Cisco Cisco Identity Services Engine 1.2 产品宣传页

第

24 页

安全访问操作指南

注：请注意输出信息有何不同之处。此过程将不再重定向

URL，用户名为已知。

图

33. Employee1 身份验证日志

图

34. Employee1 身份验证日志详细信息

配置思科

ISE 的无线访客访问

组织通常会使用一个开放的

SSID，以提供访客访问。访客用户连接到 SSID 时，他们将被重定向至

思科

ISE 的访客门户。在此过程中，他们可以使用其访客凭证（由保证人创建）获得网络的访问权限。

注：使用

DMZ 中的锚控制器，将访客流量与企业流量完全隔离，这是一个我们建议的最佳实践。但是，这不

属于

TrustSec 系统测试的一部分，因此本文未涵盖。即使这样也请注意，因为思科 ISE 通常都位于数据中心

中，所以流量流经

DMZ 中锚控制器的客户端再将流量发送回数据中心是很困难的。这一问题将在思科 ISE 的

未来版本中解决。

在

WLC 上定义访客 ACL

有关创建

wACL 的详细信息，请参阅

HowTo-11-Universal_WLC_Configuration

。

步骤

添加访客

wACL 规则（表 2）。

表

2. 访客 wACL

访客

wACL

序列

信息来源

任何环境

目标

IP 地址
10.1.20.1
255.255.255.255

IP 地址
10.1.0.0
255.255.0.0

任何环境

协议

任何环境

DSCP

任何环境

方向

任何环境

操作

允许

拒绝

允许

注：默认情况下，预先通过身份验证的终端设备可以使用

DNS。