Comprendere Wifi Analytics per la classificazione degli endpoint su ISE 3.3

Opzioni per il download

  • PDF     (1.9 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (1.7 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.3 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:5 ottobre 2023
ID documento:221050

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto il funzionamento di WiFi Analytics for Endpoint Classification. Viene inoltre descritto come configurarlo, verificarlo e risolverlo.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Configurazione dei Wireless LAN Controller (WLC) 9800
    • Configurazione Identity Services Engine (ISE)
    • Autenticazione RADIUS. Flusso e terminologia dei pacchetti AAA (Authorization and Accounting)

    in questo documento si presume che vi siano già client di autenticazione WLAN funzionanti che utilizzano ISE come server RADIUS.

    Affinché questa funzionalità funzioni, è necessario disporre almeno di:

    • 9800 WLC Cisco IOS® XE Dublino 17.10.1 
    • Identificare Services Engine v3.3.
    • Access point 802.11ac Wave2 o 802.11ax (Wi-Fi 6/6E)

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • 9800 WLC Cisco IOS XE v17.12.x
    • Identity Services Engine (ISE) v3.3
    • Dispositivo Android 13

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    Tramite WiFi Device Analytics, Cisco 9800 WLC può imparare gli attributi, come il numero di modello e la versione del sistema operativo, da un set di endpoint connessi a questo dispositivo e condividerlo con ISE. ISE può quindi utilizzare queste informazioni per la classificazione degli endpoint, nota anche come profilatura.

    Attualmente, WiFi Analytics è supportato per questi fornitori:

    • Apple
    • Intel
    • Samsung

    Il WLC condivide le informazioni sugli attributi con il server ISE usando i pacchetti di accounting RADIUS.Flusso di dati di Flusso di dati di WiFi AnalyticsWiFi Analytics

    È importante ricordare che i pacchetti di accounting RADIUS su un flusso AAA RADIUS vengono inviati solo dopo che il server RADIUS invia un pacchetto RADIUS Access-Accept come risposta al tentativo di autenticazione dell'endpoint. In poche parole, il WLC condivide le informazioni degli attributi dell'endpoint solo dopo che è stata stabilita una sessione RADIUS per l'endpoint tra il server RADIUS (ISE) e il dispositivo di accesso alla rete (WLC).

    Questi sono tutti gli attributi che ISE può usare per la classificazione e l'autorizzazione degli endpoint:

    • VERSIONE_FIRMWARE_INFO_DISPOSITIVO
    • MODELLO_INFO_DISPOSITIVO
    • DEVICE_INFO_MANUFACTURER_MODEL
    • NOME_MODELLO_INFO_DISPOSITIVO
    • NUM_MODELLO_INFO_DISPOSITIVO
    • VERSIONE_INFO_DISPOSITIVO
    • TIPO_FORNITORE_INFO_DISPOSITIVO
    note-icon

    Nota: il WLC può inviare più attributi a seconda del tipo di endpoint che si connette, ma solo quelli elencati possono essere utilizzati per la creazione dei criteri di autorizzazione in ISE.

    Una volta ricevuto il pacchetto di accounting, ISE può elaborare e utilizzare i dati di analisi in esso contenuti e riassegnare un profilo dell'endpoint/gruppo di identità.

    Gli attributi di WiFi Endpoint Analytics sono elencati nel dizionario WiFi_Device_Analytics. Gli amministratori di rete possono includere questi attributi nei criteri e nelle condizioni di autorizzazione degli endpoint.

    Dizionario analisi dispositivo WiFiDizionario analisi dispositivo WiFi

    Se vengono apportate modifiche ai valori degli attributi correnti archiviati da ISE per l'endpoint, ISE avvia un processo CoA (Change of Authorization), che consente di valutare l'endpoint tenendo conto degli attributi aggiornati.

    Configurazione

    Configurazioni su WLC

    Passaggio 1. Abilita globalmente la funzionalità di classificazione dei dispositivi

    Passare a Configurazione > Wireless > Globale wireless e selezionare la casella di controllo Classificazione dispositivo

    Configurazione classificazione dispositiviConfigurazione classificazione dispositivi

    Passaggio 2. Abilita memorizzazione nella cache TLV e profilatura RADIUS

    Passare a Configurazione > Tag e profili > Criterio e selezionare il Profilo criterio utilizzato dalla WLAN a cui si connettono i client RADIUS.

    Selezione criteri wirelessSelezione criteri wireless

    Fare clic su Criteri di accesso e selezionare le opzioni Profiling RADIUS, HTTP TLV Caching e DHCP TLV Caching. A causa dell'azione eseguita nel passaggio precedente, lo stato globale della classificazione del dispositivo ora è impostato su Attivato. Configurazione profilatura e memorizzazione nella cache RADIUSConfigurazione profilatura e memorizzazione nella cache RADIUS

    Accedere alla CLI del WLC e abilitare l'accounting TLV dot11.

    vimontes-wlc#configure terminal
    vimontes-wlc(config)#wireless profile policy policy-profile-name
    vimontes-wlc(config-wireless-policy)#dot11-tlv-accounting

    note-icon

    Nota: prima di utilizzare questo comando, è necessario disabilitare il profilo dei criteri wireless. Questo comando è disponibile solo nella versione 17.10.1 di Cisco IOS XE Dublino e successive.

    Configurazioni su ISE 

    Passaggio 1. Abilitare i servizi di profilatura nei PSN nella distribuzione

    Passare a Amministrazione > Distribuzione e fare clic sul nome del numero di serie del servizio.

    ISE PSN Node SelectionISE PSN Node Selection

    Scorrere verso il basso fino alla sezione Policy Service e selezionare la casella di controllo Enable Profiling Service (Abilita servizio di profilatura). Fare clic sul pulsante Salva.

    Configurazione servizi profilerConfigurazione servizi profiler

    Passaggio 2. Abilita la sonda di profilatura RADIUS su ISE PSN

    Scorrere la pagina verso l'alto e fare clic sulla scheda Configurazione profilo. In questo modo vengono visualizzate tutte le sonde di profilatura disponibili per l'uso con ISE. Attivate la sonda RADIUS e fate clic su Salva (Save).

    Configurazione probe di profilatura RADIUSConfigurazione probe di profilatura RADIUS

    Passaggio 3. Imposta filtro attributi endpoint e tipo CoA

    Selezionare Amministrazione > Sistema > Impostazioni > Profiling. Impostare CoA Type su Reauth e assicurarsi che la casella di controllo Endpoint Attribute Filter sia deselezionata.

    Configurazione filtro attributi e tipo CoAConfigurazione filtro attributi e tipo CoA

    Passaggio 4. Configurare i criteri di autorizzazione con gli attributi dei dati di WiFi Analytics

    Passare al menu Criteri > Set di criteri e selezionare il Set di criteri utilizzato dalla rete wireless.

    Selezione set di criteriSelezione set di criteri

    Fare clic su Criteri di autorizzazione e configurare le condizioni di autorizzazione in modo da includere gli attributi del dizionario Criterio endpoint e WiFi Device Analytics.Configurazione dei criteri di Configurazione criteri di autorizzazioneautorizzazione

    Verifica

    Dalla GUI di ISE, selezionare Operations > RADIUS > Live logs. È possibile utilizzare diversi campi per filtrare le voci in questa finestra e individuare i record degli endpoint di test.

    Log ISE Live per il test dell'endpointLog ISE Live per il test dell'endpoint

    a. La richiesta iniziale di autenticazione dell'endpoint raggiunge ISE. Il campo del profilo dell'endpoint è vuoto perché il pacchetto di accounting per questa sessione non ha raggiunto ISE in questo punto.

    b. Il CoA viene inviato dall'ISE al NAD perché è stato ricevuto il pacchetto di accounting contenente gli attributi dell'endpoint.

    c. Dopo aver inviato correttamente il CoA, l'endpoint viene riautenticato. Questa volta è possibile osservare il nuovo profilo dell'endpoint assegnato e verificare che sia stato assegnato un risultato diverso di Autorizzazione.

    note-icon

    Nota: il pacchetto CoA contiene sempre un campo Identity vuoto, ma l'ID endpoint è lo stesso del primo pacchetto di autenticazione.

    Fare clic sull'icona disponibile nella colonna Dettagli del record Modifica di autorizzazione.

    Accesso ai dettagli del pacchetto CoAAccesso ai dettagli del pacchetto CoA

    Le informazioni dettagliate sul CoA vengono visualizzate in una nuova scheda del browser. Scorrere verso il basso fino alla sezione Altri attributi.

    Il componente di origine CoA viene visualizzato come profiler. Il motivo CoA viene visualizzato come Modifica nel profilo logico/gruppo di identità dell'endpoint utilizzato nei criteri di autorizzazione.

    Componente di attivazione CoA e motivoComponente di attivazione CoA e motivo

    Passare a Visibilità contesto > Endpoint > scheda Autenticazione. In questa scheda utilizzare i filtri per individuare l'endpoint di test. 

    Fare clic sull'indirizzo MAC dell'endpoint per accedere agli attributi dell'endpoint.

    Visibilità endpoint nel contestoVisibilità endpoint nel contesto

    Questa azione consente di visualizzare tutte le informazioni memorizzate da ISE sull'endpoint. Fare clic su Attributi sezione, quindi selezionare Altri attributi.

    Selezione di altri attributi dell'endpoint in base alla visibilità del contestoSelezione di altri attributi dell'endpoint in base alla visibilità del contesto

    Scorrere verso il basso fino a individuare gli attributi del dizionario WiFi_Device_Analytics. L'individuazione di questi attributi in questa sezione indica che ISE li ha ricevuti correttamente tramite i pacchetti di accounting e che possono essere utilizzati per la classificazione degli endpoint.

    Attributi di WiFi Analytics sulla visibilità del contestoAttributi di WiFi Analytics sulla visibilità del contesto

    Di seguito sono riportati alcuni esempi di attributi di Windows 10 e iPhone da utilizzare come riferimento:

    Esempio di attributi dell'endpoint Windows 10Esempio di Esempio di attributi dell'endpoint iPhoneattributi dell'endpoint Windows 10Esempio di attributi dell'endpoint iPhone

    Risoluzione dei problemi

    Passaggio 1. Pacchetti contabili raggiunti da ISE

    Dalla CLI del WLC, verificare che l'accounting TLV DOT11, la cache TLV DHCP e la cache TLV HTTP siano abilitate nelle configurazioni del profilo dei criteri.

    vimontes-wlc#show running-config | section wireless profile policy policy-profile-name
    wireless profile policy policy-profile-name
     aaa-override
     accounting-list AAA-LIST
     dhcp-tlv-caching
     dot11-tlv-accounting
     http-tlv-caching
     radius-profiling
     no shutdown

    Raccogliere le acquisizioni dei pacchetti sulle estremità WLC o ISE durante la connessione a un endpoint. È possibile utilizzare qualsiasi strumento di analisi dei pacchetti noto, ad esempio Wireshark, per analizzare i file raccolti.

    Filtra in base ai pacchetti di accounting RADIUS e all'ID della stazione chiamante (verifica dell'indirizzo MAC dell'endpoint). Ad esempio, questo filtro può essere utilizzato: 

    radius.code == 4 && radius.Calling_Station_Id == "xx-xx-xx-xx-xx-xx"

    Una volta individuati, espandere i campi Cisco-AVPair per individuare i dati di analisi WiFi nel pacchetto di accounting.

    Attributi TLV endpoint all'interno di un pacchetto di accountingAttributi TLV endpoint all'interno di un pacchetto di accounting

    Passaggio 2. ISE analizza il pacchetto di accounting con gli attributi dell'endpoint

    All'estremità ISE, questi componenti possono essere impostati sul livello DEBUG per garantire che i pacchetti di accounting RADIUS inviati dal WLC raggiungano l'ISE e vengano elaborati correttamente.

    È quindi possibile raccogliere il pacchetto di supporto ISE per raccogliere i file di log. Per ulteriori informazioni su come raccogliere il pacchetto di supporto, fare riferimento alla sezione Informazioni correlate.

    Componenti di cui eseguire il debug per la risoluzione dei problemiComponenti di cui eseguire il debug per la risoluzione dei problemi

    note-icon

    Nota: i componenti sono abilitati al livello DEBUG solo sul PSN che autentica gli endpoint.

    Su iseLocalStore.log, il messaggio Accounting-Start viene registrato senza la necessità di abilitare alcun componente al livello DEBUG. Qui, ISE deve vedere il pacchetto di accounting in ingresso contenente gli attributi WiFi Analytics.

    2023-09-27 18:19:23.600 +00:00 0000035538 3000 NOTICE Radius-Accounting: RADIUS Accounting start request, ConfigVersionId=1493, 
    Device IP Address=172.16.5.169, UserName=bob, NetworkDeviceName=lab-wlc, User-Name=bob, NAS-IP-Address=172.16.5.169, NAS-Port=260613,
    Framed-IP-Address=172.16.5.76, Class=CACS:A90510AC0000005BD7DDDAA7:iselab/484624451/303, Called-Station-ID=00-1e-f6-5c-16-ff, 
    Calling-Station-ID=0a-5a-f0-b3-b5-9c, NAS-Identifier=vimontes-wlc, Acct-Status-Type=Start, Acct-Delay-Time=0, Acct-Session-Id=00000018, 
    Acct-Authentic=Remote, Event-Timestamp=1695838756, NAS-Port-Type=Wireless - IEEE 802.11, cisco-av-pair=dc-profile-name=Samsung Galaxy S22+, 
    cisco-av-pair=dc-device-name=Victor-s-S22, cisco-av-pair=dc-device-class-tag=Samsung Galaxy S22+, cisco-av-pair=dc-certainty-metric=40, 
    cisco-av-pair=64:63:2d:6f:70:61:71:75:65:3d:01:00:00:00:00:00:00:00:00:00:00:00, cisco-av-pair=dc-protocol-map=1025, cisco-av-pair=dhcp-option=host-name=Victor-s-S22, 
    cisco-av-pair=dhcp-option=dhcp-class-identifier=android-dhcp-13, cisco-av-pair=dhcp-option=dhcp-parameter-request-list=1\, 3\, 6\, 15\, 26\, 28\, 51\, 58\, 59\, 43\, 114\, 108, 
    cisco-av-pair=dot11-device-info=DEVICE_INFO_MODEL_NUM=Samsung Galaxy S22+, cisco-av-pair=dot11-device-info=DEVICE_INFO_FIRMWARE_VERSION=WH6, 
    cisco-av-pair=dot11-device-info=DEVICE_INFO_SALES_CODE=MXO, cisco-av-pair=dot11-device-info=DEVICE_INFO_DEVICE_FORM=1, 
    cisco-av-pair=dot11-device-info=DEVICE_INFO_OS_VERSION=Android 13, cisco-av-pair=dot11-device-info=DEVICE_INFO_COUNTRY_CODE=Unknown, 
    cisco-av-pair=dot11-device-info=DEVICE_INFO_VENDOR_TYPE=2, cisco-av-pair=audit-session-id=A90510AC0000005BD7DDDAA7, cisco-av-pair=vlan-id=2606, cisco-av-pair=method=dot1x, 
    cisco-av-pair=cisco-wlan-ssid=VIcSSID, cisco-av-pair=wlan-profile-name=ISE-AAA, Airespace-Wlan-Id=1, AcsSessionID=iselab/484624451/304, SelectedAccessService=Default Network Access, 
    RequestLatency=15, Step=11004, Step=11017, Step=15049, Step=15008, Step=22083, Step=11005, NetworkDeviceGroups=IPSEC#Is IPSEC Device#No, NetworkDeviceGroups=Location#All Locations, 
    NetworkDeviceGroups=Device Type#All Device Types, CPMSessionID=A90510AC0000005BD7DDDAA7, TotalAuthenLatency=15, ClientLatency=0, Network Device Profile=Cisco, Location=Location#All Locations, 
    Device Type=Device Type#All Device Types, IPSEC=IPSEC#Is IPSEC Device#No,

    Su port-server.log, ISE analizza il messaggio syslog del pacchetto di accounting ricevuto, inclusi gli attributi di WiFi Analytics. Utilizzare i campi CallingStationID e CPMSessionID per garantire la registrazione della sessione e dell'endpoint corretti. 

    Radius,2023-09-27 18:19:23,586,DEBUG,0x7f50a2b67700,cntx=0000192474,sesn=iselab/484624451/304,
    CPMSessionID=A90510AC0000005BD7DDDAA7,CallingStationID=0a-5a-f0-b3-b5-9c,FramedIPAddress=172.16.5.76,RADIUS PACKET:: 
    Code=4(AccountingRequest) Identifier=39 Length=934  [1] User-Name - value: [bob] [4] NAS-IP-Address - value: [172.16.5.169] [5] NAS-Port - value: [260613] [8] Framed-IP-Address - value: [172.16.5.76] [25] Class - value: [****] [30] Called-Station-ID - value: [00-1e-f6-5c-16-ff] [31] Calling-Station-ID - value: [0a-5a-f0-b3-b5-9c] [32] NAS-Identifier - value: [vimontes-wlc] [40] Acct-Status-Type - value: [Start] [41] Acct-Delay-Time - value: [0] [44] Acct-Session-Id - value: [00000018] [45] Acct-Authentic - value: [Remote] [55] Event-Timestamp - value: [1695838756] [61] NAS-Port-Type - value: [Wireless - IEEE 802.11] [26] cisco-av-pair - value: [dc-profile-name=Samsung Galaxy S22+] [26] cisco-av-pair - value: [dc-device-name=Victor-s-S22] [26] cisco-av-pair - value: [dc-device-class-tag=Samsung Galaxy S22+] [26] cisco-av-pair - value: [dc-certainty-metric=40] [26] cisco-av-pair - value: [dc-opaque=<01><00><00><00><00><00><00><00><00><00><00><00>] [26] cisco-av-pair - value: [dc-protocol-map=1025] [26] cisco-av-pair - value: [dhcp-option=<00><0c><00><0c>Victor-s-S22] [26] cisco-av-pair - value: [dhcp-option=<00><<00><0f>android-dhcp-13] [26] cisco-av-pair - value: [dhcp-option=<00>7<00><0c><01><03><06><0f><1a><1c>3:;+rl] [26] cisco-av-pair - value: [dot11-device-info=<00><00><00><13>Samsung Galaxy S22+] [26] cisco-av-pair - value: [dot11-device-info=<00><01><00><03>WH6] [26] cisco-av-pair - value: [dot11-device-info=<00><02><00><03>MXO] [26] cisco-av-pair - value: [dot11-device-info=<00><03><00><01>1] [26] cisco-av-pair - value: [dot11-device-info=<00><04><00> Android 13] [26] cisco-av-pair - value: [dot11-device-info=<00><05><00><07>Unknown] [26] cisco-av-pair - value: [dot11-device-info=<00> <00><01>2] [26] cisco-av-pair - value: [audit-session-id=A90510AC0000005BD7DDDAA7] [26] cisco-av-pair - value: [vlan-id=2606] [26] cisco-av-pair - value: [method=dot1x] [26] cisco-av-pair - value: [cisco-wlan-ssid=VIcSSID] [26] cisco-av-pair - value: [wlan-profile-name=ISE-AAA] [26] Airespace-Wlan-Id - value: [<00><00><00><01>] ,RADIUSHandler.cpp:2453

    Passaggio 3. Gli attributi dell'endpoint vengono aggiornati e l'endpoint viene classificato

    Questo messaggio syslog viene quindi condiviso con il componente profiler. Profiler.log riceve il messaggio syslog analizzato ed estrae gli attributi dell'endpoint.

    2023-09-27 18:19:23,601 DEBUG [SyslogListenerThread][[]] cisco.profiler.probes.radius.SyslogMonitor -:::::- Radius Packet Received 1266 2023-09-27 18:19:23,601 DEBUG [SyslogListenerThread][[]] cisco.profiler.probes.radius.SyslogDefragmenter -:::::- parseHeader inBuffer=<181>Sep 27 18:19:23 iselab 
    CISE_RADIUS_Accounting 0000000297 3 0 2023-09-27 18:19:23.600 +00:00 0000035538 3000 NOTICE Radius-Accounting: RADIUS Accounting start request, ConfigVersionId=1493, Device IP Address=172.16.5.169, 
    UserName=bob, NetworkDeviceName=lab-wlc, User-Name=bob, NAS-IP-Address=172.16.5.169, NAS-Port=260613, Framed-IP-Address=172.16.5.76, Class=CACS:A90510AC0000005BD7DDDAA7:iselab/484624451/303, 
    Called-Station-ID=00-1e-f6-5c-16-ff, Calling-Station-ID=0a-5a-f0-b3-b5-9c, NAS-Identifier=vimontes-wlc, Acct-Status-Type=Start, Acct-Delay-Time=0, Acct-Session-Id=00000018, Acct-Authentic=Remote, 
    Event-Timestamp=1695838756, NAS-Port-Type=Wireless - IEEE 802.11, cisco-av-pair=dc-profile-name=Samsung Galaxy S22+, cisco-av-pair=dc-device-name=Victor-s-S22, 
    cisco-av-pair=dc-device-class-tag=Samsung Galaxy S22+, cisco-av-pair=dc-certainty-metric=40, 
    cisco-av-pair=64:63:2d:6f:70:61:71:75:65:3d:01:00:00:00:00:00:00:00:00:00:00:00, cisco-av-pair=dc-protocol-map=1025, 2023-09-27 18:19:23,601 DEBUG [SyslogListenerThread][[]] cisco.profiler.probes.radius.SyslogMonitor -:::::- Radius Packet Received 1267 2023-09-27 18:19:23,601 DEBUG [SyslogListenerThread][[]] cisco.profiler.probes.radius.SyslogDefragmenter -:::::- parseHeader inBuffer=<181>Sep 27 18:19:23 iselab CISE_RADIUS_Accounting 0000000297 3 1 
    cisco-av-pair=dhcp-option=host-name=Victor-s-S22, cisco-av-pair=dhcp-option=dhcp-class-identifier=android-dhcp-13, cisco-av-pair=dhcp-option=dhcp-parameter-request-list=1\, 3\, 6\, 15\, 26\, 28\, 51\, 58\, 59\, 43\, 114\, 108, 
    cisco-av-pair=dot11-device-info=DEVICE_INFO_MODEL_NUM=Samsung Galaxy S22+, cisco-av-pair=dot11-device-info=DEVICE_INFO_FIRMWARE_VERSION=WH6, cisco-av-pair=dot11-device-info=DEVICE_INFO_SALES_CODE=MXO, 
    cisco-av-pair=dot11-device-info=DEVICE_INFO_DEVICE_FORM=1, cisco-av-pair=dot11-device-info=DEVICE_INFO_OS_VERSION=Android 13, cisco-av-pair=dot11-device-info=DEVICE_INFO_COUNTRY_CODE=Unknown, 
    cisco-av-pair=dot11-device-info=DEVICE_INFO_VENDOR_TYPE=2, cisco-av-pair=audit-session-id=A90510AC0000005BD7DDDAA7, cisco-av-pair=vlan-id=2606, cisco-av-pair=method=dot1x, cisco-av-pair=cisco-wlan-ssid=VIcSSID, 
    cisco-av-pair=wlan-profile-name=ISE-AAA, Airespace-Wlan-Id=1, AcsSessionID=iselab/484624451/304,

    Le informazioni sugli attributi dell'endpoint vengono aggiornate.

    2023-09-27 18:19:23,602 DEBUG [RADIUSParser-1-thread-2][[]] cisco.profiler.probes.radius.RadiusParser -:A90510AC0000005BD7DDDAA7::::- Device Analytics data 1: DEVICE_INFO_FIRMWARE_VERSION=[WH6] 2023-09-27 18:19:23,602 DEBUG [RADIUSParser-1-thread-2][[]] cisco.profiler.probes.radius.RadiusParser -:A90510AC0000005BD7DDDAA7::::- Device Analytics data 1: DEVICE_INFO_SALES_CODE=[MXO] 2023-09-27 18:19:23,602 DEBUG [RADIUSParser-1-thread-2][[]] cisco.profiler.probes.radius.RadiusParser -:A90510AC0000005BD7DDDAA7::::- Device Analytics data 1: DEVICE_INFO_DEVICE_FORM=[1] 2023-09-27 18:19:23,602 DEBUG [RADIUSParser-1-thread-2][[]] cisco.profiler.probes.radius.RadiusParser -:A90510AC0000005BD7DDDAA7::::- Device Analytics data 1: DEVICE_INFO_OS_VERSION=[Android 13] 2023-09-27 18:19:23,602 DEBUG [RADIUSParser-1-thread-2][[]] cisco.profiler.probes.radius.RadiusParser -:A90510AC0000005BD7DDDAA7::::- Device Analytics data 1: DEVICE_INFO_COUNTRY_CODE=[Unknown] 2023-09-27 18:19:23,602 DEBUG [RADIUSParser-1-thread-2][[]] cisco.profiler.probes.radius.RadiusParser -:A90510AC0000005BD7DDDAA7::::- Device Analytics data 1: DEVICE_INFO_VENDOR_TYPE=[2]
    2023-09-27 18:19:23,602 DEBUG [RADIUSParser-1-thread-2][[]] cisco.profiler.probes.radius.RadiusParser -:A90510AC0000005BD7DDDAA7::::- Endpoint: EndPoint[id=,name=] MAC: 0A:5A:F0:B3:B5:9C Attribute:AAA-Server value:iselab Attribute:Acct-Authentic value:Remote Attribute:Acct-Delay-Time value:0 Attribute:Acct-Session-Id value:00000018 Attribute:Acct-Status-Type value:Start Attribute:AcsSessionID value:iselab/484624451/304 Attribute:Airespace-Wlan-Id value:1 Attribute:BYODRegistration value:Unknown Attribute:CPMSessionID value:A90510AC0000005BD7DDDAA7 Attribute:Called-Station-ID value:00-1e-f6-5c-16-ff Attribute:Calling-Station-ID value:0a-5a-f0-b3-b5-9c Attribute:Class value:CACS:A90510AC0000005BD7DDDAA7:iselab/484624451/303 Attribute:ClientLatency value:0 Attribute:DEVICE_INFO_COUNTRY_CODE value:Unknown Attribute:DEVICE_INFO_DEVICE_FORM value:PHONE Attribute:DEVICE_INFO_FIRMWARE_VERSION value:WH6 Attribute:DEVICE_INFO_MODEL_NUM value:Samsung Galaxy S22+ Attribute:DEVICE_INFO_OS_VERSION value:Android 13 Attribute:DEVICE_INFO_SALES_CODE value:MXO Attribute:DEVICE_INFO_VENDOR_TYPE value:SAMSUNG Attribute:Device IP Address value:172.16.5.169 Attribute:Device Type value:Device Type#All Device Types Attribute:DeviceRegistrationStatus value:NotRegistered Attribute:EndPointPolicy value:Unknown Attribute:EndPointPolicyID value: Attribute:EndPointSource value:RADIUS Probe Attribute:Event-Timestamp value:1695838756 Attribute:Framed-IP-Address value:172.16.5.76 Attribute:IPSEC value:IPSEC#Is IPSEC Device#No Attribute:Location value:Location#All Locations Attribute:MACAddress value:0A:5A:F0:B3:B5:9C Attribute:MatchedPolicy value:Unknown Attribute:MatchedPolicyID value: Attribute:MessageCode value:3000 Attribute:NAS-IP-Address value:172.16.5.169 Attribute:NAS-Identifier value:vimontes-wlc Attribute:NAS-Port value:260613 Attribute:NAS-Port-Type value:Wireless - IEEE 802.11 Attribute:Network Device Profile value:Cisco Attribute:NetworkDeviceGroups value:IPSEC#Is IPSEC Device#No, Location#All Locations, Device Type#All Device Types Attribute:NetworkDeviceName value:lab-wlc Attribute:NmapSubnetScanID value:0 Attribute:OUI value:UNKNOWN Attribute:PolicyVersion value:0 Attribute:PortalUser value: Attribute:PostureApplicable value:Yes Attribute:RequestLatency value:15 Attribute:StaticAssignment value:false Attribute:StaticGroupAssignment value:false Attribute:Total Certainty Factor value:0 Attribute:TotalAuthenLatency value:15 Attribute:User-Name value:bob Attribute:cisco-av-pair value:dc-profile-name=Samsung Galaxy S22+, dc-device-name=Victor-s-S22, dc-device-class-tag=Samsung Galaxy S22+, dc-certainty-metric=40, 64:63:2d:6f:70:61:71:75:65:3d:01:00:00:00:00:00:00:00:00:00:00:00, dc-protocol-map=1025, dhcp-option=host-name=Victor-s-S22, dhcp-option=dhcp-class-identifier=android-dhcp-13, dhcp-option=dhcp-parameter-request-list=1\, 3\, 6\, 15\, 26\, 28\, 51\, 58\, 59\, 43\, 114\, 108, dot11-device-info=DEVICE_INFO_MODEL_NUM=Samsung Galaxy S22+, dot11-device-info=DEVICE_INFO_FIRMWARE_VERSION=WH6, dot11-device-info=DEVICE_INFO_SALES_CODE=MXO, dot11-device-info=DEVICE_INFO_DEVICE_FORM=1, dot11-device-info=DEVICE_INFO_OS_VERSION=Android 13, dot11-device-info=DEVICE_INFO_COUNTRY_CODE=Unknown, dot11-device-info=DEVICE_INFO_VENDOR_TYPE=2, audit-session-id=A90510AC0000005BD7DDDAA7, vlan-id=2606, method=dot1x, cisco-wlan-ssid=VIcSSID, wlan-profile-name=ISE-AAA Attribute:dhcp-class-identifier value:android-dhcp-13 Attribute:dhcp-parameter-request-list value:1, 3, 6, 15, 26, 28, 51, 58, 59, 43, 114, 108 Attribute:host-name value:Victor-s-S22 Attribute:ip value:172.16.5.76 Attribute:SkipProfiling value:false

    L'aggiornamento dell'attributo attiva un nuovo evento di profilatura dell'endpoint. I criteri di profilatura vengono valutati di nuovo e viene assegnato un nuovo profilo.

    2023-09-27 18:19:24,098 DEBUG [pool-533-thread-35][[]] cisco.profiler.infrastructure.profiling.ProfilerManager -:A90510AC0000005BD7DDDAA7::62cc7a10-5d62-11ee-bf1f-b6bb1580ab0d:Profiling:- Policy Android matched 0A:5A:F0:B3:B5:9C (certainty 30) 2023-09-27 18:19:24,098 DEBUG [pool-533-thread-35][[]] cisco.profiler.infrastructure.profiling.ProfilerManager -:A90510AC0000005BD7DDDAA7::62cc7a10-5d62-11ee-bf1f-b6bb1580ab0d:Profiling:- EndPoint is profiled by Admin First: ADMINFIRST 2023-09-27 18:19:24,098 DEBUG [pool-533-thread-35][[]] cisco.profiler.infrastructure.profiling.ProfilerManager -:A90510AC0000005BD7DDDAA7::62cc7a10-5d62-11ee-bf1f-b6bb1580ab0d:Profiling:- Policy Android matched 0A:5A:F0:B3:B5:9C (certainty 30)com.cisco.profiler.infrastructure.profiling.ProfilerManager$MatchingPolicyInternal@14ec7800

    Passaggio 4. CoA e riautenticazione

    ISE deve inviare un CoA per la sessione dell'endpoint quando è stata apportata una modifica agli attributi di WiFi Device Analytics.

    2023-09-27 18:19:24,103 DEBUG [pool-533-thread-35][[]] cisco.profiler.infrastructure.profiling.ProfilerManager -:A90510AC0000005BD7DDDAA7::62cc7a10-5d62-11ee-bf1f-b6bb1580ab0d:Profiling:- Endpoint 0A:5A:F0:B3:B5:9C IdentityGroup / Logical Profile Changed/ WiFi device analytics attribute changed. Issuing a Conditional CoA 2023-09-27 18:19:24,103 DEBUG [pool-533-thread-35][[]] cisco.profiler.infrastructure.profiling.ProfilerManager -:A90510AC0000005BD7DDDAA7::62cc7a10-5d62-11ee-bf1f-b6bb1580ab0d:Profiling:- ConditionalCoAEvent with Endpoint Details : EndPoint[id=62caa550-5d62-11ee-bf1f-b6bb1580ab0d,name=] MAC: 0A:5A:F0:B3:B5:9C Attribute:AAA-Server value:iselab Attribute:Airespace-Wlan-Id value:1 Attribute:AllowedProtocolMatchedRule value:Default Attribute:AuthenticationIdentityStore value:Internal Users Attribute:AuthenticationMethod value:MSCHAPV2 Attribute:AuthenticationStatus value:AuthenticationPassed Attribute:AuthorizationPolicyMatchedRule value:Catch Policy Attribute:BYODRegistration value:Unknown Attribute:CLASSIFICATION_FLOW value:none Attribute:CacheUpdateTime value:1695838764086 Attribute:Called-Station-ID value:00-1e-f6-5c-16-ff Attribute:Calling-Station-ID value:0a-5a-f0-b3-b5-9c Attribute:ClientLatency value:0 Attribute:DEVICE_INFO_COUNTRY_CODE value:Unknown Attribute:DEVICE_INFO_DEVICE_FORM value:PHONE Attribute:DEVICE_INFO_FIRMWARE_VERSION value:WH6 Attribute:DEVICE_INFO_MODEL_NUM value:Samsung Galaxy S22+ Attribute:DEVICE_INFO_OS_VERSION value:Android 13 Attribute:DEVICE_INFO_SALES_CODE value:MXO Attribute:DEVICE_INFO_VENDOR_TYPE value:SAMSUNG Attribute:DTLSSupport value:Unknown Attribute:DestinationIPAddress value:172.16.5.112 Attribute:DestinationPort value:1812< Attribute:Device IP Address value:172.16.5.169 Attribute:Device Type value:Device Type#All Device Types Attribute:DeviceRegistrationStatus value:NotRegistered Attribute:DoReplicate value:false Attribute:EnableFlag value:Enabled Attribute:EndPointMACAddress value:0A-5A-F0-B3-B5-9C Attribute:EndPointPolicy value:Android Attribute:EndPointPolicyID value:ffafa000-8bff-11e6-996c-525400b48521 Attribute:EndPointProfilerServer value:iselab.vimontes.cisco.com Attribute:EndPointSource value:RADIUS Probe Attribute:EndPointVersion value:4 Attribute:FailureReason value:- Attribute:FirstCollection value:1695838763963 Attribute:Framed-IP-Address value:172.16.5.76 Attribute:IPSEC value:IPSEC#Is IPSEC Device#No Attribute:IdentityGroup value:Android Attribute:IdentityGroupID value:ffa36b00-8bff-11e6-996c-525400b48521 Attribute:IdentityPolicyMatchedRule value:Default Attribute:IdentitySelectionMatchedRule value:Default Attribute:IsThirdPartyDeviceFlow value:false Attribute:LastActivity value:1695838764083 Attribute:LastNmapScanTime value:0 Attribute:Location value:Location#All Locations Attribute:LogicalProfile value: Attribute:MACAddress value:0A:5A:F0:B3:B5:9C Attribute:MatchedPolicy value:Android Attribute:MatchedPolicyID value:ffafa000-8bff-11e6-996c-525400b48521 Attribute:MessageCode value:3000 Attribute:NAS-IP-Address value:172.16.5.169 Attribute:NAS-Identifier value:vimontes-wlc Attribute:NAS-Port value:260613 Attribute:NAS-Port-Type value:Wireless - IEEE 802.11 Attribute:Network Device Profile value:Cisco Attribute:NetworkDeviceGroups value:IPSEC#Is IPSEC Device#No, Location#All Locations, Device Type#All Device Types Attribute:NetworkDeviceName value:lab-wlc Attribute:NetworkDeviceProfileId value:b0699505-3150-4215-a80e-6753d45bf56c Attribute:NetworkDeviceProfileName value:Cisco Attribute:NmapScanCount value:0 Attribute:NmapSubnetScanID value:0 Attribute:OUI value:UNKNOWN Attribute:PolicyVersion value:0 Attribute:PortalUser value: Attribute:PostureApplicable value:Yes Attribute:PostureAssessmentStatus value:NotApplicable Attribute:PreviousMACAddress value:0A:5A:F0:B3:B5:9C Attribute:RadiusFlowType value:Wireless802_1x Attribute:Response value:{Class=CACS:A90510AC0000005BD7DDDAA7:iselab/484624451/303; EAP-Key-Name=19:12:31:7e:8a:2e:d7:9f:3b:00:3e:ab:bd:27:22:2a:30:45:b8:7a:1b:ab:b6:1a:b1:e6:21:ee:bd:b1:2c:b8:f5:a8:c9:27:27:c1:0e:95:fa:a0:b6:dc:1f:a4:e6:98:2c:89:5e:b1:5c:11:56:ea:d9:93:a8:92:b0:47:57:3a:6e; MS-MPPE-Send-Key=****; MS-MPPE-Recv-Key=****; LicenseTypes=1; } Attribute:SSID value:3c-41-0e-31-77-80:VIcSSID Attribute:SelectedAccessService value:Default Network Access Attribute:SelectedAuthenticationIdentityStores value:Internal Users, All_AD_Join_Points, Guest Users Attribute:SelectedAuthorizationProfiles value:PermitAccess Attribute:Service-Type value:Framed Attribute:StaticAssignment value:false Attribute:StaticGroupAssignment value:false Attribute:StepData value:4= Normalised Radius.RadiusFlowType, 71=All_User_ID_Stores, 72=Internal Users, 95= WiFi_Device_Analytics.DEVICE_INFO_MODEL_NUM, 96= WiFi_Device_Analytics.DEVICE_INFO_MODEL_NUM, 97= WiFi_Device_Analytics.DEVICE_INFO_MODEL_NUM, 98= WiFi_Device_Analytics.DEVICE_INFO_MODEL_NUM, 99= EndPoints.EndPointPolicy, 100= EndPoints.EndPointPolicy, 101= EndPoints.EndPointPolicy Attribute:TLSCipher value:ECDHE-RSA-AES256-GCM-SHA384 Attribute:TLSVersion value:TLSv1.2 Attribute:TimeToProfile value:139 Attribute:Total Certainty Factor value:30 Attribute:TotalAuthenLatency value:15 Attribute:UpdateTime value:0 Attribute:User-Name value:bob Attribute:UserType value:User Attribute:allowEasyWiredSession value:false Attribute:dhcp-class-identifier value:android-dhcp-13 Attribute:dhcp-parameter-request-list value:1, 3, 6, 15, 26, 28, 51, 58, 59, 43, 114, 108 Attribute:epid value:epid:293810839814635520 Attribute:host-name value:Victor-s-S22 Attribute:ip value:172.16.5.76 Attribute:undefined-186 value:00:0f:ac:04 Attribute:undefined-187 value:00:0f:ac:04 Attribute:undefined-188 value:00:0f:ac:01 Attribute:undefined-189 value:00:0f:ac:06 Attribute:SkipProfiling value:false

    L'acquisizione dei pacchetti aiuta a garantire che ISE invii il CoA al WLC. Mostra anche che viene ricevuto un nuovo pacchetto Access-Request dopo l'elaborazione del CoA.

    Pacchetto CoA Radius dopo profilatura endpointPacchetto CoA Radius dopo profilatura endpoint

    Radius CoA e nuova richiesta di accesso dopo la profilatura degli endpointRadius CoA e nuova richiesta di accesso dopo la profilatura degli endpoint

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    05-Oct-2023
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Victor Montes Angeles
      Tecnico per la gestione della sicurezza

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti