O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve como configurar a Avaliação de postura para usuários de VPN de acesso remoto com o Identity Service Engine (ISE) e o Secure Access com Duo.
A Cisco recomenda que você tenha conhecimento destes tópicos:
As informações neste documento são baseadas em:
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
A integração do Duo SAML com o Cisco Identity Services Engine (ISE) aprimora o processo de autenticação, adicionando outra camada de segurança às soluções Cisco Secure Access. O Duo SAML fornece um recurso de Logon Único (SSO) que simplifica o processo de logon do usuário, garantindo altos padrões de segurança.
Depois de autenticado por meio do Duo SAML, o processo de autorização é tratado pelo Cisco ISE. Isso permite decisões de controle de acesso dinâmico com base na identidade do usuário e na postura do dispositivo. O ISE pode aplicar políticas detalhadas que determinam quais recursos um usuário pode acessar, quando e de quais dispositivos.
Note: Para configurar a integração do RADIUS, você precisa certificar-se de que haja comunicação entre ambas as plataformas.
Observação: antes de iniciar o processo de configuração, você deve concluir as primeiras etapas com acesso seguro e integração do ISE.
Para configurar o aplicativo RA-VPN, continue com as próximas etapas:
Navegue até o Painel de administração do Duo
Applications > Protect an Application
Generic SAML Service Provider
Protect
Você deve ter o aplicativo exibido na tela; lembre-se do nome do aplicativo para a configuração da VPN.
Neste caso, Generic SAML Service Provider.
Para configurar o perfil de VPN usando Radius, continue com as próximas etapas:
Navegue até o Painel do Secure Access.
Connect > Enduser Connectivity > Virtual Private Network
Manage IP Pools
), clique emManage
Radius Group (Optional)
Add RADIUS Group
Group Name
: Configure um nome para sua integração do ISE no Secure Access
AAA method
Authentication
: Marque a caixa de seleção para Authentication
e selecione a porta, por padrão, é 1812
Microsoft Challenge Handshake Authentication Protocol Version 2 (MCHAPv2)
, marque a caixa de seleçãoAuthorization
: Marque a caixa de seleção paraAuthorization
e selecione a porta, por padrão, é 1812
Authorization mode Only
e paraChange of Authorization (CoA) mode
permitir a postura e as alterações do ISEAccounting
: Marque a caixa de seleção para Autorização e selecione a porta, por padrão, é 1813
Single or Simultaneous
(em modo único, os dados de contabilização são enviados para apenas um servidor. No modo simultâneo, contabilizar dados para todos os servidores do grupo)Accounting update
habilitar a geração periódica de mensagens de atualização de contabilidade provisória RADIUS.Caution: Ambos osAuthentication
métodos e Authorization
, quando selecionados, devem usar a mesma porta.
RADIUS Servers
(ISE) que é usado para autenticar via AAA na seção RADIUS Servers
:+ Add
Server Name
: Configure um nome para identificar seu servidor ISE.IP Address
: Configure o IP do dispositivo Cisco ISE que pode ser acessado por meio do acesso seguroSecret Key
: Configurar sua chave secreta RADIUSPassword
: Configure sua senha do RadiusSave
e atribua o servidor Radius sob aAssign Server
opção e selecione o servidor ISE:Save
novamente para salvar todas as configurações feitasAgora que você configurou o servidor ISE no pool de IPs, é necessário configurá-lo no VPN Profiles
.
Para configurar o Perfil VPN, navegue até o Painel de Acesso Seguro.
Connect > Enduser Connectivity > Virtual Private Network
VPN Profiles
clique em + Add
VPN Profile name
: Configure um nome para o seu perfilDefault Domain
: Configure seu domínio.DNS Server
: Escolha o Servidor de Nomes de Domínio (DNS) configurado por vocêProtocol
: Configure os protocolos que você precisa permitir na VPNConnect Time posture
: Escolha uma postura ou deixe-a como NenhumaNext
Autenticação
Authentication
Protocols
: Escolha SAML
Download Service Provider XML file
Save
no aplicativo Duo.SAML Metadata
clicando no botão Download XML
SAML Metadata
no Secure Access sob a opção 3. Upload IdP security metadata XML file
e clique em Next
Continue com a autorização.
Note: Depois de configurar a autenticação com SAML, você a autorizará por meio do ISE, o que significa que o pacote radius enviado pelo Secure Access conterá apenas o nome de usuário. O campo de senha não existe aqui.
Autorização
Authorization
Enable Radius Authorization
: Marque a caixa de seleção para ativar a Autorização radiusNext
Depois de configurar toda a Authorization
peça, prossiga com o Accounting
.
Note: Se você não habilitar Radio Authorization
, a postura não funcionará.
Relatório
Accounting
Map Authorization groups to regions
: Escolha as regiões e escolha seu Radius Groups
Next
After you have done configured the
Authentication, Authorization and Accounting
please continue withTraffic Steering
.
Sob o controle de tráfego, você precisa configurar o tipo de comunicação por meio do Secure Access.
Connect to Secure Access
será encaminhado por Secure Access
Se você quiser adicionar exclusões para domínios de Internet ou IPs, clique no + Add
botão e, em seguida, clique em Next
.
Bypass Secure Access
fazer isso, todo o tráfego da Internet passará pelo seu provedor de Internet, não peloSecure Access
(Sem proteção da Internet)Note: Adicione enroll.cisco.com
para postura de ISE ao escolher Bypass Secure Access
.
Nesta etapa, você seleciona todos os recursos de rede privada que deseja acessar por meio da VPN. Para fazer isso, clique em + Add
e, em seguida, clique em Next
quando tiver adicionado todos os recursos.
Nesta etapa, você pode manter tudo como padrão e clicar em Save
, mas se quiser personalizar mais sua configuração, consulte o Guia do Administrador do Cisco Secure Client.
Para configurar a autenticação por meio do Cisco ISE, você precisa configurar os dispositivos permitidos que podem fazer consultas ao Cisco ISE:
Administration > Network Devices
+ Add
Name
: Use um nome para identificar o acesso seguroIP Address
: Configure oManagement Interface
da etapa, Região do pool de IPDevice Profile
: Escolha a Cisco
Radius Authentication Settings
Shared Secret
: Configure o mesmo segredo compartilhado configurado na etapa, Chave secretaCoA Port
: Deixar como padrão; O 1700 também é usado em acesso seguroApós clicar em Save
, para verificar se a integração funciona corretamente, continue para criar um usuário local para verificação da integração.
Para configurar um grupo para uso com usuários locais, siga estas etapas:
Administration > Groups
User Identity Groups
+ Add
Name
para o grupo e clique em Submit
Para configurar um usuário local para verificar sua integração:
Administration > Identities
Add +
Username
: Configurar o nome de usuário com um provisionamento UPN conhecido no Secure Access; isso é baseado na etapa Pré-requisitosStatus
: AtivoPassword Lifetime
: Você pode configurá-lo With Expiration
ouNever Expires
, dependendo de vocêLogin Password
: Criar uma senha para o usuárioUser Groups
: Escolha o grupo criado na etapa, Configurar um grupoNote: A autenticação baseada em UPN está definida para alteração nas versões futuras do Secure Access.
Depois disso, você poderá Save
fazer a configuração e continuar com a etapa, Configure Policy Set
.
No conjunto de políticas, configure a ação que o ISE executa durante a autenticação e a autorização. Este cenário demonstra o caso de uso para configurar uma política simples para fornecer acesso ao usuário. Primeiro, o ISE verifica a origem das autenticações RADIUS e se as identidades existem no banco de dados de usuários do ISE para fornecer acesso
Para configurar essa política, navegue até o painel do Cisco ISE:
Policy > Policy Sets
+
para adicionar um novo conjunto de políticasNesse caso, crie um novo conjunto de políticas em vez de trabalhar com o padrão. Em seguida, configure a Autenticação e Autorização com base nesse conjunto de políticas. A política configurada permite o acesso ao dispositivo de rede definido na etapa Configurar lista de dispositivos de rede para verificar se essas autenticações vêmCSA Network Device List
e, em seguida, entrar na política como Conditions
. E, finalmente, os protocolos permitidos, como Default Network Access
.
Para criar o condition
que corresponde ao conjunto de políticas, continue com as próximas instruções:
+
Condition Studio
, as informações disponíveis incluem: Click to add an attribute
Network Device
botão Network Access
- Network Device Name
optionNetwork Device
na etapa Configure Network Devices List (Configurar lista de dispositivos de rede)Save
Essa política apenas aprova a solicitação da origemCSA
para continuar a configuração Authentication
e Authorization
no conjunto de políticas CSA-ISE
, e também verifica os protocolos permitidos com base nos Default Network Access
protocolos permitidos.
O resultado da política definida deve ser:
Default Network Access Protocols
permitido, continue com as próximas instruções:
Policy > Results
Allowed Protocols
Default Network Access
Default Network Access
Para criar a Authorization
diretiva no Policy Set
, siga as próximas etapas:
>
Authorization
políticas exibidas: A política é a mesma definida na etapa Configure Policy Set.
Política de Autorização
Você pode configurar a política de autorização de várias maneiras. Nesse caso, autorize apenas os usuários no grupo definido na etapa Configurar um Grupo.Consulte o próximo exemplo para configurar sua política de autorização:
Authorization Policy
+
para definir a política de autorização como esta: Rule Name
Conditions
e Profiles
Name
configure um nome para identificar facilmente a política de autorização Condition
, clique no botão +
Condition Studio
, você encontrará as informações: Click to add an attribute
Identity Group
botão IdentityGroup
opçãoEquals
, use o menu suspenso para localizar o Group
aprovado para autenticação na etapa, Configurar um grupoSave
Use
Depois disso, você precisa definir o Profiles, which help approve user access under the authorization policy once the user authentication matches the group selected on the policy.
Authorization Policy
, clique no botão suspenso em Profiles
PermitAccess
Save
Depois disso, você definiu sua Authorization
política. Autentique para verificar se o usuário se conecta sem problemas e se você pode ver os logs no Secure Access e no ISE.
Para se conectar à VPN, você pode usar o perfil criado no Secure Access e conectar-se através do Secure Client com o perfil do ISE.
Monitor > Remote Access Log
Cisco ISE Dashboard
Operations > Live Logs
Como o registro é exibido no Duo quando a autenticação é aprovada?
Reports > Authentication Log
Neste cenário, crie a configuração para verificar a conformidade do endpoint antes de conceder ou negar acesso a recursos internos.
Para configurá-lo, siga para as próximas etapas:
Work Center > Policy Elements > Conditions
Anti-Malware
Note: Lá, você encontra muitas opções para verificar a postura de seus dispositivos e fazer a avaliação correta com base em suas políticas internas.
Anti-Malware Conditions
, clique em + Add
Anti-Malware Condition
para detectar a instalação do antivírus no sistema; você também pode escolher a versão do sistema operacional, se necessário.Name
: Usar um nome para reconhecer a condição antimalwareOperating System
: Escolha o sistema operacional que você deseja colocar sob a condiçãoVendor
: Escolha um fornecedor ou QUALQUER UMCheck Type
: Você pode verificar se o agente está instalado ou a versão de definição para essa opção.Products for Selected Vendor
exemplo, você configura o que deseja verificar sobre o antimalware no dispositivo.Depois de configurá-lo, você pode prosseguir com a etapa, Configure Posture Requirements
.
Work Center > Policy Elements > Requeriments
Edit
dos requisitos e clique em Insert new Requirement
Name
: Configurar um nome para reconhecer o requisito antimalwareOperating System
: Escolha o sistema operacional escolhido na etapa de condição Sistema Operacional Compliance Module
: Você precisa certificar-se de selecionar o mesmo módulo de conformidade que você tem sob a etapa de condição, Condição Anti-MalwarePosture Type
: Escolher AgenteConditions
: Escolha a condição ou condições que você criou na etapa, Configurar Condições de PosturaRemediations Actions
: Escolha Message Text Only
para este exemplo ou, se tiver outra ação de correção, use-aSave
Depois de configurá-lo, você pode prosseguir com a etapa, Configure Posture Policy
Work Center > Posture Policy
Edit
das políticas e clique em Insert new Policy
Status
: Marque a caixa de seleção em habilitar a diretivaRule Name
: Configure um nome para reconhecer a política configuradaIdentity Groups
: Escolha as identidades que deseja avaliarOperating Systems
: Escolha o sistema operacional com base na condição e no requisito configurado antesCompliance Module
: Escolha o módulo de conformidade com base na condição e no requisito configurado antesPosture Type
: Escolher AgenteRequeriments
: Escolha os requisitos configurados na etapa, Configurar requisitos de posturaSave
Para fornecer aos usuários o módulo ISE, configure o provisionamento do cliente para equipar as máquinas com o módulo de postura ISE. Isso permite verificar a postura do computador depois que o agente é instalado. Para continuar com esse processo, estas são as próximas etapas:
Navegue até o painel do ISE.
Work Center > Client Provisioning
Resources
Há três coisas que você precisa configurar no provisionamento de clientes:
Recursos a serem configurados |
Descrição |
1. |
Pacote de Provisionamento da Web para Cliente Seguro. |
2. |
Módulo de conformidade Cisco ISE |
3. |
Controle do perfil de provisionamento. |
3. |
Defina quais módulos são provisionados configurando o portal de provisionamento, utilizando o Perfil do agente e os Recursos do agente. |
Step 1
Fazer download e upload de recursos do agente
+ Add > Agent resources from local disk
e carregue os pacotesStep 2
Faça o download do módulo de conformidade
+ Add > Agent resources from Cisco Site
Save
Configurar o perfil do agenteStep 3
+ Add > Agent Posture Profile
Name
para o Posture Profile
*
e clique Save
depois dissoStep 4
Configurar a configuração do agente
+ Add > Agent Configuration
Select Agent Package
: Escolha o pacote carregado na Etapa 1 Fazer download e carregar recursos do agenteConfiguration Name
: Escolha um nome para reconhecer o Agent Configuration
Compliance Module
: Escolha o módulo de conformidade baixado na Etapa 2 Faça o download do módulo de conformidadeCisco Secure Client Module Selection
ISE Posture
: Marcar a caixa de seleçãoProfile Selection
ISE Posture
: Escolha o perfil do ISE configurado na Etapa 3 Configurar o perfil do agenteSave
Note: Recomenda-se que cada sistema operacional, Windows, Mac OS ou Linux, tenha uma configuração de cliente independente.
Para habilitar o provisionamento da postura do ISE e dos módulos configurados na última etapa, você precisa configurar uma política para fazer o provisionamento.
Work Center > Client Provisioning
Note: Recomenda-se que cada sistema operacional, Windows, Mac OS ou Linux, tenha uma Política de Configuração de Cliente.
Rule Name
: Configure o nome da política com base no tipo de dispositivo e na seleção do grupo de identidade para ter uma maneira fácil de identificar cada políticaIdentity Groups
: Escolha as identidades que deseja avaliar na políticaOperating Systems
: Escolha o sistema operacional com base no pacote de agentes selecionado na etapa, Selecionar pacote de agentesOther Condition
: Escolha Network Access
com base no Authentication Method
EQUALS
para o método configurado na etapa, Add RADIUS Group ou deixe em brancoResult
: Escolha a Configuração do agente configurada na Etapa 4 Configurar a configuração do agente
Native Supplicant Configuration
: EscolhaConfig Wizard
e Wizard Profile
O perfil de autorização limita o acesso aos recursos, dependendo da postura dos usuários após a aprovação da autenticação. A autorização deve ser verificada para determinar quais recursos o usuário pode acessar com base na postura.
Perfil de Autorização |
Descrição |
Compatível com Usuário - Agente Instalado - Postura Verificada |
|
Compatível com Usuário Desconhecido - Redirecionar para instalar o agente - Postura Pendente a ser verificada |
|
Usuário Não Compatível - Negar Acesso |
Para configurar o DACL, navegue até o painel do ISE:
Name
: Adicione um nome que faça referência ao DACL-CompliantIP version
: Escolha IPv4
DACL Content
:
Criar uma lista de controle de acesso (DACL) que possa ser baixada e que dê acesso a todos os recursos da redepermit ip any any
Clique Save
e crie a DACL de conformidade desconhecida
Work Centers > Policy Elements > Downloadable ACLs
+Add
Unknown Compliant DACL
Name
: Adicione um nome que faça referência ao DACL-Unknown-CompliantIP version
: Escolha IPv4
DACL Content:
Crie um DACL que forneça acesso limitado à rede, DHCP, DNS, HTTP e ao portal de provisionamento pela porta 8443permit udp any any eq 67
permit udp any any eq 68
permit udp any any eq 53
permit tcp any any eq 80
permit tcp any host 192.168.10.206 eq 8443
Note: Neste cenário, o endereço IP 192.168.10.206 corresponde ao servidor do Cisco Identity Services Engine (ISE) e a porta 8443 é designada para o portal de provisionamento. Isso significa que o tráfego TCP para o endereço IP 192.168.10.206 através da porta 8443 é permitido, facilitando o acesso ao portal de provisionamento.
Neste ponto, você tem a DACL necessária para criar os perfis de autorização.
Para configurar os perfis de autorização, navegue até o Painel do ISE:
Work Centers > Policy Elements > Authorization Profiles
+Add
Compliant Authorization Profile
Name
: Criar um nome que faça referência ao perfil de autorização compatívelAccess Type
: Escolha ACCESS_ACCEPT
Common Tasks
DACL NAME
: Escolha a DACL configurada na etapa Compliant DACLClique Save
em e crie o Unknown Authorization Profile
Work Centers > Policy Elements > Authorization Profiles
+Add
Uknown Compliant Authorization Profile
Name
: Criar um nome que faça referência ao perfil de autorização em conformidade desconhecidoAccess Type
: Escolha ACCESS_ACCEPT
Common Tasks
DACL NAME
: Escolha a DACL configurada na etapa DACL em conformidade desconhecidaWeb Redirection (CWA,MDM,NSP,CPP)
Client Provisioning (Posture)
ACL
: Deve ser redirect
Value
: Escolha o portal de provisionamento padrão ou, se você definiu outro, escolha-oNote: O nome da ACL de redirecionamento no Secure Access para todas as implantações é redirect
.
Depois de definir todos esses valores, você deve ter algo semelhante emAttributes Details
.
Clique em Save
para encerrar a configuração e continue com a próxima etapa.
Essas três políticas que você cria são baseadas nos perfis de autorização que você configurou; por DenyAccess
, não é necessário criar outro.
Conjunto de políticas - Autorização |
Perfil de Autorização |
Compatível |
|
Compatível Desconhecido |
|
Não compatível |
Navegue até o painel do ISE
Work Center > Policy Sets
>
acessar a política criadaAuthorization Policy
+
para definir a CSA-Compliance
política: Rule Name
Conditions
e Profiles
Name
configure um nome para CSA-Compliance
Condition
, clique no botão +
Condition Studio
, você encontrará as informações: compliant
Compliant_Devices
Editor
Editor
em New
Identity Group
íconeInternal User Identity Group
Equals
, escolha o User Identity Group
que deseja corresponderUse
Profile
clique sob o botão suspenso e escolha o perfil de autorização de reclamação configurado na etapa, Perfil de autorização de conformidadeAgora você configurou o Compliance Policy Set
.
Rule Name
Conditions
e Profiles
Name
configure um nome para CSA-Unknown-Compliance
Condition
, clique no botão +
Condition Studio
, você encontrará as informações: compliance
Compliant_Unknown_Devices
Editor
Editor
em New
Identity Group
íconeInternal User Identity Group
Equals
, escolha o User Identity Group
que deseja corresponderUse
Profile
clique sob o botão suspenso e escolha o perfil de autorização de reclamação configurado na etapa, Perfil de autorização de conformidade desconhecidoAgora você configurou o Unknown Compliance Policy Set
.
+
para definir a CSA- Non-Compliant
política: Rule Name
Conditions
e Profiles
Name
configure um nome para CSA-Non-Compliance
Condition
, clique no botão +
Condition Studio
, você encontrará as informações: non
Non_Compliant_Devices
Editor
Editor
em New
Identity Group
íconeInternal User Identity Group
Equals
, escolha o User Identity Group
que deseja corresponderUse
Profile
clique no botão suspenso e escolha o perfil de autorização de reclamação DenyAccess
Quando terminar a configuração dos três perfis, você estará pronto para testar sua integração com a postura.
Conecte-se ao domínio FQDN RA-VPN fornecido no Secure Access via Secure Client.
Note: Nenhum módulo ISE deve ser instalado para esta etapa.
1. Conecte-se usando o Secure Client.
2. Forneça as credenciais para autenticação via Duo.
3. Neste ponto, você se conecta à VPN e, provavelmente, será redirecionado para o ISE; caso contrário, você pode tentar navegar para o http:1.1.1.1
.
Note: Neste momento, você está sob autorização - a política define CSA-Unknown-Compliance porque você não tem o ISE Posture Agent instalado na máquina e é redirecionado para o ISE Provisioning Portal para instalar o agente.
4. Clique em Iniciar para continuar com o provisionamento do agente.
5. Clique em + This is my first time here
.
6. Clique em Click here to download and install agent
7. Instalar o agente
8. Após a instalação do agente, a Postura do ISE começa a verificar a postura atual das máquinas. Se os requisitos da política não forem atendidos, uma janela pop-up será exibida para orientá-lo em relação à conformidade.
Note: Se vocêCancel
ou o tempo restante terminar, você se tornará automaticamente não compatível, se enquadra no conjunto de políticas de autorização CSA-Não-Conformidade e será imediatamente desconectado da VPN.
9. Instale o Secure Endpoint Agent e conecte novamente à VPN.
10. Depois que o agente verifica se a máquina está em conformidade, sua postura muda para não receber reclamações e dar acesso a todos os recursos da rede.
Note: Depois de estar em conformidade, você se enquadra no conjunto de políticas de autorização CSA-Compliance e tem acesso imediato a todos os seus recursos de rede.
Para verificar o resultado da autenticação para um usuário, você tem dois exemplos de conformidade e não conformidade. Para revisá-lo no ISE, siga estas instruções:
Operations > Live Logs
O próximo cenário demonstra como os eventos de conformidade e não-conformidade bem-sucedidos são exibidos em Live Logs
:
No próximo exemplo, o Cisco ISE está na rede 192.168.10.0/24, e a configuração das redes alcançáveis através do túnel precisa ser adicionada na configuração do túnel.
Step 1
: Verifique a configuração do túnel:
Para verificar isso, navegue até o Painel de acesso seguro.
Connect > Network Connections
Network Tunnel Groups
> Seu túnelStep 2
: Permita o tráfego no seu firewall.
Para permitir o acesso seguro para usar seu dispositivo ISE para autenticação Radius, você precisa ter configurado uma regra de acesso seguro à sua rede com as portas Radius necessárias:
Regra |
Fonte |
Destino |
Porta de Destino |
ISE para acesso seguro Pool de Gerenciamento |
Servidor_ISE |
Pool de IPs de Gerenciamento (RA-VPN) |
COA UDP 1700 (porta padrão) |
Pool IP de gerenciamento de acesso seguro para ISE |
Pool de IPs de Gerenciamento |
Servidor_ISE |
Autenticação, autorização UDP 1812 (Porta padrão) Relatório UDP 1813 (Porta padrão) |
Pool de IPs de Ponto de Extremidade de Acesso Seguro para ISE |
Pool de IPs de Ponto de Extremidade |
Servidor_ISE |
Portal de provisionamento TCP 8443 (Porta Padrão) |
Pool IP de Ponto de Extremidade de Acesso Seguro para SERVIDOR DNS |
Pool de IPs de Ponto de Extremidade |
Servidor DNS |
DNS UDP e TCP 53 |
Note: Se quiser saber mais sobre portas relacionadas ao ISE, consulte Guia do usuário - Referência de porta.
Note: Uma regra DNS é necessária se você tiver configurado o ISE para ser descoberto através de um nome, como ise.ciscosspt.es
Pool de gerenciamento e pools de endpoints IP
Para verificar o pool de IPs de gerenciamento e endpoint, navegue até o painel de controle de acesso seguro:
Connect > End User Connectivity
Virtual Private Network
Manage IP Pools
Clique em Manage
Etapa 3: Verifique se o ISE está configurado em Recursos privados
Para permitir que os usuários conectados por meio da VPN naveguem para o ISE Provisioning Portal
, você precisa ter certeza de que configurou seu dispositivo como um recurso privado para fornecer acesso, que é usado para permitir o provisionamento automático doISE Posture Module
por meio da VPN.
Para verificar se você tem o ISE configurado corretamente, navegue até o Painel de acesso seguro:
Resources > Private Resources
Se necessário, você pode restringir a regra à porta do portal de provisionamento (8443).
Note: Certifique-se de ter marcado a caixa de seleção para conexões VPN.
Etapa 4: Permitir acesso ao ISE sob a política de acesso
Para permitir que os usuários conectados por meio da VPN naveguem para o ISE Provisioning Portal
, você precisa ter certeza de que configurou um Access Policy
para permitir que os usuários configurados sob essa regra acessem o recurso privado configurado noStep3
.
Para verificar se você tem o ISE configurado corretamente, navegue até o Painel de acesso seguro:
Secure > Access Policy
Para fazer o download dos logs do ISE para verificar um problema relacionado à postura, siga as próximas etapas:
Operations > Troubleshoot > Debug Wizard
Posture > Debug Nodes
Save
Caution: Depois desse ponto, você deve começar a reproduzir o problema; the debug logs can affect the performance of your device
.
Depois que o problema for reproduzido, continue com as próximas etapas:
Operations > Download Logs
Support Bundle
, escolha as próximas opções:
Include debug logs
Support Bundle Encryption
Shared Key Encryption
Encryption key
e Re-Enter Encryption key
Create Support Bundle
Download
aviso: Desative o modo de depuração ativado na etapa Debug Profile Configuration
Navegue até o Painel do Secure Access:
Monitor > Remote Access Logs
Para gerar um pacote DART em sua máquina, verifique o próximo artigo:
Ferramenta de Diagnóstico e Relatórios do Cisco Secure Client (DART)
Note: Depois de coletar os registros indicados na seção de solução de problemas, abra um caso com o TAC
para prosseguir com a análise das informações.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
14-Apr-2024
|
Versão inicial |