Autorização baseada em local com Mobility Services Engine (MSE) e Identity Services Engine (ISE) ISE 2.0

Opções de download

  • PDF     (717.7 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (724.1 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (517.7 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:5 de setembro de 2015
ID do documento:200196

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este artigo demonstrará como integrar o MSE (Mobility Service Engine) com o Identity Services Engine (ISE) para autorização baseada em local. A finalidade é permitir ou negar acesso a um dispositivo sem fio com base em sua localização física.

Pré-requisitos

Requisitos e topologia da solução

Embora a configuração do MSE esteja fora do escopo deste documento, aqui está o conceito geral da solução:

-O MSE é gerenciado pela Prime Infrastructure (anteriormente NCS) para configuração, criação de mapas e atribuição de WLC

-O MSE se comunica com a controladora Wireless LAN (WLC) (depois de ser atribuído a ela pelo Prime) usando o protocolo NMSP. Isso basicamente fornece informações sobre a RSSI (Received Signal Strength) recebida por APs para clientes conectados, o que permite que o MSE calcule sua localização.

Etapas básicas para fazer isso:

Primeiro você deve definir um mapa na Prime Infrastructure (PI), definir a área de cobertura nesse mapa e colocar os APs.

Quando você adicionar o MSE ao prime, escolha o serviço CAS.

Depois que o MSE for adicionado, no prime, escolha serviços de sincronização e verifique sua WLC / e mapas para atribuí-los ao MSE.

200196-Location-based-authorization-with-Mobili-00.gif

Antes de integrar o MSE ao ISE, o MSE deve estar ativo e em execução, o que significa:

  1. O MSE precisa ser adicionado à Prime Infrastructure e os serviços precisam ser sincronizados
  2. O serviço CAS precisa ser ativado e o rastreamento de cliente Wireless precisa ser ativado
  3. Os mapas precisam ser configurados no Prime
  4. O NMSP deve ser bem-sucedido entre MSE e WLCs ("show nmsp status" na linha de comando da WLC)

Nesta configuração, haverá apenas um prédio com 2 andares:

200196-Location-based-authorization-with-Mobili-01.png

Componentes Utilizados

  • MSE versão 8.0.110
  • ISE versão 2.0

Integração do MSE com o ISE

Vá para Recursos de rede, Serviços de localização e clique em adicionar para adicionar o MSE.

Os parâmetros são autoexplicativos e você pode testar a conexão e também a pesquisa de localização do cliente por endereço MAC:

200196-Location-based-authorization-with-Mobili-02.png

Em seguida, vá para a árvore de localização e clique em Obter atualização. Isso permitirá que o ISE busque Buildings and Floor do MSE e os disponibilize no ISE, semelhante a quando você adiciona grupos de AD.

200196-Location-based-authorization-with-Mobili-03.png

Configurando a autorização

Os atributos MSE:Localização do Mapa agora podem ser usados nas políticas de autorização.

Configure as 2 regras abaixo:


200196-Location-based-authorization-with-Mobili-04.png

Os usuários do 1º andar devem ser capazes de se autenticar.

Vemos nos detalhes de autenticação o perfil correto, bem como o atributo MAP Location


200196-Location-based-authorization-with-Mobili-05.png

200196-Location-based-authorization-with-Mobili-06.png

Com a configuração acima, se o ponto final estiver se movendo de uma zona para outra, ele não será desautenticado. Se quiser rastrear o movimento do usuário e enviar um CoA se a autorização for alterada, você poderá ativar a opção de rastreamento no perfil de autorização, que verificará a alteração do local a cada 5 minutos.  Observe que isso pode causar interrupções nas operações normais de roaming rápido.

200196-Location-based-authorization-with-Mobili-07.png

Troubleshooting

Para esse recurso, a configuração do ISE é direta, no entanto, a maioria dos problemas pode ocorrer se o MSE não conseguir localizar o dispositivo.

Algumas coisas a serem verificadas para garantir que o MSE esteja configurado corretamente:

1- Certifique-se de que a WLC onde o usuário está conectado tenha uma conexão NMSP válida com o MSE ISE integrada com:

(b2504) >show nmsp status
MSE IP Address            Tx Echo Resp    Rx Echo Req    Tx Data    Rx Data
--------------            ------------    -----------    -------    ------- 
10.48.39.241         3711            3711           15481      7          

Caso contrário, este documento ajudará

http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Borderless_Networks/Unified_Access/CMX/CMX_Troubleshooting.pdf

2- Verificar se o MSE é capaz de rastrear dispositivos

[root@loc-server ~]# service msed status 
...
-------------
Context Aware Service
-------------
Total Active Elements(Wireless Clients, Tags, Rogue APs, Rogue Clients, Interferers, Wired Clients): 29
Active Wireless Clients: 29
Active Tags: 0
Active Rogue APs: 0
Active Rogue Clients: 0

Histórico de revisões

Revisão Data de publicação Comentários
1.0
19-Oct-2015
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos