Cisco Cisco Identity Services Engine 1.0.4 Guía De Operación
操作指南
-40-Web 身份验证设计指南
9
在
Cisco WLC 上为 CWA 定义的访问控制列表
1.
Cisco WLC 上的重定向 ACL
Cisco WLC 上的重定向 ACL 还命名为 ACL-WEBAUTH-REDIRECT,以维护与交换机配置的一致性。此 ACL 定
义如下所示。
义如下所示。
图
4 - 无线局域网控制器上用于 Web 身份验证的 ACL
如果您将交换机重定向
ACL 与 WLC 重定向 ACL 相比较,则会看到差异。我们使用语句 deny udp any any eq
53 停止在交换机上重定向 DNS 流量,而在 WLC 上则对 DNS 流量使用允许操作。这是因为 WLC 上的重定向
ACL 只是常规无线 ACL。因此,ACL 规则对于诸如 DNS 和流向 ISE (10.1.100.3) 的流量等允许的流量具有相应
的允许语句。任何其他流量都由隐式拒绝语句捕获,并且重定向到
ACL 只是常规无线 ACL。因此,ACL 规则对于诸如 DNS 和流向 ISE (10.1.100.3) 的流量等允许的流量具有相应
的允许语句。任何其他流量都由隐式拒绝语句捕获,并且重定向到
ISE 中设置的重定向 URL。当 ISE 通过授权配
置文件发送
VSA 时,将会调用此 ACL。
总之,
a.
在思科交换机和 Cisco WLC 上均必须提前配置重定向 ACL ACL-WEBAUTH-REDIRECT。
b.
重定向 ACL 使用 ISE 授权配置文件中定义的 VSA 进行调用。
c.
流量应重新定向到的 URL 在 ISE 授权配置文件中还指定为 VSA。
d.
在交换机上定义重定向 ACL 时,拒绝语句会免除对流量进行重定向,而允许语句会重定向指定的
流量。
e.
WLC 上的重定向 ACL 只是常规无线 ACL。允许语句会免除对流量进行重定向,而拒绝语句会重
定向指定的流量。
ACL 在末尾具有一个隐式拒绝语句。
f.
此外,ISE 授权策略还可以发送 DACL 来替换现有预身份验证交换机端口 ACL。