本站已运行

攻城狮论坛

xinmeng

yutian

作者: 小猫吃大鱼
查看: 3303|回复: 72

主题标签Tag

more +今日重磅推荐Recommend No.1

所有IT类厂商认证考试题库下载所有IT类厂商认证考试题库下载

more +随机图赏Gallery

重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)
【超过几百G】EVE 国内和国外镜像 全有了 百度群分享【超过几百G】EVE 国内和国外镜像 全有了 百度群分享
某linux大佬,积累多年的电子书(约300本)某linux大佬,积累多年的电子书(约300本)
乾颐堂现任明教教主Python完整版乾颐堂现任明教教主Python完整版
乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)
Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天
约21套Python视频合集 核心基础视频教程(共310G,已压缩)约21套Python视频合集 核心基础视频教程(共310G,已压缩)
最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程
最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器
最新2018/07/29录制 IT爱好者清风羽毛-Cisco IOS ZBF防火墙视频最新2018/07/29录制 IT爱好者清风羽毛-Cisco IOS ZBF防火墙视频
乾颐堂 教主技术进化论 2018年 最新1-30期合集视频(各种最新技术杂谈视频)乾颐堂 教主技术进化论 2018年 最新1-30期合集视频(各种最新技术杂谈视频)
Cisco CCW售前销售报价系统使用方法Cisco commerce workspaceCisco CCW售前销售报价系统使用方法Cisco commerce workspace

[配置案例] 集中式Web认证在无线控制器FlexConnect解决方案和ISE上的配置实例

  [复制链接]
查看: 3303|回复: 72
开通VIP 免金币+免回帖+批量下载+无广告
本帖最后由 宅男女神 于 2016-2-28 15:01 编辑

集中式Web认证在无线控制器FlexConnect解决方案和ISE上的配置实例

集中式Web认证在无线控制器FlexConnect解决方案和ISE上的配置实例 - 攻城狮论坛 - 集中式Web认证在无线控制器FlexConnect解决方案和ISE上的配置实例

有多种办法在无线局域网操控器(WLC)上装备会集Web 认证。榜首种办法是在本地web
认证,无线操控器将HTTP 流量重定向到内部或外部的效劳器上,用户会被提示进行身份验
证。然后无线操控器获取认证信息(在一个外部效劳器的情况下,经过一个HTTP GET 恳求
发回)并选用RADIUS 认证。关于宾客用户的情况下,需求一个外部效劳器(如身份效劳引
擎(ISE)或NAC 宾客效劳器(NGS))提供门户功用,如设备挂号和自我装备。这个进程包
括以下进程:
1.用户相关到Web 认证的SSID。
2.用户翻开自个的浏览器。
3.一旦输入URL,无线操控器会重定向到宾客门户网站(如ISE 或NGS)。
4.用户在门户网站上进行身份验证。
5.宾客门户网站将认证信息重定向到无线操控器。
6.无线操控器经过RADIUS 对宾客进行认证。
7.无线操控器重定向回初始URL。
这个进程包含许多的重定向操作。新的办法是运用ISE(版本1.1 以上)和无线操控器(版
本7.2 以上)的会集Web 认证。这个进程包含以下进程:
1.用户相关到Web 认证的SSID。
2.用户翻开自个的浏览器。
3.无线操控器重定向到宾客门户。
4.用户在门户网站上进行身份验证。
5. ISE 发送RADIUS 授权更改(CoA - UDP 端口1700)给无线操控器,标明该用户有用,并最
终推送RADIUS 特点,例如拜访操控列表(ACL)。
6.提示用户重试初始的URL。
本节介绍了无线操控器和ISE 上装备会集Web 认证的必要进程。
网络拓扑图
此装备运用以下网络设置:
无线操控器装备
无线操控器的装备相当简单。运用一个“小窍门”(与交流机上相同)从ISE 取得动态认证
URL。(由于它运用CoA,会话创立的会话ID 需求包含在URL 中。)SSID 装备为运用MAC 过
滤,以及ISE 装备为回来Access-Accept 音讯,即便在找不到MAC 地址情况下,它为所有用
户发送重定向URL。
此外,有必要启用 RADIUS 网络准入操控(NAC)和AAA 覆盖功用。RADIUS NAC 答应ISE 发送
CoA 恳求,标明用户如今现已得到认证而且能够拜访网络。它也被用于用户做法评估,ISE
会依据做法结果来更改用户装备。
1.保证RADIUS 效劳器启用RFC3576(CoA),默许下启用。

2.创立一个新的WLAN。此示例创立一个新的名为CWAFlex 的WLAN,并将其分配到 vlan33。
(需求留意的是,它不会有太大的影响,由于无线接入点是在本地交流形式)。
3.在“Security”选项卡中启用Layer 2 Security 的MAC Filtering。

4.在“Layer 3”选项卡中,保证Security 被禁用。(假如在3 层启用了Web 认证,则是启用
了本地Web 身份验证,而不是会集Web 认证)。
5.在“AAA Servers”选项卡中,挑选ISE 效劳器作为WLAN 的RADIUS 效劳器。或许,你能够
挑选它来计费,以便获取ISE 更具体的信息。
6.在“Advanced”选项卡上,保证启用AAA Override,并挑选NAC State 为Radius NAC。

7.创立一个重定向ACL。
ACL 在ISE 的Access-Accept 音讯中运用,它界说了哪些流量应该被重定向(由ACL 回绝),
以及什么样的流量不应该重定向(由ACL 答应)。基本上DNS 和从ISE 发来和发向ISE 的流
量需求被答应。
注 :FlexConnect 无线接入点的一个疑问是你有必要创立一个差异于一般ACL 的FlexConnect
ACL。这个疑问在Cisco Bug CSCue68065 中说到,未来的版本会解决此疑问,更多信息能够
参阅Bug 信息。无线操控器估计ISE 回来的重定向ACL 是一个一般ACL。但是,为了保证它
正常工作,你需求一个完全相同的FlexConnect ACL。
这个比如显现了怎么创立一个名为flexred 的FlexConnect ACL:

a.创立规矩,答应 DNS 流量以及与ISE 之间的流量,回绝其他流量。
假如你想保证最大的安全性,对于ISE 能够仅答应端口8443。(假如有做法评估,你必
须增加标准的做法端口,如8905,8906,8909,8910)。
b.挑选“Security > Access Control Lists”,创立相同称号的ACL,这一步很主要!
3.预备特定的FlexConnect 无线接入点。
I.点击Wireless 挑选特定的无线接入点。
II.点击“FlexConnect”选项卡,然后单击External Webauthentication ACL。(7.4 版
本之前,该选项叫做为web policies 。)
III.增加ACL(在这个比如中名为flexred )到web policies 区域。
如今现已完结无线操控器的装备。
ISE 装备

集中式Web认证在无线控制器FlexConnect解决方案和ISE上的配置实例

集中式Web认证在无线控制器FlexConnect解决方案和ISE上的配置实例 - 攻城狮论坛 - 集中式Web认证在无线控制器FlexConnect解决方案和ISE上的配置实例

创立授权装备文件
完结这些进程,以创立授权装备文件:
1.点击Policy,然后单击Policy Elements。
2.点击Result。
3.打开Authorization,然后点击Authorization profile。
4.点击Add 按钮以创立一个新的会集WebAuth 授权装备。
5.在Name 字段中,输入装备文件的称号。这个比如运用CentralWebauth。
6.在Access Type 下拉列表中挑选ACCESS_ACCEPT。
7..勾选Web Authentication 复选框,并从下拉列表中挑选Centralized 。
8.在ACL 字段中,输入无线操控器上界说的ACL 称号,它界说哪些流量将被重定向。这个例
子中运用flexred。
9.在Redirect 下拉列表中挑选Default。
Redirect 特点界说ISE 是否能看到默许的门户网站或ISE 管理员创立的自界说门户网站。例如,
在这个比如中flexred ACL 触发一个HTTP 流量重定,能够把客户端重定向到任何地方。
创立验证规矩
完结这些进程,以运用身份验证装备文件来创立验证规矩:
1.在Policy 菜单下,点击Authentication。下图像显现了怎么装备认证战略规矩。在这个比如
中装备一个规矩,当检测到MAC 过滤时,会触发这个规矩。
攻城狮论坛 http://bbs.vlan5.com
2.输入您验证规矩的称号。这个比如运用Wireless MAB。
3.在If 条件字段中挑选加号(+)图标。
4.挑选Compound 条件,然后挑选Wireless_MAB。
5.挑选“Default network access"”作为答应的协议。
6.点击and…旁边的箭头,为了进一步扩展规矩。
7.在Identity Source 字段中点击“+”图标,挑选Internal 端点。
8.在If user not found 下拉列表中挑选Continue。

资源批量下载地址:
更多精品资源,打包下载(可按知识点/发布日期/培训班/讲师等方式批量下载视频/文档/资料/电子书) ---> http://bbs.vlan5.com/forum-94-1.html

论坛便捷链接:
最新视频发布?--->点这里下载链接失效?--->点这里求视频/帮助?--->点这里
免费领金币?--->点这里解压缩密码?--->点这里关注微信/微博?---> 点这里

能帮助您和更多的人找到自己想要的资料并取得更大进步,是我们最大的愿望。

本贴附件下载链接:
游客,如果您要查看本帖隐藏内容请回复

CCNA考试 官方正规报名 仅需1500元
回复 论坛版权

使用道具 举报

zpfnet [Lv2 初出茅庐] 发表于 2016-5-16 15:35:00 | 显示全部楼层
+8888金币奖励!加入论坛VIP学习组会员,马上拥有免回复+免积分+批量下载特权!!! http://bbs.vlan5.com/thread-9185-1-1.html
回复 支持 反对

使用道具 举报

huyihi [Lv8 技术精悍] 发表于 2016-5-16 21:22:53 | 显示全部楼层
轻松3步 无限次刷金币 每次200 只需20秒 http://bbs.vlan5.com/thread-14477-1-1.html
回复 支持 反对

使用道具 举报

james_lai100 [Lv9 无所不能] 发表于 2016-5-17 07:08:12 | 显示全部楼层
攻城狮论坛一直为会员提供经典/最新的资料&视频&题库,一直为大家提供力所能及的服务和帮助
回复 支持 反对

使用道具 举报

Keiichi [Lv2 初出茅庐] 发表于 2016-5-18 11:22:36 | 显示全部楼层
有需要的资料可以在这里发帖让别人帮你找 攻城狮论坛 http://bbs.vlan5.com/forum-97-1.html
回复 支持 反对

使用道具 举报

Lavsient [Lv6 略有所成] 发表于 2016-5-20 15:42:51 | 显示全部楼层
你知道么? 通过论坛客服报名CCNA,CCNP,CCIE 最高可省2000元培训费. 联系QQ 80766391
回复 支持 反对

使用道具 举报

你知道么? 通过论坛客服报名CCNA,CCNP,CCIE 最高可省2000元培训费. 联系QQ 80766391
回复 支持 反对

使用道具 举报

vengarboy [Lv4 初露锋芒] 发表于 2016-9-28 00:39:44 | 显示全部楼层
好好学习天天向上
回复 支持 反对

使用道具 举报

mdp [Lv10 举世无双] 发表于 2016-9-28 06:16:15 | 显示全部楼层
感谢楼主 感谢攻城狮论坛 每天签到得积分(连续签到金币翻倍) 希望越办越好
回复 支持 反对

使用道具 举报

ly11zhanshi [Lv8 技术精悍] 发表于 2016-9-28 08:10:31 | 显示全部楼层
每天签到得积分 下载资料的同时也可以帮助别人 再也不用担心金币不够用了 http://bbs.vlan5.com/forum-97-1.html
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|无图浏览|手机版|网站地图|攻城狮论坛

GMT+8, 2020-10-26 06:53 , Processed in 0.307533 second(s), 21 queries , Gzip On, Memcache On.

Powered by Discuz! X3.2 © 2001-2013 Comsenz Inc.

Designed by ARTERY.cn