使用移動服務引擎(MSE)和身份服務引擎(ISE) ISE 2.0基於位置的授權

簡介

本文將演示如何將MSE（移動服務引擎）與身份服務引擎(ISE)整合以實現基於位置的授權。其目的是根據無線裝置的物理位置允許或拒絕其訪問。

必要條件

解決方案的需求和拓撲

儘管MSE配置不在本文檔的討論範圍之內，但以下是解決方案的一般概念：

-MSE由Prime Infrastructure （以前稱為NCS）管理，用於配置、對映建立和WLC分配

-MSE使用NMSP協定與無線區域網控制器(WLC)通訊（由Prime分配後）。這基本上提供有關連線的客戶端的每個AP接收到的接收訊號強度(RSSI)的資訊，允許MSE計算它們的位置。

基本步驟：

首先，您必須在Prime基礎設施(PI)上定義一個地圖，在此地圖上設定覆蓋區域，然後放置AP。

將MSE增加到prime時，請選擇CAS服務。

增加MSE後，在prime中，選擇同步服務，然後檢查您的WLC/和對映以將其分配給MSE。

在將MSE與ISE整合之前，MSE必須啟動並運行，這意味著：

1. 需要將MSE增加到Prime基礎設施，並且同步服務
2. 需要啟用CAS服務，並且需要啟用無線客戶端跟蹤
3. 必須在Prime中配置對映
4. MSE與WLC之間的NMSP應會成功（WLC命令列中的「show nmsp status」）

在此設定中，將只有一個樓層為2層的建築物：

採用元件

• MSE版本8.0.110
• ISE版本2.0

將MSE與ISE整合

轉至Network Resources， Location Services，並按一下add增加MSE。

引數可以自行解釋，您可以測試連線，還可以按MAC地址查詢客戶端位置：

下一步是轉到「位置」樹，然後按一下「獲取更新」。這將允許ISE從MSE獲取建築和樓層，並使其在ISE中可用，類似於您增加AD組時。

設定授權

現在可以在授權策略中使用屬性MSE：Map Location。

配置以下兩個規則：

Floor1中的使用者應該能夠進行身份驗證。

在身份驗證詳細資訊中，我們可以看到正確的配置檔案以及MAP位置屬性

使用上述配置時，如果終端從一個區域移動到另一個區域，則不會取消驗證。如果您要跟蹤使用者移動，並在授權更改時傳送CoA，則可以在授權配置檔案中啟用跟蹤選項，該選項將每5分鐘檢查一次位置更改。  請注意，這可能會中斷正常的快速漫遊操作。

疑難排解

對於此功能，ISE配置簡單明瞭，但是，如果MSE無法找到裝置，則可能發生大多數問題。

要檢查MSE設定是否正確的一些事項：

1-確保使用者連線的WLC與MSE ISE整合了有效的NMSP連線：

(b2504) >show nmsp status
MSE IP Address            Tx Echo Resp    Rx Echo Req    Tx Data    Rx Data
--------------            ------------    -----------    -------    ------- 
10.48.39.241         3711            3711           15481      7          

否則，本文檔將有所幫助

http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Borderless_Networks/Unified_Access/CMX/CMX_Troubleshooting.pdf

2-檢查MSE是否能跟蹤裝置

[root@loc-server ~]# service msed status 
...
-------------
Context Aware Service
-------------
Total Active Elements(Wireless Clients, Tags, Rogue APs, Rogue Clients, Interferers, Wired Clients): 29
Active Wireless Clients: 29
Active Tags: 0
Active Rogue APs: 0
Active Rogue Clients: 0