Bi xêr hatî bo posta sêyemîn di rêza Cisco ISE de. Lînkên hemî gotarên rêzê li jêr têne dayîn:
Di vê postê de, hûn ê bikevin nav gihîştina mêvanan, û her weha rêbernameyek gav-bi-gav ji bo yekkirina Cisco ISE û FortiGate ji bo mîhengkirina FortiAP, xalek gihîştinê ji Fortinet (bi gelemperî, her amûrek ku piştgirî dike RADIUS CoA - Guhertina Desthilatdariyê).
Gotarên me yên pêvekirî ne. .
bingotinA: Amûrên SMB Point Check RADIUS CoA piştgirî nakin.
pirxweş bi Englishngilîzî diyar dike ka meriv çawa bi karanîna Cisco ISE-ê li ser Cisco WLC (Kontrolkerê Bêtêl) gihandina mêvanek biafirîne. Werin em wê bihesibînin!
1. Destpêk
Gihîştina mêvanan (portal) dihêle hûn ji bo mêvan û bikarhênerên ku hûn naxwazin bihêlin nav tora xweya herêmî de bigihîjin Înternetê an çavkaniyên navxweyî peyda bikin. 3 cureyên ji berê ve diyarkirî yên portalê mêvan hene (Portala Mêvan):
-
Portala Hotspot Guest - Gihîştina torê bêyî daneyên têketinê ji mêvanan re tê peyda kirin. Bi gelemperî pêdivî ye ku bikarhêner berî ku bigihîjin torê "Siyaseta Bikaranîn û Nepenîtiyê" ya pargîdaniyê qebûl bikin.
-
Portala Sponsored-Mêvan - gihîştina torê û daneyên têketinê divê ji hêla sponsor ve were derxistin - bikarhênerê ku berpirsiyarê afirandina hesabên mêvanan li Cisco ISE ye.
-
Portala Mêvana Xwe-Qeydkirî - di vê rewşê de, mêvan hûrguliyên têketinê yên heyî bikar tînin, an jî bi hûrguliyên têketinê ji xwe re hesabek diafirînin, lê ji bo gihîştina torê erêkirina sponsor hewce ye.
Gelek portal dikarin di heman demê de li ser Cisco ISE werin bicîh kirin. Bi xwerû, di portalê mêvan de, bikarhêner dê logoya Cisco û hevokên hevpar ên standard bibînin. Hemî ev dikare were xweş kirin û tewra were saz kirin ku berî ku bigihîjin reklamên mecbûrî bibînin.
Sazkirina gihîştina mêvan dikare li 4 gavên sereke were dabeş kirin: Sazkirina FortiAP, girêdana Cisco ISE û FortiAP, afirandina portalê mêvan, û sazkirina polîtîkaya gihîştinê.
2. Veavakirina FortiAP li ser FortiGate
FortiGate kontrolkerek xala gihîştinê ye û hemî mîhengan li ser wê têne çêkirin. Xalên gihîştinê yên FortiAP piştgirî didin PoE, ji ber vê yekê gava ku we ew bi riya Ethernet ve bi torê ve girêda, hûn dikarin veavakirinê dest pê bikin.
1) Li ser FortiGate, biçin tabê Kontrolkerê WiFi & Guhestinê> FortiAP-ên Birêvebir> Nû Biafirînin> AP-ya Birêvebir. Bi karanîna jimareya rêza yekta ya xala gihîştinê, ku li ser xala gihîştinê bixwe tê çap kirin, wê wekî tiştek zêde bikin. An jî ew dikare xwe nîşan bide û paşê çap bike Ercdan bikaranîna bişkojka rastê ya mişkê.
2) Mîhengên FortiAP dikarin xwerû bin, mînakî, wekî di dîmenderê de bihêlin. Ez pir pêşniyar dikim ku moda 5 GHz vekin, ji ber ku hin cîhaz 2.4 GHz piştgirî nakin.
3) Piştre di tabê de Kontrolkerê WiFi û Guhestinê > Profîlên FortiAP > Nû biafirînin em ji bo xala gihîştinê profîlek mîhengan diafirînin (guhertoya protokola 802.11, moda SSID, frekansa kanal û hejmara wan).
Mînak mîhengên FortiAP
4) Pêngava din çêkirina SSID-ê ye. Biçe tabê Kontrolkerê WiFi û Guhestinê> SSID> Nû Biafirînin> SSID. Li vir ji ya girîng divê were mîheng kirin:
-
cîhê navnîşan ji bo WLAN-a mêvan - IP/Netmask
-
Hesabkirina RADIUS û Têkiliya Fabrîkê ya Ewle di qada Gihîştina Rêvebirî de
-
Vebijarka Detection Device
-
Vebijarka SSID û SSID Weşanê
-
Mîhengên Moda Ewlekariyê > Portala Girtî
-
Portalê Nasname - Derveyî û ji gava 20-an pêve girêdanek bi portala mêvanê hatî afirandin ji Cisco ISE ve têxe
-
Koma Bikarhêner - Koma Mêvan - Derveyî - RADIUS li Cisco ISE zêde bike (r. 6 û pê ve)
Mînak mîhengkirina SSID
5) Wê hingê divê hûn di polîtîkaya gihîştinê de li ser FortiGate qaîdeyan biafirînin. Biçe tabê Siyaset & Tiştên > Polîtîkaya Firewall û qaîdeyek bi vî rengî çêbikin:
3. mîhengê RADIUS
6) Herin pêveka tevna Cisco ISE-yê berbi tabê Siyaset> Hêmanên Polîtîkayê> Ferheng> Pergal> Radius> Firoşyarên RADIUS> Zêde bikin. Di vê tabloyê de, em ê Fortinet RADIUS li navnîşa protokolên piştgirî lê zêde bikin, ji ber ku hema hema her firoşkar taybetmendiyên xwe yên taybetî hene - VSA (Taybetmendiyên Vekirî-Taybetî).
Navnîşek taybetmendiyên Fortinet RADIUS dikare were dîtin . VSA bi jimareya Nasnameya Firoşyar ya yekta têne cûda kirin. Fortinet ev ID heye = 12356... Tije VSA ji hêla IANA ve hatî weşandin.
7) Navê ferhengê deyne, diyar bike ID Firoşkar (12356) û çap bike Nermijîn.
8) Piştî ku em diçin Rêvebir> Profîlên Amûra Torê> Zêde bikin û profîlek amûrek nû biafirînin. Di qada Ferhengên RADIUS de, ferhenga Fortinet RADIUS ya berê hatî afirandin hilbijêrin û rêbazên CoA hilbijêrin ku paşê di polîtîkaya ISE de bikar bînin. Min RFC 5176 û Port Bounce (navbera torê ya xitimandin/bê qutkirin) û VSA-yên têkildar hilbijart:
Fortinet-Access-Profile=xwendin-nivîsandin
Fortinet-Group-Name = fmg_faz_admins
9) Piştre, FortiGate ji bo girêdana bi ISE re zêde bikin. Ji bo vê yekê, biçin tabê Rêvebir> Çavkaniyên Torê> Profîlên Amûra Torê> Zêde bikin. Zeviyên ku bêne guhertin Nav, Firoşkar, Ferhengên RADIUS (Navnîşana IP-ê ji hêla FortiGate ve tê bikar anîn, ne FortiAP).
Mînaka mîhengkirina RADIUS ji aliyê ISE
10) Piştî wê, divê hûn RADIUS li aliyê FortiGate mîheng bikin. Di navgîniya webê ya FortiGate de, biçin Bikarhêner & Nasname> Pêşkêşkerên RADIUS> Nû biafirînin. Nav, navnîşana IP-yê û raza hevpar (şîfre) ji paragrafa berê diyar bikin. Next bitikîne Bawernameyên Bikarhêner Test bikin û her pêbaweriya ku dikare bi RADIUS ve were kişandin binivîsin (mînak, bikarhênerek herêmî li ser Cisco ISE).
11) Pêşkêşkarek RADIUS li Koma Mêvan (heke ew tune be) û hem jî çavkaniyek derveyî ya bikarhêneran zêde bikin.
12) Ji bîr nekin ku Koma Mêvan li SSID-ya ku me berê di gava 4-an de çêkiriye zêde bikin.
4. Bikarhêner Authentication Setting
13) Vebijarkî, hûn dikarin sertîfîkayek bixin portala mêvanê ISE an jî di tabê de sertîfîkayek xwe-îmzakirî biafirînin Navendên Kar> Gihîştina Mêvan> Rêveberî> Sertîfîka> Sertîfîkayên Sîstemê.
14) Piştî li tabê Navendên Kar> Gihîştina Mêvan> Komên Nasnameyê> Komên Nasnameya Bikarhêner> Zêdekirin ji bo gihîştina mêvanan komek bikarhênerek nû biafirînin, an jî yên xwerû bikar bînin.
15) Bêtir di tabê de Rêveberî > Nasname bikarhênerên mêvan biafirînin û wan li komên ji paragrafa berê zêde bikin. Heke hûn dixwazin hesabên sêyemîn bikar bînin, wê hingê vê gavê bişopînin.
16) Piştî ku em diçin mîhengan Navendên Kar > Gihîştina Mêvan > Nasname > Rêzeya Çavkaniya Nasnameyê > Rêzeya Portalê Mêvan - ev ji bo bikarhênerên mêvan rêzika erêkirinê ya xwerû ye. Û li zeviyê Lîsteya Lêgerîna Rastrastkirinê fermana erêkirina bikarhêner hilbijêrin.
17) Ji bo ku mêvanan bi şîfreyek yek-car agahdar bikin, hûn dikarin ji bo vê armancê pêşkêşkerên SMS an serverek SMTP mîheng bikin. Biçe tabê Navendên Kar> Gihîştina Mêvan> Rêveberî> Pêşkêşkara SMTP an Pêşkêşkerên Gateway SMS ji bo van mîhengan. Di doza serverek SMTP de, hûn hewce ne ku ji bo ISE hesabek çêbikin û di vê tabê de daneyan diyar bikin.
18) Ji bo agahdariya SMS, tabloya guncan bikar bînin. ISE profîlên pêş-sazkirî yên pêşkêşkerên SMS-ê yên populer hene, lê çêtir e ku hûn yên xwe biafirînin. Van profîlan wekî mînakek mîhengê bikar bînin Gateway Email SMSy an SMS HTTP API.
Mînakek sazkirina serverek SMTP û dergehek SMS-ê ji bo şîfreyek yek-car
5. Sazkirina portalê mêvan
19) Wekî ku di destpêkê de hate behs kirin, 3 celeb portalên mêvanan ên pêş-sazkirî hene: Hotspot, Sponsored, Xwe-Qeydkirî. Ez pêşniyar dikim vebijarka sêyemîn hilbijêrin, ji ber ku ew ya herî gelemperî ye. Bi her awayî, mîheng bi gelemperî yek in. Ji ber vê yekê em biçin tabê. Navendên Kar > Gihîştina Mêvan > Portal & Pêkhatî > Portalên Mêvan > Portala Mêvanî ya Xwe-Qeydkirî (xweser).
20) Piştre, di tabloya Xweseriya Rûpelê Portal de, hilbijêrin "Nêrîn bi rûsî - rûsî", da ku portal bi rûsî were xuyang kirin. Hûn dikarin nivîsa her tabê biguhezînin, logoya xwe lê zêde bikin, û hêj bêtir. Li milê rastê di quncikê de ji bo nêrînek çêtir pêşdîtinek portala mêvan heye.
Mînaka mîhengkirina portalek mêvan bi xwe-qeydkirinê
21) Li ser hevokekê bikirtînin URL testa portalê û di gava 4. de URL-ya portalê li ser SSID-a li ser FortiGate kopî bikin. URL-ya nimûne
Ji bo ku hûn domaina xwe nîşan bidin, divê hûn sertîfîkayê li portalê mêvan bar bikin, gav 13 bibînin.
22) Biçe tabê Navendên Kar> Gihîştina Mêvan> Hêmanên Polîtîkayê> Encam> Profîlên Destûrdanê> Zêde bikin ji bo afirandina profîlek destûrnameyê di binê ya ku berê hatî çêkirin de Profîla Amûra Torê.
23) Di tabloyê de Navendên Kar> Gihîştina Mêvan> Siyaseta Siyasetê ji bo bikarhênerên WiFi polîtîkaya gihîştinê biguherînin.
24) Ka em biceribînin ku bi SSID-a mêvan ve girêdayî bin. Ew tavilê min beralî dike rûpela têketinê. Li vir hûn dikarin bi hesabê mêvanê ku li herêmî li ser ISE-yê hatî afirandin têkevin, an jî wekî bikarhênerek mêvan qeyd bikin.
25) Heke we vebijarka xwe-qeydkirinê hilbijartiye, wê hingê daneyên têketinê yên yek-carî dikarin bi nameyê, bi SMS-ê, an çapkirinê bêne şandin.
26) Di tabloya RADIUS > Têketinên Zindî de li ser Cisco ISE, hûn ê têketinên têketinê yên têkildar bibînin.
6. Encam
Di vê gotara dirêj de, me bi serfirazî gihîştina mêvanan li Cisco ISE mîheng kiriye, ku FortiGate wekî kontrolkerê xala gihîştinê tevdigere, û FortiAP wekî xala gihîştinê tevdigere. Derket holê ku celebek entegrasyonek ne-tawandî, ku careke din karanîna berfireh a ISE-ê îspat dike.
Ji bo ceribandina Cisco ISE, têkilî û her weha li kanalên me temaşe bikin (, , , , ).
Source: www.habr.com