Cisco WLC: Mỗi người dùng xác thực, nhiều Vlans, vài SSID


8

Chúng tôi có một vấn đề đơn giản. Chúng tôi muốn hạn chế người dùng không dây của chúng tôi vào một số trang web kinh doanh nhất định dựa trên tên người dùng của họ khi họ đăng nhập. Chúng tôi có nhiều loại thiết bị không dây: điện thoại voip, điện thoại di động, máy tính xách tay, máy quét mã vạch và máy tính bảng.

Giả sử có tất cả các danh mục trang web này, chúng tôi có SSID và Vlan được gán cho địa chỉ nguồn người dùng:

  • Internet (SSID-Internet, Vlan101)
  • Giọng nói (SSID-Internet, Vlan102)
  • Kế toán (SSID-Business, Vlan103)
  • Nhân sự (SSID-Business, Vlan104)
  • Hàng tồn kho (SSID-Business, Vlan105)
  • Nghiên cứu (SSID-Business, Vlan106)
  • Đảm bảo chất lượng (SSID-Business, Vlan107)
  • Sản xuất (SSID-Business, Vlan108)

Mỗi người dùng của chúng tôi có thể cần sử dụng thông tin đăng nhập Windows của họ để xác thực vào mạng không dây, nhưng họ chỉ nên có quyền truy cập vào một số dịch vụ nhất định. Vài ví dụ:

  • Người dùng1: Đăng nhập bằng thông tin đăng nhập Windows bằng điện thoại VoIP sang SSID-Voice và chỉ có thể truy cập mạng Thoại từ điện thoại này
  • Người dùng1: Đăng nhập bằng thông tin đăng nhập Windows bằng Laptop vào SSID-Business và chỉ có thể truy cập các trang web Kế toán từ máy tính xách tay của anh ấy
  • Người dùng1: Đăng nhập bằng thông tin đăng nhập Windows bằng điện thoại di động sang SSID-Internet và chỉ có thể truy cập internet thông qua proxy.
  • Người dùng2: Đăng nhập bằng thông tin đăng nhập Windows bằng điện thoại VoIP sang SSID-Voice và chỉ có thể truy cập mạng Thoại từ điện thoại của anh ấy
  • Người dùng2: Đăng nhập bằng thông tin đăng nhập Windows bằng máy quét mã vạch vào SSID-Business và chỉ có thể truy cập các trang web Inventory từ máy quét mã vạch của anh ấy
  • Người dùng2: Đăng nhập bằng thông tin đăng nhập Windows bằng điện thoại di động vào SSID-Internet và chỉ có thể truy cập internet thông qua proxy.

Mọi người dùng sẽ có thể đăng nhập bằng điện thoại di động của họ vào SSID-Internet và điện thoại wifi sang SSID-Voice. Điều này có vẻ đủ dễ dàng nếu chúng ta sử dụng lọc địa chỉ mac. Chúng tôi sẽ sử dụng tường lửa để đảm bảo người dùng trong Vlans không vượt quá giới hạn truy cập của họ.

Vấn đề là chúng tôi không muốn tạo ra nhiều SSID, vì vậy số lượng Vlans khác nhau cho SSID-Business rất khó. Chúng tôi muốn chỉ định người dùng cho một số Vlans khác nhau khi họ đăng nhập vào SSID-Business. Cisco ISE và Cisco ACS có thể làm điều này không? Nếu vậy, chúng ta cần sử dụng những tính năng nào trong Cisco ISE, Cisco ACS và WLC? Tất cả các chức năng này có thể hoạt động nếu chúng ta chỉ có một tên người dùng Windows cho mỗi người dùng?

WLC của chúng tôi là 5508 chạy 7.4. Chúng tôi có Cisco ACS 5 và Cisco ISE 1.2.


Có câu trả lời nào giúp bạn không? nếu vậy, bạn nên chấp nhận câu trả lời để câu hỏi không xuất hiện mãi mãi, tìm kiếm câu trả lời. Ngoài ra, bạn có thể cung cấp và chấp nhận câu trả lời của riêng bạn.
Ron Maupin

Câu trả lời:


5

Nếu bạn không cần nhầm lẫn người dùng của mình với nhiều Vlan, đừng làm điều đó. Tận dụng các công cụ bạn có. Bạn đã đề cập rằng bạn có ISE và bạn sẽ có thể làm tất cả điều này với một SSID. Như AdnanG đã đề cập, bạn có thể sử dụng các tính năng định hình của ISE để phân loại các thiết bị.

ACS của bạn sẽ có thể liên kết với xác thực MS AD và có thể cung cấp xác thực người dùng và thông tin nhóm.

Từ đó, bạn chỉ cần kết hợp người dùng / nhóm với cấu hình thiết bị và sau đó buộc nó vào Vlan. Vì vậy, ví dụ, nếu thiết bị được xác định là điện thoại di động và người dùng là một phần của "nhóm A", thì get được đặt trong Vlan "nhóm A - internet".

Tôi đã không thực hiện nó một cách cá nhân với ISE, vì vậy không thể đưa ra các bước chính xác, nhưng đây là cách tiếp thị của Cisco đang bán ISE trong không gian BYOD. Tôi cũng biết một số người đã thực hiện các thiết lập tương tự với những gì được đề xuất. Tôi sẽ bắt đầu bằng cách xem qua tài liệu Cisco BYOD này sẽ cung cấp cho bạn tổng quan chung về cách thức BYOD được thực hiện với Cisco ISE.


1

Cisco Identitiy SErvices Engine (ISE) có thể làm chính xác những gì bạn đang tìm kiếm. Tính năng này được gọi là "Cấu hình" các thiết bị netowrk của bạn. Cisco ACS sẽ được sử dụng để Xác thực và Tích hợp với Active Directory của bạn. Xin lưu ý rằng để đạt được những gì bạn đang tìm kiếm, bạn có thể cần một loạt các thiết bị trong cấu trúc của netowrk. Điều nàyliên kết có một cái nhìn tổng quan về giải pháp sẽ giúp bạn hiểu rõ hơn về những gì bạn cần. Tham khảo phần 'Thành phần triển khai' để biết ý tưởng về những gì cần có để định hình. Giải pháp nghe có vẻ phức tạp nhưng tất cả phụ thuộc vào việc triển khai của bạn. Nếu mua sai một vài thiết bị sẽ nghĩ rằng nó sẽ đủ để cung cấp cho bạn chức năng mà bạn đang tìm kiếm. Các giải pháp của Cisco thường liên quan đến nhiều thành phần và phải được lên kế hoạch cẩn thận.


0

Một giải pháp sẽ được áp dụng 802.11x trên các điểm truy cập không dây (RADIUS) và tích hợp xác thực cho việc này thông qua LDAP với các cửa sổ, sau đó chỉ những người dùng có tên người dùng và mật khẩu windows mới có thể truy cập các AP.

Lợi ích của việc này là máy chủ windows có thể kiểm soát những gì có thể được truy cập dựa trên chi tiết đăng nhập của người dùng bằng chính sách nhóm, quyền bảo mật trong Active Directory, v.v.

Nhưng giải pháp này là 2 tầng, các cửa sổ cần phải hiểu cách thức hoạt động của nó và phía mạng cũng phải được thiết lập.

Các poster trước cũng đề cập đến Công cụ Dịch vụ Nhận dạng Cisco (ISE) cũng sẽ hoạt động. Nó thực sự phụ thuộc vào thiết lập của bạn

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.