安全 : 思科身份服务引擎

DHCP 55用于的参数请求列表选项描出终端配置示例

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

简介

本文描述使用DHCP参数请求列表选项55作为替代方法描出使用身份服务引擎的设备(ISE)。

贡献由Harisha贡纳岛和托德普拉, Cisco TAC工程师。

先决条件

要求

Cisco 建议您:

  • DHCP发现过程的基础知识
  • 与使用的体验ISE配置描出规则的自定义

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • ISE版本1.2
  • 苹果公司iOS
  • Windows 8

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

背景信息

在制作ISE部署,通常部署的一些描出探测器包括RADIUS、HTTP和DHCP。使用网域名称转址在ISE工作流的中心, HTTP探测器是用途广泛为了获取从用户代理字符串的重要终端数据。然而,在一些制作使用案件,网域名称转址没有希望,并且Dot1x preferered,使更加困难准确地描出终端。例如,连接对公司服务集Indentifier的雇员PC (SSID)获得完全权限,当其个人iDevice (IP电话, iPad, iPod)时获得仅互联网访问。在两种情况下,用户被描出和动态地被映射给授权不依靠用户打开Web浏览器的配置文件匹配的一更加特定的标识组。另一常用的替代方案是主机名匹配。因为用户也许更改终端主机名到一个非标准值,此解决方案是不完美的。

在稀有案例中例如这些, DHCP探测器和DHCP参数请求列表选项55可以用于作为替代方法描出这些设备。DHCP信息包的参数请求列表字段可以用于为了指纹终端操作系统很象入侵防御系统(IPS)使用签名为了匹配数据包。当终端操作系统发送DHCP发现或时在电线的请求包,制造商包括的DHCP选项一数字列表打算从DHCP服务器(默认路由器、域名服务器(DNS), TFTP server等等)接收。DHCP客户端请求从服务器的这些选项的命令是相当唯一,并且可以使用为了指纹特定来源操作系统。使用参数请求列表选项不一样确切,象HTTP用户代理字符串,然而,比使用是控制主机名和其他静态定义的数据。

注意:DHCP参数请求列表选项不是导致的优秀的解决方案,因为数据根据供应商的,并且可以由多个设备设备类型复制。

在您配置描出规则、使用Wireshark捕获从终端/交换端口分析器(SPAN)或者传输控制协议(TCP)转储捕获在ISE的ISE为了评估参数请求列表选项在DHCP信息包前(若有)。此示例捕获显示Windows 8企业PC的DHCP参数请求列表选项。

发生的参数请求列表字符串在以下逗号分隔的格式写入:1,15,3,6,44,46,47,31,33,121,249,252,43.当配置描出情况的自定义在ISE时,请使用此格式。

配置部分展示自定义描出情况的使用匹配IP电话、iPads和iPod到呼叫苹果公司iDevice的一标识组。不同于对Windows 8是唯一的参数请求列表字符串,苹果公司使用在多个端点类型间的共同的一套字符串。因此,区分与使用的苹果公司iDevice类型单独参数请求列表选项是不可能的。因为同一项授权策略典型地应用对IP电话、iPads和iPod,这是在制作ISE部署的一可接受配置。

配置

  1. 登录到ISE admin GUI并且导航对策略>Policy元素>情况>描出。单击添加为了添加一个新的自定义描出的情况。在本例中,四个独特规则为最常用的苹果公司iDevice参数请求列表指纹定义。参考参数请求列表值完整列表的Fingerbank.org。 

    注意属性值文本框也许不显示所有数字选项,并且您也许需要移动以鼠标或键盘为了查看详尽列表。





  2. 当自定义条件定义,请导航对策略>描出>描出Polcies为了修改描出策略的当前或为了配置新的。在本例中,默认苹果公司iDevice策略编辑为了包括新参数请求列表条件。

  3. 添加一个新的复合条件到苹果公司iDevice仿形铣床策略规则并且保证操作数选择,以便其中任一个配置的参数请求列表字符串能导致匹配。修改把握要素根据命令取得希望的描出的结果需要。

注意:使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

验证

使用本部分可确认配置能否正常运行。

  • 导航对Administration >身份管理>标识>终端并且编辑设备/MAC地址的终端配置文件
  • 确认EndPointPolicy是苹果公司iDevice, EndPointSource是DHCP探测器,并且DHCP参数请求列表值匹配以前配置的情况值。

命令输出解释程序工具仅限注册用户)支持某些 show 命令。请使用Output Interpreter Tool为了查看show命令输出分析。

故障排除

本部分提供了可用于对配置进行故障排除的信息。

  • 验证DHCP信息包到达了执行描出的功能的ISE策略节点(与Helper-Address或SPAN)。
  • 请使用操作>排除故障>诊断工具>General Tools> TCP转储工具_为了从ISE admin GUI本地运行TCP转储捕获。
  • 参考参数请求列表选项一当前列表的Fingerbank.org DHCP指纹数据库。 
  • 保证正确参数请求列表值在描出情况的ISE配置。某些通常使用的字符串包括:
    设备类型参数请求列表值
    Windows XP
    1,15,3,6,44,46,47,31,33,249,43
    1,15,3,6,44,46,47,31,33,249,43,252
    1,15,3,6,44,46,47,31,33,249,43,252,12
    15,3,6,44,46,47,31,33,249,43
    15,3,6,44,46,47,31,33,249,43,252
    15,3,6,44,46,47,31,33,249,43,252,12
    28,2,3,15,6,12,44,47
    Windows Vista/7或服务器2008
    1,15,3,6,44,46,47,31,33,121,249,43
    1,15,3,6,44,46,47,31,33,121,249,43,0,32,176,67
    1,15,3,6,44,46,47,31,33,121,249,43,0,176,67
    1,15,3,6,44,46,47,31,33,121,249,43,252
    1,15,3,6,44,46,47,31,33,121,249,43,195
    Windows 81,15,3,6,44,46,47,31,33,121,249,252,43
    Mac OS X1,3,6,15,112,113,78,79,95
    1,3,6,15,112,113,78,79,95,252
    3,6,15,112,113,78,79,95,252
    3,6,15,112,113,78,79,95
    3,6,15,112,113,78,79,95,44,47
    1,3,6,15,112,113,78,79,95,44,47
    1,3,6,15,112,113,78,79
    1,3,6,15,119,95,252,44,46,101
    1,3,6,15,119,112,113,78,79,95,252
    3,6,15,112,113,78,79,95,252,44,47
    1,3,6,15,112,113,78,79,95,252,44,47
    1,3,12,6,15,112,113,78,79
    60,43
    43,60
    1,3,6,15,119,95,252,44,46,47
    1,3,6,15,119,95,252,44,46,47,101
    IP电话, iPad, iPod
    1,3,6,15,119,78,79,95,252
    1,3,6,15,119,252
    1,3,6,15,119,252,46,208,92
    1,3,6,15,119,252,67,52,13

命令输出解释程序工具仅限注册用户)支持某些 show 命令。请使用Output Interpreter Tool为了查看show命令输出分析。

注意:使用 debug 命令之前,请参阅有关 Debug 命令的重要信息

相关信息


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 116235