Implementazione della postura senza reindirizzamento ISE

Opzioni per il download

  • PDF     (2.4 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (2.2 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.6 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:7 luglio 2025
ID documento:220394

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive l'uso e la configurazione del flusso di postura senza reindirizzamento e i suggerimenti per la risoluzione dei problemi.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Flusso di postura su ISE
    • Configurazione dei componenti di postura su ISE
    • Reindirizzamento ai portali ISE

    Per una migliore comprensione dei concetti descritti più avanti, si consiglia di esaminare:

    Confronta il flusso di reindirizzamento della postura ISE con il flusso di reindirizzamento della postura ISE
    Risoluzione dei problemi di gestione e postura delle sessioni ISE

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • Cisco ISE versione 3.3
    • Cisco Secure Client 5.0.01242

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    Il flusso di ISE Posture è costituito dai seguenti passaggi:

    0. Autenticazione/autorizzazione. In genere viene eseguito subito prima dell'inizio del flusso di postura, ma può essere ignorato in alcuni casi di utilizzo, ad esempio in caso di rivalutazione della postura (PRA).

    Poiché l'autenticazione non attiva la scoperta della postura, questa non è considerata essenziale per ogni flusso di postura.

    1. Individuazione. Processo eseguito dal modulo Secure Client ISE Posture per trovare il proprietario PSN della sessione attiva corrente.
    2. Provisioning client. Processo eseguito da ISE per effettuare il provisioning del client con le versioni corrispondenti del modulo ISE Posture di Cisco Secure Client (in precedenza AnyConnect) e del modulo di conformità. In questo passaggio viene eseguito il push al client anche della copia locale del profilo di postura contenuto nel PSN specifico e firmato da tale PSN.
    3. Scansione del sistema. Le policy di postura configurate sull'ISE vengono valutate dal Modulo di conformità.
    4. Correzione (facoltativo). Eseguito in caso di criteri di postura non conformi.
    5. CoA. La riautorizzazione è necessaria per concedere l'accesso finale alla rete (conforme o non conforme).


    Questo documento è incentrato sul processo di rilevamento del flusso ISE Posture.

    Cisco consiglia di utilizzare il reindirizzamento per il processo di rilevamento. In alcuni casi, tuttavia, il reindirizzamento non è implementabile, ad esempio nell'utilizzo di dispositivi di rete di terze parti in cui non è supportato. Questo documento ha lo scopo di fornire una guida generale e le best practice per implementare e risolvere la postura senza reindirizzamento in tali ambienti.

    La descrizione completa del flusso senza reindirizzamento è descritta in Confronto tra ISE Posture Redirection Flow e ISE Posture Redirectionless Flow

    Esistono due tipi di sonde per il rilevamento della postura che non utilizzano il reindirizzamento:

    1. Connectiondata.xml
    2. Call Home List

    Connectiondata.xml

    Connectiondata.xml è un file creato e gestito automaticamente da Cisco Secure Client. È costituito da un elenco di PSN a cui il client si è connesso in precedenza per la postura, pertanto si tratta solo di un file locale e il relativo contenuto non è persistente in tutti gli endpoint.

    Lo scopo principale di connectiondata.xml è quello di fungere da meccanismo di backup per i probe di individuazione delle fasi 1 e 2. Nel caso in cui i probe di reindirizzamento o Call Home List non siano in grado di trovare un PSN con una sessione attiva, Cisco Secure Client invia una richiesta diretta a ciascuno dei server elencati in connectiondata.xml.

    Stage 1 Discovery ProbesSonde di individuazione fase 1

    Stage 2 Discovery ProbesSonde di individuazione fase 2

    Un problema comune causato dall'uso dei probe connectiondata.xml è un sovraccarico dell'implementazione ISE dovuto a un elevato numero di richieste HTTPS inviate dagli endpoint. È importante considerare che, sebbene il file connectiondata.xml sia efficace come meccanismo di backup per evitare interruzioni complete sia per il reindirizzamento che per i meccanismi di postura senza reindirizzamento, non è una soluzione sostenibile per un ambiente di postura, pertanto è necessario diagnosticare e risolvere i problemi di progettazione e configurazione che causano il fallimento delle principali sonde di rilevamento e che determinano problemi di rilevamento.

    Call Home List

    Call Home List è una sezione del profilo di postura in cui è specificato un elenco di PSN da utilizzare per la postura. A differenza di connectiondata.xml, questo file viene creato e gestito da un amministratore ISE e può richiedere una fase di progettazione per una configurazione ottimale. L'elenco di PSN nell'elenco Home page chiamate corrisponde all'elenco dei server di autenticazione e di accounting configurato nel dispositivo di rete o nel servizio di bilanciamento del carico per RADIUS.

    I probe Call Home List consentono l'utilizzo di una ricerca MnT durante la ricerca di sessioni attive in caso di errore di ricerca locale in un PSN. La stessa funzionalità si estende ai probe di connectiondata.xml solo quando vengono utilizzati durante l'individuazione della Fase 2. Per questo motivo, tutte le sonde della fase 2 sono anche chiamate sonde di nuova generazione.

    MnT Lookup FlowFlusso di ricerca MnT

    Progettazione

    Poiché un processo di rilevamento senza reindirizzamento spesso comporta un flusso più complesso e una quantità maggiore di elaborazione su PSN e MnT rispetto a un flusso di reindirizzamento, durante l'implementazione possono verificarsi due problemi comuni:

    1. Rilevamento efficace
    2. Prestazioni dell'implementazione ISE

    Per far fronte a queste sfide, si consiglia di progettare l'elenco call home in modo da limitare il numero di PSN che un determinato endpoint può utilizzare per la postura. Per distribuzioni di medie e grandi dimensioni, è necessario distribuire la distribuzione per creare più elenchi chiamate a domicilio con un numero ridotto di PSN. Di conseguenza, l'elenco di PSN utilizzato per l'autenticazione RADIUS per un determinato dispositivo di rete può essere limitato allo stesso modo in modo da corrispondere all'elenco chiamate a domicilio corrispondente.

    Durante lo sviluppo della strategia di distribuzione PSN per determinare il numero massimo di PSN in ogni elenco chiamate a casa, è possibile tenere in considerazione i seguenti aspetti:

    • Numero di PSN nella distribuzione
    • Specifiche hardware dei nodi PSN e MnT
    • Numero massimo di sessioni di postura simultanee nella distribuzione
    • Numero di dispositivi di rete
    • Ambienti ibridi (reindirizzamento simultaneo e implementazione della postura senza reindirizzamento)
    • Numero di adattatori utilizzati dagli endpoint
    • Posizione dei dispositivi di rete e dei PSN
    • Tipi di connessione di rete utilizzati per la postura (cablata, wireless, VPN)

    Example: PSN Distribution for Redirectionless PostureEsempio: Distribuzione PSN per postura senza reindirizzamento

    Suggerimento: Utilizzare Gruppi di dispositivi di rete per classificare i dispositivi di rete in base al progetto.

    Configurazione

    Gruppi di dispositivi di rete (facoltativo)

    I gruppi di dispositivi di rete possono essere utilizzati per identificare i dispositivi di rete e associarli all'elenco dei server RADIUS e all'elenco delle chiamate a domicilio corrispondenti. In ambienti ibridi, possono essere utilizzati anche per identificare dispositivi che supportano il reindirizzamento da dispositivi che non lo supportano.

    Se la strategia di distribuzione sviluppata durante la fase di progettazione si basa sui gruppi di dispositivi di rete, procedere come segue per configurarli sull'ISE:

    1. Passare a Amministrazione > Risorse di rete Gruppi di risorse di rete.
    2. Fare clic su Aggiungi per aggiungere un nuovo gruppo, fornire un nome e selezionare il gruppo padre, se applicabile.
    3. Ripetete il passo 2 per creare tutti i gruppi necessari.


    Negli esempi utilizzati in questa guida, il gruppo di dispositivi di posizione viene utilizzato per identificare l'elenco dei server RADIUS e l'elenco Call Home, mentre un gruppo di dispositivi di postura personalizzato viene utilizzato per identificare il reindirizzamento dai dispositivi di postura senza reindirizzamento.

    Network Device GroupsGruppi di dispositivi di rete

    Dispositivo di rete

    1. Il dispositivo di rete può essere configurato per l'autenticazione, l'autorizzazione e l'accounting RADIUS. Per la configurazione, consultare la documentazione di ciascun fornitore. Configurare l'elenco dei server RADIUS in base all'elenco Call Home corrispondente.
    2. Su ISE, selezionare Amministrazione > Risorse di rete > Dispositivi di rete e fare clic su Aggiungi. Configurare i gruppi di dispositivi di rete in base alla progettazione e abilitare le impostazioni di autenticazione RADIUS per configurare il segreto condiviso.

    Network Device ConfigurationConfigurazione dispositivo di rete

    Provisioning client

    Esistono due modi per fornire al client il software e il profilo appropriati per eseguire la postura in un ambiente senza reindirizzamento:

    1. Provisioning manuale (pre-installazione)
    2. Portale di provisioning client (distribuzione Web)

    Provisioning manuale (pre-installazione)

    • Scaricare e installare Cisco Secure Client Profile Editor da Cisco Software Download. Profile Editor PackagePacchetto Editor profili
    • Aprire ISE Posture Profile Editor:
      • Verificare che l'opzione Abilita flusso di non reindirizzamento della postura sia abilitata.
      • Configurare le regole dei nomi server separate da virgole. Scegliere una delle seguenti configurazioni:
        • Un asterisco singolo * per consentire la connessione a qualsiasi PSN.
        • Valori jolly (ad esempio, *.aaamex.com) per consentire la connessione a qualsiasi PSN in domini specifici.
        • Elenco di FQDN di PSN, separati da virgole, per limitare la connessione a PSN specifici. Se utilizzato, questo elenco deve corrispondere all'elenco delle chiamate locali.
      • Configurare Call Home List per specificare l'elenco di PSN separati da virgole. Assicurarsi di aggiungere la porta del portale di provisioning client con il formato FQDN:porta o IP:porta.
        Posture Profile Configuration with Profile EditorConfigurazione profilo postura con Editor profili

        Nota: Per istruzioni su come verificare la porta del portale di provisioning client, se necessario, fare riferimento al passaggio 4 della sezione Criteri di provisioning client.

    • Salvare il profilo come ISEPostureCFG.xml.
    • Ripetere i passaggi 2 e 3 per creare un nuovo profilo di postura per ogni Call Home List in uso.
    • Scaricare il pacchetto di pre-distribuzione di Cisco Secure Client da Cisco Software Download.
      Cisco Secure Client Pre-deploy PackagePacchetto pre-distribuzione Cisco Secure Client
    • Distribuire il profilo e i file di installazione in un file di archivio oppure copiare i file nei client.

      Avviso: Verificare che gli stessi file Cisco Secure Client si trovino anche sugli headend a cui si intende connettersi: Secure Firewall ASA, ISE e così via. Anche quando si utilizza il provisioning manuale, ISE deve essere configurato per il provisioning del client con la versione software corrispondente. Per istruzioni dettagliate, consultare la sezione Configurazione dei criteri di provisioning del client.

    • Sul client, aprire il file zip ed eseguire il programma di installazione per installare i moduli Core e ISE Posture. In alternativa, è possibile utilizzare i singoli file msi per installare ciascun modulo; in questo caso, è necessario verificare che il modulo core-vpn sia installato per primo.

      Cisco Secure Client Pre-deploy Package ContentsContenuto del pacchetto di predistribuzione di Cisco Secure Client


      Cisco Secure Client InstallerCisco Secure Client Installer

      Suggerimento: Installare lo Strumento di diagnostica e report da utilizzare per la risoluzione dei problemi. 

    • Al termine dell'installazione, copiare il file xml del profilo di postura nelle seguenti posizioni:
      • Windows: %ProgramData%\Cisco\Cisco Secure Client\ISE Posture
      • MacOS /opt/cisco/secureclient/iseposture/

    Portale di provisioning client (distribuzione Web)

    ISE Client Provisioning Portal può essere utilizzato per installare il modulo Cisco Secure Client ISE Posture e il profilo di postura ISE. Può essere utilizzato anche per eseguire il push del profilo di postura da solo se il modulo ISE Posture è già installato sul client.

      1. Passare a Centri di lavoro > Postura > Provisioning client > Portale di provisioning client per aprire la configurazione del portale. Espandere la sezione Impostazioni portale e individuare il campo Metodo di autenticazione, quindi selezionare la sequenza di origine identità da utilizzare per l'autenticazione nel portale.
      2. Configurare i gruppi di identità interni ed esterni autorizzati a utilizzare il portale di provisioning client.
        Authentication Method and Authorized Groups in Portal SettingsMetodo di autenticazione e gruppi autorizzati nelle impostazioni del portale
      3. Nel campo Nome di dominio completo (FQDN) configurare l'URL utilizzato dai client per accedere al portale. Per configurare più FQDN, immettere i valori separati da virgole.
        dianaro_7-1679511063143
      4. Configurare i server DNS per risolvere l'URL del portale nei nomi PSN del Call Home List corrispondente.
      5. Fornire l'FQDN agli utenti finali per accedere al portale e installare il software ISE Posture.

    Nota: Per utilizzare l'FQDN del portale, i client devono disporre della catena di certificati PSN Admin e della catena di certificati del portale installate nell'archivio attendibile e il certificato Admin deve contenere l'FQDN del portale nel campo SAN.

    Criterio di provisioning client

    Il provisioning client deve essere configurato su ISE indipendentemente dal tipo di provisioning (pre-distribuzione o distribuzione Web) utilizzato per installare Cisco Secure Client sugli endpoint.

    1. Scaricare il pacchetto di distribuzione headend Cisco Secure Client da Download del software Cisco.Cisco Secure Client Webdeploy PackagePacchetto Cisco Secure Client Webdeploy
    2. Scarica l'ultimo pacchetto web ISE Compliance Module da Cisco Software Download.
      ISE Compliance Module Webdeploy PackagePacchetto WebDeployment di ISE Compliance Module
    3. All'ISE, selezionare Work Center > Posture > Client Provisioning > Resources, quindi fare clic su Add > Agent resources from local disk (Aggiungi risorse agente dal disco locale). Selezionare Cisco Provided Packages dal menu a discesa Categoria e caricare il pacchetto di distribuzione headend Cisco Secure Client precedentemente scaricato. Ripetere la stessa procedura per caricare il Modulo di conformità.
      Upload Cisco Provided Packages to ISECarica i pacchetti forniti da Cisco a ISE
    4. Nella scheda Risorse, fare clic su Aggiungi > Profilo postura agente. Nel profilo:
      • Configurare un nome da utilizzare per identificare il profilo e l'elenco call home in ISE.
      • Verificare che l'opzione Abilita probe aggiuntivi in modo che il flusso di non reindirizzamento possa funzionare sia impostata su .
      • Configurare l'elenco dei server di backup di individuazione. Selezionare i PSN corrispondenti all'elenco delle chiamate a domicilio in fase di configurazione.
        Elenco dei nomi di servizio (PSN) salvati in ConnectionData.xml dopo la prima connessione.
      • Configurare le regole dei nomi server separate da virgole Scegliere una delle seguenti configurazioni:
        • Un asterisco singolo * per consentire la connessione a qualsiasi PSN.
        • Valori jolly (ad esempio, *.aaamex.com) per consentire la connessione a qualsiasi PSN in domini specifici.
        • Elenco di FQDN PSN, separati da virgole, per limitare la connessione a PSN specifici. Se utilizzato, questo elenco deve corrispondere all'elenco chiamate a casa.
      • Configurare Call Home List per specificare l'elenco di PSN separati da virgole. Assicurarsi di aggiungere la porta del portale di provisioning client utilizzando il formato FQDN:porta o IP:porta.
        Per trovare o modificare la porta CPP, passare a Centri di lavoro > Postura > Provisioning client > Portale di provisioning client, selezionare il portale in uso, espandere Impostazioni portale e cercare la porta HTTP.

        Agent Posture Profile ConfigurationConfigurazione profilo postura agente
        Posture Protocol Configuration in Agent Posture ProfileConfigurazione protocollo postura nel profilo postura agente
    5. Nella scheda Risorse, fare clic su Aggiungi > Configurazione agente. Selezionare il pacchetto Cisco Secure Client e il modulo di conformità da utilizzare.

      Avviso: Se Cisco Secure Client è stato pre-distribuito ai client, verificare che la versione su ISE corrisponda alla versione sugli endpoint. Se per la distribuzione Web si usa ASA o FTD, anche la versione sul dispositivo può corrispondere.

    6. Scorrere verso il basso fino alla sezione Selezione postura e selezionare il profilo che è stato creato nel passo 1. Fare clic su Invia nella parte inferiore della pagina per salvare la configurazione.
      Agent ConfigurationConfigurazione agente

    7. Passare a Centri di lavoro > Postura > Provisioning client > Criteri di provisioning client. Individuare il criterio utilizzato per il sistema operativo richiesto e fare clic su Modifica. Fare clic sul segno + nella colonna Risultati e selezionare la configurazione dell'agente dal passaggio 5 nella sezione Configurazione agente. Fare clic su Salva nella parte inferiore della pagina.

      Nota: Nel caso di più elenchi chiamate a domicilio, utilizzare il campo Altre condizioni per inviare il profilo corretto ai client corrispondenti. In questo esempio, il gruppo di posizione del dispositivo viene utilizzato per identificare il profilo di postura sottoposto a push nel criterio.

      Suggerimento: Se per lo stesso sistema operativo sono configurati più criteri di provisioning client, si consiglia di escluderli a vicenda, ovvero un determinato client può eseguire l'accesso a un solo criterio alla volta. Gli attributi RADIUS possono essere utilizzati nella colonna Altre condizioni per distinguere un criterio da un altro.


      Agent Configuration in Client Provisioning PolicyConfigurazione agente nei criteri di provisioning client
      Client Provisioning PolicyCriterio di provisioning client
    8. Ripetere i passaggi da 4 a 7 per ogni Call Home List e profilo di postura corrispondente in uso. Per gli ambienti ibridi, gli stessi profili possono essere utilizzati per i client di reindirizzamento.

    Authorization

    Profilo di autorizzazione

    1. Selezionare Policy > Policy Elements > Results > Authorization > Downloadable ACLs (Criterio > Elementi criteri > Risultati > Autorizzazione > ACL scaricabili) e fare clic su Add.
    2. Creare un DACL per consentire il traffico verso DNS, DHCP (se utilizzato), ISE PSN e bloccare altro traffico. Accertarsi di autorizzare tutto il traffico necessario per l'accesso prima di ottenere l'accesso conforme.

      DACL ConfigurationConfigurazione DACL

      permit udp any any eq domain
permit udp any any eq bootps
permit ip any host 
permit ip any host 
deny ip any any

      Attenzione: alcuni dispositivi di terze parti non supportano gli elenchi DACL; in questi casi è necessario utilizzare un ID filtro o altri attributi specifici del fornitore. Per ulteriori informazioni, consultare la documentazione del fornitore. Se non si usano gli ACL, configurare l'ACL corrispondente nel dispositivo di rete.

    3. Passare a Criterio > Elementi dei criteri > Risultati > Autorizzazione > Profili di autorizzazione e fare clic su Aggiungi. Assegnare un nome al profilo di autorizzazione e selezionare Nome DACL da Attività comuni. Dal menu a discesa, selezionare il DACL creato al punto 2.Authorization ProfileProfilo di autorizzazione

      Nota: Se non si utilizzano gli ACL, utilizzare Filter-ID da Common Tasks o Advanced Attribute Settings per eseguire il push del nome ACL corrispondente.

    4. Ripetere i passaggi da 1 a 3 per ogni elenco call home in uso. Per gli ambienti ibridi, è necessario un solo profilo di autorizzazione per il reindirizzamento. La configurazione del profilo di autorizzazione per il reindirizzamento esula dall'ambito di questo documento.

    Criteri di autorizzazione

    1. Passare a Criterio > Set di criteri e aprire il set di criteri in uso o crearne uno nuovo.
    2. Scorrere verso il basso fino alla sezione Criteri di autorizzazione. Creare un criterio di autorizzazione utilizzando Session PostureStatus NOT_EQUALS Compliant e selezionare il profilo di autorizzazione creato nella sezione precedente.
      Authorization PoliciesCriteri di autorizzazione
    3. Ripetere il passaggio 2 per ogni profilo di autorizzazione con l'elenco chiamate a casa corrispondente in uso. Per gli ambienti ibridi, è necessaria una sola regola di autorizzazione per il reindirizzamento.

    Risoluzione dei problemi

    Conforme a Cisco Secure Client e postura Non applicabile (in sospeso) su ISE

    Sessioni non aggiornate/fantasma

    La presenza di sessioni obsolete o fantasma nella distribuzione può generare errori intermittenti e apparentemente casuali con il rilevamento della postura senza reindirizzamento, che determinano il blocco degli utenti in un accesso di postura sconosciuta/non applicabile su ISE, mentre l'interfaccia utente di Cisco Secure Client mostra un accesso conforme.

    Le sessioni obsolete sono sessioni obsolete che non sono più attive. Vengono creati da una richiesta di autenticazione e dall'avvio dell'accounting, ma non viene ricevuta alcuna interruzione dell'accounting nel PSN per cancellare la sessione.

    Le sessioni fantasma sono sessioni che non sono mai state effettivamente attive in un particolare PSN. Vengono creati da un aggiornamento temporaneo di accounting, ma non viene ricevuto alcun arresto di accounting nel PSN per cancellare la sessione.

    Identificazione

    Per identificare un problema di sessione non aggiornata/fantasma, verificare il PSN utilizzato nell'analisi del sistema sul client e confrontarlo con il PSN che esegue l'autenticazione:

    1. Nell'interfaccia utente di Cisco Secure Client, fare clic sull'icona gear nell'angolo in basso a sinistra. Dal menu a sinistra, aprire la sezione ISE Posture e passare alla scheda Statistics (Statistiche). Prendere nota di Policy Server in Informazioni connessione.
      Policy Server for ISE Posture in Cisco Secure ClientPolicy Server per ISE Posture in Cisco Secure Client
    2. Nei log live ISE RADIUS, tenere presente quanto segue:
      • Modifica nello stato della postura
      • Modifica nel server
      • Nessuna modifica nei criteri di autorizzazione e nel profilo di autorizzazione
      • Nessun registro CoA attivo
      Live Logs for Stale/Phantom SessionRegistri attivi per sessioni obsolete/fantasma
    3. Aprire la sessione live o i dettagli del log live dell'ultima autenticazione. Prendere nota di Policy Server, se si differenzia dal server osservato nel passaggio 1, indica un problema con sessioni non aggiornate/fantasma.
      Policy Server in Live Log DetailsDettagli del server dei criteri nel registro attivo

    Soluzione

    Le versioni ISE successive alla patch 6 di ISE 2.6 e alla patch 3 di ISE 2.7 implementano RADIUS Session Directory come soluzione per lo scenario di sessioni obsolete/fantasma in un flusso di postura senza reindirizzamento.

    1. Selezionare Amministrazione > Sistema > Impostazioni > Distribuzione dati luce e verificare che la casella di controllo Abilita directory di sessione RADIUS sia abilitata.
      Enable RADIUS Session DirectoryAbilita directory di sessione RADIUS

    2. Dalla CLI di ISE, verificare che ISE Messaging Service sia in esecuzione su tutti i PSN eseguendo il comando show applications status ise.
      ISE Messaging Service RunningServizio di messaggistica ISE in esecuzione

      Nota: Questo servizio fa riferimento al metodo di comunicazione utilizzato per RSD tra PSN e può essere eseguito indipendentemente dallo stato dell'impostazione del servizio di messaggistica ISE per syslog che può essere impostata dall'interfaccia utente ISE.

    3. Passare a ISE Dashboard e individuare la dashlet Alarms. Verificare se sono presenti avvisi di errore collegamento coda. Fare clic sul nome dell'allarme per visualizzare ulteriori dettagli.
      Queue Link Error AlarmsAvvisi errori collegamento coda
    4. Verificare se gli allarmi vengono generati tra i PSN utilizzati per la postura.
      Queue Link Error Alarm DetailsDettagli avviso di errore collegamento coda
    5. Posizionare il puntatore del mouse sulla descrizione dell'allarme per visualizzare i dettagli completi e prendere nota del campo Causa. Le due cause più comuni dell'errore di collegamento alla coda sono: 
      • Timeout: indica che le richieste inviate da un nodo a un altro nodo sulla porta 8671 non ricevono risposta entro la soglia. Per risolvere il problema, verificare che la porta TCP 8671 sia consentita tra i nodi.
      • CA sconosciuta: indica che la catena di certificati che firma il certificato di messaggistica ISE non è valida o incompleta. Per correggere l'errore:
        1. Passare a Amministrazione > Sistema > Certificati > Richieste di firma dei certificati.
        2. Fare clic su Genera richieste di firma del certificato (CSR).
        3. Dal menu a discesa selezionare ISE Root CA e fare clic su Sostituisci catena di certificati ISE Root CA.
          Se ISE Root CA non è disponibile, selezionare Certificate Authority > Internal CA settings (Autorità di certificazione) e fare clic su Enable Certificate Authority (Abilita Autorità di certificazione), quindi tornare al CSR e rigenerare la CA radice.
        4. Generare un nuovo CSR e selezionare ISE Messaging Service dal menu a discesa.
        5. Selezionare tutti i nodi dalla distribuzione e rigenerare il certificato.

      Nota: Durante la rigenerazione dei certificati è previsto il rilevamento di avvisi di errore di collegamento alla coda con la causa del rifiuto di CA sconosciuta o di Econ. Monitorare gli allarmi dopo la generazione del certificato per confermare la risoluzione del problema.

    Prestazioni

    Identificazione

    Problemi di prestazioni quali l'elevato utilizzo della CPU e l'elevato carico medio relativo alla postura senza reindirizzamento possono influire sul PSN e sui nodi MnT e sono spesso accompagnati o preceduti da questi eventi:

    • Casuale o intermittente. Nessun server dei criteri ha rilevato errori in Cisco Secure Client.
    • Il limite massimo di risorse ha raggiunto i rapporti per il pool di thread del servizio portale. È stato raggiunto il valore di soglia per gli eventi. Passare a Operazioni > Rapporti > Rapporti > Audit > Audit operazioni per visualizzare i rapporti.
    • La query di postura per la ricerca MNT è ad allarmi elevati. Questi allarmi vengono generati solo su ISE versione 3.1 e successive.


    Soluzione

    Se le prestazioni dell'installazione sono influenzate dalla postura senza reindirizzamento, ciò indica spesso un'implementazione inefficace. Si raccomanda di rivedere i seguenti aspetti:

    • Numero di nomi di servizio (PSN) utilizzati per elenco chiamate iniziali. Valutare la possibilità di ridurre il numero di PSN utilizzabili per la postura per endpoint o dispositivo di rete in base alla progettazione.
    • Porta del portale di provisioning client in Call Home List. Verificare che il numero di porta del portale sia incluso dopo l'IP o il nome di dominio completo di ogni nodo.


    Per ridurre l'impatto:

    1. Cancellare il file connectiondata.xml dagli endpoint rimuovendo il file dalla cartella Cisco Secure Client e riavviare il servizio Postura di ISE o Cisco Secure Client. Se i servizi non vengono riavviati, il file precedente viene rigenerato e le modifiche non diventano effettive. Questa azione può essere eseguita anche dopo la revisione e la modifica degli elenchi Call Home.
    2. Utilizzare i DACL o altri ACL per bloccare il traffico diretto ai PSN ISE per le connessioni di rete ove non pertinente:
      • Per le connessioni in cui la postura non viene applicata nei criteri di autorizzazione, ma che si applicano agli endpoint con Cisco Secure Client ISE Posture module installato, bloccare il traffico tra i client e tutti i PSN ISE per le porte TCP 8905 e la porta del portale di provisioning client. Questa azione è consigliata anche per la postura con implementazione di reindirizzamento.
      • Per le connessioni in cui la postura è applicata nei criteri di autorizzazione, consentire il traffico dai client al PSN di autenticazione e bloccare il traffico verso altri PSN nella distribuzione. Questa azione può essere implementata temporaneamente durante la revisione del progetto.
        Authorization Profile with DACL for Single PSNProfilo di autorizzazione con DACL per PSN singolo
        Authorization Policies per PSNCriteri di autorizzazione per PSN

    Amministrazione

    L'accounting RADIUS è essenziale per la gestione delle sessioni ad ISE. Poiché la postura si basa su una sessione attiva da eseguire, una configurazione errata o non corretta può influire anche sul rilevamento della postura e sulle prestazioni ISE. È importante verificare che l'accounting sia configurato correttamente sul dispositivo di rete per l'invio di richieste di autenticazione, l'avvio dell'accounting, l'arresto dell'accounting e gli aggiornamenti dell'accounting a un singolo PSN per ogni sessione.

    Per verificare i pacchetti di accounting ricevuti su ISE, selezionare Operations > Reports > Reports > Endpoints and Users > RADIUS Accounting.

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    2.0
    07-Jul-2025
    Titolo aggiornato, Testo alternativo, Dichiarazione di non responsabilità, Traduzione automatica, Requisiti di stile, Collegamenti agli oggetti, Didascalie delle immagini (quando il file era disponibile, Formattazione).
    1.0
    24-Jul-2023
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Diana Rodriguez Zaragoza
      Tecnico di consulenza

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci