Segurança : Dispositivo Cisco NAC (Clean Access)

Limpe o servidor de acesso FAQ

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Perguntas


Introdução

Este documento aborda as perguntas mais frequentes (FAQ) relacionadas ao Cisco Clean Access Server (antigo Perfigo SecureSmart Server).

Os nomes dos produtos mudaram. Esta tabela lista os nomes novos e antigos:

Nome antigo Nome novo
SmartManager Clean Access Manager
SecureSmart Server Clean Access Server
SmartEnforcer Clean Access Agent
CleanMachinesAPIs Clean Access APIs

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Instalação

Q. Como eu instalo os driveres LSI SCSI para Dell 1750 ou outro?

A. Conclua estes passos:

  1. Salvar o arquivo do rawrite a C:\ e ao Driver LSI. Atualize arquivos no mesmo diretório.
  2. Abra um comando prompt e entre em C:\rawrite.
  3. Dê entrada com o nome completo do arquivo de origem e do destino sobre a dois discos flexíveis.
  4. Introduza o CD de instalação limpo das máquinas do Access Manager (anteriormente CleanMachines) no servidor de acesso limpo de Cisco ou no Access Manager limpo de Cisco.
  5. Incorpore o costume na alerta do boot>.
  6. Siga as instruções para entrar no disco da atualização, e então o disco de driver.

Configuração

Q. Como eu configuro os driveres Broadcom?

A. Conclua estes passos:

  1. Console na caixa:
    cd /lib/modules/kernel-2.4.9-perfigo/drivers/addon/bcm5700
    
    insmod ./bcm5700.o
  2. Se etapa 1 conduz a nenhuns erros, incorpore o comando de vi /etc/modules.conf e adicionar estas duas linhas:
    alias eth0 bcm5700
    
    alias eth1 bcm5700

Q. Como eu configuro o servidor de acesso limpo de Cisco atrás de um gateway NAT?

A. Termine estas etapas para cada servidor de acesso limpo de Cisco distribuído atrás de um gateway NAT.

  1. O SSH ao Servidor SecureSmart ou usa um console serial para entrar como a raiz.
  2. Edite o arquivo de /perfigo/access/bin/starttomcat.
  3. Adicione - Djava.rmi.server.hostname=<CAS_hostname> à linha da variável CATALINA_OPTS.
  4. Reinício do perfigo do serviço do reinício.
  5. O SSH ao SmartManager ou usa um console serial para entrar como a raiz.
  6. Edite o arquivo de /etc/hosts e adicione esta linha:
    <public_IP_address>  <securesmart_hostname> <securesmart_hostname> 

Ajustes do duplex e da velocidade

Q. Como eu ajusto o duplex e a velocidade no Network Interface Cards limpo do servidor de acesso de Cisco?

A. Use isto como guia para estabelecer o Network Interface Cards apropriado no arquivo de /etc/modules.conf.

Nota: Adicione o parâmetro options na extremidade para o arquivo de /etc/modules.conf com o uso do editor de VI.

  • Ajuste cartões do broadcom 5700 ao 100 Mbps completos - duplex:

    options bcm5700 line_speed=100,100 auto_speed=0,0 duplex=1,1
    
  • Ajuste cartões do broadcom 5700 ao 1000 Mbps completos - duplex:

    options bcm5700 line_speed=1000,1000 auto_speed=0,0 duplex=1,1 
    
  • Ajuste os cartões e1000 ao 100 Mbps completos - duplex:

    options e1000 Speed=100,100 Duplex=2,2
    
  • Ajuste os cartões e1000 ao 1000 Mbps completos - duplex:

    options e1000 Speed=1000,1000 Duplex=2,2
    
  • Ajuste os cartões eepro100 ao 100 Mbps completos - duplex:

    options eepro100 option="0x30,0x30"
    

Q. Como eu ajusto o frente e verso/velocidade na interface de acesso limpa "bnx2" de Cisco?

A. Em dispositivos limpos do servidor de acesso de Cisco (mesmo no CAM), há os arquivos para cada interface de rede que descrevem as propriedades e as configurações speed/duplex.

Estão aqui as etapas como executá-la manualmente:

  1. Mude o diretório a /etc/sysconfig/network-scripts. Para cada relação há um arquivo neste diretório nomeado ifcfg-ethX, onde X pode ser 0, 1, 2, etc.
  2. Adicionar esta linha para qualquer relação você quer codificar os ajustes para:
    ETHTOOL_OPTS="speed 100 duplex full autoneg off"
  3. Depois que salvar o arquivo, execute de “um reinício da rede serviço”.
  4. Certifique-se que as configurações de switch estão ajustadas manualmente. Verifique seus ajustes emitindo o comando do ethX da Eth-ferramenta no shell, onde X pode ser 0 ou 1 para confirmar as configurações bidirecional é codificado.

    Nota: Isto interrompe o serviço momentaneamente. Mantenha isto na consideração se você tem que programar um tempo ocioso da máquina.

Q. Como eu verifico para ver o duplex e a velocidade no Network Interface Cards limpo do servidor de acesso de Cisco (NIC)?

A. Execute a utilidade da MII-ferramenta da linha de comando. Trabalha para o NIC a bordo, mas não apoia a fibra NIC.

Para a fibra NIC, use o comando grep 'eth0' em /var/log/messages.

Você pode igualmente emitir um comando tail -f em /var/log/messages. Isto indica mensagens sempre que um NIC se torna ativo ou inativo.

Recursos suportados

Q. Que é o número de conexões de VPN apoiadas pelo servidor de acesso limpo de Cisco?

A. Nenhum limite é colocado para o IPsec.

O PPTP e o L2TP são ajustados atualmente a 32 escavam um túnel cada um.

Q. Como eu mudo o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor de acesso limpo de Cisco? Eu preciso de suprimir e adicionar novamente do servidor de acesso limpo de Cisco?

A. Cisco recomenda que você muda o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor de acesso limpo de Cisco através do gerente UI. Quando o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor de acesso limpo de Cisco é mudado do gerente UI, recarregue o servidor de acesso limpo de Cisco. Tenta automaticamente conectar a Cisco o Access Manager limpo em cima da repartição. O Access Manager limpo de Cisco muda o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor de acesso limpo de Cisco no banco de dados e o SSKEY permanece o mesmo.

Nota: Se você suprime e adicionar novamente do servidor de acesso limpo de Cisco, você perde todos os ajustes de configuração do servidor de acesso limpo de Cisco.

Q. Como eu limito o acesso SSH ao Cisco Clean Access Server?

A. Adicionar uma linha similar a este exemplo a fim mudar o arquivo de /etc/ssh/sshd_config:

ListenAddress IP_address_of_where_you_want_ssh_to_allow_connections

Por exemplo:

ListenAddress 192.168.151.60 

Emita o comando service sshd restart a fim reiniciar o processo SSHD.

Q. Como a configuração instantânea da largura de banda trabalha?

A. Sob CleanMachines, desmarcar Windows todo e selecione cada OS independentemente para o uso Require do SmartEnforcer ou não.

http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/63594-ca-mgr-faq-3.gif

Q. Eu leio recentemente dentro a liberação limpa 3.3BETA da instalação e do Guia de Administração do servidor de acesso na página 68 que o máximo recomendado de número de sub-redes pelo servidor de acesso limpo é 1000. Eu preciso de criar mais de 1000. Que é o limite?

A. O limite de 1000 é um aviso somente. Se a máquina tem bastante memória (mais do que 1G), você pode configurar até 2500 sub-redes.

Q. Como eu controlo um grupo de Access point que eu tenho em um VLAN específico que seja controlado pelo servidor de acesso limpo. Eu adicionar-los no Gerenciamento de dispositivos do Access point?

A. Adicionar os endereços MAC dos Access point à área dos >Devices dos filtros ao contrário da seção de Gerenciamento de dispositivos do Access point.

Q. Eu tenho (sub-redes secundárias secundário às vezes múltiplo) em cada VLAN. A sub-rede 150 é para clientes, e a sub-rede 172 é para o Gerenciamento de nossa engrenagem dos trabalhos em rede na construção. Pode o servidor de acesso limpo tratar os sub-rede múltipla em um único VLAN?

A. Um exemplo deste problema é:

! 
  interface Vlan 106 
   ip address 150.135.47.1 255.255.255.0 
   ip address 172.16.10.1 255.255.255.192 secondary
  ! 

O servidor de acesso limpo reage do modo de gateway virtual:

  • Neste caso, o servidor de acesso limpo não se importa com o número de sub-redes ou de suas etiquetas associadas VLAN. Todas as passagens da informação de VLAN completamente sem exceções.

O servidor de acesso limpo reage de um modo do gateway (real-IP ou NAT):

  • Neste caso, o servidor de acesso limpo igualmente funciona como uma transmissão de DHCP ou um servidor DHCP. Na situação, a escala dos endereços IP de Um ou Mais Servidores Cisco ICM NT atribuídos depende da etiqueta VLAN ou do endereço de gateway que igualmente depende da etiqueta VLAN.

    Consequentemente, o servidor de acesso limpo não pode diferenciar-se (de um ponto de vista DHCP) entre duas sub-redes no mesmo VLAN. A uma limitação é que uma das duas sub-redes no mesmo VLAN não deve usar o DHCP para a atribuição de endereço. Em lugar de, os endereços IP de Um ou Mais Servidores Cisco ICM NT precisam de ser atribuídos estaticamente. Isto é mais provável o argumento para a sub-rede 172 na rede desde que consiste na engrenagem da rede.

Q. Por que sou eu incapaz de adicionar o servidor de acesso limpo ao Access Manager limpo (CAM)?

A. Se você é incapaz de adicionar o servidor de acesso limpo ao CAM, a seguir este é um problema de licenciamento. Certifique-se de que as licenças de servidor estão geradas com base no MAC address do ethernet0 do CAM preliminar. Os endereços MAC na licença de servidor devem combinar o MAC address (preliminar) do CAM.

  1. Vão ao CAM O GUI > a administração > Access Manager limpo > licenciando.

  2. Execute “removem todas as licenças”.

  3. Reinstale os arquivos da licença de servidor outra vez.

Q. Devo eu gerar um CSR novo para renovar o certificado no servidor de acesso limpo?

A. Não. Para a renovação do certificado no servidor de acesso limpo, não gere um CSR novo. Contudo, se você está gerando um CSR novo, a seguir você tem que transferir arquivos pela rede a chave privada no servidor de acesso limpo. Após ter transferido arquivos pela rede a chave privada, recarregue o servidor de acesso limpo. Isto termina o processo de renovação.

Q. É possível passar através do tráfego multicast através do CCA?

A. Não, Multicast não é apoiado sob o gateway real inband. Contudo, trabalhará para o gateway fora da banda ou virtual.

Q. O NAC apoia o server 64-bit de Windows 2008?

A. Não, mas apoia o server de 32 bits de Windows 2008.

Q. O NAC inclui uma característica para duplicar os papéis de usuário e as políticas/propriedades associadas com ele a um papel de novo usuário?

A. Não. Isto não pode ser feito porque não há nenhuma tal disposição no GUI.

Mensagens de registro

Q. Em /var/log/messages ou nas mensagens de /var/log/ha-log eu ver diversos mensagens ritmada para o Failover. Por que é isto e como eu fixo-o?

A. Estes são os mensagens ritmada que você vê:

heartbeat: 2004/09/15_11:23:27 info: Heartbeat restart on node ss1

heartbeat: 2004/09/15_14:19:17 info: Heartbeat restart on node ss1

heartbeat: 2004/09/15_18:59:53 info: Heartbeat restart on node ss1

heartbeat: 2004/09/15_19:36:18 info: Heartbeat restart on node ss1

Você vê estas mensagens quando o servidor de peer é acima após uma repartição. Você pode igualmente vê-lo no fazer logon o servidor primário quando:

  • Você emite a parada do perfigo do serviço e presta serviços de manutenção então ao começo do perfigo no par ou na máquina à espera.

    ou

  • Recarregue um par ou uma máquina à espera.

Nota:  Quando você emite o comando service perfigo restart, não provoca este log.

Q. Eu ver as estatísticas de sistema limpas do servidor de acesso 2004-08-30 11:30:28 192.168.151.60: Fator de carga 0 (máximo desde a repartição: 3) Mem: 261160960 237854720 23306240 212992 47259648 99737600 processador central 188552 153 91405324 194183 mensagens em meus log de eventos. Que significa?

A. A estatística de sistema é gerada para cada servidor de acesso limpo controlado pelo Access Manager limpo cada hora à revelia. A informação relatada inclui o fator de carga de cada server, a carga máxima desde a repartição, a memória, e o USO de CPU.

  • Fator de carga — O fator de carga é um número que descreva o número de pacotes que esperam para ser processados pelo server (por exemplo, a carga atual que é segurada pelo servidor de acesso limpo). Quando o fator de carga cresce, é uma indicação que os pacotes estejam esperando na fila a ser processada. Se o fator de carga é maior de 500 para qualquer período de tempo consistente (por exemplo, minutos 5), a seguir é indicativo que o servidor de acesso limpo tem uma carga elevada constante do tráfego/pacotes que entram. Você precisa de ser referido se o número alcançam 500 ou o mais alto.

  • Máximo desde a repartição — O número máximo de pacotes na fila a qualquer altura (por exemplo, a carga máxima segurada pelo servidor de acesso limpo).

  • Mem — As estatísticas da utilização de memória. Há seis números (a unidade é bytes). Estes números representam o total, usado, livre, compartilhado, bufferes, e memória posta em esconderijo.

  • Processador central — A carga do processador no hardware. Há quatro números que fornecem a informação sobre o USO de CPU (a unidade é instantes - na maioria de sistemas, um instante é uma unidade de tempo da Senhora 10). Os números indicam o tempo passado pelo sistema no usuário, agradável, no sistema, e em processos inativos.

Para o exemplo forneceu, sistema % = 91405324*100/(188552+153+91405324+194183) = 99.58%. Similarmente, você pode calcular o outro também. Contudo, em um servidor de acesso limpo, o tempo de sistema é tipicamente maior de 90 por cento. Este é o sinal de um sistema saudável.

Mensagens de erro

Q. Por que eu recebo não posso adicionar o Mensagem de Erro limpo do servidor de acesso?

A. Verifique estes artigos:

  • O segredo compartilhado é o mesmo no servidor de acesso limpo de Cisco e no Access Manager limpo de Cisco.

  • Os Certificados estão corretos.

  • A Conectividade entre o servidor de acesso limpo de Cisco e o Access Manager limpo e o aquele de Cisco lá não é nenhum Firewall ordena que obstrui as portas RMI.

Q. Porque eu recebo o erro de rede de CAS: O servidor de acesso limpo não podia estabelecer uma conexão segura para limpar o Access Manager no zero. ?

A. Você pôde receber este erro se o certificado limpo do Access Manager expirou, não pode ser confiado, nem não pode ser alcançado. O erro é basicamente devido aos problemas de comunicação de CAS ou CAM.

Para resolver esse problema, verifique estes itens:

  • Certifique-se que CAS e o CAM são a mesma versão.

  • Se você usa um nome para o certificado, certifique-se que o nome pode ser resolved usando o nslookup.

  • Use o IP do serviço para o certificado do Failover.

  • Certifique-se que são tempo sincronizado antes de gerar o certificado.

  • Make sure compartilhou do fósforo dos segredos.

  • O Firewall não deve bloco ACL nenhuma comunicação SSL.

  • Adicionar o certificado CAM como uma raiz não padronizada a CAS.

  • Verifique para ver se há a resolução de nome DNS.

  • Certifique-se que o roteamento para a alcançabilidade entre o CAM e CAS está correto.

Q. Por que eu recebo o erro encontrado quando o certificate chain X509 de construção… não puder encontrar o certificado para o seguinte Mensagem de Erro do Certificate Authority?

A. Você deve usar o certificado de raiz correto. Se Microsoft Certificate Authority (CA) é usado, salvar o certificado em Base64 um pouco do que optam codificado.

Q. Eu obtenho o erro de comunicação do server da autenticação 2004-11-01 15:53:40, o baronete de 172.19.168.42 do ## [00:0E:35:5F:F9:91] e o erro de comunicação do server da autenticação 2004-11-01 15:53:13, os erros de bart de 172.19.168.42 do ## [00:0E:35:5F:F9:91] nos log de eventos. Como posso corrigir este problema?

A. Se você executa o servidor de acesso limpo do Failover no modo de gateway virtual, a seguir edite o arquivo de vi /etc/hosts e mude (servidor de acesso limpo) o endereço SS-1 ao IP do serviço (endereço virtual). Você precisa de mudá-los em ambos limpa servidores de acesso, active e apoio.

  • host local do host local de 127.0.0.1

  • 192.168.1.2 SS-1 SS-1

Q. Eu obtenho a assinatura da pilha TCP/IP: Mensagem DESCONHECIDA do DESCONHECIDO [65535:64:1:64:M1460,N,W2,N,N,T0,S,E:P] {}. Como eu fixo este e como posso eu desabilitar instalo do cliente para iPhones?

A. Estão aqui as instruções que devem trabalhar para não exigir o agente para iPhones:

  1. Escolha o papel sob o acesso limpo > instalação > início de uma sessão gerais do agente.

  2. Escolha MAC_ALL configurar as exigências do agente para o iPhone ou o toque de iPod. Certifique-se que o uso TODOS OS ajustes para a família do MAC OS se nenhum ajuste versão-específico é especificado é desmarcado, assim que não usará o ajuste compartilhado de “TUDO”. Também, certifique-se a opção do fazendo download do agente da exigência está desmarcada, assim que o servidor de acesso limpo não pedirá que o cliente (iPhone/toque de iPod) transfira o agente.

  3. Escolha MAC_OSX configurar as exigências do agente para o MAC OS. Você pode verificar TODA A opção de configuração ou desmarcar-la para configurar este OS específico. A opção do fazendo download do agente da exigência deve ser verificada se você quer os usuários regulares do MAC OS transferir o agente MAC.

Q. Você pôde receber este Mensagem de Erro: Erro: Transferência de arquivo pela rede falhada. Este certificado assinado CA não combina a chave privada no banco de dados chave. Como posso resolver isso?

A. Para resolver o problema, conclua estes passos:

  1. Gere um CSR.
  2. Salvar a chave privada.
  3. Transfira arquivos pela rede o certificado novo com a chave privada salvar.

Q. Eu recebi este Mensagem de Erro: Log de servidor do convidado NAC: usuário _SYSTEM_ (- 172.16.98.9) que tenta autenticar do local inválido: XXX@YYY.com 2011 15-Jan-2010 11:41:44. Como eu posso solucionar esse erro?

A. Esta edição releated para introduzir erros de funcionamento CSCsq86376 (clientes registrados somente) e apareceria se você não está usando endereços IP de Um ou Mais Servidores Cisco ICM NT em seus pacotes de informação de RADIUS do WLC.

Q. Eu recebi este meaage do erro ao promover CAS com CD: Do “o erro I/O buffer no dispositivo teve, bloco lógico”. Como eu posso solucionar esse erro?

A. Esta edição ocorre quando o CD é corrompido ou é queimada geralmente na alta velocidade. Com um ISO maior o CD não deve ser queimado em mais do que a velocidade 10X ou 8X.

Q. Você pôde receber este Mensagem de Erro quando você conecta o CAM a CAS: Erro: RMISocketFactory: Criar o soquete RMI não hospedou. Como esta edição é resolvida?

A. Este Mensagem de Erro pôde ocorrer devido às versões combinadas mal no CAM e em CAS ou devido aos Certificados combinados mal ou ao segredo compartilhado usado. Para obter mais informações sobre de como resolver as edições do certificado, refira NAC (CCA): Como fixar erros do certificado no CAM/CAS após a elevação a 4.1.6.

Q. Eu recebi este Mensagem de Erro: O expedidor do certificado para este local é não confiável ou desconhecido. Você deseja continuar? Como eu posso solucionar esse erro?

A. Esta mensagem aparece porque o certificado usado em CAS auto-é emitido e não é armazenada na loja do certificado dos clientes. Este erro pode ser resolvido carregando um certificado de um vendedor externo (tal como Verisign, confie, etc.) que seja conhecido já às máquinas cliente. Isto exige comprar um certificado de um destes vendedores e a instalação dele em CAS, ou você pode usar seu próprio Certificate Authority (contudo, você precisa de instalar manualmente o certificado de CA deste em cada cliente).

Nota:  Reinstalar o certificado em CAS exige a remoção dele e adicionar novamente-lo ao CAM. Isto pode ser disruptivo a sua rede. Isto é altamente recomendado somente quando há um indicador possível da indisponibilidade.

Diversos

Q. O serviço limpo do servidor de acesso DHCP não reinicia ou ocasionalmente paradas. Que precisa de ser feito?

A. Os ajustes DHCP são compilados no servidor de acesso limpo. Às vezes estes ajustes compilados podem tornar-se corrompidos, especialmente após uma elevação ao software de servidor de acesso limpo. A solução é forçar o servidor de acesso limpo à recompilar os ajustes. A fim fazer isto, faça uma mudança, e clique a atualização.

Sintomas:

O servidor DHCP não começa, ou falha ocasionalmente no servidor de acesso limpo.

Instruções:

  1. Se o demónio DHCP do server não começa, vá ao gerente, abrem esse servidor particular, e o clique controla.

  2. Selecione a rede > o DHCP > a lista da sub-rede, e o clique edita para uma das lista da sub-rede.

  3. Faça toda a mudança à sub-rede (por exemplo, aumente o Lease Time em 1 minuto), e clique a atualização.

  4. Vá para trás à página do estado e veja se o serviço DHCP começou. Neste momento os ajustes DHCP devem ser compilados outra vez.

Nota: Uma outra situação que possa fazer com que o servidor DHCP não comece está sobrepondo configurações da sub-rede. Verifique para ver se há isto também.

Q. Eu configurei o temporizador ritmado de modo que um dispositivo fosse terminado o sistema após alguma hora inativa. No log de eventos, indica que não pode sibilar o dispositivo mas o dispositivo continua a passar para a frente e para trás o tráfego. Como posso corrigir este problema?

A. Este é um exemplo do erro:

Authentication  2004-08-26 12:13:48  
Unable to ping 149.151.206.251, going to logout user user1

Verifique para ver se o dispositivo tem algum firewall embutida que obstruir pacotes ARP do servidor de acesso limpo de Cisco. O servidor de acesso limpo de Cisco executa o sibilo ARP. Este é um mensagem ARP e não deve ser obstruído.

Q. Eu configurei o temporizador ritmado de modo que um dispositivo terminasse o sistema após algum período de inatividade. No log de eventos, indica que não pode sibilar o dispositivo mas o dispositivo ainda passa o tráfego para a frente e para trás. Como posso corrigir este problema?

A. Certifique-se de que você configura uma porta serial para a conexão de failover.

Se o computador que executa o software de servidor de acesso limpo de Cisco tem duas portas serial, você pode usar a porta adicional para a conexão de cabo serial. À revelia, o primeiro conector serial detectado no server é configurado para o entrada/saída do console (para facilitar a instalação e outros tipos de acesso administrativo). Se o computador tem somente uma porta serial (ttyS0) e você não pretende usá-la para o acesso administrativo, você pode reconfigurar a porta para servir como a conexão de failover.

Termine estas etapas a fim reconfigurar o ttyS0 como a conexão heartbeat:

  1. De um cliente SSH, alcance o servidor de acesso limpo de Cisco como o usuário de raiz.
  2. Edite /etc/lilo.conf e remova-o ou comente-o para fora a última linha:
    append="console=ttyS0....."
    Esta linha faz com que as saídas do console sejam reorientadas à porta serial.

    Nota: Adicionar a # caráter ao começo da linha a fim comentar para fora uma linha. As linhas que começam com este caráter são ignoradas.

  3. Edite /etc/inittab e remova-o ou comente-o para fora a última linha:
    co:2345:respawn ...vt100
    Esta linha faz com que um terminal de login comece na porta serial.
  4. Datilografe o lilo e pressione-o entram no comando prompt. Isto começa Lilo, o Boot Loader de Linux.
  5. Inscreva o comando reboot recarregar o computador.
  6. Repita as etapas no servidor de acesso limpo de Cisco do par do Failover.

Q. Quanto tempo o faz para tomar a Cisco o Access Manager limpo (anteriormente SmartManager) para cronometrar para fora o servidor de acesso limpo de Cisco e para o SecureSmart 2004-08-26 12:26:42 192.168.1.1 é inacessível! mensagem a indicar?

A. O Access Manager limpo de Cisco toma a três minutos ao intervalo cada servidor de acesso limpo de Cisco antes que indique o estado não conectado.

Q. Que é o impacto de mudar o Network Interface Cards (NIC) no servidor de acesso limpo de Cisco?

A. Se você tem uma licença do NON-local, você não precisa de informar o Suporte técnico de Cisco da mudança no MAC address. Você precisa somente de informar o Suporte técnico de Cisco quando seu número de servidores de acesso limpos muda. Se você tem uma licença de site, você não precisa de informar o Suporte técnico de Cisco.

Q. Eu posso obter um endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor DHCP limpo do acesso, mas após o esse, eu continuo a ver uma “página não encontrar” a mensagem quando eu tento abrir um navegador a um endereço exterior. Eu fui reorientado nunca à página de login da Web. Por que isso ocorre?

A. Você pode experimentar uma destas edições:

Q. Eu preciso de atualizar qualquer coisa depois que eu substituo um servidor de acesso limpo defeituoso de Cisco?

A. Em alguns casos, o ss_key é já não o mesmo. Termine estas etapas.

  1. O SSH ao Access Manager limpo de Cisco e obtém o ss_key.
  2. Emita o psql - h 127.0.0.1 - comando do controlsmartdb dos postgres U.
  3. Selecione * do securesmart_info.
    ss_key                | ss_group |     ss_type      |   ss_ip   | ss_loc
    
     00_40_33_60_43_D2_04_54_48_55_66_D5 |    | standard_gateway | 10.0.0.1 |
  4. O SSH ao servidor de acesso limpo de Cisco e obtém/atualização o ss_key.
  5. Emita o [!ENTITY! etc] # o comando de /etc/.GUSSK do gato.
    [root@securesmart etc]# cat /etc/.GUSSK
    
    00_30_48_80_43_D6_00_30_48_80_43_D5
  6. Edite /etc/.GUSSK e atualize-o com o ss_key do Access Manager limpo.
  7. Execute uma repartição.

Q. A Conectividade SSH é perdida ao fechar o serviço do perfigo em CAS usando o comando shut do perfigo do serviço. Eu não posso reconectar a menos que alguém estiver fisicamente na caixa e posso reiniciá-la. Como resolvo esse problema?

A. Esta edição pode ser resolvida usando o comando da manutenção do perfigo do serviço em versões 4.1 e mais recente NAC.

Q. Eu não posso carreg a ferramenta NAC com o CD novo CAS/CAM que eu tenho. O que devo fazer?

A. Verifique o seguinte a fim resolver isto:

  • Assegure-se de que você valide a soma de verificação para a imagem ISO transferida para CAS/CAM.

  • Queime a imagem ISO na velocidade ardente possível a mais lenta.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 63594