伊势 2.0 - Guest 政策

创建基本的访客无线策略,如果您想在自己的实验室中尝试使用该策略,或者希望将其部署到生产网络中,我将带您逐步了解该策略可以使用的一些其他选项。

注意:您确实需要为MAB和dot1x拥有一个单独的SSID。原因是无线上存在某些限制,您不能在同一SSID上同时使用dot1x和MAB,因此,如果需要进行性能分析,可以随时将其与Guest放在同一SSID上。请注意生产中的这一限制,而不要尝试对无法正常工作的流程进行故障排除。

首先,我将导航到 访客访问>Configure>Guest Portals>赞助者访客门户(默认) 并选择对其进行编辑。 

注意:如前几篇文章所述,您可以克隆门户并配置为不想更改默认值。 

在配置任何内容之前,我将介绍此页面下的一些选项和设置。 

在下面 Portal 设定值 部分,在这里我们可以更改以下内容:

  • HTTPS端口 伊势用于访客门户。我通常将其保留为8443,但是如果您决定更改它,请记住在锁定端口的情况下,在仅ISE ACL中进行更改
  • 证书组标签 -这是指定用于此门户的证书。我通常建议使用由公共CA签名的证书,以避免最终用户浏览器中出现任何讨厌的证书警告
  • 身份验证方法 -这是我们将用于此门户的身份源序列
  • 使用此门户作为访客的员工 -这是我们指定访客将继承其登录选项的角色
  • 显示语言  -自我解释

下一部分是 Login Page 设定值:

  • 要求输入密码 -我通常在访客门户网站上看不到热点页面那样多的内容。基本上,如果用户要能够继续进行入职,则他们必须拥有您在此处指定的访问代码。这可能对热点访问很有用,但是如果您使用的是访客门户,则使用赞助者访问而不是预共享访问代码更有意义。
  • 包括AUP -您可以在此处添加AUP,也可以在其中指定位置,如果要让来宾接受,则可以继续进行
  • 允许访客创建自己的帐户 -如果您希望客人有能力自行注册自己的帐户,请选中此选项
  • 允许访客在登录后更改密码 -如果要允许访客更改ISE为其分配的密码,则将选中此选项。如果您有长时间待在现场的访客,最好检查一下并修改密码要求

的部分 Acceptable Use 政策 (AUP) Page 设定值 此页面上的内容非常不言自明。它只是为您提供一些其他可能的AUP选项,具体取决于您组织的法律要求:

为了 Guest Change Password 设定值 部分,如果需要,可以选中此框 要求 您的访客在首次登录时更改密码:

对于 Guest Device Registration 设定值,此部分只有几个选项:

  • 自动注册访客设备 -这意味着ISE将自动为来宾与其连接的设备创建一个端点,并将该端点添加到为此点指定的端点标识组中。如果计划在每次连接端点时对端点进行姿态摆放,则可能不想选中此框。
  • 允许访客注册设备 -此选项允许已注册的访客将新设备注册到您的网络。如果选择此选项,则可以配置每个用户可以注册的设备的最大数量

在该部分 BYOD 设定值,如果您不想为BYOD创建单独的策略,或者想要锁定BYOD策略以仅允许某些设备进行公司访问,并允许您的员工使用其他端点登录来宾,则可以配置此选项。这里的选项非常不言自明:

Guest Device Compliance 设定值 如果您要创建状态策略并在您的访客访问权限上实施该策略,则会进行检查:

Post-Login Banner Page 设定值 如果您想启用登录后的横幅页面:

虚拟局域网 DHCP Release Page 设定值 如果您要启用来宾设备IP地址的发布和续订,将使用部分:

Authentication Success 设定值 在此部分中,您可以定义在身份验证成功后将端点定向到的位置:

Support Information Page 设定值 部分是如果您要包括一个支持信息页面供您的服务台使用,以便他们可以解决客人遇到的访问问题:

在页面的右侧,您可以看到您的访客流程。当您更改设置(即添加AUP页面,删除登录后的标题横幅页面等)时,这将动态变化以反映流程。

对于我的访客门户,我要取消选中 允许访客创建自己的帐户 因为我想要求赞助商注册我的客人,所以:

我还将包括一个AUP页面:

我不允许员工登录访客门户,因为我有一个BYOD政策,希望他们使用:

完成此操作后,我将点击 保存我的更改。 

我将介绍一些自定义访客访问权限的不同方法。如果我导航到 访客访问>Configure>Guest Types, 我可以配置可以创建或使用的来宾类型:

如果我编辑这些来宾类型之一,则实际上我可以为此来宾类型更改很多不同的选项: 

  • 我的网络上允许的最长时间
  • 限制他们在特定日期或时间段内登录
  • 限制同时登录的数量以及它们可以在我的网络上注册的设备的最大数量
  • 定义设备注册后将添加到其设备的端点标识组
  • 从该身份组清除端点的频率
  • 来宾在以后的登录中是否可以绕过来宾门户
  • 选择并指定ISE将在用户帐户即将过期时通知用户的方法
  • 指定可以创建此访客类型的赞助者组

我还可以为发起人组指定不同的选项,并通过导航到来定义它们 访客访问>Configure>Sponsor Groups:

为简单起见,我将编辑 ALL_ACCOUNTS(默认) 组。在这里,我定义了可以具有发起人门户访问权限来创建帐户的个人组。在我的实验室中,我将允许所有域用户创建访客帐户。我要点击 会员 and remove the ALL_ACCOUNTS 默认并添加以下AD组: ad1:securitydemo.net/Users/域用户:

在此页面上,我们还可以指定或自定义以下设置:

  • 该赞助者组可以创建什么样的访客类型
  • 该赞助者组可以在哪些位置创建访客帐户
  • 赞助者是否可以创建大量的来宾帐户以及它们的分配方式
  • 发起人可以管理所有来宾帐户还是特定子集
  • 赞助者可以根据访客帐户控制哪些访问和修改

在实验室中,我将允许该组为我的预定义“圣何塞”位置中的所有访客创建访问权限,然后单击

接下来,我将修改发起人门户。这是我们的赞助者登录以创建访客访问权限的门户。要对此进行修改,我将导航至 访客访问>Configure>Sponsor Portals 并编辑默认的赞助商门户。除了添加FQDN以便于我的赞助商易于使用之外,我不会在此页面中进行太多更改。我已经创建了一个DNS条目来 Sponsor.securitydemo.net on my AD server:

此页面上的其余设置非常不言自明,并且在来宾门户网站选项中进行了介绍,因此我不再赘述。添加完FQDN后,我将点击 .
 

接下来要讲的是我可以在已经为某些访客门户或访客类型专门配置的基础上配置的不同的全局访客设置。如果我导航到 访客访问>Settings>Guest Account Purge 政策,我可以安排何时清除访客帐户或执行手动清除:

访客访问>Settings>Custom Fields,我可以定义自定义字段,这些自定义字段可以用作访客或赞助者门户的一部分。例如,假设您要要求赞助者在给他们一个访客帐户之前检查访客的ID。您可以创建一个自定义字段以使他们确认他们这样做,或者添加一个自定义字段以使他们输入用户的驾驶执照号码的后四位。 您将在此处定义字符串以添加到门户设置。

访客访问>Settings>Guest Email 设定值 页面上,我可以定义是否启用向访客发送电子邮件通知,以及从哪个电子邮件地址发送通知:

访客访问>Settings>访客位置和SSID 页上,如果我想将赞助者限制为特定的SSID或位置,则可以定义不同的位置和SSID。我在实验室中创建了一个San Jose位置,并定义了我的访客SSID。需要注意的一件事:我强烈建议将您所在位置的时区更改为NTP设置上的全局ISE时区。这样做的原因是,在创建来宾帐户期间,我已经看到ISE默认为全球时区,并且如果我为自己的位置定义了PST,则直到我更改了来宾帐户的开始时间或太平洋标准时间(PST)到了那个时候。我只是说,作为最佳实践,请在整个ISE部署中使您的时区保持相同:

在下面 访客访问>Settings>Guest Username 政策 页面上,我可以定义如何自动创建用户名,以使访客更具主动性:

访客访问>Settings>Guest Password 政策,我可以定义密码的长度,允许的字符, 它们是否到期以及何时到期。我的建议是使用大小写和数字的组合,密码的最小长度为8。在创建来宾帐户时,这些密码会自动生成,因此,如果将它们设置得太长或在其中添加特殊字符,则可能会得到一些疯狂的密码,您的访客很难在他们的设备上输入这些密码。最终,由您自己决定要在安全性和易用性之间进行权衡的程度:

现在,我已经完成了各种设置,接下来将创建我的网络元素。由于我们已经在之前的博客文章中创建了WLC ACL,因此我将仅创建一个DACL。在 政策>Policy Elements>Results>Authorization>Downloadable ACLs page, I will click  并创建以下DACL:

名称: 仅限互联网
ACL:
允许udp 任何 eq bootpc 任何 eq bootps
允许udp任何任何eq域
允许ip任何主机10.1.100.21

拒绝ip 任何 10.0.0.0 255.0.0.0
拒绝ip 任何 172.16.0.0 255.240.0.0
拒绝ip任何192.168.0.0 255.255.0.0
允许任何IP

 然后,我需要在 政策>Policy Elements>Results>Authorization>授权资料 页。我将创建以下授权配置文件:

名称: 访客重定向

  • 检查一下 虚拟局域网 并输入VLAN ID 70
  • 选中复选框 Web重定向,选择 集中式Web身份验证,然后输入 访客重定向 作为ACL值,然后选择 访客门户 从下拉菜单

名称: 来宾访问

  • 检查一下 DACL名称 然后选择 来宾 从下拉菜单
  • 检查一下 虚拟局域网 并输入VLAN ID 70
  • 选中旁边的框 Airespace ACL名称 并输入 来宾

现在,我已经创建了这些策略元素,就可以在 政策>Policy Sets 页。在此页面上,我需要创建一个全新的策略集。我可以将其置于现有策略集的上方或下方,这并不重要。对于此政策集,我将其命名为 访客无线 并为其提供以下顶级条件:

设备:设备类型等于 所有设备类型#无线控制器

半径:被叫站号以 安全LabGuest

如果请求来自无线控制器且SSID为SecurityLabGuest,则此顶级条件基本上告诉ISE使用此策略集

在此策略集的“身份验证策略”下,创建以下规则:

名称: 单克隆抗体
如果: 无线_MAB <-这是ISE中预先创建的条件
允许的协议: 默认网络访问
默认: 内部端点<- 如果找不到用户,选择 继续 从下拉菜单

默认规则 of the Authentication 政策, I just use the All_User_ID_Stores 身份源序列:

在下面 授权书 政策, I will create the following rules:

名称: 访客访问
如果: 访客端点 <-预定义的ISE组
条件:<blank>
然后: 来宾访问

名称: 访客重定向
如果:Any
条件): 无线_MAB <-预定义的ISE组
然后: 访客重定向

然后我将改变 默认 rule to 拒绝访问 at the end:

在其最终形式中,我的策略集将如下所示:

保存策略集后,我可以使用另一台测试设备来测试我的客人,并在进入 运作方式>RADIUS Livelog 当我连接到访客SSID时,会看到以下内容:

I can either go to //sponsor.securitydemo.net or navigate to 访客访问>Manage Accounts 创建一个来宾帐户。创建帐户并登录我的测试设备后,我应该在RADIUS Livelog中看到成功:

晕!现在,我们已经启用了访客访问权限并正在运行以进行无线访问,但是如果我们也想将其添加到有线访问中来保护我们的端口怎么办?实际上,此时添加它非常简单。如果我导航回到策略集,地址为 政策>Policy Sets, 我需要修改现有的 有线 政策集。我唯一需要添加的是在“默认”规则之前的“授权”策略中的两个规则。我将创建的规则是:

名称: 访客访问
如果: 访客端点
条件):<none>
然后: 来宾访问

名称: 访客重定向
如果:<any>
条件): 有线_MAB
然后: 访客重定向

就顺序而言,在我的授权政策中如下所示:

注意:或者,我也可以将默认规则设置为 访客重定向。两种方法都一样有效,大多数情况下,您会将其作为生产中的默认规则使用,但是由于这是一个我经常测试不同规则的实验室,因此我创建了一个独立规则,因此可以将其禁用并重新启用将来需要。要注意的另一件事是,无论采用哪种方式,这都不会干扰我将来的性能分析策略,因为它是在我的授权策略上订购的。如果上面没有任何匹配项,这些规则将简单地充当“包罗万象”的角色,因此当我们将来创建概要分析授权规则时,我们只需要确保它们位于授权策略中的“访客重定向”规则之上即可。 

保存对此策略集的更改后,我可以通过将非dot1x PC连接到交换机上的端口进行测试并检查 运作方式>RADIUS Livelog 表示我的计算机正在 访客重定向 授权书 Profile instead of the 默认 of 拒绝访问:

登录访客门户后,您将看到授权配置文件更改:


在实际的交换机本身上,您可以通过发出 显示身份验证会话界面 类型/型号 详情 command:

从上面的输出中,我可以看到以下内容:

  • MAC地址
  • 分配给端点的IPv4地址
  • 用户名-由于这是MAB,因此它将是MAC地址
  • 状态-已授权,因为它与我们的授权政策中的访客重定向规则匹配
  • 公用会话ID-这是NAD与此端点之间此特定会话的会话ID。如果需要,这对于在ISE中进行故障排除很有用。
  • 本地策略-这些是我们在交换机/端口上创建的现有策略
  • 服务器策略-这基于ISE用于此端点的授权配置文件。如您所见,它使用了 仅ISE ACL。这不是可下载的ACL。这是我们在交换机配置过程中在交换机上创建的ACL。
  • URL重定向-这是ISE用于此特定会话的重定向URL。如果您注意到,则会话ID是URL的一部分
  • 方法状态列表-在这里您可以看到它在dot1x上失败并在MAB下成功。当您遇到故障时,这是一个进行故障排除的好地方

登录访客门户并获得访问权限后,发出以下命令后,我会看到非常不同的输出 显示身份验证会话 再次命令:

这次,您将看到已经下载了DACL,因为它现在显示了 ACS ACL 您会看到它是哪个DACL。如果您发出 显示访问列表 命令,您还将在此处详细看到ACL。就VLAN而言,授权配置文件指定了VLAN 70,但由于该端口已配置为 交换端口访问VLAN 70,无需更改VLAN。

让您大致了解发起人的发起人门户过程:

从来宾用户的角度来看,这是使用我创建的默认门户网站和设置的来宾序列的样子:

步骤1-访客连接到网络,并重定向到访客门户

第2步-输入凭据后,将访客引导至AUP页面

第3步-我并没有真正修改欢迎信息。我可以在这里拥有一些品牌,也可以完全不在生产网络中使用

步骤4-成功页面。另外,我也可以将其重定向到他们尝试访问的原始页面或我公司的页面