基於SSID的ISE策略配置示例

簡介

本文檔介紹如何在思科身份服務引擎(ISE)中配置授權策略以區分不同的服務集識別符號(SSID)。組織經常在無線網路中使用多個SSID來實現各種目的。其中一個最常見的用途是為員工提供一個公司SSID，為組織訪客提供一個訪客SSID。

本指南假設：

1. 無線LAN控制器(WLC)已設定，適用於所有相關的SSID。

2. 身份驗證適用於針對ISE涉及的所有SSID。

本系列的其他檔案

• 使用交換機和身份服務引擎的集中Web身份驗證配置示例

• WLC 和 ISE 的中央 Web 驗證的組態範例

• 用於RADIUS/802.1x身份驗證的ISE訪客帳戶配置示例

• 使用iPEP ISE和ASA的VPN內聯狀態

必要條件

需求

本文件沒有特定需求。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 無線LAN控制器版本7.3.101.0

• 身分辨識服務引擎版本1.1.2.145

早期版本也具有這兩種功能。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

慣例

請參閱思科技術提示慣例以瞭解更多有關文件慣例的資訊。

設定

本節提供用於設定本文件中所述功能的資訊。

注意：使用命令查詢工具(僅限註冊客戶)可獲取有關此部分使用的命令的更多資訊。

組態

本檔案使用下列組態：

• 方法1：Airespace-Wlan-Id

• 方法2：被叫站ID

一次只能使用一種配置方法。如果同時實施這兩種配置，ISE處理的量將增加並影響規則的可讀性。本文檔介紹每種配置方法的優缺點。

方法1：Airespace-Wlan-Id

在WLC上建立的每個無線區域網路(WLAN)都有一個WLAN ID。WLAN ID顯示在WLAN summary頁上。

當客戶端連線到SSID時，對ISE的RADIUS請求包含Airespace-WLAN-ID屬性。此簡單屬性用於在ISE中進行策略決策。此屬性的一個缺點是，WLAN ID與分佈在多個控制器上的SSID不匹配。如果這描述了您的部署，請繼續方法2。

在這種情況下，Airespace-Wlan-Id用作條件。它可作為簡單條件（單獨使用）或在複合條件（與另一個屬性結合）中使用，以獲得期望的結果。本文檔介紹了這兩種使用案例。使用上述兩個SSID，可以建立這兩個規則。

A)訪客使用者必須登入到訪客SSID。

B)企業使用者必須位於Active Directory (AD)組「Domain Users」中，並且必須登入到企業SSID。

規則A

規則A只有一個要求，因此您可以構建簡單條件（基於上述值）：

1. 在ISE中，轉至Policy > Policy Elements > Conditions > Authorization > Simple Conditions並建立新條件。

2. 在名稱欄位中，輸入條件名稱

3. 在「說明」(Description)欄位中，輸入說明（可選）。

4. 從Attribute下拉選單中選擇Airespace > Airespace-Wlan-Id—[1]。

5. 從Operator下拉選單中選擇Equals。

6. 從值下拉選單中選擇2。

7. 點選儲存。

規則B

規則B有兩個要求，因此您可以構建複合條件（基於上述值）：

1. 在ISE中，轉至Policy > Policy Elements > Conditions > Authorization > Compound Conditions並建立新條件。

2. 在「名稱」欄位中，輸入條件名稱。

3. 在「說明」(Description)欄位中，輸入說明（可選）。

4. 選擇Create New Condition（Advance選項）。

5. 從Attribute下拉選單中選擇Airespace > Airespace-Wlan-Id—[1]。

6. 從Operator下拉選單中選擇Equals。

7. 從值下拉選單中選擇1。

8. 按一下右側的齒輪，然後選擇Add Attribute/Value。

9. 從Attribute下拉選單中選擇AD1 > External Groups。

10. 從Operator下拉選單中選擇Equals。

11. 從「值」下拉式清單中，選取所需的群組。在本示例中，它設定為「域使用者」。

12. 點選儲存。

注意：在本文檔中，我們使用在策略>策略元素>結果>授權>授權配置檔案下配置的簡單授權配置檔案。它們被設定為「允許訪問」，但可以進行調整以滿足您的部署需求。

現在有了這些條件，就可以將它們應用到授權策略中。轉至Policy > Authorization。決定要在清單中插入規則或編輯現有規則的位置。

訪客規則

1. 按一下現有規則右邊的向下箭頭，然後選擇「插入新規則」。

2. 輸入訪客規則的名稱，並將身份組欄位設定為Any。

3. 在「條件」下，按一下加號，然後按一下「從物件庫選取現有條件」。

4. 在Condition Name下，選擇Simple Condition > GuestSSID。

5. 在「許可權」下，為您的訪客使用者選擇適當的授權配置檔案。

6. 按一下「完成」。

公司規則

1. 按一下現有規則右邊的向下箭頭，然後選擇「插入新規則」。

2. 輸入公司規則的名稱，並將身份組欄位設定為Any。

3. 在「條件」下，按一下加號，然後按一下「從物件庫選取現有條件」。

4. 在「Condition Name」下，選擇Compound Condition > CorporateSSID。

5. 在「許可權」下，為您的公司使用者選擇適當的授權配置檔案。

6. 按一下「完成」。

注意：除非您按一下「策略清單」底部的「儲存」，否則在此螢幕上所做的更改將不會應用於您的部署。

方法2：被叫站ID

可以將WLC配置為在RADIUS Called-Station-ID屬性中傳送SSID名稱，該屬性又可用作ISE上的條件。此屬性的優點是，無論WLC上的WLAN ID設定為什麼，都可以使用此屬性。預設情況下，WLC不會在Called-Station-ID屬性中傳送SSID。要在WLC上啟用此功能，請轉到Security > AAA > RADIUS > Authentication，然後將Call Station ID Type設定為AP MAC Address：SSID。這將被叫站ID的格式設定為<使用者所連線的AP的MAC>：<SSID名稱>。

您可以從WLAN摘要頁面檢視將要傳送的SSID名稱。

由於Called-Station-Id屬性還包含AP的MAC地址，因此使用正規表示式(REGEX)匹配ISE策略中的SSID名稱。條件配置中的運算子「匹配」可從「值」欄位中讀取REGEX。

REGEX示例

'Starts with' —例如，使用REGEX值^(Acme)。*— 此條件配置為CERTIFICATE：Organization MATCHES 'Acme' （與以「Acme」開頭的條件的任何匹配）。

'Ends with' —例如，使用。*(mktg)$的REGEX值— 此條件配置為CERTIFICATE：Organization MATCHES 'mktg' （任何與以「mktg」結尾的條件相符的條件）。

'Contains'— 例如，使用。*(1234)的REGEX值。*— 此條件配置為CERTIFICATE：Organization MATCHES '1234'(與包含「1234」的條件（例如Eng1234、1234Dev和Corp1234Mktg）的任何匹配)。

'not start with' —例如，使用REGEX值^(?!LDAP)。*— 此條件配置為CERTIFICATE：Organization MATCHES 'LDAP' (與不以「LDAP」開頭的條件（例如usLDAP或CorpLDAPmktg）的任何匹配。

Called-Station-ID以SSID名稱結尾，因此本示例中使用的REGEX為.*(：<SSID NAME>)$。完成設定時請記住這一點。

使用上述兩個SSID，您可以根據以下要求建立兩個規則：

A)訪客使用者必須登入到訪客SSID。

B)企業使用者必須位於AD組「Domain Users」中，並且必須登入到企業SSID。

規則A

規則A只有一個要求，因此您可以構建簡單條件（基於上述值）：

1. 在ISE中，轉至Policy > Policy Elements > Conditions > Authorization > Simple Conditions並建立新條件。

2. 在「名稱」欄位中，輸入條件名稱。

3. 在「說明」(Description)欄位中，輸入說明（可選）。

4. 從Attribute下拉選單中選擇Radius -> Called-Station-ID — [30]。

5. 從Operator下拉選單中選擇Matches。

6. 從「值」下拉式清單中選擇。*(：Guest)$。這是區分大小寫的。

7. 按一下Save。

規則B

規則B有兩個要求，因此您可以構建複合條件（基於上述值）：

1. 在ISE中，轉至Policy > Policy Elements > Conditions > Authorization > Compound Conditions並建立新條件。

2. 在「名稱」欄位中，輸入條件名稱。

3. 在「說明」(Description)欄位中，輸入說明（可選）。

4. 選擇Create New Condition（Advance選項）。

5. 從Attribute下拉選單中選擇Radius -> Called-Station-Id — [30]。

6. 從Operator下拉選單中選擇Matches。

7. 從Value下拉選單中選擇.*(：Corporate)$。這是區分大小寫的。

8. 按一下右側的齒輪，然後選擇Add Attribute/Value。

9. 從Attribute下拉選單中選擇AD1 > External Groups。

10. 從Operator下拉選單中選擇Equals。

11. 從「值」下拉式清單中，選取所需的群組。在本示例中，它設定為「域使用者」。

12. 點選儲存。

注意：在本文檔中，我們使用在策略>策略元素>結果>授權>授權配置檔案下配置的簡單授權配置檔案。它們被設定為「允許訪問」，但可以進行調整以滿足您的部署需求。

現在條件已配置，請將其應用於授權策略。轉至Policy > Authorization。將規則插入適當位置的清單中，或編輯現有規則。

訪客規則

1. 按一下現有規則右側的向下箭頭，然後選擇Insert a new rule。

2. 輸入訪客規則的名稱，並將身份組欄位設定為Any。

3. 在「條件」下，按一下加號，然後按一下「從物件庫選取現有條件」。

4. 在Condition Name下，選擇Simple Condition > GuestSSID

5. 在「許可權」下，為您的訪客使用者選擇適當的授權配置檔案。

6. 按一下「完成」。

公司規則

1. 按一下現有規則右側的向下箭頭，然後選擇Insert a new rule。

2. 輸入公司規則的名稱，並將身份組欄位設定為Any。

3. 在「條件」下，按一下加號，然後按一下「從物件庫選取現有條件」。

4. 在「Condition Name」下，選擇Compound Condition > CorporateSSID。

5. 在「許可權」下，為您的公司使用者選擇適當的授權配置檔案。

6. 按一下「完成」。

7. 按一下Policy清單底部的Save。

注意：除非您按一下「策略清單」底部的「儲存」，否則在此螢幕上所做的更改將不會應用於您的部署。

驗證

目前沒有適用於此組態的驗證程序。

疑難排解

本節提供的資訊可用於對組態進行疑難排解。

要瞭解是否正確建立策略並確保ISE接收正確的屬性，請檢視詳細的身份驗證報告，瞭解使用者的身份驗證透過或失敗。選擇操作>身份驗證，然後按一下詳細資訊圖示進行身份驗證。

首先，檢查身份驗證摘要。此處顯示身份驗證的基本資訊，包括提供給使用者的授權配置檔案。

如果策略不正確，身份驗證詳細資訊將顯示哪些Airespace-Wlan-Id和哪些Called-Station-Id從WLC傳送。請相應地調整規則。Authorization Policy Matched Rule可確認身份驗證是否與預期規則匹配。

這些規則通常配置錯誤。要發現配置問題，請將規則與身份驗證詳細資訊中顯示的內容進行匹配。如果在「Other Attributes」欄位中看不到屬性，請確保正確配置了WLC。

相關資訊

• 技術支援與文件 - Cisco Systems