Cisco ISE៖ កំណត់រចនាសម្ព័ន្ធការចូលប្រើជាភ្ញៀវនៅលើ FortiAP ។ ផ្នែកទី 3

សូមស្វាគមន៍មកកាន់ការបោះពុម្ពលើកទីបីនៃអត្ថបទជាបន្តបន្ទាប់ដែលឧទ្ទិសដល់ Cisco ISE ។ តំណភ្ជាប់ទៅកាន់អត្ថបទទាំងអស់នៅក្នុងស៊េរីត្រូវបានផ្តល់ឱ្យខាងក្រោម៖

1. Cisco ISE៖ ការណែនាំ តម្រូវការ ការដំឡើង។ ផ្នែកទី 1

2. Cisco ISE៖ ការបង្កើតអ្នកប្រើប្រាស់ បន្ថែមម៉ាស៊ីនមេ LDAP រួមបញ្ចូលជាមួយ AD ។ ផ្នែកទី 2

3. Cisco ISE៖ កំណត់រចនាសម្ព័ន្ធការចូលប្រើជាភ្ញៀវនៅលើ FortiAP ។ ផ្នែកទី 3

នៅក្នុងការបោះពុម្ភផ្សាយនេះ អ្នកនឹងចូលទៅក្នុងការចូលប្រើជាភ្ញៀវ ក៏ដូចជាការណែនាំជាជំហាន ៗ ក្នុងការរួមបញ្ចូល Cisco ISE និង FortiGate ដើម្បីកំណត់រចនាសម្ព័ន្ធ FortiAP ដែលជាចំណុចចូលដំណើរការពី Fortinet (ជាទូទៅ ឧបករណ៍ណាមួយដែលគាំទ្រ RADIUS CoA - ការផ្លាស់ប្តូរការអនុញ្ញាត) ។

លើសពីនេះទៀតខ្ញុំភ្ជាប់អត្ថបទរបស់យើង។ Fortinet - ជម្រើសនៃសម្ភារៈមានប្រយោជន៍.

ការកត់សម្គាល់៖ ឧបករណ៍ Check Point SMB មិនគាំទ្រ RADIUS CoA ទេ។

អស្ចារ្យ ភាពជាអ្នកដឹកនាំ ពិពណ៌នាជាភាសាអង់គ្លេសអំពីរបៀបបង្កើតការចូលប្រើជាភ្ញៀវដោយប្រើ Cisco ISE នៅលើ Cisco WLC (Wireless Controller)។ តោះស្វែងយល់!

1. សេចក្តីផ្តើម

ការចូលប្រើជាភ្ញៀវ (វិបផតថល) អនុញ្ញាតឱ្យអ្នកផ្តល់នូវការចូលប្រើអ៊ីនធឺណិត ឬធនធានខាងក្នុងសម្រាប់ភ្ញៀវ និងអ្នកប្រើប្រាស់ដែលអ្នកមិនចង់អនុញ្ញាតឱ្យចូលទៅក្នុងបណ្តាញមូលដ្ឋានរបស់អ្នក។ មាន 3 ប្រភេទនៃវិបផតថលដែលបានដំឡើងជាមុន:

1. វិបផតថលភ្ញៀវ Hotspot - ការចូលប្រើបណ្តាញត្រូវបានផ្តល់ជូនភ្ញៀវដោយគ្មានព័ត៌មានចូល។ ជាធម្មតា អ្នកប្រើប្រាស់ត្រូវយល់ព្រមជាមួយ "ការប្រើប្រាស់ និងគោលការណ៍ឯកជនភាព" របស់ក្រុមហ៊ុនមួយ មុនពេលចូលប្រើបណ្តាញ។

2. វិបផតថលភ្ញៀវដែលឧបត្ថម្ភ - ការចូលប្រើបណ្តាញ និងទិន្នន័យចូលត្រូវតែផ្តល់ដោយអ្នកឧបត្ថម្ភ - អ្នកប្រើប្រាស់ដែលទទួលខុសត្រូវក្នុងការបង្កើតគណនីភ្ញៀវនៅលើ Cisco ISE ។

3. វិបផតថលភ្ញៀវដែលបានចុះឈ្មោះដោយខ្លួនឯង - ក្នុងករណីនេះ ភ្ញៀវប្រើទិន្នន័យចូលដែលមានស្រាប់ ឬបង្កើតគណនីសម្រាប់ខ្លួនគេជាមួយនឹងទិន្នន័យចូល ប៉ុន្តែការបញ្ជាក់របស់អ្នកឧបត្ថម្ភគឺទាមទារដើម្បីទទួលបានការចូលប្រើបណ្តាញ។

អ្នកអាចដាក់ពង្រាយច្រកជាច្រើនក្នុងពេលដំណាលគ្នានៅលើ Cisco ISE ។ តាមលំនាំដើម អ្នកប្រើប្រាស់នឹងឃើញនិមិត្តសញ្ញា Cisco និងឃ្លាទូទៅស្តង់ដារនៅក្នុងវិបផតថលភ្ញៀវ។ ទាំងអស់នេះអាចត្រូវបានប្ដូរតាមបំណង ហើយអ្នកថែមទាំងអាចកំណត់ការមើលការផ្សាយពាណិជ្ជកម្មចាំបាច់មុនពេលទទួលបានសិទ្ធិចូលប្រើ។

ការដំឡើងការចូលប្រើជាភ្ញៀវអាចត្រូវបានបែងចែកជា 4 ជំហានសំខាន់ៗ៖ ការដំឡើង FortiAP ការបង្កើត Cisco ISE និង FortiAP connectivity បង្កើតវិបផតថលភ្ញៀវ និងរៀបចំគោលការណ៍ចូលប្រើ។

2. ការកំណត់រចនាសម្ព័ន្ធ FortiAP នៅលើ FortiGate

FortiGate គឺជាឧបករណ៍បញ្ជាចំណុចចូលដំណើរការ ហើយការកំណត់ទាំងអស់ត្រូវបានអនុវត្តនៅលើវា។ ចំណុចចូលប្រើ FortiAP គាំទ្រ PoE ដូច្នេះនៅពេលដែលអ្នកបានភ្ជាប់វាទៅបណ្តាញរបស់អ្នកតាមរយៈអ៊ីសឺរណិត អ្នកអាចចាប់ផ្តើមកំណត់រចនាសម្ព័ន្ធបាន។

1) នៅលើ FortiGate សូមចូលទៅកាន់ផ្ទាំង ឧបករណ៍បញ្ជាវ៉ាយហ្វាយ និងប្តូរ > គ្រប់គ្រង FortiAPs > បង្កើតថ្មី > គ្រប់គ្រង AP. ដោយប្រើលេខសៀរៀលតែមួយគត់នៃចំណុចចូលដំណើរការ ដែលមានទីតាំងនៅលើចំណុចចូលដំណើរការដោយខ្លួនឯង បន្ថែមវាជាវត្ថុមួយ។ ឬវាអាចបង្ហាញឡើងដោយខ្លួនឯង ហើយបន្ទាប់មកចុច អនុញ្ញាត ដោយប្រើប៊ូតុងកណ្ដុរខាងស្ដាំ។

2) ការកំណត់ FortiAP អាចជាលំនាំដើម ឧទាហរណ៍ ទុកពួកវាដូចនៅក្នុងរូបថតអេក្រង់។ ខ្ញុំសូមណែនាំឱ្យបើករបៀប 5 GHz ព្រោះឧបករណ៍មួយចំនួនមិនគាំទ្រ 2.4 GHz ទេ។

3) បន្ទាប់មកនៅក្នុងផ្ទាំង ឧបករណ៍បញ្ជាវ៉ាយហ្វាយ និងកុងតាក់ > ទម្រង់ FortiAP > បង្កើតថ្មី។ យើងបង្កើតទម្រង់ការកំណត់សម្រាប់ចំណុចចូលដំណើរការ (កំណែពិធីការ 802.11 របៀប SSID ប្រេកង់ឆានែល និងចំនួនឆានែល) ។

ឧទាហរណ៍នៃការកំណត់ FortiAP

4) ជំហានបន្ទាប់គឺបង្កើត SSID ។ ចូលទៅកាន់ផ្ទាំង ឧបករណ៍បញ្ជាវ៉ាយហ្វាយ និងកុងតាក់ > SSIDs > បង្កើតថ្មី > SSID ។ នេះជាចំណុចសំខាន់ដែលត្រូវកំណត់រចនាសម្ព័ន្ធ៖

• ទំហំអាសយដ្ឋានសម្រាប់ភ្ញៀវ WLAN - IP/Netmask

• RADIUS គណនេយ្យ និងការតភ្ជាប់ក្រណាត់សុវត្ថិភាពនៅក្នុងវាលចូលដំណើរការរដ្ឋបាល

• ជម្រើសស្វែងរកឧបករណ៍

• ជម្រើស SSID និង Broadcast SSID

• ការកំណត់របៀបសុវត្ថិភាព > Captive Portal 

• វិបផតថលផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ - ខាងក្រៅ ហើយបិទភ្ជាប់តំណភ្ជាប់ទៅកាន់វិបផតថលភ្ញៀវដែលបានបង្កើតពី Cisco ISE ចាប់ពីជំហានទី 20

• ក្រុមអ្នកប្រើប្រាស់ - ក្រុមភ្ញៀវ - ខាងក្រៅ - បន្ថែម RADIUS ទៅ Cisco ISE (ផ្នែកទី 6 ff)

ឧទាហរណ៍នៃការកំណត់រចនាសម្ព័ន្ធ SSID

5) បន្ទាប់មក អ្នកគួរតែបង្កើតច្បាប់នៅក្នុងគោលការណ៍ចូលប្រើប្រាស់នៅលើ FortiGate។ ចូលទៅកាន់ផ្ទាំង គោលការណ៍ និងវត្ថុ > គោលការណ៍ជញ្ជាំងភ្លើង ហើយបង្កើតច្បាប់ដូចនេះ៖

3. ការដំឡើង RADIUS

6) ចូលទៅកាន់ Cisco ISE web interface ទៅផ្ទាំង គោលការណ៍ > ធាតុគោលនយោបាយ > វចនានុក្រម > ប្រព័ន្ធ > កាំ > អ្នកលក់ RADIUS > បន្ថែម។ នៅក្នុងផ្ទាំងនេះ យើងនឹងបន្ថែម RADIUS ពី Fortinet ទៅក្នុងបញ្ជីនៃពិធីការដែលបានគាំទ្រ ចាប់តាំងពីអ្នកលក់ស្ទើរតែទាំងអស់មានគុណលក្ខណៈជាក់លាក់ផ្ទាល់ខ្លួន - VSA (គុណលក្ខណៈជាក់លាក់របស់អ្នកលក់)។

បញ្ជីនៃគុណលក្ខណៈ Fortinet RADIUS អាចរកបាន នៅទីនេះ. VSAs ត្រូវបានសម្គាល់ដោយលេខសម្គាល់អ្នកលក់តែមួយគត់។ Fortinet មាន ID នេះ = 12356... ពេញ បញ្ជី VSA ត្រូវបានបោះពុម្ពដោយអង្គការ IANA ។

7) កំណត់ឈ្មោះសម្រាប់វចនានុក្រម, ចង្អុលបង្ហាញ លេខសម្គាល់អ្នកលក់ (12356) ហើយចុច ដាក់ស្នើ។

8) បន្ទាប់មកយើងទៅ ការគ្រប់គ្រង > ទម្រង់ឧបករណ៍បណ្តាញ > បន្ថែម និងបង្កើតទម្រង់ឧបករណ៍ថ្មី។ នៅក្នុងវាលវចនានុក្រម RADIUS អ្នកគួរតែជ្រើសរើសវចនានុក្រម Fortinet RADIUS ដែលបានបង្កើតពីមុន ហើយជ្រើសរើសវិធីសាស្ត្រ CoA ដើម្បីប្រើវានៅពេលក្រោយក្នុងគោលការណ៍ ISE។ ខ្ញុំបានជ្រើសរើស RFC 5176 និង Port Bounce (បិទ/មិនបិទចំណុចប្រទាក់បណ្តាញ) និង VSA ដែលត្រូវគ្នា៖ 

Fortinet-Access-Profile = អាន-សរសេរ

Fortinet-Group-Name = fmg_faz_admins

9) បន្ទាប់មកអ្នកគួរតែបន្ថែម FortiGate សម្រាប់ការតភ្ជាប់ជាមួយ ISE ។ ដើម្បីធ្វើដូចនេះចូលទៅកាន់ផ្ទាំង ការគ្រប់គ្រង > ធនធានបណ្តាញ > ទម្រង់ឧបករណ៍បណ្តាញ > បន្ថែម។ វាលគួរតែត្រូវបានផ្លាស់ប្តូរ ឈ្មោះ, អ្នកលក់, វចនានុក្រម RADIUS (អាសយដ្ឋាន IP ត្រូវបានប្រើដោយ FortiGate មិនមែន FortiAP) ។

ឧទាហរណ៍នៃការកំណត់រចនាសម្ព័ន្ធ RADIUS ពីផ្នែក ISE

10) បន្ទាប់មក អ្នកគួរតែកំណត់រចនាសម្ព័ន្ធ RADIUS នៅផ្នែកខាង FortiGate។ នៅក្នុងចំណុចប្រទាក់គេហទំព័រ FortiGate សូមចូលទៅកាន់ អ្នកប្រើប្រាស់ និងការផ្ទៀងផ្ទាត់ > ម៉ាស៊ីនមេ RADIUS > បង្កើតថ្មី។. បញ្ជាក់ឈ្មោះ អាសយដ្ឋាន IP និងសម្ងាត់ដែលបានចែករំលែក (ពាក្យសម្ងាត់) ពីកថាខណ្ឌមុន។ ចុចបន្ទាប់ សាកល្បងអត្តសញ្ញាណអ្នកប្រើប្រាស់ ហើយបញ្ចូលលិខិតសម្គាល់ណាមួយដែលអាចទាញបានតាមរយៈ RADIUS (ឧទាហរណ៍ អ្នកប្រើប្រាស់ក្នុងស្រុកនៅលើ Cisco ISE)។

11) បន្ថែមម៉ាស៊ីនមេ RADIUS ទៅ Guest-Group (ប្រសិនបើវាមិនមានទេ សូមបង្កើតមួយ) ក៏ដូចជាអ្នកប្រើប្រាស់ប្រភពខាងក្រៅផងដែរ។

12) កុំភ្លេចបន្ថែម Guest-Group ទៅ SSID ដែលយើងបានបង្កើតមុនក្នុងជំហានទី 4។

4. ការដំឡើងអ្នកប្រើប្រាស់ការផ្ទៀងផ្ទាត់

13) ជាជម្រើស អ្នកអាចនាំចូលវិញ្ញាបនបត្រទៅកាន់វិបផតថលភ្ញៀវ ISE ឬបង្កើតវិញ្ញាបនបត្រដែលចុះហត្ថលេខាដោយខ្លួនឯងនៅក្នុងផ្ទាំង មជ្ឈមណ្ឌលការងារ > ការចូលប្រើជាភ្ញៀវ > រដ្ឋបាល > វិញ្ញាបនប័ត្រ > វិញ្ញាបនប័ត្រប្រព័ន្ធ.

14) បន្ទាប់ពីនៅក្នុងផ្ទាំង មជ្ឈមណ្ឌលការងារ > ការចូលប្រើជាភ្ញៀវ > ក្រុមអត្តសញ្ញាណ > ក្រុមអត្តសញ្ញាណអ្នកប្រើប្រាស់ > បន្ថែម បង្កើតក្រុមអ្នកប្រើប្រាស់ថ្មីសម្រាប់ការចូលប្រើជាភ្ញៀវ ឬប្រើលំនាំដើម។

15) បន្ទាប់នៅក្នុងផ្ទាំង រដ្ឋបាល > អត្តសញ្ញាណ បង្កើតអ្នកប្រើប្រាស់ភ្ញៀវ ហើយបន្ថែមពួកវាទៅក្នុងក្រុមពីកថាខណ្ឌមុន។ ប្រសិនបើអ្នកចង់ប្រើគណនីភាគីទីបី បន្ទាប់មករំលងជំហាននេះ។

16) បន្ទាប់មកចូលទៅកាន់ការកំណត់ មជ្ឈមណ្ឌលការងារ > ការចូលប្រើជាភ្ញៀវ > អត្តសញ្ញាណ > លំដាប់ប្រភពអត្តសញ្ញាណ > លំដាប់វិបផតថលភ្ញៀវ - នេះគឺជាលំដាប់នៃការផ្ទៀងផ្ទាត់ដែលបានកំណត់ជាមុនសម្រាប់អ្នកប្រើប្រាស់ជាភ្ញៀវ។ ហើយនៅក្នុងវាល បញ្ជីស្វែងរកការផ្ទៀងផ្ទាត់ ជ្រើសរើសលំដាប់នៃការផ្ទៀងផ្ទាត់អ្នកប្រើប្រាស់។

17) ដើម្បីជូនដំណឹងដល់ភ្ញៀវដោយប្រើពាក្យសម្ងាត់តែមួយដង អ្នកអាចកំណត់រចនាសម្ព័ន្ធអ្នកផ្តល់សារ SMS ឬម៉ាស៊ីនមេ SMTP សម្រាប់គោលបំណងនេះ។ ចូលទៅកាន់ផ្ទាំង មជ្ឈមណ្ឌលការងារ > ការចូលប្រើជាភ្ញៀវ > រដ្ឋបាល > ម៉ាស៊ីនមេ SMTP ឬ អ្នកផ្តល់សេវា SMS Gateway សម្រាប់ការកំណត់ទាំងនេះ។ ក្នុងករណីម៉ាស៊ីនមេ SMTP អ្នកត្រូវបង្កើតគណនីសម្រាប់ ISE ហើយបញ្ជាក់ទិន្នន័យនៅក្នុងផ្ទាំងនេះ។

18) សម្រាប់ការជូនដំណឹង SMS សូមប្រើផ្ទាំងដែលសមរម្យ។ ISE មានទម្រង់ដែលបានដំឡើងជាមុនរបស់អ្នកផ្តល់សារ SMS ដ៏ពេញនិយម ប៉ុន្តែវាជាការប្រសើរក្នុងការបង្កើតផ្ទាល់ខ្លួនរបស់អ្នក។ ប្រើទម្រង់ទាំងនេះជាឧទាហរណ៍នៃការកំណត់ SMS អ៊ីមែល Gateway ឬ SMS HTTP API.

ឧទាហរណ៍នៃការដំឡើងម៉ាស៊ីនមេ SMTP និងច្រកផ្លូវ SMS សម្រាប់ពាក្យសម្ងាត់តែម្តង

5. ការដំឡើងវិបផតថលភ្ញៀវ

19) ដូចដែលបានរៀបរាប់នៅដើមដំបូង មាន 3 ប្រភេទនៃវិបផតថលភ្ញៀវដែលបានដំឡើងជាមុន: Hotspot, Sponsored, Self-Registered ។ ខ្ញុំស្នើឱ្យជ្រើសរើសជម្រើសទីបីព្រោះវាជារឿងធម្មតាបំផុត។ ក្នុងករណីណាក៏ដោយ ការកំណត់គឺដូចគ្នាបេះបិទ។ ដូច្នេះសូមចូលទៅកាន់ផ្ទាំង មជ្ឈមណ្ឌលការងារ > ការចូលប្រើជាភ្ញៀវ > វិបផតថល និងសមាសភាគ > វិបផតថលភ្ញៀវ > វិបផតថលភ្ញៀវដែលបានចុះឈ្មោះដោយខ្លួនឯង (លំនាំដើម) ។ 

20) បន្ទាប់មកនៅក្នុងផ្ទាំង Portal Page Customization សូមជ្រើសរើស "មើលជាភាសារុស្សី - រុស្ស៊ី", ដូច្នេះវិបផតថលចាប់ផ្តើមបង្ហាញជាភាសារុស្សី។ អ្នកអាចផ្លាស់ប្តូរអត្ថបទនៃផ្ទាំងណាមួយ បន្ថែមនិមិត្តសញ្ញារបស់អ្នក និងច្រើនទៀត។ នៅជ្រុងខាងស្តាំគឺជាការមើលជាមុននៃវិបផតថលភ្ញៀវសម្រាប់ការបង្ហាញកាន់តែងាយស្រួល។

ឧទាហរណ៍នៃការដំឡើងវិបផតថលភ្ញៀវជាមួយនឹងការចុះឈ្មោះដោយខ្លួនឯង។

21) ចុចលើឃ្លា "URL សាកល្បងវិបផតថល" ហើយចម្លង URL វិបផតថលទៅ SSID នៅលើ FortiGate ក្នុងជំហានទី 4 ។ URL គំរូ https://10.10.30.38:8433/portal/PortalSetup.action?portal=deaaa863-1df0-4198-baf1-8d5b690d4361

ដើម្បីឱ្យដែនរបស់អ្នកត្រូវបានបង្ហាញ អ្នកត្រូវតែផ្ទុកវិញ្ញាបនបត្រទៅកាន់វិបផតថលភ្ញៀវ សូមមើលជំហានទី 13។

22) ចូលទៅកាន់ផ្ទាំង មជ្ឈមណ្ឌលការងារ > ការចូលប្រើជាភ្ញៀវ > ធាតុគោលការណ៍ > លទ្ធផល > ទម្រង់ការអនុញ្ញាត > បន្ថែម ដើម្បីបង្កើតទម្រង់ការអនុញ្ញាតសម្រាប់ទម្រង់ដែលបានបង្កើតពីមុន កម្រងព័ត៌មានឧបករណ៍បណ្តាញ។

23) នៅក្នុងផ្ទាំង មជ្ឈមណ្ឌលការងារ > ការចូលប្រើជាភ្ញៀវ > ការកំណត់គោលការណ៍ កែសម្រួលគោលការណ៍ចូលប្រើសម្រាប់អ្នកប្រើប្រាស់ WiFi ។

24) តោះព្យាយាមភ្ជាប់ទៅ SSID របស់ភ្ញៀវ។ ខ្ញុំត្រូវបានបញ្ជូនបន្តទៅទំព័រចូល។ នៅទីនេះអ្នកអាចចូលនៅក្រោមគណនីភ្ញៀវដែលបានបង្កើតក្នុងស្រុកនៅលើ ISE ឬចុះឈ្មោះជាអ្នកប្រើប្រាស់ភ្ញៀវ។

25) ប្រសិនបើអ្នកជ្រើសរើសជម្រើសនៃការចុះឈ្មោះដោយខ្លួនឯង នោះទិន្នន័យចូលតែមួយដងអាចត្រូវបានផ្ញើតាមអ៊ីមែល តាមរយៈសារ SMS ឬបោះពុម្ព។

26) នៅក្នុងផ្ទាំង RADIUS > Live Logs នៅលើ Cisco ISE អ្នកនឹងឃើញកំណត់ហេតុចូលដែលត្រូវគ្នា។

6 ។ សេចក្តីសន្និដ្ឋាន

នៅក្នុងអត្ថបទដ៏វែងនេះ យើងបានកំណត់រចនាសម្ព័ន្ធការចូលប្រើជាភ្ញៀវដោយជោគជ័យនៅលើ Cisco ISE ដែល FortiGate ដើរតួជាឧបករណ៍បញ្ជាចំណុចចូលដំណើរការ និង FortiAP ជាចំណុចចូលដំណើរការ។ លទ្ធផល​គឺ​ជា​ប្រភេទ​នៃ​ការ​រួម​បញ្ចូល​គ្នា​ដែល​មិន​សំខាន់​ដែល​បង្ហាញ​ពី​ការ​ប្រើ​ប្រាស់​ ISE យ៉ាង​ទូលំទូលាយ។

ដើម្បីសាកល្បង Cisco ISE សូមទាក់ទង តំណភ្ជាប់ហើយតាមដានការអាប់ដេតនៅក្នុងប៉ុស្តិ៍របស់យើងផងដែរ (Telegram, Facebook, VK, ប្លុក TS Solution, Yandex.Zen).

ប្រភព: www.habr.com