在这篇文章中,我将配置热点访问。热点访问与ISE中的常规访客访问有所不同。 Hotspot的用例是您可能希望允许访客访问Internet而无需颁发凭据或直接识别它们,但仍具有一定程度的控制权。例如,如果您拥有连锁零售店,并且想让客户访问互联网,而又不想让他们自行注册或披露有关其身份的信息。 借助Hotspot访问权限,您可以出于营销原因而拥有品牌门户,让用户出于法律原因而接受AUP,将其重定向到您公司的页面或带有最新交易/优惠券的网页,并且(可选)甚至可以让他们进入您在此位置显示的访问代码,以减少来自不在企业中的用户到网络的随机连接。
热点访问的配置很漂亮 简单明了,我将重用我在上一篇文章中创建的许多策略元素。要修改Hotspot门户,我必须导航到 来宾 Access>Configure>Guest Portals and modify the Hotspot 来宾(Default) 门户。
此页面上的设置几乎与访客门户设置相同,因此我将重点介绍在AUP页面设置上添加访问代码:
在此页面上保存设置后,我需要通过导航到添加授权配置文件 政策>Policy Elements>Results>Authorization>授权资料 并创建以下配置文件:
名称: 热点重定向
- 检查 虚拟局域网 框并输入VLAN ID 70
- 选中复选框 Web重定向,将其更改为 热点 从下拉菜单中输入 访客重定向 ACL,然后选择 热点 来宾Portal 从下拉菜单
完成授权策略的配置后,我将导航至 政策>Policy Sets 并创建一个新的策略集。我给它起名字 无线热点 具有以下顶级条件:
设备:设备类型等于 所有设备类型#无线控制器
和
半径:被叫站号以 安全实验室热点
Under the Authentication 政策, I'll add the following rule:
名称: 单克隆抗体
如果: 无线_MAB
允许的协议: Default Network 访问
使用: Internal 终点 (也设置 如果找不到用户 至 继续 in the drop-down)
对于默认规则,我将身份源序列设置为 All_User_ID_Stores:
在授权策略下,我将创建以下策略规则:
名称: Hotspot 访问
如果: 访客端点
条件):<None>
然后: 来宾访问
对于“默认包罗万象”规则,我将更改以下内容:
如果没有匹配项,则: 热点重定向
保存策略后,我可以通过导航到 运作方式>RADIUS Livelog 并使用测试设备连接到我发送的SecurityLabHotspot SSID。
注意:如果在每个练习中都使用相同的测试设备,请导航至 行政>Identities>Endpoints 并删除测试之间的端点。
在RADIUS Livelog上,我应该看到以下内容:
从最终用户的角度来看,流程如下所示:
步骤1-将用户重定向到AUP页面。由于我需要访问码才能获得访问权限,因此此页面上有一个字段可以填写
步骤2-输入访问代码并接受AUP后,我已成功连接到网络,现在可以使用Internet浏览了。