فهم تأجير الوضع في ISE

خيارات التنزيل

  • PDF     (861.2 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (687.6 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (582.5 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٢٠ مارس ٢٠٢٥
معرّف المستند:222876

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند تكوين تأجير الوضع في Cisco ISE وعمله.

    المتطلبات الأساسية

    المتطلبات

    • معرفة تدفق الوضع في Cisco ISE
    • معرفة سياسات AAA في Cisco ISE

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

    • Cat9300 مفتاح صيغة 17.9.5
    • Identity Service Engine (ISE) الإصدار 3.2
    • PC Windows 10 Enterprise مع وحدة ISE Posture Module 5.1.6

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية

    التأجير في الوضع عبارة عن ميزة في Cisco ISE تقوم بتخزين حالة التوافق الأخيرة المعروفة حتى 365 يوما في قاعدة البيانات ولا تصل إلى نقطة النهاية للتحقق من التوافق. ولكن عند انتهاء صلاحية تأجير الوضع، لا يقوم Cisco ISE تلقائيا بتشغيل إعادة مصادقة أو إعادة تقييم الوضع لنقطة النهاية. تبقى نقطة النهاية في نفس حالة التوافق نظرا لأنه يتم إستخدام نفس الجلسة. عند إعادة مصادقة نقطة النهاية، يتم تشغيل الوضع وإعادة تعيين وقت تأجير الوضع.

    تأجير Posture هو سمة نقطة نهاية يتم تخزينها في قاعدة بيانات Oracle، وتقوم بتخزين الوقت في وقت EPOCH. يمكن التحقق من صحة الأمر نفسه من إمكانية رؤية السياق ومن قاعدة بيانات Oracle.

    Posture Expiry

    بجانب تأجير الوضع، هناك ميزة أخرى في ISE تقوم بتخزين حالة التوافق المعروفة الأخيرة لمقدار الوقت القابل للتكوين (الحد الأقصى 200 يوم / 4800 ساعة / 288000 دقيقة) الذي تم تكوينه في آخر حالة توافق مع الوضع المعروف. تتيح هذه الميزة ل Cisco ISE تخزين حالة التوافق الأخيرة مؤقتا، وإذا أصبحت نقطة نهاية غير متوافقة ضمن آخر حالة متوافقة مع الوضع المعروف، فإن ISE يضع علامة متوافقة على نقطة النهاية حتى فترة السماح التي تم تكوينها في نهج الوضع.

    آخر مخازن قيم الحالة المعروفة المتوافقة مع الوضع في قاعدة بيانات Oracle. كما أنها تختزن في فترة زمنية معينة.

    التكوين

    لتكوين إيجار الوضع في Cisco ISE:

    انتقل إلى مراكز العمل > Posture (وضعية) > Settings (إعدادات) > Posture Lease. تحقق من إجراء تقييم للوضع كل عدد من الأيام (1-365 يوما) وقم بتكوين عدد الأيام. هنا يتم تعيينها إلى يوم واحد.

    تحقق من آخر حالة متوافقة مع الوضع المعروف في ذاكرة التخزين المؤقت وقم بتكوين آخر حالة معروفة متوافقة مع الوضع (200 يوم / 4800 ساعة / 288000 دقيقة كحد أقصى). هنا يتم تكوينه لمدة يومين.

    Posture Lease Configuration

    للتبسيط، تم تمكين نهج وضع واحد فقط (فحص Windows FW) مع فترة السماح التي تبلغ 2 دقيقة.

    Posture Policy - Grace Period Settings

    التحقق من الصحة

    تتصل نقطة النهاية لأول مرة وهي متوافقة.

    Verify Endpoint Connects and is Compliant

    Compliant Status

    ISE-PSC.log (وضعية في تصحيح الأخطاء)

    في ise-psc.log، يمكنك أن ترى أنه لا يوجد وقت انتهاء صلاحية في قاعدة البيانات حيث أن EP يتصل للمرة الأولى.

    2024-11-30 22:55:08,485 DEBUG [https-jsse-nio-10.127.197.170-8445-exec-8][[]] cisco.cpm.posture.runtime.PostureManager -:08C9C50A000000147BE04019::::- posture expriy time retrieved from DB is "" for B4-96-91-26-EB-A1
2024-11-30 22:55:08,485 DEBUG [https-jsse-nio-10.127.197.170-8445-exec-8][[]] cisco.cpm.posture.runtime.PostureManager -:08C9C50A000000147BE04019::::- PostureExpiry value for B4-96-91-26-EB-A1 is not a number :

    يمر EP خلال عملية التحقق من الوضع ويصبح متوافق. بمجرد أن يصبح EP متوافقا، يقوم ISE بتحديث قاعدة البيانات مع انتهاء صلاحيتها في يوم واحد (1733073953816).

    2024-11-30 22:55:55,306 DEBUG [https-jsse-nio-10.127.197.170-8445-exec-1][[]] cisco.cpm.posture.runtime.PostureManager -:08C9C50A000000147BE04019:alice:::- posture_bypass_test is null fast reconnect expiry time is1733073953816 2024-12-01T22:55:54.306+0530
2024-11-30 22:55:55,307 DEBUG [https-jsse-nio-10.127.197.170-8445-exec-1][[]] cisco.cpm.posture.runtime.PostureManager -:08C9C50A000000147BE04019:alice:::- updating fast reconnect for end point B4:96:91:26:EB:A1 with 1 days of expiry time1733073953816 <------Updating posture lease in DB (EDF_POSTUREEXPIRY)
2024-11-30 22:55:55,307 DEBUG [https-jsse-nio-10.127.197.170-8445-exec-1][[]] cisco.cpm.posture.runtime.PostureHandlerImpl -:08C9C50A000000147BE04019:alice:::- updated posutre lease for session 08C9C50A000000177E20CE15

    كما يقوم ISE بتحديث قاعدة البيانات مع انتهاء صلاحية فترة السماح 1733160354306 (يومان).

    2024-11-30 22:55:55,306 DEBUG [https-jsse-nio-10.127.197.170-8445-exec-1][[]] cisco.cpm.posture.edf.PostureUdid -:08C9C50A000000147BE04019:alice:::- Starting new thread for updateGracePeriodTime
2024-11-30 22:55:55,306 DEBUG [https-jsse-nio-10.127.197.170-8445-exec-1][[]] cisco.cpm.posture.runtime.GracePeriodManager -:08C9C50A000000147BE04019:alice:::- remove user from expiry list
2024-11-30 22:55:54,306 DEBUG [https-jsse-nio-10.127.197.170-8445-exec-1][[]] cisco.cpm.posture.runtime.GracePeriodUtil -:08C9C50A000000147BE04019:alice:::- updating grace period for device with udid: 6d8a638f9acadd2851a6cd7eae947060a898ebc1 , maclist: [B4:96:91:26:EB:A1], <---- grace period expiry time 1733160354306 <----------- Updating last known compliance status in DB (LAST_COMP_EXPIRY)

    بعد إعادة ربط EP، تصبح الجلسة مباشرة شكوى. ومع تمكين تأجير الوضع، استرد ISE وقت انتهاء صلاحية الوضع من قاعدة البيانات ووضع علامة على الجلسة على أنها متوافقة.

    Session Becomes Compliant

    2024-11-30 23:04:17,673 DEBUG [PolicyEngineEvaluationThread-5][[]] cisco.cpm.posture.pip.PostureStatusPIP -:::::- Posture status in session is not compliant
2024-11-30 23:04:17,673 DEBUG [PolicyEngineEvaluationThread-5][[]] cisco.cpm.posture.pip.PostureStatusPIP -:::::- fast reconnect is enabled
2024-11-30 23:04:17,677 DEBUG [PolicyEngineEvaluationThread-5][[]] cisco.cpm.posture.pip.PostureStatusPIP -:::::- Querying posture expiry time by MAC B4-96-91-26-EB-A1
2024-11-30 23:04:17,679 DEBUG [PolicyEngineEvaluationThread-5][[]] cisco.cpm.posture.runtime.PostureManager -:::::- posture expriy time retrieved from DB is "1733073953816" for B4-96-91-26-EB-A1
2024-11-30 23:04:17,679 DEBUG [PolicyEngineEvaluationThread-5][[]] cisco.cpm.posture.runtime.PostureManager -:::::- posture lease expiry time 1733073953816 2024-12-01T22:55:53.816+0530 for B4-96-91-26-EB-A1
2024-11-30 23:04:17,679 DEBUG [PolicyEngineEvaluationThread-5][[]] cisco.cpm.posture.pip.PostureStatusPIP -:::::- retrieved fast reconnect expiry time 1733073953816 2024-12-01T22:55:53.816+0530 for B4-96-91-26-EB-A1
2024-11-30 23:04:17,679 DEBUG [PolicyEngineEvaluationThread-5][[]] cisco.cpm.posture.pip.PostureStatusPIP -:::::- B4-96-91-26-EB-A1 is within fast reconnect expiry
2024-11-30 23:04:17,680 DEBUG [PolicyEngineEvaluationThread-5][[]] cisco.cpm.posture.runtime.PosturePolicyUtil -:::::- User null belongs to groups NAC Group:NAC:IdentityGroups:Endpoint Identity Groups:Profiled:Workstation,NAC Group:NAC:IdentityGroups:Any
2024-11-30 23:04:17,680 DEBUG [PolicyEngineEvaluationThread-5][[]] cisco.cpm.posture.pip.PostureStatusPIP -:::::- PostureStatusPIP for mac B4-96-91-26-EB-A1 - Attribute Session.PostureStatus value is Compliant

    السيناريو الأول : تعطيل تأجير الوضع وتمكين ذاكرة التخزين المؤقت آخر حالة معروفة متوافقة مع الوضع مع آخر حالة معروفة متوافقة مع الوضع هي 2 أيام. (يكون هذا السيناريو صالحا أيضا في حالة انتهاء صلاحية تأجير الوضع واتصال EP بعد ذلك.)

    Posture Lease Status

    بعد مصادقة EP، ونظرا لعدم تمكين تأجير الوضع، يقوم ISE بفحص الوضع.

    2024-12-01 18:39:50,901 DEBUG [PolicyEngineEvaluationThread-3][[]] cisco.cpm.posture.pip.PostureStatusPIP -:::::- Posture status in session is not compliant
2024-12-01 18:39:50,901 DEBUG [PolicyEngineEvaluationThread-3][[]] cisco.cpm.posture.pip.PostureStatusPIP -:::::- fast reconnect is not enabled. Posture status retrieved from LSD for B4-96-91-26-EB-A1 is Unknown
2024-12-01 18:39:50,901 DEBUG [PolicyEngineEvaluationThread-3][[]] cisco.cpm.posture.pip.PostureStatusPIP -:::::- PostureStatusPIP for mac B4-96-91-26-EB-A1 - Attribute Session.PostureStatus value is Unknown

    بعد أن يصبح EP متوافقا، يقوم ISE بتحديث DB خلال فترة السماح بزمن انتهاء صلاحية 1733231423117 (يومين).

    2024-12-01 18:40:23,116 DEBUG [https-jsse-nio-10.127.197.170-8445-exec-3][[]] cisco.cpm.posture.edf.PostureUdid -:08C9C50A000000227EB700E6:alice:::- Starting new thread for updateGracePeriodTime
2024-12-01 18:40:23,117 DEBUG [https-jsse-nio-10.127.197.170-8445-exec-3][[]] cisco.cpm.posture.runtime.GracePeriodManager -:08C9C50A000000227EB700E6:alice:::- remove user from expiry list
2024-12-01 18:40:23,117 DEBUG [https-jsse-nio-10.127.197.170-8445-exec-3][[]] cisco.cpm.posture.runtime.GracePeriodUtil -:08C9C50A000000227EB700E6:alice:::- updating grace period for device with udid: 6d8a638f9acadd2851a6cd7eae947060a898ebc1 , maclist: [B4:96:91:26:EB:A1], grace period expiry time 1733231423117 <--------------Updating last known compliance status in DB (LAST_COMP_EXPIRY)
2024-12-01 18:40:23,117 DEBUG [https-jsse-nio-10.127.197.170-8445-exec-3][[]] cisco.cpm.posture.edf.PostureUdid -:08C9C50A000000227EB700E6:alice:::- Starting new thread for updateLastCompExpiryTime [B4:96:91:26:EB:A1], grace period expiry time 1733057867397

    Status Compliant or Pending

    والآن لم يعد البرلمان الأوروبي يشعر بأي تشكي.

    كما هو الحال في نهج الوضع، يتم التحقق من Windows FW فقط. قم بتعطيل نظام التشغيل Windows FW وأعد توصيل EP

    ويصبح EP غير مشتكى ولكن، يتم تكوين فترة السماح 2 دقيقة في سياسة الوضع. ولهذا السبب، تعرض وحدة وضع التيار المتردد حالة "في فترة السماح".

    EP Becomes Non-Complaint

    في سجل RADIUS المباشر، يمكنك أن ترى EP موسوم على أنه شكوى، حتى وإن فشل فحص الوضع. بعد انتهاء فترة السماح، أصبحت الجلسة غير متوافقة.

    EP Marked as Compliant

    في ise-psc.log، أنت يستطيع رأيت أن عندما ال EP يربط، بما أن التأجير لا يمكن، هو فحصت ال LSD أن يسترجع الوضع.

    2024-11-30 23:26:16,482 DEBUG [PolicyEngineEvaluationThread-16][[]] cisco.cpm.posture.pip.PostureStatusPIP -:::::- Posture status in session is not compliant
2024-11-30 23:26:16,482 DEBUG [PolicyEngineEvaluationThread-16][[]] cisco.cpm.posture.pip.PostureStatusPIP -:::::- fast reconnect is not enabled. Posture status retrieved from LSD for B4-96-91-26-EB-A1 is Unknown
2024-11-30 23:26:16,483 DEBUG [PolicyEngineEvaluationThread-16][[]] cisco.cpm.posture.pip.PostureStatusPIP -:::::- PostureStatusPIP for mac B4-96-91-26-EB-A1 - Attribute Session.PostureStatus value is Unknown

    يحدث فحص الوضع ويفشل في EP. بعد أن قام ISE بفحص قاعدة بيانات المحول (DB) لاسترداد قيمة LastCompliantExpiry التي تبلغ 1733160354306 (يومان).

    2024-11-30 23:27:19,123 DEBUG [https-jsse-nio-10.127.197.170-8445-exec-10][[]] cisco.cpm.posture.runtime.PostureHandlerImpl -:08C9C50A000000147BE04019:alice:::- Last compliant expiry period for device with mac: 6d8a638f9acadd2851a6cd7eae947060a898ebc1 has not expired lastCompliantExpiry: 1733160354306.

    بما أن LastCompliantExpiry لا يزال صالحا، فإنه يتحقق أيضا من فترة السماح التي تم تكوينها على نهج الوضع الذي تم تكوينه على هيئة 2 دقيقة.

    2024-11-30 23:27:19,123 DEBUG [https-jsse-nio-10.127.197.170-8445-exec-10][[]] cisco.cpm.posture.runtime.PostureHandlerImpl -:08C9C50A000000147BE04019:alice:::- handleGracePeriod - calculateGracePeriod: B4-96-91-26-EB-A1.

2024-11-30 23:27:19,544 DEBUG [https-jsse-nio-10.127.197.170-8445-exec-10][[]] cisco.cpm.posture.runtime.PostureHandlerImpl -:08C9C50A000000147BE04019:alice:::- calculateGracePeriod - matched policy: Default_Firewall_Policy_Win with grace period: 2 for mac: B4-96-91-26-EB-A1
2024-11-30 23:27:19,544 DEBUG [https-jsse-nio-10.127.197.170-8445-exec-10][[]] cisco.cpm.posture.runtime.PostureHandlerImpl -:08C9C50A000000147BE04019:alice:::- calculateGracePeriod - grace period is: 2 for mac: B4-96-91-26-EB-A1

2024-11-30 23:27:19,546 DEBUG [https-jsse-nio-10.127.197.170-8445-exec-10][[]] cisco.cpm.posture.runtime.GracePeriodManager -:08C9C50A000000147BE04019:alice:::- Added user with mac B4-96-91-26-EB-A1 udid 6d8a638f9acadd2851a6cd7eae947060a898ebc1 grace period list with an expiration time of 2024/11/30 23:29:19 and startTime of 2024/11/30 23:27:19 <---------------- Updating the Grace period in DB (LAST_GRACE_EXPIRY)
2024-11-30 23:27:19,546 DEBUG [https-jsse-nio-10.127.197.170-8445-exec-10][[]] cisco.cpm.posture.runtime.PostureHandlerImpl -:08C9C50A000000147BE04019:alice:::- handleGracePeriod - device with mac: B4-96-91-26-EB-A1 - has grace period: 2 mins.
2024-11-30 23:27:19,546 DEBUG [https-jsse-nio-10.127.197.170-8445-exec-10][[]] cisco.cpm.posture.runtime.PostureHandlerImpl -:08C9C50A000000147BE04019:alice:::- Device with session id: 08C9C50A0000001A7E3D5087, client mac: B4-96-91-26-EB-A1 - has grace period: 2. Marking posture status as compliant

    بعد انتهاء فترة السماح، ترسل وحدة AC النمطية التقرير الفاشل إلى ISE. يتحقق ISE من فترة السماح في DB ويجد أنه قد انتهت صلاحيتها، ثم قام بوضع علامة "غير تشكي" على الجلسة ويزيل LastCompExpiryTime و GracePeriodTime من DB.

    2024-11-30 23:29:23,289 DEBUG [https-jsse-nio-10.127.197.170-8445-exec-4][[]] cisco.cpm.posture.runtime.GracePeriodManager -:08C9C50A000000177E20CE15:alice:::- value from cache 1732989439545 and db 1732989439545
2024-11-30 23:29:23,289 DEBUG [https-jsse-nio-10.127.197.170-8445-exec-4][[]] cisco.cpm.posture.runtime.GracePeriodManager -:08C9C50A000000177E20CE15:alice:::- getGracePeriodAndUpdate - StartTime 1732989439545
2024-11-30 23:29:23,289 DEBUG [https-jsse-nio-10.127.197.170-8445-exec-4][[]] cisco.cpm.posture.runtime.GracePeriodManager -:08C9C50A000000177E20CE15:alice:::- Calculated the GracePeriod exp in min 0
2024-11-30 23:29:23,289 DEBUG [https-jsse-nio-10.127.197.170-8445-exec-4][[]] cisco.cpm.posture.runtime.PostureHandlerImpl -:08C9C50A000000177E20CE15:alice:::- GracePeriod value is 0 and removeUser
2024-11-30 23:29:23,289 DEBUG [https-jsse-nio-10.127.197.170-8445-exec-4][[]] cisco.cpm.posture.edf.PostureUdid -:08C9C50A000000177E20CE15:alice:::- Starting new thread for updateGracePeriodTime
2024-11-30 23:29:23,289 DEBUG [https-jsse-nio-10.127.197.170-8445-exec-4][[]] cisco.cpm.posture.runtime.GracePeriodManager -:08C9C50A000000177E20CE15:alice:::- remove user from expiry list
2024-11-30 23:29:23,289 DEBUG [https-jsse-nio-10.127.197.170-8445-exec-4][[]] cisco.cpm.posture.edf.PostureUdid -:08C9C50A000000177E20CE15:alice:::- Starting new thread for updateLastCompExpiryTime
2024-11-30 23:29:23,289 DEBUG [https-jsse-nio-10.127.197.170-8445-exec-4][[]] cisco.cpm.posture.edf.PostureUdid -:08C9C50A000000177E20CE15:alice:::- Starting new thread for updateGracePeriodTime

    إذا أعيد اتصال EP مرة أخرى وأصبح غير متظلم، فإن ISE لا يفي بفترة السماح الخاصة بسياسة الوضع، حيث أن فترة التوافق الأخيرة منتهية بالفعل ويتم تحديث الجلسة بشكل مباشر على أنها غير متشكية.

    2024-12-01 00:49:40,004 DEBUG [https-jsse-nio-10.127.197.170-8445-exec-6][[]] cisco.cpm.posture.runtime.PostureHandlerImpl -:08C9C50A000000177E20CE15:alice:::- handleGracePeriod - Last compliant period expired for device with mac: B4-96-91-26-EB-A1.

    السيناريو الثاني : تعطيل تأجير الوضع مع ذاكرة التخزين المؤقت آخر حالة معروفة متوافقة مع الوضع.

    Disable Posture Lease

    في هذه الحالة، وبشكل افتراضي، يقوم ISE بتحديث آخر وقت انتهاء صلاحية للتوافق إلى 365 يوما في قاعدة بيانات.

    بما أن تأجير Posture غير ممكن، يحدث التحقق من الوضع ويصبح EP شكوى بعد أن يقوم ISE بتحديث آخر وقت انتهاء صلاحية متوافق إلى 365 يوما في DB.

    2024-12-01 00:58:17,191 DEBUG [PolicyEngineEvaluationThread-12][[]] cisco.cpm.posture.pip.PostureStatusPIP -:::::- Posture status in session is not compliant
2024-12-01 00:58:17,191 DEBUG [PolicyEngineEvaluationThread-12][[]] cisco.cpm.posture.pip.PostureStatusPIP -:::::- fast reconnect is not enabled. Posture status retrieved from LSD for B4-96-91-26-EB-A1 is Unknown
2024-12-01 00:58:17,191 DEBUG [PolicyEngineEvaluationThread-12][[]] cisco.cpm.posture.pip.PostureStatusPIP -:::::- PostureStatusPIP for mac B4-96-91-26-EB-A1 - Attribute Session.PostureStatus value is Unknown

2024-12-01 00:58:56,722 DEBUG [https-jsse-nio-10.127.197.170-8445-exec-10][[]] cisco.cpm.posture.runtime.PostureHandlerImpl -:08C9C50A000000147BE04019:alice:::- handleGracePeriod - Device is compliant. Removing device with mac: B4-96-91-26-EB-A1 from grace period map

2024-12-01 00:58:56,723 DEBUG [https-jsse-nio-10.127.197.170-8445-exec-10][[]] cisco.cpm.posture.runtime.GracePeriodUtil -:08C9C50A000000147BE04019:alice:::- Last cache time period is not set, setting lastCompliant expiry time to 365 days
2024-12-01 00:58:56,723 DEBUG [https-jsse-nio-10.127.197.170-8445-exec-10][[]] cisco.cpm.posture.runtime.GracePeriodUtil -:08C9C50A000000147BE04019:alice:::- updating grace period for device with udid: 6d8a638f9acadd2851a6cd7eae947060a898ebc1 , maclist: [B4:96:91:26:EB:A1], grace period expiry time 1764530936723 <------------Updating last known compliance status in DB (LAST_COMP_EXPIRY)
2024-12-01 00:58:56,723 DEBUG [https-jsse-nio-10.127.197.170-8445-exec-10][[]] cisco.cpm.posture.edf.PostureUdid -:08C9C50A000000147BE04019:alice:::- Starting new thread for updateLastCompExpiryTime

    السيناريو الثالث : أثر دليل الجلسة الخفيفة (LSD) على تأجير الوضع.

    لا يؤثر تمكين LSD أو تعطيله على حالة تأجير الوضع وحالة آخر توافق لأن كلا من هذه السمات يتم تخزينها في قاعدة بيانات Oracle ويتم نسخها عبر النشر. حيث أن، LSD يخزن خصائص EP المحدودة في الذاكرة وينسخ إلى PSNs أخرى.

    عند تمكين LSD:

    لتمكين LSD، انتقل إلى الإدارة > النظام > الإعدادات > توزيع بيانات الضوء > التحقق من دليل جلسة RADIUS.

    Enable LSD

    يتصل EP للمرة الأولى ويمر عبر التحقق من الوضع. بمجرد أن تصبح EP متوافقة، فإنها تحدث تأجير الوضع وآخر سمات التوافق المعروفة في قاعدة البيانات.

    2024-12-02 19:36:43,274 DEBUG [PolicyEngineEvaluationThread-11][[]] cisco.cpm.posture.pip.PostureStatusPIP -:::::- fast reconnect is enabled
2024-12-02 19:36:43,276 WARN [PolicyEngineEvaluationThread-11][[]] cisco.cpm.posture.runtime.PostureManager -:::::- Cannot find endpoint B4-96-91-26-EB-A1 in end point DB
2024-12-02 19:36:43,276 INFO [PolicyEngineEvaluationThread-11][[]] cisco.cpm.posture.pip.PostureStatusPIP -:::::- not able to find user name in posture pip for B4-96-91-26-EB-A1 08C9C50A0000002B87B7D6EC. Set posture status to unknown

2024-12-02 19:37:27,164 DEBUG [https-jsse-nio-10.127.197.170-8445-exec-5][[]] cisco.cpm.posture.runtime.PostureManager -:08C9C50A000000227EB700E6::::- posture expriy time retrieved from DB is "" for B4-96-91-26-EB-A1



2024-12-02 19:37:29,110 DEBUG [https-jsse-nio-10.127.197.170-8445-exec-6][[]] cisco.cpm.posture.runtime.GracePeriodUtil -:08C9C50A0000002B87B7D6EC:alice:::- updating grace period for device with udid: 6d8a638f9acadd2851a6cd7eae947060a898ebc1 , maclist: [B4:96:91:26:EB:A1], grace period expiry time 1733321249110 <--------------------Updated last known compliance status in DB



2024-12-02 19:37:29,113 DEBUG [https-jsse-nio-10.127.197.170-8445-exec-6][[]] cisco.cpm.posture.runtime.PostureManager -:08C9C50A0000002B87B7D6EC:alice:::- posture_bypass_test is null fast reconnect expiry time is 1733234849113 2024-12-03T19:37:29.113+0530
2024-12-02 19:37:29,113 DEBUG [https-jsse-nio-10.127.197.170-8445-exec-6][[]] cisco.cpm.posture.runtime.PostureManager -:08C9C50A0000002B87B7D6EC:alice:::- updating fast reconnect for end point B4:96:91:26:EB:A1 with 1 days of expiry time 1733234849113 <------Updated posture lease in DB

    هذه هي السمات في LSD والتي يتم توزيعها عبر PSN. لا يمكنك أن ترى حالة تأجير الوضع أو حالة التوافق الأخيرة في السمات.

    2024-12-02 19:37:32,221 DEBUG [LSD-consumers-pool-28][[]] cisco.cpm.lsd.service.SessionDirectory -:::::- Updating session sessionID:[08C9C50A0000002B87B7D6EC] status:[Authenticated] randomId:[0352b361-e72a-40e7-a0c8-b1ef779f73a5] auditSessionID:[08C9C50A0000002B87B7D6EC] accountingSessionID:[null] endpointMAC:[B4-96-91-26-EB-A1] callingStationId: [B4-96-91-26-EB-A1] endpointIP:[10.197.201.180], IPv6 : [[]], psnIP:[10.127.197.170] psnFQDN: [labpsn01.vmlab.local] deviceIP:[10.197.201.8] destinationIP:[10.127.197.170] nasIP:[10.197.201.8] nasIPv6:[null] postureStatus: [Compliant] timeStamp:[1733148451] cts:security-group-tag:[7] cts:vn:[null] proxyFlow:[null] retry count : 1

    الآن، قم بمصادقة EP مع PSN آخر في النشر.

    بعد أن ينتهي طلب المصادقة على PSN آخر، يمكنك أن ترى PSN يسترد وقت إيجار الوضع من DB ويضع علامة على الجلسة مباشرة على أنها متوافقة. ويمكن التحقق من صحة الأمر نفسه من السجلات المباشرة.

    2024-12-02 20:08:27,449 DEBUG [PolicyEngineEvaluationThread-5][[]] cisco.cpm.posture.pip.PostureStatusPIP -:::::- Posture status in session is not compliant
2024-12-02 20:08:27,449 DEBUG [PolicyEngineEvaluationThread-5][[]] cisco.cpm.posture.pip.PostureStatusPIP -:::::- fast reconnect is enabled
2024-12-02 20:08:27,468 DEBUG [PolicyEngineEvaluationThread-5][[]] cisco.cpm.posture.pip.PostureStatusPIP -:::::- Querying posture expiry time by MAC B4-96-91-26-EB-A1
2024-12-02 20:08:27,471 DEBUG [PolicyEngineEvaluationThread-5][[]] cisco.cpm.posture.runtime.PostureManager -:::::- posture expriy time retrieved from DB is "1733234849113" for B4-96-91-26-EB-A1
2024-12-02 20:08:27,471 DEBUG [PolicyEngineEvaluationThread-5][[]] cisco.cpm.posture.runtime.PostureManager -:::::- posture lease expiry time 1733234849113 2024-12-03T19:37:29.113+0530 for B4-96-91-26-EB-A1
2024-12-02 20:08:27,472 DEBUG [PolicyEngineEvaluationThread-5][[]] cisco.cpm.posture.pip.PostureStatusPIP -:::::- retrieved fast reconnect expiry time 1733234849113 2024-12-03T19:37:29.113+0530 for B4-96-91-26-EB-A1
2024-12-02 20:08:27,472 DEBUG [PolicyEngineEvaluationThread-5][[]] cisco.cpm.posture.pip.PostureStatusPIP -:::::- B4-96-91-26-EB-A1 is within fast reconnect expiry

    PSN Marks Session as Compliant

    عند تعطيل LSD:

    لتعطيل LSD، انتقل إلى إدارة > نظام > إعدادات > توزيع بيانات فاتح > إلغاء تحديد دليل جلسة RADIUS.

    Disable LSD

    يتصل EP للمرة الأولى ويمر بعملية الوضع. بمجرد أن تصبح EP متوافقة، فإنها تحدث تأجير الوضع وآخر سمات التوافق المعروفة في قاعدة البيانات.

    2024-12-02 20:40:10,417 DEBUG [PolicyEngineEvaluationThread-9][[]] cisco.cpm.posture.pip.PostureStatusPIP -:::::- fast reconnect is enabled
2024-12-02 20:40:10,423 WARN [PolicyEngineEvaluationThread-9][[]] cisco.cpm.posture.runtime.PostureManager -:::::- Cannot find endpoint B4-96-91-26-EB-A1 in end point DB
2024-12-02 20:40:10,423 INFO [PolicyEngineEvaluationThread-9][[]] cisco.cpm.posture.pip.PostureStatusPIP -:::::- not able to find user name in posture pip for B4-96-91-26-EB-A1 08C9C50A0000003087F1EE30. Set posture status to unknown



2024-12-02 20:40:45,679 DEBUG [https-jsse-nio-10.127.197.170-8445-exec-1][[]] cisco.cpm.posture.runtime.GracePeriodUtil -:08C9C50A0000002E87E4FE87:alice:::- updating grace period for device with udid: 6d8a638f9acadd2851a6cd7eae947060a898ebc1 , maclist: [B4:96:91:26:EB:A1], grace period expiry time 1733325045679<--------------------Updated last known compliance status in DB (LAST_COMP_EXPIRY)



2024-12-02 20:40:45,682 DEBUG [https-jsse-nio-10.127.197.170-8445-exec-1][[]] cisco.cpm.posture.runtime.PostureManager -:08C9C50A0000002E87E4FE87:alice:::- posture_bypass_test is null fast reconnect expiry time is 1733238645682 2024-12-03T20:40:45.682+0530
2024-12-02 20:40:45,682 DEBUG [https-jsse-nio-10.127.197.170-8445-exec-1][[]] cisco.cpm.posture.runtime.PostureManager -:08C9C50A0000002E87E4FE87:alice:::- updating fast reconnect for end point B4:96:91:26:EB:A1 with 1 days of expiry time 1733238645682<------Updated posture lease in DB (EDF_POSTUREEXPIRY)



    الآن، قم بمصادقة EP مع PSN آخر في النشر.

    بعد أن يقع طلب المصادقة على PSN آخر، أنت يستطيع رأيت ال PSN يسترد الوضع تأجير وقت من DB ويعلم الجلسة مباشرة كمتوافق. ويمكن التحقق من صحة الأمر نفسه من السجلات المباشرة.

    2024-12-02 20:49:56,115 DEBUG [PolicyEngineEvaluationThread-10][[]] cisco.cpm.posture.pip.PostureStatusPIP -:::::- Posture status in session is not compliant
2024-12-02 20:49:56,115 DEBUG [PolicyEngineEvaluationThread-10][[]] cisco.cpm.posture.pip.PostureStatusPIP -:::::- fast reconnect is enabled
2024-12-02 20:49:56,119 DEBUG [PolicyEngineEvaluationThread-10][[]] cisco.cpm.posture.pip.PostureStatusPIP -:::::- Querying posture expiry time by MAC B4-96-91-26-EB-A1
2024-12-02 20:49:56,123 DEBUG [PolicyEngineEvaluationThread-10][[]] cisco.cpm.posture.runtime.PostureManager -:::::- posture expriy time retrieved from DB is "1733238645682" for B4-96-91-26-EB-A1
2024-12-02 20:49:56,123 DEBUG [PolicyEngineEvaluationThread-10][[]] cisco.cpm.posture.runtime.PostureManager -:::::- posture lease expiry time 1733238645682 2024-12-03T20:40:45.682+0530 for B4-96-91-26-EB-A1
2024-12-02 20:49:56,123 DEBUG [PolicyEngineEvaluationThread-10][[]] cisco.cpm.posture.pip.PostureStatusPIP -:::::- retrieved fast reconnect expiry time 1733238645682 2024-12-03T20:40:45.682+0530 for B4-96-91-26-EB-A1
2024-12-02 20:49:56,123 DEBUG [PolicyEngineEvaluationThread-10][[]] cisco.cpm.posture.pip.PostureStatusPIP -:::::- B4-96-91-26-EB-A1 is within fast reconnect expiry

    Final Posture Status

    من هذين السيناريوهين، يمكنك تأكيد أن LSD لا يؤثر على تأجير Posture (وضعية).

    الأسئلة المتكررة

    1. هل يعتبر "تأجير الوظائف" و"تخزين مؤقت" آخر موقف معروف مستقلا عن بعضهما البعض؟

    نعم، يمكن تمكين تأجير الوضع دون تمكين آخر حالة معروفة تم تخزينها مؤقتا والعكس بالعكس. يقوم تأجير الوضع بحفظ تمثال التوافق مع نقطة النهاية كسمة نقطة نهاية لمقدار الوقت الذي تم تكوينه. يمثل "الوضع الأخير المعروف المخزن مؤقتا" الوقت الذي يتم حفظه في قاعدة بيانات الذي يتم خلاله توفير فترة السماح إذا أصبحت نقطة النهاية غير متوافقة. هذه ليست سمة نقطة نهاية.

    2. هل تم نسخ كل من "تأجير الوضع" و"ذاكرة التخزين المؤقت" في آخر "وضع معروف" عبر العقد؟

    Posture Lease عبارة عن سمة نقطة نهاية ويتم نسخها نسخا متماثلا عبر جميع العقد. لا يعد الوضع الأخير المعروف المخزن مؤقتا سمة نقطة نهاية، ولكن نظرا لأن القيمة موجودة في قاعدة بيانات Oracle، يتم أيضا نسخها إلى جميع العقد.

    3. هل يؤدي إعادة تشغيل العقدة إلى إزالة هذه القيم؟

    ما من، حيث أن كلا منهما يتم حفظهما في قاعدة بيانات Oracle، فإن إعادة تحميل العقد لا يزيل القيم.

    4 - هل يتسبب التأجير في الوضع في أي مسألة تتعلق بالأمان؟

    عندما يكون تأجير الوضع ممكنا، لا يقوم ISE بالتحقق من حالة الوضع لنقطة النهاية. قد يتسبب ذلك في مشكلة أمان لأنه إذا لم تكن نقطة النهاية متوافقة، فيمكن ل ISE معالجتها كشكوى. من المستحسن إستخدام إعادة تقييم الوضع مع تأجير Posture لتقليل هذه المخاطر.

    العيوب المعروفة

    لا يقوم معرف تصحيح الأخطاء من Cisco CSCwk07454 PSN بتحديث DB باستخدام وقت انتهاء صلاحية تأجير الوضع الصحيح.

    لا تقوم عقدة معرف تصحيح الأخطاء من Cisco CSCwi58421 PSN بتحديث DB مع وقت انتهاء صلاحية الوضع الصحيح عند تمكين تأجير Posture.

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    20-Mar-2025
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • سجال سركر
      مهندس إستشاري تقني

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا