Konfigurationsbeispiel für die DHCP-Parameteranforderungsliste Option 55 zum Profilen von Endpunkten

Download-Optionen

  • PDF     (1.0 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.0 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (717.9 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:3. Februar 2021
Dokument-ID:116235

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einführung

    In diesem Dokument wird die Verwendung der Option 55 für die DHCP-Parameteranforderungsliste als alternative Methode zu Profilgeräten beschrieben, die die Identity Services Engine (ISE) verwenden.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt Folgendes:

    • Grundkenntnisse des DHCP Discovery-Prozesses
    • Erfahrung mit der Verwendung der ISE zur Konfiguration benutzerdefinierter Profilerstellungsregeln

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • ISE Version 3.0
    • Windows 10

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

    Hintergrundinformationen

    In Produktions-ISE-Bereitstellungen umfassen einige der am häufigsten bereitgestellten Profilerstellungsprüfungen RADIUS, HTTP und DHCP. Bei der URL-Umleitung im Zentrum des ISE-Workflows wird die HTTP-Anfrage häufig verwendet, um wichtige Endpunktdaten aus der User-Agent-Zeichenfolge zu erfassen. In einigen Anwendungsfällen der Produktion ist jedoch keine URL-Umleitung wünschenswert, und Dot1x wird bevorzugt, wodurch die genaue Profilerstellung eines Endpunkts erschwert wird. Beispielsweise erhält ein Mitarbeiter-PC, der eine Verbindung zu einem unternehmenseigenen Service Set Identifier (SSID) herstellt, vollständigen Zugriff, während sein privates iDevice (iPhone, iPad, iPod) nur Internetzugriff erhält. In beiden Szenarien werden die Benutzer einem Profil zugeordnet und dynamisch einer spezifischeren Identitätsgruppe zugeordnet, um ein Autorisierungsprofil abzugleichen, für das der Benutzer keinen Webbrowser öffnet. Eine weitere häufig verwendete Alternative ist die Zuordnung von Hostnamen. Diese Lösung ist nicht perfekt, da Benutzer den Endpunkt-Hostnamen in einen nicht standardmäßigen Wert ändern können.

    In solchen Fällen können die Option 55 für die DHCP-Anfrage und die DHCP-Parameteranforderungsliste als alternative Methode zum Profilen dieser Geräte verwendet werden. Das Feld Parameteranforderungsliste im DHCP-Paket kann verwendet werden, um ein Endpunkt-Betriebssystem wie ein Intrusion Prevention System (IPS) per Fingerabdruck abzufangen, um ein Paket zuzuordnen. Wenn das Endpunkt-Betriebssystem ein DHCP-Erkennungs- oder Anforderungspaket über die Leitung sendet, enthält der Hersteller eine numerische Liste von DHCP-Optionen, die er vom DHCP-Server erhalten möchte (Standardrouter, Domain Name Server (DNS), TFTP-Server usw.). Die Reihenfolge, in der der DHCP-Client diese Optionen vom Server anfordert, ist ziemlich eindeutig und kann verwendet werden, um einen Fingerabdruck auf ein bestimmtes Quellbetriebssystem zu erstellen. Die Verwendung der Option Parameteranforderungsliste ist nicht so exakt wie die Zeichenfolge HTTP-Benutzer-Agent. Sie wird jedoch weitaus besser kontrolliert als die Verwendung von Hostnamen und anderen statisch definierten Daten.

    Hinweis: Die Option DHCP Parameter Request List (DHCP-Parameteranforderungsliste) ist keine perfekte Lösung, da die von ihr generierten Daten herstellerabhängig sind und von mehreren Gerätetypen dupliziert werden können.

    Bevor Sie die ISE-Profilerstellungsregeln konfigurieren, verwenden Sie die Wireshark-Erfassung von einem SPAN (Endpoint/Switched Port Analyzer) oder von TCP (Transmission Control Protocol)-Dump-Erfassungen auf der ISE, um die Optionen für die Parameteranforderungsliste im DHCP-Paket (falls vorhanden) zu evaluieren. In dieser Beispielerfassung werden die Optionen der DHCP-Parameteranforderungsliste für Windows 10 angezeigt.

    Die Zeichenfolge Parameteranforderungsliste mit den Ergebnissen wird im folgenden kommagetrennten Format geschrieben: 1, 3, 6, 15, 31, 33, 43, 44, 46, 47, 119, 121, 249, 252. Verwenden Sie dieses Format, wenn Sie benutzerdefinierte Profilerstellungsbedingungen in der ISE konfigurieren.

    Im Konfigurationsabschnitt wird die Verwendung benutzerdefinierter Profilerstellungsbedingungen veranschaulicht, um Windows 10-Workstations in einer Windows 10-Workstation zuzuordnen.

    Konfiguration

    1. Melden Sie sich bei der Administratorbenutzeroberfläche der ISE an, und navigieren Sie zu Richtlinien > Richtlinienelemente > Bedingungen > Profiling. Klicken Sie auf Hinzufügen, um eine neue benutzerdefinierte Profilerstellungsbedingung hinzuzufügen. In diesem Beispiel verwenden wir Fingerabdrücke von Parameteranforderungslisten in Windows 10. Eine vollständige Liste der Werte der Parameteranforderungsliste finden Sie unter Fingerbank.org

      Hinweis: Im Textfeld Attributwert werden möglicherweise nicht alle numerischen Optionen angezeigt. Sie müssen möglicherweise mit der Maus oder der Tastatur scrollen, um die vollständige Liste anzuzeigen.



    2. Wenn benutzerdefinierte Bedingungen definiert sind, navigieren Sie zu Richtlinien > Profiling > Profiling Policies (Richtlinien für die Profilerstellung), um eine aktuelle Profilerstellungsrichtlinie zu ändern oder eine neue zu konfigurieren. In diesem Beispiel werden die standardmäßigen Richtlinien Workstation, Microsoft-Workstation und Windows10-Workstation bearbeitet, um die neuen Bedingungen der Parameteranforderungsliste einzuschließen. Fügen Sie der Profiler-Richtlinie für Workstation, Microsoft-Workstation und Windows10-Workstation eine neue zusammengesetzte Bedingung hinzu (siehe unten). Ändern Sie den Sicherheitsfaktor nach Bedarf, um das gewünschte Ergebnis der Profilerstellung zu erzielen.

    Hinweis: Verwenden Sie das Command Lookup Tool (nur registrierte Kunden), um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten.

    Überprüfung

    Schritt 1 - 

    Navigieren Sie zu ISE > Operations > Live Logs (ISE > Betrieb > Live-Protokolle). Die erste Authentifizierung entspricht der Unknown Authorization Policy (Unbekannte Autorisierungsrichtlinie), und der beschränkte Zugriff auf die ISE wird gewährt. Nachdem ein Gerät profiliert wurde, löst die ISE CoA aus und eine weitere Authentifizierungsanfrage wird auf der ISE empfangen und stimmt mit dem neuen Profil überein: Windows10 Workstation .

    Schritt 2 - 

    In diesem Abschnitt überprüfen Sie, ob Ihre Konfiguration ordnungsgemäß funktioniert.

    • Navigieren Sie zu Context Visibility > Endpoints, suchen Sie das Endgerät, und klicken Sie auf Edit.
    • Bestätigen Sie, dass die EndPointPolicy Window10-Workstation ist und dass die Werte der dhcp-parameter-request-list mit den zuvor konfigurierten Bedingungswerten übereinstimmen.

    Fehlerbehebung

    Dieser Abschnitt enthält Informationen, die Sie zur Fehlerbehebung bei Ihrer Konfiguration verwenden können.

    • Überprüfen Sie, ob die DHCP-Pakete die ISE-Richtlinienknoten erreicht haben, die die Profilerstellungsfunktion ausführen (mit Helper-Adresse oder SPAN).
    • Verwenden Sie das Tool Operations > Troubleshoot > Diagnostic Tools > General Tools > TCP Dump? um TCP-Dump-Captures nativ über die Administrations-GUI der ISE auszuführen.

    • Aktivieren Sie unten debuggen auf ISE PSN-Knoten - 

      -nsf

      -nsf-Sitzung

      - Lighttwight Session Directory

      Profiler

      -runtime-AAA

    • Profiler.log, prrt-server.log und lsd.log enthalten relevante Informationen.
    • Eine aktuelle Liste der Optionen für die Parameteranforderungsliste finden Sie in der DHCP-Fingerabdruck-Datenbank Fingerbank.org
    • Stellen Sie sicher, dass die richtigen Werte für die Parameteranforderungsliste in den ISE-Profilerstellungsbedingungen konfiguriert sind. Zu den am häufigsten verwendeten Zeichenfolgen gehören:
      Gerätetyp Wert der Parameteranforderungsliste
      Windows XP
      1,15,3,6,44,46,47,31,33,249,43
      1,15,3,6,44,46,47,31,33,249,43,252
      1,15,3,6,44,46,47,31,33,249,43,252,12
      15,3,6,44,46,47,31,33,249,43
      15,3,6,44,46,47,31,33,249,43,252
      15,3,6,44,46,47,31,33,249,43,252,12
      28,2,3,15,6,12,44,47
      Windows Vista/7 oder Server 2008
      1,15,3,6,44,46,47,31,33,121,249,43
      1,15,3,6,44,46,47,31,33,121,249,43,0,32,176,67
      1,15,3,6,44,46,47,31,33,121,249,43,0,176,67
      1,15,3,6,44,46,47,31,33,121,249,43,252
      1,15,3,6,44,46,47,31,33,121,249,43,195
      Windows 8 1,15,3,6,44,46,47,31,33,121,249,252,43
      Mac OS X 1,3,6,15,112,113,78,79,95
      1,3,6,15,112,113,78,79,95,252
      3,6,15,112,113,78,79,95,252
      3,6,15,112,113,78,79,95
      3,6,15,112,113,78,79,95,44,47
      1,3,6,15,112,113,78,79,95,44,47
      1,3,6,15,112,113,78,79
      1,3,6,15,119,95,252,44,46,101
      1,3,6,15,119,112,113,78,79,95,252
      3,6,15,112,113,78,79,95,252,44,47
      1,3,6,15,112,113,78,79,95,252,44,47
      1,3,12,6,15,112,113,78,79
      60,43
      43,60
      1,3,6,15,119,95,252,44,46,47
      1,3,6,15,119,95,252,44,46,47,101
      iPhone, iPad, iPod
      1,3,6,15,119,78,79,95,252
      1,3,6,15,119,252
      1,3,6,15,119,252,46,208,92
      1,3,6,15,119,252,67,52,13

    Hinweis: Weitere Informationen zu Debug-Befehlen vor der Verwendung von Debug-Befehlen finden Sie unter Wichtige Informationen.

    Protokollanalyse

    ++Unterhalb Debugging auf ISE PSN-Knoten aktivieren - 

    -nsf

    -nsf-Sitzung

    - Lighttwight Session Directory

    Profiler

    -runtime-AAA

    ++Erstauthentifizierung 

    ++prt-server.log 

    ++Zugriffsanfrage erhalten über ISE-Knoten 

    Radius,2020-12-29 06:35:19,377,DEBUG,0x7f1cdcbd2700,cntx=0001348461,sens=isee30-primary/39 7791910/625,CallingStationID=B4-96-91-26-EB-9F,RADIUS-PAKET: Code=1(AccessRequest) Identifier=182 Length=285

    ++ISE stimmt überein mit Unknown_profile  

    ACSLogs,2020-12-29 06:35:19,473,DEBUG,0x7f1cdc7ce700,cntx=0001348476,sens=isee30-primary/3 97791910/625,CPMSessionID=0A6A270B0000018B44013AC,user=dot1xuser,CallingStationID=B4-96-91-26-EX AuthorizationPolicyMatchedRule=Unknown_Profile, EAPTunnel=EAP-FAST, EAPAuthentication=EAP-MSCHAPv2, UserType=User, CPMSessionID=0A6A270B0000018B440 13AC, EndPointMACAddress=B4-96-91-26-EB-9F,

    ++ISE sendet Zugriffsannahme mit begrenztem Zugriff  

    Radius,2020-12-29 06:35:19,474,DEBUG,0x7f1cdc7ce700,cntx=0001348476,sen=isee30-primary/3977 91910/625,CPMSessionID=0A6A270B0000018B44013AC,user=dot1xuser,CallingStationID=B4-96-91-26-EB-9F,RADIUS US-PAKET: Code=2(AccessAccept) Identifier=186 Length=331

    ++ISE hat Accounting-Update mit DHCP-Informationen erhalten 

    Radius,2020-12-29 06:35:41,464,DEBUG,0x7f1cad1700,cntx=0001348601,sens=isee30-primary/397 791910/627,CPMSessionID=0A6A270B0000018B44013AC,CallingStationID=B4-96-91-26-EB-9F,RADIUS-PAKET: Code=4(AccountingRequest) Identifier=45 Länge=381

         [1] Benutzername - Wert: [dot1xuser]

         [87] NAS-Port-ID - Wert: [GigabitEthernet1/0/13]

         [26] cisco-av-pair - value: [dhcp-option=

         [26] cisco-av-pair - value: [Audit-Session-ID=0A6A270B0000018B44013AC]

    ++ISE sendet Antwort auf Rechnungslegung zurück 

    Radius,2020-12-29 06:35:41,472,DEBUG,0x7f1cdc5cc700,cntx=0001348601,sens=isee30-primary/397 791910/627,CPMSessionID=0A6A270B0000018B44013AC,user=dot1xuser,CallingStationID=B4-96-91-26-EB-9F RADIUS-PAKET: Code=5(AccountingResponse) Identifier=45 Length=20,RADIUSHandler.cpp:2216

    ++Profiler.log 

    ++Sobald Accounting Update mit der DHCP-Option dhcp-parameter-request-list empfangen wurde, startet die ISE die Profilerstellung für das Gerät. 

    2020-12-29 06:35:41,470 DEBUG [SyslogListenerThread][] cisco.profiler.probes.radius.SyslogDefragmenter -::::- parseHeader inBuffer=<181>Defragmentierung c 29 06:35:41 isee30-primary CISE_RADIUS_Accounting 000000655 2 0 2020-12-29 06:35:41.467 +00:00 000 234376 3002 NOTICE Radius-Accounting: RADIUS Accounting Watchdog update, ConfigVersionId=99, Device IP Address=10.106.39.11, UserName=dot1xuser, RequestLatency=6, NetworkDeviceName=Sw, User-Name=dot1xuser, NAS-IP-Address=10.106.39.1 1, NAS-Port=50113, Class=CACS:0A6A270B0000018B44013AC:isee30-primary/397791910/625, mit Angerufene Station-ID=A0-EC-F9-3C-82-0D, Calling-Station-ID=B4-96-91-26-EB-9F, NAS-Identifier=Switch, Acct-Status-Type=Interim-Update, Acct-Delay-Time=0, Acct-Input-Octets=174, Acct-Output-Octets ets=0, Acct-Session-Id=000000b, Acct-Authentic=Remote, Acct-Input-Packets=1, Acct-Output-Packets=0, Event-Timestamp=1609341899, NAS-Port-Type=Ethernet, NAS-Port-Id=GigabitEthernet1/0 cisco-av-pair=dhcp-option=dhcp-parameter-request-list=1\, 3\, 6\, 15\, 31\, 33\, 43\, 44\, 46\, 47\, 119\, 121\, 249\, 257 2, cisco-av-pair=audit-session-id=0A6A270B0000018B44013AC, cisco-av-pair=method=dot1x,

    2020-12-29 06:35:41,471 DEBUG [RADIUSParser-1-thread-2][] cisco.profiler.probes.radius.Radius.RadiusParser -::::- Parsed IOS Sensor 1: dhcp-parameter-request-list=[1, 3, 6, 15, 31, 33, 43, 44, 46, 47, 119, 121, 249, 252]

    Attribut:cisco-av-pair value:dhcp-option=dhcp-parameter-request-list=1\, 3\, 6\, 15\, 31\, 33\, 43\, 44\, 46\, 47\, 119\, 121\, 249\, 252, Audit session-id=0A6A270B0000018B44013AC, method=dot1x

    Attribut:dhcp-parameter-request-list value:1, 3, 6, 15, 31, 33, 43, 44, 46, 47, 119, 121, 249, 252

    2020-12-29 06:35:41.479 DEBUG [RMQforward-4][] cisco.profiler.infrastructure.cache.AbstractEndpointCache -:B4:96:91:26:EB:9F:124 13370-49a0-11eb-b713-1a99022ed3c5:ProfilerCollection:- Eigentümer dieses Mac: B4:96:91:26:EB:9F ist isee30-primary.anshsinh.local

    29.12.2020:35:41.479 DEBUG [RMQforward-4][] cisco.profiler.infrastructure.probemgr.Forwarder -:B4:96:91:26:EB:9F:12413 370-49a0-11eb-b713-1a99022ed3c5:ProfilerCollection:- aktueller Eigentümer des Endpunkts B4:96:91:26:EB:9Fis30-primary.anshsinh.local und Nachrichtencode lautet 30. 02

    29.12.2020:35:41.479 DEBUG [RMQforward-4][] cisco.profiler.infrastructure.probemgr.Forwarder -:B4:96:91:26:EB:9F:12413 370-49a0-11eb-b713-1a99022ed3c5:ProfilerCollection:- ist der Endpunktquellenradius true

    ++Neues Attribut 

    29.12.2020:35:41.480 DEBUG[RMQforward-4][] cisco.profiler.infrastructure.probemgr.Forwarder -:B4:96:91:26:EB:9F:12413 370-49a0-11eb-b713-1a99022ed3c5:ProfilerCollection:- Neues Attribut: dhcp-parameter-request-list

    29.12.2020:35:41.482 DEBUG [RMQforward-4][] cisco.profiler.infrastructure.probemgr.Forwarder -:B4:96:91:26:EB:9F:12413 370-49a0-11eb-b713-1a99022ed3c5:ProfilerCollection:- Geänderter Attributsatz für Endpunkte:

    29.12.2020:35:41.482 DEBUG [RMQforward-4][] cisco.profiler.infrastructure.probemgr.Forwarder -:B4:96:91:26:EB:9F:12413 ProfilerCollection:- dhcp-parameter-request-list,

    ++Unterschiedliche Regeln werden mit unterschiedlichen Sicherheitsfaktoren zugeordnet 

    29.12.2020:35:41.484 DEBUG [RMQforward-4][] cisco.profiler.infrastructure.profiling.ProfilerManager -:B4:96:91:26:EB:9F:12413 370-49a0-11eb-b713-1a99022ed3c5:Profiling:- Richtlinie Intel-Gerät zugeordnet B4:96:91:26:EB:9F (Sicherheit 5)

    29.12.2020:35:41.485 DEBUG [RMQforward-4][] cisco.profiler.infrastructure.profiling.ProfilerManager -:B4:96:91:26:EB:9F:12413 370-49a0-11eb-b713-1a99022ed3c5:Profiling:- Policy Workstation matching B4:96:91:26:EB:9F (sicher 10)

    29.12.2020:35:41.486 DEBUG [RMQforward-4][] cisco.profiler.infrastructure.profiling.ProfilerManager -:B4:96:91:26:EB:9F:12413 370-49a0-11eb-b713-1a99022ed3c5:Profiling:- Richtlinie Microsoft-Workstation Übereinstimmung B4:96:91:26:EB:9F (Sicherheit 10)

    29.12.2020:35:41.487 DEBUG [RMQforward-4][] cisco.profiler.infrastructure.profiling.ProfilerManager -:B4:96:91:26:EB:9F:12413 370-49a0-11eb-b713-1a99022ed3c5:Profiling:- Richtlinien-Windows10-Workstation Übereinstimmung B4:96:91:26:EB:9F (Gewissheit 20)

    ++Windows10-Workstation hat aufgrund der Konfiguration den höchsten Sicherheitsfaktor von 40 und wird daher als Endgeräteprofil ausgewählt. 

    29.12.2020:35:41.487 DEBUG [RMQforward-4][] cisco.profiler.infrastructure.profiling.ProfilerManager -:B4:96:91:26:EB:9F:12413 370-49a0-11eb-b713-1a99022ed3c5:Profiling:- Nach Analyse der Richtlinienhierarchie: Endgerät: B4:96:91:26:EB:9F EndpointPolicy:Windows10-Workstation for:40 ExceptionRuleMatched:false

    29.12.2020:35:41.487 DEBUG [RMQforward-4][] cisco.profiler.infrastructure.profiling.ProfilerManager -:B4:96:91:26:EB:9F:12413 370-49a0-11eb-b713-1a99022ed3c5:Profiling:- Endpunkt B4:96:91:26:EB:9F: Geänderte Richtlinie geändert.

    29.12.2020:35:41.489 DEBUG [RMQforward-4][] cisco.profiler.infrastructure.profiling.ProfilerManager -:B4:96:91:26:EB:9F:12413 370-49a0-11eb-b713-1a99022ed3c5:Profiling:- Endpunkt B4:96:91:26:EB:9F IdentityGroup Changed.

    29.12.2020:35:41.489 DEBUG [RMQforward-4][] cisco.profiler.infrastructure.profiling.ProfilerManager -:B4:96:91:26:EB:9F:12413 370-49a0-11eb-b713-1a99022ed3c5:Profiling:- Festlegen der Identitätsgruppen-ID am Endpunkt B4:96:91:26:EB:9F - 3b76f840-8c00-1 E6-996c-525400b48521

    29.12.2020:35:41.489 DEBUG [RMQforward-4][] cisco.profiler.infrastructure.profiling.ProfilerManager -:B4:96:91:26:EB:9F:12413 370-49a0-11eb-b713-1a99022ed3c5:Profilerstellung:- Calling Endpoint Cache mit Profil für Endpunkt B4:96:91:26:EB:9F, Richtlinien-Windows10-Workstation, übereinstimmende Richtlinien Windows10-Workstation

    29.12.2020:35:41.489 DEBUG [RMQforward-4][] cisco.profiler.infrastructure.profiling.ProfilerManager -:B4:96:91:26:EB:9F:12413 370-49a0-11eb-b713-1a99022ed3c5:Profiling:- Senden eines Ereignisses, um Endpunkt B4:96:91:26:EB:9F zu erhalten, und ep-Nachrichtencode = 3002

    29.12.2020:35:41.489 DEBUG [RMQforward-4][] cisco.profiler.infrastructure.profiling.ProfilerManager -:B4:96:91:26:EB:9F:12413 370-49a0-11eb-b713-1a99022ed3c5:Profiling:- Endpunkt B4:96:91:26:EB:9F IdentityGroup / Logisches Profil geändert. Ausgeben einer bedingten CoA

    29.12.2020:35:41.489 DEBUG [RMQforward-4][] cisco.profiler.infrastructure.profiling.ProfilerManager -:B4:96:91:26:EB:9F:12413 370-49a0-11eb-b713-1a99022ed3c5:Profiling:- ConditionalCoAEvent mit Endpunktdetails: EndPoint[id=ff19ca00-499f-11eb-b713-1a99022ed3c5,name=<null>]

    MAC: B4:96:91:26:EB:9F

    Attribut:Calling-Station-ID-Wert:B4-96-91-26-EB-9F

    Attribut:EndPointMACAddress-Wert:B4-96-91-26-EB-9F

    Attribut:MACAddress value:B4:96:91:26:EB:9F

    ++Senden der Daten an Lightweight Session Directory  

    29.12.2020:35:41.489 DEBUG [RMQforward-4][] cisco.profiler.infrastructure.probemgr.LSDForwarderHelper -:::- Endpoint.B4:96:91:2 6:EB:9F entspricht Windows10-Workstation

    29.12.2020:35:41.489 DEBUG[RMQforward-4][] cisco.profiler.infrastructure.probemgr.LSDForwarderHelper -:::- Senden eines Ereignisses an einen Endpunkt, während LSD für die Weiterleitung hinzugefügt wird,defaultradius,defaultad B4:96:91:26:EB:9F

    ++Globales CoA wird als Realität ausgewählt

    29.12.2020:35:41.489 DEBUG [CoAHandler-52-thread-1][] cisco.profiler.profiling.CoAHandler -:B4:96:91:26:EB:9F 9fe38b30-43ea-11eb-b713-1a99022ed3c5:ProfilerCoA:- Konfigurierter globaler CoA-Befehlstyp = Reauth

    2020-12-29 06:35:41.490 DEBUG [RMQforward-4][] cisco.profiler.infrastructure.cache.AbstractEndpointCache -:B4:96:91:26:EB:9F:124 13370-49a0-11eb-b713-1a99022ed3c5:- Updating end point - EP from incoming: B4:96:91:26:EB:9FepSource: RADIUS-ProbeSGA: falseSG: Workstation

    2020-12-29 06:35:41.490 DEBUG [RMQforward-4][] cisco.profiler.infrastructure.cache.AbstractEndpointCache -:B4:96:91:26:EB:9F:124 13370-49a0-11eb-b713-1a99022ed3c5:- Endpunkt aktualisieren - EP nach Zusammenführung: B4:96:91:26:EB:9FepSource: RADIUS-ProbeSGA: falseSG:Windows10-Workstation

    ++ISE stimmt mit der Richtlinie überein, um zu überprüfen, ob CoA gesendet werden muss. Die ISE löst CoA nur aus, wenn eine Richtlinie mit der Profiländerung übereinstimmt.  

    29.12.2020 06:35:41.701 DEBUG [CoAHandler-52-thread-1][] cisco.profiler.infrastructure.profiling.CoAHandler -:B4:96:91:26:EB:9F:9fe99 38b30-43ea-11eb-b713-1a99022ed3c5:ProfilerCoA:- Verarbeiten aller verfügbaren Richtlinien in einem lokalen Ausnahmemittel-Switch ,policystatus=ENABLED

    29.12.2020:35:41.701 DEBUG [CoAHandler-52-thread-1][] cisco.profiler.profiling.CoAHandler -:B4:96:91:26:EB:9F 9fe38b30-43ea-11eb-b713-1a99022ed3c5:ProfilerCoA:- Name der Richtlinie: Switch-Richtlinienstatus: AKTIVIERT

    29.12.2020:35:41.702 DEBUG [CoAHandler-52-thread-1][] cisco.profiler.profiling.CoAHandler -:B4:96:91:26:EB:9F 9fe38b30-43ea-11eb-b713-1a99022ed3c5:ProfilerCoA:- niedriger Wertname 6d954800-8bff-11e6-996c-525 400b48521 rhs operandID 42706690-8c00-11e6-996c-525400b48521 Workstation rhsvaluename Workstation:Microsoft-Workstation:Windows10-10 Station

    29.12.2020:35:41.933 DEBUG [CoAHandler-52-thread-1][] com.cisco.profiler.api.Util -:B4:96:91:26:EB:9F:9fe33 8b30-43ea-11eb-b713-1a99022ed3c5:ProfilerCoA:- Verfügbare Bedingung in der Autorisierungsrichtlinie

    29.12.2020:35:41.933 DEBUG [CoAHandler-52-thread-1][] com.cisco.profiler.api.Util -:B4:96:91:26:EB:9F:9fe33 8b30-43ea-11eb-b713-1a99022ed3c5:ProfilerCoA:- Autorisierungsrichtlinie HAVING-Richtlinie: 42706690-8c00-11e6-996c-525400b48521

    ++Autorisierungsrichtlinie stimmt mit dieser Bedingung überein, und CoA wird ausgelöst 

    29.12.2020:35:41.935 DEBUG [CoAHandler-52-thread-1][] cisco.profiler.profiling.CoAHandler -:B4:96:91:26:EB:9F 9fe38b30-43ea-11eb-b713-1a99022ed3c5:ProfilerCoA:- wendenCoa: Auf Endpunkt-RADIUS-Attributen basierender Deskriptor:

    MAC: [B4:96:91:26:EB:9F]

    Sitzungs-ID: [0A6A270B0000018B44013AC]

    AAA-Server: [isee30-primary] IP: [10.106.32.119]

    AAA-Schnittstelle: [10.106.32.119]

    NAD-IP-Adresse: [10.106.39.11]

    NAS-Port-ID: [GigabitEthernet1/0/13]

    NAS-Port-Typ: [Ethernet]

    Servicetyp: [Frame]

    Wireless: [false]

    Ist VPN? [false]

    Ist MAB: [false]

    29.12.2020:35:41.938 DEBUG [CoAHandler-52-thread-1][] cisco.profiler.profiling.CoAHandler -:B4:96:91:26:EB:9F 9fe38b30-43ea-11eb-b713-1a99022ed3c5:ProfilerCoA:- CoA wird bald für CoA und IP angerufen: 10.106.39.11 für Endgeräte: B4:96:91:26:EB:9F CoA-Befehl: Authentifizierung

    29.12.2020:35:41.938 DEBUG [CoAHandler-52-thread-1][] cisco.profiler.profiling.CoAHandler -:B4:96:91:26:EB:9F 9fe38b30-43ea-11eb-b713-1a99022ed3c5:ProfilerCoA:- Anwenden von CoA-REAUTH durch AAA-Server: 10.106.32.119 über Schnittstelle: 10.106.32.119 an NAD: 10.106.39.11

    2020-12-29 06:35:41,949 DEBUG [SyslogListenerThread][] cisco.profiler.probes.radius.SyslogDefragmenter -::::::- parseHeader inBuffer=<181>Dec 296:35:41 isee30-primary CISE_Passed_Authentications 00000656 2 1 StepData=2=( port = 1700 \, type = Cisco CoA ), CoASourceComponent=Profiler, CoAReason=Änderung in Endpunktidentitätsgruppe/ Richtlinien/logisches Profil, das in Autorisierungsrichtlinien verwendet wird, CoAType=Reauthentication - last, Network Device Profile=Cisco,

    ++prt-server.log 

    ACSLogs,2020-12-29 06:35:41,938,DEBUG,0x7f1c6ffcb700,cntx=0001348611,Log_Message=[2020 12-29 06:35:41.938 +00:00 000234379 80006 INFO Profiler: Der Profiler löst die Änderung des Autorisierungsantrags, ConfigVersionId=99, EndpointCoA=Reauth, EndpointMacAddress=B4:96:91:26:EB:9F, EndpointNADAddress=10.106.39.11, Endpoint aus. Policy=Windows10-Workstation, EndpointProperty=Servicetyp=Framed\,MessageCode=3002\,EndPointPolicyID=42706690-8c00-11e6-996c-525400b485 21\,UseCase=\,NAS-Port-Id=GigabitEthernet1/0/13\,NAS-Port-Type=Ethernet\,Response=\{User-Name=dot1xuser\;

    DynamicAuthorizationFlow,2020-12-29 06:35:41,939,DEBUG,0x7f1cdc3ca700,cntx=001348614,[Dynamic AuthorizationFlow::onLocalHttpEvent] Empfangener CoA-Befehl erhalten:

    <Reauthentifizieren id="39c74088-52fd-430f-95d9-a8fe78ea1f1" type="last">

      <session serverAddress="10.106.39.11">

        <identifierAttribute name="UseInterface">10.106.32.119</identifierAttribute>

        <identifierAttribute name="Calling-Station-ID">B4:96:91:26:EB:9F</identifierAttribute>

        <identifierAttribute name="NAS-Port-Id">GigabitEthernet1/0/13</identifierAttribute>

        <identifierAttribute name="cisco-av-pair">audit-session-id=0A6A270B0000018B44013AC</identifierAttribute>

        <identifierAttribute name="ACS-Instance">COA-IP-TARGET:10.106.32.119</identifierAttribute>

      </session>

    </Reauthentifizierung>

    ++CoA gesendet -

    RadiusClient,2020-12-29 06:35:41,943,DEBUG,0x7f1ccb3f3700,cntx=0001348614,sens=39c7408 8-52fd-430f-95d9-a8fe78ea1f1,CallingStationID=B4:96:91:26:EB:9F, RADIUS-PAKET: Code=43 (CoARequest) Identifier=27 Länge=225

         [4] NAS-IP-Adresse - Wert: [10.106.39.11]

         [31] Calling-Station-ID - Wert: [B4:96:91:26:EB:9F] 

         [87] NAS-Port-ID - Wert: [GigabitEthernet1/0/13]

         [26] cisco-av-pair - value: [Subscriber:command=reauthentifizieren]

         [26] cisco-av-pair - value: [Audit-Session-ID=0A6A270B0000018B44013AC]

    RadiusClient,2020-12-29 06:35:41,947,DEBUG,0x7f1cdcad1700,cntx=0001348614,sens=39c7408 8-52fd-430f-95d9-a8fe78ea1f1,CallingStationID=B4:96:91:26:EB:9F, RADIUS-PAKET: Code=44 (CoACK) Kennung=27

    ++Neue Zugriffsanfrage 

    Radius,2020-12-29 06:35:41,970,DEBUG,0x7f1cdc6cd700,cntx=0001348621,sens=isee30-primary/397 791910/628,CallingStationID=B4-96-91-26-EB-9F,RADIUS-PAKET: Code=1(AccessRequest) Identifier=187 Length=285

    ++ISE stimmt mit dem neuen Autorisierungsprofil überein, das der Endpunktrichtlinie des Endgeräts entspricht 

    ACSLogs,2020-12-29 06:35:42,060,DEBUG,0x7f1cdcad1700,cntx=0001348636,sens=isee30-primary/397791910/628,CPMSessionID=0A6A270B0000018B44013AC,user=dot1xuser,CallingStationID=B4-96-91-26 EB-9FIdentityPolicyMatchedRule=Default, AuthorizationPolicyMatchedRule=Microsoft_Workstation, EapTunnel=EAP-FAST, EAPAuthentication=EAP-MSCHAPv2, UserType=User, CPMSessionID=0A6A270B0000 18B44013AC, EndPointMACAddress=B4-96-91-26-EB-9F, PostureAssessmentStatus=NotApplication, EndPointMatchedProfile=Windows10-Workstation,

    ++Zugriffsannahme gesendet -

    Radius,2020-12-29 06:35:42,061,DEBUG,0x7f1cdcad1700,cntx=0001348636,sen=isee30-primary/397 791910/628,CPMSessionID=0A6A270B0000018B44013AC,user=dot1xuser,CallingStationID=B4-96-91-26-EB-9F RADIUS-PAKET: Code=2(AccessAccept) Identifier=191 Length=340

    Zugehörige Informationen

    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Harisha Guna
      Cisco TAC-Techniker
    • Pankaj Kumar
      Cisco TAC-Techniker
    • Anshu Sinha
      Cisco TAC-Techniker

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.