Tweet
AAA Servers Tab(Thẻ máy chủ AAA)
Cisco WLC cho phép người quản trị chỉ định các máy chủ kế toán và xác thực khác nhau; tuy nhiên, đây là cấu hình không tương thích với máy chủ ISIUS RADIUS. ISE cung cấp các dịch vụ phiên được liên kết với nhau từ ID phiên trong gói xác thực và ID phiên trong gói kế toán.
Step 1. Click the AAA Servers tab and check the Apply Cisco ISE Default Settings Enabled check box.
Điều này tự động đảm bảo rằng các máy chủ xác thực và kế toán của bạn giống nhau trên mỗi dòng và định cấu hình các giá trị được gọi trong Bước 3 và 4. Nếu bạn đang sử dụng phiên bản WLC sớm hơn 8.4, thì cài đặt này không khả dụng và bạn phải tiếp tục với Bước 3 và 4 bằng tay.
Step 2. Select your ISE Policy Service Node(s) for both Authentication and Accounting.
Step 3. In the RADIUS Server Accounting section, check the Interim Update check box.
Step 4. Set the Interim Interval to 0 seconds.
Step 5. Click Apply.
Advanced Tab(Tab nâng cao)
Có một số cài đặt trên tab Nâng cao được yêu cầu cho hoạt động liền mạch với ISE cho tất cả các trường hợp sử dụng được áp dụng. Điều này được thiết lập chính xác giống như mạng WLAN khách, vì vậy bạn có thể tham khảo Hình 2-87, 2-88 và 2-89 để biết hình ảnh của cài đặt tab Nâng cao. Hãy nhớ rằng, với WLC phiên bản 8.4 trở lên, khi bạn đã chọn ISE làm máy chủ RADIUS, tất cả các cài đặt này được định cấu hình cho bạn.
Step 1. Check the Allow AAA Override Enabled check box.
Điều này sẽ cho phép ISE gán một Vlan và ACL khác với những gì được cấu hình trên mạng WLAN và giao diện theo mặc định. Điều này có thể được kiểm tra và chuyển sang màu xám tùy thuộc vào phiên bản WLC của bạn và nếu bạn đã sử dụng các hộp kiểm dễ dàng của Wikipedia cho ISE.
Step 2. Leave the Enable Session Timeout check box checked.
Step 3. Ensure that Client Exclusion Enabled check box is checked.
Step 4. Change the NAC State spin box to ISE NAC.
Trong các phiên bản WLC sớm hơn 8.3, cài đặt này được đặt tên là Rad Radius NAC, (vâng, tất cả phải là mũ, RADIUS). Tên và chính tả của cài đặt là không quan trọng. Tuy nhiên, chính cài đặt là rất quan trọng để cho phép chuyển hướng URL, CWA, đánh giá tư thế, cung cấp thay thế tự nhiên, chuyển hướng MDM, v.v.
Step 5. Scroll down to the Radius [sic] Client Profiling section and check both the DHCP Profiling and HTTP Profiling check boxes.
Cisco WLC có hai tùy chọn lược tả máy khách khác nhau: Hồ sơ khách hàng bán kính, gửi các thuộc tính đến ISE trong các gói kế toán RADIUS và Hồ sơ khách hàng cục bộ, trong đó WLC giữ thông tin và sử dụng cục bộ. Mặc dù giao diện dường như có thể sử dụng cả hai loại hồ sơ, chúng loại trừ lẫn nhau và không thể được bật cùng một lúc.
Step 6. Click Apply.
Step 7. Click Save Configuration.
Configuring ISE for Wireless Network Access Control(Cấu hình ISE để kiểm soát truy cập mạng không dây)
Hầu hết cấu hình ISE đã được hoàn thành trong phần Cấu hình ISE cho phần Điều khiển truy cập mạng có dây cơ bản; tuy nhiên, chúng tôi đã sử dụng điều kiện thiết bị kiểu máy = thiết bị chuyển mạch của bộ điều khiển trong bộ chính sách và bây giờ chúng tôi phải cập nhật điều đó để bao gồm các bộ điều khiển không dây.
From the ISE UI:
Step 1. Navigate to Work Centers > Network Access > Policy Sets.
Step 2. Di chuột qua ô Điều kiện cho bộ chính sách và bấm vào nó để chỉnh sửa, như trong Hình 2-94.
Step 3. Click New.
Step 4. Set the attribute to Device: Device Type, the operator to StartsWith, and the value to the WiFi NDG.
Step 5. Đảm bảo toán tử là OR, không phải AND, như trong Hình 2-95.
Step 6. Click Save.
Hình 2-95 hiển thị quy tắc thiết lập chính sách cấp cao nhất với các thiết bị Wi-Fi được thêm vào. Trong phần Cấu hình chính sách cho truy cập khác biệt, bạn đã xây dựng một bộ chính sách hoạt động hoàn hảo để ủy quyền cho các xác thực không dây này cùng với các xác thực có dây. Các SGT sẽ được chỉ định giống như các thiết bị chuyển mạch và các dACL sẽ bị bỏ qua vì WLC không hiểu các dACL. Nếu muốn có ACL để giới hạn lưu lượng, bạn chỉ cần thêm tên ACL của Airespace vào hồ sơ ủy quyền. Đó là nó! Bây giờ, bạn đã hoàn tất việc định cấu hình các thiết bị truy cập mạng và tạo chính sách của mình trong ISE. Trong phần tiếp theo, bạn sẽ kiểm tra công việc của mình và tìm hiểu một chút về khắc phục sự cố
Cisco WLC cho phép người quản trị chỉ định các máy chủ kế toán và xác thực khác nhau; tuy nhiên, đây là cấu hình không tương thích với máy chủ ISIUS RADIUS. ISE cung cấp các dịch vụ phiên được liên kết với nhau từ ID phiên trong gói xác thực và ID phiên trong gói kế toán.
Step 1. Click the AAA Servers tab and check the Apply Cisco ISE Default Settings Enabled check box.
Điều này tự động đảm bảo rằng các máy chủ xác thực và kế toán của bạn giống nhau trên mỗi dòng và định cấu hình các giá trị được gọi trong Bước 3 và 4. Nếu bạn đang sử dụng phiên bản WLC sớm hơn 8.4, thì cài đặt này không khả dụng và bạn phải tiếp tục với Bước 3 và 4 bằng tay.
Step 2. Select your ISE Policy Service Node(s) for both Authentication and Accounting.
Step 3. In the RADIUS Server Accounting section, check the Interim Update check box.
Step 4. Set the Interim Interval to 0 seconds.
Step 5. Click Apply.
Advanced Tab(Tab nâng cao)
Có một số cài đặt trên tab Nâng cao được yêu cầu cho hoạt động liền mạch với ISE cho tất cả các trường hợp sử dụng được áp dụng. Điều này được thiết lập chính xác giống như mạng WLAN khách, vì vậy bạn có thể tham khảo Hình 2-87, 2-88 và 2-89 để biết hình ảnh của cài đặt tab Nâng cao. Hãy nhớ rằng, với WLC phiên bản 8.4 trở lên, khi bạn đã chọn ISE làm máy chủ RADIUS, tất cả các cài đặt này được định cấu hình cho bạn.
Step 1. Check the Allow AAA Override Enabled check box.
Điều này sẽ cho phép ISE gán một Vlan và ACL khác với những gì được cấu hình trên mạng WLAN và giao diện theo mặc định. Điều này có thể được kiểm tra và chuyển sang màu xám tùy thuộc vào phiên bản WLC của bạn và nếu bạn đã sử dụng các hộp kiểm dễ dàng của Wikipedia cho ISE.
Step 2. Leave the Enable Session Timeout check box checked.
Step 3. Ensure that Client Exclusion Enabled check box is checked.
Step 4. Change the NAC State spin box to ISE NAC.
Trong các phiên bản WLC sớm hơn 8.3, cài đặt này được đặt tên là Rad Radius NAC, (vâng, tất cả phải là mũ, RADIUS). Tên và chính tả của cài đặt là không quan trọng. Tuy nhiên, chính cài đặt là rất quan trọng để cho phép chuyển hướng URL, CWA, đánh giá tư thế, cung cấp thay thế tự nhiên, chuyển hướng MDM, v.v.
Step 5. Scroll down to the Radius [sic] Client Profiling section and check both the DHCP Profiling and HTTP Profiling check boxes.
Cisco WLC có hai tùy chọn lược tả máy khách khác nhau: Hồ sơ khách hàng bán kính, gửi các thuộc tính đến ISE trong các gói kế toán RADIUS và Hồ sơ khách hàng cục bộ, trong đó WLC giữ thông tin và sử dụng cục bộ. Mặc dù giao diện dường như có thể sử dụng cả hai loại hồ sơ, chúng loại trừ lẫn nhau và không thể được bật cùng một lúc.
Step 6. Click Apply.
Step 7. Click Save Configuration.
Configuring ISE for Wireless Network Access Control(Cấu hình ISE để kiểm soát truy cập mạng không dây)
Hầu hết cấu hình ISE đã được hoàn thành trong phần Cấu hình ISE cho phần Điều khiển truy cập mạng có dây cơ bản; tuy nhiên, chúng tôi đã sử dụng điều kiện thiết bị kiểu máy = thiết bị chuyển mạch của bộ điều khiển trong bộ chính sách và bây giờ chúng tôi phải cập nhật điều đó để bao gồm các bộ điều khiển không dây.
From the ISE UI:
Step 1. Navigate to Work Centers > Network Access > Policy Sets.
Step 2. Di chuột qua ô Điều kiện cho bộ chính sách và bấm vào nó để chỉnh sửa, như trong Hình 2-94.
Step 3. Click New.
Step 4. Set the attribute to Device: Device Type, the operator to StartsWith, and the value to the WiFi NDG.
Step 5. Đảm bảo toán tử là OR, không phải AND, như trong Hình 2-95.
Step 6. Click Save.
Hình 2-95 hiển thị quy tắc thiết lập chính sách cấp cao nhất với các thiết bị Wi-Fi được thêm vào. Trong phần Cấu hình chính sách cho truy cập khác biệt, bạn đã xây dựng một bộ chính sách hoạt động hoàn hảo để ủy quyền cho các xác thực không dây này cùng với các xác thực có dây. Các SGT sẽ được chỉ định giống như các thiết bị chuyển mạch và các dACL sẽ bị bỏ qua vì WLC không hiểu các dACL. Nếu muốn có ACL để giới hạn lưu lượng, bạn chỉ cần thêm tên ACL của Airespace vào hồ sơ ủy quyền. Đó là nó! Bây giờ, bạn đã hoàn tất việc định cấu hình các thiết bị truy cập mạng và tạo chính sách của mình trong ISE. Trong phần tiếp theo, bạn sẽ kiểm tra công việc của mình và tìm hiểu một chút về khắc phục sự cố