فهم خدمات ISE والغرض منها واستكشاف الأخطاء وإصلاحها

المقدمة

يوضح هذا المستند خدمات ISE والغرض منها واستكشاف الأخطاء وإصلاحها.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بمحرك خدمات الهوية من Cisco. 

المكونات المستخدمة

لا يقتصر المستند على أي إصدارات برامج ومكونات مادية معينة من محرك خدمات الهوية من Cisco.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

محرك خدمات الهوية من Cisco (ISE) هو حل شامل مصمم لتوفير أمان شبكة متقدم من خلال الإدارة المركزية للسياسات والمصادقة والتفويض والمحاسبة (AAA). وهو يمكن المؤسسات من إدارة الوصول إلى الشبكة للمستخدمين والأجهزة والتطبيقات مع ضمان الأمان والتوافق وتوفير خبرات المستخدم السلسة في نفس الوقت.

لتحقيق هذه الأهداف، يستخدم Cisco ISE مجموعة من الخدمات، يتحمل كل منها المسؤولية عن مهام محددة تمكن النظام من العمل بكفاءة. وتعمل هذه الخدمات معا لضمان الوصول الآمن إلى الشبكة وتنفيذ السياسات بشكل فعال والتسجيل التفصيلي والدمج السلس مع الأنظمة الخارجية وإعداد ملفات تعريف الأجهزة بكفاءة.

تلعب كل خدمة في معرض ISE دورا حيويا في الحفاظ على تكامل الحل وتوفره. تقوم بعض الخدمات بمعالجة الوظائف الأساسية، مثل إدارة قاعدة البيانات والمصادقة، بينما تعمل خدمات أخرى على تمكين الميزات المتقدمة مثل إنشاء ملفات تعريف الأجهزة وإدارة الشهادات والمراقبة.

تقدم هذه المقالة نظرة عامة على الخدمات المختلفة في Cisco ISE، موضحة الغرض منها وأهميتها وخطوات أستكشاف الأخطاء وإصلاحها المحتملة إذا واجهت مشاكل. سواء كنت مسؤولا أو محترفا لأمان الشبكة، فإن فهم هذه الخدمات يساعدك على ضمان تشغيل عملية نشر خدمات البنية الأساسية (ISE) لديك بسلاسة وأمان.

فهم خدمات ISE واستكشاف أخطائها وإصلاحها

وتستخدم شركة ISE الخدمات المذكورة في لقطة الشاشة لدعم أدائها الوظيفي. تحقق من الحالة أو الخدمات المتوفرة في ISE باستخدام الأمر show application status ise عبر CLI (واجهة سطر الأوامر) لعقدة ISE. هنا نموذج للمخرجات يوضح الحالة أو الخدمات المتاحة على ISE.

الخدمات المتوفرة في ISE.

والآن، ألق نظرة عن كثب على كل خدمة بالتفصيل.

مستمع قاعدة البيانات

تعد خدمة Database Listener مكونا هاما يساعد في إدارة الاتصال بين ISE وخادم قاعدة البيانات. يقوم باستماع الطلبات المتعلقة بقاعدة البيانات ومعالجتها، مما يضمن إمكانية قراءة نظام ISE من قاعدة البيانات الأساسية الخاصة به والكتابة إليها.

النقاط الأساسية حول خدمة موزع بيانات البيانات في ISE

1. واجهة الاتصال: يعمل كجسر إتصالات بين ISE وخادم قاعدة البيانات، مما يتيح للنظام إسترداد البيانات وتخزينها مثل بيانات اعتماد المستخدم ومعلومات جلسة العمل وسياسات الشبكة وغير ذلك الكثير.

2. دعم قاعدة البيانات الخارجية: يمكن تكوين ISE لاستخدام قاعدة بيانات خارجية (مثل Oracle أو Microsoft SQL Server) لمصادقة المستخدم وتخزين النهج. تضمن "خدمة مستمع قواعد البيانات" إمكانية اتصال ISE بقاعدة البيانات الخارجية هذه والتفاعل معها بشكل آمن وفعال.

3. معالجة البيانات: تقوم الخدمة بالاستماع إلى استعلامات قاعدة البيانات من نظام ISE ثم تقوم بترجمتها إلى الإجراءات المناسبة على قاعدة البيانات الخارجية. كما يمكنه معالجة الطلبات مثل إدراج السجلات أو تحديثها أو حذفها، بالإضافة إلى إسترداد المعلومات من قاعدة البيانات.

4. مراقبة سلامة قاعدة البيانات: وبالإضافة إلى توفير قناة الاتصال، فإنها تساعد أيضا في ضمان إستقرار الوصلة بقاعدة البيانات الخارجية وتشغيلها. في حالة فشل التوصيل، يرجع ISE إلى التخزين المحلي أو يدخل الوضع المخفض بناء على التهيئة.

خادم قاعدة البيانات

خدمة خادم قاعدة البيانات مسؤولة عن إدارة تخزين واسترداد البيانات المستخدمة بواسطة النظام. وهو يعالج التفاعل مع قاعدة البيانات التي يستخدمها ISE لتخزين التكوين ومعلومات النهج وبيانات المستخدم وسجلات المصادقة وتوصيفات الأجهزة ومعلومات ضرورية أخرى.

النقاط الأساسية حول خدمة خادم قاعدة البيانات في ISE

1. التخزين الداخلي للبيانات: تقوم "خدمة خادم قواعد البيانات" بشكل أساسي بإدارة قاعدة البيانات الداخلية المضمنة التي يستخدمها ISE لتخزين بيانات التشغيل محليا. ويتضمن ذلك بيانات مثل سجلات المصادقة والتفويض، وملفات تعريف المستخدمين، وسياسات الوصول إلى الشبكة، ومعلومات الجهاز والنقطة النهائية، ومعلومات جلسة العمل.

2. قاعدة البيانات المضمنة: في معظم عمليات نشر Cisco ISE، يستخدم النظام قاعدة بيانات PostgreSQL مضمنة للتخزين المحلي. تضمن "خدمة خادم قاعدة البيانات" عمل قاعدة البيانات هذه بسلاسة، كما تعالج كافة الاستعلامات والتحديثات ومهام الإدارة المتعلقة بالبيانات المخزنة بداخلها.

3. تكامل قاعدة البيانات: تضمن الخدمة معالجة كافة الحركات بشكل صحيح والحفاظ على سلامة قاعدة البيانات. وهو يعالج مهام مثل تأمين السجلات وإدارة إتصالات قاعدة البيانات وتنفيذ استعلامات قاعدة البيانات.

التحقق من تهيئة مستمع قاعدة البيانات وخدمات خادم قاعدة البيانات أو عدم تشغيلها واستكشاف أخطائها وإصلاحها

يعد Database Listener و Database Server خدمتين أساسيتين يجب تشغيلهما معا حتى تعمل كافة الخدمات الأخرى بشكل صحيح. إذا لم تكن هذه الخدمات قيد التشغيل أو كانت عالقة أثناء التهيئة، فإن خطوات أستكشاف الأخطاء وإصلاحها هذه تساعد في الاسترداد. 

1. قم بإعادة تشغيل خدمات ISE باستخدام أوامر إيقاف التطبيق وبدء التطبيق.

2. إذا كانت هذه عقدة VM، فيجب أن تساعد إعادة تشغيل العقدة من VM على إسترداد الخدمات.

3. إذا كانت العقدة عقدة فعلية، فيجب أن تساعد إعادة تشغيل/إعادة تحميل العقدة من CIMC في إسترداد الخدمات.

4. إن القاعدة أفسدت، اتصل ب cisco TAC لبعيد يتحرى. 

عادة ما يكون Database Listener و Database Server معرضين للأسفل أو في حالة فشل البدء عند وجود أختلاف في قاعدة البيانات أو عندما تكون قاعدة البيانات غير قادرة على التهيئة بشكل صحيح. في هذه الحالات، يجب أن يساعد إجراء إعادة ضبط التطبيق باستخدام الأمر reset-config ise في إسترداد قاعدة البيانات وبدء تشغيلها حديثا. يؤدي تشغيل الأمر reset-config ise إلى إزالة التكوينات والشهادات، ولكن يتم الاحتفاظ بتفاصيل عنوان IP واسم المجال. يوصى بالاتصال ب Cisco TAC للحصول على مزيد من المعلومات وفهم التأثير المحتمل قبل تطبيق هذا الأمر على أي عقدة في النشر.

خادم التطبيق

يعد Application Server مكونا أساسيا مسؤولا عن تشغيل الوظائف والخدمات الأساسية للنظام الأساسي لبنية ISE وإدارتها. وهو يستضيف منطق الأعمال وواجهات المستخدم والخدمات التي تسمح لمدير خدمات الإنترنت (ISE) بأداء دوره في التحكم في الوصول إلى الشبكة والمصادقة والتفويض والمحاسبة وإدارة السياسة.

النقاط الأساسية حول خدمة خادم التطبيقات في ISE

1. واجهة المستخدم (UI): خدمة خادم التطبيق مسؤولة عن تقديم واجهة المستخدم المستندة إلى الويب (UI) ل ISE. وهذا يسمح للمسؤولين بتكوين السياسات وإدارتها وعرض السجلات والتقارير والتفاعل مع ميزات أخرى ل ISE.

2. إدارة الخدمات: وهو مسؤول عن التعامل مع الخدمات المختلفة التي يقدمها ISE، بما في ذلك إدارة السياسة والمهام الإدارية والاتصال بعقد ISE الأخرى في عملية نشر موزعة.

3. المعالجة المركزية: تلعب خدمة خادم التطبيقات دورا مركزيا في بنية ISE، مما يوفر المنطق الذي يجعل السياسات وطلبات المصادقة والبيانات من أجهزة الشبكة والدلائل والخدمات الخارجية منطقية.

يتم الآن تهيئة التحقق لخادم التطبيق أو لا يتم تشغيله

يعتمد خادم التطبيق على عدد قليل من تطبيقات الويب مثل الشهادات والموارد والنشر والتراخيص. عند فشل تهيئة أي من تطبيقات ويب، يبقى خادم التطبيق عالقا في حالة التهيئة. يستغرق خادم التطبيق ما بين 15 إلى 35 دقيقة للانتقال من حالة عدم تشغيل → التهيئة → قيد التشغيل وفقا لبيانات التكوين الموجودة على العقدة.

1. تأكد من أن شهادة Admin ISE صحيحة ونشطة في النشر لجميع العقد.
2. تأكد من أن كافة العقد في النشر متزامنة مع عقدة Primary Admin.
3. إذا كانت العقدة VM، فتأكد من تخصيص الموارد الموصى بها للعقدة.

تحقق من حالة خادم التطبيق باستخدام الأمر show application status ise من CLI (واجهة سطر الأوامر) لعقدة ISE. تتوفر معظم السجلات المتعلقة بخادم التطبيق ضمن

ملفات Catalyst.Out وLocalhost.log.

إذا تم الوفاء بالشروط المذكورة وبقي خادم التطبيق عالقا في حالة التهيئة، فعليك تأمين حزمة الدعم من واجهة سطر الأوامر / واجهة المستخدم الرسومية (ISE). قم باسترداد / إعادة تشغيل الخدمات باستخدام أوامر إيقاف التطبيق وبدء التطبيق.

قاعدة بيانات محلل

قاعدة بيانات منشئ ملفات التعريف هي قاعدة بيانات متخصصة تستخدم لتخزين المعلومات حول أجهزة الشبكة ونقاط النهاية وملفات تعريف الأجهزة التي تم اكتشافها بواسطة خدمة "منشئ ملفات التعريف". يعد منشئ ملفات التعريف مكونا هاما في تقنية ISE التي تعمل تلقائيا على تحديد أجهزة الشبكة وتصنيفها (مثل أجهزة الكمبيوتر والهواتف الذكية والطابعات وأجهزة الإدخال/الإخراج وما إلى ذلك) استنادا إلى خصائص الشبكة وسلوكياتها.

النقاط الأساسية حول خدمة قاعدة بيانات منشئ ملفات التعريف في ISE

1. تحديد مواصفات الأجهزة: تتمثل الوظيفة الرئيسية لخدمة قاعدة بيانات عوامل التعريف في دعم عملية إنشاء ملفات التعريف. يستخدم ISE هذه الخدمة لتخزين المعلومات التي يجمعها أثناء عملية تحديد الهوية، مثل:

• نوع الجهاز (على سبيل المثال: هاتف ذكي، كمبيوتر محمول، طابعة، جهاز "الإنترنت لكل الأشياء")
• نظام تشغيل الجهاز (على سبيل المثال: Windows® و MacOS® و Cisco IOS® و Android®)
• الشركة المصنعة للجهاز
• سلوكيات أو أنماط الشبكة التي تساعد على تصنيف الأجهزة

2. معلومات منشئ ملفات التعريف: وهو يخزن خصائص منشئ ملفات التعريف مثل ملفات تعريف الأجهزة والبرامج الخاصة بالجهاز، والتي تستخدم لمطابقة الأجهزة بالنهج المحددة مسبقا. كما يتم إستخدام هذه المعلومات لتعيين الأجهزة ديناميكيا على سياسات الوصول إلى الشبكة أو شبكات VLAN الصحيحة بناء على ملف التعريف الخاص بها.

3. عملية التنميط: تستند عملية التنميط عادة إلى:

• إنشاء ملفات التعريف النشطة: يقوم ISE باستعلام الأجهزة الموجودة على الشبكة بشكل نشط للحصول على المعلومات.
• التنميط السلبي: يقوم ISE بجمع البيانات بشكل سلبي من حركة مرور الشبكة، مثل طلبات DHCP، وسمات RADIUS، ورؤوس HTTP، وبروتوكولات الشبكة الأخرى، لتحديد نوع الجهاز.

التحقق من خدمات إنشاء ملفات تعريف ISE واستكشاف أخطائها وإصلاحها

1. من واجهة سطر أوامر (CLI) ISE، قم بتشغيل الأمر show application status ise للتحقق من تشغيل خدمة قاعدة بيانات منشئ ملفات التعريف.

2. من واجهة المستخدم الرسومية (GUI) لعقدة الإدارة الأساسية، انتقل إلى الإدارة > النشر > تحديد العقدة. انقر فوق تحرير والتحقق من تمكين خدمات جلسة العمل وخدمات إنشاء ملفات التعريف. 

3. والآن، انتقل إلى الإدارة > النشر > تحديد العقدة. انتقل إلى تكوين منشئ ملفات التعريف وتحقق مما إذا تم تمكين الاستقصاءات المطلوبة لتأمين بيانات نقاط النهاية. 

4. انتقل إلى الإدارة > النظام > إنشاء ملفات التعريف وتحقق من إعدادات منشئ ملفات التعريف التي تم تكوينها ل CoA. 

5. من رؤية السياق > نقاط النهاية > تحديد نقاط النهاية والتحقق من السمات التي تم تجميعها بواسطة مستكشفات مختلفة لنقاط النهاية.

تصحيح أخطاء مفيد لاستكشاف أخطاء التحليل وإصلاحها:

• منشئ ملفات التعريف (profiler.log) 
• Runtime-AAA (prrt-server.log)
• nsf (ise-psc.log)
• nsf-session (ise.psc.log)

محرك فهرسة ISE

يعد "محرك الفهرسة" خدمة مسؤولة عن البحث والفهرسة واسترجاع البيانات المخزنة في قاعدة بيانات ISE بكفاءة. وهو يعزز الأداء وقابلية التطوير المعهودة في تقنية المعلومات التصنيفية (ISE)، لا سيما عندما يتعلق الأمر بالتعامل مع كميات كبيرة من البيانات وتوفير إمكانية الوصول السريع إلى المعلومات المطلوبة لمهام المصادقة والتفويض والمراقبة والإبلاغ.

النقاط الأساسية حول محرك فهرسة ISE في ISE

1. فهرسة البيانات: يقوم محرك فهرسة ISE بإنشاء فهارس لأنواع مختلفة من البيانات المخزنة في ISE، مثل سجلات المصادقة وسجلات الجلسات وعمليات البحث في السياسة وبيانات إنشاء ملفات التعريف وسجلات الوصول إلى الشبكة. تساعد الفهرسة على تنظيم هذه البيانات بطريقة تجعل البحث والاستفسار أكثر فعالية.

2. إدارة السجلات وإعداد التقارير: تؤدي هذه الخدمة دورا حيويا في إدارة السجلات عن طريق تحسين أداء التقارير والاستفسارات المتعلقة بالسجلات. على سبيل المثال، عند البحث عن أحداث مصادقة معينة، يتيح محرك الفهرسة إستعادة السجلات المطلوبة بشكل أسرع، وهو أمر بالغ الأهمية لرصد الأمان وإعداد تقارير التوافق.

3.إسترداد البيانات: كما أن محرك الفهرسة مسؤول عن ضمان إمكانية إسترداد ISE للبيانات المفهرسة بكفاءة من قاعدة البيانات الأساسية الخاصة به عند الحاجة. وهذا يسمح ل ISE بتوفير استجابات سريعة للاستفسارات من واجهة المستخدم أو الأدوات الخارجية أو واجهات برمجة التطبيقات.

تحقق من عدم تشغيل محرك فهرسة ISE أو تهيئته

1. تحقق من أن عمليات بحث DNS الأمامية والعكسية تعمل أو أن جميع العقد في نظام المجموعة عبر CLI باستخدام NSLOOKUP <FQDN / عنوان IP الخاص بعقدة ISE > أمر.
2. تحقق من أن "شهادات مسؤول ISE" صالحة ونشطة لجميع العقد في نظام المجموعة.
3. تحقق من عمل NTP وتزامنه مع عقد ISE عبر CLI باستخدام الأمر show ntp.

يتم إستخدام محرك الفهرسة بواسطة "رؤية السياق" ويلزم أن يكون محرك الفهرسة قيد التشغيل والتشغيل حتى تعمل إمكانية رؤية السياق. السجلات المفيدة التي يمكن أن تساعد في أستكشاف أخطاء محرك الفهرسة وإصلاحها هي ملفات ADE.log التي يمكن تأمينها من حزمة الدعم أو تتبعتها من خلال CLI باستخدام الأمر show logging system ade/ADE.log tail أثناء المشكلة.

موصل الإعلان

موصل AD (موصل Active Directory) عبارة عن خدمة تسمح ل ISE بالدمج مع Microsoft Active Directory (AD)، مما يمكن ISE من مصادقة المستخدمين وتخويلهم وإدارتهم بناء على مسوغات AD وعضويات المجموعة. يعمل موصل AD كجسر بين ISE و Active Directory، مما يتيح ISE الاستفادة من AD للتحكم في الوصول إلى الشبكة (NAC) وتنفيذ السياسة. 

الوظائف الرئيسية لخدمة موصل AD في ISE

1. التكامل مع Active Directory: تعمل خدمة موصل AD كجسر بين ISE و Active Directory. وهو يسمح لمعهد متخصصي الهوية بالتوصيل الآمن بالإعلان عن النشاط، مما يجعل من الممكن أن يستخدم ISE AD كمخزن هوية مركزي لمصادقة المستخدم وإنفاذ السياسة.

2. المزامنة: تدعم خدمة موصل AD مزامنة بيانات المستخدم والمجموعة من Active Directory إلى ISE. ويضمن ذلك أن لدى ISE معلومات محدثة عن المستخدمين والمجموعات، وهو أمر بالغ الأهمية لإنفاذ السياسات بشكل دقيق.

3. الاتصال الآمن: تنشئ خدمة موصل AD قنوات اتصال آمنة بين ISE و Active Directory، وعادة ما تستخدم بروتوكولات مثل LDAP عبر SSL (LDAP) لضمان خصوصية البيانات وسلامتها أثناء عمليات المصادقة والاستعلام.

4. دعم مجال Active Directory المتعدد: يمكن أن تدعم الخدمة الاتصالات بمجالات Active Directory المتعددة. ويكون هذا مفيدا بشكل خاص في البيئات كبيرة النطاق أو متعددة المجالات، حيث يحتاج ISE إلى مصادقة المستخدمين من غابات AD أو مجالات مختلفة.

5. بحث المستخدم والمجموعة: وهو يمكن ISE من الاستعلام عن AD لمعلومات المستخدم والمجموعة. يمكن أن يتضمن هذا تفاصيل مثل أسماء المستخدمين وعضويات المجموعات وسمات المستخدم الأخرى التي يمكن إستخدامها لفرض سياسات الوصول إلى الشبكة. على سبيل المثال، يمكن تطبيق سياسات الوصول إلى الشبكة بناء على عضوية المستخدم لمجموعة AD (على سبيل المثال: منح مستويات وصول مختلفة للمستخدمين في مجموعات مختلفة).

1. تحقق مما إذا كان بروتوكول وقت الشبكة (NTP) متزامنا مع العقد ويجب أن يكون فرق الوقت بين AD و ISE أقل من 5 دقائق. 

2. تحقق ما إذا كان يمكن لخادم DNS حل شبكات FQDN والمجالات ذات الصلة بالإعلان. 

3. انتقل إلى العمليات > التقارير > التقارير > التشخيصات > عمليات موصل AD، تحقق من الأحداث أو التقارير المتعلقة ب AD. 

السجلات المفيدة لاستكشاف الأخطاء وإصلاحها هي ad_agent.log مع سجلات تصحيح الأخطاء لمكون وقت التشغيل.

قاعدة بيانات جلسات عمل M&T

تلعب قاعدة بيانات جلسات عمل M&T (قاعدة بيانات جلسات المراقبة واستكشاف الأخطاء وإصلاحها) دورا بالغ الأهمية في تخزين البيانات المتعلقة بجلسة العمل وإدارتها لأحداث الوصول إلى الشبكة. تحتوي قاعدة بيانات جلسة عمل M&T على معلومات حول جلسات العمل النشطة، بما في ذلك مصادقة المستخدم واتصالات الجهاز وأحداث الوصول إلى الشبكة، والتي تعد ضرورية لمراقبة نشاط الشبكة واستكشاف أخطائه وإصلاحها وتحليله.

الوظائف الرئيسية لخدمة قاعدة بيانات جلسة عمل M&T في ISE

1. تخزين بيانات جلسة العمل: خدمة قاعدة بيانات جلسة عمل M&T مسؤولة عن تخزين وفهرسة البيانات المتعلقة بجلسات عمل المستخدم والجهاز على الشبكة. ويتضمن ذلك أوقات بدء جلسة العمل وانتهائها، ونتائج المصادقة، وهوية المستخدم أو الجهاز، والنهج المرتبطة (مثل تعيينات الأدوار أو تعيينات شبكة VLAN). كما تتضمن البيانات معلومات المحاسبة الخاصة ب RADIUS التي تفصل دورة حياة الجلسة، بما في ذلك المصادقة الأولية وأي رسائل محاسبة تتعقب أحداث الجلسة.

2. البيانات الآنية والتاريخية: توفر الخدمة الوصول إلى بيانات جلسة العمل في الوقت الفعلي (جلسات نشطة) وبيانات جلسة العمل السابقة (جلسات سابقة). وهذا لا يمكن المسؤولين من مراقبة وصول المستخدم المستمر فحسب، بل يمكنهم أيضا الرجوع إلى سجلات جلسات العمل السابقة للتحقق من المشاكل أو التحقق من صحة أحداث الوصول. يمكن أن تساعد مراقبة جلسة العمل في الوقت الفعلي على ضمان عدم وجود أي أجهزة غير مصرح بها حاليا على الشبكة.

3. تحسين المراقبة: يوفر رؤى حول نشاط المستخدم والجهاز، بما في ذلك السياسات المطبقة على جلسات العمل، مما يساعد على اكتشاف المخاوف الأمنية المحتملة أو الوصول غير المصرح به.

4. مراجعة الحسابات والإبلاغ: تسهيل تدقيق التوافق وإعداد التقارير من خلال تخزين سجل لأحداث الوصول إلى الشبكة وتوفير البيانات لإعداد التقارير التنظيمية.

التحقق من قاعدة بيانات جلسات عمل M&T واستكشاف أخطائها وإصلاحها في ISE

1. تحقق من تخصيص العقدة باستخدام الموارد الموصى بها.

2. تأمين الدعم الفني للعرض من واجهة سطر الأوامر (ISE) لمزيد من التحقق من المشكلة. 

3. إعادة ضبط قاعدة بيانات جلسة عمل M&T من خلال تشغيل الأمر application configure ise في عبر واجهة سطر الأوامر (CLI) الخاصة ب ISE وحدد الخيار 1.

ملاحظة: يجب إعادة تعيين قاعدة بيانات M&T فقط بعد التحقق من التأثير المحتمل في النشر. اتصل ب cisco TAC ل كثير تدقيق.

العيوب المعروفة  

معرف تصحيح الأخطاء · من Cisco 32364

معالج سجل M&T

معالج سجل M&T (معالج سجل المراقبة واستكشاف الأخطاء وإصلاحها) هو مكون مسؤول عن تجميع بيانات السجل التي تم إنشاؤها بواسطة خدمات مختلفة داخل ISE ومعالجتها وإدارتها. وهو جزء رئيسي من إطار عمل المراقبة واستكشاف الأخطاء وإصلاحها (M&T)، الذي يساعد المسؤولين على مراقبة أحداث الوصول إلى الشبكة ومحاولات المصادقة وتنفيذ السياسات والأنشطة الأخرى داخل نظام ISE واستكشاف أخطائها وإصلاحها. يتولى معالج سجل M&T معالجة إدخالات السجل بشكل خاص، مما يضمن أن بإمكان ISE تخزين المعلومات الضرورية وتحليلها وتقديمها لإعداد التقارير ومراجعة الحسابات واستكشاف الأخطاء وإصلاحها.

الوظائف الرئيسية لخدمة معالج سجل M&T في ISE

1. جمع السجلات ومعالجتها: تقوم خدمة معالج سجلات M&T بتجميع السجلات التي تم إنشاؤها بواسطة مكونات ISE المختلفة ومعالجتها، مثل طلبات المصادقة وقرارات التخويل ورسائل المحاسبة وأنشطة تنفيذ السياسة. تتضمن هذه السجلات معلومات تفصيلية حول المستخدمين والأجهزة ومحاولات الوصول إلى الشبكة، مثل الطوابع الزمنية ومعرفات المستخدمين وأنواع الأجهزة والسياسات المطبقة ونجاح طلبات الوصول أو فشلها وأسباب حالات الفشل.

2. الإبلاغ والامتثال: تعد السجلات التي تمت معالجتها بواسطة هذه الخدمة بالغة الأهمية لإعداد تقارير التوافق. تتطلب العديد من القواعد التنظيمية من المؤسسات الاحتفاظ بسجلات أحداث الأمان والوصول إلى المستخدمين. تضمن خدمة معالج سجلات M&T معالجة جميع السجلات ذات الصلة وتوفيرها لعمليات تدقيق التوافق التنظيمي. وهو يساعد في إنشاء تقارير تفصيلية تستند إلى بيانات السجل، مثل سجلات وصول المستخدم أو معدلات نجاح/فشل المصادقة أو سجلات تنفيذ السياسة.

التحقق من خدمة معالج سجل M&T واستكشاف أخطائها وإصلاحها في ISE

1. تأكد من نشر عقدة ISE مع الموارد الموصى بها وفقا لدليل تثبيت Cisco. 

2. للتحقق من المشكلة، قم بتشغيل الأمر show logging system ade/ADE.log tail عبر واجهة سطر الأوامر (CLI) الخاصة ب ISE للتعرف على الاستثناءات / الأخطاء ذات الصلة.

العيوب المعروفة

معرف تصحيح الأخطاء من Cisco ·15130

خدمة المرجع المصدق

تعد خدمة المرجع المصدق (CA) مكونا هاما يساعد في إدارة الشهادات الرقمية لتأمين الاتصالات وأجهزة التصديق والمستخدمين وخدمات الشبكة. تعد الشهادات الرقمية ضرورية لإنشاء إتصالات موثوق بها وضمان الاتصال الآمن بين العملاء (أجهزة الكمبيوتر والهواتف الذكية وأجهزة الشبكة.) ومكونات البنية الأساسية للشبكة (المحولات ونقاط الوصول اللاسلكية وبوابات الشبكات الخاصة الظاهرية (VPN)). تعمل خدمة CA في Cisco ISE جنبا إلى جنب مع شهادات X.509، والتي يتم إستخدامها لأغراض متعددة في أمان الشبكة، بما في ذلك مصادقة 802.1X والوصول إلى الشبكة الخاصة الظاهرية (VPN) والاتصالات الآمنة وتشفير SSL/TLS.

الوظائف الرئيسية ل "خدمة المرجع المصدق" في ISE

1. إدارة الشهادات: خدمة سلطة الشهادات مسؤولة عن إنشاء وإصدار وإدارة وتجديد الشهادات الرقمية داخل ISE. تستخدم هذه الشهادات لمختلف بروتوكولات المصادقة وأغراض التشفير عبر الشبكة. يمكنها إما العمل كمرجع تصديق داخلي أو الاندماج مع مرجع مصدق خارجي (على سبيل المثال: Microsoft AD CS و CAs العامة مثل VeriSign أو DigiCert) لإصدار الشهادات.

2. إصدار الشهادات: بالنسبة للبيئات التي تتطلب EAP-TLS أو طرق مصادقة مماثلة مستندة إلى شهادة، يمكن أن يصدر ISE شهادات لأجهزة الوصول إلى الشبكة (NADs) أو المستخدمين أو نقاط النهاية. يمكن أن يقوم ISE بإنشاء ونشر الشهادات تلقائيا للأجهزة والمستخدمين المصدق عليهم، أو يمكنه طلب شهادات من مرجع مصدق خارجي.

3. تسجيل الشهادة: تدعم خدمة CA تسجيل الشهادة لنقاط النهاية، مثل أجهزة الكمبيوتر المحمولة والهواتف وأجهزة الشبكة الأخرى، والتي تحتاج إلى المصادقة على الشبكة باستخدام الشهادات. يستخدم ISE بروتوكولات مثل SCEP (بروتوكول تسجيل الشهادة البسيط) أو ACME (بيئة إدارة الشهادات المؤتمتة) لتسهيل تسجيل الشهادة للأجهزة.

4. تجديد الشهادة: تقوم هذه الخدمة بأتمتة تجديد الشهادات التي تنتهي صلاحيتها لكل من الأجهزة والمستخدمين. وهو يضمن أن تكون الشهادات صحيحة وحديثة دائما، مما يمنع انقطاع الخدمة الناجم عن الشهادات المنتهية الصلاحية.

5- التكامل مع هيئات التصديق الخارجية: بينما يمكن أن يكون ISE بمثابة المرجع المصدق الخاص به، فمن الشائع أكثر أن يتم التكامل مع المرجع المصدق الخارجي (على سبيل المثال: خدمات شهادات Microsoft Active Directory). يمكن لخدمة CA إدارة التفاعل بين ISE و CA الخارجي، وطلب الشهادات للمستخدمين والأجهزة وموارد الشبكة حسب الحاجة.

خدمة EST

التسجيل عبر خدمة النقل الآمن (EST) هو بروتوكول يستخدم لإصدار الشهادات الرقمية بشكل آمن إلى أجهزة الشبكة والمستخدمين في بيئة مصادقة تستند إلى شهادة. EST هو بروتوكول تسجيل الشهادة الذي يسمح للأجهزة بطلب الشهادات من مرجع مصدق (CA) بطريقة آمنة ومؤتمتة. وتعتبر خدمة EST مفيدة بشكل خاص لمصادقة الجهاز، مثل بيئات 802.1X أو إتصالات VPN أو سيناريوهات BYOD (إحضار الجهاز الخاص بك)، حيث تحتاج الأجهزة إلى المصادقة على الشبكة باستخدام الشهادات.

الوظائف الرئيسية لخدمة EST في ISE

1.تسجيل الشهادة: وتكون خدمة EST مسؤولة عن تمكين تسجيل الشهادة الآمن للأجهزة (مثل المحولات أو نقاط الوصول أو نقاط النهاية) التي تتطلب شهادات لأغراض المصادقة. يتم التسجيل عبر نقل آمن (عادة HTTPS)، لضمان تشفير العملية وحمايتها من الوصول غير المصرح به.

2. إلغاء الشهادة وتجديدها: وبمجرد تسجيل الشهادات، تلعب خدمة EST أيضا دورا في إدارة إبطال الشهادة أو تجديدها. على سبيل المثال، تحتاج الأجهزة إلى طلب شهادة جديدة عند انتهاء صلاحية الشهادة الحالية، ويمكن أن تساعد EST في أتمتة هذه العملية.

3. تحسين التحكم في الوصول إلى الشبكة: عن طريق تمكين الأجهزة للمصادقة باستخدام الشهادات، تعمل خدمة EST على تعزيز وضعية الأمان للشبكة، وخاصة في البيئات التي تستخدم مصادقة 802.1X.

تحقق من عدم تشغيل / تهيئة مرجع الشهادة وخدمة EST

1. انتقل إلى إدارة > نظام > شهادات > مرجع شهادات > إعدادات مرجع مصدق داخلي. تأكد من فرز حالة المستجيب CA و EST و OCSP وتمكينها.
2. الأخطاء المفيدة التي يمكن أن تساعد في أستكشاف الأخطاء وإصلاحها هي EST و provisioning و ca-service و ca-service-cert. ارجع toise-psc.log و catalyina.out و caservice.log وerror.log files.
3. تحقق من أن ISE Root CA وشهادات مراسلة ISE صالحة في النشر. إذا كان تجديد ISE Root CA مطلوبا، انتقل إلى إدارة > شهادات > طلبات توقيع شهادات > إنشاء طلب توقيع شهادة، حدد الاستخدام ك ISE Root CA. انقر فوق تجديد ISE Root CA.

خدمة محرك SXP

خدمة محرك SXP مسؤولة عن إدارة وتسهيل الاتصال بين ISE وأجهزة الشبكة باستخدام رقم مجموعة الأمان (SGT) وبروتوكول تبادل مجموعة الأمان (SXP). وهو يلعب دورا حاسما في دعم سياسات TrustSec، والتي تستخدم لفرض التحكم في الوصول إلى الشبكة استنادا إلى مجموعة الأمان الخاصة بالجهاز بدلا من عناوين IP أو عناوين MAC فقط. يتم إستخدام محرك SXP في ISE بشكل أساسي لتبادل معلومات مجموعة الأمان، مما يساعد في تنفيذ السياسات استنادا إلى هوية المستخدم أو الجهاز، وتطبيقه، وموقعه. وهو يمكن الأجهزة من مشاركة علامات مجموعة الأمان (SGTs)، والتي يتم إستخدامها لفرض سياسات الأمان عبر أجهزة الشبكة، مثل الموجهات والمحولات.

الوظائف الرئيسية لخدمة محرك SXP في ISE

1.التكامل مع TrustSec: يتم نشر بروتوكول SXP بشكل شائع في البيئات التي تستفيد من Cisco TrustSec، وهو حل يفرض سياسات أمان متناسقة عبر الشبكات السلكية واللاسلكية على حد سواء. يسهل محرك SXP اتصال SGTs بين الأجهزة، مما يسمح بتنفيذ السياسات بشكل ديناميكي استنادا إلى سياق الأمان للجهاز أو المستخدم.

2. علامات مجموعة الأمان (للرقيب): يتمحور محور محور تنفيذ سياسة TrustSec حول الرقيب. يتم إستخدام علامات التمييز هذه لتصنيف حركة مرور الشبكة، ويساعد بروتوكول SXP على مشاركة تخطيط علامات التمييز هذه لمستخدمين أو أجهزة معينة. وهذا يسمح بالتحكم في الوصول إلى الشبكة وتدفق حركة المرور وفقا للتعديل الذي توجهه السياسة.

التحقق من خدمة محرك SXP في ISE واستكشاف أخطائها وإصلاحها

1.بشكل افتراضي، يتم تعطيل خدمة محرك SXP في ISE. ولتمكينها، انتقل إلى واجهة المستخدم الرسومية (ISE) > الإدارة > النشر، حدد العقدة. حدد خانة تمكين خدمة SXP، واختر الواجهة. ثم تحقق من حالة خدمة محرك SXP من واجهة سطر الأوامر (CLI) الخاصة ب ISE باستخدام الأمر show application status ise.

2.إذا كانت هناك مشاكل في اتصال الشبكة، فتحقق من أن الواجهة التي تم تعيينها لمحرك SXP لها عنوان IP صالح باستخدام الأمر show interface في واجهة سطر الأوامر، وتأكد من أن الشبكة الفرعية IP مسموح بها في الشبكة.

3.تحقق من سجلات RADIUS المباشرة للتحقق من أحداث اتصال SXP على ISE.

4.تمكين مكون SXP على عقد ISE من تصحيح أخطاء السجلات والاستثناءات ذات الصلة ب SXP والتقاط هذه السجلات والاستثناءات.

خدمة TC-NAC

خدمة TC-NAC (التحكم في الوصول إلى الشبكة من TrustSec) هي مكون يسهل تنفيذ سياسات TrustSec على أجهزة الشبكة، مما يضمن أن التحكم في الوصول يعتمد على علامات مجموعة الأمان (SGTs) بدلا من عناوين IP أو MAC التقليدية.

TrustSec، بدوره، هو إطار عمل تم تطويره بواسطة Cisco يتيح تنفيذ سياسة الأمان عبر الشبكة استنادا إلى أدوار الجهاز أو المستخدمين أو السياقات، بدلا من إستخدام الآليات القديمة مثل شبكات VLAN أو عناوين IP. وهو يوفر المزيد من التحكم في الوصول إلى الشبكة بشكل ديناميكي ومتناسق عن طريق تجميع الأجهزة في مجموعات أمان مختلفة ووضع علامات عليها باستخدام أدوات التوجيه SGT.

الوظائف الرئيسية لخدمة TC-NAC في ISE

1. التكامل مع أنظمة NAC الخاصة بجهات خارجية: تمكن خدمة TC-NAC ISE من الاتصال بحلول التحكم في الوصول إلى الشبكة من إنتاج جهات خارجية والتفاعل معها. ويمكن أن يكون هذا مفيدا للمؤسسات التي لديها بنية أساسية ل NAC موجودة ولكنها تريد دمجها مع Cisco ISE لتحسين الوظائف أو الاستفادة من سياسات الأمان الإضافية أو الاستفادة من ميزات أمان الشبكة الأخرى من Cisco.

2 - توفير إنفاذ السياسات على نحو سلس: وعند دمجه مع حلول مركز المساعدة التقنية التابع للجهة الخارجية، يمكن أن يتولى مركز خدمات التوظيف (ISE) بعض جوانب إنفاذ السياسات واتخاذ القرارات. وهذا يسمح بوجود إطار سياسة أكثر توحدا، مما يضمن أن السياسات التي يتم تطبيقها من قبل كل من أنظمة Cisco وغير Cisco NAC تكون متناسقة عبر الشبكة.

3. دعم أنظمة NAC القديمة: تساعد خدمة TC-NAC المؤسسات التي لديها أنظمة NAC قديمة في مكانها، مما يتيح لها مواصلة إستخدام هذه الأنظمة مع تبني Cisco ISE لميزات الأمان المحسنة الخاصة بها. يمكن دمج معيار ISE مع حلول مركز التحكم في الشبكة (NAC) القديمة وتمديد دورة حياتها، مما يوفر إمكانية التحكم في الوصول والأمان، فضلا عن فرض التوافق في نفس الوقت.

4. تسهيل اتصال بائع NAC التابع للجهة الخارجية: تتيح هذه الخدمة ISE تسهيل الاتصال بحلول NAC من جهات خارجية التي تستخدم بروتوكولات أو معايير خاصة. ويمكن أن تتفاعل ISE مع أنظمة NAC التابعة للجهة الخارجية عبر البروتوكولات المتوافقة مع معايير الصناعة (مثل RADIUS أو TACACS+ أو SNMP) أو واجهات برمجة التطبيقات (API) المخصصة، حسب حل NAC المحدد الذي يتم إستخدامه.

التحقق من خدمة TC-NAC واستكشاف أخطائها وإصلاحها في ISE

1. تحقق من تمكين NAC الذي يرتكز على التهديد من خلال الانتقال إلى الإدارة > النشر > عقدة PSN > تمكين NAC الذي يرتكز على التهديد.

2. إذا كانت المشكلة في مهايئ SourceFire FireAMP، فتحقق مما إذا كان المنفذ 443 مسموح به في شبكتك.

3. تحقق من تفاصيل جلسة نقطة النهاية من العمليات > سجلات NAC Live التي ترتكز على التهديد.

تنبيهات يتم تشغيلها بواسطة NAC الذي يرتكز على التهديد:

• المحول غير قابل للوصول (معرف syslog: الطراز 91002): إشارة إلى عدم إمكانية الوصول إلى المحول.

• فشل اتصال المحول (معرف syslog: الطراز 91018): يدل على أن المحول يمكن الوصول إليه لكن الاتصال بين المحول وخادم المصدر معطل.

• تم إيقاف المهايئ بسبب الخطأ (معرف syslog: الطراز 91006): يتم تشغيل هذا التنبيه إذا كان المحول ليس في الحالة المرغوب فيها. في حالة عرض هذا التنبيه، تحقق من تكوين المحول واتصال الخادم. راجع سجلات المحول للحصول على مزيد من التفاصيل.

• خطأ في المهايئ (syslog id: الطراز 91009): يشير إلى أن المحول Qualys غير قادر على إنشاء اتصال مع موقع Qualys أو تنزيل المعلومات منه.

تصحيح أخطاء مفيد لاستكشاف أخطاء TC-NAC وإصلاحها:

• va-runtime (varuntime.log)
• va-service (varuntime.log and vaaggregation.log)
• TC-NAC (ise-psc.log)
• ANC (ise-psc.log)

خدمة PassiveID WMI

خدمة PassiveID WMI هي خدمة تسمح ل ISE بإجراء تنميط الجهاز باستخدام Windows Management Instrumentation (WMI) كآلية سلبية لتعريف نقاط النهاية في الشبكة وتنميطها. ويلعب دورا حاسما في تحديد سمات الأجهزة، وخاصة في البيئات التي يلزم فيها تحديد الأجهزة التي تعمل بنظام التشغيل Windows بدقة من أجل التحكم في الوصول إلى الشبكة وتنفيذ السياسة.    

الوظائف الرئيسية لخدمة PassiveID WMI في ISE

1. مجموعة هوية الجهاز: تتيح خدمة PassiveID WMI ل ISE جمع معلومات الهوية بشكل سلبي من أجهزة Windows باستخدام Windows Management Instrumentation (WMI). فهو يجمع تفاصيل النظام مثل اسم المضيف للجهاز وإصدار نظام التشغيل والسمات الأخرى ذات الصلة دون الحاجة إلى مشاركة الجهاز بنشاط.

2. التكامل مع سياسة ISE: يتم دمج المعلومات التي تجمعها خدمة PassiveID WMI في إطار سياسة ISE. فهو يساعد في التطبيق الديناميكي للسياسات القائمة على سمات الأجهزة مثل النوع ونظام التشغيل والتوافق مع معايير الأمان.

التحقق من خدمة PassiveID WMI واستكشاف أخطائها وإصلاحها

مصدر دقيق وآمن للغاية، إلى جانب الأكثر شيوعا، لتلقي معلومات المستخدم منه. يعمل AD كمسبار مع تقنية WMI لتوفير هويات مستخدمين مصدق عليهم.بالإضافة إلى ذلك، يعمل AD نفسه، بدلا من المسبار، كنظام مصدر (موفر) تسترجع منه المسابير الأخرى بيانات المستخدم أيضا.

أخطاء مفيدة ومعلومات مطلوبة لغرض أستكشاف الأخطاء وإصلاحها. قم بتعيين هذه السمات على مستوى تصحيح الأخطاء لمشاكل PassiveID WMI:

• PassiveID (passiveid*) 
• تسجيل وقت التشغيل (prrt-server.log)
• Active Directory (ad)_agent.log) - مستوى التتبع
• مجمع (collector.log) (على PassiveID، عقد MnT وعلى عقدة pxGrid النشطة إذا تم نشر الجلسات)
• pxGrid (pxgrid/) (في MnT الثانوية وعقدة pxGrid النشطة إذا تم نشر الجلسات)

المعلومات المطلوبة لاستكشاف أخطاء PassiveID WMI وإصلاحها:

1. سواء كان يعمل من قبل؟ أي تغييرات تم إجراؤها مؤخرا.  (مثل ترقية، تثبيت التصحيح على ISE/ الترقية على DC)
2. هل يعمل اتصال الاختبار بشكل جيد (قبل التكامل، تحقق من إختبار الاتصال)
3. تفاصيل حول اسم المستخدم المستخدم المستخدم للانضمام إلى AD واسم المستخدم المستخدم ل WMI. (سواء كان حساب المسؤول أو حساب غير المسؤول)
4. تحقق ما إذا تم تسجيل الأحداث (4768، 4770) في DC أم لا. (سجل عارض الأحداث من DC)
5. سجلات الالتقاط: قم بتعيين مستوى تصحيح الأخطاء للمعرف السلبي وتسجيل وقت التشغيل ثم قم بتكوين WMI لذلك DC، AD - مستوى التتبع مع الطابع الزمني.

خدمة PassiveID Syslog

خدمة PassiveID syslog هي خدمة تتيح لميزة ملف تعريف PassiveID جمع رسائل syslog ومعالجتها من أجهزة الشبكة في البيئة. تحتوي رسائل syslog هذه على معلومات مهمة حول نقاط النهاية المتصلة بالشبكة، ويستخدمها ISE لتوصيف هذه الأجهزة للتحكم في الوصول إلى الشبكة وتنفيذ السياسة.    

الوظائف الأساسية لخدمة Syslog للمعرف الخامل

1. المصادقة الخاملة: تتيح خدمة Syslog للمعرف الخامل ل Cisco ISE مصادقة المستخدمين والأجهزة بشكل سلبي من خلال تجميع رسائل syslog من أجهزة الشبكة (مثل المحولات أو الموجهات) التي تشير إلى نشاط المستخدم والجهاز. ويكون ذلك مفيدا في الحالات التي لا تكون فيها أساليب التوثيق الفعالة التقليدية، مثل 802.1X، مناسبة أو ممكنة.

2. تسجيل الأحداث: تعتمد خدمة syslog للمعرف الخامل على بروتوكول syslog لتلقي السجلات من أجهزة الشبكة التي تتتبع وصول المستخدم وسلوكه على الشبكة. يمكن أن تتضمن المعلومات الواردة في هذه السجلات أشياء مثل محاولات تسجيل الجهاز، ونقاط الوصول، وتفاصيل الواجهة، والتي تساعد ISE في التعرف بشكل سلبي على الجهاز أو المستخدم.

خدمة PassiveID API

خدمة PassiveID API هي خدمة تتيح التكامل مع الأنظمة التي تتطلب معلومات حول هوية الأجهزة أو المستخدمين المتصلين بالشبكة. ويتم إستخدامها بشكل نموذجي في البيئات التي يريد فيها مسؤولو الشبكة تنفيذ سياسات وإجراءات قائمة على الهوية دون الحاجة إلى بروتوكولات مصادقة شبكة نشطة مثل 802.1X لكل جهاز.

الوظائف الرئيسية لخدمة API للمعرف السلبي

1. التكامل مع النظم الخارجية: تسمح واجهة برمجة التطبيقات (API) للمعرف الخامل ISE باستلام معلومات الهوية من أنظمة الطرف الثالث أو أجهزة الشبكة (مثل المحولات أو الموجهات أو جدران الحماية أو أي نظام يمكنه إنشاء أحداث مرتبطة بالهوية). يمكن أن تقوم هذه الأنظمة الخارجية بإرسال معلومات مثل رسائل syslog أو سجلات المصادقة أو البيانات الأخرى ذات الصلة التي يمكنها مساعدة ISE في تحديد مستخدم أو جهاز بشكل سلبي.

2. المصادقة الخاملة: يتم إستخدام خدمة واجهة برمجة التطبيقات (API) للمعرف الخامل لمصادقة المستخدمين والأجهزة بشكل غير فعال عن طريق تجميع بيانات الهوية دون الحاجة إلى المصادقة النشطة (على سبيل المثال: لا حاجة إلى مصادقة 802.1X أو MAB أو الويب). على سبيل المثال، يمكنه التقاط معلومات من أجهزة الشبكة أو سجلات Active Directory أو أجهزة الأمان واستخدامها لتعريف المستخدم أو الجهاز.

3. تعيين معلومات الهوية: يمكن إستخدام واجهة برمجة التطبيقات (API) للمعرف السلبي لتعيين بيانات الهوية إلى سياسات أمان معينة. وتستخدم هذه المعلومات لتعيين علامات مجموعة الأمان (SGT) أو الأدوار بشكل ديناميكي للمستخدمين والأجهزة، والتي تؤثر بعد ذلك على تنفيذ عناصر التحكم في الوصول إلى الشبكة (مثل سياسات التجزئة وجدار الحماية).

خدمة وكيل PassiveID

خدمة عامل PassiveID هي خدمة تمكن من إنشاء ملفات تعريف الأجهزة من خلال إستخدام عوامل PassiveID المثبتة على نقاط النهاية (مثل أجهزة الكمبيوتر وأجهزة الكمبيوتر المحمولة والأجهزة المحمولة وما إلى ذلك). يسمح "عامل PassiveID" ل ISE بجمع معلومات إنشاء ملفات التعريف حول الأجهزة على الشبكة من خلال الاستماع إلى حركة المرور من نقاط النهاية، دون الحاجة إلى إجراء عمليات مسح ضوئي نشطة أو التفاعل المباشر مع الأجهزة. 

الوظائف الرئيسية لخدمة وكيل المعرف السلبي

1. التعرف السلبي على المستخدم والجهاز: تكون خدمة عامل الهوية الخاملة مسؤولة عن تجميع المعلومات المتعلقة بالهوية بشكل سلبي، وعادة ما يكون ذلك من أجهزة الشبكة أو نقاط النهاية، وإرسال هذه البيانات إلى ISE. وتتيح هذه الخدمة لمدير خدمات الهوية (ISE) مصادقة المستخدمين والأجهزة والتعرف عليها استنادا إلى أنشطتهم أو خصائصهم، دون الحاجة إلى مصادقة نشطة من الجهاز (على سبيل المثال: دون توفر بيانات اعتماد 802. 1X).

2. التكامل مع مكونات Cisco الأخرى: يعمل وكيل المعرف الخامل بشكل وثيق مع أجهزة شبكة Cisco، مثل المحولات ووحدات التحكم اللاسلكية ونقاط الوصول، لجمع المعلومات المتعلقة بالهوية من حركة مرور الشبكة أو سجلات syslog أو أنظمة الإدارة الأخرى. كما يمكن دمجه مع Cisco TrustSec و Cisco Identity Services لتعيين هذه البيانات إلى علامات مجموعة أمان معينة (SGTs) أو سياسات أخرى قائمة على الهوية.

3. التحكم في الوصول إلى الشبكة السياقية: يرسل "عامل المعرف السلبي" هذه المعلومات إلى Cisco ISE، والتي تقوم بعد ذلك بتطبيق سياسات التحكم في الوصول المناسبة استنادا إلى هوية المستخدم أو الجهاز وسياقه. ويمكن أن يشمل ذلك ما يلي:

• التحكم في الوصول المستند إلى الأدوار.
• تعيين شبكة VLAN الديناميكية.
• تجزئة الشبكة.
• فرض سياسات الأمان استنادا إلى دور المستخدم أو وضع أمان الجهاز.

خدمة نقطة نهاية PassiveID

خدمة نقطة نهاية PassiveID هي خدمة مسؤولة عن تعريف نقاط النهاية (الأجهزة) وتنميطها على الشبكة استنادا إلى تقنية PassiveID. تساعد هذه الخدمة ISE في جمع ومعالجة وتصنيف المعلومات المتعلقة بالأجهزة المتصلة بالشبكة، دون الحاجة إلى التفاعل النشط مع نقاط النهاية نفسها. تؤدي خدمة نقطة نهاية PassiveID دورا بالغ الأهمية في إنشاء ملفات التعريف والتحكم في الوصول إلى الشبكة وتنفيذ سياسة الأمان.

الوظائف الأساسية لخدمة نقطة نهاية PassiveID

1. التعرف السلبي على المستخدم والجهاز: تتيح خدمة نقطة نهاية PassiveID ل Cisco ISE تحديد الأجهزة ومصادقتها على الشبكة بشكل سلبي، من خلال الاستفادة من المعلومات من نشاط الشبكة أو سجلات النظام. ويتضمن ذلك تحديد المستخدمين والأجهزة استنادا إلى سلوك الشبكة أو خصائصها، مثل عنوان MAC أو عنوان IP أو تسجيل الدخول إلى معلومات من مخزن هوية خارجي مثل Active Directory (AD).

2. جمع البيانات من نقاط النهاية: تجمع خدمة نقطة النهاية أنواعا مختلفة من البيانات الخاصة بنقطة النهاية من مصادر مختلفة:

• يقوم المستخدم بتسجيل الدخول من مخازن الهوية الخارجية مثل Active Directory أو دلائل أخرى.
• خصائص الجهاز مثل عناوين IP وعناوين MAC ونوع الجهاز (على سبيل المثال: سواء كان الجهاز جهاز كمبيوتر يعمل بنظام التشغيل Windows أو هاتف جوال أو جهاز IoT).
• نشاط شبكة نقطة النهاية مثل طلبات DHCP، طلبات ARP، والاتصالات الأخرى على طبقة الشبكة.

PassiveID SPAN Service

ال PassiveID فسحة بين دعامتين خدمة أن يستغل فسحة بين دعامتين (يحول محلل أيسر) ميناء يعكس على شبكة أداة أن على قبض وتحليل شبكة حركة مرور من أجل نقطة نهاية تشكيل غرض. تساعد هذه الخدمة ISE على تجميع المعلومات بشكل سلبي حول نقاط النهاية (الأجهزة) على الشبكة عن طريق تحليل أنماط اتصال الشبكة الخاصة بها دون الحاجة إلى أجهزة إستشعار أو عملاء نشطة مثبتة على الأجهزة نفسها.

الوظائف الأساسية لخدمة PassiveID SPAN

1. مجموعة الهوية السلبية من فسحة بين دعامتين حركة مرور: ال PassiveID فسحة بين دعامتين يسمح خدمة ISE أن يجمع هوية معطيات يؤسس على شبكة حركة مرور أن يكون عكست أو نسخت من خلال فسحة بين دعامتين ميناء على مفتاح. فسحة بين دعامتين استعملت ميناء بشكل خاص لشبكة monitore ب يعكس شبكة حركة مرور من آخر ميناء أو VLANs. وعن طريق التقاط حركة المرور هذه، يمكن أن يقوم ISE بجمع معلومات الهوية بشكل سلبي مثل:

• عناوين MAC للأجهزة.
• عناوين IP المقترنة بالأجهزة.
• طلبات DHCP أو المعلومات الأخرى المتعلقة بالهوية من حركة المرور التي تم الاستيلاء عليها.
• سجلات المصادقة من أجهزة الشبكة، مثل المحولات أو وحدات التحكم اللاسلكية.

2. التقاط معلومات هوية المستخدم والجهاز: الفسحة بين دعامتين يصغي خدمة أساسا إلى الحركة مرور أن يمر عبر الشبكة ويعين مفتاح هوية معلومة من الشبكة ربط دون الحاجة أن يتفاعل مباشرة مع الأداة. يمكن أن يتضمن هذا بيانات مثل:

• هويات المستخدمين عند مصادقتهم عبر بروتوكولات مثل EAP (بروتوكول المصادقة المتوسع).
• هويات الجهاز مبنية على عناوين MAC وعناوين IP.
• أدوار الجهاز وسلوكياته استنادا إلى أنماط حركة المرور وأحداث المراقبة.

التحقق من مكدس PassiveID واستكشاف أخطائه وإصلاحها ( PassiveID SPAN Service، خدمة PassiveID syslog، خدمة نقطة نهاية PassiveID، وكيل PassiveID، خدمة API PassiveID)

1. مكدس PassiveID هي قائمة بالمزودين ويتم تعطيل جميع الخدمات في مكدس PassiveID بشكل افتراضي. انتقل إلى واجهة المستخدم الرسومية (ISE) > الإدارة > النشر > تحديد العقدة، قم بتمكين خدمة الهوية الخاملة، انقر فوق حفظ. للتحقق من حالة خدمة مكدس المحولات PassiveID، قم بتسجيل الدخول إلى واجهة سطر الأوامر (CLI) لعقدة ISE وقم بتشغيل الأمر show application status ise.

2. إذا كانت هناك مشاكل تتعلق بوكيل المعرف السلبي، فتحقق مما إذا كان FQDN الخاص بالوكيل قابلا للحل من عقدة ISE. لتنفيذ هذا الإجراء، سجل الدخول إلى واجهة سطر الأوامر (CLI) الخاصة ب ISE وقم بتشغيل NSLOOKUP < FQDN الخاص بالعميل الذي تم تكوينه > الأمر.

3. تأكد من أن محرك فهرسة ISE نشط وأنه يتم حل عمليات البحث في DNS العكسية والموجهة بواسطة خادم DNS أو الاسم الذي تم تكوينه في ISE.

4. لضمان الاتصال السلس مع موفري syslog، تحقق من منفذ UDP 40514 ومنفذ TCP 11468 مفتوحين في شبكتك.

5. لتكوين فسحة بين دعامتين موفر على عقدة، تأكد من تمكين خدمة الهوية السلبية ل ISE. دققت القارن أنت تريد أن يشكل على الفسحة بين دعامتين مزود يتوفر في ISE ب يستعمل عرض قارن أمر من ISE CLI.

للتحقق من السجلات، استنادا إلى موفر المعرف الخامل، تحتاج إلى مراجعة passiveid-syslog.log، passiveid-agent.log، passiveid-api.log، passiveid-endpoint.log، passiveid-span.log. يمكن تأمين السجلات المذكورة من حزمة الدعم لعقدة ISE. 

خادم DHCP (DHCP)

خدمة خادم DHCP (DHCP) هي خدمة توفر وظائف بروتوكول التكوين الديناميكي للمضيف (DHCP) لأجهزة الشبكة. وهو يستخدم بشكل أساسي لتعيين عناوين IP إلى الأجهزة (نقاط النهاية) التي تحاول الاتصال بالشبكة. في ISE، يلعب خادم DHCP دورا حاسما في توفير عناوين IP لنقاط النهاية التي تطلبها عند إتصالها بالشبكة. كما يمكن أن توفر الخدمة معلومات تكوين إضافية، مثل خوادم DNS والبوابة الافتراضية وإعدادات الشبكة الأخرى.

الوظائف الرئيسية لخدمة خادم DHCP (DHCP) في ISE

1. تخصيص عنوان IP الديناميكي: تعمل خدمة DHCP في ISE كخادم DHCP، الذي يوفر تخصيص عنوان IP للأجهزة التي تطلب عنوان IP عند إتصالها بالشبكة. وهذا مهم في السيناريوهات التي تنضم فيها الأجهزة إلى الشبكة بشكل ديناميكي، مثل بيئات BYOD (إحضار الجهاز الخاص بك) أو عند تكوين الأجهزة للحصول على عناوين IP الخاصة بها تلقائيا.

2. بروتوكول DHCP المستند إلى ملف التعريف: يمكن لخدمة DHCPD تخصيص عناوين IP استنادا إلى ملف تعريف الجهاز. إذا كان ISE قد قام بإنشاء الجهاز (على سبيل المثال: من تحديد أنه هاتف ذكي أو كمبيوتر محمول أو جهاز "الإنترنت لكل الأشياء")، يمكنه تعيين عنوان IP مناسب أو تطبيق إعدادات أخرى استنادا إلى نوع الجهاز أو الدور.

3. دعم ترحيل DHCP: يمكن أن يعمل ISE كوكيل ترحيل DHCP، حيث يقوم بإعادة توجيه طلبات DHCP من الأجهزة إلى خادم DHCP خارجي إذا لم يكن ISE يعالج تعيين عنوان IP الفعلي. في هذه الحالة، يمكن لخدمة DHCP إعادة توجيه الطلبات من الأجهزة إلى خادم DHCP مركزي، بينما يستمر ISE في تطبيق سياسات الشبكة وعناصر التحكم في الوصول.

التحقق من خادم DHCP (DHCP) واستكشاف أخطائه وإصلاحها

1. اتصل ب Cisco TAC للتحقق من تثبيت حزمة خادم DHCP على ISE.

2. سجل الدخول إلى جذر ISE > rpm -qi dhcp. 

خادم DNS (مسمى)

خدمة خادم DNS (المسماة) هي خدمة تسمح ل ISE بالعمل كخادم DNS (نظام اسم المجال) أو محلل DNS. وهو مسؤول بشكل أساسي عن حل أسماء المجالات في عناوين IP والعكس، تسهيل الاتصال بين الأجهزة في الشبكة.  

الوظائف الرئيسية لخدمة خادم DNS (المسماة) في ISE

1. حل DNS لاتصالات ISE: تساعد الخدمة المسماة في ISE على حل أسماء المجالات إلى عناوين IP. وهذا مهم بشكل خاص عندما يحتاج ISE إلى الاتصال بأجهزة شبكة أخرى أو خدمات خارجية (مثل خوادم RADIUS أو خدمة Active Directory أو خوادم NTP الخارجية) باستخدام أسماء المجالات بدلا من عناوين IP.

• على سبيل المثال، عندما يحتاج ISE إلى الوصول إلى خادم Radius أو خدمة دليل خارجي (مثل Active Directory)، فإنه يحتاج إلى حل اسم مجال ذلك الخادم إلى عنوان IP.
• يستعلم ISE خادم DNS الذي تم تكوينه على النظام لحل أسماء المجالات هذه، مما يضمن الاتصال السلس.

2. حل نظام أسماء المجالات (DNS) للخدمات الخارجية: تمكن خدمة DNS ISE من الاتصال بالخدمات الخارجية التي تتطلب أسماء مجالات. على سبيل المثال، يحتاج ISE إلى حل أسماء الخدمات الخارجية مثل:

• الخدمات المستندة إلى السحابة.
• خوادم NTP (بروتوكول وقت الشبكة).
• مراجع الشهادات (CAs) أو خوادم LDAP.

3. خوادم DNS متعددة المجالات والمتكررة: يمكن تكوين ISE لاستخدام خوادم DNS متعددة للتكرار. في حالة عدم توفر خادم DNS واحد، يمكن أن يرجع ISE إلى خادم DNS آخر لضمان التشغيل المستمر ودقة DNS.

التحقق من خادم DNS واستكشاف أخطائه وإصلاحها (مسمى)

1. من واجهة سطر الأوامر (CLI) لعقدة ISE، تحقق من قابلية الوصول إلى اسم الخادم أو خادم DNS لعملية النشر باستخدام الأمر ping <ip of DNS server / name server>.

2. تحقق من تحليل DNS لشبكات ISE FQDNs باستخدام الأمر nslookup <FQDN / عنوان IP الخاص ب ISE Node> عبر واجهة سطر الأوامر (CLI) الخاصة ب ISE.

خدمة مراسلات ISE

تعد خدمة المراسلة ISE مكونا يسهل الاتصال غير المتزامن بين الخدمات والمكونات المختلفة داخل نظام ISE. ويلعب دورا حاسما في الهندسة المعمارية العامة لنظام ISE، مما يمكن أجزاء مختلفة من النظام الأساسي من إرسال الرسائل وتلقيها وإدارة المهام ومزامنة الأنشطة.

الوظائف الرئيسية لخدمة مراسلة ISE

1. الاتصال بين العمليات (IPC): تؤدي خدمة رسائل ISE دورا أساسيا في تمكين الاتصال بين العمليات (IPC) بين مختلف خدمات ISE. ويضمن هذا الدليل إمكانية تبادل مختلف وحدات وخدمات محرك خدمات الهوية الهوية (ISE)، مثل المصادقة والتفويض وإنفاذ السياسات، للبيانات والتعليمات بطريقة منسقة.

2. دعم البيئة الموزعة: في عمليات نشر ISE الأكبر أو الموزعة (كما في التكوينات متعددة العقد أو عالية التوفر)، تساعد خدمة المراسلة على تسهيل الاتصال بين عقد ISE المختلفة. وهذا يضمن مزامنة البيانات، مثل طلبات المصادقة وجلسات عمل المستخدمين وتحديثات السياسات بشكل صحيح عبر العقد المختلفة داخل نظام ISE.

3. مزامنة النهج والتكوين: تشترك خدمة المراسلة في مزامنة التكوينات والسياسات بين عقد ISE. عند إجراء تغييرات التكوين على عقدة أساسية، تضمن الخدمة نشر هذه التغييرات إلى العقد الثانوية أو عقد النسخ الاحتياطي في النظام. وهذا أمر ضروري للحفاظ على التناسق وضمان إستمرار مزامنة سياسات الوصول إلى الشبكة المطبقة عبر مواقع مختلفة أو عقد ISE الموزعة.

تحقق من عدم تشغيل خدمة ISE Messaging أو تهيئتها

1. تحقق من عدم حظر منفذ TCP 8671 في جدار الحماية، حيث يتم إستخدام هذا المنفذ للاتصال بين العقد بين أجهزة ISE. 

2. تحقق من خطأ إرتباط قائمة الانتظار وإذا كان هناك أي خطأ، فعليك تجديد مراسلة ISE وشهادات ISE Root CA حيث أن أخطاء إرتباط قائمة الانتظار تحدث عادة بسبب مشاكل تلف الشهادة الداخلية. لحل أخطاء إرتباط قائمة الانتظار، قم بتجديد مراسلة ISE وشهادة ISE Root CA بالإشارة إلى المقالة: خطأ إرتباط قائمة الانتظار

3. من GUI -> الإدارة -> الشهادات -> حدد شهادة ISE Messaging. انقر فوق عرض للتحقق من حالة الشهادة. 

السجلات المفيدة لاستكشاف أخطاء خدمة ISE Messaging وإصلاحها هي ade.log المتوفر في حزمة الدعم أو يمكن تفريغه عبر CLI باستخدام الأمر show logging system ade/ADE.log tail أثناء الإصدار.

4. إذا كان سجل ADE.log يظهر RABBITMQ: أخطاء رفض الاتصال، اتصل ب Cisco TAC لإزالة قفل وحدة Rabbitmq النمطية من ISE Root. 

خدمة قاعدة بيانات عبارة ISE

تعد خدمة قاعدة بيانات بوابة واجهة برمجة التطبيقات (ISE) مكونا مسؤولا عن إدارة ومعالجة البيانات المتعلقة بطلبات واجهة برمجة التطبيقات (API) والاستجابات داخل نظام ISE. وهو يعمل كوسيط يربط بوابة واجهة برمجة تطبيقات ISE بقاعدة بيانات ISE، مما يضمن أن التطبيقات المخصصة يمكنها أيضا تحديث البيانات أو تعديلها داخل ISE. (على سبيل المثال، تعديل سياسات الوصول أو إضافة/إزالة مستخدمين) من خلال مكالمات واجهة برمجة التطبيقات (API) التي تديرها الخدمة.

الوظائف الأساسية لخدمة قاعدة بيانات بوابة ISE

1. وصول واجهة برمجة التطبيقات إلى بيانات ise: تعمل خدمة قاعدة بيانات بوابة واجهة برمجة التطبيقات (ISE) كجسر، مما يتيح للتطبيقات الخارجية التفاعل مع قاعدة بيانات واجهة برمجة التطبيقات (ISE) عبر واجهات برمجة التطبيقات (API) ISE RestFul. يمكن إستخدام واجهات برمجة التطبيقات هذه لاسترداد البيانات المخزنة في قاعدة بيانات ISE أو تعديلها، مثل:

• سجلات مصادقة المستخدم.
• سياسات الوصول إلى الشبكة.
• معلومات تصنيف الأجهزة.
• تكوين وإعدادات النظام.

2. تمكين تكامل النظام الخارجي: وتلعب هذه الخدمة دورا حاسما في دمج خدمة التشفير الذاتي مع أنظمة خارجية مثل:

• خوادم المصادقة الخارجية (LDAP، Active Directory، RADIUS).
• أنظمة إدارة الشبكة (NMS).
• حلول إدارة الأحداث ومعلومات الأمان.
• التطبيقات أو الخدمات المخصصة التي تحتاج إلى التفاعل مع بيانات ISE.

من خلال توفير وصول واجهة برمجة التطبيقات (API)، تتيح خدمة قاعدة بيانات بوابة واجهة برمجة التطبيقات (API) لهذه الأنظمة الخارجية الاستعلام عن بيانات ISE أو إرسال تحديثات إلى ISE أو تشغيل إجراءات محددة داخل ISE إستجابة لأحداث خارجية.

3. دعم إتصالات RESTful API: يعرض ISE واجهات برمجة تطبيقات RESTful المصممة للعمل عبر HTTP/HTTPS. تعد "خدمة قاعدة بيانات بوابة واجهة برمجة التطبيقات" مسؤولة عن إدارة تدفق طلبات واجهة برمجة التطبيقات (API) والاستجابات، مما يضمن مصادقة الطلبات ومعالجتها، فضلا عن إرجاع البيانات المناسبة من قاعدة بيانات ISE إستجابة لذلك.

خدمة عبارة ISE API

تعد خدمة بوابة واجهة برمجة التطبيقات (API) ل ISE مكونا هاما يوفر وصول RESTful API إلى خدمات ISE والبيانات والوظائف. وهو يعمل كجسر بين نظم التخزين الفردي (ISE) والأنظمة الخارجية، مما يسمح لهذه الأنظمة بالتفاعل البرنامجي مع التحكم في الوصول إلى شبكة التخزين المستقل (ISE) وتنفيذ السياسة والمصادقة وغيرها من الخدمات. تمكن بوابة واجهة برمجة التطبيقات (API) تطبيقات الجهات الخارجية وأنظمة إدارة الشبكة والتطبيقات المخصصة من التفاعل مع Cisco ISE دون الحاجة إلى التدخل اليدوي أو الوصول المباشر إلى واجهة مستخدم ISE.

الوظائف الأساسية لخدمة عبارة واجهة برمجة التطبيقات (API) ل ISE

1. تمكين وصول API إلى ISE: تتيح خدمة بوابة واجهة برمجة التطبيقات (API) ل ISE للأنظمة الخارجية إمكانية الوصول الآمن إلى بيانات وسياسات Cisco ISE والتفاعل معها باستخدام واجهات برمجة التطبيقات (API) ل RESTful. وهذا يوفر إمكانية الوصول البرنامجي إلى وظائف نظام ISE، مثل المصادقة، وإنفاذ السياسات، وإدارة الجلسات، وغير ذلك.

2. توفير الرقابة البرنامجية: تتيح خدمة بوابة واجهة برمجة التطبيقات التحكم البرنامجي في وظائف ISE. يمكن للمسؤولين والمطورين إستخدام واجهات برمجة التطبيقات إلى:

• إسترداد سياسات الشبكة أو تعديلها.
• الاستعلام عن جلسات عمل المستخدم وسجلات المصادقة أو إدارتها.
• إنشاء قواعد التحكم في الوصول إلى الشبكة وإدارتها.
• الوصول إلى ملفات تعريف الأجهزة أو تحديثها.

ويمكن الاستفادة من عنصر التحكم هذا للأتمتة أو تزامن سير العمل المخصص، مثل تعديل سياسات الوصول إلى الشبكة بشكل ديناميكي استنادا إلى البيانات في الوقت الفعلي أو دمج ISE في منصة أتمتة أمان أوسع.

3. الرصد والإبلاغ: تسمح خدمة بوابة واجهة برمجة التطبيقات (API) للأنظمة الخارجية بجمع البيانات من سجلات ISE التشغيلية وسجل الجلسات وتفاصيل تنفيذ السياسة. وهذا أمر مهم بالنسبة لما يلي:

• الإبلاغ عن التوافق.
• المراقبة الأمنية.
• الإستجابة للحوادث.

يمكن إستخدام إستدعاءات واجهة برمجة التطبيقات (API) لسحب السجلات ومعلومات التدقيق والأحداث، مما يتيح لفرق الأمان مراقبة أنشطة ISE من لوحة معلومات مركزية أو أداة إعداد تقارير.

التحقق من خدمة عبارة ISE API وخدمة قاعدة بيانات عبارة ISE API واستكشاف أخطاء هذه الخدمة وإصلاحها

1. تحقق مما إذا كانت شهادة Admin لعقدة ISE نشطة وصالحة. انتقل إلى إدارة > شهادات > حدد العقدة > تحديد شهادة مسؤول. انقر فوق عرض للتحقق من حالة شهادة المسؤول لعقدة ISE. 

2. يمكن تعيين مكونات ISE-API-gateway و api-gateway وapiGateway إلى تصحيح الأخطاء والسجلات من خلال إستخدام هذه الأوامر: 

• show logging application ise-psc.log tail
• show logging application api-gateway.log tail

خدمة ISE PxGrid Direct

تعد خدمة ISE PxGrid Direct مكونا هاما يدعم وظائف PXgrid (شبكة تبادل الأنظمة الأساسية) في ISE. تعد PxGrid تقنية Cisco التي تسهل مشاركة البيانات وتكاملها بشكل آمن وموحد وقابل للتطوير بين حلول أمان شبكات Cisco والتطبيقات والخدمات والأجهزة التابعة لجهات خارجية. تتيح خدمة ISE PxGrid Direct إمكانية الاتصال المباشر بين ISE والأنظمة الأخرى المتوافقة مع PxGrid دون الحاجة إلى أجهزة أو خدمات وسيطة.   

الوظائف الرئيسية ل ISE PxGrid Direct Service

1. التكامل المباشر مع أنظمة الطرف الثالث: تتيح خدمة ISE PxGrid Direct ل ISE إمكانية التكامل مباشرة مع أنظمة أمان شبكات الجهات الخارجية، مثل جدران الحماية والموجهات وحلول NAC ومنصات SIEM وأجهزة الأمان الأخرى. وهو يسمح لهذه الأنظمة بتبادل المعلومات المتعلقة بأحداث الوصول إلى الشبكة وحوادث الأمان وبيانات الشبكة السياقية.

2. مشاركة السياق: تتمثل إحدى الوظائف الأساسية ل PXgrid في مشاركة المعلومات السياقية (مثل هويات الجهاز وأدوار المستخدم ووضع الأمان ومعلومات الوصول إلى الشبكة). ومع خدمة PxGrid المباشرة، يمكن أن يشارك ISE هذا السياق مباشرة مع الأجهزة أو التطبيقات الأخرى دون الاعتماد على الطرق التقليدية مثل RADIUS أو TACACS+.

3. الاتصال المبسط: وباستخدام شبكة pxGrid، يمكن أن يقوم ISE بتوصيل المعلومات وتبادلها مع حلول الجهات الخارجية باستخدام بروتوكول موحد. وهذا من شأنه أن يبسط عملية التكامل، لأن النظم لا تحتاج إلى عمليات تكامل مخصصة لكل حل من حلول الأطراف الثالثة.

4. تحسين الأمان والامتثال: كما تعمل خدمة PxGrid المباشرة على تحسين وضعية الأمان والتوافق من خلال ضمان إمكانية وصول جميع الأنظمة الموجودة في النظام البيئي للشبكة إلى نفس البيانات في الوقت الفعلي والسياقية المتعلقة بالمستخدمين والأجهزة وسياسات الأمان. وهذا يضمن تنفيذ سياسات أمان الشبكة بشكل أكثر تنسيقا عبر البيئة بالكامل.

التحقق من خدمة ISEPxgrid Direct واستكشاف أخطائها وإصلاحها

1. اتصل ب cisco TAC للتحقق من ما إذا كان edda*.lock* موجودا في مجلد /tmp. إذا كانت الإجابة بنعم، فإن TAC من Cisco يزيل التأمين ويعيد تشغيل خدمة PxGrid Direct من الجذر.

2. تعيين مكون PxGrid Direct على تصحيح الأخطاء في عقدة ISE لاستكشاف الأخطاء وإصلاحها. يمكن تأمين السجلات عبر حزمة دعم ISE أو ISE CLI باستخدام هذه الأوامر:

show logging application pxgriddirect-service.log

show logging application pxgriddirect-connector.log

توفر السجلات المذكورة معلومات عن بيانات نقطة النهاية التي تم جلبها واستقبالها بواسطة Cisco ISE مع حالة اتصال Pxgrid Connector.

خدمة سياسة التجزئة

خدمة نهج التجزئة هي مكون رئيسي مسؤول عن فرض سياسات تجزئة الشبكة استنادا إلى هوية المستخدم أو وضع الجهاز أو المعلومات السياقية الأخرى. وتساعد على التحكم في وصول المستخدمين والأجهزة إلى مقاطع شبكة معينة، مما يضمن إمكانية الوصول إلى أجزاء معينة من الشبكة فقط للمستخدمين المعتمدين أو الأجهزة المتوافقة.  إن تقسيم الشبكة يعد أمرا ضروريا للحد من سطح الهجمات في الشبكة، ومنع الحركة الجانبية للتهديدات، وضمان الإمتثال للوائح. يتم إستخدام خدمة سياسة التجزئة في ISE لفرض قواعد تجزئة الشبكة هذه بشكل ديناميكي ومرن عبر الشبكة.      

الوظائف الرئيسية لدائرة سياسات التجزئة

1. تعريف أجزاء الشبكة: تسمح خدمة سياسة التجزئة في ISE للمسؤولين بتعريف مختلف شرائح الشبكة (الشبكات الفرعية أو الشبكات المحلية الظاهرية (VLANs) استنادا إلى خصائص المستخدمين أو الأجهزة. على سبيل المثال:

• يمكن تخصيص الأجهزة ذات أوضاع الأمان المختلفة لقطاعات مختلفة (على سبيل المثال: الأجهزة الموثوق بها في شبكة VLAN وأجهزة غير موثوق بها في شبكة أخرى).
• يمكن تعيين مستخدمين من أقسام أو أدوار مختلفة إلى مقاطع شبكة مختلفة لفرض أقل امتيازات وتقييد الوصول إلى الموارد الحساسة.

2. التقسيم الديناميكي: تتيح هذه الخدمة إمكانية التجزئة الديناميكية للشبكة، مما يعني أنه يمكن تغيير مقاطع الشبكة أو شبكات VLAN استنادا إلى ظروف الوقت الفعلي. على سبيل المثال:

• يمكن تعيين مستخدم لشبكة VLAN معينة استنادا إلى الدور الخاص به أو حالة سلامة الجهاز.
• يمكن نقل الجهاز الذي يعد غير متوافق أو الذي يشغل نظام تشغيل قديما إلى شبكة VLAN للحجر الصحي أو للضيف حتى يتم إصلاحه.

3 - الإنفاذ القائم على السياسات: تستخدم "خدمة نهج التجزئة" النهج لاتخاذ قرارات حول المقطع الذي يجب وضع الجهاز أو المستخدم فيه. ويمكن أن تأخذ هذه السياسات في الاعتبار عوامل مختلفة مثل:

• هوية المستخدم: استنادا إلى دور المستخدم أو السمات.
• وضعية الجهاز: حالة سلامة الجهاز أو امتثاله (على سبيل المثال: هل يقوم بتشغيل أحدث برامج مكافحة الفيروسات؟ ).
• الموقع: الموقع الفعلي للمستخدم أو الجهاز في الشبكة (على سبيل المثال: المكتب، منطقة الضيوف، الوصول عن بعد).
• وقت الوصول: وقت من اليوم أو اليوم من الأسبوع يتم فيه تقديم طلب الوصول.

4 - إنفاذ السياسات الأمنية: تضمن "خدمة سياسة التجزئة" فرض سياسات الأمان بشكل ثابت عبر أجهزة الشبكة (مثل المحولات والموجهات وجدران الحماية) من خلال الاستفادة من معايير الصناعة مثل تعيين RADIUS و VLAN. وهذا يسمح ل Cisco ISE بالاتصال بأجهزة البنية الأساسية للشبكة لتنفيذ سياسات التجزئة المطلوبة.

التحقق من خدمة نهج التجزئة واستكشاف أخطائها وإصلاحها

1. تحقق من تكوين التجزئة بشكل صحيح من خلال الانتقال إلى مراكز العمل > TrustSec > نظرة عامة > لوحة المعلومات.

2. مراكز العمل > TrustSec > التقارير، حدد تقارير TrustSec للتحقق من حالة خدمة نهج التجزئة وتقاريرها. 

خدمة مصادقة الراحة

خدمة مصادقة REST هي خدمة توفر إمكانات المصادقة باستخدام واجهات برمجة تطبيقات RESTfull. وهو يمكن التطبيقات والأنظمة الخارجية من مصادقة المستخدمين أو الأجهزة من خلال التفاعل مع ميزة ISE عبر بروتوكول (بروتوكولات) HTTP باستخدام بروتوكولات REST القياسية. تتيح هذه الخدمة إمكانية الدمج السلس لوظائف مصادقة Cisco ISE مع تطبيقات أو أنظمة الجهات الخارجية التي تحتاج إلى مصادقة المستخدمين أو الأجهزة ولكن لا يمكنها إستخدام الطرق التقليدية (مثل RADIUS أو TACACS+).

الوظائف الرئيسية لخدمة مصادقة REST

1. مصادقة RESTfull: تمكن خدمة مصادقة REST طلبات المصادقة عبر بروتوكول REST API. وهذا يسمح بالأنظمة الخارجية (على سبيل المثال: تطبيقات أو أجهزة شبكة أو خدمات تابعة لجهات خارجية) لمصادقة المستخدمين أو الأجهزة باستخدام ISE كخادم مصادقة، ولكن من خلال مكالمات خدمة الويب RESTful بدلا من بروتوكولات المصادقة التقليدية مثل RADIUS أو TACACS+.

2. التكامل مع التطبيقات الخارجية: تم تصميم هذه الخدمة للتطبيقات الخارجية التي تحتاج إلى مصادقة المستخدمين أو الأجهزة ولكنها لا تستخدم طرق المصادقة التقليدية (مثل RADIUS أو TACACS+). وبدلا من ذلك، يمكنها التفاعل مع ISE عبر واجهات برمجة تطبيقات REST، مما يجعل من السهل دمج مصادقة ISE في التطبيقات المستندة إلى الويب أو التطبيقات الأصلية عبر الشبكة.

3. مصادقة مرنة وقابلة للتطوير: توفر خدمة مصادقة REST طريقة مصادقة قابلة للتطوير لا تقتصر على أجهزة الشبكة فقط أو الحلول المحلية. ويمكن إستخدامه بواسطة خدمات الشبكة وتطبيقات الأجهزة المحمولة والأنظمة الأساسية الأخرى القائمة على الويب التي تحتاج إلى مصادقة المستخدمين أو الأجهزة عن طريق الاستعلام عن بيانات الاعتماد والسياسات من ISE.

4. سهل التطبيق: توفر واجهة برمجة تطبيقات REST واجهة قياسية، والتي يسهل تطبيقها وتكاملها مع البرامج والتطبيقات الحديثة مقارنة بالطرق التقليدية. وهو يوفر استجابات بتنسيق JSON ويستخدم طرق HTTP مثل GET و POST و PUT و DELETE، مما يجعله أكثر سهولة في الوصول لمطوري الويب والأنظمة التي تقوم بدمج ISE للمصادقة.

التحقق واستكشاف أخطاء مصادقة الاستراحة وإصلاحها

1. أستكشاف أخطاء واجهة برمجة التطبيقات المفتوحة وإصلاحها، قم بتعيين مكون واجهة برمجة التطبيقات إلى تصحيح الأخطاء.

2. لاستكشاف المشاكل المتعلقة بواجهة برمجة التطبيقات (API) ل ERS وإصلاحها، قم بتعيين مكون ers إلى تصحيح الأخطاء.

إذا كانت صفحة واجهة المستخدم الرسومية (GUI) لخدمة واجهة المستخدم الرسومية (API):  https://{iseip}:{port}/api/swagger-ui/index.html أو https://{iseip}:9060/ers/sdk يمكن الوصول إليها، وهو يستنتج أن خدمة API تعمل كما هو متوقع.

راجع وثائق API للحصول على مزيد من المعلومات حول API.

موصل SSE

موصل SSE (موصل Secure Software-defined Edge) عبارة عن خدمة تعمل على دمج ISE مع حل الوصول الآمن المعرف بواسطة البرامج (SD-Access) من Cisco. يسمح موصل SSE ل ISE بالاتصال الآمن بمركز DNA من Cisco، مما يتيح سياسات الشبكة المؤتمتة والتجزئة وإدارة الأمان الطرفي في بيئة الوصول إلى SD.

الوظائف الرئيسية لموصل SSE

1. التكامل مع أنظمة الحماية التابعة لجهات خارجية: يسهل موصل SSE دمج نظام Cisco ISE مع أنظمة الأمان التابعة لجهات خارجية مثل جدران الحماية وأنظمة منع التسلل (IPS) وحلول التحكم في الوصول إلى الشبكة (NAC) ومعلومات الأمان وأنظمة إدارة الأحداث (SIEM). وهو يسمح لهذه الأنظمة الخارجية بإرسال البيانات أو استقبالها من نظام التشغيل ISE بطريقة آمنة، والتي يمكن إستخدامها لتنفيذ السياسات بشكل أكثر ديناميكية.

2. معلومات التهديد في الوقت الفعلي: من خلال توصيل وحدة التخزين المؤقت (ISE) بأنظمة الأمان الأخرى، يتيح موصل SSE تبادل المعلومات الاستخبارية حول التهديدات في الوقت الفعلي. يمكن أن تتضمن هذه المعلومات نشاطا مشكوكا فيه أو نقاط نهاية معرضة للتلف أو سلوكيات ضارة تم الكشف عنها بواسطة أنظمة الأمان الأخرى، مما يسمح ل ISE بتعديل سياسات الوصول بشكل ديناميكي استنادا إلى مستويات التهديد الحالية أو حالة الجهاز.

3. الإصلاح الآلي: يمكن أن يدعم التكامل الذي تم تمكينه بواسطة موصل SSE عمليات سير عمل الإصلاح المؤتمتة. على سبيل المثال، إذا تم وضع علامة على نظام على أنه تم إختراقه بواسطة جهاز أمان خارجي، فيمكن أن يقوم ISE بفرض السياسات التي تمنع الوصول إلى الشبكة أو إعادة توجيه نقطة النهاية إلى مقطع شبكة للإصلاح لمزيد من التحقيق.

التحقق من موصل SSE واستكشاف أخطائه وإصلاحها

1. يتم تمكين موصل SSE فقط عند تمكين خدمة PassiveID في ISE. 

2. SSE-connector ( connector.log ) يوفر المكون في تصحيح الأخطاء المزيد من المعلومات حول الرسائل ذات الصلة بموصل SSE. 

هيرميس (وكيل سحابة pxGrid)

Hermes (وكيل سحابة pxGrid) هو مكون يسهل التكامل بين ISE والنظام الإيكولوجي ل pxGrid (Platform Exchange Grid) في بيئة سحابية. Hermes هو الوكيل المستند إلى السحابة المستخدم لتمكين الاتصال بين ISE والخدمات أو الأنظمة الأساسية المستندة إلى السحابة، مما يدعم إطار عمل PxGrid لمشاركة المعلومات السياقية عبر أنظمة الشبكة والأمان المختلفة.  

الميزات والوظائف الأساسية ل Hermes (وكيل سحابة pxGrid)

1. الدمج بين السحابة والمباني: تم تصميم Hermes (وكيل سحابة PxGrid) لتسهيل التكامل السلس بين الخدمات المستندة إلى السحابة والبنية الأساسية ISE المحلية. فهو يعمل على توسيع إمكانات شبكة PXgrid إلى ما هو أبعد من بيئات الشبكات التقليدية الموجودة مسبقا، مما يتيح إمكانية تبادل البيانات بأمان وتنفيذ السياسات عبر التطبيقات والخدمات القائمة على الشبكات.

2. دعم النظام البيئي ل PXgrid: PXgrid هو نظام Cisco الأساسي لمشاركة السياق والمعلومات بشكل آمن عبر حلول أمان الشبكة. تعمل شركة Hermes كوكيل للشبكات بالنسبة لشركة PxGrid، مما يتيح إمكانية الاتصال الآمن وفي الوقت الفعلي بين شركة ISE ومختلف الخدمات القائمة على الشبكات. ويتيح هذا الدمج لسياسات أمان الشبكة أن تكون متناسقة عبر كل من بيئات التشغيل المسبق والبيئات السحابية، مما يجعل من السهل إدارة الأمان وإنفاذه.

3. إمكانية رؤية نقطة النهاية المستندة إلى السحابة: إحدى الميزات الأساسية في نظام Hermes هي أنه يوفر إمكانية رؤية لنقاط النهاية القائمة على السحابة، على غرار الطريقة التي يوفر بها نظام ISE إمكانية الرؤية في نقاط النهاية الموجودة على الخادم. يمكنه جمع البيانات حول الأجهزة والمستخدمين في السحابة، مثل وضعية التوافق الخاصة بهم وحالة الأمان ومعلومات الهوية. وهذا يسمح ل ISE بفرض سياسات الوصول إلى الشبكة على نقاط النهاية السحابية كما هو الحال بالنسبة للأجهزة المحلية.

4. إمكانية توسيع خدمة البنية الأساسية القابلة للتوسعة (ISE) إلى بيئات الشبكات بسلاسة تامة: من الفوائد الرئيسية التي تقدمها شركة Hermes أنها توفر جسرا سلسا بين بيئة خدمة البنية الآمنة (ISE) المحلية والعدد المتزايد من التطبيقات المحلية القائمة على الشبكات. وهذا يجعل من السهل توسيع سياسات أمان ISE وأساليب المصادقة وعناصر التحكم في الوصول إلى خدمات السحابة دون الحاجة إلى إجراء إصلاح كامل للبنية الأساسية الموجودة.

التحقق من Hermes (وكيل سحابة PXGRID) واستكشاف أخطائها وإصلاحها

1. بشكل افتراضي، تكون خدمة Hermes معطلة، مما يتيح توصيل ISE بسحابة Cisco PxGrid خدمة Hermes. وبالتالي، إذا تم تعطيل خدمة Hermes في ISE، فتحقق من تمكين خيار سحابة PxGrid من واجهة المستخدم الرسومية (ISE) > إدارة > نشر، حدد عقدة ISE. تحرير، تمكين سحابة PXGRID. 

2. تكون أدوات تصحيح الأخطاء المفيدة الخاصة باستكشاف المشاكل المتعلقة بسحابة Pxgrid hermes.log وpxcloud.log وإصلاحها. تتوفر هذه الأخطاء على عقدة PxGrid فقط حيث يتم تمكين سحابة Pxgrid. 

McTrust (خدمة Meraki Sync)

McTrust (خدمة Meraki للمزامنة) هي خدمة تتيح التكامل بين أنظمة Cisco ISE و Cisco Meraki، وخاصة لمزامنة أجهزة الشبكة وسياسات الوصول وإدارتها. تعمل خدمة McTrust كموصل يقوم بمزامنة معلومات المستخدم والجهاز بين البنية الأساسية للشبكة المدارة عبر السحابة الخاصة ب Meraki وأنظمة إدارة الهوية والنهج الداخلية ل ISE.   

الميزات والوظائف الرئيسية ل McTrust (خدمة Meraki Sync)

1. الدمج السلس مع أجهزة Meraki: تمكن McTrust ISE من المزامنة والتكامل مع الأجهزة المدارة عبر السحابة الخاصة ب Meraki. وهذا يتضمن أجهزة مثل نقاط الوصول Meraki والمحولات وأجهزة الأمان التي تعد جزءا من مجموعة Meraki. وهو يسمح ل ISE بالاتصال مباشرة بالبنية الأساسية ل Meraki، مما ييسر تطبيق سياسات التحكم في الوصول إلى الشبكة على الأجهزة التي تديرها Meraki.

2. مزامنة الجهاز المؤتمتة: تقوم خدمة Meraki Sync بمزامنة سياسات ISE تلقائيا مع أجهزة شبكة Meraki. وهذا يعني أن أي تغييرات يتم إجراؤها على سياسات التحكم في الوصول إلى الشبكة في ISE تنعكس تلقائيا في أجهزة Meraki، دون الحاجة إلى التدخل اليدوي. وهذا يجعل من السهل على المسؤولين إدارة الوصول إلى الشبكة عبر كل من أنظمة Meraki و ISE الأساسية.

3. تنفيذ السياسة للأجهزة المدارة عبر Meraki: تسمح McTrust لشبكة إيثرنت (ISE) بفرض سياسات الوصول إلى الشبكة على أجهزة Meraki استنادا إلى المصادقة ووضع الجهاز. يمكن أن يعين النهج بشكل ديناميكي لعناصر شبكة Meraki، مثل تعديل تعيينات VLAN، أو تطبيق قوائم التحكم في الوصول (ACL)، أو تقييد الوصول إلى موارد شبكة معينة، حسب وضعية الأمان للجهاز أو المستخدم الذي يطلب الوصول.

4. تكامل لوحة معلومات Meraki: تقوم McTrust بدمج ISE مباشرة مع لوحة معلومات Meraki، مما يوفر واجهة إدارة موحدة. ومن خلال هذا التكامل، يمكن للمسؤولين عرض سياسات الشبكة وقواعد التحكم في الوصول وإدارتها لكل من أجهزة Meraki والموارد المدارة من قبل ISE، وكل ذلك من خلال الواجهة المدارة عبر السحابة Meraki.

التحقق من McTrust (خدمة Meraki Sync) واستكشاف أخطائها وإصلاحها

1. سجل الدخول إلى واجهة المستخدم الرسومية ISE -> مراكز العمل -> TrustSec -> عمليات التكامل -> حالة المزامنة. تحقق من أي مشاكل / أخطاء تم ملاحظتها. 

2. تأكد من أن جميع مكونات مسؤول عقد ISE نشطة وصالحة.

يعد تصحيح الأخطاء مفيدا لاستكشاف أخطاء Meraki Sync Service وإصلاحها هو meraki-connector.log.

مصدر عقدة ISE

خدمة المصدر لعقدة ISE هي مكون يستخدم لمراقبة مقاييس الأداء وتجميعها من نظام ISE، وخاصة من عقد ISE (سواء أكانت عقد إدارة أو عقد مراقبة أو عقد خدمة سياسة).  

الميزات والوظائف الرئيسية لمصدر عقدة ISE

1.Metrics Export: يوفر المصدر لعقدة ISE مجموعة متنوعة من المقاييس المتعلقة بالأداء، مثل إستخدام وحدة المعالجة المركزية (CPU) واستخدام الذاكرة واستخدام الأقراص وإحصاءات الشبكة وتحميل النظام ومقاييس أخرى على مستوى نظام التشغيل. وتستخدم هذه المقاييس بعد ذلك لمراقبة صحة وأداء عقدة ISE ويمكن تصورها في لوحة معلومات مراقبة مثل Grafana.

2. مراقبة سلامة النظام: من خلال تصدير بيانات الأداء إلى Prometheus، يتيح مصدر عقدة ISE إمكانية المراقبة المستمرة لحالة سلامة عقدة ISE وتشغيلها. يمكن للمسؤولين إنشاء تنبيهات استنادا إلى الحدود المحددة مسبقا لإعلامهم بانخفاض الأداء أو مشكلات النظام.

3. تكامل البروميثيوس: عادة ما يتم إستخدام المصدر عقدة ISE بالاقتران مع Prometheus، وهو مجموعة أدوات للمراقبة والتنبيه مفتوحة المصدر مصممة لتوفير الموثوقية وقابلية التطوير. يعرض المصدر Node مقاييس على مستوى النظام يمكن ل Prometheus كشفها لجمع بيانات السلاسل الزمنية وتخزينها.

خدمة ISE Prometheus

خدمة ISE Prometheus هي خدمة تدمج Prometheus مع ISE لتمكين مراقبة وجمع مقاييس الأداء من نظام ISE. بروميثيوس عبارة عن مجموعة أدوات للمراقبة والتنبيه مفتوحة المصدر تستخدم لجمع بيانات السلاسل الزمنية وتخزينها وتحليلها، وتسمح خدمة بروميثيوس ISE لمعيار الدقة ISE بالكشف عن مقاييسها الداخلية لبروميثيوس لأغراض المراقبة.

الميزات والوظائف الرئيسية لخدمة ISE Prometheus

1. مجموعة المقاييس للمراقبة: تم تصميم خدمة ISE Prometheus Service لتصدير العديد من مقاييس التشغيل والأداء المتعلقة بنظام ISE. وتتضمن هذه المقاييس عادة، ولكنها لا تقتصر على إستخدام وحدة المعالجة المركزية (CPU) وتحميل النظام واستخدام الذاكرة واستخدام القرص وأداء الإدخال/الإخراج وإحصاءات الشبكة وإحصاءات طلبات المصادقة وإحصائيات تنفيذ السياسات وصحة النظام وبيانات وقت التشغيل

2. تكامل البروميثيوس: تتيح خدمة Prometheus ل ISE كشف البيانات في تنسيق متوافق مع Prometheus، والذي يقوم بكشف هذه البيانات على فترات منتظمة. ثم يقوم نظام بروميثيوس بتخزين البيانات في قاعدة بيانات للسلسلة الزمنية، مما يتيح إمكانية تعقب الاتجاهات والأداء التاريخي لنظام ISE.

3. العرض المرئي وإعداد التقارير مع غرافانا: تندمج خدمة Prometheus في ISE بشكل سلس مع Grafana، وهي أداة شائعة لعرض الصور المرئية للمصادر المفتوحة. بعد تصدير المقاييس إلى بروميثيوس، يمكن للمسؤولين إستخدام لوحات معلومات غرافانا لعرض البيانات في الوقت الحقيقي. وهذا يتيح إمكانية التعرف بسهولة على مشكلات الأداء واتجاهات النظام والمشكلات المحتملة في نشر ميزة ISE.

خدمة ISE Grafana

خدمة ISE Grafana هي خدمة توفر تصورا لمقاييس أداء النظام باستخدام Grafana، وهي منصة مفتوحة المصدر للمراقبة وعرض البيانات. وهو يتكامل مع بروميثيوس لعرض البيانات التاريخية الآنية التي يتم تجميعها من ISE، مما يسمح للمسؤولين بإنشاء لوحات معلومات تفاعلية توفر رؤى حول صحة نظام ISE وأدائه واستخدامه.

الميزات والوظائف الرئيسية لخدمة ISE Grafana

1. لوحات المعلومات القابلة للتخصيص: إن غرافانا قابلة للتخصيص بدرجة كبيرة، مما يسمح للمسؤولين بإنشاء وتعديل لوحات المعلومات وفقا لاحتياجات المراقبة الخاصة بهم. يمكن إنشاء استعلامات مخصصة لاستخراج نقاط بيانات معينة من بروميثيوس، ويمكن عرض تلك الاستعلامات بتنسيقات مختلفة مثل الرسوم البيانية، الجداول، خرائط الحرارة، والمزيد.

2. المراقبة المركزية لعمليات نشر ISE الموزعة: بالنسبة لعمليات النشر الموزعة لنظام ISE، حيث يتم نشر عقد ISE متعددة عبر مواقع مختلفة، توفر Grafana طريقة عرض مركزية لجميع مقاييس النظام التي يتم تجميعها من كل عقدة. ويتيح هذا للمسؤولين إمكانية مراقبة أداء نشر خدمة البنية الأساسية (ISE) بالكامل من موقع واحد.

3 - البيانات التاريخية وتحليل الاتجاهات: وبالاستعانة بالبيانات المخزنة في بروميثيوس، تمكن جرافانا من التحليل التاريخي لمقاييس النظام، الأمر الذي يسمح للمسؤولين بتتبع الاتجاهات بمرور الوقت. على سبيل المثال، يمكنهم مراقبة كيفية تغير إستخدام وحدة المعالجة المركزية (CPU) على مدار الشهر الماضي أو كيفية تقلب معدلات نجاح المصادقة. وهذه البيانات التاريخية قيمة بالنسبة لتخطيط القدرات، وتحليل الاتجاهات، وتحديد المسائل الطويلة الأجل.

التحقق من خدمة ISE Grafana واستكشاف أخطائها وإصلاحها وخدمة ISE Prometheus ومصدر عقدة ISE

1. تعمل كل من خدمة ISE Grafana Service وخدمة ISE Prometheus وخدمة مصدر عقدة ISE معا وتسمى خدمات مكدس Grafana. لا توجد أخطاء معينة لتمكين أستكشاف أخطاء هذه الخدمات وإصلاحها. ومع ذلك، تساعد هذه الأوامر في أستكشاف الأخطاء وإصلاحها.

show logging application ise-prometheus/prometheus.log

show logging application ise-node-exporter/node-exporter.log

show logging application ise-grafana/grafana.log

ملاحظة: عند تمكين المراقبة، يجب أن يقوم مصدر عقدة ISE وخدمة ISE Prometheus وخدمة ISE Grafana بتشغيل أي من هذه الخدمات وتعطيلها مما يتسبب في حدوث مشاكل أثناء جمع البيانات.

بحث Elasticsearch الخاص بالتحليلات الخاصة ب ISE MNT

إن IlluasSearch الخاص ب ISE MNT LogAnalytics هو مكون يدمج Elasticsearch مع إمكانيات مراقبة ISE واستكشاف الأخطاء وإصلاحها (MNT). يتم إستخدامه لتجميع السجل والبحث والتحليلات المتعلقة بسجلات وأحداث ISE. يعتبر Elasticsearch محرك بحث وتحليلات واسع الاستخدام وموزع، وعند دمجه مع ISE، فإنه يعزز قدرة النظام على تخزين بيانات السجل التي تم إنشاؤها بواسطة مكونات ISE وتحليلها وتصويرها.

الميزات والوظائف الأساسية ل ISE MNT LogAnalytics Elasticsearch

1. تخزين السجلات والفهرسة: تعد خدمة Elasticsearch في ISE مسؤولة عن تخزين بيانات السجل التي تم إنشاؤها بواسطة ISE وفهرستها. يعد Elasticsearch محرك بحث وتحليلات موزع، ويسمح بتخزين سجلات ISE بطريقة تتيح البحث السريع والاستعلام عن أحداث معينة أو أخطاء أو أنشطة النظام واستردادها.

2. التكامل مع تحليلات السجل: يعمل ISE MNT LogAnalytics Elasticsearch بالاقتران مع تحليلات السجل لتوفير حل تسجيل شامل. وهو يمكن ISE من جمع بيانات السجل المتعلقة بالمصادقة، وإنفاذ السياسة، وعمليات النظام، والأنشطة الأخرى. يتم تخزين هذه البيانات في Elasticsearch، مما يسهل إجراء تحليل مفصل والحصول على رؤى حول سلوك ISE.

3. التسجيل المركزي: من خلال التكامل مع Elasticsearch، يوفر ISE حل تسجيل مركزي، والذي يعد أمرا حيويا للبيئات التي تتطلب جمع السجلات الموزعة. ويتيح هذا للمسؤولين عرض السجلات وتحليلها من عقد ISE متعددة في واجهة واحدة موحدة، مما يسهل أستكشاف أخطاء ISE وإصلاحها ومراقبة أدائها.

4. تحليل السجل واستكشاف الأخطاء وإصلاحها: تساعد خدمة ElasSearch الخاصة ب ISE MNT LogAnalytics المسؤولين على تحليل سلوك النظام واستكشاف المشكلات وحلها من خلال تسهيل الوصول إلى بيانات السجل. على سبيل المثال، في حالة حدوث إرتفاع مفاجئ في حالات فشل المصادقة أو حدوث انقطاع غير متوقع في النظام، يسمح Elasticsearch بالاستعلام السريع عن بيانات السجل لتعريف السبب الجذري.

التحقق من Elasticsearch ل ISE M&T LogAnalytics واستكشاف أخطائه وإصلاحها

1. يجب أن يساعد تعطيل خدمة تحليلات السجل وإعادة تمكينها في ISE. انتقل إلى العمليات > النظام 360 > الإعدادات > تحليلات السجل ( تعطيل والتمكين باستخدام خيار التبديل). 

2. تعمل إعادة تشغيل تحليلات سجل M&T من ISE Root على حل المشكلة. اتصل ب cisco TAC لتنفيذ هذا الإجراء. 

العيوب المعروفة

معرف تصحيح الأخطاء من Cisco ·66198

خدمة ISE Logstash

خدمة ISE Logstash هي مكون يدمج Logstash، وهو مسار معالجة بيانات مفتوح المصدر، مع ISE لجمع السجلات وتحويلها وإعادة توجيهها. يعمل السجل كمجمع سجلات وموزع سجلات، مما يسمح بمعالجة سجلات ISE وإرسالها إلى أنظمة أخرى للتحليل والتخزين والمراقبة.  Logstash هو أداة قوية ومفتوحة المصدر تجمع، تحلل، وترسل السجلات أو البيانات الأخرى من مصادر مختلفة إلى موقع مركزي للتخزين والتحليل والتصور. في سياق ISE، تستخدم خدمة تسجيل الدخول إلى ISE لمعالجة السجلات وإعادة توجيهها بتنسيق مهيكل إلى نظام تسجيل مركزي، حيث يمكن تحليل هذه السجلات ومراقبتها وتمثيلها بشكل إضافي.

الميزات والوظائف الرئيسية لخدمة تسجيل دخول ISE

1. جمع السجلات وإعادة التوجيه: تتمثل الوظيفة الأساسية لخدمة تسجيل دخول ISE في جمع بيانات السجل من مكونات مختلفة لنظام ISE (مثل سجلات المصادقة وسجلات النظام وسجلات تنفيذ السياسة وما إلى ذلك) وإعادة توجيهها إلى موقع مركزي (عادة ما يكون Elasticsearch أو أي نظام آخر لإدارة السجل) للتخزين والتحليل.

2. تحليل السجل: يمكن أن يقوم Logstash بتحليل السجلات التي تم تجميعها في تنسيقات مهيكلة. فهو يعالج بيانات السجل الأولية ويستخرج منها معلومات مهمة، فيحول إدخالات السجل إلى تنسيق يسهل الاستعلام عنه وتحليله. ويمكن أن يتضمن ذلك تصفية البيانات وتحليلها وإثرائها قبل إعادة توجيهها إلى Elasticsearch أو أنظمة أخرى.

التحقق من خدمة تسجيل دخول ISE واستكشاف أخطائها وإصلاحها

1. لا يوجد تصحيح أخطاء محدد ليتم تمكينه. ومع ذلك، يوفر show logging application ise-logstash/logstash.log رؤى حول حالة الخدمة. 

2. يجب أن يساعد تعطيل خدمة تحليلات السجل وإعادة تمكينها في ISE. انتقل إلى العمليات > النظام 360 > الإعدادات > تحليلات السجل ( تعطيل والتمكين باستخدام خيار التبديل). 

العيوب المعروفة المرتبطة بخدمة Logstash

معرف تصحيح الأخطاء · من Cisco 74832

معرف تصحيح الأخطاء من Cisco ·58596

خدمة ISE Kibana

خدمة ISE Kibana هي مكون يدمج كيبانا، وهي أداة لعرض البيانات مفتوحة المصدر، مع تسجيل ISE والبنية الأساسية للمراقبة. وتعمل كيبانا جنبا إلى جنب مع Elasticsearch (الذي يقوم بتخزين وفهارس بيانات السجل) لتوفير نظام أساسي قوي لتصوير سجلات ISE ومقاييس الأداء والبحث فيها وتحليلها. 

السمات والوظائف الرئيسية لخدمة ISE Kibana

1. عرض البيانات: تتيح خدمة ISE Kibana للمسؤولين إنشاء تمثيلات بصرية لبيانات السجل التي تم تجميعها من ISE. ويمكن أن يشمل ذلك ما يلي:

• المخططات والرسوم البيانية والجداول الخاصة بالاتجاهات في المصادقة وإنفاذ السياسات ونشاط المستخدم وسلامة النظام.
• المخططات الدائرية والرسومات البيانية الخطية والمخططات الشريطية لتعقب مقاييس معينة مثل عدد عمليات تسجيل الدخول الفاشلة أو مدة جلسة العمل أو الأخطاء عبر الوقت.

التحقق من خدمة Troublhsoot ISE Kibana وتخطيطها

1. إذا لم تكن خدمة ISE Kibana قيد التشغيل، قم بتعطيل تحليلات السجل وإعادة تمكينها في ISE، انتقل إلى العمليات > System 360 > الإعدادات، تحليلات السجل ( قم بتعطيل وتمكين باستخدام خيار التبديل).

2. في العديد من السيناريوهات، يمكن أن يكون هناك إدخال متكرر في المجلد /إلخ/المضيف يجب أن يتسبب في حدوث مشكلة. اتصل ب TAC لإزالة الإدخال المكرر. 

عيوب معروفة تتعلق بقضية كيبانا

معرف تصحيح الأخطاء · من Cisco 78050

معرف تصحيح الأخطاء من Cisco ·59848

ملاحظة: عند تمكين تحليلات السجل، يجب أن تعمل ISE MNT LogAnalytics Elasticsearch، خدمة ISE Logstash، خدمة ISE Kibana وتعطل أي من هذه الخدمات على خلق مشاكل أثناء جمع البيانات.

خدمة ISE الأصلية IPSec

تشير خدمة ISE الأصلية IPSec إلى الدعم المدمج ل IPSec (أمان بروتوكول الإنترنت)، والذي يوفر اتصالا آمنا بين عقد ISE أو بين ISE وأجهزة الشبكة الأخرى. IPSec هي مجموعة من البروتوكولات المستخدمة لتأمين إتصالات الشبكة من خلال مصادقة كل حزمة IP وتشفيرها في جلسة اتصال.تعد خدمة IPSec الأصلية جزءا من إطار إدارة الوصول إلى الشبكة والأمان الأوسع نطاقا. وهو يوفر إمكانات لمعالجة إتصالات VPN IPsec وإدارتها، مما يضمن أمان البيانات التي يتم إرسالها بين نظام ISE ونقاط النهاية البعيدة. وقد يتضمن هذا تفاعلات مع أجهزة العميل أو أجهزة الوصول إلى الشبكة (مثل الموجهات أو جدران الحماية)، أو حتى عقد ISE الأخرى، حيث يكون تشفير IPsec وإنشاء قنوات الاتصال النفقي ضروريين لتأمين المعلومات الحساسة.

الميزات والوظائف الرئيسية لخدمة ISE الأصلية IPSec

1. الاتصال الآمن عبر IPsec: تتمثل الوظيفة الأساسية لخدمة ISE الأصلية IPSec في إنشاء قنوات اتصال آمنة وصيانتها باستخدام IPsec. ويتضمن ذلك إستخدام آليات التشفير والمصادقة لضمان حماية البيانات المنقولة بين خدمات الهوية (ISE) والأجهزة الأخرى من الاعتراض والعبث والوصول غير المصرح به.

2. اتصال VPN ل IPsec: تساعد خدمة ISE Native IPSec على تسهيل إتصالات VPN التي تستخدم بروتوكول IPsec لتوفير نفق آمن ومشفر لنقل البيانات. ويعد هذا مفيدا بشكل خاص للعمال عن بعد أو المكاتب الفرعية أو المواقع الأخرى التي تحتاج إلى الوصول بشكل آمن إلى بيئة ISE عبر الشبكات غير الموثوق بها (مثل الإنترنت).

3. دعم شبكة VPN للوصول عن بعد: يمكن مشاركة خدمة IPSec الأصلية في تكوينات الشبكة الخاصة الظاهرية (VPN) للوصول عن بعد، حيث يتصل المستخدمون أو الأجهزة الموجودة خارج الموقع (مثل الموظفين عن بعد أو المكاتب الفرعية) بشكل آمن بنظام ISE عبر أنفاق IPsec. تضمن هذه الخدمة تشفير حركة مرور الوصول عن بعد ومصادقة بياناتها قبل الوصول إلى بيئة ISE.

4.توافق عميل VPN ل IPsec: تضمن خدمة ISE الأصلية IPSec التوافق مع عملاء VPN ل IPsec. وهو يدعم عمليات التهيئة الشائعة للأجهزة العميلة، مما يعمل على تمكين الأجهزة من الاتصال بالشبكة بأمان دون تعريض البيانات الحساسة للمخاطر.

التحقق من خدمة IPSec الأصلية واستكشاف أخطائها وإصلاحها

1. لا توجد أخطاء معينة تم تمكينها لخدمة IPSec الأصلية. تحقق من السجلات باستخدام واجهة سطر الأوامر (CLI) الخاصة show logging application strongswan/charon.log tail من خلال واجهة سطر الأوامر (CLI) الخاصة ب ISE.

2. إذا تم ملاحظة أي مشكلة للنفق، فتحقق من حالة إنشاء النفق عبر GUI > الإدارة > النظام > الإعدادات > البروتوكولات > IPSec > IPSec الأصلي.

منشئ ملفات تعريف MFC

MFC Profiler هو مكون متخصص يستخدم لتصنيف أجهزة الشبكة ونقاط النهاية. يعد إنشاء ملفات التعريف جزءا أساسيا من التحكم في الوصول إلى الشبكة، حيث يسمح لإدارة خدمات الإنترنت (ISE) بتعريف الأجهزة الموجودة على الشبكة وتصنيفها وتطبيق سياسات الشبكة المناسبة استنادا إلى نوع الجهاز والسلوك.                       

الميزات والوظائف الرئيسية لخدمة منشئ ملفات تعريف MFC في ISE

1. تحديد حركة المرور: خدمة MFC Profiler في ISE مسؤولة عن تجميع بيانات حركة مرور البيانات وتنميطها. وهو يراقب كيفية تصرف نقاط النهاية على الشبكة، بما في ذلك أنواع التطبيقات التي يتم إستخدامها والخدمات التي يتم الوصول إليها وأنماط حركة المرور التي يتم عرضها بواسطة الأجهزة. تساعد هذه البيانات في إنشاء ملف تعريف لكل نقطة نهاية.

2. تنميط نقطة النهاية: تتيح خدمة Profiler ل MFC ل ISE تحديد نقاط النهاية وتصنيفها استنادا إلى سلوكها. على سبيل المثال، إنها تكتشف ما إذا كانت نقطة النهاية عبارة عن طابعة أو كمبيوتر أو جهاز محمول استنادا إلى أنماط حركة مرور البيانات. ويمكن أن يساعد ذلك على فرض سياسات أكثر تحديدا لأنواع مختلفة من الأجهزة، مما يحسن الأمان وكفاءة التشغيل.

التحقق من خدمة منشئ ملفات تعريف MFC واستكشاف أخطائها وإصلاحها

1. انتقل إلى واجهة المستخدم الرسومية (GUI) ISE -> الإدارة -> إنشاء ملفات التعريف -> قواعد إنشاء ملفات التعريف و AI الخاصة ب MFC، تحقق مما إذا كانت الخدمة ممكنة. 

2. إذا تم تمكين الخدمة ولكن يتم عرضها كمعطل / لا يتم تشغيلها عبر الأمر show application status ise في ISE CLI. قم بتعطيل خدمة إنشاء ملفات التعريف ل MFC في ISE وإعادة تمكينها عن طريق الإشارة إلى الخطوة 1.

تصحيح أخطاء مفيد لاستكشاف الأخطاء وإصلاحها : مكون منشئ ملفات تعريف MFC في تصحيح الأخطاء. يمكن التحقق من السجلات من حزمة الدعم أو تذيلها باستخدام الأمر show logging application ise-pi-profiler.log tail عبر واجهة سطر الأوامر (CLI) الخاصة ب ISE.

عيب معروف لمنشئ ملفات تعريف MFC الذي يظهر ليس قيد التشغيل بدلا من حالة التعطيل:

معرف تصحيح الأخطاء · من Cisco 72853

النقاط الرئيسية

1. لاسترداد الخدمات، قم بإعادة تشغيل الخدمات باستخدام أوامر إيقاف تشغيل التطبيقات وبدء تشغيل التطبيق عبر واجهة سطر الأوامر (CLI) الخاصة ب ISE.

2. عند وجود مشكلة، تأكد من وجود حزمة دعم يتم الحصول عليها من واجهة سطر الأوامر (CLI) الخاصة بواجهة المستخدم الرسومية (ISE) / واجهة سطر الأوامر (ISE) لمزيد من التحقق من المشكلة. إرتباط مرجعي لإنشاء حزمة دعم ISE عبر GUI و CLI: تجميع حزمة الدعم على محرك خدمات الهوية

3. إذا كانت المشاكل مرتبطة بالموارد ومتوسط التحميل واستخدام القرص وما إلى ذلك، فمن الضروري تجميع عملية تفريغ مؤشر الترابط وتفريغ كومة الذاكرة المؤقتة للتحليل. 

4. قبل إجراء إعادة تحميل العقدة، اتصل ب Cisco TAC ووفر سجلات آمنة لمزيد من التحليل. 

المخاوف القياسية في ISE

وبصرف النظر عن المشكلات المتعلقة بخدمات ISE، فإن هذه هي بعض المخاوف الموجودة في عقد ISE إلى جانب الخطوات الأساسية المطلوبة لاستكشاف الأخطاء وإصلاحها.

التحقق من متوسط الحمل العالي ومشاكل إستخدام الموارد (وحدة المعالجة المركزية / الذاكرة / القرص) والموارد غير الكافية

1. تحقق من تخصيص الموارد الموصى بها من Cisco للعقدة باستخدام الأمر show inventory عبر واجهة سطر الأوامر (CLI) الخاصة ب ISE.

2. من واجهة سطر الأوامر (CLI) لعقدة ISE، قم بتشغيل الأمر tech top للتحقق من إستخدام الموارد ل ISE.

3. تحقق من إستخدام القرص باستخدام الأمر show disk عبر واجهة سطر الأوامر (CLI) الخاصة ب ISE.

4. قم بإزالة نقاط النهاية غير النشطة، ومسح القرص المحلي للعقدة، وإجراء عمليات تنظيف الترقية.

إن يبقى الإصدار، اتصل ب cisco TAC ووفر ال يأمن دعم حزمة، كومة تخديد وخيط عملية تفريغ من العقدة أي يكون واجهت الإصدار. 

لتأمين عملية تفريغ كومة الذاكرة المؤقتة، قم بتسجيل الدخول إلى واجهة سطر الأوامر (CLI) لعقدة ISE، قم بتشغيل الأمر application configure ise. حدد الخيار 22.

لتأمين عملية تفريغ مؤشر الترابط، قم بتسجيل الدخول إلى واجهة سطر الأوامر (CLI) لعقدة ISE، ثم قم بتشغيل الأمر application configure ise ، وحدد الخيار 23. يتم تضمين عملية تفريغ مؤشر الترابط في حزمة الدعم أو يمكن تتابعها عبر واجهة سطر الأوامر (CLI) الخاصة ب ISE باستخدام الأمر show logging application appserver/catalina.out.

التحقق من مشاكل المراقبة واستكشاف أخطائها وإصلاحها

تعد وظيفة المراقبة واستكشاف الأخطاء وإصلاحها (MnT) التي يقوم بها محرك خدمات الهوية (ISE) واحدة من المكونات الرئيسية لبنية محرك خدمات الهوية (ISE) التي توفر إمكانات المراقبة وإعداد التقارير والتنبيه.

يعرض ISE معلومات المراقبة في العديد من الأماكن، بما في ذلك: 

• الصفحة الرئيسية ل Cisco ISE
• طرق عرض رؤية السياق
• سجلات RADIUS المباشرة وجلسات العمل المباشرة
• بحث عمومي
• السجلات الحية ل NAC المرتكزة على التهديد
• سجلات TACACS المباشرة

المسائل العامة التي لوحظت في فئة الرصد واستكشاف الأخطاء وإصلاحها:

1. لا تتوفر سجلات RADIUS/ TACACS Live
2. جلسات العمل المباشرة غير متوفرة
3. ملخص الصحة غير متوفر
4. مشكلات الأداء (وحدة المعالجة المركزية (CPU)/الذاكرة) التي تظهر على عقد MNt)

تصحيح الأخطاء المطلوب تمكينها على عقد MnT لتقليل المشكلة:

1. Cisco-MNT
2. مجمع
3. CPM-MNT
4. تسجيل وقت التشغيل

بالإضافة إلى المكونات المذكورة في تصحيح الأخطاء، يمكن أن تساعد هذه المعلومات في أستكشاف الأخطاء وإصلاحها:

1. هل تتأثر جلسات العمل المباشرة أيضا أو السجلات الحية فقط؟
2. هل تتأثر سجلات RADIUS أو TACACS أو كلاهما؟
3. هل ترى نسبة إستخدام عالية لوحدة المعالجة المركزية (CPU) أو إستخدام مساحة تبادل كبيرة على عقد MnT؟
4. كم ملف مخزن مؤقت سترى على عقد MnT. يمكن العثور على ملفات المخزن المؤقت ضمن: /opt/CSCOcpm/mnt/data/collector. 
5. هل تم تمكين حجوزات وحدة المعالجة المركزية (CPU) والذاكرة، إذا لم يتم تمكينها.
6. هل تمت إعادة تعيين MnT/config/session DB في الماضي القريب؟
7. هل ترى syslogs يتم إرسالها من PSN إلى عقد MnT؟

إذا كنت تستخدم خدمات syslog ل MnT، فإن هذه المعلومات مطلوبة لغرض أستكشاف الأخطاء وإصلاحها:

1. هل تستخدم هدف syslog الآمن، إذا لم تكن ترغب في تعطيله كما هو معروف بأنه يتسبب في حدوث حالات الإيقاف المؤقت في مؤشرات الترابط مما يؤدي إلى توقف مجمع البيانات عن العمل؟
2. هل تستخدم هدف syslog الآمن، فتأكد من تعيين الثقة بشكل صحيح تحت الإدارة->التسجيل->أهداف التسجيل عن بعد->مجمع Syslog الآمن 1 و 2
3. تحقق مما إذا كانت فئات التسجيل يتم تعيينها بشكل صحيح (يوصى بإزالة فئات التسجيل غير المستخدمة/غير المرغوب فيها- يؤدي ذلك إلى تقليل الحمل على عقد MnT) ويتم تكوين أهداف التسجيل بشكل صحيح.
4. تحقق من ملفات awrrep*.html من حزمة الدعم لفهم والحصول على تلميح حول ما المكون الذي يرسل المزيد من syslog المتكررة على سبيل المثال إذا كانت جداول TACACS يتم رؤيتها مع استعلامات الإدراج أو التحديث، فيمكننا التحقق من سجلات المجمع لربطها لفهم syslog التي يتم إرسالها بشكل أكثر تواترا

إذا كانت المشكلة متعلقة بالأداء على عقدة MnT، فنحن بحاجة إلى هذه المعلومات:

1. أفضل مخرجات التقنية من واجهة سطر الأوامر (CLI) الخاصة ب ISE لعقدة MnT.

2. إذا كانت وحدة المعالجة المركزية (CPU) مرتفعة، فهل ترى أيضا سعة ذاكرة كبيرة أو إستخدام مساحة تبادل كبيرة؟

3. مجموعة الدعم مع تأمين تفريغ كومة الذاكرة المؤقتة وتفريغ مؤشر الترابط.

المرجع

• دليل مسؤول محرك خدمات الهوية من Cisco، الإصدار 3.3
• أستكشاف أخطاء ISE وإصلاحها وتمكين تصحيح الأخطاء