El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo configurar la evaluación de estado para usuarios de VPN de acceso remoto con Identity Service Engine (ISE) y Secure Access.
Cisco recomienda que tenga conocimiento sobre estos temas:
La información de este documento se basa en:
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Secure Access - ISE - Diagrama
La integración de Cisco Secure Access con Identity Services Engine (ISE) proporciona un enfoque de seguridad integral que aprovecha los diferentes protocolos de autenticación, incluido MS-CHAPv2, para proteger las conexiones. Cisco Secure Access, con su solución avanzada Security Service Edge (SSE), mejora la conectividad segura en entornos hiperdistribuidos, ofreciendo funciones como VPN as a Service (VPNaaS), que se pueden proteger mediante las funciones de ISE.
Esta integración permite una experiencia de acceso segura y sin problemas, lo que permite a los usuarios conectarse a cualquier aplicación, en cualquier lugar, con un rendimiento y una seguridad optimizados. La utilización de las funciones avanzadas de Cisco ISE, como la evaluación de estado, refuerza aún más este modelo de seguridad al evaluar la conformidad de los PC con las políticas internas del usuario antes de permitir el acceso. Esto garantiza que solo los dispositivos que cumplen los requisitos de seguridad de la organización puedan acceder a los recursos de la red, lo que reduce el riesgo de vulnerabilidades.
Nota: Para configurar la integración RADIUS, debe asegurarse de que hay comunicación entre ambas plataformas.
Nota: antes de comenzar el proceso de configuración, debe completar los Primeros pasos con Secure Access e integración con ISE.
Para configurar el perfil VPN mediante Radius, siga con los siguientes pasos:
Desplácese hasta el panel de acceso seguro.
Connect > Enduser Connectivity > Virtual Private Network
Manage IP Pools
), haga clic enManage
Radius Group (Optional)
Add RADIUS Group
Group Name
: Configure un nombre para la integración de ISE en Secure Access
AAA method
Authentication
: Marque la casilla de verificación para Authentication
y seleccione el puerto, de forma predeterminada, es 1812
Microsoft Challenge Handshake Authentication Protocol Version 2 (MCHAPv2)
marcar la casilla de verificaciónAuthorization
: Marque la casilla de verificaciónAuthorization
y seleccione el puerto, de forma predeterminada, es 1812
Authorization mode Only
y paraChange of Authorization (CoA) mode
permitir el estado y los cambios desde ISEAccounting
: marque la casilla de verificación de Autorización y seleccione el puerto, de forma predeterminada, es 1813
Single or Simultaneous
(En modo único, los datos de cuentas se envían a un solo servidor. En modo simultáneo, contabilizando datos en todos los servidores del grupo)Accounting update
para habilitar la generación periódica de mensajes de actualización de cuentas provisionales de RADIUS.Precaución: Tanto elAuthentication
como los Authorization
métodos, cuando se seleccionan, deben utilizar el mismo puerto.
RADIUS Servers
(ISE) que se utiliza para autenticarse a través de AAA en la sección RADIUS Servers
:+ Add
Server Name
: Configure un nombre para identificar su servidor ISE.IP Address
: Configure la IP de su dispositivo Cisco ISE a la que se puede acceder a través de Secure AccessSecret Key
: Configuración de la clave secreta RADIUSPassword
: Configuración de la contraseña de RadiusSave
y asigne su servidor Radius en laAssign Server
opción y seleccione su servidor ISE:Save
a hacer clic para guardar toda la configuración realizadaAhora que ha configurado el servidor ISE en el grupo de IP, debe configurarlo en el VPN Profiles
.
Para configurar el perfil VPN, navegue hasta el panel de acceso seguro.
Connect > Enduser Connectivity > Virtual Private Network
VPN Profiles
de clic + Add
VPN Profile name
: Configure un nombre para el nombre de su perfilDefault Domain
: Configure el dominio.DNS Server
: Elija el servidor de nombres de dominio (DNS) que ha configuradoProtocol
: Configure los protocolos que necesita permitir en la VPNConnect Time posture
: Elija una postura o déjela como NingunaNext
Autenticación
Authentication
Protocols
: Elegir Radius
Map authentication groups to regions
: Elija las regiones y elija su Radius Groups
Next
Nota: Debe marcar todas las regiones y seleccionar los grupos de radios si tiene varias regiones. Si no lo hace, el Next
botón aparecerá atenuado.
Después de configurar todas las partes de autenticación, continúe con la autorización.
Autorización
Authorization
Enable Radius Authorization
: Marque la casilla de verificación para activar la autorización de RADIUSNext
Después de configurar toda la Authorization
pieza, continúe con la Accounting
.
Nota: Si no lo habilita, Radio Authorization
la postura no funcionará.
Contabilidad
Accounting
Map Authorization groups to regions
: Elija las regiones y elija su Radius Groups
Next
After you have done configured the
Authentication, Authorization and Accounting
please continue withTraffic Steering
.
En la sección de dirección del tráfico, debe configurar el tipo de comunicación a través de Secure Access.
Connect to Secure Access
todo el tráfico de Internet se dirige a través de Secure Access
Si desea agregar exclusiones para dominios de Internet o IP, haga clic en el + Add
botón y, a continuación, haga clic en Next
.
Bypass Secure Access
todo el tráfico de Internet pasa a través de su proveedor de Internet, no a travésSecure Access
de (Sin protección de Internet)Nota: Añada el estado enroll.cisco.com
de ISE cuando lo desee Bypass Secure Access
.
En este paso, seleccione todos los recursos de red privada a los que desea acceder a través de la VPN. Para ello, haga clic en + Add
y, a continuación, haga clic en Next
cuando haya agregado todos los recursos.
En este paso, puede mantener todo como predeterminado y hacer clic en Save
, pero si desea personalizar más su configuración, consulte la Guía de Cisco Secure Client Administrator.
Para configurar la autenticación a través de Cisco ISE, debe configurar los dispositivos permitidos que pueden realizar consultas a su Cisco ISE:
Administration > Network Devices
+ Add
Name
: Utilice un nombre para identificar el acceso seguroIP Address
: Configure elManagement Interface
del paso, IP Pool RegionDevice Profile
: Elija Cisco
Radius Authentication Settings
Shared Secret
: Configure el mismo secreto compartido configurado en el paso Clave secretaCoA Port
: Déjelo como predeterminado; 1700 también se utiliza en Secure AccessDespués de hacer clic en Save
, para comprobar si la integración funciona correctamente, vaya a crear un usuario local para la verificación de la integración.
Para configurar un grupo para utilizarlo con usuarios locales, siga estos pasos:
Administration > Groups
User Identity Groups
+ Add
Name
para el grupo y haga clic en Submit
Para configurar un usuario local para verificar su integración:
Administration > Identities
Add +
Username
: Configure el nombre de usuario con un aprovisionamiento UPN conocido en Secure Access; esto se basa en el paso PrerrequisitosStatus
: ActivoPassword Lifetime
: Puede configurarlo With Expiration
o, segúnNever Expires
ustedLogin Password
: Crear una contraseña para el usuarioUser Groups
: Elija el grupo creado en el paso Configurar un grupoNota: La autenticación basada en UPN está configurada para cambiar en las próximas versiones de Secure Access.
Después de esto, puede Save
modificar la configuración y continuar con el paso Configure Policy Set
.
En el conjunto de políticas, configure la acción que ISE lleva a cabo durante la autenticación y la autorización. Este escenario muestra el caso práctico de configurar una política simple para proporcionar acceso de usuario. En primer lugar, ISE verifica el origen de las autenticaciones RADIUS y comprueba si las identidades existen en la base de datos de usuarios de ISE para proporcionar acceso
Para configurar esa política, navegue hasta el panel de Cisco ISE:
Policy > Policy Sets
+
para agregar un nuevo conjunto de políticasEn este caso, cree un nuevo conjunto de directivas en lugar de trabajar con el predeterminado. A continuación, configure la Autenticación y la Autorización basadas en ese conjunto de políticas. La política configurada permite el acceso al dispositivo de red definido en el paso Configure Network Devices List para verificar que estas autenticaciones provienenCSA Network Device List
y luego ingresan a la política como Conditions
. Y finalmente, los Protocolos permitidos, como Default Network Access
.
Para crear el condition
que coincida con el conjunto de directivas, continúe con las instrucciones siguientes:
+
Condition Studio
, la información disponible incluye: Click to add an attribute
Network Device
botón Network Access
- Network Device Name
optionNetwork Device
en el paso Configure Network Devices List .Save
Esta política solo aprueba la solicitud del origenCSA
para continuar con la configuración Authentication
y la Authorization
configuración bajo el conjunto de políticas CSA-ISE
, y también verifica los protocolos permitidos en función de la Default Network Access
para los protocolos permitidos.
El resultado de la política definida debe ser:
Default Network Access Protocols
permisos permitidos, continúe con las siguientes instrucciones:
Policy > Results
Allowed Protocols
Default Network Access
Default Network Access
Para crear elAuthentication
y la Authorization
directiva en la Policy Set
, siga estos pasos:
>
Authentication
políticas y Authorization
directivas: Política de autenticación
Para la política de autenticación, puede configurar de muchas maneras. En este caso, verá una política para el dispositivo definido en el paso Configure Network Devices List, y verificará la autenticación basada en criterios específicos:
Network Device CSA
tienen una autenticación correcta o rechazada.La política es la misma definida en el paso Configure Policy Set.
Política de autorización
Puede configurar la directiva de autorización de varias maneras. En este caso, autorice sólo a los usuarios del grupo definido en el paso Configurar un grupo.Vea el siguiente ejemplo para configurar su política de autorización:
Authorization Policy
+
para definir la política de autorización de la siguiente manera: Rule Name
,Conditions
y Profiles
Name
configuración de un nombre para identificar fácilmente la directiva de autorización Condition
, haga clic en el botón +
Condition Studio
, encontrará la información siguiente: Click to add an attribute
Identity Group
botón IdentityGroup
optionEquals
opción, utilice el menú desplegable para buscar la autenticación Group
aprobada en el paso Configurar un grupoSave
Use
Después de esto, debe definir el Profiles, which help approve user access under the authorization policy once the user authentication matches the group selected on the policy.
Authorization Policy
, haga clic en el botón desplegable de Profiles
PermitAccess
Save
Después de eso, ha definido su política Authentication
y las Authorization
políticas. Autentique para verificar si el usuario se conecta sin problemas y si puede ver los registros en Secure Access e ISE.
Para conectarse a la VPN, puede utilizar el perfil creado en Secure Access y conectarse a través de Secure Client con el perfil de ISE.
Monitor > Remote Access Log
Cisco ISE Dashboard
Operations > Live Logs
En esta situación, cree la configuración para verificar el cumplimiento de los terminales antes de conceder o denegar el acceso a los recursos internos.
Para configurarlo, continúe con los siguientes pasos:
Work Center > Policy Elements > Conditions
Anti-Malware
Nota: Allí, encontrará muchas opciones para verificar el estado de sus dispositivos y hacer la evaluación correcta basada en sus políticas internas.
Anti-Malware Conditions
, haga clic en + Add
Anti-Malware Condition
para detectar la instalación del antivirus en el sistema; también puede elegir la versión del sistema operativo si es necesario.Name
: Utilice un nombre para reconocer la condición anti-malwareOperating System
: Elija el sistema operativo que desea poner bajo la condiciónVendor
: Elija un proveedor o ANYCheck Type
: Puede comprobar si el agente está instalado o la versión de definición de esa opción.Products for Selected Vendor
, puede configurar lo que desea verificar sobre el antimalware en el dispositivo.Una vez configurado, puede continuar con el paso Configure Posture Requirements
.
Work Center > Policy Elements > Requeriments
Edit
de los requisitos y haga clic en Insert new Requirement
Name
: Configure un nombre para reconocer el requisito antimalwareOperating System
: Elija el sistema operativo que elija en el paso de condición Sistema operativo Compliance Module
: Debe asegurarse de seleccionar el mismo módulo de cumplimiento que tiene en el paso de condición, Condición Anti-MalwarePosture Type
: Elegir agenteConditions
: Elija la condición o condiciones que ha creado en el paso Configurar condiciones de posturaRemediations Actions
: Elija Message Text Only
para este ejemplo o, si tiene otra acción de remediación, utilícelaSave
Una vez configurado, puede continuar con el paso, Configure Posture Policy
Work Center > Posture Policy
Edit
de las directivas y haga clic en Insert new Policy
Status
: Marque la casilla de verificación para activar la directivaRule Name
: configure un nombre para reconocer la política configuradaIdentity Groups
: Elija las identidades que desea evaluarOperating Systems
: Elija el sistema operativo en función de la condición y los requisitos configurados anteriormenteCompliance Module
: Elija el módulo de conformidad en función de la condición y los requisitos configurados anteriormentePosture Type
: Elegir agenteRequeriments
: Elija los requisitos configurados en el paso Configurar requisitos de estadoSave
Para proporcionar a los usuarios el módulo ISE, configure el aprovisionamiento del cliente para equipar los equipos con el módulo de estado ISE. Esto le permite verificar el estado de las máquinas una vez que se ha instalado el agente. Para continuar con este proceso, estos son los siguientes pasos:
Vaya al panel de ISE.
Work Center > Client Provisioning
Resources
Hay tres cosas que debe configurar en el aprovisionamiento de clientes:
Recursos para configurar |
Descripción |
1. |
Paquete Secure Client Web Provisioning. |
2. |
Módulo de cumplimiento de Cisco ISE |
3. |
Control del perfil de aprovisionamiento. |
3. |
Defina qué módulos se aprovisionan configurando el portal de aprovisionamiento mediante el perfil de agente y los recursos de agente. |
Step 1
Descargar y cargar recursos de agente
+ Add > Agent resources from local disk
y cargue los paquetesStep 2
Descargue el módulo de conformidad
+ Add > Agent resources from Cisco Site
Save
Configuración del perfil de agenteStep 3
+ Add > Agent Posture Profile
Name
para el Posture Profile
*
y haga clic Save
después de ellaStep 4
Configuración de la configuración del agente
+ Add > Agent Configuration
Select Agent Package
: Elija el paquete cargado en Step1 Download and Upload Agent ResourcesConfiguration Name
: Elija un nombre para reconocer el Agent Configuration
Compliance Module
: Elija el módulo de conformidad descargado en el paso 2 Descargue el módulo de conformidadCisco Secure Client Module Selection
ISE Posture
: Marcar la casilla de verificaciónProfile Selection
ISE Posture
: Elija el perfil de ISE configurado en el paso 3 Configuración del perfil de agenteSave
Nota: Se recomienda que cada sistema operativo, Windows, Mac OS o Linux, tenga una configuración de cliente independiente.
Para habilitar el aprovisionamiento del estado de ISE y los módulos configurados en el último paso, debe configurar una política para realizar el aprovisionamiento.
Work Center > Client Provisioning
Nota: Se recomienda que cada sistema operativo, Windows, Mac OS o Linux, tenga una política de configuración de cliente.
Rule Name
: Configure el nombre de la política según el tipo de dispositivo y la selección del grupo de identidad para tener una manera fácil de identificar cada políticaIdentity Groups
: Elija las identidades que desea evaluar en la políticaOperating Systems
: Elija el sistema operativo en función del paquete de agentes seleccionado en el paso Select Agent Package (Seleccionar paquete de agentes)Other Condition
: Elija Network Access
según el Authentication Method
EQUALS
al método configurado en el paso, Agregar grupo RADIUS o puede dejar en blancoResult
: Elija la configuración del agente en el paso 4 Configuración de la configuración del agente
Native Supplicant Configuration
: ElijaConfig Wizard
y Wizard Profile
El perfil de autorización limita el acceso a los recursos en función del estado de los usuarios después de la autenticación. La autorización debe verificarse para determinar a qué recursos puede acceder el usuario en función del estado.
Perfil de autorización |
Descripción |
Compatible con el usuario - Agente instalado - Verificación de estado |
|
Cumplimiento desconocido por el usuario - Redireccionamiento para instalar el agente - Estado pendiente de verificación |
|
Usuario no conforme - Denegar acceso |
Para configurar la DACL, navegue hasta el panel de ISE:
Work Centers > Policy Elements > Downloadable ACLs
+Add
Compliant DACL
Name
: Agregue un nombre que haga referencia a DACL-CompliantIP version
: Elegir IPv4
DACL Content
:
Cree una lista de control de acceso (DACL) descargable que proporcione acceso a todos los recursos de la redpermit ip any any
Haga clic en Save
y cree la DACL de conformidad desconocida
Work Centers > Policy Elements > Downloadable ACLs
+Add
Unknown Compliant DACL
Name
: Agregue un nombre que haga referencia a DACL-Unknown-CompliantIP version
: Elegir IPv4
DACL Content:
Cree una DACL que ofrezca acceso limitado a la red, DHCP, DNS, HTTP y el portal de aprovisionamiento a través del puerto 8443permit udp any any eq 67
permit udp any any eq 68
permit udp any any eq 53
permit tcp any any eq 80
permit tcp any host 192.168.10.206 eq 8443
Nota: En esta situación, la dirección IP 192.168.10.206 corresponde al servidor de Cisco Identity Services Engine (ISE) y el puerto 8443 está designado para el portal de aprovisionamiento. Esto significa que se permite el tráfico TCP a la dirección IP 192.168.10.206 a través del puerto 8443, lo que facilita el acceso al portal de aprovisionamiento.
En este momento, dispone de la DACL necesaria para crear los perfiles de autorización.
Para configurar los perfiles de autorización, navegue hasta el panel de ISE:
Work Centers > Policy Elements > Authorization Profiles
+Add
Compliant Authorization Profile
Name
: Cree un nombre que haga referencia al perfil de autorización compatibleAccess Type
: Elegir ACCESS_ACCEPT
Common Tasks
DACL NAME
: Elija la DACL configurada en el paso DACL conformeHaga clic Save
en y cree el Unknown Authorization Profile
Work Centers > Policy Elements > Authorization Profiles
+Add
Uknown Compliant Authorization Profile
Name
: Cree un nombre que haga referencia al perfil de autorización conforme desconocidoAccess Type
: Elegir ACCESS_ACCEPT
Common Tasks
DACL NAME
: Elija la DACL configurada en el paso Unknown Compliant DACLWeb Redirection (CWA,MDM,NSP,CPP)
Client Provisioning (Posture)
ACL
: Debe ser redirect
Value
: seleccione el portal de aprovisionamiento predeterminado o, si ha definido otro, seleccióneloNota: El nombre de la ACL de redirección en Secure Access para todas las implementaciones es redirect
.
Después de definir todos estos valores, debe tener algo similar debajo deAttributes Details
.
Haga clic Save
para finalizar la configuración y continuar con el siguiente paso.
Estas tres políticas que crea se basan en los perfiles de autorización que ha configurado; para DenyAccess
, no es necesario crear otro.
Conjunto de políticas - Autorización |
Perfil de autorización |
Conforme |
|
Conformidad desconocida |
|
No conforme |
Vaya a su panel de ISE
Work Center > Policy Sets
>
acceder a la política que ha creadoAuthorization Policy
+
para definir la CSA-Compliance
política: Rule Name
,Conditions
y Profiles
Name
configuración de un nombre en CSA-Compliance
Condition
, haga clic en el botón +
Condition Studio
, encontrará la información siguiente: compliant
Compliant_Devices
Editor
network
Network_Access_Authentication_Passed
Editor
Editor
botón en New
Identity Group
iconoInternal User Identity Group
Equals
, elija el User Identity Group
elemento que desee que coincidaUse
Profile
clic en el botón desplegable y seleccione el perfil de autorización de queja configurado en el paso Perfil de autorización conformeAhora ya ha configurado el Compliance Policy Set
.
Rule Name
,Conditions
y Profiles
Name
configuración de un nombre en CSA-Unknown-Compliance
Condition
, haga clic en el botón +
Condition Studio
, encontrará la información siguiente: compliance
Compliant_Unknown_Devices
Editor
network
Network_Access_Authentication_Passed
Editor
Editor
botón en New
Identity Group
iconoInternal User Identity Group
Equals
, elija el User Identity Group
elemento que desee que coincidaUse
Profile
clic en el botón desplegable y seleccione el perfil de autorización de quejas configurado en el paso Perfil de autorización de conformidad desconocidoAhora ya ha configurado el Unknown Compliance Policy Set
.
+
para definir la CSA- Non-Compliant
política: Rule Name
,Conditions
y Profiles
Name
configuración de un nombre en CSA-Non-Compliance
Condition
, haga clic en el botón +
Condition Studio
, encontrará la información siguiente: non
Non_Compliant_Devices
Editor
network
Network_Access_Authentication_Passed
Editor
Editor
botón en New
Identity Group
iconoInternal User Identity Group
Equals
, elija el User Identity Group
elemento que desee que coincidaUse
Profile
clic en el botón desplegable y seleccione el perfil de autorización de la queja DenyAccess
Una vez finalizada la configuración de los tres perfiles, estará listo para probar su integración con el estado.
Conéctese al dominio FQDN RA-VPN proporcionado en Acceso seguro a través de Cliente seguro.
Nota: No se debe instalar ningún módulo ISE para este paso.
1. Conéctese mediante Secure Client.
2. Proporcione las credenciales para autenticar.
3. En este momento, te conectas a la VPN y, probablemente, te redirigen a ISE; si no es así, puede intentar desplazarse hasta http:1.1.1.1
.
Nota: En este momento, se encuentra bajo el conjunto de políticas de autorización CSA-Unknown-Compliance porque no tiene el agente de estado de ISE instalado en el equipo y se le redirige al portal de aprovisionamiento de ISE para instalar el agente.
4. Haga clic en Iniciar para continuar con el aprovisionamiento de agentes.
5. Haga clic en + This is my first time here
.
6. Haga clic en Click here to download and install agent
7. Instale el agente
8. Después de instalar el agente, el estado de ISE comienza a verificar el estado actual de las máquinas. Si no se cumplen los requisitos de la política, aparecerá una ventana emergente que le guiará hacia el cumplimiento.
Nota: Si ustedCancel
o el tiempo restante finaliza, automáticamente se convierte en no conforme, cae bajo la política de autorización establecida CSA-Non-Compliance, e inmediatamente se desconecta de la VPN.
9. Instale Secure Endpoint Agent y conéctese de nuevo a la VPN.
10. Una vez que el agente verifica que la máquina cumple los requisitos, su estado cambia para estar al día de la reclamación y dar acceso a todos los recursos de la red.
Nota: Una vez que cumpla los requisitos, se le aplicará la política de autorización establecida en CSA-Compliance y tendrá acceso inmediatamente a todos los recursos de la red.
Para comprobar el resultado de la autenticación de un usuario, tiene dos ejemplos de conformidad e incumplimiento. Para revisarlo en ISE, siga estas instrucciones:
Operations > Live Logs
El siguiente escenario tho muestra cómo se muestran los eventos de cumplimiento e incumplimiento con éxito en Live Logs
:
En el siguiente ejemplo, Cisco ISE se encuentra en la red 192.168.10.0/24, y la configuración de las redes a las que se puede acceder a través del túnel debe agregarse en la configuración del túnel.
Step 1
: Verifique la configuración del túnel:
Para verificarlo, navegue hasta el panel de acceso seguro.
Connect > Network Connections
Network Tunnel Groups
> Su túnelStep 2
: Permita el tráfico en su firewall.
Para permitir que Secure Access utilice el dispositivo ISE para la autenticación Radius, debe haber configurado una regla de Secure Access en la red con los puertos Radius necesarios:
Regla |
Fuente |
Destino |
Puerto de Destino |
ISE para proteger el acceso Grupo de gestión |
Servidor_ISE |
Grupo de IP de gestión (RA-VPN) |
COA UDP 1700 (puerto predeterminado) |
Gestión de acceso seguro Grupo de IP a ISE |
Grupo IP de administración |
Servidor_ISE |
Autenticación, autorización UDP 1812 (puerto predeterminado) Contabilidad UDP 1813 (puerto predeterminado) |
Conjunto IP de terminales de acceso seguro a ISE |
Conjunto IP de terminales |
Servidor_ISE |
Portal de aprovisionamiento TCP 8443 (puerto predeterminado) |
Conjunto IP de terminales de acceso seguro al SERVIDOR DNS |
Conjunto IP de terminales |
Servidor DNS |
DNS UDP y TCP 53 |
Nota: Si desea conocer más puertos relacionados con ISE, consulte la User Guide - Port Reference.
Nota: Se necesita una regla DNS si ha configurado ISE para que se detecte mediante un nombre, como ise.ciscosspt.es
Grupos IP de terminales y grupos de gestión
Para verificar el grupo IP de administración y de terminales, navegue hasta el panel de acceso seguro:
Connect > End User Connectivity
Virtual Private Network
Manage IP Pools
Haga clic en Manage
Paso 3: Compruebe que ISE está configurado en Recursos privados
Para permitir que los usuarios conectados a través de la VPN accedan a ISE Provisioning Portal
, debe asegurarse de que ha configurado el dispositivo como un recurso privado para proporcionar acceso, que se utiliza para permitir el aprovisionamiento automático de la redISE Posture Module
a través de la VPN.
Para verificar que ISE está configurado correctamente, navegue hasta el panel de acceso seguro:
Resources > Private Resources
Si es necesario, puede restringir la regla al puerto del portal de aprovisionamiento (8443).
Nota: Asegúrese de que ha marcado la casilla de verificación de las conexiones VPN.
Paso 4: Permiso de acceso a ISE según la política de acceso
Para permitir que los usuarios conectados a través de la VPN se desplacen a ISE Provisioning Portal
, debe asegurarse de que ha configurado un Access Policy
para permitir que los usuarios configurados bajo esa regla accedan al recurso privado configurado enStep3
.
Para verificar que ISE está configurado correctamente, navegue hasta el panel de acceso seguro:
Secure > Access Policy
Para descargar registros de ISE para verificar un problema relacionado con el estado, continúe con los siguientes pasos:
Operations > Troubleshoot > Debug Wizard
Posture > Debug Nodes
Save
Precaución: Después de este punto, debe empezar a reproducir el problema; the debug logs can affect the performance of your device
.
Después de reproducir el problema, continúe con los siguientes pasos:
Operations > Download Logs
Support Bundle
, elija las siguientes opciones:
Include debug logs
Support Bundle Encryption
Shared Key Encryption
Encryption key
y Re-Enter Encryption key
Create Support Bundle
Download
Advertencia: Inhabilite el modo de depuración habilitado en el paso Debug Profile Configuration
Vaya al panel de acceso seguro:
Monitor > Remote Access Logs
Para generar el paquete DART en su equipo, consulte el siguiente artículo:
Herramienta Cisco Secure Client Diagnostic and Reporting Tool (DART)
Nota: Una vez que haya recopilado los registros indicados en la sección de solución de problemas, abra un caso con TAC
para continuar con el análisis de la información.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
12-Apr-2024
|
Versión inicial |