Взаимодействие контроллера с порталом Cisco ISE

При первом подключении клиента ТД пытается пройти MAB-авторизацию на NAC-сервере, подставляя MAC-адрес клиента в атрибуты User-Name и User-Password запроса access-request к RADIUS-серверу WLC. Контроллер проксирует запрос на внешний RADIUS-сервер Cisco ISE. Так как ISE ничего не известно о данном клиенте, он присылает access-reject на WLC, тот, в свою очередь, на ТД.
После того как ТД получила access-reject, она отправляет клиенту ссылку редиректа на гостевой портал ISE-формата, при этом дополняя ACL с доступом только до гостевого портала. Пример ссылки:
https://100.110.0.161:8443/portal/PortalSetup.action?portal=10968c1f-36fe-4e5c-96ff-9d74f689b29b/?action_url=http%3A%2F%2Fredirect%2Eloc%3A10081%2F&ap_mac=68%3A13%3AE2%3A0E%3A85%3A50&client_mac=a2%3A13%3A66%3A1b%3Ac7%3A8e&redirect=http%3A%2F%2Fconnectivitycheck%2Egstatic%2Ecom%2Fgenerate%5F204
После авторизации пользователя на гостевом портале клиенту возвращается ссылка редиректа на ТД, содержащая в себе адрес сайта, на который клиент хотел попасть изначально, логин и пароль, под которым клиент успешно прошёл аутентификацию на гостевом портале. Пример ссылки:
http://redirect.loc:10081/?token=NAI4PU5HK6O007V0KMYS37M800GOZW97&buttonClicked=4&err_flag=0&err_msg=&info_flag=0&info_msg=&redirect_url=http%3A%2F%2Fconnectivitycheck.gstatic.com%2Fgenerate_204&username=login&password=Password
Когда клиент переходит по этой ссылке, ТД считывает из нее логин и пароль и подставляет в атрибуты User-Name и User-Password запроса access-request, RADIUS успешно авторизует клиента, и ТД снимает ACL на доступ клиента и перенаправляет на изначально запрашиваемый пользователем портал.
После отключения от SSID и подключения заново или подключения к другой ТД (к тому же SSID), авторизация будет проходить по MAC-адресу (так как этот сценарий реализован в логике ТД «external portal» и срабатывает при подключении к SSID, если ТД не помнит клиента). Редирект пользователя на портал происходить не будет до тех пор, пока учетная запись клиента не будет удалена из базы, вручную или автоматически (по настроенной логике).

Пример страницы гостевого портала:

WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > Screenshot_20250204_165233.png

Схема процесса авторизации нового клиента по логину и паролю:

Настройка на WLC

В данном разделе описана настройка внешней портальной авторизации на WLC.

За основу необходимо взять заводскую конфигурацию Factory (подробнее в инструкции Quickstart):

object-group service ssh
  port-range 22
exit
object-group service dhcp_server
  port-range 67
exit
object-group service dhcp_client
  port-range 68
exit
object-group service ntp
  port-range 123
exit
object-group service dns
  port-range 53
exit
object-group service netconf
  port-range 830
exit
object-group service radius_auth
  port-range 1812
exit
object-group service sa
  port-range 8043-8044
exit
object-group service airtune
  port-range 8099
exit
object-group service web
  port-range 443
exit

syslog max-files 3
syslog file-size 512
syslog file tmpsys:syslog/default
  severity info
exit

radius-server local
  nas ap
    key ascii-text encrypted 8CB5107EA7005AFF
    network 192.168.1.0/24
  exit
  nas local
    key ascii-text encrypted 8CB5107EA7005AFF
    network 127.0.0.1/32
  exit
  domain default
  exit
  virtual-server default
    enable
  exit
  enable
exit
radius-server host 127.0.0.1
  key ascii-text encrypted 8CB5107EA7005AFF
exit
aaa radius-profile default_radius
  radius-server host 127.0.0.1
exit

boot host auto-config
boot host auto-update

vlan 3
  force-up
exit
vlan 2
exit

no spanning-tree

domain lookup enable

security zone trusted
exit
security zone untrusted
exit
security zone users
exit

bridge 1
  vlan 1
  security-zone trusted
  ip address 192.168.1.1/24
  no spanning-tree
  enable
exit
bridge 2
  vlan 2
  security-zone untrusted
  ip address dhcp
  no spanning-tree
  enable
exit
bridge 3
  vlan 3
  mtu 1458
  security-zone users
  ip address 192.168.2.1/24
  no spanning-tree
  enable
exit

interface gigabitethernet 1/0/1
  mode switchport
  switchport access vlan 2
exit
interface gigabitethernet 1/0/2
  mode switchport
exit
interface gigabitethernet 1/0/3
  mode switchport
exit
interface gigabitethernet 1/0/4
  mode switchport
exit
interface tengigabitethernet 1/0/1
  mode switchport
  switchport access vlan 2
exit
interface tengigabitethernet 1/0/2
  mode switchport
exit

tunnel softgre 1
  mode data
  local address 192.168.1.1
  default-profile
  enable
exit

security zone-pair trusted untrusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair trusted trusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair trusted self
  rule 10
    action permit
    match protocol tcp
    match destination-port object-group ssh
    enable
  exit
  rule 20
    action permit
    match protocol icmp
    enable
  exit
  rule 30
    action permit
    match protocol udp
    match source-port object-group dhcp_client
    match destination-port object-group dhcp_server
    enable
  exit
  rule 40
    action permit
    match protocol udp
    match destination-port object-group ntp
    enable
  exit
  rule 50
    action permit
    match protocol tcp
    match destination-port object-group dns
    enable
  exit
  rule 60
    action permit
    match protocol udp
    match destination-port object-group dns
    enable
  exit
  rule 70
    action permit
    match protocol tcp
    match destination-port object-group netconf
    enable
  exit
  rule 80
    action permit
    match protocol tcp
    match destination-port object-group sa
    enable
  exit
  rule 90
    action permit
    match protocol udp
    match destination-port object-group radius_auth
    enable
  exit
  rule 100
    action permit
    match protocol gre
    enable
  exit
  rule 110
    action permit
    match protocol tcp
    match destination-port object-group airtune
    enable
  exit
  rule 120
    action permit
    match protocol tcp
    match destination-port object-group web
    enable
  exit
exit
security zone-pair untrusted self
  rule 1
    action permit
    match protocol udp
    match source-port object-group dhcp_server
    match destination-port object-group dhcp_client
    enable
  exit
exit
security zone-pair users self
  rule 10
    action permit
    match protocol icmp
    enable
  exit
  rule 20
    action permit
    match protocol udp
    match source-port object-group dhcp_client
    match destination-port object-group dhcp_server
    enable
  exit
  rule 30
    action permit
    match protocol tcp
    match destination-port object-group dns
    enable
  exit
  rule 40
    action permit
    match protocol udp
    match destination-port object-group dns
    enable
  exit
exit
security zone-pair users untrusted
  rule 1
    action permit
    enable
  exit
exit

security passwords default-expired

nat source
  ruleset factory
    to zone untrusted
    rule 10
      description "replace 'source ip' by outgoing interface ip address"
      action source-nat interface
      enable
    exit
  exit
exit

ip dhcp-server
ip dhcp-server pool ap-pool
  network 192.168.1.0/24
  address-range 192.168.1.2-192.168.1.254
  default-router 192.168.1.1
  dns-server 192.168.1.1
  option 42 ip-address 192.168.1.1
  vendor-specific
    suboption 12 ascii-text "192.168.1.1"
    suboption 15 ascii-text "https://192.168.1.1:8043"
  exit
exit
ip dhcp-server pool users-pool
  network 192.168.2.0/24
  address-range 192.168.2.2-192.168.2.254
  default-router 192.168.2.1
  dns-server 192.168.2.1
exit

softgre-controller
  nas-ip-address 127.0.0.1
  data-tunnel configuration wlc
  aaa radius-profile default_radius
  keepalive-disable
  service-vlan add 3
  enable
exit

wlc
  outside-address 192.168.1.1
  service-activator
    aps join auto
  exit
  airtune
    enable
  exit
  ap-location default-location
    description "default-location"
    mode tunnel
    ap-profile default-ap
    airtune-profile default_airtune
    ssid-profile default-ssid
  exit
  airtune-profile default_airtune
    description "default_airtune"
  exit
  ssid-profile default-ssid
    description "default-ssid"
    ssid "default-ssid"
    radius-profile default-radius
    vlan-id 3
    security-mode WPA2_1X
    802.11kv
    band 2g
    band 5g
    enable
  exit
  radio-2g-profile default_2g
    description "default_2g"
  exit
  radio-5g-profile default_5g
    description "default_5g"
  exit
  ap-profile default-ap
    description "default-ap"
    password ascii-text encrypted 8CB5107EA7005AFF
  exit
  radius-profile default-radius
    description "default-radius"
    auth-address 192.168.1.1
    auth-password ascii-text encrypted 8CB5107EA7005AFF
    domain default
  exit
  wids-profile default-wids
    description "default-wids"
  exit
  ip-pool default-ip-pool
    description "default-ip-pool"
    ap-location default-location
  exit
  enable
exit

wlc-journal all
  limit days 365
exit

ip ssh server

ip tftp client timeout 45
ntp enable
ntp broadcast-client enable

ip https server

Физическая конфигурация интерфейсов устройств серии WLC-15, WLC-30 и WLC-3200 различается между собой. Попытка применения настроек для одной модели устройства на другую серии может вызвать ошибку инициализации интерфейсов.

Внесение дополнений в конфигурацию:

Ниже рассмотрен пример настройки RADIUS-сервера и проксирования RADIUS-запросов ТД на внешний RADIUS-сервер (подробнее в инструкции Настройка проксирования на внешний RADIUS):

Настройте локальный RADIUS-сервер:

radius-server local
  nas ap
    key ascii-text password
    network 192.168.1.0/24
  exit
  nas local
    key ascii-text password
    network 127.0.0.1/32
  exit
  virtual-server default
    proxy-mode
    nas-ip-address 100.109.1.246 <-- WLC UPLINK IP BRIDGE 2
    upstream-server cisco-ise
      host 100.110.0.161
      server-type all
      key ascii-text password
    exit
    enable
  exit
  enable
exit

Настройте локальный RADIUS-профиль:

radius-server host 127.0.0.1
  key ascii-text password
exit
aaa radius-profile default_radius
  radius-server host 127.0.0.1
exit

Настройте портальную авторизацию (подробнее в инструкции Авторизация через RADIUS):

wlc
  portal-profile default-portal
    redirect-url-custom "https://100.110.0.161:8443/portal/PortalSetup.action?portal=10968c1f-36fe-4e5c-96ff-9d74f689b29b?action_url=<SWITCH_URL>&redirect=<ORIGINAL_URL>&ap_mac=<AP_MAC>"
    age-timeout 10
    verification-mode external-portal
  exit
  radius-profile default-radius
    auth-address 192.168.1.1
    auth-password ascii-text password
    auth-acct-id-send
    acct-enable
    acct-address 192.168.1.1
    acct-password ascii-text password
    acct-periodic
  exit
exit

Значение параметра redirect-url-custom в профиле портала требуется указывать в двойных кавычках.

Параметр wlc>portal-profile>redirect-url-custom содержит URL портала и атрибуты, указанные после символа "?". Между собой атрибуты разделяются символом "&".

Таблица 1 — Атрибуты URL-шаблона для внешней портальной авторизации

Параметр	Описание
<NAS_ID>	Идентификатор ТД. Когда параметр не задан, то в качестве NAS ID в RADIUS-пакетах и строке редиректа будет использоваться MAC-адрес ТД. NAS ID возможно задать в конфигурации wlc → radius-profile <name> → nas-id. В данном примере NAS ID не задается.
<SWITCH_URL>	Доменное имя, которое получает клиент при перенаправлении
<AP_MAC>	MAC-адрес точки доступа
<CLIENT_MAC>	MAC-адрес клиента
<SSID>	SSID
<ORIGINAL_URL>	URL, который изначально запрашивал клиент

Настройте SSID-профиль:

wlc
  ssid-profile default-ssid
    ssid "default-ssid_cisco_ise"
    radius-profile default-radius
    portal-enable
    portal-profile default-portal
    vlan-id 3
    802.11kv
    band 2g
    band 5g
    enable
  exit
exit

Cуммарные изменения в конфигурации WLC:

radius-server local
  nas ap
    key ascii-text password
    network 192.168.1.0/24
  exit
  nas local
    key ascii-text password
    network 127.0.0.1/32
  exit
  virtual-server default
    proxy-mode
    nas-ip-address 100.109.1.246 
    upstream-server cisco-ise
      host 100.110.0.161
      server-type all
      key ascii-text password
    exit
    enable
  exit
  enable
exit

radius-server host 127.0.0.1
  key ascii-text password
exit
aaa radius-profile default_radius
  radius-server host 127.0.0.1
exit

wlc
  outside-address 192.168.1.1
  service-activator
    aps join auto
  exit
  airtune
    enable
  exit
  ap-location default-location
    mode tunnel
    ap-profile default-ap
	airtune-profile default_airtune
    ssid-profile default-ssid
  exit
  airtune-profile default_airtune
    description "default_airtune"
  exit
  ssid-profile default-ssid
    ssid "default-ssid_cisco_ise"
    radius-profile default-radius
    portal-enable
    portal-profile default-portal
    vlan-id 3
	security-mode WPA2_1X
    802.11kv
    band 2g
    band 5g
    enable
  exit
  radio-2g-profile default_2g
    description "default_2g"
  exit
  radio-5g-profile default_5g
    description "default_5g"
  exit
  ap-profile default-ap
    password ascii-text password
  exit
  portal-profile default-portal
    redirect-url-custom "https://100.110.0.161:8443/portal/PortalSetup.action?portal=10968c1f-36fe-4e5c-96ff-9d74f689b29b?action_url=<SWITCH_URL>&redirect=<ORIGINAL_URL>&ap_mac=<AP_MAC>"
    age-timeout 10
    verification-mode external-portal
  exit
  radius-profile default-radius
    auth-address 192.168.1.1
    auth-password ascii-text password
    auth-acct-id-send
    acct-enable
    acct-address 192.168.1.1
    acct-password ascii-text password
    acct-periodic
	domain default
  exit
  ip-pool default-ip-pool
    description "default-ip-pool"
    ap-location default-location
  exit
  enable
exit

Настройка Cisco ISE

1. В Cisco ISE cоздайте Network Device Profile — Eltex с помощью кнопки Add:

2. Настроить созданный профиль Eltex. Указать протокол взаимодействия — RADIUS:
WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > Screenshot from 2024-12-25 15-51-40.png

В параметрах указать атрибуты RADIUS, по которым ISE будет определять типы Authentication/Authorization. Для этого в выпадающем списке необходимо настроить Flow Type Conditions:

Wireless MAB detected;
Wireless Web Authentication detected.

Для всех Wireless-подключений атрибут идентификации Radius:NAS-Port-Type будет одинаков Wireless - IEEE 802.11.
В Wireless MAB detected необходимо добавить еще один атрибут — Radius:Service-Type со значением Call Check.
В Wireless Web Authentication detected необходимо добавить еще один атрибут — Radius:Service-Type со значением Login.

WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > Screenshot from 2024-12-25 15-52-31.png

В Host Lookup (MAB) установите флаг на пункте Process Host Lookup, включите используемый ТД протокол обмена подтверждениями, отключите Check Password в разделах Via PAP/ASCII и Via EAP-MD5:

WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > Screenshot from 2024-12-25 15-53-16.png

3. Создайте новое сетевое устройство, в примере ниже — Eltex-WLC.

WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > Screenshot from 2024-12-11 10-50-07.png

4. Настройте взаимодействие по протоколу RADIUS. Укажите адрес и подсеть контроллера WLC (в примере это один контроллер и подсеть 100.109.1.246/32), в поле Device Profile выберите ранее созданный профиль Eltex.

WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > Screenshot from 2024-12-25 15-58-29.png

Также необходимо указать secret key для протокола RADIUS, настроенный на контроллере WLC в разделе radius-server → virtual-server → upstream-server → key.

WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > Screenshot from 2024-12-25 15-58-36.png

5. Создайте группу встроенных гостевых учетных записей, в примере ниже это Eltex_AP_Users.

WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > Screenshot from 2024-12-25 16-01-03.png

В этой группе необходимо создать учетные записи, задать для каждой логин и пароль. Пример создания учетной записи:

WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > Screenshot from 2024-12-25 16-07-16.png

WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > Screenshot from 2024-12-25 16-07-44.png

WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > Screenshot from 2024-12-25 16-11-46.png

6. Настройте последовательность действий для гостевого портала (Guest Portal Sequence). Перейдите в настройки Work Centers → Guest Access → Identities → Identity Source Sequence → Guest Portal Sequence — это предустановленная последовательность аутентификации гостевых пользователей. В поле Authentication Search List выберите порядок аутентификации пользователей. В примере ниже установлен следующий порядок: Internal Endpoints (MAB) → Internal Users (встроенные учетные записи) → Guest Users (учетные записи созданные пользователем самостоятельно на гостевом портале):

WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > Screenshot from 2024-12-25 16-12-29.png

WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > Screenshot from 2024-12-25 16-13-23.png

7. Создайте правило с разрешенными протоколами, в примере это Allowed_Protocols. Установите необходимые разрешения в пунктах Authentication Bypass — Process Host Lookup и в Authentication Protocols — Allow PAP/ASCII.

WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > Screenshot from 2024-12-25 16-14-36.png

WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > Screenshot from 2024-12-25 16-15-20.png

8. Настройте Authorization Profiles. На вкладке Work Centers → Guest Access → Policy Elements → Results → Authorization Profiles → Add создайте профиль авторизации под ранее созданный Network Device Profile. В данный сценарий можно включать параметры авторизации клиента, такие как CVLAN, ACL, shaper и т. п. через добавление различных атрибутов, которые поддерживают ТД ELTEX:

WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > Screenshot from 2024-12-25 16-18-20.png

WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > Screenshot from 2024-12-25 16-18-50.png

9. Настройте Policy Sets. На вкладке Work Centers → Guest Access → Policy Sets создайте политику доступа для Wi-Fi пользователей. В примере ниже создана политика доступа с названием Policy Sets.
В эту политику попадают клиенты, приходящие с SSID default-ssid_cisco_ise, Flow Type Conditions соответствуют Wirelles_MAB или WLC_WEB_Authentication:

WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > Screenshot from 2024-12-25 16-20-49.png

WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > Screenshot from 2024-12-25 16-21-41.png

10. В созданной политике настройте правила аутентификации и авторизации.
В правиле аутентификации сначала идет проверка пользователя по логину и паролю в базе Internal Users. Далее, если не сработала проверка по логину и паролю, проверяется MAC-адрес в базе EndPoints (MAB).
В правиле авторизации сначала идет проверка пользователя по логину и паролю в базе Internal Users. Далее, если не сработала проверка по логину и паролю, проверяется MAC-адрес в базе EndPoints (MAB).
В примере при успешной проверке применяется действие PermitAccess.

11. Настройте гостевой портал. Ниже приведен пример настройки портала.

WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > Screenshot from 2024-12-25 16-24-43.png

WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > Screenshot from 2024-12-26 09-32-17.png

WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > Screenshot from 2024-12-26 09-32-38.png

WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > Screenshot from 2024-12-26 09-32-56.png

WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > Screenshot from 2024-12-26 09-33-22.png

WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > Screenshot from 2024-12-26 09-33-41.png

WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > Screenshot from 2024-12-26 09-33-54.png

WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > Screenshot from 2024-12-26 09-34-08.png

WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > Screenshot from 2024-12-26 09-34-20.png

WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > Screenshot from 2024-12-26 09-34-34.png

WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > Screenshot from 2024-12-26 09-34-52.png

WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > Screenshot from 2024-12-26 09-35-04.png

12. Адрес портала для настройки ссылки редиректа возможно получить по ссылке Portal test URL:

WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > image-2024-7-2_15-56-31.png

Отладочная информация RADIUS

В разделе Operations → RADIUS → Live Logs находится запись журнала c отладочной информацией RADIUS. В примере клиент не смог пройти MAB-аутентификацию, так как прошел регистрацию на портале.

WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > image-2024-7-2_14-7-32 (11).png

WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > image-2024-7-2_14-7-32 (12).png

Запись о том, что гость аутентифицировался на портале (после регистрации).
WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > image-2024-7-2_16-6-8.png

Запись о том, что пользователь успешно аутентифицировался и авторизовался через RADIUS по логину и паролю.
WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > image-2024-7-2_16-8-15 (21).png

WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > image-2024-7-2_16-8-15 (22).png

Запись о том, что клиент успешно прошел MAB-аутентификацию и авторизацию через RADIUS (Cisco ISE занесла MAC клиента в базу EndPoints при аутентификации пользователя на портале).

WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > image-2024-6-26_11-13-13 (31).png

WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > image-2024-6-26_11-13-13 (32).png

Запись аккаунтинга пользователя:
WLC-Series Documentation 1.30 > Авторизация через Cisco ISE > image-2024-7-2_16-14-59.png