Безопасность : Устройство Cisco NAC (Clean Access)

Часто задаваемые вопросы по Clean Access Agent

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (22 сентября 2010) | Английский (22 августа 2015) | Отзыв


Вопросы


Введение

В этом документе приведены ответы на наиболее часто задаваемые вопросы (FAQ), связанные с Cisco Clean Access Agent (старое название Perfigo SmartEnforcer).

Названия продуктов были изменены. В этой таблице приводится перечень старых и новых названий:

Старое название Новое название
SmartManager Clean Access Manager
SecureSmart Server Clean Access Server
SmartEnforcer Clean Access Agent
CleanMachinesAPIs Clean Access APIs

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Поддерживаемые характеристики

В. Какие операционные системы поддерживаются?

О. Агенты поддерживаются на этих Операционных системах.

Платформы Windows

  • Windows 2000

  • Windows XP

  • Windows Vista

  • Windows 7

Платформы Macintosh

  • MAC OS X 10.4.11 "Tiger"

  • "Leopard" Mac OS X 10.5. 8

  • MAC OS X 10.6.4 "Snow Leopard"

См. Матрицу Агента/ОС/Поддержки обозревателя устройства Cisco NAC для получения дополнительной информации о поддерживаемых обозревателях и Версиях Java.

В. Поддерживает ли Cisco изменяемые API?

О. Нет.

В. Поддерживает ли Cisco агента на VMware или на общих драйверах?

О. Вот что поддерживается и не поддерживается агентом NAC на VMware:

  • VMware в режиме NAT

    Агент NAC не поддерживается независимо от нахождения во внутренней полосе связи или вне ее, так как для VMware в режиме NAT все виртуальные машины показывают один и тот же IP и MAC. Поэтому невозможно отличать разные виртуальные машины для их аутентификации/проверки состояния.

  • VMware в режиме моста (разделение L2 между образами, разные адреса IP/MAC)

    • Агент NAC поддерживается в режиме внутренней полосы, так как для виртуальных машин могут быть получены уникальные адреса IP и MAC.

    • Агент NAC не поддерживается в режиме OOB, так как в этом режиме каждый порт коммутатора ограничивается одним MAC-адресом. Несколько MAC-адресов за одним портом коммутатора не поддерживаются в режиме OOB. (IP-телефоны и ПК, подключенные к IP-телефонам, поддерживаются).)

Таким образом, агент NAC поддерживается на VMware, если:

  • NAC работает в режиме внутренней полосы связи.

  • VMware работает в режиме моста.

Для всех остальных режимов поддержка не предусмотрена.

В. Поддерживает ли NAC 4.5 или более поздних версий Trend Micro OfficeScan 10.x?

A. NAC поддерживает Trend Micro OfficeScan 10.x начиная с версии 4.7.1.

Сообщения об ошибках

В. Cisco Clean Access Agent отображает сообщение об ошибке "SecureSmart недоступен в сети" или "Сервер SecureSmart не найден в сети". Я перезагрузил Cisco Clean Access Server и какое-то время обходил проблему. Как это исправить?

О. Эта ошибка вызывается невозможностью обмена данными между Cisco Clean Access Agent и Cisco Clean Access Server через протокол SWISS (зашифрованный обмен данными через порт 8905 UDP).

Это может происходить по следующим причинам:

  • Файлы журналов имеют слишком большой размер.

  • Проверьте, не привело ли заполнение журналов записями Apache к увеличению размеров файлов журналов до 2 Гб. Эта ошибка устранена в версии 3.3.x и в более поздних.

  • Сертификат SS недействителен. Если сертификат Clean Access Server недействителен или некорректен, HTTPS-соединение не может быть установлено должным образом. Убедитесь, что в нижней части всплывающего окна сертификата имеются две проверки, если сертификат временный, и три проверки, если сертификат подписан сертифицирующим органом.

  • Время клиента неправильное. Если время на компьютере клиента является причиной непризнания сертификата сервера (например, для времени клиента установлено значение, более раннее, чем время сервера), это приводит к тому, что с точки зрения клиента время сертификата еще не наступило. Проверьте время на компьютере Clean Access Server и убедитесь, что для сервера времени разрешен протокол NTP.

  • На клиентском компьютере установлено несколько сетевых плат. Если на клиентском компьютере имеется несколько сетевых плат, то Windows может использовать для передачи данных несоответствующую плату. Отключите неиспользуемую сетевую плату, чтобы обойти эту проблему.

  • Попробуйте очистить кэш на компьютере Enforcer.

    • Выполните команду ipconfig или dnsflush из командной строки.

      Или

    • В Internet Explorer выберите Tools > Internet Options > Advanced и снимите флажок Check for server certificate revocation.

  • Подключение к сети не установлено.

  • Убедитесь в правильности вашего IP-адреса.

  • Локальный ПК или компьютер может испытывать некоторые проблемы после новой установки Cisco Clean Access Agent.

  • Перезагрузите компьютер. Выполните команду service perfigo restart на компьютере Clean Access Server.

  • Порт назначения 8905 на компьютере Cisco Clean Access Server заблокирован сетевым экраном или персональным межсетевым экраном.

  • Убедитесь, что порт 8905 открыт.

  • Стороннее программное обеспечение мешает программе Cisco Clean Access Agent. Попробуйте отключить такое программное обеспечение, чтобы проверить работу Clean Access Agent.

  • Попробуйте отключить персональные межсетевые экраны, программное обеспечение VPN или программы блокировки спама.

  • Изъян программного обеспечения обнаружен и устранен в Cisco Clean Access Server 3.2.6.

  • Обновите программное обеспечение до Cisco Clean Access Manager и Cisco Clean Access Server 3.2.6.

В. Cisco Clean Access Agent получает сообщение об ошибке "Ошибка сети" при входе в систему. В чем причина?

О. Cisco Clean Access Agent выводит это сообщение об ошибке при невозможности обмена данными с Cisco Clean Access Server через протокол HTTPS. Это может происходить по нескольким причинам:

  • Сертификат SS недействителен. Если сертификат Cisco Clean Access Server недействителен или некорректен, HTTPS-соединение не может быть установлено должным образом.

    Убедитесь, что в нижней части всплывающего окна сертификата имеются две проверки, если сертификат временный, и три проверки, если сертификат подписан сертифицирующим органом.

  • Время клиента неправильное. Время, установленное на клиентском компьютере, является причиной непризнания сертификата сервера. Например, для времени клиента установленио занчение, более раннее, чем время сервера. В результате, с точки зрения клиента время сертификата еще не наступило.

    Проверьте время на компьютере Cisco Clean Access Server и убедитесь, что для сервера времени разрешен протокол NTP.

  • На клиентском компьютере установлено несколько сетевых плат. Если на клиентском компьютере имеется несколько сетевых плат, то Windows может использовать для передачи данных несоответствующую плату.

    Отключите неиспользуемую сетевую плату, чтобы обойти эту проблему.

  • Стороннее программное обеспечение мешает обмену данными между Cisco Clean Access Agent и Cisco Clean Access Server. Возможно, что программное обеспечение, такое как Cisco VPN Client, Клиент VPN CheckPoint� и персональные межсетевые экраны возможно влияет на связь.

  • Попробуйте отключить такое программное обеспечение, чтобы проверить работу Cisco Clean Access Agent.

  • Очистите кэш.

    • Выполните команду ipconfig /dnsflush из командной строки, или в Internet Explorer выберите Internet Options > Advanced и снимите флажок Check for server certificate revocation.

В. Что означает сообщение об ошибке "это обновление не может быть выполнено для учетной записи без прав администратора" на Cisco Clean Access Agent во время обновления Windows?

О. Проблема заключается в том, что Clean Access Agent не может выполнить обновление Windows для учетной записи без прав администратора. Для запуска служб обновления Windows Server (WSUS) от имени учетной записи без прав администратора необходима служба Agent Stub. Служба Stub требуется для поддержки учетными записями без прав администратора следующих функций:

  • Загрузка и установка агента

  • Обновление агента

  • Запуск исполняемого файла

  • Запуск обновлений WSUS

  • Доступ к обнаружению изменений аутентификации VLAN

  • Выполнение обновления IP

В. Что означает сообщение об ошибке "Эта версия клиента устарела и несовместима. Войдите в систему из веб-браузера, чтобы увидеть ссылку для загрузки новой версии" на Cisco Clean Access Agent?

О. Проблема заключается в том, что версия Clean Access Agent отличается от версии сервера. Попробуйте установить версию Clean Access Agent, соответствующую версии сервера.

В. Я недавно установил систему Windows 98. При попытке установить на компьютер клиент 3.2.0 Cisco Clean Access Agent выводится запрос на обновление средства установки. Однако, как только Cisco Clean Access Agent пытается обновить средство установки, появляется сообщение об ошибке "Исполняемый файл обновлений instmsi 'C:Windows\Temporary Internet Files\Content.IE5\KXERWHYB\InstMSIA[2].exe' недействителен". Как это исправить?

О. Установите полную версию Cisco Clean Access Agent 3.1.3 или 3.2.0 (размер больше 5 Мб).

В. Я загрузил Cisco Clean Access Agent на свой Cisco Clean Access Server. Однако Cisco Clean Access Server не публикует его. Я получаю Проверку загруженный файл клиента SmartEnforcer.... Клиент SmartEnforcer не найден.". . Как это исправить?

О. Загрузите файл .exe, а не .zip. Убедитесь, что вы извлекли файл .exe из папки zip-архива, перед тем как загрузить его. Также, не изменяйте исходное имя файла .exe.

Q. Почему я получаю сообщение об ошибке Доступ к сети заблокирован администратором на Cisco Clean Access Agent при попытке войти в систему?

О. Эта ошибка может возникать при одновременном использовании кабельной и беспроводной сетей. Попробуйте использовать либо кабельную либо беспроводную сеть — это может решить проблему. Также, попробуйте использовать CCA версии 4.1.3. Это может помочь в решении данной проблемы.

В. Почему я получаю сообщение об ошибке Предупреждение: Текущий доверенный центр сертификации 'www.perfigo.com' пригоден только для лабораторных сред. Cisco рекомендует импорт стороннего центра сертификации. Проверьте свой Clean Access Server и резервный Clean Access Manager на похожие сообщения. после обновления устройства NAC?

О. Причиной этого сообщения об ошибке являются сертификаты Perfigo. Эту проблему можно решить, удалив центр сертификации Perfigo из списка доверенных центров сертификации.

В. Что означает сообщение об ошибке Данные об отзыве сертификата безопасности для данного узла недоступны. Хотите продолжить? на Cisco Clean Access Agent?

О. Эта ошибка вызвана недоступностью данных об отзыве сертификата безопасности. Существует два разрешения, доступные для этой проблемы. Разрешения предоставлены ниже:

  1. При использовании подписанного CA сертификата SSL CAS проверьте поле CRL Distribution Points сертификата, который включает промежуточное звено или узел CA, и добавьте хосты URL позволенной Политики узла Не прошедшего поверку подлинности/Временного/Карантина Ролей. Это позволяет Агенту выбирать CRL при регистрации.

  2. Для решения этой проблемы выполните в Internet-браузере следующие действия:

    1. Импортируйте сертификат к хранилищу Trusted Root системы клиента.

    2. Выберите Tools > Internet Options > Advanced tab > Security section и снимите флажок Check for server certificate revocation (requires restart).

    3. Закройте окно браузера и откройте его снова, чтобы изменения вступили в силу.

Другой обходной путь для удаления этого сообщения об ошибках доступен. Можно добавить <AllowCRLChecks>0</AllowCRLChecks> к файлу NACAgentCFG.xml в этом каталоге: C:\ProgramFiles\Cisco\Cisco NAC Agent

Примечание: Версия Network Error SSL Certificate Отказала, 12057 сообщений об ошибках на агенте чистого доступа Cisco генерируют из-за этой проблемы.

Дополнительные сведения см. в следующих документах:

Вопрос. Когда я запускаю веб-агента на машине Windows 7, она отказывает с кодом 3 сообщения об ошибках. Как я устраняю эту проблему?

О. Код ошибки 3 является сообщением, которое указывает, что агент был загружен, но не установлен. Это возможные обходной пути:

  1. Проверьте, что включен UAC (Управление учетными записями пользователей).

  2. Проверьте, что Internet Explorer работает в Режиме администратора.

  3. Проверьте если немного активные X сбоев fucnction и попытка перезагрузить весь IE и активный X разрешений для установки по умолчанию.

  4. Проверьте, препятствует ли какое-либо другое программное обеспечение Anti Virus (AV) тому, чтобы IE запустил свой исполняемый файл из его временного каталога.

Вопрос. Когда агент NAC пытается запуститься, я получаю ошибку сценария Internet Explorer. Как решить этот вопрос?

О. Сообщение об ошибках показывают ниже.

http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/63591-ca-mgr-faq-2.gif

Выполните эти шаги для устранения этой проблемы:

  1. Деинсталлируйте агента Cisco NAC от системы.

  2. Вручную удалите каталог C:\Program Files\Cisco\Cisco NAC Agent.

  3. Загрузите regrserv32a.exe от этого URL:

    http://support.microsoft.com/kb/267279 leavingcisco.com

  4. Выполните regserv32a.exe. Приложение извлечено к вашему локальному компьютеру.

  5. Откройте командную строку и изменитесь на каталог, в котором было извлечено regserv32.exe приложение.

  6. Выполните regsvr32.exe msxml3.dll.

    Диалоговое окно появляется, который сообщает, что регистрация была успешна.

  7. Установите агента Cisco NAC.

  8. Проверьте, что агент Cisco NAC запускается успешно.

Прочее

В. Что необходимо сделать, если MAC-клиенты не перенаправляются на страницу 'Страница не найдена'?

О. Убедитесь, что вы не используете доменное имя, заканчивающееся на .local. MAC рассматривает такое имя, как специальное DNS-имя для многоадресного DNS. Поэтому запрос на разрешение не отправляется на DNS-сервер.

В. Что происходит, когда Clean Access Agent блокируется McAfee?

О. Проблема заключается в том, что Clean Access Agent блокируется программой McAfee, которая считает, что программа установки веб-агента (webagentsetup-win.exe) является "троянским конем". Эту проблему можно обойти, если изменить метод загрузки клиентов, исключив аплет ActiveX и используя строго компонент Java. Это можно настроить в CAM с помощью команды User Pages — Login Page — edit — Web Client(ActiveX/Applet) — Java Applet Only. Альтернативным вариантом является использование другого браузера, предпочтительно Firefox.

В. С кем пытается связаться Cisco Clean Access Server, когда при соединении использует в качестве исходного порта порт 8905?

О. Cisco Clean Access Agent связывается с Cisco Clean Access Server через протокол SWISS, используя зашифрованный обмен данными через порт 8905 UDP.

Вопрос: Как ограничить SSH-доступ к Cisco Clean Access Server?

О. Измените файл /etc/ssh/sshd_config, добавив строку, подобную следующей:

ListenAddress IP_address_of_where_you_want_ssh_to_allow_connections

Пример:

ListenAddress 192.168.151.60 

Выполните команду service sshd restart, чтобы перезапустить процесс SSHD .

В. Как отключить Clean Access Agent для Windows 98/95?

О. В меню CleanMachines снимите флажок Windows All и установите флажок "Require Use of Clean Access Agent" для каждой ОС в отдельности.

http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/63591-ca-mgr-faq-3.gif

В. Граничные коммутаторы под управлением SNMPv3 не опрашиваются центром сбора после отправки ссылки или MAC-уведомления о прерывании. Обнаружение подключений конечных точек к портам на коммутаторах под управлением SNMPv3 задерживается до следующего регулярного опроса коммутатора службой NetMap в средстве профилирования NAC. В чем причина?

О. Эта проблема связана с ошибкой Cisco ID CSCta25695 (только для зарегистрированных пользователей) . Для получения дополнительных сведений обратитесь к документации по данной ошибке.

В. Почему при использовании сертификатов от Perfigo в устройстве NAC возникают ошибки?

О. Причиной ошибок при использовании сертификатов от Perfigo может быть используемая версия Cisco NAC Appliance. Выпуск 4.7 (0) Устройства Cisco NAC больше не содержит www.perfigo.com Центр сертификации (CA) в.ISO или образе обновления. Администраторы, которым требуется центр сертификации www.perfigo.com в сети, должны вручную импортировать этот центр сертификации с локального компьютера после установки или обновления до версии 4.7(0).

Чтобы установить первоначальный канал безопасного обмена данными между CAM и CAS, необходимо импортировать корневой сертификат из каждого устройства в другое доверенное хранилище устройства, чтобы CAM мог признавать сертификат CAS, и наоборот.

В. AV-проверка на Cisco Clean access для компьютеров под управлением Windows 7 не приводит к успеху. Как решить эту проблему?

О. Эта ошибка происходит из-за того, что в правилах-требованиях не выбрано корректное правило для ОС Windows 7. Выберите все правила-требования для Windows 7 в пункте существующего требования.

Вопрос. NAC запрещает доступ к сети ни из-за какого антивируса, устанавливаемого на рабочей станции даже при том, что AVG 10 установлен на нем. Какова причина позади этой проблемы?

О. AVG 10 еще не поддерживается на NAC. См. ошибку Cisco IDCSCtj89340 (только зарегистрированные клиенты) для получения дополнительной информации об этом усовершенствовании

Вопрос. Я могу передать запросы DHCP для IP-телефонов Nortel позади NAC?

Ответ: Да. Можно передать запросы DHCP для IP-телефонов Nortel позади NAC. См. IP-телефоны Nortel позади NAC для получения дополнительной информации.


Дополнительные сведения


Document ID: 63591