Cisco Cisco Identity Services Engine 1.2 操作指南
操作指南
-40-Web 身份验证设计指南
8
CWA 配置说明
本节说明
Cisco ISE、思科交换机和思科无线局域网控制器上的各种重定向/过滤 ACL 和重定向策略如何操作以启
用
CWA。
注:有关详细配置步骤,请参阅
交换机:全球交换机配置
WLC:无线局域网控制器的基本配置
在思科交换机上为
CWA 定义的访问控制列表
交换机端口
ACL
这是
ACL-ALLOW 或 ACL-DEFAULT,具体视部署使用监控模式还是低影响模式而定。此 ACL 控制在重定向之
前允许哪些流量通过端口。此
ACL 仅特定于 Cisco IOS
®
软件设备,其主要用途是在使用 Authentication Open
命令时限制流量。
思科交换机上的重定向
ACL
重定向
ACL 是 ACL-WEBAUTH-REDIRECT,在交换机上定义如下:
C3750X(config)#ip access-list ext
ACL-WEBAUTH-REDIRECT
C3750X(config-ext-nacl)#remark explicitly deny DNS from being redirected to address a bug
C3750X(config-ext-nacl)#deny udp any any eq 53
C3750X(config-ext-nacl)#remark redirect all applicable traffic to the ISE Server
C3750X(config-ext-nacl)#permit tcp any any eq 80
C3750X(config-ext-nacl)#permit tcp any any eq 443
C3750X(config-ext-nacl)#remark all other traffic will be implicitly denied from the
C3750X(config-ext-nacl)#deny udp any any eq 53
C3750X(config-ext-nacl)#remark redirect all applicable traffic to the ISE Server
C3750X(config-ext-nacl)#permit tcp any any eq 80
C3750X(config-ext-nacl)#permit tcp any any eq 443
C3750X(config-ext-nacl)#remark all other traffic will be implicitly denied from the
redirection
Cisco ISE 指示交换机通过供应商特定属性来调用此重定向 ACL。供应商特定属性 (VSA) 在 ISE 中定义为授权配
置文件的一部分。此
置文件的一部分。此
ACL 帮助交换机识别应重定向到 ISE 以允许进行集中式 Web 身份验证 (CWA) 的流量。
为使
Web 身份验证适用,您希望主机对诸如 DHCP 和 DNS 等基本网络服务具有访问权限。因此,不要重定向
DHCP 和 DNS 流量。ACL 中的 deny udp any any eq 53 语句指示交换机拒绝端口 53 上的用户数据报协议
(UDP) 流量的重定向,因此,主机将具有 DNS 服务访问权限。
(UDP) 流量的重定向,因此,主机将具有 DNS 服务访问权限。
注:由于现有错误,思科交换机会重定向
DNS 流量。变通方法是专门指示交换机不要重定向 DNS 流量。
虽然我们允许主机访问基本网络服务,但是希望重定向来自主机的所有网络流量。
ACL 中的 permit tcp any any
eq 80 和 permit tcp any any eq 443 语句指示交换机重定向 HTTP 和 HTTPS 流量。流量应重定向到的 URL 在
另一个
另一个
VSA 中定义,并会在后续部分中进行讨论。