在ISE上配置基于SSID的策略-先决条件.pdfVIP

在ISE 上配置基于SSID 的策略 介绍 本文档介绍了如何在思科身份服务引擎（ISE）上配置授权策略来区分不同的服务集标识符 （SSID ）。对于有多个SSID 的机构，可在无线网络中用于各种目的，这很常见。最常见的用 途之一是分别为公司员工和访客设置不同的SSID 。 本指南假定： 1.无线控制器已经将涉及的所有SSID 设置好并正常工作。 2.所有SSID 的认证服务器均指向ISE。 先决条件 要求 本文档有没有具体的要求。 使用的组件 本文中的信息基于下列软件和硬件版本： *无线控制器版本 *身份服务引擎版本 45 早期版本也均支持这些功能。 本文档中的资料是从一个特定实验室环境中的设备上生成的。本文档中使用的所有设备以缺 省（默认）配置开始配置。如果您的网络是正在使用的生产系统，请确保您了解所有命令带 来的潜在影响。 配置 本文档使用以下配置： *方法1：通过Airespace-Wlan-Id *方法2：通过Called-Station-ID 在一个时间只有一个配置方法被使用。如果两个配置同时实现，ISE 的处理负载会增加并影 响规则的可读性。本文档描述了每个配置方法的优点和缺点。 方法1：通过Airespace-WLAN-ID 每一个无线局域网（WLAN ）在无线控制器上创建都具有一个WLAN ID 。WLAN 摘要页面上 将显示WLAN ID 。 当一个客户端连接SSID 时，发送到ISE 的RADIUS 请求包含Airespace-WLAN-ID 属性。这个简 单的属性可以让ISE 用来做出决策。此属性的一个缺点是如果多个无线控制器之间的 WLAN ID 与SSID 不匹配就需要使用方法2。 在这种情况下，Airespace-Wlan-Id 用来作为一个条件。它可以被用来作为一个简单条件（本 身）或复合条件（结合其他属性）以实现期望的结果。本文档涵盖了两个用例。根据以上两 个SSID，两个规则可以被创建： A)访客用户必须登录到访客SSID 。 B)企业用户必须是在活动目录 （AD ）组中的“域用户”，必须登录到企业的SSID 。 规则A 规则A 只有一个要求，你就可以建立一个简单条件（根据上面的值）： 1.在ISE 界面Policy Policy Elements Conditions Authorization Simple Conditions 创建一个 新的条件。 2.在“名称”字段中输入一个条件名称 3.在 “说明”字段中输入说明（可选）。 4.从“属性”下拉列表中选择Airespace Airespace-Wlan-Id--[1]。 5.从操作下拉列表中选取等于。 6.从“值”下拉列表中选择2。 7.点击“保存”。 规则B 规则B 有两个要求，所以你可以建立一个复合条件（根据上面的值）： 1.在ISE 界面Policy Policy Elements Conditions Authorization Compound Conditions 创建 一个新的条件。 2.在“名称”字段中输入一个条件名称。 3.在 “说明”字段中输入说明（可选）。 4.选择创建新条件（高级选项）。 5.从“属性”下拉列表中选择Airespace Airespace-Wlan-Id--[1]。 6.从操作下拉列表中选取等于。 7.从“值”下拉列表中选择1。 8.点击右侧齿轮选择“添加属性/值”。 9.从“属性”下拉列表中选择AD1 External Groups 。 10.从操作下拉列表中选取等于。 11.从“值”下拉列表中选择所需的群组。在这个例子中，它被设置为域用户（Domain Users）。 12.点击“保存”。 注：在本文档中，我们使用简单的授权配置文件，在 Policy Policy Elements Results Authorization Authorization Profiles 界面进行配置。它们被设置为允许访问，但可以调整以 适应您的部署的需求。 现在，我们设置了条件，然后就可以将它们应用到授权策略。转至Policy Authorizatio。确 定在何处插入列表中的规则或编辑现有的规则。 访客的规则 1.点击现有规则右侧的向下箭头以插入一个新的规则。 2.为你的访客规则输入一个名称并配置身份组字段为Any 。 3.在条件下点击加号，然后单击从库中选择现有条件。 4.在条件名称下选择简单条件 GuestSSID 。