DHCP55用于的参数请求列表选项描出终端配置示例-Cisco.PDF

DHCP 55用于的参数请求列表选项描出终端配置 示例 目录 简介 先决条件 要求 使用的组件 背景信息 配置 验证 故障排除 相关信息 简介 本文描述使用DHCP参数请求列表选项55作为替代方法描出使用身份服务引擎的设备(ISE)。 先决条件 要求 Cisco 建议您： DHCP发现过程的基础知识 与使用的体验ISE配置描出规则的自定义 使用的组件 本文档中的信息基于以下软件和硬件版本： ISE版本1.2 苹果公司iOS Windows 8 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 背景信息 在制作ISE部署，通常部署的一些描出探测器包括RADIUS、HTTP和DHCP。使用网域名称转址在 ISE工作流的中心， HTTP探测器是用途广泛为了获取从用户代理字符串的重要终端数据。然而，在 一些制作使用案件，网域名称转址没有希望，并且Dot1x preferered，使更加困难准确地描出终端。 例如，连接对公司服务集Indentifier的雇员PC (SSID)获得完全权限，当其个人iDevice (IP电话， iPad， iPod)时获得仅互联网访问。在两种情况下，用户被描出和动态地被映射给授权不依靠用户 打开Web浏览器的配置文件匹配的一更加特定的标识组。另一常用的替代方案是主机名匹配。因为 用户也许更改终端主机名到一个非标准值，此解决方案是不完美的。 在稀有案例中例如这些， DHCP探测器和DHCP参数请求列表选项55可以用于作为替代方法描出这 些设备。DHCP信息包的参数请求列表字段可以用于为了指纹终端操作系统很象入侵防御系统 (IPS)使用签名为了匹配数据包。当终端操作系统发送DHCP发现或时在电线的请求包，制造商包括 的DHCP选项一数字列表打算从DHCP服务器(默认路由器、域名服务器(DNS)， TFTP server等等 )接收。DHCP客户端请求从服务器的这些选项的命令是相当唯一，并且可以使用为了指纹特定来源 操作系统。使用参数请求列表选项不一样确切，象HTTP用户代理字符串，然而，比使用是控制主 机名和其他静态定义的数据。 注意 ：DHCP参数请求列表选项不是导致的优秀的解决方案，因为数据根据供应商的，并且可 以由多个设备设备类型复制。 在您配置描出规则、使用Wireshark捕获从终端/交换端口分析器(SPAN)或者传输控制协议(TCP)转 储捕获在ISE的ISE为了评估参数请求列表选项在DHCP信息包前(若有)。此示例捕获显示Windows 8企业PC的DHCP参数请求列表选项。 发生的参数请求列表字符串在以下逗号分隔的格式写入 ：1,15,3,6,44,46,47,31,33,121,249,252,43.当配置描出情况的自定义在ISE时，请使用此格式。 配置部分展示自定义描出情况的使用匹配IP电话、iPads和iPod到呼叫苹果公司iDevice的一标识组 。不同于对Windows 8是唯一的参数请求列表字符串，苹果公司使用在多个端点类型间的共同的一 套字符串。因此，区分与使用的苹果公司iDevice类型单独参数请求列表选项是不可能的。因为同一 项授权策略典型地应用对IP电话、iPads和iPod，这是在制作ISE部署的一可接受配置。 配置 1. 登录到ISE admin GUI并且导航对策略Policy元素情况描出。单击添加为了添加一个新的自 定义描出的情况。在本例中，四个独特规则为最常用的苹果公司iDevice参数请求列表指纹定 义。参考参数请求列表值完整列表的F。  注意 ：属性值文本框也许不显示所有数字选项，并且您也许需要移动以鼠标或键盘为了查看详 尽列表。 2. 当自定义条件定义，请导航对策略描出描出Polcies为了修改描出策略的当前或为了配置新 的。在本例中，默认苹果公司iDevice策略编辑为了包括新参数请求列表条件。 3. 添加一个新的复合条件到苹果公司iDevice仿形铣床策略规则并且保证或操作数选择，以便其 中任一个配置的参数请求列表字符串能导致匹配。修改把握要素根据命令取得希望的描出的结 果需要。 注意 ：使用命令查找工具 （仅限注册用户 ）可获取有关本部分所使用命令的详细信息。 验证 使用本部分可确认配置能否正常运行。 导航对Administration 身份管理标识终端 并