9800 Wireless LAN Controller에서 클라이언트 프로파일링을 자세히 살펴보기

소개

이 문서에서는 Cisco Catalyst 9800 Wireless LAN Controller에서 장치 분류 및 프로파일링이 어떻게 작동하는지 자세히 살펴보고, 잠재적인 사용 사례, 컨피그레이션 예제 및 문제 해결에 필요한 단계를 설명합니다.

사용되는 구성 요소

• 17.2.1 이미지를 실행하는 9800 CL WLC
• 1815i 액세스 포인트
• Windows 10 Pro 무선 클라이언트
• Cisco ISE 2.7

프로파일링 프로세스

장치 프로파일링은 무선 인프라에 연결된 무선 클라이언트에 대한 추가 정보를 찾는 방법을 제공하는 기능입니다.디바이스 프로파일링이 수행되면 다른 로컬 정책을 적용하거나 특정 RADIUS 서버 규칙을 일치시키는 데 사용할 수 있습니다.

Cisco 9800 WLC는 3가지 유형의 장치 프로파일링을 수행할 수 있습니다.

1. MAC 주소 OUI
2. DHCP
3. HTTP

MAC 주소 OUI 프로파일링

MAC 주소는 각 무선(및 유선) 네트워크 인터페이스의 고유 식별자입니다.일반적으로 16진수 형식 MM:MM:MM:SS:SS:SS로 기록되는 48비트 숫자입니다.처음 24비트(또는 38진수)는 OUI(Organizationally Unique Identifier)라고 하며 벤더 또는 제조업체를 고유하게 식별합니다.IEEE에서 구매하여 할당합니다.한 공급업체 또는 제조업체에서 여러 OUI를 구매할 수 있습니다.

예:

00:0D:4B - owned by Roku, LLC
90:78:B2 - owned by Xiaomi Communications Co Ltd

무선 클라이언트가 액세스 포인트에 연결되면 WLC는 OUI 조회를 수행하여 제조업체를 확인합니다.Flexconnect 로컬 스위칭 구축에서 AP는 여전히 관련 클라이언트 정보를 WLC에 릴레이합니다(예: DHCP 패킷 및 클라이언트 MAC 주소).

OUI를 기반으로 하는 프로파일링은 매우 제한적이며 장치를 특정 브랜드로 분류할 수 있지만, 노트북과 스마트폰을 구별할 수는 없습니다.

로컬로 관리되는 MAC에서 문제 해결

개인 정보 보호 문제로 인해 많은 제조업체에서 디바이스에 mac 임의 지정 기능을 구현하기 시작했습니다.로컬에서 관리되는 MAC 주소는 무작위로 생성되고 주소의 첫 번째 8진수 중 두 번째로 덜 중요한 비트가 1로 설정됩니다. 이 비트는 mac 주소가 실제로 임의로 생성된 것임을 알리는 플래그로 작동합니다.로컬에서 관리되는 MAC 주소 형식은 4가지가 있습니다(x는 16진수 값일 수 있음).

    x2-xx-xx-xx-xx-xx
    x6-xx-xx-xx-xx-xx
    xA-xx-xx-xx-xx-xx
    xE-xx-xx-xx-xx-xx

기본적으로 Android 10 디바이스는 새 SSID 네트워크에 연결할 때마다 무작위로 생성된 로컬 관리 MAC 주소를 사용합니다.이 기능은 OUI 기반 디바이스 분류를 완전히 무효화합니다. 컨트롤러가 주소가 임의 지정되었으며 조회를 수행하지 않음을 인식하기 때문입니다. 

DHCP 프로파일링

DHCP 프로파일링은 WLC에서 DHCP 패킷 무선 클라이언트가 전송 중인 패킷을 조사하여 수행합니다.DHCP 프로파일링을 사용하여 디바이스를 분류한 경우 show wireless client mac-address [MAC_ADDR] detailed 명령의 출력에는 다음이 포함됩니다.

Device Type      : Microsoft-Workstation
Device Name      : MSFT 5.0
Protocol Map     : 0x000009  (OUI, DHCP)
Protocol         : DHCP

WLC는 무선 클라이언트가 전송하는 패킷에서 여러 DHCP 옵션 필드를 검사합니다.

1. 옵션 12 - 호스트 이름

이 옵션은 클라이언트 호스트 이름을 나타내며 DHCP Discover 및 DHCP Request 패킷에서 찾을 수 있습니다.

2. 옵션 60 - 판매업체 분류 식별자

이 옵션은 DHCP Discover and Request 패킷에도 있습니다.이 옵션을 사용하면 클라이언트가 DHCP 서버에 자신을 식별할 수 있으며, 그런 다음 특정 공급업체 클래스 식별자를 가진 클라이언트에만 응답하도록 서버를 구성할 수 있습니다.이 옵션은 네트워크에서 액세스 포인트를 식별하고 옵션 43으로 응답하는 데 가장 일반적으로 사용됩니다.

공급업체 클래스 식별자의 예

• "MSFT 5.0" 모든 Windows 2000 클라이언트(이상)
• "MSFT 98" 모든 Windows 98 및 Me 클라이언트
• "MSFT" 모든 Windows 98, Me 및 2000 클라이언트

Apple MacBook 디바이스는 기본적으로 옵션 60을 전송하지 않습니다.

Windows 10 클라이언트의 패킷 캡처 예:

3. 옵션 55 - 매개변수 요청 목록

DHCP Parameter Request List 옵션은 DHCP 클라이언트가 DHCP 서버에서 요청하는 구성 매개 변수(옵션 코드)를 포함합니다.쉼표로 구분된 표기법(예: 1,15,43)으로 작성된 문자열입니다. 기반 

이 솔루션은 공급업체마다 다르며 여러 디바이스 유형에서 복제할 수 있으므로 완벽한 솔루션이 아닙니다.예를 들어 Windows 10 디바이스는 항상 기본적으로 특정 매개 변수 목록을 요청합니다.애플 아이폰과 아이패드는 여러 가지 매개변수를 사용하여 분류할 수 있습니다.

Windows 10 클라이언트의 캡처 예:

4. 옵션 77 - 사용자 클래스

사용자 클래스는 기본적으로 가장 일반적으로 사용되지 않으며 클라이언트를 수동으로 구성해야 하는 옵션입니다.예를 들어 다음 명령을 사용하여 Windows 시스템에서 이 옵션을 구성할 수 있습니다. 

ipconfig /setclassid “ADAPTER_NAME” “USER_CLASS_STRING”

어댑터 이름은 제어판의 네트워크 및 공유 센터에서 찾을 수 있습니다.

CMD에서 Windows 10 클라이언트용 DHCP 옵션 66을 구성합니다(관리자 권한 필요).

Windows에서 옵션 66을 구현했기 때문에 Wireshark는 이 옵션을 디코딩할 수 없으며 옵션 66 이후에 오는 패킷의 일부가 잘못된 형식으로 표시됩니다.

HTTP 프로파일링

HTTP 프로파일링은 9800 WLC가 지원하는 가장 고급 프로파일링 방법이며 가장 세부적인 디바이스 분류를 제공합니다.클라이언트가 HTTP를 프로파일링하려면 "Run(실행)" 상태여야 하며 HTTP GET 요청을 수행해야 합니다. WLC는 요청을 가로채고 패킷의 HTTP 헤더에 있는 "User-Agent" 필드를 살펴봅니다.이 필드에는 무선 클라이언트를 분류하는 데 사용할 수 있는 무선 클라이언트에 대한 추가 정보가 포함됩니다.

기본적으로 거의 모든 제조업체에서 무선 클라이언트가 인터넷 연결 확인을 시도하는 기능을 구현했습니다.이 확인은 자동 게스트 포털 탐지에 사용됩니다. 디바이스에서 상태 코드 200(OK)으로 HTTP 응답을 수신하는 경우, 이는 WLAN이 webauth로 보호되지 않음을 의미합니다.이 경우 WLC는 나머지 인증을 수행하는 데 필요한 가로채기를 수행합니다. 이 초기 HTTP GET은 디바이스를 프로파일링하는 데 사용할 수 있는 유일한 WLC가 아닙니다.모든 후속 HTTP 요청은 WLC에서 검사되며 더욱 세부적인 분류로 이어질 수 있습니다.

Windows 10 장치는 이 테스트를 수행하기 위해 msftconnecttest.com 도메인을 사용합니다.Apple 디바이스는 captive.apple.com을 사용하는 반면 Android 디바이스는 일반적으로 connectivitycheck.gstatic.com을 사용합니다. 

이 검사를 수행하는 Windows 10 클라이언트의 패킷 캡처는 아래와 같습니다.User Agent(사용자 에이전트) 필드는 Microsoft NCSI로 채워져 WLC에서 Microsoft-Workstation으로 클라이언트가 프로파일링됩니다.

HTTP를 통해 프로파일링된 클라이언트에 대한 show wireless client mac-address [MAC_ADDR] 세부 정보의 출력 예

Device Type      : Microsoft-Workstation
Device Name      : MSFT 5.0
Protocol Map     : 0x000029  (OUI, DHCP, HTTP)
Device OS        : Windows NT 10.0; Win64; x64; rv:76.0
Protocol         : HTTP

RADIUS 프로파일링

디바이스를 분류하는 데 사용되는 방법은 로컬 프로파일링과 RADIUS 프로파일링 간에 차이가 없습니다.RADIUS 프로파일링이 활성화된 경우 WLC는 특정 벤더 특정 RADIUS 특성 집합을 통해 디바이스에 대해 학습한 정보를 RADIUS 서버에 전달합니다.

DHCP RADIUS 프로파일링

DHCP 프로파일링을 통해 얻은 정보는 어카운팅 요청 내의 RADIUS 서버로 공급업체별 RADIUS AVPair로 전송됩니다 cisco av 쌍:dhcp-option=<DHCP 옵션>

DHCP 옵션 12, 60 및 55에 대한 AVPairs를 표시하는 계정 요청 패킷의 예(각각 WLC에서 RADIUS 서버로 전송)(옵션 55 값은 Wireshark의 디코딩으로 인해 손상된 것으로 나타날 수 있음):

HTTP RADIUS 프로파일링

HTTP 프로파일링을 통해 얻은 정보(HTTP GET 요청 헤더의 User-Agent 필드)는 어카운팅 요청 내의 RADIUS 서버로 벤더 특정 RADIUS AVPair로 전송됩니다. cisco av 쌍:http-tlv=User-Agent=<user-agent>

초기 연결 확인 HTTP GET 패킷은 User-Agent 필드에 많은 정보를 포함하지 않으며 "Microsoft NCSI"만 포함됩니다.RADIUS 서버에 이 단순 값을 전달하는 어카운팅 패킷의 예:

사용자가 인터넷 검색을 시작하고 추가 HTTP GET 요청을 생성하면 이에 대한 추가 정보를 얻을 수 있습니다.WLC는 이 클라이언트에 대한 새 User-Agent 값을 탐지하면 ISE에 추가 어카운팅 패킷을 전송합니다.이 예에서는 클라이언트가 Windows 10 64비트 및 Firefox 76을 사용하고 있음을 확인할 수 있습니다.

9800 WLC에서 프로파일링 구성

로컬 프로파일링 컨피그레이션

로컬 프로파일링이 작동하려면 Configuration > Wireless > Wireless Global에서 Device Classification을 활성화하기만 하면 됩니다.이 옵션은 MAC OUI, HTTP 및 DHCP 프로파일링을 동시에 활성화합니다.

또한 Policy 컨피그레이션에서 HTTP TLV Caching 및 DHCP TLV Caching을 활성화할 수 있습니다.WLC가 없는 경우에도 프로파일링을 계속 수행합니다.이 옵션을 활성화하면 WLC는 이 클라이언트에 대해 이전에 학습한 정보를 캐시하고 이 디바이스에서 생성한 추가 패킷을 검사하지 않아도 됩니다. 

RADIUS 프로파일링 컨피그레이션

로컬 프로파일링 컨피그레이션에서 언급한 것처럼 장치 분류를 전역적으로 활성화하는 것 외에 RADIUS 프로파일링이 작동하려면 다음을 수행해야 합니다.

1. RADIUS 서버를 가리키는 "identity" 유형으로 AAA 어카운팅 방법을 구성합니다.

2. Configuration(컨피그레이션) > Tags & Profiles(태그 및 프로파일) > Policy(정책) > [Policy_Name] > Advanced(고급) 아래에 회계 방법을 추가해야 합니다.

3. 마지막으로, RADIUS 프로파일링 확인란을 Configuration(구성) > Tags & Profiles(태그 및 프로파일) > Policy(정책) 아래에 표시해야 합니다. 이 확인란을 선택하면 HTTP 및 DHCP RADIUS 프로파일링이 모두 활성화됩니다(이전 AireOS WLC에는 2개의 개별 확인란이 있음).

활용 사례 프로파일링

로컬 프로파일링 분류를 기반으로 로컬 정책 적용

이 샘플 컨피그레이션에서는 Windows-Workstation으로 프로파일링된 디바이스에만 적용되는 QoS 프로필 차단 및 Facebook 액세스를 포함하는 로컬 정책의 컨피그레이션을 보여줍니다.약간의 변경 사항이 있으면 이 컨피그레이션을 수정할 수 있습니다. 예를 들어 무선 전화에 대해서만 특정 DSCP 표시를 설정할 수 있습니다.

Configuration(컨피그레이션) > Services(서비스) > QoS(QoS)로 이동하여 QoS 프로파일을 생성합니다.새 정책을 생성하려면 add를 클릭합니다.

정책 이름을 지정하고 새 클래스 맵을 추가합니다.사용 가능한 프로토콜에서 차단해야 하는 프로토콜, DSCP가 표시되거나 대역폭이 제한된 프로토콜을 선택합니다.이 예에서는 youtube 및 facebook이 차단됩니다.QoS 창 하단의 정책 프로파일에 이 QoS 프로파일을 적용하지 마십시오.

Configuration(컨피그레이션) > Security(보안) > Local Policy(로컬 정책)로 이동하고 새 서비스 템플릿을 생성합니다.

이전 단계에서 생성한 인그레스 및 이그레스 QoS 프로파일을 지정합니다.이 단계에서는 액세스 목록을 적용할 수도 있습니다.VLAN을 변경할 필요가 없으면 vlan 필드를 비워 둡니다.

Policy Map(정책 맵) 탭으로 이동하고 add(추가)를 클릭합니다.

정책 맵 이름을 설정하고 새 기준을 추가합니다.이전 단계에서 생성한 서비스 템플릿을 지정하고 이 템플릿을 적용할 디바이스 유형을 선택합니다.이 경우 Microsoft-Workstation이 사용됩니다.여러 정책이 정의된 경우 첫 번째 일치 항목이 사용됩니다.

또 다른 일반적인 활용 사례는 OUI 기반 일치 기준을 지정하는 것입니다.구축에 동일한 모델의 많은 스캐너 또는 프린터가 있는 경우 일반적으로 동일한 MAC OUI가 있습니다.특정 QoS DSCP 표시 또는 ACL을 적용하는 데 사용할 수 있습니다.

WLC가 youtube 및 facebook 트래픽을 인식할 수 있도록 하려면 애플리케이션 가시성을 켜야 합니다.Configuration(컨피그레이션) > Services(서비스) > Application Visibility(애플리케이션 가시성) e로 이동합니다.WLAN의 정책 프로필에 대한 가시성 활성화:

마지막으로, 정책 Profile(프로파일)에서 HTTP TLV Caching(HTTP TLV 캐싱), DHCP TLV Caching(DHCP TLV 캐싱), Global device Classification(전역 디바이스 분류)이 활성화되었고 로컬 가입자 정책이 이전 단계 중 하나에서 생성된 로컬 정책 맵을 가리키고 있는지 확인합니다.

클라이언트가 연결되면 로컬 정책이 적용되었는지 확인하고 youtube와 facebook이 실제로 차단되었는지 테스트할 수 있습니다.show wireless client mac-address [MAC_ADDR]의 출력에는 다음이 포함됩니다.

Input Policy Name  : block
Input Policy State : Installed
Input Policy Source : Native Profile Policy
Output Policy Name  : block
Output Policy State : Installed
Output Policy Source : Native Profile Policy

Local Policies:
  Service Template : BlockTemplate (priority 150)
  Input QOS        : block
  Output QOS       : block
  Service Template : wlan_svc_11override_local (priority 254)
  VLAN             : VLAN0039
  Absolute-Timer   : 1800

Device Type      : Microsoft-Workstation
Device Name      : MSFT 5.0
Protocol Map     : 0x000029  (OUI, DHCP, HTTP)
Protocol         : HTTP

Cisco ISE의 고급 정책 집합에 대한 RADIUS 프로파일링

RADIUS 프로파일링이 활성화된 경우 WLC는 프로파일링 정보를 ISE에 전달합니다.이 정보를 기반으로 고급 인증 및 권한 부여 규칙을 생성할 수 있습니다.이 문서에서는 ISE 컨피그레이션에 대해 다루지 않습니다.자세한 내용은 Cisco ISE 프로파일링 설계 가이드를 참조하십시오.이 워크플로는 일반적으로 CoA를 사용해야 하므로 9800 WLC에서 활성화되었는지 확인합니다.

FlexConnect 구축에서 프로파일링

중앙 인증, 로컬 스위칭

이 설정에서는 로컬 및 RADIUS 프로파일링이 이전 장에 설명된 것과 동일하게 계속 작동합니다.AP가 독립형 모드로 전환되면(AP가 WLC와의 연결을 끊음) 장치 프로파일링이 작동하지 않으며 새 클라이언트가 연결할 수 없습니다.

로컬 인증, 로컬 스위칭

AP가 연결 모드(WLC에 연결된 AP)인 경우 프로파일링이 계속 작동합니다(AP는 프로파일링 프로세스를 수행하기 위해 클라이언트의 DHCP 패킷의 사본을 WLC에 보냅니다). 프로파일링이 작동하지만 인증은 AP에서 로컬로 수행되므로 프로파일링 정보는 로컬 정책 컨피그레이션 또는 RADIUS 프로파일링 규칙에 사용할 수 없습니다.

문제 해결

방사능 흔적

WLC에서 클라이언트 프로파일링 문제를 해결하는 가장 쉬운 방법은 방사성 추적을 통해 해결하는 것입니다.Troubleshooting(문제 해결) > Layout Trace(방사능 추적)로 이동하여 클라이언트의 무선 어댑터 MAC 주소를 입력하고 Start(시작)를 클릭합니다.

클라이언트를 네트워크에 연결하고 실행 상태에 도달할 때까지 기다립니다.추적을 중지하고 Generate(생성)를 클릭합니다.내부 로그가 활성화되었는지 확인합니다(이 옵션은 17.1.1 이상의 릴리스에만 있음).

방사능 흔적에서 관련 조각이 발견된 부분은 아래와 같다.

WLC에서 Microsoft-Workstation으로 프로파일링되는 클라이언트:

2020/06/18 10:46:41.052366 {wncd_x_R0-0}{1}: [auth-mgr] [21168]: (info): [74da.38f6.76f0:capwap_90000004] Device type for the session is detected as Microsoft-Workstation and old device-type not classified earlier &Device name for the session is detected as MSFT 5.0 and old device-name not classified earlier & Old protocol map 0 and new is 41
2020/06/18 10:46:41.052367 {wncd_x_R0-0}{1}: [auth-mgr] [21168]: (debug): [74da.38f6.76f0:capwap_90000004] updating device type Microsoft-Workstation, device name MSFT 5.0

디바이스 분류를 캐싱하는 WLC:

(debug): [74da.38f6.76f0:unknown] Updating cache for mac [74da.38f6.76f0] device_type: Microsoft-Workstation, device_name: MSFT 5.0 user_role: NULL protocol_map: 41

캐시 내에서 디바이스 분류를 찾는 WLC:

(info): [74da.38f6.76f0:capwap_90000004] Device type found in cache Microsoft-Workstation

분류를 기준으로 로컬 정책을 적용하는 WLC:

(info): device-type filter: Microsoft-Workstation required, Microsoft-Workstation set - match for 74da.38f6.76f0 / 0x9700001A
(info): device-type Filter evaluation succeeded
(debug):  match device-type eq "Microsoft-Workstation" :success

DHCP 및 HTTP 프로파일링 특성을 포함하는 어카운팅 패킷을 보내는 WLC:

[caaa-acct] [21168]: (debug): [CAAA:ACCT:c9000021] Accounting session created
[auth-mgr] [21168]: (info): [74da.38f6.76f0:capwap_90000004] Getting active filter list
[auth-mgr] [21168]: (info): [74da.38f6.76f0:capwap_90000004] Found http
[auth-mgr] [21168]: (info): [74da.38f6.76f0:capwap_90000004] Found dhcp
[aaa-attr-inf] [21168]: (debug): Filter list http-tlv 0 
[aaa-attr-inf] [21168]: (debug): Filter list dhcp-option 0 

[aaa-attr-inf] [21168]: (debug): Get acct attrs dc-profile-name 0 "Microsoft-Workstation"
[aaa-attr-inf] [21168]: (debug): Get acct attrs dc-device-name 0 "MSFT 5.0"
[aaa-attr-inf] [21168]: (debug): Get acct attrs dc-device-class-tag 0 "Workstation:Microsoft-Workstation"
[aaa-attr-inf] [21168]: (debug): Get acct attrs dc-certainty-metric 0 10 (0xa)
[aaa-attr-inf] [21168]: (debug): Get acct attrs dhcp-option 0 00 0c 00 0f 44 45 53 4b 54 4f 50 2d 4b 4c 52 45 30 4d 41 
[aaa-attr-inf] [21168]: (debug): Get acct attrs dhcp-option 0 00 3c 00 08 4d 53 46 54 20 35 2e 30 
[aaa-attr-inf] [21168]: (debug): Get acct attrs dhcp-option 0 00 37 00 0e 01 03 06 0f 1f 21 2b 2c 2e 2f 77 79 f9 fc 

### http profiling sent in a separate accounting packet
[aaa-attr-inf] [21168]: (debug): Get acct attrs http-tlv 0 00 01 00 0e 4d 69 63 72 6f 73 6f 66 74 20 4e 43 53 49 

패킷 캡처

중앙 스위치드 구축에서는 WLC 자체에서 패킷 캡처를 수행할 수 있습니다.Troubleshooting(문제 해결) > Packet Capture(패킷 캡처)로 이동하고 이 클라이언트에서 사용 중인 인터페이스 중 하나에 새 캡처 포인트를 생성합니다.캡처를 수행하려면 VLAN에 SVI가 있어야 하며, 그렇지 않으면 물리적 포트 자체에서 캡처를 수행해야 합니다.