تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يصف هذا المستند إستخدام وتكوين تلميحات أستكشاف المشكلات وإصلاحها الخاصة بتدفق الوضع دون إعادة التوجيه.
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
من أجل فهم أفضل للمفاهيم الموصوفة لاحقا، يوصى بالمرور بما يلي:
قارن تدفق إعادة توجيه ISE Posture (وضعية محرك خدمات الهوية (ISE)) بتدفق غير قابل لإعادة التوجيه من ISE
أستكشاف أخطاء إدارة جلسة ISE ووضعية محرك خدمات الهوية (ISE) وإصلاحها
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
يتكون تدفق ISE Posture (وضعية محرك خدمات الهوية (ISE)) من الخطوات التالية:
0. المصادقة/التخويل. يتم بشكل عام مباشرة قبل بدء تدفق الوضع ولكن يمكن تجاوزه في حالات إستخدام معينة مثل إعادة تقييم الوضع (PRA).
بما أن المصادقة نفسها لا تطلق اكتشاف الوضع، فإن هذا لا يعتبر ضروريا لكل تدفق وضعية.
يركز هذا المستند على عملية اكتشاف تدفق وضعية ISE.
cisco يوصي أن يستعمل redirection ل الإكتشاف عملية، ومع ذلك، هناك حالات معينة حيث لا يمكن إعادة التوجيه أن ينفذ مثل إستخدام طرف ثالث شبكة أداة حيث إعادة التوجيه غير مدعوم. يهدف هذا المستند إلى توفير توجيه عام وأفضل الممارسات لتنفيذ الوضعية التي لا تحتاج إلى إعادة توجيه في هذه البيئات واستكشاف أخطائها وإصلاحها.
يتم وصف الوصف الكامل للتدفق عديم الإتجاه في تدفق إعادة توجيه وضع ISE للمقارنة إلى وضع ISE لتدفق لا يحتاج إلى توجيه
هناك نوعان من مستكشفات الوضع التي لا تستخدم إعادة التوجيه:
ConnectionData.xml هو ملف تم إنشاؤه وصيانته تلقائيا بواسطة Cisco Secure Client. وهو يتكون من قائمة بشبكات PSN التي نجح العميل في الاتصال بها للوضعية، وبالتالي، هذا هو الملف المحلي فقط ومحتوياته غير ثابتة عبر جميع نقاط النهاية.
والغرض الرئيسي من ConnectionData.xml هو العمل كآلية نسخ إحتياطي لكل من عمليات أستكشاف المرحلة الأولى والثانية. في حالة تعذر العثور على مستكشفات Redirection أو Call Home List على PSN بجلسة عمل نشطة، يرسل Cisco Secure Client طلبا مباشرا إلى كل خادم من الخوادم المدرجة في ConnectionData.xml.
مستكشفات المرحلة 1
مستكشفات المرحلة 2
هناك مشكلة شائعة ناجمة عن إستخدام إختبارات ConnectionData.xml وهي الحمل الزائد لنشر ISE بسبب وجود عدد كبير من طلبات HTTPS التي تم إرسالها بواسطة نقاط النهاية. من المهم إعتبار أنه في حين أن ConnectionData.xml فعال كآلية نسخ إحتياطي لتجنب حالات انتهاء الصلاحية الكاملة لكل من آليات إعادة التوجيه والوضعية غير القابلة لإعادة التوجيه، فإنه ليس حلا مستداما لبيئة الوضع، وبالتالي، من الضروري تشخيص مشاكل التصميم والتكوين التي تتسبب في فشل إختبارات الاكتشاف الرئيسية والتي ينتج عنها مشاكل في الاكتشاف وحلها.
Call Home List هو قسم من ملف تعريف الوضع حيث تم تحديد قائمة من PSNs ليتم إستخدامها للوضع. وعلى عكس ConnectionData.xml، يتم إنشاء هذا الإجراء وصيانته بواسطة مسؤول ISE ويمكن أن يتطلب مرحلة تصميم للحصول على التكوين الأمثل. تطابق قائمة شبكات PSN في "قائمة الاتصال بالمنزل" قائمة خوادم المصادقة والمحاسبة التي تم تكوينها في جهاز الشبكة أو موازن التحميل ل RADIUS.
يمكن Call Home List Probe إستخدام بحث MnT أثناء البحث في جلسة العمل النشطة في حالة فشل البحث المحلي في PSN. وتمتد الوظيفة نفسها إلى مسابر ConnectionData.xml فقط عند إستخدامها أثناء اكتشاف المرحلة 2. ولهذا السبب، يشار أيضا إلى جميع مستكشفات المرحلة 2 باسم مستكشفات الجيل الجديد.
تدفق بحث MNt
ونظرا لأن عملية الاكتشاف دون توجيه غالبا ما تستلزم تدفقا أكثر تعقيدا وكمية أكبر من المعالجة على شبكات PSN وشبكة MnT مقارنة بتدفق إعادة التوجيه، فهناك تحديان مشتركان يمكن أن يظهرا أثناء التنفيذ:
للتعامل مع هذه التحديات، يوصى بتصميم قائمة الاتصال بالمنزل للحد من عدد شبكات PSN التي يمكن لنقطة نهاية معينة إستخدامها للوضع. بالنسبة لعمليات النشر المتوسطة والكبيرة، من الضروري توزيع النشر لإنشاء قوائم المكالمات الرئيسية المتعددة ذات عدد أقل من شبكات PSN، وبالتالي يمكن تقييد قائمة شبكات PSN المستخدمة لمصادقة RADIUS لجهاز شبكة معين بنفس الطريقة لمطابقة قائمة المكالمات الرئيسية المقابلة.
ويمكن أخذ هذه الجوانب بعين الاعتبار عند تطوير إستراتيجية توزيع الشبكات الخاصة لتحديد الحد الأقصى لعدد الشبكات الخاصة في كل قائمة "الاتصال بالمنزل":
مثال: توزيع PSN لوضعية غير قابلة لإعادة التوجيه
تلميح: أستخدم مجموعات أجهزة الشبكة لتصنيف أجهزة الشبكة وفقا للتصميم.
يمكن إستخدام مجموعات أجهزة الشبكة للتعرف على أجهزة الشبكة ومطابقتها باستخدام قائمة خوادم RADIUS المطابقة لها وقائمة الاتصال بالمنزل. في حالة البيئات المختلطة، يمكن إستخدامها أيضا لتحديد الأجهزة التي تدعم إعادة التوجيه من الأجهزة التي لا تدعم.
إذا كانت إستراتيجية التوزيع التي تم تطويرها أثناء مرحلة التصميم تعتمد على مجموعات أجهزة الشبكة، فاتبع الخطوات التالية لتكوينها على ISE:
في الأمثلة المستخدمة في هذا الدليل، يتم إستخدام مجموعة أجهزة تحديد الموقع لتحديد قائمة خوادم RADIUS وقائمة الاتصال بالمنزل، ويتم إستخدام مجموعة أجهزة الوضع المخصص لتعريف إعادة التوجيه من أجهزة الوضع غير القابلة لإعادة التوجيه.
مجموعات أجهزة الشبكة
تكوين جهاز الشبكة
هناك طريقتان لتزويد العميل بالبرنامج المناسب وملف التعريف المناسب لأداء الوضعية في بيئة غير قابلة لإعادة التوجيه:
ملاحظة: ارجع إلى الخطوة 4 من قسم سياسة إمداد العميل للحصول على تعليمات حول كيفية التحقق من منفذ بوابة إمداد العميل إذا لزم الأمر.
تحذير: تأكد من أن نفس ملفات Cisco Secure Client موجودة أيضا على المنافذ التي تخطط للاتصال بها: جدار الحماية الآمن ASA و ISE وهكذا. حتى عند إستخدام الإمداد اليدوي، يجب تكوين ISE لتوفير العميل باستخدام إصدار البرنامج المطابق. ارجع إلى قسم تكوين سياسة تزويد العميل للحصول على تعليمات تفصيلية.
محتويات حزمة النشر المسبق ل Cisco Secure Client
مثبت العميل الآمن من Cisco
تلميح: تثبيت "أداة التشخيص وإعداد التقارير" التي سيتم إستخدامها لأغراض أستكشاف الأخطاء وإصلاحها.
يمكن إستخدام مدخل إمداد عميل ISE لتثبيت وحدة Cisco Secure Client ISE Posture Module وملف تعريف الوضع من ISE، كما يمكن إستخدامه لدفع ملف تعريف الوضع وحده إذا كان وحدة ISE Posture النمطية مثبتة بالفعل على العميل.
ملاحظة: لاستخدام FQDN الخاص بالمدخل، يجب أن يحتوي العملاء على سلسلة شهادات مسؤول PSN بالإضافة إلى سلسلة شهادات المدخل المثبتة في المخزن الموثوق به، كما يجب أن تحتوي شهادة المسؤول على FQDN الخاص بالمدخل في حقل شبكة التخزين (SAN).
يجب تكوين إمداد العميل على ISE بغض النظر عن نوع الإمداد (النشر المسبق أو النشر عبر الويب) الذي يتم إستخدامه لتثبيت Cisco Secure Client على نقاط النهاية.
تحذير: إذا تم نشر Cisco Secure Client مسبقا على العملاء، فتأكد من تطابق الإصدار الموجود على ISE مع الإصدار الموجود على نقاط النهاية. إذا تم إستخدام ASA أو FTD لنشر الويب، يمكن أن يتطابق الإصدار الموجود على هذا الجهاز كذلك.
ملاحظة: في حالة قوائم "الاتصال بالمنزل" المتعددة، أستخدم حقل الشروط الأخرى لدفع ملف التعريف الصحيح إلى العملاء المتفقين. في هذا المثال، يتم إستخدام "مجموعة مواقع الأجهزة" لتحديد ملف تعريف الوضع الذي يتم دفعه في النهج.
تلميح: إذا تم تكوين سياسات توفير عملاء متعددة لنفس نظام التشغيل، فمن المستحسن أن تكون هذه السياسات خاصة بشكل متبادل، أي أن العميل المحدد يمكنه فقط تنفيذ سياسة واحدة في كل مرة. يمكن إستخدام سمات RADIUS تحت عمود شروط أخرى للتمييز بين سياسة وأخرى.
تهيئة DACL
permit udp any any eq domain
permit udp any any eq bootps
permit ip any host
permit ip any host
deny ip any any
تحذير: لا يمكن لبعض أجهزة الطرف الثالث دعم قوائم التحكم في الوصول إلى النقل (DACLs)، في مثل هذه الحالات من الضروري إستخدام معرف عامل التصفية أو سمات المورد المحددة الأخرى. راجع وثائق المورد للحصول على مزيد من المعلومات. إذا لم يتم إستخدام قوائم التحكم في الوصول للبنية الأساسية (DACL)، فتأكد من تكوين قائمة التحكم في الوصول (ACL) المطابقة في جهاز الشبكة.
ملاحظة: إذا لم يتم إستخدام قوائم التحكم في الوصول الخاصة بالمنفذ (DACL)، فاستخدم Filter-ID من المهام المشتركة أو إعدادات السمة المتقدمة للضغط على اسم قائمة التحكم في الوصول (ACL) المقابل.
يمكن أن يؤدي وجود جلسات عمل وهمية في النشر إلى إنشاء حالات فشل متقطعة وعشوائية على ما يبدو مع اكتشاف الوضع غير القابل لإعادة التوجيه مما يؤدي إلى إحتجاز المستخدمين في وضع غير معروف/غير قابل للتطبيق على ISE بينما تظهر واجهة مستخدم Cisco Secure Client وصول متوافق.
جلسات العمل القديمة هي جلسات قديمة لم تعد نشطة. يتم إنشاؤها بواسطة طلب مصادقة وبداية محاسبة، ولكن لا يتم تلقي أي توقف محاسبي على PSN لمسح الجلسة.
الجلسات الوهمية هي جلسات لم تكن نشطة في الواقع في شبكة PSN معينة. يتم إنشاؤها بواسطة تحديث مؤقت للمحاسبة، ولكن لا يتم تلقي أي توقف محاسبي على PSN لمسح الجلسة.
لتحديد مشكلة في جلسة عمل وهمية/وهمية، تحقق من PSN المستخدم في مسح النظام على العميل وقارن مع PSN الذي يقوم بتنفيذ المصادقة:
تقوم إصدارات ISE بعد تصحيح ISE 2.6 و 2.7 تصحيح 3 بتطبيق دليل جلسة RADIUS كحل لسيناريو جلسة العمل البسيطة/الوهمية في تدفق تموضع بدون إتجاه.
ملاحظة: تشير هذه الخدمة إلى طريقة الاتصال التي يتم إستخدامها ل RSD بين شبكات PSN ويمكن تشغيلها بغض النظر عن حالة إعداد خدمة ISE Messaging ل syslog التي يمكن تعيينها من واجهة مستخدم ISE.
ملاحظة: من المتوقع مراقبة عمليات التنبيه بخطأ إرتباط قائمة الانتظار التي تتسبب في رفض CA أو Econnrejected غير معروف أثناء إعادة إنشاء الشهادات. مراقبة التنبيهات بعد إنشاء الشهادة لتأكيد حل المشكلة.
قد تؤثر مشاكل الأداء مثل الاستخدام العالي لوحدة المعالجة المركزية (CPU) ومتوسط الحمل المرتفع المرتبط بوضعية عدم التوجيه على PSN وكذلك عقد MnT، وغالبا ما تكون مصحوبة أو مسبوقة بهذه الأحداث:
وإذا تأثر أداء النشر بوضعية عدم التوجيه، فإن ذلك غالبا ما يدل على عدم فعالية التنفيذ. ويوصى بتنقيح هذه الجوانب:
للتخفيف من التأثير:
تعد عملية محاسبة RADIUS ضرورية لإدارة جلسات العمل على ISE. نظرا لأن الوضع يعتمد على جلسة عمل نشطة ليتم تنفيذها، فإن التكوين المحاسبي غير الصحيح أو عدم تكوينه يمكن أن يؤثر أيضا على اكتشاف الوضع وأداء ISE. من المهم التحقق من تكوين عملية المحاسبة بشكل صحيح على جهاز الشبكة لإرسال طلبات المصادقة وبدء عملية المحاسبة وتوقف عملية المحاسبة وتحديثات عملية المحاسبة إلى PSN واحد لكل جلسة عمل.
للتحقق من الحزم المحاسبية المستلمة على ISE، انتقل إلى العمليات > تقارير > تقارير > نقاط النهاية والمستخدمين > محاسبة RADIUS.
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
2.0 |
07-Jul-2025
|
عنوان محدث، نص بديل، إخلاء المسؤولية القانوني، ترجمة آلية، متطلبات النمط، روابط الهدف، تسميات توضيحية للصورة (عندما يكون الملف متاحا، التنسيق. |
1.0 |
24-Jul-2023
|
الإصدار الأولي |