تواجه عمليات نشر ISE 3.4 التصحيح 4 حالات فشل في المصادقة عندما تتعرض عقدة إدارة ثانوية (SAN) لانقطاع. كما فشلت طلبات المصادقة الموجهة إلى عقدة إدارة السياسة الأساسية (PPAN)، مما تسبب في حالات تعطل إتصالات ASA VPN ومصادقة RADIUS. تعرض عقدة شبكة منطقة التخزين (SAN) على أنها غير متصلة في لوحة معلومات نشر ISE، وتشير السجلات إلى أخطاء تتعلق ب EAP/TLS ومشكلات تعقب الجلسات.
محرك خدمات الهوية من Cisco (ISE)
أجهزة الوصول إلى الشبكة (NAD): يتضمن أجهزة Meraki و/أو جدار حماية ASA
المخطط: نشر ISE متعدد العقد مع SAN و PPAN
1.- قم بإزالة جميع الشخصيات من عقدة شبكة التخزين (SAN) عبر واجهة إدارة Cisco ISE من خلال الانتقال إلى الإدارة > النظام > النشر. يؤدي هذا إلى إيقاف محاولات المصادقة للعقدة الفاشلة والسماح للعقد غير المتأثرة باستئناف المعالجة.
ملاحظة: بعد إزالة الأشخاص، تستمر عقدة SAN في العرض كغير متصل (Red X) في لوحة معلومات النشر.
2.- فرض جدار حماية ASA يدويا لاعتبار عقدة SAN فاشلة، مما يمنع توجيه المزيد من محاولات المصادقة إلى شبكة SAN غير المتاحة. يتم تنفيذ هذا الإجراء على تكوين ASA، مما يضمن تجاوز الفشل إلى عقد ISE التشغيلية.
3.- مراجعة نشر خدمة ISE للتزامن المناسب ومراقبة مقاييس السلامة، بما في ذلك وحدة المعالجة المركزية والذاكرة واستخدام الأقراص.
4.- تحقق من تشغيل خدمات المصادقة من خلال التحقق من معالجة طلبات Dot1x و RADIUS الجديدة بواسطة عقد ISE غير المتأثرة.
5.- تجميع سجلات تصحيح الأخطاء والتقاط الحزم أثناء حالات فشل المصادقة لتحليل توقيت تفاوض EAP/TLS وعمليات إعادة ضبط الجلسة.
6.- مواصلة مراقبة مقاييس سلامة نظام ISE وسلوك المصادقة بعد أحداث تجاوز فشل شبكة منطقة التخزين (SAN).
7.- التحقق من سلوك تجاوز فشل Meraki RADIUS، مع ملاحظة أن ISE لا يدعم حزم Status-Server RADIUS لاكتشاف توفر الخادم.
Accounting start was received for non-existing session
Error getting peer certificate from SSL Connection
packet for this endpoint 58-6D-67-XX-XX-XX is being processed right now so drop the new EAP session
Long step latency ;2=57290
Endpoint 58-6D-67-XX-XX-XX abandoned EAP session xxxxxxxxx/552628443/4183334 and started EAP session
السبب الأساسي هو انقطاع عقدة SAN بسبب فشل إرتباط ISP، مما يؤدي إلى عدم تناسق تعقب الجلسة وأخطاء تفاوض EAP/TLS بين المطلوب و NAD و ISE العقد. وبالإضافة إلى ذلك، تعتمد أجهزة Meraki على حزم RADIUS "Status-Server" لاكتشاف تجاوز الفشل، والذي لا يدعمه Cisco ISE، مما يؤدي إلى محاولات المصادقة المستمرة لعقدة SAN الفاشلة.
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
10-Jul-2026
|
الإصدار الأولي |