セキュリティ : Cisco 適応型セキュリティ アプライアンス(ASA)ソフトウェア

ISE 設定例の ASA バージョン 9.2.1 VPN ポスチャ

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料にインライン ポスチャ ノード(IPN)の必要性なしで Cisco Identity Services Engine (ISE)に対して VPN ユーザをポーズをとらせるために Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)バージョン 9.2.1 を設定する方法を記述されています。

著者:Cisco TAC エンジニア、Michal Garcarz

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • ASA CLI 設定および Secure Socket Layer (SSL) VPN 設定の基本的な知識
  • ASA のリモートアクセス VPN 設定の基本的な知識
  • ISE およびポスチャ サービスの基本的な知識

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアのバージョンに基づくものです。

  • Cisco ASA ソフトウェア バージョン 9.2.1 およびそれ以降
  • Cisco AnyConnect セキュア モビリティ クライアント バージョン 3.1 が付いている Microsoft Windows バージョン 7
  • パッチ 5 またはそれ以降の Cisco ISE バージョン 1.2

背景説明

Cisco ASA バージョン 9.2.1 は許可(CoA)の RADIUS 変更を(RFC 5176)サポートします。 これは IPN のための必要なしで Cisco ISE に対して VPN ユーザのポーズをとることを可能にします。 VPN ユーザがログオンした後、ASA はユーザがネットワーク アドミッション コントロール(NAC) エージェントか Web エージェントによって提供される ISE に Webトラフィックをリダイレクトします。 エージェントは設定された一組の Operating System (OS)、パッチ、ウイルス対策、サービス、アプリケーション、またはレジストリ ルールのようなポスチャ ルールに対して準拠性を、判別するためにユーザ マシンの特定のチェックを行います。

ポスチャ 検証の結果は ISE にそれから送られます。 マシンが考えられた不平である場合、ISE は承認ポリシーの新しいセットの ASA に RADIUS CoA を送ることができます。 成功した後検証をポーズをとらせた CoA は、ユーザ 内部リソースへのアクセスを許可されます。

設定

ネットワーク構成図とトラフィック フロー


次のネットワーク ダイアグラムにトラフィック フローを示します。

  1. リモートユーザは ASA に VPN アクセスのために Cisco Anyconnect を使用します。

  2. ASA は ISE にそのユーザ向けの RADIUS Access-Request を送信 します。

  3. 要求はポリシーを見つけること ISE の ASA92-posture を指名しました。 その結果、ASA92-posture 許可 プロファイルは戻ります。 ISE は Cisco 2 つの属性値ペアとの RADIUS Access-Accept を送信 します:

    • url-redirect-acl=redirect -これはリダイレクトする必要があるトラフィックを決定する、ASA でローカルで定義される Access Control List (ACL)名前です。

    • url-redirect=https://ise2.test-cisco.com:8443/guestportal/gateway?sessionId=xx&action=cpp -これはリモートユーザがリダイレクトする必要がある URL です。

    ヒント: VPN クライアントに割り当てられる Domain Name System (DNS)サーバは完全修飾ドメイン名 (FQDN)を解決できる必要がありますリダイレクト URL で戻る。 トンネル グループ レベルでアクセスを制限するために VPN フィルターが設定される場合クライアント プールが設定されたポート(この例の TCP 8443)の ISE サーバにアクセスできることを確認して下さい。

  4. ASA は RADIUS アカウンティング要求 開始する パケットを送信 し、応答を受け取ります。 これは必要 ISE にセッションに関して詳細すべてを送るためです。 これらの詳細は VPN クライアントの session_id、外部 IPアドレス、および ASA の IP アドレスが含まれています。 ISE はそのセッションを識別するために session_id を使用します。 ASA はまたほとんどの重要 な 属性が ASA (この例の 10.10.10.10)によってクライアントに割り当てられる IP の Framed-IP-Address である定期的に暫時アカウント情報を送信 します。

  5. VPN ユーザからのトラフィックがローカルで定義された ACL (リダイレクト)と一致する時、https://ise2.test-cisco.com:8443 にリダイレクトされます。 設定に依存は、ISE NAC エージェントか Web エージェントを提供します。

  6. エージェントはクライアントマシンでインストールされていた後、自動的に特定のチェックを行います。 この例では、それは c:\test.txt ファイルを捜します。 それはまた ISE にアクセスするためにスイス プロトコルおよびポート TCP/UDP 8905 の使用の複数の交換を含むことができる ISE にポスチャ レポートを送ります。

  7. ISE はエージェントからポスチャ レポートを受け取るとき、承認規則をもう一度処理します。 今回、ポスチャ結果は既知であり、別のルールは見つかります。 それは RADIUS CoA パケットを送信 します:

    • ユーザが対応である場合、ダウンロード可能ACL (DACL)名前割り当てフルアクセスが送信 されること(AuthZ ルール ASA92-compliant)。

    • ユーザが不適合である場合、割り当て制限されたアクセスが送信 されること DACL 名前(AuthZ ルール ASA92-noncompliant)。

    : RADIUS CoA は常に確認されます; すなわち、ASA は確認するために ISE への応答を返します。

  8. ASA はリダイレクションを取除きます。 DACLs をキャッシュしてもらわない場合 ISE からそれらをダウンロードするために Access-Request を送信 する必要があります。 仕様 DACL は VPN セッションに接続されます。

  9. VPN ユーザが Webページにアクセスすることを試みるそれ次に ASA でインストールされている DACL によって許可されるリソースすべてにアクセスできます。
    ユーザが対応しない場合、制限されたアクセスだけが許可されます。

    : この流れモデルは RADIUS CoA を使用するほとんどのシナリオと異なります。 配線された/ワイヤレス 802.1X 認証に関しては、RADIUS CoA は属性が含まれていません。 それはすべての属性が、DACL のような、接続される第 2 認証だけを引き起こします。 ASA VPN ポスチャに関しては、第 2 認証がありません。 属性すべては RADIUS CoA で戻ります。 VPN セッションはアクティブであり、VPN ユーザ設定のほとんどを変更することはできません。

設定

ASA および ISE を設定するためにこのセクションを使用して下さい。

ASA

Cisco AnyConnect アクセスのための基本 ASA 設定はここにあります:

ip local pool POOL 10.10.10.10-10.10.10.100 mask 255.255.255.0

interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address xxxx 255.255.255.0
!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 192.168.111.10 255.255.255.0

aaa-server ISE protocol radius
aaa-server ISE (inside) host 10.48.66.74
 key cisco

webvpn
 enable outside
 anyconnect-essentials
 anyconnect image disk0:/anyconnect-win-3.1.02040-k9.pkg 1
 anyconnect enable
 tunnel-group-list enable
 
group-policy GP-SSL internal
group-policy GP-SSL attributes
 vpn-tunnel-protocol ikev1 ikev2 ssl-client ssl-clientless

tunnel-group RA type remote-access
tunnel-group RA general-attributes
 address-pool POOL
 authentication-server-group ISE
 default-group-policy GP-SSL
tunnel-group RA webvpn-attributes
 group-alias RA enable

ISE ポスチャの ASA 統合に関しては、以下を確認して下さい:

  • CoA を受け入れるために動的許可のための認証、許可、アカウンティング(AAA) サーバを設定して下さい。

  • ISE の方の VPN セッション 詳細を送信 するためにトンネル グループで会計を設定して下さい。

  • ユーザに割り当てられた IP アドレスを送信 する設定し、定期的に ISE のセッションステータスをアップデートして下さい中間アカウンティングを

  • DNS および ISE トラフィックは許可されるかどうか決定するリダイレクト ACL を設定して下さい。 他の HTTPトラフィックはすべてポスチャのための ISE にリダイレクトされます。

設定例はここにあります:

access-list redirect extended deny udp any any eq domain 
access-list redirect extended deny ip any host 10.48.66.74
access-list redirect extended deny icmp any any
access-list redirect extended permit tcp any any eq www

aaa-server ISE protocol radius
 authorize-only
 interim-accounting-update periodic 1
 dynamic-authorization
aaa-server ISE (inside) host 10.48.66.74
 key cisco

tunnel-group RA general-attributes
 address-pool POOL
 authentication-server-group ISE
 accounting-server-group ISE
default-group-policy GP-SSL

ISE

ISE を設定するには、次の手順を実行します。

  1. Administration > ネットワークリソース > ネットワークデバイスにナビゲート し、ネットワークデバイスとして ASA を追加して下さい:



  2. ナビゲート し、DACL をようにそれはポリシー > 結果 > 許可 > ダウンロード可能ACL にフル アクセス割り当て設定します。 デフォルトACL 設定割り当て ISE のすべての IP トラフィック:



  3. 制限されたアクセスを提供する同じような ACL を設定して下さい(非対応ユーザ向けに)。

  4. ナビゲート し、ポスチャのためのユーザをリダイレクトする ASA92-posture は指名されるポリシー > 結果 > 許可 > 許可プロファイルに許可 プロファイルを設定します。 Web リダイレクション チェックボックスをチェックし、ドロップダウン リストからプロビジョニングを『Client』 を選択 し、リダイレクトが ACL フィールドに現われるようにして下さい(その ACL は ASA でローカルで定義されます):



  5. 対応ユーザ向けにフルアクセスを提供する DACL によって指名される PERMIT_ALL_TRAFFIC しか戻さない必要がある ASA92-compliant と指名される許可 プロファイルを設定して下さい:



  6. 制限されたアクセスを用いる DACL を戻す必要がある ASA92-noncompliant と指名される同じような許可 プロファイルを設定して下さい(非対応ユーザ向けに)。

  7. ポリシー > 許可にナビゲート し、承認規則を設定して下さい:

    • ポスチャ結果が対応である場合フルアクセスを可能にするルールを作成して下さい。 結果は承認ポリシー ASA92-compliant です。

    • ポスチャ結果が不適合である場合制限されたアクセスを可能にするルールを作成して下さい。 結果は承認ポリシー ASA92-noncompliant です。

    • 前の 2 つのルールのどちらも見つからなかったらそれを、それからデフォルトのルール戻します ASA のリダイレクションを強制する ASA92-posture を確認して下さい。



  8. デフォルトの認証ルールは内部識別ストアのユーザネームをチェックします。 これが(チェックインされる Active Directory (AD)、たとえば)変更する必要があれば、ポリシー > 認証へのナビゲートおよび変更を行なうため:



  9. ポリシー > クライアント プロビジョニングへのナビゲートはおよびプロビジョニング ルールを設定します。 これらは提供する必要があるエージェントの種類を決定するルールです。 この例では、存在 する 1 つの単純なルールおよび ISE だけ Microsoft Windows すべてのシステムに NAC エージェントを選択します:



    エージェントが ISE にないとき、それらをダウンロードすることは可能性のあるです:



  10. 必要ならば、Administration > システム > 設定 > プロキシにナビゲート し、ISE のためのプロキシを設定できます(インターネットにアクセスするため)。

  11. クライアントコンフィギュレーションを確認するポスチャ ルールを設定して下さい。 チェックするルールを設定できます:

    • ファイル-プロシージャ、バージョン、日付

    • レジストリキー、値、存在

    • 申込 手続き名前、動作しない実行

    • サービス-サービス名、動作しない実行

    • ウイルス対策-定義が更新済である時、バージョン サポートされる 100 人以上のベンダー

    • antispyware -定義が更新済である時、バージョン サポートされる 100 人以上のベンダー

    • 複合条件(COBOL) -すべての組み合わせ

    • カスタム辞書状態- ISE 辞書のほとんどの使用方法

  12. この例では、簡単なファイル プロシージャ チェックだけ実行された。 c:\test.txt ファイルがクライアントマシンにある場合、それは対応のおよび許可されたフルアクセスです。 ポリシー > 条件 > ファイル状態にナビゲート し、ファイル状態を設定して下さい:



  13. ポリシー > 結果 > ポスチャ > 必要条件にナビゲート し、要件を作成して下さい。 この要件は前の状態が満足するとき満たす必要があります。 そうでない場合、治療操作は実行されます。 利用可能 な治療操作には多くの型があるかもしれませんがこの例で、最も簡単な 1 つは使用されます: 特定のメッセージは表示する。


    : 正常なシナリオでは、ファイル治療操作は使用することができます(ISE はダウンロード可能 ファイルを提供します)。

  14. ポリシー > ポスチャへのナビゲートはおよびポスチャ ルールの前の手順(ネームド file_requirement)で作成した要件を使用します。 唯一のポスチャ ルールは Microsoft Windows すべてのシステムが file_requirement に会うことを必要とします。 この要件が満たされる場合、ステーションは対応です; それが会わない場合、ステーションは不適合です。

定期的な再査定

デフォルトで、ポスチャは一度だけイベントです。 ただし、時々定期的に ユーザ 準拠性をチェックし、結果に基づいてリソースにアクセスを合わせる必要があります。 この情報はスイス プロトコル(NAC エージェント)によって押されましたりまたはアプリケーション(Web エージェント)の内で符号化されます。

ユーザ 準拠性をチェックするためにこれらのステップを完了して下さい:

  1. Administration > 設定 > ポスチャ > 再査定にナビゲート し、再査定をグローバルに 有効に して下さい(識別グループ設定ごとに):



  2. すべての再査定と一致するポスチャ状態を作成して下さい:



  3. 最初の評価だけ一致する同じような状態を作成して下さい:

両方の条件はポスチャ ルールで使用することができます。 最初のルールは最初の評価だけ一致し、第 2 1 つはそれに続く評価すべてと一致します:

確認

これらのステップが記述されているように完了するように設定が正しく機能することを確認するために、して下さい:

  1. VPN ユーザは ASA に接続します。

  2. ASA は RADIUS要求を送信 し、URL リダイレクトおよび URL リダイレクト ACL 属性の応答を受け取ります:



  3. ISE ログは許可がポスチャ プロファイル(最初の Log エントリ)と一致することを示します:



  4. ASA は VPN セッションにリダイレクトを追加します:
    aaa_url_redirect: Added url redirect:https://ise2.test-cisco.com:8443/
     guestportal/gateway?sessionId=c0a8700a0000900052b840e6&action=cpp
     acl:redirect for 10.10.10.10
  5. ASA の VPN セッションのステータスはポスチャが必要となる示し、HTTPトラフィックをことをリダイレクトします:
    ASA# show vpn-sessiondb detail anyconnect 

    Session Type: AnyConnect Detailed

    Username     : cisco                  Index        : 9
    Assigned IP  : 10.10.10.10            Public IP    : 10.147.24.61
    Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
    License      : AnyConnect Essentials
    Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)RC4  DTLS-Tunnel: (1)AES128
    Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA1  DTLS-Tunnel: (1)SHA1
    Bytes Tx     : 16077                  Bytes Rx     : 19497
    Pkts Tx      : 43                     Pkts Rx      : 225
    Pkts Tx Drop : 0                      Pkts Rx Drop : 0
    Group Policy : GP-SSL                 Tunnel Group : RA
    Login Time   : 14:55:50 CET Mon Dec 23 2013
    Duration     : 0h:01m:34s
    Inactivity   : 0h:00m:00s
    VLAN Mapping : N/A                    VLAN         : none
    Audt Sess ID : c0a8700a0000900052b840e6
    Security Grp : 0

    AnyConnect-Parent Tunnels: 1
    SSL-Tunnel Tunnels: 1
    DTLS-Tunnel Tunnels: 1

    AnyConnect-Parent:
      Tunnel ID    : 9.1
      Public IP    : 10.147.24.61
      Encryption   : none                   Hashing      : none                   
      TCP Src Port : 50025                  TCP Dst Port : 443                    
      Auth Mode    : userPassword           
      Idle Time Out: 30 Minutes             Idle TO Left : 28 Minutes             
      Client OS    : win                    
      Client Type  : AnyConnect
      Client Ver   : Cisco AnyConnect VPN Agent for Windows 3.1.02040
      Bytes Tx     : 5204                   Bytes Rx     : 779                    
      Pkts Tx      : 4                      Pkts Rx      : 1                      
      Pkts Tx Drop : 0                      Pkts Rx Drop : 0                      
     
    SSL-Tunnel:
      Tunnel ID    : 9.2
      Assigned IP  : 10.10.10.10           Public IP    : 10.147.24.61
      Encryption   : RC4                    Hashing      : SHA1                   
      Encapsulation: TLSv1.0                TCP Src Port : 50044                  
      TCP Dst Port : 443                    Auth Mode    : userPassword           
      Idle Time Out: 30 Minutes             Idle TO Left : 28 Minutes             
      Client OS    : Windows                
      Client Type  : SSL VPN Client
      Client Ver   : Cisco AnyConnect VPN Agent for Windows 3.1.02040
      Bytes Tx     : 5204                   Bytes Rx     : 172                    
      Pkts Tx      : 4                      Pkts Rx      : 2                      
      Pkts Tx Drop : 0                      Pkts Rx Drop : 0                      
     
    DTLS-Tunnel:
      Tunnel ID    : 9.3
      Assigned IP  : 10.10.10.10            Public IP    : 10.147.24.61
      Encryption   : AES128                 Hashing      : SHA1                   
      Encapsulation: DTLSv1.0               UDP Src Port : 63296                  
      UDP Dst Port : 443                    Auth Mode    : userPassword           
      Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes             
      Client OS    : Windows                
      Client Type  : DTLS VPN Client
      Client Ver   : Cisco AnyConnect VPN Agent for Windows 3.1.02040
      Bytes Tx     : 5669                   Bytes Rx     : 18546                  
      Pkts Tx      : 35                     Pkts Rx      : 222                    
      Pkts Tx Drop : 0                      Pkts Rx Drop : 0                      
     
    ISE Posture:
      Redirect URL : https://ise2.test-cisco.com:8443/guestportal/gateway?
       sessionId=c0a8700a0000900052b840e6&action=cpp

      Redirect ACL : redirect
  6. HTTPトラフィックを始めるクライアントは ISE にリダイレクト ACL と一致するリダイレクトされます:
    aaa_url_redirect: Created proxy for 10.10.10.10
    aaa_url_redirect: Sending url redirect:https://ise2.test-cisco.com:8443/
     guestportal/gateway?sessionId=c0a8700a0000900052b840e6&action=cpp
     for 10.10.10.10
  7. クライアントはポスチャのための ISE にリダイレクトされます:



  8. NAC エージェントはインストールされています。 NAC エージェントはインストールされていた後、スイス プロトコルによってポスチャ ルールをダウンロードし、準拠性を判別するためにチェックを行います。 ポスチャ レポートは ISE にそれから送られます。



  9. ISE はポスチャ レポートを、再評価します承認規則を受け取り、(もし必要なら)認証ステータスを変更し、CoA を送信 します。 これは ise-psc.log で確認することができます:
    cisco.cpm.posture.runtime.PostureHandlerImpl -:cisco:c0a8700a0000900052b840e6
     :::- Decrypting report
    cisco.cpm.posture.runtime.PostureManager -:cisco:c0a8700a0000900052b840e6
     :::- User cisco belongs to groups NAC Group:NAC:IdentityGroups:User Identity
     Groups:Employee
    ,NAC Group:NAC:IdentityGroups:An
    cisco.cpm.posture.runtime.PostureManager -:cisco:c0a8700a0000900052b840e6
     :::- Posture report token for endpoint mac 08-00-27-CD-E8-A2 is Healthy
    cisco.cpm.posture.runtime.PostureManager -:cisco:c0a8700a0000900052b840e6
     :::- Posture state is compliant for endpoint with mac 08-00-27-CD-E8-A2
    cisco.cpm.posture.runtime.PostureCoA -:cisco:c0a8700a0000900052b840e6
     :::- Posture CoA is triggered for endpoint [null] with session
     [c0a8700a0000900052b840e6]
  10. ISE は session_id および DACL 名前をその割り当てフルアクセス含む RADIUS CoA を送信 します:



    これは ISE ログに反映されます:

    • 最初の Log エントリはポスチャ プロファイルを戻す最初の認証のためです(リダイレクションと)。

    • 第 2 Log エントリは対応スイス レポートが受け取られた後読み込まれます。

    • 第 3 Log エントリは確認と共に CoA が送信 されるとき読み込まれます(成功する動的許可として記述されている)。

    • 最終的な Log エントリは ASA が DACL をダウンロードするとき作成されます。



  11. ASA のデバッグは CoA が受け取られ、リダイレクトが取除かれることを示します。 ASA はもし必要なら DACLs をダウンロードします:
    ASA# Received RAD_COA_REQUEST

    RADIUS packet decode (CoA-Request)

    Radius: Value (String) =
    41 43 53 3a 43 69 73 63 6f 53 65 63 75 72 65 2d    |  ACS:CiscoSecure-
    44 65 66 69 6e 65 64 2d 41 43 4c 3d 23 41 43 53    |  Defined-ACL=#ACS
    41 43 4c 23 2d 49 50 2d 50 45 52 4d 49 54 5f 41    |  ACL#-IP-PERMIT_A
    4c 4c 5f 54 52 41 46 46 49 43 2d 35 31 65 66 37    |  LL_TRAFFIC-51ef7
    64 62 31                                           |  db1

    Got AV-Pair with value audit-session-id=c0a8700a0000900052b840e6
    Got AV-Pair with value ACS:CiscoSecure-Defined-ACL=
     #ACSACL#-IP-PERMIT_ALL_TRAFFIC-51ef7db1

    aaa_url_redirect: Deleted url redirect for 10.10.10.10
  12. VPN セッションの後で、Cisco にユーザ向けに(フルアクセス)適用される DACL があります:
    ASA# show vpn-sessiondb detail anyconnect 

    Session Type: AnyConnect Detailed

    Username     : cisco                  Index        : 9
    Assigned IP  : 10.10.10.10            Public IP    : 10.147.24.61
    Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
    License      : AnyConnect Essentials
    Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)RC4  DTLS-Tunnel: (1)AES128
    Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA1  DTLS-Tunnel: (1)SHA1
    Bytes Tx     : 94042                  Bytes Rx     : 37079
    Pkts Tx      : 169                    Pkts Rx      : 382
    Pkts Tx Drop : 0                      Pkts Rx Drop : 0
    Group Policy : GP-SSL                 Tunnel Group : RA
    Login Time   : 14:55:50 CET Mon Dec 23 2013
    Duration     : 0h:05m:30s
    Inactivity   : 0h:00m:00s
    VLAN Mapping : N/A                    VLAN         : none
    Audt Sess ID : c0a8700a0000900052b840e6
    Security Grp : 0

    AnyConnect-Parent Tunnels: 1
    SSL-Tunnel Tunnels: 1
    DTLS-Tunnel Tunnels: 1

    AnyConnect-Parent:
      Tunnel ID    : 9.1
      Public IP    : 10.147.24.61
      Encryption   : none                   Hashing      : none                   
      TCP Src Port : 50025                  TCP Dst Port : 443                    
      Auth Mode    : userPassword           
      Idle Time Out: 30 Minutes             Idle TO Left : 24 Minutes             
      Client OS    : win                    
      Client Type  : AnyConnect
      Client Ver   : Cisco AnyConnect VPN Agent for Windows 3.1.02040
      Bytes Tx     : 5204                   Bytes Rx     : 779                    
      Pkts Tx      : 4                      Pkts Rx      : 1                      
      Pkts Tx Drop : 0                      Pkts Rx Drop : 0                      
     
    SSL-Tunnel:
      Tunnel ID    : 9.2
      Assigned IP  : 10.10.10.10            Public IP    : 10.147.24.61
      Encryption   : RC4                    Hashing      : SHA1                   
      Encapsulation: TLSv1.0                TCP Src Port : 50044                  
      TCP Dst Port : 443                    Auth Mode    : userPassword           
      Idle Time Out: 30 Minutes             Idle TO Left : 24 Minutes             
      Client OS    : Windows                
      Client Type  : SSL VPN Client
      Client Ver   : Cisco AnyConnect VPN Agent for Windows 3.1.02040
      Bytes Tx     : 5204                   Bytes Rx     : 172                    
      Pkts Tx      : 4                      Pkts Rx      : 2                      
      Pkts Tx Drop : 0                      Pkts Rx Drop : 0                      
      Filter Name  : #ACSACL#-IP-PERMIT_ALL_TRAFFIC-51ef7db1
     
    DTLS-Tunnel:
      Tunnel ID    : 9.3
      Assigned IP  : 10.10.10.10            Public IP    : 10.147.24.61
      Encryption   : AES128                 Hashing      : SHA1                   
      Encapsulation: DTLSv1.0               UDP Src Port : 63296                  
      UDP Dst Port : 443                    Auth Mode    : userPassword           
      Idle Time Out: 30 Minutes             Idle TO Left : 29 Minutes             
      Client OS    : Windows                
      Client Type  : DTLS VPN Client
      Client Ver   : Cisco AnyConnect VPN Agent for Windows 3.1.02040
      Bytes Tx     : 83634                  Bytes Rx     : 36128                  
      Pkts Tx      : 161                    Pkts Rx      : 379                    
      Pkts Tx Drop : 0                      Pkts Rx Drop : 0                      
      Filter Name  : #ACSACL#-IP-PERMIT_ALL_TRAFFIC-51ef7db1

: ASA は CoA に接続される DACL がない時でさえ、リダイレクト ルールを常に取除きます。

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を提供します。

ISE のデバッグ

Administration > ロギング > デバッグ ログ 設定へのナビゲート デバッグを有効に するため。 Cisco は一時デバッグをのための有効に することを推奨します:

  • スイス人
  • Nonstop Forwarding (NSF)
  • NSF セッション
  • [Provision]
  • ポスチャ

 デバッグを表示するために CLI でこのコマンドを入力して下さい:

ise2/admin# show logging application ise-psc.log tail count 100

報告します > エンドポイントおよびユーザ > ポスチャ 詳細はオペレーション > レポート > ISEアセスメント ポスチャ レポートを表示するためにナビゲート します:

ポスチャでより多くの詳細 アセスメント ページは結果と共に、そこに表示する 要件名前のポリシー名です:

ASA のデバッグ

ASA のこれらのデバッグを有効に することができます:

  • デバッグ AAA URL リダイレクト
  • debug aaa authorization
  • debug radius 動的許可
  • debug radius デコード
  • cisco debug radius ユーザ

エージェントのためのデバッグ

NAC エージェントに関しては、GUI からまたは CLI と始められる Cisco ログ荷造業者とのデバッグを収集することは可能性のあるです: CCAAgentLogPackager.app.


ヒント: テクニカル アシスタンス センタ (TAC) ツールの結果をデコードできます。

Web エージェントのためのログを、ナビゲートこれらの場所に取得するため:

  • C: > 資料および設定 > <user> > ローカル 設定 > 臨時雇用者 > webagent.log (TAC ツールによってデコードされる)
  • C: > 資料および設定 > <user> > ローカル 設定 > 臨時雇用者 > webagentsetup.log

: ログがこれらの場所にない場合、TEMP 環境変数を確認して下さい。

NAC エージェント ポスチャ失敗

ポスチャが失敗した場合、ユーザは原因と示されます:

ユーザはそれから設定される場合治療操作を与えられます:

  

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 117693