Posture State Synchronization configureren en oplossen

Downloadopties

PDF (1.2 MB)
Met Adobe Reader op diverse apparaten bekijken
ePub (1.1 MB)
Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
Mobi (Kindle) (773.2 KB)
Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken

Bijgewerkt:18 oktober 2024

Document-id:222483

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

Inleiding

Voorwaarden

Vereisten

Gebruikte componenten

Achtergrondinformatie

Van pakketopname op de client

Van ISE

Houding herstart bij houding statuswijziging

Problemen oplossen

Houding Status Synchronisatie start niet op

Synchronisatie van houdingsstatus mislukt met alarm op ISE-dashboard

Controleer of dACL is geconfigureerd voor het autorisatieprofiel "Conform" van de houding

Bekende problemen

Synchronisatie van houding mislukt met alarm op ISE

Inleiding

In dit document worden de configuratie en het gebruik van Posture State Synchronization beschreven die zijn geïntroduceerd in de Cisco Identity Service Engine (ISE) 3.1-versie.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

Posture flow op Cisco ISE
Configuratie van houdingscomponenten op Cisco ISE

Er wordt verondersteld dat je een Posture-configuratie hebt in plaats van elk type.

Om de later beschreven concepten beter te begrijpen, wordt aanbevolen om door te gaan:

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

Cisco ISE versie 3.1
Cisco Secure Client 5.0.00556

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

ISE Posture flow staat meestal niet toe dat de Posture-status wordt bijgewerkt op de client vanuit de ISE. Cisco Secure Client Posture Module wordt gebruikt om de Posture-status van het eindpunt te evalueren en deze te behouden tot netwerkwijziging, periodieke herbeoordeling of andere triggers aan de clientzijde. Als het eindpunt Houding status verandert op ISE als gevolg van een sessie beëindiging of andere redenen, kan de Secure Client Houding Module niet op de hoogte van die verandering, zodat het Eindpunt blijft in Houding Onbekende staat met beperkte toegang tot het netwerk totdat een van de client-side triggers gebeurt.

Dit document is gericht op een nieuwe functie - Posture Status Synchronization, die is ontwikkeld om dit soort problemen aan te pakken en ISE in staat te stellen feedback te geven aan de Secure Client Posture Module over de huidige Posture Status van het eindpunt.

Configureren

De Postuur status probe poort werd geïntroduceerd op elke ISE PSN node wanneer Posture State Synchronization is ingeschakeld - TCP 8449 standaard. Het wordt verondersteld bereikbaar te zijn vanaf het Eindpunt als de Eindpunt Houding status Onbekend of In behandeling is en onbereikbaar als de Eindpunt status Voldoet.

Netwerkdiagram

Network diagram

Configuraties

De configuratie van de functie voor synchronisatie van de houdingsstatus bestaat uit twee delen:

Configuratie AnyConnect-houdingsprofiel

1.1 Navigeer in de Cisco ISE GUI naar Beleid > Beleidselementen > Resultaten > Clientprovisioning > Bronnen.

1.2 Selecteer het AnyConnect-houdingsprofiel dat u al gebruikt of maak een nieuw profiel.

1.3 Configureer in het gebied Agent-gedrag het synchronisatie-interval voor de houdingsstatus op een willekeurige waarde tussen 1 en 300 seconden, 0 - schakelt de synchronisatie van de houdingsstatus uit

1.4 U kunt Posture Probing Backup List configureren - Secure Client gebruikt deze lijst om de Posture State op geselecteerde PSN's te controleren. Als u geen PSN kiest, worden de aangesloten PSN en twee back-upservers gebruikt als back-ups voor synchronisatie van de houdingsstatus.

Configuration

2. Configuratie van een downloadbare ACL (dACL) om de toegang tot de Posture State Synchronization-poort op Cisco ISE te blokkeren wanneer de status van de clientpositie Compliant of Non-Compliant is. U moet toegangscontrole toevoegen om toegang te weigeren met de Posture State Synchronization-poort voor elke PSN aan de bovenkant van ACL's die worden gebruikt voor compatibele eindpunten om de toegang tot de Posture State Synchronization-poort te beperken als de eindpuntstatus bekend is, bijvoorbeeld:

deny tcp any host PSN1-IP-ADDRESS eq 8449
deny tcp any host PSN2-IP-ADDRESS eq 8449
permit ip any any

Elke vergunning IP is niet verplicht, u kunt deze vervangen door een reeks regels op basis van uw behoeften.

Opmerking: Als de vermelding weigeren in dACL niet is geconfigureerd, wordt het Posture Configuration Detection-alarm geactiveerd op het Cisco ISE-dashboard en wordt de synchronisatie van de posturestatus uitgeschakeld op het eindpunt totdat Cisco Secure Client opnieuw wordt gestart.

Posture State Synchronization-poort (bidirectionele poort) kan worden gewijzigd op de configuratiepagina van het Client Provisioning Portal. Navigeer naar Beheer > Apparaatportaalbeheer > Clientprovisioning > Selecteer het gewenste portaal > Portaalgedrag en -stroominstellingen en open Portaalinstellingen. De synchronisatiepoort voor de houdingsstatus van het standaard Client Provisioning Portal kan niet worden gewijzigd.

Portals Settings and Customization

Verifiëren

Uit de DART-bundel

Posture Status Synchronization kan worden geverifieerd vanaf de clientzijde door te kijken naar Cisco Secure Client Posture Module-logs (AnyConnect_ISEPosture.txt) van DART Bundle:

1. Houdingsevaluatie is voltooid, Houdingstoestand is conform.

2022/11/09 12:22:47 [Information] aciseagent Function: Authenticator::sendUIStatus Thread Id: 0xC60 File: authenticator.cpp Line: 1905 Level: debug  MSG_SU_STEP_STATUS, {Status:4,Compliant:2,RemStatus:2,Phase:0,StepNumber:-1,Progress:-1,Attention:1,Cancellable:0,Restartable:0,ErrorMessage:0,Description1:"Compliant.",Description2:"Network access allowed."}.

2. De synchronisatie van de houdingsstatus wordt gestart.

2022/11/09 12:22:47 [Information] aciseagent Function: PeriodicProbe::ProcessMessage Thread Id: 0xC60 File: periodic_probe.cpp Line: 143 Level: info  Session Sync Periodic Probing start. 
2022/11/09 12:22:47 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 335 Level: info  Session sync periodic probing thread start.

3. De HTTPS-verbinding met ISE PSN op de Posture State Synchronization-poort (8449) wordt gestart.

2022/11/09 12:22:47 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 357 Level: debug  Sending http session sync periodic probe to [ISE-PSN-FQDN]. 
2022/11/09 12:22:47 [Information] aciseagent Function: HttpConnection::MakeRequest Thread Id: 0x296C File: httpconnection.cpp Line: 330 Level: debug  Url=https://ISE-PSN-FQDN:8449/auth/StateSynch.

4. Time-out voor het meten van de houdingsstatus.

2022/11/09 12:22:54 [Information] aciseagent Function: hs_transport_winhttp_post Thread Id: 0x296C File: hs_transport_winhttp.c Line: 5815 Level: debug  unable to send request: 12002. 
2022/11/09 12:22:54 [Information] aciseagent Function: hs_transport_post Thread Id: 0x296C File: hs_transport.c Line: 1425 Level: trace  posting data failed. 
2022/11/09 12:22:54 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 394 Level: debug  HTTP Probe failed/timed-out, Retrying...

Van pakketopname op de client

Packet capture genomen op de client toont SYN-pakketten verzonden naar de ISE PSN-node op de Posture State Synchronization-poort (8449) zonder SYN-ACK-reactie van ISE PSN:

From Packet Capture on the Client

Van ISE

De configuratie voor de correcte synchronisatie van de houdingsstatus kan niet worden geverifieerd vanaf de ISE-kant, omdat de verbinding op de synchronisatiepoort voor de houdingsstatus (8449) zou moeten mislukken.

Houding herstart bij houding statuswijziging

1) Informatie over de sessiestatus is ontvangen van ISE met de status 'Onbekend' terwijl Cisco Secure Client zich in de status 'Voldoet' bevindt.

2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 430 Level: debug  --- Http Response Headers ---. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  HTTP-Version: 1.1. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Status-Code: 200. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Connection: keep-alive. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Date: Wed, 09 Nov 2022 11:26:24 GMT. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Keep-Alive: timeout=20. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Content-Length: 0. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Server: server. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  X-Frame-Options: SAMEORIGIN. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Strict-Transport-Security: max-age=31536000; includeSubDomains. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  X-Content-Type-Options: nosniff. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; img-src 'self' http://www.cisco.com/ data:;. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  X-XSS-Protection: 1; mode=block. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Accept-CH: Sec-CH-UA-Arch, Sec-CH-UA-Full-Version, Sec-CH-UA-Mobile, Sec-CH-UA-Model, Sec-CH-UA-Platform-Version, Sec-CH-UA-Platform, Sec-CH-UA. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  X-ISE-POSTURE_STATUS: Unknown. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 442 Level: debug  --------------------.

2) Cisco Secure Client erkent de statuswijziging en start de Posture Discovery opnieuw op:

2022/11/09 12:26:24 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 379 Level: debug  Different Session state on ISE = [ ISE-PSN-FQDN]. Restarting discovery. 
2022/11/09 12:26:24 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 387 Level: debug  MSG_NS_SWIFT_RESTART_SEARCH, {manualRescan:0,stopPeriodicProbe:1}. 
2022/11/09 12:26:24 [Information] aciseagent Function: SwiftHttpRunner::restartDiscovery Thread Id: 0xC60 File: swifthttprunner.cpp Line: 1431 Level: debug  Restarting Discovery.

3) Cisco Secure Client stopt de synchronisatie van de houdingsstatus totdat de houdingsbeoordeling is uitgevoerd:

2022/11/09 12:26:24 [Information] aciseagent Function: SwiftHttpRunner::processMessage Thread Id: 0xC60 File: swifthttprunner.cpp Line: 383 Level: debug  Periodic Probes requested to be stopped. 
2022/11/09 12:26:24 [Information] aciseagent Function: SwiftHttpRunner::restartDiscovery Thread Id: 0xC60 File: swifthttprunner.cpp Line: 1436 Level: debug  MSG_PN_STOP_PERIODIC_PROBE sent. 
2022/11/09 12:26:24 [Information] aciseagent Function: SwiftHttpRunner::restartDiscovery Thread Id: 0xC60 File: swifthttprunner.cpp Line: 1437 Level: debug  MSG_PN_STOP_PERIODIC_PROBE, . 
2022/11/09 12:26:24 [Information] aciseagent Function: hs_transport_free Thread Id: 0xC60 File: hs_transport.c Line: 606 Level: trace  de-initialization done. 
2022/11/09 12:26:24 [Information] aciseagent Function: PeriodicProbe::ProcessMessage Thread Id: 0xC60 File: periodic_probe.cpp Line: 210 Level: debug  MSG_PN_STOP_PERIODIC_PROBE received.. 
2022/11/09 12:26:24 [Information] aciseagent Function: PeriodicProbe::ProcessMessage Thread Id: 0xC60 File: periodic_probe.cpp Line: 224 Level: debug  Periodic Probing stopped. 
2022/11/09 12:26:24 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 411 Level: info  Session sync periodic probing thread end.

Problemen oplossen

Houding Status Synchronisatie start niet op

Als er geen indicatie is dat Posture Status Synchronization start in het logbestand AnyConnect_ISEPosture.txt en de client niet probeert een verbinding tot stand te brengen met de ISE PSN-node op de Posture State Synchronization-poort(8449), controleert u het Posture-configuratiebestand ISEPostureCFG.xml vanuit de DART-bundel of rechtstreeks op het clientsysteem: "%ProgramData%\Cisco\Cisco Secure Client\ISE Posture\" voor een Windows-pc.

De parameter die verantwoordelijk is voor Posture Status Synchronization is "StateSyncProbeInterval", het wordt verondersteld te zijn ingesteld met een waarde hoger dan 0:

Posture State Synchronization Does not Start

De afwezigheid van "StateSyncProbeInterval" of een waarde van "0" betekent dat de synchronisatie van de houdingsstatus is uitgeschakeld.

Als "Posture State Synchronization Interval" is ingesteld in Posture Profile op ISE, maar deze niet wordt weergegeven in een configuratiebestand op de client, moet de Posture-provisioning worden onderzocht.

Synchronisatie van houdingsstatus mislukt met alarm op ISE-dashboard

Als Posture State Synchronization mislukt met een alarm op ISE, betekent dit dat Cisco Secure Client in staat was om ISE te bereiken op de Posture State Synchronization poort (8449) en een status voor de sessie met "Compliant" status heeft aangevraagd.

Alarm in ISE GUI:

Alarm in ISE GUI

Valideren vanuit pakketopname

TCP-verbinding op de synchronisatiepoort voor de houdingsstatus (8449) is tot stand gebracht:

TCP Connection on Posture State Synchronization Established

Valideren vanuit het Cisco Secure Client Posture Module-logboek

Controleer AnyConnect_ISEPosture.txt vanuit de DART-bundel:

1) HTTPS-verbinding met ISE PSN op de Posture State Synchronization-poort (8449) wordt gestart.

2022/11/09 12:26:34 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x2750 File: periodic_probe.cpp Line: 357 Level: debug  Sending http session sync periodic probe to [ISE-PSN-FQDN].

2) Informatie over de sessiestatus is ontvangen van ISE met de status "Conform".

2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 430 Level: debug  --- Http Response Headers ---. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  HTTP-Version: 1.1. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Status-Code: 200. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Connection: keep-alive. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Date: Wed, 09 Nov 2022 11:26:34 GMT. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Keep-Alive: timeout=20. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Content-Length: 0. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Server: server. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  X-Frame-Options: SAMEORIGIN. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Strict-Transport-Security: max-age=31536000; includeSubDomains. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  X-Content-Type-Options: nosniff. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; img-src 'self' http://www.cisco.com/ data:;. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  X-XSS-Protection: 1; mode=block. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Accept-CH: Sec-CH-UA-Arch, Sec-CH-UA-Full-Version, Sec-CH-UA-Mobile, Sec-CH-UA-Model, Sec-CH-UA-Platform-Version, Sec-CH-UA-Platform, Sec-CH-UA. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  X-ISE-POSTURE_STATUS: Compliant. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 442 Level: debug  --------------------.

3) Synchronisatie van de houdingsstatus stopt vanwege detectie van een onjuiste configuratie:

2022/11/09 12:26:34 [Error] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x2750 File: periodic_probe.cpp Line: 370 Level: error  Incorrect configuration detected by ISE = [ISE-PSN-FQDN], compliant status is not expected. 
2022/11/09 12:26:34 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x2750 File: periodic_probe.cpp Line: 371 Level: debug  MSG_PN_STOP_PERIODIC_PROBE, . 
2022/11/09 12:26:34 [Information] aciseagent Function: PeriodicProbe::ProcessMessage Thread Id: 0xC60 File: periodic_probe.cpp Line: 210 Level: debug  MSG_PN_STOP_PERIODIC_PROBE received.. 
2022/11/09 12:26:34 [Information] aciseagent Function: PeriodicProbe::ProcessMessage Thread Id: 0xC60 File: periodic_probe.cpp Line: 224 Level: debug  Periodic Probing stopped.

Posture State Synchronization kan niet opnieuw worden gestart vanuit de Cisco Secure Client GUI door de Posture-evaluatie of een netwerkwijziging opnieuw te starten. In plaats daarvan moet de Cisco Secure Client opnieuw worden opgestart om de synchronisatie van de houdingsstatus weer te laten werken.

Controleer of dACL is geconfigureerd voor het autorisatieprofiel "Conform" van de houding

1. Valideer de juiste dACL die is geconfigureerd voor het Posture "Compliant" autorisatieprofiel:

Verify dACL Configured for Posture Compliant Profile

2. Een gedetailleerd verificatierapport valideren dACL is correct verzonden als gevolg van de verificatie van het eindpunt "Compliant".

Validate Detailed Authentication Report

3. Valideren dat dACL correct wordt toegepast op een netwerktoegangsapparaat:

avakhrus_3560C#sh authe sess int fa0/12 det
            Interface:  FastEthernet0/12
          MAC Address:  0050.56a8.be02
         IPv6 Address:  Unknown
         IPv4 Address:  192.168.255.193
            User-Name:  TRAINING\bob
               Status:  Authorized
               Domain:  DATA
       Oper host mode:  multi-auth
     Oper control dir:  both
      Session timeout:  N/A
      Restart timeout:  N/A
Periodic Acct timeout:  172800s (local), Remaining: 92111s
       Session Uptime:  1515s
    Common Session ID:  C0A8FF0C00000012679EAF14
      Acct Session ID:  0x00000012
               Handle:  0x5D000005
       Current Policy:  POLICY_Fa0/12

Local Policies:
        Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)

Server Policies:
              ACS ACL:  xACSACLx-IP-avakhrus_posture_probe_ACL-636b75ac

Method status list:
       Method           State

       mab              Stopped
       dot1x            Authc Success

avakhrus_3560C#sh access-lists | s  xACSACLx-IP-avakhrus_posture_probe_ACL-636b75ac
Extended IP access list xACSACLx-IP-avakhrus_posture_probe_ACL-636b75ac (per-user)
    1 deny tcp any host PSN1-IP-ADDRESS eq 8449
    2 deny tcp any host PSN2-IP-ADDRESS eq 8449
    3 permit ip any any

Bekende problemen

Posture State Synchronization mislukt met alarm op ISE

Posture State Synchronization kan mislukken met alarm op ISE, zelfs als de juiste dACL wordt toegepast op een netwerktoegangsapparaat naar het clienteindpunt. Dit gebeurt als de Posture State Synchronization Probe sneller wordt uitgevoerd dan dACL wordt toegepast of als de Posture State Synchronization Probe al bezig is wanneer dACL wordt toegepast. Het probleem werd onderzocht in Cisco bug ID CSCwd58316 . Als tijdelijke oplossing moet u "Network transition delay" instellen op 10 seconden in het Anyconnect Posture-profiel (ISE Posture Agent Profile Settings).