Detaillierte Informationen zur Client-Profilerstellung für den Wireless LAN Controller 9800 - Cisco
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Detaillierte Informationen zur Client- Profilerstellung für den Wireless LAN Controller 9800 Inhalt Einführung Verwendete Komponenten Profilerstellungsprozess MAC Address OUI Profiling Lokal verwaltete MAC-Adressen behandeln Probleme DHCP-Profiling HTTP-Profilerstellung RADIUS-Profilerstellung DHCP-RADIUS-Profilerstellung HTTP RADIUS-Profilerstellung Konfigurieren der Profilerstellung auf dem 9800 WLC Lokale Profilkonfiguration Konfiguration der RADIUS-Profilerstellung Profilerstellungsbeispiele Anwenden lokaler Richtlinien basierend auf Klassifizierung der lokalen Profilierung RADIUS-Profilerstellung für erweiterte Richtlinien-Sets in Cisco ISE Profilerstellung in FlexConnect-Bereitstellungen Zentrale Authentifizierung, lokales Switching Lokale Authentifizierung, lokales Switching Fehlerbehebung Radioaktive Spuren Paketerfassung Einführung Dieser Artikel enthält eine detaillierte Beschreibung der Geräteklassifizierung und Profilerstellung für Cisco Catalyst Wireless LAN Controller der Serie 9800. Er beschreibt mögliche Anwendungsfälle, Konfigurationsbeispiele und Schritte zur Fehlerbehebung. Verwendete Komponenten ● 9800 CL WLC mit 17.2.1-Image ● Access Point 1815i ● Windows 10 Pro Wireless Client ● Cisco ISE 2.7 Profilerstellungsprozess
Die Erstellung von Geräteprofilen bietet eine Möglichkeit, weitere Informationen über einen
Wireless-Client zu erhalten, der der Wireless-Infrastruktur beigetreten ist. Nach der Erstellung von
Geräteprofilen können mit dieser Methode verschiedene lokale Richtlinien angewendet oder
bestimmte RADIUS-Serverregeln angepasst werden.
Cisco 9800 WLCs können drei Arten der Erstellung von Geräteprofilen ausführen:
1. MAC-Adresse OUI
2. DHCP
3. HTTP
MAC Address OUI Profiling
MAC-Adresse ist eine eindeutige ID für jede Wireless- (und kabelgebundene)
Netzwerkschnittstelle. Es ist eine 48-Bit-Zahl, die normalerweise im Hexadezimalformat
MM:MM:SS:SS:SS:SS geschrieben wird. Die ersten 24 Bit (bzw. 3 Oktette) werden als OUI
(Organizational Unique Identifier) bezeichnet und identifizieren auf einzigartige Weise einen
Anbieter oder Hersteller. Sie werden von IEEE erworben und von IEEE zugewiesen. Ein Anbieter
oder Hersteller kann mehrere OUIs erwerben.
Beispiel:
00:0D:4B - owned by Roku, LLC
90:78:B2 - owned by Xiaomi Communications Co Ltd
Wenn ein Wireless-Client dem Access Point zugeordnet ist, führt der WLC die OUI-Suche durch,
um den Hersteller zu ermitteln. In lokalen FlexConnect-Switching-Bereitstellungen leitet der
Access Point relevante Client-Informationen weiterhin an den WLC weiter (z. B. DHCP-Pakete
und Client-MAC-Adresse).
Die Profilerstellung, die nur auf der OUI-Oberfläche basiert, ist extrem begrenzt und kann das
Gerät möglicherweise als eine bestimmte Marke klassifizieren. Sie kann jedoch nicht zwischen
einem Laptop und einem Smartphone unterscheiden.
Lokal verwaltete MAC-Adressen behandeln Probleme
Aus Datenschutzgründen begannen viele Hersteller, Mac-Randomisierungsfunktionen auf ihren
Geräten zu implementieren. Lokal verwaltete MAC-Adressen werden nach dem Zufallsprinzip
generiert und weisen ein zweitkleineres Bit des ersten Oktetts der Adresse auf 1 auf. Dieses Bit
fungiert als Flag, das ankündigt, dass die MAC-Adresse tatsächlich eine zufällig generierte
Adresse ist. Es gibt vier mögliche Formate von lokal verwalteten MAC-Adressen (x kann ein
beliebiger Hexadezimalwert sein):
x2-xx-xx-xx-xx-xx
x6-xx-xx-xx-xx-xx
xA-xx-xx-xx-xx-xx
xE-xx-xx-xx-xx-xx
Android 10-Geräte verwenden standardmäßig bei jeder Verbindung mit einem neuen SSID-
Netzwerk eine zufällig generierte lokal verwaltete MAC-Adresse. Diese Funktion besiegt die OUI-
basierte Geräteklassifizierung vollständig, da der Controller erkennt, dass die Adresse
randomisiert wurde und keine Suche durchführt. DHCP-Profiling Die DHCP-Profilerstellung wird vom WLC durchgeführt, indem die DHCP-Pakete überprüft werden, die der Wireless-Client sendet. Wenn zur Klassifizierung des Geräts DHCP-Profiling verwendet wurde, enthält der detaillierte Befehl show wireless client mac-address [MAC_ADDR] Folgendes: Device Type : Microsoft-Workstation Device Name : MSFT 5.0 Protocol Map : 0x000009 (OUI, DHCP) Protocol : DHCP WLC überprüft mehrere Felder der DHCP-Option in den von Wireless-Clients gesendeten Paketen: 1. Option 12 - Hostname Diese Option stellt den Client-Hostnamen dar und ist in den DHCP Discover- und DHCP Request- Paketen zu finden: 2. Option 60 - Vendor Class Identifier Diese Option finden Sie auch in den DHCP Discover- und Request-Paketen. Mit dieser Option können sich die Clients mit dem DHCP-Server identifizieren, und die Server können so konfiguriert werden, dass sie nur auf die Clients mit einer spezifischen Klassenkennung reagieren. Diese Option wird in der Regel verwendet, um die Access Points im Netzwerk zu identifizieren und nur auf sie mit der Option 43 zu reagieren. Beispiele für Vendor Class Identifiers
● "MSFT 5.0" für alle Windows 2000-Clients (und höher) ● "MSFT 98" für alle Windows 98- und Me-Clients ● "MSFT" für alle Windows 98-, Me- und 2000-Clients Apple MacBook-Geräte senden Option 60 nicht standardmäßig aus. Beispiel für die Paketerfassung vom Windows 10-Client: 3. Option 55 - Parameteranforderungsliste Die Option DHCP Parameter Request List (DHCP-Parameteranforderungsliste) enthält Konfigurationsparameter (Optionscodes), die der DHCP-Client vom DHCP-Server anfordert. Es handelt sich um eine Zeichenfolge, die in kommagetrennter Schreibweise geschrieben wurde (z. B. 1,15,43). basiert Die Lösung ist nicht optimal, da die von ihr generierten Daten herstellerabhängig sind und von mehreren Gerätetypen dupliziert werden können. Beispielsweise fordern Windows 10-Geräte standardmäßig immer eine bestimmte Parameterliste an. Apple iPhones und iPads verwenden unterschiedliche Parametersätze, auf denen sie klassifiziert werden können. Beispielerfassung vom Windows 10-Client: 4. Option 77 - Benutzerklasse Die Benutzerklasse ist eine Option, die in der Regel nicht standardmäßig verwendet wird und eine manuelle Konfiguration des Clients erfordert. Diese Option kann beispielsweise mithilfe des folgenden Befehls auf einem Windows-Computer konfiguriert werden: ipconfig /setclassid “ADAPTER_NAME” “USER_CLASS_STRING” Adaptername finden Sie im Netzwerk- und Freigabecenter in der Systemsteuerung:
Konfigurieren der DHCP-Option 66 für den Windows 10-Client in CMD (erfordert Administratorrechte): Aufgrund der Windows-Implementierung von Option 66 ist Wireshark nicht in der Lage, diese Option zu decodieren, und ein Teil des Pakets, das nach Option 66 eingeht, wird als falsch dargestellt: HTTP-Profilerstellung Die HTTP-Profilerstellung ist die fortschrittlichste Möglichkeit zur Profilerstellung. Der 9800 WLC unterstützt die detaillierteste Geräteklassifizierung. Um ein HTTP-Profil für einen Client erstellen zu können, muss dieser den Status "Ausführen" aufweisen und eine HTTP GET-Anforderung ausführen. WLC fängt die Anforderung ab und überprüft das Feld "User-Agent" im HTTP-Header des Pakets. Dieses Feld enthält zusätzliche Informationen zum Wireless-Client, der zur Klassifizierung verwendet werden kann. Standardmäßig haben fast alle Hersteller eine Funktion implementiert, bei der ein Wireless-Client versucht, die Internetverbindung zu überprüfen. Diese Prüfung wird auch zur automatischen Erkennung von Gastportalen verwendet. Wenn ein Gerät eine HTTP-Antwort mit dem Statuscode 200 (OK) erhält, bedeutet das, dass das WLAN nicht mit Webauth gesichert ist. Ist dies der Fall, führt der WLC dann die Interception aus, die für die restliche Authentifizierung erforderlich ist. Dieses erste HTTP GET-Gerät ist nicht das einzige WLC, das für das Profilen des Geräts verwendet werden kann. Jede nachfolgende HTTP-Anforderung wird vom WLC überprüft und kann zu einer noch detaillierteren Klassifizierung führen.
Windows 10-Geräte verwenden diesen Test mithilfe der Domäne msftconnectest.com. Apple- Geräte verwenden Captive.apple.com, während Android-Geräte in der Regel onlineCheck.gstatic.com verwenden. Die Paketerfassungen des Windows 10-Clients, der diese Prüfung durchführt, finden Sie weiter unten. Im Feld User Agent (Benutzer-Agent) ist Microsoft NCSI enthalten, was dazu führt, dass ein Profil des Clients auf dem WLC als Microsoft-Workstation erstellt wird: Beispielausgabe show wireless client mac-address [MAC_ADDR], detailliert für einen Client, der über HTTP dargestellt wird: Device Type : Microsoft-Workstation Device Name : MSFT 5.0 Protocol Map : 0x000029 (OUI, DHCP, HTTP) Device OS : Windows NT 10.0; Win64; x64; rv:76.0 Protocol : HTTP RADIUS-Profilerstellung Bei den zur Klassifizierung des Geräts verwendeten Methoden gibt es keinen Unterschied zwischen der Erstellung von lokalen Profilen und RADIUS-Profilen. Wenn die RADIUS- Profilerstellung aktiviert ist, leitet der WLC die Informationen, die er über das Gerät erhalten hat, einfach über einen bestimmten Satz anbieterspezifischer RADIUS-Attribute an den RADIUS- Server weiter. DHCP-RADIUS-Profilerstellung Durch DHCP-Profiling erhaltene Informationen werden in der Accounting-Anfrage als anbieterspezifische RADIUS AVPair-Verbindung an den RADIUS-Server übertragen. cisco-av- pair: dhcp-option= Beispiel für ein Accounting-Anforderungspaket, das AVPairs für die DHCP-Option 12, 60 und 55 anzeigt und vom WLC an den RADIUS-Server gesendet wurde (der Wert für Option 55 kann aufgrund der Wireshark-Decodierung als beschädigt angezeigt werden):
HTTP RADIUS-Profilerstellung Durch die HTTP-Profilerstellung (User-Agent-Feld aus dem Header der HTTP GET-Anforderung) erhaltene Informationen werden als anbieterspezifisches RADIUS AVPair an den RADIUS-Server in der Accounting-Anfrage übertragen. cisco-av-pair: http-tlv=User-Agent= Die erste Verbindungsprüfung für das HTTP GET-Paket enthält nicht viele Informationen im User- Agent-Feld, sondern nur "Microsoft NCSI". Beispiel für eine Accounting-Paketweiterleitung dieses einfachen Werts an den RADIUS-Server: Sobald der Benutzer mit dem Surfen im Internet beginnt und einige zusätzliche HTTP GET- Anfragen erstellt, können weitere Informationen darüber abgerufen werden. WLC sendet ein zusätzliches Accounting-Paket an die ISE, wenn es neue User-Agent-Werte für diesen Client erkennt. In diesem Beispiel kann man sehen, dass der Client Windows 10 64 Bit und Firefox 76 verwendet:
Konfigurieren der Profilerstellung auf dem 9800 WLC Lokale Profilkonfiguration Damit die lokale Profilerstellung funktioniert, aktivieren Sie unter Configuration > Wireless > Wireless Global einfach die Geräteklassifizierung. Diese Option ermöglicht die gleichzeitige Erstellung von MAC-OUI-, HTTP- und DHCP-Profilen: Darüber hinaus können Sie unter "Policy Configuration" (Richtlinienkonfiguration) HTTP-TLV-
Caching und DHCP-TLV-Caching aktivieren. WLC führt weiterhin die Profilerstellung durch, wenn dies nicht der Fall ist. Wenn diese Optionen aktiviert sind, speichert der WLC zuvor erfasste Informationen über diesen Client im Cache und muss keine zusätzlichen Pakete überprüfen, die von diesem Gerät generiert wurden. Konfiguration der RADIUS-Profilerstellung Damit die RADIUS-Profilerstellung funktioniert, müssen Sie neben der globalen Geräteklassifizierung (wie in der Konfiguration der lokalen Profilierung erwähnt) auch Folgendes tun: 1. Konfigurieren Sie die AAA-Accounting-Methode mit dem Typ "identitiy", der auf den RADIUS- Server verweist: 2. Die Accounting-Methode muss unter Configuration > Tags & Profile > Policy > [Policy_Name] >
Advanced hinzugefügt werden: 3. Schließlich muss das Kontrollkästchen RADIUS Profiling (RADIUS-Profilerstellung) unter Configuration > Tags & Profiles > Policy (Konfiguration > Tags & Profile > Richtlinien) aktiviert werden. Dieses Kontrollkästchen aktiviert sowohl die HTTP- als auch die DHCP RADIUS- Profilerstellung (alte AireOS-WLCs hatten zwei separate Kontrollkästchen):
Profilerstellungsbeispiele Anwenden lokaler Richtlinien basierend auf Klassifizierung der lokalen Profilierung Diese Beispielkonfiguration veranschaulicht die Konfiguration der lokalen Richtlinie mit einem QoS-Profil, das den YouTube- und Facebook-Zugriff blockiert. Sie wird nur auf Geräte angewendet, die als Windows-Workstation eingestuft sind. Bei geringfügigen Änderungen kann diese Konfiguration so geändert werden, dass z. B. eine spezifische DSCP-Markierung nur für Wireless-Telefone festgelegt wird. Erstellen Sie ein QoS-Profil, indem Sie zu Configuration > Services > QoS navigieren. Klicken Sie auf Hinzufügen, um eine neue Richtlinie zu erstellen: Geben Sie den Richtliniennamen an, und fügen Sie eine neue Klassenzuordnung hinzu. Wählen Sie aus den verfügbaren Protokollen die Protokolle aus, die blockiert, DSCP markiert oder die Bandbreite beschränkt werden sollen. In diesem Beispiel werden YouTube und Facebook blockiert. Achten Sie darauf, dass dieses QoS-Profil nicht auf eines der Richtlinienprofile am unteren Rand des QoS-Fensters angewendet wird:
Navigieren Sie zu Konfiguration > Sicherheit > Lokale Richtlinie, und erstellen Sie eine neue Servicevorlage:
Geben Sie das QoS-Profil für Eingang und Ausgang an, das im vorherigen Schritt erstellt wurde. In diesem Schritt kann auch eine Zugriffsliste angewendet werden. Wenn keine VLAN-Änderung erforderlich ist, lassen Sie das VLAN-Feld leer: Navigieren Sie zur Registerkarte Richtlinienzuordnung, und klicken Sie auf Hinzufügen:
Legen Sie den Namen der Richtlinienzuordnung fest, und fügen Sie neue Kriterien hinzu. Geben Sie die im vorherigen Schritt erstellte Servicevorlage an, und wählen Sie den Gerätetyp aus, auf den diese Vorlage angewendet werden soll. In diesem Fall wird Microsoft-Workstation verwendet. Wenn mehrere Richtlinien definiert sind, wird die erste Übereinstimmung verwendet. Ein weiteres gängiges Anwendungsbeispiel wäre die Angabe von OUI-basierten Abgleichskriterien. Wenn eine Bereitstellung über eine große Anzahl von Scannern oder Druckern desselben Modells verfügt, verfügen diese in der Regel über dieselbe MAC-Benutzeroberfläche. Dies kann verwendet werden, um eine bestimmte QoS-DSCP-Markierung oder eine ACL anzuwenden: Damit WLC den YouTube- und Facebook-Datenverkehr erkennen kann, muss die Anwendungstransparenz aktiviert werden. Navigieren Sie zu Configuration > Services >
Application Visibility eTransparenz für das Richtlinienprofil Ihres WLANs: Stellen Sie abschließend sicher, dass unter dem Richtlinienprofil HTTP TLV Caching, DHCP TLV Caching, Global Device Classification (Globale Geräteklassifizierung) aktiviert ist und dass die Local Subscriber Policy (Lokale Teilnehmerrichtlinie) auf die Local Policy Map verweist, die in einem der vorherigen Schritte erstellt wurde: Nachdem der Client eine Verbindung hergestellt hat, können Sie überprüfen, ob die lokale
Richtlinie angewendet wurde und testen, ob YouTube und Facebook tatsächlich blockiert werden. Die Ausgabe der detaillierten MAC-Adresse [MAC_ADDR] für den Wireless-Client enthält: Input Policy Name : block Input Policy State : Installed Input Policy Source : Native Profile Policy Output Policy Name : block Output Policy State : Installed Output Policy Source : Native Profile Policy Local Policies: Service Template : BlockTemplate (priority 150) Input QOS : block Output QOS : block Service Template : wlan_svc_11override_local (priority 254) VLAN : VLAN0039 Absolute-Timer : 1800 Device Type : Microsoft-Workstation Device Name : MSFT 5.0 Protocol Map : 0x000029 (OUI, DHCP, HTTP) Protocol : HTTP RADIUS-Profilerstellung für erweiterte Richtlinien-Sets in Cisco ISE Wenn die RADIUS-Profilerstellung aktiviert ist, leitet der WLC Profilinformationen an die ISE weiter. Auf Basis dieser Informationen können erweiterte Authentifizierungs- und Autorisierungsregeln erstellt werden. Dieser Artikel behandelt keine ISE-Konfiguration. Weitere Informationen finden Sie im Designleitfaden zur Cisco ISE-Profilerstellung. Für diesen Workflow ist in der Regel CoA erforderlich. Achten Sie daher darauf, dass diese Funktion auf dem 9800 WLC aktiviert ist. Profilerstellung in FlexConnect-Bereitstellungen Zentrale Authentifizierung, lokales Switching In dieser Konfiguration funktioniert sowohl die lokale Profilerstellung als auch die RADIUS- Profilerstellung weiterhin genau wie in den vorherigen Kapiteln beschrieben. Wenn der Access Point in den Standalone-Modus wechselt (der Access Point verliert die Verbindung zum WLC), funktioniert die Erstellung von Geräteprofilen nicht mehr, und es können keine neuen Clients verbunden werden. Lokale Authentifizierung, lokales Switching Wenn sich der Access Point im Modus "Connected" (Verbindung des Access Points zum WLC) befindet, funktioniert die Profilerstellung weiterhin (der Access Point sendet eine Kopie der DHCP- Pakete des Clients an den WLC, um den Profilerstellungsprozess durchzuführen). Obwohl die Profilerstellung funktioniert, kann die Profilerstellung, da die Authentifizierung lokal auf dem Access Point erfolgt, nicht für Konfigurationen mit lokalen Richtlinien oder RADIUS- Profilerstellungsregeln verwendet werden. Fehlerbehebung
Radioaktive Spuren Die einfachste Methode zur Fehlerbehebung bei der Client-Profilerstellung auf dem WLC ist die Verwendung radioaktiver Spuren. Navigieren Sie zu Problembehandlung > Radioactive Trace, geben Sie die MAC-Adresse des Wireless-Adapters des Clients ein, und klicken Sie auf Start: Verbinden Sie den Client mit dem Netzwerk, und warten Sie, bis der Ausführungsstatus erreicht ist. Beenden Sie die Ablaufverfolgungen, und klicken Sie auf Generieren. Stellen Sie sicher, dass Internal Logs (Interne Protokolle) aktiviert sind (diese Option existiert nur in Versionen ab 17.1.1):
Nachstehend finden Sie relevante Ausschnitte aus der radioaktiven Spur:
Client, der von WLC als Microsoft-Workstation profitiert:
2020/06/18 10:46:41.052366 {wncd_x_R0-0}{1}: [auth-mgr] [21168]: (info):
[74da.38f6.76f0:capwap_90000004] Device type for the session is detected as Microsoft-
Workstation and old device-type not classified earlier &Device name for the session is detected
as MSFT 5.0 and old device-name not classified earlier & Old protocol map 0 and new is 41
2020/06/18 10:46:41.052367 {wncd_x_R0-0}{1}: [auth-mgr] [21168]: (debug):
[74da.38f6.76f0:capwap_90000004] updating device type Microsoft-Workstation, device name MSFT
5.0
WLC-Caching zur Geräteklassifizierung:
(debug): [74da.38f6.76f0:unknown] Updating cache for mac [74da.38f6.76f0] device_type:
Microsoft-Workstation, device_name: MSFT 5.0 user_role: NULL protocol_map: 41
WLC findet die Geräteklassifizierung im Cache:
(info): [74da.38f6.76f0:capwap_90000004] Device type found in cache Microsoft-Workstation
WLC wendet lokale Richtlinien auf Grundlage der Klassifizierung an:
(info): device-type filter: Microsoft-Workstation required, Microsoft-Workstation set - match
for 74da.38f6.76f0 / 0x9700001A(info): device-type Filter evaluation succeeded (debug): match device-type eq "Microsoft-Workstation" :success WLC sendet Accounting-Pakete, die das Attribut DHCP und HTTP Profiling enthalten: [caaa-acct] [21168]: (debug): [CAAA:ACCT:c9000021] Accounting session created [auth-mgr] [21168]: (info): [74da.38f6.76f0:capwap_90000004] Getting active filter list [auth-mgr] [21168]: (info): [74da.38f6.76f0:capwap_90000004] Found http [auth-mgr] [21168]: (info): [74da.38f6.76f0:capwap_90000004] Found dhcp [aaa-attr-inf] [21168]: (debug): Filter list http-tlv 0 [aaa-attr-inf] [21168]: (debug): Filter list dhcp-option 0 [aaa-attr-inf] [21168]: (debug): Get acct attrs dc-profile-name 0 "Microsoft-Workstation" [aaa-attr-inf] [21168]: (debug): Get acct attrs dc-device-name 0 "MSFT 5.0" [aaa-attr-inf] [21168]: (debug): Get acct attrs dc-device-class-tag 0 "Workstation:Microsoft- Workstation" [aaa-attr-inf] [21168]: (debug): Get acct attrs dc-certainty-metric 0 10 (0xa) [aaa-attr-inf] [21168]: (debug): Get acct attrs dhcp-option 0 00 0c 00 0f 44 45 53 4b 54 4f 50 2d 4b 4c 52 45 30 4d 41 [aaa-attr-inf] [21168]: (debug): Get acct attrs dhcp-option 0 00 3c 00 08 4d 53 46 54 20 35 2e 30 [aaa-attr-inf] [21168]: (debug): Get acct attrs dhcp-option 0 00 37 00 0e 01 03 06 0f 1f 21 2b 2c 2e 2f 77 79 f9 fc ### http profiling sent in a separate accounting packet [aaa-attr-inf] [21168]: (debug): Get acct attrs http-tlv 0 00 01 00 0e 4d 69 63 72 6f 73 6f 66 74 20 4e 43 53 49 Paketerfassung In einer zentral geswitchten Bereitstellung können die Paketerfassungen auf dem WLC selbst durchgeführt werden. Navigieren Sie zu Problembehandlung > Paketerfassung, und erstellen Sie einen neuen Erfassungspunkt auf einer der Schnittstellen, die von diesem Client verwendet werden. SVI muss im VLAN vorhanden sein, um die Erfassung durchzuführen. Andernfalls wird die Erfassung auf dem physischen Port selbst vorgenommen.
Sie können auch lesen
