安全 : Cisco NAC Appliance (Clean Access)

Clean Access Agent 常见问题

2016 年 10 月 27 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


问题


简介

本文档回答了与 Cisco Clean Access Agent(以前称为 Perfigo SmartEnforcer)有关的最常见问题 (FAQ)。

产品名称更改了。此表列出老和新名字:

老名称 新名字
SmartManager Clean Access Manager
SecureSmart服务器 Clean Access 服务器
SmartEnforcer Clean Access Agent
CleanMachinesAPIs Clean Access API

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

支持的功能

Q. 有哪些受支持的操作系统?

A. 这些操作系统支持代理程序。

Windows平台

  • Windows 2000

  • Windows XP

  • Windows Vista

  • Windows 7

Macintosh平台

  • Mac OS X 10.4.11" Tiger”

  • Mac OS X 10.5.8"豹子”

  • Mac OS X 10.6.4"雪豹”

关于支持的浏览器和Java版本的更多信息参考的Cisco NAC设备Agent/OS/Browser支持矩阵

Q. Cisco 是否支持自定义 API?

A. 不能。

Q. Cisco 是否支持 VMware 或共享驱动程序上的代理?

A. 以下是 VMware 上 NAC 代理所支持或不支持的方面:

  • NAT 模式下的 VMware

    无论带内或 OOB 都不支持 NAC 代理,因为在 VMware NAT 模式下,所有 VM 都以相同的 IP 和 MAC 出现。因此,无法出于 auth/posture 目的而区分各 VM。

  • 网桥模式下的 VMware(映像、不同的 IP/MAC 地址之间的二层隔离)

    • 带内模式下支持 NAC 代理,因为各 VM 可以获得唯一的 IP 和 MAC 地址。

    • OOB 模式下不支持 NAC 代理,因为在 OOB 模式下,必须为每个交换机端口限制一个 MAC 地址。OOB 不支持一个交换机端口具有多个 MAC 地址。(支持 IP 电话和连接到 IP 电话的 PC。)

因此概括说来,在以下情况下,VMware 上支持 NAC 代理:

  • NAC 处于带内模式。

  • VMware 处于网桥模式。

对于其他所有模式,它都不受支持。

Q. NAC 4.5 或更高版本是否支持 Trend Micro OfficeScan 10.x?

A. NAC 支持从版本 4.7.1 开始的 Trend Micro OfficeScan 10.x。

错误消息

Q. 思科Clean Access代理程序显示或者SecureSmart不是可用的在网络SecureSmart服务器在网络错误错误消息没有查找我重新引导了 Cisco Clean Access Server,需要一段时间才能解决该问题。如何解决此问题?

A. 出现此错误是因为 Cisco Clean Access Agent 无法通过 SWISS 协议(通过 UDP 端口 8905 的加密通信)与 Cisco Clean Access Server 进行通信。

这可以归因于:

  • 日志文件变得太大。

  • 检查以查看是否是 Apache 条目导致日志大小达到 2 gb。此问题在版本 3.3.x 及更高版本中已解决。

  • SS 证书无效。如果 Clean Access Server 证书无效/不正确,则无法正确建立 HTTPS 连接。验证证书弹出窗口的底部是否有两个用于临时证书的勾选标记或三个用于 CA 签发证书的勾选标记。

  • 客户端时间不正确。如果客户端计算机上的时间导致其不信任服务器证书(例如,设置的客户端时间比服务器时间早),从客户端角度来讲,这样会导致将证书时间视为将来时间。检查 Clean Access Server 上的时间并确保允许对时间服务器实施 NTP 协议。

  • 客户端计算机上有多个网卡。如果客户端计算机上有多个卡,则 Windows 可能使用不正确的卡发送信息。为解决此问题,请禁用未使用的网卡。

  • 尝试清除 Enforcer PC 上的高速缓冲。

    • 在命令提示符下发出 ipconfig 或 dnsflush 命令。

      或者

    • 在 Internet Explorer 中选择工具 > Internet 选项 > 高级,取消选中“检查服务器证书吊销”。

  • 未建立网络连接。

  • 检查以确保 IP 地址正确。

  • 新安装 Cisco Clean Access Agent 后,本地 PC 或计算机可能出现某些问题。

  • 重启PC。在 Clean Access Server 上发出 service perfigo restart 命令。

  • Cisco Clean Access Server 上的目标端口 8905 被网络防火墙或个人防火墙阻拦。

  • 确保端口 8905 已打开。

  • 第三方软件干扰 Cisco Clean Access Agent。尝试禁用此类软件以查看 Clean Access Agent 是否正常工作。

  • 尝试关闭个人防火墙、禁用 VPN 软件或禁用垃圾邮件拦截器。

  • 在 Cisco Clean Access Server 3.2.6 中确定并解决软件缺陷。

  • 升级到 Cisco Clean Access Manager 和 Cisco Clean Access Server 3.2.6。

Q. 当注册时,思科Clean Access代理程序收到网络错误错误消息。为什么会这样?

A. 当 Cisco Clean Access Agent 无法使用 HTTPS 与 Cisco Clean Access Server 进行通信时,会显示此错误。发生此问题可能有多种原因:

  • SS 证书无效。如果 Cisco Clean Access Server 证书无效/不正确,则无法正确地建立 HTTPS 连接。

    验证证书弹出窗口的底部是否有两个用于临时证书的勾选标记或三个用于 CA 签发证书的勾选标记。

  • 客户端时间不正确。客户端计算机上的时间导致其不信任服务器证书。例如,设置的客户端时间比服务器时间早。从客户端角度来讲,这会导致将证书时间视为将来时间。

    检查 Cisco Clean Access Server 上的时间并确保允许对时间服务器实施 NTP 协议。

  • 客户端计算机上有多个网卡。如果客户端计算机上有多个卡,则 Windows 可能使用不正确的卡发送信息。

    为解决此问题,请禁用未使用的网卡。

  • 第三方软件干扰 Cisco Clean Access Agent 与 Cisco Clean Access Server 间的通信。很可能,软件例如Cisco VPN Client, CheckPointï ¿  ½ VPN客户端和个人防火墙可能影响通信。

  • 尝试禁用此类软件已查看 Cisco Clean Access Agent 是否正常工作。

  • 清除高速缓冲。

    • 在命令提示符下发出 ipconfig /dnsflush 命令,或在 Internet Explorer 中选择“Internet 选项”>“高级”,以取消选中“检查服务器证书吊销”。

Q. 在Windows更新平均值期间,什么此更新不能为在思科Clean Access代理程序的非管理员帐户错误消息执行

A. 问题是 Clean Access Agent 无法以非管理员身份执行 Windows 更新。非管理员需要有 Agent Stub 才能启动 Windows Server Update Services (WSUS)。非管理员用户必须使用 Stub 服务才能支持以下功能:

  • 下载和安装代理

  • 升级代理

  • 启动某个可执行程序

  • 启动 WSUS 更新

  • 访问身份验证 VLAN 更改检测

  • 执行 IP 刷新或更新

Q. 什么执行此客户端版本旧有和不兼容。从Web浏览器请登陆为在思科Clean Access代理程序平均值的新版本错误消息发现下载链路

A. 问题是 Clean Access Agent 版本与服务器版本不同。尝试将 Clean Access Agent 的版本与服务器版本相匹配。

Q. 我最近新安装了 Windows 98 系统。当我在计算机上安装 3.2.0 Cisco Clean Access Agent 客户端时,收到提示要更新安装程序。然而,当思科Clean Access代理程序尝试更新安装程序我请获得提供的instmsi升级可执行的‘C :Windows \临时互联网Files\Content.IE5\KXERWHYB\InstMSIA[2].exe是无效错误消息。如何解决此问题?

A. 安装 Cisco Clean Access Agent 3.1.3 或 3.2.0 的完整版本(大于 5 Mb)。

Q. 我将 Cisco Clean Access Agent 上载到我的 Cisco Clean Access Server。但 Cisco Clean Access Server 并未将其发布。我获得一检查上传的SmartEnforcer客户端文件….没找到的SmartEnforcer客户端文件。错误消息。如何解决此问题?

A. 上载 .exe 文件而非 .zip 文件。上载前,请确保已从 zip 文件夹中提取出 .exe 文件。并且,请勿更改原始 .exe 文件名。

Q. 当我尝试登录时,为什么会在 Cisco Clean Access Agent 上收到 Access to network is blocked by the adminstrator 错误消息?

A. 如果同时使用有线网络和无线网络,则可能出现此错误消息。尝试仅使用有线网络或无线网络中的任一种可能会解决此问题。并且,尝试使用 CCA 版本 4.1.3。这可能有助于解决此问题。

Q. 为什么在升级 NAC 设备后,我会收到 Warning:The current Trusted Certificate Authority 'www.perfigo.com' is suited for lab environments only.Cisco recommends importing a third-party Certificate Authority.Please check your Clean Access Server(s) and standby Clean Access Manager for similar messages. 错误消息?

A. 此错误消息由 Perfigo 证书导致。通过从受信任 CA 列表中删除 Perfigo CA 可以解决此问题。

Q. Cisco Clean Access Agent 上出现的 Revocation information for the security certificate for this site is not available.Do you want to proceed 错误消息表示什么?

A. 出现此问题是因为安全证书的吊销信息不可用。有两解决方法可用为此问题。如下提供解决方法:

  1. 当您使用一CA签名的CAS SSL证书时,请检查证书的CRL分布点领域,包括中间或根CA,并且添加URL主机到未经鉴定/临时/检疫角色的允许主机策略。当登陆时,这允许代理程序拿来Crl。

  2. 要解决此问题,请在 Internet 浏览器中完成以下步骤:

    1. 导入证书到客户端系统的可信的根存储。

    2. 选择“工具”>“Internet 选项”>“高级”选项卡 >“安全”部分,并取消选中“检查服务器证书吊销(需要重启动)”。

    3. 现在请关闭现有的浏览器并打开新的浏览器,以使更改生效。

删除的另一应急方案此错误消息是可用的。您能添加<AllowCRLChecks>0</AllowCRLChecks>到在此目录的NACAgentCFG.xml文件:C:\ProgramFiles\Cisco\Cisco美洲台代理程序

注意: 在思科Clean Access代理程序的网络错误SSL证书Failed 12057错误消息生成由于此问题。

有关详细信息,请参阅以下文档:

Q. 当我启动在Windows 7计算机时的Web代理程序,失效与错误消息代码3。如何调整此问题?

A. 错误代码3是表明的消息代理程序下载,但是不已安装。这些是可能的应急方案:

  1. 验证UAC (用户帐户控制)启用。

  2. 验证Internet Explorer在管理员模式运作。

  3. 验证,如果某激活x fucnction发生故障并且设法重置所有IE和活动X权限默认。

  4. 请验证,如果其他反病毒(AV)软件防止IE启动其可执行从其临时目录。

Q. 当美洲台代理程序设法启动时,我收到Internet Explorer脚本错误。如何解决此问题?

A. 错误消息下面表示。

http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/63591-ca-mgr-faq-2.gif

要解决此问题,请完成以下步骤:

  1. 卸载从系统的思科美洲台代理程序。

  2. 请手工删除C:\Program Files\Cisco\Cisco美洲台代理程序目录。

  3. 下载从此URL的regrserv32a.exe

    http://support.microsoft.com/kb/267279leavingcisco.com

  4. 运行regserv32a.exe。应用程序解压缩到您的本地计算机。

  5. 打开一prompt命令和更改对regserv32.exe应用程序解压缩的目录。

  6. 运行regsvr32.exe msxml3.dll。

    对话框看来陈述注册是成功的。

  7. 安装思科美洲台代理程序。

  8. 验证思科美洲台代理程序成功地开始。

其他

Q. 当MAC客户端不重定向对页没被找到的页时,需要执行什么为了更正?

A. 确保未使用以 .local 结尾的域名。MAC 将此视为多播 DNS 的特殊 DNS 名称。因此,解决方法请求从未发送到 DNS 服务器。

Q. 如果 McAfee 阻止了 Clean Access Agent,会发生什么情况?

A. 问题是 McAfee 认为 webagent 设置程序 (webagentsetup-win.exe) 是特洛伊木马,因此阻止了 Clean Access Agent。此问题的一种解决方法是修改客户端下载以排除 ActiveX 小程序并严格使用 Java 组件的方法。这在CAM可以设置使用UserPages -登录页-编辑-网络客户端(ActiveX/Applet) -仅Java程序。或者,用户可以使用其他任何浏览器(最好是 Firefox)。

Q. 当使用端口 8905 作为其源端口进行连接时,Cisco Clean Access Server 会尝试与谁进行通信?

A. Cisco Clean Access Agent 通过 SWISS 协议(通过 UDP 端口 8905 使用加密通信)与 Cisco Clean Access Server 进行通信。

Q. 我如何限制对 Cisco Clean Access Server 的 SSH 访问?

A. 通过添加与以下内容类似的一行来更改 /etc/ssh/sshd__config 文件:

ListenAddress IP_address_of_where_you_want_ssh_to_allow_connections

例如:

ListenAddress 192.168.151.60 

发出 service sshd restart 命令以重新启动 SSHD 进程。

Q. 我如何禁用 Windows 98/95 的 Clean Access Agent?

A. 在 CleanMachines 下,取消选中 Windows All 并为 Require Use of Clean Access Agent 单独选择每个 OS。

http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/63591-ca-mgr-faq-3.gif

Q. 发送链路打开或 MAC 通知陷阱后,收集器未正确地轮询运行 SNMPv3 的边缘交换机。直到 NAC Profiler 中 NetMap 进行下一次常规交换机轮询时,才会延迟发现连接到运行 SNMPv3 的交换机上端口的终点。为什么?

A. 此问题与 Cisco Bug ID CSCta25695仅限注册用户)有关。有关详细信息,请参阅此 Bug。

Q. 为什么在使用 NAC 设备中的 Perfigo 证书时会出现问题?

A. 使用 Perfigo 证书时出现问题可能是因为使用的 Cisco NAC 设备版本问题。Cisco NAC设备版本4.7(0)不再包含在.ISO或升级镜像的www.perfigo.com Certificate Authority (CA)。要求网络中具有 www.perfigo.com CA 的管理员必须在安装或升级至版本 4.7(0) 之后,从本地计算机中手动导入 CA。

为了在 CAM 和 CAS 之间建立初始安全通信通道,必须将根证书从每个设备导入到该设备的其他受信任存储中,以便 CAM 能够信任 CAS 的证书(反之亦然)。

Q. Windows 7 计算机中 Cisco Clean Access 上的 AV 检查失败。如何修复此问题?

A. 出现此问题是因为在 Windows 7 OS 下的要求规则中没有选择正确的规则。根据现有的要求,选择所有适用于 Windows 7 的要求规则。

Q. 美洲台拒绝网络访问由于在工作站安装的没有防病毒,即使AVG 10安装对此。什么是在此问题后的原因?

A. 美洲台不支持AVG 10。参考Cisco Bug IDCSCTJ89340 (仅限注册用户)关于此增强的更多信息

Q. 能否在美洲台后通过Nortel IP电话的DHCP请求?

A. 可以。您能在美洲台后通过Nortel IP电话的DHCP请求。参考在美洲台后的Nortel IP电话欲知更多信息。


相关信息


Document ID: 63591