配置异常终端检测和实施在ISE2.
2目录简介先决条件要求使用的组件背景信息配置网络图配置步骤1.
Enable(event)异常检测.
步骤2.
配置授权策略.
验证故障排除相关信息简介本文描述异常终端检测和实施.
这是在思科身份服务引擎介绍的一个新的描出的功能(ISE)方面改进的网络可见度的.
先决条件要求Cisco建议您了解以下主题:在交换机的有线MAC验证旁路(MAB)配置q在无线局域网控制器(WLC)的无线MAB配置q授权(CoA)配置的更改在两个设备的q使用的组件本文档中的信息基于以下软件和硬件版本:身份服务引擎2.
21.
无线局域网控制器8.
0.
100.
02.
CiscoCatalyst交换机375015.
2(3)E23.
与配线的Windows10和无线适配器4.
本文档中的信息都是基于特定实验室环境中的设备编写的.
本文档中使用的所有设备最初均采用原始(默认)配置.
如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响.
背景信息异常终端检测功能允许ISE监控对特定属性和配置文件的更改被连接的终端的.
如果更改匹配一个或很多预先配置的异常工作情况规则,ISE将指示终端如异常.
一旦发现,ISE能采取行动(与CoA)和强制执行某些策略限制可疑终端的访问.
其中一个此功能的使用事例包括MAC地址伪装的检测.
注意:此功能不针对MAC地址伪装的所有潜在的方案.
请务必读此功能包括的反常现象的种类确定其资格到您的使用案件.
q一旦检测是启用的,ISE监控为现有的终端获得的所有最新信息并且检查这些属性是否更改了:NAS端口类型-确定此终端接入方式是否更改了.
例如,如果通过有线Dot1x连接的同一MAC地址使用无线Dot1x和签证versa.
1.
DHCP组ID-确定终端的客户端/供应商的种类是否更改了.
当DHCP组ID属性带有有些值和然后更改到另一值时,这只适用.
如果终端配置有静态IP,DHCP组ID属性在ISE不会被填充.
稍后,如果另一个设备伪装MAC地址并且使用DHCP,组ID从空值将变成一个特定字符串.
这不会触发Anomouls工作情况检测.
2.
终端策略-在终端配置文件上的一个变化从打印机或IP电话到工作站.
3.
一旦ISE发现以上提到的其中一更改,AnomalousBehaviour属性被添加到终端和集对真.
这在授权策略可以稍后用于,情况限制终端的访问在将来认证.
如果配置实施,ISE能发送CoA,一旦发现更改重新鉴别或执行终端的端口跳动.
如果实际上,它能根据配置的授权策略检疫异常终端.
配置网络图配置简单的MAB和AAA配置在交换机和WLC被执行.
要使用此功能,请遵从这些步骤:步骤1.
Enable(event)异常检测.
连接对管理>System>设置>描出.
第一个选项允许ISE发现所有异常工作情况,但是没有发送CoA(公开性模式).
第二个选项允许ISE发送CoA,一旦发现异常工作情况(实施模式).
步骤2.
配置授权策略.
如镜像所显示,配置Anomlousbehaviour属性作为在授权策略的一个条件,:验证连接无线适配器.
请使用ipconfig命令/all查找无线适配器MAC地址,如镜像所显示:要模拟恶意用户,您可以伪装以太网适配器的MAC地址匹配普通用户的MAC地址.
一旦普通用户连接,您能看到在数据库的一个终端条目.
之后,使用用欺骗性MAC地址,恶意用户连接.
从报告您能看到从WLC的初始连接.
之后,恶意用户连接,并且10几秒后,CoA被触发的归结于异常客户端的检测.
因为全局CoA类型设置为Reauth,终端设法再连接.
ISE已经设置AnomalousBehaviour属性对真,因此ISE匹配第一个规则并且拒绝用户.
如镜像所显示,您能看到详细资料在上下文公开性选项的终端下:正如你看到的终端可以从数据库被删除清除此属性.
如镜像所显示,显示板包括一个新的选项显示显示此工作情况的客户端的数量:故障排除为了排除故障,enable(event)仿形铣床调试,您连接对管理>System>记录>调试日志配置.
如镜像所显示,为了查找ISEProfiler.
log文件,请连接对操作>下载日志>调试日志,:这些日志显示一些片断从Profiling.
log文件.
正如你看到的ISE能发现与C0:4A:00:21:49:C2MAC地址的终端通过比较类型属性的老和新的值更改了接入方式.
它是无线,但是更改到以太网.
2016-12-3020:37:43,874DEBUG[EndpointHandlerWorker-2-34-thread-1][]cisco.
profiler.
infrastructure.
profiling.
ProfilerManager-:Profiling:-ClassifyhierarchyC0:4A:00:21:49:C22016-12-3020:37:43,874DEBUG[MACSpoofingEventHandler-52-thread-1][]profiler.
infrastructure.
probemgr.
event.
MACSpoofingEventHandler-:ProfilerCollection:-ReceivedAttrsModifiedEventinMACSpoofingEventHandlerMAC:C0:4A:00:21:49:C22016-12-3020:37:49,618DEBUG[MACSpoofingEventHandler-52-thread-1][]profiler.
infrastructure.
probemgr.
event.
MACSpoofingEventHandler-:ProfilerCollection:-ReceivedAttrsModifiedEventinMACSpoofingEventHandlerMAC:C0:4A:00:21:49:C22016-12-3020:37:49,618INFO[MACSpoofingEventHandler-52-thread-1][]com.
cisco.
profiler.
api.
MACSpoofingManager-:ProfilerCollection:-AnomalousBehaviourDetected:C0:4A:00:21:49:C2AttrName:NAS-Port-TypeOldValue:Wireless-IEEE802.
11NewValue:Ethernet2016-12-3020:37:49,620DEBUG[MACSpoofingEventHandler-52-thread-1][]cisco.
profiler.
infrastructure.
cache.
EndPointCache-:ProfilerCollection:-Updatingendpoint:mac-C0:4A:00:21:49:C22016-12-3020:37:49,621DEBUG[MACSpoofingEventHandler-52-thread-1][]cisco.
profiler.
infrastructure.
cache.
EndPointCache-:ProfilerCollection:-ReadingsignificantattributefromDBforendpointwithmacC0:4A:00:21:49:C22016-12-3020:37:49,625DEBUG[MACSpoofingEventHandler-52-thread-1][]profiler.
infrastructure.
probemgr.
event.
EndpointPersistEventHandler-:ProfilerCollection:-Addingtoqueueendpointpersisteventformac:C0:4A:00:21:49:C2所以,因为实施是启用的,ISE采取行动.
这里动作是发送CoA根据在以上提到的描出的设置的全局配置.
在我们的示例中,CoA类型设置为允许ISE重新鉴别终端和复校规则配置的Reauth.
这时,它匹配异常客户端规则并且它否认.
2016-12-3020:37:49,625INFO[MACSpoofingEventHandler-52-thread-1][]profiler.
infrastructure.
probemgr.
event.
MACSpoofingEventHandler-:ProfilerCollection:-Takingmacspoofingenforcementactionformac:C0:4A:00:21:49:C22016-12-3020:37:49,625INFO[MACSpoofingEventHandler-52-thread-1][]profiler.
infrastructure.
probemgr.
event.
MACSpoofingEventHandler-:ProfilerCollection:-TriggeringDelayedCOAevent.
Shouldbetriggeredin10seconds2016-12-3020:37:49,625DEBUG[CoAHandler-40-thread-1][]cisco.
profiler.
infrastructure.
profiling.
CoAHandler-:ProfilerCoA:-ReceivedCoAEventnotificationforendpoint:C0:4A:00:21:49:C22016-12-3020:37:49,625DEBUG[CoAHandler-40-thread-1][]cisco.
profiler.
infrastructure.
profiling.
CoAHandler-:ProfilerCoA:-ConfiguredGlobalCoAcommandtype=Reauth2016-12-3020:37:49,626DEBUG[CoAHandler-40-thread-1][]cisco.
profiler.
infrastructure.
profiling.
CoAHandler-:ProfilerCoA:-ReceivedFirstTimeProfileCoAEventforendpoint:C0:4A:00:21:49:C22016-12-3020:37:49,626DEBUG[CoAHandler-40-thread-1][]cisco.
profiler.
infrastructure.
profiling.
CoAHandler-:ProfilerCoA:-Waitforendpoint:C0:4A:00:21:49:C2toupdate-TTL:12016-12-3020:37:49,626DEBUG[CoAHandler-40-thread-1][]cisco.
profiler.
infrastructure.
profiling.
CoAHandler-:ProfilerCoA:-Settingtimerforendpoint:C0:4A:00:21:49:C2to:10[sec]2016-12-3020:37:49,626DEBUG[CoAHandler-40-thread-1][]cisco.
profiler.
infrastructure.
profiling.
CoAHandler-:ProfilerCoA:-Rescheduledeventforendpoint:C0:4A:00:21:49:C2toretry-nextTTL:02016-12-3020:37:59,644DEBUG[CoAHandler-40-thread-1][]cisco.
profiler.
infrastructure.
profiling.
CoAHandler-:ProfilerCoA:-AbouttocallCoAfornadIP:10.
62.
148.
106forendpoint:C0:4A:00:21:49:C2CoACommand:Reauth2016-12-3020:37:59,645DEBUG[CoAHandler-40-thread-1][]cisco.
profiler.
infrastructure.
profiling.
CoAHandler-:ProfilerCoA:-ApplyingCoA-REAUTHbyAAAServer:10.
48.
26.
89viaInterface:10.
48.
26.
89toNAD:10.
62.
148.
106相关信息ISE2.
2管理指南q
酷番云怎么样?酷番云就不讲太多了,介绍过很多次,老牌商家完事,最近有不少小伙伴,一直问我台湾VPS,比较难找好的商家,台湾VPS本来就比较少,也介绍了不少商家,线路都不是很好,有些需求支持Windows是比较少的,这里我们就给大家测评下 酷番云的台湾VPS,支持多个版本Linux和Windows操作系统,提供了CN2线路,并且还是原生IP,更惊喜的是提供的是无限流量。有需求的可以试试。可以看到回程...
Ceraus数据成立于2020年底,基于KVM虚拟架构技术;主营提供香港CN2、美国洛杉矶CN2、日本CN2的相关VPS云主机业务。喜迎国庆香港上新首月五折不限新老用户,cera机房,线路好,机器稳,适合做站五折优惠码:gqceraus 续费七五折官方网站:https://www.ceraus.com香港云内存CPU硬盘流量宽带优惠价格购买地址香港云2G2核40G不限5Mbps24元/月点击购买...
柚子互联官网商家介绍柚子互联(www.19vps.cn)本次给大家带来了盛夏促销活动,本次推出的活动是湖北十堰高防产品,这次老板也人狠话不多丢了一个6.5折优惠券而且还是续费同价,稳撸。喜欢的朋友可以看看下面的活动详情介绍,自从站长这么久以来柚子互联从19年开始算是老商家了。六五折优惠码:6kfUGl07活动截止时间:2021年9月30日客服QQ:207781983本次仅推荐部分套餐,更多套餐可进...
ipconfig命令为你推荐
360免费建站我用的360免费建站,但自己买的一级域名要先备案,360不提供备案,我要怎么做才能把我的域名绑定网站啊?duplicate500pintang俏品堂是干什么的?很多论坛都有他们的踪迹。300051三五互联请问300051三五互联还会继续盘升吗?3g手机有哪些现在有哪些比较适用的3g手机?温州都市报招聘劳务市场找工作可靠吗免费代理加盟怎么开免费的代理网店discuz7.0安装discuz出现Discuz! Database Error (0) notconnect 怎么办?店铺统计如何科学分析店铺日常数据论坛勋章谁能教我怎么做论坛勋章?
西安虚拟主机 hostgator fastdomain softlayer Dedicated 搬瓦工官网 paypal认证 typecho 台湾谷歌地址 e蜗 新天域互联 股票老左 中国电信宽带测速网 360云服务 服务器是干什么用的 lamp兄弟连 实惠 睿云 789电视剧网 架设代理服务器 更多