与交换机和身份服务引擎配置示例的中央Web认证.PDFVIP

与交换机和身份服务引擎配置示例的中央Web认 证 Contents Introduction Prerequisites Requirements Components Used Configure 概述 创建可下载的ACLS 创建授权配置文件 创建一个认证规则 创建一个授权规则 Enable (event) IP续订(可选) 交换机配置(摘要) 交换机配置(充分) HTTP代理配置 关于交换机SVIs的注意事项 关于HTTPS重定向的注意事项 最终结果 Verify Troubleshoot Related Information Introduction 本文描述如何用有线客户端配置中央Web认证被联络到交换机在身份服务引擎(ISE)帮助下。 中央Web认证的概念被反对本地Web认证，是在交换机的通常Web认证。在该系统中，在 dot1x/mab故障，交换机故障切换对webauth配置文件和重定向客户端的流量到在交换机的一个网页 。 中央Web认证提供可能性有作为Web门户的一个中央设备(在Th是示例， ISE)。主要区别与通常本 地Web认证比较是被转移与mac/dot1x认证一起分层堆积2。概念也有所不同因为RADIUS服务器(在 本例中的ISE)返回表明到交换机的特殊属性Web重定向必须发生。此解决方案有排除的优点是必要 为了Web认证能插入的所有延迟。全局，如果客户端工作站的MAC地址不由RADIUS服务器(但是其 他标准知道能也使用)，服务器回归重定向属性，并且交换机核准位置(通过MAC验证旁路 [MAB])，但是放置访问列表重定向Web数据流到门户。一旦在客户门户的用户登录，它通过CoA (授权的更改是可能)重新启动交换端口，以便一个新的第2层MAB认证出现。ISE能然后切记它是 webauth用户和适用第2层属性(类似动态范assignment)于用户。ActiveX组件能也强制客户端PC机 刷新其IP地址。 Prerequisites Requirements Cisco 建议您了解以下主题： 身份服务引擎(ISE) Cisco IOS交换机配置 Components Used 本文档中的信息基于以下软件和硬件版本： 思科身份服务引擎(ISE)，版本1.1.1 运行软件版本12.2.55SE3的Cisco Catalyst 3560 Series Switch Note:程序为其他Catalyst交换机型号是类似或相同的。您能除非陈术否则使用在所有Cisco IOS Software Releases的这些步骤Catalyst。 The information in this document was created from the devices in a specific lab environment.All of the devices used in this document started with a cleared (default) configuration.If your network is live, make sure that you understand the potential impact of any command. Configure 概述 ISE配置被做这五个步骤： 1. 创建可下载的访问控制表(ACL)。 2. 创建授权配置文件。 3. 创建一个认证规则。 4. 创建一个授权规则。 5. Enable (event) IP续订(可选)。 创建可下载的ACLS 这不是一个必须的步骤。用中央webauth配置文件传送的重定向ACL确定哪数据流(HTTP或 HTTPS)重定向对ISE。可下载的ACLS允许您定义什么数据流允许。您应该典型地允许DNS， HTTP和8443和拒绝其余。否则，交换机重定向HTTP数据流，但是允许其他协议。 完成这些步骤为了创建可下载的ACLS ： 1. 点击策略 ，并且点击策略元素。 2. 点击结果。 3. 扩展授权 ，并且点击可下载的ACLs。 4. 点击Add按钮 为了创建新的可下载的ACLS。 5. 在名称字段，请输入一个名字对于DACL。此示例使用myDACL。 此镜像显示典型的DACL内容，准许： DNS解析ISE门户主机名- HTTP和HTTPS -请允许重定向 TCP端口8443 -请担当客户门户端口 创建授权配置文件 完成这些步骤为了创建授权配置文件： 1.