伊势 2.0 - Hotspot 政策

在这篇文章中,我将配置热点访问。热点访问与ISE中的常规访客访问有所不同。 Hotspot的用例是您可能希望允许访客访问Internet而无需颁发凭据或直接识别它们,但仍具有一定程度的控制权。例如,如果您拥有连锁零售店,并且想让客户访问互联网,而又不想让他们自行注册或披露有关其身份的信息。 借助Hotspot访问权限,您可以出于营销原因而拥有品牌门户,让用户出于法律原因而接受AUP,将其重定向到您公司的页面或带有最新交易/优惠券的网页,并且(可选)甚至可以让他们进入您在此位置显示的访问代码,以减少来自不在企业中的用户到网络的随机连接。 

热点访问的配置很漂亮 简单明了,我将重用我在上一篇文章中创建的许多策略元素。要修改Hotspot门户,我必须导航到 来宾 Access>Configure>Guest Portals and modify the Hotspot 来宾(Default)  门户。  

此页面上的设置几乎与访客门户设置相同,因此我将重点介绍在AUP页面设置上添加访问代码:

在此页面上保存设置后,我需要通过导航到添加授权配置文件 政策>Policy Elements>Results>Authorization>授权资料 并创建以下配置文件:

名称:  热点重定向

  • 检查 虚拟局域网 框并输入VLAN ID 70
  • 选中复选框 Web重定向,将其更改为 热点 从下拉菜单中输入 访客重定向 ACL,然后选择 热点 来宾Portal 从下拉菜单

完成授权策略的配置后,我将导航至 政策>Policy Sets 并创建一个新的策略集。我给它起名字 无线热点 具有以下顶级条件:
设备:设备类型等于 所有设备类型#无线控制器

半径:被叫站号以 安全实验室热点

Under the Authentication 政策, I'll add the following rule:

名称:   单克隆抗体
如果:   无线_MAB
允许的协议: Default Network 访问
使用:  Internal 终点 (也设置 如果找不到用户 继续  in the drop-down)

 

对于默认规则,我将身份源序列设置为 All_User_ID_Stores:

在授权策略下,我将创建以下策略规则:

名称:  Hotspot 访问
如果:   访客端点
条件):<None>
然后:   来宾访问

对于“默认包罗万象”规则,我将更改以下内容:
如果没有匹配项,则: 热点重定向

保存策略后,我可以通过导航到 运作方式>RADIUS Livelog 并使用测试设备连接到我发送的SecurityLabHotspot SSID。 

注意:如果在每个练习中都使用相同的测试设备,请导航至 行政>Identities>Endpoints 并删除测试之间的端点。
 

在RADIUS Livelog上,我应该看到以下内容:

从最终用户的角度来看,流程如下所示:

步骤1-将用户重定向到AUP页面。由于我需要访问码才能获得访问权限,因此此页面上有一个字段可以填写

步骤2-输入访问代码并接受AUP后,我已成功连接到网络,现在可以使用Internet浏览了。