Inleiding
Dit artikel laat zien hoe u MSE (Mobility Service Engine) kunt integreren met Identity Services Engine (ISE) voor locatiegebaseerde autorisatie. Het doel is toegang tot draadloze apparaten te verlenen of te weigeren op basis van hun fysieke locatie.
Voorwaarden
Vereisten en topologie van de oplossing
Hoewel MSE Configuration buiten het bereik van dit document valt, is hier een algemeen concept van de oplossing:
-MSE wordt beheerd door Prime Infrastructure (voorheen NCS) voor configuratie, kaartencreatie en WLC-toewijzing
-MSE communiceert met de draadloze LAN-controller (WLC) (nadat deze door Prime aan deze controller is toegewezen) via NMSP Protocol. Dit geeft in feite informatie over de ontvangen signaalsterkte (RSSI) die per AP wordt ontvangen voor verbonden cliënten, wat MSE in staat stelt om hun locatie te berekenen.
Basisstappen om dat te doen:
Eerst moet u een kaart op Prime Infrastructure (PI) definiëren, dekkingsgebied op deze kaart instellen en de AP's plaatsen.
Wanneer u MSE aan priem toevoegt, kies CAS-dienst.
Zodra MSE is toegevoegd, kies in eerste instantie synchronisatieservices en controleer uw WLC / en kaarten om ze toe te wijzen aan de MSE.
Voorafgaand aan de integratie van MSE met ISE moet MSE actief zijn, dat betekent:
- MSE moet worden toegevoegd aan Prime Infrastructure, en services gesynchroniseerd
- CAS-service moet worden ingeschakeld en het volgen van draadloze clients moet worden ingeschakeld
- De kaarten moeten in Prime worden geconfigureerd
- NMSP moet succesvol zijn tussen MSE en WLC’s ("toon nmsp status" op de WLC-opdrachtregel)
In deze opzet, zal er slechts één gebouw met 2 verdiepingen:
Gebruikte componenten
- MSE versie 8.0.110
- ISE-versie 2.0
MSE integreren met ISE
Ga naar Network Resources, Location Services en klik op Add om MSE toe te voegen.
Parameters zijn zelfverklarend, en je kunt verbinding testen, en ook client locatie lookup op mac adres:
Volgende ding om te doen, is om naar de boom van de Plaats te gaan, en de klik krijgt Update. Hierdoor kan ISE gebouwen en vloeren uit MSE halen en beschikbaar maken in ISE, vergelijkbaar met wanneer u AD-groepen toevoegt.
Installatie van autorisatie
De kenmerken MSE:Map Location kan nu worden gebruikt in autorisatiebeleid.
Configureer de 2 onderstaande regels:
Gebruikers in Floor1 zouden moeten kunnen authenticeren.
We zien in de verificatiedetails het juiste profiel, evenals MAP Location attribuut
Met de bovenstaande configuratie, als het eindpunt zich van de ene zone naar de andere verplaatst, wordt dit niet gedeauthenticeerd. Als u de gebruikersbeweging wilt volgen en een CoA wilt verzenden als de autorisatie wordt gewijzigd, kunt u de traceringsoptie inschakelen in het autorisatieprofiel, dat elke 5 minuten zal controleren of de locatie verandert. Merk op dat dit verstorend kan werken voor normale snelle roaming operaties.
Probleemoplossing
Voor deze functie is de ISE-configuratie eenvoudig, maar de meeste problemen kunnen zich voordoen als MSE niet in staat is om het apparaat te vinden.
Een paar dingen om te controleren of MSE goed is geïnstalleerd:
1- Zorg ervoor dat de WLC waar de gebruiker is aangesloten een geldige NMSP-verbinding heeft met de MSE ISE geïntegreerd is met:
(b2504) >show nmsp status
MSE IP Address Tx Echo Resp Rx Echo Req Tx Data Rx Data
-------------- ------------ ----------- ------- -------
10.48.39.241 3711 3711 15481 7
Als dit niet het geval is, kan dit document u helpen
http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Borderless_Networks/Unified_Access/CMX/CMX_Troubleshooting.pdf
2- Controleer of MSE apparaten kan volgen
[root@loc-server ~]# service msed status
...
-------------
Context Aware Service
-------------
Total Active Elements(Wireless Clients, Tags, Rogue APs, Rogue Clients, Interferers, Wired Clients): 29
Active Wireless Clients: 29
Active Tags: 0
Active Rogue APs: 0
Active Rogue Clients: 0