ISE0第三方集成用阿鲁巴无线-配置示例

万一没有希望的供应商的可用配置文件可以配置在Administration >网络资源>网络设备配置文件下 。
Step2配置授权配置文件
从策略>Policy元素>发生>授权>授权配置文件选择网络设备配置文件和一样在step1 ：ArubaWireless。跟随的配置文件配置：
q 与BYOD门户的阿鲁巴重定向BYOD如下所示：
例如以下示例能为不同种类的访问容易地被修改， ：
q 中央Web验证(CWA)与BYOD服务 q 与状态和BYOD重定向的802.1x验证 q 典型地对于EAP-PEAP验证使用活动目录(保持此条款短内部ISE使用用户) q 典型地对于证书供应外部SCEP服务器用于， Microsoft网络设备登记服务(NDES)通常保持使用
络设置辅助应用程序被执行，并且证书在Windows客户端设置并且安装。ISE内部CA使用该进程(默 认配置)。网络设置助理也负责无线配置文件的创建阿鲁巴管理的第二SSID的(mgarcarz_byod_tls) 该一个使用802.1x EAP-TLS验证。
结果集群用户能执行onboarding个人设备和让安全访问进入公司网络。
此条款提交默认配置文件使用情况阿鲁巴设备的。
关于功能的更多信息：
网络接入设备配置文件用思科身份服务引擎
思科ISE
Step1添加阿鲁巴无线控制器到网络设备
去Administration >网络资源>网络设备。选择选定供应商的正确设备配置文件，在那种情况下 ：ArubaWireless。确保配置共享塞克雷和CoA端口。
简介
思科身份服务引擎(ISE)版本2.0支持第三方集成。这是提交如何的配置示例集成阿鲁巴管理的无线 网络与ISE的IAP 204为带来您自己的设备(BYOD)服务。
文档解释如何排除故障第三方在ISE的集成功能，并且可以使用作为指南集成与其他供应商和流。
公告：请注意思科对设备配置或支持不负责从其他供应商的。
在ISE的解决方案
要支持第三方供应商ISE 2.0介绍描述网络设备配置文件的概念特定供应商如何正常运行-如何支持 塞申斯、URL重定向和CoA。
授权配置文件是特定类型(网络设备配置文件)，并且，一旦验证出现ISE行为从该配置文件派生。结 果从其他供应商的设备可以由ISE容易地管理。并且在ISE的配置灵活并且准许调整或创建新建的网 络设备配置文件。
先决条件
要求
Cisco 建议您了解以下主题： q 阿鲁巴IAP配置基础知识 q BYOD流基础知识在ISE的 q 身份服务引擎(ISE)配置基础知识密码和证书验证的
使用的组件
本文档中的信息基于以下软件版本： q 阿鲁巴IAP 204软件6.4.2.3 q 思科ISE，版本2.0及以后
配置
网络图
有阿鲁巴AP管理的两个无线网络。第一个(mgarcarz_byod)使用802.1x EAP-PEAP访问。在成功认 证阿鲁巴控制器应该重定向用户到ISE BYOD门户-设置(NSP)后流的本地请求方。用户重定向，网
Web重定向配置的缺少部分，对授权配置文件的静态链路生成。当阿鲁巴不支持动态重定向到访客 门户时，有一条链路分配到每授权配置文件，在阿鲁巴然后配置。 Step3配置授权规则 根据策略>授权规则配置用以下方式： 首先，用户连接对SSID “mgracarz_aruba”和ISE回归重定向客户端默认BYOD门户的授权配置文件 “阿鲁巴重定向BYOD”。在完成以后BYOD进程客户端连接使用EAP-TLS，并且对网络的完全权限授 权。
URL重定向wk.baidu.com
ISE使用Radius cisco-av-pair呼叫的url重新定向和url-redirect-acl通知纳季应该重定向特定的流量。
其他供应商不支持Cisco AV对。应该那么典型配置那些设备与指向特定服务(授权配置文件)的静态 重定向URL在ISE。一旦用户启动那些NAD重定向对该URL和也附加另外的参数的HTTP会话(类似 IP地址或MAC地址)允许ISE识别特定会话，并且请继续流。
内部ISE CA的此条款短。
与第三方支持的挑战
什么是挑战，当曾经ISE访客时用第三方设备流(类似BYOD、CWA， NSP， CPP) ？
塞申斯
Cisco网络接入设备(纳季)使用Radius cisco-av-pair呼叫的审计会话id通知关于会话ID的AAA服务器 ISE用于值跟踪会话和为每个流提供正确服务。其他供应商不支持Cisco AV对。ISE必须所以依靠在 Access-Request和核算请求接收的IETF属性。
在接收以后Access-Request ISE建立被综合的思科会话ID (从呼叫站点Id、Nas-port， nas-ipaddress和共享机密)。值有仅一个本地意义(没发送通过网络)。结果它从每个流(BYOD、CWA， NSP预计， CPP)附加正确属性-，因此ISE能重新计算思科会话ID和执行查找关联它与正确会话和 继续流。
CoA
ISE使用Radius cisco-av-pair呼叫的用户：命令，用户：指示什么操作的再次验证类型如果纳季为 一特定会话采取。 其他供应商不支持Cisco AV对。那些设备那么典型使用RFC两个定义的消息CoA (3576或5176)和之一：
q 断开请求(也呼叫断开信息包) -该一个是使用的断开连接会话(非常强制重新连接的ofter) q coa推送-该一个用于更改会话状态透明地，不用断开(例如VPN会话和应用的新的ACL) ISE支持与cisco-av-pair的思科CoA并且两RFC CoA 3576/5176。
ISE 2.0第三方集成用阿鲁巴无线-配置示例
目录
简介 先决条件 要求 使用的组件 配置 网络图 与第三方支持的挑战 塞申斯 URL重定向 CoA 在ISE的解决方案 思科ISE Step1添加阿鲁巴无线控制器到网络设备 Step2配置授权配置文件 Step3配置授权规则 阿鲁巴AP Step1俘虏Portal配置 Step2 RADIUS服务器配置 Step3 SSID配置 验证 对SSID mgarcarz_aruba的Step1连接使用EAP-PEAP Step2 Web浏览器BYOD的流量重定向 Step3网络设置助理执行 其他流和CoA支持 与CoA的CWA 故障排除 阿鲁巴俘虏门户用而不是FQDN的IP地址 阿鲁巴俘虏门户不正确访问策略 阿鲁巴CoA端口号 在一些阿鲁巴设备的重定向 参考 相关的思科支持社区讨论