إجراء تحديثات للوضع في ISE Offline وعلى الإنترنت

خيارات التنزيل

  • PDF     (3.3 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
تم التحديث:١٨ مارس ٢٠٢٥
معرّف المستند:222854

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يوضح هذا المستند كيفية إجراء تحديثات الوضع في Cisco Identity Services Engine® (ISE).

    المتطلبات الأساسية

    المتطلبات

    cisco يوصي أن يتلقى أنت معرفة على Posture تدفق.

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات المكونات المادية والبرامج التالية.

    • Cisco Identity Services Engine 3.2 والإصدارات الأحدث.

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية

    تتضمن تحديثات الوضع مجموعة من التحققات والقواعد ومخططات الدعم المحددة مسبقا لمكافحة الفيروسات وبرامج مكافحة التجسس لكل من أنظمة التشغيل Windows و MacOS، ومعلومات أنظمة التشغيل التي تدعمها Cisco.

    عند نشر Cisco ISE على شبكتك لأول مرة، يمكنك تنزيل تحديثات الوضع من الويب. عادة ما تستغرق هذه العملية حوالي 20 دقيقة. بعد التنزيل الأولي، يمكنك تكوين Cisco ISE للتحقق من التحديثات التزايدية وتنزيلها بشكل تلقائي.

    يقوم Cisco ISE بإنشاء سياسات الوضع الافتراضي والمتطلبات والمعالجة مرة واحدة فقط أثناء تحديثات الوضع الأولي. إذا قمت بحذفها، فإن Cisco ISE لا يقوم بإنشائها مرة أخرى أثناء التحديثات اليدوية أو المجدولة التالية.

    هناك نوعان من تحديثات الوضع التي يمكنك تنفيذها:

    • تحديثات الوضع عبر الإنترنت.
    • تحديثات الوضع دون اتصال.

    تحديثات الوضع عبر الإنترنت

    يسترجع Web Posture Update/ Online Posture Update آخر تحديثات الوضع من Cisco cloud أو مستودعات الخادم. وهذا يتضمن تنزيل أحدث السياسات والتعريفات والتواقيع مباشرة من خوادم Cisco. يحتاج ISE إلى الاتصال بخوادم سحابة Cisco أو تحديث المستودعات لاسترداد أحدث تعريفات الوضع والسياسات والملفات الأخرى المقترنة.

    ماذا يحدث أثناء تحديثات الوضع عبر الإنترنت أو الويب؟

    يقوم محرك خدمات الهوية (ISE) بالوصول إلى موقع Cisco على الويب إما من خلال وكيل أو اتصال إنترنت مباشر باستخدام HTTP، وإنشاء اتصال مع www.cisco.com. أثناء هذه العملية، يتم تبادل الترحيب بالجهاز العميل والخادم، حيث يقوم الخادم بتوفير شهادته للتحقق من شرعيته وتأكيد الثقة من جانب العميل. بعد اكتمال عملية ترحيب العميل والخادم، يتم تبادل مفاتيح العميل، ويقوم الخادم بتهيئة تحديثات الوضع. فيما يلي التقاط الحزمة الذي يوضح الاتصال بين خادم ISE و Cisco.com أثناء تحديثات Online Posture (وضعية الإنترنت).

    Posture Updates

    • أثناء "مرحبا بالخادم"، يرسل Cisco.com هذه الشهادات إلى العميل لتأكيد الثقة من جانب العميل.
    Certificates Length: 5083
    Certificates (5083 bytes)
    Certificate Length: 1940
    Certificate: 3082079030820678a0030201020210400191d1f3c7ec4ea73b301be3e06a90300d06092a… (id-at-commonName=www.cisco.com,id-at-organizationName=Cisco Systems Inc.,id-at-localityName=San Jose,id-at-stateOrProvinceName=California,id-at-count
    Certificate Length: 1754
    Certificate: 308206d6308204bea003020102021040016efb0a205cfaebe18f71d73abb78300d06092a… (id-at-commonName=HydrantID Server CA O1,id-at-organizationalUnitName=HydrantID Trusted Certificate Service,id-at-organizationName=IdenTrust,id-at-cou
    Certificate Length: 1380
    Certificate: 3082056030820348a00302010202100a0142800000014523c844b500000002300d06092a… (id-at-commonName=IdenTrust Commercial Root CA 1,id-at-organizationName=IdenTrust,id-at-countryName=US)
    • في واجهة المستخدم الرسومية ISE، من المهم التأكد من تمكين شهادة الخادم IDENtrust الجذر التجاري CA 1 والثقة لمصادقة خدمات Cisco لإنشاء اتصال مع Cisco.com. وبشكل افتراضي، يتم تضمين هذه الشهادة في ISE ويتم التحقق من الثقة لمصادقة خدمات Cisco"، ولكن يتم ينصح بالتحقق.
    • تحقق من حالة الشهادة والاستخدام الموثوق به من خلال الانتقال إلى واجهة المستخدم الرسومية (ISE) > الإدارة > الشهادات > الشهادات الموثوق بها. التصفية حسب الاسم IdenTrust Commercial Root CA 1، حدد الشهادة، ثم قم بتحريرها للتحقق من إستخدام الضمان، كما هو موضح في لقطة الشاشة هذه:

    Check Certificate Status

    • يمكن أن تتضمن تحديثات الوضع سياسات جديدة أو منقحة للوضع، وتعريفات جديدة لمكافحة الفيروسات/البرامج المضادة للفيروسات، ومعايير أخرى ذات صلة بالأمان لتقييمات الوضع.
    • تتطلب هذه الطريقة اتصال إنترنت نشطا ويتم تنفيذها عادة عند تكوين نظام ISE لاستخدام المستودعات المستندة إلى السحابة لتحديثات الوضع.

    متى تستخدمه

    يتم إستخدام تحديثات الوضع عبر الإنترنت عندما تريد التأكد من أن سياسات الوضع وتعريفات الأمان والمعايير محدثة مع أحدث الإصدارات المتاحة التي توفرها Cisco.

    المنافذ المستخدمة لتحديث الوضع عبر الإنترنت

    لضمان أن نظام ISE يمكن أن يصل بنجاح إلى خوادم سحابة Cisco لتنزيل تحديثات الوضع، يجب أن تكون هذه المنافذ مفتوحة في جدار الحماية لديك وسمحت بالاتصال الصادر من ISE إلى الإنترنت:

    1. HTTPS (TCP 443):
      • المنفذ الأساسي ل ISE للوصول إلى خوادم سحابة Cisco وتنزيل التحديثات عبر اتصال آمن (TLS/SSL).
      • هذا هو المنفذ الأكثر أهمية لعملية تحديث الوضع المستند إلى الويب.
    2. DNS (UDP 53):
      • يجب أن يكون ISE قادرا على إجراء عمليات بحث DNS لحل أسماء المضيف لخوادم التحديث.
      • تأكد من إمكانية وصول نظام ISE إلى خوادم DNS وحل أسماء المجالات.
    3. NTP (UDP 123):
      • يستخدم ISE بروتوكول وقت الشبكة (NTP) لمزامنة الوقت. وهذا مهم لضمان ختم عملية التحديث بشكل صحيح في الوقت وأن نظام ISE يعمل في منطقة زمنية متزامنة.
      • وفي العديد من الحالات، يلزم أيضا الوصول إلى خوادم NTP عبر بروتوكول UDP 123.

    إجراء إجراء إجراء تحديثات الوضع عبر الإنترنت

    1. سجل الدخول إلى GUI -> الإدارة -> النظام -> الإعدادات -> الوضع -> التحديثات.

    Perform Online Posture Updates

    2. حدد الأسلوب كموقع ويب لتحديثات الوضع عبر الإنترنت، انقر فوق تحديث الآن.

    Select Method as Web for Online Posture Updates

    3. بمجرد بدء تحديثات الوضع، سيتم تغيير الحالة إلى تحديث.

    Online Posture Update Begins

    4. يمكن التحقق من حالة تحديثات الوضع من معلومات التحديث وفقا للقطة الشاشة هذه:

    Online Posture Update Status

    تكوين الوكيل لتحديثات الوضع عبر الإنترنت

    في بيئة مقيدة حيث لا يمكن الوصول إلى عنوان URL الخاص بحقل تحديث الوضع، في هذه الحالة يكون تكوين وكيل الحالة مطلوبا. ارجع إلى تكوين وكيل في ISE. 

    1. انتقل إلى الإدارة -> النظام -> الإعدادات -> الوكيل.

    Proxy Configuration for Online Posture Updates

    2. قم بتكوين تفاصيل الوكيل، انقر فوق حفظ.

    Configure Proxy Details

    3. يتم إحضار تفاصيل الوكيل تلقائيا من قبل ISE عند إجراء تحديثات الوضع عبر الإنترنت. 

    تحديثات الوضع دون اتصال

    يسمح لك تحديث الوضع دون اتصال بتحميل ملفات تحديث الوضع يدويا (في شكل .zip أو تنسيق ملف آخر مدعوم) إلى ISE.

    ماذا يحدث عند إجراء تحديث للوضع دون اتصال؟

      • يمكنك تحميل ملفات الوضع المحدثة يدويا.
      • يقوم ISE بمعالجة هذه الملفات وتطبيقها، والتي يمكن أن تتضمن سياسات محدثة، وتعريفات لمكافحة الفيروسات، وتقييمات الوضع، من بين أنواع أخرى من الملفات.
      • لا يتطلب التحديث دون اتصال بالإنترنت ويتم إستخدامه عادة في البيئات ذات الأمان الصارم أو سياسات الشبكة التي تمنع الوصول المباشر إلى الخوادم الخارجية.

    متى تستخدمه

    غالبا ما يتم إستخدام هذه الطريقة في البيئات التي يتم فيها عزل النظام عن الإنترنت أو عندما يكون لديك ملفات تحديث غير متصلة معينة مقدمة من Cisco أو فريق الأمان الخاص بك.

    المنافذ المستخدمة لتحديثات الوضع دون اتصال

    للاتصال العام بخادم ISE (أثناء عملية التحديث)، في العديد من الحالات، تكون هذه المنافذ ذات صلة:

    1. الوصول إلى الإدارة (المنافذ 22 و 443):
      • بروتوكول SSH (بروتوكول TCP 22): إذا كنت تستخدم SSH للوصول إلى نظام ISE لاستكشاف الأخطاء وإصلاحها أو التحميل اليدوي.
      • HTTPS (TCP 443): إذا كنت تستخدم واجهة المستخدم الرسومية (واجهة الويب) لتحميل التحديث.
    2. نقل الملفات (SFTP أو SCP):
      • إذا كنت بحاجة إلى تحميل الملفات يدويا إلى ISE عبر SFTP أو SCP، فتأكد من أن المنافذ المقابلة (عادة المنفذ 22 ل SSH/SFTP) مفتوحة على نظام ISE.
    3. الوصول إلى الشبكة المحلية:
      • تأكد من أن النظام الذي تقوم من خلاله بتحميل التحديث (على سبيل المثال، محطة عمل الإدارة أو الخادم) يمكن أن يتصل ب ISE عبر المنافذ الضرورية للوصول إلى الإدارة، ولكن مرة أخرى، لا تتطلب تحديثات الوضع دون اتصال أي منافذ خارجية نظرا لأنه يتم توفير الملفات يدويا.

    أين يمكن العثور على ملفات لتحديثات الوضع دون اتصال؟

    1. انتقل إلى عنوان URL: https://www.cisco.com/web/secure/spa/posture-offline.html ، انقر فوق تنزيل ويتم تنزيل الملف posture-offline.zip إلى النظام المحلي الخاص بك.

    Where to Find Files for Offline Posture Updates

    تتضمن ملفات تحديث الوضع دون اتصال

      • تعريفات مكافحة الفيروسات (التوقيعات).
      • سياسات وقواعد الوضع.
      • تقييمات الأمان وملفات التكوين الأخرى لتقييم الوضع.

    إجراء إجراء إجراء تحديثات الوضع دون اتصال

    1. سجل الدخول إلى ISE GUI -> الإدارة -> النظام -> الإعدادات -> الوضع -> التحديثات.

    Log In to ISE GUI

    2. حدد الخيار غير المتصل، واستعرض المجلد posture-offline.zip الذي تم تنزيله إلى نظامك المحلي وحدد هذا المجلد. انقر فوق تحديث الآن.

    Select Offline Option

    3. بمجرد بدء تحديثات الوضع، سيتم تغيير الحالة إلى تحديث.

    Updates

    Proxy Information

    4. يمكن التحقق من حالة تحديثات الوضع من معلومات التحديث وفقا للقطة الشاشة هذه:

    Verify Posture Update Status

    التحقق

    قم بتسجيل الدخول إلى واجهة المستخدم الرسومية (GUI) الخاصة بعقدة الإدارة الأساسية -> العمليات -> أستكشاف الأخطاء وإصلاحها -> سجلات التنزيل -> سجلات تصحيح الأخطاء -> سجلات التطبيقات -> isc-psc.log ، انقر ise-psc.log ويتم تنزيل السجل إلى نظامك المحلي. افتح الملف الذي تم تنزيله من خلال Notepad أو محرر النصوص، وقم بتصفية تنزيل Opswat. يجب أن تكون قادرا على العثور على المعلومات المتعلقة بتحديثات الوضع التي يتم إجراؤها في النشر.

    يمكنك أيضا كتابة السجلات عن طريق تسجيل الدخول إلى CLI لعقدة الإدارة الأساسية باستخدام الأمر show logging application ise-psc.log tail.

    تم بدء تنزيل Opswat، مشيرا إلى تحديثات الوضع:

    2025-03-13 13:58:07،246 معلومات [admin-http-pool5][]] cisco.cpm.posture.download.DownloadManager -::admin::- بدء تنزيل Opswat

    2025-03-13 13:58:07،251 معلومات [admin-http-pool5][[]] cisco.cpm.posture.download.DownloadManager -::admin:- URI ملف التنزيل دون اتصال : /opt/CSCOcpm/temp/cp/update/5c064701-a1ee-4a09-a190-3bf83c190af6/osgroupsV2.tar.gz

    2025-03-13 13:58:07،251 معلومات [admin-http-pool5][[]] cisco.cpm.posture.download.DownloadManager -::admin:- URI ملف التنزيل دون اتصال : /opt/CSCOcpm/temp/cp/update/5c064701-a1ee-4a09-a190-3bf83c190af6/osgroups.tar.gz

    2025-03-13 13:58:07،251 معلومات [admin-http-pool5][[]

    تم تنزيل تنزيل Opswat المكتملة، بالرجوع إلى تحديثات الوضع بنجاح.

    2025-03-13 14:24:50،796 معلومات [pool-25534-thread-1][]] mnt.dbms.datadirect.impl.DatadirectServiceImpl -::- تنفيذ GetStatus - datadirectSettings

    2025-03-13 14:24:50،803 معلومات [admin-http-pool5][]] cisco.cpm.posture.download.DownloadManager -::admin::- تم تنزيل Opswat

    2025-03-13 14:24:50،827 INFO [admin-http-pool5][]] mnt.dbms.datadirect.impl.DatadirectServiceImpl -::admin::- تنفيذ getStatus - datadirectSettings

    استكشاف الأخطاء وإصلاحها

    السيناريو

    فشلت تحديثات الوضع عبر الإنترنت مع حدوث الخطأ "يتعذر الوصول إلى العنوان البعيد". الرجاء التأكد من تكوين موجز ويب تحديث UR وعنوان الوكيل ومنفذ الوكيل بشكل صحيح. 

    نموذج الخطأ:

    Sample Error

    الحل

    1. سجل الدخول إلى واجهة سطر الأوامر (CLI) الخاصة ب ISE، تحقق من أن ISE يمكن الوصول إليه إلى cisco.com باستخدام الأمر "ping cisco.com". 

    isehostname/admin#ping cisco.com
    إختبار الاتصال على موقع الويب cisco.com (72. 163. 4. 161) 56(84) بايت من البيانات.
    64 بايت من 72.163.4.161: icmp_seq=1 ttl=235 time=238 مللي ثانية
    64 بايت من 72.163.4.161: icmp_seq=2 ttl=235 time=238 مللي ثانية
    64 بايت من 72.163.4.161: icmp_seq=3 ttl=235 time=239 مللي ثانية
    64 بايت من 72.163.4.161: icmp_seq=4 ttl=235 time=238 مللي ثانية

    — cisco.com إحصائيات إختبار الاتصال —
    4 حزم يتم إرسالها و 4 حزم يتم إستلامها و 0٪ فقدان حزم ووقت 3004 مللي ثانية
    rtt min/avg/max/mdev = 238.180/238.424/238.766/0.410 مللي ثانية

    2. انتقل إلى الإدارة -> النظام -> الإعدادات ->تم تكوين الوكيل باستخدام المنافذ المناسبة. 

    Sample Solution

    3. تحقق مما إذا كان قد تم السماح بمنافذ TCP 443 و UDP 53 و UDP 123 على جميع التنقلات إلى الإنترنت. 

    العيوب المعروفة لمسائل تحديث الوضع

    معرف تصحيح الأخطاء من Cisco 01523

    المرجع

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    18-Mar-2025
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • سري سريمات ترومالا بيدينيتي
      مهندس إستشاري تقني

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا