配置与ISE2.0和阿鲁巴WLC的访客流.PDFVIP

配置与ISE 2.0和阿鲁巴WLC的访客流 目录 简介 先决条件 要求 使用的组件 背景信息 访客流 配置 步骤1.添加阿鲁巴WLC作为ISE的纳季。 步骤2.配置授权配置文件。 步骤3.配置授权策略。 步骤4.配置在阿鲁巴的RADIUS服务器。 步骤5.创建在阿鲁巴的访客SSID。 步骤6.配置俘虏门户。 步骤7.配置用户角色。 验证 故障排除 失败的COA 重定向问题 在用户浏览器的没有重定向URL存在 超时的会话缝的计时器 简介 本文配置访客门户的descrbies步骤用阿鲁巴无线局域网控制器(WLC)。从身份服务引擎(ISE)第三方 网络访问的版本2.0支持设备(NAD)介绍。ISE当前支持集成用访客的阿鲁巴无线，状态并且带来您 自己的设备(BYOD)流。 注意 ：思科对配置或支持不负责设备的从其他供应商。  先决条件 要求 Cisco 建议您了解以下主题： 阿鲁巴IAP配置 在ISE的访客流 使用的组件 阿鲁巴IAP 204软件 思科身份服务引擎2.0 背景信息 访客流 步骤1.用户关联对服务集Identifer (SSID)。SSID可以配置如开放或与预先共享密钥验证。 步骤2.阿鲁巴应用用户角色对此连接。第一个用户角色总是SSID。用户角色包含不同的设置类似 VLAN，访问控制限制，俘虏PORTAL设置等等。在当前示例默认用户角色分配到SSID有Permit仅 所有语句。 步骤3. SSID配置提供过滤在外部RADIUS服务器的MAC。Radius MAB (MAC验证旁路)访问请求发 送对ISE。 第四步：在策略评估时间ISE选择访客的授权配置文件。此授权配置文件包含访问类型相等与 ACCESS_ACCEPT和阿鲁巴用户角色相等与用户角色在阿鲁巴WLC配置的本地名称(无线局域网控 制器)。此用户角色为俘虏PORTAL配置，并且流量重定向往ISE。 阿鲁巴用户角色 由阿鲁巴WLC使用的主要组件是用户角色。用户角色定义了访问限制可适用对用户在连接时。访问 限制能包括：俘虏门户重定向，访问控制表， VLAN (虚拟局域网)，带宽限制和其他。在阿鲁巴 WLC存在的每SSID有用户角色与SSID名称是相等的默认用户角色，所有用户连接对特定SSID从默 认角色最初获得限制。用户角色可以由RADIUS服务器覆盖， Access-Accept应该在这种情况下包 含阿鲁巴卖方细节属性阿鲁巴用户角色。WLC用于从此属性的值查找本地用户角色。 第五步：使用属性阿鲁巴用户角色本地WLC检查对于已配置的用户角色和应用需要的一个。 步骤6.用户启动在浏览器的HTTP请求。 步骤7.阿鲁巴WLC截住请求由于为俘虏门户配置的用户角色。对此请求WLC的一答复返回HTTP代 码302页移动与ISE访客门户作为一个新的位置。 步骤8.用户在访客门户建立对ISE的SSL连接在端口8443，并且提供用户名/密码。 步骤9. ISE传送COA Disconnect请求信息对阿鲁巴WLC。 步骤 10在COA断开消息WLC切与用户的连接并且通知ISE后使用Radius记帐请求(终止)消息，应该 终止连接。ISE必须确认此消息接收与核算。 步骤11. ISE启动会话缝的计时器。此计时器用于在一起地粘合会话在COA前后。在此时间ISE记住 所有会话参数类似用户名等等。在此计时器超时选择客户端的前，正确授权策略第二个认证尝试必 须完成。万一，如果计时器超时，新建的Access-Request将解释作为一全新的会话，并且与访客重 定向的授权策略再将应用。 步骤 12阿鲁巴WLC确认以前与COA断开确认的已接收COA断开请求。 步骤 13阿鲁巴WLC发送新建的MAB Radius Access-Request。 步骤 14在策略评估时间ISE在验证以后选择访客的授权配置文件。此授权配置文件包含访问类型相 等与ACCESS_ACCEPT和阿鲁巴用户角色相等与用户角色在阿鲁巴WLC配置的本地名称。配置的 此用户角色允许所有流量。 步骤 15使用属性阿鲁巴用户角色WLC检查本地配置的用户角色并且应用需要的一个。 配置 步骤1.添加阿鲁巴WLC作为ISE的纳季。 导航到Administration 网络资源网络设备 并且单击添加 1. 提供网络接入设备(纳季)名称。 2. 指定纳季IP地址。 3. 选择网络设备配置文件。对于阿鲁巴WLC您可以使用内置的配置文件ArubaWireless。 4. 提供预先共享密钥。 5. 定义COA端口， COA的设备表当前