伊势 剖析 Deep-Dive

在这篇文章中,我将发布有关ISE设备配置文件的深入研究笔记,以及每个探针的功能以及期望从属性中获取什么类型的信息。

CDP

从交换机看到的CDP条目示例

CDP TLV说明:

  • 地址 -包含设备网络层地址的列表。如果设备使用简单网络管理协议(SNMP),则第一个地址是设备接收SNMP消息的地址。设备可以通告其所有地址,也可以选择通告一个或多个环回IP地址。

  • 能力 -标识设备类型。设备类型指示设备的功能能力,例如交换机。

  • 设备编号 -设备名称

  • 平台 -描述设备的硬件平台。

  • -包含有关设备正在运行的软件映像版本的信息。

在交换机上启用CDP

cdp run
!
interface g1/0/1
cdp enable


适用于CDP的iOS设备传感器

device-sensor filter-list cdp list TLV-CDP
tlv name device-name
tlv name address-type
tlv name capabilities-type
tlv name version-type
tlv name platform-type
device-sensor filter-spec cdp include list TLV-CDP
device-sensor accounting
device-sensor notify all-changes


伊势的示例:

cdpCacheAddress:254.128.0.0.0.0.0.0.178.170.119.255.254.151.119.92

cdpCacheCapabilities:T; B; I

cdpCacheDeviceId AP1

cdpCachePlatform:思科AIR-AP3702I-UXK9

cdpCacheVersion: Cisco IOS Software, C3700 Software (AP3G2-K9W8-M), 版 15.3(3)JA12, RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2017 by Cisco 系统s, Inc. Compiled Fri 20-Oct-17 20:51 by prod_rel_team


cdpCacheAddress:10.1.30.101

cdpCacheCapabilities:R; T; B; I

cdpCacheDeviceId:AP1

cdpCachePlatform:思科AIR-CAP3602I-A-K9

cdpCacheVersion: Cisco IOS Software, C3600 Software (AP3G2-K9W8-M), 版 15.3(3)JD17, RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2019 by Cisco 系统s, Inc. Compiled Fri 12-Apr-19 03:21 by prod_rel_team


cdpCacheAddress:10.1.100.109

cdpCacheCapabilities:H; P; M

cdpCacheDeviceId:SEP001A2F69DBEE

cdpCachePlatform:思科IP电话7961

cdpCacheVersion:SCCP41.9-4-2SR1-1S

cdpUndefined28:00:02:00



低密度聚乙烯

从交换机看到的LLDP条目示例

一个重要的注意事项:在大多数Cisco交换机上,LLDP默认情况下处于关闭状态。使用启用全局启用 lldp运行 命令,然后在接口上使用 lldp接收 lldp传送 命令。与CDP不同,LLDP是一种开放标准,许多IoT设备都使用它,因此我建议在您的交换机上启用它。

低密度聚乙烯 TLV说明:

  • 能力 -端点确定所连接设备支持的功能类型以及启用的功能。 

  • 机箱编号 -机箱ID是强制性TLV,用于标识机箱组件

  • 与正在发送的LLDP代理程序关联的端点标识符。通常我会看到此字段由MAC地址或IP地址填充

  • 住址 -管理地址是强制性TLV,用于标识与本地LLDP代理相关的网络地址,该地址可用于到达端口ID TLV中标识的端口上的代理。

  • 端口说明 -以字母数字格式提供端口ID的描述。该值等于ifDescr对象

  • 端口号 -端口ID是强制性TLV,用于标识与传输LLDP代理程序关联的端点标识符的端口组件。

  • 系统 能力 -指示设备的主要功能以及是否在设备中启用了这些功能。功能由两个八进制表示。位0到7分别指示其他,中继器,网桥,WLAN AP,路由器,电话,DOCSIS电缆设备和站。位8至15保留。

  • 系统 Description -以字母数字格式提供网络实体的描述。这包括系统名称以及设备支持的硬件,操作系统和网络软件的版本。如果LAN设备支持RFC 3418,则该值等于sysDescr对象。

  • 系统 Name -以字母数字格式提供系统的分配名称。该值等于sysName对象

  • 生存时间 -表示将LLDPDU中收到的LAN设备的信息视为有效信息的时间(以秒为单位)。

在交换机上启用LLDP

lldp运行
!
interface g1/1/1
lldp接收
lldp传送


适用于LLDP的IOS设备传感器

device-sensor filter-list lldp list TLV-LLDP
 tlv name port-id
 tlv name time-to-live
 tlv name port-description
 tlv name system-name
 tlv name system-description
 tlv name system-capabilities
 tlv name management-address
tlv name chassis-id
tlv name time-to-live
device-sensor filter-spec lldp include list TLV-LLDP
device-sensor accounting
device-sensor notify all-changes


伊势的示例:

lldpCacheCapabilities:B

lldpCapabilitiesMapSupported:B

lldpChassisId:04:b0:aa:77:b9:34:90

lldpPort说明:GigabitEthernet0

lldpPortId:05:47:69:30

lldpSystemName:AP1


lldpCacheCapabilities:B

lldpCapabilitiesMapSupported:B

lldpChassisId:04:54:78:1a:65:ca:60

lldpManAddress:05:01:0a:01:1e:65:03:00:00:00:00:00

lldpPort说明:GigabitEthernet0

lldpPortId:05:47:69:30

lldpSystemName:AP1.securitydemo.net


lldpCacheCapabilities:B; T

lldpCapabilitiesMapSupported:B; T

lldpChassisId:05:01:00:00:00:00

lldpPort说明:SW端口

lldpPortId:07:30:30:31:41:32:46:36:39:44:42:45:45:3a:50:31

lldpSystem说明:Cisco IP电话7961G,V1,SCCP41.9-4-2SR1-1S

lldpSystemName:SEP001A2F69DBEE


DHCP服务器

DHCP服务器选项说明:

  • 启动文件 –选项67-引导文件名-当DHCP标头中的“文件”字段已用于DHCP选项时,此选项用于标识引导文件。

  • 类标识符 –选项60-DHCP客户端使用此选项来有选择地标识DHCP客户端的类型和配置。 该信息是由服务器解释的n个八位字节的字符串。 供应商和站点可以选择定义特定的类标识符,以传达有关客户端的特定配置或其他标识信息。 例如,标识符可以编码客户端的硬件配置。 没有能力解释客户端发送的类特定信息的服务器必须忽略它(尽管可能会报告)。

  • 客户端 –选项81 –要更新IP地址到FQDN的映射,DHCP服务器需要知道服务器将其租用地址的客户端的FQDN。 为了允许客户端将其FQDN传送到服务器,本文档定义了一个新的DHCP选项,称为“客户端FQDN”。 客户端FQDN选项还包含标志(DHCP服务器可以使用该标志向客户端传达有关DNS更新的信息)和两个不推荐使用的RCODE。客户端可以在其DHCPDISCOVER和DHCPREQUEST消息中发送客户端FQDN选项,并设置适当的标志值。 如果客户端在其DHCPDISCOVER消息中发送了Client FQDN选项,则尽管选项的内容可以更改,它也必须在后续的DHCPREQUEST消息中发送该选项。

  • 客户标识符 –选项61-DHCP客户端使用此选项来指定其唯一标识符。 DHCP服务器使用此值为其​​地址绑定数据库建立索引。 对于管理域中的所有客户端,此值均应是唯一的。预计该字段通常将包含硬件类型和硬件地址,但这不是必需的。 硬件类型的当前合法值在 //tools.ietf.org/html/rfc1340

  • 域名 –选项15-此选项指定客户端通过域名系统解析主机名时应使用的域名。

  • 主机名 –选项12 –客户端的主机名–使用RFC 1035字符集

  • 参数请求列表 –选项55-DHCP客户端使用此选项来请求指定配置参数的值。 请求的参数列表指定为n个八位位组,其中每个八位位组都是本文档中定义的有效DHCP选项代码。客户端可以按优先顺序列出选项。 不需要DHCP服务器按请求的顺序返回选项,但必须尝试按客户端请求的顺序插入请求的选项。

  • pxe-client-arch –选项93-八位字节“ n”给出包含“体系结构类型”(不包括代码和len字段)的八位字节数。 它必须是大于零的偶数。 支持多种架构类型的客户端可以在其初始DHCP和PXE引导服务器数据包中包括这些类型的列表。 在客户端和服务器之间的任何分组交换中,可以减少支持的体系结构类型的列表。八位字节“ n1”和“ n2”编码一个16位体系结构类型标识符,该标识符描述了客户端计算机的预引导运行时环境。

  • pxe-client-machine-id –选项97-字节“ t​​”描述了此选项中其余字节中机器标识符的类型。 0(零)是唯一定义的值  目前针对该八位位组的数据,并将其余八位位组描述为16个八位位组的全局唯一标识符(GUID)。 类型0的八位位组“ n”为17。 

  • pxe-client-network-id –选项94-八位位组“ t”对网络接口类型进行编码。 目前,对于通用网络设备接口(UNDI),唯一支持的值为1。字节“ M”和“ m”描述接口版本。 为了对UNDI修订版2.11进行编码,将“ M”设置为2,将“ m”设置为11(0x0B)。

  • 请求地址 –选项50 –此选项在客户端请求(DHCPDISCOVER)中使用,以允许客户端请求分配特定的IP地址

  • 服务器标识符 –选项54-此选项用于DHCPOFFER和DHCPREQUEST消息,并且可以选择包括在DHCPACK和DHCPNAK消息中。 DHCP服务器在DHCPOFFER中包含此选项,以允许客户端区分租约。 DHCP客户端通过在DHCPREQUEST消息中包含此选项来指示接受了几个租约中的哪个。标识符是所选服务器的IP地址。

  • 用户类别编号 –选项77 – DHCP服务器管理员可以定义特定的用户类别标识符,以传达有关客户端软件配置或其客户端首选项的信息。 例如,可以使用“用户类别”选项为会计部门中的所有客户配置与市场部门中的客户不同的打印机。

  • 供应商级 –选项60 – DHCP服务器客户端可以使用此选项来明确标识制造该客户端所运行的硬件,使用的软件或该卖方所属的行业联盟的卖方。 此选项的按供应商数据区域中包含的信息包含在一个或多个不透明字段中,这些字段可以标识硬件配置的详细信息。

用于DHCP的IOS设备传感器

device-sensor filter-list dhcp list dhcp-list
option name 启动文件        
option name 类标识符                                          
option name 客户端                              
option name 客户标识符                        
option name 域名                              
option name 主机名                                
option name 参数请求列表                   
option name pxe-client-arch                          
option name pxe-client-machine-id                     
option name pxe-client-network-id                    
option name 请求地址                        
option name 服务器标识符                        
option name 用户类别编号                            
option name v-i-vendor-class        
device-sensor filter-spec dhcp  include list dhcp-list
device-sensor accounting
device-sensor notify all-changes


DHCP服务器帮助程序,而不是IOS设备传感器

interface vlan 100
ip helper-address 10.1.100.21


伊势的示例:

dhcp-class-identifier:Cisco AP c3600

dhcp-client-identifier:01:6c:20:56:52:7e:b6

dhcp-参数请求列表:1,6,15,15,44,3,7,33,150,43

 

dhcp-class-identifier:Cisco AP c3600

dhcp-client-identifier:01:6c:20:56:52:7e:b6

dhcp-参数请求列表:1,6,15,15,44,3,7,33,150,43

 

dhcp-class-identifier:思科系统公司IP电话CP-7961G

dhcp-client-identifier:01:00:1a:2f:69:db:ee

dhcp-message-type:DHCPREQUEST

dhcp-参数请求列表:1,66,6,3,15,150,35

dhcp请求的地址:10.1.100.109


SNMP协议

SNMP协议陷阱将链接/链接断开通知ISE,这使ISE知道它应该运行SNMP查询。但是,如果配置了RADIUS,则可能不需要SNMP陷阱,因为RADIUS会话也会触发SNMP查询。

伊势探查器中可用于SNMP的选项:

  • cafSessionAuthorizedBy - CISCO-AUTH-FRAMEWORK-MIB模块的一部分 -指示授权身份验证会话的功能的名称。

  • cafSessionAuthUserName - CISCO-AUTH-FRAMEWORK-MIB模块的一部分 -指示身份验证会话的已身份验证用户的名称。

  • cafSessionAuthVlan - CISCO-AUTH-FRAMEWORK-MIB模块的一部分 -指示应用于验证会话的授权VLAN。零值表示尚未应用授权的VLAN,或者不适用。

  • cafSessionClientMacAddress - CISCO-AUTH-FRAMEWORK-MIB模块的一部分 -表示与认证会话关联的设备的MAC地址。

  • cafSessionDomain - CISCO-AUTH-FRAMEWORK-MIB模块的一部分 -指示身份验证会话所属的域的类型。其他:以下都不是。 data:数据域。 voice:语音域。 1个其他,2个数据,3个语音

  • cafSessionStatus - CISCO-AUTH-FRAMEWORK-MIB模块的一部分 -指示身份验证会话的当前状态。 1个空闲,2个运行,3个无方法,4个身份验证成功,5个身份验证失败,6个授权成功,7个授权失败

  • cLApIfMacAddress - CISCO-LWAPP-AP-MIB模块的一部分 -该对象代表AP的以太网MAC地址。

  • 名称 - CISCO-LWAPP-AP-MIB模块的一部分 -该对象代表用户分配给AP的管理名称。如果未配置AP,则其出厂默认名称将为ap:例如。 ap:af:12:be。

  • 名称ServerAddress - CISCO-LWAPP-AP-MIB模块的一部分 -这表示名称服务器的IP地址。仅当在AP中打开了静态IP选项时,才能配置此属性。

  • 类型 - CISCO-LWAPP-AP-MIB模块的一部分 -这表示名称服务器IP地址的类型,可通过cLApNameServerAddress使用。

  • cLApSshEnable - CISCO-LWAPP-AP-MIB模块的一部分 -该对象指定是否可以与AP建立SSH会话。

  • cLApSysMacAddress - CISCO-LWAPP-AP-MIB模块的一部分 -该对象表示AP的dot11接口共有的无线电MAC地址,并唯一标识此表中的条目。

  • cLApTelnetEnable - CISCO-LWAPP-AP-MIB模块的一部分 -该对象指定是否可以与AP建立Telnet会话。

  • cLApTertiaryControllerAddress - CISCO-LWAPP-AP-MIB模块的一部分 -该对象表示AP将加入的第三级控制器的地址。

  • cLApTertiaryControllerAddressType - CISCO-LWAPP-AP-MIB模块的一部分 -此对象表示可通过cLApTertiaryControllerAddress获得的第三级控制器地址的类型。

  • cLApUpTime - CISCO-LWAPP-AP-MIB模块的一部分 -此对象表示自上次AP重新启动以来的时间,以百分之一秒为单位。

  • cLApWipsEnable - CISCO-LWAPP-AP-MIB模块的一部分 -此对象代表是否将此AP用作WIPS AP。值为“ true”表示此AP是WIPS AP。值为“ false”表示此AP不是WIPS AP。仅当 AP处于本地或监控模式。

  • cldcAssociationMode - CISCO-LWAPP-DOT11-CLIENT-MIB模块的一部分 -发生密钥解密错误的关联模式。

  • cldcClientAccessVLAN - CISCO-AUTH-FRAMEWORK-MIB模块的一部分 -此对象指定客户端的访问VLAN。

  • cldcClientIPAddress - CISCO-LWAPP-DOT11-CLIENT-MIB模块的一部分 -该对象指定了客户端的IP地址。

  • cldcClientStatus - CISCO-LWAPP-DOT11-CLIENT-MIB模块的一部分 -代表客户端当前状态的对象。

  • dot1xAuthAuthControlledPortControl - IEEE8021-PAE-MIB模块的一部分 -端口的受控端口控制参数的当前值。

  • dot1xAuthAuthControlledPortStatus - IEEE8021-PAE-MIB模块的一部分 -  端口的受控端口状态参数的当前值。

  • dot1xAuthSessionUserName - IEEE8021-PAE-MIB模块的一部分 -IEEE8021-PAE-MIB模块的一部分-代表请求方PAE身份的用户名。

  • hrDeviceDescr - HOST-RESOURCES-MIB模块的一部分 -此设备的文字描述,包括设备的制造商和版本,以及可选的序列号。

  • hrDeviceStatus - HOST-RESOURCES-MIB模块的一部分 -表的此行描述的设备的当前操作状态。值unknown(1)表示设备的当前状态未知。 running(2)表示设备已启动并正在运行,并且未发现异常错误情况。 warning(3)状态表明操作软件(例如磁盘设备驱动程序)已将异常情况通知代理,但该设备仍处于“可操作”状态。一个示例是磁盘上的大量软错误。 testing(4)的值表示该设备因为处于测试状态而无法使用。 down(5)状态仅在已通知代理该设备不可用于任何用途时使用。

  • ifDescr - IF-MIB模块的一部分 -包含有关接口信息的文本字符串。此字符串应包括制造商的名称,产品名称和接口硬件/软件的版本

  • ifIndex  - IF-MIB模块的一部分 -每个接口的唯一值,大于零。建议从1开始连续分配值。每个接口子层的值至少在从实体网络管理系统的一次重新初始化到下一次重新初始化之间必须保持恒定。

  • ifOperStatus - IF-MIB模块的一部分 -接口的当前操作状态。测试状态(3)表示无法传递任何操作数据包。如果ifAdminStatus为down(2),则ifOperStatus应该为down(2)。如果ifAdminStatus更改为up(1),则如果接口准备好发送和接收网络流量,则ifOperStatus应该更改为up(1);否则,如果接口已准备好发送和接收网络流量,则应将ifOperStatus更改为up(1)。如果接口正在等待外部操作(例如等待输入连接的串行线路),则应更改为dormant(5);当且仅当存在阻止其进入up(1)状态的故障时,它才应保持在down(2)状态;如果接口缺少(通常是硬件)组件,则它应保持在notPresent(6)状态。

  • 港口 –端口号

  • portIfIndex - CISCO-STACK-MIB模块的一部分 -与该端口相对应的接口的MIB-II中定义的ifIndex对象实例的值。

  • sysContact - SNMP协议v2-MIB模块的一部分 -SNMPv2-MIB模块的一部分-此管理节点的联系人的文本标识,以及有关如何与该联系人联系的信息。如果不知道联系信息,则该值为零长度字符串。

  • sysDescr -SNMPv2-MIB模块的一部分 -实体的文字描述。该值应包括系统硬件类型,软件操作系统和网络软件的全名和版本标识

  • sysLocation - SNMP协议v2-MIB模块的一部分 -该节点的物理位置(例如,“电话柜,三楼”)。如果位置未知,则该值为零长度字符串。

  • 系统名称 - SNMP协议v2-MIB模块的一部分 -此管理节点的管理分配名称。按照约定,这是节点的标准域名。如果名称未知,则值为零长度字符串。

  • sysObjectID - SNMP协议v2-MIB模块的一部分 -实体中包含的网络管理子系统的供应商权威标识。此值在SMI企业子树(1.3.6.1.4.1)中分配,并提供一种简单而明确的方法来确定要管理的“盒子类型”。例如,如果供应商“ Flintstones,Inc.”被分配了子树1.3.6.1.4.1.424242,它可以将标识符1.3.6.1.4.1.424242.1.1分配给其“ Fred Router”。

  • 弗兰 - CISCO-STACK-MIB模块的一部分 -此对象指定客户端的访问VLAN。

  • 名称 - CISCO-STACK-MIB模块的一部分 -此对象指定客户端的访问VLAN名称。

  • vlanPortVlan - CISCO-STACK-MIB模块的一部分 -此端口所属的虚拟LAN。

  • vtpVlanIfIndex - CISCO-VTP-MIB模块的一部分 -与该VLAN ID对应的ifIndex的值。如果VLAN ID没有对应的接口,则此对象的值为零

  • vtpVlanName - CISCO-VTP-MIB模块的一部分 -此VLAN的名称。此名称用作此VLAN的ATM LAN仿真段的ELAN名称。

    vtpVlanState - CISCO-VTP-MIB模块的一部分 -此VLAN的状态。状态'mtuTooBigForDevice'表示此设备无法参与此VLAN,因为该VLAN的MTU大于该设备可以支持的MTU。状态'mtuTooBigForTrunk'表示此设备支持此VLAN的MTU,但对于一个或多个设备的中继端口来说太大。


SNMP协议陷阱配置

interface <Endpoint_Interface>
snmp trap mac-notification added
snmp trap mac-notification removed
!
mac address-table notification change
mac address-table notification mac-move
!
snmp-server trap-source <Interface>
snmp-server enable traps snmp linkdown linkup
snmp-server enable traps mac-notification change move
snmp-server host <ISE_PSN_IP_address> version 2c ciscoro


SNMP协议查询配置

snmp-server community ciscoro RO


ACIDEX信息

由AnyConnect提供并通过RADIUS从ASA发送的信息。提供信息,例如用于VPN连接的主机的本地MAC地址,更新版本的AnyConnect提供诸如电话UID和IMEI等信息。此信息使用RADIUS探针从网络访问设备发送到ISE。

  • 设备平台 –例如“赢”

  • 设备平台版本 –平台或操作系统的版本。例如“ 6.1.7601 Service Pack 1”

  • 设备类型 –硬件平台或型号

  • 设备uid –电话UID


半径

半径1.png

伊势 Profiler中可能使用的RADIUS属性:

  • 被叫站号 -对于IEEE 802.1X身份验证器,此属性用于以ASCII格式(仅大写)存储网桥或接入点MAC地址,八位字节值之间用“-”分隔。 例如:“ 00-10-A4-23-19-C0”。在已知SSID的IEEE 802.11中,应将其附加到接入点MAC地址,并用“:”与MAC地址分隔。示例“ 00-10-A4-23-19-C0:AP1”。

  • 呼叫站ID -对于IEEE 802.1X身份验证器,此属性用于以ASCII格式(仅大写)存储请求方MAC地址,八位字节值之间用“-”分隔。 例如:“ 00-10-A4-23-19-C0”。

  • 连接信息 -通过Connect-Info 半径属性77功能,网络访问服务器(NAS)可以报告RADIUS记帐中的Connect-Info(属性77),记账“开始”和“停止”记录已发送到RADIUS客户端(拨入调制解调器) 。这些记录允许比较发送和接收的连接速度,调制和压缩,以分析通过拨号调制解调器进行的用户会话,该调制解调器在连接结束时(协商之后)的速度通常不同。

  • 域名解析-服务器-IPv6-地址 -DNS-服务器-IPv6-地址属性包含DNS服务器的IPv6地址。 当NAS打算向RG /主机通告一个以上的DNS服务器地址时,可以在“访问接受”数据包中多次包含此属性。 NAS可以在访问请求数据包中使用该属性作为对RADIUS服务器的关于DNS IPv6地址的提示,但是RADIUS服务器不需要遵循该提示。

  • 委派的IPv6前缀 -可以在代理路由器和RADIUS服务器之间的DHCP前缀委派中使用委派的IPv6前缀属性。

  • 委派的IPv6前缀池 -委派的IPv6前缀池属性包含分配池的名称,该池应用于为NAS上的用户选择IPv6委托前缀。 如果NAS不支持前缀池,则NAS必须忽略该属性。  

  • 出口VLAN名称 -此属性表示此端口允许的VLAN。

  • 出口VLANID -此属性表示此端口允许的IEEE 802出口VLANID,指示该VLANID是否允许用于标记或未标记的帧以及VLANID。

  • 成帧的IP地址 -通过在访问请求中将用户的IP地址发送到RADIUS服务器,指示要为用户配置的IP地址。

  • 框架式IP网路遮罩 -指示当用户是网络的路由器时要为用户配置的IP网络掩码。此属性值导致为具有指定掩码的Framed-IP-Address添加静态路由。

  • 成帧的IPv6地址 -Framed-IPv6-Address属性表示分配给RG /主机面向NAS的接口的IPv6地址。 它可以在Access-Accept包中使用,并且可以多次出现。

  • 成帧的IPv6池 -该属性包含分配池的名称,该池应用于为用户分配IPv6前缀。 如果NAS不支持多个前缀池,则NAS必须忽略该属性。

  • 成帧的IPv6前缀 -此属性指示要为用户配置的IPv6前缀(和相应的路由)。 它可以在Access-Accept包中使用,并且可以出现多次。 NAS可以在Access-Request数据包中使用它作为向服务器的提示,它希望使用这些前缀,但是不需要服务器遵守提示。

  • 成帧的IPv6路由 -此属性提供要在NAS上为用户配置的路由信息​​。 它在Access-Accept数据包中使用,并且可以出现多次。

  • 框架接口编号 -此属性指示要为用户配置的IPv6接口标识符。  它可以在访问接受包中使用。

  • 框式泳池 -包含分配的地址池的名称,该地址池应用于为用户分配地址。如果NAS不支持多个地址池,则NAS应该忽略  this attribute.

  • 位置 -位置数据属性可以在访问请求和计费请求消息中发送。 对于记帐请求消息,可以将Acc-Status-Type设置为Start,Interim或Stop。

  • 登录-IPv6-主机 -当包含“登录服务”属性时,该属性指示与用户连接的系统。 它可以在访问接受包中使用。 它可以在访问请求数据包中用作向服务器的提示,NAS希望使用该主机,但是不需要服务器遵守提示。

  • NAS过滤规则 -此属性指示要对此用户应用的过滤规则。零个或多个NAS-Filter-Rule属性可以在Access-Accept,CoA-Request或Accounting-Request数据包中发送。

  • NAS-IP地址 -此属性指示正在验证用户身份的NAS的物理端口号。 它仅在访问请求数据包中使用。 请注意,这是指NAS上的物理连接而不是TCP或UDP端口号,是指“端口”。

  • NAS-IPv6-地址 -该属性指示正在请求用户认证的NAS的标识IPv6地址,并且应在RADIUS服务器范围内对NAS唯一。 NAS-IPv6-Address仅用于访问请求数据包。 NAS-IPv6-Address和/或NAS-IP-Address可能存在于访问请求包中;但是,如果两个属性都不存在,则NAS标识符必须存在。

  • NAS标识符 -该属性包含一个字符串,用于标识发起访问请求的NAS。 它仅在访问请求数据包中使用。 Either NAS-IP地址 or NAS标识符 MUST be present in an Access-Request packet.

  • NAS端口 -表示正在验证用户身份的网络访问服务器的物理端口号。

  • NAS端口号 -包含用于标识正在验证用户身份的NAS端口的文本字符串

  • NAS端口类型 -指示网络访问服务器用来验证用户的物理端口的类型

  • 路由-IPv6-信息 -路由-IPv6-信息属性为NAS上的用户指定前缀(和相应的路由)。它在Access-Accept数据包中使用,并且可以出现多次。 NAS可以在Access-Request数据包中将它用作对RADIUS服务器的提示,但是不需要RADIUS服务器接受该提示。 

  • 服务类型 -指示请求的服务类型或要提供的服务类型。

  • 有状态IPv6地址池 -有状态IPv6地址池属性包含分配的池的名称,该池应用于为NAS上的用户选择IPv6地址。 如果NAS不支持地址池,则NAS必须忽略该属性。  状态-IPv6-地址池属性格式的摘要如下所示。 

  • 用户名 -表示被RADIUS服务器认证的用户名。

  • 厂商专用 -允许供应商支持自己的扩展属性,不适合常规使用。 Cisco 半径实施使用规范中建议的格式支持一种特定于供应商的选项。思科的供应商ID为9,支持的选项的供应商类型为1,名为“ cisco-avpair”。

  • 具有定位能力 -位置能力属性允许NAS(或代理服务器的客户端功能)指示对本文档中指定功能的支持。 如果NAS支持本文档中描述的功能并且能够发送位置信息,则必须将带有“位置能力”值的位置能力属性与访问请求消息一起发送。 除非位置能力属性已发送给它,否则RADIUS服务器不得挑战位置信息。

  • Acct-Input-Gigawords -指示在提供的服务过程中,Acct-Input-Octets计数器环绕2 ^ 32的次数。

  • Acct-Output-Gigawords -指示在提供服务时Acct-Output-Octets计数器围绕2 ^ 32缠绕了多少次。

  • 收费用户身份 -CUI属性用作用户真实身份的别名,代表由归属网络定义和提供的收费身份,作为对User-Name(1)的补充或替代信息。 通常,CUI代表实际用户的身份,但它也可能指示其他收费身份,例如一组用户。 家庭网络外部的RADIUS客户端(代理或NAS)不得修改CUI属性。

半径配置

aaa authentication dot1x default group ise-group
aaa authorization network default group ise-group
aaa accounting dot1x default start-stop group ise-group
 
aaa accounting update newinfo periodic 2880
 
radius server ise
address ipv4 x.x.x.x auth-port 1812 acct-port 1813
key xxxx
 
aaa group server radius ise-group
server name ise
 
ip radius source-interface <Interface>
 
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
radius-server attribute 25 access-request include
 
radius-server vsa send accounting
radius-server vsa send authentication

 

域名解析

该探针具有ISE对主机进行反向查询的功能,以验证其完全合格的域名。为了使此探针正常工作,ISE需要具有来自另一个探针的端点的IP到MAC地址绑定-无论是RADIUS探针,SNMP探针还是DHCP探针。


活动目录

帮助区分公司计算机和非公司计算机,并可以提高加入域的计算机的操作系统信息的保真度。

此探针要求首先了解端点的主机名,因此其他探针(例如RADIUS(计算机身份验证),DHCP探针或DNS探针)必须首先接收该信息。

  • AD主机DNS域名 – 活动目录 域名解析域

  • AD主机存在 -主机是否存在。对或错

  • 广告联接点 – 活动目录域连接点–即Securitydemo.net

  • AD操作系统 – Operating 系统 of the endpoint

  • AD-OS版本 –端点的操作系统版本

  • 广告服务包 –端点的服务包(如果适用)


NMAP

可以执行NMAP探针来扫描操作以发现有关端点的更多信息。 ISE可以执行OS扫描,SNMP端口扫描,通用端口扫描,SMB发现,自定义端口,并包含每次扫描的服务版本信息。

注意:如果执行SNMP端口扫描,则公用的默认SNMP社区字符串。要更改默认字符串,请导航至 行政>System>Settings>Profiling

  • 特定的UDP或TCP端口 –可以是您选择的任何TCP / UDP端口

  • 服务版本信息 –附加扫描级别,可为所有选定端口提供服务和应用程序版本检测。

  • 操作系统扫描 –操作系统TCP / IP指纹

  • 中小企业 –通过SMB提供的通用平台枚举(CPE)

  • SMB.domain – SMB域

  • SMB.fqdn –完全合格的域名从SMB闪闪发光

  • 中小企业管理者 –可以提供操作系统信息

  • SMB操作系统 -可以提供操作系统信息

  • SMB服务器 –也可以从中收集主机名


伊势中的NMAP扫描可以作为配置文件策略的一部分自动触发,也可以手动完成。