本文檔介紹如何在思科身份服務引擎(ISE)中配置授權策略以區分不同的服務集識別符號(SSID)。組織經常在無線網路中使用多個SSID來實現各種目的。其中一個最常見的用途是為員工提供一個公司SSID,為組織訪客提供一個訪客SSID。
本指南假設:
無線LAN控制器(WLC)已設定,適用於所有相關的SSID。
身份驗證適用於針對ISE涉及的所有SSID。
本系列的其他檔案
本文件沒有特定需求。
本文中的資訊係根據以下軟體和硬體版本:
無線LAN控制器版本7.3.101.0
身分辨識服務引擎版本1.1.2.145
早期版本也具有這兩種功能。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
本節提供用於設定本文件中所述功能的資訊。
注意:使用命令查詢工具(僅限註冊客戶)可獲取有關此部分使用的命令的更多資訊。
本檔案使用下列組態:
方法1:Airespace-Wlan-Id
方法2:被叫站ID
一次只能使用一種配置方法。如果同時實施這兩種配置,ISE處理的量將增加並影響規則的可讀性。本文檔介紹每種配置方法的優缺點。
方法1:Airespace-Wlan-Id
在WLC上建立的每個無線區域網路(WLAN)都有一個WLAN ID。WLAN ID顯示在WLAN summary頁上。
當客戶端連線到SSID時,對ISE的RADIUS請求包含Airespace-WLAN-ID屬性。此簡單屬性用於在ISE中進行策略決策。此屬性的一個缺點是,WLAN ID與分佈在多個控制器上的SSID不匹配。如果這描述了您的部署,請繼續方法2。
在這種情況下,Airespace-Wlan-Id用作條件。它可作為簡單條件(單獨使用)或在複合條件(與另一個屬性結合)中使用,以獲得期望的結果。本文檔介紹了這兩種使用案例。使用上述兩個SSID,可以建立這兩個規則。
A)訪客使用者必須登入到訪客SSID。
B)企業使用者必須位於Active Directory (AD)組「Domain Users」中,並且必須登入到企業SSID。
規則A
規則A只有一個要求,因此您可以構建簡單條件(基於上述值):
在ISE中,轉至Policy > Policy Elements > Conditions > Authorization > Simple Conditions並建立新條件。
在名稱欄位中,輸入條件名稱
在「說明」(Description)欄位中,輸入說明(可選)。
從Attribute下拉選單中選擇Airespace > Airespace-Wlan-Id—[1]。
從Operator下拉選單中選擇Equals。
從值下拉選單中選擇2。
點選儲存。
規則B
規則B有兩個要求,因此您可以構建複合條件(基於上述值):
在ISE中,轉至Policy > Policy Elements > Conditions > Authorization > Compound Conditions並建立新條件。
在「名稱」欄位中,輸入條件名稱。
在「說明」(Description)欄位中,輸入說明(可選)。
選擇Create New Condition(Advance選項)。
從Attribute下拉選單中選擇Airespace > Airespace-Wlan-Id—[1]。
從Operator下拉選單中選擇Equals。
從值下拉選單中選擇1。
按一下右側的齒輪,然後選擇Add Attribute/Value。
從Attribute下拉選單中選擇AD1 > External Groups。
從Operator下拉選單中選擇Equals。
從「值」下拉式清單中,選取所需的群組。在本示例中,它設定為「域使用者」。
點選儲存。
注意:在本文檔中,我們使用在策略>策略元素>結果>授權>授權配置檔案下配置的簡單授權配置檔案。它們被設定為「允許訪問」,但可以進行調整以滿足您的部署需求。
現在有了這些條件,就可以將它們應用到授權策略中。轉至Policy > Authorization。決定要在清單中插入規則或編輯現有規則的位置。
訪客規則
按一下現有規則右邊的向下箭頭,然後選擇「插入新規則」。
輸入訪客規則的名稱,並將身份組欄位設定為Any。
在「條件」下,按一下加號,然後按一下「從物件庫選取現有條件」。
在Condition Name下,選擇Simple Condition > GuestSSID。
在「許可權」下,為您的訪客使用者選擇適當的授權配置檔案。
按一下「完成」。
公司規則
按一下現有規則右邊的向下箭頭,然後選擇「插入新規則」。
輸入公司規則的名稱,並將身份組欄位設定為Any。
在「條件」下,按一下加號,然後按一下「從物件庫選取現有條件」。
在「Condition Name」下,選擇Compound Condition > CorporateSSID。
在「許可權」下,為您的公司使用者選擇適當的授權配置檔案。
按一下「完成」。
注意:除非您按一下「策略清單」底部的「儲存」,否則在此螢幕上所做的更改將不會應用於您的部署。
方法2:被叫站ID
可以將WLC配置為在RADIUS Called-Station-ID屬性中傳送SSID名稱,該屬性又可用作ISE上的條件。此屬性的優點是,無論WLC上的WLAN ID設定為什麼,都可以使用此屬性。預設情況下,WLC不會在Called-Station-ID屬性中傳送SSID。要在WLC上啟用此功能,請轉到Security > AAA > RADIUS > Authentication,然後將Call Station ID Type設定為AP MAC Address:SSID。這將被叫站ID的格式設定為<使用者所連線的AP的MAC>:<SSID名稱>。
您可以從WLAN摘要頁面檢視將要傳送的SSID名稱。
由於Called-Station-Id屬性還包含AP的MAC地址,因此使用正規表示式(REGEX)匹配ISE策略中的SSID名稱。條件配置中的運算子「匹配」可從「值」欄位中讀取REGEX。
REGEX示例
'Starts with' —例如,使用REGEX值^(Acme)。*— 此條件配置為CERTIFICATE:Organization MATCHES 'Acme' (與以「Acme」開頭的條件的任何匹配)。
'Ends with' —例如,使用。*(mktg)$的REGEX值— 此條件配置為CERTIFICATE:Organization MATCHES 'mktg' (任何與以「mktg」結尾的條件相符的條件)。
'Contains'— 例如,使用。*(1234)的REGEX值。*— 此條件配置為CERTIFICATE:Organization MATCHES '1234'(與包含「1234」的條件(例如Eng1234、1234Dev和Corp1234Mktg)的任何匹配)。
'not start with' —例如,使用REGEX值^(?!LDAP)。*— 此條件配置為CERTIFICATE:Organization MATCHES 'LDAP' (與不以「LDAP」開頭的條件(例如usLDAP或CorpLDAPmktg)的任何匹配。
Called-Station-ID以SSID名稱結尾,因此本示例中使用的REGEX為.*(:<SSID NAME>)$。完成設定時請記住這一點。
使用上述兩個SSID,您可以根據以下要求建立兩個規則:
A)訪客使用者必須登入到訪客SSID。
B)企業使用者必須位於AD組「Domain Users」中,並且必須登入到企業SSID。
規則A
規則A只有一個要求,因此您可以構建簡單條件(基於上述值):
在ISE中,轉至Policy > Policy Elements > Conditions > Authorization > Simple Conditions並建立新條件。
在「名稱」欄位中,輸入條件名稱。
在「說明」(Description)欄位中,輸入說明(可選)。
從Attribute下拉選單中選擇Radius -> Called-Station-ID — [30]。
從Operator下拉選單中選擇Matches。
從「值」下拉式清單中選擇。*(:Guest)$。這是區分大小寫的。
按一下Save。
規則B
規則B有兩個要求,因此您可以構建複合條件(基於上述值):
在ISE中,轉至Policy > Policy Elements > Conditions > Authorization > Compound Conditions並建立新條件。
在「名稱」欄位中,輸入條件名稱。
在「說明」(Description)欄位中,輸入說明(可選)。
選擇Create New Condition(Advance選項)。
從Attribute下拉選單中選擇Radius -> Called-Station-Id — [30]。
從Operator下拉選單中選擇Matches。
從Value下拉選單中選擇.*(:Corporate)$。這是區分大小寫的。
按一下右側的齒輪,然後選擇Add Attribute/Value。
從Attribute下拉選單中選擇AD1 > External Groups。
從Operator下拉選單中選擇Equals。
從「值」下拉式清單中,選取所需的群組。在本示例中,它設定為「域使用者」。
點選儲存。
注意:在本文檔中,我們使用在策略>策略元素>結果>授權>授權配置檔案下配置的簡單授權配置檔案。它們被設定為「允許訪問」,但可以進行調整以滿足您的部署需求。
現在條件已配置,請將其應用於授權策略。轉至Policy > Authorization。將規則插入適當位置的清單中,或編輯現有規則。
訪客規則
按一下現有規則右側的向下箭頭,然後選擇Insert a new rule。
輸入訪客規則的名稱,並將身份組欄位設定為Any。
在「條件」下,按一下加號,然後按一下「從物件庫選取現有條件」。
在Condition Name下,選擇Simple Condition > GuestSSID
在「許可權」下,為您的訪客使用者選擇適當的授權配置檔案。
按一下「完成」。
公司規則
按一下現有規則右側的向下箭頭,然後選擇Insert a new rule。
輸入公司規則的名稱,並將身份組欄位設定為Any。
在「條件」下,按一下加號,然後按一下「從物件庫選取現有條件」。
在「Condition Name」下,選擇Compound Condition > CorporateSSID。
在「許可權」下,為您的公司使用者選擇適當的授權配置檔案。
按一下「完成」。
按一下Policy清單底部的Save。
注意:除非您按一下「策略清單」底部的「儲存」,否則在此螢幕上所做的更改將不會應用於您的部署。
目前沒有適用於此組態的驗證程序。
本節提供的資訊可用於對組態進行疑難排解。
要瞭解是否正確建立策略並確保ISE接收正確的屬性,請檢視詳細的身份驗證報告,瞭解使用者的身份驗證透過或失敗。選擇操作>身份驗證,然後按一下詳細資訊圖示進行身份驗證。
首先,檢查身份驗證摘要。此處顯示身份驗證的基本資訊,包括提供給使用者的授權配置檔案。
如果策略不正確,身份驗證詳細資訊將顯示哪些Airespace-Wlan-Id和哪些Called-Station-Id從WLC傳送。請相應地調整規則。Authorization Policy Matched Rule可確認身份驗證是否與預期規則匹配。
這些規則通常配置錯誤。要發現配置問題,請將規則與身份驗證詳細資訊中顯示的內容進行匹配。如果在「Other Attributes」欄位中看不到屬性,請確保正確配置了WLC。
修訂 | 發佈日期 | 意見 |
---|---|---|
1.0 |
19-Dec-2012 |
初始版本 |