Temos um problema simples. Queremos restringir nossos usuários sem fio a determinados sites comerciais com base no nome de usuário quando eles fazem login. Temos muitos tipos de dispositivos sem fio: telefones voip, telefone celular, laptops, scanners de código de barras e tablets.
Suponha que existam todas essas categorias de sites, às quais temos um SSID e uma Vlan atribuídos aos endereços de origem do usuário:
- Internet (SSID-Internet, Vlan101)
- Voz (SSID-Internet, Vlan102)
- Contabilidade (SSID-Business, Vlan103)
- RH (SSID-Business, Vlan104)
- Inventário (SSID-Business, Vlan105)
- Pesquisa (SSID-Business, Vlan106)
- Garantia de qualidade (SSID-Business, Vlan107)
- Fabricação (SSID-Business, Vlan108)
Cada um de nossos usuários pode precisar usar o logon do Windows para se autenticar na rede sem fio, mas deve ter acesso apenas a determinados serviços. Alguns exemplos:
- Usuário1: faça login usando credenciais do Windows usando telefone VoIP no SSID-Voice e só pode acessar a rede de voz deste telefone
- Usuário1: faça login usando credenciais do Windows usando o Laptop no SSID-Business e só pode acessar os sites de contabilidade do laptop
- Usuário1: Faça login usando credenciais do Windows usando telefone celular no SSID-Internet e só pode acessar a Internet através de um proxy.
- Usuário2: faça login usando credenciais do Windows usando telefone VoIP no SSID-Voice e só pode acessar a rede de voz pelo telefone
- Usuário2: faça login usando credenciais do Windows usando o scanner de código de barras no SSID-Business e só pode acessar os sites de inventário a partir do scanner de código de barras
- Usuário2: Faça login usando credenciais do Windows usando telefone celular no SSID-Internet e só pode acessar a Internet através de um proxy.
Todo usuário deve poder fazer login com seu telefone celular no SSID-Internet e o telefone wifi no SSID-Voice. Isso parece fácil se usarmos a filtragem de endereços mac. Usaremos um firewall para garantir que os usuários nos Vlans não ultrapassem seus limites de acesso.
O problema é que não queremos criar muitos SSIDs, portanto, o número de diferentes Vlans para SSID-Business é difícil. Queremos atribuir usuários a vários Vlans diferentes quando eles acessam o SSID-Business. O Cisco ISE e o Cisco ACS podem fazer isso? Em caso afirmativo, quais recursos precisamos usar no Cisco ISE, Cisco ACS e WLC? Todas essas funções podem funcionar se tivermos apenas um nome de usuário do Windows por usuário?
Nosso WLC é um 5508 rodando 7.4. Temos o Cisco ACS 5 e o Cisco ISE 1.2.
Respostas:
Se você não precisar confundir seus usuários com várias VLANs, não faça isso. Aproveite as ferramentas que você possui. Você mencionou que possui o ISE e deve poder fazer tudo isso com um SSID. Como o AdnanG já mencionado, você pode utilizar os recursos de criação de perfil do ISE para classificar os dispositivos.
Seu ACS deve ser capaz de vincular a autenticação do MS AD e fornecer informações de autenticação e grupo de usuários.
A partir daí, você só precisa combinar o usuário / grupos com os perfis do dispositivo e depois vinculá-lo a uma VLAN. Assim, por exemplo, se o dispositivo é identificado como um telefone celular e o usuário faz parte do "grupo A", então é colocado na VLAN do "grupo A - internet".
Eu não fiz isso pessoalmente com o ISE, por isso não posso dar as etapas exatas, mas é assim que o marketing da Cisco está vendendo o ISE no espaço BYOD. Também conheço várias pessoas que fizeram configurações semelhantes às sugeridas. Eu começaria examinando este documento BYOD da Cisco que forneceria uma visão geral de como o BYOD é feito com o Cisco ISE.
fonte
O Cisco Identitiy SErvices Engine (ISE) pode fazer exatamente o que você está procurando. O recurso é chamado de "criação de perfil" em seus dispositivos de rede. O Cisco ACS será usado para autenticação e integração com o Active Directory. Observe que, para alcançar o que você está procurando, pode ser necessário um conjunto de dispositivos na estrutura da sua rede. esteO link tem uma visão geral da solução que lhe dará uma melhor compreensão do que você precisa. Consulte a seção 'Componentes de implantação' para obter uma idéia do que é necessário para criar um perfil. A solução pode parecer complicada, mas tudo depende da sua implantação. Se seria errado comprar alguns dispositivos, pensando que será suficiente para fornecer a funcionalidade que você está procurando. As soluções da Cisco geralmente envolvem muitos componentes e devem ser cuidadosamente planejadas.
fonte
Uma solução seria aplicar 802.11x nos pontos de acesso sem fio (RADIUS) e integrar a autenticação para isso via LDAP com o Windows; somente os usuários com nome de usuário e senha do Windows poderão acessar os pontos de acesso.
A vantagem disso é que o servidor Windows pode controlar o que pode ser acessado com base nos detalhes de login do usuário usando a diretiva de grupo, permissões de segurança no Active Directory etc.
Mas essa solução tem duas camadas, o pessoal do Windows precisa entender como isso vai funcionar e o lado da rede também precisa ser configurado.
O pôster anterior também mencionou o Cisco Identity Services Engine (ISE), que também funcionaria. Depende realmente da sua configuração
fonte