تكوين مستشعر الجهاز لتنميط ISE

خيارات التنزيل

  • PDF     (2.0 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
تم التحديث:٢ أكتوبر ٢٠٢٥
معرّف المستند:200292

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يوضح هذا المستند كيفية تكوين "مستشعر الجهاز" حتى يمكن إستخدامه لأغراض إنشاء ملف التعريف على ISE.

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • بروتوكول RADIUS
    • بروتوكول أستكشاف Cisco (CDP) وبروتوكول اكتشاف طبقة الارتباط (LLDP)
    • محرك خدمة الهوية من Cisco (ISE)
    • المحول Cisco Catalyst Switch 9300

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

    • ISE الإصدار 3.4 من Cisco
    • المحول Cisco Catalyst Switch 9300-48P، الإصدار 17.12.4
    • هاتف Cisco IP 8811، الإصدار 12.8.1

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية

    مستشعر الجهاز هو ميزة خاصة بأجهزة الوصول التي يتم إستخدامها لجمع بيانات نقطة النهاية الخام من أجهزة الشبكة باستخدام بروتوكولات مثل بروتوكول اكتشاف Cisco (CDP) وبروتوكول اكتشاف طبقة الارتباط (LLDP) وبروتوكول التكوين الديناميكي للمضيف (DHCP). تفيد بيانات نقطة النهاية في إكمال إمكانية التكوين لأجهزة الوصول إلى الشبكة. وبمجرد تجميع المعلومات، يمكن تضمينها في حزم محاسبة RADIUS وإرسالها إلى خادم إنشاء ملفات التعريف، والذي سيكون، في هذه المقالة، ISE. 

    note-icon

    ملاحظة: لا يقوم مستشعر الجهاز إلا بتعريف الأجهزة التي تكون على بعد خطوة واحدة من NAD (جهاز الوصول إلى الشبكة).

    وبمجرد تجميع المعلومات، يمكن تضمينها في حسابات RADIUS وإرسالها إلى خادم تصنيف. في هذه المقالة، يتم إستخدام ISE كخادم تنميط.

    التكوين

    الخطوة 1. تكوين AAA القياسي

    لتكوين المصادقة والتفويض والمحاسبة (AAA)، ارجع إلى الخطوات التالية:

    • قم بتمكين AAA باستخدام الأمر AAA new-model وتمكين 802.1X بشكل عام على المحول
    • تكوين خادم RADIUS وتمكين التفويض الديناميكي (تغيير التفويض - CoA)
    • تمكين بروتوكولات CDP و LLDP. إضافة تكوين مصادقة Switchport

    • إضافة تكوين مصادقة Switchport

      !
aaa new-model
!
!         
aaa group server radius ISE-GROUP
 server name ise
!
aaa authentication dot1x default group radius
aaa authorization network default group radius 
aaa accounting update newinfo
aaa accounting dot1x default start-stop group radius
!
!
aaa server radius dynamic-author
 client  server-key Krakow123
!
dot1x system-auth-control
!
lldp run
cdp run
!
interface GigabitEthernet1/0/1
 description IP_Phone
 switchport mode access
 switchport voice vlan 101
 authentication event fail action next-method
 authentication host-mode multi-domain
 authentication order dot1x mab
 authentication priority dot1x mab
 authentication port-control auto
 mab
 dot1x pae authenticator
 dot1x timeout tx-period 2
 spanning-tree portfast
!
radius server ise
 address ipv4  auth-port 1812 acct-port 1813
 key 
!
    note-icon

    ملاحظة: من الضروري تكوين المحول لإرسال السمات الخاصة بالمورد (VSAs) من Cisco إلى ISE.

    يمكن إرسال هذه السمات داخل حزم المحاسبة عن طريق تكوين الأمر التالي:

    radius-server vsa send accounting

    الخطوة 2. تكوين مستشعر الجهاز

    1. حدد أي السمات من CDP/LLDP مطلوبة من أجل وضع ملف تعريف للجهاز. في حالة هاتف Cisco IP 8811، يمكنك إستخدام ما يلي:

    • سمة LLDP SystemDescription
    • سمة CDP CachePlatform

    يمكنك التحقق من أي السمات يتم إستخدامها لملف تعريف الجهاز عن طريق التحقق من نهج منشئ ملفات التعريف. للقيام بذلك، يمكنك الانتقال إلى مراكز العمل > منشئ ملفات التعريف > نهج إنشاء ملفات التعريف وتحديد نهج ملف التعريف الذي تريد مطابقته.

    Profile Policy 1

    من لقطة الشاشة التالية، يمكننا أن نرى أن مصنع الحد الأدنى لليقين المطلوب لنقطة النهاية ليتم توضيحها على أنها Cisco-IP-Phone-8811 يبلغ 70. وبالتالي، بما أن السمتين تشكلان زيادة في مصنع اليقين قدرها 70، فإنه يكفي الحصول على واحدة منهما:


    Profile Policy 2

    note-icon

    ملاحظة: لكي تكون مقدما كهاتف Cisco IP محدد، يجب أن تستوفي الشروط الدنيا لجميع ملفات التعريف الأصلية. هذا يعني أنه يجب أن يتطابق منشئ ملفات التعريف مع Cisco-Device (عامل التيقن الأدنى 10) و Cisco-IP-Phone (عامل التيقن الأدنى 20). على الرغم من أن منشئ ملفات التعريف يطابق هذين ملفات التعريف، إلا أنه يجب إعادة تحميله كهاتف Cisco IP محدد نظرا لأن كل طراز من هواتف IP يحتوي على عامل أدنى لليقين قدره 70. يتم تعيين الجهاز إلى ملف التعريف الذي يحتوي على أعلى عامل يقين له.

    2. تكوين قائمتي عوامل التصفية: بروتوكول CDP وآخر لبروتوكول LLDP. تشير هذه السمات إلى السمات التي يجب تضمينها في رسائل محاسبة RADIUS. هذه الخطوة إختيارية.

    3. قم بإنشاء معيارين لتصفية بروتوكول CDP وبروتوكول LLDP. في مواصفات عامل التصفية، يمكنك الإشارة إلى قائمة السمات التي يجب تضمينها أو إستبعادها من رسائل المحاسبة. في المثال، يتم تضمين هذه السمات:

    • اسم الجهاز ونوع النظام الأساسي من CDP

    • وصف النظام من بروتوكول LLDP

    يمكنك تكوين سمات إضافية ليتم إرسالها عبر RADIUS إلى ISE إذا لزم الأمر. هذه الخطوة إختيارية أيضا.

    4.أضف الأمر device-sensor notify all-changes لتشغيل التحديثات عند إضافة TLVs أو تعديلها أو إزالتها للجلسة الحالية.

    5.لإرسال المعلومات المجمعة بالفعل من خلال وظيفة مستشعر الجهاز، يجب عليك بشكل صريح إبلاغ المحول بتحقيق ذلك باستخدام عملية محاسبة مستشعر الجهاز.

    !
device-sensor filter-list cdp list cdp-list
 tlv name device-name
 tlv name platform-type
!
device-sensor filter-list lldp list lldp-list
 tlv name system-description
!
device-sensor filter-spec lldp include list lldp-list
device-sensor filter-spec cdp include list cdp-list
!
device-sensor accounting
device-sensor notify all-changes
!

    الخطوة 3. تكوين إنشاء ملفات التعريف على ISE

    1. أضف المحول كجهاز شبكة في الإدارة > موارد الشبكة > أجهزة الشبكة. أستخدم مفتاح خادم RADIUS من المحول كسر مشترك في إعدادات المصادقة:

    SW Config

    2. قم بتمكين خدمة إنشاء ملفات التعريف على عقدة ISE. للقيام بذلك، انتقل إلى الإدارة > النظام > النشر، واختر عقدة ISE، وفي علامة التبويب "خدمة النهج"، قم بتمكين خيار خدمة إنشاء ملفات التعريف. إذا كنت بحاجة إلى إنشاء ملف تعريف على شبكات PSN متعددة، فيمكنك تمكين هذه الخدمة لكل واحدة منها. ومع ذلك، تذكر أنه كلما زاد عدد الاستقصاءات التي تضيفها وعدد العقد التي تمكنها من خدمة إنشاء ملفات التعريف، كان ذلك أكبر إنجاز على مستوى الأداء، لذا قم بتمكينها بحكمة.

    Profiling Set

    3. قم بتمكين مسبر RADIUS على عقدة التنميط. للقيام بذلك، انتقل إلى إدارة > نظام > نشر، واختر عقدة ISE، وانقر فوق علامة التبويب تكوين إنشاء ملفات التعريف.

    Profiling Config

    4. تعيين نوع CoA (تغيير التفويض) على Reauth لفرض إعادة مصادقة نقطة النهاية عند إصدارها. بالإضافة إلى ذلك، تأكد من تحديد عامل تصفية سمة نقطة النهاية. للقيام بذلك، انتقل إلى الإدارة > النظام > الإعدادات > التحليل التفصيلي.

    CoA

    note-icon

    ملاحظة: من أفضل الممارسات تمكين "عامل تصفية سمة نقطة النهاية" في عمليات نشر الإنتاج لتجنب مشاكل الأداء عند تجميع بيانات عامل تصفية نقطة النهاية غير الضرورية. لإضافة سمة إلى قائمة السماح غير الموجودة حاليا، يمكنك إنشاء شرط Profiler ونهج جديدين يستخدمان السمة. ستتم إضافة السمة تلقائيا إلى قائمة أسماء السمات المخزنة والمنسوخة نسخا متماثلا.

    5. تكوين قواعد مصادقة ISE:

    Authentication Policy 1

    6. تكوين قواعد تخويل ISE. يتم إستخدام قاعدة هاتف بروتوكول Cisco-IP، والتي تم تكوينها مسبقا على ISE:

    يمكنك تكوين نهج تخويل سيعمل كسياسة التقاط، مما سيسمح بتخويل نقاط النهاية في الشبكة (مع وصول محدود) لضمان إرسال السمات في حزم المحاسبة. بالإضافة إلى ذلك، قم بإنشاء سياسة أخرى ستتم مطابقتها بمجرد تصنيف الأجهزة، مما يضمن أنها يمكن أن تصل إلى الموارد الضرورية في الشبكة.

    Authentication Policy 2

    التحقق من الصحة

    للتحقق من ما إذا كان التخصيص يعمل بشكل صحيح، ارجع إلى العمليات > Radius > السجلات المباشرة على ISE:

    Live Logs Final with Logs

    أولا، من المتوقع أن تفشل المصادقة منذ تكوين أمر طريقة المصادقة على المحول ليكون dot1x متبوعا ب MAB. لذلك، بعد فشل مصادقة dot1x، يحاول هاتف IP المصادقة باستخدام MAB وتكون المصادقة ناجحة في 02:36:14 م. في سجل التشغيل هذا، يمكننا أن نرى أنه يتم تصنيف الجهاز كجهاز Cisco نظرا لأن WI يحتوي على الكلمة "Cisco"، ويطابق سياسة ملف تعريف Cisco-Device المحددة مسبقا. بعد ذلك، نظرا لأن الجهاز لديه حق الوصول إلى الشبكة، فسيتم إرسال سمات CDP و LLDP في الحزم المحاسبية RADIUS. لذلك، عند 02:36:15 مساء، يتم تصنيف الجهاز ويرسل ISE CoA لإجبار نقطة النهاية على إعادة المصادقة. على CoA الناجحة، يمكننا أن نرى أن الجهاز يصدق إلى الشبكة ويدخل إلى نهج التخويل الصحيح، والذي يتم حجزه فقط لهواتف Cisco IP.

    في إدارة > إدارة الهوية > الهويات > نقاط النهاية، يمكنك الترشيح من خلال عنوان MAC لنقطة النهاية المختبرة ويمكنك أن ترى أي نوع من السمات تم تجميعها بواسطة مسبار RADIUS وما قيمها:

    Context Visibility

    Context Visibility Attributes

    وكما تلاحظون، فإن عامل اليقين الكلي المحسوب هو 215 في هذا السيناريو. وينبع هذا من حقيقة أن نقطة النهاية تطابق أيضا مع ملف تعريف Cisco-Device (بعامل يقين إجمالي يبلغ 30) وملف تعريف Cisco-IP-Phone (بعامل يقين إجمالي يبلغ 45). علاوة على ذلك، طابق منشئ ملفات التعريف أيضا كلا الشرطين في ملف التعريف Cisco-IP-Phone-8811، وعامل اليقين لملف التعريف هذا هو 140 (70 لكل سمة وفقا لنهج التحليل). ولإيجاز ما يلي: 30+45+70+70 = 215.

    استكشاف الأخطاء وإصلاحها

    الخطوة 1. التحقق من المعلومات التي يجمعها CDP/LLDP

    Switch#show cdp neighbors GigabitEthernet1/0/1 details
-------------------------
Device ID: SEPE8EB34D9B8F7
Entry address(es): 
Platform: Cisco IP Phone 8811,  Capabilities: Host Phone Two-port Mac Relay 
Interface: GigabitEthernet1/0/1,  Port ID (outgoing port): Port 1
Holdtime : 151 sec
Second Port Status: Down

Version :
sip88xx.12-8-1-0101-482.loads

advertisement version: 2
Peer Source MAC: e8eb.34d9.b8f7
Duplex: full
Power drawn: 6.086 Watts
Power request id: 63418, Power management id: 4
Power request levels are:6086 0 0 0 0 


Switch#show lldp neighbors GigabitEthernet1/0/1 details
------------------------------------------------
Local Intf: Gi1/0/1
Local Intf service instance: -
Chassis id: 0.0.0.0
Port id: E8EB34D9B8F7:P1
Port Description: SW PORT
System Name: SEPE8EB34D9B8F7

System Description: 
Cisco IP Phone 8811, V1, sip88xx.12-8-1-0101-482.loads

Time remaining: 175 seconds
System Capabilities: B,T
Enabled Capabilities: B,T
Management Addresses - not advertised
Auto Negotiation - supported, enabled
Physical media capabilities:
    1000baseT(FD)
    100base-TX(FD)
    100base-TX(HD)
    10base-T(FD)
    10base-T(HD)
Media Attachment Unit type: 30
Vlan ID: - not advertised
Peer Source MAC: e8eb.34d9.b8f7

MED Information:

    MED Codes:
          (NP) Network Policy, (LI) Location Identification
          (PS) Power Source Entity, (PD) Power Device
          (IN) Inventory

    H/W revision: 1
    F/W revision: sb2388xx.BE-01-027.sbn size=-1

    S/W revision: sip88xx.12-8-1-0101-482.loads
    Serial number: FCH25023CZN
    Manufacturer: Cisco Systems, Inc.
    Model: CP-8811
    Capabilities: NP, PD, IN
    Device type: Endpoint Class III
    Network Policy(Voice): VLAN 101, tagged, Layer-2 priority: 5, DSCP: 46
    Network Policy(Voice Signal): VLAN 101, tagged, Layer-2 priority: 4, DSCP: 32
    PD device, Power source: PSE, Power Priority: Unknown, Wattage: 5.9
    Location - not advertised


Total entries displayed: 1

    إذا لم تتمكن من رؤية أية بيانات تم تجميعها، فتحقق من:

    • تحقق من حالة جلسة المصادقة على المحول (يجب أن تكون ناجحة).
    OCEAN#sh access-session int gig1/0/1 det
            Interface:  GigabitEthernet1/0/1
               IIF-ID:  0x172041DB
          MAC Address:  e8eb.34d9.b8f7
         IPv6 Address:  Unknown
         IPv4 Address:  Unknown
            User-Name:  E8-EB-34-D9-B8-F7
               Status:  Authorized
               Domain:  DATA
       Oper host mode:  multi-domain
     Oper control dir:  both
      Session timeout:  N/A
    Common Session ID:  F24D300A0000001B9A787BED
      Acct Session ID:  0x0000012b
               Handle:  0x79000011
       Current Policy:  POLICY_Gi1/0/1


Local Policies:
        Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
      Security Policy:  Should Secure
      Security Status:  Link Unsecured

Server Policies:


Method status list:
       Method           State
        dot1x           Stopped
          mab           Authc Success
    • التحقق من تمكين بروتوكولات CDP و LLDP. تحقق من وجود أي أوامر غير افتراضية تتعلق ب CDP/LLDP وكيف يمكن أن تؤثر تلك الأوامر على إسترداد السمة من نقطة النهاية.
    Switch#show running-config all | include cdp run
cdp run
Switch#show running-config all | include lldp run
lldp run
    • تحقق من دليل التكوين لنقطة النهاية إذا كان يدعم CDP/LLDP وما إلى ذلك.

    الخطوة 2. تحقق من ذاكرة التخزين المؤقت لمستشعر الجهاز

    Switch#show device-sensor cache interface GigabitEthernet1/0/1
Device: e8eb.34d9.b8f7 on port GigabitEthernet1/0/1
----------------------------------------------------------------------------
Proto Type:Name                       Len Value                       Text
LLDP     6:system-description          56 0C 36 43 69 73 63 6F 20 49  .6Cisco I
                                          50 20 50 68 6F 6E 65 20 38  P Phone 8
                                          38 31 31 2C 20 56 31 2C 20  811, V1, 
                                          73 69 70 38 38 78 78 2E 31  sip88xx.1
                                          32 2D 38 2D 31 2D 30 31 30  2-8-1-010
                                          31 2D 34 38 32 2E 6C 6F 61  1-482.loa
                                          64 73                       ds
CDP      6:platform-type               23 00 06 00 17 43 69 73 63 6F  ....Cisco
                                          20 49 50 20 50 68 6F 6E 65   IP Phone
                                          20 38 38 31 31               8811
CDP      1:device-name                 19 00 01 00 13 53 45 50 45 38  ....SEPE8
                                          45 42 33 34 44 39 42 38 46  EB34D9B8F
                                          37                          7

    إذا لم يظهر لديك أي بيانات في هذا الحقل أو معلومات غير كاملة، فتحقق من أوامر أداة الاستشعار؛ على وجه الخصوص، قوائم المرشحات ومواصفات المرشح.

    الخطوة 3. تحقق مما إذا كانت السمات موجودة في محاسبة RADIUS

    يمكنك التحقق من إستخدام الأمرdebug radiusعلى المحول أو تنفيذ التقاط الحزمة بين المحول و ISE.

    تصحيح أخطاء RADIUS

    Switch#debug radius
Switch#set platform software trace smd switch active R0 dot1x-all verbose
Switch#show platform software trace level smd switch active R0 | inc dot1x
dot1x Notice
dot1x-all Verbose
dot1x-redun Notice

    لتعطيل تصحيح الأخطاء، يمكنك تنفيذ الأمر التالي:

    Switch#set platform software trace all notice

    لإظهار السجلات:

    Switch#show logging process smd | include RADIUS

2025/09/19 14:36:25.431793040 {smd_R0-0}{1}: [radius] [23554]: (info): RADIUS: Send Accounting-Request to 10.48.30.117:1813 id 1813/180, len 459
2025/09/19 14:36:25.431800182 {smd_R0-0}{1}: [radius] [23554]: (info): RADIUS:  authenticator 37 19 72 c0 54 6b 63 a4 - e2 93 7b c1 c8 93 24 4c
2025/09/19 14:36:25.431804371 {smd_R0-0}{1}: [radius] [23554]: (info): RADIUS:  Vendor, Cisco       [26]    35
2025/09/19 14:36:25.431808600 {smd_R0-0}{1}: [radius] [23554]: (info): RADIUS:   Cisco AVpair       [1]     29  "cdp-tlv=                   "
2025/09/19 14:36:25.431811616 {smd_R0-0}{1}: [radius] [23554]: (info): RADIUS:  Vendor, Cisco       [26]    39
2025/09/19 14:36:25.431815180 {smd_R0-0}{1}: [radius] [23554]: (info): RADIUS:   Cisco AVpair       [1]     33  "cdp-tlv=                       "
2025/09/19 14:36:25.431817947 {smd_R0-0}{1}: [radius] [23554]: (info): RADIUS:  Vendor, Cisco       [26]    75
2025/09/19 14:36:25.431822305 {smd_R0-0}{1}: [radius] [23554]: (info): RADIUS:   Cisco AVpair       [1]     69  "lldp-tlv=                                                          "
2025/09/19 14:36:25.431826085 {smd_R0-0}{1}: [radius] [23554]: (info): RADIUS:  User-Name           [1]     19  "E8-EB-34-D9-B8-F7"
2025/09/19 14:36:25.431828885 {smd_R0-0}{1}: [radius] [23554]: (info): RADIUS:  Vendor, Cisco       [26]    49
2025/09/19 14:36:25.431832691 {smd_R0-0}{1}: [radius] [23554]: (info): RADIUS:   Cisco AVpair       [1]     43  "audit-session-id=F24D300A000000156266B34D"
2025/09/19 14:36:25.431835418 {smd_R0-0}{1}: [radius] [23554]: (info): RADIUS:  Vendor, Cisco       [26]    18
2025/09/19 14:36:25.431839009 {smd_R0-0}{1}: [radius] [23554]: (info): RADIUS:   Cisco AVpair       [1]     12  "method=mab"
2025/09/19 14:36:25.431842591 {smd_R0-0}{1}: [radius] [23554]: (info): RADIUS:  Called-Station-Id   [30]    19  "50-1C-B0-78-EF-01"
2025/09/19 14:36:25.431846145 {smd_R0-0}{1}: [radius] [23554]: (info): RADIUS:  Calling-Station-Id  [31]    19  "E8-EB-34-D9-B8-F7"
2025/09/19 14:36:25.431851298 {smd_R0-0}{1}: [radius] [23554]: (info): RADIUS:  NAS-IP-Address      [4]      6  10.48.77.242              
2025/09/19 14:36:25.431854702 {smd_R0-0}{1}: [radius] [23554]: (info): RADIUS:  NAS-Port-Id         [87]    22  "GigabitEthernet1/0/1"
2025/09/19 14:36:25.431859269 {smd_R0-0}{1}: [radius] [23554]: (info): RADIUS:  NAS-Port-Type       [61]     6  Ethernet                  [15]
2025/09/19 14:36:25.431863238 {smd_R0-0}{1}: [radius] [23554]: (info): RADIUS:  NAS-Port            [5]      6  50101                     
2025/09/19 14:36:25.431866514 {smd_R0-0}{1}: [radius] [23554]: (info): RADIUS:  Calling-Station-Id  [31]    19  "E8-EB-34-D9-B8-F7"
2025/09/19 14:36:25.431870007 {smd_R0-0}{1}: [radius] [23554]: (info): RADIUS:  Called-Station-Id   [30]    19  "50-1C-B0-78-EF-01"
2025/09/19 14:36:25.431873587 {smd_R0-0}{1}: [radius] [23554]: (info): RADIUS:  Acct-Session-Id     [44]    10  "000000cc"
2025/09/19 14:36:25.431882560 {smd_R0-0}{1}: [radius] [23554]: (info): RADIUS:  Acct-Authentic      [45]     6  Remote                    [3]
2025/09/19 14:36:25.431885338 {smd_R0-0}{1}: [radius] [23554]: (info): RADIUS:  Class               [25]    54  ...
2025/09/19 14:36:25.431933331 {smd_R0-0}{1}: [radius] [23554]: (info): RADIUS:  Acct-Status-Type    [40]     6  Start                     [1]
2025/09/19 14:36:25.431937105 {smd_R0-0}{1}: [radius] [23554]: (info): RADIUS:  Event-Timestamp     [55]     6  1758292585                
2025/09/19 14:36:25.431940547 {smd_R0-0}{1}: [radius] [23554]: (info): RADIUS:  Acct-Delay-Time     [41]     6  0                         
2025/09/19 14:36:25.431973200 {smd_R0-0}{1}: [radius] [23554]: (info): RADIUS: Started 5 sec timeout

    التقاط الحِزم

    Pcap

    الخطوة 4. تحقق من تصحيح أخطاء منشئ ملفات التعريف على ISE

    إن أرسلت السمة كان من المفتاح، هو يستطيع فحصت إن كان إستلمت على ISE. للتحقق من ذلك، قم بتمكين تصحيح أخطاء منشئ ملفات التعريف لعقدة PSN الصحيحة (الإدارة > النظام > التسجيل > تكوين سجل الأخطاء > PSN > ملف التعريف > تصحيح الأخطاء) وقم بمصادقة نقطة النهاية مرة أخرى.

    Find File Debug

    Profiler Debug

    ابحث عن هذه المعلومات:

    • تصحيح الأخطاء يشير إلى أن مسبار RADIUS استلم السمات:
      2025-09-21 07:14:07,574 INFO   [RADIUSParser-1-thread-2][[]] cisco.profiler.probes.radius.RadiusParser -:F24D300A000000166B1DB387::::- MSG_CODE=[3000], VALID=[true], PRRT_TIMESTAMP=[2025-09-21 07:14:07.571 +00:00], MAC=[E8-EB-34-D9-B8-F7]
2025-09-21 07:14:07,574 DEBUG  [RADIUSParser-1-thread-2][[]] cisco.profiler.probes.radius.RadiusParser -:F24D300A000000166B1DB387::::- ATTRS=[Device IP Address=10.48.77.242, UserName=CP-8811-SEPE8EB34D9B8F7, NetworkDeviceName=Test_Switch, User-Name=CP-8811-SEPE8EB34D9B8F7, NAS-IP-Address=10.48.77.242, NAS-Port=50101, Class=CACS:F24D300A000000166B1DB387:ise34-3/547062375/1383, Called-Station-ID=50-1C-B0-78-EF-01, Calling-Station-ID=E8-EB-34-D9-B8-F7, Acct-Status-Type=Start, Acct-Delay-Time=0, Acct-Session-Id=000000ce, Acct-Authentic=Remote, Event-Timestamp=1758438796, NAS-Port-Type=Ethernet, NAS-Port-Id=GigabitEthernet1/0/1, cisco-av-pair=cdp-tlv=cdpCacheDeviceId=SEPE8EB34D9B8F7, cisco-av-pair=cdp-tlv=cdpCachePlatform=Cisco IP Phone 8811, cisco-av-pair=lldp-tlv=lldpSystemDescription=Cisco IP Phone 8811\, V1\, sip88xx.12-8-1-0101-482.loads, cisco-av-pair=audit-session-id=F24D300A000000166B1DB387, cisco-av-pair=method=mab, QuickResponseSent=true, AcsSessionID=ise34-3/547062375/1389, SelectedAccessService=Default Network Access, RequestLatency=8, Step=11004, Step=11017, Step=15049, Step=15008, Step=22095, Step=11005, NetworkDeviceGroups=IPSEC#Is IPSEC Device#No, NetworkDeviceGroups=Location#All Locations, NetworkDeviceGroups=Device Type#All Device Types, CPMSessionID=F24D300A000000166B1DB387, StepLatency=1=0\;2=0\;3=0\;4=6\;5=0, TotalAuthenLatency=8, ClientLatency=0, Network Device Profile=Cisco, Location=Location#All Locations, Device Type=Device Type#All Device Types, IPSEC=IPSEC#Is IPSEC Device#No, ]​
    • تصحيح الأخطاء الذي يشير إلى أن الخصائص تم تحليلها بنجاح:
      2025-09-21 07:14:07,574 DEBUG  [RADIUSParser-1-thread-2][[]] cisco.profiler.probes.radius.RadiusParser -:F24D300A000000166B1DB387::::- Parsed IOS Sensor 1: cdpCacheDeviceId=[SEPE8EB34D9B8F7]
2025-09-21 07:14:07,574 DEBUG  [RADIUSParser-1-thread-2][[]] cisco.profiler.probes.radius.RadiusParser -:F24D300A000000166B1DB387::::- Parsed IOS Sensor 2: cdpCachePlatform=[Cisco IP Phone 8811]
2025-09-21 07:14:07,574 DEBUG  [RADIUSParser-1-thread-2][[]] cisco.profiler.probes.radius.RadiusParser -:F24D300A000000166B1DB387::::- Parsed IOS Sensor 3: lldpSystemDescription=[Cisco IP Phone 8811, V1, sip88xx.12-8-1-0101-482.loads]​
    • تصحيح الأخطاء يشير إلى أن السمات تتم معالجتها بواسطة الموجه:
      2025-09-21 07:14:08,709 DEBUG  [pool-55-thread-8][[]] cisco.profiler.infrastructure.probemgr.Forwarder -:F24D300A000000166B1DB387::90decf50-96ba-11f0-91c8-525ff9f6e55c:ProfilerCollection:- Endpoint Attributes:EndPoint[id=,name=]
MAC: E8:EB:34:D9:B8:F7
    Attribute:AAA-Server     value:ise34-3
        (... more attributes ...)
         Attribute:User-Name     value:CP-8811-SEPE8EB34D9B8F7
        Attribute:cdpCacheDeviceId     value:SEPE8EB34D9B8F7
        Attribute:cdpCachePlatform     value:Cisco IP Phone 8811
        Attribute:lldpSystemDescription     value:Cisco IP Phone 8811, V1, sip88xx.12-8-1-0101-482.loads
        Attribute:SkipProfiling     value:false​
    note-icon

    ملاحظة: يقوم الموجه بتخزين نقاط النهاية في قاعدة بيانات Cisco ISE مع بيانات السمات الخاصة بها، ثم يقوم بإعلام المحلل بنقاط النهاية الجديدة التي تم اكتشافها على الشبكة. يقوم المحلل بتصنيف نقاط النهاية إلى مجموعات هوية نقطة النهاية ويخزن نقاط النهاية مع ملفات التعريف المتطابقة في قاعدة البيانات.

    الخطوة 5. تحديد سمات جديدة وتعيين الجهاز

    عادة بعد إضافة سمات جديدة إلى المجموعة الموجودة لجهاز معين، تتم إضافة هذا الجهاز أو نقطة النهاية إلى قائمة انتظار إنشاء ملفات التعريف للتحقق من أنه يجب تعيينها ملف تعريف مختلف بناء على سمات جديدة:

    2025-09-21 07:14:08,714 INFO   [pool-3352-thread-8][[]] cisco.profiler.infrastructure.profiling.ProfilerManager -:F24D300A000000166B1DB387::90decf50-96ba-11f0-91c8-525ff9f6e55c:Profiling:- Classify Mac E8:EB:34:D9:B8:F7 MessageCode 3000 epSource RADIUS Probe

2025-09-21 07:14:08,724 DEBUG  [pool-3352-thread-8][[]] cisco.profiler.infrastructure.profiling.ProfilerManager -:F24D300A000000166B1DB387::90decf50-96ba-11f0-91c8-525ff9f6e55c:Profiling:- Policy Cisco-Device matched E8:EB:34:D9:B8:F7 (certainty 30)

2025-09-21 07:14:08,727 DEBUG  [pool-3352-thread-8][[]] cisco.profiler.infrastructure.profiling.ProfilerManager -:F24D300A000000166B1DB387::90decf50-96ba-11f0-91c8-525ff9f6e55c:Profiling:- Policy Cisco-IP-Phone matched E8:EB:34:D9:B8:F7 (certainty 45)

2025-09-21 07:14:08,729 DEBUG  [pool-3352-thread-8][[]] cisco.profiler.infrastructure.profiling.ProfilerManager -:F24D300A000000166B1DB387::90decf50-96ba-11f0-91c8-525ff9f6e55c:Profiling:- Policy Cisco-IP-Phone-8811 matched E8:EB:34:D9:B8:F7 (certainty 140)

2025-09-21 07:14:08,729 DEBUG  [pool-3352-thread-8][[]] cisco.profiler.infrastructure.profiling.ProfilerManager -:F24D300A000000166B1DB387::90decf50-96ba-11f0-91c8-525ff9f6e55c:Profiling:- After analyzing policy hierarchy: Endpoint: E8:EB:34:D9:B8:F7 EndpointPolicy:Cisco-IP-Phone-8811 for:215 ExceptionRuleMatched:false

    معلومات ذات صلة

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    4.0
    02-Oct-2025
    تنسيق محدث، رؤوس، غطاء متحيز
    3.0
    14-Aug-2024
    تنسيق محدث، وبعض التحسينات النحوية.
    1.0
    14-Dec-2015
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Piotr Borowiec
      Customer Delivery Leader

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات