISE 中完成的配置。
-
在 CLI 中,运行 application configure ise,然后选择 [18]重置配置 Wi-Fi 设置。这将清理无线设置配置数据库。
-
在无线控制器上,删除无线设置在无线控制器上添加的配置。有关无线设置在无线控制器上的配置的信息,请参阅 通过无线设置流程对 Cisco ISE 和无线控制器进行更改。
您可以在完成 Cisco ISE 全新安装后为虚拟机创建快照,以便避免这些步骤。
有关 CLI 的详细信息,请参阅 ISE 版本对应的《思科身份服务引擎 CLI 参考指南》。
-
-
您必须是 Cisco ISE 超级管理员用户才能使用无线设置。
-
无线设置需要至少两个 CPU 核心和 8 GB 内存。
-
仅支持活动目录组和用户。在无线设置中创建一个或多个流后,其他类型的用户、组和授权将可用于无线设置,但必须在 ISE 上进行配置。
-
如果已在 Cisco ISE 中定义 Active Directory,并计划将此 AD 用于无线设置,则:
-
加入名称和域名必须相同。如果名称不同,请在 Cisco ISE 中使之相同,然后在无线设置中使用该 AD。
-
如果您的无线控制器已经在 Cisco ISE 上配置好,那么无线控制器必须配置好一个共享密钥。如果无线控制器定义没有共享密钥,请添加共享密钥或从 Cisco ISE 中删除无线控制器,然后在无线设置中配置该无线控制器。
-
-
无线设置可以配置 Cisco ISE 组件,但在流程启动后无法删除或修改这些组件。有关无线设置在 Cisco ISE 中配置的所有项目的列表,请参阅 ISE 版本对应的 《Cisco 身份服务引擎 CLI 参考指南》 。
-
启动流程时,必须完成该流程。点击流程中的痕迹可停止流程。当您逐步完成流程时,系统会动态更改 Cisco ISE 配置。无线设置会提供配置更改列表,以便您可以手动恢复。您无法在流程中后退以进行额外的更改,只有一个例外。您可以返回以更改访客或 BYOD 门户自定义。
-
支持多个无线控制器和 Active Directory 域,但每个流程只能支持一个无线控制器和一个 Active Directory。
-
无线设置需要思科 ISE Basic 许可证才能运行。BYOD 需要思科 ISE Plus许可证。
-
如果在配置无线设置之前配置了 Cisco ISE 资源,则无线设置可能与现有策略存在冲突。如果发生这种情况,无线设置会建议您在运行该工具后查看授权策略。我们建议在运行无线设置时从干净设置 Ciisco ISE 开始。对无线设置和 Cisco ISE 混合配置的支持有限。
-
无线设置支持英语,但不支持其他语言。如果要在门户中使用其他语言,请在运行无线设置后在 Cisco ISE 中配置。
-
BYOD 支持双 SSID。由于冲突,此配置中使用的开放 SSID 不支持访客访问。如果需要同时支持访客和 BYOD 的门户,则无法使用无线设置,并且不在本文档的讨论范围之内。
-
电子邮件和 SMS 通知
-
对于自注册访客,支持 SMS 和电子邮件通知。这些通知应在门户自定义通知部分进行配置。您必须将 SMTP 服务器配置为支持 SMS 和电子邮件通知。Cisco ISE 中内置的蜂窝服务提供方(包括 AT&T、T Mobile、Sprint、Orange 和 Verizon)已预先配置,是免费的邮件短信网关。
-
访客可以在门户中选择其蜂窝网络提供方。如果其提供方不在列表中,则他们无法接收消息。您还可以配置全局提供方,但这不属于本指南的范围。如果访客门户配置了 SMS 和电子邮件通知,则必须为这两项服务输入值。
-
发起的访客流程不会在无线设置中提供 SMS 或电子邮件通知配置。对于该流程,必须在 Cisco ISE 中配置通知服务。
-
为门户配置通知时,请勿选择 SMS 提供方 Global Default。未配置此提供方(默认情况下)。
-
-
无线设置仅支持无 HA 的独立设置。如果决定使用额外的 PSN 进行身份验证,请将这些 PSN 的 Cisco ISE IP 地址添加到w无线控制器的 RADIUS 配置。
无线设置对 Apple 迷你浏览器(强制网络助理)的支持
-
访客流:Apple 伪浏览器的自动弹出功能适用于所有访客流。访客可以使用 Apple 的强制网络助理浏览器完成整个流程。当 Apple 用户连接到 OPEN 网络时,迷你浏览器会自动弹出,可以让他们接受 AUP(热点),或者完成自我注册或使用其凭证登录。
-
自带设备
-
单 SSID:ISE 2.2 增加了对 Apple 迷你浏览器的支持。但是,为了限制 Apple 设备上潜在的 SSID 流问题,我们向重定向 ACL 中添加了 captive.apple.com,以便抑制迷你浏览器。这会导致 Apple 设备认为它可以访问互联网。用户必须手动启动 Safari 浏览器,才能重定向到门户以进行 Web 身份验证或设备激活。
-
双 SSID:对于从初始 OPEN 网络 WLAN 开始,然后启动访客访问,或允许员工经过设备激活 (BYOD) 并重定向到安全 SSID 的双 SSID 流,迷你浏览器也会被抑制。
-
有关 Apple CAN 迷你浏览器的详细信息,请参阅https://communities.cisco.com/docs/DOC-71122。