取消
显示结果 
搜索替代 
您的意思是: 
cancel
1621
查看次数
5
有帮助
0
评论

Catalyst9800是思科下一代无线网络主推的无线控制器(主要有C9800-80、C9800-40和C9800-L、当然,还有我们的云解决方案使用C9800-CL),现网中的AireOS WLC也将逐步的过渡到我们的Catalyst9800无线网络。不同的是,C9800使用了Cisco的IOS XE系统,这就导致和以前AireOS的操作基本不一样。本篇blog主要针对命令行进行C9800联动ISE完成CWA认证。

注意:这里默认AP已经正常注册到C9800 WLC。

Part1-配置AAA Auth和AAA Group

aaa new-model
!
!
aaa group server radius ISE_Radius_Group
server name ISE_Radius
!
aaa server radius dynamic-author
client 172.16.88.200 server-key Cisco@123
!
aaa session-id common
!
radius server ISE_Radius
address ipv4 172.16.88.200 auth-port 1812 acct-port 1813
key Cisco@123
!

Part2-定义AAA Authorization和Accounting

aaa authorization network AAA_ISE_Authrz group ISE_Radius_Group
aaa accounting identity AAA_ISE_Acct start-stop group ISE_Radius_Group

 

Part3-配置WLAN

wlan RPS-CWA 1 RPS-CWA
 ccx aironet-iesupport
 mac-filtering AAA_ISE_Authrz
 security ft over-the-ds
 no security wpa
 no security wpa wpa2 ciphers aes
 no security wpa akm dot1x
 no shutdown

 

Part4-创建Policy Profile

vlan 2-3
!
interface Vlan3
description BOGUS
no ip address
no mop enabled
no mop sysid
!
wireless profile policy RPS-CWA-Policy
aaa-override
accounting-list AAA_ISE_Acct
description "Policy For WLAN-1"
dhcp-tlv-caching
http-tlv-caching
nac
vlan VLAN0003
no shutdown

 

Part5-配置Policy Tag,以便让SSID可以广播
wireless tag policy RPS-TAG-WLAN1
description "TAG For WLAN-1"
wlan RPS-CWA policy RPS-CWA-Policy

 

6-创建ACL以便重定向流量到ISE
show access-list
Extended IP access list RPS_WEB_RREDIRECT
10 deny tcp any host 172.16.88.200 eq 8443
20 deny tcp host 172.16.88.200 any eq 8443
40 deny udp host 172.16.88.2 any eq bootpc
50 deny udp any host 172.16.88.2 eq bootps
60 permit tcp any any eq www
Extended IP access list PERMIT_INTERNET
10 permit ip any any

 

ISE方面的配置

这里定义一个名为cwa的账号,密码设置为Cisco@123

图像_2021-09-02_174635.png

配置WEB Redirect授权(Result)

2.png

Redirect Profile详细的内容:

3.png

4.png

Permit Profile详细的内容:

5.png

6.png

配置认证Profile

7.png

配置授权Profile

8.png

可以看到如果我们首次只是以MAC进行交互,认证是可以通过的,而到了授权部分,对于***-CWA-AuthzPolicy策略,此时不符合InternalUser这个条件,所以无法匹配,但是匹配条件***-CWA-Redirect,因为同时满足了无线MAB认证和Called Station ID包含了LAB-CWA这个SSID。所以,这部分的授权文件,我们关联为重定向的Profile,而输入密码之后,自然就可以匹配到第一条授权策略。

 

测试

我们先让Windows终端连接LAB-CWA这个SSID。此时从终端查看状态,客户端IP地址和DNS等信息都获取到了。

10.png

此时我们只需要输入IP地址或输入域名(如果DNS可以解析的话),就会弹出认证界面,认证成功后,即可。

11.png

入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区: