个人理解感觉这个实现不了,貌似没办法实现ssid的无缝的自动切换,在windows或者mac上面切换ssid意味着需要重新与wlc交互一次连接的过程 ,ISE即便可以下发ssid的编号或者名称,但是没有办法让终端跳过这个握手的过程。
简单分析一下你所形容的场景,guest无密码使用portal认证,user有密码或者802.1x
终端连接guest-->wlc检查ssid认证设置,然后向ise发起认证--> ise匹配guest flow,回弹portal页面-->wlc向终端推送认证portal-->客户端认证提交凭据--> ise 验证凭据,完成guest flow-->触发CoA-->ise重新下发guest认证成功后的profile(假设该profile包含新ssid user)-->wlc接收到新的授权profile,更改ssid-->结果终端ssid连接断开。
终端硬要离线的话控制器是拦不住的,而且没办法强制终端关联这个ssid。
另外如果终端连过了user之后,那么下次有可能会直接连接user这个ssid,又该如何保证可以连接呢?
几个场景捋不顺。
感觉还是独立进行控制吧,guest是guest,user如果有其他的安全要求,可以基于用户特征或者终端特征下发不同的策略来进行控制,这样感觉还是可以实现的。
要实现思科9800无线控制器通过ISE认证,建立两个SSID(例如 guest 和 user),并满足先连接 guest 无需密码会弹出 web 认证页面,输入账号和密码后,通过ISE上建立的账号认证成功后可以正常上网,但SSID自动跳转到user的需求,需要进行以下配置:
1.定义无线网络和SSID:
·在思科9800无线控制器上创建两个SSID:guest和user。例如:
dot11-ssid name "guest" dot11-ssid name "user"
2.配置认证和授权策略:
·配置 guest SSID 使用 MAB(Machine Authentication宝)认证方式。
·配置 user SSID 使用 802.1x 认证方式。
policy-profile name guest authentication mab
policy-profile name user authorization dot11-eap
3.设置无线接入点(AP)与VLAN绑定:
·将 guest SSID 绑定到一个VLAN,而将 user SSID 绑定到另一个不同的VLAN。
dot11-vlan dot11-vlan-name guest dot11-ssid guest
dot11-vlan dot11-vlan-name user dot11-ssid user
4.配置ISE进行身份验证和授权:
·在ISE中添加C9800无线控制器作为网络设备。
Administration > Network Resources > Network Devices > +Add
·创建授权配置文件以重定向用户。
Policy > Policy Elements > Results > Authorization > Authorization Profiles > +Add
Name: redirect profile
Common tasks: Web Redirection
ACL: redirect-acl-name
·配置认证规则和授权规则。
Policy > Policy Set > Authentication Policy > MAB policy > Continue if user is not found <span data-key="0" class="reference-num" data-pages='[{"page":844,"index":0}]'>1</span>
Policy > Policy Set > Authorization Policy > CWA redirect rule (for redirect SSID)
Policy > Policy Set > Authorization Policy > Second rule (for detecting previous authentication)
5.配置外国锚点隧道:
·定义一个Guest用户,并在ISE中配置它。
Administration > Identity > +Add
Username: guest-username
Password: guest-password
User group: ALL.Accounts 或选择特定的用户组
·配置外国锚点隧道。
policy-profile name guest anchor foreign guest anchor tunnel
6.测试和验证:
·确保客户端首先连接到guest SSID,无需密码即可访问门户页面。
·输入由ISE上建立的账号信息进行认证,通过后应自动跳转到user SSID并获得网络访问权限。
通过上述步骤,您可以实现思科9800无线控制器通过ISE认证,满足先连接guest无需密码会弹出web认证页面,输入账号和密码后,通过ISE上建立的账号认证成功后可以正常上网,但SSID自动跳转到user的需求。
最后 @lyx_liyuxing 还可以参考一下下面的文档。
CISCO 9800 Wireless Controller and Technical Solutions.
https://www.ciscolive.com/c/dam/r/ciscolive/emea/docs/2020/pdf/R6BGArNQ/TECEWN-2005.pdf