مراجعة سياسات ISE استنادا إلى أمثلة تكوين SSID
المقدمة
يصف هذا المستند كيفية تكوين سياسات التخويل في Cisco ISE للتمييز بين معرفات مجموعات الخدمات (SSIDs) المختلفة.
المتطلبات
يفترض هذا الدليل ما يلي:
1) تم إعداد وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) وهي تعمل لجميع SSIDs المعنية.
2) تعمل المصادقة على جميع SSID المعنية مقابل ISE.
وحدة تحكم الشبكة المحلية (LAN) اللاسلكية الإصدار 7.3.101.0
تحديد محرك الخدمات الإصدار 1.1.2.145
تتضمن الإصدارات السابقة أيضا كل من هذه الميزات.
يتم إستخدام طريقة تكوين واحدة فقط في كل مرة. وإذا تم تنفيذ كلا التكوينين في نفس الوقت، فإن المبلغ الذي تتم معالجته بواسطة معيار ISE يزيد ويؤثر على إمكانية قراءة القاعدة. يراجع هذا وثيقة المزايا والعيوب من كل تشكيل طريقة.
معلومات أساسية
من الشائع جدا أن يكون في المؤسسة عدة SSIDs في شبكتهم اللاسلكية لأغراض مختلفة. أحد أكثر الأغراض شيوعا هو وجود SSID للشركة للموظفين و SSID ضيف للزائرين في المؤسسة.
الطريقة 1: Airespace-WLAN-id
تحتوي كل شبكة محلية لاسلكية (WLAN) تم إنشاؤها على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) على معرف شبكة محلية لاسلكية (WLAN). يتم عرض معرف WLAN في صفحة ملخص WLAN.
عندما يتصل عميل ب SSID، يحتوي طلب RADIUS إلى ISE على سمة Airespace-WLAN-ID. يتم إستخدام هذه السمة البسيطة لاتخاذ قرارات النهج في ISE. يتمثل أحد عيوب هذه السمة في حالة عدم تطابق معرف الشبكة المحلية اللاسلكية (WLAN) مع توزيع SSID عبر وحدات تحكم متعددة. إذا كان هذا يصف عملية النشر الخاصة بك، فاتابع إلى الأسلوب 2.
في هذه الحالة، استعملت Airespace-wlan-id كشرط. يمكن إستخدامه كشرط بسيط (بحد ذاته) أو في حالة مركبة (بالاشتراك مع سمة أخرى) لتحقيق النتيجة المطلوبة. يغطي هذا المستند كلا من حالات الاستخدام. يمكن إنشاء هاتين القاعدتين مع وجود نوعي SSIDs أعلاه.
أ) يجب على المستخدمين الضيوف تسجيل الدخول إلى SSID للضيف.
ب) يجب أن يكون المستخدمون المشتركون ضمن مجموعة "مستخدمي المجال" في خدمة Active Directory (AD) ويجب عليهم تسجيل الدخول إلى SSID الخاصة بالشركة.
القاعدة ألف
القاعدة أ لها متطلب واحد فقط، لذلك يمكنك بناء شرط بسيط (بناء على القيم أعلاه):
1) في ISE، انتقل إلى السياسة > عناصر السياسة > الشروط > التفويض > الشروط البسيطة وقم بإنشاء شرط جديد.
2) في حقل الاسم، أدخل اسم الشرط.
3) في حقل الوصف، أدخل وصفا (إختياري).
4) من القائمة المنسدلة سمة، أختر Airespace > Airespace-WLAN-ID—[1].
5) من القائمة المنسدلة المشغل، أختر يساوي.
6) من القائمة المنسدلة "القيمة"، أختر 2.
7) انقر فوق حفظ.
القاعدة باء
القاعدة ب لها متطلبان، بحيث يمكنك بناء حالة مركبة (بناء على القيم أعلاه):
1) في ISE، انتقل إلى السياسة > عناصر السياسة > الشروط > التخويل > الشروط المركبة وقم بإنشاء شرط جديد.
2) في حقل الاسم، أدخل اسم الشرط.
3) في حقل الوصف، أدخل وصفا (إختياري).
4) أختر إنشاء شرط جديد (خيار متقدم).
5) من القائمة المنسدلة سمة، أختر Airespace > Airespace-WLAN-ID—[1].
6) من القائمة المنسدلة المشغل، أختر يساوي.
7) من القائمة المنسدلة "القيمة"، أختر 1.
9) من القائمة المنسدلة سمة، أختر AD1 > المجموعات الخارجية.
10) من القائمة المنسدلة المشغل، أختر يساوي.
11) من القائمة المنسدلة "القيمة"، حدد المجموعة المطلوبة. في هذا المثال، يتم تعيينها على مستخدمي المجال.
12) انقر فوق حفظ.
ملاحظة: في هذا المستند، نستخدم توصيفات تخويل بسيطة مكونة في إطار السياسة > عناصر السياسة > النتائج > التخويل > توصيفات التخويل. وهي مصممة للسماح بالوصول، ولكن يمكن تكييفها لتلائم إحتياجات عملية النشر لديك.
الآن بعد أن أصبحت لدينا الشروط، يمكننا تطبيقها على نهج التخويل. انتقل إلى السياسة > التخويل. حدد مكان إدراج القاعدة في القائمة أو تحرير القاعدة الموجودة.
قاعدة الضيف
1) انقر فوق السهم لأسفل الموجود على يمين القاعدة الموجودة واختر إدراج قاعدة جديدة.
2) أدخل اسما لقاعدة الضيف الخاصة بك واترك حقل مجموعات الهوية معين على أي.
3) تحت شروط، انقر فوق علامة الجمع وانقر فوق تحديد حالة موجودة من المكتبة.
4) تحت اسم الشرط، أختر شرط بسيط > GuestSSID.
5) بموجب الأذونات، أختر ملف تعريف التخويل المناسب للمستخدمين الضيوف.
6) انقر فوق تم.
قاعدة الشركة
1) انقر فوق السهم لأسفل الموجود على يمين القاعدة الموجودة واختر إدراج قاعدة جديدة.
2) أدخل اسما لقاعدة الشركة وترك حقل مجموعات الهوية معينا إلى أي.
3) تحت شروط، انقر فوق علامة الجمع وانقر فوق تحديد حالة موجودة من المكتبة.
4) تحت اسم الشرط، أختر شرط مركب > CorporateSSID.
5) بموجب الأذونات، أختر ملف تعريف التخويل المناسب للمستخدمين في شركتك.
6) انقر فوق تم.
ملاحظة: حتى تنقر فوق "حفظ" في أسفل قائمة النهج، لا يتم تطبيق أي تغييرات تم إجراؤها على هذه الشاشة على عملية النشر الخاصة بك.
الطريقة 2: Call-Station-ID
يمكن تكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) لإرسال اسم SSID في سمة RADIUS Call-Station-ID، والتي يمكن إستخدامها بدورها كشرط في ISE. ميزة هذه السمة هي أنه يمكن إستخدامها بغض النظر عما تم تعيين معرف WLAN عليه على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). لا تقوم عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) بإرسال SSID في سمة Call-Station-ID بشكل افتراضي. لتمكين هذه الميزة على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، انتقل إلى الأمان > AAA > RADIUS > المصادقة واضبط نوع معرف محطة الاتصال على عنوان AP MAC:SSID. يعمل هذا على تعيين تنسيق معرف المحطة المستدعى إلى <MAC لنقطة الوصول التي يتصل بها المستخدم>:<اسم SSID>.
يمكنك مشاهدة اسم SSID الذي سيتم إرساله من صفحة ملخص WLAN.
ونظرا لأن سمة Call-Station-ID تحتوي أيضا على عنوان MAC لنقطة الوصول، يتم إستخدام تعبير عادي (REGEX) لمطابقة اسم SSID في نهج ISE. يمكن للعامل 'Match' في تكوين الشرط قراءة REGEX من حقل القيمة.
أمثلة Regex
'يبدأ ب'- على سبيل المثال، أستخدم قيمة regex الخاصة ب ^(ACME).*— تم تكوين هذا الشرط ك CERTIFICATE:تطابق المؤسسة 'ACME' (أي تطابق مع شرط يبدأ ب "ACME").
'ينتهي ب'- على سبيل المثال، إستخدام قيمة REGEX ل. *(mktg)$- يتم تكوين هذا الشرط ك CERTIFICATE:Organization تطابق 'mktg' (أي تطابق مع شرط ينتهي ب "mktg").
'contains'—على سبيل المثال، أستخدم قيمة regex ل .*(1234).*— تم تكوين هذا الشرط ك CERTIFICATE:Organization تطابق '1234' (أي تطابق مع شرط يحتوي على "1234"، مثل Eng1234 و 1234Dev و Corp1234MKTG).
'لا تبدأ ب'- على سبيل المثال، إستخدام قيمة REGEX الخاصة ب ^(؟!LDAP).*- تم تكوين هذا الشرط ك CERTIFICATE:Organization تطابق 'LDAP' (أي تطابق مع شرط لا يبدأ ب "LDAP"، مثل USldap أو CorpLDAPmktg).
ينتهي Call-Station-ID باسم SSID، لذلك فإن regex المطلوب إستخدامه في هذا المثال هو .*(:<SSID Name>)$. ضع هذا في الاعتبار عند إجراء التكوين.
مع وجود نوعي SSID أعلاه، يمكنك إنشاء قاعدتين مع هذه المتطلبات:
أ) يجب على المستخدمين الضيوف تسجيل الدخول إلى SSID للضيف.
(ب) يجب أن يكون المستخدمون من الشركات في المجموعة AD "مستخدمو المجال" ويجب أن يسجلوا الدخول إلى SSID للشركة.
القاعدة ألف
القاعدة أ لها متطلب واحد فقط، لذلك يمكنك بناء شرط بسيط (بناء على القيم أعلاه):
1) في ISE، انتقل إلى السياسة > عناصر السياسة > الشروط > التفويض > الشروط البسيطة وقم بإنشاء شرط جديد.
2) في حقل الاسم، أدخل اسم الشرط.
3) في حقل الوصف، أدخل وصفا (إختياري).
4) من القائمة المنسدلة سمة، أختر RADIUS > Call-Station-ID—[30].
5) من القائمة المنسدلة المشغل، أختر تطابقات.
6) من القائمة المنسدلة القيمة، أختر .*(:Guest)$. هذا حساس لحالة الأحرف.
7) انقر فوق حفظ.
القاعدة باء
القاعدة ب لها متطلبان، بحيث يمكنك بناء حالة مركبة (بناء على القيم أعلاه):
1) في ISE، انتقل إلى السياسة > عناصر السياسة > الشروط > التخويل > الشروط المركبة وقم بإنشاء شرط جديد.
2) في حقل الاسم، أدخل اسم الشرط.
3) في حقل الوصف، أدخل وصفا (إختياري).
4) أختر إنشاء شرط جديد (خيار متقدم).
5) من القائمة المنسدلة سمة، أختر RADIUS > Call-Station-ID—[30].
6) من القائمة المنسدلة المشغل، أختر تطابقات.
7) من القائمة المنسدلة القيمة، أختر .*(:الشركة)$. هذا حساس لحالة الأحرف.
9) من القائمة المنسدلة سمة، أختر AD1 > المجموعات الخارجية.
10) من القائمة المنسدلة المشغل، أختر يساوي.
11) من القائمة المنسدلة "القيمة"، حدد المجموعة المطلوبة. في هذا المثال، يتم تعيينها على مستخدمي المجال.
12) انقر فوق حفظ.
ملاحظة: في هذا المستند كله، نستخدم توصيفات تفويض بسيطة تم تكوينها في إطار السياسة > عناصر السياسة > النتائج > التخويل > توصيفات التخويل. وهي مصممة للسماح بالوصول، ولكن يمكن تكييفها لتلائم إحتياجات عملية النشر لديك.
الآن بعد تكوين الشروط، قم بتطبيقها على نهج التخويل. انتقل إلى السياسة > التخويل. قم بإدراج القاعدة في القائمة في الموقع المناسب أو تحرير قاعدة موجودة.
قاعدة الضيف
1) انقر فوق السهم لأسفل الموجود على يمين القاعدة الموجودة واختر إدراج قاعدة جديدة.
2) أدخل اسما لقاعدة الضيف الخاصة بك واترك حقل مجموعات الهوية معين على أي.
3) تحت شروط، انقر فوق علامة الجمع وانقر فوق تحديد حالة موجودة من المكتبة.
4) تحت اسم الشرط، أختر شرط بسيط > GuestSSID.
5) بموجب الأذونات، أختر ملف تعريف التخويل المناسب للمستخدمين الضيوف.
6) انقر فوق تم.
قاعدة الشركة
1) انقر فوق السهم لأسفل الموجود على يمين القاعدة الموجودة واختر إدراج قاعدة جديدة.
2) أدخل اسما لقاعدة الشركة وترك حقل مجموعات الهوية معينا إلى أي.
3) تحت شروط، انقر فوق علامة الجمع وانقر فوق تحديد حالة موجودة من المكتبة.
4) تحت اسم الشرط، أختر شرط مركب > CorporateSSID.
5) بموجب الأذونات، أختر ملف تعريف التخويل المناسب للمستخدمين في شركتك.
6) انقر فوق تم.
7) انقر فوق حفظ" في أسفل قائمة السياسات.
ملاحظة: حتى تنقر فوق "حفظ" في أسفل قائمة النهج، لا يتم تطبيق أي تغييرات تم إجراؤها على هذه الشاشة على عملية النشر الخاصة بك.
استكشاف الأخطاء وإصلاحها
لمعرفة ما إذا تم إنشاء النهج بشكل صحيح والتأكد من أن ISE يتلقى السمات الصحيحة، راجع تقرير المصادقة التفصيلي لمصادقة تم تمريرها أو فشلت للمستخدم. أختر عمليات > مصادقة ثم انقر على رمز التفاصيل لمصادقة ما.
تحقق أولا من ملخص المصادقة. وهذا يوضح أساسيات المصادقة التي تتضمن ما تم توفيره من ملف تعريف التخويل للمستخدم.
إذا كان النهج غير صحيح، تظهر تفاصيل المصادقة ما تم إرساله من Airespace-WLAN-ID وما تم إرساله من عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). عدل القواعد وفقا لذلك. تؤكد "قاعدة نهج التخويل المطابقة" ما إذا كانت المصادقة مطابقة للقاعدة المقصودة أم لا.
عادة ما تكون هذه القواعد سيئة التكوين. للكشف عن مشكلة التكوين، قم بمطابقة القاعدة مقابل ما يظهر في تفاصيل المصادقة. إذا لم ترى السمات في حقل سمات أخرى، تأكد من تكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) بشكل صحيح.
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
19-Dec-2012 |
الإصدار الأولي |
التعليقات