配置异常终端检测和执行在ISE2Cisco

配置异常终端检测和执行在ISE 2.2

目录简介先决条件要求使用的组件背景信息配置网络图配置步骤1. Enable (event)异常检测。步骤2.配置授权策略。验证故障排除相关信息简介本文描述异常终端检测和执行。这是在思科身份服务引擎介绍的一个新的描出的功能(ISE)方面增强版网络可见度的。先决条件要求Cisco 建议您了解以下主题：qqq在交换机的有线的MAC验证旁路(MAB)配置在无线局域网控制器(WLC)的无线MAB配置授权(CoA)配置的崔凡吉莱在两个设备的使用的组件本文档中的信息基于以下软件和硬件版本：1.身份服务引擎2.22.无线局域网控制器 Catalyst交换机3750 15.2(3)s 10用有线的和无线适配器本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原

始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。背景信息ISE能检测在MAC地址伪装涉及的终端。一旦它检测， ISE能采取行动(与CoA)和强制执行某些策略限制可疑终端的访问。一旦检测启用， ISE监控为现有终端接收的所有最新信息和检查这些属性是否更改：端口类型-确定此终端访问方法是否更改。例如，如果通过有线的Dot1x连接的同一MAC地址使用了无线Dot1x和签证versa。中集集团ID -确定终端的客户端/供应商种类是否更改。3.操作系统-重大OS变成例如Windows苹果公司iOS。4.终端策略-重大的修改配置文件。例如，一更改从电话或打印机到PC。一旦ISE检测以上提到的其中一更改， AnomalousBehaviour属性被添加到终端和集对真。这在授权策略可以稍后用于，情况限制终端的访问在将来认证。如果执行配置， ISE能发送CoA，一旦更改检测重新鉴别或执行终端的端口跳动。如果实际上，它能根据配置的授权策略检疫异常终端。配置网络图

配置简单MAB和AAA配置在交换机和WLC被执行。要使用此功能，请遵从这些步骤：步骤1. Enable (event)异常检测。导航对管理>System >设置>描出。第一个选项允许ISE检测所有异常行为，但是CoA没有发送(可见性模式)。第二个选项允许ISE发送CoA，一旦异常行为检测(执行模式)。

步骤2.配置授权策略。如镜像所显示，配置Anomlousbehaviour属性作为在授权策略的一个条件， ：验证连接无线适配器。请使用ipconfig命令/all查找无线适配器MAC地址，如镜像所显示：要模拟恶意用户，您可以伪装以太网适配器的MAC地址匹配普通用户的MAC地址。

一旦普通用户连接，您能看到在数据库的一个终端条目。之后，使用用欺骗性MAC地址，恶意用户连接。从报告您能看到从WLC的初始连接。之后，恶意用户连接，并且10几秒后， CoA被触发的归结于异常客户端的检测。因为全局CoA类型设置为Reauth，终端设法再连接。ISE已经设置AnomalousBehaviour属性对真，因此ISE匹配第一个规则并且拒绝用户。如镜像所显示，您能看到详细信息在上下文可见性选项卡的终端下：

正如你看到的终端可以从数据库删除清除此属性。如镜像所显示，控制板包括一新的选项卡显示显示此行为的客户端数量：

故障排除为了排除故障，启用仿形铣床调试，您导航对管理>System >记录日志>调试日志配置。如镜像所显示，为了查找ISE 文件，请导航对操作>下载日志>调试日志， ：这些日志显示一些片断从文件。正如你看到的ISE能检测与C0:4A:00:21:49:C2 MAC地址的终端通过比较类型属性的旧有和新的值更改访问方法。它是无线，但是更改对以太网。2016-12-30 20:37:43,874 DEBUG [EndpointHandlerWorker-2-34-thread-1][]

erManager -:Profiling:- Classify hierarchyC0:4A:00:21:49:C22016-12-30 20:37:43,874 DEBUG [MACSpoofingEventHandler-52-thread-1][]ofingEventHandler -:ProfilerCollection:- ReceivedAttrsModifiedEvent in MACSpoofingEventHandler MAC: C0:4A:00:21:49:C2 2016-12-30 20:37:49,618DEBUG [MACSpoofingEventHandler-52-thread-1][]ofingEventHandler -:ProfilerCollection:- ReceivedAttrsModifiedEvent in MACSpoofingEventHandler MAC: C0:4A:00:21:49:C2 2016-12-30 20:37:49,618INFO [MACSpoofingEventHandler-52-thread-1][] ofingManager -:ProfilerCollection:- Anomalous Behaviour Detected: C0:4A:00:21:49:C2 AttrName: NAS-Port-TypeOld Value: Wireless - IEEE 802.11 New Value: Ethernet 2016-12-30 20:37:49,620 DEBUG[MACSpoofingEventHandler-52-thread-1][] ntCache -:ProfilerCollection:- Updating end point: mac - C0:4A:00:21:49:C2 2016-12-30 20:37:49,621 DEBUG[MACSpoofingEventHandler-52-thread-1][] ntCache -:ProfilerCollection:- Reading significant attribute from DB for end point with macC0:4A:00:21:49:C2 2016-12-30 20:37:49,625 DEBUG [MACSpoofingEventHandler-52-thread-1][]ntPersistEventHandler -:ProfilerCollection:- Addingto queue endpoint persist event for mac: C0:4A:00:21:49:C2所以，因为实施启用， ISE采取行动。此处操作是发送CoA根据在以上提到的描出的设置的全局配置。在我们的示例中， CoA类型设置为允许ISE重新鉴别终端和复校规则配置的Reauth。这时，它匹配异常客户端规则并且拒绝。2016-12-30 20:37:49,625 INFO [MACSpoofingEventHandler-52-thread-1][]ofingEventHandler -:ProfilerCollection:- Taking macspoofing enforcement action for mac: C0:4A:00:21:49:C2 2016-12-30 20:37:49,625 INFO[MACSpoofingEventHandler-52-thread-1][]ofingEventHandler -:ProfilerCollection:- TriggeringDelayed COA event. Should be triggered in 10 seconds 2016-12-30 20:37:49,625 DEBUG [CoAHandler-40-thread-1][] dler -:ProfilerCoA:- ReceivedCoAEvent notification for endpoint: C0:4A:00:21:49:C2 2016-12-30 20:37:49,625 DEBUG [CoAHandler-40-thread-1][] dler -:ProfilerCoA:- ConfiguredGlobal CoA command type = Reauth 2016-12-30 20:37:49,626 DEBUG [CoAHandler-40-thread-1][]dler -:ProfilerCoA:- ReceivedFirstTimeProfileCoAEvent for endpoint: C0:4A:00:21:49:C2 2016-12-30 20:37:49,626 DEBUG[CoAHandler-40-thread-1][] dler -:ProfilerCoA:-Wait for endpoint: C0:4A:00:21:49:C2 to update - TTL: 1 2016-12-30 20:37:49,626 DEBUG[CoAHandler-40-thread-1][] dler -:ProfilerCoA:-Setting timer for endpoint: C0:4A:00:21:49:C2 to: 10 [sec] 2016-12-30 20:37:49,626 DEBUG[CoAHandler-40-thread-1][] dler -:ProfilerCoA:-Rescheduled event for endpoint: C0:4A:00:21:49:C2 to retry - next TTL: 0 2016-12-30 20:37:59,644DEBUG [CoAHandler-40-thread-1][] dler -:ProfilerCoA:- About to call CoA for nad IP: 10.62.148.106 for endpoint: C0:4A:00:21:49:C2 CoACommand: Reauth 2016-12-30 20:37:59,645 DEBUG [CoAHandler-40-thread-1][]dler -:ProfilerCoA:- Applying CoA-REAUTH by AAAServer: 10.48.26.89 via Interface: 10.48.26.89 to NAD: 10.62.148.106相关信息ISE 2.2管理指南q