无线课前实验1x mab webauth配置指南

1、目网络拓扑和基本配目网络拓扑和基本配.一、目的本文介绍了如何通过思科 ISE，在不同应用场景和需求,通过 VLAN 和DACL 对终端设备的网络二、网络拓扑和基本配置在 C3560 上配置 3 个 Vlan：1114Vlan 20：/24，SVI 为 ，并启用 DHCP。 版本：Windows Server 2008 EntAD DNS服务器，添加如下：启用NTP在 C3560 上配置 3 个 Vlan：1114Vlan 20：/24，SVI 为 ，并启用 DHCP。 版本：Windows Server 2008 EntAD DNS服务器，添加如下：启用NTPAIP 组 IPEnable: c

2、iscoVMWare Windows 证书 服 务 器 (VMWare 虚Server2008R2 ASDMCVR328W( 用AppleiOS5.1NTPWindows Server 2008 ISE 实验 1：基于 MAB 的有线终端设备认证NTPWindows Server 2008 ISE 实验 1：基于 MAB 的有线终端设备认证 APWLC 13560MAB802.1X aaanew-aaa authentication dot1x default group radius aaa authorization network default group radius aaaserv

3、erradiusdynamic-author ip device tracking radius-serverattribute6on-for-login- radius-serverdead-criteriatime5triesradius-serverhost0auth-port1812acct-port1813 radius-server key ciscoradius-server vsa send accounting radius-servervsasendauthentication svlan dot1xpae 2ISENAD ) AddTest值IP Authenticati

4、onSettings- RADIUS -Shareds) Radius 配置是否正确（) Radius 配置是否正确（验证时需要把PolicyAuthorizationDefault规则的Permis改为 : 则交换机会将终端设备分配到端口配置的 VLAN，并且打开交换机端口。authentication order mab dot1x: MAB部署TrustSecauthentication priority dot1x mab: 802.1X 5 ISEAuthentication 进入PolicyPolicyElementsResultsAuthenticationAllowedProt

5、ocols，点击Add， ) 6) 6MAB 60 采 2：在终端设备上拔掉或插上网线 Policy Identity 802.1X Add，添加Group（如下图Submit 进入AdministrationIdentityManagementIdentities Identity Group Assignment 选择 Cisco-AP（如下图所示Submit。至此，无线AP已经加入到 ernal至此，无线AP已经加入到 ernal创建两条 DACL PolicyPolicyElementsAuthorizationAuthorizationProfilesAdd，输入 NameCisco

6、_APDACLNamePERMIT_ALL_TRAFFIC，其他都不选，点击 Save。 PolicyAuthorization，点击“ProfiledCiscoIPPhones”这条规则右边的箭头，选择“Insert New Rules BelowDoneSave：permitipanypermitipanyhost8MAB8MAB Authc结果，显示认证成功，ACL成功下发到端口RuleCiscoIdentityGroup实验 2：基于 802.1X 的有线终端设备认证（1） 了解交换机上 MAB802.1XISE实验 2：基于 802.1X 的有线终端设备认证（1） 了解交换机上 MA

7、B802.1XISE802.1x 登陆ISE 的管理界面，进入Administration Identity Management ExternalIdentity 于 Machine Authentication。Users RetrieveGroups2Authentication 2Authentication 3 PolicyAuthorization Default 规则的 4Windows7802.1X802.1x （1）在Windows7客户端， （1）在Windows7客户端，进入Control Panel Viewnetworkadapter 。拉框中选择User or Ma

8、chine Authentication： 拉框中选择User or Machine Authentication： 2Windows 7 PC 0/5shutdown ： 。 。ProfilesAddAuth_VLAN20 Authz 。用户 。用户employee23560交换机上，在端口Gi0/5shutdown/no shutdown，对终端设备启动 802.1X 验证，这时Windows7 会提示输入用户信息： RuleIdentityOtherdemoAD:ExternalGroups demoAD:ExternalGroups ： ACL 3Guest VLAN 802.1X 认

9、3Guest VLAN 802.1X 认EAPOLGuest VLAN。本实验GuestVLAN802.1XISE上如何配置基于 802.1X 的认证过程。了解交换机上GuestVLAN 3560Gi0/5Guest VLANVlan 20 BuildingCurrentconfiguration:359bytes erface GigabitEthernet0/5switchportsvlan switchportmodes authentication port-control auto dot1x pae authenticator dot1x timeout tx-period 15

10、dot1xtimeoutsupp-timeout3 spanning-tree portfast注意：IOS12.2(33)SXI以前的版本，配置Guest登录到 Windows7不选择“ Enable IEEE 3802.1X 状态，显示终端设备被分配到GuestVlan（Vlan20：4状态，显示终端设备被分配到GuestVlan（Vlan20：4Critical VLAN 802.1X 认Critical VLAN的作用是，当Radius ServerCritocal VLANCritical VLAN 。3560 Gi0/6Critical VLANLS3560CG#shBuildin

11、gCurrentconfiguration:436bytes erface GigabitEthernet0/6switchportsvlan switchport3560 Gi0/6Critical VLANLS3560CG#shBuildingCurrentconfiguration:436bytes erface GigabitEthernet0/6switchportsvlan switchportmodes authenticationeventserveraliveactionreinitialize authentication openauthentication order

12、mab dot1x authentication port-control auto dot1x pae authenticator dot1x timeout tx-period 15 dot1xtimeoutsupp-timeout3 spanning-tree portfastservervlan20authenticationeventserveraliveactionreinitializeradius3 修改 ISEAuthorizationRuleIdentityOtherdemoAD:ExternalGroups ISE 策实验 5：通过ISE 策实验 5：通过 MAR 认证控

13、制加入域设备的 Windows7PC （pc ISE ISE管理界面，进入Administration Identity Management External Spermitipanyhost进入PolicyPolicyElementsResultsAuthenticationAuthorizationProfile，创建名 为进入PolicyPolicyElementsResultsAuthenticationAuthorizationProfile，创建名 为 登陆 ISE Policy Authorization，创建一条新的基于 Authentication Employee Man

14、agerEmployeeRuleIdentityOtherdemoAD:ExternalGroups demoAD:ExternalGroups demoAD:ExternalGroups Windows7802.1X ： 登录到 Windows7， 这时交换机会重新发起 802.1x 认证， 输入用户名和 登录到 Windows7， 这时交换机会重新发起 802.1x 认证， 输入用户名和 ： authentication 为 employee2 ），DACL 也由 S 变更为（pcChangeSettingsChangeWorkgroupWORKGROUPOK。 由于 ISE 中仍然缓存了

15、刚才通过认证的 Windows7（主机名为 david-pc）的 Machine ISE上查看Machine：ISE上查看MAR说明：User Authentication david-pcISE上查看Machine：ISE上查看MAR说明：User Authentication david-pc没有加入域，因此没有通过 Machine Authentication，导致在进行 MAR 认证时失败。实验 6：基于 WebAuth 的有线终端设备认证 WebAuth 认证与Guest 本次测试采用了 CWA 的认证方式。 ISE管理界面，进入Administration ISE管理界面，进入Ad

16、ministration Web Portal Management Settings Authentication，AuthenticationTypeBothIdentityStore Sequence中选择Guest_Portal_Sequence。配置如下图所示： 源ISE 管理界面，进入Administration Identity Management Identity ernal 在 ISE 管理界面上，进入 Policy Policy Elements Results Authorization permit udp any any eq permit icmp any any

17、 permit tcp any any eq 80 permittcpanyanyeq443permittcpanyhost0eqISE Policy Policy Elements ResultsISE Policy Policy Elements Results Gi0/5配置，清除Guest VLANRestricted VLANDACLWebACL: LERL_WBLERL_WB： 如 HYPERLINK http:/e/ 输入用户名 ，红色部分为Webauth ：Windows7 ，红色部分为Webauth ：Windows7 HYPERLINK http:/e/ ：Windows7zhou-pc 未加入域，结果zhou-pc 加入域后，重启 zhou-pc puter Windows 之前， 首先进行 authentication，验证成功后，ISE 分配 ：Windows7zhou-pc 未加入域，结果zhou-pc 加入域后，重启 zhou-pc puter Windows 之前， 首