Catalyst9800是思科下一代无线网络主推的无线控制器(主要有C9800-80、C9800-40和C9800-L、当然,还有我们的云解决方案使用C9800-CL),现网中的AireOS WLC也将逐步的过渡到我们的Catalyst9800无线网络。不同的是,C9800使用了Cisco的IOS XE系统,这就导致和以前AireOS的操作基本不一样。本篇blog主要针对命令行进行C9800联动ISE完成CWA认证。
注意:这里默认AP已经正常注册到C9800 WLC。
Part1-配置AAA Auth和AAA Group
aaa new-model
!
!
aaa group server radius ISE_Radius_Group
server name ISE_Radius
!
aaa server radius dynamic-author
client 172.16.88.200 server-key Cisco@123
!
aaa session-id common
!
radius server ISE_Radius
address ipv4 172.16.88.200 auth-port 1812 acct-port 1813
key Cisco@123
!
Part2-定义AAA Authorization和Accounting
aaa authorization network AAA_ISE_Authrz group ISE_Radius_Group
aaa accounting identity AAA_ISE_Acct start-stop group ISE_Radius_Group
Part3-配置WLAN
wlan RPS-CWA 1 RPS-CWA
ccx aironet-iesupport
mac-filtering AAA_ISE_Authrz
security ft over-the-ds
no security wpa
no security wpa wpa2 ciphers aes
no security wpa akm dot1x
no shutdown
Part4-创建Policy Profile
vlan 2-3
!
interface Vlan3
description BOGUS
no ip address
no mop enabled
no mop sysid
!
wireless profile policy RPS-CWA-Policy
aaa-override
accounting-list AAA_ISE_Acct
description "Policy For WLAN-1"
dhcp-tlv-caching
http-tlv-caching
nac
vlan VLAN0003
no shutdown
Part5-配置Policy Tag,以便让SSID可以广播
wireless tag policy RPS-TAG-WLAN1
description "TAG For WLAN-1"
wlan RPS-CWA policy RPS-CWA-Policy
6-创建ACL以便重定向流量到ISE
show access-list
Extended IP access list RPS_WEB_RREDIRECT
10 deny tcp any host 172.16.88.200 eq 8443
20 deny tcp host 172.16.88.200 any eq 8443
40 deny udp host 172.16.88.2 any eq bootpc
50 deny udp any host 172.16.88.2 eq bootps
60 permit tcp any any eq www
Extended IP access list PERMIT_INTERNET
10 permit ip any any
ISE方面的配置
这里定义一个名为cwa的账号,密码设置为Cisco@123
配置WEB Redirect授权(Result)
Redirect Profile详细的内容:
Permit Profile详细的内容:
配置认证Profile
配置授权Profile
可以看到如果我们首次只是以MAC进行交互,认证是可以通过的,而到了授权部分,对于***-CWA-AuthzPolicy策略,此时不符合InternalUser这个条件,所以无法匹配,但是匹配条件***-CWA-Redirect,因为同时满足了无线MAB认证和Called Station ID包含了LAB-CWA这个SSID。所以,这部分的授权文件,我们关联为重定向的Profile,而输入密码之后,自然就可以匹配到第一条授权策略。
测试
我们先让Windows终端连接LAB-CWA这个SSID。此时从终端查看状态,客户端IP地址和DNS等信息都获取到了。
此时我们只需要输入IP地址或输入域名(如果DNS可以解析的话),就会弹出认证界面,认证成功后,即可。