ISE プロファイリング用のデバイス センサーの設定
はじめに
このドキュメントでは、ISEでプロファイリング目的で使用できるようにデバイスセンサーを設定する方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- RADIUS プロトコル
- Cisco Discovery Protocol(CDP)、Link Layer Discovery Protocol(LLDP)、Dynamic Host Configuration Protocol(DHCP)
- Cisco Identity Service Engine(ISE)
- Cisco Catalyst スイッチ 2960
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Cisco ISEバージョン1.3パッチ3
- Cisco Catalyst スイッチ 2960 バージョン 15.2(2a)E1
- Cisco IP Phone 8941 バージョン SCCP 9-3-4-17
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
デバイスセンサーは、アクセスデバイスの機能です。これにより、接続エンドポイントに関する情報を収集できます。ほとんどの場合、デバイスセンサーによって収集される情報は、次のプロトコルから取得されます。
- CDP
- LLDP
- DHCP
注:一部のプラットフォームでは、H323、Session Initiation Protocol(SIP)、Multicast Domain Resolution(MDNS)、またはHTTPプロトコルも使用できます。デバイス センサー機能を設定できるかどうかは、プロトコルによって異なります。ソフトウェア03.07.02.Eが稼働するCisco Catalyst 3850では、次のような例が使用できます。
情報が収集されると、その情報はRADIUSアカウンティングにカプセル化され、プロファイリングサーバに送信されます。この記事では、ISEをプロファイリングサーバとして使用します。
設定
ステップ 1:標準AAA設定
認証、許可、アカウンティング(AAA)を設定するには、次の手順を参照してください。
1. AAAの有効化 aaa new-model コマンドを使用して、スイッチで802.1Xをグローバルに有効にします。
2. RADIUSサーバを設定し、動的認証(Change of Authorization - CoA)を有効にします。
3. CDPおよびLLDPプロトコルを有効にします。
4. switchport認証設定を追加します。
!
aaa new-model ! aaa authentication dot1x default group radius aaa authorization network default group radius aaa accounting update newinfo aaa accounting dot1x default start-stop group radius !
aaa server radius dynamic-author
client 1.1.1.1 server-key xyz
!
dot1x system-auth-control
! lldp run
cdp run ! interface GigabitEthernet1/0/13 description IP_Phone_8941_connected switchport mode access switchport voice vlan 101 authentication event fail action next-method authentication host-mode multi-domain authentication order dot1x mab authentication priority dot1x mab authentication port-control auto mab dot1x pae authenticator dot1x timeout tx-period 2 spanning-tree portfast end ! radius-server host 1.1.1.1 auth-port 1812 acct-port 1813 key xyz
!
注:新しいソフトウェアバージョンでは、コマンドは radius-server vsa send accounting デフォルトで有効になっています。アカウンティングで送信された属性を確認できない場合は、コマンドが有効になっているかどうかを確認します。
ステップ 2:デバイスセンサーの設定
1.デバイスをプロファイルするために必要なCDP/LLDPの属性を決定します。Cisco IP Phone 8941の場合は、次のものを使用できます。
- LLDP SystemDescription 属性
- CDP CachePlatform 属性
どちらの確信度ファクトリも70増加し、Cisco-IP-Phone-8941としてプロファイリングする必要がある最小確信度ファクトリは70なので、どちらか1つだけを取得するだけで十分です。
注:特定のCisco IP Phoneとしてプロファイルするには、すべての親プロファイルの最小条件を満たす必要があります。つまり、プロファイラはCisco-Device(最小確信度10)およびCisco-IP-Phone(最小確信度20)と一致する必要があります。プロファイラはこの2つのプロファイルに一致しますが、各IP Phoneモデルの最小確信度は70であるため、特定のCisco IP Phoneとしてプロファイリングする必要があります。デバイスは、確信度が最も高いプロファイルに割り当てられます。
2. 2つのフィルタリストを設定します。1つはCDP用で、もう1つはLLDP用です。これらは、Radiusアカウンティングメッセージに含める必要がある属性を示します。この手順は任意です。
3. CDPとLLDPの2つのフィルタ仕様を作成します。filter-specでは、アカウンティングメッセージに含める属性と除外する属性のリストを指定できます。この例では、次の属性が含まれています。
- device-name(CDP)
- system-description(LLDP)
必要に応じて、Radius経由でISEに送信される追加の属性を設定できます。この手順もオプションです。
4.コマンドを追加する device-sensor notify all-changesを参照。現在のセッションに対してTLVが追加、変更、または削除されるたびに更新がトリガーされます。
5.デバイスセンサー機能を使用して収集した情報を実際に送信するには、コマンドを使用してスイッチに情報を送信するように明示的に指示する必要があります device-sensor accountingを参照。
! device-sensor filter-list cdp list cdp-list tlv name device-name
tlv name platform-type ! device-sensor filter-list lldp list lldp-list tlv name system-description ! device-sensor filter-spec lldp include list lldp-list device-sensor filter-spec cdp include list cdp-list ! device-sensor accounting device-sensor notify all-changes !
ステップ 3:ISEでのプロファイリングの設定
1.スイッチをネットワークデバイスとして Administration > Network Resources > Network Devicesを参照。Authentication Settingsで、スイッチからのRADIUSサーバキーを共有秘密として使用します。
2.のプロファイルノードでRADIUSプローブを有効にします。 Administration > System > Deployment > ISE node > Profiling Configurationを参照。すべてのPSNノードをプロファイルに使用する必要がある場合は、それらすべてのプローブを有効にします。
3. ISE認証ルールの設定この例では、ISEで事前に設定されたデフォルトの認証ルールが使用されます。
4. ISE認可ルールの設定ISE で事前に設定された「Profiled Cisco IP Phone」ルールを使用します。
確認
プロファイリングが正しく機能しているかどうかを確認するには、 Operations > Authentications iseで次を実行します。
まず、デバイスはMAB(18:49:00)を使用して認証されました。10秒後(18:49:10)にCisco-Deviceとして再プロファイルされ、最後に最初の認証(18:49:42)から42秒後にCisco-IP-Phone-8941プロファイルを受信しました。その結果、ISEはIPフォン(Cisco_IP_Phones)に固有の認証プロファイルと、すべてのトラフィックを許可するダウンロード可能ACL(permit ip any)を返します。このシナリオでは、不明なデバイスがネットワークへの基本的なアクセス権を持つことに注意してください。これは、ISE内部エンドポイントデータベースにMACアドレスを追加するか、または未知のデバイスに基本的なネットワークアクセスを許可することで実現できます。
注:この例では、最初のプロファイリングに約40秒かかっています。次の認証では、ISEはすでにプロファイルを認識しており、正しい属性(音声ドメインとDACLに参加する権限)は、ISEが新しい属性または更新された属性を受信してデバイスを再プロファイルする必要がない限り、即座に適用されます。
イン Administration > Identity Management > Identities > Endpoints > tested endpoint radiusプローブによって収集された属性の種類とその値を確認できます。
ご覧のように、このシナリオで計算される確信度の合計は210です。これは、エンドポイントがCisco-Deviceプロファイル(合計確信度が30)とCisco-IP-Phoneプロファイル(合計確信度が40)にも一致したためです。プロファイラはプロファイルCisco-IP-Phone-8941の両方の条件に一致しているため、このプロファイルの確信度は140(プロファイリングポリシーに従って属性ごとに70)です。合計すると、30+40+70+70=210になります。
トラブルシュート
ステップ 1:CDP/LLDPによって収集された情報の確認
switch#sh cdp neighbors g1/0/13 detail ------------------------- Device ID: SEP20BBC0DE06AE Entry address(es): Platform: Cisco IP Phone 8941 , Capabilities: Host Phone Two-port Mac Relay Interface: GigabitEthernet1/0/13, Port ID (outgoing port): Port 1 Holdtime : 178 sec Second Port Status: Down Version : SCCP 9-3-4-17 advertisement version: 2 Duplex: full Power drawn: 3.840 Watts Power request id: 57010, Power management id: 3 Power request levels are:3840 0 0 0 0 Total cdp entries displayed : 1
switch#
switch#sh lldp neighbors g1/0/13 detail
------------------------------------------------
Chassis id: 0.0.0.0
Port id: 20BBC0DE06AE:P1
Port Description: SW Port
System Name: SEP20BBC0DE06AE.
System Description:
Cisco IP Phone 8941, V3, SCCP 9-3-4-17
Time remaining: 164 seconds
System Capabilities: B,T
Enabled Capabilities: B,T
Management Addresses - not advertised
Auto Negotiation - supported, enabled
Physical media capabilities:
1000baseT(FD)
100base-TX(FD)
100base-TX(HD)
10base-T(FD)
10base-T(HD)
Media Attachment Unit type: 16
Vlan ID: - not advertised
MED Information:
MED Codes:
(NP) Network Policy, (LI) Location Identification
(PS) Power Source Entity, (PD) Power Device
(IN) Inventory
H/W revision: 3
F/W revision: 0.0.1.0
S/W revision: SCCP 9-3-4-17
Serial number: PUC17140FBO
Manufacturer: Cisco Systems , Inc.
Model: CP-8941
Capabilities: NP, PD, IN
Device type: Endpoint Class III
Network Policy(Voice): VLAN 101, tagged, Layer-2 priority: 0, DSCP: 0
Network Policy(Voice Signal): VLAN 101, tagged, Layer-2 priority: 3, DSCP: 24
PD device, Power source: Unknown, Power Priority: Unknown, Wattage: 3.8
Location - not advertised
Total entries displayed: 1
収集されたデータが表示されない場合は、次のことを確認します。
- スイッチの認証セッションの状態を確認します(成功する必要があります)。
piborowi#show authentication sessions int g1/0/13 details
Interface: GigabitEthernet1/0/13
MAC Address: 20bb.c0de.06ae
IPv6 Address: Unknown
IPv4 Address: Unknown
User-Name: 20-BB-C0-DE-06-AE
Status: Authorized
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Session timeout: N/A
Common Session ID: 0AE51820000002040099C216
Acct Session ID: 0x00000016
Handle: 0xAC0001F6
Current Policy: POLICY_Gi1/0/13
Local Policies:
Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
Server Policies:
Method status list:
Method State
dot1x Stopped
mab Authc Success
- CDP プロトコルと LLDP プロトコルが有効になっているかどうかを確認します。CDP/LLDPなどに関するデフォルト以外のコマンドがあるかどうかを確認し、それらがエンドポイントからの属性取得にどのように影響するかを確認します
switch#sh running-config all | in cdp run cdp run switch#sh running-config all | in lldp run lldp run
- エンドポイントがCDP/LLDPなどをサポートしているかどうかをエンドポイントのコンフィギュレーションガイドで確認します。
ステップ 2:デバイスセンサーのキャッシュの確認
switch#show device-sensor cache interface g1/0/13
Device: 20bb.c0de.06ae on port GigabitEthernet1/0/13
--------------------------------------------------
Proto Type:Name Len Value
LLDP 6:system-description 40 0C 26 43 69 73 63 6F 20 49 50 20 50 68 6F 6E 65
20 38 39 34 31 2C 20 56 33 2C 20 53 43 43 50 20
39 2D 33 2D 34 2D 31 37
CDP 6:platform-type 24 00 06 00 18 43 69 73 63 6F 20 49 50 20 50 68 6F
6E 65 20 38 39 34 31 20
CDP 28:secondport-status-type 7 00 1C 00 07 00 02 00
このフィールドにデータが表示されない場合、または情報が不完全な場合は、「device-sensor」コマンド、特にfilter-listsとfilter-specsを確認します。
ステップ 3:RADIUS アカウンティングに属性があるかどうかの確認
これを確認するには、 debug radius コマンドをスイッチで実行するか、スイッチとISE間でパケットキャプチャを実行します。
RADIUS デバッグ:
Mar 30 05:34:58.716: RADIUS(00000000): Send Accounting-Request to 1.1.1.1:1813 id 1646/85, len 378 Mar 30 05:34:58.716: RADIUS: authenticator 17 DA 12 8B 17 96 E2 0F - 5D 3D EC 79 3C ED 69 20 Mar 30 05:34:58.716: RADIUS: Vendor, Cisco [26] 40 Mar 30 05:34:58.716: RADIUS: Cisco AVpair [1] 34 "cdp-tlv= " Mar 30 05:34:58.716: RADIUS: Vendor, Cisco [26] 23 Mar 30 05:34:58.716: RADIUS: Cisco AVpair [1] 17 "cdp-tlv= " Mar 30 05:34:58.721: RADIUS: Vendor, Cisco [26] 59 Mar 30 05:34:58.721: RADIUS: Cisco AVpair [1] 53 "lldp-tlv= " Mar 30 05:34:58.721: RADIUS: User-Name [1] 19 "20-BB-C0-DE-06-AE" Mar 30 05:34:58.721: RADIUS: Vendor, Cisco [26] 49 Mar 30 05:34:58.721: RADIUS: Cisco AVpair [1] 43 "audit-session-id=0AE518200000022800E2481C" Mar 30 05:34:58.721: RADIUS: Vendor, Cisco [26] 19 Mar 30 05:34:58.721: RADIUS: Cisco AVpair [1] 13 "vlan-id=101" Mar 30 05:34:58.721: RADIUS: Vendor, Cisco [26] 18 Mar 30 05:34:58.721: RADIUS: Cisco AVpair [1] 12 "method=mab" Mar 30 05:34:58.721: RADIUS: Called-Station-Id [30] 19 "F0-29-29-49-67-0D" Mar 30 05:34:58.721: RADIUS: Calling-Station-Id [31] 19 "20-BB-C0-DE-06-AE" Mar 30 05:34:58.721: RADIUS: NAS-IP-Address [4] 6 10.229.20.43 Mar 30 05:34:58.721: RADIUS: NAS-Port [5] 6 60000 Mar 30 05:34:58.721: RADIUS: NAS-Port-Id [87] 23 "GigabitEthernet1/0/13" Mar 30 05:34:58.721: RADIUS: NAS-Port-Type [61] 6 Ethernet [15] Mar 30 05:34:58.721: RADIUS: Acct-Session-Id [44] 10 "00000018" Mar 30 05:34:58.721: RADIUS: Acct-Status-Type [40] 6 Watchdog [3] Mar 30 05:34:58.721: RADIUS: Event-Timestamp [55] 6 1301463298 Mar 30 05:34:58.721: RADIUS: Acct-Input-Octets [42] 6 538044 Mar 30 05:34:58.721: RADIUS: Acct-Output-Octets [43] 6 3201914 Mar 30 05:34:58.721: RADIUS: Acct-Input-Packets [47] 6 1686 Mar 30 05:34:58.721: RADIUS: Acct-Output-Packets [48] 6 35354 Mar 30 05:34:58.721: RADIUS: Acct-Delay-Time [41] 6 0 Mar 30 05:34:58.721: RADIUS(00000000): Sending a IPv4 Radius Packet Mar 30 05:34:58.721: RADIUS(00000000): Started 5 sec timeout Mar 30 05:34:58.737: RADIUS: Received from id 1646/85 10.62.145.51:1813, Accounting-response, len 20
パケット キャプチャ:
ステップ 4:ISEでのプロファイラデバッグの確認
スイッチから属性が送信された場合は、ISE で属性が受信されたかどうかを確認できます。これを確認するには、正しいPSNノード(Administration > System > Logging > Debug Log Configuration > PSN > profiler > debug)を使用して、もう一度エンドポイントの認証を実行します。
次の情報を探します。
- RADIUS プローブが属性を受信したことを示すデバッグ:
2015-11-25 19:29:53,641 DEBUG [RADIUSParser-1-thread-1][]
cisco.profiler.probes.radius.RadiusParser -:::-
MSG_CODE=[3002], VALID=[true], PRRT_TIMESTAMP=[2015-11-25 19:29:53.637 +00:00],
ATTRS=[Device IP Address=10.229.20.43, RequestLatency=7,
NetworkDeviceName=deskswitch, User-Name=20-BB-C0-DE-06-AE,
NAS-IP-Address=10.229.20.43, NAS-Port=60000, Called-Station-ID=F0-29-29-49-67-0D,
Calling-Station-ID=20-BB-C0-DE-06-AE, Acct-Status-Type=Interim-Update,
Acct-Delay-Time=0, Acct-Input-Octets=362529, Acct-Output-Octets=2871426,
Acct-Session-Id=00000016, Acct-Input-Packets=1138, Acct-Output-Packets=32272,
Event-Timestamp=1301458555, NAS-Port-Type=Ethernet, NAS-Port-Id=GigabitEthernet1/0/13,
cisco-av-pair=cdp-tlv=cdpCachePlatform=Cisco IP Phone 8941 ,
cisco-av-pair=cdp-tlv=cdpUndefined28=00:02:00,
cisco-av-pair=lldp-tlv=lldpSystemDescription=Cisco IP Phone 8941\, V3\, SCCP 9-3-4-17,
cisco-av-pair=audit-session-id=0AE51820000002040099C216, cisco-av-pair=vlan-id=101,
cisco-av-pair=method=mab, AcsSessionID=ise13/235487054/2511, SelectedAccessService=Default Network Access,
Step=11004, Step=11017, Step=15049, Step=15008, Step=15004, Step=11005, NetworkDeviceGroups=Location#All Locations,
NetworkDeviceGroups=Device Type#All Device Types, Service-Type=Call Check, CPMSessionID=0AE51820000002040099C216,
AllowedProtocolMatchedRule=MAB, Location=Location#All Locations, Device Type=Device Type#All Device Types, ]
- 属性が正常に解析されたことを示すデバッグ:
2015-11-25 19:29:53,642 DEBUG [RADIUSParser-1-thread-1][] cisco.profiler.probes.radius.RadiusParser -:::- Parsed IOS Sensor 1: cdpCachePlatform=[Cisco IP Phone 8941] 2015-11-25 19:29:53,642 DEBUG [RADIUSParser-1-thread-1][] cisco.profiler.probes.radius.RadiusParser -:::- Parsed IOS Sensor 2: cdpUndefined28=[00:02:00] 2015-11-25 19:29:53,642 DEBUG [RADIUSParser-1-thread-1][] cisco.profiler.probes.radius.RadiusParser -:::- Parsed IOS Sensor 3: lldpSystemDescription=[Cisco IP Phone 8941, V3, SCCP
- 属性がフォワーダによって処理されることを示すデバッグ:
2015-11-25 19:29:53,643 DEBUG [forwarder-6][] cisco.profiler.infrastructure.probemgr.Forwarder -:20:BB:C0:DE:06:AE:ProfilerCollection:- Endpoint Attributes:
ID:null
Name:null
MAC: 20:BB:C0:DE:06:AE
Attribute:AAA-Server value:ise13
(... more attributes ...)
Attribute:User-Name value:20-BB-C0-DE-06-AE
Attribute:cdpCachePlatform value:Cisco IP Phone 8941
Attribute:cdpUndefined28 value:00:02:00
Attribute:lldpSystemDescription value:Cisco IP Phone 8941, V3, SCCP 9-3-4-17
Attribute:SkipProfiling value:false
注:フォワーダは、エンドポイントをその属性データとともにCisco ISEデータベースに保存し、ネットワークで検出された新しいエンドポイントをアナライザに通知します。アナライザは、エンドポイントをエンドポイント ID グループに分類し、一致プロファイルとともにエンドポイントをデータベースに保存します。
ステップ 5: 新しい属性とデバイス割り当てのプロファイリング
通常、特定のデバイスの既存のコレクションに新しい属性が追加されると、このデバイスまたはエンドポイントがプロファイリングキューに追加され、新しい属性に基づいて別のプロファイルを割り当てる必要があるかどうかを確認します。
2015-11-25 19:29:53,646 DEBUG [EndpointHandlerWorker-6-31-thread-1][]
cisco.profiler.infrastructure.profiling.ProfilerManager -:20:BB:C0:DE:06:AE:Profiling:-
Classify hierarchy 20:BB:C0:DE:06:AE
2015-11-25 19:29:53,656 DEBUG [EndpointHandlerWorker-6-31-thread-1][]
cisco.profiler.infrastructure.profiling.ProfilerManager -:20:BB:C0:DE:06:AE:Profiling:-
Policy Cisco-Device matched 20:BB:C0:DE:06:AE (certainty 30)
2015-11-25 19:29:53,659 DEBUG [EndpointHandlerWorker-6-31-thread-1][]
cisco.profiler.infrastructure.profiling.ProfilerManager -:20:BB:C0:DE:06:AE:Profiling:-
Policy Cisco-IP-Phone matched 20:BB:C0:DE:06:AE (certainty 40)
2015-11-25 19:29:53,663 DEBUG [EndpointHandlerWorker-6-31-thread-1][]
cisco.profiler.infrastructure.profiling.ProfilerManager -:20:BB:C0:DE:06:AE:Profiling:-
Policy Cisco-IP-Phone-8941 matched 20:BB:C0:DE:06:AE (certainty 140)
2015-11-25 19:29:53,663 DEBUG [EndpointHandlerWorker-6-31-thread-1][]
cisco.profiler.infrastructure.profiling.ProfilerManager -:20:BB:C0:DE:06:AE:Profiling:-
After analyzing policy hierarchy: Endpoint: 20:BB:C0:DE:06:AE EndpointPolicy:Cisco-IP-Phone-8941 for:210 ExceptionRuleMatched:false
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
14-Dec-2015 |
初版 |
フィードバック