El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe el uso y la configuración del flujo de estado sin redirección y las sugerencias para la resolución de problemas.
Cisco recomienda que tenga conocimiento sobre estos temas:
Para una mejor comprensión de los conceptos descritos más adelante, se recomienda pasar por:
Comparación del flujo de redirección de postura de ISE con el flujo sin redirección de postura de ISE
Solución de problemas de administración y estado de sesiones de ISE
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
El flujo de estado de ISE consta de estos pasos:
0. Autenticación/Autorización. Generalmente se realiza justo antes de que se inicie el flujo de postura, pero se puede omitir para ciertos casos prácticos como la reevaluación de postura (PRA).
Como la autenticación en sí no activa el descubrimiento de la postura, esto no se considera esencial para cada flujo de postura.
Este documento se centra en el proceso de detección del flujo de estado de ISE.
Cisco recomienda utilizar la redirección para el proceso de detección; sin embargo, hay algunos casos en los que no es posible implementar la redirección, como el uso de dispositivos de red de terceros en los que no se admite la redirección. Este documento tiene como objetivo proporcionar una guía general y mejores prácticas para implementar y resolver problemas de postura sin redireccionamiento en tales entornos.
La descripción completa del flujo sin redirección se describe en Comparar flujo de redirección de postura de ISE con flujo sin redirección de postura de ISE
Existen dos tipos de sondeos de detección de estado que no utilizan la redirección:
Connectiondata.xml es un archivo creado y mantenido automáticamente por Cisco Secure Client. Consta de una lista de PSN a los que el cliente se ha conectado previamente correctamente para el estado; por lo tanto, se trata solo de un archivo local y su contenido no es persistente en todos los terminales.
El objetivo principal de connectiondata.xml es funcionar como mecanismo de copia de seguridad para los sondeos de detección de las fases 1 y 2. En caso de que los sondeos de redirección o lista de inicio de llamada no puedan encontrar un PSN con una sesión activa, Cisco Secure Client envía una solicitud directa a cada uno de los servidores enumerados en connectiondata.xml.
Etapa 1: Sondeos de detección
Sondas de detección de etapa 2
Un problema común causado por el uso de sondeos de connectiondata.xml es una sobrecarga de la implementación de ISE debido al gran número de solicitudes HTTPS enviadas por los terminales. Es importante tener en cuenta que, si bien connectiondata.xml es eficaz como mecanismo de copia de seguridad para evitar interrupciones completas de los mecanismos de estado tanto de redirección como de redirección, no es una solución sostenible para un entorno de estado; por lo tanto, es necesario diagnosticar y resolver los problemas de diseño y configuración que causan la falla de las sondas de detección principales y que dan lugar a problemas de detección.
La lista de inicio de llamadas es una sección del perfil de estado en la que se especifica una lista de PSN que se utilizarán para el estado. A diferencia de connection.xml, lo crea y mantiene un administrador de ISE y puede requerir una fase de diseño para lograr una configuración óptima. La lista de PSN en la lista de inicio de llamada coincide con la lista de servidores de autenticación y cuentas que se configuró en el dispositivo de red o el equilibrador de carga para RADIUS.
Los sondeos de la lista de inicio de llamadas permiten el uso de una búsqueda de MnT durante la búsqueda de sesión activa en caso de que se produzca un error de búsqueda local en un PSN. La misma funcionalidad se extiende a los sondeos connection.data.xml sólo cuando se utilizan durante la detección de la etapa 2. Por este motivo, todos los sondeos de la etapa 2 también se denominan sondeos de nueva generación.
Flujo de búsqueda de MnT
Dado que un proceso de detección sin redirección suele conllevar un flujo más complejo y una mayor cantidad de procesamiento en PSN y MnT en comparación con un flujo de redirección, existen dos retos comunes que pueden surgir durante la implementación:
Para hacer frente a estos retos, se recomienda diseñar la lista de inicio de llamadas para limitar el número de PSN que un terminal determinado puede utilizar para el estado. En el caso de implementaciones medianas y grandes, es necesario distribuir la implementación para crear varias listas de inicio de llamadas con un número reducido de PSN. Por consiguiente, la lista de PSN que se utilizan para la autenticación RADIUS de un dispositivo de red determinado se puede limitar del mismo modo para que coincida con la lista de inicio de llamadas correspondiente.
Estos aspectos se pueden tener en cuenta al desarrollar la estrategia de distribución de PSN para determinar el número máximo de PSN en cada lista de inicio de llamada:
Ejemplo: Distribución de PSN para estado sin redirección
Consejo: Utilice Network Device Groups para clasificar los dispositivos de red según el diseño.
Los grupos de dispositivos de red se pueden utilizar para identificar y hacer coincidir los dispositivos de red con su correspondiente lista de servidores RADIUS y lista de inicio de llamada. En el caso de los entornos híbridos, también se pueden utilizar para identificar dispositivos que admiten la redirección desde dispositivos que no la admiten.
Si la estrategia de distribución desarrollada durante la fase de diseño depende de los grupos de dispositivos de red, siga los siguientes pasos para configurarlos en ISE:
En los ejemplos utilizados en esta guía, el grupo de dispositivos de ubicación se utiliza para identificar la lista de servidores RADIUS y la lista de inicio de llamada, y un grupo de dispositivos de postura personalizado se utiliza para identificar la redirección desde dispositivos de postura sin redirección.
Grupos de dispositivos de red
Configuración de dispositivos de red
Hay dos formas de proporcionar al cliente el software y el perfil adecuados para realizar el estado en un entorno sin redirección:
Nota: Consulte el paso 4 de la sección de políticas de aprovisionamiento de clientes para obtener instrucciones sobre cómo verificar el puerto del portal de aprovisionamiento de clientes si es necesario.
Advertencia: Asegúrese de que los mismos archivos de Cisco Secure Client también se encuentran en las cabeceras a las que planea conectarse: Firewall seguro ASA, ISE, etc. Incluso cuando se utiliza el aprovisionamiento manual, ISE se debe configurar para el aprovisionamiento de clientes con la versión de software correspondiente. Consulte la sección Configuración de políticas de aprovisionamiento de clientes para obtener instrucciones detalladas.
Contenido del paquete de preimplementación de Cisco Secure Client
Instalador de Cisco Secure Client
Consejo: Instale la herramienta de diagnóstico e informes que se utilizará para solucionar problemas.
El portal de aprovisionamiento de clientes de ISE se puede utilizar para instalar el módulo de estado de ISE de Cisco Secure Client y el perfil de estado de ISE. También se puede utilizar para insertar el perfil de estado solo si el módulo de estado de ISE ya está instalado en el cliente.
Nota: Para hacer uso del FQDN del portal, los clientes deben tener la cadena de certificados de administración de PSN, así como la cadena de certificados del portal instalada en el almacén de confianza, y el certificado de administración debe contener el FQDN del portal en el campo SAN.
El aprovisionamiento de clientes se debe configurar en ISE independientemente del tipo de aprovisionamiento (preimplementación o implementación web) que se utilice para instalar Cisco Secure Client en los terminales.
Advertencia: Si Cisco Secure Client se ha implementado previamente en los clientes, asegúrese de que la versión en ISE coincida con la versión en los terminales. Si se utiliza ASA o FTD para la implementación web, la versión de este dispositivo también puede coincidir.
Nota: En el caso de varias listas de inicio de llamada, utilice el campo Otras condiciones para enviar el perfil correcto a los clientes correspondientes. En este ejemplo, Grupo de ubicación de dispositivo se utiliza para identificar el perfil de estado que se envía en la política.
Consejo: Si se configuran varias políticas de aprovisionamiento de clientes para el mismo sistema operativo, se recomienda hacerlas mutuamente excluyentes; es decir, un cliente determinado solo puede alcanzar una política a la vez. Los atributos RADIUS se pueden utilizar en la columna Otras condiciones para diferenciar una política de otra.
Configuración de DACL
permit udp any any eq domain
permit udp any any eq bootps
permit ip any host
permit ip any host
deny ip any any
Precaución: Algunos dispositivos de terceros no pueden admitir DACL; en estos casos, es necesario utilizar un ID de filtro u otros atributos específicos del proveedor. Consulte la documentación del proveedor para obtener más información. Si no se utilizan DACL, asegúrese de configurar la ACL correspondiente en el dispositivo de red.
Nota: Si no se utilizan DACL, utilice Filter-ID de Tareas comunes o Configuración avanzada de atributos para insertar el nombre de ACL correspondiente.
La presencia de sesiones obsoletas o fantasma en la implementación puede generar fallos intermitentes y aparentemente aleatorios con detección de estado sin redirección, lo que da lugar a que los usuarios se queden atascados en una postura de acceso desconocido/no aplicable en ISE, mientras que la interfaz de usuario de Cisco Secure Client muestra acceso conforme.
Las sesiones obsoletas son sesiones antiguas que ya no están activas. Se crean mediante una solicitud de autenticación y un inicio de contabilización, pero no se recibe ninguna detención de contabilización en PSN para borrar la sesión.
Las sesiones fantasma son sesiones que nunca estuvieron realmente activas en un PSN en particular. Se crean mediante una actualización intermedia de contabilidad, pero no se recibe ninguna detención de contabilidad en PSN para borrar la sesión.
Para identificar un problema de sesión obsoleta/fantasma, verifique el PSN utilizado en el análisis del sistema en el cliente y compárelo con el PSN que realiza la autenticación:
Las versiones de ISE posteriores al parche 6 y al parche 3 de ISE 2.6 implementan RADIUS Session Directory como solución para el escenario de sesión fantasma/obsoleto en el flujo de estado sin redirección.
Nota: Este servicio hace referencia al método de comunicación que se utiliza para RSD entre PSN y que se puede ejecutar independientemente del estado de la configuración del servicio de mensajería de ISE para syslog que se puede establecer desde la IU de ISE.
Nota: Se espera que observe las alarmas de error de link de cola con la causa Unknown CA o Econndenied mientras se regeneran los certificados. Supervise las alarmas después de la generación del certificado para confirmar que el problema se ha resuelto.
Los problemas de rendimiento, como la alta utilización de la CPU y el alto promedio de carga relacionados con el estado sin redirección, pueden afectar a los nodos de PSN y MnT, y a menudo van acompañados o precedidos de estos eventos:
Si el rendimiento del despliegue se ve afectado por una postura sin redirección, esto suele ser indicativo de una implementación ineficaz. Se recomienda revisar estos aspectos:
Para mitigar el impacto:
La contabilidad RADIUS es esencial para la gestión de sesiones en ISE. Dado que el estado se basa en una sesión activa que se va a realizar, una configuración incorrecta o inexistente de la contabilidad también puede afectar a la detección del estado y al rendimiento de ISE. Es importante verificar que la contabilización esté configurada correctamente en el dispositivo de red para enviar solicitudes de autenticación, inicio de contabilización, detención de contabilización y actualizaciones de contabilización a un único PSN para cada sesión.
Para verificar los paquetes de contabilización recibidos en ISE, navegue hasta Operaciones > Informes > Informes > Terminales y usuarios > Contabilización RADIUS.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
2.0 |
07-Jul-2025
|
Título actualizado, Texto alternativo, Renuncia legal, Traducción automática, Requisitos de estilo, Enlaces de destino, Leyendas de imagen (cuando el archivo estaba disponible, Formato. |
1.0 |
24-Jul-2023
|
Versión inicial |