使用移动服务引擎(MSE)和身份服务引擎(ISE) ISE 2.0进行基于位置的授权

简介

本文将演示如何将MSE（移动服务引擎）与身份服务引擎(ISE)集成以实现基于位置的授权。目的是根据无线设备的物理位置允许或拒绝其访问。

先决条件

解决方案的要求和拓扑

虽然MSE配置不在本文档的讨论范围之内，但此解决方案的一般概念如下：

-MSE由Prime基础设施（以前称为NCS）管理，用于配置、映射创建和WLC分配

-MSE使用NMSP协议与无线局域网控制器(WLC)（由Prime分配后）通信。这基本上提供有关连接的客户端每个AP接收的接收信号强度(RSSI)的信息，允许MSE计算它们的位置。

基本步骤：

首先，您必须在Prime基础设施(PI)上定义地图，在此地图上设置覆盖区域，然后放置AP。

将MSE添加到prime时，请选择CAS服务。

添加MSE后，在prime中，选择同步服务，并检查您的WLC/和映射以将其分配到MSE。

在将MSE与ISE集成之前，MSE必须已启动并运行，这意味着：

1. 需要将MSE添加到Prime基础设施，并同步服务
2. 需要启用CAS服务和无线客户端跟踪
3. 必须在Prime中配置映射
4. MSE和WLC之间的NMSP应该成功（WLC命令行上的“show nmsp status”）

在此设置中，将仅有一栋建筑包含2个楼层：

使用的组件

• MSE版本8.0.110
• ISE版本2.0

将MSE与ISE集成

转至Network Resources， Location Services，然后点击add以添加MSE。

参数可以自我解释，您可以测试连接，还可以按MAC地址查找客户端位置：

接下来，转至位置树，然后点击Get Update（获取更新）。这将允许ISE从MSE获取建筑和楼层，并使其在ISE中可用，与添加AD组时类似。

设置授权

属性MSE：Map Location现在可用于授权策略。

配置以下两条规则：

Floor1中的用户应该能够进行身份验证。

我们在身份验证详细信息中看到正确的配置文件以及MAP位置属性

使用上述配置，如果终端从一个区域移动到另一个区域，则不会取消其身份验证。如果您想要跟踪用户移动，并在授权更改时发送CoA，您可以在授权配置文件中启用跟踪选项，该选项将检查是否每5分钟更改一次位置。  请注意，这可能会破坏正常的快速漫游操作。

故障排除

对于此功能，ISE配置非常简单，但是，如果MSE无法找到设备，则可能会出现大多数问题。

要检查以确保MSE设置正确，需要检查以下几点：

1-确保用户连接的WLC与MSE ISE集成了有效的NMSP连接：

(b2504) >show nmsp status
MSE IP Address            Tx Echo Resp    Rx Echo Req    Tx Data    Rx Data
--------------            ------------    -----------    -------    ------- 
10.48.39.241         3711            3711           15481      7          

否则，本文档将有所帮助

http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Borderless_Networks/Unified_Access/CMX/CMX_Troubleshooting.pdf

2-检查MSE是否能跟踪设备

[root@loc-server ~]# service msed status 
...
-------------
Context Aware Service
-------------
Total Active Elements(Wireless Clients, Tags, Rogue APs, Rogue Clients, Interferers, Wired Clients): 29
Active Wireless Clients: 29
Active Tags: 0
Active Rogue APs: 0
Active Rogue Clients: 0