Solucionar problemas de Portal de Convidado Sem Resposta nos Nós de Serviço de Política do ISE

Problema

O portal de convidado da versão beta do Cisco Identity Services Engine (ISE) versão 3.2 Patch 7 e 3.3 para de funcionar intermitentemente em Policy Service Nodes (PSNs) na implantação com alguns nós em uma máquina virtual (VM) e alguns no Azure. Quando isso ocorre, uma interrupção/início dos serviços do ISE ou a sincronização manual de nós da GUI ajuda a restaurar a funcionalidade do portal. Esse problema é observado em vários nós no ambiente. 

Ambiente

• Produto: Cisco Identity Services Engine (ISE)
• Versão do software: 3.2 patch 7 e 3.3_BETA
• Alterações recentes: migração de nós para um ambiente separado; migração de PAN e MNT do Azure para dispositivos de hardware (SNS 3795)
• Rede: a comunicação entre nós pela porta TCP 8671 é necessária.

Resolução

1. Certifique-se de que cada nó PSN tenha CPU suficiente e recursos de memória alocados, especialmente aqueles nós que exibiram falhas de serviço ou degradação de desempenho.Se forem detectadas restrições de recursos, aumente a alocação de CPU e/ou memória conforme necessário.

2. Confirme se todos os nós PSN podem se comunicar pela porta TCP 8671, que é crítica para a sincronização de nós. Teste a conectividade entre os nós na porta TCP 8671 usando telnet. Uma conexão bem-sucedida indica que a porta está aberta e acessível. Se a conexão falhar, verifique as configurações de firewall, o roteamento e as ACLs de rede entre os nós.

3. Sincronize manualmente o nó PSN através da GUI do ISE:

1. Navegue até Administração > Sistema > Implantação.
2. Selecione a PSN afetada e clique em Syncup (ISE PSN node services e, em seguida, reinicie).

4. Crie um novo Portal de Ponto de Acesso:

1. Navegue até Work Center > Guest Access > Portals & Components.
2. Clique em Create e selecione Hotspot Portal.
3. Defina as configurações básicas, adicione uma AUP simples e defina uma URL de redirecionamento pós-login.
4. Salve e teste o novo portal para validar a funcionalidade. Se o novo portal funcionar normalmente, isso pode indicar problemas de configuração com o portal original.

5. Se a fila do profiler ou os alertas relacionados a recursos estiverem presentes nos nós, como alto uso da CPU ou erros de link da fila, aumente os recursos de hardware conforme necessário. Por exemplo, aumente a alocação de CPU de 8 para 16vCPUs.

Observação: esta etapa é executada por meio de sua interface de gerenciamento de nuvem ou virtualização.

6. Após o ajuste de recursos, monitore o sistema para melhorar a estabilidade.

7. Continue a monitorar erros de vínculo de fila ou advertências semelhantes. Se tais erros persistirem, mas forem esporádicos e estiverem vinculados a problemas do ISP ou da rede (não à configuração interna ou firewall), documente as ocorrências para revisão contínua. Se os erros forem rastreados a problemas externos do ISP, coordene com os provedores de serviços de rede conforme necessário.

Causa

A principal causa da falta de resposta do portal de convidados do ISE são as restrições de recursos (CPU/memória) nos nós PSN afetados, bem como problemas de comunicação entre nós (porta TCP 8671). Os erros de link de fila são atribuídos a problemas externos do ISP, em vez de configurações incorretas da rede interna ou do firewall. A migração de ajustes de recursos de nós e hardware resulta em maior estabilidade.

Conteúdo relacionado

• Guia de instalação do Cisco ISE 3.2
• Suporte técnico e downloads da Cisco