配置在ISE21的第三方纳季重定向-Cisco.PDF

目录 简介 先决条件 要求 使用的组件 背景信息 数据包流 配置 配置ISE 1. 创建网络设备配置文件 2. 创建网络设备 3. 配置DHCP服务器 4. 配置授权配置文件 配置纳季 验证 故障排除 简介 本文在允许重定向用第三方网络访问设备的身份服务引擎(ISE)方面描述新特性(NAD)发生。 先决条件 要求 Cisco 建议您了解以下主题： 在ISE的访客流 DNS和DHCP协议 使用的组件 本文档中的信息基于以下软件和硬件版本： Cisco Catalys 2960系列交换机 思科ISE，版本2.1 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 背景信息 高级特性类似访客，状态和带来您自己的设备(BYOD)在流行网络，要求客户端设备和AAA服务器之 间的直接通信。在上一个ISE版本中这通过发送动态重定向URL和访问控制表(ACL)完成对纳季。 有在重定向的一授权配置文件发送在attribute-value巴黎的两个必要属性(AVs) ： Cisco AV对？URL 重定向：URL值动态，并且为每会话创建。重定向URL的重要部分是策略服 务节点Fuly合格的域名(PSN FQDN)和会话ID。 Cisco AV对？重定向ACL ： 此AV对包含在纳季必须存在的ACL名称。在此ACL帮助下，纳季 决定数据包应该是否通过纳季重定向或允许。 传统重定向方法可能用思科纳季设备只实现。对于第三方纳季支持，静态网域名称转址在ISE 2.0被 添加了。当此方法是独立时更多的平台，仍然要求在纳季的HTTP重定向支持。 开始与ISE 2.1新式重定向被添加了。此方法不要求在纳季的HTTP重定向支持。在此方法后的主要 想法是使用ISE作为DNS污水池。  DNS和DHCP服务器功能被添加到ISE 2.1版本为了使用它作为DNS污水池。现在ISE服务器能分配 IP地址到需要重定向的用户并且定义了自己作为DNS服务器。这允许ISE重定向对本身的用户连接 ，不用在纳季的任何Web服务器功能。然而，纳季应该仍然支持授权(COA)和动态VLAN分配的崔凡 吉莱。 在ISE，此方法可以用于这些重定向流： 访客流：对用户启动的任何DNS请求的ISE答案用其自己的IP地址。此答复造成客户端设立与 ISE的一个HTTP连接。就此而论， ISE返回重定向URL使用被移动的标准HTTP代码302页。 BYOD/Posture (仅Anyconnect) ？在两种情况下，设置(NSP)应用程序或Anyconnect状态模块 的本地请求方首次对的连接，重新定向对ISE使用步骤和访客流一样。 数据包流 1. 纳季开始连接的设备的MAB进程。在Cisco交换机的MAB进程根据认证方法优先级开始，并且 没有，在第一帧从终端设备前接收。 2. MAB访问请求发送对ISE。 3. ISE评估流入的访问请求的认证和授权策略。在授权策略评估时，网络设备设备类型(纳季成水 平设置)与在授权配置文件定义的网络设备设备类型比较。匹配的网络设备设备类型仅授权配 置文件可以选择。 注意 ：访客VLAN重定向，包含Web重定向的ISE需要选择授权配置文件(CWA， MDM， NSP， CPP)和VLAN分配。客户端需要分配到有ISE作为唯一的DHCP服务器的网段。 1. ISE返回与VLAN信息的一Access-Accept。 2. 交换授权端口并且应用VLAN设置。 3. 客户端启动DHCP发现。如果PC在分段查找和ISE一样，数据包直接地到达ISE。在L3客户端 和ISE之间的连接的情况下，应该配置ISE IP作为在纳季的一IP辅助工具地址DHCP中继的。 4. ISE添加客户端信息到其DHCP绑定表。ISE使用客户端IP和MAC会话查找。 5. DHCP提供发送给客户端。在此提供， ISE IP地址指定作为DNS服务器。 6. 用户打开触发DNS请求对ISE的Web浏览器并且导航对。 7. ISE检查目标FQDN是否属于外部域。如果它，则ISE发送此请求到在DHCP池设置定义的 DNS服务器。如果不是ISE返回其在答复的自己的IP地址。 8. Web浏览器启动对ISE的一TCP 的连接和请求。 9. 在此阶段ISE为传入的HTTP GET请求查寻