تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يوضح هذا المستند كيفية تكوين "مستشعر الجهاز" حتى يمكن إستخدامه لأغراض إنشاء ملف التعريف على ISE.
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
يعد مستشعر الجهاز ميزة خاصة بأجهزة الوصول. وهو يسمح بجمع المعلومات عن نقاط النهاية المتصلة. غالبا، يمكن أن تأتي المعلومات التي يتم تجميعها بواسطة مستشعر الجهاز من هذه البروتوكولات:
ملاحظة: في بعض الأنظمة الأساسية، من الممكن أيضا إستخدام H323 أو بروتوكول بدء جلسة العمل (SIP) أو دقة مجال البث المتعدد (MDNS) أو بروتوكولات HTTP. يمكن أن تختلف إمكانيات التكوين لقدرات مستشعر الجهاز من بروتوكول إلى بروتوكول. يتوفر مثال على Cisco Catalyst 3850 مع برنامج 03.07.02.E.
وبمجرد تجميع المعلومات، يمكن تضمينها في حسابات RADIUS وإرسالها إلى خادم تصنيف. في هذه المقالة، يتم إستخدام ISE كخادم تنميط.
لتكوين المصادقة والتفويض والمحاسبة (AAA)، ارجع إلى الخطوات التالية:
1. تمكين المصادقة والتفويض والمحاسبة (AAA) باستخدام aaa new-model
أمر وتمكين 802.1X بشكل عام على المحول.
2. تكوين خادم RADIUS وتمكين التفويض الديناميكي (تغيير التفويض - CoA).
3. تمكين بروتوكولات CDP و LLDP.
4. إضافة تكوين مصادقة Switchport
!
aaa new-model ! aaa authentication dot1x default group radius aaa authorization network default group radius aaa accounting update newinfo aaa accounting dot1x default start-stop group radius !
aaa server radius dynamic-author
client 1.1.1.1 server-key xyz
!
dot1x system-auth-control
! lldp run
cdp run ! interface GigabitEthernet1/0/13 description IP_Phone_8941_connected switchport mode access switchport voice vlan 101 authentication event fail action next-method authentication host-mode multi-domain authentication order dot1x mab authentication priority dot1x mab authentication port-control auto mab dot1x pae authenticator dot1x timeout tx-period 2 spanning-tree portfast end ! radius-server host 1.1.1.1 auth-port 1812 acct-port 1813 key xyz
!
ملاحظة: في إصدار البرنامج الأحدث، يكون الأمر radius-server vsa send accounting
في الوضع الافتراضي. إذا لم تتمكن من رؤية السمات المرسلة في عملية المحاسبة، فتحقق مما إذا كان الأمر ممكنا.
1. حدد أي السمات من CDP/LLDP مطلوبة من أجل وضع ملف تعريف للجهاز. في حالة هاتف Cisco IP 8941، يمكنك إستخدام ما يلي:
لتحقيق غرضنا، يكفي الحصول على واحد فقط من تلك لأن كلا منهما يوفر زيادة في "مصنع اليقين" تبلغ 70، ومصنع الحد الأدنى من اليقين المطلوب تقديمه ك Cisco-IP-Phone-8941 هو 70:
ملاحظة: من أجل أن تكون معروضا كهاتف Cisco IP محدد، يجب أن تستوفي الشروط الدنيا لجميع ملفات التعريف الأصلية. هذا يعني أنه يجب أن يتطابق منشئ ملفات التعريف مع Cisco-Device (عامل التيقن الأدنى 10) و Cisco-IP-Phone (عامل التيقن الأدنى 20). على الرغم من أن منشئ ملفات التعريف يطابق هذين ملفات التعريف، إلا أنه يجب إعادة تحميله كهاتف بروتوكول الإنترنت Cisco IP محدد نظرا لأن كل طراز لهاتف بروتوكول الإنترنت يحتوي على عامل يقين أدنى يبلغ 70. يتم تعيين الجهاز إلى ملف التعريف الذي يحتوي على أعلى عامل يقين له.
2. تكوين قائمتي تصفية - واحدة لبروتوكول CDP وأخرى لبروتوكول LLDP. تشير هذه السمات إلى السمات التي يجب تضمينها في رسائل محاسبة RADIUS. هذه الخطوة إختيارية.
3. قم بإنشاء نوعين من عوامل التصفية لبروتوكول CDP وبروتوكول LLDP. في مواصفات عامل التصفية، يمكنك الإشارة إلى قائمة السمات التي يجب تضمينها أو إستبعادها من رسائل المحاسبة. في المثال، يتم تضمين هذه السمات:
يمكنك تكوين سمات إضافية ليتم إرسالها عبر RADIUS إلى ISE إذا لزم الأمر. هذه الخطوة إختيارية أيضا.
4. إضافة الأمر device-sensor notify all-changes
. وهو يقوم بتشغيل التحديثات عند إضافة TLVs أو تعديلها أو إزالتها للجلسة الحالية.
5. من أجل إرسال المعلومات التي تم تجميعها بالفعل من خلال وظيفة مستشعر الجهاز، يجب عليك بشكل صريح إبلاغ المحول بتنفيذ ذلك باستخدام الأمر device-sensor accounting
.
! device-sensor filter-list cdp list cdp-list tlv name device-name
tlv name platform-type ! device-sensor filter-list lldp list lldp-list tlv name system-description ! device-sensor filter-spec lldp include list lldp-list device-sensor filter-spec cdp include list cdp-list ! device-sensor accounting device-sensor notify all-changes !
1. إضافة المحول كجهاز شبكة في Administration > Network Resources > Network Devices
. أستخدم مفتاح خادم RADIUS من المحول كسر مشترك في إعدادات المصادقة:
2. تمكين تحقيق RADIUS على عقدة التنميط في Administration > System > Deployment > ISE node > Profiling Configuration
. إذا كان يجب إستخدام جميع عقد PSN للتصنيف، فقم بتمكين التحقيق فيها جميعها:
3. تكوين قواعد مصادقة ISE. في المثال، يتم إستخدام قواعد المصادقة الافتراضية التي تم تكوينها مسبقا على ISE:
4. تكوين قواعد تخويل ISE. يتم إستخدام قاعدة "هواتف بروتوكول الإنترنت (IP) المحددة من Cisco"، والتي يتم تكوينها مسبقا على ISE:
للتحقق من ما إذا كان التحليل يعمل بشكل صحيح، ارجع إلى Operations > Authentications
على ISE:
أولا، تمت مصادقة الجهاز باستخدام MAB (18:49:00). بعد عشر ثوان (18:49:10) تم إعادة تصنيفه على أنه Cisco-Device، وأخيرا بعد 42 ثانية من أول مصادقة (18:49:42)، تلقى ملف تعريف Cisco-IP-Phone-8941. ونتيجة لذلك، ترجع ISE ملف تعريف التخويل الخاص بهواتف IP (Cisco_IP_Phones) وقوائم التحكم في الوصول (ACL) القابلة للتنزيل التي تسمح لجميع حركة المرور (السماح ب ip any). لاحظ أنه في هذا السيناريو، يتمتع الجهاز غير المعروف بحق الوصول الأساسي إلى الشبكة. ويمكن تحقيق ذلك بإضافة عنوان MAC إلى قاعدة بيانات نقطة نهاية ISE الداخلية أو السماح بوصول أساسي جدا للشبكة للأجهزة غير المعروفة سابقا.
ملاحظة: استغرق التحليل الأولي حوالي 40 ثانية في هذا المثال. في المصادقة التالية، تعرف ISE بالفعل ملف التعريف، ويتم تطبيق السمات الصحيحة (الإذن للانضمام إلى مجال الصوت و DACL) على الفور ما لم يستلم ISE سمات جديدة/محدثة ويجب أن يقوم بإعادة توصيف الجهاز مرة أخرى.
في Administration > Identity Management > Identities > Endpoints > tested endpoint
يمكنك أن ترى أي نوع من السمات تم تجميعها بواسطة مسبار RADIUS وما هي قيمهم:
وكما تلاحظون، فإن عامل اليقين الكلي المحسوب هو 210 في هذا السيناريو. وينبع هذا من حقيقة أن نقطة النهاية تطابقت أيضا مع ملف تعريف Cisco-Device (بعامل يقين إجمالي يبلغ 30) وملف تعريف Cisco-IP-Phone (بعامل يقين إجمالي يبلغ 40). بما أن منشئ ملفات التعريف طابق كلا الشرطين في ملف التعريف Cisco-IP-PHONE-8941، فإن عامل اليقين لملف التعريف هذا هو 140 (70 لكل سمة وفقا لنهج تحديد الملفات). للتلخيص: 30+40+70+70=210.
switch#sh cdp neighbors g1/0/13 detail ------------------------- Device ID: SEP20BBC0DE06AE Entry address(es): Platform: Cisco IP Phone 8941 , Capabilities: Host Phone Two-port Mac Relay Interface: GigabitEthernet1/0/13, Port ID (outgoing port): Port 1 Holdtime : 178 sec Second Port Status: Down Version : SCCP 9-3-4-17 advertisement version: 2 Duplex: full Power drawn: 3.840 Watts Power request id: 57010, Power management id: 3 Power request levels are:3840 0 0 0 0 Total cdp entries displayed : 1
switch#
switch#sh lldp neighbors g1/0/13 detail
------------------------------------------------
Chassis id: 0.0.0.0
Port id: 20BBC0DE06AE:P1
Port Description: SW Port
System Name: SEP20BBC0DE06AE.
System Description:
Cisco IP Phone 8941, V3, SCCP 9-3-4-17
Time remaining: 164 seconds
System Capabilities: B,T
Enabled Capabilities: B,T
Management Addresses - not advertised
Auto Negotiation - supported, enabled
Physical media capabilities:
1000baseT(FD)
100base-TX(FD)
100base-TX(HD)
10base-T(FD)
10base-T(HD)
Media Attachment Unit type: 16
Vlan ID: - not advertised
MED Information:
MED Codes:
(NP) Network Policy, (LI) Location Identification
(PS) Power Source Entity, (PD) Power Device
(IN) Inventory
H/W revision: 3
F/W revision: 0.0.1.0
S/W revision: SCCP 9-3-4-17
Serial number: PUC17140FBO
Manufacturer: Cisco Systems , Inc.
Model: CP-8941
Capabilities: NP, PD, IN
Device type: Endpoint Class III
Network Policy(Voice): VLAN 101, tagged, Layer-2 priority: 0, DSCP: 0
Network Policy(Voice Signal): VLAN 101, tagged, Layer-2 priority: 3, DSCP: 24
PD device, Power source: Unknown, Power Priority: Unknown, Wattage: 3.8
Location - not advertised
Total entries displayed: 1
إذا لم تتمكن من رؤية أية بيانات تم تجميعها، فتحقق من:
piborowi#show authentication sessions int g1/0/13 details Interface: GigabitEthernet1/0/13 MAC Address: 20bb.c0de.06ae IPv6 Address: Unknown IPv4 Address: Unknown User-Name: 20-BB-C0-DE-06-AE Status: Authorized Domain: VOICE Oper host mode: multi-domain Oper control dir: both Session timeout: N/A Common Session ID: 0AE51820000002040099C216 Acct Session ID: 0x00000016 Handle: 0xAC0001F6 Current Policy: POLICY_Gi1/0/13 Local Policies: Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150) Server Policies: Method status list: Method State dot1x Stopped mab Authc Success
switch#sh running-config all | in cdp run cdp run switch#sh running-config all | in lldp run lldp run
switch#show device-sensor cache interface g1/0/13 Device: 20bb.c0de.06ae on port GigabitEthernet1/0/13 -------------------------------------------------- Proto Type:Name Len Value LLDP 6:system-description 40 0C 26 43 69 73 63 6F 20 49 50 20 50 68 6F 6E 65 20 38 39 34 31 2C 20 56 33 2C 20 53 43 43 50 20 39 2D 33 2D 34 2D 31 37 CDP 6:platform-type 24 00 06 00 18 43 69 73 63 6F 20 49 50 20 50 68 6F 6E 65 20 38 39 34 31 20 CDP 28:secondport-status-type 7 00 1C 00 07 00 02 00
إذا لم يظهر لديك أي بيانات في هذا الحقل أو معلومات غير كاملة، فتحقق من أوامر "أداة الاستشعار"، وخاصة قوائم التصفية ومواصفات التصفية.
يمكنك التحقق من ذلك باستخدام debug radius
أمر على المفتاح أو تنفيذ التقاط حزمة بين المحول و ISE.
تصحيح أخطاء RADIUS:
Mar 30 05:34:58.716: RADIUS(00000000): Send Accounting-Request to 1.1.1.1:1813 id 1646/85, len 378 Mar 30 05:34:58.716: RADIUS: authenticator 17 DA 12 8B 17 96 E2 0F - 5D 3D EC 79 3C ED 69 20 Mar 30 05:34:58.716: RADIUS: Vendor, Cisco [26] 40 Mar 30 05:34:58.716: RADIUS: Cisco AVpair [1] 34 "cdp-tlv= " Mar 30 05:34:58.716: RADIUS: Vendor, Cisco [26] 23 Mar 30 05:34:58.716: RADIUS: Cisco AVpair [1] 17 "cdp-tlv= " Mar 30 05:34:58.721: RADIUS: Vendor, Cisco [26] 59 Mar 30 05:34:58.721: RADIUS: Cisco AVpair [1] 53 "lldp-tlv= " Mar 30 05:34:58.721: RADIUS: User-Name [1] 19 "20-BB-C0-DE-06-AE" Mar 30 05:34:58.721: RADIUS: Vendor, Cisco [26] 49 Mar 30 05:34:58.721: RADIUS: Cisco AVpair [1] 43 "audit-session-id=0AE518200000022800E2481C" Mar 30 05:34:58.721: RADIUS: Vendor, Cisco [26] 19 Mar 30 05:34:58.721: RADIUS: Cisco AVpair [1] 13 "vlan-id=101" Mar 30 05:34:58.721: RADIUS: Vendor, Cisco [26] 18 Mar 30 05:34:58.721: RADIUS: Cisco AVpair [1] 12 "method=mab" Mar 30 05:34:58.721: RADIUS: Called-Station-Id [30] 19 "F0-29-29-49-67-0D" Mar 30 05:34:58.721: RADIUS: Calling-Station-Id [31] 19 "20-BB-C0-DE-06-AE" Mar 30 05:34:58.721: RADIUS: NAS-IP-Address [4] 6 10.229.20.43 Mar 30 05:34:58.721: RADIUS: NAS-Port [5] 6 60000 Mar 30 05:34:58.721: RADIUS: NAS-Port-Id [87] 23 "GigabitEthernet1/0/13" Mar 30 05:34:58.721: RADIUS: NAS-Port-Type [61] 6 Ethernet [15] Mar 30 05:34:58.721: RADIUS: Acct-Session-Id [44] 10 "00000018" Mar 30 05:34:58.721: RADIUS: Acct-Status-Type [40] 6 Watchdog [3] Mar 30 05:34:58.721: RADIUS: Event-Timestamp [55] 6 1301463298 Mar 30 05:34:58.721: RADIUS: Acct-Input-Octets [42] 6 538044 Mar 30 05:34:58.721: RADIUS: Acct-Output-Octets [43] 6 3201914 Mar 30 05:34:58.721: RADIUS: Acct-Input-Packets [47] 6 1686 Mar 30 05:34:58.721: RADIUS: Acct-Output-Packets [48] 6 35354 Mar 30 05:34:58.721: RADIUS: Acct-Delay-Time [41] 6 0 Mar 30 05:34:58.721: RADIUS(00000000): Sending a IPv4 Radius Packet Mar 30 05:34:58.721: RADIUS(00000000): Started 5 sec timeout Mar 30 05:34:58.737: RADIUS: Received from id 1646/85 10.62.145.51:1813, Accounting-response, len 20
التقاط الحزمة:
إن أرسلت السمة كان من المفتاح، هو يستطيع فحصت إن كان إستلمت على ISE. للتحقق من ذلك، قم بتمكين تصحيح أخطاء منشئ ملفات التعريف لعقدة PSN الصحيحة (Administration > System > Logging > Debug Log Configuration > PSN > profiler > debug
) وإجراء مصادقة نقطة النهاية مرة أخرى.
ابحث عن هذه المعلومات:
2015-11-25 19:29:53,641 DEBUG [RADIUSParser-1-thread-1][]
cisco.profiler.probes.radius.RadiusParser -:::-
MSG_CODE=[3002], VALID=[true], PRRT_TIMESTAMP=[2015-11-25 19:29:53.637 +00:00],
ATTRS=[Device IP Address=10.229.20.43, RequestLatency=7,
NetworkDeviceName=deskswitch, User-Name=20-BB-C0-DE-06-AE,
NAS-IP-Address=10.229.20.43, NAS-Port=60000, Called-Station-ID=F0-29-29-49-67-0D,
Calling-Station-ID=20-BB-C0-DE-06-AE, Acct-Status-Type=Interim-Update,
Acct-Delay-Time=0, Acct-Input-Octets=362529, Acct-Output-Octets=2871426,
Acct-Session-Id=00000016, Acct-Input-Packets=1138, Acct-Output-Packets=32272,
Event-Timestamp=1301458555, NAS-Port-Type=Ethernet, NAS-Port-Id=GigabitEthernet1/0/13,
cisco-av-pair=cdp-tlv=cdpCachePlatform=Cisco IP Phone 8941 ,
cisco-av-pair=cdp-tlv=cdpUndefined28=00:02:00,
cisco-av-pair=lldp-tlv=lldpSystemDescription=Cisco IP Phone 8941\, V3\, SCCP 9-3-4-17,
cisco-av-pair=audit-session-id=0AE51820000002040099C216, cisco-av-pair=vlan-id=101,
cisco-av-pair=method=mab, AcsSessionID=ise13/235487054/2511, SelectedAccessService=Default Network Access,
Step=11004, Step=11017, Step=15049, Step=15008, Step=15004, Step=11005, NetworkDeviceGroups=Location#All Locations,
NetworkDeviceGroups=Device Type#All Device Types, Service-Type=Call Check, CPMSessionID=0AE51820000002040099C216,
AllowedProtocolMatchedRule=MAB, Location=Location#All Locations, Device Type=Device Type#All Device Types, ]
2015-11-25 19:29:53,642 DEBUG [RADIUSParser-1-thread-1][] cisco.profiler.probes.radius.RadiusParser -:::- Parsed IOS Sensor 1: cdpCachePlatform=[Cisco IP Phone 8941] 2015-11-25 19:29:53,642 DEBUG [RADIUSParser-1-thread-1][] cisco.profiler.probes.radius.RadiusParser -:::- Parsed IOS Sensor 2: cdpUndefined28=[00:02:00] 2015-11-25 19:29:53,642 DEBUG [RADIUSParser-1-thread-1][] cisco.profiler.probes.radius.RadiusParser -:::- Parsed IOS Sensor 3: lldpSystemDescription=[Cisco IP Phone 8941, V3, SCCP
2015-11-25 19:29:53,643 DEBUG [forwarder-6][] cisco.profiler.infrastructure.probemgr.Forwarder -:20:BB:C0:DE:06:AE:ProfilerCollection:- Endpoint Attributes: ID:null Name:null MAC: 20:BB:C0:DE:06:AE Attribute:AAA-Server value:ise13 (... more attributes ...) Attribute:User-Name value:20-BB-C0-DE-06-AE Attribute:cdpCachePlatform value:Cisco IP Phone 8941 Attribute:cdpUndefined28 value:00:02:00 Attribute:lldpSystemDescription value:Cisco IP Phone 8941, V3, SCCP 9-3-4-17 Attribute:SkipProfiling value:false
ملاحظة: يقوم الموجه بتخزين نقاط النهاية في قاعدة بيانات Cisco ISE مع بيانات السمات الخاصة بها، ثم يقوم بإعلام المحلل بنقاط النهاية الجديدة التي تم الكشف عنها على الشبكة. يقوم المحلل بتصنيف نقاط النهاية إلى مجموعات هوية نقطة النهاية ويخزن نقاط النهاية مع ملفات التعريف المتطابقة في قاعدة البيانات.
عادة ما تتم إضافة سمات جديدة إلى المجموعة الموجودة لجهاز معين، حيث تتم إضافة هذا الجهاز/نقطة النهاية إلى قائمة انتظار إنشاء ملفات التعريف للتحقق من أنه يجب تعيينها لملف تعريف مختلف بناء على سمات جديدة:
2015-11-25 19:29:53,646 DEBUG [EndpointHandlerWorker-6-31-thread-1][]
cisco.profiler.infrastructure.profiling.ProfilerManager -:20:BB:C0:DE:06:AE:Profiling:-
Classify hierarchy 20:BB:C0:DE:06:AE
2015-11-25 19:29:53,656 DEBUG [EndpointHandlerWorker-6-31-thread-1][]
cisco.profiler.infrastructure.profiling.ProfilerManager -:20:BB:C0:DE:06:AE:Profiling:-
Policy Cisco-Device matched 20:BB:C0:DE:06:AE (certainty 30)
2015-11-25 19:29:53,659 DEBUG [EndpointHandlerWorker-6-31-thread-1][]
cisco.profiler.infrastructure.profiling.ProfilerManager -:20:BB:C0:DE:06:AE:Profiling:-
Policy Cisco-IP-Phone matched 20:BB:C0:DE:06:AE (certainty 40)
2015-11-25 19:29:53,663 DEBUG [EndpointHandlerWorker-6-31-thread-1][]
cisco.profiler.infrastructure.profiling.ProfilerManager -:20:BB:C0:DE:06:AE:Profiling:-
Policy Cisco-IP-Phone-8941 matched 20:BB:C0:DE:06:AE (certainty 140)
2015-11-25 19:29:53,663 DEBUG [EndpointHandlerWorker-6-31-thread-1][]
cisco.profiler.infrastructure.profiling.ProfilerManager -:20:BB:C0:DE:06:AE:Profiling:-
After analyzing policy hierarchy: Endpoint: 20:BB:C0:DE:06:AE EndpointPolicy:Cisco-IP-Phone-8941 for:210 ExceptionRuleMatched:false
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
1.0 |
14-Dec-2015 |
الإصدار الأولي |