使用ISE在WLC上配置FlexConnect AP的CWA

簡介

本檔案介紹如何在具有辨識服務引擎(ISE)的無線區域網路控制器(WLC)上，於本機交換模式下使用FlexConnect存取點(AP)設定中央Web驗證。

重要說明：此時，此方案不支援FlexAP上的本地身份驗證。

本系列的其他檔案

• 使用交換機和身份服務引擎的集中Web身份驗證配置示例
• WLC 和 ISE 的中央 Web 驗證的組態範例

必要條件

需求

本文件沒有特定需求。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 思科身分辨識服務引擎(ISE)，版本1.2.1
• 無線區域網路控制器軟體發行版本- 7.4.100.0

設定

在無線LAN控制器(WLC)上設定中央Web驗證的方法有多種。第一種方法是本地Web身份驗證，其中WLC將HTTP流量重定向到提示使用者進行身份驗證的內部或外部伺服器。然後，WLC會擷取憑證（在外部伺服器的情況下，會透過HTTP GET要求傳回）並執行RADIUS驗證。在訪客使用者的情況下，需要外部伺服器(例如身份服務引擎(ISE)或NAC訪客伺服器(NGS))，因為門戶提供裝置註冊和自助調配等功能。此程式包含下列步驟：

1. 使用者與Web身份驗證SSID關聯。
2. 使用者打開其瀏覽器。
3. 輸入URL後，WLC會立即重新導向到訪客入口網站（例如ISE或NGS）。
4. 使用者在門戶上進行身份驗證。
5. 訪客門戶使用輸入的憑據重定向回WLC。
6. WLC透過RADIUS驗證訪客使用者。
7. WLC重新導向回原始URL。

這個程式包含許多重新導向。新方法是使用中央Web驗證，該驗證可與ISE （1.1版以上）和WLC（7.2版以上）配合使用。此程式包含下列步驟：

1. 使用者與Web身份驗證SSID關聯。
2. 使用者打開其瀏覽器。
3. WLC會重新導向至訪客入口網站。
4. 使用者在門戶上進行身份驗證。
5. ISE傳送RADIUS授權更改（CoA - UDP埠1700）以向控制器指示使用者是有效的，並最終推送RADIUS屬性，例如訪問控制清單(ACL)。
6. 系統會提示使用者重試原始URL。

本節介紹在WLC和ISE上配置中央Web身份驗證的必要步驟。

網路圖表

此配置使用以下網路設定：

WLC配置

WLC的配置相當簡單。使用「技巧」（與交換機上的相同）從ISE獲取動態身份驗證URL。（由於它使用CoA，因此需要建立會話，因為會話ID是URL的一部分。） SSID配置為使用MAC過濾，而ISE配置為返回Access-Accept消息，即使MAC地址未找到，它也會為所有使用者傳送重定向URL。 

此外，必須啟用RADIUS網路認可控制(NAC)和AAA覆寫。RADIUS NAC允許ISE傳送CoA請求，指示使用者現在已透過身份驗證且能夠訪問網路。它還用於狀態評估，其中ISE根據狀態結果更改使用者配置檔案。

1. 確保RADIUS伺服器已啟用RFC3576 (CoA)，這是預設設定。
   
   
   
   
2. 建立一個新的 WLAN。本示例將建立一個名為CWAFlex的新WLAN並將其分配給vlan33。（請注意，由於存取點處於本地交換模式，因此它不會產生太大作用。）
   
   
   
   
3. 在Security頁籤上，啟用MAC Filtering as Layer 2 Security。
   
   
   
   
4. 在Layer 3頁籤上，確保停用安全性。（如果在第3層啟用了Web身份驗證，則會啟用本地Web身份驗證，而不是中央Web身份驗證。）
   
   
   
   
5. 在AAA Servers頁籤上，為WLAN選擇ISE伺服器作為RADIUS伺服器。或者，您可以為記賬選擇它，以便獲得有關ISE的更多詳細資訊。
   
   
   
   
6.  在Advanced頁籤上，確保選中Allow AAA Override並為NAC State選擇Radius NAC。
   
   
   
   
7. 建立重新導向ACL。
   
   此ACL在ISE的Access-Accept消息中引用，並定義哪些流量應重定向（被ACL拒絕）以及哪些流量不應重定向（被ACL允許）。基本上，需要允許DNS和與ISE之間的流量。

   注意：FlexConnect AP的一個問題是您必須建立與普通ACL分開的FlexConnect ACL。此問題已記錄在Cisco錯誤CSCue68065中，並在版本7.5中進行了修復。在WLC 7.5及更高版本中，僅需要FlexACL，不需要標準型ACL。WLC預期ISE返回的重定向ACL是普通ACL。但是，為確保它正常工作，您需要應用與FlexConnect ACL相同的ACL。

   
   此示例顯示如何建立名為flexred的FlexConnect ACL：
   
   
   
   

   1. 建立規則以允許DNS流量以及發往ISE的流量並拒絕其餘流量。
      
      
      如果您希望獲得最大安全性，則只能允許埠8443指向ISE。（如果做姿勢，您必須增加典型的安全狀態埠，例如8905,8906,8909,8910。）
      
      
   2. (僅限於7.5之前的版本代碼，因為CSCue68065)選擇Security > Access Control Lists以建立具有相同名稱的相同ACL。
      
      
      
      
   3. 準備特定的FlexConnect AP。請注意，對於較大的部署，通常使用FlexConnect組，出於可擴充性的原因，不會針對每個AP執行這些專案。
      
      
      1. 按一下Wireless，然後選擇特定的存取點。
      2. 按一下FlexConnect頁籤，然後按一下External Webauthentication ACLs。(在版本7.4之前，此選項被命名為Web policies。)
         
         
         
         
      3. 將ACL(在本示例中命名為flexred)增加到Web policies區域。這會將ACL預先推送到存取點。它尚未應用，但ACL內容已指定給AP，以便其在需要時應用。
         
         
         

WLC配置現已完成。

ISE 組態

建立授權配置檔案

完成以下步驟以建立授權配置檔案：

1. 按一下策略，然後按一下策略元素。

2. 按一下Results。

3. 展開Authorization，然後按一下Authorization profile。

4. 按一下Add按鈕為中央webauth建立新的授權配置檔案。

5. 在名稱欄位中，輸入配置檔案的名稱。本示例使用CentralWebauth。

6. 從Access Type下拉選單中選擇ACCESS_ACCEPT。

7. 選中Web Authentication覈取方塊，並從下拉選單中選擇Centralized Web Auth。

8. 在ACL欄位中，輸入WLC上用於定義將重新導向之流量的ACL名稱。本示例使用flexred。

9. 從Redirect下拉選單中選擇Default。

Redirect屬性定義ISE看到預設Web門戶還是ISE管理員建立的自定義Web門戶。例如，本示例中的flexred ACL會在HTTP流量從客戶端重定向到任何位置。

建立驗證規則

完成以下步驟，以使用身份驗證配置檔案建立身份驗證規則：

1. 在Policy選單下，按一下Authentication。

   下圖展示了如何配置身份驗證策略規則的示例。在本示例中，配置了一個在檢測到MAC過濾時觸發的規則。
   
   

2. 輸入驗證規則的名稱。本示例使用Wireless mab。
3. 在If條件欄位中選取加號(+)圖示。
4. 選擇複合條件，然後選擇Wireless_MAB。
5. 選擇「預設網路訪問」作為允許的協定。
6. 點選位於和……旁邊的箭頭以進一步展開規則。
7. 點選Identity Source欄位中的+圖示，然後選擇Internal endpoints。
8. 從If user not found下拉選單中選擇Continue。 
   
   

此選項允許透過webauth對裝置進行身份驗證，即使其MAC地址未知。Dot1x使用者端仍可使用其認證進行驗證，因此請勿使用此組態。

建立授權規則

現在，在授權策略中可配置若干規則。連線PC後，會進行mac過濾；假設MAC地址未知，則返回webauth和ACL。此MAC未知規則如下圖所示，並在本部分進行配置。

 

完成以下步驟以建立授權規則：

1. 建立新規則，然後輸入名稱。本示例使用MAC not known。

2. 在「條件」欄位中按一下加號(+)圖示，然後選擇建立新條件。

3. 展開expression下拉選單。

4. 選擇Network access，然後展開它。

5. 按一下AuthenticationStatus，然後選擇Equals運算子。

6. 在右側欄位中選擇UnknownUser。

7. 在「General Authorization」頁上，在單詞then右側的欄位中選擇CentralWebauth(Authorization Profile)。

   即使使用者（或MAC）未知，此步驟仍允許ISE繼續。

   現在會向不明的使用者顯示「登入」頁面。但是，一旦他們輸入其憑證，他們就會再次在ISE上看到身份驗證請求；因此，另一個規則必須配置滿足使用者為訪客使用者的條件。在本示例中，使用了UseridentityGroup equals Guest並且假設所有訪客都屬於此組。

8. 按一下MAC not known規則末尾的「操作」按鈕，然後選擇在上方插入新規則。

   注意：此新規則必須位於MAC未知規則之前。

9. 在名稱欄位中輸入2nd AUTH。

10. 選取辨識群組作為條件。本示例選擇Guest。
    
    
11. 在「條件」欄位中，按一下加號(+)圖示，然後選擇建立新條件。
    
    
12. 選擇網路訪問，然後按一下使用案例。
    
    
13. 選擇Equals作為運算子。
    
    
14. 選擇GuestFlow作為正確的運算元。這意味著您將捕獲剛剛登入網頁並在授權更改（規則的訪客流部分）後返回的使用者，並且僅當這些使用者屬於訪客身份組時。
    
    
15. 在授權頁面上，點選加號(+)圖示(位於then旁)，為您的規則選擇結果。
    
    在本範例中，已指派預先設定的設定檔(vlan34)；本檔案沒有顯示此組態。
    
    您可以選擇Permit Access選項或建立自定義配置檔案以返回您喜歡的VLAN或屬性。

重要說明：在ISE版本1.3中，根據Web身份驗證的型別，可能不會再遇到「訪客流」使用案例。然後，授權規則必須包含訪客使用者組作為唯一可能的條件。 

啟用IP續訂（可選）

如果分配VLAN，最後一步是讓客戶端PC更新其IP地址。此步驟由Windows客戶端的訪客門戶實現。如果之前未為第2次身份驗證規則設定VLAN，則可以跳過此步驟。

請注意，在FlexConnect AP上，VLAN需要預先存在於AP上。因此，如果沒有，您可以在AP本身或不在要建立的新VLAN中應用任何ACL的Flex組上建立VLAN-ACL對映。實際上會建立一個VLAN（上面沒有ACL）。

如果分配了VLAN，請完成以下步驟以啟用IP續約：

1. 按一下Administration，然後按一下Guest Management。

2. 按一下設定。

3. 展開Guest，然後展開Multi-Portal Configuration。

4. 按一下DefaultGuestPortal或可能已經建立的自定義門戶的名稱。

5. 按一下Vlan DHCP Release覈取方塊。

   注意：此選項僅適用於Windows使用者端。

 

流量

在這種情況下，要瞭解將哪些流量傳送到何處，似乎很困難。以下是快速評論：

• 使用者端會透過SSID空中傳送關聯要求。
• WLC使用ISE處理MAC過濾身份驗證（在其中接收重定向屬性）。
• 客戶端只在MAC過濾完成後收到關聯響應。
• 客戶端提交DHCP請求，即 本機 由存取點交換，以獲得遠端站點的IP地址。
• 在Central_webauth狀態下，重新導向ACL（因此通常是HTTP）上標示為「deny」的流量是 集中 交換.因此，進行重新導向的並非AP，而是WLC；例如，當使用者端要求任何網站時，AP會將此重新導向封裝在CAPWAP中的WLC，而WLC會偽裝該網站的IP位址並重新導向至ISE。
• 客戶端被重定向到ISE重定向URL。這是 本機 再次交換（因為它在flex重定向ACL上命中permit）。
• 一旦處於RUN狀態，流量就進行本地交換。

驗證

使用者與SSID關聯後，授權將顯示在ISE頁面中。

從下到上，您可以看到返回CWA屬性的MAC地址過濾身份驗證。接下來是使用使用者名稱的門戶登入。ISE然後向WLC傳送CoA，最後身份驗證是WLC端的第2層MAC過濾身份驗證，但ISE會記住客戶端和使用者名稱並應用我們在此示例中配置的必要VLAN。

當客戶端上打開任何地址時，瀏覽器會重定向到ISE。確定網域名稱系統(DNS)已正確設定。

使用者接受策略後，即會授予網路訪問許可權。

在控制器上，策略管理器狀態和RADIUS NAC狀態從POSTURE_REQD更改為RUN。