Konfigurieren des Gerätesensors für die ISE-Profilerstellung

Download-Optionen

  • PDF     (2.3 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (2.2 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (1.5 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:15. Januar 2016
Dokument-ID:200292

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.


    Einleitung

    In diesem Dokument wird beschrieben, wie der Gerätesensor konfiguriert wird, damit er für Profilerstellungszwecke auf der ISE verwendet werden kann.


    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Radius-Protokoll
    • Cisco Discovery Protocol (CDP), Link Layer Discovery Protocol (LLDP) und Dynamic Host Configuration Protocol (DHCP)
    • Cisco Identity Service Engine (ISE)
    • Cisco Catalyst Switch 2960

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Cisco ISE Version 1.3 Patch 3
    • Cisco Catalyst Switch 2960s Version 15.2(2a)E1
    • Cisco IP-Telefon 8941 Version SCCP 9-3-4-17

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    Ein Gerätesensor ist eine Funktion von Zugriffsgeräten. Es ermöglicht das Sammeln von Informationen über verbundene Endpunkte. Die vom Gerätesensor gesammelten Informationen können hauptsächlich von den folgenden Protokollen stammen:

    • CDP
    • LLDP
    • DHCP
    note-icon

    Hinweis: Auf einigen Plattformen können auch die Protokolle H323, Session Initiation Protocol (SIP), Multicast Domain Resolution (MDNS) oder HTTP verwendet werden. Die Konfigurationsmöglichkeiten für Gerätesensorfunktionen können von Protokoll zu Protokoll variieren. Ein Beispiel hierfür ist der Cisco Catalyst 3850 mit der Software 03.07.02.E verfügbar.

    Nachdem die Informationen gesammelt wurden, können sie in die RADIUS-Abrechnung eingeschlossen und an einen Profilerstellungsserver gesendet werden. In diesem Artikel wird die ISE als Profilserver verwendet.

    Konfigurieren

    Schritt 1: AAA-Standardkonfiguration

    Zum Konfigurieren von AAA (Authentication, Authorization und Accounting) gehen Sie wie folgt vor:

    1. Aktivieren Sie AAA mit aaa new-model command, und aktivieren Sie 802.1X global auf dem Switch.

    2. Konfigurieren Sie den Radius-Server, und aktivieren Sie die dynamische Autorisierung (Autorisationsänderung - CoA).

    3. Aktivieren Sie die Protokolle CDP und LLDP.

    4. Hinzufügen der Konfiguration für die Switch-Port-Authentifizierung

    !
    aaa new-model
!
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting update newinfo
aaa accounting dot1x default start-stop group radius
!
    aaa server radius dynamic-author
     client 1.1.1.1 server-key xyz
    !
    dot1x system-auth-control
    !
lldp run
    cdp run
!
interface GigabitEthernet1/0/13
 description IP_Phone_8941_connected
 switchport mode access
 switchport voice vlan 101
 authentication event fail action next-method
 authentication host-mode multi-domain
 authentication order dot1x mab
 authentication priority dot1x mab
 authentication port-control auto
 mab
 dot1x pae authenticator
 dot1x timeout tx-period 2
 spanning-tree portfast
end
!
radius-server host 1.1.1.1 auth-port 1812 acct-port 1813 key xyz
    !
    note-icon

    Hinweis: In der neueren Softwareversion ist der Befehlradius-server vsa send accounting standardmäßig aktiviert. Wenn in der Kontoverwaltung gesendete Attribute nicht angezeigt werden, überprüfen Sie, ob der Befehl aktiviert ist.

    Schritt 2: Gerätesensor konfigurieren

    1. Bestimmen Sie, welche Attribute von CDP/LLDP für die Erstellung eines Geräteprofils benötigt werden. Im Fall des Cisco IP-Telefons 8941 können Sie Folgendes verwenden:

    • LLDP SystemDescription-Attribut
    • CDP CachePlatform-Attribut
      •

    Gerätesensor konfigurieren

    Für unseren Zweck reicht es aus, nur eine von diesen zu erhalten, da beide eine Erhöhung der "Certainty Factory" um 70 bieten und die erforderliche Mindestanzahl an "Certainty Factory", die als Cisco-IP-Telefon-8941 profiliert werden muss, 70 beträgt:

    Mindestsicherheitsfaktor

    note-icon

    Hinweis: Damit Sie ein Profil als ein bestimmtes Cisco IP-Telefon erstellen können, müssen Sie die Mindestbedingungen für alle übergeordneten Profile erfüllen. Das bedeutet, dass der Profiler mit dem Cisco-Gerät (minimaler Sicherheitsfaktor 10) und dem Cisco-IP-Telefon (minimaler Sicherheitsfaktor 20) übereinstimmen muss. Auch wenn der Profiler mit diesen beiden Profilen übereinstimmt, muss er dennoch als spezifisches Cisco IP-Telefon profiliert werden, da jedes IP-Telefonmodell einen Mindestsicherheitsfaktor von 70 aufweist. Das Gerät wird dem Profil zugewiesen, für das es den höchsten Sicherheitsfaktor aufweist.

    2. Konfigurieren Sie zwei Filterlisten - eine für CDP und eine andere für LLDP. Diese geben an, welche Attribute in RADIUS-Accounting-Meldungen enthalten sein müssen. Dieser Schritt ist optional.

    3. Erstellen Sie zwei Filterspezifikationen für CDP und LLDP. In der Filterspezifikation können Sie die Liste der Attribute angeben, die in Abrechnungsmeldungen ein- oder ausgeschlossen werden müssen. Im Beispiel sind folgende Attribute enthalten:

    • Gerätename von CDP
    • Systembeschreibung aus LLDP
      •

    Sie können bei Bedarf zusätzliche Attribute konfigurieren, die über Radius an die ISE übertragen werden. Dieser Schritt ist ebenfalls optional.

    4. Fügen Sie den Befehl hinzu device-sensor notify all-changes. Sie löst Updates aus, wenn TLVs für die aktuelle Sitzung hinzugefügt, geändert oder entfernt werden.

    5. Um die über die Geräteerkennung gesammelten Informationen tatsächlich zu senden, müssen Sie den Switch explizit anweisen, dies mit dem Befehl device-sensor accounting zu tun.

    ! device-sensor filter-list cdp list cdp-list tlv name device-name
     tlv name platform-type ! device-sensor filter-list lldp list lldp-list tlv name system-description ! device-sensor filter-spec lldp include list lldp-list device-sensor filter-spec cdp include list cdp-list ! device-sensor accounting device-sensor notify all-changes !

    Schritt 3: Profilerstellung auf ISE konfigurieren

    1. Fügen Sie den Switch als Netzwerkgerät hinzu in Administration > Network Resources > Network Devices. Verwenden Sie den Radius-Serverschlüssel des Switches als gemeinsamen geheimen Schlüssel in den Authentifizierungseinstellungen:

    Netzwerkgerät hinzufügen

    2. Aktivieren Sie den Radius-Prüfpunkt auf dem Profilerstellungsknoten in Administration > System > Deployment > ISE node > Profiling Configuration. Wenn alle PSN-Knoten für die Profilerstellung verwendet werden müssen, aktivieren Sie die Überprüfung für alle Knoten:

    Radius-Datensammlung aktivieren

    3. Konfigurieren Sie die ISE-Authentifizierungsregeln. Im Beispiel werden die auf der ISE vorkonfigurierten Standardauthentifizierungsregeln verwendet:

    Authentifizierungsregeln

    4. ISE-Autorisierungsregeln konfigurieren. Es wird eine Regel für profilierte Cisco IP-Telefone verwendet, die auf der ISE vorkonfiguriert ist:

    Autorisierungsregel

    Überprüfung

    Informationen zur Überprüfung der ordnungsgemäßen Funktion der Profilerstellung finden Sie unter Operations > Authentications auf der ISE:

    Authentifizierungsprotokoll

    Zunächst wurde das Gerät mithilfe von MAB authentifiziert (18:49:00). Zehn Sekunden später (18:49:10) wurde es als Cisco-Device reprofiliert und schließlich nach 42 Sekunden seit den ersten Authentifizierungen (18:49:42) erhielt es das Cisco-IP-Phone-8941 Profil. Daher gibt die ISE ein spezifisches Autorisierungsprofil für IP-Telefone (Cisco_IP_Phones) und herunterladbare ACLs zurück, die den gesamten Datenverkehr zulassen (permit ip any). Beachten Sie, dass in diesem Szenario das unbekannte Gerät über einen Basiszugriff auf das Netzwerk verfügt. Möglich wird dies durch das Hinzufügen einer MAC-Adresse zur internen ISE-Endpunktdatenbank oder durch die Gewährung eines sehr grundlegenden Netzwerkzugriffs für zuvor unbekannte Geräte.

    note-icon

    Hinweis: In diesem Beispiel dauerte die Profilerstellung ca. 40 Sekunden. Bei der nächsten Authentifizierung kennt die ISE das Profil bereits, und die richtigen Attribute (Berechtigung zum Beitritt zur Sprachdomäne und DACL) werden sofort angewendet, es sei denn, die ISE erhält neue/aktualisierte Attribute und muss das Gerät erneut profilieren.

    Zweites Authentifizierungsprotokoll

    In Administration > Identity Management > Identities > Endpoints > tested endpoint sehen Sie, welche Attribute von der Radius-Sonde erfasst wurden und wie deren Werte lauten:

    Endpunkt

    Wie Sie sehen können, beträgt der berechnete Sicherheitsfaktor in diesem Szenario insgesamt 210. Der Grund dafür ist, dass das Endgerät auch mit dem Cisco Geräteprofil (mit einem Gesamtsicherheitsfaktor von 30) und dem Cisco IP-Telefonprofil (mit einem Gesamtsicherheitsfaktor von 40) übereinstimmt. Da der Profiler beide Bedingungen im Profil Cisco-IP-Phone-8941 erfüllt, beträgt der Sicherheitsfaktor für dieses Profil 140 (70 für jedes Attribut gemäß Profiling-Richtlinie). Zusammenfassend: 30+40+70+70=210.

    Fehlerbehebung

    Schritt 1: Überprüfen der von CDP/LLDP erfassten Informationen

    switch#sh cdp neighbors g1/0/13 detail ------------------------- Device ID: SEP20BBC0DE06AE Entry address(es): Platform: Cisco IP Phone 8941 , Capabilities: Host Phone Two-port Mac Relay Interface: GigabitEthernet1/0/13, Port ID (outgoing port): Port 1 Holdtime : 178 sec Second Port Status: Down Version : SCCP 9-3-4-17 advertisement version: 2 Duplex: full Power drawn: 3.840 Watts Power request id: 57010, Power management id: 3 Power request levels are:3840 0 0 0 0 Total cdp entries displayed : 1

    switch#
    switch#sh lldp neighbors g1/0/13 detail
    ------------------------------------------------
    Chassis id: 0.0.0.0
    Port id: 20BBC0DE06AE:P1
    Port Description: SW Port
    System Name: SEP20BBC0DE06AE.

    System Description:
    Cisco IP Phone 8941, V3, SCCP 9-3-4-17

    Time remaining: 164 seconds
    System Capabilities: B,T
    Enabled Capabilities: B,T
    Management Addresses - not advertised
    Auto Negotiation - supported, enabled
    Physical media capabilities:
        1000baseT(FD)
        100base-TX(FD)
        100base-TX(HD)
        10base-T(FD)
        10base-T(HD)
    Media Attachment Unit type: 16
    Vlan ID: - not advertised

    MED Information:

        MED Codes:
              (NP) Network Policy, (LI) Location Identification
              (PS) Power Source Entity, (PD) Power Device
              (IN) Inventory

        H/W revision: 3
        F/W revision: 0.0.1.0
        S/W revision: SCCP 9-3-4-17
        Serial number: PUC17140FBO
        Manufacturer: Cisco Systems , Inc.
        Model: CP-8941
        Capabilities: NP, PD, IN
        Device type: Endpoint Class III
        Network Policy(Voice): VLAN 101, tagged, Layer-2 priority: 0, DSCP: 0
        Network Policy(Voice Signal): VLAN 101, tagged, Layer-2 priority: 3, DSCP: 24
        PD device, Power source: Unknown, Power Priority: Unknown, Wattage: 3.8
        Location - not advertised


    Total entries displayed: 1

    Wenn Sie keine gesammelten Daten sehen können, überprüfen Sie Folgendes:

    • Überprüfen Sie den Status der Authentifizierungssitzung auf dem Switch (sie muss erfolgreich sein):

      •  
    piborowi#show authentication sessions int g1/0/13 details Interface: GigabitEthernet1/0/13 MAC Address: 20bb.c0de.06ae IPv6 Address: Unknown IPv4 Address: Unknown User-Name: 20-BB-C0-DE-06-AE Status: Authorized Domain: VOICE Oper host mode: multi-domain Oper control dir: both Session timeout: N/A Common Session ID: 0AE51820000002040099C216 Acct Session ID: 0x00000016 Handle: 0xAC0001F6 Current Policy: POLICY_Gi1/0/13 Local Policies: Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150) Server Policies: Method status list: Method State dot1x Stopped mab Authc Success
    • Überprüfen Sie, ob CDP- und LLDP-Protokolle aktiviert sind. Überprüfen Sie, ob nicht standardmäßige Befehle für CDP, LLDP usw. vorhanden sind und wie sich diese auf den Attributabruf vom Endpunkt auswirken können.
      switch#sh running-config all | in cdp run
cdp run
switch#sh running-config all | in lldp run
lldp run
    • Prüfen Sie im Konfigurationsleitfaden für Ihr Endgerät, ob es CDP/LLDP usw. unterstützt.
      •

    Schritt 2: Überprüfen Sie den Gerätesensorcache.

    switch#show device-sensor cache interface g1/0/13 Device: 20bb.c0de.06ae on port GigabitEthernet1/0/13 -------------------------------------------------- Proto Type:Name Len Value LLDP 6:system-description 40 0C 26 43 69 73 63 6F 20 49 50 20 50 68 6F 6E 65 20 38 39 34 31 2C 20 56 33 2C 20 53 43 43 50 20 39 2D 33 2D 34 2D 31 37 CDP 6:platform-type 24 00 06 00 18 43 69 73 63 6F 20 49 50 20 50 68 6F 6E 65 20 38 39 34 31 20 CDP 28:secondport-status-type 7 00 1C 00 07 00 02 00

    Wenn in diesem Feld keine Daten angezeigt werden oder die Informationen unvollständig sind, überprüfen Sie die Befehle des Gerätesensors, insbesondere die Filterlisten und Filterspezifikationen.

    Schritt 3: Prüfen, ob Attribute in Radius Accounting vorhanden sind

    Dies können Sie überprüfen, indem Sie dendebug radius Switch-Befehl verwenden oder eine Paketerfassung zwischen dem Switch und der ISE durchführen.

    Radius-Debugging:

    Mar 30 05:34:58.716: RADIUS(00000000): Send Accounting-Request to 1.1.1.1:1813 id 1646/85, len 378 Mar 30 05:34:58.716: RADIUS: authenticator 17 DA 12 8B 17 96 E2 0F - 5D 3D EC 79 3C ED 69 20 Mar 30 05:34:58.716: RADIUS: Vendor, Cisco [26] 40 Mar 30 05:34:58.716: RADIUS: Cisco AVpair [1] 34 "cdp-tlv= " Mar 30 05:34:58.716: RADIUS: Vendor, Cisco [26] 23 Mar 30 05:34:58.716: RADIUS: Cisco AVpair [1] 17 "cdp-tlv= " Mar 30 05:34:58.721: RADIUS: Vendor, Cisco [26] 59 Mar 30 05:34:58.721: RADIUS: Cisco AVpair [1] 53 "lldp-tlv= " Mar 30 05:34:58.721: RADIUS: User-Name [1] 19 "20-BB-C0-DE-06-AE" Mar 30 05:34:58.721: RADIUS: Vendor, Cisco [26] 49 Mar 30 05:34:58.721: RADIUS: Cisco AVpair [1] 43 "audit-session-id=0AE518200000022800E2481C" Mar 30 05:34:58.721: RADIUS: Vendor, Cisco [26] 19 Mar 30 05:34:58.721: RADIUS: Cisco AVpair [1] 13 "vlan-id=101" Mar 30 05:34:58.721: RADIUS: Vendor, Cisco [26] 18 Mar 30 05:34:58.721: RADIUS: Cisco AVpair [1] 12 "method=mab" Mar 30 05:34:58.721: RADIUS: Called-Station-Id [30] 19 "F0-29-29-49-67-0D" Mar 30 05:34:58.721: RADIUS: Calling-Station-Id [31] 19 "20-BB-C0-DE-06-AE" Mar 30 05:34:58.721: RADIUS: NAS-IP-Address [4] 6 10.229.20.43 Mar 30 05:34:58.721: RADIUS: NAS-Port [5] 6 60000 Mar 30 05:34:58.721: RADIUS: NAS-Port-Id [87] 23 "GigabitEthernet1/0/13" Mar 30 05:34:58.721: RADIUS: NAS-Port-Type [61] 6 Ethernet [15] Mar 30 05:34:58.721: RADIUS: Acct-Session-Id [44] 10 "00000018" Mar 30 05:34:58.721: RADIUS: Acct-Status-Type [40] 6 Watchdog [3] Mar 30 05:34:58.721: RADIUS: Event-Timestamp [55] 6 1301463298 Mar 30 05:34:58.721: RADIUS: Acct-Input-Octets [42] 6 538044 Mar 30 05:34:58.721: RADIUS: Acct-Output-Octets [43] 6 3201914 Mar 30 05:34:58.721: RADIUS: Acct-Input-Packets [47] 6 1686 Mar 30 05:34:58.721: RADIUS: Acct-Output-Packets [48] 6 35354 Mar 30 05:34:58.721: RADIUS: Acct-Delay-Time [41] 6 0 Mar 30 05:34:58.721: RADIUS(00000000): Sending a IPv4 Radius Packet Mar 30 05:34:58.721: RADIUS(00000000): Started 5 sec timeout Mar 30 05:34:58.737: RADIUS: Received from id 1646/85 10.62.145.51:1813, Accounting-response, len 20

    Paketerfassung:

    Erfassung

    Schritt 4: Überprüfen der Profiler-Debugging-Vorgänge auf der ISE

    Wenn die Attribute vom Switch gesendet wurden, kann überprüft werden, ob sie über die ISE empfangen wurden. Um dies zu überprüfen, aktivieren Sie die Profiler-Debugging-Funktion für den richtigen PSN-Knoten (Administration > System > Logging > Debug Log Configuration > PSN > profiler > debug), und führen Sie die Authentifizierung des Endpunkts noch einmal durch.

    Suchen Sie nach diesen Informationen:

    • Debuggen, das angibt, dass der Radius-Prüfpunkt Attribute empfangen hat:

      •  
    2015-11-25 19:29:53,641 DEBUG [RADIUSParser-1-thread-1][] 
    cisco.profiler.probes.radius.RadiusParser -:::- 
    MSG_CODE=[3002], VALID=[true], PRRT_TIMESTAMP=[2015-11-25 19:29:53.637 +00:00], 
    ATTRS=[Device IP Address=10.229.20.43, RequestLatency=7, 
    NetworkDeviceName=deskswitch, User-Name=20-BB-C0-DE-06-AE, 
    NAS-IP-Address=10.229.20.43, NAS-Port=60000, Called-Station-ID=F0-29-29-49-67-0D, 
    Calling-Station-ID=20-BB-C0-DE-06-AE, Acct-Status-Type=Interim-Update, 
    Acct-Delay-Time=0, Acct-Input-Octets=362529, Acct-Output-Octets=2871426, 
    Acct-Session-Id=00000016, Acct-Input-Packets=1138, Acct-Output-Packets=32272, 
    Event-Timestamp=1301458555, NAS-Port-Type=Ethernet, NAS-Port-Id=GigabitEthernet1/0/13, 
    cisco-av-pair=cdp-tlv=cdpCachePlatform=Cisco IP Phone 8941 , 
    cisco-av-pair=cdp-tlv=cdpUndefined28=00:02:00, 
    cisco-av-pair=lldp-tlv=lldpSystemDescription=Cisco IP Phone 8941\, V3\, SCCP 9-3-4-17, 
    cisco-av-pair=audit-session-id=0AE51820000002040099C216, cisco-av-pair=vlan-id=101, 
    cisco-av-pair=method=mab, AcsSessionID=ise13/235487054/2511, SelectedAccessService=Default Network Access, 
    Step=11004, Step=11017, Step=15049, Step=15008, Step=15004, Step=11005, NetworkDeviceGroups=Location#All Locations, 
    NetworkDeviceGroups=Device Type#All Device Types, Service-Type=Call Check, CPMSessionID=0AE51820000002040099C216, 
    AllowedProtocolMatchedRule=MAB, Location=Location#All Locations, Device Type=Device Type#All Device Types, ]
    • Fehlerbehebung zeigt an, dass Attribute erfolgreich analysiert wurden:

      •  
    2015-11-25 19:29:53,642 DEBUG [RADIUSParser-1-thread-1][] cisco.profiler.probes.radius.RadiusParser -:::- Parsed IOS Sensor 1: cdpCachePlatform=[Cisco IP Phone 8941] 2015-11-25 19:29:53,642 DEBUG [RADIUSParser-1-thread-1][] cisco.profiler.probes.radius.RadiusParser -:::- Parsed IOS Sensor 2: cdpUndefined28=[00:02:00] 2015-11-25 19:29:53,642 DEBUG [RADIUSParser-1-thread-1][] cisco.profiler.probes.radius.RadiusParser -:::- Parsed IOS Sensor 3: lldpSystemDescription=[Cisco IP Phone 8941, V3, SCCP
    • Debuggen gibt an, dass Attribute von der Weiterleitung verarbeitet werden:

      •  
    2015-11-25 19:29:53,643 DEBUG [forwarder-6][] cisco.profiler.infrastructure.probemgr.Forwarder -:20:BB:C0:DE:06:AE:ProfilerCollection:- Endpoint Attributes: ID:null Name:null MAC: 20:BB:C0:DE:06:AE Attribute:AAA-Server value:ise13 (... more attributes ...) Attribute:User-Name value:20-BB-C0-DE-06-AE Attribute:cdpCachePlatform value:Cisco IP Phone 8941 Attribute:cdpUndefined28 value:00:02:00 Attribute:lldpSystemDescription value:Cisco IP Phone 8941, V3, SCCP 9-3-4-17 Attribute:SkipProfiling value:false
    note-icon

    Hinweis: Ein Forwarder speichert Endpunkte zusammen mit den Attributdaten in der Cisco ISE-Datenbank und benachrichtigt den Analyzer dann, wenn neue Endpunkte in Ihrem Netzwerk erkannt wurden. Der Analyzer klassifiziert Endpunkte in die Endpunkt-Identitätsgruppen und speichert Endpunkte mit den entsprechenden Profilen in der Datenbank.

    Schritt 5: Profilerstellung für neue Attribute und Gerätezuweisung

    In der Regel, nachdem der vorhandenen Sammlung für ein bestimmtes Gerät neue Attribute hinzugefügt wurden, wird dieses Gerät/dieser Endpunkt der Profilerstellungswarteschlange hinzugefügt, um zu prüfen, ob ihm basierend auf neuen Attributen ein anderes Profil zugewiesen werden muss:

    2015-11-25 19:29:53,646 DEBUG [EndpointHandlerWorker-6-31-thread-1][] 
    cisco.profiler.infrastructure.profiling.ProfilerManager -:20:BB:C0:DE:06:AE:Profiling:- 
    Classify hierarchy 20:BB:C0:DE:06:AE 
    2015-11-25 19:29:53,656 DEBUG [EndpointHandlerWorker-6-31-thread-1][] 
    cisco.profiler.infrastructure.profiling.ProfilerManager -:20:BB:C0:DE:06:AE:Profiling:- 
    Policy Cisco-Device matched 20:BB:C0:DE:06:AE (certainty 30) 
    2015-11-25 19:29:53,659 DEBUG [EndpointHandlerWorker-6-31-thread-1][] 
    cisco.profiler.infrastructure.profiling.ProfilerManager -:20:BB:C0:DE:06:AE:Profiling:- 
    Policy Cisco-IP-Phone matched 20:BB:C0:DE:06:AE (certainty 40) 
    2015-11-25 19:29:53,663 DEBUG [EndpointHandlerWorker-6-31-thread-1][] 
    cisco.profiler.infrastructure.profiling.ProfilerManager -:20:BB:C0:DE:06:AE:Profiling:- 
    Policy Cisco-IP-Phone-8941 matched 20:BB:C0:DE:06:AE (certainty 140) 
    2015-11-25 19:29:53,663 DEBUG [EndpointHandlerWorker-6-31-thread-1][] 
    cisco.profiler.infrastructure.profiling.ProfilerManager -:20:BB:C0:DE:06:AE:Profiling:- 
    After analyzing policy hierarchy: Endpoint: 20:BB:C0:DE:06:AE EndpointPolicy:Cisco-IP-Phone-8941 for:210 ExceptionRuleMatched:false

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    14-Dec-2015
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Piotr Borowiec
      Cisco TAC Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.