简介

本文档介绍如何在Cisco ISE中配置授权策略以区分不同的服务集标识符(SSID)。 

要求

本指南假设：

1)无线LAN控制器(WLC)已设置且适用于所涉及的所有SSID。

2)身份验证适用于ISE涉及的所有SSID。

无线局域网控制器版本7.3.101.0

识别服务引擎版本1.1.2.145

早期版本也同时具有这两个功能。

一次仅使用一种配置方法。如果同时实施两种配置，ISE处理的量将增加并影响规则的可读性。本文档将回顾每种配置方法的优缺点。

背景信息

组织经常会在无线网络中使用多个SSID来实现各种目的。最常见的用途之一是为员工提供企业SSID，为组织访客提供访客SSID。

方法1：Airespace-Wlan-Id

在WLC上创建的每个无线局域网(WLAN)都有一个WLAN ID。WLAN ID显示在WLAN摘要页面上。

当客户端连接到SSID时，发送到ISE的RADIUS请求包含Airespace-WLAN-ID属性。此简单属性用于在ISE中进行策略决策。此属性的一个缺点是，跨多个控制器的SSID上的WLAN ID不匹配。如果这描述了您的部署，请继续进行方法2。 

在这种情况下，使用Airespace-Wlan-Id作为条件。它可以用作简单条件（单独使用）或复合条件（与另一个属性结合）以获得期望的结果。本文档介绍这两种使用案例。使用上述两个SSID，可以创建这两个规则。 

A)访客用户必须登录到访客SSID。

B)企业用户必须位于Active Directory (AD)组“域用户”中，并且必须登录到企业SSID。

规则A

规则A只有一个要求，因此您可以构建简单条件（基于上述值）：

1)在ISE中，转至Policy > Policy Elements > Conditions > Authorization > Simple Conditions，并创建新条件。

2)在“名称”字段中，输入条件名称。

3)在“说明”字段中输入说明（可选）。

4)从Attribute下拉列表中选择Airespace > Airespace-Wlan-Id—[1]。

5)从Operator下拉列表中选择Equals。

6)从Value下拉列表中选择2。

7)单击Save。

规则B

规则B有两个要求，因此您可以构建复合条件（基于上述值）：

1)在ISE中，转至Policy > Policy Elements > Conditions > Authorization > Compound Conditions，并创建新条件。

2)在“名称”字段中，输入条件名称。

3)在“说明”字段中输入说明（可选）。

4)选择Create New Condition（Advance选项）。

5)从Attribute下拉列表中选择Airespace > Airespace-Wlan-Id—[1]。

6)从Operator下拉列表中选择Equals。

7)从Value下拉列表中选择1。

单击右侧的齿轮并选择Add Attribute/Value。

9)从Attribute下拉列表中选择AD1 > External Groups。

10)从Operator下拉列表中选择Equals。

11)从Value下拉列表中，选择所需的组。在本示例中，它设置为Domain Users。

12)单击Save。

现在有了这些条件，我们可以将它们应用到授权策略。转至Policy > Authorization。确定在列表中插入规则的位置或编辑现有规则。

访客规则

1)点击现有规则右侧的向下箭头，然后选择Insert a new rule。

2)输入访客规则的名称，并保留identity groups字段设置为Any。

3)在“Conditions”下，单击加号并单击Select Existing Condition from Library。

4)在“Condition Name”下，选择Simple Condition > GuestSSID。

5)在Permissions下，为您的访客用户选择适当的授权配置文件。

6)单击Done。

公司规则

1)点击现有规则右侧的向下箭头，然后选择Insert a new rule。

2)输入公司规则的名称，并将“身份组”字段设置为“任意”。

3)在“Conditions”下，单击加号并单击Select Existing Condition from Library。

4)在“Condition Name”下，选择Compound Condition > CorporateSSID。

5)在“权限”下，为您的公司用户选择适当的授权配置文件。

6)单击Done。

方法2：被叫站ID

WLC可配置为在RADIUS Called-Station-ID属性中发送SSID名称，这反过来又可用作ISE上的条件。此属性的优点是无论WLC上的WLAN ID设置为什么，都可以使用此属性。默认情况下，WLC不会在Called-Station-ID属性中发送SSID。要在WLC上启用此功能，请转到Security > AAA > RADIUS > Authentication，然后将Call Station ID Type设置为AP MAC Address：SSID。这会将被叫站ID的格式设置为<用户连接的AP的MAC>：<SSID名称>。

您可以从WLAN摘要页面查看将要发送的SSID名称。

由于Called-Station-Id属性还包含AP的MAC地址，因此使用正则表达式(REGEX)匹配ISE策略中的SSID名称。条件配置中的运算符“Matches”可以从Value字段中读取REGEX。

REGEX示例

'starts with' -例如，使用REGEX值^(Acme)。* -此条件配置为CERTIFICATE：Organization MATCHES 'Acme'（与以“Acme”开头的条件的任何匹配）。

'Ends with' -例如，使用REGEX值.*(mktg)$— 此条件配置为CERTIFICATE：Organization MATCHES 'mktg'（与以“mktg”结尾的条件的任何匹配）。

'Contains' -例如，使用REGEX值.*(1234)。* -此条件配置为CERTIFICATE：Organization MATCHES '1234'(与包含“1234”的条件（例如Eng1234、1234Dev和Corp1234Mktg）的任何匹配)。

'not start with' -例如，使用REGEX值^(?!LDAP)。* -此条件配置为CERTIFICATE：Organization MATCHES 'LDAP'(与不以“LDAP”开头的条件（例如usLDAP或CorpLDAPmktg）的任何匹配。

Called-Station-ID以SSID名称结尾，因此本示例中使用的REGEX为.*(：<SSID NAME>)$。在配置过程中请记住这一点。

使用上述两个SSID，您可以根据以下要求创建两个规则：

A)访客用户必须登录到访客SSID。

B)企业用户必须位于AD组“域用户”中，并且必须登录到企业SSID。

规则A

规则A只有一个要求，因此您可以构建简单条件（基于上述值）：

1)在ISE中，转至Policy > Policy Elements > Conditions > Authorization > Simple Conditions，并创建新条件。

2)在“名称”字段中，输入条件名称。

3)在“说明”字段中输入说明（可选）。

4)从Attribute下拉列表中选择Radius > Called-Station-ID—[30]。

5)从Operator下拉列表中选择Matches。

6)从Value下拉列表中选择.*(：Guest)$。这区分大小写。

7)单击Save。

规则B

规则B有两个要求，因此您可以构建复合条件（基于上述值）：

1)在ISE中，转至Policy > Policy Elements > Conditions > Authorization > Compound Conditions，并创建新条件。

2)在“名称”字段中，输入条件名称。

3)在“说明”字段中输入说明（可选）。

4)选择Create New Condition（Advance选项）。

5)从Attribute下拉列表中选择Radius > Called-Station-Id - [30]。

6)从Operator下拉列表中选择Matches。

7)从Value下拉列表中选择.*(：Corporate)$。这区分大小写。

单击右侧的齿轮并选择Add Attribute/Value。

9)从Attribute下拉列表中选择AD1 > External Groups。

10)从Operator下拉列表中选择Equals。

11)从Value下拉列表中，选择所需的组。在本示例中，它设置为Domain Users。

12)单击Save。

现在条件已配置，请将其应用于授权策略。转至Policy > Authorization。在列表中将规则插入适当位置或编辑现有规则。 

访客规则

1)点击现有规则右侧的向下箭头，然后选择Insert a new rule。

2)输入访客规则的名称，并保留identity groups字段设置为Any。

3)在“Conditions”下，单击加号并单击Select Existing Condition from Library。

4)在“Condition Name”下，选择Simple Condition > GuestSSID。

5)在Permissions下，为您的访客用户选择适当的授权配置文件。

6)单击Done。

公司规则

1)点击现有规则右侧的向下箭头，然后选择Insert a new rule。

2)输入公司规则的名称，并将“身份组”字段设置为“任意”。

3)在“Conditions”下，单击加号并单击Select Existing Condition from Library。

4)在“Condition Name”下，选择Compound Condition > CorporateSSID。

5)在“权限”下，为您的公司用户选择适当的授权配置文件。

6)单击Done。

7)单击“Policy”列表底部的Save。

故障排除

要了解是否正确创建策略并确保ISE接收正确的属性，请查看详细的身份验证报告，了解通过或失败的用户身份验证。选择操作>身份验证，然后单击详细信息图标进行身份验证。

首先，检查Authentication Summary。此处显示身份验证的基本信息，包括提供给用户的授权配置文件。

如果策略不正确，Authentication Details会显示从WLC发送的Airespace-Wlan-Id和什么被叫站ID。相应地调整规则。Authorization Policy Matched Rule确认身份验证是否与预期规则匹配。

这些规则通常配置错误。为了揭示配置问题，请将规则与身份验证详细信息中看到的内容进行配对。如果在Other Attributes字段中看不到属性，请确保WLC已正确配置。