Tweet
Định cấu hình ACL của Airespace (Configure the Airespace ACLs)
Giống như chúng tôi đã làm với các thiết bị chuyển mạch Cisco Catalyst, chúng tôi sẽ tạo điều kiện cho Bộ điều khiển mạng LAN không dây với danh sách truy cập cho ACL Xác thực Web có tên ACL_WEBAUTH_REDIRECT.
Tên ACL này được sử dụng cụ thể vì nó phù hợp với cài đặt được cấu hình sẵn trong ISE và nó có thể giúp cuộc sống của bạn dễ dàng hơn một chút nếu đây là triển khai trường xanh. Bắt đầu với ISE 2.0, đã có một số cấu hình mặc định thông minh đi kèm với ISE để tạo ra ISE unboxing và thiết lập nó rất nhanh chóng và dễ dàng. Các cấu hình mặc định thông minh cho Guest và BYOD bao gồm việc sử dụng ACL chuyển hướng với tên cụ thể này.
Đương nhiên, bạn có thể sử dụng bất kỳ tên nào bạn muốn và chỉ cần thay đổi cấu hình được tích hợp trong ISE. Tuy nhiên, với mục đích của cuốn sách này, chúng tôi sẽ giữ cùng tên ACL.
Tạo ACL chuyển hướng xác thực web (Create the Web Authentication Redirection ACL)
Cũng như các công tắc Catalyst, chúng ta sẽ cần một ACL cục bộ trên WLC để chuyển hướng lưu lượng truy cập web đến cổng Xác thực Web tập trung. Tuy nhiên, với công tắc Catalyst, permit tuyên bố có nghĩa là lưu lượng truy cập nên được chuyển hướng, và deny tuyên bố mô tả lưu lượng không nên được chuyển hướng. Với công tắc Catalyst, chúng tôi cần hai ACL: một để xác định những gì được chuyển hướng và một thứ hai để lọc lưu lượng (cho phép hoặc từ chối lưu lượng giao thông).
Với WLC, có một danh sách truy cập duy nhất và nó kéo theo nhiệm vụ kép. Nó sẽ cho phép và từ chối lưu lượng truy cập, nhưng đồng thời lưu lượng truy cập bị từ chối sẽ được chuyển hướng đến cổng thông tin xác thực web tập trung.
From the WLC GUI:
Step 1. Navigate to Security > Access Control Lists > Access Control Lists.
Step 2. Click New to add a new ACL.
Step 3. Fill in the name as ACL_WEBAUTH_REDIRECT.
Step 4. Click Apply.
Bạn sẽ được đưa trở lại màn hình Danh sách điều khiển truy cập chính.
Step 5. Click the new entry: ACL_WEBAUTH_REDIRECT.
Step 6. Click Add New Rule in the upper-right corner.
A “rule” in the WLC is the equivalent of an access control entry in the switch. It is a line in the Access List.
Step 7. Tạo một bộ quy tắc cho ACL này, thực hiện như sau:
Giống như chúng tôi đã làm với các thiết bị chuyển mạch Cisco Catalyst, chúng tôi sẽ tạo điều kiện cho Bộ điều khiển mạng LAN không dây với danh sách truy cập cho ACL Xác thực Web có tên ACL_WEBAUTH_REDIRECT.
Tên ACL này được sử dụng cụ thể vì nó phù hợp với cài đặt được cấu hình sẵn trong ISE và nó có thể giúp cuộc sống của bạn dễ dàng hơn một chút nếu đây là triển khai trường xanh. Bắt đầu với ISE 2.0, đã có một số cấu hình mặc định thông minh đi kèm với ISE để tạo ra ISE unboxing và thiết lập nó rất nhanh chóng và dễ dàng. Các cấu hình mặc định thông minh cho Guest và BYOD bao gồm việc sử dụng ACL chuyển hướng với tên cụ thể này.
Đương nhiên, bạn có thể sử dụng bất kỳ tên nào bạn muốn và chỉ cần thay đổi cấu hình được tích hợp trong ISE. Tuy nhiên, với mục đích của cuốn sách này, chúng tôi sẽ giữ cùng tên ACL.
Tạo ACL chuyển hướng xác thực web (Create the Web Authentication Redirection ACL)
Cũng như các công tắc Catalyst, chúng ta sẽ cần một ACL cục bộ trên WLC để chuyển hướng lưu lượng truy cập web đến cổng Xác thực Web tập trung. Tuy nhiên, với công tắc Catalyst, permit tuyên bố có nghĩa là lưu lượng truy cập nên được chuyển hướng, và deny tuyên bố mô tả lưu lượng không nên được chuyển hướng. Với công tắc Catalyst, chúng tôi cần hai ACL: một để xác định những gì được chuyển hướng và một thứ hai để lọc lưu lượng (cho phép hoặc từ chối lưu lượng giao thông).
Với WLC, có một danh sách truy cập duy nhất và nó kéo theo nhiệm vụ kép. Nó sẽ cho phép và từ chối lưu lượng truy cập, nhưng đồng thời lưu lượng truy cập bị từ chối sẽ được chuyển hướng đến cổng thông tin xác thực web tập trung.
From the WLC GUI:
Step 1. Navigate to Security > Access Control Lists > Access Control Lists.
Step 2. Click New to add a new ACL.
Step 3. Fill in the name as ACL_WEBAUTH_REDIRECT.
Step 4. Click Apply.
Bạn sẽ được đưa trở lại màn hình Danh sách điều khiển truy cập chính.
Step 5. Click the new entry: ACL_WEBAUTH_REDIRECT.
Step 6. Click Add New Rule in the upper-right corner.
A “rule” in the WLC is the equivalent of an access control entry in the switch. It is a line in the Access List.
Step 7. Tạo một bộ quy tắc cho ACL này, thực hiện như sau:
- Cho phép tất cả lưu lượng ra bên ngoài (về phía máy khách).
- Cho phép DNS trong và ngoài nước.
- Cho phép cổng TCP 8443 gửi đến (từ máy khách vào mạng) đến các máy chủ ISE. Để đơn giản, bạn có thể muốn cho phép tất cả lưu lượng truy cập vào các nút ISE. Nó cũng sẽ cho phép bạn sử dụng lại ACL tương tự cho hầu hết các trường hợp sử dụng.
- Từ chối tất cả lưu lượng truy cập khác, sẽ chuyển hướng phần còn lại.