2024年3月24日发(作者:威聪)
ISE实现802.1X MAB Webauth配置指南
一、 目的................................................................................................................................... 1
二、 网络拓扑和基本配置 ....................................................................................................... 1
实验1:基于MAB的有线终端设备认证 .................................................................................... 3
实验2:基于802.1X的有线终端设备认证 .................................................................................. 9
实验3:通过Guest VLAN实现802.1X认证 ........................................................................... 17
实验4:通过Critical VLAN实现802.1X认证 ........................................................................ 19
实验5:通过MAR认证控制加入域设备的访问 ...................................................................... 22
实验5:基于WebAuth的有线终端设备认证 ........................................................................... 27
一、 目的
本文介绍了如何通过思科ISE(Identity Services Engine),针对不同应用场景实现对不同类
型的终端设备(Managed/Unmanaged)的网络访问控制,包括常见的用户需求及具体配置
方式:
有线终端设备的802.1x、MAB、Webauth认证的配置步骤
通过VLAN和DACL对终端设备的网络访问控制
通过MAR实现加入域计算机的网络访问控制
二、 网络拓扑和基本配置
下图为本测试的网络拓扑图:
测试设备的连接与配置说明:
设备
3560交换机
VMWare ESXi服
务器
ISE(VMWare虚
拟机)
Windows证书服
务器(VMWare虚
拟机)
WLC2504
ASA5505
AP
Apple iPad2
Windows PC
IOS12.2
5.0
1.1.1.268
版本 IP地址
10.10.10.1
10.10.10.60
10.10.10.70
交换机端口
Gi0/3
Windows Server 2008 R2 10.10.10.80
Enterprise 10.10.10.81
7.2.110.0
ASA 8.4(2)
ASDM 6.4(5)
iOS5.1以上
Windows XP/7
10.10.10.90
10.10.10.85
DHCP
Gi0/1
Gi0/2
Gi0/4
1.C3560CG交换机基本配置:
在C3560上配置3个Vlan:
Vlan 10: 10.10.10.0/24,SVI为10.10.10.1,作为其它设备的缺省网关地址,并启用DHCP。
Vlan 20:20.20.20.0/24,SVI为20.20.20.1,并启用DHCP。
Vlan 30:30.30.30.0/24,SVI为30.30.30.1,并启用DHCP。
2、Windows Server 2008基本配置:
版本:Windows Server 2008 Enterprise
AD域:,新建以下组和用户:
组
ADEmployee
ADManager
A记录
ise-111
mscep
win2008
employee
guest
启用NTP服务
启用Web服务器
3、ISE基本配置:
版本:ISE1.1.1.268
缺省网关:10.10.10.1
DNS服务器:10.10.10.80
10.10.10.80
10.10.10.80
10.10.10.80
10.10.10.80
10.10.10.80
用户
Employee<1-8> (密码:Cisco123)
Manager<1-8> (密码:Cisco123)
IP地址
启用DNS服务器,添加如下A记录:
2024年3月24日发(作者:威聪)
ISE实现802.1X MAB Webauth配置指南
一、 目的................................................................................................................................... 1
二、 网络拓扑和基本配置 ....................................................................................................... 1
实验1:基于MAB的有线终端设备认证 .................................................................................... 3
实验2:基于802.1X的有线终端设备认证 .................................................................................. 9
实验3:通过Guest VLAN实现802.1X认证 ........................................................................... 17
实验4:通过Critical VLAN实现802.1X认证 ........................................................................ 19
实验5:通过MAR认证控制加入域设备的访问 ...................................................................... 22
实验5:基于WebAuth的有线终端设备认证 ........................................................................... 27
一、 目的
本文介绍了如何通过思科ISE(Identity Services Engine),针对不同应用场景实现对不同类
型的终端设备(Managed/Unmanaged)的网络访问控制,包括常见的用户需求及具体配置
方式:
有线终端设备的802.1x、MAB、Webauth认证的配置步骤
通过VLAN和DACL对终端设备的网络访问控制
通过MAR实现加入域计算机的网络访问控制
二、 网络拓扑和基本配置
下图为本测试的网络拓扑图:
测试设备的连接与配置说明:
设备
3560交换机
VMWare ESXi服
务器
ISE(VMWare虚
拟机)
Windows证书服
务器(VMWare虚
拟机)
WLC2504
ASA5505
AP
Apple iPad2
Windows PC
IOS12.2
5.0
1.1.1.268
版本 IP地址
10.10.10.1
10.10.10.60
10.10.10.70
交换机端口
Gi0/3
Windows Server 2008 R2 10.10.10.80
Enterprise 10.10.10.81
7.2.110.0
ASA 8.4(2)
ASDM 6.4(5)
iOS5.1以上
Windows XP/7
10.10.10.90
10.10.10.85
DHCP
Gi0/1
Gi0/2
Gi0/4
1.C3560CG交换机基本配置:
在C3560上配置3个Vlan:
Vlan 10: 10.10.10.0/24,SVI为10.10.10.1,作为其它设备的缺省网关地址,并启用DHCP。
Vlan 20:20.20.20.0/24,SVI为20.20.20.1,并启用DHCP。
Vlan 30:30.30.30.0/24,SVI为30.30.30.1,并启用DHCP。
2、Windows Server 2008基本配置:
版本:Windows Server 2008 Enterprise
AD域:,新建以下组和用户:
组
ADEmployee
ADManager
A记录
ise-111
mscep
win2008
employee
guest
启用NTP服务
启用Web服务器
3、ISE基本配置:
版本:ISE1.1.1.268
缺省网关:10.10.10.1
DNS服务器:10.10.10.80
10.10.10.80
10.10.10.80
10.10.10.80
10.10.10.80
10.10.10.80
用户
Employee<1-8> (密码:Cisco123)
Manager<1-8> (密码:Cisco123)
IP地址
启用DNS服务器,添加如下A记录: