Cisco WLC: Pro Benutzerauthentifizierung viele Vlans, wenige SSIDs

8

Wir haben ein einfaches Problem. Wir möchten unsere drahtlosen Benutzer auf bestimmte Unternehmenswebsites beschränken, die auf ihrem Benutzernamen basieren, wenn sie sich anmelden. Wir haben viele Arten von drahtlosen Geräten: VoIP-Telefone, Mobiltelefone, Laptops, Barcode-Scanner und Tablets.

Angenommen, es gibt alle diese Website-Kategorien, denen eine SSID und ein Vlan für Benutzerquelladressen zugewiesen sind:

  • Internet (SSID-Internet, Vlan101)
  • Sprache (SSID-Internet, Vlan102)
  • Buchhaltung (SSID-Business, Vlan103)
  • HR (SSID-Business, Vlan104)
  • Inventar (SSID-Business, Vlan105)
  • Forschung (SSID-Business, Vlan106)
  • Qualitätssicherung (SSID-Business, Vlan107)
  • Fertigung (SSID-Business, Vlan108)

Jeder unserer Benutzer muss möglicherweise sein Windows-Login verwenden, um sich beim drahtlosen Netzwerk zu authentifizieren. Er sollte jedoch nur Zugriff auf bestimmte Dienste haben. Einige Beispiele:

  • Benutzer1: Melden Sie sich mit Windows-Anmeldeinformationen über ein VoIP-Telefon bei SSID-Voice an und können Sie nur von diesem Telefon aus auf das Voice-Netzwerk zugreifen
  • Benutzer1: Melden Sie sich mit Windows-Anmeldeinformationen mit Laptop bei SSID-Business an und können Sie nur von seinem Laptop aus auf die Buchhaltungswebsites zugreifen
  • Benutzer1: Melden Sie sich mit Windows-Anmeldeinformationen mit dem Mobiltelefon bei SSID-Internet an und können Sie nur über einen Proxy auf das Internet zugreifen.
  • Benutzer2: Melden Sie sich mit Windows-Anmeldeinformationen über ein VoIP-Telefon bei SSID-Voice an und können Sie nur von seinem Telefon aus auf das Voice-Netzwerk zugreifen
  • Benutzer2: Melden Sie sich mit Windows-Anmeldeinformationen mit dem Barcode-Scanner bei SSID-Business an und können Sie nur von seinem Barcode-Scanner aus auf die Inventar-Websites zugreifen
  • Benutzer2: Melden Sie sich mit Windows-Anmeldeinformationen mit dem Mobiltelefon bei SSID-Internet an und können Sie nur über einen Proxy auf das Internet zugreifen.

Jeder Benutzer sollte in der Lage sein, sich mit seinem Handy bei SSID-Internet und seinem WLAN-Telefon bei SSID-Voice anzumelden. Dies scheint einfach zu sein, wenn wir die Mac-Adressfilterung verwenden. Wir werden eine Firewall verwenden, um sicherzustellen, dass Benutzer in den Vlans ihre Zugriffsgrenzen nicht überschreiten.

Das Problem ist, dass wir nicht viele SSIDs erstellen möchten, daher ist die Anzahl der verschiedenen Vlans für SSID-Business schwierig. Wir möchten Benutzer mehreren verschiedenen Vlans zuweisen, wenn sie sich bei SSID-Business anmelden. Kann Cisco ISE & Cisco ACS dies tun? Wenn ja, welche Funktionen müssen wir in Cisco ISE, Cisco ACS und WLC verwenden? Können alle diese Funktionen funktionieren, wenn wir nur einen Windows-Benutzernamen pro Benutzer haben?

Unser WLC ist ein 5508 mit 7.4. Wir haben Cisco ACS 5 und Cisco ISE 1.2.

user2631
quelle
Hat dir eine Antwort geholfen? Wenn ja, sollten Sie die Antwort akzeptieren, damit die Frage nicht für immer auftaucht und nach einer Antwort sucht. Alternativ können Sie Ihre eigene Antwort bereitstellen und akzeptieren.
Ron Maupin

Antworten:

5

Wenn Sie Ihre Benutzer nicht mit mehreren VLANs verwechseln müssen, tun Sie dies nicht. Nutzen Sie die Werkzeuge, die Sie haben. Sie haben erwähnt, dass Sie ISE haben und dies alles mit einer SSID tun sollten. Wie bereits von AdnanG erwähnt, können Sie die Profilierungsfunktionen von ISE verwenden, um die Geräte zu klassifizieren.

Ihr ACS sollte in der Lage sein, sich mit der MS AD-Authentifizierung zu verbinden und Benutzerauthentifizierung und Gruppeninformationen bereitzustellen.

Von dort aus müssen Sie nur noch die Benutzer / Gruppen mit den Geräteprofilen kombinieren und diese dann mit einem VLAN verknüpfen. Wenn das Gerät beispielsweise als Mobiltelefon identifiziert wird und der Benutzer Teil der "Gruppe A" ist, wird das Gerät in das VLAN "Gruppe A - Internet" aufgenommen.

Ich habe es nicht persönlich mit ISE gemacht, kann also keine genauen Schritte angeben, aber so verkauft Cisco Marketing ISE im BYOD-Bereich. Ich kenne auch einige Leute, die ähnliche Einstellungen vorgenommen haben wie vorgeschlagen. Ich würde zunächst dieses Cisco BYOD-Dokument durchsehen , das Ihnen einen allgemeinen Überblick darüber gibt, wie BYOD mit Cisco ISE funktioniert.

YLearn
quelle
1

Die Cisco Identitiy SErvices Engine (ISE) kann genau das tun, wonach Sie suchen. Die Funktion heißt "Profiling" Ihrer Netzwerkgeräte. Cisco ACS wird für die Authentifizierung und Integration in Ihr Active Directory verwendet. Bitte beachten Sie, dass Sie möglicherweise eine Reihe von Geräten in der Struktur Ihres Netzwerks benötigen, um das zu erreichen, wonach Sie suchen. DieseDer Link bietet einen Überblick über die Lösung, mit der Sie besser verstehen, was Sie benötigen. Im Abschnitt "Bereitstellungskomponenten" finden Sie eine Vorstellung davon, was für die Profilerstellung erforderlich ist. Die Lösung mag kompliziert klingen, hängt jedoch von Ihrer Bereitstellung ab. Wenn es falsch wäre, ein paar Geräte zu kaufen, die denken, dass es ausreicht, Ihnen die Funktionalität zu geben, die Sie suchen. Die Lösungen von Cisco umfassen normalerweise viele Komponenten und müssen sorgfältig geplant werden.

AdnanG
quelle
0

Eine Lösung wäre, 802.11x auf die drahtlosen Zugriffspunkte (RADIUS) anzuwenden und die Authentifizierung hierfür über LDAP in Windows zu integrieren. Dann können nur Benutzer mit einem Windows-Benutzernamen und -Kennwort auf die APs zugreifen.

Dies hat den Vorteil, dass Windows Server anhand der Anmeldedaten des Benutzers mithilfe von Gruppenrichtlinien, Sicherheitsberechtigungen in Active Directory usw. steuern kann, auf was zugegriffen werden kann.

Aber diese Lösung ist zweistufig, die Windows-Leute müssen verstehen, wie das funktionieren wird, und die Netzwerkseite muss ebenfalls eingerichtet werden.

Das vorherige Poster erwähnte auch die Cisco Identity Services Engine (ISE), die ebenfalls funktionieren würde. Es hängt wirklich von Ihrem Setup ab

alex_da_gr8
quelle