使用移动服务引擎(MSE)和身份服务引擎(ISE)ISE 2.0进行基于位置的授权

简介

本文将演示如何将MSE（移动服务引擎）与身份服务引擎(ISE)集成以实现基于位置的授权。目的是根据无线设备的物理位置允许或拒绝其访问。

先决条件

解决方案的要求和拓扑

虽然MSE配置不在本文档的讨论范围之内，但此解决方案的总体概念如下：

-MSE由Prime基础设施（以前称为NCS）管理，用于配置、映射创建和WLC分配

-MSE使用NMSP协议与无线LAN控制器(WLC)（由Prime分配后）通信。这主要提供有关连接的客户端每个AP接收的接收信号强度(RSSI)的信息，从而允许MSE计算它们的位置。

基本步骤：

首先，您必须在Prime基础设施(PI)上定义一个映射，在此映射上设置覆盖区域，然后放置AP。

将MSE添加到prime时，请选择CAS服务。

添加MSE后，在prime中，选择同步服务，然后检查您的WLC/和映射，将其分配到MSE。

在将MSE与ISE集成之前，MSE必须启动并运行，这意味着：

1. 需要将MSE添加到Prime基础设施，并且同步服务
2. 需要启用CAS服务，并且需要启用无线客户端跟踪
3. 必须在Prime中配置映射
4. MSP应在MSE和WLC之间成功（在WLC命令行上显示“nmsp status”）

在此设置中，将仅有一栋建筑，其两层为：

使用的组件

• MSE版本8.0.110
• ISE版本2.0

将MSE与ISE集成

转至Network Resources， Location Services，然后点击add以添加MSE。

参数是不言自明的，您可以测试连接，也可以通过mac地址查找客户端位置：

下一步是转到“位置”树，然后单击“获取更新”。这将允许ISE从MSE获取建筑和楼层，并使其在ISE中可用，类似于添加AD组时。

设置授权

MSE：映射位置属性现在可用于授权策略。

配置以下两个规则：

Floor1中的用户应该能够进行身份验证。

我们在身份验证详细信息中看到正确的配置文件以及MAP位置属性

使用上述配置，如果终端从一个区域移动到另一个区域，则不会取消其身份验证。如果要跟踪用户移动，并在授权更改时发送CoA，您可以在授权配置文件中启用跟踪选项，该选项将每5分钟检查一次位置更改。  请注意，这可能会干扰正常的快速漫游操作。

故障排除

对于此功能，ISE配置非常简单，但是，如果MSE无法找到设备，可能会出现大多数问题。

要检查MSE是否正确设置的一些事项：

1 — 确保用户连接的WLC与MSE ISE集成了有效的NMSP连接：

(b2504) >show nmsp status
MSE IP Address            Tx Echo Resp    Rx Echo Req    Tx Data    Rx Data
--------------            ------------    -----------    -------    ------- 
10.48.39.241         3711            3711           15481      7          

否则，本文档将有所帮助

http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Borderless_Networks/Unified_Access/CMX/CMX_Troubleshooting.pdf

2 — 检查MSE是否能够跟踪设备

[root@loc-server ~]# service msed status 
...
-------------
Context Aware Service
-------------
Total Active Elements(Wireless Clients, Tags, Rogue APs, Rogue Clients, Interferers, Wired Clients): 29
Active Wireless Clients: 29
Active Tags: 0
Active Rogue APs: 0
Active Rogue Clients: 0