ISE 3.3의 엔드포인트 분류를 위한 Wifi 분석 이해

다운로드 옵션

  • PDF     (2.0 MB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (1.7 MB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (1.2 MB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2023년 10월 5일
문서 ID:221050

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

    소개

    이 문서에서는 WiFi Analytics for Endpoint Classification의 작동 방식을 설명합니다. 또한 구성, 확인 및 문제 해결 방법에 대해서도 설명합니다.

    사전 요구 사항

    요구 사항

    다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

    • 9800 WLC(Wireless LAN Controller) 컨피그레이션
    • ISE(Identity Services Engine) 컨피그레이션
    • RADIUS 인증. AAA(Authorization and Accounting) 패킷 흐름 및 용어

    이 문서에서는 ISE를 RADIUS 서버로 사용하는 작동하는 WLAN 인증 클라이언트가 이미 있다고 가정합니다.

    이 기능이 작동하려면 최소한 다음 항목이 있어야 합니다.

    • 9800 WLC Cisco IOS® XE Dublin 17.10.1 
    • Services Engine v3.3을 식별합니다.
    • 802.11ac Wave2 또는 802.11ax(Wi-Fi 6/6E) 액세스 포인트

    사용되는 구성 요소

    이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

    • 9800 WLC Cisco IOSXE v17.12.x
    • ISE(Identity Services Engine) v3.3
    • Android 13 장치

    이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

    배경 정보

    Cisco 9800 WLC는 WiFi Device Analytics를 통해 이 디바이스에 연결된 엔드포인트 집합에서 모델 번호 및 OS 버전 등의 특성을 학습하고 ISE와 공유할 수 있습니다. 그러면 ISE는 엔드포인트 분류(프로파일링이라고도 함)를 위해 이 정보를 사용할 수 있습니다.

    현재 WiFi Analytics는 다음 벤더에서 지원됩니다.

    • 애플
    • 인텔
    • 삼성

    WLC는 RADIUS 계정 관리 패킷을 사용하여 ISE 서버와 특성 정보를 공유합니다.WiFi 분석 데이터 흐름WiFi 분석 데이터 흐름

    RADIUS AAA 플로우의 RADIUS 계정 관리 패킷은 RADIUS 서버가 엔드포인트 인증 시도에 대한 응답으로 RADIUS 액세스 수락 패킷을 전송한 후에만 전송된다는 것을 기억해야 합니다. 즉, WLC는 RADIUS 서버(ISE)와 네트워크 액세스 디바이스(WLC) 간에 해당 엔드포인트에 대한 RADIUS 세션이 설정된 후에만 엔드포인트 특성 정보를 공유합니다.

    이는 ISE에서 엔드포인트 분류 및 권한 부여에 사용할 수 있는 모든 특성입니다.

    • DEVICE_INFO_FIRMWARE_VERSION
    • 장치_정보_하드웨어_모델
    • 장치_정보_제조업체_모델
    • DEVICE_INFO_MODEL_NAME
    • DEVICE_INFO_MODEL_NUM
    • 장치_정보_OS_버전
    • DEVICE_INFO_VENDOR_TYPE
    note-icon

    참고: WLC는 연결하는 엔드포인트 유형에 따라 더 많은 특성을 보낼 수 있지만 나열된 특성만 ISE에서 권한 부여 정책을 생성하는 데 사용할 수 있습니다.

    ISE는 어카운팅 패킷을 수신하면 그 내부에서 이 분석 데이터를 처리하고 사용하며, 이를 사용하여 엔드포인트 프로파일/ID 그룹을 재할당할 수 있습니다.

    WiFi Endpoint Analytics 특성은 WiFi_Device_Analytics 사전 아래에 나열됩니다. 네트워크 관리자는 엔드포인트 권한 부여 정책 및 조건에 이러한 특성을 포함할 수 있습니다.

    WiFi 장치 분석 사전WiFi 장치 분석 사전

    ISE가 엔드포인트에 대해 저장하는 현재 특성 값에 대한 변경 사항이 발생하면 ISE는 CoA(Change of Authorization)를 시작하며, 엔드포인트가 평가되어 업데이트된 특성을 확인할 수 있도록 합니다.

    구성

    WLC의 구성

    1단계. 전역적으로 장치 분류 기능 활성화

    Configuration(컨피그레이션) > Wireless(무선) > Wireless Global(무선 글로벌)로 이동하고 Device Classification(디바이스 분류) 확인란을 선택합니다. 

    디바이스 분류 컨피그레이션디바이스 분류 컨피그레이션

    2단계. TLV 캐싱 및 RADIUS 프로파일링 활성화

    Configuration(컨피그레이션) > Tags and Profiles(태그 및 프로필) > Policy(정책)로 이동하고 RADIUS 클라이언트가 연결된 WLAN에서 사용하는 Policy Profile(정책 프로필)을 선택합니다.

    무선 정책 선택무선 정책 선택

    Access Policies(액세스 정책)를 클릭하고 RADIUS Profiling(RADIUS 프로파일링), HTTP TLV Caching(HTTP TLV 캐싱) 및 DHCP TLV Caching(DHCP TLV 캐싱) 옵션을 확인합니다. 이전 단계에서 수행한 작업으로 인해 이제 Global State of Device Classification(디바이스 분류의 전역 상태)이 Enabled(활성화됨) 상태로 표시됩니다. RADIUS 프로파일링 및 캐싱 컨피그레이션RADIUS 프로파일링 및 캐싱 컨피그레이션

    WLC CLI에 로그인하고 dot11 TLV Accounting을 활성화합니다.

    vimontes-wlc#configure terminal
    vimontes-wlc(config)#wireless profile policy policy-profile-name
    vimontes-wlc(config-wireless-policy)#dot11-tlv-accounting

    note-icon

    참고: 이 명령을 사용하려면 먼저 무선 정책 프로필을 비활성화해야 합니다. 이 명령은 Cisco IOS XE Dublin 17.10.1 버전 이상에서만 사용할 수 있습니다.

    ISE의 컨피그레이션 

    1단계. 구축의 PSN에서 프로파일링 서비스 활성화

    Administration(관리) > Deployment(구축)로 이동하고 PSN의 이름을 클릭합니다.

    ISE PSN 노드 선택ISE PSN 노드 선택

    아래로 스크롤하여 Policy Service(정책 서비스) 섹션으로 이동하고 Enable Profiling Service(프로파일링 서비스 활성화) 확인란을 선택합니다. Save(저장) 버튼을 클릭합니다.

    프로파일러 서비스 컨피그레이션프로파일러 서비스 컨피그레이션

    2단계. ISE PSN에서 RADIUS 프로파일링 프로브 활성화

    페이지 상단으로 스크롤하여 Profiling Configuration(프로파일링 컨피그레이션) 탭 클릭합니다. ISE에서 사용할 수 있는 모든 프로파일링 프로브가 표시됩니다. RADIUS 프로브를 활성화하고 Save를 클릭합니다.

    RADIUS 프로파일링 프로브 컨피그레이션RADIUS 프로파일링 프로브 컨피그레이션

    3단계. CoA 유형 및 엔드포인트 특성 필터 설정

    Administration(관리) > System(시스템) > Settings(설정) > Profiling(프로파일링)으로 이동합니다. CoA Type(CoA 유형)Reauth로 설정하고 Endpoint Attribute Filter(엔드포인트 특성 필터) 확인란이 선택되지 않았는지 확인합니다.

    CoA 유형 및 특성 필터 구성CoA 유형 및 특성 필터 구성

    4단계. WiFi 분석 데이터 특성을 사용하여 권한 부여 정책 구성

    Policy(정책) > Policy Sets(정책 세트) 메뉴로 이동하고 무선 네트워크에서 사용하는 Policy Set(정책 세트)를 선택합니다.

    정책 집합 선택정책 집합 선택

    Authorization Policies(권한 부여 정책)를 클릭하고 Authorization Conditions(권한 부여 조건)를 구성하여 엔드포인트 정책 WiFi Device Analytics 사전 특성을 포함합니다.권한 부여 정책 컨피그레이션권한 부여 정책 컨피그레이션

    다음을 확인합니다.

    ISE GUI에서 Operations(운영) > RADIUS > Live logs(라이브 로그)로 이동합니다. 여러 필드를 사용하여 이 창의 항목을 필터링하고 테스트 엔드포인트 레코드를 찾을 수 있습니다.

    엔드포인트 테스트를 위한 ISE 라이브 로그엔드포인트 테스트를 위한 ISE 라이브 로그

    a. 초기 엔드포인트 인증 요청이 ISE에 도달합니다. 이 세션의 어카운팅 패킷이 현재 ISE에 도달하지 않았으므로 엔드포인트 프로파일 필드가 비어 있습니다.

    b. 엔드포인트 특성을 포함하는 어카운팅 패킷이 수신되었으므로 ISE에서 NAD로 CoA가 전송됩니다.

    c. CoA를 성공적으로 전송한 후 엔드포인트가 재인증됩니다. 이번에는 새 할당 된 엔드 포인트 프로필을 관찰 할 수 있으며 다른 인증 결과가 할당 되었음을 확인 합니다.

    note-icon

    참고: CoA 패킷에는 항상 빈 ID 필드가 있지만 엔드포인트 ID는 첫 번째 인증 패킷과 동일합니다.

    Change of Authorization 레코드Details 열에 있는 아이콘을 클릭합니다.

    CoA 패킷 세부 정보에 액세스CoA 패킷 세부 정보에 액세스

    CoA 세부 정보가 새 브라우저 탭에 표시됩니다. 아래로 스크롤하여 Other Attributes 섹션으로 이동합니다.

    CoA 소스 구성 요소는 프로 파 일러로 표시 됩니다. CoA Reason은 권한 부여 정책에서 사용 되는 엔드 포인트 ID 그룹/정책/논리 적 인 프로필에 변경 으로 표시 됩니다.

    CoA 트리거 구성 요소 및 이유CoA 트리거 구성 요소 및 이유

    Context Visibility(상황 가시성) > Endpoints(엔드포인트) > Authentication(인증) 탭으로 이동합니다. 이 탭에서 필터를 사용하여 테스트 끝점을 찾습니다. 

    엔드포인트 특성에 액세스하려면 엔드포인트 MAC 주소를 클릭합니다.

    컨텍스트 가시성의 엔드포인트컨텍스트 가시성의 엔드포인트

    이 작업은 ISE가 이 엔드포인트에 대해 저장하고 있는 모든 정보를 표시합니다. 속성 섹션을 클릭한 다음 기타 속성을 선택합니다.

    컨텍스트 가시성에 대한 엔드포인트 기타 특성 선택컨텍스트 가시성에 대한 엔드포인트 기타 특성 선택

    WiFi_Device_Analytics 사전 속성을 찾을 때까지 아래로 스크롤합니다. 이 섹션에서 이러한 특성을 찾는다는 것은 ISE가 어카운팅 패킷을 통해 해당 특성을 성공적으로 받았으며 엔드포인트 분류에 사용할 수 있음을 의미합니다.

    컨텍스트 가시성의 WiFi 분석 특성컨텍스트 가시성의 WiFi 분석 특성

    참고로 다음은 Windows 10 및 iPhone 특성의 예입니다.

    Windows 10 엔드포인트 특성의 예Windows 10 엔드포인트 특성 iPhone 엔드포인트 특성의 예예아이폰 엔드포인트 특성 예

    문제 해결

    1단계. 계정 관리 패킷이 ISE에 도달함

    WLC CLI에서 정책 프로필 컨피그레이션에서 DOT11 TLV 어카운팅, DHCP TLV 캐싱 HTTP TLV 캐싱이 활성화되어 있는지 확인합니다.

    vimontes-wlc#show running-config | section wireless profile policy policy-profile-name
    wireless profile policy policy-profile-name
     aaa-override
     accounting-list AAA-LIST
     dhcp-tlv-caching
     dot11-tlv-accounting
     http-tlv-caching
     radius-profiling
     no shutdown

    엔드포인트에 연결하는 동안 WLC 또는 ISE에서 패킷 캡처를 수집합니다. Wireshark와 같은 잘 알려진 패킷 분석 도구를 사용하여 수집된 파일을 분석할 수 있습니다.

    RADIUS 계정 관리 패킷 및 호출 스테이션 ID(엔드포인트 MAC 주소 테스트)로 필터링합니다. 예를 들어, 이 필터를 사용할 수 있습니다. 

    radius.code == 4 && radius.Calling_Station_Id == "xx-xx-xx-xx-xx-xx"

    위치가 확인되면 Cisco-AVPair 필드를 확장하여 어카운팅 패킷에서 WiFi 분석 데이터를 찾습니다.

    어카운팅 패킷 내의 엔드포인트 TLV 특성어카운팅 패킷 내의 엔드포인트 TLV 특성

    2단계. ISE는 엔드포인트 특성을 사용하여 어카운팅 패킷을 구문 분석합니다

    ISE에서 이러한 구성 요소는 DEBUG 레벨로 설정하여 WLC에서 보낸 RADIUS 어카운팅 패킷이 ISE에 도달하여 올바르게 처리되도록 할 수 있습니다.

    그런 다음 ISE 지원 번들 수집하여 로그 파일을 수집할 수 있습니다. 지원 번들을 수집하는 방법에 대한 자세한 내용은 관련 정보 섹션을 참조하십시오.

    문제 해결을 위해 디버깅할 구성 요소문제 해결을 위해 디버깅할 구성 요소

    note-icon

    참고: 구성 요소는 엔드포인트를 인증하는 PSN에서만 DEBUG 레벨로 활성화됩니다.

    iseLocalStore.log에서 Accounting-Start 메시지는 어떤 구성 요소도 DEBUG 레벨로 활성화하지 않고 기록됩니다. 여기서 ISE는 WiFi Analytics 특성을 포함하는 수신 어카운팅 패킷을 확인해야 합니다.

    2023-09-27 18:19:23.600 +00:00 0000035538 3000 NOTICE Radius-Accounting: RADIUS Accounting start request, ConfigVersionId=1493, 
    Device IP Address=172.16.5.169, UserName=bob, NetworkDeviceName=lab-wlc, User-Name=bob, NAS-IP-Address=172.16.5.169, NAS-Port=260613,
    Framed-IP-Address=172.16.5.76, Class=CACS:A90510AC0000005BD7DDDAA7:iselab/484624451/303, Called-Station-ID=00-1e-f6-5c-16-ff, 
    Calling-Station-ID=0a-5a-f0-b3-b5-9c, NAS-Identifier=vimontes-wlc, Acct-Status-Type=Start, Acct-Delay-Time=0, Acct-Session-Id=00000018, 
    Acct-Authentic=Remote, Event-Timestamp=1695838756, NAS-Port-Type=Wireless - IEEE 802.11, cisco-av-pair=dc-profile-name=Samsung Galaxy S22+, 
    cisco-av-pair=dc-device-name=Victor-s-S22, cisco-av-pair=dc-device-class-tag=Samsung Galaxy S22+, cisco-av-pair=dc-certainty-metric=40, 
    cisco-av-pair=64:63:2d:6f:70:61:71:75:65:3d:01:00:00:00:00:00:00:00:00:00:00:00, cisco-av-pair=dc-protocol-map=1025, cisco-av-pair=dhcp-option=host-name=Victor-s-S22, 
    cisco-av-pair=dhcp-option=dhcp-class-identifier=android-dhcp-13, cisco-av-pair=dhcp-option=dhcp-parameter-request-list=1\, 3\, 6\, 15\, 26\, 28\, 51\, 58\, 59\, 43\, 114\, 108, 
    cisco-av-pair=dot11-device-info=DEVICE_INFO_MODEL_NUM=Samsung Galaxy S22+, cisco-av-pair=dot11-device-info=DEVICE_INFO_FIRMWARE_VERSION=WH6, 
    cisco-av-pair=dot11-device-info=DEVICE_INFO_SALES_CODE=MXO, cisco-av-pair=dot11-device-info=DEVICE_INFO_DEVICE_FORM=1, 
    cisco-av-pair=dot11-device-info=DEVICE_INFO_OS_VERSION=Android 13, cisco-av-pair=dot11-device-info=DEVICE_INFO_COUNTRY_CODE=Unknown, 
    cisco-av-pair=dot11-device-info=DEVICE_INFO_VENDOR_TYPE=2, cisco-av-pair=audit-session-id=A90510AC0000005BD7DDDAA7, cisco-av-pair=vlan-id=2606, cisco-av-pair=method=dot1x, 
    cisco-av-pair=cisco-wlan-ssid=VIcSSID, cisco-av-pair=wlan-profile-name=ISE-AAA, Airespace-Wlan-Id=1, AcsSessionID=iselab/484624451/304, SelectedAccessService=Default Network Access, 
    RequestLatency=15, Step=11004, Step=11017, Step=15049, Step=15008, Step=22083, Step=11005, NetworkDeviceGroups=IPSEC#Is IPSEC Device#No, NetworkDeviceGroups=Location#All Locations, 
    NetworkDeviceGroups=Device Type#All Device Types, CPMSessionID=A90510AC0000005BD7DDDAA7, TotalAuthenLatency=15, ClientLatency=0, Network Device Profile=Cisco, Location=Location#All Locations, 
    Device Type=Device Type#All Device Types, IPSEC=IPSEC#Is IPSEC Device#No,

    prrt-server.log에서 ISE는 WiFi Analytics 특성을 포함하여 수신된 어카운팅 패킷 syslog 메시지를 구문 분석합니다. CallingStationID 필드CPMSessionID 필드를 사용하여 올바른 세션 및 엔드포인트를 추적합니다. 

    Radius,2023-09-27 18:19:23,586,DEBUG,0x7f50a2b67700,cntx=0000192474,sesn=iselab/484624451/304,
    CPMSessionID=A90510AC0000005BD7DDDAA7,CallingStationID=0a-5a-f0-b3-b5-9c,FramedIPAddress=172.16.5.76,RADIUS PACKET:: 
    Code=4(AccountingRequest) Identifier=39 Length=934  [1] User-Name - value: [bob] [4] NAS-IP-Address - value: [172.16.5.169] [5] NAS-Port - value: [260613] [8] Framed-IP-Address - value: [172.16.5.76] [25] Class - value: [****] [30] Called-Station-ID - value: [00-1e-f6-5c-16-ff] [31] Calling-Station-ID - value: [0a-5a-f0-b3-b5-9c] [32] NAS-Identifier - value: [vimontes-wlc] [40] Acct-Status-Type - value: [Start] [41] Acct-Delay-Time - value: [0] [44] Acct-Session-Id - value: [00000018] [45] Acct-Authentic - value: [Remote] [55] Event-Timestamp - value: [1695838756] [61] NAS-Port-Type - value: [Wireless - IEEE 802.11] [26] cisco-av-pair - value: [dc-profile-name=Samsung Galaxy S22+] [26] cisco-av-pair - value: [dc-device-name=Victor-s-S22] [26] cisco-av-pair - value: [dc-device-class-tag=Samsung Galaxy S22+] [26] cisco-av-pair - value: [dc-certainty-metric=40] [26] cisco-av-pair - value: [dc-opaque=<01><00><00><00><00><00><00><00><00><00><00><00>] [26] cisco-av-pair - value: [dc-protocol-map=1025] [26] cisco-av-pair - value: [dhcp-option=<00><0c><00><0c>Victor-s-S22] [26] cisco-av-pair - value: [dhcp-option=<00><<00><0f>android-dhcp-13] [26] cisco-av-pair - value: [dhcp-option=<00>7<00><0c><01><03><06><0f><1a><1c>3:;+rl] [26] cisco-av-pair - value: [dot11-device-info=<00><00><00><13>Samsung Galaxy S22+] [26] cisco-av-pair - value: [dot11-device-info=<00><01><00><03>WH6] [26] cisco-av-pair - value: [dot11-device-info=<00><02><00><03>MXO] [26] cisco-av-pair - value: [dot11-device-info=<00><03><00><01>1] [26] cisco-av-pair - value: [dot11-device-info=<00><04><00> Android 13] [26] cisco-av-pair - value: [dot11-device-info=<00><05><00><07>Unknown] [26] cisco-av-pair - value: [dot11-device-info=<00> <00><01>2] [26] cisco-av-pair - value: [audit-session-id=A90510AC0000005BD7DDDAA7] [26] cisco-av-pair - value: [vlan-id=2606] [26] cisco-av-pair - value: [method=dot1x] [26] cisco-av-pair - value: [cisco-wlan-ssid=VIcSSID] [26] cisco-av-pair - value: [wlan-profile-name=ISE-AAA] [26] Airespace-Wlan-Id - value: [<00><00><00><01>] ,RADIUSHandler.cpp:2453

    3단계. 엔드포인트 특성이 업데이트되고 엔드포인트가 분류됨

    이 syslog 메시지는 프로파일러 구성 요소와 공유됩니다. Profiler.log는 구문 분석된 syslog 메시지를 수신하고 엔드포인트 특성을 추출합니다.

    2023-09-27 18:19:23,601 DEBUG [SyslogListenerThread][[]] cisco.profiler.probes.radius.SyslogMonitor -:::::- Radius Packet Received 1266 2023-09-27 18:19:23,601 DEBUG [SyslogListenerThread][[]] cisco.profiler.probes.radius.SyslogDefragmenter -:::::- parseHeader inBuffer=<181>Sep 27 18:19:23 iselab 
    CISE_RADIUS_Accounting 0000000297 3 0 2023-09-27 18:19:23.600 +00:00 0000035538 3000 NOTICE Radius-Accounting: RADIUS Accounting start request, ConfigVersionId=1493, Device IP Address=172.16.5.169, 
    UserName=bob, NetworkDeviceName=lab-wlc, User-Name=bob, NAS-IP-Address=172.16.5.169, NAS-Port=260613, Framed-IP-Address=172.16.5.76, Class=CACS:A90510AC0000005BD7DDDAA7:iselab/484624451/303, 
    Called-Station-ID=00-1e-f6-5c-16-ff, Calling-Station-ID=0a-5a-f0-b3-b5-9c, NAS-Identifier=vimontes-wlc, Acct-Status-Type=Start, Acct-Delay-Time=0, Acct-Session-Id=00000018, Acct-Authentic=Remote, 
    Event-Timestamp=1695838756, NAS-Port-Type=Wireless - IEEE 802.11, cisco-av-pair=dc-profile-name=Samsung Galaxy S22+, cisco-av-pair=dc-device-name=Victor-s-S22, 
    cisco-av-pair=dc-device-class-tag=Samsung Galaxy S22+, cisco-av-pair=dc-certainty-metric=40, 
    cisco-av-pair=64:63:2d:6f:70:61:71:75:65:3d:01:00:00:00:00:00:00:00:00:00:00:00, cisco-av-pair=dc-protocol-map=1025, 2023-09-27 18:19:23,601 DEBUG [SyslogListenerThread][[]] cisco.profiler.probes.radius.SyslogMonitor -:::::- Radius Packet Received 1267 2023-09-27 18:19:23,601 DEBUG [SyslogListenerThread][[]] cisco.profiler.probes.radius.SyslogDefragmenter -:::::- parseHeader inBuffer=<181>Sep 27 18:19:23 iselab CISE_RADIUS_Accounting 0000000297 3 1 
    cisco-av-pair=dhcp-option=host-name=Victor-s-S22, cisco-av-pair=dhcp-option=dhcp-class-identifier=android-dhcp-13, cisco-av-pair=dhcp-option=dhcp-parameter-request-list=1\, 3\, 6\, 15\, 26\, 28\, 51\, 58\, 59\, 43\, 114\, 108, 
    cisco-av-pair=dot11-device-info=DEVICE_INFO_MODEL_NUM=Samsung Galaxy S22+, cisco-av-pair=dot11-device-info=DEVICE_INFO_FIRMWARE_VERSION=WH6, cisco-av-pair=dot11-device-info=DEVICE_INFO_SALES_CODE=MXO, 
    cisco-av-pair=dot11-device-info=DEVICE_INFO_DEVICE_FORM=1, cisco-av-pair=dot11-device-info=DEVICE_INFO_OS_VERSION=Android 13, cisco-av-pair=dot11-device-info=DEVICE_INFO_COUNTRY_CODE=Unknown, 
    cisco-av-pair=dot11-device-info=DEVICE_INFO_VENDOR_TYPE=2, cisco-av-pair=audit-session-id=A90510AC0000005BD7DDDAA7, cisco-av-pair=vlan-id=2606, cisco-av-pair=method=dot1x, cisco-av-pair=cisco-wlan-ssid=VIcSSID, 
    cisco-av-pair=wlan-profile-name=ISE-AAA, Airespace-Wlan-Id=1, AcsSessionID=iselab/484624451/304,

    엔드포인트 특성 정보가 업데이트됩니다.

    2023-09-27 18:19:23,602 DEBUG [RADIUSParser-1-thread-2][[]] cisco.profiler.probes.radius.RadiusParser -:A90510AC0000005BD7DDDAA7::::- Device Analytics data 1: DEVICE_INFO_FIRMWARE_VERSION=[WH6] 2023-09-27 18:19:23,602 DEBUG [RADIUSParser-1-thread-2][[]] cisco.profiler.probes.radius.RadiusParser -:A90510AC0000005BD7DDDAA7::::- Device Analytics data 1: DEVICE_INFO_SALES_CODE=[MXO] 2023-09-27 18:19:23,602 DEBUG [RADIUSParser-1-thread-2][[]] cisco.profiler.probes.radius.RadiusParser -:A90510AC0000005BD7DDDAA7::::- Device Analytics data 1: DEVICE_INFO_DEVICE_FORM=[1] 2023-09-27 18:19:23,602 DEBUG [RADIUSParser-1-thread-2][[]] cisco.profiler.probes.radius.RadiusParser -:A90510AC0000005BD7DDDAA7::::- Device Analytics data 1: DEVICE_INFO_OS_VERSION=[Android 13] 2023-09-27 18:19:23,602 DEBUG [RADIUSParser-1-thread-2][[]] cisco.profiler.probes.radius.RadiusParser -:A90510AC0000005BD7DDDAA7::::- Device Analytics data 1: DEVICE_INFO_COUNTRY_CODE=[Unknown] 2023-09-27 18:19:23,602 DEBUG [RADIUSParser-1-thread-2][[]] cisco.profiler.probes.radius.RadiusParser -:A90510AC0000005BD7DDDAA7::::- Device Analytics data 1: DEVICE_INFO_VENDOR_TYPE=[2]
    2023-09-27 18:19:23,602 DEBUG [RADIUSParser-1-thread-2][[]] cisco.profiler.probes.radius.RadiusParser -:A90510AC0000005BD7DDDAA7::::- Endpoint: EndPoint[id=,name=] MAC: 0A:5A:F0:B3:B5:9C Attribute:AAA-Server value:iselab Attribute:Acct-Authentic value:Remote Attribute:Acct-Delay-Time value:0 Attribute:Acct-Session-Id value:00000018 Attribute:Acct-Status-Type value:Start Attribute:AcsSessionID value:iselab/484624451/304 Attribute:Airespace-Wlan-Id value:1 Attribute:BYODRegistration value:Unknown Attribute:CPMSessionID value:A90510AC0000005BD7DDDAA7 Attribute:Called-Station-ID value:00-1e-f6-5c-16-ff Attribute:Calling-Station-ID value:0a-5a-f0-b3-b5-9c Attribute:Class value:CACS:A90510AC0000005BD7DDDAA7:iselab/484624451/303 Attribute:ClientLatency value:0 Attribute:DEVICE_INFO_COUNTRY_CODE value:Unknown Attribute:DEVICE_INFO_DEVICE_FORM value:PHONE Attribute:DEVICE_INFO_FIRMWARE_VERSION value:WH6 Attribute:DEVICE_INFO_MODEL_NUM value:Samsung Galaxy S22+ Attribute:DEVICE_INFO_OS_VERSION value:Android 13 Attribute:DEVICE_INFO_SALES_CODE value:MXO Attribute:DEVICE_INFO_VENDOR_TYPE value:SAMSUNG Attribute:Device IP Address value:172.16.5.169 Attribute:Device Type value:Device Type#All Device Types Attribute:DeviceRegistrationStatus value:NotRegistered Attribute:EndPointPolicy value:Unknown Attribute:EndPointPolicyID value: Attribute:EndPointSource value:RADIUS Probe Attribute:Event-Timestamp value:1695838756 Attribute:Framed-IP-Address value:172.16.5.76 Attribute:IPSEC value:IPSEC#Is IPSEC Device#No Attribute:Location value:Location#All Locations Attribute:MACAddress value:0A:5A:F0:B3:B5:9C Attribute:MatchedPolicy value:Unknown Attribute:MatchedPolicyID value: Attribute:MessageCode value:3000 Attribute:NAS-IP-Address value:172.16.5.169 Attribute:NAS-Identifier value:vimontes-wlc Attribute:NAS-Port value:260613 Attribute:NAS-Port-Type value:Wireless - IEEE 802.11 Attribute:Network Device Profile value:Cisco Attribute:NetworkDeviceGroups value:IPSEC#Is IPSEC Device#No, Location#All Locations, Device Type#All Device Types Attribute:NetworkDeviceName value:lab-wlc Attribute:NmapSubnetScanID value:0 Attribute:OUI value:UNKNOWN Attribute:PolicyVersion value:0 Attribute:PortalUser value: Attribute:PostureApplicable value:Yes Attribute:RequestLatency value:15 Attribute:StaticAssignment value:false Attribute:StaticGroupAssignment value:false Attribute:Total Certainty Factor value:0 Attribute:TotalAuthenLatency value:15 Attribute:User-Name value:bob Attribute:cisco-av-pair value:dc-profile-name=Samsung Galaxy S22+, dc-device-name=Victor-s-S22, dc-device-class-tag=Samsung Galaxy S22+, dc-certainty-metric=40, 64:63:2d:6f:70:61:71:75:65:3d:01:00:00:00:00:00:00:00:00:00:00:00, dc-protocol-map=1025, dhcp-option=host-name=Victor-s-S22, dhcp-option=dhcp-class-identifier=android-dhcp-13, dhcp-option=dhcp-parameter-request-list=1\, 3\, 6\, 15\, 26\, 28\, 51\, 58\, 59\, 43\, 114\, 108, dot11-device-info=DEVICE_INFO_MODEL_NUM=Samsung Galaxy S22+, dot11-device-info=DEVICE_INFO_FIRMWARE_VERSION=WH6, dot11-device-info=DEVICE_INFO_SALES_CODE=MXO, dot11-device-info=DEVICE_INFO_DEVICE_FORM=1, dot11-device-info=DEVICE_INFO_OS_VERSION=Android 13, dot11-device-info=DEVICE_INFO_COUNTRY_CODE=Unknown, dot11-device-info=DEVICE_INFO_VENDOR_TYPE=2, audit-session-id=A90510AC0000005BD7DDDAA7, vlan-id=2606, method=dot1x, cisco-wlan-ssid=VIcSSID, wlan-profile-name=ISE-AAA Attribute:dhcp-class-identifier value:android-dhcp-13 Attribute:dhcp-parameter-request-list value:1, 3, 6, 15, 26, 28, 51, 58, 59, 43, 114, 108 Attribute:host-name value:Victor-s-S22 Attribute:ip value:172.16.5.76 Attribute:SkipProfiling value:false

    특성 업데이트는 이벤트를 프로파일링 새 엔드 포인트를 시작 합니다. 프로파일링 정책이 다시 평가되고 새 프로파일이 할당됩니다.

    2023-09-27 18:19:24,098 DEBUG [pool-533-thread-35][[]] cisco.profiler.infrastructure.profiling.ProfilerManager -:A90510AC0000005BD7DDDAA7::62cc7a10-5d62-11ee-bf1f-b6bb1580ab0d:Profiling:- Policy Android matched 0A:5A:F0:B3:B5:9C (certainty 30) 2023-09-27 18:19:24,098 DEBUG [pool-533-thread-35][[]] cisco.profiler.infrastructure.profiling.ProfilerManager -:A90510AC0000005BD7DDDAA7::62cc7a10-5d62-11ee-bf1f-b6bb1580ab0d:Profiling:- EndPoint is profiled by Admin First: ADMINFIRST 2023-09-27 18:19:24,098 DEBUG [pool-533-thread-35][[]] cisco.profiler.infrastructure.profiling.ProfilerManager -:A90510AC0000005BD7DDDAA7::62cc7a10-5d62-11ee-bf1f-b6bb1580ab0d:Profiling:- Policy Android matched 0A:5A:F0:B3:B5:9C (certainty 30)com.cisco.profiler.infrastructure.profiling.ProfilerManager$MatchingPolicyInternal@14ec7800

    4단계. CoA 및 재인증

    ISE는 WiFi Device Analytics 특성이 변경됨에 따라 엔드포인트 세션에 대한 CoA를 보내야 합니다.

    2023-09-27 18:19:24,103 DEBUG [pool-533-thread-35][[]] cisco.profiler.infrastructure.profiling.ProfilerManager -:A90510AC0000005BD7DDDAA7::62cc7a10-5d62-11ee-bf1f-b6bb1580ab0d:Profiling:- Endpoint 0A:5A:F0:B3:B5:9C IdentityGroup / Logical Profile Changed/ WiFi device analytics attribute changed. Issuing a Conditional CoA 2023-09-27 18:19:24,103 DEBUG [pool-533-thread-35][[]] cisco.profiler.infrastructure.profiling.ProfilerManager -:A90510AC0000005BD7DDDAA7::62cc7a10-5d62-11ee-bf1f-b6bb1580ab0d:Profiling:- ConditionalCoAEvent with Endpoint Details : EndPoint[id=62caa550-5d62-11ee-bf1f-b6bb1580ab0d,name=] MAC: 0A:5A:F0:B3:B5:9C Attribute:AAA-Server value:iselab Attribute:Airespace-Wlan-Id value:1 Attribute:AllowedProtocolMatchedRule value:Default Attribute:AuthenticationIdentityStore value:Internal Users Attribute:AuthenticationMethod value:MSCHAPV2 Attribute:AuthenticationStatus value:AuthenticationPassed Attribute:AuthorizationPolicyMatchedRule value:Catch Policy Attribute:BYODRegistration value:Unknown Attribute:CLASSIFICATION_FLOW value:none Attribute:CacheUpdateTime value:1695838764086 Attribute:Called-Station-ID value:00-1e-f6-5c-16-ff Attribute:Calling-Station-ID value:0a-5a-f0-b3-b5-9c Attribute:ClientLatency value:0 Attribute:DEVICE_INFO_COUNTRY_CODE value:Unknown Attribute:DEVICE_INFO_DEVICE_FORM value:PHONE Attribute:DEVICE_INFO_FIRMWARE_VERSION value:WH6 Attribute:DEVICE_INFO_MODEL_NUM value:Samsung Galaxy S22+ Attribute:DEVICE_INFO_OS_VERSION value:Android 13 Attribute:DEVICE_INFO_SALES_CODE value:MXO Attribute:DEVICE_INFO_VENDOR_TYPE value:SAMSUNG Attribute:DTLSSupport value:Unknown Attribute:DestinationIPAddress value:172.16.5.112 Attribute:DestinationPort value:1812< Attribute:Device IP Address value:172.16.5.169 Attribute:Device Type value:Device Type#All Device Types Attribute:DeviceRegistrationStatus value:NotRegistered Attribute:DoReplicate value:false Attribute:EnableFlag value:Enabled Attribute:EndPointMACAddress value:0A-5A-F0-B3-B5-9C Attribute:EndPointPolicy value:Android Attribute:EndPointPolicyID value:ffafa000-8bff-11e6-996c-525400b48521 Attribute:EndPointProfilerServer value:iselab.vimontes.cisco.com Attribute:EndPointSource value:RADIUS Probe Attribute:EndPointVersion value:4 Attribute:FailureReason value:- Attribute:FirstCollection value:1695838763963 Attribute:Framed-IP-Address value:172.16.5.76 Attribute:IPSEC value:IPSEC#Is IPSEC Device#No Attribute:IdentityGroup value:Android Attribute:IdentityGroupID value:ffa36b00-8bff-11e6-996c-525400b48521 Attribute:IdentityPolicyMatchedRule value:Default Attribute:IdentitySelectionMatchedRule value:Default Attribute:IsThirdPartyDeviceFlow value:false Attribute:LastActivity value:1695838764083 Attribute:LastNmapScanTime value:0 Attribute:Location value:Location#All Locations Attribute:LogicalProfile value: Attribute:MACAddress value:0A:5A:F0:B3:B5:9C Attribute:MatchedPolicy value:Android Attribute:MatchedPolicyID value:ffafa000-8bff-11e6-996c-525400b48521 Attribute:MessageCode value:3000 Attribute:NAS-IP-Address value:172.16.5.169 Attribute:NAS-Identifier value:vimontes-wlc Attribute:NAS-Port value:260613 Attribute:NAS-Port-Type value:Wireless - IEEE 802.11 Attribute:Network Device Profile value:Cisco Attribute:NetworkDeviceGroups value:IPSEC#Is IPSEC Device#No, Location#All Locations, Device Type#All Device Types Attribute:NetworkDeviceName value:lab-wlc Attribute:NetworkDeviceProfileId value:b0699505-3150-4215-a80e-6753d45bf56c Attribute:NetworkDeviceProfileName value:Cisco Attribute:NmapScanCount value:0 Attribute:NmapSubnetScanID value:0 Attribute:OUI value:UNKNOWN Attribute:PolicyVersion value:0 Attribute:PortalUser value: Attribute:PostureApplicable value:Yes Attribute:PostureAssessmentStatus value:NotApplicable Attribute:PreviousMACAddress value:0A:5A:F0:B3:B5:9C Attribute:RadiusFlowType value:Wireless802_1x Attribute:Response value:{Class=CACS:A90510AC0000005BD7DDDAA7:iselab/484624451/303; EAP-Key-Name=19:12:31:7e:8a:2e:d7:9f:3b:00:3e:ab:bd:27:22:2a:30:45:b8:7a:1b:ab:b6:1a:b1:e6:21:ee:bd:b1:2c:b8:f5:a8:c9:27:27:c1:0e:95:fa:a0:b6:dc:1f:a4:e6:98:2c:89:5e:b1:5c:11:56:ea:d9:93:a8:92:b0:47:57:3a:6e; MS-MPPE-Send-Key=****; MS-MPPE-Recv-Key=****; LicenseTypes=1; } Attribute:SSID value:3c-41-0e-31-77-80:VIcSSID Attribute:SelectedAccessService value:Default Network Access Attribute:SelectedAuthenticationIdentityStores value:Internal Users, All_AD_Join_Points, Guest Users Attribute:SelectedAuthorizationProfiles value:PermitAccess Attribute:Service-Type value:Framed Attribute:StaticAssignment value:false Attribute:StaticGroupAssignment value:false Attribute:StepData value:4= Normalised Radius.RadiusFlowType, 71=All_User_ID_Stores, 72=Internal Users, 95= WiFi_Device_Analytics.DEVICE_INFO_MODEL_NUM, 96= WiFi_Device_Analytics.DEVICE_INFO_MODEL_NUM, 97= WiFi_Device_Analytics.DEVICE_INFO_MODEL_NUM, 98= WiFi_Device_Analytics.DEVICE_INFO_MODEL_NUM, 99= EndPoints.EndPointPolicy, 100= EndPoints.EndPointPolicy, 101= EndPoints.EndPointPolicy Attribute:TLSCipher value:ECDHE-RSA-AES256-GCM-SHA384 Attribute:TLSVersion value:TLSv1.2 Attribute:TimeToProfile value:139 Attribute:Total Certainty Factor value:30 Attribute:TotalAuthenLatency value:15 Attribute:UpdateTime value:0 Attribute:User-Name value:bob Attribute:UserType value:User Attribute:allowEasyWiredSession value:false Attribute:dhcp-class-identifier value:android-dhcp-13 Attribute:dhcp-parameter-request-list value:1, 3, 6, 15, 26, 28, 51, 58, 59, 43, 114, 108 Attribute:epid value:epid:293810839814635520 Attribute:host-name value:Victor-s-S22 Attribute:ip value:172.16.5.76 Attribute:undefined-186 value:00:0f:ac:04 Attribute:undefined-187 value:00:0f:ac:04 Attribute:undefined-188 value:00:0f:ac:01 Attribute:undefined-189 value:00:0f:ac:06 Attribute:SkipProfiling value:false

    패킷 캡처는 ISE가 CoA를 WLC에 전송하도록 하는 데 도움이 됩니다. 또한 CoA 처리 후 새로운 Access-Request 패킷이 수신됨을 보여줍니다.

    엔드포인트 프로파일링 후 RADIUS CoA 패킷엔드포인트 프로파일링 후 RADIUS CoA 패킷

    엔드포인트 프로파일링 후 RADIUS CoA 및 새 액세스 요청엔드포인트 프로파일링 후 RADIUS CoA 및 새 액세스 요청

    관련 정보

    개정 이력

    개정 게시 날짜 의견
    1.0
    05-Oct-2023
    최초 릴리스
    TAC Authored

    Cisco 엔지니어가 작성

    • 빅터 몬테스 앤젤레스
      보안 에스컬레이션 엔지니어

    이 문서가 도움이 되셨습니까?

    Feedback피드백

    지원 문의

    이 문서가 적용되는 제품