Nous avons un problème simple. Nous voulons restreindre nos utilisateurs sans fil à certains sites Web d'entreprise en fonction de leur nom d'utilisateur lorsqu'ils se connectent. Nous avons de nombreux types d'appareils sans fil: téléphones VoIP, téléphones portables, ordinateurs portables, lecteurs de codes-barres et tablettes.
Supposons qu'il existe toutes ces catégories de sites Web, auxquelles nous avons attribué un SSID et un Vlan pour les adresses source des utilisateurs:
- Internet (SSID-Internet, Vlan101)
- Voix (SSID-Internet, Vlan102)
- Comptabilité (SSID-Business, Vlan103)
- RH (SSID-Business, Vlan104)
- Inventaire (SSID-Business, Vlan105)
- Recherche (SSID-Business, Vlan106)
- Assurance qualité (SSID-Business, Vlan107)
- Fabrication (SSID-Business, Vlan108)
Chacun de nos utilisateurs peut avoir besoin d'utiliser leur connexion Windows pour s'authentifier sur le réseau sans fil, mais il ne doit avoir accès qu'à certains services. Quelques exemples:
- Utilisateur 1: Connectez-vous à l'aide des informations d'identification Windows à l'aide du téléphone VoIP à SSID-Voice et ne pouvez accéder au réseau vocal qu'à partir de ce téléphone
- Utilisateur 1: Connectez-vous à l'aide des informations d'identification Windows à l'aide d'un ordinateur portable à SSID-Business et ne pouvez accéder aux sites Web de comptabilité qu'à partir de son ordinateur portable
- Utilisateur 1: Connectez-vous à l'aide des informations d'identification Windows à l'aide du téléphone portable à SSID-Internet et ne pouvez accéder à Internet que via un proxy.
- Utilisateur2: Connectez-vous à l'aide des informations d'identification Windows à l'aide du téléphone VoIP à SSID-Voice et ne pouvez accéder au réseau vocal qu'à partir de son téléphone
- Utilisateur 2: Connectez-vous à l'aide des informations d'identification Windows à l'aide du scanner de codes-barres à SSID-Business et ne pouvez accéder aux sites Web d'inventaire qu'à partir de son scanner de codes-barres
- Utilisateur2: Connectez-vous à l'aide des informations d'identification Windows à l'aide du téléphone portable à SSID-Internet et ne pouvez accéder à Internet que via un proxy.
Chaque utilisateur devrait pouvoir se connecter avec son téléphone portable à SSID-Internet et son téléphone wifi à SSID-Voice. Cela semble assez facile si nous utilisons le filtrage des adresses mac. Nous utiliserons un pare-feu pour nous assurer que les utilisateurs des VLAN ne sortent pas de leurs limites d'accès.
Le problème est que nous ne voulons pas créer beaucoup de SSID, donc le nombre de VLAN différents pour SSID-Business est difficile. Nous voulons affecter des utilisateurs à plusieurs VLAN différents lorsqu'ils se connectent à SSID-Business. Cisco ISE et Cisco ACS peuvent-ils le faire? Si oui, quelles fonctionnalités devons-nous utiliser dans Cisco ISE, Cisco ACS et le WLC? Toutes ces fonctions peuvent-elles fonctionner si nous n'avons qu'un seul nom d'utilisateur Windows par utilisateur?
Notre WLC est un 5508 exécutant 7.4. Nous avons Cisco ACS 5 et Cisco ISE 1.2.