使用FlexConnect本地交换的外部Web身份验证部署指南

下载选项

  • PDF     (352.5 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (303.5 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (436.2 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2017 年 12 月 8 日
文档 ID:113605

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档说明如何将外部Web服务器与FlexConnect本地交换一起用于不同的Web策略。

    先决条件

    要求

    尝试进行此配置之前,请确保满足以下要求:

    • 有关FlexConnect架构和接入点(AP)的基本知识

    • 有关如何设置和配置外部 Web 服务器的知识

    • 有关如何设置和配置 DHCP 和 DNS 服务器的知识

    使用的组件

    本文档中的信息基于以下软件和硬件版本:

    • 运行固件版本7.2.110.0的Cisco 7500无线LAN控制器(WLC)

    • 思科3500系列轻量接入点(LAP)

    • 托管 Web 身份验证登录页面的外部 Web 服务器

    • 本地站点上的DNS和DHCP服务器,用于向无线客户端分配地址解析和IP地址

    本文档中的信息都是基于特定实验室环境中的设备编写的。虽然7500系列WLC用于本部署指南,但2500、5500和WiSM-2 WLC支持此功能。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

    规则

    有关文档规则的详细信息,请参阅 Cisco 技术提示规则。

    功能概述

    此功能将对具有本地交换流量(FlexConnect — 本地交换)的WLAN从AP在FlexConnect模式下将执行Web身份验证的功能扩展到外部Web服务器。 在WLC版本7.2.110.0之前,对于具有集中交换流量的WLAN(FlexConnect — 中央交换),本地模式或FlexConnect模式下的AP,支持外部服务器的Web身份验证。

    此功能通常称为外部Web身份验证,它扩展了FlexConnect本地交换WLAN的功能,以支持控制器当前提供的所有第3层Web重定向安全类型:

    • Web 身份验证

    • Web直通

    • Web条件重定向

    • 启动页条件重定向

    考虑为Web身份验证和本地交换配置的WLAN,此功能背后的逻辑是直接在AP级别而非WLC级别分发和应用预身份验证FlexConnect访问控制列表(ACL)。这样,AP将在本地交换来自ACL允许的无线客户端的数据包。不允许的数据包仍通过CAPWAP隧道发送到WLC。另一方面,当AP通过有线接口接收流量时(如果ACL允许),会将其转发到无线客户端。否则,将丢弃该数据包。一旦客户端经过身份验证和授权,即会删除预身份验证FlexConnect ACL,并允许所有客户端数据流量在本地交换。

    注意:此功能的工作假设是客户端可以从本地交换的VLAN到达外部服务器。

    ewa-flex-guide-01.gif

    摘要:

    • 为FlexConnect本地交换和L3安全配置的WLAN

    • FlexConnect ACL将用作预身份验证ACL

    • 配置后的FlexConnect ACL必须通过Flex组或单个AP推送到AP数据库,或者可以应用到WLAN

    • AP允许在本地交换与预身份验证ACL匹配的所有流量

    步骤:

    要配置此功能,请完成以下步骤:

    1. 为FlexConnect本地交换配置WLAN。

      ewa-flex-guide-02.gif

    2. 要启用外部Web身份验证,您需要将Web策略配置为本地交换WLAN的安全策略。这包括以下四个选项之一:

      • 身份验证

      • 直通

      • 条件Web重定向

      • 启动页Web重定向

      本文档捕获了Web身份验证的示例:

      ewa-flex-guide-03.gif

      前两种方法相似,可从配置角度分组为Web身份验证方法。第二个(条件重定向和启动页)是Web策略,可以按Web策略方法分组。

    3. 需要配置预身份验证FlexConnect ACL,以允许无线客户端访问外部服务器的IP地址。ARP、DHCP和DNS流量是自动允许的,无需指定。在“安全”>“访问控制列表”下,选择FlexConnect ACL。然后,单击Add,将名称和规则定义为普通控制器ACL。

      ewa-flex-guide-04.gif

      注意:您每次都需要为流量创建反向规则。

    4. 创建FlexConnect ACL后,应应用该ACL,该ACL可在不同级别执行:AP、FlexConnect组和WLAN。最后一个选项(WLAN上的Flex ACL)仅用于Web策略下的其他两种方法(如条件和启动重定向)的Web身份验证和Web传递。ACL只能应用于AP或Flex组。以下是在AP级别分配的ACL的示例。转至“无线”>选择AP,然后单击“FlexConnect”选项卡:

      ewa-flex-guide-05.gif

      单击“外部Web身份验证ACL”链接。然后,为特定WLAN ID选择ACL:

      ewa-flex-guide-06.gif

      同样,对于Web策略ACL(例如,条件重定向或启动页重定向),在点击同一外部Web身份验证ACL链接后,您将收到一个选项以在WebPolicies下选择Flex Connect ACL。如下所示:

      ewa-flex-guide-07.gif

    5. ACL也可应用于FlexConnect组级别。为此,请转至FlexConnect组配置中的WLAN-ACL映射选项卡。然后,选择要应用的WLAN Id和ACL。单击 Add。当您要为一组AP定义ACL时,此功能非常有用。

      ewa-flex-guide-08.gif

      同样,对于Web策略ACL(用于条件和启动页Web重定向),您需要选择Web策略选项卡。

      ewa-flex-guide-09.gif

    6. Web身份验证和Web直通Flex ACL也可应用于WLAN。为此,请从WLAN > Security中的Layer 3选项卡下的WebAuth FlexACL下拉菜单中选择ACL。

      ewa-flex-guide-10.gif

    7. 对于外部Web身份验证,需要定义重定向URL。这可以在全局级别或WLAN级别执行。对于WLAN级别,单击Over-ride Global Config复选标记并插入URL。在全局级别,转到Security > Web Auth > Web Login Page:

      ewa-flex-guide-11.gif

      限制:

      • Web身份验证(内部或外部服务器)要求Flex AP处于连接模式。如果Flex AP处于独立模式,则不支持Web身份验证。

      • Web身份验证(内部或外部服务器)仅支持集中身份验证。如果为本地交换配置的WLAN配置了本地身份验证,则无法执行Web身份验证。

      • 所有Web重定向都在WLC上执行,而不是在AP级别执行。

    相关信息

    TAC Authored

    由思科工程师提供

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品