配置ISE訪客臨時和永久訪問

簡介

本文檔介紹身份服務引擎(ISE)訪客訪問配置的不同方法。根據授權規則中的不同條件：

• 可以提供對網路的永久訪問（無需後續身份驗證）
• 可以提供對網路的臨時訪問（會話過期後需要訪客身份驗證）

此外，還會說明移除作業階段的特定無線LAN控制器(WLC)行為，以及對暫時存取案例的影響。

必要條件

需求

思科建議您瞭解以下主題：

• ISE部署和訪客流
• 無線區域網路控制器(WLC)的組態

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• Microsoft Windows 7
• Cisco WLC版本7.6及更高版本
• ISE軟體1.3版及更高版本

設定

有關基本訪客訪問配置，請檢視參考及配置示例。本文重點介紹授權規則配置和授權條件中的差異。

網路圖表

永久存取

在啟用裝置註冊的情況下，在訪客門戶上成功進行身份驗證後，適用於ISE版本1.3及更高版本。

終端裝置（mac地址）在特定終端組（本示例中為GuestEndpoints）中靜態註冊。

該組從使用者的「訪客型別」派生，如下圖所示。

如果是企業使用者（身份儲存而不是訪客），則設定是從門戶設定派生的。

因此，與訪客關聯的MAC地址始終屬於該特定身份組。無法自動變更（例如，由Profiler服務）。

注意：若要套用效能評測器結果，可以使用EndPointPolicy授權條件。

由於知道裝置始終屬於特定終端身份組，因此可以基於該身份組構建授權規則，如下圖所示。

一旦使用者未通過身份驗證，授權將匹配通用規則RedirectToPortal。重定向到訪客門戶並進行身份驗證後，終端被置於特定終端身份組中。這是第一個更具體的條件。該終端的所有後續身份驗證均符合第一授權規則，並且使用者被提供完全網路訪問，而無需在訪客門戶上重新進行身份驗證。

訪客帳戶的終端清除

這種情況可能會永遠持續下去。但是在ISE 1.3中引入了「清除終端」功能。使用預設配置。

用於訪客身份驗證的所有終端將在30天後刪除（從終端建立）。因此，通常在30天後，嘗試訪問網路的訪客使用者點選了RedirectToPortal授權規則，並被重定向以進行身份驗證。

註：終端清除功能獨立於訪客帳戶清除策略和訪客帳戶過期。

注意：在ISE 1.2中，僅當達到內部分析器隊列限制時才能自動刪除終端。然後刪除最近使用最少的端點。

暫時存取

訪客訪問的另一種方法是使用訪客流條件。

該條件檢查ISE上的活動會話及其屬性。如果該會話具有指示先前訪客使用者已成功透過身份驗證的屬性匹配。在ISE收到來自網路接入裝置(NAD)的RADIUS記帳停止消息後，會話被終止並隨後被刪除。在該階段，不再滿足條件Network Access：UseCase = Guest Flow。因此，該終端的所有後續身份驗證都遇到了通用規則，該規則重定向到訪客身份驗證。

注意：使用者透過HotSpot門戶進行身份驗證時不支援訪客流。對於這些情況，UseCase屬性設定為Host Lookup而不是Guest Flow。

WLC斷開行為

使用者端從無線網路中斷連線後（例如，在Windows中使用「中斷連線」按鈕），它會傳送解除驗證訊框。但是，WLC省略了此功能，可以使用「debug client xxxx」進行確認-當客戶端從WLAN斷開連線時，WLC不顯示任何調試。因此，在Windows客戶端上：

• ip地址已從介面刪除
• 介面處於狀態：媒體已中斷連線

但WLC上的狀態未更改（客戶端仍處於RUN狀態）。

此為WLC的規劃設計，會在以下情況下刪除會話：

• 使用者閒置逾時命中
• session-timeout hits 
• 如果使用L2加密，則當組金鑰輪換間隔到達時
• 其他情況會導致AP/WLC關閉客戶端（例如AP無線電重置、某人關閉WLAN等）

使用該行為和使用者從WLAN會話斷開後的臨時訪問配置不會從ISE中刪除，因為WLC從未清除它（並且從未傳送Radius記帳停止）。如果未刪除會話，ISE仍會記住舊會話，並且訪客流條件已滿足。中斷連線並重新連線後，使用者便可完全存取網路，無需重新驗證。

但是，如果使用者在中斷連線後連線到不同的WLAN，WLC會決定清除舊的作業階段。傳送RADIUS記賬停止，並且ISE刪除會話。如果客戶端嘗試連線到原始WLAN訪客流條件不滿足，且使用者被重定向以進行身份驗證。

注意：組態管理幀保護(MFP)的WLC接受來自CCXv5 MFP客戶端的加密去身份驗證幀。

驗證

永久存取

重定向到訪客門戶並成功進行身份驗證後，ISE傳送授權更改(CoA)以觸發重新身份驗證。因此，正在構建新的MAC身份驗證繞行(MAB)會話。此時間端點屬於GuestEndpoints身份組，並且匹配提供完全訪問許可權的規則。

在此階段，無線使用者可以斷開連線，連線到不同的WLAN，然後重新連線。所有後續身份驗證都使用基於MAC地址的身份，但由於終端屬於特定身份組而命中第一條規則。提供完全網路訪問而無需訪客身份驗證。

暫時存取

對於第二個場景（具有基於訪客流的條件），開始是相同的。

但是，刪除所有後續身份驗證的會話後，訪客會點選通用規則，並再次重定向到訪客身份驗證。

如果會話存在正確的屬性，則會滿足訪客流條件。這可以透過檢視終端屬性進行驗證。指示成功的訪客身份驗證的結果。

PortalUser guest
StepData 5=MAB, 8=AuthenticatedGuest
UseCase Guest Flow

錯誤

CSCuu41157 ISE ENH CoA終止在訪客帳戶刪除或到期時傳送。

（訪客帳戶刪除或到期後終止訪客會話的增強請求）

參考資料

• Cisco ISE 1.3管理員指南
• Cisco ISE 1.4管理員指南
• ISE版本1.3熱點配置示例
• ISE版本1.3自助註冊訪客門戶配置示例
• WLC 和 ISE 的中央 Web 驗證的組態範例
• 使用ISE在WLC上使用FlexConnect AP進行中央Web身份驗證的配置示例
• 技術支援與文件 - Cisco Systems