Cisco WLC：ユーザーごとの認証、多数のVLAN、少数のSSID

簡単な問題があります。ログイン時のユーザー名に基づいて、ワイヤレスユーザーを特定のビジネスWebサイトに制限したいと考えています。ワイヤレスデバイスには、VoIP電話、携帯電話、ラップトップ、バーコードスキャナー、タブレットなど、さまざまな種類があります。

次のすべてのWebサイトカテゴリがあり、ユーザーの送信元アドレスにSSIDとVLANが割り当てられているとします。

• インターネット（SSID-Internet、Vlan101）
• 音声（SSID-インターネット、Vlan102）
• アカウンティング（SSID-Business、Vlan103）
• HR（SSID-Business、Vlan104）
• インベントリ（SSID-Business、Vlan105）
• リサーチ（SSID-Business、Vlan106）
• 品質保証（SSID-Business、Vlan107）
• 製造（SSID-Business、Vlan108）

各ユーザーは、Windowsログインを使用してワイヤレスネットワークへの認証を行う必要があるかもしれませんが、特定のサービスにしかアクセスできません。いくつかの例：

• User1：SSID-VoiceにVoIP電話を使用してWindows資格情報を使用してログインし、この電話からのみ音声ネットワークにアクセスできます
• User1：SSID-Businessにラップトップを使用してWindows資格情報を使用してログインし、彼のラップトップからのみアカウンティングWebサイトにアクセスできます
• User1：SSID-Internetに携帯電話を使用してWindows資格情報を使用してログインし、プロキシ経由でのみインターネットにアクセスできます。
• User2：VoIP電話を使用してWindows資格情報を使用してSSID-Voiceにログインし、自分の電話からのみ音声ネットワークにアクセスできます
• User2：Windows資格情報を使用してバーコードスキャナーを使用してSSID-Businessにログインし、彼のバーコードスキャナーからのみインベントリWebサイトにアクセスできます
• User2：Windows資格情報を使用して携帯電話でSSID-Internetにログインし、プロキシ経由でのみインターネットにアクセスできます。

すべてのユーザーが携帯電話でSSID-Internetに、Wi-Fi電話でSSID-Voiceにログインできる必要があります。これは、mac-addressフィルタリングを使用すれば十分簡単に​​思えます。ファイアウォールを使用して、VLAN内のユーザーがアクセス制限を超えないようにします。

問題は、多くのSSIDを作成したくないため、SSID-Businessの異なるVLANの数が難しいことです。ユーザーがSSID-Businessにログインするときに、いくつかの異なるVLANにユーザーを割り当てたいと考えています。Cisco ISEおよびCisco ACSはこれを実行できますか？その場合、Cisco ISE、Cisco ACS、およびWLCでどの機能を使用する必要がありますか？ユーザーごとに1つのWindowsユーザー名しかない場合、これらの機能はすべて機能しますか？

私たちのWLCは、7.4を実行する5508です。Cisco ACS 5とCisco ISE 1.2があります。

ユーザーを複数のVLANと混同する必要がない場合は、使用しないでください。お手持ちのツールを活用してください。あなたはISEを使用していて、1つのSSIDでこれをすべて実行できるはずだと述べました。AdnanGがすでに述べたように、ISEのプロファイリング機能を利用してデバイスを分類できます。

ACSは、MS AD認証と連携し、ユーザー認証とグループ情報を提供できる必要があります。

そこから、ユーザー/グループをデバイスプロファイルと組み合わせて、VLANに関連付けるだけです。したがって、たとえば、デバイスが携帯電話として識別され、ユーザーが「グループA」の一部である場合、「グループA-インターネット」VLANに配置されます。

個人的にはISEでそれを行っていないので、正確な手順を示すことはできませんが、これがシスコのマーケティングがBYOD分野でISEを販売している方法です。私はまた、提案されているものと同様の設定を行った人を何人か知っています。まず、Cisco ISEでBYODを実行する方法の概要を説明するこのCisco BYODドキュメントを確認します。

Cisco Identitiy SErvices Engine（ISE）は、まさにあなたが探しているものを実行できます。この機能は、ネットワークデバイスの「プロファイリング」と呼ばれます。Cisco ACSは、認証とActive Directoryとの統合に使用されます。探しているものを実現するために、ネットワークの構造にさまざまなデバイスが必要になる場合があることに注意してください。このリンクには、必要なものをよりよく理解できるようにするソリューションの概要があります。プロファイリングに必要なものについては、「展開コンポーネント」セクションを参照してください。ソリューションは複雑に聞こえるかもしれませんが、それはすべてデプロイメントに依存します。あなたが探している機能を提供するのに十分だと考えているデバイスをいくつか購入するのが間違っている場合。シスコのソリューションには通常多くのコンポーネントが含まれるため、慎重に計画する必要があります。

解決策は、ワイヤレスアクセスポイント（RADIUS）に802.11xを適用し、LDAPを介してこの認証をWindowsに統合することです。その後、Windowsのユーザー名とパスワードを持つユーザーのみがAPにアクセスできます。

これの利点は、Windowsサーバーが、グループポリシー、Active Directoryのセキュリティ権限などを使用して、ユーザーのログインの詳細に基づいて、何にアクセスできるかを制御できることです。

しかし、このソリューションは2層であり、Windowsの担当者はこれがどのように機能するかを理解する必要があり、ネットワーク側もセットアップする必要があります。

前の投稿者は、同様に機能するCisco Identity Services Engine（ISE）についても言及しました。それは本当にあなたの設定に依存します