个人理解感觉这个实现不了,貌似没办法实现ssid的无缝的自动切换,在windows或者mac上面切换ssid意味着需要重新与wlc交互一次连接的过程 ,ISE即便可以下发ssid的编号或者名称,但是没有办法让终端跳过这个握手的过程。
简单分析一下你所形容的场景,guest无密码使用portal认证,user有密码或者802.1x
终端连接guest-->wlc检查ssid认证设置,然后向ise发起认证--> ise匹配guest flow,回弹portal页面-->wlc向终端推送认证portal-->客户端认证提交凭据--> ise 验证凭据,完成guest flow-->触发CoA-->ise重新下发guest认证成功后的profile(假设该profile包含新ssid user)-->wlc接收到新的授权profile,更改ssid-->结果终端ssid连接断开。
终端硬要离线的话控制器是拦不住的,而且没办法强制终端关联这个ssid。
另外如果终端连过了user之后,那么下次有可能会直接连接user这个ssid,又该如何保证可以连接呢?
几个场景捋不顺。
感觉还是独立进行控制吧,guest是guest,user如果有其他的安全要求,可以基于用户特征或者终端特征下发不同的策略来进行控制,这样感觉还是可以实现的。