问题
思科身份服务引擎(ISE)版本3.2补丁7和3.3测试版访客门户在部署内的策略服务节点(PSN)上间歇性停止运行,一些节点位于虚拟机(VM)上,一些节点位于Azure上。出现这种情况时,停止/启动ISE服务或从GUI手动同步节点有助于还原门户功能。在环境中的多个节点上观察到此问题。
环境
- 产品:思科身份服务引擎(ISE)
- 软件版本:3.2补丁7和3.3测试版
- 最新更改:节点迁移到独立环境;PAN和MNT从Azure迁移到硬件设备(SNS 3795)
- 网络:需要通过TCP端口8671进行节点间通信。
分辨率
1.确保每个PSN节点分配了足够的CPU和内存资源,尤其是那些出现服务故障或性能降级的节点。如果检测到资源限制,请根据需要增加CPU和/或内存分配。
2.确认所有PSN节点均可以通过TCP端口8671进行通信,这对于节点同步至关重要。使用telnet测试TCP端口8671上节点之间的连通性。连接成功表示该端口已打开并且可访问。如果连接失败,请检查节点之间的防火墙设置、路由和网络ACL。
3.通过ISE GUI手动同步PSN节点:
- 导航到管理>System >部署。
- 选择受影响的PSN并单击Syncup(ISE PSN节点服务,然后重新启动)。
4.创建新的热点门户:
- 导航至工作中心(Work Center)>访客接入(Guest Access)>门户和组件(Portals & Components)。
- 单击Create并选择Hotspot Portal。
- 配置基本设置,添加简单AUP,并设置登录后重定向URL。
- 保存并测试新门户以验证功能。如果新门户正常运行,这可能表明原始门户存在配置问题。
5.如果分析器队列或与资源相关的警报存在于节点上,例如高CPU使用率或队列链路错误,请根据需要增加硬件资源。例如,将CPU分配从8增加到16vCPU。
注意:此步骤通过您的虚拟化或云管理界面执行。
6.调整资源后,监控系统以提高稳定性。
7.继续监控队列链路错误或类似警告。如果此类错误仍然存在,但偶尔会与ISP或网络问题(而不是内部配置或防火墙)相关,请记录事件以进行持续审核。如果错误跟踪到外部ISP问题,请根据需要与网络服务提供商协调。
原因
ISE访客门户无响应的主要原因是受影响的PSN节点上的资源限制(CPU/内存)以及节点间通信问题(TCP端口8671)。队列链路错误是由外部ISP问题而不是内部网络或防火墙配置错误造成的。节点迁移和硬件资源调整可以提高稳定性。
相关内容
反馈