Upload
others
View
21
Download
0
Embed Size (px)
Citation preview
OpenDNS-WLC 集成指南
简介 2
前提条件 2
使用的组件 2
约定 2
功能简介 2
OpenDNS 一般工作流 3
配置 OpenDNS 无线局域网控制器集成 4
OpenDNS WLAN 配置模式 28
OpenDNS 活动报告 30
OpenDNS 支持 30
OpenDNS 限制 31
2
修订日期:2017 年 5 月 1 日
简介 本文档介绍 OpenDNS WLC 的集成并提供了一般部署指导原则。本文档的目的:
• 提供 OpenDNS WLC 集成功能概述
• 重点介绍支持的主要功能
• 提供有关在 WLC 上部署和管理 OpenDNS 的详细信息
前提条件
客户必须已在无线局域网控制器上安装 AireOS 8.0 或更高版本才能升级到 8.4 平台。
使用的组件
本文档中的信息使用特定实验环境中的设备创建。本文档中使用的所有设备最初都采用出厂(默认)配置。如果您的
网络处于活动状态,请确保您了解所有命令的潜在影响。
约定
有关文档规则的详细信息,请参阅思科技术提示规则。
功能简介
OpenDNS 是一款通过云交付的网络安全服务,能够洞察并实时保护设备免受恶意软件攻击和进行漏洞防范。它使用不断
演变的大数据和数据挖掘方法来主动预测攻击并进行基于类别的筛选。
功能运行中涉及的术语:
1 API 令牌从 OpenDNS 门户发出,仅用于设备注册
2 设备身份是唯一的设备标识符。策略按每个标识符实施
3 EDNS 是一种带有标记 DNS 数据包的 DNS 扩展机制
4 FQDN 是完全限定域名
3
DNS 请求总是先于 Web 请求。无线局域网控制器拦截客户端的 DNS 请求,并将查询重新定向到云中的 OpenDNS 服务器
(208.67.222.222、208.67.220.220)。OpenDNS 服务器解析 DNS 查询,并对每个身份执行预配置的安全过滤规则,将该
域标记为恶意。这会将阻止的页面返回客户端,或者将已解析的 IP 地址安全地返回给客户端。
OpenDNS 一般工作流
1 WLC 在 OpenDNS 服务器上的注册是一个一次性过程,在安全的 HTTPS 隧道上发生
2 从 OpenDNS 控制面板获取设备 (WLC) 注册的 API 令牌
3 在无线局域网控制器上应用令牌。这会将设备注册到 OpenDNS 帐户。接下来,在 WLC 上创建 OpenDNS 配置文件。
配置文件将作为身份自动推送到 OpenDNS,然后按每个身份实施策略
4 来往于 OpenDNS 服务器的无线客户端流量
5 无线客户端向 WLC 发送 DNS 请求
6 WLC 监听 DNS 数据包,并使用 OpenDNS 配置文件进行标记。配置文件是数据包的身份,也驻留在 OpenDNS 上
7 该 EDNS 数据包被重新定向到 OpenDNS 云服务器进行域名解析
8 然后,OpenDNS 根据身份执行策略,并通过应用基于类别的过滤规则来确保组织合规性
4
9 根据规则,它会对查询的 DNS 请求向客户端返回阻止的页面或解析的 IP 地址
配置 OpenDNS 无线局域网控制器集成 程序
第 1 步 OpenDNS 调配涉及在 OpenDNS 云上创建一个用户帐户。 订用为每帐户一份,OpenDNS 提供 14 天的无义务试用许可证。
CiscoOne 高级订用下涵盖永久许可证。
第 2 步 然后,为 OpenDNS 启用无线控制器(GUI 或 CLI)。 第 3 步 WLC 通过安全的 HTTPS 隧道注册到云帐户。 第 4 步 在 WLC 上配置配置文件(身份)。配置文件可以映射到 WLAN、无线接入点组或包含在本地策略中。 第 5 步 WLC 将 DNS 数据包重新定向到 OpenDNS 云。 第 6 步 按身份应用 OpenDNS 上的安全策略。
无线控制器上的 OpenDNS 配置步骤包括启用 OpenDNS 功能、配置 API 令牌、创建配置文件并将配置文
件映射到 WLAN、无线接入点组或本地策略。
策略优先顺序从高到低依次为:
1 本地策略
2 无线接入点组
3 WLAN
5
OpenDNS 配置文件在映射到本地策略时支持根据属性的动态评估(用户角色、设备类型等)提供精细的差
异化用户浏览体验。在本文档的其余部分,我们将讨论以下两个场景:
• 场景 1–为 OpenDNS 配置 WLC,并将 OpenDNS 配置文件包含在基于用户角色的本地策略中。
我们还将介绍 OpenDNS 服务器上的基本配置。
• 场景 2–为 OpenDNS 配置 WLC,并在 WLAN 和无线接入点组上应用 OpenDNS 配置文件。
场景 1:为 OpenDNS 配置本地策略 在组织中,我们的目标是根据用户的角色类型限制(特定网站的)网络访问。例如,应允许员工进行全面的互联网访
问,但禁止访问成人、赌博、裸体网站,承包商访问应更加严格,禁止他们访问社交网站和体育、成人、游戏、裸体
等网站。
我们将使用外部 AAA 服务器对用户进行身份验证,并基于身份将承包商或员工角色传递给 WLC。在 WLC 上,用户将
配置两个策略:一个用于员工,另一个用于承包商,并对每个应用不同的 OpenDNS 配置文件,以在连接到同一个 dot1x 支持的 WLAN 时限制他们的浏览活动。要实现此目的,我们将按以下顺序进行配置:
1 在 OpenDNS 服务器上:创建帐户,为设备 (WLC) 注册生成 API 令牌
2 在 WLC 上:全局启用 OpenDNS,应用 API 令牌并为员工和承包商创建 OpenDNS 配置文件。
3 在 OpenDNS 服务器上:为员工和承包商创建类别定义/规则和策略。
4 在 WLC 上:为员工和承包商分别创建本地策略,将 AAA 返回的角色与每个角色下的 OpenDNS 配置文件绑定。
5 在 WLC 上:将两个本地策略绑定到 dot1x WLAN
6
程序
第 1 步 在此处创建您的 14 天试用帐户:https://signup.umbrella.com/
第 2 步 登录到 OpenDNS Umbrella 网站并创建您的帐户:https://login.opendns.com/
7
第 3 步 从 OpenDNS Umbrella 控制面板,前往主登录页面然后点击获取我的 API 令牌
第 4 步 从 WLC 主菜单,前往控制器 > 常规,然后输入可以解析域名的 DNS 服务器 IP 地址。这一步首次需要
在从 WLC 上启用 OpenDNS 功能之前执行。
8
第 5 步 从 WLC 主菜单,选择安全 > OpenDNS > 常规 > 启用 OpenDNS 全局状态。
CLI 命令:config openDNS enable
第 6 步 在同一个 WLC 屏幕上,配置从 OpenDNS 服务器帐户获得的 API 令牌(第 2 步)
第 7 步 从同一个页面,创建 OpenDNS 配置文件:安全 > OpenDNS > 常规。
CLI 命令:config openDNS profile create <profile-name>
9
第 8 步 在 WLC 上,通过 CLI 或 GUI 创建两个 OpenDNS 配置文件,一个用于员工 (employeeOD),另一个用于承包商 (contractorOD)。这些配置文件应该自动按身份推送到您的 OpenDNS 帐户。
在 CLI 中,您可以验证如下所示的两个配置文件:
注
每个 OpenDNS 配置文件都有一个在控制器上生成的唯一 Opendns 身份(格式为 <WLC 名称>
_<配置文件名称>),而且这些配置文件将被推送到云中关联的 OpenDNS 帐户。
10
a) 从 OpenDNS 控制面板的左侧菜单上,点击身份 > 网络设备。
验证您具有 employeeOD 和 contractorOD 身份的 WLC 都出现在设备名称下。
11
b) 接下来,为员工和承包商用户角色创建分类规则,以检查哪些域应该被阻止。从左侧菜单栏选择策略 > 类别设置”。
12
我们为此示例创建了 employeeCategory 和 contractorCategory。
employeeCategory 限制某些网站类别,例如成人主题、广告软件、赌博。同样,contractorCategory 限制
更多内容,例如成人主题、广告软件、游戏、游戏、新闻、社交网络。
点击 employeeCategory 查看被阻止的类别。您可以编辑列表以添加/删除类别。
13
第 9 步 最后,在 OpenDNS 服务器上创建并配置两个策略。从左侧菜单栏中,浏览至策略 > 策略列表。
我们创建了这两个策略:
1 EmployeePolicy
2 ContratorPolicy
14
EmployeePolicy 分配给 employeeOD 身份并绑定到我们在上一步创建的 employeeCategory。
同样,contractorPolicy 分配给 contractorOD 身份并绑定到前面创建的自定义类别 contractorCategory。
您可以点击策略 EmployeePolicy、contractorPolicy 查看详情。
转至“选择策略设置”并验证设置为 employeeCategory 的类别设置
15
第 10 步 在 ISE 上配置用户角色。
a) 配置 AAA 服务器或 ISE,允许用户进行 802.1x 身份验证,并让 AAA 服务器将 ROLE 字符串发回
无线控制器进行本地策略实施。 如下所示,在 ISE 上,配置用户,即员工、承包商和组,也就是员工和承包商组。
16
b) 并配置组,即对员工和承包商分组。
注
在 ISE 上的这部分中,我们使用 ISE 内部用户进行测试。如果 ISE 指向像 Active Directory 这样的外
部用户数据库,则规则将改变并指向相应的用户 AD 组。
c) 为具有所需角色的特定用户组,即员工或承包商,创建 ISE 策略。
17
18
此时,假设管理员已在 ISE/AAA 服务器上配置了必要的认证规则,使无线用户返回身份验证配置文件,
包括访问类型(接受/拒绝)和用户角色(员工/承包商),如上所示。 第 11 步 为 OpenDNS 配置本地策略
用户现在可以配置基于用户角色的本地策略,并将 OpenDNS 配置文件绑定到它。最后,将本地策略映射到特定
的 WLAN。
a) 现在,在 WLC 上为员工和承包商创建两个本地策略。 从 WLC 主菜单,转至安全 > 本地策略,然后点击新建。
创建本地策略名称“员工”和“承包商”,然后点击应用。
19
以同样的方式,为承包商创建一个本地策略
b) 点击员工本地策略并使用员工 OpenDNS 配置文件 (employeeOD) 配置它
c) 在匹配条件下,将匹配角色字符串配置为“员工”,在操作列表下转至 OpenDNS 配置文件。从下拉
列表中选择 employeeOD,然后点击应用。
20
d) 现在点击返回按钮转至“本地策略”页面,然后点击承包商策略。
21
在匹配条件下,将匹配角色字符串配置为“承包商”,并在操作列表下,从下拉列表中选择承包商的 OpenDNS 配置文件,然后选择“contractorOD”并点击应用。
22
第 12 步 在 WLAN 上配置 OpenDNS
a) 从 WLC 主菜单,导航至 WLAN > WLAN ID > 策略映射。分配优先级索引 1 并从“本地策略”下拉列表中 选择员工,点击添加
23
以同样的方式,将承包商策略应用于 WLAN。
最终,使用员工凭证登录的用户将与“role = employee”相关联,并将继承 WLC 上的员工 OpenDNS 配置文
件 (employeeOD)。同样,使用承包商凭证登录的用户将与“role = contractor”相关联,并将继承 WLC 上的
承包商 OpenDNS 配置文件 (contractorOD)。
b) 对于 WLC,要将 WLAN 的所有 DNS 重新定向至 OpenDNS 服务器,必须将 OpenDNS 模式设置为
强制,如下所示。方法是转至 WLAN > 高级。
24
c) 确认
1 使用员工用户凭证将客户端连接到 WLAN
2 尝试访问根据您为员工创建的类别过滤规则被阻止的站点。对于被阻止的站点,客户端将获得一个显示
页面,说明该站点/域受限
3 尝试使用承包商用户凭证关联到同一个 WLAN,并重复测试。您将注意到授予员工与承包商的访
问权限的区别。
场景 2:为 OpenDNS 配置 WLAN/无线接入点组 与本地策略类似,OpenDNS 配置文件可以连接到 WLAN 或无线接入点组。下面的部分显示了 GUI 和 CLI 命令的屏幕
截图,说明了如何将 OpenDNS 配置文件绑定到 WLAN 和无线接入点组。假定已创建 OpenDNS 帐户并从中复制了 API 令牌。
程序
第 1 步 从 WLC 主菜单,转至控制器 > 常规,然后输入可以解析域名的 DNS 服务器 IP 地址。这一步首次需要在从 WLC 上启用 OpenDNS 功能之前执行。
CLI 命令:config opendns server-ipv4 primary <primary-server> secondary <secondary-server>
第 2 步 在 WLC 上全局启用 openDNS,方法是前往安全 > OpenDNS > 常规。
CLI 命令:config openDNS enable
25
第 3 步 配置从 OpenDNS 帐户获得的 API 令牌。
CLI 命令:config openDNS api-token <token>
第 4 步 创建 OpenDNS 配置文件
CLI 命令:config openDNS profile create <profile-name>
第 5 步 将配置文件映射到 WLAN 或无线接入点组。 a) 要将 OpenDNS 配置文件绑定到 WLAN,转至 WLAN > WLAN Id > 高级,然后在 OpenDNS 配置文件下,
选择我们在上面创建的 contractorOD。
CLI 命令:config wlan opeDNS-profile <wlan-id> <profile name> enable
b) 要将配置文件映射到无线接入点组,前往 WLAN > 高级 > 无线接入点组。选择您想要的无线接入点组并转
至 WLAN 选项卡。将鼠标悬停在右侧的蓝色按钮上,并选择 OpenDNS 配置文件。
26
在下面的屏幕截图中,我们选择了无线接入点组 APgrp1 并将 contractorOD OpenDNS 配置文件映射到了 WLAN 1。
CLI 命令:config wlan apgroup opendns-profile <wlan-id> <site-name> <profile-name> enable 要查看 OpenDNS 映射,转至安全 > OpenDNS > 常规并点击“映射的配置文件摘要”,如下所示:
此处,OpenDNS 配置文件 contractorOD 映射到了 WLAN ID 1。
27
在同一个 OpenDNS 配置文件映射摘要页面上,在“无线接入点组”下,配置文件 contractorOD 也映射到了
无线接入点组 APgrp1,如图所示
CLI 中的命令
28
OpenDNS WLAN 配置模式 管理员可以在 WLAN 高级选项卡下以三种模式在 WLAN 上配置 OpenDNS。
1 用于 DNS 覆盖的 DHCP 代理
接口级配置将 OpenDNS IP 地址传播到与接口相关联的所有 WLAN 的 DHCP 进程的一部分在客户端连接阶段发生。
2 OpenDNS 强制模式:(默认启用)
对每个 WLAN 强制实施,阻止客户端与 WLAN 关联后的有意客户端活动。
3 OpenDNS 忽略模式
WLC 尊重客户端使用的 DNS 服务器,可以是 OpenDNS 服务器或企业/外部 DNS
4 OpenDNS 复制模式(8.4 版本中不包括)
OpenDNS 数据包的副本,其中所有互联网绑定的 DNS 流量都转发到 OpenDNS 云,而无需任何策略选项(无阻止/重新定向)
OpenDNS 活动报告 管理员可以登录到 OpenDNS 服务器查看和生成有关客户端活动的报告,查找受感染设备和试图访问禁止站点的目标用
户。此外,可以使用客户端身份、目标和源 IP 过滤这些报告。
29
30
OpenDNS 支持 • WLC 支持的平台 - 5508、5520、7500、8510、8540。不支持 ME、vWLC
• 支持的无线接入点模式 - 本地模式,Flex 中心交换。
• 在 WLC 上可配置 10 个不同的 OpenDNS 配置文件
• 访客(外部 - Anchor)场景,配置文件适用于 Anchor WLC
31
OpenDNS 限制 • 客户端连接到 Web 代理,不发送 DNS 查询来解析服务器地址
• 应用程序或主机直接使用 IP 地址而非使用 DNS 来查询域
© 2017 思科系统公司。版权所有。