Безопасность : Устройство Cisco NAC (Clean Access)

Часто задаваемые вопросы по Clean Access Agent

22 сентября 2010 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (4 марта 2009) | Отзыв

Вопросы

Введение
Что необходимо сделать, если MAC-клиенты не перенаправляются на страницу "Страница не найдена"?
Какие операционные системы поддерживаются?
Поддерживает ли Cisco изменяемые API?
Поддерживает ли Cisco агента на VMware или на общих драйверах?
Cisco Clean Access Agent отображает сообщение об ошибке "SecureSmart недоступен в сети" или "Сервер SecureSmart не найден в сети". Я перезагрузил Cisco Clean Access Server и какое-то время обходил проблему. Как это исправить?
Cisco Clean Access Agent получает сообщение об ошибке "Ошибка сети" при входе в систему. В чем причина?
Что означает сообщение об ошибке "это обновление не может быть выполнено для учетной записи без прав администратора" на Cisco Clean Access Agent во время обновления Windows?
Что означает сообщение об ошибке "Эта версия клиента устарела и несовместима. Войдите в систему из веб-браузера, чтобы увидеть ссылку для загрузки новой версии" на Cisco Clean Access Agent?
Что происходит, когда Clean Access Agent блокируется McAfee?
Я недавно установил систему Windows 98. При попытке установить на компьютер клиент 3.2.0 Cisco Clean Access Agent выводится запрос на обновление средства установки. Однако, как только Cisco Clean Access Agent пытается обновить средство установки, появляется сообщение об ошибке "Исполняемый файл обновлений instmsi 'C:Windows\Temporary Internet Files\Content.IE5\KXERWHYB\InstMSIA[2].exe' недействителен". Как это исправить?
С кем пытается связаться Cisco Clean Access Server, когда при соединении использует в качестве исходного порта порт 8905?
Я загрузил Cisco Clean Access Agent на свой Cisco Clean Access Server. Однако Cisco Clean Access Server не публикует его. Выдается сообщение "Проверка загруженного файла клиента SmartEnforcer... Клиент SmartEnforcer не найден." Как это исправить?
Как ограничить SSH-доступ к Cisco Clean Access Server?
Как отключить Clean Access Agent для Windows 98/95?
Почему я получаю сообщение об ошибке Доступ к сети заблокирован администратором на Cisco Clean Access Agent при попытке войти в систему?
Поддерживает ли NAC 4.5 или более поздних версий Trend Micro OfficeScan 10.x?
Почему я получаю сообщение об ошибке Предупреждение: Текущий доверенный центр сертификации 'www.perfigo.com' пригоден только для лабораторных сред. Cisco рекомендует импорт стороннего центра сертификации. Проверьте свой Clean Access Server и резервный Clean Access Manager на похожие сообщения. после обновления устройства NAC?
Граничные коммутаторы под управлением SNMPv3 не опрашиваются центром сбора после отправки ссылки или MAC-уведомления о прерывании. Обнаружение подключений конечных точек к портам на коммутаторах под управлением SNMPv3 задерживается до следующего регулярного опроса коммутатора службой NetMap в средстве профилирования NAC. В чем причина?
Почему при использовании сертификатов от Perfigo в устройстве NAC возникают ошибки?
Что означает сообщение об ошибке Данные об отзыве сертификата безопасности для данного узла недоступны. Хотите продолжить? на Cisco Clean Access Agent?
AV-проверка на Cisco Clean access для компьютеров под управлением Windows 7 не приводит к успеху. Как решить эту проблему?
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

В этом документе приведены ответы на наиболее часто задаваемые вопросы (FAQ), связанные с Cisco Clean Access Agent (старое название Perfigo SmartEnforcer).

Названия продуктов были изменены. В этой таблице приводится перечень старых и новых названий:

Старое название Новое название
SmartManager Clean Access Manager
SecureSmart Server Clean Access Server
SmartEnforcer Clean Access Agent
CleanMachinesAPIs Clean Access APIs

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

В. Что необходимо сделать, если MAC-клиенты не перенаправляются на страницу 'Страница не найдена'?

О. Убедитесь, что вы не используете доменное имя, заканчивающееся на .local. MAC рассматривает такое имя, как специальное DNS-имя для многоадресного DNS. Поэтому запрос на разрешение не отправляется на DNS-сервер.

В. Какие операционные системы поддерживаются?

О. Агенты поддерживаются только в системах от Windows 98 до XP. MAC и Linux не поддерживаются..

В. Поддерживает ли Cisco изменяемые API?

О. Нет.

В. Поддерживает ли Cisco агента на VMware или на общих драйверах?

О. Вот что поддерживается и не поддерживается агентом NAC на VMware:

  • VMware в режиме NAT

    Агент NAC не поддерживается независимо от нахождения во внутренней полосе связи или вне ее, так как для VMware в режиме NAT все виртуальные машины показывают один и тот же IP и MAC. Поэтому невозможно отличать разные виртуальные машины для их аутентификации/проверки состояния.

  • VMware в режиме моста (разделение L2 между образами, разные адреса IP/MAC)

    • Агент NAC поддерживается в режиме внутренней полосы, так как для виртуальных машин могут быть получены уникальные адреса IP и MAC.

    • Агент NAC не поддерживается в режиме OOB, так как в этом режиме каждый порт коммутатора ограничивается одним MAC-адресом. Несколько MAC-адресов за одним портом коммутатора не поддерживаются в режиме OOB. (IP-телефоны и ПК, подключенные к IP-телефонам, поддерживаются).

Таким образом, агент NAC поддерживается на VMware, если:

  • NAC работает в режиме внутренней полосы связи.

  • VMware работает в режиме моста.

Для всех остальных режимов поддержка не предусмотрена.

В. Cisco Clean Access Agent отображает сообщение об ошибке "SecureSmart недоступен в сети" или "Сервер SecureSmart не найден в сети". Я перезагрузил Cisco Clean Access Server и какое-то время обходил проблему. Как это исправить?

О. Эта ошибка вызывается невозможностью обмена данными между Cisco Clean Access Agent и Cisco Clean Access Server через протокол SWISS (зашифрованный обмен данными через порт 8905 UDP).

Это может происходить по следующим причинам:

  • Файлы журналов имеют слишком большой размер.

  • Проверьте, не привело ли заполнение журналов записями Apache к увеличению размеров файлов журналов до 2 Гб. Эта ошибка устранена в версии 3.3.x и в более поздних.

  • Сертификат SS недействителен. Если сертификат Clean Access Server недействителен или некорректен, HTTPS-соединение не может быть установлено должным образом. Убедитесь, что в нижней части всплывающего окна сертификата имеются две проверки, если сертификат временный, и три проверки, если сертификат подписан сертифицирующим органом.

  • Время клиента неправильное. Если время на компьютере клиента является причиной непризнания сертификата сервера (например, для времени клиента установлено значение, более раннее, чем время сервера), это приводит к тому, что с точки зрения клиента время сертификата еще не наступило. Проверьте время на компьютере Clean Access Server и убедитесь, что для сервера времени разрешен протокол NTP.

  • На клиентском компьютере установлено несколько сетевых плат. Если на клиентском компьютере имеется несколько сетевых плат, то Windows может использовать для передачи данных несоответствующую плату. Отключите неиспользуемую сетевую плату, чтобы обойти эту проблему.

  • Попробуйте очистить кэш на компьютере Enforcer.

    • Выполните команду ipconfig или dnsflush из командной строки.

      ИЛИ

    • В Internet Explorer выберите Tools > Internet Options > Advanced и снимите флажок Check for server certificate revocation.

  • Подключение к сети не установлено.

  • Убедитесь в правильности вашего IP-адреса.

  • Локальный ПК или компьютер может испытывать некоторые проблемы после новой установки Cisco Clean Access Agent.

  • Перезагрузите компьютер. Выполните команду service perfigo restart на компьютере Clean Access Server.

  • Порт назначения 8905 на компьютере Cisco Clean Access Server заблокирован сетевым экраном или персональным межсетевым экраном.

  • Убедитесь, что порт 8905 открыт.

  • Стороннее программное обеспечение мешает программе Cisco Clean Access Agent. Попробуйте отключить такое программное обеспечение, чтобы проверить работу Clean Access Agent.

  • Попробуйте отключить персональные межсетевые экраны, программное обеспечение VPN или программы блокировки спама.

  • Изъян программного обеспечения обнаружен и устранен в Cisco Clean Access Server 3.2.6.

  • Обновите программное обеспечение до Cisco Clean Access Manager и Cisco Clean Access Server 3.2.6.

В. Cisco Clean Access Agent получает сообщение об ошибке "Ошибка сети" при входе в систему. В чем причина?

О. Cisco Clean Access Agent выводит это сообщение об ошибке при невозможности обмена данными с Cisco Clean Access Server через протокол HTTPS. Это может происходить по нескольким причинам:

  • Сертификат SS недействителен. Если сертификат Cisco Clean Access Server недействителен или некорректен, HTTPS-соединение не может быть установлено должным образом.

    Убедитесь, что в нижней части всплывающего окна сертификата имеются две проверки, если сертификат временный, и три проверки, если сертификат подписан сертифицирующим органом.

  • Время клиента неправильное. Время, установленное на клиентском компьютере, является причиной непризнания сертификата сервера. Например, для времени клиента установленио занчение, более раннее, чем время сервера. В результате, с точки зрения клиента время сертификата еще не наступило.

    Проверьте время на компьютере Cisco Clean Access Server и убедитесь, что для сервера времени разрешен протокол NTP.

  • На клиентском компьютере установлено несколько сетевых плат. Если на клиентском компьютере имеется несколько сетевых плат, то Windows может использовать для передачи данных несоответствующую плату.

    Отключите неиспользуемую сетевую плату, чтобы обойти эту проблему.

  • Стороннее программное обеспечение мешает обмену данными между Cisco Clean Access Agent и Cisco Clean Access Server. Такие программы, как Cisco VPN Client, CheckPoint© VPN Client и персональные межсетевые экраны могут влиять на обмен данными.

  • Попробуйте отключить такое программное обеспечение, чтобы проверить работу Cisco Clean Access Agent.

  • Очистите кэш.

    • Выполните команду ipconfig /dnsflush из командной строки, или в Internet Explorer выберите Internet Options > Advanced и снимите флажок Check for server certificate revocation.

В. Что означает сообщение об ошибке "это обновление не может быть выполнено для учетной записи без прав администратора" на Cisco Clean Access Agent во время обновления Windows?

О. Проблема заключается в том, что Clean Access Agent не может выполнить обновление Windows для учетной записи без прав администратора. Для запуска служб обновления Windows Server (WSUS) от имени учетной записи без прав администратора необходима служба Agent Stub. Служба Stub требуется для поддержки учетными записями без прав администратора следующих функций:

  • Загрузка и установка агента

  • Обновление агента

  • Запуск исполняемого файла

  • Запуск обновлений WSUS

  • Доступ к обнаружению изменений аутентификации VLAN

  • Выполнение обновления IP

В. Что означает сообщение об ошибке "Эта версия клиента устарела и несовместима. Войдите в систему из веб-браузера, чтобы увидеть ссылку для загрузки новой версии" на Cisco Clean Access Agent?

О. Проблема заключается в том, что версия Clean Access Agent отличается от версии сервера. Попробуйте установить версию Clean Access Agent, соответствующую версии сервера.

В. Что происходит, когда Clean Access Agent блокируется McAfee?

О. Проблема заключается в том, что Clean Access Agent блокируется программой McAfee, которая считает, что программа установки веб-агента (webagentsetup-win.exe) является "троянским конем". Эту проблему можно обойти, если изменить метод загрузки клиентов, исключив аплет ActiveX и используя строго компонент Java. Это можно настроить в CAM с помощью команды User Pages — Login Page — edit — Web Client(ActiveX/Applet) — Java Applet Only. Альтернативным вариантом является использование другого браузера, предпочтительно Firefox.

В. Я недавно установил систему Windows 98. При попытке установить на компьютер клиент 3.2.0 Cisco Clean Access Agent выводится запрос на обновление средства установки. Однако, как только Cisco Clean Access Agent пытается обновить средство установки, появляется сообщение об ошибке "Исполняемый файл обновлений instmsi 'C:Windows\Temporary Internet Files\Content.IE5\KXERWHYB\InstMSIA[2].exe' недействителен". Как это исправить?

О. Установите полную версию Cisco Clean Access Agent 3.1.3 или 3.2.0 (размер больше 5 Мб).

В. С кем пытается связаться Cisco Clean Access Server, когда при соединении использует в качестве исходного порта порт 8905?

О. Cisco Clean Access Agent связывается с Cisco Clean Access Server через протокол SWISS, используя зашифрованный обмен данными через порт 8905 UDP.

В. Я загрузил Cisco Clean Access Agent на свой Cisco Clean Access Server. Однако Cisco Clean Access Server не публикует его. Выдается сообщение "Проверка загруженного файла клиента SmartEnforcer... Клиент SmartEnforcer не найден." Как это исправить?

О. Загрузите файл .exe, а не .zip. Убедитесь, что вы извлекли файл .exe из папки zip-архива, перед тем как загрузить его. Также, не изменяйте исходное имя файла .exe.

В. Как ограничить SSH-доступ к Cisco Clean Access Server?

О. Измените файл /etc/ssh/sshd_config, добавив строку, подобную следующей:

ListenAddress IP_address_of_where_you_want_ssh_to_allow_connections

Например:

ListenAddress 192.168.151.60 

Выполните команду service sshd restart, чтобы перезапустить процесс SSHD .

В. Как отключить Clean Access Agent для Windows 98/95?

О. В меню CleanMachines снимите флажок Windows All и установите флажок "Require Use of Clean Access Agent" для каждой ОС в отдельности.

ca-mgr-faq-3.gif

Q. Почему я получаю сообщение об ошибке Доступ к сети заблокирован администратором на Cisco Clean Access Agent при попытке войти в систему?

О. Эта ошибка может возникать при одновременном использовании кабельной и беспроводной сетей. Попробуйте использовать либо кабельную либо беспроводную сеть — это может решить проблему. Также, попробуйте использовать CCA версии 4.1.3. Это может помочь в решении данной проблемы.

В. Поддерживает ли NAC 4.5 или более поздних версий Trend Micro OfficeScan 10.x?

A. NAC поддерживает Trend Micro OfficeScan 10.x начиная с версии 4.7.1.

В. Почему я получаю сообщение об ошибке Предупреждение: Текущий доверенный центр сертификации 'www.perfigo.com' пригоден только для лабораторных сред. Cisco рекомендует импорт стороннего центра сертификации. Проверьте свой Clean Access Server и резервный Clean Access Manager на похожие сообщения. после обновления устройства NAC?

О. Причиной этого сообщения об ошибке являются сертификаты Perfigo. Эту проблему можно решить, удалив центр сертификации Perfigo из списка доверенных центров сертификации.

В. Граничные коммутаторы под управлением SNMPv3 не опрашиваются центром сбора после отправки ссылки или MAC-уведомления о прерывании. Обнаружение подключений конечных точек к портам на коммутаторах под управлением SNMPv3 задерживается до следующего регулярного опроса коммутатора службой NetMap в средстве профилирования NAC. В чем причина?

О. Эта проблема связана с ошибкой Cisco ID CSCta25695 (только для зарегистрированных пользователей) . Для получения дополнительных сведений обратитесь к документации по данной ошибке.

В. Почему при использовании сертификатов от Perfigo в устройстве NAC возникают ошибки?

О. Причиной ошибок при использовании сертификатов от Perfigo может быть используемая версия Cisco NAC Appliance. Cisco NAC Appliance версии 4.7(0) больше не содержит центр сертификации (CA) www.perfigo.com=" в файле образа .ISO или в образе обновлений. Администраторы, которым требуется центр сертификации www.perfigo.com в сети, должны вручную импортировать этот центр сертификации с локального компьютера после установки или обновления до версии 4.7(0).

Чтобы установить первоначальный канал безопасного обмена данными между CAM и CAS, необходимо импортировать корневой сертификат из каждого устройства в другое доверенное хранилище устройства, чтобы CAM мог признавать сертификат CAS, и наоборот.

В. Что означает сообщение об ошибке Данные об отзыве сертификата безопасности для данного узла недоступны. Хотите продолжить? на Cisco Clean Access Agent?

О. Эта ошибка вызвана недоступностью данных об отзыве сертификата безопасности. Для решения этой проблемы выполните в Internet-браузере следующие действия:

  1. Выберите Tools > Internet Options > Advanced tab > Security section и снимите флажок Check for server certificate revocation (requires restart).
  2. Закройте окно браузера и откройте его снова, чтобы изменения вступили в силу. Эти действия решают данную проблему.

В. AV-проверка на Cisco Clean access для компьютеров под управлением Windows 7 не приводит к успеху. Как решить эту проблему?

О. Эта ошибка происходит из-за того, что в правилах-требованиях не выбрано корректное правило для ОС Windows 7. Выберите все правила-требования для Windows 7 в пункте существующего требования.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 63591