Cisco Cisco Identity Services Engine 1.3 작동 가이드

操作指南

-40-Web  身份验证设计指南 

9 

在

  Cisco WLC  上为  CWA  定义的访问控制列表 

1.

  Cisco WLC  上的重定向  ACL 

Cisco WLC  上的重定向  ACL  还命名为  ACL-WEBAUTH-REDIRECT，以维护与交换机配置的一致性。此  ACL  定
义如下所示。

 

图

  4 -  无线局域网控制器上用于  Web  身份验证的  ACL 

 

如果您将交换机重定向

  ACL  与  WLC  重定向  ACL  相比较，则会看到差异。我们使用语句  deny udp any any eq 

53  停止在交换机上重定向  DNS  流量，而在  WLC  上则对  DNS  流量使用允许操作。这是因为  WLC  上的重定向 
ACL  只是常规无线  ACL。因此，ACL  规则对于诸如  DNS  和流向  ISE (10.1.100.3)  的流量等允许的流量具有相应
的允许语句。任何其他流量都由隐式拒绝语句捕获，并且重定向到

  ISE  中设置的重定向  URL。当  ISE  通过授权配

置文件发送

  VSA  时，将会调用此  ACL。 

总之，

 

a.

  在思科交换机和  Cisco WLC  上均必须提前配置重定向  ACL ACL-WEBAUTH-REDIRECT。 

b.

  重定向  ACL  使用  ISE  授权配置文件中定义的  VSA  进行调用。 

c.

  流量应重新定向到的  URL  在  ISE  授权配置文件中还指定为  VSA。 

d.

  在交换机上定义重定向  ACL  时，拒绝语句会免除对流量进行重定向，而允许语句会重定向指定的

流量。

 

e.

  WLC  上的重定向  ACL  只是常规无线  ACL。允许语句会免除对流量进行重定向，而拒绝语句会重

定向指定的流量。

ACL  在末尾具有一个隐式拒绝语句。 

f.

  此外，ISE  授权策略还可以发送  DACL  来替换现有预身份验证交换机端口  ACL。