为ISE分析配置设备传感器

下载选项

PDF (2.5 MB)
在各种设备上使用 Adobe Reader 查看
ePub (2.2 MB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (1.5 MB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2016 年 1 月 15 日

文档 ID:200292

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍如何配置设备传感器，以便其可用于在ISE上进行分析。

先决条件

要求

Cisco 建议您了解以下主题：

Radius协议
思科发现协议(CDP)、链路层发现协议(LLDP)和动态主机配置协议(DHCP)
思科身份服务引擎(ISE)
Cisco Catalyst交换机2960

使用的组件

本文档中的信息基于以下软件和硬件版本：

思科ISE版本1.3补丁3
思科Catalyst交换机2960s版本15.2(2a)E1
Cisco IP Phone 8941版本SCCP 9-3-4-17

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

设备传感器是接入设备的功能。它允许收集有关已连接终端的信息。通常，设备传感器收集的信息可以来自以下协议：

CDP
LLDP
DHCP

注意：在某些平台上，还可以使用H323、会话发起协议(SIP)、组播域解析(MDNS)或HTTP协议。设备传感器功能的配置可能因协议而异。示例在装有软件03.07.02.E的Cisco Catalyst 3850上提供。

收集信息后，可以将其封装在radius记账中，并发送到分析服务器。在本文中，ISE用作分析服务器。

配置

步骤1:标准AAA配置

要配置身份验证、授权和记帐(AAA)，请参阅以下步骤：

1. 使用aaa new-model命令启用AAA，然后在交换机上全局启用802.1X。

2. 配置Radius服务器并启用动态授权（授权更改- CoA）。

3. 启用CDP和LLDP协议。

4. 添加交换机端口身份验证配置

!
aaa new-model
!
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting update newinfo
aaa accounting dot1x default start-stop group radius
!
aaa server radius dynamic-author
 client 1.1.1.1 server-key xyz
!
dot1x system-auth-control
!
lldp run
cdp run
!
interface GigabitEthernet1/0/13
 description IP_Phone_8941_connected
 switchport mode access
 switchport voice vlan 101
 authentication event fail action next-method
 authentication host-mode multi-domain
 authentication order dot1x mab
 authentication priority dot1x mab
 authentication port-control auto
 mab
 dot1x pae authenticator
 dot1x timeout tx-period 2
 spanning-tree portfast
end
!
radius-server host 1.1.1.1 auth-port 1812 acct-port 1813 key xyz
!

 
     
     注意：在较新的软件版本中，默认情况下启用命令radius-server vsa send accounting。如果您在记账中看不到发送的属性，请验证是否已启用该命令。

`第二步：配置设备传感器`

1. 确定分析设备时需要使用CDP/LLDP中的哪些属性。对于Cisco IP电话8941，您可以使用以下命令：

 LLDP SystemDescription属性
 CDP CachePlatform属性

出于我们的目的，仅获得其中一项就足够了，因为两者都提供70的确定性工厂增加，并且要求分析为Cisco-IP-Phone-8941的最低确定性工厂为70：

 
      
      注意：要分析为特定思科IP电话，必须满足所有父配置文件的最低条件。这意味着分析器必须匹配Cisco-Device（最低确定系数10）和Cisco-IP-Phone（最低确定系数20）。即使分析器符合这两个配置文件，它仍必须分析为特定的Cisco IP电话，因为每个IP电话型号的最小可信度因子为70。设备将分配给具有最高可信度的配置文件。

2. 配置两个过滤器列表-一个用于CDP，另一个用于LLDP。这些指示哪些属性必须包含在Radius记账消息中。此步骤是可选的。

3. 为CDP和LLDP创建两个过滤器规格。在filter-spec中，您可以指示必须包括在记帐消息中或从中排除的属性的列表。本示例包括以下属性：

 来自CDP的设备名称
 来自LLDP的系统说明

如果需要，您可以配置通过Radius传输至ISE的其他属性。此步骤也是可选的。

4. 添加命令device-sensor notify all-changes。每当为当前会话添加、修改或删除TLV时，它都会触发更新。

5. 要实际发送通过设备传感器功能收集的信息，必须使用device-sensor accounting命令明确通知交换机完成此操作。

! device-sensor filter-list cdp list cdp-list tlv name device-name
 tlv name platform-type ! device-sensor filter-list lldp list lldp-list tlv name system-description ! device-sensor filter-spec lldp include list lldp-list device-sensor filter-spec cdp include list cdp-list ! device-sensor accounting device-sensor notify all-changes !

`第三步：在ISE上配置分析`

1. 在Administration > Network Resources > Network Devices中将交换机添加为网络设备。在Authentication Settings：

2. 在Administration > System > Deployment > ISE node > Profiling Configuration中的分析节点上启用RADIUS探测器。如果必须使用所有PSN节点进行分析，请在所有PSN节点上启用探测：

3. 配置ISE身份验证规则。在本例中，使用ISE上预配置的默认身份验证规则：

4. 配置ISE授权规则。使用“已分析的思科IP电话”规则，该规则在ISE上已预配置：

`验证`

要验证分析是否正常工作，请参阅ISE上的Operations > Authentications：

首先，使用MAB (18:49:00)对设备进行身份验证。十秒后(18:49:10)，它被重新归档为Cisco-Device，在第一次身份验证(18:49:42)后的42秒后，它收到了Cisco-IP-Phone-8941配置文件。因此，ISE会返回特定于IP电话(Cisco_IP_Phones)的授权配置文件和允许所有流量(permit ip any)的可下载ACL。请注意，在这种情况下，未知设备具有基本的网络访问权限。这可以通过向ISE内部终端数据库添加Mac地址或允许对之前未知设备进行非常基本的网络访问来实现。

 
       
       注意：在本示例中，初始分析大约需要40秒。在下一次身份验证中，ISE已经知道配置文件，并且会立即应用正确的属性（加入语音域和DACL的权限），除非ISE收到新的/更新的属性，并且必须重新分析设备。

在Administration > Identity Management > Identities > Endpoints > tested endpoint中，您可以查看RADIUS探测功能收集了什么类型的属性以及它们的值：

正如您看到的，在此场景中计算的总夺取系数为210。这是因为终端还匹配思科设备配置文件（总确定系数为30）和思科IP电话配置文件（总确定系数为40）。由于分析器匹配配置文件Cisco-IP-Phone-8941中的两个条件，因此此配置文件的确定系数为140（根据分析策略，每个属性为70）。总和：30+40+70+70=210。

`故障排除`

`步骤1:验证CDP/LLDP收集的信息`

switch#sh cdp neighbors g1/0/13 detail ------------------------- Device ID: SEP20BBC0DE06AE Entry address(es): Platform: Cisco IP Phone 8941 , Capabilities: Host Phone Two-port Mac Relay Interface: GigabitEthernet1/0/13, Port ID (outgoing port): Port 1 Holdtime : 178 sec Second Port Status: Down Version : SCCP 9-3-4-17 advertisement version: 2 Duplex: full Power drawn: 3.840 Watts Power request id: 57010, Power management id: 3 Power request levels are:3840 0 0 0 0 Total cdp entries displayed : 1

switch#
switch#sh lldp neighbors g1/0/13 detail
------------------------------------------------
Chassis id: 0.0.0.0
Port id: 20BBC0DE06AE:P1
Port Description: SW Port
System Name: SEP20BBC0DE06AE.

System Description:
Cisco IP Phone 8941, V3, SCCP 9-3-4-17

Time remaining: 164 seconds
System Capabilities: B,T
Enabled Capabilities: B,T
Management Addresses - not advertised
Auto Negotiation - supported, enabled
Physical media capabilities:
    1000baseT(FD)
    100base-TX(FD)
    100base-TX(HD)
    10base-T(FD)
    10base-T(HD)
Media Attachment Unit type: 16
Vlan ID: - not advertised

MED Information:

    MED Codes:
          (NP) Network Policy, (LI) Location Identification
          (PS) Power Source Entity, (PD) Power Device
          (IN) Inventory

    H/W revision: 3
    F/W revision: 0.0.1.0
    S/W revision: SCCP 9-3-4-17
    Serial number: PUC17140FBO
    Manufacturer: Cisco Systems , Inc.
    Model: CP-8941
    Capabilities: NP, PD, IN
    Device type: Endpoint Class III
    Network Policy(Voice): VLAN 101, tagged, Layer-2 priority: 0, DSCP: 0
    Network Policy(Voice Signal): VLAN 101, tagged, Layer-2 priority: 3, DSCP: 24
    PD device, Power source: Unknown, Power Priority: Unknown, Wattage: 3.8
    Location - not advertised


Total entries displayed: 1

如果看不到收集的任何数据，请验证以下事项：

 检查交换机上身份验证会话的状态（必须成功）：

piborowi#show authentication sessions int g1/0/13 details Interface: GigabitEthernet1/0/13 MAC Address: 20bb.c0de.06ae IPv6 Address: Unknown IPv4 Address: Unknown User-Name: 20-BB-C0-DE-06-AE Status: Authorized Domain: VOICE Oper host mode: multi-domain Oper control dir: both Session timeout: N/A Common Session ID: 0AE51820000002040099C216 Acct Session ID: 0x00000016 Handle: 0xAC0001F6 Current Policy: POLICY_Gi1/0/13 Local Policies: Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150) Server Policies: Method status list: Method State dot1x Stopped mab Authc Success

 检查CDP和LLDP协议是否已启用。检查是否存在任何有关CDP/LLDP/等的非默认命令，以及这些命令如何影响从终端进行属性检索
 switch#sh running-config all | in cdp run
cdp run
switch#sh running-config all | in lldp run
lldp run
 
 验证您的终端的配置指南中是否支持CDP/LLDP/等。

`第二步：检查设备传感器缓存`

switch#show device-sensor cache interface g1/0/13 Device: 20bb.c0de.06ae on port GigabitEthernet1/0/13 -------------------------------------------------- Proto Type:Name Len Value LLDP 6:system-description 40 0C 26 43 69 73 63 6F 20 49 50 20 50 68 6F 6E 65 20 38 39 34 31 2C 20 56 33 2C 20 53 43 43 50 20 39 2D 33 2D 34 2D 31 37 CDP 6:platform-type 24 00 06 00 18 43 69 73 63 6F 20 49 50 20 50 68 6F 6E 65 20 38 39 34 31 20 CDP 28:secondport-status-type 7 00 1C 00 07 00 02 00

如果在此字段中看不到任何数据或信息不完整，请验证“device-sensor”命令，特别是filter-lists和filter-specs。

`第三步：检查Radius记账中是否存在属性`

您可以在交换机上使用debug radius命令验证是否在交换机和ISE之间执行数据包捕获。

Radius调试：

Mar 30 05:34:58.716: RADIUS(00000000): Send Accounting-Request to 1.1.1.1:1813 id 1646/85, len 378 Mar 30 05:34:58.716: RADIUS: authenticator 17 DA 12 8B 17 96 E2 0F - 5D 3D EC 79 3C ED 69 20 Mar 30 05:34:58.716: RADIUS: Vendor, Cisco [26] 40 Mar 30 05:34:58.716: RADIUS: Cisco AVpair [1] 34 "cdp-tlv= " Mar 30 05:34:58.716: RADIUS: Vendor, Cisco [26] 23 Mar 30 05:34:58.716: RADIUS: Cisco AVpair [1] 17 "cdp-tlv= " Mar 30 05:34:58.721: RADIUS: Vendor, Cisco [26] 59 Mar 30 05:34:58.721: RADIUS: Cisco AVpair [1] 53 "lldp-tlv= " Mar 30 05:34:58.721: RADIUS: User-Name [1] 19 "20-BB-C0-DE-06-AE" Mar 30 05:34:58.721: RADIUS: Vendor, Cisco [26] 49 Mar 30 05:34:58.721: RADIUS: Cisco AVpair [1] 43 "audit-session-id=0AE518200000022800E2481C" Mar 30 05:34:58.721: RADIUS: Vendor, Cisco [26] 19 Mar 30 05:34:58.721: RADIUS: Cisco AVpair [1] 13 "vlan-id=101" Mar 30 05:34:58.721: RADIUS: Vendor, Cisco [26] 18 Mar 30 05:34:58.721: RADIUS: Cisco AVpair [1] 12 "method=mab" Mar 30 05:34:58.721: RADIUS: Called-Station-Id [30] 19 "F0-29-29-49-67-0D" Mar 30 05:34:58.721: RADIUS: Calling-Station-Id [31] 19 "20-BB-C0-DE-06-AE" Mar 30 05:34:58.721: RADIUS: NAS-IP-Address [4] 6 10.229.20.43 Mar 30 05:34:58.721: RADIUS: NAS-Port [5] 6 60000 Mar 30 05:34:58.721: RADIUS: NAS-Port-Id [87] 23 "GigabitEthernet1/0/13" Mar 30 05:34:58.721: RADIUS: NAS-Port-Type [61] 6 Ethernet [15] Mar 30 05:34:58.721: RADIUS: Acct-Session-Id [44] 10 "00000018" Mar 30 05:34:58.721: RADIUS: Acct-Status-Type [40] 6 Watchdog [3] Mar 30 05:34:58.721: RADIUS: Event-Timestamp [55] 6 1301463298 Mar 30 05:34:58.721: RADIUS: Acct-Input-Octets [42] 6 538044 Mar 30 05:34:58.721: RADIUS: Acct-Output-Octets [43] 6 3201914 Mar 30 05:34:58.721: RADIUS: Acct-Input-Packets [47] 6 1686 Mar 30 05:34:58.721: RADIUS: Acct-Output-Packets [48] 6 35354 Mar 30 05:34:58.721: RADIUS: Acct-Delay-Time [41] 6 0 Mar 30 05:34:58.721: RADIUS(00000000): Sending a IPv4 Radius Packet Mar 30 05:34:58.721: RADIUS(00000000): Started 5 sec timeout Mar 30 05:34:58.737: RADIUS: Received from id 1646/85 10.62.145.51:1813, Accounting-response, len 20

数据包捕获:

`第四步：验证ISE上的分析器调试`

如果属性是从交换机发送的，可以检查ISE上是否收到这些属性。要检查此配置，请为正确的PSN节点(Administration > System > Logging > Debug Log Configuration > PSN > profiler > debug)启用分析器调试，并再次执行终端身份验证。

请查找以下信息：

 调试指示radius探测功能已接收属性：

2015-11-25 19:29:53,641 DEBUG [RADIUSParser-1-thread-1][] 
cisco.profiler.probes.radius.RadiusParser -:::- 
MSG_CODE=[3002], VALID=[true], PRRT_TIMESTAMP=[2015-11-25 19:29:53.637 +00:00], 
ATTRS=[Device IP Address=10.229.20.43, RequestLatency=7, 
NetworkDeviceName=deskswitch, User-Name=20-BB-C0-DE-06-AE, 
NAS-IP-Address=10.229.20.43, NAS-Port=60000, Called-Station-ID=F0-29-29-49-67-0D, 
Calling-Station-ID=20-BB-C0-DE-06-AE, Acct-Status-Type=Interim-Update, 
Acct-Delay-Time=0, Acct-Input-Octets=362529, Acct-Output-Octets=2871426, 
Acct-Session-Id=00000016, Acct-Input-Packets=1138, Acct-Output-Packets=32272, 
Event-Timestamp=1301458555, NAS-Port-Type=Ethernet, NAS-Port-Id=GigabitEthernet1/0/13, 
cisco-av-pair=cdp-tlv=cdpCachePlatform=Cisco IP Phone 8941 , 
cisco-av-pair=cdp-tlv=cdpUndefined28=00:02:00, 
cisco-av-pair=lldp-tlv=lldpSystemDescription=Cisco IP Phone 8941\, V3\, SCCP 9-3-4-17, 
cisco-av-pair=audit-session-id=0AE51820000002040099C216, cisco-av-pair=vlan-id=101, 
cisco-av-pair=method=mab, AcsSessionID=ise13/235487054/2511, SelectedAccessService=Default Network Access, 
Step=11004, Step=11017, Step=15049, Step=15008, Step=15004, Step=11005, NetworkDeviceGroups=Location#All Locations, 
NetworkDeviceGroups=Device Type#All Device Types, Service-Type=Call Check, CPMSessionID=0AE51820000002040099C216, 
AllowedProtocolMatchedRule=MAB, Location=Location#All Locations, Device Type=Device Type#All Device Types, ]

 调试指示已成功分析属性：

2015-11-25 19:29:53,642 DEBUG [RADIUSParser-1-thread-1][] cisco.profiler.probes.radius.RadiusParser -:::- Parsed IOS Sensor 1: cdpCachePlatform=[Cisco IP Phone 8941] 2015-11-25 19:29:53,642 DEBUG [RADIUSParser-1-thread-1][] cisco.profiler.probes.radius.RadiusParser -:::- Parsed IOS Sensor 2: cdpUndefined28=[00:02:00] 2015-11-25 19:29:53,642 DEBUG [RADIUSParser-1-thread-1][] cisco.profiler.probes.radius.RadiusParser -:::- Parsed IOS Sensor 3: lldpSystemDescription=[Cisco IP Phone 8941, V3, SCCP

 调试指示由转发器处理属性：

2015-11-25 19:29:53,643 DEBUG [forwarder-6][] cisco.profiler.infrastructure.probemgr.Forwarder -:20:BB:C0:DE:06:AE:ProfilerCollection:- Endpoint Attributes: ID:null Name:null MAC: 20:BB:C0:DE:06:AE Attribute:AAA-Server value:ise13 (... more attributes ...) Attribute:User-Name value:20-BB-C0-DE-06-AE Attribute:cdpCachePlatform value:Cisco IP Phone 8941 Attribute:cdpUndefined28 value:00:02:00 Attribute:lldpSystemDescription value:Cisco IP Phone 8941, V3, SCCP 9-3-4-17 Attribute:SkipProfiling value:false

 
       
       注意：转发器将终端与其属性数据一起存储在Cisco ISE数据库中，然后通知分析器您的网络中检测到的新终端。分析器将终端分类到终端身份组，并将具有匹配配置文件的终端存储在数据库中。

`第五步：分析新属性和设备分配`

通常，在将新属性添加到特定设备的现有集合后，会将此设备/终端添加到分析队列，以检查是否必须根据新属性为其分配不同的配置文件：

2015-11-25 19:29:53,646 DEBUG [EndpointHandlerWorker-6-31-thread-1][] 
cisco.profiler.infrastructure.profiling.ProfilerManager -:20:BB:C0:DE:06:AE:Profiling:- 
Classify hierarchy 20:BB:C0:DE:06:AE 
2015-11-25 19:29:53,656 DEBUG [EndpointHandlerWorker-6-31-thread-1][] 
cisco.profiler.infrastructure.profiling.ProfilerManager -:20:BB:C0:DE:06:AE:Profiling:- 
Policy Cisco-Device matched 20:BB:C0:DE:06:AE (certainty 30) 
2015-11-25 19:29:53,659 DEBUG [EndpointHandlerWorker-6-31-thread-1][] 
cisco.profiler.infrastructure.profiling.ProfilerManager -:20:BB:C0:DE:06:AE:Profiling:- 
Policy Cisco-IP-Phone matched 20:BB:C0:DE:06:AE (certainty 40) 
2015-11-25 19:29:53,663 DEBUG [EndpointHandlerWorker-6-31-thread-1][] 
cisco.profiler.infrastructure.profiling.ProfilerManager -:20:BB:C0:DE:06:AE:Profiling:- 
Policy Cisco-IP-Phone-8941 matched 20:BB:C0:DE:06:AE (certainty 140) 
2015-11-25 19:29:53,663 DEBUG [EndpointHandlerWorker-6-31-thread-1][] 
cisco.profiler.infrastructure.profiling.ProfilerManager -:20:BB:C0:DE:06:AE:Profiling:- 
After analyzing policy hierarchy: Endpoint: 20:BB:C0:DE:06:AE EndpointPolicy:Cisco-IP-Phone-8941 for:210 ExceptionRuleMatched:false

`相关信息`

 https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html
 https://www.cisco.com/en/US/docs/security/ise/1.0/user_guide/ise10_prof_pol.html
 思科技术支持和下载

修订历史记录

版本	发布日期	备注
1.0	14-Dec-2015	初始版本

由思科工程师提供

皮奥特·博罗维茨
思科TAC工程师

为ISE分析配置设备传感器

下载选项

非歧视性语言

关于此翻译

目录

简介

先决条件

要求

使用的组件

背景信息

配置

步骤1:标准AAA配置

第二步：配置设备传感器

第三步：在ISE上配置分析

验证

故障排除

步骤1:验证CDP/LLDP收集的信息

第二步：检查设备传感器缓存

第三步：检查Radius记账中是否存在属性

第四步：验证ISE上的分析器调试

第五步： 分析新属性和设备分配

相关信息