فهم تحليلات WiFi لتصنيف نقطة النهاية على ISE 3.3

المقدمة

يوضح هذا المستند كيفية عمل تحليلات WiFi لتصنيف نقطة النهاية. كما تصف كيفية تكوينها والتحقق منها واستكشاف أخطائها وإصلاحها.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• تكوين وحدات التحكم في الشبكة المحلية (LAN) اللاسلكية 9800 (WLC)
• تكوين محرك خدمات الهوية (ISE)
• مصادقة RADIUS. تدفق حزمة التفويض والمحاسبة (AAA) والمصطلحات

يفترض هذا المستند وجود عملاء يعملون بالفعل لمصادقة WLAN باستخدام ISE كخادم RADIUS.

لكي تعمل هذه الميزة، يجب أن يكون لديك على الأقل:

• 9800 WLC Cisco IOS® XE Dublin، الإصدار 17.10.1 
• تحديد محرك الخدمات v3.3.
• نقاط الوصول 802.11ac Wave2 أو 802.11ax (Wi-Fi 6/6E)

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• 9800 WLC Cisco IOSXE v17.12.x
• Identity Services Engine (ISE) v3.3
• جهاز Android 13

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

من خلال تحليلات أجهزة WiFi، يمكن ل Cisco 9800 WLC معرفة السمات، مثل رقم الطراز وإصدار نظام التشغيل من مجموعة من نقاط النهاية المتصلة بهذا الجهاز، ومشاركتها مع ISE. وبعد ذلك، يمكن أن يستخدم ISE هذه المعلومات لتصنيف نقطة النهاية، المعروف أيضا باسم تحديد السمات، للأغراض.

حاليا، يتم دعم تحليلات WiFi لهؤلاء الموردين:

• أبل
• إنتل
• سامسونج

تشارك وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) معلومات السمة مع خادم ISE باستخدام حزم حسابات RADIUS.WiFi تدفق البيانات

من المهم تذكر أنه يتم إرسال حزم محاسبة RADIUS على تدفق RADIUS AAA فقط بعد أن يرسل خادم RADIUS حزمة قبول الوصول إلى RADIUS كرد على محاولة مصادقة نقطة النهاية. في ترتيب الكلمات، تشارك WLC معلومات سمة نقطة النهاية فقط بعد إنشاء جلسة RADIUS لتلك النقطة الطرفية بين خادم RADIUS (ISE) وجهاز الوصول إلى الشبكة (WLC).

هذه هي جميع السمات التي يمكن أن يستخدمها ISE لتصنيف نقطة النهاية والتفويض:

• DEVICE_INFO_FIRMWARE_VERSION
• DEVICE_INFO_HW_MODEL
• DEVICE_INFO_MANUFACTURER_MODEL
• device_info_model_name
• DEVICE_INFO_MODEL_NUM
• DEVICE_INFO_OS_VERSION
• DEVICE_INFO_VENDOR_TYPE

وبمجرد أن يستقبل ISE حزمة المحاسبة، يمكنه معالجة بيانات التحليلات هذه واستهلاكها داخلها، واستخدامها لإعادة تعيين ملف تعريف/مجموعة هوية نقطة نهاية.

تسرد سمات تحليلات نقطة نهاية WiFi تحت قاموس WiFi_Device_Analytics. يمكن لمسؤولي الشبكة تضمين هذه السمات في سياسات وشروط تخويل نقطة النهاية.

قاموس تحليلات أجهزة WiFi

إذا حدثت أي تغييرات في قيم السمات الحالية التي يقوم ISE بتخزينها لنقطة النهاية، يقوم ISE بعد ذلك ببدء تغيير التفويض (CoA)، مما يسمح بتقييم نقطة النهاية مع حساب السمات المحدثة.

التكوين

التكوينات على WLC

الخطوة 1. تمكين ميزة تصنيف الأجهزة بشكل عام

انتقل إلى التكوين > لاسلكي > Wireless Global ووضع علامة على خانة الاختيار تصنيف الجهاز. 

تكوين تصنيف الجهاز

الخطوة 2. تمكين التخزين المؤقت ل TLV وتنميط RADIUS

انتقل إلى التكوين > علامات وتوصيفات > السياسة وحدد ملف تعريف السياسة المستخدم بواسطة الشبكة المحلية اللاسلكية (WLAN) حيث يتصل عملاء RADIUS.

تحديد نهج لاسلكي

انقر فوق سياسات الوصول وحدد خيارات التخزين المؤقت ل RADIUS و HTTP TLV وDHCP TLV. بسبب الإجراء المتخذ في الخطوة السابقة، تظهر الآن حالة تصنيف الأجهزة العمومي على حالة التمكين. تكوين التخزين المؤقت وإعداد ملفات التعريف ل RADIUS

قم بتسجيل الدخول إلى واجهة سطر الأوامر (CLI) الخاصة بوحدة التحكم في الشبكة المحلية اللاسلكية (WLC) وتمكين محاسبة TLV dot11.

vimontes-wlc#configure terminal
vimontes-wlc(config)#wireless profile policy policy-profile-name
vimontes-wlc(config-wireless-policy)#dot11-tlv-accounting

التكوينات على ISE 

الخطوة 1. تمكين خدمات إنشاء ملفات التعريف في شبكات PSN في النشر

انتقل إلى إدارة > نشر وانقر فوق اسم PSN.

تحديد عقدة ISE PSN

قم بالتمرير لأسفل إلى قسم خدمة النهج ووضع علامة على خانة الاختيار تمكين خدمة إنشاء ملفات التعريف. انقر فوق الزر حفظ.

تكوين خدمات محلل الملفات

الخطوة 2. تمكين Cisco RADIUS Profile Probe على ISE PSN

قم بالتمرير لأعلى إلى أعلى الصفحة وانقر فوق علامة التبويب تكوين ملف التعريف. يعرض هذا الأمر جميع عمليات التحقق من ملفات التعريف المتوفرة للاستخدام على ISE. قم بتمكين RADIUS Probe وانقر حفظ.

تكوين RADIUS لمتحقق تحديد ملفات التعريف

الخطوة 3. تعيين عامل تصفية سمة CoA والنقطة الطرفية

انتقل إلى إدارة > نظام > إعدادات > إنشاء ملفات التعريف. قم بتعيين نوع CoA إلى المصادقة وتأكد من أن خانة الاختيار عامل تصفية سمة نقطة النهاية غير محددة.

تكوين عامل تصفية السمة والنوع الخاص ب CoA

الخطوة 4. تكوين سياسات التخويل باستخدام سمات بيانات تحليلات WiFi

انتقل إلى قائمة نهج > مجموعات سياسات وحدد مجموعة السياسات التي تستخدمها الشبكة اللاسلكية.

تحديد مجموعة النهج

انقر فوق سياسات التخويل وقم بتكوين شروط التخويل لتضمين سمات القاموس نهج نقطة النهاية وتحليلات أجهزة WiFi.تكوين نهج التخويل

التحقق من الصحة

على واجهة المستخدم الرسومية ISE، انتقل إلى العمليات > RADIUS > السجلات المباشرة. يمكنك إستخدام عدة حقول لتصفية الإدخالات على هذه النافذة وتحديد مكان سجلات نقطة نهاية الاختبار.

سجلات ISE Live لنقطة نهاية الاختبار

أ. يصل طلب مصادقة نقطة النهاية الأولية إلى ISE. حقل ملف تعريف نقطة النهاية فارغ لأن حزمة المحاسبة لجلسة العمل هذه لم تصل إلى ISE عند هذه النقطة.

ب. يتم إرسال CoA من ISE إلى NAD نظرا لأنه قد تم الآن تلقي حزمة المحاسبة التي تحتوي على سمات نقطة النهاية.

ج. بعد إرسال CoA بنجاح، تتم إعادة مصادقة نقطة النهاية. يمكنك هذه المرة ملاحظة ملف تعريف نقطة النهاية المعين الجديد، ونرى أنه تم تعيين نتيجة "تخويل" مختلفة.

انقر فوق الرمز الموجود في عمود التفاصيل في سجل تغيير التفويض.

الوصول إلى تفاصيل حزمة CoA

يتم عرض معلومات CoA التفصيلية في علامة تبويب مستعرض جديدة. قم بالتمرير لأسفل إلى قسم سمات أخرى.

يتم عرض مكون CoA المصدر كمنشئ ملفات تعريف. يعرض السبب المشترك كتغيير في مجموعة هوية نقطة النهاية/السياسة/ملف التعريف المنطقي المستخدم في نهج التخويل.

سبب ومكونات تشغيل CoA

انتقل إلى إمكانية رؤية السياق > نقاط النهاية > علامة تبويب المصادقة. في هذه علامة التبويب، أستخدم المرشحات لتحديد مكان نقطة نهاية الاختبار. 

انقر فوق عنوان MAC لنقطة النهاية للوصول إلى سمات نقطة النهاية.

نقطة النهاية على إمكانية رؤية السياق

يعرض هذا الإجراء جميع المعلومات التي يقوم ISE بتخزينها حول نقطة النهاية هذه. انقر فوق قسم السمات ثم حدد سمات أخرى.

تحديد سمة أخرى لنقطة النهاية على إمكانية رؤية السياق

قم بالتمرير لأسفل حتى تجد سمات قاموس WiFi_Device_Analytics. وتحديد موقع هذه السمات على هذا القسم يعني أن ISE استلمها بنجاح من خلال حزم المحاسبة ويمكن إستخدامها لتصنيف نقطة النهاية.

سمات تحليلات WiFi على إمكانية رؤية السياق

وللعلم، فيما يلي أمثلة على سمات Windows 10 و iPhone:

مثال على سمات نقطة نهاية Windows 10 مثال لسمات نقطة نهاية iPhone

استكشاف الأخطاء وإصلاحها

الخطوة 1. تصل حزم المحاسبة إلى ISE

على واجهة سطر أوامر (CLI) عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، تأكد من تمكين المحاسبة لبروتوكول DOT11 TLV وذاكرة التخزين المؤقت لبروتوكول DHCP TLV وذاكرة التخزين المؤقت لبروتوكول HTTP TLV على تكوينات ملف تعريف السياسة.

vimontes-wlc#show running-config | section wireless profile policy policy-profile-name
wireless profile policy policy-profile-name
 aaa-override
 accounting-list AAA-LIST
 dhcp-tlv-caching
 dot11-tlv-accounting
 http-tlv-caching
 radius-profiling
 no shutdown

تجميع التقاط الحزم على نهايات WLC أو ISE أثناء توصيل نقطة نهاية. يمكنك إستخدام أي أداة تحليل حزم معروفة، مثل Wireshark، لتحليل الملفات المجمعة.

التصفية حسب حزم محاسبة RADIUS وبمعرف محطة الاتصال (إختبار عنوان MAC لنقطة النهاية). على سبيل المثال، يمكن إستخدام عامل التصفية هذا: 

radius.code == 4 && radius.Calling_Station_Id == "xx-xx-xx-xx-xx-xx"

قم بتوسيع حقول Cisco-AVPair، بمجرد تحديد موقعها، لتحديد موقع بيانات تحليلات WiFi داخل حزمة المحاسبة.

سمات TLV لنقطة النهاية داخل حزمة محاسبة

الخطوة 2. يقوم ISE بتحليل حزمة المحاسبة بسمات نقطة النهاية

في نهاية ISE، يمكن تعيين هذه المكونات على مستوى تصحيح الأخطاء لضمان أن حزم محاسبة RADIUS التي يتم إرسالها بواسطة WLC تصل إلى ISE ويتم معالجتها بشكل صحيح.

يمكنك بعد ذلك تجميع حزمة دعم ISE لتجميع ملفات السجل. للحصول على مزيد من المعلومات حول كيفية تجميع مجموعة الدعم، يرجى الرجوع إلى قسم المعلومات ذات الصلة.

مكونات إلى تصحيح الأخطاء لاستكشاف الأخطاء وإصلاحها

على iseLocalStore.log، يتم تسجيل رسالة بدء تشغيل المحاسبة دون الحاجة إلى تمكين أي مكون إلى مستوى تصحيح الأخطاء. هنا، يجب أن يرى ISE حزمة المحاسبة الواردة التي تحتوي على سمات تحليلات WiFi.

2023-09-27 18:19:23.600 +00:00 0000035538 3000 NOTICE Radius-Accounting: RADIUS Accounting start request, ConfigVersionId=1493, 
Device IP Address=172.16.5.169, UserName=bob, NetworkDeviceName=lab-wlc, User-Name=bob, NAS-IP-Address=172.16.5.169, NAS-Port=260613,
Framed-IP-Address=172.16.5.76, Class=CACS:A90510AC0000005BD7DDDAA7:iselab/484624451/303, Called-Station-ID=00-1e-f6-5c-16-ff, 
Calling-Station-ID=0a-5a-f0-b3-b5-9c, NAS-Identifier=vimontes-wlc, Acct-Status-Type=Start, Acct-Delay-Time=0, Acct-Session-Id=00000018, 
Acct-Authentic=Remote, Event-Timestamp=1695838756, NAS-Port-Type=Wireless - IEEE 802.11, cisco-av-pair=dc-profile-name=Samsung Galaxy S22+, 
cisco-av-pair=dc-device-name=Victor-s-S22, cisco-av-pair=dc-device-class-tag=Samsung Galaxy S22+, cisco-av-pair=dc-certainty-metric=40, 
cisco-av-pair=64:63:2d:6f:70:61:71:75:65:3d:01:00:00:00:00:00:00:00:00:00:00:00, cisco-av-pair=dc-protocol-map=1025, cisco-av-pair=dhcp-option=host-name=Victor-s-S22, 
cisco-av-pair=dhcp-option=dhcp-class-identifier=android-dhcp-13, cisco-av-pair=dhcp-option=dhcp-parameter-request-list=1\, 3\, 6\, 15\, 26\, 28\, 51\, 58\, 59\, 43\, 114\, 108, 
cisco-av-pair=dot11-device-info=DEVICE_INFO_MODEL_NUM=Samsung Galaxy S22+, cisco-av-pair=dot11-device-info=DEVICE_INFO_FIRMWARE_VERSION=WH6, 
cisco-av-pair=dot11-device-info=DEVICE_INFO_SALES_CODE=MXO, cisco-av-pair=dot11-device-info=DEVICE_INFO_DEVICE_FORM=1, 
cisco-av-pair=dot11-device-info=DEVICE_INFO_OS_VERSION=Android 13, cisco-av-pair=dot11-device-info=DEVICE_INFO_COUNTRY_CODE=Unknown, 
cisco-av-pair=dot11-device-info=DEVICE_INFO_VENDOR_TYPE=2, cisco-av-pair=audit-session-id=A90510AC0000005BD7DDDAA7, cisco-av-pair=vlan-id=2606, cisco-av-pair=method=dot1x, 
cisco-av-pair=cisco-wlan-ssid=VIcSSID, cisco-av-pair=wlan-profile-name=ISE-AAA, Airespace-Wlan-Id=1, AcsSessionID=iselab/484624451/304, SelectedAccessService=Default Network Access, 
RequestLatency=15, Step=11004, Step=11017, Step=15049, Step=15008, Step=22083, Step=11005, NetworkDeviceGroups=IPSEC#Is IPSEC Device#No, NetworkDeviceGroups=Location#All Locations, 
NetworkDeviceGroups=Device Type#All Device Types, CPMSessionID=A90510AC0000005BD7DDDAA7, TotalAuthenLatency=15, ClientLatency=0, Network Device Profile=Cisco, Location=Location#All Locations, 
Device Type=Device Type#All Device Types, IPSEC=IPSEC#Is IPSEC Device#No, 

في prrt-server.log، يقوم ISE بتحليل رسالة syslog لحزمة المحاسبة المستلمة بما في ذلك سمات تحليلات WiFi. أستخدم حقلي CallStationID وCPMSsessionID لضمان تعقب الجلسة الصحيحة ونقطة النهاية الصحيحة. 

Radius,2023-09-27 18:19:23,586,DEBUG,0x7f50a2b67700,cntx=0000192474,sesn=iselab/484624451/304,
CPMSessionID=A90510AC0000005BD7DDDAA7,CallingStationID=0a-5a-f0-b3-b5-9c,FramedIPAddress=172.16.5.76,RADIUS PACKET:: 
Code=4(AccountingRequest) Identifier=39 Length=934  [1] User-Name - value: [bob] [4] NAS-IP-Address - value: [172.16.5.169] [5] NAS-Port - value: [260613] [8] Framed-IP-Address - value: [172.16.5.76] [25] Class - value: [****] [30] Called-Station-ID - value: [00-1e-f6-5c-16-ff] [31] Calling-Station-ID - value: [0a-5a-f0-b3-b5-9c] [32] NAS-Identifier - value: [vimontes-wlc] [40] Acct-Status-Type - value: [Start] [41] Acct-Delay-Time - value: [0] [44] Acct-Session-Id - value: [00000018] [45] Acct-Authentic - value: [Remote] [55] Event-Timestamp - value: [1695838756] [61] NAS-Port-Type - value: [Wireless - IEEE 802.11] [26] cisco-av-pair - value: [dc-profile-name=Samsung Galaxy S22+] [26] cisco-av-pair - value: [dc-device-name=Victor-s-S22] [26] cisco-av-pair - value: [dc-device-class-tag=Samsung Galaxy S22+] [26] cisco-av-pair - value: [dc-certainty-metric=40] [26] cisco-av-pair - value: [dc-opaque=<01><00><00><00><00><00><00><00><00><00><00><00>] [26] cisco-av-pair - value: [dc-protocol-map=1025] [26] cisco-av-pair - value: [dhcp-option=<00><0c><00><0c>Victor-s-S22] [26] cisco-av-pair - value: [dhcp-option=<00><<00><0f>android-dhcp-13] [26] cisco-av-pair - value: [dhcp-option=<00>7<00><0c><01><03><06><0f><1a><1c>3:;+rl] [26] cisco-av-pair - value: [dot11-device-info=<00><00><00><13>Samsung Galaxy S22+] [26] cisco-av-pair - value: [dot11-device-info=<00><01><00><03>WH6] [26] cisco-av-pair - value: [dot11-device-info=<00><02><00><03>MXO] [26] cisco-av-pair - value: [dot11-device-info=<00><03><00><01>1] [26] cisco-av-pair - value: [dot11-device-info=<00><04><00> Android 13] [26] cisco-av-pair - value: [dot11-device-info=<00><05><00><07>Unknown] [26] cisco-av-pair - value: [dot11-device-info=<00> <00><01>2] [26] cisco-av-pair - value: [audit-session-id=A90510AC0000005BD7DDDAA7] [26] cisco-av-pair - value: [vlan-id=2606] [26] cisco-av-pair - value: [method=dot1x] [26] cisco-av-pair - value: [cisco-wlan-ssid=VIcSSID] [26] cisco-av-pair - value: [wlan-profile-name=ISE-AAA] [26] Airespace-Wlan-Id - value: [<00><00><00><01>] ,RADIUSHandler.cpp:2453

الخطوة 3. يتم تحديث سمات نقطة النهاية وتصنيف نقطة النهاية

تتم مشاركة رسالة syslog هذه بعد ذلك مع مكون منشئ ملفات التعريف. يتلقى Profiler.log رسالة syslog التي تم تحليلها ويستخرج سمات نقطة النهاية.

2023-09-27 18:19:23,601 DEBUG [SyslogListenerThread][[]] cisco.profiler.probes.radius.SyslogMonitor -:::::- Radius Packet Received 1266 2023-09-27 18:19:23,601 DEBUG [SyslogListenerThread][[]] cisco.profiler.probes.radius.SyslogDefragmenter -:::::- parseHeader inBuffer=<181>Sep 27 18:19:23 iselab 
CISE_RADIUS_Accounting 0000000297 3 0 2023-09-27 18:19:23.600 +00:00 0000035538 3000 NOTICE Radius-Accounting: RADIUS Accounting start request, ConfigVersionId=1493, Device IP Address=172.16.5.169, 
UserName=bob, NetworkDeviceName=lab-wlc, User-Name=bob, NAS-IP-Address=172.16.5.169, NAS-Port=260613, Framed-IP-Address=172.16.5.76, Class=CACS:A90510AC0000005BD7DDDAA7:iselab/484624451/303, 
Called-Station-ID=00-1e-f6-5c-16-ff, Calling-Station-ID=0a-5a-f0-b3-b5-9c, NAS-Identifier=vimontes-wlc, Acct-Status-Type=Start, Acct-Delay-Time=0, Acct-Session-Id=00000018, Acct-Authentic=Remote, 
Event-Timestamp=1695838756, NAS-Port-Type=Wireless - IEEE 802.11, cisco-av-pair=dc-profile-name=Samsung Galaxy S22+, cisco-av-pair=dc-device-name=Victor-s-S22, 
cisco-av-pair=dc-device-class-tag=Samsung Galaxy S22+, cisco-av-pair=dc-certainty-metric=40, 
cisco-av-pair=64:63:2d:6f:70:61:71:75:65:3d:01:00:00:00:00:00:00:00:00:00:00:00, cisco-av-pair=dc-protocol-map=1025, 2023-09-27 18:19:23,601 DEBUG [SyslogListenerThread][[]] cisco.profiler.probes.radius.SyslogMonitor -:::::- Radius Packet Received 1267 2023-09-27 18:19:23,601 DEBUG [SyslogListenerThread][[]] cisco.profiler.probes.radius.SyslogDefragmenter -:::::- parseHeader inBuffer=<181>Sep 27 18:19:23 iselab CISE_RADIUS_Accounting 0000000297 3 1 
cisco-av-pair=dhcp-option=host-name=Victor-s-S22, cisco-av-pair=dhcp-option=dhcp-class-identifier=android-dhcp-13, cisco-av-pair=dhcp-option=dhcp-parameter-request-list=1\, 3\, 6\, 15\, 26\, 28\, 51\, 58\, 59\, 43\, 114\, 108, 
cisco-av-pair=dot11-device-info=DEVICE_INFO_MODEL_NUM=Samsung Galaxy S22+, cisco-av-pair=dot11-device-info=DEVICE_INFO_FIRMWARE_VERSION=WH6, cisco-av-pair=dot11-device-info=DEVICE_INFO_SALES_CODE=MXO, 
cisco-av-pair=dot11-device-info=DEVICE_INFO_DEVICE_FORM=1, cisco-av-pair=dot11-device-info=DEVICE_INFO_OS_VERSION=Android 13, cisco-av-pair=dot11-device-info=DEVICE_INFO_COUNTRY_CODE=Unknown, 
cisco-av-pair=dot11-device-info=DEVICE_INFO_VENDOR_TYPE=2, cisco-av-pair=audit-session-id=A90510AC0000005BD7DDDAA7, cisco-av-pair=vlan-id=2606, cisco-av-pair=method=dot1x, cisco-av-pair=cisco-wlan-ssid=VIcSSID, 
cisco-av-pair=wlan-profile-name=ISE-AAA, Airespace-Wlan-Id=1, AcsSessionID=iselab/484624451/304,

يتم تحديث معلومات سمة نقطة النهاية.

2023-09-27 18:19:23,602 DEBUG [RADIUSParser-1-thread-2][[]] cisco.profiler.probes.radius.RadiusParser -:A90510AC0000005BD7DDDAA7::::- Device Analytics data 1: DEVICE_INFO_FIRMWARE_VERSION=[WH6] 2023-09-27 18:19:23,602 DEBUG [RADIUSParser-1-thread-2][[]] cisco.profiler.probes.radius.RadiusParser -:A90510AC0000005BD7DDDAA7::::- Device Analytics data 1: DEVICE_INFO_SALES_CODE=[MXO] 2023-09-27 18:19:23,602 DEBUG [RADIUSParser-1-thread-2][[]] cisco.profiler.probes.radius.RadiusParser -:A90510AC0000005BD7DDDAA7::::- Device Analytics data 1: DEVICE_INFO_DEVICE_FORM=[1] 2023-09-27 18:19:23,602 DEBUG [RADIUSParser-1-thread-2][[]] cisco.profiler.probes.radius.RadiusParser -:A90510AC0000005BD7DDDAA7::::- Device Analytics data 1: DEVICE_INFO_OS_VERSION=[Android 13] 2023-09-27 18:19:23,602 DEBUG [RADIUSParser-1-thread-2][[]] cisco.profiler.probes.radius.RadiusParser -:A90510AC0000005BD7DDDAA7::::- Device Analytics data 1: DEVICE_INFO_COUNTRY_CODE=[Unknown] 2023-09-27 18:19:23,602 DEBUG [RADIUSParser-1-thread-2][[]] cisco.profiler.probes.radius.RadiusParser -:A90510AC0000005BD7DDDAA7::::- Device Analytics data 1: DEVICE_INFO_VENDOR_TYPE=[2]

2023-09-27 18:19:23,602 DEBUG [RADIUSParser-1-thread-2][[]] cisco.profiler.probes.radius.RadiusParser -:A90510AC0000005BD7DDDAA7::::- Endpoint: EndPoint[id=,name=] MAC: 0A:5A:F0:B3:B5:9C Attribute:AAA-Server value:iselab Attribute:Acct-Authentic value:Remote Attribute:Acct-Delay-Time value:0 Attribute:Acct-Session-Id value:00000018 Attribute:Acct-Status-Type value:Start Attribute:AcsSessionID value:iselab/484624451/304 Attribute:Airespace-Wlan-Id value:1 Attribute:BYODRegistration value:Unknown Attribute:CPMSessionID value:A90510AC0000005BD7DDDAA7 Attribute:Called-Station-ID value:00-1e-f6-5c-16-ff Attribute:Calling-Station-ID value:0a-5a-f0-b3-b5-9c Attribute:Class value:CACS:A90510AC0000005BD7DDDAA7:iselab/484624451/303 Attribute:ClientLatency value:0 Attribute:DEVICE_INFO_COUNTRY_CODE value:Unknown Attribute:DEVICE_INFO_DEVICE_FORM value:PHONE Attribute:DEVICE_INFO_FIRMWARE_VERSION value:WH6 Attribute:DEVICE_INFO_MODEL_NUM value:Samsung Galaxy S22+ Attribute:DEVICE_INFO_OS_VERSION value:Android 13 Attribute:DEVICE_INFO_SALES_CODE value:MXO Attribute:DEVICE_INFO_VENDOR_TYPE value:SAMSUNG Attribute:Device IP Address value:172.16.5.169 Attribute:Device Type value:Device Type#All Device Types Attribute:DeviceRegistrationStatus value:NotRegistered Attribute:EndPointPolicy value:Unknown Attribute:EndPointPolicyID value: Attribute:EndPointSource value:RADIUS Probe Attribute:Event-Timestamp value:1695838756 Attribute:Framed-IP-Address value:172.16.5.76 Attribute:IPSEC value:IPSEC#Is IPSEC Device#No Attribute:Location value:Location#All Locations Attribute:MACAddress value:0A:5A:F0:B3:B5:9C Attribute:MatchedPolicy value:Unknown Attribute:MatchedPolicyID value: Attribute:MessageCode value:3000 Attribute:NAS-IP-Address value:172.16.5.169 Attribute:NAS-Identifier value:vimontes-wlc Attribute:NAS-Port value:260613 Attribute:NAS-Port-Type value:Wireless - IEEE 802.11 Attribute:Network Device Profile value:Cisco Attribute:NetworkDeviceGroups value:IPSEC#Is IPSEC Device#No, Location#All Locations, Device Type#All Device Types Attribute:NetworkDeviceName value:lab-wlc Attribute:NmapSubnetScanID value:0 Attribute:OUI value:UNKNOWN Attribute:PolicyVersion value:0 Attribute:PortalUser value: Attribute:PostureApplicable value:Yes Attribute:RequestLatency value:15 Attribute:StaticAssignment value:false Attribute:StaticGroupAssignment value:false Attribute:Total Certainty Factor value:0 Attribute:TotalAuthenLatency value:15 Attribute:User-Name value:bob Attribute:cisco-av-pair value:dc-profile-name=Samsung Galaxy S22+, dc-device-name=Victor-s-S22, dc-device-class-tag=Samsung Galaxy S22+, dc-certainty-metric=40, 64:63:2d:6f:70:61:71:75:65:3d:01:00:00:00:00:00:00:00:00:00:00:00, dc-protocol-map=1025, dhcp-option=host-name=Victor-s-S22, dhcp-option=dhcp-class-identifier=android-dhcp-13, dhcp-option=dhcp-parameter-request-list=1\, 3\, 6\, 15\, 26\, 28\, 51\, 58\, 59\, 43\, 114\, 108, dot11-device-info=DEVICE_INFO_MODEL_NUM=Samsung Galaxy S22+, dot11-device-info=DEVICE_INFO_FIRMWARE_VERSION=WH6, dot11-device-info=DEVICE_INFO_SALES_CODE=MXO, dot11-device-info=DEVICE_INFO_DEVICE_FORM=1, dot11-device-info=DEVICE_INFO_OS_VERSION=Android 13, dot11-device-info=DEVICE_INFO_COUNTRY_CODE=Unknown, dot11-device-info=DEVICE_INFO_VENDOR_TYPE=2, audit-session-id=A90510AC0000005BD7DDDAA7, vlan-id=2606, method=dot1x, cisco-wlan-ssid=VIcSSID, wlan-profile-name=ISE-AAA Attribute:dhcp-class-identifier value:android-dhcp-13 Attribute:dhcp-parameter-request-list value:1, 3, 6, 15, 26, 28, 51, 58, 59, 43, 114, 108 Attribute:host-name value:Victor-s-S22 Attribute:ip value:172.16.5.76 Attribute:SkipProfiling value:false

يقوم تحديث السمة بتشغيل حدث جديد لملف تعريف نقطة النهاية. يتم تقييم سياسات إنشاء ملفات التعريف مرة أخرى، ويتم تعيين ملف تعريف جديد.

2023-09-27 18:19:24,098 DEBUG [pool-533-thread-35][[]] cisco.profiler.infrastructure.profiling.ProfilerManager -:A90510AC0000005BD7DDDAA7::62cc7a10-5d62-11ee-bf1f-b6bb1580ab0d:Profiling:- Policy Android matched 0A:5A:F0:B3:B5:9C (certainty 30) 2023-09-27 18:19:24,098 DEBUG [pool-533-thread-35][[]] cisco.profiler.infrastructure.profiling.ProfilerManager -:A90510AC0000005BD7DDDAA7::62cc7a10-5d62-11ee-bf1f-b6bb1580ab0d:Profiling:- EndPoint is profiled by Admin First: ADMINFIRST 2023-09-27 18:19:24,098 DEBUG [pool-533-thread-35][[]] cisco.profiler.infrastructure.profiling.ProfilerManager -:A90510AC0000005BD7DDDAA7::62cc7a10-5d62-11ee-bf1f-b6bb1580ab0d:Profiling:- Policy Android matched 0A:5A:F0:B3:B5:9C (certainty 30)com.cisco.profiler.infrastructure.profiling.ProfilerManager$MatchingPolicyInternal@14ec7800

الخطوة 4. CoA وإعادة المصادقة

يجب أن يرسل ISE CoA لجلسة نقطة النهاية عند حدوث تغيير في سمات تحليلات أجهزة WiFi.

2023-09-27 18:19:24,103 DEBUG [pool-533-thread-35][[]] cisco.profiler.infrastructure.profiling.ProfilerManager -:A90510AC0000005BD7DDDAA7::62cc7a10-5d62-11ee-bf1f-b6bb1580ab0d:Profiling:- Endpoint 0A:5A:F0:B3:B5:9C IdentityGroup / Logical Profile Changed/ WiFi device analytics attribute changed. Issuing a Conditional CoA 2023-09-27 18:19:24,103 DEBUG [pool-533-thread-35][[]] cisco.profiler.infrastructure.profiling.ProfilerManager -:A90510AC0000005BD7DDDAA7::62cc7a10-5d62-11ee-bf1f-b6bb1580ab0d:Profiling:- ConditionalCoAEvent with Endpoint Details : EndPoint[id=62caa550-5d62-11ee-bf1f-b6bb1580ab0d,name=] MAC: 0A:5A:F0:B3:B5:9C Attribute:AAA-Server value:iselab Attribute:Airespace-Wlan-Id value:1 Attribute:AllowedProtocolMatchedRule value:Default Attribute:AuthenticationIdentityStore value:Internal Users Attribute:AuthenticationMethod value:MSCHAPV2 Attribute:AuthenticationStatus value:AuthenticationPassed Attribute:AuthorizationPolicyMatchedRule value:Catch Policy Attribute:BYODRegistration value:Unknown Attribute:CLASSIFICATION_FLOW value:none Attribute:CacheUpdateTime value:1695838764086 Attribute:Called-Station-ID value:00-1e-f6-5c-16-ff Attribute:Calling-Station-ID value:0a-5a-f0-b3-b5-9c Attribute:ClientLatency value:0 Attribute:DEVICE_INFO_COUNTRY_CODE value:Unknown Attribute:DEVICE_INFO_DEVICE_FORM value:PHONE Attribute:DEVICE_INFO_FIRMWARE_VERSION value:WH6 Attribute:DEVICE_INFO_MODEL_NUM value:Samsung Galaxy S22+ Attribute:DEVICE_INFO_OS_VERSION value:Android 13 Attribute:DEVICE_INFO_SALES_CODE value:MXO Attribute:DEVICE_INFO_VENDOR_TYPE value:SAMSUNG Attribute:DTLSSupport value:Unknown Attribute:DestinationIPAddress value:172.16.5.112 Attribute:DestinationPort value:1812< Attribute:Device IP Address value:172.16.5.169 Attribute:Device Type value:Device Type#All Device Types Attribute:DeviceRegistrationStatus value:NotRegistered Attribute:DoReplicate value:false Attribute:EnableFlag value:Enabled Attribute:EndPointMACAddress value:0A-5A-F0-B3-B5-9C Attribute:EndPointPolicy value:Android Attribute:EndPointPolicyID value:ffafa000-8bff-11e6-996c-525400b48521 Attribute:EndPointProfilerServer value:iselab.vimontes.cisco.com Attribute:EndPointSource value:RADIUS Probe Attribute:EndPointVersion value:4 Attribute:FailureReason value:- Attribute:FirstCollection value:1695838763963 Attribute:Framed-IP-Address value:172.16.5.76 Attribute:IPSEC value:IPSEC#Is IPSEC Device#No Attribute:IdentityGroup value:Android Attribute:IdentityGroupID value:ffa36b00-8bff-11e6-996c-525400b48521 Attribute:IdentityPolicyMatchedRule value:Default Attribute:IdentitySelectionMatchedRule value:Default Attribute:IsThirdPartyDeviceFlow value:false Attribute:LastActivity value:1695838764083 Attribute:LastNmapScanTime value:0 Attribute:Location value:Location#All Locations Attribute:LogicalProfile value: Attribute:MACAddress value:0A:5A:F0:B3:B5:9C Attribute:MatchedPolicy value:Android Attribute:MatchedPolicyID value:ffafa000-8bff-11e6-996c-525400b48521 Attribute:MessageCode value:3000 Attribute:NAS-IP-Address value:172.16.5.169 Attribute:NAS-Identifier value:vimontes-wlc Attribute:NAS-Port value:260613 Attribute:NAS-Port-Type value:Wireless - IEEE 802.11 Attribute:Network Device Profile value:Cisco Attribute:NetworkDeviceGroups value:IPSEC#Is IPSEC Device#No, Location#All Locations, Device Type#All Device Types Attribute:NetworkDeviceName value:lab-wlc Attribute:NetworkDeviceProfileId value:b0699505-3150-4215-a80e-6753d45bf56c Attribute:NetworkDeviceProfileName value:Cisco Attribute:NmapScanCount value:0 Attribute:NmapSubnetScanID value:0 Attribute:OUI value:UNKNOWN Attribute:PolicyVersion value:0 Attribute:PortalUser value: Attribute:PostureApplicable value:Yes Attribute:PostureAssessmentStatus value:NotApplicable Attribute:PreviousMACAddress value:0A:5A:F0:B3:B5:9C Attribute:RadiusFlowType value:Wireless802_1x Attribute:Response value:{Class=CACS:A90510AC0000005BD7DDDAA7:iselab/484624451/303; EAP-Key-Name=19:12:31:7e:8a:2e:d7:9f:3b:00:3e:ab:bd:27:22:2a:30:45:b8:7a:1b:ab:b6:1a:b1:e6:21:ee:bd:b1:2c:b8:f5:a8:c9:27:27:c1:0e:95:fa:a0:b6:dc:1f:a4:e6:98:2c:89:5e:b1:5c:11:56:ea:d9:93:a8:92:b0:47:57:3a:6e; MS-MPPE-Send-Key=****; MS-MPPE-Recv-Key=****; LicenseTypes=1; } Attribute:SSID value:3c-41-0e-31-77-80:VIcSSID Attribute:SelectedAccessService value:Default Network Access Attribute:SelectedAuthenticationIdentityStores value:Internal Users, All_AD_Join_Points, Guest Users Attribute:SelectedAuthorizationProfiles value:PermitAccess Attribute:Service-Type value:Framed Attribute:StaticAssignment value:false Attribute:StaticGroupAssignment value:false Attribute:StepData value:4= Normalised Radius.RadiusFlowType, 71=All_User_ID_Stores, 72=Internal Users, 95= WiFi_Device_Analytics.DEVICE_INFO_MODEL_NUM, 96= WiFi_Device_Analytics.DEVICE_INFO_MODEL_NUM, 97= WiFi_Device_Analytics.DEVICE_INFO_MODEL_NUM, 98= WiFi_Device_Analytics.DEVICE_INFO_MODEL_NUM, 99= EndPoints.EndPointPolicy, 100= EndPoints.EndPointPolicy, 101= EndPoints.EndPointPolicy Attribute:TLSCipher value:ECDHE-RSA-AES256-GCM-SHA384 Attribute:TLSVersion value:TLSv1.2 Attribute:TimeToProfile value:139 Attribute:Total Certainty Factor value:30 Attribute:TotalAuthenLatency value:15 Attribute:UpdateTime value:0 Attribute:User-Name value:bob Attribute:UserType value:User Attribute:allowEasyWiredSession value:false Attribute:dhcp-class-identifier value:android-dhcp-13 Attribute:dhcp-parameter-request-list value:1, 3, 6, 15, 26, 28, 51, 58, 59, 43, 114, 108 Attribute:epid value:epid:293810839814635520 Attribute:host-name value:Victor-s-S22 Attribute:ip value:172.16.5.76 Attribute:undefined-186 value:00:0f:ac:04 Attribute:undefined-187 value:00:0f:ac:04 Attribute:undefined-188 value:00:0f:ac:01 Attribute:undefined-189 value:00:0f:ac:06 Attribute:SkipProfiling value:false 

يساعد التقاط الحزمة على ضمان أن ISE يرسل CoA إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). كما يوضح أنه يتم تلقي حزمة طلب وصول جديدة بعد معالجة CoA.

حزمة RADIUS CoA بعد تنميط نقطة النهاية

RADIUS COa وطلب الوصول الجديد بعد تنميط نقطة النهاية

معلومات ذات صلة

• دليل مسؤول محرك خدمات الهوية من Cisco، الإصدار 3.3
• ملاحظات الإصدار الخاصة ب Cisco Identity Services Engine، الإصدار 3.3
• تجميع مجموعة الدعم على محرك خدمات الهوية