安全 : Cisco Identity Services Engine Software

网络准入控制(NAC)身份服务引擎的(ISE)代理程序发现进程

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

本文描述思科网络准入控制(美洲台)代理程序如何发现思科身份服务引擎(ISE)策略节点,以及要求的配置保证美洲台代理程序和ISE之间的成功的通信。

注意: 贡献用Vivek Santuka, Cisco TAC工程师。

先决条件

要求

思科建议您符合这些要求:

  • 必须配置有客户端机器美洲台代理程序。

  • 必须为客户端供应流正确地配置ISE。

  • AAA客户端(交换机或WLC)必须配置与适当的重定向ACL。非常重要的是此ACL重定向在端口80的所有通信和不重定向在端口8905的通信。

  • 客户端机器一定能解决ISE主机名。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 思科网络准入控制(美洲台)代理程序4.9.x

  • 思科身份服务引擎(ISE) 1.1.x

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

发现过程

当美洲台代理程序启动时,跟随此顺序:

  1. 在端口80的HTTP发现探测发现主机的,如果一个人配置。

  2. 在端口8905的HTTPS发现探测发现主机的,如果一个人配置。

  3. 在端口80的HTTP发现探测默认网关的。

  4. HTTPS重新连接在8905的探测器对以前被接触的ISE策略节点。

  5. 从1.重复。

成功的状态验证依靠到达验证原始802.1x/MAB会话和接收会话信息的策略节点的代理程序。此信息对交换机,但是不是代理程序是可用的。当出现时,代理程序尝试连接到所有节点。

在步骤1和3,请注意美洲台代理程序用途HTTP数据流到端口80特别地到达发现主机或默认网关。此进程发生,因为ISE客户端供应流要求将重定向的端口80对验证会话的ISE策略节点。只要控制路径处理器(CPP)流和URL重定向配置是正确和工作,在网络的所有美洲台代理程序不应该遇到到达正确策略节点的问题。记住的一个警告是重定向URL包含ISE主机名,因此客户端机器应该能解决那到策略节点的IP。

如果URL重定向不工作也没有配置,则步骤2和4使用作为故障切换。使用这些步骤,只有当配置发现主机或,如果代理程序以前连接对此ISE部署。即使代理程序达到策略决定端(PDP)使用步骤2或4,不保证状态验证将成功,因为会话信息可能不取得到在那PDP。

为了在此问题附近工作,节点组可以组成共享会话信息。然而,更加简单配置和获得网域名称转址工作。

验证

为了验证美洲台代理程序是否能到达策略节点,打开在客户端机器的一个浏览器并且去此URL :https:// <ise-hostname>:8905/auth/discovery

ISE应该返回包括此文本的页:ISE> X-Perfigo-CAS=<FQDN


相关信息


Document ID: 115803