Cisco Cisco Identity Services Engine 1.2 操作指南

安全访问操作指南

方案概览

本文档将介绍个人设备自注册过程，在自注册过程中，员工将注册新的设备，系统会自动为该用户和设备调配本地请求
方，并且使用预配置为将设备连接到企业网络的请求方配置文件来安装本地请求方。

Cisco ISE 策略还可以配置为根据用

户、设备类型、位置和时间对用户

/设备提供差异化访问权限。

进行无线自注册的设备可以设置为使用单

SSID 和/或双 SSID，每个用户用例的注册和激活流程如下。

我们将以

iPad 的本地请求方调配和授权为例，介绍本文档中所用的方案。

双

SSID 无线 BYOD 自行注册

客户网络设置有

2 个 SSID，一个是用于访客/BYOD (BYOD-Open) 的开放式 SSID，另一个是用于安全企业访问 (BYOD-

Dot1x) 的 SSID。

员工与访客

SSID (BYOD-Open) 相关联。

打开浏览器，然后系统会将员工重定向至

Cisco ISE CWA（集中式 Web 身份验证）访客门户。

员工在标准访客门户中输入其企业用户名和密码。

Cisco ISE 根据企业 Active Directory 或其他企业身份库对用户进行身份验证，提供授权，如果接受授权策略则重定向至员
工设备注册门户。

设备

MAC 地址已预先填入 DeviceID 的设备注册门户，并且员工可以输入可选描述，然后接受可接受的用户策略

（如需要）。

员工选择接受并开始下载和安装请求方调配向导。

通过使用

OTA，Cisco ISE 策略服务节点向 iPad 发送新的配置文件，包括颁发的证书（如果已配置），其中嵌入 iPad 的

MAC 地址和员工的 AD 用户名，以及强制使用 MSCHAPv2 或 EAP-TLS 进行 802.1X 身份验证的 Wi-Fi 请求方配置文件。

现在，

iPad 已配置为使用 MSCHAPv2 或 EAP-TLS 进行身份验证与企业无线网络进行关联，并且 Cisco ISE 授权策略将

使用证书中的属性实施网访问控制（例如，提供有限访问权限，因为

iPad 并非企业资产）。

Cisco ISE 发起授权变更 (CoA)，员工与企业 SSID (BYOD-Dot1x) 重新关联（如果采用双 SSID，则员工必须手动连接到
企业

SSID，而在采用单 SSID 的情况下，iPAD 会使用 EAP-TLS 自动重新连接），并且通过 MSCHAPv2 或 EAP-TLS

（为该请求方配置的身份验证方法）进行身份验证。

单

SSID 无线 BYOD 自行注册

1. 客户网络设置有一个 SSID (BYOD-Dot1x)，用于执行可同时支持 PEAP 和 EAP-TLS 的安全企业访问（当使用证

书时）。

2.  员工与企业 SSID (BYOD-Dot1x) 相关联。
3.  输入请求方的用户名和密码（均为 EMPLOYEE）以进行 PEAP 身份验证。
4.  Cisco ISE 根据企业 Active Directory 或其他企业身份库对用户进行身份验证，提供授权，如果接受授权策略则重

定向至员工设备注册门户。

5. 员工打开浏览器，然后系统会将员工重定向至员工设备注册门户。

第

4 页