位置根据与移动服务引擎(MSE)和身份服务引擎(ISE) ISE 2.0的授权
Introduction
此条款将展示如何用身份服务引擎(ISE)集成MSE (移动性服务引擎)位置基于授权的。目的将允许或拒绝对根据他们的物理位置的无线设备的访问。
Prerequisites
解决方案需求和拓扑
当MSE配置是超出本文的范围时,这是解决方案的一般概念:
- MSE由头等基础设施(以前NCS)管理配置、映射创建和WLC分配的
- MSE与无线局域网控制器(WLC)联络(在分配到它以后由最初)使用NMSP协议。这基本上提供关于每个连接的客户端的APs (RSSI)的信息接收的收到信号强度,提供MSE对calcultate他们的位置。
要执行那的基本步骤:
首先您必须定义在头等基础设施(PI)的映射,设置在此映射的覆盖区域,并且放置APs。
当您添加MSE填装时,请选择CAS服务。
一旦MSE在最初被添加,请选择同步服务,并且检查您的WLC/和映射分配他们到MSE。
在之前请集成MSE与ISE, MSE必须是正在运行的,意味着:
- MSE需要被添加填装同步的基础设施和服务
- CAS服务需要被启用,并且无线客户端跟踪需要被启用
- 映射必须在最初被配置
- NMSP应该是成功的在MSE和WLCs (“show nmsp status”之间在WLC line命令)
在此设置,只将有与2个楼层的一建立:
使用的组件
- MSE版本8.0.110
- ISE版本2.0
集成MSE与ISE
去网络资源,位置服务,并且点击添加添加MSE。
参数是明显的,并且您由MAC地址能测试连接并且客户端位置查找:
要执行的下件事,是去位置树,并且点击得到更新。当您添加AD组,这将允许ISE拿来大厦和楼层从MSE,并且使他们可用在ISE,类似于。
设置授权
属性MSE :映射位置可能当前用于授权策略。
配置2个下面的规则:
Floor1的用户应该能验证。
我们在认证看到选派正确的配置文件,以及MAP位置属性
使用上述配置,如果终端从一个区域移动到另一个,它不会deauthenticated。如果要跟踪用户移动,并且发送CoA,如果授权更改,您能enable (event)在授权配置文件的跟踪选项,将检查更改每5分钟的位置。 注意这可以是制造混乱对正常快速地漫游操作。
排除故障
对于此功能, ISE配置是直接的,然而,多数问题也许发生,如果MSE不能找出设备。
检查的一些工作确定MSE适当地设置:
1- 切记连接有与MSE ISE的有效NMSP连接的WLC集成:
(b2504) >show nmsp status
MSE IP Address Tx Echo Resp Rx Echo Req Tx Data Rx Data
-------------- ------------ ----------- ------- -------
10.48.39.241 3711 3711 15481 7
否则,本文将帮助
2- 检查MSE是否能跟踪设备
[root@loc-server ~]# service msed status
...
-------------
Context Aware Service
-------------
Total Active Elements(Wireless Clients, Tags, Rogue APs, Rogue Clients, Interferers, Wired Clients): 29
Active Wireless Clients: 29
Active Tags: 0
Active Rogue APs: 0
Active Rogue Clients: 0
反馈