Cisco WLC: autenticazione per utente, molti Vlan, pochi SSID

8

Abbiamo un problema semplice. Vogliamo limitare i nostri utenti wireless a determinati siti Web aziendali in base al loro nome utente quando accedono. Disponiamo di molti tipi di dispositivi wireless: telefoni voip, telefoni cellulari, laptop, scanner di codici a barre e tablet.

Supponiamo che ci siano tutte queste categorie di siti Web a cui sono assegnati un SSID e Vlan per gli indirizzi di origine dell'utente:

  • Internet (SSID-Internet, Vlan101)
  • Voce (SSID-Internet, Vlan102)
  • Contabilità (SSID-Business, Vlan103)
  • Risorse umane (SSID-Business, Vlan104)
  • Inventario (SSID-Business, Vlan105)
  • Ricerca (SSID-Business, Vlan106)
  • Garanzia di qualità (SSID-Business, Vlan107)
  • Produzione (SSID-Business, Vlan108)

Ognuno dei nostri utenti potrebbe aver bisogno di utilizzare il proprio login di Windows per autenticarsi nella rete wireless, ma dovrebbe avere accesso solo a determinati servizi. Qualche esempio:

  • Utente1: accedi usando le credenziali di Windows usando il telefono VoIP su SSID-Voice e puoi accedere alla rete vocale solo da questo telefono
  • Utente1: accedi usando le credenziali di Windows usando Laptop a SSID-Business e può accedere ai siti Web di contabilità solo dal suo laptop
  • Utente1: accedi usando le credenziali di Windows usando il cellulare su SSID-Internet e può accedere a Internet solo attraverso un proxy.
  • Utente2: Accedi usando le credenziali di Windows usando il telefono VoIP su SSID-Voice e può accedere alla rete vocale solo dal suo telefono
  • Utente2: Accedi utilizzando le credenziali di Windows utilizzando lo scanner di codici a barre per SSID-Business e può accedere ai siti Web di Inventario solo dal suo scanner di codici a barre
  • Utente2: Accedi utilizzando le credenziali di Windows utilizzando il cellulare su SSID-Internet e può accedere a Internet solo tramite un proxy.

Ogni utente dovrebbe essere in grado di accedere con il proprio cellulare a SSID-Internet e il telefono wifi a SSID-Voice. Questo sembra abbastanza facile se utilizziamo il filtro dell'indirizzo mac. Utilizzeremo un firewall per garantire che gli utenti dei Vlan non vadano oltre i loro limiti di accesso.

Il problema è che non vogliamo creare molti SSID, quindi il numero di diversi Vlan per SSID-Business è difficile. Vogliamo assegnare gli utenti a diversi Vlan diversi quando accedono a SSID-Business. Cisco ISE e Cisco ACS possono farlo? In tal caso, quali funzionalità dobbiamo utilizzare in Cisco ISE, Cisco ACS e WLC? Tutte queste funzioni possono funzionare se abbiamo un solo nome utente Windows per utente?

Il nostro WLC è un 5508 con 7.4. Abbiamo Cisco ACS 5 e Cisco ISE 1.2.

cisco  wireless  firewall  wlc  aaa 
user2631
fonte
Qualche risposta ti è stata d'aiuto? in tal caso, dovresti accettare la risposta in modo che la domanda non continui a comparire per sempre, cercando una risposta. In alternativa, potresti fornire e accettare la tua risposta.
Ron Maupin

Risposte:

5

Se non hai bisogno di confondere i tuoi utenti con più VLAN, non farlo. Sfrutta gli strumenti che hai. Hai detto di avere ISE e dovresti essere in grado di fare tutto questo con un SSID. Come già accennato da AdnanG, è possibile utilizzare le funzionalità di profilazione di ISE per classificare i dispositivi.

L'ACS dovrebbe essere in grado di collegarsi all'autenticazione MS AD ed essere in grado di fornire l'autenticazione dell'utente e le informazioni di gruppo.

Da lì, devi solo combinare l'utente / i gruppi con i profili del dispositivo e quindi collegarlo a una VLAN. Ad esempio, se il dispositivo viene identificato come un telefono cellulare e l'utente fa parte del "gruppo A", allora viene inserito nella VLAN "gruppo A - internet".

Non l'ho fatto personalmente con ISE, quindi non posso fare passi esatti, ma questo è il modo in cui Cisco marketing sta vendendo ISE nello spazio BYOD. Conosco anche diverse persone che hanno eseguito configurazioni simili a quelle suggerite. Vorrei iniziare guardando questo documento BYOD di Cisco che ti darebbe una panoramica generale di come viene eseguito BYOD con Cisco ISE.

YImparare
fonte
1

Cisco Identitiy SErvices Engine (ISE) può fare esattamente quello che stai cercando. La funzione si chiama "Profiling" dei dispositivi netowrk. Cisco ACS verrà utilizzato per l'autenticazione e l'integrazione con Active Directory. Per ottenere ciò che stai cercando, potresti aver bisogno di una vasta gamma di dispositivi nella struttura del tuo netowrk. Questolink ha una panoramica della soluzione che ti darà una migliore comprensione di ciò di cui hai bisogno. Fare riferimento alla sezione "Componenti di distribuzione" per avere un'idea di ciò che serve per la profilazione. La soluzione potrebbe sembrare complicata ma tutto dipende dalla distribuzione. Se fosse sbagliato acquistare un paio di dispositivi pensando che sarà sufficiente darti la funzionalità che stai cercando. Le soluzioni Cisco di solito coinvolgono molti componenti e devono essere attentamente pianificate.

AdnanG
fonte
0

Una soluzione sarebbe applicare 802.11x sui punti di accesso wireless (RADIUS) e integrare l'autenticazione per questo tramite LDAP con Windows, quindi solo gli utenti che hanno un nome utente e una password di Windows possono accedere agli AP.

Il vantaggio è che Windows Server può quindi controllare ciò a cui è possibile accedere in base ai dettagli di accesso dell'utente utilizzando criteri di gruppo, autorizzazioni di sicurezza in Active Directory ecc.

Ma questa soluzione è a 2 livelli, i ragazzi di Windows devono capire come funzionerà e anche il lato della rete deve essere configurato.

Il poster precedente menzionava anche Cisco Identity Services Engine (ISE) che avrebbe funzionato. Dipende davvero dalla tua configurazione

alex_da_gr8
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.