Cisco Cisco Identity Services Engine Express License Bundle Guía De Operación
操作指南
-40-Web 身份验证设计指南
7
集中式
Web 身份验证
图
3 详细说明 CWA 流程。
图
3 集中式 Web 身份验证处理流程
步骤
1 思科交换机针对 IEEE 802.1X 和 MAB 进行了配置。Cisco WLC 配置为具有支持 MAC 过滤的开放式
SSID。
注:有关为
CWA 配置交换机和 Cisco WLC 的详细步骤,请参阅以下操作指南。
HowTo-10-Universal_Switch_Configuration
HowTo-11-Universal_WLC_Configuration
HowTo-11-Universal_WLC_Configuration
步骤
2 用户连接到有线端口或与开放式无线 SSID 相关联。如果用户连接到有线端口,则第一个 IEEE 802.1X 超
时或失败。思科交换机然后回退到
MAB。Cisco ISE 在内部终端身份库中找不到终端。此时,Cisco ISE 发送
RADIUS access-accept,而不是向交换机发送 RADIUS access-reject 消息。
步骤
3 连同 RADIUS access-accept 一起,Cisco ISE 还向下推送过滤器 ACL (PERMIT_ALL_TRAFFIC)、重定向
ACL (ACL-WEBAUTH-REDIRECT) 和 Web 门户 URL。RADIUS access-accept 指示交换机为常规网络流量打开
端口,现在根据端口和重定向
端口,现在根据端口和重定向
ACL 会限制打开。
步骤
4 终端现在能够获取 IP 地址并解析 DNS 查询。它还会在 ISE 上触发新会话,此会话具有唯一会话 ID。
步骤
5 用户启动 Web 浏览器后,交换机或 Cisco WLC 就会将浏览器重定向到 ISE CWA Web 门户 URL。此时,
用户会输入其凭证并接受任何已配置的可接受使用策略
(AUP)。
步骤
6 Cisco ISE 向网络接入设备发送 RADIUS CoA 信息。
步骤
7 网络接入设备重新验证终端并将其放在以前创建的同一会话中。Cisco ISE 现在向网络接入设备发送相应的
访问策略。