Cisco Cisco Identity Services Engine 1.3 전단

第

15 页

安全访问操作指南

无线接入详细说明

思科

ISE 能够同时实施有线和无线访问策略，IT 管理员能够跨两种访问媒介轻松向用户提供类似的网络访问

体验。通过思科

ISE，我们可以在配置了 IEEE 802.1X 身份验证的无线网络上进行用户身份验证、设备分析和

状况评估。无线用户的身份验证和授权流程如下图所示。

图

20. 无线 802.1X 身份验证流程

1. 客户端使用 dot1x 身份验证成功通过身份验证。

2. RADIUS Access Accept 承载重定向的端口 80 URL 和预先身份验证的 ACL，其中包括允许通过的 IP 地址和

端口或者隔离

VLAN。

3. 客户端将重定向至 Access Accept 中提供的 URL，并加入到 Posture_Req 中，直到状况确认完成。

4. 客户端上的 NAC 代理启动状况确认（流向端口 80）：代理向端口 80 发送 HTTP 发现请求，控制器重新定

向至

Access Accept 中提供的 URL。思科 ISE 得知客户端试图访问，然后直接对客户端做出响应。这样，客

户端将获悉思科

ISE 服务器的 IP，随后，客户端即可与思科 ISE 服务器直接对话。

5. WLC 将允许此流量通过，因为我们已将 ACL 配置为允许此流量通过。在 VLAN 优先的情况下，我们只需

桥接该流量，使之能够达到思科

ISE 服务器。

6. 当思科 ISE 客户端完成评估时，即会向 WLC 发送一个带有重新身份验证服务的 RADIUS CoA-Req，该请

求将发起对于客户端的重新身份验证（通过发送

EAP-START）。重新身份验证一经成功通过，思科 ISE

即会发送带有新的

ACL 的已接受访问（如果存在），且不会重定向 URL 或访问 VLAN。

7. 依照 RFC 3576，WLC 可支持 CoA-Req 和 Disconnect-Req。依照 RFC 5176，WLC 需支持 CoA-Req，以提供

重新身份验证服务。

8. 我们需要在 WLC 上使用预配置 ACL，而不是可下载 ACL。思科 ISE 服务器发送 ACL 名称，其已在 WLC

中配置。

9. 这种设计应该适用于 VLAN 和 ACL 情况。如果 VLAN 优先的情况下，我们只需重定向端口 80，并允许

（桥接）隔离

VLAN 上的其余流量通过。对于 ACL 情况，我们将应用我们在已接受访问中获得的预先身

份验证

ACL。