Implemente la condición sin redirección de ISE

Opciones de descarga

  • PDF     (2.4 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
Actualizado:7 de julio de 2025
ID del documento:220394

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe el uso y la configuración del flujo de estado sin redirección y las sugerencias para la resolución de problemas.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Flujo de estado en ISE
    • Configuración de los componentes de estado en ISE
    • Redirección a portales de ISE

    Para una mejor comprensión de los conceptos descritos más adelante, se recomienda pasar por:

    Comparación del flujo de redirección de postura de ISE con el flujo sin redirección de postura de ISE
    Solución de problemas de administración y estado de sesiones de ISE

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Cisco ISE versión 3.3
    • Cisco Secure Client 5.0.01242

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    El flujo de estado de ISE consta de estos pasos:

    0. Autenticación/Autorización. Generalmente se realiza justo antes de que se inicie el flujo de postura, pero se puede omitir para ciertos casos prácticos como la reevaluación de postura (PRA).

    Como la autenticación en sí no activa el descubrimiento de la postura, esto no se considera esencial para cada flujo de postura.

    1. Descubrimiento. Proceso realizado por el módulo de postura de ISE de Secure Client para encontrar el propietario de PSN de la sesión activa actual.
    2. Aprovisionamiento de clientes. Proceso realizado por ISE para aprovisionar al cliente con el módulo de estado de ISE de Cisco Secure Client (anteriormente AnyConnect) y las versiones del módulo de conformidad correspondientes. En este paso, la copia local del perfil de estado contenido y firmado por el PSN concreto también se envía al cliente.
    3. Análisis del sistema. El módulo de cumplimiento evalúa las políticas de estado configuradas en ISE.
    4. Remediación (opcional). Se lleva a cabo en el caso de que alguna política de estado no sea conforme.
    5. CoA. Es necesario volver a autorizar el acceso a la red final (conforme o no conforme).


    Este documento se centra en el proceso de detección del flujo de estado de ISE.

    Cisco recomienda utilizar la redirección para el proceso de detección; sin embargo, hay algunos casos en los que no es posible implementar la redirección, como el uso de dispositivos de red de terceros en los que no se admite la redirección. Este documento tiene como objetivo proporcionar una guía general y mejores prácticas para implementar y resolver problemas de postura sin redireccionamiento en tales entornos.

    La descripción completa del flujo sin redirección se describe en Comparar flujo de redirección de postura de ISE con flujo sin redirección de postura de ISE

    Existen dos tipos de sondeos de detección de estado que no utilizan la redirección:

    1. Connectiondata.xml
    2. Lista de inicio de llamadas

    Connectiondata.xml

    Connectiondata.xml es un archivo creado y mantenido automáticamente por Cisco Secure Client. Consta de una lista de PSN a los que el cliente se ha conectado previamente correctamente para el estado; por lo tanto, se trata solo de un archivo local y su contenido no es persistente en todos los terminales.

    El objetivo principal de connectiondata.xml es funcionar como mecanismo de copia de seguridad para los sondeos de detección de las fases 1 y 2. En caso de que los sondeos de redirección o lista de inicio de llamada no puedan encontrar un PSN con una sesión activa, Cisco Secure Client envía una solicitud directa a cada uno de los servidores enumerados en connectiondata.xml.

    Stage 1 Discovery ProbesEtapa 1: Sondeos de detección

    Stage 2 Discovery ProbesSondas de detección de etapa 2

    Un problema común causado por el uso de sondeos de connectiondata.xml es una sobrecarga de la implementación de ISE debido al gran número de solicitudes HTTPS enviadas por los terminales. Es importante tener en cuenta que, si bien connectiondata.xml es eficaz como mecanismo de copia de seguridad para evitar interrupciones completas de los mecanismos de estado tanto de redirección como de redirección, no es una solución sostenible para un entorno de estado; por lo tanto, es necesario diagnosticar y resolver los problemas de diseño y configuración que causan la falla de las sondas de detección principales y que dan lugar a problemas de detección.

    Lista de inicio de llamadas

    La lista de inicio de llamadas es una sección del perfil de estado en la que se especifica una lista de PSN que se utilizarán para el estado. A diferencia de connection.xml, lo crea y mantiene un administrador de ISE y puede requerir una fase de diseño para lograr una configuración óptima. La lista de PSN en la lista de inicio de llamada coincide con la lista de servidores de autenticación y cuentas que se configuró en el dispositivo de red o el equilibrador de carga para RADIUS.

    Los sondeos de la lista de inicio de llamadas permiten el uso de una búsqueda de MnT durante la búsqueda de sesión activa en caso de que se produzca un error de búsqueda local en un PSN. La misma funcionalidad se extiende a los sondeos connection.data.xml sólo cuando se utilizan durante la detección de la etapa 2. Por este motivo, todos los sondeos de la etapa 2 también se denominan sondeos de nueva generación.

    MnT Lookup FlowFlujo de búsqueda de MnT

    Diseño

    Dado que un proceso de detección sin redirección suele conllevar un flujo más complejo y una mayor cantidad de procesamiento en PSN y MnT en comparación con un flujo de redirección, existen dos retos comunes que pueden surgir durante la implementación:

    1. Descubrimiento eficaz
    2. Rendimiento de la implementación de ISE

    Para hacer frente a estos retos, se recomienda diseñar la lista de inicio de llamadas para limitar el número de PSN que un terminal determinado puede utilizar para el estado. En el caso de implementaciones medianas y grandes, es necesario distribuir la implementación para crear varias listas de inicio de llamadas con un número reducido de PSN. Por consiguiente, la lista de PSN que se utilizan para la autenticación RADIUS de un dispositivo de red determinado se puede limitar del mismo modo para que coincida con la lista de inicio de llamadas correspondiente.

    Estos aspectos se pueden tener en cuenta al desarrollar la estrategia de distribución de PSN para determinar el número máximo de PSN en cada lista de inicio de llamada:

    • Número de PSN en la implementación
    • Especificaciones de hardware de PSN y nodos MnT
    • Número máximo de sesiones de estado simultáneas en la implementación
    • Número de dispositivos de red
    • Entornos híbridos (redirección simultánea e implementación de estado sin redirección)
    • Número de adaptadores utilizados por los terminales
    • Ubicación de los dispositivos de red y PSN
    • Tipos de conexiones de red utilizados para el estado (por cable, inalámbricas, VPN)

    Example: PSN Distribution for Redirectionless PostureEjemplo: Distribución de PSN para estado sin redirección

    Consejo: Utilice Network Device Groups para clasificar los dispositivos de red según el diseño.

    Configurar

    Grupos de dispositivos de red (opcional)

    Los grupos de dispositivos de red se pueden utilizar para identificar y hacer coincidir los dispositivos de red con su correspondiente lista de servidores RADIUS y lista de inicio de llamada. En el caso de los entornos híbridos, también se pueden utilizar para identificar dispositivos que admiten la redirección desde dispositivos que no la admiten.

    Si la estrategia de distribución desarrollada durante la fase de diseño depende de los grupos de dispositivos de red, siga los siguientes pasos para configurarlos en ISE:

    1. Vaya a Administration > Network Resources Network Resource Groups .
    2. Haga clic en Agregar para agregar un nuevo grupo, proporcione un nombre y seleccione el grupo primario, si corresponde.
    3. Repita el paso 2 para crear todos los grupos necesarios.


    En los ejemplos utilizados en esta guía, el grupo de dispositivos de ubicación se utiliza para identificar la lista de servidores RADIUS y la lista de inicio de llamada, y un grupo de dispositivos de postura personalizado se utiliza para identificar la redirección desde dispositivos de postura sin redirección.

    Network Device GroupsGrupos de dispositivos de red

    Dispositivo de red

    1. El dispositivo de red se puede configurar para la autenticación, autorización y administración de cuentas RADIUS. Consulte la documentación de cada proveedor para conocer los pasos de configuración. Configure la lista de servidores RADIUS según la lista de inicio de llamada correspondiente.
    2. En ISE, vaya a Administration > Network Resources > Network Devices y haga clic en Add. Configure los grupos de dispositivos de red según el diseño y habilite RADIUS Authentication Settings para configurar el secreto compartido.

    Network Device ConfigurationConfiguración de dispositivos de red

    Aprovisionamiento de clientes

    Hay dos formas de proporcionar al cliente el software y el perfil adecuados para realizar el estado en un entorno sin redirección:

    1. Aprovisionamiento manual (antes de la implementación)
    2. Portal de aprovisionamiento de clientes (implementación web)

    Aprovisionamiento manual (previo a la implementación)

    • Descargue e instale Cisco Secure Client Profile Editor desde Cisco Software Download. Profile Editor PackagePaquete Profile Editor
    • Abrir el editor de perfiles de postura de ISE:
      • Asegúrese de que Enable Posture Non-Redirection Flow esté habilitado.
      • Configure las reglas de nombre de servidor separadas por comas. Elija una de estas configuraciones:
        • Un solo asterisco * para permitir la conexión a cualquier PSN.
        • Valores comodín (por ejemplo, *.aaamex.com) para permitir la conexión a cualquier PSN en dominios específicos.
        • Lista de FQDN de PSN, separados por comas, para restringir la conexión a PSN específicos. Si se utiliza, esta lista debe coincidir con la lista de inicio de llamada.
      • Configure Call Home List para especificar la lista de PSN separados por comas. Asegúrese de agregar el puerto del portal de aprovisionamiento de clientes con el formato FQDN:puerto o IP:puerto.
        Posture Profile Configuration with Profile EditorConfiguración del perfil de postura con Profile Editor

        Nota: Consulte el paso 4 de la sección de políticas de aprovisionamiento de clientes para obtener instrucciones sobre cómo verificar el puerto del portal de aprovisionamiento de clientes si es necesario.

    • Guarde el perfil como ISEPostureCFG.xml.
    • Repita los pasos 2 y 3 para crear un nuevo perfil de estado para cada lista de inicio de llamada en uso.
    • Descargue el paquete de implementación previa de Cisco Secure Client de Descarga de software de Cisco.
      Cisco Secure Client Pre-deploy PackagePaquete de preimplementación de Cisco Secure Client
    • Distribuya el perfil y los archivos de instalación en un archivo de almacenamiento o copie los archivos en los clientes.

      Advertencia: Asegúrese de que los mismos archivos de Cisco Secure Client también se encuentran en las cabeceras a las que planea conectarse: Firewall seguro ASA, ISE, etc. Incluso cuando se utiliza el aprovisionamiento manual, ISE se debe configurar para el aprovisionamiento de clientes con la versión de software correspondiente. Consulte la sección Configuración de políticas de aprovisionamiento de clientes para obtener instrucciones detalladas.

    • En el cliente, abra el archivo zip y ejecute el comando de configuración para instalar los módulos de estado de ISE y de núcleo. Alternativamente, los archivos msi individuales se pueden utilizar para instalar cada módulo, en este caso, debe asegurarse de que el módulo core-vpn se instale primero.

      Cisco Secure Client Pre-deploy Package ContentsContenido del paquete de preimplementación de Cisco Secure Client


      Cisco Secure Client InstallerInstalador de Cisco Secure Client

      Consejo: Instale la herramienta de diagnóstico e informes que se utilizará para solucionar problemas. 

    • Una vez finalizada la instalación, copie el archivo posture profile xml en las siguientes ubicaciones:
      • Windows: %ProgramData%\Cisco\Cisco Secure Client\ISE Posture
      • MacOS: /opt/cisco/secureclient/iseposture/

    Portal de aprovisionamiento de clientes (Web Deploy)

    El portal de aprovisionamiento de clientes de ISE se puede utilizar para instalar el módulo de estado de ISE de Cisco Secure Client y el perfil de estado de ISE. También se puede utilizar para insertar el perfil de estado solo si el módulo de estado de ISE ya está instalado en el cliente.

      1. Vaya a Centros de trabajo > Estado > Aprovisionamiento del cliente > Portal de aprovisionamiento del cliente para abrir la configuración del portal. Expanda la sección Configuración del portal y busque el campo Método de autenticación, seleccione la Secuencia de origen de identidad que se utilizará para la autenticación en el portal.
      2. Configure los grupos de identidad internos y externos que estén autorizados para utilizar el Portal de aprovisionamiento de clientes.
        Authentication Method and Authorized Groups in Portal SettingsMétodo de autenticación y grupos autorizados en la configuración del portal
      3. En el campo Nombre de dominio completo (FQDN), configure la URL que utilizan los clientes para acceder al portal. Para configurar varios FQDN, introduzca los valores separados por comas.
        dianaro_7-1679511063143
      4. Configure los servidores DNS para resolver la URL del portal en los PSN de la lista de inicio de llamadas correspondiente.
      5. Proporcione el FQDN a los usuarios finales para acceder al portal e instalar el software de estado de ISE.

    Nota: Para hacer uso del FQDN del portal, los clientes deben tener la cadena de certificados de administración de PSN, así como la cadena de certificados del portal instalada en el almacén de confianza, y el certificado de administración debe contener el FQDN del portal en el campo SAN.

    Política de aprovisionamiento de clientes

    El aprovisionamiento de clientes se debe configurar en ISE independientemente del tipo de aprovisionamiento (preimplementación o implementación web) que se utilice para instalar Cisco Secure Client en los terminales.

    1. Descargue el paquete de implementación de cabecera de Cisco Secure Client desde Descarga de software de Cisco.Cisco Secure Client Webdeploy PackagePaquete Cisco Secure Client Webdeploy
    2. Descargue el paquete webdeploy del módulo de cumplimiento de ISE más reciente de Descarga de software de Cisco.
      ISE Compliance Module Webdeploy PackagePaquete Webdeploy del módulo de cumplimiento de ISE
    3. En ISE, navegue hasta Centros de trabajo > Estado > Aprovisionamiento del cliente > Recursos y haga clic en Agregar > Recursos de agente desde el disco local. Seleccione Cisco Provided Packages en el menú desplegable Category (Categoría) y cargue el Cisco Secure Client Headend Deployment Package descargado anteriormente. Repita el mismo proceso para cargar el módulo de conformidad.
      Upload Cisco Provided Packages to ISECargar los paquetes proporcionados por Cisco en ISE
    4. De nuevo en la pestaña Resources, haga clic en Add > Agent Posture Profile. En el perfil:
      • Configure un nombre que se pueda utilizar para identificar el perfil y la lista de inicio de llamada dentro de ISE.
      • Asegúrese de que Enable extra probes so non-redirection flow can work esté configurado en Yes.
      • Configure Discovery Backup Server List. Seleccione los PSN que coincidan con la lista de inicio de llamada que se está configurando.
        Esta es la lista de PSN guardados en ConnectionData.xml después de la primera conexión.
      • Configure las reglas de nombre de servidor separadas por comas Elija una de estas configuraciones:
        • Un solo asterisco * para permitir la conexión a cualquier PSN.
        • Valores comodín (por ejemplo, *.aaamex.com) para permitir la conexión a cualquier PSN en dominios específicos.
        • Lista de FQDN de PSN, separados por comas, para restringir la conexión a PSN específicos. Si se utiliza, esta lista debe coincidir con la lista de inicio de llamada.
      • Configure Call Home List para especificar la lista de PSN separados por comas. Asegúrese de agregar el puerto del portal de aprovisionamiento de clientes con el formato FQDN:puerto o IP:puerto.
        Para buscar o modificar el puerto CPP, vaya a Centros de trabajo > Estado > Aprovisionamiento del cliente > Portal de aprovisionamiento del cliente, seleccione el portal en uso, expanda Configuración del portal y busque el puerto HTTP.

        Agent Posture Profile ConfigurationConfiguración del perfil de postura del agente
        Posture Protocol Configuration in Agent Posture ProfileConfiguración del protocolo de posición en el perfil de posición del agente
    5. De nuevo en la pestaña Resources, haga clic en Add > Agent Configuration. Seleccione el paquete Cisco Secure Client y el Módulo de cumplimiento que se utilizarán.

      Advertencia: Si Cisco Secure Client se ha implementado previamente en los clientes, asegúrese de que la versión en ISE coincida con la versión en los terminales. Si se utiliza ASA o FTD para la implementación web, la versión de este dispositivo también puede coincidir.

    6. Desplácese hasta la sección Selección de postura y seleccione el perfil que se creó en el paso 1. Haga clic en Enviar en la parte inferior de la página para guardar la configuración.
      Agent ConfigurationConfiguración del agente

    7. Vaya a Centros de trabajo > Estado > Aprovisionamiento del cliente > Política de aprovisionamiento del cliente. Busque la directiva que se utiliza para el sistema operativo necesario y haga clic en Editar. Haga clic en el signo + de la columna Resultados y seleccione la configuración del agente del paso 5 de la sección Configuración del agente. Haga clic en Guardar en la parte inferior de la página.

      Nota: En el caso de varias listas de inicio de llamada, utilice el campo Otras condiciones para enviar el perfil correcto a los clientes correspondientes. En este ejemplo, Grupo de ubicación de dispositivo se utiliza para identificar el perfil de estado que se envía en la política.

      Consejo: Si se configuran varias políticas de aprovisionamiento de clientes para el mismo sistema operativo, se recomienda hacerlas mutuamente excluyentes; es decir, un cliente determinado solo puede alcanzar una política a la vez. Los atributos RADIUS se pueden utilizar en la columna Otras condiciones para diferenciar una política de otra.


      Agent Configuration in Client Provisioning PolicyConfiguración de agentes en la política de aprovisionamiento de clientes
      Client Provisioning PolicyPolítica de aprovisionamiento de clientes
    8. Repita los pasos del 4 al 7 para cada lista de inicio de llamadas y el perfil de estado correspondiente que esté utilizando. Para los entornos híbridos, se pueden utilizar los mismos perfiles para los clientes de redirección.

    Autorización

    Perfil de autorización

    1. Vaya a Directiva > Elementos de directiva > Resultados > Autorización > ACL descargables y haga clic en Agregar.
    2. Cree una DACL para permitir el tráfico a DNS, DHCP (si se utiliza), ISE PSN y bloquear otro tráfico. Asegúrese de permitir el acceso a cualquier otro tráfico que sea necesario antes del acceso conforme final.

      DACL ConfigurationConfiguración de DACL

      permit udp any any eq domain
permit udp any any eq bootps
permit ip any host 
permit ip any host 
deny ip any any

      Precaución: Algunos dispositivos de terceros no pueden admitir DACL; en estos casos, es necesario utilizar un ID de filtro u otros atributos específicos del proveedor. Consulte la documentación del proveedor para obtener más información. Si no se utilizan DACL, asegúrese de configurar la ACL correspondiente en el dispositivo de red.

    3. Vaya a Directiva > Elementos de directiva > Resultados > Autorización > Perfiles de autorización y haga clic en Agregar. Dé un nombre al perfil de autorización y seleccione DACL name en Common Tasks. En el menú desplegable, seleccione la DACL creada en el paso 2.Authorization ProfilePerfil de autorización

      Nota: Si no se utilizan DACL, utilice Filter-ID de Tareas comunes o Configuración avanzada de atributos para insertar el nombre de ACL correspondiente.

    4. Repita los pasos del 1 al 3 para cada lista de inicio de llamada en uso. Para los entornos híbridos, solo es necesario un único perfil de autorización para la redirección. La configuración del perfil de autorización para la redirección está fuera del alcance de este documento.

    Política de autorización

    1. Navegue hasta Policy > Policy Sets y abra el policy set en uso o cree uno nuevo.
    2. Desplácese hacia abajo hasta la sección Directiva de autorización. Cree una política de autorización mediante Session PostureStatus NOT_EQUALS Compliant y seleccione el perfil de autorización creado en la sección anterior.
      Authorization PoliciesPolíticas de autorización
    3. Repita el paso 2 para cada perfil de autorización con su lista de inicio de llamada correspondiente en uso. Para los entornos híbridos, solo es necesaria una política de autorización para la redirección.

    Troubleshoot

    Cumplimiento de Cisco Secure Client y estado No aplicable (pendiente) en ISE

    Sesiones antiguas/fantasma

    La presencia de sesiones obsoletas o fantasma en la implementación puede generar fallos intermitentes y aparentemente aleatorios con detección de estado sin redirección, lo que da lugar a que los usuarios se queden atascados en una postura de acceso desconocido/no aplicable en ISE, mientras que la interfaz de usuario de Cisco Secure Client muestra acceso conforme.

    Las sesiones obsoletas son sesiones antiguas que ya no están activas. Se crean mediante una solicitud de autenticación y un inicio de contabilización, pero no se recibe ninguna detención de contabilización en PSN para borrar la sesión.

    Las sesiones fantasma son sesiones que nunca estuvieron realmente activas en un PSN en particular. Se crean mediante una actualización intermedia de contabilidad, pero no se recibe ninguna detención de contabilidad en PSN para borrar la sesión.

    Identificar

    Para identificar un problema de sesión obsoleta/fantasma, verifique el PSN utilizado en el análisis del sistema en el cliente y compárelo con el PSN que realiza la autenticación:

    1. En la IU de Cisco Secure Client, haga clic en el icono de engranaje en la esquina inferior izquierda. En el menú de la izquierda, abra la sección Postura de ISE y navegue hasta la pestaña Estadísticas. Tome nota de Policy Server en Connection Information.
      Policy Server for ISE Posture in Cisco Secure ClientServidor de políticas para estado de ISE en Cisco Secure Client
    2. En los registros en directo de RADIUS de ISE, tenga en cuenta lo siguiente:
      • Cambio de estado
      • Cambio en el servidor
      • Sin cambios en la directiva de autorización y el perfil de autorización
      • No CoA live log
      Live Logs for Stale/Phantom SessionRegistros en directo para sesiones antiguas/fantasma
    3. Abra la sesión en vivo o los detalles del registro en vivo de la última autenticación. Tome nota de Policy Server, si difiere del servidor observado en el paso 1, esto indica un problema con las sesiones obsoletas/fantasma.
      Policy Server in Live Log DetailsServidor de políticas en detalles de registro activo

    Solución

    Las versiones de ISE posteriores al parche 6 y al parche 3 de ISE 2.6 implementan RADIUS Session Directory como solución para el escenario de sesión fantasma/obsoleto en el flujo de estado sin redirección.

    1. Vaya a Administration > System > Settings > Light Data Distribution y verifique que la casilla de verificación Enable RADIUS Session Directory esté habilitada.
      Enable RADIUS Session DirectoryActivar el directorio de sesión RADIUS

    2. Desde ISE CLI, verifique que ISE Messaging Service se esté ejecutando en todos los PSN ejecutando el comando show applications status ise.
      ISE Messaging Service RunningServicio de mensajería ISE en ejecución

      Nota: Este servicio hace referencia al método de comunicación que se utiliza para RSD entre PSN y que se puede ejecutar independientemente del estado de la configuración del servicio de mensajería de ISE para syslog que se puede establecer desde la IU de ISE.

    3. Navegue hasta ISE Dashboard y localice el dashlet Alarmas. Verifique si existen alarmas de error de link de cola. Haga clic en el nombre de la alarma para ver más detalles.
      Queue Link Error AlarmsAlarmas de error de enlace de cola
    4. Verifique si las alarmas se generan entre los PSN utilizados para el estado.
      Queue Link Error Alarm DetailsDetalles de la alarma de error de enlace de cola
    5. Pase el ratón sobre la descripción de la alarma para ver todos los detalles y tome nota del campo Causa. Las dos causas más comunes del error de link de cola son: 
      • Tiempo de espera: indica que las solicitudes enviadas por un nodo a otro nodo en el puerto 8671 no se responden dentro del umbral. Para remediar, verifique que el puerto TCP 8671 esté permitido entre los nodos.
      • CA desconocida: indica que la cadena de certificados que firma el certificado de mensajería ISE no es válida o está incompleta. Para remediar este error:
        1. Vaya a Administration > System > Certificates > Certificate signing requests.
        2. Haga clic en Generar solicitudes de firma de certificado (CSR).
        3. En el menú desplegable, seleccione ISE Root CA y haga clic en la cadena Replace ISE Root CA Certificate.
          Si la CA raíz de ISE no está disponible, navegue hasta Certificate Authority > Internal CA settings y haga clic en Enable Certificate Authority, luego vuelva a CSR y regenere la CA raíz.
        4. Genere una nueva CSR y seleccione ISE Messaging Service en el menú desplegable.
        5. Seleccione todos los nodos de la implementación y vuelva a generar el certificado.

      Nota: Se espera que observe las alarmas de error de link de cola con la causa Unknown CA o Econndenied mientras se regeneran los certificados. Supervise las alarmas después de la generación del certificado para confirmar que el problema se ha resuelto.

    Rendimiento

    Identificar

    Los problemas de rendimiento, como la alta utilización de la CPU y el alto promedio de carga relacionados con el estado sin redirección, pueden afectar a los nodos de PSN y MnT, y a menudo van acompañados o precedidos de estos eventos:

    • Aleatorio o intermitente, ningún servidor de políticas detectó errores, en Cisco Secure Client.
    • El límite máximo de recursos alcanzado en los informes para el grupo de subprocesos del servicio Portal alcanzó los eventos de valor de umbral. Navegue hasta Operaciones > Informes > Informes > Auditoría > Auditoría de operaciones para ver los informes.
    • La consulta de posición a la búsqueda MNT es una alarma alta. Estas alarmas solo se generan en ISE 3.1 y versiones posteriores.


    Solución

    Si el rendimiento del despliegue se ve afectado por una postura sin redirección, esto suele ser indicativo de una implementación ineficaz. Se recomienda revisar estos aspectos:

    • Número de PSN utilizados por lista de inicio de llamadas. Considere la posibilidad de reducir el número de PSN que se pueden utilizar para el estado por terminal o dispositivo de red según el diseño.
    • Puerto del portal de aprovisionamiento de clientes en la lista de inicio de llamadas. Asegúrese de que el número de puerto del portal se incluye después de la dirección IP o FQDN de cada nodo.


    Para mitigar el impacto:

    1. Borre connectiondata.xml de los terminales eliminando el archivo de la carpeta Cisco Secure Client y reinicie el servicio de estado de ISE o Cisco Secure Client. Si no se reinician los servicios, el archivo antiguo se regenera y los cambios no surten efecto. Esta acción también se puede realizar después de revisar y modificar las listas de inicio de llamada.
    2. Utilice las DACL u otras ACL para bloquear el tráfico a los PSN de ISE para las conexiones de red donde no sea relevante:
      • En el caso de conexiones en las que el estado no se aplica en las políticas de autorización, pero que se aplican a terminales con el módulo de estado ISE de Cisco Secure Client instalado, bloquee el tráfico de los clientes a todos los PSN de ISE para los puertos TCP 8905 y el puerto del portal de aprovisionamiento de clientes. Esta acción también se recomienda para el estado con implementación de redirección.
      • Para conexiones en las que se aplica el estado en las políticas de autorización, permita el tráfico de los clientes al PSN de autenticación y bloquee el tráfico a otros PSN en la implementación. Esta acción puede implementarse temporalmente mientras se revisa el diseño.
        Authorization Profile with DACL for Single PSNPerfil de autorización con DACL para PSN único
        Authorization Policies per PSNPolíticas de autorización por PSN

    Contabilidad

    La contabilidad RADIUS es esencial para la gestión de sesiones en ISE. Dado que el estado se basa en una sesión activa que se va a realizar, una configuración incorrecta o inexistente de la contabilidad también puede afectar a la detección del estado y al rendimiento de ISE. Es importante verificar que la contabilización esté configurada correctamente en el dispositivo de red para enviar solicitudes de autenticación, inicio de contabilización, detención de contabilización y actualizaciones de contabilización a un único PSN para cada sesión.

    Para verificar los paquetes de contabilización recibidos en ISE, navegue hasta Operaciones > Informes > Informes > Terminales y usuarios > Contabilización RADIUS.

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    2.0
    07-Jul-2025
    Título actualizado, Texto alternativo, Renuncia legal, Traducción automática, Requisitos de estilo, Enlaces de destino, Leyendas de imagen (cuando el archivo estaba disponible, Formato.
    1.0
    24-Jul-2023
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Diana Rodriguez Zaragoza
      Technical Consulting Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco