はじめに

本ドキュメントではISEのlive logのDetailsで複数出てくるSessionがどのようなものかISE GUIやpacket captureを使って説明します。
この内容は基本的にISEのVersionにはよりません。

Session 一覧

• Audit Session Id
• CPMSessionID
• AcsSessionID
• Acct-Session-Id

 この4つがあります。

以降、都合によりISE GUIの画面キャプチャとWiresharkの画面キャプチャは別環境からのものになります。ご注意ください。packet capture全体は本documentに添付します。

Audit Session Id/CPMSessionID

これらはLive Logで表示できるSession IDと同じ値です。

ISEのLive Sessionsで表示している情報はこれらに基づいています。

このIDでISE内部で個々の接続を区別し、Guest認証成功/BYOD完了/Posture compliantといった情報を付与します。 いわゆる再認証ではこのIDは変わりません(1番目の絵)。
この値はSession開始時にNADからのRADIUS Access Request内Cisco AV pairのaudit-session-idでNAD-ISE間で共有されます。

　
Catalyst等でshow authentication session commandで表示されるCommon Session IDはこれです。

AcsSessionID

これは

Audit Session IdがNAD側で指定されるのとは逆でISE側で指定します。
この値は最初のAccess requestの次のchallenge以降必ず含まれるState attribute内でやりとりされます。

見難いかもしれませんが、State attributeにはAudit Session IDとAcsSessionIDが両方含まれており、これにより他の接続のやりとりとの混同を防ぎます。

Acct-Session-Id

これは上の２つの絵で緑色の四角でくくったものでRADIUS accountingの標準attributeです。

ISEの障害調査ではあまり使われておりませんため本稿でも割愛します。

まとめ

添付のpacket captureはBYODのFlow sampleとお考え下さい。

(10.6.1.13はNADのIP, 10.6.121.100はISEのIPです)

No.1-No.20、No.25-No.38、No.41-54の3つのAccess Request -> Access Acceptまでの流れがありますが、
Audit Session Idは019F000D00002F6917CD992Cで維持されており、AcsSessionIDに相当するise21a/275659448/1363は数値が上がっているのがわかります。

ISEの最大session数は?やライセンス消費量のような文脈で出てくるsessionはAudit Session ID, 各認証のやり取りはAcsSessionID(Live logsの一行一行)と考えるとわかりやすいかと思います。これらの値でログを整理すると障害調査しやすくなります。