思科byodise無線場景配置指南

思科BYOD+ISE無線場景配置指南目簡 演示準(zhǔn) 需求說 設(shè)備組 網(wǎng)絡(luò)拓 WLC初始化配 ISE設(shè)備識(shí)別與配 ISE訪 BYOD設(shè)備配 簡思科IdentityServiceEngine（ISE）是思科的下一代的服務(wù)引擎，為思科TrustSec解決方案提供了認(rèn)證和的基礎(chǔ)架此外ISE還提供了兩個(gè)重要的服務(wù)ISE從多種方式獲得的設(shè)備屬性信息，提供了自動(dòng)識(shí)別終端設(shè)備類型的一種方法。這種服務(wù)被稱為設(shè)備識(shí)別Profiler，與以前在NACProfilerISE支持檢查重點(diǎn)設(shè)備是否符合安全標(biāo)準(zhǔn)；例如，AV/AS軟件是否安裝以及其特征庫文件的有效期（也稱為終端狀態(tài)Posture）NAC設(shè)備思科ISE并且集成了802.1X認(rèn)證，結(jié)合無線控制器（WLC）還實(shí)現(xiàn)了移動(dòng)終端Apple的設(shè)備（,iPadiPod，Android系統(tǒng)的智能手機(jī)等。對(duì)于802.1X用戶而言，ISE能夠提供諸如設(shè)備識(shí)別profiling和終端狀態(tài)檢查posture，訪務(wù)guestservice。ISE與無線控制器集成后，能夠?qū)ebauthentication的認(rèn)證請(qǐng)求重定向到ISE上進(jìn)行認(rèn)證。本文檔介紹了對(duì)于BYOD的無線解決方案，如根據(jù)終端設(shè)備的類型和用戶類型，提供不同的權(quán)限。本文檔并沒有提供BYOD的完整的解決方案，但是演示了一個(gè)簡單用戶場景的動(dòng)態(tài)。此外還提供了一個(gè)配置舉例，即通過ISE的SponsorPortal頁面，經(jīng)過的Sponsor如何為一位訪客如何無線的服務(wù)。原文：WirelessBYODwithIdentityServices演示準(zhǔn)需求說本文檔的內(nèi)容是針對(duì)一般性的用戶需求，假定了一個(gè)BYOD在無線網(wǎng)絡(luò)的場景，通過ISE實(shí)現(xiàn)認(rèn)證和的配置過程。設(shè)備組25042106，Catalyst3560-8口ISE1.0MR(VMwareserverimageWindows2008(VMware版)–內(nèi)存512M，ActiveCA服務(wù)網(wǎng)絡(luò)拓下圖為整個(gè)演示用到的網(wǎng)絡(luò)拓?fù)鋱D，和 設(shè)備IPIP地VMware安裝ISEWirelessLANIdentityServiceAD/DNS/DHCP/CA安裝AD/DNS/DHCP/CA2008器ISE上創(chuàng)建內(nèi)部用戶在簡單的PoC測試中，ActiveDirectory不是必需的。ISE可以單獨(dú)用做驗(yàn)證數(shù)據(jù)庫，用于對(duì)用戶的控制和的策略控制。在ISE1.0版本中，ISE可以使用AD的組別的屬性進(jìn)行。如果使用內(nèi)部用（未集成AD）進(jìn)行，用戶組別信息不能和設(shè)備組別信息同時(shí)使用（這個(gè)在ISE1.1中已經(jīng)解決，因此僅可使用單個(gè)用戶，比如employees或contractors可以和設(shè)備組別信息進(jìn)行組合。通過瀏覽器https://<ISE的IP地址>Administration>IdentityManagement>UsersAdd（NetworkAccessUsersName:Password:SubmitAdd，添加另一個(gè)用戶：Name:contractorPassword:在ISE中添加WLC設(shè)備ISE發(fā)起RADIUS請(qǐng)求的網(wǎng)絡(luò)設(shè)備，必須事先添加到ISE中。這些定義到ISEIPISEIP地址范圍表RADIUS通信需要以外，ISESNMPSSH來設(shè)置網(wǎng)絡(luò)策略。Administration>NetworkResources>Network點(diǎn)擊Add，輸入IP地址等信息，輸入ciscoWLCWLCISE中配置無線認(rèn)證ISE需要配置802.1X無線客戶端認(rèn)證，并使用AD作為認(rèn)證請(qǐng)求。Policy>Dot1X所在的條目，點(diǎn)擊Wired_802.1X后面的+號(hào)AddConditionfrom從條件選擇下拉式列表中，選擇CompoundCondition>設(shè)置表達(dá)式條件為展開“allowprotocols”的箭頭的選項(xiàng)，并接受缺省的認(rèn)證Internal其他內(nèi)容保持為默認(rèn)值，點(diǎn)擊SaveWLC初始化配2500系列無線控制器部署指南，請(qǐng)參考2500WLC(CiscoetotheCiscoWizardConfigurationToolUsethe'-'charactertobackupWouldyouliketoterminateautoinstall?[yes]:yesAUTO-INSTALL:processISE-PodxEnterAdministrativeUserName(24charactersmax):adminEnterAdministrativePassword(3to24characters):Re-enterAdministrativePassword:Cisco123ManagementInterfaceIPAddress:ManagementInterfaceNetmask:ManagementInterfaceDefaultRouter:ManagementInterfaceVLANIdentifier(0=untagged):0ManagementInterfacePortNum[1to4]:1ManagementInterfaceDHCPServerIPAddress:0VirtualGatewayIPAddress:Mobility/RFGroupName:ISENetworkName( ):PODxConfigureDHCPBridgingMode[yes][NO]:noAllowStaticIPAddresses[YES][no]:noConfigureaRADIUSServernow?[YES][no]:Warning!ThedefaultWLANsecuritypolicyrequiresaRADIUSserver.Pleasesee ationformoredetails.EnterCountryCodelist(enter'help'foralistofcountries)[US]:Enable802.11bNetwork[YES][no]:yesEnable802.11aNetwork[YES][no]:yesEnable802.11gNetwork[YES][no]:yesEnableAuto-RF[YES][no]:yesConfigureaNTPservernow?[YES][no]:noConfigurethentpsystemtimenow?[YES][no]:yesEnterthedateinMM/DD/YYformat:mm/dd/yyEnterthetimeinHH:MM:SSformat:hh:mm:ssConfigurationcorrect?Ifyes,systemwillsaveitandreset.[yes][NO]:yesConfigurationsaved!Resettingsystemwithnewconfiguration...Restartingsystem.連接WLC的交換機(jī)端口配置無線控制連接到交換機(jī)的端口FastEthernet0/1上，該端口要配置為802.1QTrunkVLANVLAN10WLC的管switchporttrunkencapsulationdot1qswitchporttrunknativeVLAN10switchporttrunkallowedvlan11,12switchportmodetrunkWLC上增加認(rèn)證服務(wù)器的配置通過在WLC上添加ISE，并啟用無線終端設(shè)備的802.1X認(rèn)證和變更(CoA)打開瀏覽器，連接WLC的管理界面：http://<WLC的管理IP地址進(jìn)入Security>RADIUS>Authentication>ServerIPSharedSecret:SupportforRFC點(diǎn)擊Apply選擇Security>RADIUS>Accounting>ServerIPAddress:SharedSecret:ApplySaveConfigurationWLC上創(chuàng)建動(dòng)態(tài)接口通過以下步驟在WLC上創(chuàng)建了一個(gè)動(dòng)態(tài)接口，并將其映射到EmployeeVLAN中。WLC上，進(jìn)入Controller>Interface>在新建InterfaceInterfaceName:VLANid:在新建接口EmployeePortNumber:VLANIdentifier:IPAddress:Netmask:Gateway:DHCP:確認(rèn)動(dòng)態(tài)接口 已經(jīng)創(chuàng)建完成WLC上創(chuàng)建動(dòng)態(tài)接口通過以下步驟在WLC上創(chuàng)建了一個(gè)動(dòng)態(tài)接口，并將其映射到GuestVLANWLC上，進(jìn)入Controller>Interfaces>在新建InterfaceInterfaceVLAN在新建接口GuestPortNumber:VLANIdentifier:IPAddress:Netmask:Gateway:DHCP:確認(rèn)動(dòng)態(tài)接口Guest802.1XWLC的初始配置中，可能已經(jīng)有缺省的WLAN已經(jīng)創(chuàng)建了。如果這樣，可以修改或新建支持802.1X認(rèn)證的WLAN。WLC上，進(jìn)入WLAN>Create對(duì)于新建WLANProfileName::WLAN設(shè)置>GeneralRadioPolicy:Interface/Group:WLAN>SecurityTab>Layer2Layer2 +2Policy/Encryption:AuthKeyMgmt:WLAN>SecurityTab>AAAServersRadiusServerOverwriteinterface:Authentication/AccountintServer:Server1:WLAN>AdvancedTabAllowAAAOverride:NACState:Radius返回WLAN>GeneralTab>Enabled測試WLC配EmployeeGuestWLAN，分別分配Employee和Guest接口，驗(yàn)證設(shè)備分配的VLAN。在WLC上，進(jìn)入WLAN>WLANs，點(diǎn)擊并編輯之前創(chuàng)建 Interface/InterfaceGroupEmployee，點(diǎn)擊ApplyEmployeeVLAN(/24)下圖顯示一 設(shè)備獲得了一個(gè)VLAN11的地址如果配置正確，連接WLANGuestVLAN（/24）的IP地址，如下圖所示，獲得了VLAN12的地址。重要步驟：把WLAN分配的接口改回到接口ManagementApplySaveConfigurationWLC針對(duì)iOS設(shè)備 /iPad)的無線認(rèn) ，iPad或iPod等運(yùn)行iOS的設(shè)備，用內(nèi)部用戶或AD用戶作為認(rèn)證帳號(hào)，連接到需要認(rèn)證的 在iOS設(shè)備上，進(jìn)入WLAN設(shè)置，啟用Wifi，然后選擇連接在WLC上創(chuàng)建的需要802.1X認(rèn)證的 提供以下信息連接 用戶名：employee或：XXXX點(diǎn)擊Accept，接受ISE的確認(rèn)設(shè)備獲得了接口Management（VLAN10）的 地RadiusNACState和EAPtype。ISEMonitor>Authentications頁面查看終端設(shè)備認(rèn)證點(diǎn)擊 WLC創(chuàng)建重定向WLCACL，ISEACL限制終端設(shè)備進(jìn)行健康狀態(tài)檢查。ACL的最低要求是放行終端設(shè)備的流量到ISE上。其他ACL規(guī)則進(jìn)入Security>AccessControlLists>AccessControlLists，點(diǎn)擊定義ACL的名字：ACL-POSTURE-AddNewRuleACL1，并輸入以下數(shù)值。完成后點(diǎn)擊Apply。Source:Desitnation:IPAddress0Protocol:Action:1AddNewRule2ACL條目，輸入以下數(shù)值。完成后點(diǎn)擊Apply.oSource:IPAddress0Destination:Protocol:Action:ACL2ACL3ApplySource:Destination:Protocol:SourcePort:DestinationPort:ACL3AddNewRuleACL4ApplySource:Destination:Protocol:SourcePort:DestinationPort:Action:保持WLCISE設(shè)備識(shí)別與配ISE上啟用設(shè)備探 項(xiàng)是關(guān)閉的。以下部分介紹了如何啟用ISE的設(shè)備識(shí)別。ISEAdministration>System>DeploymentiseEditEditNodeDHCP:Enabled,All(orDHCPSPAN:Enabled,All(orHTTP:Enabled,All(orRADIUS:Enabled,DNS:Enabled, 等)確認(rèn)終端設(shè)備的。進(jìn)入Administration>IdentityManagementIdentitiesEndpoints查看哪些設(shè)備已經(jīng)被識(shí)別了。注意：最初的識(shí)別是通過RADIUS探測。ISE上配置設(shè)備識(shí)別 ISEPolicy>Profiling在左側(cè)面板，展開ProfilingPoliciesApple-Device>Apple-iPadPolicyEnabled:CreatingMatchingIdentityGroup:點(diǎn)擊Apple-Device> PolicyEnabled:CreateMatchingIdentityGroup:點(diǎn)擊AndroidPolicyEnabled:CreateMatchingIdentityGroup:ISE上創(chuàng)建用于認(rèn)證后重定Authorization通過以下步驟創(chuàng)建一個(gè)策略，用于將新設(shè)備重定向到ISE上并進(jìn)行終端ISEPolicy>PolicyElements>展開Authorization。點(diǎn)擊AuthorizationProfiles(左側(cè)面板)Add展開Authorization。點(diǎn)擊AuthorizationProfiles(左側(cè)面板)AddName:AccessType:CommonPostureDiscovery,PostureDiscovery,ACL:ACL-POSTURE-SubmitAuthorizationProfileISE上為用戶EmployeeAuthorization在ISE上為用戶Employee創(chuàng)建一個(gè)AuthorizationProfile，對(duì)其和允許訪問，并將Employee分配到VLAN11上。在ISEPolicyResults.展開AuthorizationAuthorizationProfile，再點(diǎn)擊Add.EmployeeAuthorizationProfileName:CommonVLAN:VLAN,subvalueSubmitEmployeeAuthorizationProfileISE上為ContractorAuthorization在ISE上為用戶Contractor創(chuàng)建一個(gè)AuthorizationProfile，對(duì)其和允許訪問，并將Contractor分配到VLAN11上。在ISEPolicyResults.展開AuthorizationAuthorizationProfile，再點(diǎn)擊Add.ContractorAuthorizationProfileName:CommonVLAN:VLAN,subvalueSubmitContractorAuthorizationProfile創(chuàng)建設(shè)備檢測和識(shí)別的策當(dāng)終端設(shè)備首次接入到網(wǎng)絡(luò)中時(shí)，ISE能夠得到的設(shè)備信息很少，因此需要?jiǎng)?chuàng)建一些策略允許這些未知設(shè)備在獲得權(quán)限之前，能夠被識(shí)別出來。在下面配置中，要?jiǎng)?chuàng)建一個(gè)重定向的策略，使新接入網(wǎng)絡(luò)的終端設(shè)備會(huì)被重定向到SE上進(jìn)行設(shè)備的健康狀態(tài)檢查（由于移動(dòng)終端設(shè)備不支持客戶端Agnt安裝，因此只執(zhí)行設(shè)備的識(shí)別，終端設(shè)備將被重定向到ISE的門戶頁面，并被識(shí)別出設(shè)備類型。ISEPolicy>AuthorizationISEProfiledCiscoIPPhones，將其修改為終端設(shè)備檢RuleName:IdentityGroups:OtherConditions>CreateNew:(Advanced)Session>PostureStatus>Equals:在PermissionPermissions>Standard:Save注意：策略可以根據(jù)需要自定義內(nèi)容，以方便使用測試終端設(shè)備的檢測修復(fù)策下面的操作，簡單地顯示了ISE基于終端檢查的策略，識(shí)別出新終端設(shè)備的ISEAdministration>IdentityManagement>Identities點(diǎn)擊Endpoints，查看ISE在終端設(shè)備上，通過瀏覽器以下結(jié)果頁面被重定向到 的門戶頁面。接受提示的在終端設(shè)備被重定向后，再次刷新ISE終端設(shè)備列表。查看發(fā)生了哪些改變。之前設(shè)備被識(shí)別為Apple-Device，現(xiàn)在應(yīng)該變?yōu)榱薃pple- 因是，在頁面被重定向時(shí)，ISE通過HTTPProbe獲得了瀏覽器的httpuser-agent信息。（通常，這需要過一段時(shí)間設(shè)備列表才會(huì)更新）對(duì)應(yīng)不同的策完成終端類型的檢測測試后，接下來創(chuàng)建對(duì)應(yīng)不同的用戶 Contractor的的策略，為指定用戶分配不同的VLANISEPolicy>Authorization點(diǎn)擊Action，插入一條位于Posture_Remediation策略上面的規(guī)則RuleName:IdentityGroup(expand):EndpointIdentityEndpointIdentityGroups:Profiled:Android,Apple-iPador4)4)要添加其他設(shè)備類型，點(diǎn)擊+EndpointEndpointIdentityGroups:Profiled:Android,Apple-iPador5)OtherConditions(expand):CreateNewCondition(AdvancedCondition>Expression(fromlist):InternalUser>InternalUser>Name:增加權(quán)限的描述Permissions>Profiles>Standard:點(diǎn)擊Save繼續(xù)添加針對(duì)用戶Contractor的策略。通過 前面創(chuàng)建的Employee的策略，加快創(chuàng)建過程。進(jìn)入EmployeePolicy>Actions，點(diǎn)擊DuplicateBelow。在的策略中，編輯以下內(nèi)容RuleName:OtherConditions>InternalUser>Name:Permissions:點(diǎn)擊Save。確認(rèn)的策略已經(jīng)被編輯完成要預(yù)覽策略，點(diǎn)擊Policy-at-a-Glance通過Policy-at-a-Glance測試不同的策略變更完成了對(duì)不同的描述和策略的配置后，下面對(duì)其進(jìn)試。去連接啟用驗(yàn)證的WLANEmployee被分配到emplyee的VLANConraor被分配到cotratr的VLAN。下一例子測試/iPd。通過移動(dòng)終端設(shè)備連接到WLAN（pod1x，用下面信息做驗(yàn)證Username:Password:點(diǎn)擊JoinemployeeVLAN11（EmployeeForgetthisNetwork斷開WLANForgetWLC管理界面，刪除客戶端的連接。MonitorClients>MACaddress，然后點(diǎn)擊Remove.另外清除客戶端連接的方式，是先關(guān)閉/啟用WLAN進(jìn)入WLC>WLANs>WLANWLANEnabled>Apply（關(guān)閉選擇Enabled>Apply（在移動(dòng)終端上，使用下面的認(rèn)證信息，重新連接相同的Username:Password:點(diǎn)擊Join。確認(rèn)用戶contractor被分配給了VLAN12（ContractorGuestVLAN。ISE上查看實(shí)施的認(rèn)證記錄，進(jìn)入Monitor>Authorizations。查看用戶employee和contractor獲得了不同的認(rèn)證描述，分別為Employee_Wireless和Contractor_Wireless，分配到了不同的VLAN中。ISE訪WLC上創(chuàng)建GuestGuestWLANISE的WLCWLAN>WLANs>Add輸入以下信息創(chuàng)建GuestProfileName::ApplyguestWLAN>GeneralStatus:Interface/InterfaceGroup:WLAN>Security>Layer2Layer2Security:WLAN>Security>Layer3Layer3Security:WebPolicy:WebPolicysubvalue:PreauthenticationACL:ACL-POSTURE-WebAuthtype:External(Re-directtoexternalURL:ApplySaveConfiguration保存WLCGuestWLANGuest門戶頁GuestWLANISE 設(shè)備上，進(jìn)入Wi-FiNetworks>Enable，并選擇連接pod1guest 連接pod1guest成功后，獲得了GuestVLAN的IP地（24 上打開Safari瀏覽器，并以下URL，頁面被重定向到Gueest在彈出的服務(wù)器驗(yàn)證窗口上點(diǎn)擊Continue，直到到ISE的下面的截屏顯示了GuestWLANISEGuest門戶配ISE無線訪務(wù)配通過ISE配置允許訪客獲取接待人Sponsor提供臨時(shí)的網(wǎng)絡(luò)權(quán)限。下面配置步驟，在ISE上增加訪客策略，允許ISE內(nèi)部用戶或AD域的用戶為訪客創(chuàng)建臨時(shí)帳號(hào)。ISE還可配置接待人查看訪