Tenemos un problema simple Queremos restringir a nuestros usuarios inalámbricos a ciertos sitios web comerciales basados en su nombre de usuario cuando inician sesión. Tenemos muchos tipos de dispositivos inalámbricos: teléfonos voip, teléfonos celulares, computadoras portátiles, escáneres de códigos de barras y tabletas.
Supongamos que hay todas estas categorías de sitios web, que tenemos un SSID y Vlan asignado para las direcciones de origen de los usuarios:
- Internet (SSID-Internet, Vlan101)
- Voz (SSID-Internet, Vlan102)
- Contabilidad (SSID-Business, Vlan103)
- RRHH (SSID-Business, Vlan104)
- Inventario (SSID-Business, Vlan105)
- Investigación (SSID-Business, Vlan106)
- Garantía de calidad (SSID-Business, Vlan107)
- Fabricación (SSID-Business, Vlan108)
Es posible que cada uno de nuestros usuarios necesite usar su inicio de sesión de Windows para autenticarse en la red inalámbrica, pero solo deben tener acceso a ciertos servicios. Algunos ejemplos:
- Usuario1: Inicie sesión con las credenciales de Windows usando el teléfono VoIP a SSID-Voice, y solo puede acceder a la red de voz desde este teléfono
- Usuario1: Inicie sesión con las credenciales de Windows usando Laptop para SSID-Business y solo puede acceder a los sitios web de Contabilidad desde su laptop
- Usuario1: Inicie sesión con las credenciales de Windows utilizando el teléfono celular para SSID-Internet y solo puede acceder a Internet a través de un proxy.
- Usuario2: Inicie sesión con las credenciales de Windows usando el teléfono VoIP a SSID-Voice, y solo puede acceder a la red de voz desde su teléfono
- Usuario2: Inicie sesión con las credenciales de Windows con el escáner de código de barras para SSID-Business y solo puede acceder a los sitios web de Inventario desde su escáner de código de barras
- Usuario2: Inicie sesión con las credenciales de Windows utilizando el teléfono celular para SSID-Internet y solo puede acceder a Internet a través de un proxy.
Todos los usuarios deben poder iniciar sesión con su teléfono celular en SSID-Internet y el teléfono wifi en SSID-Voice. Esto parece bastante fácil si usamos el filtrado de direcciones mac. Utilizaremos un firewall para garantizar que los usuarios de Vlans no salgan de sus límites de acceso.
El problema es que no queremos crear muchos SSID, por lo que la cantidad de Vlans diferentes para SSID-Business es difícil. Queremos asignar usuarios a varios Vlans diferentes cuando inicien sesión en SSID-Business. ¿Cisco ISE y Cisco ACS pueden hacer esto? Si es así, ¿qué características necesitamos usar en Cisco ISE, Cisco ACS y WLC? ¿Pueden funcionar todas estas funciones si solo tenemos un nombre de usuario de Windows por usuario?
Nuestro WLC es un 5508 con 7.4. Tenemos Cisco ACS 5 y Cisco ISE 1.2.