O lugar baseou a autorização com motor dos Serviços de mobilidade (MSE) e Identity Services Engine (ISE) ISE 2.0
Índice
Introdução
Este artigo demonstrará como integrar MSE (motor do serviço da mobilidade) com Identity Services Engine (ISE) para a autorização baseada lugar. A finalidade é permitir ou negar o acesso ao dispositivo Wireless baseado em seu local físico.
Pré-requisitos
Exigências e topologia da solução
Quando a configuração MSE for fora do âmbito deste original, está aqui o conceito geral da solução:
- MSE é controlado pela infraestrutura principal (anteriormente NC) para a configuração, a criação dos mapas, e a atribuição WLC
- MSE comunica-se com o controlador do Wireless LAN (WLC) (após a atribuição a ela pela prima) usando o protocolo NMSP. Isto dá basicamente a informação sobre a força de sinal recebido (RSSI) recebida por APs para clientes conectados, que permite a MSE ao calcultate seu lugar.
Etapas básicas para fazer isso:
Primeiramente você tem que definir um mapa na infraestrutura principal (PI), ajusta a área de cobertura neste mapa, e coloca os APs.
Quando você adiciona MSE para aprontar, escolha o serviço de CAS.
Uma vez que MSE é adicionado, na prima, escolha serviços de sincronização, e verifique seu WLC/e mapas para atribui-los ao MSE.
Antes de integre MSE com ISE, MSE tem que ser em serviço, que significa:
- MSE precisa de ser adicionado para aprontar a infraestrutura, e os serviços sincronizados
- O serviço de CAS precisa de ser permitido e necessidades de seguimento do cliente Wireless de ser permitido
- Os mapas têm que ser configurados na prima
- NMSP deve ser bem sucedido entre MSE e WLCs (da “o estado do nmsp mostra” na linha de comando WLC)
Nesta instalação, haverá somente uma construção com 2 assoalhos:
Componentes usados
- Versão 8.0.110 MSE
- Versão 2.0 ISE
MSE de integração com ISE
Vão aos recursos de rede, os serviços de lugar, e o clique adiciona para adicionar MSE.
Os parâmetros são evidentes, e você pode conexão de teste, e igualmente consulta do lugar do cliente pelo MAC address:
A coisa seguinte a fazer, é ir à árvore do lugar, e o clique obtém a atualização. Isto permitirá que o ISE busque construções e assoalho de MSE, e fá-lo disponível no ISE, similar a quando você adiciona grupos AD.
Estabelecendo a autorização
Os atributos MSE: O lugar do mapa pode agora ser usado em políticas da autorização.
Configurar as 2 regras abaixo:
Os usuários em Floor1 devem poder autenticar.
Nós vemos na autenticação detalhamos o perfil correto, assim como o atributo do lugar do MAPA
Com a configuração acima, se o valor-limite se está movendo de uma zona para outra, não deauthenticated. Se você quer seguir o movimento do usuário, e envia um CoA se a mudança da autorização, você pode permitir a opção de seguimento no perfil da autorização, que verificará para ver se há o lugar os minutos cada 5 em mudança. Note que isto pode ser disruptivo às operações vagueando rápidas normais.
Troubleshooting
Para esta característica, a configuração ISE é direta, contudo, a maioria de edições puderam acontecer se MSE não pode encontrar o dispositivo.
Algumas coisas a verificar para certificar-se de MSE setup corretamente:
1- Certifique-se de que o WLC onde o usuário conectado tem a conexão válida NMSP ao MSE ISE está integrado com:
(b2504) >show nmsp status
MSE IP Address Tx Echo Resp Rx Echo Req Tx Data Rx Data
-------------- ------------ ----------- ------- -------
10.48.39.241 3711 3711 15481 7
Se não, este original ajudará
2- Verifique se MSE pode seguir dispositivos
[root@loc-server ~]# service msed status
...
-------------
Context Aware Service
-------------
Total Active Elements(Wireless Clients, Tags, Rogue APs, Rogue Clients, Interferers, Wired Clients): 29
Active Wireless Clients: 29
Active Tags: 0
Active Rogue APs: 0
Active Rogue Clients: 0
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)