Temos um problema simples. Queremos restringir nossos usuários sem fio a determinados sites comerciais com base no nome de usuário quando eles fazem login. Temos muitos tipos de dispositivos sem fio: telefones voip, telefone celular, laptops, scanners de código de barras e tablets.
Suponha que existam todas essas categorias de sites, às quais temos um SSID e uma Vlan atribuídos aos endereços de origem do usuário:
- Internet (SSID-Internet, Vlan101)
- Voz (SSID-Internet, Vlan102)
- Contabilidade (SSID-Business, Vlan103)
- RH (SSID-Business, Vlan104)
- Inventário (SSID-Business, Vlan105)
- Pesquisa (SSID-Business, Vlan106)
- Garantia de qualidade (SSID-Business, Vlan107)
- Fabricação (SSID-Business, Vlan108)
Cada um de nossos usuários pode precisar usar o logon do Windows para se autenticar na rede sem fio, mas deve ter acesso apenas a determinados serviços. Alguns exemplos:
- Usuário1: faça login usando credenciais do Windows usando telefone VoIP no SSID-Voice e só pode acessar a rede de voz deste telefone
- Usuário1: faça login usando credenciais do Windows usando o Laptop no SSID-Business e só pode acessar os sites de contabilidade do laptop
- Usuário1: Faça login usando credenciais do Windows usando telefone celular no SSID-Internet e só pode acessar a Internet através de um proxy.
- Usuário2: faça login usando credenciais do Windows usando telefone VoIP no SSID-Voice e só pode acessar a rede de voz pelo telefone
- Usuário2: faça login usando credenciais do Windows usando o scanner de código de barras no SSID-Business e só pode acessar os sites de inventário a partir do scanner de código de barras
- Usuário2: Faça login usando credenciais do Windows usando telefone celular no SSID-Internet e só pode acessar a Internet através de um proxy.
Todo usuário deve poder fazer login com seu telefone celular no SSID-Internet e o telefone wifi no SSID-Voice. Isso parece fácil se usarmos a filtragem de endereços mac. Usaremos um firewall para garantir que os usuários nos Vlans não ultrapassem seus limites de acesso.
O problema é que não queremos criar muitos SSIDs, portanto, o número de diferentes Vlans para SSID-Business é difícil. Queremos atribuir usuários a vários Vlans diferentes quando eles acessam o SSID-Business. O Cisco ISE e o Cisco ACS podem fazer isso? Em caso afirmativo, quais recursos precisamos usar no Cisco ISE, Cisco ACS e WLC? Todas essas funções podem funcionar se tivermos apenas um nome de usuário do Windows por usuário?
Nosso WLC é um 5508 rodando 7.4. Temos o Cisco ACS 5 e o Cisco ISE 1.2.