簡介

本文檔介紹如何在Cisco ISE中配置授權策略以區分不同的服務集識別符號(SSID)。 

需求

本指南假設：

1)無線LAN控制器(WLC)已設定，適用於涉及的所有SSID。

2)身份驗證適用於針對ISE涉及的所有SSID。

無線LAN控制器版本7.3.101.0

辨識服務引擎版本1.1.2.145

早期版本也具有這兩種功能。

一次只能使用一種配置方法。如果同時實施這兩種配置，ISE處理的量將增加並影響規則的可讀性。本文檔介紹每種配置方法的優缺點。

背景資訊

組織經常在無線網路中使用多個SSID來實現各種目的。其中一個最常見的用途是為員工提供一個公司SSID，為組織訪客提供一個訪客SSID。

方法1：Airespace-Wlan-Id

在WLC上建立的每個無線區域網路(WLAN)都有一個WLAN ID。WLAN ID顯示在WLAN summary頁上。

當客戶端連線到SSID時，對ISE的RADIUS請求包含Airespace-WLAN-ID屬性。此簡單屬性用於在ISE中進行策略決策。此屬性的一個缺點是，WLAN ID與分佈在多個控制器上的SSID不匹配。如果這描述了您的部署，請繼續方法2。 

在這種情況下，Airespace-Wlan-Id用作條件。它可作為簡單條件（單獨使用）或在複合條件（與另一個屬性結合）中使用，以獲得期望的結果。本文檔介紹了這兩種使用案例。使用上述兩個SSID，可以建立這兩個規則。 

A)訪客使用者必須登入到訪客SSID。

B)企業使用者必須位於Active Directory (AD)組「Domain Users」中，並且必須登入到企業SSID。

規則A

規則A只有一個要求，因此您可以構建簡單條件（基於上述值）：

1)在ISE中，轉至Policy > Policy Elements > Conditions > Authorization > Simple Conditions，並建立新條件。

2)在「名稱」欄位中，輸入條件名稱。

3)在「說明」(Description)欄位中，輸入說明（可選）。

4)從Attribute下拉選單中選擇Airespace > Airespace-Wlan-Id—[1]。

5)從Operator下拉選單中選擇Equals。

6)從Value下拉選單中選擇2。

7)按一下Save。

規則B

規則B有兩個要求，因此您可以構建複合條件（基於上述值）：

1)在ISE中，轉至Policy > Policy Elements > Conditions > Authorization > Compound Conditions，並建立新條件。

2)在「名稱」欄位中，輸入條件名稱。

3)在「說明」(Description)欄位中，輸入說明（可選）。

4)選擇Create New Condition（Advance選項）。

5)從Attribute下拉選單中選擇Airespace > Airespace-Wlan-Id—[1]。

6)從Operator下拉選單中選擇Equals。

7)從Value下拉選單中選擇1。

按一下右側的齒輪，然後選擇Add Attribute/Value。

9)從Attribute下拉選單中選擇AD1 > External Groups。

10)從Operator下拉選單中選擇Equals。

11)從「值」下拉選單中，選擇所需的組。在本示例中，它設定為「域使用者」。

12)按一下Save。

現在有了這些條件，就可以將它們應用到授權策略中。轉至Policy > Authorization。決定要在清單中插入規則或編輯現有規則的位置。

訪客規則

1)按一下現有規則右邊的向下箭頭，然後選擇「插入新規則」。

2)輸入訪客規則的名稱，並將身份組欄位設定為Any。

3)在「條件」下，按一下加號，然後按一下「從程式庫選取現有條件」。

4)在「Condition Name」下，選擇Simple Condition > GuestSSID。

5)在「許可權」下，為您的訪客使用者選擇適當的授權配置檔案。

6)按一下Done。

公司規則

1)按一下現有規則右邊的向下箭頭，然後選擇「插入新規則」。

2)輸入公司規則的名稱，並保留「身份組」欄位設定為「任意」。

3)在「條件」下，按一下加號，然後按一下「從程式庫選取現有條件」。

4)在「Condition Name」下，選擇Compound Condition > CorporateSSID。

5)在「許可權」下，為您的公司使用者選擇適當的授權配置檔案。

6)按一下Done。

方法2：被叫站ID

可以將WLC配置為在RADIUS Called-Station-ID屬性中傳送SSID名稱，該屬性又可用作ISE上的條件。此屬性的優點是，無論WLC上的WLAN ID設定為什麼，都可以使用此屬性。預設情況下，WLC不會在Called-Station-ID屬性中傳送SSID。要在WLC上啟用此功能，請轉到Security > AAA > RADIUS > Authentication，然後將Call Station ID Type設定為AP MAC Address：SSID。這將被叫站ID的格式設定為<使用者正在連線的AP的MAC>：<SSID名稱>。

您可以從WLAN摘要頁面檢視將要傳送的SSID名稱。

由於Called-Station-Id屬性還包含AP的MAC地址，因此使用正規表示式(REGEX)匹配ISE策略中的SSID名稱。條件配置中的運算子「匹配」可從「值」欄位中讀取REGEX。

REGEX示例

'starts with' —例如，使用REGEX值^(Acme)。*— 此條件配置為CERTIFICATE：Organization MATCHES 'Acme' （與以「Acme」開頭的任何條件匹配）。

'Ends with' —例如，使用REGEX值.*(mktg)$— 此條件配置為CERTIFICATE：Organization MATCHES 'mktg' （任何條件以「mktg」結尾的匹配）。

'Contains' -例如，使用REGEX值.*(1234)。* -此條件配置為CERTIFICATE：Organization MATCHES '1234' (與包含「1234」的條件（例如Eng1234、1234Dev和Corp1234Mktg）的任何匹配。

'not start with' —例如，使用REGEX值^(?!LDAP)。*— 此條件配置為CERTIFICATE：Organization MATCHES 'LDAP' (與不以「LDAP」開頭的條件（例如usLDAP或CorpLDAPmktg）的任何匹配。

Called-Station-ID以SSID名稱結尾，因此本示例中使用的REGEX為.*(：<SSID NAME>)$。進行配置時請記住這一點。

使用上述兩個SSID，您可以根據以下要求建立兩個規則：

A)訪客使用者必須登入到訪客SSID。

B)企業使用者必須位於AD組「Domain Users」中，並且必須登入到企業SSID。

規則A

規則A只有一個要求，因此您可以構建簡單條件（基於上述值）：

1)在ISE中，轉至Policy > Policy Elements > Conditions > Authorization > Simple Conditions，並建立新條件。

2)在「名稱」欄位中，輸入條件名稱。

3)在「說明」(Description)欄位中，輸入說明（可選）。

4)從Attribute下拉選單中選擇Radius > Called-Station-ID—[30]。

5)從Operator下拉選單中選擇Matches。

6)從Value下拉選單中選擇.*(：Guest)$。這是區分大小寫的。

7)按一下Save。

規則B

規則B有兩個要求，因此您可以構建複合條件（基於上述值）：

1)在ISE中，轉至Policy > Policy Elements > Conditions > Authorization > Compound Conditions，並建立新條件。

2)在「名稱」欄位中，輸入條件名稱。

3)在「說明」(Description)欄位中，輸入說明（可選）。

4)選擇Create New Condition（Advance選項）。

5)從Attribute下拉選單中選擇Radius > Called-Station-Id—[30]。

6)從Operator下拉選單中選擇Matches。

7)從「值」下拉選單中選擇.*(：Corporate)$。這是區分大小寫的。

按一下右側的齒輪，然後選擇Add Attribute/Value。

9)從Attribute下拉選單中選擇AD1 > External Groups。

10)從Operator下拉選單中選擇Equals。

11)從「值」下拉選單中，選擇所需的組。在本示例中，它設定為「域使用者」。

12)按一下Save。

現在條件已配置，請將其應用於授權策略。轉至Policy > Authorization。將規則插入適當位置的清單中，或編輯現有規則。 

訪客規則

1)按一下現有規則右側的向下箭頭，然後選擇Insert a new rule。

2)輸入訪客規則的名稱，並將身份組欄位設定為Any。

3)在「條件」下，按一下加號，然後按一下「從程式庫選取現有條件」。

4)在「Condition Name」下，選擇Simple Condition > GuestSSID。

5)在「許可權」下，為您的訪客使用者選擇適當的授權配置檔案。

6)按一下Done。

公司規則

1)按一下現有規則右側的向下箭頭，然後選擇Insert a new rule。

2)輸入公司規則的名稱，並保留「身份組」欄位設定為「任意」。

3)在「條件」下，按一下加號，然後按一下「從程式庫選取現有條件」。

4)在「Condition Name」下，選擇Compound Condition > CorporateSSID。

5)在「許可權」下，為您的公司使用者選擇適當的授權配置檔案。

6)按一下Done。

7)按一下「Policy」清單底部的Save。

疑難排解

要瞭解是否正確建立策略並確保ISE接收正確的屬性，請檢視詳細的身份驗證報告，瞭解使用者的身份驗證透過或失敗。選擇操作>身份驗證，然後按一下詳細資訊圖示進行身份驗證。

首先，檢查身份驗證摘要。此處顯示身份驗證的基本資訊，包括提供給使用者的授權配置檔案。

如果策略不正確，身份驗證詳細資訊將顯示從WLC傳送的Airespace-Wlan-Id和所叫Station-Id。請相應地調整規則。Authorization Policy Matched Rule可確認身份驗證是否與預期規則匹配。

這些規則通常配置錯誤。要發現配置問題，請將規則與身份驗證詳細資訊中顯示的內容進行匹配。如果在「Other Attributes」欄位中看不到屬性，請確保正確配置了WLC。