La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.
Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).
Questo documento descrive l'uso e la configurazione del flusso di postura senza reindirizzamento e i suggerimenti per la risoluzione dei problemi.
Cisco raccomanda la conoscenza dei seguenti argomenti:
Per una migliore comprensione dei concetti descritti più avanti, si consiglia di esaminare:
Confronta il flusso di reindirizzamento della postura ISE con il flusso di reindirizzamento della postura ISE
Risoluzione dei problemi di gestione e postura delle sessioni ISE
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Il flusso di ISE Posture è costituito dai seguenti passaggi:
0. Autenticazione/autorizzazione. In genere viene eseguito subito prima dell'inizio del flusso di postura, ma può essere ignorato in alcuni casi di utilizzo, ad esempio in caso di rivalutazione della postura (PRA).
Poiché l'autenticazione non attiva la scoperta della postura, questa non è considerata essenziale per ogni flusso di postura.
Questo documento è incentrato sul processo di rilevamento del flusso ISE Posture.
Cisco consiglia di utilizzare il reindirizzamento per il processo di rilevamento. In alcuni casi, tuttavia, il reindirizzamento non è implementabile, ad esempio nell'utilizzo di dispositivi di rete di terze parti in cui non è supportato. Questo documento ha lo scopo di fornire una guida generale e le best practice per implementare e risolvere la postura senza reindirizzamento in tali ambienti.
La descrizione completa del flusso senza reindirizzamento è descritta in Confronto tra ISE Posture Redirection Flow e ISE Posture Redirectionless Flow
Esistono due tipi di sonde per il rilevamento della postura che non utilizzano il reindirizzamento:
Connectiondata.xml è un file creato e gestito automaticamente da Cisco Secure Client. È costituito da un elenco di PSN a cui il client si è connesso in precedenza per la postura, pertanto si tratta solo di un file locale e il relativo contenuto non è persistente in tutti gli endpoint.
Lo scopo principale di connectiondata.xml è quello di fungere da meccanismo di backup per i probe di individuazione delle fasi 1 e 2. Nel caso in cui i probe di reindirizzamento o Call Home List non siano in grado di trovare un PSN con una sessione attiva, Cisco Secure Client invia una richiesta diretta a ciascuno dei server elencati in connectiondata.xml.
Sonde di individuazione fase 1
Sonde di individuazione fase 2
Un problema comune causato dall'uso dei probe connectiondata.xml è un sovraccarico dell'implementazione ISE dovuto a un elevato numero di richieste HTTPS inviate dagli endpoint. È importante considerare che, sebbene il file connectiondata.xml sia efficace come meccanismo di backup per evitare interruzioni complete sia per il reindirizzamento che per i meccanismi di postura senza reindirizzamento, non è una soluzione sostenibile per un ambiente di postura, pertanto è necessario diagnosticare e risolvere i problemi di progettazione e configurazione che causano il fallimento delle principali sonde di rilevamento e che determinano problemi di rilevamento.
Call Home List è una sezione del profilo di postura in cui è specificato un elenco di PSN da utilizzare per la postura. A differenza di connectiondata.xml, questo file viene creato e gestito da un amministratore ISE e può richiedere una fase di progettazione per una configurazione ottimale. L'elenco di PSN nell'elenco Home page chiamate corrisponde all'elenco dei server di autenticazione e di accounting configurato nel dispositivo di rete o nel servizio di bilanciamento del carico per RADIUS.
I probe Call Home List consentono l'utilizzo di una ricerca MnT durante la ricerca di sessioni attive in caso di errore di ricerca locale in un PSN. La stessa funzionalità si estende ai probe di connectiondata.xml solo quando vengono utilizzati durante l'individuazione della Fase 2. Per questo motivo, tutte le sonde della fase 2 sono anche chiamate sonde di nuova generazione.
Flusso di ricerca MnT
Poiché un processo di rilevamento senza reindirizzamento spesso comporta un flusso più complesso e una quantità maggiore di elaborazione su PSN e MnT rispetto a un flusso di reindirizzamento, durante l'implementazione possono verificarsi due problemi comuni:
Per far fronte a queste sfide, si consiglia di progettare l'elenco call home in modo da limitare il numero di PSN che un determinato endpoint può utilizzare per la postura. Per distribuzioni di medie e grandi dimensioni, è necessario distribuire la distribuzione per creare più elenchi chiamate a domicilio con un numero ridotto di PSN. Di conseguenza, l'elenco di PSN utilizzato per l'autenticazione RADIUS per un determinato dispositivo di rete può essere limitato allo stesso modo in modo da corrispondere all'elenco chiamate a domicilio corrispondente.
Durante lo sviluppo della strategia di distribuzione PSN per determinare il numero massimo di PSN in ogni elenco chiamate a casa, è possibile tenere in considerazione i seguenti aspetti:
Esempio: Distribuzione PSN per postura senza reindirizzamento
Suggerimento: Utilizzare Gruppi di dispositivi di rete per classificare i dispositivi di rete in base al progetto.
I gruppi di dispositivi di rete possono essere utilizzati per identificare i dispositivi di rete e associarli all'elenco dei server RADIUS e all'elenco delle chiamate a domicilio corrispondenti. In ambienti ibridi, possono essere utilizzati anche per identificare dispositivi che supportano il reindirizzamento da dispositivi che non lo supportano.
Se la strategia di distribuzione sviluppata durante la fase di progettazione si basa sui gruppi di dispositivi di rete, procedere come segue per configurarli sull'ISE:
Negli esempi utilizzati in questa guida, il gruppo di dispositivi di posizione viene utilizzato per identificare l'elenco dei server RADIUS e l'elenco Call Home, mentre un gruppo di dispositivi di postura personalizzato viene utilizzato per identificare il reindirizzamento dai dispositivi di postura senza reindirizzamento.
Gruppi di dispositivi di rete
Configurazione dispositivo di rete
Esistono due modi per fornire al client il software e il profilo appropriati per eseguire la postura in un ambiente senza reindirizzamento:
Nota: Per istruzioni su come verificare la porta del portale di provisioning client, se necessario, fare riferimento al passaggio 4 della sezione Criteri di provisioning client.
Avviso: Verificare che gli stessi file Cisco Secure Client si trovino anche sugli headend a cui si intende connettersi: Secure Firewall ASA, ISE e così via. Anche quando si utilizza il provisioning manuale, ISE deve essere configurato per il provisioning del client con la versione software corrispondente. Per istruzioni dettagliate, consultare la sezione Configurazione dei criteri di provisioning del client.
Contenuto del pacchetto di predistribuzione di Cisco Secure Client
Cisco Secure Client Installer
Suggerimento: Installare lo Strumento di diagnostica e report da utilizzare per la risoluzione dei problemi.
ISE Client Provisioning Portal può essere utilizzato per installare il modulo Cisco Secure Client ISE Posture e il profilo di postura ISE. Può essere utilizzato anche per eseguire il push del profilo di postura da solo se il modulo ISE Posture è già installato sul client.
Nota: Per utilizzare l'FQDN del portale, i client devono disporre della catena di certificati PSN Admin e della catena di certificati del portale installate nell'archivio attendibile e il certificato Admin deve contenere l'FQDN del portale nel campo SAN.
Il provisioning client deve essere configurato su ISE indipendentemente dal tipo di provisioning (pre-distribuzione o distribuzione Web) utilizzato per installare Cisco Secure Client sugli endpoint.
Avviso: Se Cisco Secure Client è stato pre-distribuito ai client, verificare che la versione su ISE corrisponda alla versione sugli endpoint. Se per la distribuzione Web si usa ASA o FTD, anche la versione sul dispositivo può corrispondere.
Nota: Nel caso di più elenchi chiamate a domicilio, utilizzare il campo Altre condizioni per inviare il profilo corretto ai client corrispondenti. In questo esempio, il gruppo di posizione del dispositivo viene utilizzato per identificare il profilo di postura sottoposto a push nel criterio.
Suggerimento: Se per lo stesso sistema operativo sono configurati più criteri di provisioning client, si consiglia di escluderli a vicenda, ovvero un determinato client può eseguire l'accesso a un solo criterio alla volta. Gli attributi RADIUS possono essere utilizzati nella colonna Altre condizioni per distinguere un criterio da un altro.
Configurazione DACL
permit udp any any eq domain
permit udp any any eq bootps
permit ip any host
permit ip any host
deny ip any any
Attenzione: alcuni dispositivi di terze parti non supportano gli elenchi DACL; in questi casi è necessario utilizzare un ID filtro o altri attributi specifici del fornitore. Per ulteriori informazioni, consultare la documentazione del fornitore. Se non si usano gli ACL, configurare l'ACL corrispondente nel dispositivo di rete.
Nota: Se non si utilizzano gli ACL, utilizzare Filter-ID da Common Tasks o Advanced Attribute Settings per eseguire il push del nome ACL corrispondente.
La presenza di sessioni obsolete o fantasma nella distribuzione può generare errori intermittenti e apparentemente casuali con il rilevamento della postura senza reindirizzamento, che determinano il blocco degli utenti in un accesso di postura sconosciuta/non applicabile su ISE, mentre l'interfaccia utente di Cisco Secure Client mostra un accesso conforme.
Le sessioni obsolete sono sessioni obsolete che non sono più attive. Vengono creati da una richiesta di autenticazione e dall'avvio dell'accounting, ma non viene ricevuta alcuna interruzione dell'accounting nel PSN per cancellare la sessione.
Le sessioni fantasma sono sessioni che non sono mai state effettivamente attive in un particolare PSN. Vengono creati da un aggiornamento temporaneo di accounting, ma non viene ricevuto alcun arresto di accounting nel PSN per cancellare la sessione.
Per identificare un problema di sessione non aggiornata/fantasma, verificare il PSN utilizzato nell'analisi del sistema sul client e confrontarlo con il PSN che esegue l'autenticazione:
Le versioni ISE successive alla patch 6 di ISE 2.6 e alla patch 3 di ISE 2.7 implementano RADIUS Session Directory come soluzione per lo scenario di sessioni obsolete/fantasma in un flusso di postura senza reindirizzamento.
Nota: Questo servizio fa riferimento al metodo di comunicazione utilizzato per RSD tra PSN e può essere eseguito indipendentemente dallo stato dell'impostazione del servizio di messaggistica ISE per syslog che può essere impostata dall'interfaccia utente ISE.
Nota: Durante la rigenerazione dei certificati è previsto il rilevamento di avvisi di errore di collegamento alla coda con la causa del rifiuto di CA sconosciuta o di Econ. Monitorare gli allarmi dopo la generazione del certificato per confermare la risoluzione del problema.
Problemi di prestazioni quali l'elevato utilizzo della CPU e l'elevato carico medio relativo alla postura senza reindirizzamento possono influire sul PSN e sui nodi MnT e sono spesso accompagnati o preceduti da questi eventi:
Se le prestazioni dell'installazione sono influenzate dalla postura senza reindirizzamento, ciò indica spesso un'implementazione inefficace. Si raccomanda di rivedere i seguenti aspetti:
Per ridurre l'impatto:
L'accounting RADIUS è essenziale per la gestione delle sessioni ad ISE. Poiché la postura si basa su una sessione attiva da eseguire, una configurazione errata o non corretta può influire anche sul rilevamento della postura e sulle prestazioni ISE. È importante verificare che l'accounting sia configurato correttamente sul dispositivo di rete per l'invio di richieste di autenticazione, l'avvio dell'accounting, l'arresto dell'accounting e gli aggiornamenti dell'accounting a un singolo PSN per ogni sessione.
Per verificare i pacchetti di accounting ricevuti su ISE, selezionare Operations > Reports > Reports > Endpoints and Users > RADIUS Accounting.
Revisione | Data di pubblicazione | Commenti |
---|---|---|
2.0 |
07-Jul-2025
|
Titolo aggiornato, Testo alternativo, Dichiarazione di non responsabilità, Traduzione automatica, Requisiti di stile, Collegamenti agli oggetti, Didascalie delle immagini (quando il file era disponibile, Formattazione). |
1.0 |
24-Jul-2023
|
Versione iniziale |