Cisco Cisco Identity Services Engine 1.3 작동 가이드

操作指南

-40-Web  身份验证设计指南 

7 

集中式

  Web  身份验证 

图

  3  详细说明  CWA  流程。 

图

  3  集中式  Web  身份验证处理流程 

 

步骤

 1 思科交换机针对  IEEE 802.1X  和  MAB  进行了配置。Cisco WLC  配置为具有支持  MAC  过滤的开放式 

SSID。 

注：有关为

  CWA  配置交换机和  Cisco WLC  的详细步骤，请参阅以下操作指南。 

HowTo-10-Universal_Switch_Configuration   
HowTo-11-Universal_WLC_Configuration 

步骤

 2 用户连接到有线端口或与开放式无线  SSID  相关联。如果用户连接到有线端口，则第一个  IEEE 802.1X  超

时或失败。思科交换机然后回退到

  MAB。Cisco ISE  在内部终端身份库中找不到终端。此时，Cisco ISE  发送 

RADIUS access-accept，而不是向交换机发送  RADIUS access-reject  消息。 

步骤

 3 连同  RADIUS access-accept  一起，Cisco ISE  还向下推送过滤器  ACL (PERMIT_ALL_TRAFFIC)、重定向 

ACL (ACL-WEBAUTH-REDIRECT)  和  Web  门户  URL。RADIUS access-accept  指示交换机为常规网络流量打开
端口，现在根据端口和重定向

  ACL  会限制打开。 

步骤

 4 终端现在能够获取  IP  地址并解析  DNS  查询。它还会在  ISE  上触发新会话，此会话具有唯一会话  ID。 

步骤

 5 用户启动  Web  浏览器后，交换机或  Cisco WLC  就会将浏览器重定向到  ISE CWA Web  门户  URL。此时，

用户会输入其凭证并接受任何已配置的可接受使用策略

  (AUP)。 

步骤

 6 Cisco ISE  向网络接入设备发送  RADIUS CoA  信息。 

步骤

 7 网络接入设备重新验证终端并将其放在以前创建的同一会话中。Cisco ISE  现在向网络接入设备发送相应的

访问策略。