Cisco DNA配置

Posted on Posted in 宁盾认证服务器, 无线认证客户端

思科DNA网络分组无感知认证配置

分组无感知认证的优点是在提升无线用户体验的基础上,区分不同用户的安全权限。

无线用户第一次上网,进行Portal认证,Cisco ISE和后台宁盾的认证服务器进行认证,用户输入用户名和密码认证以后,用户(比如无线用户A和无线用户B)获取对应的SGT和相应的权限。

无线用户以后再次上网,无线网络能自动感知到用户的身份,自动进行认证,用户自动获取对应的SGT和相应的权限。

 

WLC上配置无感知认证,包括WLAN设置和Radius设置

思科WLC的WLAN设置包括:

启用mac filtering、

mac filtering失败启用web认证以及对应url,

配置基于FlexConnect的Web认证ACL。

思科WLC的Radius设置:

其中Radius步骤包括启用定义ISE为Radius Server、在WLAN里面调用Radius Server以及允许AAA override。

ISE里面定义宁盾Radius Server的定义

其中ISE里面定义宁盾认证服务器为External Radius Server、定义Radius Server Sequences以及高级属性里面认证过了以后允许授权。

ISE根据用户组设置无感知的安全级别

测试版本为ISE 2.3 patch1。

ISE根据宁盾服务器返回的Radius属性(比如用标准Radius的Login-LAT-Group或者Filter-Id的属性定义用户组,打上用户组对应的SGT标签)。在设置好ISE授权权限以后返回Policy Set,将认证数据源从Default Network Access到前面定义的External Radius Server Sequence的宁盾认证服务器。

ISE根据无线客户端设置对应的SGT

在用户第一次做Web认证的时候或者后续做无感知认证的时候,ISE都可以根据宁盾返回的用户组属性,可以是标准Radius的属性Filter-ID或Login-LAT-Group设置无线用户的SGT标签。不同的用户组在做无感知认证都具有对应的安全权限。

宁盾系统配置

宁盾系统对接Cisco分为设备对接和站点配置

站点配置:配置认证方式配置用户信息IOT设备信息导入

设备对接内容:配置对接Cisco WLC/ ISE配置SSID相关信息

 

配置站点

配置步骤:站点→添加站点

站点名称:自定义

站点缩写:缩写只能包含字母、数字、”_”、”-“、”.“

所在城市:可选

站点类型:按需填写

配置认证方式

点击站点名称进入站点

认证方式中开启需要开通认证功能

配置用户信息

用户→本地用户→创建

IOT设备信息导入

用户→本地用户→更多→下载模板/导入用户

配置对接Cisco WLC / ISE

配置步骤:设备→创建设备

设备名称:自定义

设备型号:cisco

共享密钥:与ISE对接radius共享密钥

设备地址:Cisco WLC IP地址

额外地址:Cisco ISE IP地址

配置SSID相关信息

SSID信息→添加SSID

SSID名称:需要和WLC保持一致

选择站点:选择用户的站点

保存退出后,点击“详细”,界面中的URL为Cisco WLC配置的URL。