Opção 5 da Lista de Solicitações de Parâmetro DHCP Usada para Exemplo de Configuração de Pontos Finais de Perfil

Opções de download

  • PDF     (1.0 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.0 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (719.8 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:3 de fevereiro de 2021
ID do documento:116235

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve o uso da opção de Lista de Solicitações de Parâmetro DHCP 55 como um método alternativo para os dispositivos de perfil que usam o Identity Services Engine (ISE).

    Prerequisites

    Requirements

    A Cisco recomenda que você:

    • Conhecimento básico do processo de descoberta de DHCP
    • Experiência com o uso do ISE para configurar regras personalizadas de criação de perfis

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • ISE versão 3.0
    • Windows 10

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

    Informações de Apoio

    Em implantações de ISE de produção, algumas das sondas de criação de perfis mais implantadas incluem RADIUS, HTTP e DHCP. Com o redirecionamento de URL no centro do fluxo de trabalho do ISE, a sonda HTTP é amplamente usada para capturar dados de endpoint importantes da cadeia User-Agent. No entanto, em alguns casos de uso de produção, não é desejado um redirecionamento de URL e o Dot1x é preferido, o que torna mais difícil o perfil preciso de um endpoint. Por exemplo, um PC de funcionário que se conecta a um SSID (Service Set Identifier, Identificador de Conjunto de Serviços) corporativo obtém acesso total enquanto seu iDevice pessoal (iPhone, iPad, iPod) obtém acesso somente à Internet. Em ambos os cenários, os usuários têm perfil e são mapeados dinamicamente para um grupo de identidade mais específico para correspondência de perfil de autorização que não depende do usuário para abrir um navegador da Web. Outra alternativa comumente usada é a correspondência de nome de host. Essa solução é imperfeita porque os usuários podem alterar o nome do host do endpoint para um valor fora do padrão.

    Em casos de canto como esses, a prova DHCP e a opção 55 de Lista de Solicitações de Parâmetro DHCP podem ser usadas como um método alternativo para criar o perfil desses dispositivos. O campo Parameter Request List no pacote DHCP pode ser usado para imprimir a impressão digital de um sistema operacional de endpoint, como um IPS (Intrusion Prevention System, sistema de prevenção de intrusão), que usa uma assinatura para corresponder a um pacote. Quando o sistema operacional do ponto final envia um pacote de descoberta ou solicitação de DHCP no fio, o fabricante inclui uma lista numérica de opções de DHCP que pretende receber do servidor DHCP (roteador padrão, Servidor de Nome de Domínio (DNS), Servidor TFTP, etc.). A ordem pela qual o cliente DHCP solicita essas opções do servidor é bastante exclusiva e pode ser usada para imprimir a impressão digital de um sistema operacional de origem específico. O uso da opção Parameter Request List não é tão exato quanto a string HTTP User-Agent, no entanto, é muito mais controlado do que o uso de nomes de host e outros dados definidos estaticamente.

    Note: A opção DHCP Parameter Request List não é uma solução perfeita porque os dados que produz dependem do fornecedor e podem ser duplicados por vários tipos de dispositivos.

    Antes de configurar as regras de perfil do ISE, use as capturas do Wireshark de um endpoint/Switched Port Analyzer (SPAN) ou as capturas de despejo do Transmission Control Protocol (TCP) no ISE para avaliar as opções da Lista de Solicitações de Parâmetro no pacote DHCP (se presente). Esta captura de exemplo exibe as opções de Lista de Solicitações de Parâmetro DHCP para um Windows 10.

    A string da Lista de Solicitações de Parâmetro que resulta é gravada no seguinte formato separado por vírgulas: 1, 3, 6, 15, 31, 33, 43, 44, 46, 47, 119, 121, 249, 252. Use este formato ao configurar condições de criação de perfil personalizadas no ISE.

    A seção de configuração demonstra o uso de condições de criação de perfil personalizadas para corresponder a estação de trabalho Windows 10 em uma estação de trabalho Windows10.

    Configurar

    1. Faça login na GUI do administrador do ISE e navegue para Política > Elementos de política > Condições > Criação de perfil. Clique em Adicionar para adicionar uma nova condição de criação de perfil personalizada. Neste exemplo, estamos usando as impressões digitais da Lista de Solicitações de Parâmetro do Windows 10. Consulte o Fingerbank.org para obter uma lista completa dos valores da Lista de Solicitações de Parâmetro. 

      Note: A caixa de texto Valor do atributo pode não exibir todas as opções numéricas e talvez seja necessário rolar com o mouse ou o teclado para exibir a lista completa.



    2. Com as condições personalizadas definidas, navegue para Política > Criação de perfil > Políticas de criação de perfil para modificar uma política de criação de perfil atual ou para configurar uma nova. Neste exemplo, as políticas padrão de Estação de Trabalho, Microsoft-Workstation, Windows10-Workstation são editadas para incluir as novas condições de Lista de Solicitações de Parâmetro. Adicione uma nova condição composta à regra de política de perfil Workstation, Microsoft-Workstation, Windows10-Workstation como mostrado abaixo. Modifique o fator de certeza conforme necessário para alcançar o resultado de criação de perfil desejado.

    Note: Use a Command Lookup Tool ( somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

    Verificar

    Passo 1- 

    Navegue até ISE > Operations > Live Logs . A 1ª autenticação corresponde à Política de autorização desconhecida e o acesso limitado é fornecido ao ISE . Depois que o dispositivo tem o perfil , o ISE dispara CoA e outra solicitação de autenticação é recebida no ISE e corresponde ao novo perfil - Windows10 Workstation .

    Passo 2- 

    Use esta seção para confirmar se a sua configuração funciona corretamente.

    • Navegue até Context Visibility > Endpoints, pesquise no endpoint e clique em edit.
    • Confirme se EndPointPolicy é Window10-Workstation e se os valores dhcp-parameter-request-list correspondem aos valores de condição configurados anteriormente.

    Troubleshoot

    Esta seção fornece as informações que você pode usar para solucionar problemas de sua configuração.

    • Verifique se os pacotes DHCP chegaram aos nós de política do ISE que executam a função de criação de perfil (com endereço auxiliar ou SPAN).
    • Use a ferramenta Operations > Troubleshoot > Diagnostic Tools > General Tools > TCP Dump? para executar nativamente capturas de despejo de TCP da GUI de administrador do ISE.

    • Ative abaixo as depurações no nó PSN do ISE - 

      -nsf

      -nsf-session

      -Diretório de sessão leve

      -profiler

      -runtime-AAA

    • Profiler.log , prrt-server.log e lsd.log mostram informações relevantes.
    • Consulte o banco de dados de impressão digital DHCP Fingerbank.org para obter uma lista atual de opções de Lista de Solicitações de Parâmetro. 
    • Certifique-se de que os valores corretos da Lista de Solicitações de Parâmetro estejam configurados nas condições de criação de perfil do ISE. Algumas das strings mais usadas incluem:
      tipo de dispositivo Valor da Lista de Solicitações do Parâmetro
      Windows XP
      1,15,3,6,44,46,47,31,33,249,43
      1,15,3,6,44,46,47,31,33,249,43,252
      1,15,3,6,44,46,47,31,33,249,43,252,12
      15,3,6,44,46,47,31,33,249,43
      15,3,6,44,46,47,31,33,249,43,252
      15,3,6,44,46,47,31,33,249,43,252,12
      28,2,3,15,6,12,44,47
      Windows Vista/7 ou Server 2008
      1,15,3,6,44,46,47,31,33,121,249,43
      1,15,3,6,44,46,47,31,33,121,249,43,0,32,176,67
      1,15,3,6,44,46,47,31,33,121,249,43,0,176,67
      1,15,3,6,44,46,47,31,33,121,249,43,252
      1,15,3,6,44,46,47,31,33,121,249,43,195
      Windows 8 1,15,3,6,44,46,47,31,33,121,249,252,43
      Mac OS X 1,3,6,15,112,113,78,79,95
      1,3,6,15,112,113,78,79,95,252
      3,6,15,112,113,78,79,95,252
      3,6,15,112,113,78,79,95
      3,6,15,112,113,78,79,95,44,47
      1,3,6,15,112,113,78,79,95,44,47
      1,3,6,15,112,113,78,79
      1,3,6,15,119,95,252,44,46,101
      1,3,6,15,119,112,113,78,79,95,252
      3,6,15,112,113,78,79,95,252,44,47
      1,3,6,15,112,113,78,79,95,252,44,47
      1,3,12,6,15,112,113,78,79
      60,43
      43,60
      1,3,6,15,119,95,252,44,46,47
      1,3,6,15,119,95,252,44,46,47,101
      iPhone, iPad, iPod
      1,3,6,15,119,78,79,95,252
      1,3,6,15,119,252
      1,3,6,15,119,252,46,208,92
      1,3,6,15,119,252,67,52,13

    Note: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

    Análise de log

    ++Habilitar abaixo das depurações no nó PSN do ISE - 

    -nsf

    -nsf-session

    -Diretório de sessão leve

    -profiler

    -runtime-AAA

    ++Autenticação inicial 

    ++prrt-server.log 

    ++Solicitação de acesso recebida no nó do ISE 

    Radius,2020-12-29 06:35:19.377,DEBUG,0x7f1cdcbd2700,cntx=0001348461,sens=isee30-primary/30 97791910/625,CallingStationID=B4-96-91-26-EB-9F,RADIUS PACKET: Code=1(AccessRequest) Identifier=182 Length=285

    ++ISE corresponde ao perfil_desconhecido  

    AcsLogs,2020-12-29 06:35:19.473,DEBUG,0x7f1cdc7ce700,cntx=0001348476,sens=isee30-primary/3 97791910/625,CPMSessionID=0A6A270B00000018B44013AC,user=dot1xuser,CallingStationID=B4-96-91-26 EB-9F, AuthorizationPolicyMatchedRule=Unknown_Profile, EapTunnel=EAP-FAST, EapAuthentication=EAP-MSCHAPv2, UserType=User, CPMSessionID=0A6A270B0000018B44 013AC, EndPointMACAaddress=B4-96-91-26-EB-9F,

    ++ISE envia a aceitação de acesso com acesso limitado  

    Radius,2020-12-29 06:35:19.474,DEBUG,0x7f1cdc7ce700,cntx=0001348476,sens=isee30-primary/397 791910/625,CPMSessionID=0A6A270B0000018B44013AC,user=dot1xuser,CallingStationID=B4-96-91-26-EB-9F PACOTE RADIUS: Code=2(AccessAccept) Identifier=186 Length=331

    ++ISE recebeu a atualização de relatório com as informações de DHCP 

    Radius,2020-12-29 06:35:41,464,DEBUG,0x7f1cdcad1700,cntx=0001348601,sens=isee30-primary/397 791910/627,CPMSessionID=0A6A270B0000018B44013AC,CallingStationID=B4-96-91-26-EB-9F,PACOTE RADIUS: Code=4(AccountingRequest) Identifier=45 Length=381

         [1] Nome de usuário - valor: [dot1xuser]

         [87] NAS-Port-Id - valor: [GigabitEthernet1/0/13]

         [26] cisco-av-pair - valor: [dhcp-option=

         [26] cisco-av-pair - valor: [audit-session-id=0A6A270B0000018B44013AC]

    ++ISE Envia Resposta Contábil 

    Radius,2020-12-29 06:35:41.472,DEBUG,0x7f1cdc5cc700,cntx=0001348601,sens=isee30-primary/397 791910/627,CPMSessionID=0A6A270B0000018B44013AC,user=dot1xuser,CallingStationID=B4-96-91-26-EB-9F,PACOTE RADIUS: Código=5(AccountingResponse) Identificador=45 Comprimento=20,RADIUSHandler.cpp:2216

    ++Profiler.log 

    ++Depois que a Atualização de Contabilidade é recebida com a opção DHCP dhcp-parameter-request-list , o ISE começa a criar o perfil do dispositivo 

    2020-12-29 06:35:41.470 DEBUG [SyslogListenerThread][] cisco.profiler.probes.radius.SyslogDefragmenter -:::- parseHeader inBuffer=<181>Dec 29 06:35:41 isee30-primary CISE_RADIUS_Accounting 000000655 2 0 2020-12-29 06:35:41.467 +00:00 000 234376 3002 AVISO Radius-Contabilidade: Atualização de watchdog de contabilidade RADIUS, ConfigVersionId=99, Device IP Address=10.106.39.11, UserName=dot1xuser, RequestLatency=6, NetworkDeviceName=Sw, User-Name=dot1xuser, NAS-IP-Address=10.106 39.11, NAS-Port=50113, Classe=CACS:0A6A270B0000018B44013AC:isee30-primary/397791910/625, Call-Station-ID=A0-EC-F9-3C-82-0D, Calling-Station-ID=B4-96-91-26-EB-9F, Identificador NAS=Switch, Acct-Status-Type=Intercalar-Atualizar, Acct-Delay-Time=0, Acct-Input-Octets=174, Acct t-Output-Octets=0, Acct-Session-Id=000000b, Acct-Authentic=Remota, Acct-Input-Packets=1, Acct-Output-Packets=0, Event-Timestamp=1609341899, NAS-Port-Type=Ethernet, Porta-Id=GigabitEthernet1/0/13, cisco-av-pair=dhcp-option=dhcp-parameter-request-list=1\, 3\, 6\, 15\, 31\, 33\, 43\, 44\, 46\, 47\, 119\, 121\, 249\, 252, cisco-av-pair=audit-session-id=0A6A270B0000018B44013AC, cisco-av-pair=method=dot1x,

    2020-12-29 06:35:41.471 DEBUG [RADIUSParser-1-thread-2][] cisco.profiler.probes.radius.RadiusParser -:::- Sensor 1 do IOS analisado: dhcp-parameter-request-list=[1, 3, 6, 15, 31, 33, 43, 44, 46, 47, 119, 121, 249, 252]

    Atributo:cisco-av-pair value:dhcp-option=dhcp-parameter-request-list=1\, 3\, 6\, 15\, 31\, 33\, 43\, 44\, 46\, 47\, 119\, 121\, 249\, 252, audit-session-id=0A6A270B0000018B44013AC, method=dot1x

    Atributo:dhcp-parameter-request-list value:1, 3, 6, 15, 31, 33, 43, 44, 46, 47, 119, 121, 249, 252

    2020-12-29 06:35:41.479 DEBUG [RMQforwarder-4][] cisco.profiler.infrastructure.cache.AbstractEndpointCache -:B4:96:91:EB:9F:1241 3370-49a0-11eb-b713-1a99022ed3c5:ProfilerCollection:- Proprietário deste Mac: B4:96:91:26:EB:9F é isee30-primary.anshsinh.local

    2020-12-29 06:35:41.479 DEBUG [RMQforwarder-4][] cisco.profiler.infrastructure.probemgr.Forwarder -:B4:96:91:26:EB:9F:124133 70-49a0-11eb-b713-1a99022ed3c5:ProfilerCollection:- proprietário atual do ponto final B4:96:91:26:EB:9Fis isee30-primary.anshsinh.local e o código de mensagem é 300000 2

    2020-12-29 06:35:41.479 DEBUG [RMQforwarder-4][] cisco.profiler.infrastructure.probemgr.Forwarder -:B4:96:91:26:EB:9F:124133 70-49a0-11eb-b713-1a99022ed3c5:ProfilerCollection:- o raio de origem do endpoint é verdadeiro

    ++Novo atributo 

    2020-12-29 06:35:41.480 DEBUG [RMQforwarder-4][] cisco.profiler.infrastructure.probemgr.Forwarder -:B4:96:91:26:EB:9F:124133 70-49a0-11eb-b713-1a99022ed3c5:ProfilerCollection:- Novo atributo: dhcp-parameter-request-list

    2020-12-29 06:35:41.482 DEBUG [RMQforwarder-4][] cisco.profiler.infrastructure.probemgr.Forwarder -:B4:96:91:26:EB:9F:124133 70-49a0-11eb-b713-1a99022ed3c5:ProfilerCollection:- Conjunto de atributos modificados do ponto de extremidade:

    2020-12-29 06:35:41.482 DEBUG [RMQforwarder-4][] cisco.profiler.infrastructure.probemgr.Forwarder -:B4:96:91:26:EB:9F:124133 70-49a0-11eb-b713-1a99022ed3c5:ProfilerCollection:- dhcp-parameter-request-list,

    ++Diferentes regras correspondem a diferentes fatores de certeza 

    2020-12-29 06:35:41.484 DEBUG [RMQforwarding-4][] cisco.profiler.infrastructure.profile.ProfilerManager -:B4:96:91:26:EB:9F:124133 70-49a0-11eb-b713-1a99022ed3c5:Criação de perfil:- Política Intel-Dispositivo combinada B4:96:91:26:EB:9F (certeza 5)

    2020-12-29 06:35:41.485 DEBUG [RMQforwarding-4][] cisco.profiler.infrastructure.profile.ProfilerManager -:B4:96:91:26:EB:9F:124133 70-49a0-11eb-b713-1a99022ed3c5:Criação de perfil:- Estação de trabalho de política combinada B4:96:91:26:EB:9F (certeza 10)

    2020-12-29 06:35:41.486 DEBUG [RMQforwarding-4][] cisco.profiler.infrastructure.profile.ProfilerManager -:B4:96:91:26:EB:9F:124133 70-49a0-11eb-b713-1a99022ed3c5:Criação de perfil:- Política Microsoft-Workstation combinada B4:96:91:26:EB:9F (certeza 10)

    2020-12-29 06:35:41.487 DEBUG [RMQforwarding-4][] cisco.profiler.infrastructure.profile.ProfilerManager -:B4:96:91:26:EB:9F:124133 70-49a0-11eb-b713-1a99022ed3c5:Criação de perfil:- Política Windows10-Estação de trabalho combinada B4:96:91:26:EB:9F (certeza 20)

    ++Windows10-Workstation tem o maior fator de certeza de 40 baseado na configuração e, portanto, ele escolhe como o Perfil de endpoint para o dispositivo 

    2020-12-29 06:35:41.487 DEBUG [RMQforwarding-4][] cisco.profiler.infrastructure.profile.ProfilerManager -:B4:96:91:26:EB:9F:124133 70-49a0-11eb-b713-1a99022ed3c5:Criação de perfil:- Após analisar a hierarquia de políticas: Endpoint: B4:96:91:26:EB:9F EndpointPolicy:Windows10-Workstation para:40 ExceptionRuleMatched:false

    2020-12-29 06:35:41.487 DEBUG [RMQforwarding-4][] cisco.profiler.infrastructure.profile.ProfilerManager -:B4:96:91:26:EB:9F:124133 70-49a0-11eb-b713-1a99022ed3c5:Criação de perfil:- Ponto de extremidade B4:96:91:26:EB:9F Política correspondente alterada.

    2020-12-29 06:35:41.489 DEBUG [RMQforwarding-4][] cisco.profiler.infrastructure.profile.ProfilerManager -:B4:96:91:26:EB:9F:124133 70-49a0-11eb-b713-1a99022ed3c5:Criação de perfil:- Ponto de extremidade B4:96:91:26:EB:9F Grupo de identidade alterado.

    2020-12-29 06:35:41.489 DEBUG [RMQforwarding-4][] cisco.profiler.infrastructure.profile.ProfilerManager -:B4:96:91:26:EB:9F:124133 70-49a0-11eb-b713-1a99022ed3c5:Criação de perfil:- Definindo a ID do grupo de identidade no endpoint B4:96:91:26:EB:9F - 3b76f840-8c00-11e6 - 996c-525400b48521

    2020-12-29 06:35:41.489 DEBUG [RMQforwarding-4][] cisco.profiler.infrastructure.profile.ProfilerManager -:B4:96:91:26:EB:9F:124133 70-49a0-11eb-b713-1a99022ed3c5:Criação de perfil:- Cache de ponto final de chamada com ponto final com perfil B4:96:91:26:EB:9F, política Windows10-Workstation, política correspondente Windows10-Workstation

    2020-12-29 06:35:41.489 DEBUG [RMQforwarding-4][] cisco.profiler.infrastructure.profile.ProfilerManager -:B4:96:91:26:EB:9F:124133 70-49a0-11eb-b713-1a99022ed3c5:Criação de perfil:- Enviando evento para persistir ponto final B4:96:91:26:EB:9F e código de mensagem ep = 3002

    2020-12-29 06:35:41.489 DEBUG [RMQforwarding-4][] cisco.profiler.infrastructure.profile.ProfilerManager -:B4:96:91:26:EB:9F:124133 70-49a0-11eb-b713-1a99022ed3c5:Perfil:- Ponto de Extremidade B4:96:91:26:EB:9F IdentityGroup / Logical Profile Alterado. Emissão de um CoA condicional

    2020-12-29 06:35:41.489 DEBUG [RMQforwarding-4][] cisco.profiler.infrastructure.profile.ProfilerManager -:B4:96:91:26:EB:9F:124133 70-49a0-11eb-b713-1a99022ed3c5:Criação de perfil:- CoAEsdecondicionalCom detalhes do endpoint: EndPoint[id=ff19ca00-499f-11eb-b713-1a99022ed3c5,name=<null>]

    MAC: B4:96:91:26:EB:9F

    Atributo:Calling-Station-ID value:B4-96-91-26-EB-9F

    Atributo:EndPointMACAddress value:B4-96-91-26-EB-9F

    Atributo:Valor do endereço MAC:B4:96:91:26:EB:9F

    ++Envio de dados para o Diretório da Sessão Lightweight  

    2020-12-29 06:35:41.489 DEBUG [RMQforwarder-4][] cisco.profiler.infrastructure.probemgr.LSDForwarderHelper -::- Endpoint.B4:96:91:2 6:EB:9F compatível com Windows10-Workstation

    2020-12-29 06:35:41.489 DEBUG [RMQforwarder-4][] cisco.profiler.infrastructure.probemgr.LSDForwarderHelper -:::- Enviando evento para ponto final persistente ao adicionar LSD para encaminhador,default adius,padrão B4:96:91:26:EB:9F

    ++CoA global está selecionada como Reauth

    2020-12-29 06:35:41.489 DEBUG [CoAHandler-52-thread-1][] cisco.profiler.infrastructure.profile.CoAHandler -:B4:96:91:EB:9F:9fe 38b30-43ea-11eb-b713-1a99022ed3c5:ProfilerCoA:- Tipo de comando CoA global configurado = Reauth

    2020-12-29 06:35:41.490 DEBUG [RMQforwarder-4][] cisco.profiler.infrastructure.cache.AbstractEndpointCache -:B4:96:91:EB:9F:1241 3370-49a0-11eb-b713-1a99022ed3c5::- Atualização do ponto final - EP de entrada: B4:96:91:26:EB:9FepFonte: RADIUS ProbeSGA: falseSG: Estação de trabalho

    2020-12-29 06:35:41.490 DEBUG [RMQforwarder-4][] cisco.profiler.infrastructure.cache.AbstractEndpointCache -:B4:96:91:EB:9F:1241 3370-49a0-11eb-b713-1a99022ed3c5::- Atualizando o ponto final - EP após a mesclagem: B4:96:91:26:EB:9FepFonte: RADIUS ProbeSGA: falseSG:Windows10-Workstation

    ++ISE corresponde à política para verificar se precisa enviar CoA . O ISE acionará o CoA somente se tiver qualquer política que corresponda à alteração de perfil  

    2020-12-29 06:35:41.701 DEBUG [CoAHandler-52-thread-1][] cisco.profiler.infrastructure.profile.CoAHandler -:B4:96:91:EB:9F:9fe 38b30-43ea-11eb-b713-1a99022ed3c5:ProfilerCoA:- Processa toda a política disponível no switch do conjunto de políticas de exceção local, status da política=ENABLED

    2020-12-29 06:35:41.701 DEBUG [CoAHandler-52-thread-1][] cisco.profiler.infrastructure.profile.CoAHandler -:B4:96:91:EB:9F:9fe 38b30-43ea-11eb-b713-1a99022ed3c5:ProfilerCoA:- Nome da política : Status da política do switch: HABILITADO

    2020-12-29 06:35:41.702 DEBUG [CoAHandler-52-thread-1][] cisco.profiler.infrastructure.profile.CoAHandler -:B4:96:91:EB:9F:9fe 38b30-43ea-11eb-b713-1a99022ed3c5:ProfilerCoA:- lhsvalue name 6d954800-8bff-11e6-996c-5254 operandoID 42706690-8c00-11e6-996c-525400b48521 rhsvalorename Workstation:Microsoft-Workstation:Windows10-Workstation

    2020-12-29 06:35:41.933 DEBUG [CoAHandler-52-thread-1][] com.cisco.profiler.api.Util -:B4:96:91:EB:9F:9fe38b 30-43ea-11eb-b713-1a99022ed3c5:ProfilerCoA:- Condição especificada DISPONÍVEL na Política de Autorização

    2020-12-29 06:35:41.933 DEBUG [CoAHandler-52-thread-1][] com.cisco.profiler.api.Util -:B4:96:91:EB:9F:9fe38b 30-43ea-11eb-b713-1a99022ed3c5:ProfilerCoA:- Política de autorização com política : 42706690-8c00-11e6-996c-525400b48521

    ++A política de autorização corresponde a essa condição e o CoA é acionado 

    2020-12-29 06:35:41.935 DEBUG [CoAHandler-52-thread-1][] cisco.profiler.infrastructure.profile.CoAHandler -:B4:96:91:EB:9F:9fe 38b30-43ea-11eb-b713-1a99022ed3c5:ProfilerCoA:- applyCoa: Descritor criado com base nos atributos RADIUS de endpoint:

    MAC: [B4:96:91:26:EB:9F]

    ID da sessão: [0A6A270B00000018B44013AC]

    Servidor AAA: [ISE30-primary] IP: [10.106.32.119 ]

    Interface AAA: [10.106.32.119 ]

    Endereço IP NAD: [10.106.39.11 ]

    ID da porta NAS: [GigabitEthernet1/0/13]

    Tipo de porta NAS: [Ethernet]

    Tipo de serviço: [Quadro]

    Sem fio: [falso]

    É VPN: [falso]

    É MAB: [falso]

    2020-12-29 06:35:41.938 DEBUG [CoAHandler-52-thread-1][] cisco.profiler.infrastructure.profile.CoAHandler -:B4:96:91:EB:9F:9fe 38b30-43ea-11eb-b713-1a99022ed3c5:ProfilerCoA:- Prestes a ligar para o CoA e IP: 10.106.39.11 para endpoint: Comando CoA B4:96:91:26:EB:9F: Reauth

    2020-12-29 06:35:41.938 DEBUG [CoAHandler-52-thread-1][] cisco.profiler.infrastructure.profile.CoAHandler -:B4:96:91:EB:9F:9fe 38b30-43ea-11eb-b713-1a99022ed3c5:ProfilerCoA:- Aplicação de CoA-REAUTH pelo servidor AAA: 10.106.32.119 via Interface: 10.106.32.119 ao NAD: 10.106.39.11

    2020-12-29 06:35:41.949 DEBUG [SyslogListenerThread][] cisco.profiler.probes.radius.SyslogDefragmenter -::- parseHeader inBuffer=<181>Dez 290 6:35:41 isee30-primary CISE_Passed_Authentications 000000656 2 1 StepData=2=( porta = 1700 \, tipo = Cisco CoA ), CoASourceComponent=Profiler, CoAReason=Alteração no grupo de identidade de ponto final /policy/logical profile que são usados em políticas de autorização, CoAType=Reauthentication - last, Network Device Profile=Cisco,

    ++prrt-server.log 

    AcsLogs,2020-12-29 06:35:41.938,DEBUG,0x7f1c6ffcb700,cntx=0001348611,Log_Message=[2020 12-29 06:35:41.938 +00:00 000234379 80006 INFORMAÇÕES Perfil: O Profiler está acionando a Alteração da Solicitação de Autorização, ConfigVersionId=99, EndpointCoA=Reauth, EndpointMacAddress=B4:96:91:26:EB:9F, EndpointNADAddress=10.106.39.11, EndpointPolicy=Windows10-Workstation, EndpointProperty=Service-Type=Framed\,MessageCode=3002\,EndPointPolicyID=42706690-8c00-11e6-996c-525400b 48521\,UseCase=\,NAS-Port-Id=GigabitEthernet1/0/13\,NAS-Port-Type=Ethernet\,Response=\{User-Name=dot1xuser\;

    DynamicAuthorizationFlow,2020-12-29 06:35:41,939,DEBUG,0x7f1cdc3ca700,cntx=0001348614,[DynamicAuthorization Fluxo::onLocalHttpEvent] Comando CoA recebido:

    <Reauthenticate id="39c74088-52fd-430f-95d9-a8fe78eaa1f1" type="last">

      <session serverAddress="10.106.39.11">

        <identifierAttribute name="UseInterface">10.106.32.119</identifierAttribute>

        <identifierAttribute name="Calling-Station-ID">B4:96:91:26:EB:9F</identifierAttribute>

        <identifierAttribute name="NAS-Port-Id">GigabitEthernet1/0/13</identifierAttribute>

        <identifierAttribute name="cisco-av-pair">audit-session-id=0A6A270B0000018B44013AC</identifierAttribute>

        <identifierAttribute name="ACS-Instance">COA-IP-TARGET:10.106.32.119</identifierAttribute>

      </session>

    </Reautenticar>

    ++CoA enviado -

    RadiusClient,2020-12-29 06:35:41,943,DEBUG,0x7f1ccb3f3700,cntx=0001348614,sns=39c740 88-52fd-430f-95d9-a8fe78eaa1f1,CallingStationID=B4:96:91:26:EB:9F, PACOTE RADIUS: Código=43 (CoARequest) Identificador=27 Comprimento=225

         [4] NAS-IP-Address - valor: [10.106.39.11 ]

         [31] Calling-Station-ID - valor: [B4:96:91:26:EB:9F] 

         [87] NAS-Port-Id - valor: [GigabitEthernet1/0/13]

         [26] cisco-av-pair - valor: [assinante:comando=reautenticar]

         [26] cisco-av-pair - valor: [audit-session-id=0A6A270B0000018B44013AC]

    RadiusClient,2020-12-29 06:35:41,947,DEBUG,0x7f1cdcad1700,cntx=0001348614,sns=39c7408 8-52fd-430f-95d9-a8fe78eaa1f1,CallingStationID=B4:96:91:26:EB:9F, PACOTE RADIUS: Code=44 (CoAACK) Identificador=27

    ++Nova solicitação de acesso 

    Radius,2020-12-29 06:35:41.970,DEBUG,0x7f1cdc6cd700,cntx=0001348621,sens=isee30-primary/397 791910/628,CallingStationID=B4-96-91-26-EB-9F,PACOTE RADIUS: Code=1(AccessRequest) Identifier=187 Length=285

    ++ISE corresponde ao novo perfil de autorização correspondente à Política de endpoint do dispositivo de endpoint 

    AcsLogs,2020-12-29 06:35:42.060,DEBUG,0x7f1cdcad1700,cntx=0001348636,sens=isee30-primary 397791910/628,CPMSessionID=0A6A270B00000018B44013AC,user=dot1xuser,CallingStationID=B4-96-91-26 -EB-9FIdentityPolicyMatchedRule=Padrão, AuthorizationPolicyMatchedRule=Microsoft_workstation, EapTunnel=EAP-FAST, EapAuthentication=EAP-MSCHAPv2, UserType=User, CPMSessionID=0A6A270B0000 108B44013AC, EndPointMACAddress=B4-96-91-26-EB-9F, PostureAssessmentStatus=Não Aplicável, EndPointMatchedProfile=Windows10-Workstation,

    ++Aceitação de acesso enviada -

    Radius,2020-12-29 06:35:42,061,DEBUG,0x7f1cdcad1700,cntx=0001348636,sens=isee30-primary/397 791910/628,CPMSessionID=0A6A270B0000018B44013AC,user=dot1xuser,CallingStationID=B4-96-91-26-EB-9F,PACOTE RADIUS: Code=2(AccessAccept) Identifier=191 Length=340

    Informações Relacionadas

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Harisha Guna
      Cisco TAC Engineer
    • Pankaj Kumar
      Cisco TAC Engineer
    • Anshu Sinha
      Cisco TAC Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos