安全 : Cisco NAC Appliance (Clean Access)

Clean Access服务器常见问题

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


问题


简介

本文讨论与思科Clean Access服务器(常见问题)涉及的多数常见问题(以前Perfigo SecureSmart服务器)。

产品名称更改了。此表列出老和新名字:

老名称 新名字
SmartManager Clean Access Manager
SecureSmart服务器 Clean Access 服务器
SmartEnforcer Clean Access Agent
CleanMachinesAPIs Clean Access API

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

安装

Q. 如何安装Dell的1750或其他LSI SCSI驱动程序?

A. 完成这些步骤:

  1. 保存rawrite文件到C:\和LSI驱动程序。更新在同一个目录的文件。
  2. 打开prompt命令并且输入C:\rawrite
  3. 输入源文件和目的地的全名到两个软盘。
  4. 插入Clean Access管理器机器(以前CleanMachines)安装CD到思科Clean Access服务器或思科Clean Access管理器。
  5. 输入自定义boot>提示符。
  6. 跟随说明输入更新磁盘,然后驱动程序磁盘。

配置

Q. 如何配置Broadcom驱动程序?

A. 完成这些步骤:

  1. 控制到方框:
    cd /lib/modules/kernel-2.4.9-perfigo/drivers/addon/bcm5700
    
    insmod ./bcm5700.o
  2. 如果step1导致没有错误,请输入vi /etc/modules.conf命令并且添加这两条线路:
    alias eth0 bcm5700
    
    alias eth1 bcm5700

Q. 如何配置思科Clean Access服务器在NAT网关背后?

A. 完成在NAT网关后部署的每个思科Clean Access服务器的这些步骤。

  1. 对SecureSmart服务器的SSH或使用一个串行控制台登陆作为根。
  2. 编辑/perfigo/access/bin/starttomcat文件。
  3. 追加-对CATALINA_OPTS变量线路的Djava.rmi.server .hostname - = < CAS_hostname - >
  4. 重新启动服务perfigo重新启动
  5. 对SmartManager的SSH或使用一个串行控制台登陆作为根。
  6. 编辑/etc/hosts文件并且添附此线路:
    <public_IP_address>  <securesmart_hostname> <securesmart_hostname> 

双工和速度设置

Q. 如何设置双工并且加速在思科Clean Access服务器网络接口卡?

A. 请使用此作为指南设置在/etc/modules.conf文件的适当的网络接口界面卡。

注意: 追加选择参数在/etc/modules.conf文件的末端有使用的Vi编辑器。

  • 设置broadcom 5700卡为100 Mbps全双工:

    options bcm5700 line_speed=100,100 auto_speed=0,0 duplex=1,1
    
  • 设置broadcom 5700卡为1000 Mbps全双工:

    options bcm5700 line_speed=1000,1000 auto_speed=0,0 duplex=1,1 
    
  • 设置e1000卡为100 Mbps全双工:

    options e1000 Speed=100,100 Duplex=2,2
    
  • 设置e1000卡为1000 Mbps全双工:

    options e1000 Speed=1000,1000 Duplex=2,2
    
  • 设置eepro100卡为100 Mbps全双工:

    options eepro100 option="0x30,0x30"
    

Q. 如何设定双工/速度在思科Clean Access接口"bnx2" ?

A. 在思科Clean Access服务器设备上(在CAM),有描述属性和速度/双工设置每个网络接口的文件。

这是步骤如何手工执行它:

  1. 更改目录对/etc/sysconfig/network-scripts。对于每个接口有在名为ifcfg-ethX,其中X可以是0, 1, 2等等的此目录的一个文件。
  2. 添加此线路为接口的您要硬编码设置:
    ETHTOOL_OPTS="speed 100 duplex full autoneg off"
  3. 在保存文件以后,请进行“业务网重新启动”。
  4. 确保交换机设置手工设置。通过发出eth工具ethX on命令检查您的设置shell,其中X可以是确认双工设置的0或1硬编码。

    注意: 这一瞬间中断服务。如果必须安排停机时间,请保留此在考虑事项。

Q. 发现双工和如何检查加速在思科Clean Access服务器网络接口卡(NIC) ?

A. 从line命令运行MII工具工具。它为板载NIC工作,但是不支持光纤NIC。

对于光纤NIC,请使用grep 'eth0'命令在/var/log/messages。

您能也发出一tail -f命令在/var/log/messages。这显示消息,每当NIC变得活动或非激活。

支持的功能

Q. 什么是VPN连接数量每个思科Clean Access服务器支持的?

A. 限制没有为IPsec被放置。

PPTP和L2TP当前设置到32建立隧道其中每一。

Q. 如何更改思科Clean Access服务器的IP地址?是否需要删除和重新加写思科Clean Access服务器?

A. 思科建议您通过管理器UI更改思科Clean Access服务器的IP地址。当思科Clean Access服务器的IP地址从管理器UI时更改,请重新启动思科Clean Access服务器。它自动地设法联络到思科Clean Access管理器在重新启动。思科Clean Access管理器更改思科Clean Access服务器的IP地址在数据库的,并且SSKEY保持同样。

注意: 如果删除并且重新加写思科Clean Access服务器,您丢失思科Clean Access服务器的所有配置设置。

Q. 我如何限制对 Cisco Clean Access Server 的 SSH 访问?

A. 添加一条线路类似于此示例为了更换/etc/ssh/sshd_config文件:

ListenAddress IP_address_of_where_you_want_ssh_to_allow_connections

例如:

ListenAddress 192.168.151.60 

发出service sshd restart命令为了重新启动SSHD进程。

Q. 带宽突发传输设置如何工作?

A. 在CleanMachines下,请不选定Windows全部并且独立地选择每个OS为Require使用SmartEnforcer。

http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/63594-ca-mgr-faq-3.gif

Q. 我在页68最近写入Clean Access服务器安装和管理指南版本3.3BETA推荐的最大数量子网最大数字每个Clean Access服务器是1000。我需要创建超过1000。什么是限制?

A. 限制1000是仅警告。如果计算机有足够的内存(更比1G),您能配置2500子网。

Q. 我如何管理我有在特定VLAN由Clean Access服务器管理的批接入点。我在接入点设备管理里添加了他们?

A. 添加接入点的MAC地址对过滤器>Devices区域的与接入点设备管理部分相对。

Q. 我有在每个VLAN的附属(有时多个第二)子网。150子网是为客户端,并且172子网是为我们的在建立的网络齿轮的管理。Clean Access是否是能的服务器处理在单个VLAN的多个子网?

A. 此问题示例是:

! 
  interface Vlan 106 
   ip address 150.135.47.1 255.255.255.0 
   ip address 172.16.10.1 255.255.255.192 secondary
  ! 

Clean Access服务器在虚拟网关模式:

  • 在这种情况下, Clean Access服务器对子网或他们的相关VLAN标记数量不关心。所有VLAN信息通过没有例外。

Clean Access服务器在网关(雷亚尔德蒙特罗伊IP或NAT)模式:

  • 在这种情况下, Clean Access服务器也功能作为DHCP中继或DHCP服务器。在情况下,分配的IP地址范围取决于VLAN标记或也依靠VLAN标记的网关地址。

    所以, Clean Access服务器不能区分(从DHCP观点)在同样VLAN的两子网之间。这一个限制是一个在同样VLAN的两子网不应该使用DHCP地址分配。反而, IP地址需要静态分配。因为包括网络齿轮,这是很可能172子网的论点在网络。

Q. 为什么是无法添加Clean Access服务器给Clean Access管理器(CAM) ?

A. 如果是无法添加Clean Access服务器对CAM,则这是授权问题。确保服务器许可证根据主要的CAM的以太网生成0 MAC地址。在服务器许可证的MAC地址应该匹配CAM的(主要的) MAC地址。

  1. CAM GUI >许可授权的Administration > Clean Access Manager>

  2. 执行一“删除所有许可证”。

  3. 再重新安装服务器许可证文件。

Q. 应该生成新的CSR更新在Clean Access服务器的证书?

A. 不能。对于证书的续订在Clean Access服务器的,请勿生成新的CSR。然而,如果生成新的CSR,然后您必须上传在Clean Access服务器的专用密钥。在上传专用密钥以后,请重新启动Clean Access服务器。这完成更新过程。

Q. 穿过组播数据流通过CCA是否是可能的?

A. 不,组播不支持在带内实时网关下。然而,它为带外或虚拟网关将工作。

Q. 美洲台是否支持Windows 2008 64位服务器?

A. 不,但它支持32位Windows 2008服务器。

Q. 美洲台是否包括功能复制用户角色和策略/属性关联与它对新用户角色?

A. 不能。尽管没有在GUI的这样提供这不可能执行。

日志消息

Q. 在/var/log/messages或/var/log/ha-log消息我为故障切换看到几个检测信号消息。为什么是这,并且如何修复它?

A. 这些是您看到的检测信号消息:

heartbeat: 2004/09/15_11:23:27 info: Heartbeat restart on node ss1

heartbeat: 2004/09/15_14:19:17 info: Heartbeat restart on node ss1

heartbeat: 2004/09/15_18:59:53 info: Heartbeat restart on node ss1

heartbeat: 2004/09/15_19:36:18 info: Heartbeat restart on node ss1

当对等体服务器是UP在重新启动以后时,您看到这些消息。您在主服务器上的日志能也看到它,当:

  • 您发出服务perfigo终止然后服务在对等体或待机计算机的perfigo开始

  • 重新启动对等体或待机计算机。

注意: 当您发出service perfigo restart命令时,不触发此日志。

Q. 我看到Clean Access服务器2004-08-30 11:30:28 192.168.151.60系统统计:负荷系数0 (最大从重新启动:3) Mem :261160960 237854720 23306240 212992 47259648 99737600 cpu 188552在我的事件日志的153 91405324 194183个消息。他们是什么意思?

A. 默认情况下系统统计为Clean Access管理器管理的每个Clean Access服务器生成每个小时。报表中的信息包括每个服务器负荷系数,最大载荷从重新启动,内存和CPU使用情况。

  • 负荷系数—负荷系数是例如描述数据包数量等待由由Clean Access服务器处理)。的服务器处理的编号(当前负载当负荷系数增长时,它是数据包在将处理的队列等待的征兆。如果负荷系数比500极大在任何一致时期(例如, 5分钟),则是预示的Clean Access服务器有进来流量/数据包的平稳的高负载。如果编号到达500或高,您需要关系到。

  • 麦斯从重新启动—在随时队列的最大信息包的数量(例如, Clean Access服务器处理的最大载荷)。

  • Mem —内存使用统计信息。有六个编号(单元是字节)。这些编号代表总计,使用,自由,共享,缓冲区和缓存存储器。

  • Cpu —在硬件的处理器负载。有提供关于CPU使用情况的信息的四个编号(单元是瞬间-在多数系统,瞬间是一个10个毫秒时间单位)。编号由在用户,好,系统和空闲进程的系统指示中花费的时间。

对于示例提供了,系统% = 91405324*100/(188552+153+91405324+194183) = 99.58%。同样地,您能计算其他。然而,在Clean Access服务器,系统时间比90百分比典型地极大。这是一个健康系统的符号。

错误消息

Q. 为什么接收不能添加Clean Access服务器错误错误消息?

A. 检查这些项目:

  • 共享机密是相同的在思科Clean Access服务器和思科Clean Access管理器。

  • 证书正确。

  • 思科Clean Access服务器之间的连接和思科Clean Access管理器和那那里不是阻塞RMI端口的任何防火墙规则。

Q. 为什么我请收到CAS网络错误:Clean Access服务器不能建立对Clean Access管理器的一个安全连接在空。错误消息?

A. 如果Clean Access管理器证书超时,不是委托,也不可能被到达,您也许收到此错误。错误基本上归结于CAS或CAM通信问题。

为了解决此问题,请验证这些项目:

  • 确保CAS和CAM是同一个版本。

  • 如果使用一名称证书,请确保名称可以是解决的使用nslookup。

  • 请使用服务IP故障切换证书。

  • 确保他们是在生成证书前被同步的时间。

  • make sure共享秘密匹配。

  • 防火墙不应该ACL块任何SSL通信。

  • 添加CAM证书作为一非标准根到CAS。

  • 检查DNS域名解析。

  • 确保可接通性的路由在CAM和CAS之间正确。

Q. 为什么收到遇到的错误,当构件X509证书链…时找不到以下认证机关错误消息的证书

A. 您必须使用正确根证明。如果使用微软认证授权(CA),请保存在Base64的证书而不是默认编码。

Q. 我收到验证2004-11-01 15:53:40服务器通信错误, [00:0E:35:5F:F9:91 ## 172.19.168.42]男爵和验证2004-11-01 15:53:13服务器通信错误, [00:0E:35:5F:F9:91 ## 172.19.168.42]在事件日志的男爵错误。如何解决此问题?

A. 如果运行故障切换在虚拟网关模式的Clean Access服务器,则请编辑vi /etc/hosts文件并且更改对服务IP (虚拟地址)的SS-1 (Clean Access服务器)地址。您在两Clean Access服务器、激活和待机需要更改他们。

  • 127.0.0.1 localhost localhost

  • 192.168.1.2 SS-1 SS-1

Q. 我获得TCP/IP协议栈签名:未知未知[65535:64:1:64:M1460,N,W2,N,N,T0,S,E:P] {}消息。如何修复此,并且如何能禁用客户端的安装IP电话的?

A. 这是应该为不要求IP电话的代理程序工作的说明:

  1. 选择角色在设置的Clean Access >General下>座席登录

  2. 选择MAC_ALL配置IP电话或iPod联系的代理程序需求。请确保使用MAC OS家族的所有设置,如果译文细节设置没有指定被不选定,因此不会使用从“所有的”共享设置。并且,请确保要求代理程序下载选项被不选定,因此Clean Access服务器不会要求客户端(IP电话/iPod联系)下载代理程序。

  3. 选择MAC_OSX配置MAC OS的代理程序需求。您能检查所有设置选项或不选定它配置此特定OS。必须检查要求代理程序下载选项是否希望普通MAC OS用户下载MAC代理程序。

Q. 您也许收到此错误消息:Error:上载失败。此CA签发的证书不匹配在关键数据库的专用密钥如何才能解决此问题?

A. 要解决该问题,请完成以下步骤:

  1. 生成CSR。
  2. 保存专用密钥。
  3. 上传与已保存专用密钥的新证书。

Q. 我接收此错误消息:美洲台访客服务器日志:尝试_SYSTEM_ (- 172.16.98.9)的用户从无效位置验证:XXX@YYY.com 2011个15-Jan-2010 11:41:44。如何解决此问题?

A. 此问题releated烦扰CSCsq86376 (仅限注册用户),并且将出现,如果在他们的从WLC的RADIUS信息包不使用IP地址。

Q. 我接收此错误meaage,当升级与CD时的CAS :“缓冲区在设备的I/O错误有,逻辑块”。如何解决此问题?

A. 当CD是损坏的或高速,烧录此问题通常出现。使用更加大的ISO比10X或8X速度不能烧录CD在更多。

Q. 当您连接CAM对CAS时,您也许收到此错误消息:Error:RMISocketFactory :创建失败的RMI socket主机。如何解决此问题?

A. 此错误消息也许发生由于在CAM和CAS的不匹配的版本或者由于不匹配的证书或使用的共享机密。关于如何解决证书问题的更多信息,参考NAC(CCA) :如何在升级以后固定在CAM/CAS的证书错误4.1.6。

Q. 我接收此错误消息:此站点的证书发布者不信任或未知。是否继续?如何解决此问题?

A. 此消息在客户端的证书存储出现,因为在CAS使用的证书赛弗发出和没有存储。此错误可以通过装载从已经为客户端机器所知的一个外部供应商的一证书解决(例如Verisign、Entrust等等)。这要求采购从这些供应商之一的一证书和安装它在CAS,或者您能使用您自己认证机关(然而,您需要手工安装从此的CA证书在每个客户端)。

注意: 重新安装在CAS的证书要求删除它和重新加写它对CAM。这可以是中断对您的网络。只有当有一个可能的中断窗口时,这是高度推荐的。

其他

Q. Clean Access服务器DHCP服务不重新启动或偶尔地终止。什么需要执行?

A. DHCP设置在Clean Access服务器被编译。有时这些编译设置能变得损坏,特别是在升级以后对Clean Access服务器软件。解决方案将强制Clean Access服务器重新编译设置。为了执行此,做变动和点击更新

症状:

DHCP服务器不开始,或者在Clean Access服务器偶尔地失效。

说明:

  1. 如果服务器的DHCP守护程序不开始,请去管理器,打开该特定服务器,并且单击管理

  2. 选择网络> DHCP >子网列表,并且单击为其中一子网列表编辑

  3. 做对子网的所有变动(例如,请增加租用时间1分钟),并且点击更新

  4. 去上一步Status页并且看到DHCP服务是否开始。这时应该再编译DHCP设置。

注意: 能造成DHCP服务器不开始的另一个情况交迭子网配置。检查此。

Q. 我配置检测信号计时器,以便设备在不少非激活时刻之后注销系统。在事件日志,它阐明,不能ping设备,但是设备继续反复通过流量。如何解决此问题?

A. 这是错误的示例:

Authentication  2004-08-26 12:13:48  
Unable to ping 149.151.206.251, going to logout user user1

确认设备是否有阻塞从思科Clean Access服务器的ARP数据包的任何内置防火墙。思科Clean Access服务器执行ARP ping。这是ARP消息,并且不应该阻塞。

Q. 我配置检测信号计时器,以便设备在某个休止时期之后注销系统。在事件日志,它阐明,不能ping设备,但是设备反复仍然通过流量。如何解决此问题?

A. 确保您配置故障切换连接的一个串行端口。

如果运行思科Clean Access服务器软件的计算机有两个串行端口,您能使用额外端口串行电缆电缆连接。默认情况下,在服务器检测的第一个串行连接器为控制台输入/输出配置(实现安装和管理访问的其他类型)。如果计算机只有一个串行端口(ttyS0),并且您不打算使用它管理访问,您能重新配置端口担当故障切换连接。

完成这些步骤为了重新配置ttyS0作为检测信号连接:

  1. 从SSH客户端,请访问思科Clean Access服务器作为root用户。
  2. 编辑/etc/lilo.conf并且删除或者注释最后一行:
    append="console=ttyS0....."
    此线路造成控制台输出重定向到串行端口。

    注意: 添加a #字符到线路的开始为了评论线路。从此字符启动的线路忽略。

  3. 编辑/etc/inittab并且删除或者注释最后一行:
    co:2345:respawn ...vt100
    此线路在串行端口造成一个登录终端启动。
  4. 键入lilo并且按回车在prompt命令。这开始Lilo, Linux启动加载器。
  5. 输入reboot命令重新启动计算机。
  6. 重复在故障切换对等体思科Clean Access服务器的步骤。

Q. 多长时间需要思科Clean Access管理器(以前SmartManager)计时思科Clean Access服务器,并且为SecureSmart 2004-08-26 12:26:42 192.168.1.1是不可访问的!显示的消息?

A. 在显示不已连接状态前,思科Clean Access管理器采取三分钟对超时每个思科Clean Access服务器。

Q. 什么是更改网络接口卡(NIC)影响在思科Clean Access服务器?

A. 如果有一个非站点许可证,您不需要通知思科技术支持在MAC地址的更改。当Clean Access服务器您的编号更改时,您只需要通知思科技术支持。如果有一个站点许可证,您不需要通知思科技术支持。

Q. 我能从Clean Access DHCP服务器获得IP地址,但是在那以后,我继续发现“页不查找”消息,当我设法打开浏览器到外部地址时。我未曾重定向对Web登录页。为什么会这样?

A. 您能遇到这些问题之一:

Q. 在我替换有故障思科Clean Access服务器后,是否需要更新任何?

A. 在某些情况下, ss_key不再是相同的。完成下面这些步骤。

  1. 对思科Clean Access管理器的SSH和获取ss_key
  2. 发出psql - h 127.0.0.1 - U postgres controlsmartdb命令。
  3. 从securesmart_info选择*
    ss_key                | ss_group |     ss_type      |   ss_ip   | ss_loc
    
     00_40_33_60_43_D2_04_54_48_55_66_D5 |    | standard_gateway | 10.0.0.1 |
  4. 对思科Clean Access服务器的SSH和获取/更新ss_key。
  5. 发出[!ENTITY! etc] # cat /etc/.GUSSK命令。
    [root@securesmart etc]# cat /etc/.GUSSK
    
    00_30_48_80_43_D6_00_30_48_80_43_D5
  6. 编辑/etc/.GUSSK并且更新它与从Clean Access管理器的ss_key。
  7. 执行一辆重新启动。

Q. SSH连接丢失,当关闭在CAS的perfigo服务使用服务perfigo关闭命令时。我不重新连接,除非某人物理的是在方框,并且能重新启动它。如何能解决此问题?

A. 此问题可以是解决的通过使用服务perfigo维护in命令NAC版本4.1和以上。

Q. 我不能启动与我有的新的CAS/CAM CD的NAC设备。我该怎么办?

A. 验证以下为了解决此:

  • 保证您验证为CAS/CAM下载的ISO镜像的校验和。

  • 烧录ISO镜像以最缓慢的可能的烧速度。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 63594