ISE Redirectionless Posture implementeren

Downloadopties

  • PDF     (2.4 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (2.2 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.6 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:7 juli 2025
Document-id:220394

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document worden het gebruik en de configuratie beschreven van tips voor routeloze houding en probleemoplossing.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Houding flow op ISE
    • Configuratie van houdingscomponenten op ISE
    • Omleiding naar ISE-portals

    Voor een beter begrip van de later beschreven concepten, wordt aanbevolen om door te gaan:

    Vergelijken ISE Houding Redirection Flow naar ISE Houding Redirectionless Flow
    Problemen met ISE-sessiebeheer en houding oplossen

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Cisco ISE versie 3.3
    • Cisco Secure Client 5.0.01242

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    ISE Posture flow bestaat uit deze stappen:

    0. Authenticatie/autorisatie. Over het algemeen uitgevoerd vlak voordat de posture flow wordt gestart, maar het kan worden omzeild voor bepaalde gebruiksgevallen zoals Posture Reassessment (PRA).

    Aangezien authenticatie zelf geen posture discovery veroorzaakt, wordt dit niet als essentieel beschouwd voor elke posture flow.

    1. Ontdekking. Proces uitgevoerd door de module Secure Client ISE Posture om de PSN-eigenaar van de huidige actieve sessie te vinden.
    2. Clientprovisioning. Proces uitgevoerd door ISE om de klant te voorzien van de corresponderende Cisco Secure Client (voorheen AnyConnect) ISE Posture module en Compliance Module versies. In deze stap wordt ook de lokale kopie van het houdingsprofiel in en ondertekend door de betreffende PSN naar de klant geduwd.
    3. Systeemscan. Het op ISE geconfigureerde houdingsbeleid wordt geëvalueerd door de nalevingsmodule.
    4. Remediatie (optioneel). Uitgevoerd in het geval van een postuur beleid dat niet voldoet.
    5. CoA. Reautorisatie is nodig om definitieve (Compliant of Not Compliant) netwerktoegang te verlenen.


    Dit document richt zich op het ontdekkingsproces van ISE Posture flow.

    Cisco raadt aan om omleiding te gebruiken voor het detectieproces, maar er zijn bepaalde gevallen waarin omleiding niet mogelijk is, zoals het gebruik van netwerkapparaten van derden waar omleiding niet wordt ondersteund. Dit document is bedoeld om algemene richtlijnen en best practices te bieden voor het implementeren en oplossen van problemen met een omleidingsloze houding in dergelijke omgevingen.

    Volledige beschrijving van omleidingsloze stroom wordt beschreven in Vergelijken ISE Houding Omleiding Flow naar ISE Houding Omleiding Flow

    Er zijn twee soorten houdingsdetectiesondes die geen omleiding gebruiken:

    1. Connectiondata.xml
    2. Lijst met startpunten bellen

    Connectiondata.xml

    Connectiondata.xml is een bestand dat automatisch wordt gemaakt en onderhouden door Cisco Secure Client. Het bestaat uit een lijst met PSN's waarmee de client eerder met succes verbinding heeft gemaakt voor een houding, dus dit is alleen een lokaal bestand en de inhoud ervan is niet persistent voor alle eindpunten.

    Het belangrijkste doel van connectionData.xml is om te werken als een back-upmechanisme voor zowel fase 1- als fase 2-detectieprobes. In het geval dat omleiding of Call Home List-sondes geen PSN kunnen vinden met een actieve sessie, stuurt Cisco Secure Client een rechtstreeks verzoek naar elk van de servers die worden vermeld in connectiondata.xml.

    Stage 1 Discovery ProbesOpsporingssondes in fase 1

    Stage 2 Discovery ProbesOpsporingssondes in fase 2

    Een veelvoorkomend probleem dat wordt veroorzaakt door het gebruik van connectiondata.xml-probes is een overbelasting van de ISE-implementatie als gevolg van een groot aantal HTTPS-verzoeken die door de eindpunten worden verzonden. Het is belangrijk om te overwegen dat hoewel connectiondata.xml effectief is als back-upmechanisme om volledige uitval te voorkomen voor zowel omleidings- als omleidingsloze houdingsmechanismen, het geen duurzame oplossing is voor een houdingsomgeving, daarom is het noodzakelijk om de ontwerp- en configuratieproblemen te diagnosticeren en op te lossen die het falen van de belangrijkste detectiesondes veroorzaken en die leiden tot detectieproblemen.

    Lijst met startpunten bellen

    Call Home List is een gedeelte van het postuur profiel waar een lijst van PSN's is opgegeven om te worden gebruikt voor de houding. In tegenstelling tot connectiondata.xml wordt dit gemaakt en onderhouden door een ISE-beheerder en kan een ontwerpfase voor een optimale configuratie nodig zijn. De lijst met PSN's in de startlijst van oproepen komt overeen met de lijst met verificatie- en boekhoudservers die is geconfigureerd in het netwerkapparaat of de taakverdeling voor RADIUS.

    Met de sondes van de bellijst kunt u een MnT-zoekopdracht gebruiken tijdens het zoeken naar actieve sessies in het geval van een lokale zoekfout in een PSN. Dezelfde functionaliteit is alleen van toepassing op sondes van connectionData.xml wanneer deze worden gebruikt tijdens de detectie van Stage 2. Om deze reden worden alle fase 2-sondes ook wel New Generation-sondes genoemd.

    MnT Lookup FlowMnT-opzoekstroom

    ontwerp

    Omdat een redirectionless discovery-proces vaak een complexere doorstroming en een grotere hoeveelheid verwerking op PSN's en MnT met zich meebrengt in vergelijking met een redirectionestroom, zijn er twee veel voorkomende uitdagingen die zich tijdens de implementatie kunnen voordoen:

    1. Effectieve ontdekking
    2. Prestaties van ISE-implementatie

    Om deze uitdagingen het hoofd te bieden, wordt aanbevolen om de Call Home-lijst te ontwerpen om het aantal PSN's te beperken dat een bepaald eindpunt voor houding kan gebruiken. Voor middelgrote en grote implementaties is het noodzakelijk de implementatie te distribueren om meerdere Call Home-lijsten met een beperkt aantal PSN's te maken, waardoor de lijst met PSN's die worden gebruikt voor RADIUS-verificatie voor een bepaald netwerkapparaat op dezelfde manier kan worden beperkt om overeen te komen met de corresponderende Call Home-lijst.

    Met deze aspecten kan rekening worden gehouden bij het ontwikkelen van de PSN-distributiestrategie om het maximale aantal PSN's in elke Call Home-lijst te bepalen:

    • Aantal PSN's in de implementatie
    • Hardwarespecificaties van PSN's en MnT-knooppunten
    • Maximum aantal gelijktijdige houdingssessies in de implementatie
    • Aantal netwerkapparaten
    • Hybride omgevingen (simultane omleiding en omleidingsloze houding implementatie)
    • Aantal adapters dat door de eindpunten wordt gebruikt
    • Locatie van netwerkapparaten en PSN's
    • Typen netwerkverbindingen die worden gebruikt voor de houding (bekabeld, draadloos, VPN)

    Example: PSN Distribution for Redirectionless PostureVoorbeeld: PSN-verdeling voor omleidingsloze houding

    Tip: gebruik netwerkapparaatgroepen om de netwerkapparaten volgens het ontwerp te classificeren.

    Configureren

    Netwerkapparaatgroepen (optioneel)

    Netwerkapparaatgroepen kunnen worden gebruikt om netwerkapparaten te identificeren en te matchen met de bijbehorende RADIUS-serverlijst en de Call Home-lijst. In het geval van hybride omgevingen kunnen ze ook worden gebruikt om apparaten te identificeren die omleiding ondersteunen van apparaten die dat niet doen.

    Als de distributiestrategie die tijdens de ontwerpfase is ontwikkeld, afhankelijk is van netwerkapparaatgroepen, volgt u de volgende stappen om ze te configureren op ISE:

    1. Navigeer naar Beheer > Netwerkbronnen Netwerkbrongroepen.
    2. Klik op Toevoegen om een nieuwe groep toe te voegen, geef een naam op en selecteer de bovenliggende groep, indien van toepassing.
    3. Herhaal stap 2 om alle benodigde groepen te maken.


    In de voorbeelden die in deze handleiding worden gebruikt, wordt Location Device Group gebruikt om de RADIUS-serverlijst en de Call Home-lijst te identificeren en wordt een aangepaste Posture Device Group gebruikt om omleiding van apparaten zonder omleiding te identificeren.

    Network Device GroupsNetwerkapparaatgroepen

    netwerkapparaat

    1. Het netwerkapparaat kan worden geconfigureerd voor RADIUS-verificatie, -autorisatie en -boekhouding. Raadpleeg de documentatie van elke leverancier voor configuratiestappen. Configureer de RADIUS-serverlijst volgens de corresponderende lijst met startpunten voor oproepen.
    2. Navigeer in ISE naar Beheer > Netwerkbronnen > Netwerkapparaten en klik op Toevoegen. Configureer de netwerkapparaatgroepen volgens het ontwerp en schakel de RADIUS-verificatieinstellingen in om het gedeelde geheim te configureren.

    Network Device ConfigurationConfiguratie netwerkapparaat

    Clientprovisioning

    Er zijn twee manieren om de klant de juiste software en het juiste profiel te bieden om een houding in een omleidingsloze omgeving uit te voeren:

    1. Handmatige provisioning (vooraf implementeren)
    2. Client Provisioning Portal (webimplementatie)

    Handmatige provisioning (vooraf implementeren)

    • Download en installeer de Cisco Secure Client Profile Editor van Cisco Software Download. Profile Editor PackagePakket voor profieleditor
    • Open ISE Posture-profieleditor:
      • Zorg ervoor dat de niet-omleidingsstroom van de houding inschakelen is ingeschakeld.
      • Configureer de servernaamregels gescheiden door komma's. Kies een van de volgende configuraties:
        • Eén sterretje * om verbinding met elke PSN mogelijk te maken.
        • Wildcard-waarden (bijvoorbeeld *.aaamex.com) om verbinding met een PSN in specifieke domeinen mogelijk te maken.
        • Lijst met PSN-FQDN's, kommagescheiden, om de verbinding te beperken tot specifieke PSN's. Als deze lijst wordt gebruikt, moet deze overeenkomen met de startlijst voor oproepen.
      • Configureer de startlijst voor oproepen om de lijst met PSN's op te geven die door komma's is gescheiden. Zorg ervoor dat u de poort van het Client Provisioning Portal toevoegt met de indeling FQDN: poort of IP: poort.
        Posture Profile Configuration with Profile EditorConfiguratie van houdingsprofiel met profieleditor

        Opmerking: raadpleeg stap 4 van het gedeelte Client Provisioning Policy voor instructies over hoe u de poort van het Client Provisioning Portal indien nodig kunt controleren.

    • Sla het profiel op als ISEPostureCFG.xml.
    • Herhaal stap 2 en 3 om een nieuw postuur profiel te maken voor elke Call Home List in gebruik.
    • Download het Cisco Secure Client Pre-Deployment Package van Cisco Software Download.
      Cisco Secure Client Pre-deploy PackageCisco Secure Client pre-implementatiepakket
    • Distribueer het profiel en de installatie bestanden in een archiefbestand, of kopieer de bestanden naar de clients.

      Waarschuwing: zorg ervoor dat dezelfde Cisco Secure Client-bestanden ook op de headends staan waarmee u verbinding wilt maken: Secure Firewall ASA, ISE, enzovoort. Zelfs wanneer handmatige provisioning wordt gebruikt, moet ISE worden geconfigureerd voor clientprovisioning met de bijbehorende softwareversie. Raadpleeg het gedeelte Configuratie van het clientprovisioningbeleid voor gedetailleerde instructies.

    • Open op de client het zip-bestand en voer de Setup uit om de Core- en ISE Posture-modules te installeren. Als alternatief kunnen de individuele msi-bestanden worden gebruikt om elke module te installeren, in dit geval moet u ervoor zorgen dat de core-vpn-module eerst wordt geïnstalleerd.

      Cisco Secure Client Pre-deploy Package ContentsCisco Secure Client Pre-deploy-pakketinhoud


      Cisco Secure Client InstallerCisco Secure Client Installer

      Tip: Installeer het hulpprogramma voor diagnose en rapportage dat wordt gebruikt voor het oplossen van problemen. 

    • Zodra de installatie is voltooid, kopieert u het houdingsprofiel van xml naar de volgende locaties:
      • Windows: %ProgramData%\Cisco\Cisco Secure Client\ISE Posture
      • MacOS: /opt/cisco/secureclient/iseposture/

    Client Provisioning Portal (webimplementatie)

    ISE Client Provisioning Portal kan worden gebruikt om de Cisco Secure Client ISE Posture-module en het posture-profiel van ISE te installeren, maar kan ook worden gebruikt om alleen het posture-profiel te pushen als de ISE Posture-module al op de client is geïnstalleerd.

      1. Navigeer naar Workcenters > Posture > Client Provisioning > Client Provisioning Portal om de portalconfiguratie te openen. Vouw de sectie Portaalinstellingen uit en zoek het veld Verificatiemethode, selecteer de Identity Source Sequence die moet worden gebruikt voor verificatie in het portaal.
      2. Configureer interne en externe identiteitsgroepen die bevoegd zijn om het Client Provisioning Portal te gebruiken.
        Authentication Method and Authorized Groups in Portal SettingsVerificatiemethode en geautoriseerde groepen in portaalinstellingen
      3. Configureer in het veld Volledig gekwalificeerde domeinnaam (FQDN) de URL die door de clients wordt gebruikt om toegang te krijgen tot het portaal. Als u meerdere FQDN's wilt configureren, voert u de waarden in, gescheiden door komma's.
        dianaro_7-1679511063143
      4. Configureer de DNS-server(s) om de portal-URL op te lossen naar de PSN's van de corresponderende Call Home List.
      5. Geef de FQDN aan de eindgebruikers om toegang te krijgen tot het portaal om de ISE Posture-software te installeren.

    Opmerking: om gebruik te kunnen maken van de portal-FQDN, moeten de certificaatketen van de PSN-beheerder en de certificaatketen van de portal zijn geïnstalleerd in de vertrouwde winkel en moet het beheercertificaat de portal-FQDN in het SAN-veld bevatten.

    Beleid voor clientprovisioning

    Clientprovisioning moet op ISE worden geconfigureerd, ongeacht het type provisioning (pre-deploy of web-implementatie) dat wordt gebruikt om Cisco Secure Client op de eindpunten te installeren.

    1. Download het Cisco Secure Client Headend Deployment Package van Cisco Software downloaden.Cisco Secure Client Webdeploy PackageCisco Secure Client WebDeployment-pakket
    2. Download het nieuwste ISE Compliance Module webimplementatiepakket van Cisco Software Download.
      ISE Compliance Module Webdeploy PackageISE Compliance Module WebDeployment-pakket
    3. Navigeer in ISE naar werkcentra > houding > clientprovisioning > bronnen en klik op toevoegen > agentbronnen vanaf de lokale schijf. Selecteer Cisco Provided Packages in het vervolgkeuzemenu Category en upload het eerder gedownloade Cisco Secure Client Headend Deployment Package. Herhaal hetzelfde proces om de nalevingsmodule te uploaden.
      Upload Cisco Provided Packages to ISEDoor Cisco geleverde pakketten uploaden naar ISE
    4. Klik op het tabblad Bronnen op Toevoegen > Posture Profile Agent. Op het profiel:
      • Configureer een naam die kan worden gebruikt om het profiel en de lijst met startpunten voor oproepen in ISE te identificeren.
      • Zorg ervoor dat Extra sondes inschakelen zodat niet-omleidingsstroom kan werken, is ingesteld op Ja.
      • De Discovery Backup-serverlijst configureren. Selecteer de PSN's die overeenkomen met de startlijst voor oproepen die wordt geconfigureerd.
        Dit is de lijst met PSN's die na de eerste verbinding in ConnectionData.xml worden opgeslagen.
      • Configureer de servernaamregels gescheiden door komma's.  Kies een van de volgende configuraties:
        • Eén sterretje * om verbinding met elke PSN mogelijk te maken.
        • Wildcard-waarden (bijvoorbeeld *.aaamex.com) om verbinding met een PSN in specifieke domeinen mogelijk te maken.
        • Lijst met PSN-FQDN's, kommagescheiden, om de verbinding te beperken tot specifieke PSN's. Als deze lijst wordt gebruikt, moet deze overeenkomen met de startlijst voor oproepen.
      • Configureer de startlijst voor oproepen om de lijst met PSN's op te geven die door komma's is gescheiden. Zorg ervoor dat u de poort van het Client Provisioning Portal toevoegt met de indeling FQDN: poort of IP: poort.
        Als u de CPP-poort wilt vinden of wijzigen, gaat u naar Werkcentra > Posture > Client Provisioning > Client Provisioning Portal, selecteert u het portaal in gebruik, vouwt u Portal Settings uit en zoekt u HTTPs-poort.

        Agent Posture Profile ConfigurationConfiguratie van Agent-houdingsprofiel
        Posture Protocol Configuration in Agent Posture ProfilePosture Protocol Configuration in Agent Posture Profile
    5. Klik op het tabblad Bronnen op Toevoegen > Agent Configuration. Selecteer het Cisco Secure Client-pakket en de Compliance Module die u wilt gebruiken.

      Waarschuwing: Als Cisco Secure Client vooraf is geïmplementeerd op de clients, moet u ervoor zorgen dat de versie op ISE overeenkomt met de versie op de eindpunten. Als ASA of FTD wordt gebruikt voor web-implementatie, kan de versie op dit apparaat ook overeenkomen.

    6. Scroll naar beneden naar de sectie Posture Selection en selecteer het profiel dat is gemaakt bij stap 1. Klik op Indienen onder aan de pagina om de configuratie op te slaan.
      Agent ConfigurationAgent-configuratie

    7. Navigeer naar werkcentra > houding > clientprovisioning > clientprovisioningbeleid. Zoek het beleid dat wordt gebruikt voor het vereiste besturingssysteem en klik op Bewerken. Klik op het + teken in de kolom Resultaten en selecteer de agentconfiguratie uit stap 5 in de sectie Agent Configuration. Klik onderaan de pagina op Opslaan.

      Opmerking: in het geval van meerdere Call Home-lijsten, gebruikt u het veld Andere voorwaarden om het juiste profiel naar de corresponderende clients te pushen. In dit voorbeeld wordt Apparaatlocatiegroep gebruikt om het postuur profiel te identificeren dat in het beleid wordt gepusht.

      Tip: Als er meerdere clientprovisioningbeleidsregels zijn geconfigureerd voor hetzelfde besturingssysteem, wordt aanbevolen om ze wederzijds uit te sluiten, dat wil zeggen dat een bepaalde client slechts één beleid tegelijk kan gebruiken. RADIUS-attributen kunnen worden gebruikt in de kolom Andere voorwaarden om het ene beleid van het andere te onderscheiden.


      Agent Configuration in Client Provisioning PolicyConfiguratie van agent in beleid voor clientprovisioning
      Client Provisioning PolicyBeleid voor clientprovisioning
    8. Herhaal stap 4 tot en met 7 voor elke Call Home-lijst en het bijbehorende houdingsprofiel dat wordt gebruikt. Voor hybride omgevingen kunnen dezelfde profielen worden gebruikt voor het omleiden van klanten.

    Authorization

    Autorisatieprofiel

    1. Navigeer naar Beleid > Beleidselementen > Resultaten > Autorisatie > Downloadbare ACL's en klik op Toevoegen.
    2. Maak een DACL om verkeer naar DNS, DHCP (indien gebruikt), ISE PSN's en ander verkeer te blokkeren. Zorg ervoor dat alle andere verkeer dat nodig is om toegang te krijgen voor de definitieve compliant toegang.

      DACL ConfigurationDACL-configuratie

      permit udp any any eq domain
permit udp any any eq bootps
permit ip any host 
permit ip any host 
deny ip any any

      Let op: sommige apparaten van derden kunnen geen DACL's ondersteunen, in dergelijke gevallen is het noodzakelijk om een Filter-ID of andere leverancierspecifieke kenmerken te gebruiken. Raadpleeg de documentatie van de leverancier voor meer informatie. Als DACL's niet worden gebruikt, moet u de bijbehorende ACL in het netwerkapparaat configureren.

    3. Navigeer naar Beleid > Beleidselementen > Resultaten > Autorisatie > Autorisatieprofielen en klik op Toevoegen. Geef een naam aan het autorisatieprofiel en selecteer de DACL-naam uit Algemene taken. Selecteer in de vervolgkeuzelijst de DACL die is gemaakt in stap 2.Authorization ProfileAutorisatieprofiel

      Opmerking: Als DACL's niet worden gebruikt, gebruikt u Filter-ID van Algemene taken of de Geavanceerde Attribuutinstellingen om op de bijbehorende ACL-naam te drukken.

    4. Herhaal stap 1 tot en met 3 voor elke Call Home List die in gebruik is. Voor hybride omgevingen is slechts één autorisatieprofiel voor omleiding nodig. De configuratie van het machtigingsprofiel voor doorverwijzing valt buiten het toepassingsgebied van dit document.

    machtigingsbeleid

    1. Navigeer naar Beleid > Beleidsreeksen en open het beleid dat is ingesteld in gebruik of maak een nieuw beleid.
    2. Scroll naar beneden naar de sectie Autorisatiebeleid. Maak een autorisatiebeleid met behulp van Session PostureStatus NOT_EQUALS Compliant en selecteer het autorisatieprofiel dat in de vorige sectie is gemaakt.
      Authorization PoliciesAutorisatiebeleid
    3. Herhaal stap 2 voor elk autorisatieprofiel met de bijbehorende startlijst voor oproepen die wordt gebruikt. Voor hybride omgevingen is slechts één vergunningenbeleid voor omleiding noodzakelijk.

    Problemen oplossen

    Conform Cisco Secure Client en houding niet van toepassing (in afwachting) op ISE

    Stale/Phantom-sessies

    De aanwezigheid van verouderde of fantoomsessies in de implementatie kan intermitterende en schijnbaar willekeurige storingen met omleidingsloze positiedetectie genereren, waardoor gebruikers vastzitten in een houding die onbekend is / niet van toepassing is op ISE, terwijl Cisco Secure Client UI compatibele toegang toont.

    Stabiele sessies zijn oude sessies die niet meer actief zijn. Ze worden aangemaakt door een verificatieverzoek en een boekhoudstart, maar er wordt geen boekhoudstop ontvangen op het PSN om de sessie te wissen.

    Fantoomsessies zijn sessies die nooit echt actief waren in een bepaald PSN. Ze worden gemaakt door een tussentijdse boekhoudkundige update, maar er wordt geen boekhoudkundige stop ontvangen op het PSN om de sessie te wissen.

    identificeren

    Om een vaststaand/fantoomsessieprobleem te identificeren, controleert u de PSN die wordt gebruikt bij het scannen van het systeem op de client en vergelijkt u deze met de PSN die de verificatie uitvoert:

    1. Klik in de Cisco Secure Client UI linksonder op het tandwielpictogram. Open in het linkermenu de sectie ISE Posture en navigeer naar het tabblad Statistieken. Noteer de Beleidsserver in Verbindingsinformatie.
      Policy Server for ISE Posture in Cisco Secure ClientBeleidsserver voor ISE-houding in Cisco Secure Client
    2. In ISE RADIUS live logs kunt u hiervan nota nemen:
      • Verandering in houding status
      • Wijziging in server
      • Geen wijzigingen in het autorisatiebeleid en het autorisatieprofiel
      • Geen CoA live log
      Live Logs for Stale/Phantom SessionLive logs voor verouderde/fantoomsessie
    3. Open de live sessie of de laatste live logboekgegevens voor verificatie. Let op de Policy Server, als deze afwijkt van de server die in stap 1 is geobserveerd, duidt dit op een probleem met verouderde/spooksessies.
      Policy Server in Live Log DetailsBeleidsserver in livelogboekgegevens

    Oplossing

    ISE-versies na ISE 2.6 patch 6 en 2.7 patch 3 implementeren RADIUS Session Directory als een oplossing voor een stabiel/fantoomsessiescenario in een routeloze houdingsstroom.

    1. Navigeer naar Beheer > Systeem > Instellingen > Lichte gegevensdistributie en controleer of het selectievakje RADIUS-sessiemap inschakelen is ingeschakeld.
      Enable RADIUS Session DirectoryRADIUS-sessiemap inschakelen

    2. Controleer vanuit de ISE CLI of de ISE Messaging Service op alle PSN's wordt uitgevoerd door de opdracht Toepassingsstatus weergeven uit te voeren.
      ISE Messaging Service RunningISE Messaging Service actief

      Opmerking: Deze service verwijst naar de communicatiemethode die wordt gebruikt voor RSD tussen PSN's en kan worden uitgevoerd ongeacht de status van de ISE Messaging Service-instelling voor syslog die kan worden ingesteld vanuit ISE UI.

    3. Navigeer naar het ISE-dashboard en zoek het Alarms-dashlet. Controleer of er een Queue Link Error alarm is. Klik op de naam van het alarm om meer details te zien.
      Queue Link Error AlarmsWachtrijlink-foutmeldingen
    4. Controleer of de alarmen worden gegenereerd tussen de PSN's die worden gebruikt voor de houding.
      Queue Link Error Alarm DetailsQueue Link Fout alarm details
    5. Beweeg de muis over de beschrijving van het alarm om de volledige details te zien en noteer het veld Oorzaak. De twee meest voorkomende oorzaken van een queue link fout zijn: 
      • Time-out: geeft aan dat de verzoeken die door een node naar een andere node op poort 8671 worden verzonden, niet binnen de drempel worden beantwoord. Controleer of TCP-poort 8671 is toegestaan tussen de nodes.
      • Onbekende CA: geeft aan dat de certificaatketen die het ISE-berichtencertificaat ondertekent, niet geldig of onvolledig is. U kunt deze fout als volgt verhelpen:
        1. Navigeer naar Beheer > Systeem > Certificaten > Certificaatondertekeningsverzoeken.
        2. Klik op Certificaatondertekeningsverzoeken genereren (CSR).
        3. Selecteer ISE Root CA in de vervolgkeuzelijst en klik op ISE Root CA Certificate chain vervangen.
          Als ISE Root CA niet beschikbaar is, gaat u naar Certificaatautoriteit > Interne CA-instellingen en klikt u op Certificaatautoriteit inschakelen, gaat u terug naar de CSR en genereert u de Root CA opnieuw.
        4. Genereer een nieuwe CSR en selecteer ISE Messaging Service in het vervolgkeuzemenu.
        5. Selecteer alle knooppunten uit de implementatie en regenereer het certificaat.

      Opmerking: Er wordt verwacht dat er foutmeldingen in de wachtrijlink worden waargenomen met oorzaak Onbekende CA of Econrefused terwijl de certificaten worden geregenereerd. Controleer de alarmen na het genereren van het certificaat om te bevestigen dat het probleem is opgelost.

    Prestaties

    identificeren

    Prestatieproblemen zoals een hoog CPU-gebruik en een hoge gemiddelde belasting in verband met een omleidingsloze houding kunnen van invloed zijn op zowel PSN als MnT-knooppunten en worden vaak vergezeld of voorafgegaan door deze gebeurtenissen:

    • Willekeurig of intermitterend, Geen beleidsserverfouten gedetecteerd, in Cisco Secure Client.
    • De maximale resourcegrens bereikt voor rapporten voor de thread pool van de Portal-service heeft drempelwaardegebeurtenissen bereikt. Navigeer naar Operations > Reports > Reports > Audit > Operations Audit om de rapporten te bekijken.
    • Houding Query naar MNT opzoeken is hoog alarm. Deze alarmen worden alleen gegenereerd op ISE 3.1 en latere versies.


    Oplossing

    Als de prestaties van de implementatie worden beïnvloed door een houding zonder omleiding, duidt dit vaak op een ineffectieve implementatie. Aanbevolen wordt deze aspecten te herzien:

    • Aantal gebruikte PSN's per lijst met startpunten voor oproepen. Overweeg het aantal PSN's dat kan worden gebruikt voor houding per eindpunt of netwerkapparaat te verminderen volgens het ontwerp.
    • Portal voor clientprovisioning in de lijst met startpunten voor oproepen. Zorg ervoor dat het poortnummer van het portaal is opgenomen na het IP- of FQDN-adres van elke node.


    Om de impact te beperken:

    1. Verwijder ConnectionData.xml van de eindpunten door het bestand uit de map Cisco Secure Client te verwijderen en start de ISE Posture-service of Cisco Secure Client opnieuw op. Als de services niet opnieuw worden gestart, wordt het oude bestand opnieuw gegenereerd en worden de wijzigingen niet doorgevoerd. Deze actie kan ook worden uitgevoerd na het herzien en wijzigen van de Call Home-lijsten.
    2. Gebruik DACL's of andere ACL's om verkeer naar ISE-PSN's te blokkeren voor netwerkverbindingen waar dit niet relevant is:
      • Voor verbindingen waarbij de houding niet wordt afgedwongen in het autorisatiebeleid, maar die van toepassing zijn op eindpunten waarop Cisco Secure Client ISE Posture-module is geïnstalleerd, blokkeert u het verkeer van de clients naar alle ISE-PSN's voor TCP-poorten 8905 en de poort van het Client Provisioning Portal. Deze actie wordt ook aanbevolen voor houding met omleiding implementatie.
      • Voor verbindingen waarbij de houding in het autorisatiebeleid wordt afgedwongen, moet u verkeer van de clients naar de PSN-verificatie toestaan en verkeer naar andere PSN's in de implementatie blokkeren. Deze actie kan tijdelijk worden uitgevoerd terwijl het ontwerp wordt herzien.
        Authorization Profile with DACL for Single PSNAutorisatieprofiel met DACL voor enkelvoudige PSN
        Authorization Policies per PSNAutorisatiebeleid per PSN

    Accounting

    RADIUS-boekhouding is essentieel voor sessiebeheer op ISE. Aangezien de houding afhankelijk is van een actieve sessie die moet worden uitgevoerd, kunnen onjuiste of ontbrekende boekhoudkundige configuratie ook invloed hebben op de detectie van de houding en de ISE-prestaties. Het is belangrijk om te controleren of de boekhouding correct is geconfigureerd op het netwerkapparaat om verificatieverzoeken, boekhoudstart, boekhoudstop en boekhoudkundige updates naar één PSN voor elke sessie te verzenden.

    Als u boekhoudpakketten wilt verifiëren die op ISE zijn ontvangen, gaat u naar Bewerkingen > Rapporten > Rapporten > Eindpunten en Gebruikers > RADIUS-boekhouding.

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    07-Jul-2025
    Bijgewerkte titel, Alt-tekst, Juridische disclaimer, Machinevertaling, Stijlvereisten, Doellinks, Afbeeldingsbijschriften (wanneer bestand beschikbaar was, Opmaak).
    1.0
    24-Jul-2023
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Diana Rodriguez Zaragoza
      technisch adviseur

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco