ISE-Umleitungsloser Status implementieren

Download-Optionen

  • PDF     (2.4 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
Aktualisiert:7. Juli 2025
Dokument-ID:220394

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument werden die Verwendung und Konfiguration eines umleitungslosen Statusflusses und Tipps zur Fehlerbehebung beschrieben.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Statusüberprüfung für ISE
    • Konfiguration von Statuskomponenten auf der ISE
    • Umleitung zu ISE-Portalen

    Für ein besseres Verständnis der später beschriebenen Konzepte wird empfohlen, folgende Schritte durchzuführen:

    ISE-Statusumleitungsfluss mit ISE-Statusumleitungslosem Fluss vergleichen
    Fehlerbehebung bei ISE-Sitzungsmanagement und Status

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Cisco ISE Version 3.3
    • Cisco Secure Client 5.0.01242

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    Der ISE-Statusablauf umfasst die folgenden Schritte:

    0. Authentifizierung/Autorisierung Wird in der Regel unmittelbar vor Beginn des Status-Flows durchgeführt, kann aber in bestimmten Anwendungsfällen wie der Statusüberprüfung (PRA) umgangen werden.

    Da die Authentifizierung selbst keine Statuserkennung auslöst, wird dies nicht bei jedem Statusfluss als wesentlich erachtet.

    1. Erkennung. Prozess, der vom Secure Client ISE Posture-Modul ausgeführt wird, um den PSN-Besitzer der aktuellen aktiven Sitzung zu ermitteln.
    2. Client-Bereitstellung. Von der ISE durchgeführter Prozess zur Bereitstellung des entsprechenden Cisco Secure Client (ehemals AnyConnect) ISE Posture-Moduls und der Versionen des Compliance-Moduls für den Client. In diesem Schritt wird die lokale Kopie des Statusprofils, das in dem jeweiligen PSN enthalten und von diesem signiert ist, ebenfalls an den Client gesendet.
    3. Systemscan. Auf der ISE konfigurierte Statusrichtlinien werden vom Compliance-Modul bewertet.
    4. Problembehebung (optional). Wird bei nicht konformen Statusrichtlinien ausgeführt.
    5. CoA Eine erneute Autorisierung ist erforderlich, um den endgültigen (konformen oder nicht konformen) Netzwerkzugriff zu gewähren.


    Dieses Dokument konzentriert sich auf den Erkennungsprozess des ISE-Statusflusses.

    Cisco empfiehlt, die Umleitung für den Erkennungsprozess zu verwenden. In einigen Fällen ist jedoch eine Umleitung nicht möglich, z. B. bei der Verwendung von Netzwerkgeräten von Drittanbietern, bei denen die Umleitung nicht unterstützt wird. Dieses Dokument bietet eine allgemeine Anleitung und Best Practices für die Implementierung und Fehlerbehebung von umleitungslosen Zuständen in solchen Umgebungen.

    Die vollständige Beschreibung des umleitungslosen Datenflusses finden Sie unter ISE-Statusumleitungsfluss mit ISE-Statusumleitungslosen Datenfluss vergleichen.

    Es gibt zwei Arten von Statusermittlungssonden, die keine Umleitung verwenden:

    1. Connectiondata.xml
    2. Call Home-Liste

    Connectiondata.xml

    Connectiondata.xml ist eine Datei, die vom Cisco Secure Client automatisch erstellt und verwaltet wird. Es besteht aus einer Liste von PSNs, mit denen der Client zuvor eine Verbindung für Statusfragen hergestellt hat. Daher handelt es sich hierbei nur um eine lokale Datei, deren Inhalt nicht auf allen Endpunkten dauerhaft ist.

    Der Hauptzweck von connectionData.xml besteht darin, als Sicherungsmechanismus für Erkennungssonden der Phasen 1 und 2 zu fungieren. Falls die Weiterleitungs- oder Call Home List-Diagnosetools ein PSN mit einer aktiven Sitzung nicht finden können, sendet der Cisco Secure Client eine direkte Anforderung an jeden der in connectionData.xml aufgeführten Server.

    Stage 1 Discovery ProbesErkennungssonden der Stufe 1

    Stage 2 Discovery ProbesErkennungssonden der Stufe 2

    Ein häufiges Problem, das durch die Verwendung von connectionData.xml-Tests verursacht wird, ist eine Überlastung der ISE-Bereitstellung aufgrund einer großen Anzahl von HTTPS-Anforderungen, die von den Endpunkten gesendet werden. Es ist wichtig zu beachten, dass connectionData.xml zwar als Backup-Mechanismus wirksam ist, um vollständige Ausfälle sowohl für Umleitungs- als auch für umleitungslose Statusmechanismen zu vermeiden, jedoch keine nachhaltige Lösung für eine Statusumgebung darstellt. Daher ist es erforderlich, die Design- und Konfigurationsprobleme zu diagnostizieren und zu beheben, die den Ausfall der Haupterkennungssonden verursachen und zu Erkennungsproblemen führen.

    Call Home-Liste

    Die Call Home List (Liste der Anrufer-Standorte) ist ein Abschnitt des Statusprofils, in dem eine Liste von PSNs zur Verwendung für die Statusanzeige festgelegt ist. Im Gegensatz zu connectiondata.xml wird diese Datei von einem ISE-Administrator erstellt und verwaltet und kann eine Entwurfsphase für eine optimale Konfiguration erfordern. Die Liste der PSNs in der Call Home-Liste stimmt mit der Liste der Authentifizierungs- und Abrechnungsserver überein, die im Netzwerkgerät oder Load Balancer für RADIUS konfiguriert ist.

    Call Home List-Tests ermöglichen die Verwendung einer MnT-Suche während der aktiven Sitzungssuche, falls die lokale Suche in einem PSN fehlschlägt. Dieselbe Funktion gilt nur für die Prüfpunkte connectionData.xml, wenn diese während der Erkennung in Phase 2 verwendet werden. Aus diesem Grund werden alle Sonden der Stufe 2 auch als Sonden der neuen Generation bezeichnet.

    MnT Lookup FlowMnT-Suchablauf

    Design

    Da ein umleitungsloser Erkennungsprozess häufig einen komplexeren Datenfluss und eine höhere Verarbeitungsleistung auf PSNs und MnT im Vergleich zu einem Umleitungsfluss erfordert, können sich bei der Implementierung zwei allgemeine Herausforderungen ergeben:

    1. Effektive Erkennung
    2. Leistung der ISE-Bereitstellung

    Um diese Herausforderungen zu bewältigen, wird empfohlen, die Call Home-Liste so zu entwerfen, dass die Anzahl der PSNs, die ein Endgerät für den Status verwenden kann, begrenzt wird. Bei mittelgroßen und großen Bereitstellungen muss die Bereitstellung verteilt werden, um mehrere Call Home-Listen mit einer reduzierten Anzahl von PSNs zu erstellen. Daher kann die Liste der PSNs, die für die RADIUS-Authentifizierung für ein bestimmtes Netzwerkgerät verwendet werden, auf die gleiche Weise beschränkt werden, sodass sie mit der entsprechenden Call Home-Liste übereinstimmt.

    Diese Aspekte können bei der Entwicklung der PSN-Verteilungsstrategie berücksichtigt werden, um die maximale Anzahl von PSNs in jeder Call Home-Liste zu bestimmen:

    • Anzahl der PSNs in der Bereitstellung
    • Hardwarespezifikationen von PSNs und MnT-Knoten
    • Maximale Anzahl gleichzeitiger Statussitzungen in der Bereitstellung
    • Anzahl der Netzwerkgeräte
    • Hybride Umgebungen (gleichzeitige Umleitung und umleitungslose Implementierung des Status)
    • Anzahl der von den Endpunkten verwendeten Adapter
    • Standort von Netzwerkgeräten und PSNs
    • Für Statusservices verwendete Netzwerkverbindungstypen (kabelgebunden, Wireless, VPN)

    Example: PSN Distribution for Redirectionless PostureBeispiel: PSN-Verteilung für umleitungslosen Status

    Tipp: Verwenden Sie Netzwerkgerätegruppen, um die Netzwerkgeräte entsprechend dem Design zu klassifizieren.

    Konfigurieren

    Netzwerk-Gerätegruppen (optional)

    Netzwerkgerätegruppen können verwendet werden, um Netzwerkgeräte mit der entsprechenden RADIUS-Serverliste und der Call Home-Liste zu identifizieren. Im Fall von Hybrid-Umgebungen können sie auch verwendet werden, um Geräte zu identifizieren, die die Umleitung von Geräten unterstützen, die dies nicht tun.

    Wenn die während der Designphase entwickelte Verteilungsstrategie Netzwerkgerätegruppen verwendet, führen Sie die folgenden Schritte aus, um diese für die ISE zu konfigurieren:

    1. Navigieren Sie zu Administration > Network Resources Network Resource Groups.
    2. Klicken Sie auf Hinzufügen, um eine neue Gruppe hinzuzufügen, geben Sie einen Namen an, und wählen Sie ggf. die übergeordnete Gruppe aus.
    3. Wiederholen Sie Schritt 2, um alle erforderlichen Gruppen zu erstellen.


    In den in diesem Leitfaden verwendeten Beispielen wird die Location Device Group (Standort-Gerätegruppe) verwendet, um die RADIUS-Serverliste und die Call Home List (Anrufleitliste) zu identifizieren, und eine benutzerdefinierte Posture Device Group (Status-Gerätegruppe) wird verwendet, um die Umleitung von umleitungslosen Statusgeräten zu identifizieren.

    Network Device GroupsNetzwerk-Gerätegruppen

    Netzwerkgerät

    1. Das Netzwerkgerät kann für RADIUS-Authentifizierung, -Autorisierung und -Accounting konfiguriert werden. Konfigurationsschritte finden Sie in der Dokumentation jedes Anbieters. Konfigurieren Sie die Liste der RADIUS-Server entsprechend der entsprechenden Liste Call Home (Call Home).
    2. Navigieren Sie auf der ISE zu Administration > Network Resources > Network Devices, und klicken Sie auf Add. Konfigurieren Sie die Netzwerk-Gerätegruppen entsprechend dem Design, und aktivieren Sie die RADIUS-Authentifizierungseinstellungen, um den gemeinsamen geheimen Schlüssel zu konfigurieren.

    Network Device ConfigurationKonfiguration von Netzwerkgeräten

    Client-Bereitstellung

    Es gibt zwei Möglichkeiten, den Client mit der richtigen Software und dem richtigen Profil auszustatten, um den Status in einer Umgebung ohne Umleitung auszuführen:

    1. Manuelle Bereitstellung (Pre-Deployment)
    2. Client-Bereitstellungsportal (Webbereitstellung)

    Manuelle Bereitstellung (Vorabbereitstellung)

    • Laden Sie den Cisco Secure Client Profile Editor von Cisco Software Download herunter, und installieren Sie ihn. Profile Editor PackageProfil-Editor-Paket
    • Öffnen Sie den ISE-Statusprofil-Editor:
      • Vergewissern Sie sich, dass Status-Nichtweiterleitungsfluss aktivieren aktiviert ist.
      • Konfigurieren Sie die Servernamen-Regeln getrennt durch Kommas. Wählen Sie eine der folgenden Konfigurationen aus:
        • Ein einzelnes Sternchen (*) für die Verbindung mit einem beliebigen PSN.
        • Platzhalterwerte (z. B. *.aaamex.com), um die Verbindung mit einem beliebigen PSN in bestimmten Domänen zu ermöglichen.
        • Liste der durch Kommas getrennten PSN-FQDNs, um die Verbindung auf bestimmte PSNs zu beschränken. Wenn diese Liste verwendet wird, muss sie mit der Call Home-Liste übereinstimmen.
      • Konfigurieren Sie die Call Home List (Liste der Anrufer nach Hause), um die kommagetrennte Liste der PSNs anzugeben. Stellen Sie sicher, dass Sie den Port des Client Provisioning Portals im Format FQDN:port oder IP:port hinzufügen.
        Posture Profile Configuration with Profile EditorStatusprofilkonfiguration mit dem Profil-Editor

        Anmerkung: Im Abschnitt zur Client-Bereitstellungsrichtlinie finden Sie in Schritt 4 Anweisungen zur erforderlichen Überprüfung des Ports im Client-Bereitstellungsportal.

    • Speichern Sie das Profil als ISEPostureCFG.xml.
    • Wiederholen Sie die Schritte 2 und 3, um für jede verwendete Call Home-Liste ein neues Statusprofil zu erstellen.
    • Laden Sie das Cisco Secure Client Pre-Deployment-Paket von Cisco Software Download herunter.
      Cisco Secure Client Pre-deploy PackageCisco Secure Client-Paket vor der Bereitstellung
    • Verteilen Sie die Profil- und Installationsdateien in einer Archivdatei, oder kopieren Sie die Dateien auf die Clients.

      Warnung: Stellen Sie sicher, dass sich die gleichen Cisco Secure Client-Dateien auch auf den Headends befinden, mit denen Sie eine Verbindung herstellen möchten: Secure Firewall ASA, ISE usw. Selbst bei Verwendung der manuellen Bereitstellung muss die ISE für die Client-Bereitstellung mit der entsprechenden Softwareversion konfiguriert werden. Detaillierte Anweisungen finden Sie im Abschnitt Konfiguration der Client-Bereitstellungsrichtlinie.

    • Öffnen Sie auf dem Client die ZIP-Datei, und führen Sie das Setup aus, um die Core- und ISE Posture-Module zu installieren. Alternativ können die einzelnen msi-Dateien verwendet werden, um jedes Modul zu installieren. In diesem Fall müssen Sie sicherstellen, dass das Core-VPN-Modul zuerst installiert wird.

      Cisco Secure Client Pre-deploy Package ContentsPaketinhalt vor der Bereitstellung mit Cisco Secure Client


      Cisco Secure Client InstallerCisco Secure Client-Installationsprogramm

      Tipp: Installieren Sie das Diagnose- und Reporting-Tool, das zur Fehlerbehebung verwendet werden soll. 

    • Kopieren Sie nach Abschluss der Installation die Statusprofil-XML an die folgenden Speicherorte:
      • Windows: %ProgramData%\Cisco\Cisco Secure Client\ISE - Status
      • MacOS: /opt/cisco/secureclient/iseposture/

    Client-Bereitstellungsportal (Web-Bereitstellung)

    Das ISE Client Provisioning Portal kann zur Installation des Cisco Secure Client ISE Posture-Moduls und des Statusprofils von der ISE verwendet werden. Es kann auch verwendet werden, um das Statusprofil alleine zu übertragen, wenn das ISE Posture-Modul bereits auf dem Client installiert ist.

      1. Navigieren Sie zu Work Centers > Posture > Client Provisioning > Client Provisioning Portal, um die Portalkonfiguration zu öffnen. Erweitern Sie den Abschnitt Portal Settings, und suchen Sie das Feld Authentication method (Authentifizierungsmethode), wählen Sie die Identity Source Sequence aus, die für die Authentifizierung im Portal verwendet werden soll.
      2. Konfigurieren Sie interne und externe Identitätsgruppen, die zur Verwendung des Client-Bereitstellungsportals autorisiert sind.
        Authentication Method and Authorized Groups in Portal SettingsAuthentifizierungsmethode und autorisierte Gruppen in den Portaleinstellungen
      3. Konfigurieren Sie im Feld Fully qualified Domain Name (FQDN) die URL, die von den Clients für den Zugriff auf das Portal verwendet wird. Um mehrere FQDNs zu konfigurieren, geben Sie die durch Kommas getrennten Werte ein.
        dianaro_7-1679511063143
      4. Konfigurieren Sie den/die DNS-Server, um die Portal-URL in die PSNs der entsprechenden Call Home List aufzulösen.
      5. Stellen Sie den Endbenutzern den FQDN für den Zugriff auf das Portal bereit, um die ISE Posture-Software zu installieren.

    Anmerkung: Um den Portal-FQDN nutzen zu können, müssen die Clients sowohl die PSN-Admin-Zertifikatkette als auch die Portal-Zertifikatkette im vertrauenswürdigen Speicher installiert haben, und das Admin-Zertifikat muss den Portal-FQDN im SAN-Feld enthalten.

    Client-Bereitstellungsrichtlinie

    Die Client-Bereitstellung muss auf der ISE konfiguriert werden, und zwar unabhängig von der Art der Bereitstellung (Pre-Deployment oder Web Deployment), mit der Cisco Secure Client auf den Endpunkten installiert wird.

    1. Laden Sie das Cisco Secure Client Headend-Bereitstellungspaket von Cisco Software-DownloadCisco Secure Client Webdeploy PackageCisco Secure Client WebDeployment-Paket
    2. Laden Sie das neueste ISE Compliance Module-Webbereitstellungspaket von Cisco Software Download herunter.
      ISE Compliance Module Webdeploy PackageISE Compliance-Modul: WebDeployment-Paket
    3. Navigieren Sie auf der ISE zu Work Centers > Posture > Client Provisioning > Resources und klicken Sie auf Add > Agent resources from local disk. Wählen Sie Cisco Provided Packages aus dem Dropdown-Menü Kategorie aus, und laden Sie das zuvor heruntergeladene Cisco Secure Client Headend-Bereitstellungspaket hoch. Wiederholen Sie den gleichen Vorgang, um das Compliance-Modul hochzuladen.
      Upload Cisco Provided Packages to ISEVon Cisco bereitgestellte Pakete auf die ISE hochladen
    4. Klicken Sie auf der Registerkarte "Ressourcen" auf Hinzufügen > Agentenstatusprofil. Im Profil:
      • Konfigurieren Sie einen Namen, mit dem das Profil und die Call Home-Liste innerhalb der ISE identifiziert werden können.
      • Vergewissern Sie sich, dass die Option Zusätzliche Tests aktivieren, damit der Fluss ohne Umleitung funktioniert, auf Ja gesetzt ist.
      • Konfigurieren Sie die Liste der Discovery-Sicherungsserver. Wählen Sie die PSNs aus, die mit der zu konfigurierenden Call Home-Liste übereinstimmen.
        Dies ist die Liste der PSNs, die nach der ersten Verbindung in ConnectionData.xml gespeichert werden.
      • Konfigurieren Sie die Servernamen-Regeln getrennt durch Kommas Wählen Sie eine der folgenden Konfigurationen aus:
        • Ein einzelnes Sternchen (*) für die Verbindung mit einem beliebigen PSN.
        • Platzhalterwerte (z. B. *.aaamex.com), um die Verbindung mit einem beliebigen PSN in bestimmten Domänen zu ermöglichen.
        • Liste der durch Kommas getrennten PSN-FQDNs, um die Verbindung auf bestimmte PSNs zu beschränken. Wenn diese Liste verwendet wird, muss sie mit der Call Home-Liste übereinstimmen.
      • Konfigurieren Sie die Call Home List (Liste der Anrufer nach Hause), um die kommagetrennte Liste der PSNs anzugeben. Stellen Sie sicher, dass Sie den Port des Client Provisioning Portals im Format FQDN:port oder IP:port hinzufügen.
        Um den CPP-Port zu suchen oder zu ändern, navigieren Sie zu Work Centers > Posture > Client Provisioning > Client Provisioning Portal, wählen Sie das verwendete Portal aus, erweitern Sie Portal Settings, und suchen Sie nach dem HTTPs-Port.

        Agent Posture Profile ConfigurationAgent-Statusprofil-Konfiguration
        Posture Protocol Configuration in Agent Posture ProfileStatusprotokollkonfiguration im Agentenstatusprofil
    5. Klicken Sie auf der Registerkarte "Ressourcen" auf Hinzufügen > Agentenkonfiguration. Wählen Sie das Cisco Secure Client-Paket und das Compliance-Modul für die Verwendung aus.

      Warnung: Wenn Cisco Secure Client bereits auf den Clients bereitgestellt wurde, stellen Sie sicher, dass die Version auf der ISE mit der Version auf den Endgeräten übereinstimmt. Wenn ASA oder FTD für die Webbereitstellung verwendet wird, kann die Version auf diesem Gerät ebenfalls übereinstimmen.

    6. Blättern Sie nach unten zum Abschnitt Statusauswahl, und wählen Sie das Profil aus, das in Schritt 1 erstellt wurde. Klicken Sie unten auf der Seite auf Senden, um die Konfiguration zu speichern.
      Agent ConfigurationAgentenkonfiguration

    7. Navigieren Sie zu Work Centers > Posture > Client Provisioning > Client provisioning policy. Suchen Sie die Richtlinie, die für das erforderliche Betriebssystem verwendet wird, und klicken Sie auf Bearbeiten. Klicken Sie in der Spalte Ergebnisse auf das Symbol +, und wählen Sie die Agent-Konfiguration aus Schritt 5 im Abschnitt Agent-Konfiguration aus. Klicken Sie unten auf der Seite auf Speichern.

      Anmerkung: Bei mehreren Call Home-Listen können Sie im Feld Andere Bedingungen das richtige Profil an die entsprechenden Clients senden. In diesem Beispiel wird die Device Location Group verwendet, um das Statusprofil zu identifizieren, das in die Richtlinie eingefügt wird.

      Tipp: Wenn mehrere Richtlinien für die Clientbereitstellung für dasselbe Betriebssystem konfiguriert sind, wird empfohlen, diese sich gegenseitig auszuschließen, d. h. ein Client kann jeweils nur eine Richtlinie erreichen. RADIUS-Attribute können in der Spalte Other Conditions (Andere Bedingungen) verwendet werden, um eine Richtlinie von einer anderen zu unterscheiden.


      Agent Configuration in Client Provisioning PolicyAgent-Konfiguration in Client-Bereitstellungsrichtlinie
      Client Provisioning PolicyClient-Bereitstellungsrichtlinie
    8. Wiederholen Sie die Schritte 4 bis 7 für jede verwendete Call Home-Liste und das entsprechende Statusprofil. In Hybrid-Umgebungen können die gleichen Profile für Umleitungs-Clients verwendet werden.

    Autorisierung

    Autorisierungsprofil

    1. Navigieren Sie zu Richtlinie > Richtlinienelemente > Ergebnisse > Autorisierung > Herunterladbare ACLs, und klicken Sie auf Hinzufügen.
    2. Erstellen Sie eine DACL, um den Datenverkehr zu DNS, DHCP (falls verwendet), ISE-PSNs zuzulassen und anderen Datenverkehr zu blockieren. Stellen Sie sicher, dass Sie allen anderen Datenverkehr zulassen, der für den Zugriff erforderlich ist, bevor Sie den endgültigen konformen Zugriff zulassen.

      DACL ConfigurationDACL-Konfiguration

      permit udp any any eq domain
permit udp any any eq bootps
permit ip any host 
permit ip any host 
deny ip any any

      Vorsicht: Einige Geräte von Drittanbietern unterstützen keine DACLs. In diesem Fall müssen Sie eine Filter-ID oder andere anbieterspezifische Attribute verwenden. Weitere Informationen finden Sie in der Herstellerdokumentation. Wenn keine DACLs verwendet werden, müssen Sie die entsprechende ACL im Netzwerkgerät konfigurieren.

    3. Navigieren Sie zu Richtlinie > Richtlinienelemente > Ergebnisse > Autorisierung > Autorisierungsprofile, und klicken Sie auf Hinzufügen. Geben Sie dem Autorisierungsprofil einen Namen, und wählen Sie DACL-Namen aus Allgemeine Aufgaben aus. Wählen Sie aus dem Dropdown-Menü die in Schritt 2 erstellte DACL aus.Authorization ProfileAutorisierungsprofil

      Anmerkung: Wenn keine DACLs verwendet werden, verwenden Sie die Filter-ID aus Allgemeine Aufgaben oder die erweiterten Attributeinstellungen, um den entsprechenden ACL-Namen zu übertragen.

    4. Wiederholen Sie die Schritte 1 bis 3 für jede verwendete Call Home-Liste. In Hybrid-Umgebungen ist nur ein einziges Autorisierungsprofil für die Umleitung erforderlich. Die Konfiguration des Autorisierungsprofils für die Umleitung wird in diesem Dokument nicht behandelt.

    Autorisierungsrichtlinie

    1. Navigieren Sie zu Policy > Policy Sets, und öffnen Sie den verwendeten Policy Set, oder erstellen Sie einen neuen Policy Set.
    2. Blättern Sie nach unten zum Abschnitt Autorisierungsrichtlinie. Erstellen Sie eine Autorisierungsrichtlinie mit Session PostureStatus NOT_EQUALS Compliant, und wählen Sie das im vorherigen Abschnitt erstellte Autorisierungsprofil aus.
      Authorization PoliciesAutorisierungsrichtlinien
    3. Wiederholen Sie Schritt 2 für jedes Autorisierungsprofil mit der entsprechenden verwendeten Call Home-Liste. In Hybrid-Umgebungen ist nur eine einzige Autorisierungsrichtlinie für die Umleitung erforderlich.

    Fehlerbehebung

    Konformität mit Cisco Secure Client und Status nicht zutreffend (ausstehend) auf ISE

    Veraltete/Phantom-Sitzungen

    Das Vorhandensein veralteter oder Phantom-Sitzungen in der Bereitstellung kann intermittierende und scheinbar zufällige Fehler mit umleitungsloser Statuserkennung verursachen, die dazu führen, dass Benutzer in einem unbekannten/nicht anwendbaren Status auf der ISE feststecken, während die Benutzeroberfläche des Cisco Secure Client einen konformen Zugriff aufweist.

    Veraltete Sitzungen sind alte Sitzungen, die nicht mehr aktiv sind. Sie werden durch eine Authentifizierungsanforderung und einen Accounting-Start erstellt, aber auf dem PSN wird kein Accounting-Stopp empfangen, um die Sitzung zu löschen.

    Phantom-Sitzungen sind Sitzungen, die in einem bestimmten PSN nie aktiv waren. Sie werden durch ein Accounting-Interim-Update erstellt, es wird jedoch kein Accounting-Stopp auf dem PSN empfangen, um die Sitzung zu löschen.

    Identifizieren

    Um ein veraltetes/Phantom-Sitzungsproblem zu identifizieren, überprüfen Sie das beim Systemscan auf dem Client verwendete PSN, und vergleichen Sie es mit dem PSN, der die Authentifizierung durchführt:

    1. Klicken Sie in der Benutzeroberfläche von Cisco Secure Client auf das Zahnrad-Symbol in der linken unteren Ecke. Öffnen Sie im linken Menü den Abschnitt ISE-Status, und navigieren Sie zur Registerkarte Statistik. Notieren Sie sich den Policy Server unter Verbindungsinformationen.
      Policy Server for ISE Posture in Cisco Secure ClientPolicy Server für ISE-Status im Cisco Secure Client
    2. In ISE-RADIUS-Live-Protokollen werden folgende Informationen gespeichert:
      • Statusänderung
      • Änderung im Server
      • Keine Änderung bei Autorisierungsrichtlinie und Autorisierungsprofil
      • Kein CoA-Live-Protokoll
      Live Logs for Stale/Phantom SessionLive-Protokolle für veraltete/Phantom-Sitzungen
    3. Öffnen Sie die Live-Sitzung oder die letzten Details des Authentifizierungs-Live-Protokolls. Beachten Sie, dass der Policy Server, wenn er sich von dem in Schritt 1 beobachteten Server unterscheidet, auf ein Problem mit veralteten/Phantom-Sitzungen hinweist.
      Policy Server in Live Log DetailsRichtlinienserver in Live-Protokolldetails

    Lösung

    ISE-Versionen nach ISE 2.6 Patch 6 und 2.7 Patch 3 implementieren RADIUS Session Directory als Lösung für veraltete/Phantom-Sitzungen im umleitungslosen Statusfluss.

    1. Navigieren Sie zu Administration > System > Settings > Light Data Distribution, und stellen Sie sicher, dass das Kontrollkästchen Enable RADIUS Session Directory aktiviert ist.
      Enable RADIUS Session DirectoryRADIUS-Sitzungsverzeichnis aktivieren

    2. Überprüfen Sie über die ISE CLI, ob der ISE Messaging Service auf allen PSNs ausgeführt wird, indem Sie den Befehl show applications status ise ausführen.
      ISE Messaging Service RunningISE Messaging Service wird ausgeführt

      Anmerkung: Dieser Service bezieht sich auf die Kommunikationsmethode, die für RSD zwischen PSNs verwendet wird und unabhängig vom Status der ISE Messaging Service-Einstellung für Syslog ausgeführt werden kann, die über die ISE-Benutzeroberfläche festgelegt werden kann.

    3. Navigieren Sie zum ISE Dashboard, und suchen Sie das Alarms-Dashlet. Überprüfen Sie, ob Warnungen zu Warteschlangenverbindungsfehlern vorliegen. Klicken Sie auf den Namen der Erinnerung, um weitere Details anzuzeigen.
      Queue Link Error AlarmsWarnungen zu Verbindungsfehlern in Warteschlange
    4. Überprüfen Sie, ob zwischen den für den Status verwendeten PSNs Alarme generiert werden.
      Queue Link Error Alarm DetailsAlarmdetails für Warteschlangenverbindungsfehler
    5. Bewegen Sie den Mauszeiger über die Beschreibung der Erinnerung, um alle Details anzuzeigen und das Feld Ursache zu notieren. Die zwei häufigsten Ursachen für Warteschlangenverbindungsfehler sind: 
      • Zeitüberschreitung: gibt an, dass die Anforderungen, die von einem Knoten an einen anderen Knoten auf Port 8671 gesendet werden, nicht innerhalb des Schwellenwerts beantwortet werden. Überprüfen Sie, ob der TCP-Port 8671 zwischen den Knoten zulässig ist, um die Ursache zu beheben.
      • Unbekannte Zertifizierungsstelle: gibt an, dass die Zertifikatskette, die das ISE-Messaging-Zertifikat signiert, ungültig oder unvollständig ist. So beheben Sie diesen Fehler:
        1. Navigieren Sie zu Administration > System > Certificates > Certificate signing requirements.
        2. Klicken Sie auf CSR (Certificate Signing Requests) generieren.
        3. Wählen Sie im Dropdown-Menü die Option ISE Root CA aus, und klicken Sie auf Replace ISE Root CA Certificate chain.
          Wenn die ISE-Stammzertifizierungsstelle nicht verfügbar ist, navigieren Sie zu Zertifizierungsstelle > Interne Zertifizierungsstelleneinstellungen, und klicken Sie auf Zertifizierungsstelle aktivieren, kehren Sie zum CSR zurück, und generieren Sie die Stammzertifizierungsstelle neu.
        4. Erstellen Sie einen neuen CSR, und wählen Sie ISE Messaging Service aus dem Dropdown-Menü aus.
        5. Wählen Sie alle Knoten aus der Bereitstellung aus, und generieren Sie das Zertifikat neu.

      Anmerkung: Es wird erwartet, dass während der Neugenerierung der Zertifikate Warnungen bei Warteschlangenverbindungsfehlern mit der Ursache Unbekannte Zertifizierungsstelle oder Nicht verweigert erkannt werden. Überwachen Sie die Alarme nach der Zertifikatgenerierung, um sicherzustellen, dass das Problem behoben wurde.

    Leistung

    Identifizieren

    Leistungsprobleme wie eine hohe CPU-Auslastung und ein hoher Lastdurchschnitt im Zusammenhang mit einem umleitungslosen Status können sich auf PSN- und MnT-Knoten auswirken und werden häufig von folgenden Ereignissen begleitet oder ihnen vorangehen:

    • Zufällig oder zeitweilig, Kein Policy Server erkannte Fehler im Cisco Secure Client.
    • Der maximale Ressourcengrenzwert hat die Berichte für den Threadpool des Portaldiensts erreicht, in denen der Schwellenwert erreicht wurde. Navigieren Sie zu Operations > Reports > Reports > Audit > Operations Audit, um die Berichte anzuzeigen.
    • Statusabfrage nach MNT-Suche ist ein hoher Alarm. Diese Alarme werden nur für ISE 3.1 und höher generiert.


    Lösung

    Wenn die Leistung der Bereitstellung durch einen umleitungslosen Status beeinträchtigt wird, ist dies häufig ein Hinweis auf eine ineffektive Implementierung. Es wird empfohlen, folgende Aspekte zu überarbeiten:

    • Anzahl der pro Call Home-Liste verwendeten PSNs Erwägen Sie, die Anzahl der PSNs, die je nach Design für den Status pro Endgerät oder Netzwerkgerät verwendet werden können, zu reduzieren.
    • Port des Clientbereitstellungsportals in der Liste der Call Home-Geräte. Vergewissern Sie sich, dass die Portalportnummer hinter der IP- oder FQDN-Nummer jedes Knotens steht.


    So reduzieren Sie die Auswirkungen:

    1. Löschen Sie "connectiondata.xml" aus den Endpunkten, indem Sie die Datei aus dem Ordner "Cisco Secure Client" entfernen und den ISE Posture-Dienst oder den Cisco Secure Client neu starten. Wenn die Dienste nicht neu gestartet werden, wird die alte Datei neu generiert, und die Änderungen werden nicht übernommen. Diese Aktion kann auch nach der Überarbeitung und Änderung der Call Home-Listen durchgeführt werden.
    2. Verwenden Sie DACLs oder andere ACLs, um Datenverkehr zu ISE-PSNs für Netzwerkverbindungen zu blockieren, wenn dies nicht relevant ist:
      • Für Verbindungen, bei denen der Status in den Autorisierungsrichtlinien nicht erzwungen wird, die jedoch für Endpunkte mit installiertem Cisco Secure Client ISE Posture-Modul gelten, blockieren Sie den Datenverkehr von den Clients zu allen ISE-PSNs für die TCP-Ports 8905 und den Client Provisioning Portal-Port. Diese Aktion wird auch für den Status mit Umleitungsimplementierung empfohlen.
      • Bei Verbindungen, bei denen der Status in den Autorisierungsrichtlinien erzwungen wird, Datenverkehr von den Clients zum authentifizierenden PSN zulassen und Datenverkehr zu anderen PSNs in der Bereitstellung blockieren. Diese Aktion kann vorübergehend ausgeführt werden, während das Design überarbeitet wird.
        Authorization Profile with DACL for Single PSNAutorisierungsprofil mit DACL für ein PSN
        Authorization Policies per PSNAutorisierungsrichtlinien pro PSN

    Buchhaltung

    RADIUS-Accounting ist für das Sitzungsmanagement auf der ISE unverzichtbar. Da der Status von einer aktiven Sitzung abhängt, kann sich eine falsche oder fehlende Accounting-Konfiguration auch auf die Statuserkennung und die ISE-Leistung auswirken. Es ist wichtig zu überprüfen, ob die Abrechnung auf dem Netzwerkgerät korrekt konfiguriert ist, um Authentifizierungsanforderungen, Abrechnungsstart, Abrechnungsstopp und Abrechnungsaktualisierungen für jede Sitzung an einen einzigen PSN zu senden.

    Um die auf der ISE empfangenen Abrechnungspakete zu überprüfen, navigieren Sie zu Operations > Reports > Reports > Endpoints and Users > RADIUS Accounting.

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    2.0
    07-Jul-2025
    Aktualisierter Titel, Alternativer Text, Haftungsausschluss, maschinelle Übersetzung, Stilvorgaben, Zielverknüpfungen, Bildbeschriftungen (wenn eine Datei verfügbar war, Formatierung.
    1.0
    24-Jul-2023
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Diana Rodriguez Zaragoza
      Technical Consulting Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren