Cisco ISE 2.4 und CWA mit Flexconnect

Einrichten eine Gastzuganges über das WLAN in Verbindung mit einem virtuellen Cisco WLAN Controller und der ISE 2.4 und AccessPoints die im Flexconnect Mode laufen.

Die IP Adressen :
192.168.176.16 – vWLC
192.168.176.195 – ISE Server

Das erste was wir brauchen ist eine SSID die für den Gastzugang verwendet wird.
Diese legen wir als erstes an.

So sollte es danach unter dem Menüpunkt WLAN auf dem WLC  aussehen.
Die WLANID 3 sollte dann aber auch auf enabled stehen.

Vergabe des Namens für die SSID, der Beschreibung, festlegen welches Interface genommen werden soll  und ob es Beschränkungen in der Nutzung der Radios geben soll.

Weiter geht es mit den Security Einstellungen

Hier muss Mac Filtering aktiviert werden!

Standart lassen

Hier müssen die AAA Server (Radius) eingetragen werden, es ist der ISE Server.
Da der die User gegen den Windows AD Server prüft

In Advanced ist einiges anzupassen.
Wichtig ist das bei NAC State “ISE NAC” aktiviert wird.
Ich selber habe noch AAA Override aktiviert und einen DHCP Server angegeben

Wichtig ist das die ACL im Bereich Wireless/FlexConnet Groups/Flexconnect ACLs eingetragen wird!
Hier greift später die ISE drauf zu.

Es wird zum einen die Kommunikation zur ISE und zur Namensauflösung freigegeben.
Erst die ACL mit Namen angeben

und dann die ACL mit den Einträgen füllen.
Es wird der Zugriff auf die ISE freigegeben und danach das alles auf den DNS Dienst zugreifen kann.

Danach muss die ACL noch in den Einstellungen für den AccessPoint im Bereich Flexconnect eingetragen werden.

Nun zur ISE

Als erstes wird unter Policy/Results im Bereich Authorization Profiles ein Profil für den CWA angelegt, in diesem Fall mit dem Namen NT_WLC_CWA

Darin wird zum einen der AccessType auf Access_Accept eingestellt und die Weiterleitung zum Portal eingestellt. Hier kommt dann auch die AccessListe vom WLC zum Einsatz.
Achtung der Eintrag ist CaseSensitive!

Dann zu den Policy Sets

Da es bei mir schon Einträge für die dot1x und MAB Authetifizierung gibt, müssen nur noch weitere Einträge unter Authorization eingetragen werden.

Nach der Blacklist muss als erstes der Eintrag kommen, das Gäste nicht gleich geblockt werden, sondern der GuestFlow muss mit PermitAccess erlaubt werden.
Danach kommt der Eintrag das Gäste die mit der WirelessID (vom Controller) 3 über das Authorization Profile “NT_WLC_CWA” (wurde weiter oben angelegt) abgehandelt werden

ISE Sponsor Portal Einstellungen

Übersicht was eingestellt werden kann/muss

Wie ist das Portal zu erreichen und welches Zertifikat wird verwendet ?

Login Settings

ISE Sponsor Guest Portal Einstellungen

Auf welchem Port wird zum Anmelden weitergeleitet und welches zertifikat wird verwendet ?

Login Einstellungen

Werden die Nutzungsbedingungen angezeigt ?

Muss der Gast sein Password wechseln

Wir das Device automatische registriert ?

Wird ein Comliance Check durchgeführt ?

Gibt es einen Banner nach der Anmeldung ?

Wird das VLAN gewechselt ?

Auf welche URL wird nach der Anmeldung weitergeleitet ?