ISE プロファイリング用のデバイス センサーの設定

はじめに

このドキュメントでは、ISEでプロファイリング目的で使用できるようにデバイスセンサーを設定する方法について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• RADIUS プロトコル
• Cisco Discovery Protocol(CDP)、Link Layer Discovery Protocol(LLDP)、およびDynamic Host Configuration Protocol(DHCP)
• Cisco Identity Service Engine(ISE)
• Cisco Catalyst スイッチ 2960

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• Cisco ISEバージョン1.3パッチ3
• Cisco Catalyst スイッチ 2960 バージョン 15.2(2a)E1
• Cisco IP Phone 8941 バージョン SCCP 9-3-4-17

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

デバイスセンサーは、アクセスデバイスの機能です。これにより、接続エンドポイントに関する情報を収集できます。ほとんどの場合、デバイスセンサーによって収集される情報は、次のプロトコルから取得されます。

• CDP
• LLDP
• DHCP

収集された情報は、RADIUSアカウンティングにカプセル化してプロファイリングサーバに送信できます。この記事では、ISEをプロファイリングサーバとして使用します。

設定

ステップ 1：標準AAA設定

認証、認可、アカウンティング(AAA)を設定するには、次の手順を参照してください。

1. aaa new-modelコマンドを使用してAAAを有効にし、スイッチで802.1Xをグローバルに有効にします。

2. RADIUSサーバを設定し、動的許可(Change of Authorization - CoA)を有効にします。

3. CDPおよびLLDPプロトコルを有効にします。

4. switchport認証設定を追加します。

!
aaa new-model
!
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting update newinfo
aaa accounting dot1x default start-stop group radius
!
aaa server radius dynamic-author
 client 1.1.1.1 server-key xyz
!
dot1x system-auth-control
!
lldp run
cdp run
!
interface GigabitEthernet1/0/13
 description IP_Phone_8941_connected
 switchport mode access
 switchport voice vlan 101
 authentication event fail action next-method
 authentication host-mode multi-domain
 authentication order dot1x mab
 authentication priority dot1x mab
 authentication port-control auto
 mab
 dot1x pae authenticator
 dot1x timeout tx-period 2
 spanning-tree portfast
end
!
radius-server host 1.1.1.1 auth-port 1812 acct-port 1813 key xyz
!

ステップ 2：デバイスセンサーの設定

1. デバイスをプロファイリングするために必要なCDP/LLDPの属性を決定します。Cisco IP Phone 8941の場合は、次のコマンドを使用できます。

• LLDP SystemDescription 属性
• CDP CachePlatform 属性

どちらの場合も確信度のファクトリ値が70増加し、Cisco-IP-Phone-8941としてプロファイリングする必要がある最小確信度のファクトリ値が70であるため、いずれか1つのみを取得するだけで十分です。

2. 2つのフィルタリストを設定します。1つはCDP用で、もう1つはLLDP用です。これらは、RADIUSアカウンティングメッセージに含める必要がある属性を示します。この手順は任意です。

3. CDPとLLDPの2つのフィルタ仕様を作成します。filter-specでは、アカウンティングメッセージに含める属性と除外する属性のリストを指定できます。この例では、次の属性が含まれています。

• device-name（CDP）
• system-description（LLDP）

必要に応じて、Radius経由でISEに送信される追加の属性を設定できます。この手順もオプションです。

4. コマンドdevice-sensor notify all-changesを追加します。現在のセッションに対してTLVが追加、変更、または削除されるたびに、更新がトリガーされます。

5. デバイスセンサー機能を使用して収集した情報を実際に送信するには、device-sensor accountingコマンドを使用してスイッチに対しこの操作を実行するように明示的に指示する必要があります。

! device-sensor filter-list cdp list cdp-list tlv name device-name
 tlv name platform-type ! device-sensor filter-list lldp list lldp-list tlv name system-description ! device-sensor filter-spec lldp include list lldp-list device-sensor filter-spec cdp include list cdp-list ! device-sensor accounting device-sensor notify all-changes !

ステップ 3：ISEでのプロファイリングの設定

1. スイッチをネットワークデバイスとしてAdministration > Network Resources > Network Devicesに追加する。次のように、Authentication SettingsでスイッチからのRADIUSサーバキーを共有秘密鍵として使用します。

2. Administration > System > Deployment > ISE node > Profiling ConfigurationのプロファイルノードでRADIUSプローブを有効にします。すべてのPSNノードをプロファイルに使用する必要がある場合は、これらすべてのノードでプローブを有効にします。

3. ISE認証ルールの設定この例では、ISEで事前に設定されたデフォルトの認証ルールが使用されます。

4. ISE認可ルールの設定ISE で事前に設定された「Profiled Cisco IP Phone」ルールを使用します。

確認

プロファイリングが正しく機能しているかどうかを確認するには、「ISEでのOperations > Authentications:

まず、デバイスはMAB(18:49:00)を使用して認証されました。10秒後(18:49:10)にCisco-Deviceとして再プロファイルされ、最後に最初の認証(18:49:42)から42秒後にCisco-IP-Phone-8941プロファイルを受信しました。その結果、ISEはIPフォン(Cisco_IP_Phones)固有の認証プロファイルと、すべてのトラフィックを許可するダウンロード可能ACL(permit ip any)を返します。このシナリオでは、不明なデバイスがネットワークへの基本的なアクセス権を持っていることに注意してください。これは、ISE内部エンドポイントデータベースにMACアドレスを追加するか、または未知のデバイスに対して非常に基本的なネットワークアクセスを許可することで実現できます。

では、Radiusプローブによって収集された属性の種類と、その値を確認できます。

ご覧のように、このシナリオで計算される確信度の合計は210です。これは、エンドポイントがCisco-Deviceプロファイル（確信度の合計が30）およびCisco-IP-Phoneプロファイル（確信度の合計が40）にも一致したためです。プロファイラはプロファイルCisco-IP-Phone-8941の両方の条件に一致したため、このプロファイルの確信度は140です（プロファイリングポリシーに従って、属性ごとに70）。合計すると、30+40+70+70=210になります。

トラブルシュート

ステップ 1：CDP/LLDPによって収集された情報の確認

switch#sh cdp neighbors g1/0/13 detail ------------------------- Device ID: SEP20BBC0DE06AE Entry address(es): Platform: Cisco IP Phone 8941 , Capabilities: Host Phone Two-port Mac Relay Interface: GigabitEthernet1/0/13, Port ID (outgoing port): Port 1 Holdtime : 178 sec Second Port Status: Down Version : SCCP 9-3-4-17 advertisement version: 2 Duplex: full Power drawn: 3.840 Watts Power request id: 57010, Power management id: 3 Power request levels are:3840 0 0 0 0 Total cdp entries displayed : 1

switch#
switch#sh lldp neighbors g1/0/13 detail
------------------------------------------------
Chassis id: 0.0.0.0
Port id: 20BBC0DE06AE:P1
Port Description: SW Port
System Name: SEP20BBC0DE06AE.

System Description:
Cisco IP Phone 8941, V3, SCCP 9-3-4-17

Time remaining: 164 seconds
System Capabilities: B,T
Enabled Capabilities: B,T
Management Addresses - not advertised
Auto Negotiation - supported, enabled
Physical media capabilities:
    1000baseT(FD)
    100base-TX(FD)
    100base-TX(HD)
    10base-T(FD)
    10base-T(HD)
Media Attachment Unit type: 16
Vlan ID: - not advertised

MED Information:

    MED Codes:
          (NP) Network Policy, (LI) Location Identification
          (PS) Power Source Entity, (PD) Power Device
          (IN) Inventory

    H/W revision: 3
    F/W revision: 0.0.1.0
    S/W revision: SCCP 9-3-4-17
    Serial number: PUC17140FBO
    Manufacturer: Cisco Systems , Inc.
    Model: CP-8941
    Capabilities: NP, PD, IN
    Device type: Endpoint Class III
    Network Policy(Voice): VLAN 101, tagged, Layer-2 priority: 0, DSCP: 0
    Network Policy(Voice Signal): VLAN 101, tagged, Layer-2 priority: 3, DSCP: 24
    PD device, Power source: Unknown, Power Priority: Unknown, Wattage: 3.8
    Location - not advertised


Total entries displayed: 1
 

収集されたデータが表示されない場合は、次の点を確認してください。

• スイッチの認証セッションの状態を確認します（成功するはずです）。
  
  

piborowi#show authentication sessions int g1/0/13 details Interface: GigabitEthernet1/0/13 MAC Address: 20bb.c0de.06ae IPv6 Address: Unknown IPv4 Address: Unknown User-Name: 20-BB-C0-DE-06-AE Status: Authorized Domain: VOICE Oper host mode: multi-domain Oper control dir: both Session timeout: N/A Common Session ID: 0AE51820000002040099C216 Acct Session ID: 0x00000016 Handle: 0xAC0001F6 Current Policy: POLICY_Gi1/0/13 Local Policies: Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150) Server Policies: Method status list: Method State dot1x Stopped mab Authc Success

• CDP プロトコルと LLDP プロトコルが有効になっているかどうかを確認します。CDP/LLDPなどに関するデフォルト以外のコマンドがあるかどうか、それらがエンドポイントからの属性取得にどのように影響するかを確認します
  

  switch#sh running-config all | in cdp run
  cdp run
  switch#sh running-config all | in lldp run
  lldp run

• エンドポイントがCDP/LLDPなどをサポートしているかどうかを、エンドポイントのコンフィギュレーションガイドで確認します。

ステップ 2：デバイスセンサーキャッシュの確認

switch#show device-sensor cache interface g1/0/13 Device: 20bb.c0de.06ae on port GigabitEthernet1/0/13 -------------------------------------------------- Proto Type:Name Len Value LLDP 6:system-description 40 0C 26 43 69 73 63 6F 20 49 50 20 50 68 6F 6E 65 20 38 39 34 31 2C 20 56 33 2C 20 53 43 43 50 20 39 2D 33 2D 34 2D 31 37 CDP 6:platform-type 24 00 06 00 18 43 69 73 63 6F 20 49 50 20 50 68 6F 6E 65 20 38 39 34 31 20 CDP 28:secondport-status-type 7 00 1C 00 07 00 02 00 

このフィールドにデータが表示されない場合、または情報が不完全な場合は、「device-sensor」コマンド、特にfilter-listsとfilter-specsを確認します。

ステップ 3：RADIUS アカウンティングに属性があるかどうかの確認

スイッチでdebug radiusコマンドを使用するか、スイッチとISE間でパケットキャプチャを実行していることを確認できます。

RADIUS デバッグ：

Mar 30 05:34:58.716: RADIUS(00000000): Send Accounting-Request to 1.1.1.1:1813 id 1646/85, len 378 Mar 30 05:34:58.716: RADIUS: authenticator 17 DA 12 8B 17 96 E2 0F - 5D 3D EC 79 3C ED 69 20 Mar 30 05:34:58.716: RADIUS: Vendor, Cisco [26] 40 Mar 30 05:34:58.716: RADIUS: Cisco AVpair [1] 34 "cdp-tlv= " Mar 30 05:34:58.716: RADIUS: Vendor, Cisco [26] 23 Mar 30 05:34:58.716: RADIUS: Cisco AVpair [1] 17 "cdp-tlv= " Mar 30 05:34:58.721: RADIUS: Vendor, Cisco [26] 59 Mar 30 05:34:58.721: RADIUS: Cisco AVpair [1] 53 "lldp-tlv= " Mar 30 05:34:58.721: RADIUS: User-Name [1] 19 "20-BB-C0-DE-06-AE" Mar 30 05:34:58.721: RADIUS: Vendor, Cisco [26] 49 Mar 30 05:34:58.721: RADIUS: Cisco AVpair [1] 43 "audit-session-id=0AE518200000022800E2481C" Mar 30 05:34:58.721: RADIUS: Vendor, Cisco [26] 19 Mar 30 05:34:58.721: RADIUS: Cisco AVpair [1] 13 "vlan-id=101" Mar 30 05:34:58.721: RADIUS: Vendor, Cisco [26] 18 Mar 30 05:34:58.721: RADIUS: Cisco AVpair [1] 12 "method=mab" Mar 30 05:34:58.721: RADIUS: Called-Station-Id [30] 19 "F0-29-29-49-67-0D" Mar 30 05:34:58.721: RADIUS: Calling-Station-Id [31] 19 "20-BB-C0-DE-06-AE" Mar 30 05:34:58.721: RADIUS: NAS-IP-Address [4] 6 10.229.20.43 Mar 30 05:34:58.721: RADIUS: NAS-Port [5] 6 60000 Mar 30 05:34:58.721: RADIUS: NAS-Port-Id [87] 23 "GigabitEthernet1/0/13" Mar 30 05:34:58.721: RADIUS: NAS-Port-Type [61] 6 Ethernet [15] Mar 30 05:34:58.721: RADIUS: Acct-Session-Id [44] 10 "00000018" Mar 30 05:34:58.721: RADIUS: Acct-Status-Type [40] 6 Watchdog [3] Mar 30 05:34:58.721: RADIUS: Event-Timestamp [55] 6 1301463298 Mar 30 05:34:58.721: RADIUS: Acct-Input-Octets [42] 6 538044 Mar 30 05:34:58.721: RADIUS: Acct-Output-Octets [43] 6 3201914 Mar 30 05:34:58.721: RADIUS: Acct-Input-Packets [47] 6 1686 Mar 30 05:34:58.721: RADIUS: Acct-Output-Packets [48] 6 35354 Mar 30 05:34:58.721: RADIUS: Acct-Delay-Time [41] 6 0 Mar 30 05:34:58.721: RADIUS(00000000): Sending a IPv4 Radius Packet Mar 30 05:34:58.721: RADIUS(00000000): Started 5 sec timeout Mar 30 05:34:58.737: RADIUS: Received from id 1646/85 10.62.145.51:1813, Accounting-response, len 20 

パケット キャプチャ：

ステップ 4：ISEでのプロファイラデバッグの確認

スイッチから属性が送信された場合は、ISE で属性が受信されたかどうかを確認できます。これを確認するには、正しいPSNノード(Administration > System > Logging > Debug Log Configuration > PSN > profiler > debug)のプロファイラデバッグを有効にし、エンドポイントの認証をもう一度実行します。

次の情報を探します。

• RADIUS プローブが属性を受信したことを示すデバッグ：
  
  

2015-11-25 19:29:53,641 DEBUG [RADIUSParser-1-thread-1][] 
cisco.profiler.probes.radius.RadiusParser -:::- 
MSG_CODE=[3002], VALID=[true], PRRT_TIMESTAMP=[2015-11-25 19:29:53.637 +00:00], 
ATTRS=[Device IP Address=10.229.20.43, RequestLatency=7, 
NetworkDeviceName=deskswitch, User-Name=20-BB-C0-DE-06-AE, 
NAS-IP-Address=10.229.20.43, NAS-Port=60000, Called-Station-ID=F0-29-29-49-67-0D, 
Calling-Station-ID=20-BB-C0-DE-06-AE, Acct-Status-Type=Interim-Update, 
Acct-Delay-Time=0, Acct-Input-Octets=362529, Acct-Output-Octets=2871426, 
Acct-Session-Id=00000016, Acct-Input-Packets=1138, Acct-Output-Packets=32272, 
Event-Timestamp=1301458555, NAS-Port-Type=Ethernet, NAS-Port-Id=GigabitEthernet1/0/13, 
cisco-av-pair=cdp-tlv=cdpCachePlatform=Cisco IP Phone 8941 , 
cisco-av-pair=cdp-tlv=cdpUndefined28=00:02:00, 
cisco-av-pair=lldp-tlv=lldpSystemDescription=Cisco IP Phone 8941\, V3\, SCCP 9-3-4-17, 
cisco-av-pair=audit-session-id=0AE51820000002040099C216, cisco-av-pair=vlan-id=101, 
cisco-av-pair=method=mab, AcsSessionID=ise13/235487054/2511, SelectedAccessService=Default Network Access, 
Step=11004, Step=11017, Step=15049, Step=15008, Step=15004, Step=11005, NetworkDeviceGroups=Location#All Locations, 
NetworkDeviceGroups=Device Type#All Device Types, Service-Type=Call Check, CPMSessionID=0AE51820000002040099C216, 
AllowedProtocolMatchedRule=MAB, Location=Location#All Locations, Device Type=Device Type#All Device Types, ]

• 属性が正常に解析されたことを示すデバッグ：
  
  

2015-11-25 19:29:53,642 DEBUG [RADIUSParser-1-thread-1][] cisco.profiler.probes.radius.RadiusParser -:::- Parsed IOS Sensor 1: cdpCachePlatform=[Cisco IP Phone 8941] 2015-11-25 19:29:53,642 DEBUG [RADIUSParser-1-thread-1][] cisco.profiler.probes.radius.RadiusParser -:::- Parsed IOS Sensor 2: cdpUndefined28=[00:02:00] 2015-11-25 19:29:53,642 DEBUG [RADIUSParser-1-thread-1][] cisco.profiler.probes.radius.RadiusParser -:::- Parsed IOS Sensor 3: lldpSystemDescription=[Cisco IP Phone 8941, V3, SCCP 

• 属性がフォワーダによって処理されることを示すデバッグ：
  
  

2015-11-25 19:29:53,643 DEBUG [forwarder-6][] cisco.profiler.infrastructure.probemgr.Forwarder -:20:BB:C0:DE:06:AE:ProfilerCollection:- Endpoint Attributes: ID:null Name:null MAC: 20:BB:C0:DE:06:AE Attribute:AAA-Server value:ise13 (... more attributes ...) Attribute:User-Name value:20-BB-C0-DE-06-AE Attribute:cdpCachePlatform value:Cisco IP Phone 8941 Attribute:cdpUndefined28 value:00:02:00 Attribute:lldpSystemDescription value:Cisco IP Phone 8941, V3, SCCP 9-3-4-17 Attribute:SkipProfiling value:false

ステップ 5： 新しい属性とデバイス割り当てのプロファイル

通常、特定のデバイスの既存のコレクションに新しい属性が追加されると、このデバイス/エンドポイントがプロファイルキューに追加され、新しい属性に基づいて別のプロファイルを割り当てる必要があるかどうかを確認します。

2015-11-25 19:29:53,646 DEBUG [EndpointHandlerWorker-6-31-thread-1][] 
cisco.profiler.infrastructure.profiling.ProfilerManager -:20:BB:C0:DE:06:AE:Profiling:- 
Classify hierarchy 20:BB:C0:DE:06:AE 
2015-11-25 19:29:53,656 DEBUG [EndpointHandlerWorker-6-31-thread-1][] 
cisco.profiler.infrastructure.profiling.ProfilerManager -:20:BB:C0:DE:06:AE:Profiling:- 
Policy Cisco-Device matched 20:BB:C0:DE:06:AE (certainty 30) 
2015-11-25 19:29:53,659 DEBUG [EndpointHandlerWorker-6-31-thread-1][] 
cisco.profiler.infrastructure.profiling.ProfilerManager -:20:BB:C0:DE:06:AE:Profiling:- 
Policy Cisco-IP-Phone matched 20:BB:C0:DE:06:AE (certainty 40) 
2015-11-25 19:29:53,663 DEBUG [EndpointHandlerWorker-6-31-thread-1][] 
cisco.profiler.infrastructure.profiling.ProfilerManager -:20:BB:C0:DE:06:AE:Profiling:- 
Policy Cisco-IP-Phone-8941 matched 20:BB:C0:DE:06:AE (certainty 140) 
2015-11-25 19:29:53,663 DEBUG [EndpointHandlerWorker-6-31-thread-1][] 
cisco.profiler.infrastructure.profiling.ProfilerManager -:20:BB:C0:DE:06:AE:Profiling:- 
After analyzing policy hierarchy: Endpoint: 20:BB:C0:DE:06:AE EndpointPolicy:Cisco-IP-Phone-8941 for:210 ExceptionRuleMatched:false

関連情報

• https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html
• https://www.cisco.com/en/US/docs/security/ise/1.0/user_guide/ise10_prof_pol.html
• シスコのテクニカルサポートとダウンロード