소개
이 문서에서는 위치 기반 권한 부여를 위해 MSE(Mobility Service Engine)를 ISE(Identity Services Engine)와 통합하는 방법을 시연합니다. 그 목적은 물리적 위치에 따라 무선 장치에 대한 액세스를 허용하거나 거부하는 것입니다.
사전 요구 사항
솔루션의 요구 사항 및 토폴로지
MSE 컨피그레이션은 이 문서에서 다루지 않지만, 일반적인 솔루션 개념은 다음과 같습니다.
-MSE는 구성, 맵 생성 및 WLC 할당을 위해 Prime Infrastructure(이전의 NCS)에서 관리합니다.
-MSE는 NMSP 프로토콜을 사용하여 WLC(Wireless LAN Controller)와 통신합니다(Prime에서 할당한 후). 이는 연결된 클라이언트의 AP당 수신된 RSSI(Received Signal Strength)에 대한 정보를 기본적으로 제공하며, 이를 통해 MSE가 해당 위치를 계산할 수 있습니다.
기본 단계:
먼저 PI(Prime Infrastructure)에서 맵을 정의하고 이 맵에 커버리지 영역을 설정한 다음 AP를 배치해야 합니다.
prime에 MSE를 추가할 때 CAS 서비스를 선택합니다.
MSE가 추가되면 prime에서 sync services(동기화 서비스)를 선택하고 WLC 및 맵을 확인하여 MSE에 할당합니다.
MSE를 ISE와 통합하기 전에 MSE가 실행 중이어야 합니다. 즉,
- MSE를 Prime Infrastructure에 추가하고 서비스를 동기화해야 함
- CAS 서비스를 활성화하고 무선 클라이언트 추적을 활성화해야 합니다.
- Prime에서 맵을 구성해야 합니다.
- MSE와 WLC 간에 NMSP가 성공해야 합니다(WLC 명령줄에서 "show nmsp status").
이 설정에서는 2개 층의 빌딩이 하나만 있습니다.
사용되는 구성 요소
- MSE 버전 8.0.110
- ISE 버전 2.0
ISE와 MSE 통합
Network Resources, Location Services(네트워크 리소스, 위치 서비스)로 이동하고 add(추가)를 클릭하여 MSE를 추가합니다.
매개변수는 자체 설명이며, 연결을 테스트하고 mac 주소별 클라이언트 위치 조회를 수행할 수 있습니다.
다음으로 할 일은 위치 트리로 이동하여 Get Update(업데이트 가져오기)를 클릭하는 것입니다. 이렇게 하면 ISE가 MSE에서 건물 및 바닥을 가져오고 AD 그룹을 추가할 때와 마찬가지로 ISE에서 사용할 수 있게 됩니다.
권한 부여 설정
이제 MSE:Map Location 특성을 권한 부여 정책에서 사용할 수 있습니다.
아래 2개의 규칙을 구성합니다.
Floor1의 사용자는 인증할 수 있어야 합니다.
인증 세부 사항에서 올바른 프로필과 MAP Location 특성을 확인합니다
위 컨피그레이션을 사용하면 엔드포인트가 한 영역에서 다른 영역으로 이동하는 경우 엔드포인트의 인증이 취소되지 않습니다. 사용자 이동을 추적하고 권한 부여 변경 시 CoA를 전송하려는 경우 권한 부여 프로파일에서 추적 옵션을 활성화할 수 있습니다. 이 옵션은 5분마다 위치 변경을 확인합니다. 이는 정상적인 빠른 로밍 작업에 지장을 줄 수 있습니다.
문제 해결
이 기능에서는 ISE 컨피그레이션이 간단하지만 MSE에서 디바이스를 찾을 수 없는 경우 대부분의 문제가 발생할 수 있습니다.
MSE가 올바르게 설정되었는지 확인하기 위해 몇 가지 확인할 사항은 다음과 같습니다.
1- 사용자가 연결된 WLC에 MSE ISE에 대한 유효한 NMSP 연결이 다음과같이 통합되었는지 확인합니다.
(b2504) >show nmsp status
MSE IP Address Tx Echo Resp Rx Echo Req Tx Data Rx Data
-------------- ------------ ----------- ------- -------
10.48.39.241 3711 3711 15481 7
그렇지 않은 경우 이 문서는
http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Borderless_Networks/Unified_Access/CMX/CMX_Troubleshooting.pdf
2- MSE에서 디바이스를 추적할 수 있는지 확인
[root@loc-server ~]# service msed status
...
-------------
Context Aware Service
-------------
Total Active Elements(Wireless Clients, Tags, Rogue APs, Rogue Clients, Interferers, Wired Clients): 29
Active Wireless Clients: 29
Active Tags: 0
Active Rogue APs: 0
Active Rogue Clients: 0