Tongasoa eto amin'ny lahatsoratra fahatelo amin'ny andiany Cisco ISE. Ny rohy mankany amin'ny lahatsoratra rehetra ao amin'ny andiany dia omena eto ambany:
Ato amin'ity lahatsoratra ity dia hiditra ao amin'ny fidirana amin'ny vahiny ianao, ary koa torolalana amin'ny dingana amin'ny fampidirana ny Cisco ISE sy FortiGate mba handrindrana ny FortiAP, teboka fidirana avy amin'ny Fortinet (amin'ny ankapobeny, ny fitaovana rehetra manohana RADIUS CoA - Fanovana Fanomezana).
Ampifandraisina ny lahatsoratray. .
fanamarihanaA: Ny fitaovana Check Point SMB dia tsy mahazaka RADIUS CoA.
mahagaga mamaritra amin'ny teny anglisy ny fomba hamoronana fidirana vahiny amin'ny fampiasana Cisco ISE amin'ny Cisco WLC (Controler Wireless). Andeha hojerentsika izany!
1. Fampidirana
Ny fidirana amin'ny vahiny (portal) dia ahafahanao manome fidirana amin'ny Internet na amin'ny loharano anatiny ho an'ny vahiny sy mpampiasa izay tsy tianao avela hiditra ao amin'ny tambajotra eo an-toerana. Misy karazany 3 ny vavahadin'ny vahiny (vavahadin'ny vahiny):
-
Hotspot Guest vavahadin-tserasera - Ny fidirana amin'ny tambajotra dia omena ireo vahiny tsy misy data fidirana. Ny mpampiasa amin'ny ankapobeny dia takiana amin'ny fanekena ny "Fampiasana sy ny politikan'ny fiainana manokana" an'ny orinasa alohan'ny hidirana amin'ny tambajotra.
-
Vahiny Sponsored-Guest - ny fidirana amin'ny tambajotra sy ny angona fidirana dia tsy maintsy avoakan'ny mpanohana - ny mpampiasa tompon'andraikitra amin'ny famoronana kaonty vahiny ao amin'ny Cisco ISE.
-
vavahadin-tranonkala vahiny voasoratra anarana - amin'ity tranga ity, ny vahiny dia mampiasa ny antsipirian'ny fidirana efa misy, na mamorona kaonty ho an'ny tenany manokana miaraka amin'ny antsipirian'ny fidirana, fa ilaina ny fanamafisana ny mpanohana mba hahazoana fidirana amin'ny tambajotra.
Ny vavahadin-tserasera marobe dia azo apetraka amin'ny Cisco ISE amin'ny fotoana iray ihany. Amin'ny alΓ lan'ny default, ao amin'ny vavahadin'ny vahiny, ny mpampiasa dia hahita ny logo Cisco sy ny fehezanteny mahazatra mahazatra. Izany rehetra izany dia azo amboarina ary apetraka mihitsy aza mba hijerena doka tsy maintsy atao alohan'ny hidirana.
Ny fametrahana ny fidirana amin'ny vahiny dia azo zaraina ho dingana lehibe 4: fametrahana FortiAP, fifandraisana Cisco ISE sy FortiAP, famoronana vavahadin-tserasera, ary fametrahana politika fidirana.
2. Fametrahana ny FortiAP amin'ny FortiGate
FortiGate dia mpanara-maso ny fidirana ary ny fandrindrana rehetra dia natao eo aminy. Ny teboka fidirana FortiAP dia manohana ny PoE, ka rehefa mampifandray azy amin'ny tambajotra amin'ny alΓ lan'ny Ethernet ianao dia afaka manomboka manamboatra.
1) Ao amin'ny FortiGate, mandehana amin'ny tabilao WiFi & Switch Controller > Managed FortiAPs > Mamorona Vaovao > Voatantana AP. Ampiasao ny laharan-tariby tokana an'ny teboka fidirana, izay atao pirinty amin'ny teboka fidirana, ampio ho zavatra. Na afaka miseho ny tenany ary avy eo manindry alalana mampiasa ny bokotra havanana amin'ny totozy.
2) Ny fanovana FortiAP dia mety ho default, ohatra, avelao toy ny ao amin'ny pikantsary. Manoro hevitra mafy aho hamadika ny maody 5 GHz, satria tsy mahazaka 2.4 GHz ny fitaovana sasany.
3) Avy eo amin'ny tabilao WiFi & Switch Controller > FortiAP Profiles > Mamorona Vaovao Mamorona mombamomba ny toe-javatra ho an'ny teboka fidirana izahay (protocol version 802.11, maody SSID, matetika ny fantsona ary ny isany).
Ohatra amin'ny fanovana FortiAP
4) Ny dingana manaraka dia ny mamorona SSID. Mandehana any amin'ny tabilao WiFi & Switch Controller> SSIDs> Mamorona Vaovao> SSID. Avy amin'ny zava-dehibe dia tokony hamboarina:
-
adiresy toerana ho an'ny vahiny WLAN - IP/Netmask
-
RADIUS Accounting and Secure Fabric Connection amin'ny sehatry ny Administrative Access
-
Safidy Detection Device
-
SSID sy Broadcast SSID safidy
-
Fikirana fomba fiarovana > Portal Captive
-
Portal Authentication - External ary ampidiro rohy mankany amin'ny vavahadin'ny vahiny noforonina avy amin'ny Cisco ISE manomboka amin'ny dingana 20
-
Vondrona mpampiasa - Vondrona vahiny - ivelany - ampio RADIUS amin'ny Cisco ISE (p. 6 ho avy)
Ohatra fametrahana SSID
5) Avy eo dia tokony hamorona fitsipika ianao amin'ny politika fidirana amin'ny FortiGate. Mandehana any amin'ny tabilao Politika & zavatra > Politika Firewall ary mamorona fitsipika toy izao:
3. Fametrahana RADIUS
6) Mandehana any amin'ny tranokala Cisco ISE amin'ny tabilao Politika > Siansa politika > Rakibolana > Rafitra > Radius > RADIUS Vendor > Add. Amin'ity tabilao ity dia hampiditra Fortinet RADIUS amin'ny lisitry ny protocols tohanana isika, satria saika ny mpivarotra rehetra dia manana ny toetrany manokana - VSA (Vendor-Specific Attributes).
Misy lisitry ny toetran'ny Fortinet RADIUS hita . Ny VSA dia miavaka amin'ny nomeraon'ny mpivarotra tsy manam-paharoa. Fortinet dia manana ity ID ity = 12356... Feno Ny VSA dia navoakan'ny IANA.
7) Mametraha ny anaran'ny rakibolana, mamaritra ID mpivarotra (12356) ary press Manaiky.
8) Aorian'ny fandehanana mankany Fitantanam-pitondrana> Profile momba ny fitaovana tambajotra> Add ary mamorona mombamomba fitaovana vaovao. Ao amin'ny saha RADIUS Dictionaries, safidio ny rakibolana Fortinet RADIUS noforonina teo aloha ary safidio ny fomba CoA hampiasaina any aoriana any amin'ny politika ISE. Nisafidy ny RFC 5176 sy ny Port Bounce aho (fanakatonana / tsy misy fanakatonana ny serasera) ary ireo VSA mifandraika amin'izany:
Fortinet-Access-Profile=mamaky-manoratra
Fortinet-Group-Name = fmg_faz_admins
9) Manaraka, ampio FortiGate ho an'ny fifandraisana amin'ny ISE. Mba hanaovana izany, mandehana any amin'ny tabilao Fitantanana> Loharanon-tambajotra> Profile momba ny fitaovana tambajotra> Add. saha hovana Anarana, Mpivarotra, Rakibolana RADIUS (Ny adiresy IP dia ampiasain'ny FortiGate fa tsy FortiAP).
Ohatra amin'ny fanamafisana ny RADIUS avy amin'ny lafiny ISE
10) Aorian'izany dia tokony hanamboatra RADIUS amin'ny lafiny FortiGate ianao. Ao amin'ny tranokala FortiGate, mandehana mankany User & Authentication > RADIUS Servers > Create New. Ampidiro ny anarana, adiresy IP ary tsiambaratelo iombonana (tenimiafina) avy amin'ny andalana teo aloha. Tsindrio manaraka Andramo ny fahazoan-dΓ lana mpampiasa ary ampidiro izay fahazoan-dΓ lana azo alaina amin'ny alΓ lan'ny RADIUS (ohatra, mpampiasa eo an-toerana ao amin'ny Cisco ISE).
11) Manampia mpizara RADIUS amin'ny Guest-Group (raha tsy misy izany) ary koa loharano ivelany mpampiasa.
12) Aza adino ny manampy ny Guest-Group amin'ny SSID noforoninay teo aloha tamin'ny dingana 4.
4. Fametrahana Authentication User
13) Raha azo atao dia azonao atao ny manafatra taratasy fanamarinana amin'ny vavahadin-tserasera ISE na mamorona taratasy fanamarinana nosoniavin'ny tena ao amin'ny tabilao. Ivon-toeram-piasana > Fidirana amin'ny vahiny > Fitantanana > Fanamarinana > Certificat System.
14) Aorian'ny tabilao Ivon-toeram-piasana > Fidirana amin'ny vahiny > Vondrona maha-olona > Vondrona maha-mpampiasa > Ampio mamorona vondrona mpampiasa vaovao ho an'ny fidirana vahiny, na ampiasao ny default.
15) Ao amin'ny tabilao Fitantanana > Famantarana mamorona mpampiasa vahiny ary ampio amin'ireo vondrona avy amin'ny andalana teo aloha. Raha te hampiasa kaonty antoko fahatelo ianao dia tsidiho ity dingana ity.
16) Aorian'ny fandehanana any amin'ny toe-javatra Ivon-toeram-piasana > Fidiran'ny vahiny > IdentitΓ© > Filaharana loharanon'ny maha-izy azy > Filaharan'ny vavahadin-tserasera β ity no filaharan'ny fanamarinana default ho an'ny mpampiasa vahiny. Ary any an-tsaha Lisitry ny Fikarohana Authentication safidio ny baiko fanamarinana ny mpampiasa.
17) Mba hampandrenesana ny vahiny amin'ny tenimiafina indray mandeha dia azonao atao ny manamboatra mpanome SMS na mpizara SMTP ho an'ity tanjona ity. Mandehana any amin'ny tabilao Ivon-toeram-piasana > Fidirana amin'ny vahiny > Fitantanana > Server SMTP na SMS Gateway Providers ho an'ireo fanovana ireo. Raha ny mpizara SMTP dia mila mamorona kaonty ho an'ny ISE ianao ary mamaritra ny angona ao amin'ity tabilao ity.
18) Ho an'ny fampandrenesana SMS, ampiasao ny tabilao mety. ISE dia manana mombamomba ny mpanome SMS malaza efa napetraka mialoha, fa tsara kokoa ny mamorona anao manokana. Ampiasao ireto profil ireto ho ohatra amin'ny fametrahana SMS Email Gatewayy or SMS HTTP API.
Ohatra iray amin'ny fametrahana server SMTP sy vavahady SMS ho an'ny tenimiafina indray mandeha
5. Fametrahana ny vavahadin'ny vahiny
19) Araka ny voalaza tany am-piandohana dia misy karazany 3 ny vavahadin'ny vahiny efa napetraka: Hotspot, Sponsored, Self-Registered. Manoro hevitra aho hisafidy ny safidy fahatelo, satria io no mahazatra indrindra. Na izany na tsy izany, mitovy avokoa ny fandrindrana. Andeha Γ ry ho any amin'ny tabilao. Ivon-toeram-piasana > Fidirana amin'ny vahiny > Portals & Components > Vahiny Vahiny > Vahiny Vahiny voasoratra anarana (default).
20) Avy eo, ao amin'ny tabilao Portal Page Customization, safidio "Fijerena amin'ny teny Rosiana - Rosiana", ka ny vavahadin-tserasera dia aseho amin'ny teny Rosiana. Azonao atao ny manova ny lahatsoratry ny kiheba rehetra, manampy ny logo-nao, sy ny maro hafa. Eo amin'ny ilany havanana amin'ny zorony dia misy sarin'ny vavahadin'ny vahiny mba hijerena tsara kokoa.
Ohatra amin'ny fanamboarana vavahadin'ny vahiny miaraka amin'ny fisoratana-tena
21) Tsindrio ny fehezanteny iray URL fitsapana amin'ny vavahadin-tserasera ary kopia ny URL vavahadin-tserasera mankany amin'ny SSID amin'ny FortiGate amin'ny dingana 4. URL santionany
Mba hampisehoana ny sehatra misy anao dia tsy maintsy ampidirinao ao amin'ny vavahadin'ny vahiny ny taratasy fanamarinana, jereo ny dingana 13.
22) Mandehana any amin'ny tabilao Ivon-toeram-piasana > Fidirana ho an'ny vahiny > Singan'ny politika > Vokatra > mombamomba ny fanomezan-dΓ lana > Ampio mba hamoronana mombamomba ny fanomezan-dΓ lana eo ambanin'ilay noforonina teo aloha Profile fitaovana tambajotra.
23) Ao amin'ny tabilao Ivon-toeram-piasana > Fidirana amin'ny vahiny > Sehatra politika hanova ny politikan'ny fidirana ho an'ny mpampiasa WiFi.
24) Andeha isika hifandray amin'ny SSID vahiny. Mamindra ahy avy hatrany mankany amin'ny pejy fidirana izy io. Eto ianao dia afaka miditra amin'ny kaonty vahiny noforonina ao amin'ny ISE, na misoratra anarana ho mpampiasa vahiny.
25) Raha nisafidy ny safidy fisoratana anarana ianao, dia azo alefa amin'ny mailaka, amin'ny SMS, na atao pirinty ny angon-drakitra fidirana indray mandeha.
26) Ao amin'ny tabilao RADIUS> Live Logs ao amin'ny Cisco ISE, dia ho hitanao ny logs mifandraika amin'izany.
6. Fehiny
Ato amin'ity lahatsoratra lava ity, dia nahomby tamin'ny fametrahana ny fidirana amin'ny vahiny ao amin'ny Cisco ISE izahay, izay i FortiGate miasa ho toy ny mpanara-maso ny fidirana, ary ny FortiAP dia toy ny teboka fidirana. Nanjary karazana fampidirana tsy misy dikany izany, izay manaporofo indray ny fampiasana miely patrana ny ISE.
Mba hizaha toetra ny Cisco ISE, mifandraisa ary araho ihany koa ao amin'ny fantsonay (, , , , ).
Source: www.habr.com