我们有一个简单的问题。我们希望根据无线用户登录时的用户名限制他们访问某些商业网站。我们有多种无线设备：VoIP 电话、手机、笔记本电脑、条码扫描仪和平板电脑。

假设有所有这些网站类别，我们为用户源地址分配了 SSID 和 Vlan：

• 互联网（SSID-互联网，Vlan101）
• 语音（SSID-Internet，Vlan102）
• 会计（SSID-业务，Vlan103）
• 人力资源（SSID-业务，Vlan104）
• 库存（SSID-Business，Vlan105）
• 研究（SSID-业务，Vlan106）
• 质量保证（SSID-Business，Vlan107）
• 制造（SSID-业务，Vlan108）

我们的每个用户可能需要使用他们的 Windows 登录名来验证无线网络，但他们应该只能访问某些服务。一些例子：

• 用户 1：使用 VoIP 电话使用 Windows 凭据登录到 SSID-Voice，并且只能从该电话访问语音网络
• 用户 1：使用笔记本电脑使用 Windows 凭据登录到 SSID-Business，并且只能从他的笔记本电脑访问会计网站
• 用户 1：使用手机使用 Windows 凭据登录到 SSID-Internet，并且只能通过代理访问 Internet。
• 用户 2：使用 VoIP 电话使用 Windows 凭据登录到 SSID-Voice，并且只能从他的电话访问 Voice 网络
• 用户 2：使用条码扫描器使用 Windows 凭据登录到 SSID-Business，并且只能从他的条码扫描器访问 Inventory 网站
• 用户 2：使用手机使用 Windows 凭据登录到 SSID-Internet，并且只能通过代理访问 Internet。

每个用户都应该能够用他们的手机登录到 SSID-Internet，用 wifi 手机登录到 SSID-Voice。如果我们使用 mac 地址过滤，这似乎很容易。我们将使用防火墙来确保 Vlan 中的用户不会超出其访问限制。

问题是我们不想创建很多SSID，所以SSID-Business的不同Vlan的数量很难。我们希望在用户登录 SSID-Business 时将用户分配到几个不同的 Vlan。思科 ISE 和思科 ACS 能做到这一点吗？如果是，我们需要在 Cisco ISE、Cisco ACS 和 WLC 中使用哪些功能？如果我们每个用户只有一个 Windows 用户名，所有这些功能都可以工作吗？

我们的 WLC 是运行 7.4 的 5508。我们有 Cisco ACS 5 和 Cisco ISE 1.2。