De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
In dit document worden het gebruik en de configuratie beschreven van tips voor routeloze houding en probleemoplossing.
Cisco raadt kennis van de volgende onderwerpen aan:
Voor een beter begrip van de later beschreven concepten, wordt aanbevolen om door te gaan:
Vergelijken ISE Houding Redirection Flow naar ISE Houding Redirectionless Flow
Problemen met ISE-sessiebeheer en houding oplossen
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
ISE Posture flow bestaat uit deze stappen:
0. Authenticatie/autorisatie. Over het algemeen uitgevoerd vlak voordat de posture flow wordt gestart, maar het kan worden omzeild voor bepaalde gebruiksgevallen zoals Posture Reassessment (PRA).
Aangezien authenticatie zelf geen posture discovery veroorzaakt, wordt dit niet als essentieel beschouwd voor elke posture flow.
Dit document richt zich op het ontdekkingsproces van ISE Posture flow.
Cisco raadt aan om omleiding te gebruiken voor het detectieproces, maar er zijn bepaalde gevallen waarin omleiding niet mogelijk is, zoals het gebruik van netwerkapparaten van derden waar omleiding niet wordt ondersteund. Dit document is bedoeld om algemene richtlijnen en best practices te bieden voor het implementeren en oplossen van problemen met een omleidingsloze houding in dergelijke omgevingen.
Volledige beschrijving van omleidingsloze stroom wordt beschreven in Vergelijken ISE Houding Omleiding Flow naar ISE Houding Omleiding Flow
Er zijn twee soorten houdingsdetectiesondes die geen omleiding gebruiken:
Connectiondata.xml is een bestand dat automatisch wordt gemaakt en onderhouden door Cisco Secure Client. Het bestaat uit een lijst met PSN's waarmee de client eerder met succes verbinding heeft gemaakt voor een houding, dus dit is alleen een lokaal bestand en de inhoud ervan is niet persistent voor alle eindpunten.
Het belangrijkste doel van connectionData.xml is om te werken als een back-upmechanisme voor zowel fase 1- als fase 2-detectieprobes. In het geval dat omleiding of Call Home List-sondes geen PSN kunnen vinden met een actieve sessie, stuurt Cisco Secure Client een rechtstreeks verzoek naar elk van de servers die worden vermeld in connectiondata.xml.
Opsporingssondes in fase 1
Opsporingssondes in fase 2
Een veelvoorkomend probleem dat wordt veroorzaakt door het gebruik van connectiondata.xml-probes is een overbelasting van de ISE-implementatie als gevolg van een groot aantal HTTPS-verzoeken die door de eindpunten worden verzonden. Het is belangrijk om te overwegen dat hoewel connectiondata.xml effectief is als back-upmechanisme om volledige uitval te voorkomen voor zowel omleidings- als omleidingsloze houdingsmechanismen, het geen duurzame oplossing is voor een houdingsomgeving, daarom is het noodzakelijk om de ontwerp- en configuratieproblemen te diagnosticeren en op te lossen die het falen van de belangrijkste detectiesondes veroorzaken en die leiden tot detectieproblemen.
Call Home List is een gedeelte van het postuur profiel waar een lijst van PSN's is opgegeven om te worden gebruikt voor de houding. In tegenstelling tot connectiondata.xml wordt dit gemaakt en onderhouden door een ISE-beheerder en kan een ontwerpfase voor een optimale configuratie nodig zijn. De lijst met PSN's in de startlijst van oproepen komt overeen met de lijst met verificatie- en boekhoudservers die is geconfigureerd in het netwerkapparaat of de taakverdeling voor RADIUS.
Met de sondes van de bellijst kunt u een MnT-zoekopdracht gebruiken tijdens het zoeken naar actieve sessies in het geval van een lokale zoekfout in een PSN. Dezelfde functionaliteit is alleen van toepassing op sondes van connectionData.xml wanneer deze worden gebruikt tijdens de detectie van Stage 2. Om deze reden worden alle fase 2-sondes ook wel New Generation-sondes genoemd.
MnT-opzoekstroom
Omdat een redirectionless discovery-proces vaak een complexere doorstroming en een grotere hoeveelheid verwerking op PSN's en MnT met zich meebrengt in vergelijking met een redirectionestroom, zijn er twee veel voorkomende uitdagingen die zich tijdens de implementatie kunnen voordoen:
Om deze uitdagingen het hoofd te bieden, wordt aanbevolen om de Call Home-lijst te ontwerpen om het aantal PSN's te beperken dat een bepaald eindpunt voor houding kan gebruiken. Voor middelgrote en grote implementaties is het noodzakelijk de implementatie te distribueren om meerdere Call Home-lijsten met een beperkt aantal PSN's te maken, waardoor de lijst met PSN's die worden gebruikt voor RADIUS-verificatie voor een bepaald netwerkapparaat op dezelfde manier kan worden beperkt om overeen te komen met de corresponderende Call Home-lijst.
Met deze aspecten kan rekening worden gehouden bij het ontwikkelen van de PSN-distributiestrategie om het maximale aantal PSN's in elke Call Home-lijst te bepalen:
Voorbeeld: PSN-verdeling voor omleidingsloze houding
Tip: gebruik netwerkapparaatgroepen om de netwerkapparaten volgens het ontwerp te classificeren.
Netwerkapparaatgroepen kunnen worden gebruikt om netwerkapparaten te identificeren en te matchen met de bijbehorende RADIUS-serverlijst en de Call Home-lijst. In het geval van hybride omgevingen kunnen ze ook worden gebruikt om apparaten te identificeren die omleiding ondersteunen van apparaten die dat niet doen.
Als de distributiestrategie die tijdens de ontwerpfase is ontwikkeld, afhankelijk is van netwerkapparaatgroepen, volgt u de volgende stappen om ze te configureren op ISE:
In de voorbeelden die in deze handleiding worden gebruikt, wordt Location Device Group gebruikt om de RADIUS-serverlijst en de Call Home-lijst te identificeren en wordt een aangepaste Posture Device Group gebruikt om omleiding van apparaten zonder omleiding te identificeren.
Netwerkapparaatgroepen
Configuratie netwerkapparaat
Er zijn twee manieren om de klant de juiste software en het juiste profiel te bieden om een houding in een omleidingsloze omgeving uit te voeren:
Opmerking: raadpleeg stap 4 van het gedeelte Client Provisioning Policy voor instructies over hoe u de poort van het Client Provisioning Portal indien nodig kunt controleren.
Waarschuwing: zorg ervoor dat dezelfde Cisco Secure Client-bestanden ook op de headends staan waarmee u verbinding wilt maken: Secure Firewall ASA, ISE, enzovoort. Zelfs wanneer handmatige provisioning wordt gebruikt, moet ISE worden geconfigureerd voor clientprovisioning met de bijbehorende softwareversie. Raadpleeg het gedeelte Configuratie van het clientprovisioningbeleid voor gedetailleerde instructies.
Cisco Secure Client Pre-deploy-pakketinhoud
Cisco Secure Client Installer
Tip: Installeer het hulpprogramma voor diagnose en rapportage dat wordt gebruikt voor het oplossen van problemen.
ISE Client Provisioning Portal kan worden gebruikt om de Cisco Secure Client ISE Posture-module en het posture-profiel van ISE te installeren, maar kan ook worden gebruikt om alleen het posture-profiel te pushen als de ISE Posture-module al op de client is geïnstalleerd.
Opmerking: om gebruik te kunnen maken van de portal-FQDN, moeten de certificaatketen van de PSN-beheerder en de certificaatketen van de portal zijn geïnstalleerd in de vertrouwde winkel en moet het beheercertificaat de portal-FQDN in het SAN-veld bevatten.
Clientprovisioning moet op ISE worden geconfigureerd, ongeacht het type provisioning (pre-deploy of web-implementatie) dat wordt gebruikt om Cisco Secure Client op de eindpunten te installeren.
Waarschuwing: Als Cisco Secure Client vooraf is geïmplementeerd op de clients, moet u ervoor zorgen dat de versie op ISE overeenkomt met de versie op de eindpunten. Als ASA of FTD wordt gebruikt voor web-implementatie, kan de versie op dit apparaat ook overeenkomen.
Opmerking: in het geval van meerdere Call Home-lijsten, gebruikt u het veld Andere voorwaarden om het juiste profiel naar de corresponderende clients te pushen. In dit voorbeeld wordt Apparaatlocatiegroep gebruikt om het postuur profiel te identificeren dat in het beleid wordt gepusht.
Tip: Als er meerdere clientprovisioningbeleidsregels zijn geconfigureerd voor hetzelfde besturingssysteem, wordt aanbevolen om ze wederzijds uit te sluiten, dat wil zeggen dat een bepaalde client slechts één beleid tegelijk kan gebruiken. RADIUS-attributen kunnen worden gebruikt in de kolom Andere voorwaarden om het ene beleid van het andere te onderscheiden.
DACL-configuratie
permit udp any any eq domain
permit udp any any eq bootps
permit ip any host
permit ip any host
deny ip any any
Let op: sommige apparaten van derden kunnen geen DACL's ondersteunen, in dergelijke gevallen is het noodzakelijk om een Filter-ID of andere leverancierspecifieke kenmerken te gebruiken. Raadpleeg de documentatie van de leverancier voor meer informatie. Als DACL's niet worden gebruikt, moet u de bijbehorende ACL in het netwerkapparaat configureren.
Opmerking: Als DACL's niet worden gebruikt, gebruikt u Filter-ID van Algemene taken of de Geavanceerde Attribuutinstellingen om op de bijbehorende ACL-naam te drukken.
De aanwezigheid van verouderde of fantoomsessies in de implementatie kan intermitterende en schijnbaar willekeurige storingen met omleidingsloze positiedetectie genereren, waardoor gebruikers vastzitten in een houding die onbekend is / niet van toepassing is op ISE, terwijl Cisco Secure Client UI compatibele toegang toont.
Stabiele sessies zijn oude sessies die niet meer actief zijn. Ze worden aangemaakt door een verificatieverzoek en een boekhoudstart, maar er wordt geen boekhoudstop ontvangen op het PSN om de sessie te wissen.
Fantoomsessies zijn sessies die nooit echt actief waren in een bepaald PSN. Ze worden gemaakt door een tussentijdse boekhoudkundige update, maar er wordt geen boekhoudkundige stop ontvangen op het PSN om de sessie te wissen.
Om een vaststaand/fantoomsessieprobleem te identificeren, controleert u de PSN die wordt gebruikt bij het scannen van het systeem op de client en vergelijkt u deze met de PSN die de verificatie uitvoert:
ISE-versies na ISE 2.6 patch 6 en 2.7 patch 3 implementeren RADIUS Session Directory als een oplossing voor een stabiel/fantoomsessiescenario in een routeloze houdingsstroom.
Opmerking: Deze service verwijst naar de communicatiemethode die wordt gebruikt voor RSD tussen PSN's en kan worden uitgevoerd ongeacht de status van de ISE Messaging Service-instelling voor syslog die kan worden ingesteld vanuit ISE UI.
Opmerking: Er wordt verwacht dat er foutmeldingen in de wachtrijlink worden waargenomen met oorzaak Onbekende CA of Econrefused terwijl de certificaten worden geregenereerd. Controleer de alarmen na het genereren van het certificaat om te bevestigen dat het probleem is opgelost.
Prestatieproblemen zoals een hoog CPU-gebruik en een hoge gemiddelde belasting in verband met een omleidingsloze houding kunnen van invloed zijn op zowel PSN als MnT-knooppunten en worden vaak vergezeld of voorafgegaan door deze gebeurtenissen:
Als de prestaties van de implementatie worden beïnvloed door een houding zonder omleiding, duidt dit vaak op een ineffectieve implementatie. Aanbevolen wordt deze aspecten te herzien:
Om de impact te beperken:
RADIUS-boekhouding is essentieel voor sessiebeheer op ISE. Aangezien de houding afhankelijk is van een actieve sessie die moet worden uitgevoerd, kunnen onjuiste of ontbrekende boekhoudkundige configuratie ook invloed hebben op de detectie van de houding en de ISE-prestaties. Het is belangrijk om te controleren of de boekhouding correct is geconfigureerd op het netwerkapparaat om verificatieverzoeken, boekhoudstart, boekhoudstop en boekhoudkundige updates naar één PSN voor elke sessie te verzenden.
Als u boekhoudpakketten wilt verifiëren die op ISE zijn ontvangen, gaat u naar Bewerkingen > Rapporten > Rapporten > Eindpunten en Gebruikers > RADIUS-boekhouding.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
2.0 |
07-Jul-2025
|
Bijgewerkte titel, Alt-tekst, Juridische disclaimer, Machinevertaling, Stijlvereisten, Doellinks, Afbeeldingsbijschriften (wanneer bestand beschikbaar was, Opmaak). |
1.0 |
24-Jul-2023
|
Eerste vrijgave |