客户端eisa配置
eisa配置 时间:2021-03-27 阅读:()
NAC带外(OOB)无线配置示例ContentsIntroductionPrerequisitesRequirementsComponentsUsedConventions背景信息CiscoNAC概述虚拟网关模式(网桥模式)带外模式单一登录配置NACOOB无线解决方案Catalyst交换机配置在WLC和NAC管理器上配置NACOOB的步骤使用OOB无线解决方案配置单一登录(SSO)在NAC管理器上配置SSO的步骤在无线局域网控制器上配置SSO的步骤Verify用于验证的CISCOWLCCLI命令从WLCGUI进行的客户端状态验证使用WLC验证NAC服务器上的单一登录Troubleshoot故障排除命令RelatedInformationIntroduction本文档提供在Cisco统一无线网络部署中部署带外(OOB)Cisco网络准入控制(NAC)设备终点安全功能的设计指导.
这些最佳实践建议假设,已根据企业移动性设计指南3.
0版中提供的准则部署了Cisco统一无线网络.
建议的设计是虚拟网关(网桥模式)和使用RADIUS单一登录的中央部署OOB解决方案.
无线局域网控制器(WLC)必须放置在邻近NAC服务器的第2层上.
客户端关联到WLC,WLC对用户进行身份验证.
完成身份验证后,用户数据流将通过隔离VLAN从WLC进入NAC服务器.
会进行状态评估和修正过程.
一旦用户获得认证,该用户的VLAN将在WLC中从隔离VLAN更改为接入VLAN.
数据流在移至接入VLAN时将绕过NAC服务器.
PrerequisitesRequirements本文档配置特定于NAC4.
5和WLC5.
1版本ComponentsUsed本文档限于特定的软件和硬件版本.
NAC服务器33504.
5qNAC管理器33504.
5qWLC21065.
1qTheinformationinthisdocumentwascreatedfromthedevicesinaspecificlabenvironment.
Allofthedevicesusedinthisdocumentstartedwithacleared(default)configuration.
Ifyournetworkislive,makesurethatyouunderstandthepotentialimpactofanycommand.
Conventions有关文档规则的详细信息,请参阅Cisco技术提示规则.
背景信息CiscoNAC概述CiscoNAC使用网络基础架构强制所有需要访问网络计算资源的设备遵守安全策略.
使用CiscoNAC设备,网络管理员可以在有线、无线和远程用户及其计算机访问网络之前对其进行身份验证、授权、评估和修正.
CiscoNAC设备先确定网络设备(如便携式计算机、IP电话或游戏控制台)是否与网络安全策略相符,并修复任何漏洞,然后再允许它们访问网络.
下面将讨论建议设计的术语:虚拟网关模式(网桥模式)当NAC设备被配置为虚拟网关时,它充当最终用户和受管客户端子网的默认网关(路由器)之间的网桥.
对于给定客户端VLAN,NAC设备将数据流从其不受信任的接口桥接到其受信任的接口.
它充当从设备的不受信任端到受信任端的网桥时,将使用两个VLAN.
例如,客户端VLAN110被定义在无线局域网控制器(WLC)和NAC设备的不受信任接口之间.
在分布层交换机上,没有与VLAN110关联的路由接口或交换虚拟接口(SVI).
VLAN10被配置在NAC设备的受信任接口和客户端子网的下一跳路由器接口/SVI之间.
将到达VLAN110的数据包向外转发到VLAN10的NAC设备交换VLAN标记信息时,会在该设备中建立一个映射规则,如图1-1所示.
对于返回客户端的数据包,过程正好相反.
请注意,在此模式下,不会将BPDU从不受信任端VLAN传送到其受信任端对等VLAN.
将NAC设备以逻辑内联方式放置在客户端和受保护的网络之间时,通常选择VLAN映射选项.
如果要将NAC设备部署在使用统一无线部署的虚拟网关模式下,则必须使用此桥接选项.
由于NAC服务器知道上层协议,因此默认情况下它明确允许要求它以已经过身份验证的角色连接到网络的协议,例如,DNS和DHCP.
图1-1使用VLAN映射的虚拟网关带外模式带外部署要求用户数据流仅在身份验证、状态评估和修正过程中通过NAC设备.
当用户经过身份验证并通过所有策略检查后,数据流将正常地通过网络交换并绕过NAC服务器.
有关详细信息,请参阅CiscoNACAppliance-CleanAccessManager安装和管理指南的第4章.
以这种方式配置NAC设备时,WLC是NAC管理器中的一个受管设备,NAC管理器以同样的方式管理Cisco交换机.
当用户经过身份验证并通过状态评估后,NAC管理器将指示WLC标记从NACVLAN到提供访问权限的接入VLAN的用户数据流.
图1-2带外模式下使用虚拟网关模式的NAC设备单一登录单一登录(SSO)是一个不需要用户干预且实施过程相当简单的选项.
它利用NAC解决方案的VPNSSO功能,外加客户端PC上运行的CleanAccess代理软件.
VPNSSO使用RADIUS记账记录通知NAC设备有关连接到网络的已经过身份验证的远程访问用户的情况.
同样地,可以将此功能与WLAN控制器结合使用以自动通知NAC服务器有关连接到网络的已经过身份验证的无线客户端的情况.
有关通过NAC设备执行SSO身份验证、状态评估、修正和网络访问的无线客户端的示例,请参见图1-3到1-6.
图1-3中显示以下过程序列:无线用户通过WLAN控制器对上游AAA服务器执行802.
1x/EAP身份验证.
1.
客户端从AAA或DHCP服务器获得IP地址.
2.
客户端收到IP地址后,WLC会将RADIUS记账(开始)记录转发给NAC设备,其中包括无线客户端的IP地址.
Note:WLC控制器对802.
1x客户端身份验证和IP地址分配使用一条RADIUS记账记录(开始),而CiscoCatalyst交换机会发送两条记账记录:在802.
1x客户端身份验证后将发送一条记账开始记录,在为客户端分配IP地址后将发送一条临时更新记录.
3.
检测到网络连接后,NAC代理会尝试连接到CAM(使用SWISS协议).
数据流被NAC服务器拦截,NAC服务器转而查询NAC管理器以确定用户是否位于联机用户列表中.
只有经过身份验证的客户端才位于联机用户列表中,这是以上示例中作为第3步中RADIUS更新结果的情况.
4.
NAC代理执行客户端计算机的本地安全/风险状态评估,并将评估转发给NAC服务器以进行网络准入决定.
图1-3客户端身份验证过程和状态评估5.
图1-4中发生以下过程序列:NAC设备将代理评估转发给NAC设备管理器(CAM).
1.
在本示例中,CAM确定客户端不符合要求并指示NAC设备将用户放到隔离角色中.
2.
然后,NAC设备向客户端代理发送修正信息.
图1-4从CAS到CAM的状态评估信息3.
图1-5中发生以下过程序列:客户端代理显示完成剩余修正所需的时间.
1.
代理指导用户逐步完成修正过程;例如,在防病毒定义文件的更新中.
2.
修正完成后,代理会更新NAC服务器.
3.
CAM向用户显示一个可接受使用政策(AUP)声明.
图1-5使用CAS作为实施设备的客户端修正过程4.
图1-6中发生以下过程序列:接受AUP后,NAC设备会将用户转换为联机(已授权)角色.
1.
SSO功能使用客户端IP地址填充联机用户列表.
修正后,会将一个主机条目添加到已认证列表中.
这两个表(与已发现客户端表一起)都由CAM(NAC设备管理器)进行维护.
2.
NAC管理器向WLC发送一个SNMP写通知以将用户VLAN从隔离VLAN更改为接入VLAN.
3.
带有接入VLAN标记的用户数据流开始离开WLC.
NAC服务器不再位于此特定用户数据流的路径中.
图1-6已认证客户端通过切换到接入VLAN绕过CAS4.
有助于进行无线用户身份验证的最简单的方法是,在NAC服务器上启用VPN-SSO身份验证并配置WLC以将RADIUS记账记录转发到NAC服务器.
如果需要将记账记录转发到位于网络上游的RADIUS服务器,则可以配置NAC服务器以将记账数据包转发到RADIUS服务器.
Note:如果启用了VPN-SSO身份验证而未在客户端PC上安装CleanAccess代理,则仍会自动对用户进行身份验证.
但是,在打开用户Web浏览器并进行连接尝试之前,不会通过NAC设备自动连接这些用户.
在这种情况下,当用户打开他们的网络浏览器时,会在"无代理"阶段中暂时重定向他们(没有登录提示).
SSO进程完成后,会将他们连接到他们最初请求的URL.
配置NACOOB无线解决方案本部分提供有关如何配置本文档所述功能的信息.
Note:使用命令查找工具(仅限注册用户)可获取有关本部分所使用命令的详细信息.
在当前NAC实施中,WLC仅在带内模式下与CiscoNAC设备集成,在带内模式下,NAC设备必须保留在数据路径中,即使在用户已获得认证后也是如此.
NAC设备完成其状态验证后,员工/访客将收到基于其角色的网络访问权限.
使用NAC4.
5和WLC5.
1版本,无线NAC解决方案支持将OOB与NAC设备集成.
客户端关联并完成第2层身份验证后,会检查隔离接口是否已关联到WLAN/SSID.
如果是,则在隔离接口上发送初始数据流.
客户端数据流将流入已中继到NAC设备的隔离VLAN中.
状态验证完成后,NAC管理器会发送一条更新接入VLANID的SNMP设置消息;控制器使用接入VLANID更新它自身,并且数据流开始从控制器直接交换到网络,而不经过NAC服务器.
图2-1通过交换机连接到WLC的网桥模式下的独立CAS示例在图2-1中,WLC连接到一个中继端口,该中继端口连接隔离VLAN和接入VLAN(176和175).
在交换机上,隔离VLAN数据流将中继到NAC设备,接入VLAN数据流将直接中继到第3层交换机.
到达NAC设备上的隔离VLAN的数据流将被映射,以根据静态映射配置访问VLAN.
当客户端关联完成第2层身份验证后,它会检查是否已关联隔离接口;如果是,则在隔离接口上发送数据.
客户端数据流将流入已中继到NAC设备的隔离VLAN中.
状态验证完成后,NAC服务器(CAS)会向控制器发送一条更新接入VLANID的SNMP设置消息,数据流开始从WLC直接交换到网络,而不经过NAC服务器.
限制没有关联的端口配置文件q未在NAC管理器上指定VLANID:定义在WLC上qMAC过滤器支持无法使用角色设置中的VLANIDq仅带外虚拟网关NAC服务器模式技术支持qWLC和NAC服务器之间的第2层关联qNACISR和WLCNM不能设置为执行无线OOBNACqNote:请参见在CiscoNAC设备的虚拟网关模式部分的VLAN映射-CleanAccess服务器配置指南,在虚拟网关模式下发布4.
8(1)关于如何安全配置VLAN的更多信息.
Catalyst交换机配置interfaceGigabitEthernet2/21descriptionNACSERVERUNTRUSTEDINTERFACEswitchportswitchporttrunknativevlan998switchporttrunkallowedvlan176switchportmodetrunknoipaddress!
interfaceGigabitEthernet2/22descriptionNACSERVERTRUSTEDINTERFACEswitchportswitchporttrunknativevlan999switchporttrunkallowedvlan11,175switchportmodetrunknoipaddress!
interfaceGigabitEthernet2/23descriptionNACMANAGERINTERFACEswitchportswitchportaccessvlan10noipaddressspanning-treeportfast!
interfaceGigabitEthernet2/1descriptionWLCswitchportswitchporttrunkallowedvlan75,175,176switchporttrunknativevlan75switchportmodetrunknoipaddress!
interfaceVlan75DescriptionWLCManagementVLANipaddress10.
10.
75.
1255.
255.
255.
0!
interfaceVlan175DescriptionClientSubnetAccessVLANipaddress10.
10.
175.
1255.
255.
255.
0end在WLC和NAC管理器上配置NACOOB的步骤请按照以下步骤在WLC和NAC管理器上配置NACOOB:在控制器上启用SNMPv2模式.
1.
在CAM管理器上为WLC创建一个配置文件.
单击OOBManagementProfile>Device>New.
2.
在CAM上创建配置文件后,请在配置文件中添加WLC;转至OOBManagement>Devices>New并输入WLC的管理IP地址.
3.
现在已在CAM管理器中添加了控制器.
在WLC中添加CAM作为SNMP陷阱接收器.
请使用CAM中作为SNMP接收器的陷阱接收器的确切名称.
4.
以同样的名称在CAM中配置SNMP陷阱接收器,该名称在控制器上指定;单击OOBManagement>SNMPReceiver下的Profiles.
5.
在此阶段,WLC和CAM可以相互通信以进行客户端状态验证和访问/隔离状态更新.
在控制器中,创建连接接入VLAN和隔离VLAN的动态接口.
6.
创建WLAN,并将其与动态接口关联.
7.
最后,在WLAN中启用NAC.
8.
在CAS服务器中添加客户端子网作为受管子网;单击CASserver>SelectyourCASserver>Manage>Advanced>ManagedSubnets>AddUnusedIPaddressfromtheclientsubnet并输入受管子网的隔离VLAN(不受信任的VLAN).
9.
在CAS上创建VLAN映射.
选择CAS服务器>选择您的CAS服务器>管理>Advanced>VLAN映射.
添加接入VLAN作为受信任的VLAN并添加隔离VLAN作为不受信任的VLAN.
10.
使用OOB无线解决方案配置单一登录(SSO)以下是启用无线SSO的要求:在NAC服务器上启用VPN身份验证-WLC在NAC设备中被定义为"VPN集中器".
1.
在WLC上启用RADIUS记账-在NAC设备中定义的控制器必须配置为针对每个802.
1x/EAPWLAN(NAC中的受管子网)向NAC设备发送RADIUS记账记录.
2.
在NAC管理器上配置SSO的步骤请按照以下步骤在NAC管理器上配置SSO:在CAM左侧菜单中的DeviceManagement下,选择CCAServer,然后单击NACServer链接.
1.
从ServerStatus页中,选择Authentication选项卡,然后选择VPNAuth子菜单.
请参阅图3-1.
图3-1启用单一登录NAC服务器2.
选择VPNConcentratorsSetting(图3-2)以添加一个新的WLC条目.
填充WLC管理IP地址和您要在WLC和NAC服务器之间使用的共享密钥的输入字段.
图3-2在VPNConcentrator部分下添加WLC作为RADIUS客户端3.
对于角色映射,请在UserManagement>AuthServers下添加类型为VPNsso的新身份验证服务器.
4.
单击Mapping图标,然后添加映射规则.
映射根据WLC在记账数据包中发送的类属性25值的不同而异.
此属性值在RADIUS服务器中配置,并根据用户授权的不同而异.
在本示例中,属性值为ALLOWALL,它位于角色AllowAll中.
5.
在无线局域网控制器上配置SSO的步骤需要在WLC上配置RADIUS记账以通过NAC服务器实现单一登录功能.
VerifyUsethissectiontoconfirmthatyourconfigurationworksproperly.
命令输出解释程序(仅限注册用户)(OIT)支持某些show命令.
使用OIT可查看对show命令输出的分析.
用于验证的CISCOWLCCLI命令(CiscoController)>showinterfacesummaryInterfaceNamePortVlanIdIPAddressTypeApMgrGuestap-manager1untagged10.
10.
75.
3StaticYesNomanagement1untagged10.
10.
75.
2StaticNoNonac-vlan117510.
10.
175.
2DynamicNoNoservice-portN/AN/A192.
168.
1.
1StaticNoNovirtualN/AN/A1.
1.
1.
1StaticNoNo(CiscoController)>showinterfacedetailedmanagementInterfaceName.
managementMACAddress.
00:18:73:34:b2:60IPAddress.
10.
10.
75.
2IPNetmask.
255.
255.
255.
0IPGateway.
10.
10.
75.
1VLAN.
untaggedQuarantine-vlan.
0ActivePhysicalPort.
1PrimaryPhysicalPort.
1BackupPhysicalPort.
UnconfiguredPrimaryDHCPServer.
10.
10.
75.
1SecondaryDHCPServer.
UnconfiguredDHCPOption82.
DisabledACL.
UnconfiguredAPManager.
NoGuestInterface.
No(CiscoController)>showinterfacedetailednac-vlanInterfaceName.
nac-vlanMACAddress.
00:18:73:34:b2:63IPAddress.
10.
10.
175.
2IPNetmask.
255.
255.
255.
0IPGateway.
10.
10.
175.
1VLAN.
175Quarantine-vlan.
176ActivePhysicalPort.
1PrimaryPhysicalPort.
1BackupPhysicalPort.
UnconfiguredPrimaryDHCPServer.
10.
10.
175.
1SecondaryDHCPServer.
UnconfiguredDHCPOption82.
DisabledACL.
UnconfiguredAPManager.
NoGuestInterface.
No从WLCGUI进行的客户端状态验证最初,客户端处于隔离状态,直到在NAC设备中完成状态分析.
完成状态分析后,客户端的NAC状态必须为Access.
使用WLC验证NAC服务器上的单一登录在VPNAuth下,转至ActiveClient子部分以验证记账开始数据包是否已从WLC到达.
此条目显示已在客户端计算机上安装的CCA代理.
您需要打开浏览器来完成不需要代理的单一登录进程.
当用户打开浏览器时,将执行SSO进程,并且用户将显示在联机用户列表(OUL)中.
使用RADIUS记账停止数据包,会将用户从活动客户端列表中删除.
Troubleshoot目前没有针对此配置的故障排除信息.
故障排除命令命令输出解释程序(仅限注册用户)(OIT)支持某些show命令.
使用OIT可查看对show命令输出的分析.
Note:使用debug命令之前,请参阅有关Debug命令的重要信息.
RelatedInformation远程验证拨入用户服务(RADIUS)q请求注解(RFC)qTechnicalSupport&Documentation-CiscoSystemsq
这些最佳实践建议假设,已根据企业移动性设计指南3.
0版中提供的准则部署了Cisco统一无线网络.
建议的设计是虚拟网关(网桥模式)和使用RADIUS单一登录的中央部署OOB解决方案.
无线局域网控制器(WLC)必须放置在邻近NAC服务器的第2层上.
客户端关联到WLC,WLC对用户进行身份验证.
完成身份验证后,用户数据流将通过隔离VLAN从WLC进入NAC服务器.
会进行状态评估和修正过程.
一旦用户获得认证,该用户的VLAN将在WLC中从隔离VLAN更改为接入VLAN.
数据流在移至接入VLAN时将绕过NAC服务器.
PrerequisitesRequirements本文档配置特定于NAC4.
5和WLC5.
1版本ComponentsUsed本文档限于特定的软件和硬件版本.
NAC服务器33504.
5qNAC管理器33504.
5qWLC21065.
1qTheinformationinthisdocumentwascreatedfromthedevicesinaspecificlabenvironment.
Allofthedevicesusedinthisdocumentstartedwithacleared(default)configuration.
Ifyournetworkislive,makesurethatyouunderstandthepotentialimpactofanycommand.
Conventions有关文档规则的详细信息,请参阅Cisco技术提示规则.
背景信息CiscoNAC概述CiscoNAC使用网络基础架构强制所有需要访问网络计算资源的设备遵守安全策略.
使用CiscoNAC设备,网络管理员可以在有线、无线和远程用户及其计算机访问网络之前对其进行身份验证、授权、评估和修正.
CiscoNAC设备先确定网络设备(如便携式计算机、IP电话或游戏控制台)是否与网络安全策略相符,并修复任何漏洞,然后再允许它们访问网络.
下面将讨论建议设计的术语:虚拟网关模式(网桥模式)当NAC设备被配置为虚拟网关时,它充当最终用户和受管客户端子网的默认网关(路由器)之间的网桥.
对于给定客户端VLAN,NAC设备将数据流从其不受信任的接口桥接到其受信任的接口.
它充当从设备的不受信任端到受信任端的网桥时,将使用两个VLAN.
例如,客户端VLAN110被定义在无线局域网控制器(WLC)和NAC设备的不受信任接口之间.
在分布层交换机上,没有与VLAN110关联的路由接口或交换虚拟接口(SVI).
VLAN10被配置在NAC设备的受信任接口和客户端子网的下一跳路由器接口/SVI之间.
将到达VLAN110的数据包向外转发到VLAN10的NAC设备交换VLAN标记信息时,会在该设备中建立一个映射规则,如图1-1所示.
对于返回客户端的数据包,过程正好相反.
请注意,在此模式下,不会将BPDU从不受信任端VLAN传送到其受信任端对等VLAN.
将NAC设备以逻辑内联方式放置在客户端和受保护的网络之间时,通常选择VLAN映射选项.
如果要将NAC设备部署在使用统一无线部署的虚拟网关模式下,则必须使用此桥接选项.
由于NAC服务器知道上层协议,因此默认情况下它明确允许要求它以已经过身份验证的角色连接到网络的协议,例如,DNS和DHCP.
图1-1使用VLAN映射的虚拟网关带外模式带外部署要求用户数据流仅在身份验证、状态评估和修正过程中通过NAC设备.
当用户经过身份验证并通过所有策略检查后,数据流将正常地通过网络交换并绕过NAC服务器.
有关详细信息,请参阅CiscoNACAppliance-CleanAccessManager安装和管理指南的第4章.
以这种方式配置NAC设备时,WLC是NAC管理器中的一个受管设备,NAC管理器以同样的方式管理Cisco交换机.
当用户经过身份验证并通过状态评估后,NAC管理器将指示WLC标记从NACVLAN到提供访问权限的接入VLAN的用户数据流.
图1-2带外模式下使用虚拟网关模式的NAC设备单一登录单一登录(SSO)是一个不需要用户干预且实施过程相当简单的选项.
它利用NAC解决方案的VPNSSO功能,外加客户端PC上运行的CleanAccess代理软件.
VPNSSO使用RADIUS记账记录通知NAC设备有关连接到网络的已经过身份验证的远程访问用户的情况.
同样地,可以将此功能与WLAN控制器结合使用以自动通知NAC服务器有关连接到网络的已经过身份验证的无线客户端的情况.
有关通过NAC设备执行SSO身份验证、状态评估、修正和网络访问的无线客户端的示例,请参见图1-3到1-6.
图1-3中显示以下过程序列:无线用户通过WLAN控制器对上游AAA服务器执行802.
1x/EAP身份验证.
1.
客户端从AAA或DHCP服务器获得IP地址.
2.
客户端收到IP地址后,WLC会将RADIUS记账(开始)记录转发给NAC设备,其中包括无线客户端的IP地址.
Note:WLC控制器对802.
1x客户端身份验证和IP地址分配使用一条RADIUS记账记录(开始),而CiscoCatalyst交换机会发送两条记账记录:在802.
1x客户端身份验证后将发送一条记账开始记录,在为客户端分配IP地址后将发送一条临时更新记录.
3.
检测到网络连接后,NAC代理会尝试连接到CAM(使用SWISS协议).
数据流被NAC服务器拦截,NAC服务器转而查询NAC管理器以确定用户是否位于联机用户列表中.
只有经过身份验证的客户端才位于联机用户列表中,这是以上示例中作为第3步中RADIUS更新结果的情况.
4.
NAC代理执行客户端计算机的本地安全/风险状态评估,并将评估转发给NAC服务器以进行网络准入决定.
图1-3客户端身份验证过程和状态评估5.
图1-4中发生以下过程序列:NAC设备将代理评估转发给NAC设备管理器(CAM).
1.
在本示例中,CAM确定客户端不符合要求并指示NAC设备将用户放到隔离角色中.
2.
然后,NAC设备向客户端代理发送修正信息.
图1-4从CAS到CAM的状态评估信息3.
图1-5中发生以下过程序列:客户端代理显示完成剩余修正所需的时间.
1.
代理指导用户逐步完成修正过程;例如,在防病毒定义文件的更新中.
2.
修正完成后,代理会更新NAC服务器.
3.
CAM向用户显示一个可接受使用政策(AUP)声明.
图1-5使用CAS作为实施设备的客户端修正过程4.
图1-6中发生以下过程序列:接受AUP后,NAC设备会将用户转换为联机(已授权)角色.
1.
SSO功能使用客户端IP地址填充联机用户列表.
修正后,会将一个主机条目添加到已认证列表中.
这两个表(与已发现客户端表一起)都由CAM(NAC设备管理器)进行维护.
2.
NAC管理器向WLC发送一个SNMP写通知以将用户VLAN从隔离VLAN更改为接入VLAN.
3.
带有接入VLAN标记的用户数据流开始离开WLC.
NAC服务器不再位于此特定用户数据流的路径中.
图1-6已认证客户端通过切换到接入VLAN绕过CAS4.
有助于进行无线用户身份验证的最简单的方法是,在NAC服务器上启用VPN-SSO身份验证并配置WLC以将RADIUS记账记录转发到NAC服务器.
如果需要将记账记录转发到位于网络上游的RADIUS服务器,则可以配置NAC服务器以将记账数据包转发到RADIUS服务器.
Note:如果启用了VPN-SSO身份验证而未在客户端PC上安装CleanAccess代理,则仍会自动对用户进行身份验证.
但是,在打开用户Web浏览器并进行连接尝试之前,不会通过NAC设备自动连接这些用户.
在这种情况下,当用户打开他们的网络浏览器时,会在"无代理"阶段中暂时重定向他们(没有登录提示).
SSO进程完成后,会将他们连接到他们最初请求的URL.
配置NACOOB无线解决方案本部分提供有关如何配置本文档所述功能的信息.
Note:使用命令查找工具(仅限注册用户)可获取有关本部分所使用命令的详细信息.
在当前NAC实施中,WLC仅在带内模式下与CiscoNAC设备集成,在带内模式下,NAC设备必须保留在数据路径中,即使在用户已获得认证后也是如此.
NAC设备完成其状态验证后,员工/访客将收到基于其角色的网络访问权限.
使用NAC4.
5和WLC5.
1版本,无线NAC解决方案支持将OOB与NAC设备集成.
客户端关联并完成第2层身份验证后,会检查隔离接口是否已关联到WLAN/SSID.
如果是,则在隔离接口上发送初始数据流.
客户端数据流将流入已中继到NAC设备的隔离VLAN中.
状态验证完成后,NAC管理器会发送一条更新接入VLANID的SNMP设置消息;控制器使用接入VLANID更新它自身,并且数据流开始从控制器直接交换到网络,而不经过NAC服务器.
图2-1通过交换机连接到WLC的网桥模式下的独立CAS示例在图2-1中,WLC连接到一个中继端口,该中继端口连接隔离VLAN和接入VLAN(176和175).
在交换机上,隔离VLAN数据流将中继到NAC设备,接入VLAN数据流将直接中继到第3层交换机.
到达NAC设备上的隔离VLAN的数据流将被映射,以根据静态映射配置访问VLAN.
当客户端关联完成第2层身份验证后,它会检查是否已关联隔离接口;如果是,则在隔离接口上发送数据.
客户端数据流将流入已中继到NAC设备的隔离VLAN中.
状态验证完成后,NAC服务器(CAS)会向控制器发送一条更新接入VLANID的SNMP设置消息,数据流开始从WLC直接交换到网络,而不经过NAC服务器.
限制没有关联的端口配置文件q未在NAC管理器上指定VLANID:定义在WLC上qMAC过滤器支持无法使用角色设置中的VLANIDq仅带外虚拟网关NAC服务器模式技术支持qWLC和NAC服务器之间的第2层关联qNACISR和WLCNM不能设置为执行无线OOBNACqNote:请参见在CiscoNAC设备的虚拟网关模式部分的VLAN映射-CleanAccess服务器配置指南,在虚拟网关模式下发布4.
8(1)关于如何安全配置VLAN的更多信息.
Catalyst交换机配置interfaceGigabitEthernet2/21descriptionNACSERVERUNTRUSTEDINTERFACEswitchportswitchporttrunknativevlan998switchporttrunkallowedvlan176switchportmodetrunknoipaddress!
interfaceGigabitEthernet2/22descriptionNACSERVERTRUSTEDINTERFACEswitchportswitchporttrunknativevlan999switchporttrunkallowedvlan11,175switchportmodetrunknoipaddress!
interfaceGigabitEthernet2/23descriptionNACMANAGERINTERFACEswitchportswitchportaccessvlan10noipaddressspanning-treeportfast!
interfaceGigabitEthernet2/1descriptionWLCswitchportswitchporttrunkallowedvlan75,175,176switchporttrunknativevlan75switchportmodetrunknoipaddress!
interfaceVlan75DescriptionWLCManagementVLANipaddress10.
10.
75.
1255.
255.
255.
0!
interfaceVlan175DescriptionClientSubnetAccessVLANipaddress10.
10.
175.
1255.
255.
255.
0end在WLC和NAC管理器上配置NACOOB的步骤请按照以下步骤在WLC和NAC管理器上配置NACOOB:在控制器上启用SNMPv2模式.
1.
在CAM管理器上为WLC创建一个配置文件.
单击OOBManagementProfile>Device>New.
2.
在CAM上创建配置文件后,请在配置文件中添加WLC;转至OOBManagement>Devices>New并输入WLC的管理IP地址.
3.
现在已在CAM管理器中添加了控制器.
在WLC中添加CAM作为SNMP陷阱接收器.
请使用CAM中作为SNMP接收器的陷阱接收器的确切名称.
4.
以同样的名称在CAM中配置SNMP陷阱接收器,该名称在控制器上指定;单击OOBManagement>SNMPReceiver下的Profiles.
5.
在此阶段,WLC和CAM可以相互通信以进行客户端状态验证和访问/隔离状态更新.
在控制器中,创建连接接入VLAN和隔离VLAN的动态接口.
6.
创建WLAN,并将其与动态接口关联.
7.
最后,在WLAN中启用NAC.
8.
在CAS服务器中添加客户端子网作为受管子网;单击CASserver>SelectyourCASserver>Manage>Advanced>ManagedSubnets>AddUnusedIPaddressfromtheclientsubnet并输入受管子网的隔离VLAN(不受信任的VLAN).
9.
在CAS上创建VLAN映射.
选择CAS服务器>选择您的CAS服务器>管理>Advanced>VLAN映射.
添加接入VLAN作为受信任的VLAN并添加隔离VLAN作为不受信任的VLAN.
10.
使用OOB无线解决方案配置单一登录(SSO)以下是启用无线SSO的要求:在NAC服务器上启用VPN身份验证-WLC在NAC设备中被定义为"VPN集中器".
1.
在WLC上启用RADIUS记账-在NAC设备中定义的控制器必须配置为针对每个802.
1x/EAPWLAN(NAC中的受管子网)向NAC设备发送RADIUS记账记录.
2.
在NAC管理器上配置SSO的步骤请按照以下步骤在NAC管理器上配置SSO:在CAM左侧菜单中的DeviceManagement下,选择CCAServer,然后单击NACServer链接.
1.
从ServerStatus页中,选择Authentication选项卡,然后选择VPNAuth子菜单.
请参阅图3-1.
图3-1启用单一登录NAC服务器2.
选择VPNConcentratorsSetting(图3-2)以添加一个新的WLC条目.
填充WLC管理IP地址和您要在WLC和NAC服务器之间使用的共享密钥的输入字段.
图3-2在VPNConcentrator部分下添加WLC作为RADIUS客户端3.
对于角色映射,请在UserManagement>AuthServers下添加类型为VPNsso的新身份验证服务器.
4.
单击Mapping图标,然后添加映射规则.
映射根据WLC在记账数据包中发送的类属性25值的不同而异.
此属性值在RADIUS服务器中配置,并根据用户授权的不同而异.
在本示例中,属性值为ALLOWALL,它位于角色AllowAll中.
5.
在无线局域网控制器上配置SSO的步骤需要在WLC上配置RADIUS记账以通过NAC服务器实现单一登录功能.
VerifyUsethissectiontoconfirmthatyourconfigurationworksproperly.
命令输出解释程序(仅限注册用户)(OIT)支持某些show命令.
使用OIT可查看对show命令输出的分析.
用于验证的CISCOWLCCLI命令(CiscoController)>showinterfacesummaryInterfaceNamePortVlanIdIPAddressTypeApMgrGuestap-manager1untagged10.
10.
75.
3StaticYesNomanagement1untagged10.
10.
75.
2StaticNoNonac-vlan117510.
10.
175.
2DynamicNoNoservice-portN/AN/A192.
168.
1.
1StaticNoNovirtualN/AN/A1.
1.
1.
1StaticNoNo(CiscoController)>showinterfacedetailedmanagementInterfaceName.
managementMACAddress.
00:18:73:34:b2:60IPAddress.
10.
10.
75.
2IPNetmask.
255.
255.
255.
0IPGateway.
10.
10.
75.
1VLAN.
untaggedQuarantine-vlan.
0ActivePhysicalPort.
1PrimaryPhysicalPort.
1BackupPhysicalPort.
UnconfiguredPrimaryDHCPServer.
10.
10.
75.
1SecondaryDHCPServer.
UnconfiguredDHCPOption82.
DisabledACL.
UnconfiguredAPManager.
NoGuestInterface.
No(CiscoController)>showinterfacedetailednac-vlanInterfaceName.
nac-vlanMACAddress.
00:18:73:34:b2:63IPAddress.
10.
10.
175.
2IPNetmask.
255.
255.
255.
0IPGateway.
10.
10.
175.
1VLAN.
175Quarantine-vlan.
176ActivePhysicalPort.
1PrimaryPhysicalPort.
1BackupPhysicalPort.
UnconfiguredPrimaryDHCPServer.
10.
10.
175.
1SecondaryDHCPServer.
UnconfiguredDHCPOption82.
DisabledACL.
UnconfiguredAPManager.
NoGuestInterface.
No从WLCGUI进行的客户端状态验证最初,客户端处于隔离状态,直到在NAC设备中完成状态分析.
完成状态分析后,客户端的NAC状态必须为Access.
使用WLC验证NAC服务器上的单一登录在VPNAuth下,转至ActiveClient子部分以验证记账开始数据包是否已从WLC到达.
此条目显示已在客户端计算机上安装的CCA代理.
您需要打开浏览器来完成不需要代理的单一登录进程.
当用户打开浏览器时,将执行SSO进程,并且用户将显示在联机用户列表(OUL)中.
使用RADIUS记账停止数据包,会将用户从活动客户端列表中删除.
Troubleshoot目前没有针对此配置的故障排除信息.
故障排除命令命令输出解释程序(仅限注册用户)(OIT)支持某些show命令.
使用OIT可查看对show命令输出的分析.
Note:使用debug命令之前,请参阅有关Debug命令的重要信息.
RelatedInformation远程验证拨入用户服务(RADIUS)q请求注解(RFC)qTechnicalSupport&Documentation-CiscoSystemsq
VirMach(8元/月)KVM VPS,北美、欧洲
VirMach,成立于2014年的美国IDC商家,知名的低价便宜VPS销售商,支持支付宝、微信、PayPal等方式付款购买,主打美国、欧洲暑假中心产品,拥有包括洛杉矶、西雅图、圣何塞、凤凰城在内的11个数据中心可以选择,可以自由搭配1Gbps、2Gbps、10Gbps带宽端口,有Voxility DDoS高防IP可以选择(500Gbps以上的防御能力),并且支持在控制面板付费切换机房和更换IP(带...
2022年腾讯云新春采购季代金券提前领 领取满减优惠券和域名优惠
2022年春节假期陆续结束,根据惯例在春节之后各大云服务商会继续开始一年的促销活动。今年二月中旬会开启新春采购季的活动,我们已经看到腾讯云商家在春节期间已经有预告活动。当时已经看到有抢先优惠促销活动,目前我们企业和个人可以领取腾讯云代金券满减活动,以及企业用户可以领取域名优惠低至.COM域名1元。 直达链接 - 腾讯云新春采购活动抢先看活动时间:2022年1月20日至2022年2月15日我们可以在...
腾讯云轻量应用服务器关于多个实例套餐带宽
腾讯云轻量应用服务器又要免费升级配置了,之前已经免费升级过一次了(腾讯云轻量应用服务器套餐配置升级 轻量老用户专享免费升配!),这次在上次的基础上再次升级。也许这就是良心云吧,名不虚传。腾讯云怎么样?腾讯云好不好。腾讯云轻量应用服务器 Lighthouse 是一种易于使用和管理、适合承载轻量级业务负载的云服务器,能帮助个人和企业在云端快速构建网站、博客、电商、论坛等各类应用以及开发测试环境,并提供...
eisa配置为你推荐
-
固态硬盘是什么固态硬盘是什么意思云爆发云出十里未及孤村什么意思广东GDP破10万亿广东省城市经济排名www.qq530.com谁能给我一个听歌的网站?www.se222se.comhttp://www.qqvip222.com/斗城网女追男有多易?喜欢你,可我不知道你喜不喜欢我!!平安夜希望有他陪我过lcoc.topeagle solder stop mask top是什么层bbs2.99nets.com天堂1单机版到底怎么做www.idanmu.com万通奇迹,www.wcm77.HK 是传销么?sodu.tw今天sodu.org为什么打不开了?