Autorizzazione basata sulla posizione con Mobility Services Engine (MSE) e Identity Services Engine (ISE) ISE 2.0

Opzioni per il download

  • PDF     (716.2 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (724.9 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (518.8 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:5 settembre 2015
ID documento:200196

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

In questo articolo verrà illustrato come integrare MSE (Mobility Service Engine) con Identity Services Engine (ISE) per l'autorizzazione basata sulla posizione. Lo scopo è quello di consentire o negare l'accesso ai dispositivi wireless in base alla loro posizione fisica.

Prerequisiti

Requisiti e topologia della soluzione

Sebbene la configurazione di MSE non rientri nell'ambito di questo documento, di seguito viene illustrato il concetto generale della soluzione:

-MSE è gestito da Prime Infrastructure (in precedenza NCS) per la configurazione, la creazione di mappe e l'assegnazione WLC

-MSE comunica con il controller WLC (Wireless LAN Controller) (dopo essere stato assegnato da Prime) utilizzando il protocollo NMSP. In questo modo vengono fornite informazioni sulla forza del segnale ricevuto (RSSI, Received Signal Strength) ricevuta per ogni access point per i client connessi, che consente a MSE di calcolare la propria posizione.

Operazioni di base:

Innanzitutto è necessario definire una mappa su Prime Infrastructure (PI), impostare l'area di copertura su questa mappa e posizionare i punti di accesso.

Quando si aggiunge MSE a prime, scegliere il servizio CAS.

Una volta aggiunto MSE, in prime, scegliere i servizi di sincronizzazione e controllare il WLC / e le mappe per assegnarli al MSE.

200196-Location-based-authorization-with-Mobili-00.gif

Prima di integrare MSE con ISE, MSE deve essere operativo, ovvero:

  1. È necessario aggiungere MSE a Prime Infrastructure e sincronizzare i servizi
  2. Il servizio CAS deve essere abilitato e deve essere abilitato il monitoraggio dei client wireless
  3. Le mappe devono essere configurate in Prime
  4. L'NMSP deve avere esito positivo tra MSE e WLC ("show nmsp status" sulla riga di comando del WLC)

In questa struttura, ci sarà un solo edificio con 2 piani:

200196-Location-based-authorization-with-Mobili-01.png

Componenti usati

  • MSE versione 8.0.110
  • ISE versione 2.0

Integrazione di MSE con ISE

Andare a Risorse di rete, Servizi percorso e fare clic su Aggiungi per aggiungere MSE.

I parametri sono di immediata comprensione ed è possibile testare la connessione e anche la ricerca della posizione del client per indirizzo mac:

200196-Location-based-authorization-with-Mobili-02.png

Passare alla struttura ad albero Posizione e fare clic su Recupera aggiornamento. Ciò consentirà ad ISE di recuperare gli edifici e il pavimento da MSE e di renderli disponibili in ISE, come quando si aggiungono gruppi AD.

200196-Location-based-authorization-with-Mobili-03.png

Impostazione dell'autorizzazione

È ora possibile utilizzare gli attributi MSE:Map Location nei criteri di autorizzazione.

Configurare le due regole seguenti:


200196-Location-based-authorization-with-Mobili-04.png

Gli utenti di Floor1 devono essere in grado di eseguire l'autenticazione.

Nei dettagli di autenticazione vengono visualizzati il profilo corretto e l'attributo di posizione MAP


200196-Location-based-authorization-with-Mobili-05.png

200196-Location-based-authorization-with-Mobili-06.png

Con la configurazione precedente, se l'endpoint si sposta da una zona all'altra, non verrà deautenticato. Se si desidera tenere traccia dei movimenti degli utenti e inviare un CoA se l'autorizzazione viene modificata, è possibile attivare l'opzione di verifica nel profilo di autorizzazione, che verificherà la modifica della posizione ogni 5 minuti.  Si noti che ciò può causare interruzioni delle normali operazioni di roaming veloce.

200196-Location-based-authorization-with-Mobili-07.png

Risoluzione dei problemi

Per questa funzione, la configurazione ISE è semplice, tuttavia la maggior parte dei problemi potrebbe verificarsi se MSE non è in grado di individuare il dispositivo.

Verificare che MSE sia configurato correttamente:

1- Verificare che il WLC a cui l'utente ha connesso la connessione NMSP valida al MSE ISE sia integrato con:

(b2504) >show nmsp status
MSE IP Address            Tx Echo Resp    Rx Echo Req    Tx Data    Rx Data
--------------            ------------    -----------    -------    ------- 
10.48.39.241         3711            3711           15481      7          

In caso contrario, questo documento

http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Borderless_Networks/Unified_Access/CMX/CMX_Troubleshooting.pdf

2- Verificare se MSE è in grado di tenere traccia delle periferiche

[root@loc-server ~]# service msed status 
...
-------------
Context Aware Service
-------------
Total Active Elements(Wireless Clients, Tags, Rogue APs, Rogue Clients, Interferers, Wired Clients): 29
Active Wireless Clients: 29
Active Tags: 0
Active Rogue APs: 0
Active Rogue Clients: 0

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
19-Oct-2015
Versione iniziale
TAC Authored

Contributo dei tecnici Cisco

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti