思科9800无线控制器通过ISE认证

lyx_liyuxing · ‎07-29-2024

思科9800无线控制器通过ISE认证，想要实现效果，建立两个SSID，比如SSID为guest和user，先连接guest，无需密码会弹出web认证页面，需要输入账号和密码，输入通过ISE上建立的账号认证成功后，可以正常上网，但是SSID自动跳转到user，请问这个需要怎么配置？

ilay · ‎07-30-2024

个人理解感觉这个实现不了，貌似没办法实现ssid的无缝的自动切换，在windows或者mac上面切换ssid意味着需要重新与wlc交互一次连接的过程，ISE即便可以下发ssid的编号或者名称，但是没有办法让终端跳过这个握手的过程。

简单分析一下你所形容的场景，guest无密码使用portal认证，user有密码或者802.1x

终端连接guest-->wlc检查ssid认证设置，然后向ise发起认证--> ise匹配guest flow，回弹portal页面-->wlc向终端推送认证portal-->客户端认证提交凭据--> ise 验证凭据，完成guest flow-->触发CoA-->ise重新下发guest认证成功后的profile（假设该profile包含新ssid user）-->wlc接收到新的授权profile，更改ssid-->结果终端ssid连接断开。

终端硬要离线的话控制器是拦不住的，而且没办法强制终端关联这个ssid。

另外如果终端连过了user之后，那么下次有可能会直接连接user这个ssid，又该如何保证可以连接呢？

几个场景捋不顺。

感觉还是独立进行控制吧，guest是guest，user如果有其他的安全要求，可以基于用户特征或者终端特征下发不同的策略来进行控制，这样感觉还是可以实现的。

Rockyw · ‎07-30-2024

@lyx_liyuxing

要实现思科9800无线控制器通过ISE认证，建立两个SSID（例如 guest 和 user），并满足先连接 guest 无需密码会弹出 web 认证页面，输入账号和密码后，通过ISE上建立的账号认证成功后可以正常上网，但SSID自动跳转到user的需求，需要进行以下配置：

1.定义无线网络和SSID：
·在思科9800无线控制器上创建两个SSID：guest和user。例如：
dot11-ssid name "guest" dot11-ssid name "user"

2.配置认证和授权策略：
·配置 guest SSID 使用 MAB（Machine Authentication宝）认证方式。
·配置 user SSID 使用 802.1x 认证方式。
policy-profile name guest authentication mab
policy-profile name user authorization dot11-eap

3.设置无线接入点（AP）与VLAN绑定：
·将 guest SSID 绑定到一个VLAN，而将 user SSID 绑定到另一个不同的VLAN。
dot11-vlan dot11-vlan-name guest dot11-ssid guest
dot11-vlan dot11-vlan-name user dot11-ssid user

4.配置ISE进行身份验证和授权：
·在ISE中添加C9800无线控制器作为网络设备。
Administration > Network Resources > Network Devices > +Add

·创建授权配置文件以重定向用户。
Policy > Policy Elements > Results > Authorization > Authorization Profiles > +Add
Name: redirect profile
Common tasks: Web Redirection
ACL: redirect-acl-name

·配置认证规则和授权规则。
Policy > Policy Set > Authentication Policy > MAB policy > Continue if user is not found <span data-key="0" class="reference-num" data-pages='[{"page":844,"index":0}]'>1</span>
Policy > Policy Set > Authorization Policy > CWA redirect rule (for redirect SSID)
Policy > Policy Set > Authorization Policy > Second rule (for detecting previous authentication)

5.配置外国锚点隧道：
·定义一个Guest用户，并在ISE中配置它。
Administration > Identity > +Add
Username: guest-username
Password: guest-password
User group: ALL.Accounts 或选择特定的用户组

·配置外国锚点隧道。
policy-profile name guest anchor foreign guest anchor tunnel

6.测试和验证：
·确保客户端首先连接到guest SSID，无需密码即可访问门户页面。
·输入由ISE上建立的账号信息进行认证，通过后应自动跳转到user SSID并获得网络访问权限。
通过上述步骤，您可以实现思科9800无线控制器通过ISE认证，满足先连接guest无需密码会弹出web认证页面，输入账号和密码后，通过ISE上建立的账号认证成功后可以正常上网，但SSID自动跳转到user的需求。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rockyw | If it solves your problem, please mark as answer. Thanks !

Rockyw · ‎07-30-2024

最后 @lyx_liyuxing 还可以参考一下下面的文档。
CISCO 9800 Wireless Controller and Technical Solutions.
https://www.ciscolive.com/c/dam/r/ciscolive/emea/docs/2020/pdf/R6BGArNQ/TECEWN-2005.pdf

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rockyw | If it solves your problem, please mark as answer. Thanks !