Tenemos un problema simple Queremos restringir a nuestros usuarios inalámbricos a ciertos sitios web comerciales basados en su nombre de usuario cuando inician sesión. Tenemos muchos tipos de dispositivos inalámbricos: teléfonos voip, teléfonos celulares, computadoras portátiles, escáneres de códigos de barras y tabletas.
Supongamos que hay todas estas categorías de sitios web, que tenemos un SSID y Vlan asignado para las direcciones de origen de los usuarios:
- Internet (SSID-Internet, Vlan101)
- Voz (SSID-Internet, Vlan102)
- Contabilidad (SSID-Business, Vlan103)
- RRHH (SSID-Business, Vlan104)
- Inventario (SSID-Business, Vlan105)
- Investigación (SSID-Business, Vlan106)
- Garantía de calidad (SSID-Business, Vlan107)
- Fabricación (SSID-Business, Vlan108)
Es posible que cada uno de nuestros usuarios necesite usar su inicio de sesión de Windows para autenticarse en la red inalámbrica, pero solo deben tener acceso a ciertos servicios. Algunos ejemplos:
- Usuario1: Inicie sesión con las credenciales de Windows usando el teléfono VoIP a SSID-Voice, y solo puede acceder a la red de voz desde este teléfono
- Usuario1: Inicie sesión con las credenciales de Windows usando Laptop para SSID-Business y solo puede acceder a los sitios web de Contabilidad desde su laptop
- Usuario1: Inicie sesión con las credenciales de Windows utilizando el teléfono celular para SSID-Internet y solo puede acceder a Internet a través de un proxy.
- Usuario2: Inicie sesión con las credenciales de Windows usando el teléfono VoIP a SSID-Voice, y solo puede acceder a la red de voz desde su teléfono
- Usuario2: Inicie sesión con las credenciales de Windows con el escáner de código de barras para SSID-Business y solo puede acceder a los sitios web de Inventario desde su escáner de código de barras
- Usuario2: Inicie sesión con las credenciales de Windows utilizando el teléfono celular para SSID-Internet y solo puede acceder a Internet a través de un proxy.
Todos los usuarios deben poder iniciar sesión con su teléfono celular en SSID-Internet y el teléfono wifi en SSID-Voice. Esto parece bastante fácil si usamos el filtrado de direcciones mac. Utilizaremos un firewall para garantizar que los usuarios de Vlans no salgan de sus límites de acceso.
El problema es que no queremos crear muchos SSID, por lo que la cantidad de Vlans diferentes para SSID-Business es difícil. Queremos asignar usuarios a varios Vlans diferentes cuando inicien sesión en SSID-Business. ¿Cisco ISE y Cisco ACS pueden hacer esto? Si es así, ¿qué características necesitamos usar en Cisco ISE, Cisco ACS y WLC? ¿Pueden funcionar todas estas funciones si solo tenemos un nombre de usuario de Windows por usuario?
Nuestro WLC es un 5508 con 7.4. Tenemos Cisco ACS 5 y Cisco ISE 1.2.
Respuestas:
Si no necesita confundir a sus usuarios con varias VLAN, no lo haga. Aproveche las herramientas que tiene. Mencionó que tiene ISE y que debería poder hacer todo esto con un SSID. Como ya mencionó AdnanG, puede utilizar las funciones de creación de perfiles de ISE para clasificar los dispositivos.
Su ACS debería poder vincularse con la autenticación de MS AD y poder proporcionar autenticación de usuario e información grupal.
A partir de ahí, solo necesita combinar los usuarios / grupos con los perfiles del dispositivo y luego vincularlos a una VLAN. Entonces, por ejemplo, si el dispositivo se identifica como un teléfono celular y el usuario es parte del "grupo A", entonces se coloca en la VLAN "grupo A - internet".
No lo he hecho personalmente con ISE, así que no puedo dar los pasos exactos, pero así es como Cisco Marketing está vendiendo ISE en el espacio BYOD. También conozco a varias personas que han realizado configuraciones similares a las sugeridas. Comenzaría mirando este documento BYOD de Cisco que le daría una visión general de cómo BYOD se hace con Cisco ISE.
fuente
Cisco Identitiy SErvices Engine (ISE) puede hacer exactamente lo que está buscando. La función se llama "Perfilado" de sus dispositivos netowrk. Cisco ACS se utilizará para la autenticación e integración con su Active Directory. Tenga en cuenta que para lograr lo que está buscando, es posible que necesite una variedad de dispositivos en la estructura de su netowrk. Estalink tiene una descripción general de la solución que le dará una mejor comprensión de lo que necesita. Consulte la sección 'Componentes de implementación' para obtener una idea de lo que se necesita para tener un perfil. La solución puede parecer complicada, pero todo depende de su implementación. Sería un error comprar un par de dispositivos pensando que será suficiente para darle la funcionalidad que está buscando. Las soluciones de Cisco generalmente incluyen muchos componentes y deben planificarse cuidadosamente.
fuente
Una solución sería aplicar 802.11x en los puntos de acceso inalámbrico (RADIUS) e integrar la autenticación para esto a través de LDAP con Windows, luego solo los usuarios que tienen un nombre de usuario y contraseña de Windows pueden acceder a los AP.
El beneficio de esto es que el servidor de Windows puede controlar a qué se puede acceder en función de los detalles de inicio de sesión del usuario mediante la política de grupo, los permisos de seguridad en Active Directory, etc.
Pero esta solución tiene 2 niveles, los chicos de Windows necesitan entender cómo va a funcionar y el lado de la red también debe configurarse.
El póster anterior también mencionaba Cisco Identity Services Engine (ISE), que también funcionaría. Realmente depende de tu configuración
fuente