In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument werden die Verwendung und Konfiguration eines umleitungslosen Statusflusses und Tipps zur Fehlerbehebung beschrieben.
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
Für ein besseres Verständnis der später beschriebenen Konzepte wird empfohlen, folgende Schritte durchzuführen:
ISE-Statusumleitungsfluss mit ISE-Statusumleitungslosem Fluss vergleichen
Fehlerbehebung bei ISE-Sitzungsmanagement und Status
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Der ISE-Statusablauf umfasst die folgenden Schritte:
0. Authentifizierung/Autorisierung Wird in der Regel unmittelbar vor Beginn des Status-Flows durchgeführt, kann aber in bestimmten Anwendungsfällen wie der Statusüberprüfung (PRA) umgangen werden.
Da die Authentifizierung selbst keine Statuserkennung auslöst, wird dies nicht bei jedem Statusfluss als wesentlich erachtet.
Dieses Dokument konzentriert sich auf den Erkennungsprozess des ISE-Statusflusses.
Cisco empfiehlt, die Umleitung für den Erkennungsprozess zu verwenden. In einigen Fällen ist jedoch eine Umleitung nicht möglich, z. B. bei der Verwendung von Netzwerkgeräten von Drittanbietern, bei denen die Umleitung nicht unterstützt wird. Dieses Dokument bietet eine allgemeine Anleitung und Best Practices für die Implementierung und Fehlerbehebung von umleitungslosen Zuständen in solchen Umgebungen.
Die vollständige Beschreibung des umleitungslosen Datenflusses finden Sie unter ISE-Statusumleitungsfluss mit ISE-Statusumleitungslosen Datenfluss vergleichen.
Es gibt zwei Arten von Statusermittlungssonden, die keine Umleitung verwenden:
Connectiondata.xml ist eine Datei, die vom Cisco Secure Client automatisch erstellt und verwaltet wird. Es besteht aus einer Liste von PSNs, mit denen der Client zuvor eine Verbindung für Statusfragen hergestellt hat. Daher handelt es sich hierbei nur um eine lokale Datei, deren Inhalt nicht auf allen Endpunkten dauerhaft ist.
Der Hauptzweck von connectionData.xml besteht darin, als Sicherungsmechanismus für Erkennungssonden der Phasen 1 und 2 zu fungieren. Falls die Weiterleitungs- oder Call Home List-Diagnosetools ein PSN mit einer aktiven Sitzung nicht finden können, sendet der Cisco Secure Client eine direkte Anforderung an jeden der in connectionData.xml aufgeführten Server.
Erkennungssonden der Stufe 1
Erkennungssonden der Stufe 2
Ein häufiges Problem, das durch die Verwendung von connectionData.xml-Tests verursacht wird, ist eine Überlastung der ISE-Bereitstellung aufgrund einer großen Anzahl von HTTPS-Anforderungen, die von den Endpunkten gesendet werden. Es ist wichtig zu beachten, dass connectionData.xml zwar als Backup-Mechanismus wirksam ist, um vollständige Ausfälle sowohl für Umleitungs- als auch für umleitungslose Statusmechanismen zu vermeiden, jedoch keine nachhaltige Lösung für eine Statusumgebung darstellt. Daher ist es erforderlich, die Design- und Konfigurationsprobleme zu diagnostizieren und zu beheben, die den Ausfall der Haupterkennungssonden verursachen und zu Erkennungsproblemen führen.
Die Call Home List (Liste der Anrufer-Standorte) ist ein Abschnitt des Statusprofils, in dem eine Liste von PSNs zur Verwendung für die Statusanzeige festgelegt ist. Im Gegensatz zu connectiondata.xml wird diese Datei von einem ISE-Administrator erstellt und verwaltet und kann eine Entwurfsphase für eine optimale Konfiguration erfordern. Die Liste der PSNs in der Call Home-Liste stimmt mit der Liste der Authentifizierungs- und Abrechnungsserver überein, die im Netzwerkgerät oder Load Balancer für RADIUS konfiguriert ist.
Call Home List-Tests ermöglichen die Verwendung einer MnT-Suche während der aktiven Sitzungssuche, falls die lokale Suche in einem PSN fehlschlägt. Dieselbe Funktion gilt nur für die Prüfpunkte connectionData.xml, wenn diese während der Erkennung in Phase 2 verwendet werden. Aus diesem Grund werden alle Sonden der Stufe 2 auch als Sonden der neuen Generation bezeichnet.
MnT-Suchablauf
Da ein umleitungsloser Erkennungsprozess häufig einen komplexeren Datenfluss und eine höhere Verarbeitungsleistung auf PSNs und MnT im Vergleich zu einem Umleitungsfluss erfordert, können sich bei der Implementierung zwei allgemeine Herausforderungen ergeben:
Um diese Herausforderungen zu bewältigen, wird empfohlen, die Call Home-Liste so zu entwerfen, dass die Anzahl der PSNs, die ein Endgerät für den Status verwenden kann, begrenzt wird. Bei mittelgroßen und großen Bereitstellungen muss die Bereitstellung verteilt werden, um mehrere Call Home-Listen mit einer reduzierten Anzahl von PSNs zu erstellen. Daher kann die Liste der PSNs, die für die RADIUS-Authentifizierung für ein bestimmtes Netzwerkgerät verwendet werden, auf die gleiche Weise beschränkt werden, sodass sie mit der entsprechenden Call Home-Liste übereinstimmt.
Diese Aspekte können bei der Entwicklung der PSN-Verteilungsstrategie berücksichtigt werden, um die maximale Anzahl von PSNs in jeder Call Home-Liste zu bestimmen:
Beispiel: PSN-Verteilung für umleitungslosen Status
Tipp: Verwenden Sie Netzwerkgerätegruppen, um die Netzwerkgeräte entsprechend dem Design zu klassifizieren.
Netzwerkgerätegruppen können verwendet werden, um Netzwerkgeräte mit der entsprechenden RADIUS-Serverliste und der Call Home-Liste zu identifizieren. Im Fall von Hybrid-Umgebungen können sie auch verwendet werden, um Geräte zu identifizieren, die die Umleitung von Geräten unterstützen, die dies nicht tun.
Wenn die während der Designphase entwickelte Verteilungsstrategie Netzwerkgerätegruppen verwendet, führen Sie die folgenden Schritte aus, um diese für die ISE zu konfigurieren:
In den in diesem Leitfaden verwendeten Beispielen wird die Location Device Group (Standort-Gerätegruppe) verwendet, um die RADIUS-Serverliste und die Call Home List (Anrufleitliste) zu identifizieren, und eine benutzerdefinierte Posture Device Group (Status-Gerätegruppe) wird verwendet, um die Umleitung von umleitungslosen Statusgeräten zu identifizieren.
Netzwerk-Gerätegruppen
Konfiguration von Netzwerkgeräten
Es gibt zwei Möglichkeiten, den Client mit der richtigen Software und dem richtigen Profil auszustatten, um den Status in einer Umgebung ohne Umleitung auszuführen:
Anmerkung: Im Abschnitt zur Client-Bereitstellungsrichtlinie finden Sie in Schritt 4 Anweisungen zur erforderlichen Überprüfung des Ports im Client-Bereitstellungsportal.
Warnung: Stellen Sie sicher, dass sich die gleichen Cisco Secure Client-Dateien auch auf den Headends befinden, mit denen Sie eine Verbindung herstellen möchten: Secure Firewall ASA, ISE usw. Selbst bei Verwendung der manuellen Bereitstellung muss die ISE für die Client-Bereitstellung mit der entsprechenden Softwareversion konfiguriert werden. Detaillierte Anweisungen finden Sie im Abschnitt Konfiguration der Client-Bereitstellungsrichtlinie.
Paketinhalt vor der Bereitstellung mit Cisco Secure Client
Cisco Secure Client-Installationsprogramm
Tipp: Installieren Sie das Diagnose- und Reporting-Tool, das zur Fehlerbehebung verwendet werden soll.
Das ISE Client Provisioning Portal kann zur Installation des Cisco Secure Client ISE Posture-Moduls und des Statusprofils von der ISE verwendet werden. Es kann auch verwendet werden, um das Statusprofil alleine zu übertragen, wenn das ISE Posture-Modul bereits auf dem Client installiert ist.
Anmerkung: Um den Portal-FQDN nutzen zu können, müssen die Clients sowohl die PSN-Admin-Zertifikatkette als auch die Portal-Zertifikatkette im vertrauenswürdigen Speicher installiert haben, und das Admin-Zertifikat muss den Portal-FQDN im SAN-Feld enthalten.
Die Client-Bereitstellung muss auf der ISE konfiguriert werden, und zwar unabhängig von der Art der Bereitstellung (Pre-Deployment oder Web Deployment), mit der Cisco Secure Client auf den Endpunkten installiert wird.
Warnung: Wenn Cisco Secure Client bereits auf den Clients bereitgestellt wurde, stellen Sie sicher, dass die Version auf der ISE mit der Version auf den Endgeräten übereinstimmt. Wenn ASA oder FTD für die Webbereitstellung verwendet wird, kann die Version auf diesem Gerät ebenfalls übereinstimmen.
Anmerkung: Bei mehreren Call Home-Listen können Sie im Feld Andere Bedingungen das richtige Profil an die entsprechenden Clients senden. In diesem Beispiel wird die Device Location Group verwendet, um das Statusprofil zu identifizieren, das in die Richtlinie eingefügt wird.
Tipp: Wenn mehrere Richtlinien für die Clientbereitstellung für dasselbe Betriebssystem konfiguriert sind, wird empfohlen, diese sich gegenseitig auszuschließen, d. h. ein Client kann jeweils nur eine Richtlinie erreichen. RADIUS-Attribute können in der Spalte Other Conditions (Andere Bedingungen) verwendet werden, um eine Richtlinie von einer anderen zu unterscheiden.
DACL-Konfiguration
permit udp any any eq domain
permit udp any any eq bootps
permit ip any host
permit ip any host
deny ip any any
Vorsicht: Einige Geräte von Drittanbietern unterstützen keine DACLs. In diesem Fall müssen Sie eine Filter-ID oder andere anbieterspezifische Attribute verwenden. Weitere Informationen finden Sie in der Herstellerdokumentation. Wenn keine DACLs verwendet werden, müssen Sie die entsprechende ACL im Netzwerkgerät konfigurieren.
Anmerkung: Wenn keine DACLs verwendet werden, verwenden Sie die Filter-ID aus Allgemeine Aufgaben oder die erweiterten Attributeinstellungen, um den entsprechenden ACL-Namen zu übertragen.
Das Vorhandensein veralteter oder Phantom-Sitzungen in der Bereitstellung kann intermittierende und scheinbar zufällige Fehler mit umleitungsloser Statuserkennung verursachen, die dazu führen, dass Benutzer in einem unbekannten/nicht anwendbaren Status auf der ISE feststecken, während die Benutzeroberfläche des Cisco Secure Client einen konformen Zugriff aufweist.
Veraltete Sitzungen sind alte Sitzungen, die nicht mehr aktiv sind. Sie werden durch eine Authentifizierungsanforderung und einen Accounting-Start erstellt, aber auf dem PSN wird kein Accounting-Stopp empfangen, um die Sitzung zu löschen.
Phantom-Sitzungen sind Sitzungen, die in einem bestimmten PSN nie aktiv waren. Sie werden durch ein Accounting-Interim-Update erstellt, es wird jedoch kein Accounting-Stopp auf dem PSN empfangen, um die Sitzung zu löschen.
Um ein veraltetes/Phantom-Sitzungsproblem zu identifizieren, überprüfen Sie das beim Systemscan auf dem Client verwendete PSN, und vergleichen Sie es mit dem PSN, der die Authentifizierung durchführt:
ISE-Versionen nach ISE 2.6 Patch 6 und 2.7 Patch 3 implementieren RADIUS Session Directory als Lösung für veraltete/Phantom-Sitzungen im umleitungslosen Statusfluss.
Anmerkung: Dieser Service bezieht sich auf die Kommunikationsmethode, die für RSD zwischen PSNs verwendet wird und unabhängig vom Status der ISE Messaging Service-Einstellung für Syslog ausgeführt werden kann, die über die ISE-Benutzeroberfläche festgelegt werden kann.
Anmerkung: Es wird erwartet, dass während der Neugenerierung der Zertifikate Warnungen bei Warteschlangenverbindungsfehlern mit der Ursache Unbekannte Zertifizierungsstelle oder Nicht verweigert erkannt werden. Überwachen Sie die Alarme nach der Zertifikatgenerierung, um sicherzustellen, dass das Problem behoben wurde.
Leistungsprobleme wie eine hohe CPU-Auslastung und ein hoher Lastdurchschnitt im Zusammenhang mit einem umleitungslosen Status können sich auf PSN- und MnT-Knoten auswirken und werden häufig von folgenden Ereignissen begleitet oder ihnen vorangehen:
Wenn die Leistung der Bereitstellung durch einen umleitungslosen Status beeinträchtigt wird, ist dies häufig ein Hinweis auf eine ineffektive Implementierung. Es wird empfohlen, folgende Aspekte zu überarbeiten:
So reduzieren Sie die Auswirkungen:
RADIUS-Accounting ist für das Sitzungsmanagement auf der ISE unverzichtbar. Da der Status von einer aktiven Sitzung abhängt, kann sich eine falsche oder fehlende Accounting-Konfiguration auch auf die Statuserkennung und die ISE-Leistung auswirken. Es ist wichtig zu überprüfen, ob die Abrechnung auf dem Netzwerkgerät korrekt konfiguriert ist, um Authentifizierungsanforderungen, Abrechnungsstart, Abrechnungsstopp und Abrechnungsaktualisierungen für jede Sitzung an einen einzigen PSN zu senden.
Um die auf der ISE empfangenen Abrechnungspakete zu überprüfen, navigieren Sie zu Operations > Reports > Reports > Endpoints and Users > RADIUS Accounting.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
2.0 |
07-Jul-2025
|
Aktualisierter Titel, Alternativer Text, Haftungsausschluss, maschinelle Übersetzung, Stilvorgaben, Zielverknüpfungen, Bildbeschriftungen (wenn eine Datei verfügbar war, Formatierung. |
1.0 |
24-Jul-2023
|
Erstveröffentlichung |