Cisco ISE nhập danh sách địa chỉ MAC

Quy trình công việc này thêm một nhóm nhận dạng tĩnh gán cho một địa chỉ MAC trong Công cụ dịch vụ nhận dạng của Cisco (ISE). Ví dụ: nếu bạn đang sử dụng nhóm nhận dạng để xác định hồ sơ ủy quyền nào sẽ áp dụng, thì bạn có thể sử dụng quy trình phản hồi này để thay đổi quyền của điểm cuối. hỗ trợ có thể quan sát được. mac_address

GitHub


Nhật ký thay đổi

DateNotesNgày 26 tháng 5 năm 2021- Bản phát hành lần đầuNgày 10 tháng 9 năm 2021- Cập nhật để sử dụng nguyên tử hệ thống mớiNgày 1 tháng 9 năm 2022- Cập nhật nhỏ về cách đặt tên và mô tảNgày 4 tháng 11 năm 2022- Đã khắc phục hoạt động Update Identity Group (Sự cố #214)

Xem trang Ghi chú quan trọng để biết thêm thông tin về việc cập nhật quy trình công việc


Yêu cầu

  • Quy trình làm việc này sử dụng các nguyên tử hệ thống sau đây
    • ISE - ERS - Endpoint - Tạo điểm cuối
    • ISE - ERS - Điểm cuối - Tìm kiếm
    • ISE - ERS - Điểm cuối - Cập nhật nhóm nhận dạng
    • ISE - ERS - Nhóm nhận dạng điểm cuối - Nhận theo tên
  • Các hành động nguyên tử sau đây phải được nhập trước khi bạn có thể nhập quy trình làm việc này
  • Các mục tiêu và khóa tài khoản được liệt kê ở cuối trang
  • Công cụ dịch vụ nhận dạng của Cisco (ISE)

Các bước quy trình làm việc

  1. Đảm bảo loại có thể quan sát được cung cấp được hỗ trợ
  2. Đảm bảo nhóm nhận dạng tồn tại và lấy ID của nhóm đó
  3. Tìm kiếm điểm cuối theo địa chỉ MAC
  4. Kiểm tra xem điểm cuối có tồn tại không
    • Nếu có, hãy cập nhật bài tập nhóm của nó
    • Nếu không, hãy tạo nó và thêm nó vào nhóm nhận dạng

Cấu hình

  • Đặt biến cục bộ Identity Group Name thành tên của nhóm nhận dạng điểm cuối để thêm điểm cuối vào
  • Nếu bạn muốn thay đổi tên của quy trình công việc này trong menu xoay vòng, hãy thay đổi tên hiển thị của nó

mục tiêu

Ghi chú. Nếu triển khai Cisco ISE của bạn là tại chỗ và không thể truy cập từ internet, bạn sẽ cần một điều khiển từ xa điều phối SecureX để sử dụng ISE với điều phối

Trong trang Splash, chọn Cisco Identity Services Engine (ISE) Authentication nếu thiết lập của bạn sử dụng AVP Loại dịch vụ - Kiểm tra cuộc gọi, nếu không thì các AP sẽ không bao gồm nó trong các gói yêu cầu truy cập của họ

tệp có định dạng mẫu ise

MACAddress,EndPointPolicy,IdentityGroup,PortalUser. Loại khách,Mô tả,Cổng thông tinNgười dùng. Vị trí,Người dùng cổng thông tin. GuestStatus,StaticAssignment,User-Name,DeviceRegistrationStatus,PortalUser. CreationType, AUPAccepted, PortalUser. EmailAddress,PortalUser. PhoneNumber,FirstName,ip,Device Type,host-name,StaticGroupAssignment,MDMEnrolled,MDMOSVersion,PortalUser. Họ,Người dùng cổng thông tin. Nhà tài trợ khách,Địa chỉ email,Người dùng cổng thông tin,Người dùng cổng thông tin. FirstName,BYODRegistration,MDMServerName,LastName,MDMServerID,Vị trí
50. 12. 33. 44. 55. 66,,huva-vlan501,,,,,,,,,,,,,,,,,,,,,,,,,,,,

chúng tôi sử dụng ba cột và cột còn lại để trống

Chào Saurabh,

Liên kết nói rằng Radius nên được cấu hình trong switch, điều đó có nghĩa là chúng ta không thể cấu hình MAB và hoạt động mà không có Radius

Công tắc phải có cấu hình RADIUS và được kết nối với máy chủ kiểm soát truy cập an toàn của Cisco (ACS)

Chia sẻ cách tạo tệp csv chứa máy Mac của nhóm điểm cuối ISE cụ thể dựa trên đầu vào của người dùng với python.   

#!/usr/bin/python
import json
import requests
import warnings
import sys
import csv

#ignore invalid cert warnings
warnings.filterwarnings("ignore")

groupID = ("")
temp1 = ("")
temp2 = ("")

USR_CHOICE = raw_input ("Do you want to see MACs in Imaging (1) or Blacklist group(2)?")
while USR_CHOICE not in ('1','2'):
print "************************************"
print "Error! You must enter 1 (ADD) or 2 (REMOVE)"
print "************************************"
sys.exit()
if USR_CHOICE == '1':
groupID = ''
else:
groupID = ''

API_DEVICE = "https://:9060/ers/config/endpoint?filter=groupId.EQ." + groupID + "&size=100"
API_ERS_USER = "",""
HEADERS = {
'Accept': "application/json",
'Content-Type': "application/json",
}

r = requests.get(url=API_DEVICE, auth=API_ERS_USER, headers=HEADERS, verify=True)

#print r.text
data = r.text

endPoints = json.loads(data)
print "Total Number of Endpoints in Group:",endPoints['SearchResult']['total']
print "---------------------------------------"

f = open ('Grp_Macs.csv','w')
w = csv.DictWriter(f, fieldnames = ['MAC Address','Description'])
w.writeheader()
f.close()

for MAC in endPoints ["SearchResult"]["resources"]:
temp1 = MAC['name']
with open ('Grp_Macs.csv','a') as csvfile:
w = csv.writer(csvfile)
try:
temp2 = MAC['description']
w.writerow([temp1, temp2])
print "MAC Address:", temp1, "||", "Description:", temp2
except KeyError:
w.writerow([temp1, temp2])
print "MAC Address:", temp1, "||", "Description:"""
continue
with open ('Grp_Macs.csv','a') as csvfile:
w = csv.writer(csvfile)
TOTAL = endPoints['SearchResult']['total']
w.writerow(['Total Endpoints:', TOTAL])

sys.exit() 

Sử dụng curl để lấy chuỗi nhóm id cho các nhóm cụ thể. Cập nhật tín dụng người dùng/vượt qua. Đầu ra mẫu của csv như sau

Địa chỉ MAC, Mô tả
XX. XX. XX. XX. XX. XX,mô tả1
XX. XX. XX. XX. XX. XX,mô tả2
XX. XX. XX. XX. XX. XX,mô tả3
XX. XX. XX. XX. XX. XX,mô tả4
XX. XX. XX. XX. XX. XX,mô tả5
XX. XX. XX. XX. XX. XX,mô tả6
XX. XX. XX. XX. XX. XX,mô tả7
XX. XX. XX. XX. XX. XX,description8
Tổng số điểm cuối. ,8

Ví dụ cuộn tròn để lấy chuỗi id nhóm.  

curl -k --include --header 'Content-Type:application/json' --header 'Accept: application/json' --user : --request GET https://:9060/ers/config/endpointgroup?filter=name.EQ. 

Làm cách nào để thêm địa chỉ MAC trong Cisco ISE?

Trong Bảng điều khiển, điều hướng đến Không dây> Định cấu hình> Kiểm soát truy cập. Chọn SSID mong muốn của bạn từ trình đơn thả xuống SSID (hoặc điều hướng đến Không dây > Định cấu hình > SSID để tạo SSID mới trước) Đối với Bảo mật, chọn Kiểm soát truy cập dựa trên MAC (không mã hóa) Trong Máy chủ RADIUS, nhấp vào Thêm máy chủ

Cisco ISE có thể có bao nhiêu điểm cuối?

Loại triển khai
Số nút/Personas
Số lượng Điểm cuối Hoạt động
Nhỏ bé
Các nút (2) độc lập hoặc dự phòng có bật tính năng Quản trị, Dịch vụ Chính sách và Giám sát
Tối đa 5.000 điểm cuối
Tối đa 10.000 điểm cuối
Hỗ trợ điểm cuối và định cỡ thiết bị Cisco ISE. cisco. com › kiểm soát truy cập mạng › td-pnull

MAB trong ISE là gì?

Bỏ qua xác thực MAC (MAB) là một phương thức ủy quyền truy cập mạng được sử dụng cho các điểm cuối không thể hoặc không được định cấu hình để sử dụng 802. Xác thực 1x . MAB sử dụng địa chỉ phần cứng (địa chỉ MAC) của thiết bị kết nối mạng để xác thực trên mạng.