Безопасность : Устройство Cisco NAC (Clean Access)

Часто задаваемые вопросы по Clean Access Server

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв


Вопросы


Введение

Этот документ отвечает на большинство часто задаваемых вопросов, касающихся сервера Cisco Clean Access Server (ранее известного как Perfigo SecureSmart Server).

Названия продуктов были изменены. В этой таблице приводится перечень старых и новых названий:

Старое название Новое название
SmartManager Clean Access Manager
SecureSmart Server Clean Access Server
SmartEnforcer Clean Access Agent
CleanMachinesAPIs Clean Access APIs

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Установка

Вопрос. . Как я устанавливаю Драйверы LSI SCSI для компьютеров DELL 1750 или другие?

Ответ. Выполните следующие действия:

  1. Сохраните файл rawrite к C:\ and the LSI Driver. Файлы обновления в том же каталоге.
  2. Откройте командную строку и введите C:\rawrite.
  3. Введите полное имя исходного файла (ов) и назначения на двух гибких дисках.
  4. Вставьте чистые машины Access Manager (раньше CleanMachines) компакт-диск для установки в сервер Cisco Clean Access или менеджера Cisco Clean Access.
  5. Войдите пользовательский в приглашении boot>.
  6. Следуйте инструкциям для ввода диска Обновления, и затем Диска с драйвером.

Конфигурация

Вопрос. . Как я настраиваю драйверы Broadcom?

Ответ. Выполните следующие действия:

  1. Консоль в коробку:
    cd /lib/modules/kernel-2.4.9-perfigo/drivers/addon/bcm5700
    
    insmod ./bcm5700.o
  2. Если результаты шага 1 ни по каким ошибкам, войдите, vms/etc/modules.conf дают команду и добавляют эти две линии:
    alias eth0 bcm5700
    
    alias eth1 bcm5700

Вопрос. . Как я настраиваю Сервер Cisco Clean Access позади шлюза NAT?

О. Выполните эти шаги для каждого Сервера Cisco Clean Access, развернутого позади шлюза NAT.

  1. SSH к серверу политик SecureSmart или использованию последовательная консоль для входа в систему как root.
  2. Отредактируйте/perfigo/access/bin/starttomcat файл.
  3. Добавьте-Djava.rmi. сервер. имя хоста = <CAS_hostname> к переменной линии CATALINA_OPTS.
  4. Перезапуск perfigo сервиса перезапуска.
  5. SSH к SmartManager или использованию последовательная консоль для входа в систему как root.
  6. Отредактируйте/etc/hosts файл и добавьте эту линию:
    <public_IP_address>  <securesmart_hostname> <securesmart_hostname> 

Дуплекс и параметры настройки скорости

Вопрос. . Как я устанавливаю дуплекс и скорость на интерфейсных картах Сети сервера Cisco Clean Access?

О. Используйте это в качестве руководства для устанавливания соответствующих Network Interface Cards в/etc/modules.conf файле.

Примечание: Добавьте параметр опций в конце для/etc/modules.conf файла с использованием редактора VI.

  • Набор broadcom 5700 карт к полному дуплексу на 100 Мбит/с:

    options bcm5700 line_speed=100,100 auto_speed=0,0 duplex=1,1
    
  • Набор broadcom 5700 карт к полному дуплексу на 1000 Мбит/с:

    options bcm5700 line_speed=1000,1000 auto_speed=0,0 duplex=1,1 
    
  • Набор e1000 карты к полному дуплексу на 100 Мбит/с:

    options e1000 Speed=100,100 Duplex=2,2
    
  • Набор e1000 карты к полному дуплексу на 1000 Мбит/с:

    options e1000 Speed=1000,1000 Duplex=2,2
    
  • Набор eepro100 карты к полному дуплексу на 100 Мбит/с:

    options eepro100 option="0x30,0x30"
    

Вопрос. . Как я устанавливаю дуплекс/скорость на Интерфейсе Cisco Clean Access "bnx2"?

О. На Устройствах сервера Cisco Clean Access (даже на CAM), существуют файлы для каждого сетевого интерфейса, которые описывают свойства и настройки скорости/дуплексного режима.

Вот шаги, как выполнить его вручную:

  1. Измените каталог на/etc/sysconfig/network-scripts. Для каждого интерфейса существует файл в этом каталоге, названном ifcfg-ethX, где X может быть 0, 1, 2, и т.д.
  2. Добавьте эту линию для того, какой бы ни взаимодействуют, вы хотите к жесткому коду параметры настройки для:
    ETHTOOL_OPTS="speed 100 duplex full autoneg off"
  3. После того, чтобы сохранить файл выполните "перезапуск сети услуг".
  4. Удостоверьтесь, что параметры коммутатора установлены вручную. Проверьте параметры настройки путем запуска команды eth-tool ethX на оболочке, где X может быть 0 или 1, чтобы подтвердить, что настройки дуплекса являются hardcoded.

    Примечание: Это прерывает сервис на мгновение. Поддержите это в рассмотрении, если необходимо планировать время простоя.

Вопрос. . Как я проверяю для наблюдения дуплекса и скорости на интерфейсных картах Сети сервера Cisco Clean Access (NIC)?

О. Выполните утилиту программного средства mii от командной строки. Это работает для встроенного NIC, но не поддерживает NIC волокна.

Для NIC волокна используйте команду 'eth0' grep на/var/log/messages.

Можно также выполнить команду tail-f на/var/log/messages. Это отображает сообщения каждый раз, когда NIC становится активным или неактивным.

Поддерживаемые характеристики

Вопрос. . Что количество VPN-подключений поддерживается на Сервер Cisco Clean Access?

О. Никакая граница не установлена для IPSec.

PPTP и L2TP в настоящее время устанавливаются в 32 туннеля каждый.

Вопрос. . Как вносят меня изменение IP-адрес Сервера Cisco Clean Access? Я должен удалить и повторно добавить Сервер Cisco Clean Access?

О. Cisco рекомендует изменить IP-адрес Сервера Cisco Clean Access через UI Менеджера. Когда IP-адрес Сервера Cisco Clean Access будет изменен от UI Менеджера, перезагрузите Сервер Cisco Clean Access. Это автоматически пытается соединиться с Менеджером Cisco Clean Access на перезагрузку. Менеджер Cisco Clean Access изменяет IP-адрес Сервера Cisco Clean Access в базе данных, и SSKEY остается тем же.

Примечание: Если вы удаляете и повторно добавляете Сервер Cisco Clean Access, вы теряете все параметры конфигурации Сервера Cisco Clean Access.

Вопрос: Как ограничить SSH-доступ к Cisco Clean Access Server?

О. Добавьте линию, подобную данному примеру для изменения/etc/ssh/sshd_config файла:

ListenAddress IP_address_of_where_you_want_ssh_to_allow_connections

Например: :

ListenAddress 192.168.151.60 

Выполните команду service sshd restart для перезапуска процесса sshd.

Вопрос. . Как работает Параметр пакета Пропускной способности?

О. Под CleanMachines снимите флажок с Windows All и выберите каждый ОС независимо для, Требуют Использования SmartEnforcer или нет.

http://www.cisco.com/c/dam/en/us/support/docs/security/nac-appliance-clean-access/63594-ca-mgr-faq-3.gif

Вопрос. . Я недавно читал на Чистой странице on 68 Выпуска 3.3BETA Установки и Руководства по администрированию Сервера доступа, что количество рекомендуемого максимального значения подсетей на Чистый Сервер доступа 1000. Я должен создать больше чем 1000. Каков предел?

О. Предел 1000 является предупреждением только. Если машина имеет достаточно памяти (больше, чем 1G), можно настроить до 2500 подсетей.

Вопрос. . Как делают я управляю группой точек доступа, которые я имею на определенной VLAN, которой управляет Чистый Сервер доступа. Я добавил их в Управлении устройствами точки доступа?

О. Добавьте MAC-адреса точек доступа к области Filters> Devices в противоположность разделу Управления устройствами точки доступа.

Вопрос. . Я имею вторичный (иногда множественное вторичное устройство) подсети на каждой VLAN. 150 подсетей для клиентов, и 172 подсети для управления нашего сетевого оборудования в здании. Действительно ли Чистый Сервер доступа в состоянии иметь дело с нескольками подсетей на одиночной VLAN?

О. Пример этой проблемы:

! 
  interface Vlan 106 
   ip address 150.135.47.1 255.255.255.0 
   ip address 172.16.10.1 255.255.255.192 secondary
  ! 

Чистый Сервер доступа находится в режиме виртуального шлюза:

  • В этом случае Чистый Сервер доступа не заботится о количестве подсетей или их cвязанных тегов VLAN. Все сведения о виртуальной локальной сети (VLAN) проходят без исключений.

Чистый Сервер доступа находится в шлюзе (реальный ip или NAT) режим:

  • В этом случае Чистый Сервер доступа также функционирует или как ретранслятор DHCP или как DHCP server. Или в ситуации, диапазон выделенных IP-адресов зависит от тега VLAN или в адреса шлюза, который также зависит от тега VLAN.

    Поэтому Чистый Сервер доступа не в состоянии дифференцироваться (с точки зрения DHCP) между двумя подсетями на той же VLAN. Одно ограничение - то, что одна из этих двух подсетей на той же VLAN не должна использовать DHCP для назначения адреса. Вместо этого IP-адреса должны быть статически назначены. Это наиболее вероятно имеет место для 172 подсетей в сети, так как это состоит из сетевого механизма.

Вопрос. . Почему я неспособен добавить Чистый Сервер доступа к Clean Access Manager (CAM)?

О. Если вы неспособны добавить Чистый Сервер доступа к CAM, то это - проблема лицензирования. Удостоверьтесь, что серверные лицензии генерируются на основе ethernet Основного CAM 0 MAC-адресов. MAC-адреса на серверной лицензии должны совпасть с (Основным) MAC-адресом CAM.

  1. Перейдите к GUI CAM>, администрирование> Чистит Access Manager> Лицензирование.

  2. Выполните, "удаляют все лицензии".

  3. Повторно установите файлы серверной лицензии снова.

Вопрос. . Я должен генерировать новый CSR для возобновления сертификата на Чистом Сервере доступа?

О. Нет. Для обновления сертификата на Чистом Сервере доступа не генерируйте новый CSR. Однако при генерации нового CSR тогда необходимо загрузить секретный ключ в Чистом Сервере доступа. После загрузки секретного ключа перезагрузите Чистый Сервер доступа. Это завершает процесс возобновления.

Вопрос. . Действительно ли возможно пройти через многоадресный трафик через CCA?

О. Нет, групповая адресация не поддерживается под внутриполосным реальным шлюзом. Однако это будет работать для внеполосного или действительного шлюза.

Вопрос. . NAC поддерживает Windows 2008 64-разрядный сервер?

О. Нет, но это действительно поддерживает 32-разрядный сервер Windows 2008.

Вопрос. . NAC включает функцию для дублирования ролей пользователя и политики/свойств, привязанной к нему к роли нового пользователя?

О. Нет. Это не может быть сделано, поскольку нет такого условия в GUI.

Сообщения журнала

Вопрос. . В/var/log/messages или/var/log/ha-log обменивается сообщениями, я вижу несколько пульсирующих сообщений для Аварийного переключения. Почему это и как я исправляю его?

О. Это пульсирующие сообщения, которые вы видите:

heartbeat: 2004/09/15_11:23:27 info: Heartbeat restart on node ss1

heartbeat: 2004/09/15_14:19:17 info: Heartbeat restart on node ss1

heartbeat: 2004/09/15_18:59:53 info: Heartbeat restart on node ss1

heartbeat: 2004/09/15_19:36:18 info: Heartbeat restart on node ss1

Когда одноранговый сервер произошел после перезагрузки, вы видите эти сообщения. Можно также видеть его во входе в систему основного сервера когда:

  • Вы выходите, сервисный perfigo останавливаются, и затем сервисный perfigo запускается на одноранговой или резервной машине.

    или

  • Перезагрузите одноранговую или резервную машину.

Примечание: При запуске команды service perfigo restart она не вызывает этот журнал.

Вопрос. . Я вижу Чистый Сервер доступа 30.08.2004 11:30:28 192.168.151.60 Статуса системы: Фактор нагрузки 0 (макс. начиная с перезагрузки: 3) Mem: 261160960 237854720 23306240 212992 47259648 99737600 ЦПУ 188552 153 91405324 194183 сообщения в моих журналах событий. Что они имеют в виду?

О. Статистика системы генерируется для каждого Чистого Сервера доступа, которым управляет Чистый Access Manager каждый час по умолчанию. Зарегистрированные сведения включают фактор нагрузки каждого сервера, максимальная загрузка начиная с перезагрузки, памяти и использования ЦПУ.

  • Фактор нагрузки — Фактор нагрузки является количеством, которое описывает количество пакетов, которые ждут, чтобы быть обработанными сервером (например, текущая загрузка, которая обрабатывается Чистым Сервером доступа). Когда фактор нагрузки растет, это - индикация, что пакеты ждут в очереди, чтобы быть обработанными. Если фактор нагрузки больше, чем 500 для какого-либо непротиворечивого периода времени (например, 5 минут), то показательно, что Чистый Сервер доступа имеет устойчивую высокую нагрузку трафика/пакетов, которые входят. Вы должны быть заинтересованы, достигает ли количество 500 или выше.

  • Max начиная с перезагрузки — максимальное число пакетов в очереди в любой момент (например, максимальная загрузка, обрабатываемая Чистым Сервером доступа).

  • Mem — статистика использования памяти. Существует шесть количества (модуль является байтами). Это количество обозначает общее количество, используемое, свободное, разделенное, буферы и кэшируемая память.

  • ЦПУ — процессор load на аппаратных средствах. Существует четыре количества, которое предоставляет сведения об использовании ЦПУ (модуль является мигом - в большинстве систем, миг является тактом на 10 мс). Количество указывает время, потраченное системой в пользователе, хорошем, системой и простаивающими процессами.

Для примера, если, системный % = 91405324*100 / (188552+153+91405324+194183) = 99.58%. Точно так же можно вычислить другие также. Однако на Чистом Сервере доступа, системное время, как правило, больше, чем 90 процентов. Это - знак исправной системы.

Сообщения об ошибках

Вопрос. . Почему я получаю банку не, добавляет Чистое сообщение об ошибках Сервера доступа?

О. Проверьте эти элементы:

  • Общий секретный ключ является тем же на Сервере Cisco Clean Access и Менеджере Cisco Clean Access.

  • Сертификаты корректны.

  • Подключение между Сервером Cisco Clean Access и Менеджером Cisco Clean Access и что нет никаких правил межсетевого экрана, которые блокируют порты RMI.

Вопрос. . Почему делают я получаю Ошибку сети CAS: Чистый Сервер доступа не мог установить безопасное соединение для Очистки Access Manager в пустом указателе. сообщение об ошибке?

О. Если Чистый сертификат Access Manager истек, не может доверяться или не может быть достигнут, вы могли бы получить эту ошибку. Ошибка происходит в основном из-за проблем подключения CAM или CAS.

Чтобы решить эту проблему, проверьте следующие элементы:

  • Удостоверьтесь, что и CAS и CAM являются той же версией.

  • При использовании названия для сертификата удостоверьтесь, что название может быть решено с помощью nslookup.

  • Используйте сервисного IP для сертификата аварийного переключения.

  • Удостоверьтесь, что они - время, синхронизировавшее прежде, чем генерировать сертификат.

  • Удостоверьтесь соответствие общих секретных ключей.

  • Межсетевой экран не должен ACL блокировать любую связь SSL.

  • Добавьте сертификат CAM как нестандартный root к CAS.

  • Проверьте для разрешения имени DNS.

  • Удостоверьтесь направляя для достижимости между CAM, и CAS корректен.

Вопрос. . В то время как построение цепочки сертификатов X509... не может найти сертификат для придерживающегося сообщения об ошибках Центра сертификации, почему я получаю ошибку, с Которой встречаются?

О. Необходимо использовать корректный корневой сертификат. Если Microsoft Certificate Authority (CA) используется, сохраните сертификат в Base64, а не закодированном по умолчанию.

Вопрос. . Я получаю Аутентификацию 01.11.2004 ошибка связи Сервера 15:53:40, [00:0E:35:5F:F9:91 ## 172.19.168.42] bart и Аутентификация 01.11.2004 ошибка связи Сервера 15:53:13, [00:0E:35:5F:F9:91 ## 172.19.168.42] ошибки bart на журналах событий. Как это исправить?

О. Если вы выполняете аварийное переключение Чистый Сервер доступа в режиме виртуального шлюза, то редактируете vms/etc/hosts файл и изменяете SS-1 (Чистый Сервер доступа) адресуют к Сервисному IP (виртуальный адрес). Необходимо изменить их и на Чистых Серверах доступа, активных и на резервных.

  • 127.0.0.1 локальных узла локального узла

  • 192.168.1.2 SS-1 SS-1

Вопрос. . Я получаю Подпись Стека TCP/IP: НЕИЗВЕСТНЫЙ НЕИЗВЕСТНЫЙ [65535:64:1:64:M1460, N, W2, N, N, T0, S, E:P] {} сообщение. Как я исправляю это и как я могу отключить установку клиента для iPhone?

О. Вот инструкции, которые должны работать для того, чтобы не потребовать агента для iPhone:

  1. Выберите роль под Чистым Доступом> Общая Настройка> Вход в систему Агента.

  2. Выберите MAC_ALL для настройки требований агента для iPhone или iPod touch. Удостоверьтесь Использование параметры настройки ALL для семейства MAC OS, если никакие специфичные для версии параметры настройки не заданы, неконтролируем, таким образом, это не будет использовать совместно используемое, сходящее с "ALL". Кроме того, удостоверьтесь, что Потребовать опция загрузки агента неконтролируема, таким образом, Чистый Сервер доступа не попросит, чтобы клиент (iPhone/iPod touch) загрузил агента.

  3. Выберите MAC_OSX для настройки требований агента для MAC OS. Можно проверить параметр настройки ALL или снять флажок с ним для настройки этого определенного ОС. Потребовать опция загрузки агента должна быть проверена, если вы хотите, чтобы обычные пользователи Mac OS загрузили агента MAC.

Вопрос. . Вы могли бы получить это сообщение об ошибках: Ошибка: Отказавшая Загрузка. Этот Сертификат подписанный ЦС не совпадает с секретным ключом в ключевой базе данных. Как устранить эту проблему?

О. Чтобы устранить эту неполадку, выполните следующие действия:

  1. Генерируйте CSR.
  2. Сохраните секретный ключ.
  3. Загрузите новый сертификат с сохраненным секретным ключом.

Вопрос. . Я получил это сообщение об ошибках: журнал Гостевого сервера NAC: _SYSTEM_ (-172.16.98.9) Пользователь, пытающийся подтверждать подлинность от недопустимого расположения: XXX@YYY.com 2011 15 Янов 2010 11:41:44. Как исправить эту ошибку?

О. Эта проблема является releated к дефекту CSCsq86376 (только зарегистрированные клиенты), и это обнаружилось бы, если вы не используете IP-адреса в их пакетах RADIUS от WLC.

Вопрос. . Я получил эту ошибку meaage при обновлении CAS с CD: "Буферная ошибка ввода-вывода на устройстве hda, логический блок". Как исправить эту ошибку?

О. Когда CD поврежден или записан в высокой скорости, эта проблема обычно происходит. С более крупным ISO CD не должен быть записан в больше, чем 10X или 8X скорость.

Вопрос. . Вы могли бы получить это сообщение об ошибках при соединении CAM с CAS: Ошибка: сокет RMISocketFactory:Creating RMI был не в состоянии размещать. Как решить эту проблему?

О. Это сообщение об ошибках могло бы произойти из-за несогласованных версий на CAM и CAS или из-за несогласованных сертификатов или используемого общего секретного ключа. Для получения дополнительной информации о том, как решить вопросы сертификата, обратитесь к NAC (CCA): Исправление ошибок на CAM/CAS после обновления до версии 4.1.6.

Вопрос. . Я получил это сообщение об ошибках: отправитель сертификата для этого сайта недоверяем или неизвестен. Вы хотите продолжиться? Как исправить эту ошибку?

О. Это сообщение появляется, потому что сертификат, используемый на CAS, самовыполнен и не сохранен в хранилище сертификата клиентов. Эта ошибка может быть решена путем загрузки сертификата от внешнего поставщика (такого как Verisign, Поручить, и т.д.), который уже известен клиентским компьютерам. Это требует покупки сертификата от одного из этих поставщиков и установки его на CAS, или можно использовать собственный центр сертификации (однако, необходимо вручную установить сертификат CA от этого у каждого клиента).

Примечание: Переустановка сертификата на CAS требует удаления его и передобавления его к CAM. Это может иметь отрицательные последствия для сети. Это настоятельно рекомендовано только, когда существует возможное окно простоя.

Прочее

Вопрос. . Чистый Сервис DHCP Сервера доступа не перезапускает или иногда останавливается. Какие потребности быть сделанным?

О. Параметры настройки DHCP скомпилированы на Чистом Сервере доступа. Иногда эти скомпилированные параметры настройки могут стать поврежденными, особенно после обновления к Чистому Программному обеспечению сервера доступа. Решение состоит в том, чтобы вынудить Чистый Сервер доступа перекомпилировать параметры настройки. Чтобы сделать это, внесите изменение и обновление щелчка.

Признаки:

DHCP server не запускается, или он иногда отказывает на Чистом Сервере доступа.

Инструкции:

  1. Если демон DHCP сервера не запускает, переходит к менеджеру, открытому, что индивидуальный сервер, и нажимает Manage.

  2. Выберите Network> DHCP> Subnet List и нажмите Edit для одного из списков подсети.

  3. Внесите любое изменение в подсеть (например, увеличьте время аренды на 1 минуту), и нажмите Update.

  4. Вернитесь к странице status и посмотрите, запустился ли сервис DHCP. На этом этапе параметры настройки DHCP должны быть скомпилированы снова.

Примечание: Другая ситуация, которая может заставить DHCP server не запускаться, накладывается на конфигурации подсети. Проверьте для этого также.

Вопрос. . Я настроил Таймер пульса так, чтобы из устройства вышли система после некоторого неактивного времени. В конечном счете журнал, это сообщает, что не может пропинговать устройство, но устройство продолжает передавать трафик назад и вперед. Как это исправить?

О. Это - пример ошибки:

Authentication  2004-08-26 12:13:48  
Unable to ping 149.151.206.251, going to logout user user1

Проверьте, чтобы видеть, имеет ли устройство какие-либо встроенные межсетевые экраны, которые блокируют пакеты ARP от Сервера Cisco Clean Access. Сервер Cisco Clean Access выполняет эхо-запрос ARP. Это - сообщение ARP и не должно быть заблокировано.

Вопрос. . Я настроил Таймер пульса так, чтобы журналы работы устройства от системы после некоторого периода бездействия. В конечном счете журнал, это сообщает, что не может пропинговать устройство, но устройство все еще передает трафик назад и вперед. Как это исправить?

О. Удостоверьтесь, что вы настраиваете последовательный порт для соединения в режиме обхода отказа.

Если компьютер, который выполняет Программное обеспечение сервера Cisco Clean Access, имеет два последовательных порта, можно использовать дополнительный порт для соединения кабеля последовательного порта. По умолчанию первый последовательный порт, обнаруженный на сервере, настроен для ввода с консоли / выходные данные (для упрощения установки и других типов административного доступа). Если компьютер имеет только один последовательный порт (ttyS0), и вы не намереваетесь использовать его для административного доступа, можно реконфигурировать порт для служения в качестве соединения в режиме обхода отказа.

Выполните эти шаги для реконфигурирования ttyS0 как пульсирующего подключения:

  1. От Клиента SSH обратитесь к Серверу Cisco Clean Access как к пользователю маршрута.
  2. Отредактируйте/etc/lilo.conf и удалите или прокомментируйте последнюю линию:
    append="console=ttyS0....."
    Эта линия заставляет выходные данные консоли быть перенаправленными к последовательному порту.

    Примечание: Добавьте # символ к запуску линии, чтобы прокомментировать линию. Проигнорированы линии, которые запускаются с этого символа.

  3. Отредактируйте/etc/inittab и удалите или прокомментируйте последнюю линию:
    co:2345:respawn ...vt100
    Эта линия заставляет терминал входа запускаться на последовательном порту.
  4. Введите lilo и нажмите Enter в командной строке. Это запускает Lilo, программу загрузки Linux.
  5. Введите команду перезагрузки для перезагрузки компьютера.
  6. Повторите шаги в одноранговый Сервер Cisco Clean Access аварийного переключения.

Вопрос. . Сколько времени занимает Менеджер Cisco Clean Access (раньше SmartManager) для таймаута Сервера Cisco Clean Access и для SecureSmart 26.08.2004 12:26:42 192.168.1.1 недоступен! обмениваться сообщениями для показа?

О. Менеджер Cisco Clean Access занимает три минуты к таймауту каждый Сервер Cisco Clean Access, прежде чем это отобразит Не Связанный статус.

Вопрос. . Что влияние изменения является Network Interface Cards (NIC) на Сервере Cisco Clean Access?

О. Если у вас есть некорпоративная лицензия, вы не должны сообщать технической поддержке Cisco изменения на MAC-адресе. Когда количество Чистых Серверов доступа изменяется, только необходимо сообщить технической поддержке Cisco. Если у вас есть корпоративная лицензия, вы не должны сообщать технической поддержке Cisco.

Вопрос. . Я в состоянии получить IP-адрес от Чистого DHCP server Доступа, но после этого, я продолжаю видеть "Страницу Не Найденное" сообщение, когда я пытаюсь открыть браузер для внешнего адреса. Я никогда не перенаправлялся к веб-странице для входа. В чем причина?

О. Можно испытывать одну из этих проблем:

Вопрос. . Я должен обновить что-нибудь после того, как я заменю неисправный Сервер Cisco Clean Access?

О. В некоторых случаях ss_key больше не является тем же. Выполните следующие действия.

  1. SSH Менеджеру Cisco Clean Access и получает ss_key.
  2. Выполните psql-h 127.0.0.1-U команды controlsmartdb пост-ГРЭС.
  3. Выберите * от securesmart_info.
    ss_key                | ss_group |     ss_type      |   ss_ip   | ss_loc
    
     00_40_33_60_43_D2_04_54_48_55_66_D5 |    | standard_gateway | 10.0.0.1 |
  4. SSH к Серверу Cisco Clean Access и получает/обновляет ss_key.
  5. Выйдите [root@securesmart и т.д.] # кошка/etc/.GUSSK команда.
    [root@securesmart etc]# cat /etc/.GUSSK
    
    00_30_48_80_43_D6_00_30_48_80_43_D5
  6. Отредактируйте/etc/.GUSSK и обновите его с ss_key от Чистого Access Manager.
  7. Выполните перезагрузку.

Вопрос. . Подключение SSH потеряно при завершении сервиса perfigo на CAS с помощью команды service perfigo shut. Я не могу повторно соединиться, пока кто-то не физически в коробке и может перезапустить ее. Как устранить эту проблему?

О. Этот вопрос может быть решен при помощи команды service perfigo maintenance в версиях NAC 4.1 и позже.

Вопрос. . Я не могу загрузить NAC-устройство с новым CD CAS/CAM, который я имею. Какие действия следует предпринять?

О. Проверьте придерживающийся для решения этого:

  • Гарантируйте проверку контрольной суммы для образа ISO, загруженного для CAS/CAM.

  • Запишите образ ISO в самой медленной скорости горения.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения