Аналитика конечных точек Cisco AI и интеграция Cisco ISE
-
[Введение]
[Интеграция]
[Метки профиля аналитики конечных точек AI]
[Атрибуты аналитики конечных точек AI, отображаемые в ISE]
[Атрибуты аналитики конечных точек AI, используемые в настраиваемых политиках профилирования ISE]
[Политики профилирования ISE, используемые в правилах авторизации ISE]
[Резюме и итоги] Введение Эта статья написана с целью объяснить интеграцию между Cisco AI Endpoint Analytics и Cisco ISE с особым акцентом на атрибуты, которые AI Endpoint Analytics отправляет в ISE, и на то, как ISE интерпретирует их для назначения профилей и результатов авторизации.
Интеграция
ISE необходимо подключить к Cisco DNA Center.
[Ниже приведено руководство]
по выполнению этой интеграции.
Кроме того, необходимо включить зонд ISE pxGrid, который позволяет pxGrid получать контекст конечной точки от Cisco DNA Center/Endpoint Analytics, как показано в следующем примере:
![Screenshot 2020-06-25 at 15.54.31.png]
Также убедитесь, что «Probe Data Publisher» включен, как показано ниже. Это необходимо для того, чтобы ISE публиковал данные зонда конечной точки в Cisco DNA Center/Endpoint Analytics через pxGrid.
![Screenshot 2020-06-25 at 16.36.42.png]
Метки профилей AI Endpoint Analytics
Когда конечные точки обнаруживаются Endpoint Analytics, им назначается до четырех меток профиля. Например:
![Screenshot 2020-05-28 at 13.04.29.png]
Как видно из приведенного выше снимка, четыре типа меток профиля — это тип конечной точки, тип ОС, модель оборудования и производитель оборудования.
Обнаруженная конечная точка, в данном случае медицинский сканер, имеет метки во всех четырех категориях, как показано выше.
При выборе MAC-адреса обнаруженной конечной точки в правой части экрана отображаются дополнительные сведения, включая обнаруженные атрибуты. На следующем снимке экрана показаны атрибуты, расположенные под заголовком IOTAsset:
![Screenshot 2020-05-28 at 14.28.32.png]
Это атрибуты, отправленные в ISE из Endpoint Analytics через pxGrid. Для каждой метки профиля имеется следующий атрибут:
Метка профиля
Атрибут IOTAsset
Тип конечной точки
assetDeviceType
Тип ОС
assetSwRevision
Модель оборудования
assetHwRevision
Производитель оборудования
assetVendor
NOTE: If Endpoint Analytics learns of an endpoint from SD-AVC enabled Cat9Ks
but that endpoint is not learned from ISE, the attributes will NOT be sent
back to ISE in the existing design.
Атрибуты аналитики конечных точек AI, отображаемые в ISE
В ISE атрибуты для данного MAC-адреса можно увидеть в разделе «Context Visibility» (атрибуты находятся внизу списка):
![Screenshot 2020-06-01 at 12.48.42.png]
После отправки этих атрибутов в ISE их можно использовать в настраиваемых политиках Profiler, которые, в свою очередь, можно использовать в условиях авторизации. Атрибуты аналитики конечных точек AI, используемые в настраиваемых политиках профилирования ISE Ниже приведен пример настраиваемой политики Profiler в ISE (называемой CT-Scanner-ISEProfile), в которой в условиях используются все четыре метки Endpoint Analytics: ![Screenshot 2020-06-08 at 09.59.00.png] В политике используются следующие правила: IOTASSET
Оператор (в этом примере)
Значение
assetSwRevision
Равно
Linux
assetDeviceType
Равно
КТ-сканер
assetVendor
Содержит
Siemens
assetHwRevision
Содержит
Megnetom Как видно, минимальный коэффициент достоверности для присвоения этого настраиваемого профиля составляет 200, а коэффициент достоверности для каждого совпадающего условия — 50. Таким образом, для присвоения этого профиля должны совпадать все четыре условия. Warning
:
Changing the Minimum Certainty factor to a higher number will affect all endpoints matched.
So, care must be taken when adding custom profiling policies to ensure only the intended endpoints are affected.
At this time of writing, the Value of 200 is much higher than the Total Certainty Factor of 130 in ISE.
Total Certainty Factor is the aggregated value of all profiles ISE touches to profile endpoints.
(From ISE user interface you can go to
Context visibility > Endpoints > Endpoint Classification
, click on the MAC
address for details to view the Total Certainty Factor .You can also view this by adding additional column
in Endpoint classification list table from the UI).
Best practice is toTest this with small number of endpoints by adding conditions based on AssetMACaddress, Calling station ID
or other attributes such as Network Device or Network Device Group (NDG) so that the change is limited. Как уже упоминалось, это всего лишь пример, и в зависимости от требований можно использовать любое количество условий с соответствующими коэффициентами достоверности. Внизу этого документа приведена ссылка на руководство по проектированию ISE Profiler, которое можно использовать в качестве справочного материала, если требуется дополнительная информация о работе ISE Profiler. Если этот настраиваемый профиль (CT-Scanner-ISEProfile) соответствует и присвоен конечной точке, то присвоение будет отображаться для конечной точки в Live Session: ![Screenshot 2020-06-01 at 13.29.15.png] Этот профиль ISE можно использовать в качестве условия в правилах авторизации для авторизации конечной точки (например, для назначения SGT). Политики ISE Profiler, используемые в правилах авторизации ISE Ниже приведено правило авторизации ISE, использующее CT-Scanner-ISEProfile в качестве условия соответствия: ![Screenshot 2020-06-01 at 13.41.07.png]
Результирующий профиль авторизации назначает соответствующий SGT (сканеры) и VLAN (1stdVLAN-BldgMgmt), как показано ниже:
![Screenshot 2020-06-01 at 13.41.51.png]
Авторизованная конечная точка, соответствующая политике ISE Profiler и правилу авторизации, отобразит назначенный профиль и SGT в Live Session:
![Screenshot 2020-06-01 at 14.00.11.png]
Резюме и обобщение
В качестве резюме и обобщения, каждой конечной точке присваивается до четырех меток профиля, назначенных Endpoint Analytics, и четыре соответствующих атрибута IOTAsset отправляются в ISE. Эти атрибуты используются в качестве условий в настраиваемых политиках профилирования ISE. Полученные профили ISE затем используются в качестве условий в правилах авторизации ISE для авторизации конечных точек.
Для получения дополнительной информации о профилировании ISE обратитесь к руководству по проектированию профилирования:
[)
-
Привет, Джонатан возможно ли заполнить базу данных конечных точек ISE из DNAC без какого-либо сетевого AuthC/AuthZ, примененного к портам коммутатора? Допустим, у меня есть интересующие меня NAD, управляемые DNAC и EA AI, а также ISE, интегрированный с DNAC, но на портах NAD не настроено никакое принудительное применение AAA. Будет ли это работать? Спасибо.
-
@Андрей Олейник
Да, так и было. Некоторые из наших лабораторных установок имеют конечные точки, которые были обнаружены CBAR и EA до того, как сайт Fabric перешел в режим «Открытый/Закрытый» и аутентификацию с ISE. -
Здравствуйте Обязательно ли использовать центр ДНК для этой интеграции ИИ или можно обойтись без него? Да, это не обязательно. Как это работает?
-
@antoine.bak.59
Несмотря на наличие нескольких источников данных для AI EA (например, Catalyst switches itself или CSNA), Catalyst Center остается «мозгом» и панелью управления для AI EA. Так что да, это обязательно.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти