根据ssid配置示例的ise策略.pdfVIP

根据SSID配置示例的ISE策略 目录 简介 先决条件 要求 使用的组件 规则 配置 配置 验证 故障排除 相关信息 简介 本文在思科身份服务引擎(ISE)方面描述如何配置授权策略区分区别服务集标识符(Ssid)之间。它是 非常普通为了组织能有在他们的无线网络的多个SSID多种目的。其中一个最普通的目的是有员工的 一公司SSID和访客的一访客SSID对组织。 此指南假设那： 1. 无线局域网控制器(WLC)设置并且为介入的所有Ssid工作。 2. 验证在所有Ssid工作介入ISE。 其他文档此系列 与交换机和身份服务引擎配置示例的中央Web验证 在WLC和ISE配置示例的中央Web验证 ISE RADIUS/802.1x身份验证配置示例的访客帐户 线型VPN摆姿势使用iPEP ISE和ASA 先决条件 要求 本文档没有任何特定的要求。 使用的组件 本文档中的信息基于以下软件和硬件版本： 无线局域网控制器版本7.3.101.0 身份服务引擎版本1.1.2.145 更早版本也有这两个功能。 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 配置 本部分提供有关如何配置本文档所述功能的信息。 注意： 使用命令查找工具 （仅限注册用户 ）可获取有关本部分所使用命令的详细信息。 配置 本文档使用以下配置： 方法 1：Airespace WLAN Id 方法 2：被呼叫状态ID 仅应该每次使用一个配置方法。如果两配置同时实现， ISE处理的数量增加，并且影响规定可读性 。此本文探讨了每个配置方法优点和缺点。 方法 1：Airespace WLAN Id 在WLC (WLAN)创建的每个无线局域网有WLAN ID。WLAN ID在WLAN汇总页显示。 当客户端连接对SSID时，对ISE的RADIUS请求包含Airespace-WLAN-Id属性。此简单属性用于做出 在ISE的政策决策。如果WLAN ID在多个控制器间，被传播的SSID不配比对此属性的一个缺点是。 如果这描述您的部署，请继续对方法2。 在这种情况下， Airespace WLAN Id使用作为情况。它可以用于作为一个单纯条件(单独)或在一个 复合条件(与另一个属性一道)取得预期结果。本文包括两个使用案件。使用以上两的Ssid，这两个 规则可以创建。 A) 来宾用户必须登录到访客SSID。 B) 集群用户必须是在激活目录(AD)组“域用户”中并且必须登录到公司SSID。 规定A 规定A有一个需求，因此您能建立一个单纯条件(根据以上的值) ： 1. 在ISE，去策略Policy元素情况授权单纯条件并且创造新的条件。 2. 在Name字段，请输入条件名 3. 在说明字段，请输入说明(可选)。 4. 从属性下拉列表，请选择Airespace Airespace WLAN Id[1] 。 5. 从操作员下拉列表，请选择等于。 6. 从值下拉式列表，请选择2。 7. 单击 Save。 规定B 规则B有两个需求，因此您能建立一个复合条件(根据以上的值) ： 1. 在ISE，去策略Policy元素情况授权复合条件并且创造新的条件。 2. 在Name字段，请输入条件名。 3. 在说明字段，请输入说明(可选)。 4. 选择创造新的条件(预先的选项)。 5. 从属性下拉列表，请选择Airespace Airespace WLAN Id[1] 。 6. 从操作员下拉列表，请选择等于。 7. 从值下拉式列表，请选择1。 8. 单击齿轮在右边并且选择添加属性/值。 9. 从属性下拉列表，请选择AD1 外部组 。 10. 从操作员下拉列表，请选择等于。 11. 从值下拉式列表，请选择需要的组。在本例中，它设置为域用户。 12. 单击 Save。 注意： 在本文中我们使用简单授权配置文件配置在策略Policy元素结果授权授权配置文件下。 他们设置允许访问，但是可以适应适合您的部署的需要。 即然我们有条件，我们能应用他们到授权策略。去策略授权。在哪里确定插入在列表的规则或编辑 您的现有规则。 访客规则 1. 在一个现有规则右边单击下箭头并且选择插入新规则。 2. 输入一名称对于您的访客规则并且留下标识组字