没有合适的资源?快使用搜索试试~ 我知道了~
思科 BYOD+ISE 无线场景配置指南
5星 · 超过95%的资源 需积分: 12 70 下载量 197 浏览量
2012-11-17
08:44:12
上传
评论
收藏 3.57MB PDF 举报
温馨提示
试读
59页
思科 BYOD+ISE 无线场景配置指南,很好的资料
资源推荐
资源详情
资源评论
1
思科 BYOD+ISE 无线场景配置指南
目 录
1. 简介........................................................................................................................................................... 2
2. 演示准备................................................................................................................................................... 2
需求说明 .............................................................................................................................................. 2
设备组件 .............................................................................................................................................. 2
网络拓扑 .............................................................................................................................................. 3
3. 在 ISE 上创建内部用户 .......................................................................................................................... 3
4. 在 ISE 中添加 WLC 设备 ....................................................................................................................... 5
5. 在 ISE 中配置无线认证 .......................................................................................................................... 6
6. WLC 初始化配置 .................................................................................................................................... 8
7. ISE 设备识别与授权配置 ..................................................................................................................... 27
8. ISE 访客服务 ......................................................................................................................................... 47
9. BYOD 设备注册配置 ............................................................................................................................ 57
2
1. 简介
思科 Identity Service Engine(ISE)是思科的下一代的身份服务引擎,为思科的
TrustSec 解决方案提供了认证和授权的基础架构。此外 ISE 还提供了两个重要的服务:
ISE 从多种方式获得的设备属性信息,提供了自动识别终端设备类型的一
种方法。这种服务被称为设备识别 Profiler,与以前在 NAC Profiler 设
备提供的功能是相同的。
ISE 支持检查重点设备是否符合安全标准;例如,AV/AS 软件是否安装以
及其特征库文件的有效期(也称为终端状态 Posture)。以是在 NAC 设备
上提供了终端健康状态检查的功能。
思科 ISE 并且集成了 802.1X 认证,结合无线控制器(WLC)还实现了移动终端
设备哦的识别功能,如 Apple 的设备(iPhone, iPad 和 iPod), Android 系统的智能手
机等。对于 802.1X 用户而言,ISE 能够提供诸如设备识别 profiling 和终端状态检查
posture,访客服务 guest service。ISE 与无线控制器集成后,能够将 web authentication
的认证请求重定向到 ISE 上进行认证。
本文档介绍了对于 BYOD 的无线解决方案,如根据终端设备的类型和用户类型,
提供不同的访问权限。本文档并没有提供 BYOD 的完整的解决方案,但是演示了一
个简单用户场景的动态访问。此外还提供了一个配置举例,即通过 ISE 的 Sponsor
Portal 页面,经过授权的 Sponsor 如何为一位访客如何无线访问的服务。
原文链接:Wireless BYOD with Identity Services Engine
2. 演示准备
需求说明
本文档的内容是针对一般性的用户需求,假定了一个 BYOD 在无线网络的访问场
景,通过 ISE 实现认证和授权的配置过程。
设备组件
以下是本文档用到的设备组件的硬件和软件信息:
思科无线控制器 2504 或 2106,软件版本 7.2.103
交换机 Catalyst3560-8 口
ISE 1.0 MR(VMware server image version)
Windows 2008 服务器(VMware 版) – 内存 512M,磁盘 20GB
o Active Directory
o DNS
o DHCP
o CA 证书服务器
3
网络拓扑
下图为整个演示用到的网络拓扑图,和 IP 地址分配信息:
设备 IP 地址配置信息:
设备名称
IP 地址
登录信息
VMware Host
10.10.10.2
安装 ISE 的虚拟机服务器
Wireless LAN Controller
10.10.10.5
无线控制器
Identity Service Engine
10.10.10.70
admin/default1A
AD/DNS/DHCP/CA Server
10.10.10.10
安装 AD/DNS/DHCP/CA 的 2008 服务
器
3. 在 ISE 上创建内部用户
在简单的 PoC 测试中,Active Directory 不是必需的。ISE 可以单独用做身份验证
数据库,用于对用户的访问控制和授权的策略控制。
在 ISE1.0 版本中,ISE 可以使用 AD 的组别的属性进行授权。如果使用内部用户
(未集成 AD)进行授权,用户组别信息不能和设备组别信息同时使用(这个在 ISE1.1
中已经解决),因此仅可使用单个用户,比如 employees 或 contractors 可以和设备组
别信息进行组合授权。
配置步骤如下:
1). 通过浏览器访问 https://<ISE 的 IP 地址>。
2). 进入 Administration > Identity Management > Identities
4
3). 选择 Users,再点击 Add(Network Access Users)。输入以下用户信息:
o Name: employee
o Password: XXXX
4) 点击 Submit。再点击 Add,添加另一个用户:
Name: contractor
Password: XXXX
5) 确认两个用户都已经创建。
5
4. 在 ISE 中添加 WLC 设备
任何向 ISE 发起 RADIUS 请求的网络设备,必须事先添加到 ISE 中。这些定义到
ISE 上的设备都以 IP 地址进行区分。在 ISE 上添加网络设备,支持用 IP 地址范围表
示多台实际设备。
除了必须的用于 RADIUS 通信需要以外,ISE 添加设备时还包含了 SNMP 和 SSH
等信息。另外,网络设备的定义还要进行适当的分组,这样就可以利用设备的分组信
息来设置网络访问策略。
定义网络设备的步骤如下:
1) 进入 Administration > Network Resources > Network Devices.
2) 点击 Add,输入 IP 地址等信息,输入 cisco 作为共享密钥。
剩余58页未读,继续阅读
资源评论
- stonewyi2015-01-10还不错,部分内容很好参考
- qq_161312512014-06-07不错,非常实用,是很好的参考资料
- eastereaster2013-04-07还可以吧,部分内容比较有用
bestman_best
- 粉丝: 0
- 资源: 3
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功