维护和监控

自适应网络控制

自适应网络控制 (ANC) 是一项在管理节点上运行的服务。此服务可监控和控制终端的网络访问。ANC 由 ISE 管理员在管理 GUI 上调用,也可以通过 pxGrid 从第三方系统调用。 ANC 支持有线和无线部署,并且需要 Advantage 许可证。

您可以使用 ANC 更改授权状态,无需修改系统的总体授权策略。ANC 允许您在隔离终端时设置授权状态。结果会建立授权策略,这些授权策略定义为检查 ANCPolicy 以限制或拒绝网络访问。您可以取消隔离终端,使其获得完整的网络访问权限。您也可以关闭网络连接系统 (NAS) 上的端口,断开终端与网络之间的连接。

一次可以隔离的用户数量没有限制。此外,隔离期长度没有时间限制。

您可以执行以下操作,以便通过 ANC 监控和控制网络访问:

  • 隔离:允许您使用例外策略(授权策略)限制或拒绝终端接入网络。必须创建例外策略,以根据 ANCPolicy 分配不同的授权配置文件(权限)。设置为隔离状态,本质上是将终端从其默认 VLAN 迁移到指定的隔离 VLAN。您必须提前定义隔离 VLAN,在同一 NAS 上作为终端获得支持。

  • 取消隔离:允许您解除隔离状态,让终端获得完整的网络访问权限。这是通过使终端返回原 VLAN 实现的。

  • 关闭:允许您禁用 NAS 上的端口,断开终端与网络之间的连接。当终端连接的 NAS 上的端口关闭后,应重新手动重置 NAS 上的端口。这可以让终端连接到网络(不适用于无线部署)。

隔离和取消隔离操作可以从活动终端的会话目录报告触发。



如果取消隔离已隔离的会话,新取消隔离的会话的发起方法将取决于交换机配置指定的身份验证方法。




从思科 ISE 1.4 开始,ANC 取代了终端保护服务 (EPS)。ANC 提供额外的分类和性能改进。虽然在策略中使用 ERS 属性有时仍然适用于某些 ANC 操作,但应使用 ANC 属性。


在思科 ISE 中启用 自适应网络控制 (Adaptive Network Control)

默认情况下禁用 ANC。只有在启用 pxGrid 时才会启用 ANC,并且它将保持启用状态,直到在管理员门户中手动禁用该服务。

配置网络访问设置

ANC 可以让您重置终端的网络访问状态,以便对端口进行隔离、取消隔离或关闭端口。这些定义了网络中终端的授权程度。

您可以使用终端 IP 地址或 MAC 地址隔离或取消隔离终端抑或关闭终端所连接的网络访问服务器 (NAS) 端口。您可以在同一终端上多次执行隔离和取消隔离操作,但不能同时执行这两种操作。如果在网络上发现恶意终端,可以使用 ANC 关闭 NAS 端口,从而禁止终端访问。

将 ANC 策略分配至终端:

开始之前

  • 启用 ANC

  • ANC 创建授权配置文件和例外类型授权策略。

过程


步骤 1

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 操作 (Operations) > 自适应网络控制 (Adaptive Network Control) > 策略列表 (Policy List)

步骤 2

点击添加 (Add)

步骤 3

输入一个 ANC 策略名称并指定 ANC 操作。可提供以下选项:

  • 隔离

  • Shut_Down

  • Port_Bounce

您可以选择一个或多个操作,但是您无法将 Shut_Down 和 Port_Bounce 与其他 ANC 操作结合。

步骤 4

选择策略 (Policy) > 策略集 (Policy Sets),然后展开策略集。

步骤 5

使用 ANCPolicy 属性将 ANC 策略与相应的授权策略相关联。

步骤 6

选择操作 (Operations) > 自适应网络控制 (Adaptive Network Control) > 终端分配

步骤 7

点击添加 (Add)

步骤 8

输入终端的 IP 地址或 MAC 地址,并从策略分配 (Policy Assignment) 下拉列表选择策略。

步骤 9

点击提交


通过 ANC 创建网络访问的授权配置文件

您必须创建一个应该与 ANC 配合使用的授权配置文件。您可以在标准授权配置文件列表中查看该授权配置文件。终端可在网络中进行身份验证和授权,但是限用于接入网络。

过程


步骤 1

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 策略 (Policy) > 策略元素 (Policy Elements) > 授权 (Authorization) > 授权配置文件 (Authorization Profiles)

步骤 2

点击添加 (Add)

步骤 3

为授权配置文件输入唯一名称和说明,并将访问类型 (Access Type) 更新为 ACCESS_ACCEPT

步骤 4

选中 DACL Name 复选框,然后从下拉列表中选择 DENY_ALL_TRAFFIC

步骤 5

点击 Submit


例外授权策略用于授权有限访问,满足特殊条件或权限或直接要求。对于 ANC 授权,需要创建隔离例外策略,该策略先于所有标准授权策略进行处理。您需要使用以下条件创建例外规则:

Session:ANCPolicy EQUALS 隔离。

EPS 流与 ANC 流

自适应网络控制 (ANC) 已取代终端保护服务 (EPS),提供更多分类和性能改进。下表概述了 EPS 流和 ANC 流之间的差异。

EPS 流程

ANC 流程

  • GUI、ERS API 或 pxGrid API 配置要隔离的 Mac 地址。

  • 这些 MAC 地址存储在主 MnT 数据库和辅助 MnT 数据库中。

  • 在 RADIUS 身份验证期间,具有 EPSStatus 的策略条件会引用主 MnT 数据库以获取信息。如果主 MnT 数据库不可用,则使用辅助 MnT 数据库。

  • GUI、ERS API 或 pxGrid API 配置要隔离的 Mac 地址。

  • 这些 MAC 地址存储在思科 ISE 数据库的主管理节点 (PAN) 中,并复制到所有策略服务节点 (PSN)。

  • 在 RADIUS 身份验证期间,具有 ANCStatus 的策略条件是指 PSN 中为身份验证提供服务的本地思科 ISE 数据库。



ANC 流优先于 EPS,因为 EPS 已从思科 ISE 版本 1.4 开始弃用。


ANC NAS 端口关闭流程

您可以使用终端 IP 地址或 MAC 地址关闭终端所连接的 NAS 端口。

通过此关闭功能您可以根据 MAC 地址的指定 IP 地址关闭 NAS 端口。您必须手动恢复该端口,才能将此终端重新接入网络,这仅对通过有线媒介连接的终端有效。

并非所有设备都支持此关闭功能。不过,大多数交换机应该都支持关闭命令。您可以使用 getResult() 命令验证关闭是否执行成功。

下图说明 ANC 关闭流程。对于客户端设备,关闭操作是在客户端设备用于访问网络的 NAS 上执行的。

图 1. ANC 关闭流程

终端清除设置

可以根据身份组和其他条件,通过配置规则来定义终端清除策略。在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 (Administration) > 身份管理 (Identity Management) > 设置 (Settings) > 终端清除 (Endpoint Purge)。您可以选择不清除特定终端以及根据选择的分析条件清除终端。

您可以安排终端清除作业计划。默认情况下,此终端清除计划处于启用状态。默认情况下,思科 ISE 会删除超出 30 天的终端和已注册设备。系统根据主 PAN 中配置的时区于每日凌晨 1 点(午夜)执行清除作业。

终端清除作业每 3 分钟删除 5000 多个终端。

以下是您可以用于清除终端的一些条件以及示例:

  • InactivityDays - 距离终端上最后一次分析活动或更新的天数

    • 此条件用于清除随时间推移累积的陈旧设备,通常是临时访客或个人设备或废弃的设备。在您的部署中,这些终端容易形成干扰,因为它们在网络上不再活动或近期不再可能出现。如果它们偶然再进行连接,系统将在必要的情况下对其进行发现、分析、注册等。

    • 当存在来自端点的更新时,只要启用分析功能,InactivityDays 便会重置为 0。

  • ElapsedDays - 创建对象之后经过的天数。

    • 此条件适用于获得特定时间段内未经身份验证或有条件的访问权限的终端,例如访客或承包商终端,或利用 webauth 进行网络访问的员工。在所允许的连接期限到期之后,他们必须重新进行完全身份验证和注册。

  • PurgeDate - 要清除终端的日期。

    • 此选项用于在不考虑创建或开始时间的情况下,获得特定时间的访问权限的特殊事件或组。此选项允许同时清除所有终端。例如,贸易展览、会议或每周都有新成员的每周培训课程,在这种情况下,访问权限是根据特定周或月份授予的,而不是绝对的天、周、月。

隔离的终端在策略更改后不会重新进行身份验证

问题

策略或其他身份更改后,身份验证失败,并且系统不会重新进行身份验证。身份验证失败或有问题的终端仍然无法连接网络。根据分配给用户角色的终端安全策略,未能通过安全评估的客户端计算机上经常会出现此问题。

可能的原因

客户端计算机上身份验证计时器的设置不正确,或者交换机上身份验证时间间隔的设置不正确。

解决方案

要解决此问题,有几种可能的办法:

  1. 在思科 ISE 中查看指定 NAD 或交换机的会话状态摘要 (Session Status Summary) 报告,确保该界面已配置适当的身份验证间隔。

  2. 在 NAD/交换机上输入“show running configuration”命令,确保接口已配置适当的“authentication timer restart”设置。(例如,“authentication timer restart 15”和“authentication timer reauthenticate 15”。)

  3. 输入“interface shutdown”和“no shutdown”退回 NAD/交换机上的端口,并在思科 ISE 的潜在配置更改后,强制重新进行身份验证。



由于 CoA 需要 MAC 地址或会话 ID,因此我们建议您不要重启网络设备 SNMP 报告中显示的端口。


当无法找到 IP 地址或 MAC 地址时,ANC 操作失败。

当终端的活动会话不包含关于 IP 地址的信息时,在该终端上执行的 ANC 操作会失败。对于该终端的 MAC 地址和会话 ID,也存在这种情况。



如果要通过 ANC 更改终端的授权状态时,则必须提供该终端的 IP 地址或 MAC 地址。如果在终端的活动会话中无法找到 IP 地址或 MAC 地址,则会看到以下错误消息:
 No active session found for this MAC address, IP Address or Session ID

通过外部身份验证的管理员无法执行 ANC 操作

如果通过外部身份验证的管理员尝试从实时会话发出 CoA 隔离,思科 ISE 会返回以下错误消息:

CoA Action of Quarantine for xx:xx:xx:xx:xx:xx can not be initiated. (Cause:User not found internally. Possible use of unsupported externally authenticated user 

如果通过外部身份验证的管理员在思科 ISE 使用终端的 IP 地址或 MAC 地址从操作 (Operations) 执行 ANC 操作,思科 ISE 会返回以下错误消息:

Server failure: User not found internally. Possible use of unsupported externally authenticated user 

备份数据类型

思科 ISE 允许您从主 PAN 和从监控节点备份数据。可以从 CLI 或用户界面完成备份。

思科 ISE 允许您备份以下类型的数据:

  • 配置数据 - 包含应用特定和思科 ADE 操作系统配置数据。备份可以使用 GUI 或 CLI 通过主 PAN 完成。

  • 运行数据 - 包含监控和故障排除数据。备份可以通过主 PAN GUI 或使用监控节点的 CLI 来完成。

当思科 ISE 在 VMware 上运行时,不支持用 VMware 快照备份 ISE 数据。



VMware 快照用于保存 VM 在给定时间点的状态,因此思科 ISE 不支持使用 VMware 快照备份 ISE 数据。在多节点思科 ISE 部署中,所有节点中的数据都与当前数据库信息保持同步。恢复快照可能会导致数据库复制和同步问题。建议您使用思科 ISE 中包含的备份功能来存档和恢复数据。

使用 VMware 快照或任何第三方备份服务备份思科 ISE 数据可能会导致思科 ISE 服务中断。当 VMware 或任何其他第三方备份服务(如 CommVault SAN 级别备份)启动备份时,它会暂停文件系统以保持崩溃一致性,这可能会导致思科 ISE 功能冻结。您需要重启才能恢复思科 ISE 部署上的服务。


可以使用更低版本的思科 ISE 的备份文件执行恢复操作并且可以在更高版本上执行恢复操作。例如,如果您拥有来自思科 ISE 版本 1.3 或 1.4 的 ISE 节点的备份,您可以在思科 ISE 版本 2.1 上恢复该备份。



在备份和恢复数据后重新创建部署时,需要主 PAN 和辅助 PAN 的 情景可视性重置 以确保两个节点上的数据同步。


思科 ISE 版本 3.1 支持从版本 2.6 及更高版本获取的备份恢复。

备份和恢复存储库

思科 ISE 允许您通过管理员门户创建和删除存储库。您可以创建以下类型的存储库:

  • DISK

  • FTP

  • SFTP

  • NFS

  • CD-ROM

  • HTTP

  • HTTPS



存储库位于每台设备本地位置。


建议对于所有类型的部署(小型、中型和大型),创建最低 100 GB 大小的存储库。

下表显示了思科 ISE 操作与外部存储库类型之间的可支持性信息:

表 1. 外部存储库的可支持性表格

存储库类型

配置备份

配置恢复

升级

操作备份

运行恢复

支持捆绑包

从用户界面验证

从用户界面导出报告

从用户界面导出策略

FTP

SFTP

TFTP

X

X

X

X

X

X

X

X

X

HTTP

X

X

X

X

X

X

X

X

HTTPS

X

X

X

X

X

X

X

X

NFS

创建存储库

可以使用 CLI 和 GUI 创建存储库。由于以下原因,我们建议您使用 GUI:

  • 通过 CLI 创建的存储库保存在本地且不会被复制到其他部署节点。这些存储库不会列于 GUI 的存储库页面。

  • 在主 PAN 创建的存储库会被复制到其他部署节点。

在 GUI 中,密钥仅在主 PAN 上生成,因此在升级期间,需要在新的主管理节点的 GUI 中再次生成密钥,并将其导出到 SFTP 服务器。如果从部署中删除节点,需要在非管理节点的 GUI 中生成密钥,并将其导出到 SFTP 服务器。

可以在思科 ISE 中凭借 RSA 公共密钥身份验证配置 SFTP 存储库。您可以选择使用安全密钥的 RSA 公共密钥身份验证来加密数据库和日志,而不必使用管理员创建的密码。对于通过 RSA 公共密钥创建的 SFTP 存储库,在 GUI 中创建的存储库不会在 CLI 中复制,在 CLI 中创建的存储库也不会在 GUI 中复制。要在 CLI 和 GUI 中配置相同存储库,请在 CLI 和 GUI 中生成 RSA 公共密钥,并将密钥输出到 SFTP 服务器。



即使未在 ISE 上启用 FIPS 模式,思科 ISE 也会在 FIPS 模式下启动出站 SSH 或 SFTP 连接。确保与 ISE 通信的远程 SSH 或 SFTP 服务器允许 FIPS 140 批准的加密算法。

思科 ISE 使用嵌入式 FIPS 140 验证加密模块。有关 FIPS 合规要求的详细信息,请参阅 FIPS 合规证明书


开始之前

  • 必须具有超级管理员或系统管理员权限才能执行以下任务。

  • 如果要使用 RSA 公共密钥身份验证创建 SFTP 存储库,请执行以下步骤:

    • 在 SFTP 存储库中启用 RSA 公共密钥身份验证。

    • 您必须以管理员 CLI 用户身份登录。从思科 ISE CLI 使用 crypto host_key add 命令输入 SFTP 服务器的主机密钥。主机密钥字符串应当与您在存储库配置页面的路径 (Path) 字段中输入的主机名匹配。

    • 生成密钥对,并从 GUI 将公共密钥导出到您的本地系统。在思科 ISE CLI 中,使用 crypto key generate rsa passphrase test123 命令生成密钥对,其中 passphrase 必须超过 13个字母,然后将密钥导出到任何存储库(本地磁盘或任何其他配置的存储库)。

    • 将导出的 RSA 公共密钥复制到启用 PKI 的 SFTP 服务器并将其添加到“authorized_keys”文件。



当主 PAN 和主 MnT 是独立的节点时,您可以使用存储库列表 (Repository List) 窗口中的生成密钥对 (Generate Key Pairs) 选项来为主 PAN 和主 MnT 节点生成 RSA 密钥。您可以使用存储库列表 (Repository List) 窗口中的导出公共密钥 (Export Public Key) 选项来同时从主 PAN 和主 MnT 节点导出生成的 RSA 密钥。


过程


步骤 1

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > > 维护 (Maintenance) > > 存储库 (Repository)

步骤 2

单击添加 (Add) 以添加新存储库。

步骤 3

根据需要输入值以设置新存储库。请参阅 存储库设置 以了解字段说明:

步骤 4

单击提交 (Submit) 以创建存储库。

步骤 5

通过单击左侧操作 (Operations) 导航窗格中的存储库 (Repository) 来验证是否成功创建存储库,或单击存储库 (Repository) 窗口顶部的存储库列表 (Repository List) 链接以转至存储库列表页面。


下一步做什么

  • 确保已创建的存储库有效。可以从存储库列表 (Repository listing) 窗口执行此操作。选择对应存储库并单击验证 (Validate)。或者,您可以从思科 ISE 命令行界面执行以下命令:

    show repository repository_name

    其中 repository_name 是已创建的存储库的名称。



    如果在创建存储库时提供的路径不存在,则会收到以下错误消息:

    %Invalid Directory

  • 运行按需备份或安排备份。

存储库设置

下表介绍了存储库列表 (Repository List) 窗口上的字段,可以使用此页面创建存储备份文件的存储库。要查看此处窗口,请单击菜单 图标 (),然后选择管理 (Administration) > 系统 (System) > 维护 (Maintenance) > 存储库 (Repository)

表 2. 存储库设置

字段

使用指南

Repository

输入存储库的名称。允许使用字母数字字符,最大长度为 80 个字符。

协议 (Protocol)

从可用协议中选择一个您想要使用的协议。

服务器名称 (Server Name)

(对于 TFTP、HTTP、HTTPS、FTP、SFTP 和 NFS 为必填字段)输入您想要在其上创存储库的服务器的主机名或 IP 地址(IPv4 或 IPv6)。

 

如果要添加具有 IPv6 地址的存储库,请确保 ISE eth0 接口已配置有 IPv6 地址。

路径 (Path)

输入存储库的路径。此路径必须有效而且在您创建数据库时必须存在。

此值可以用双前斜杠 (//) 或单前斜杠 (/) 开头,表示服务器的根目录。但是,对于 FTP 协议,单前斜杠 (/) 表示 FTP 的本地设备主目录,而不是根目录。

启用 PKI 身份验证 (Enable PKI authentication)

(可选;仅适用于 SFTP 存储库)如果要在 SFTP 存储库中启用 RSA 公共密钥身份验证,请选中此复选框。

用户名

(对于 FTP、SFTP 为必填字段)输入对指定服务器拥有写入权限的用户名。用户名可以包含字母数字和 _-。/@\$ 字符。

密码 (Password)

(对于 FTP、SFTP 为必填字段)输入用于访问指定服务器的密码。密码可以包含以下字符:0-9、a-z、A-Z、-、.、|、@、#、$、^、&、*、(、)、+、和 =。

请注意,某些特殊字符(如 !、?、~(不包括在上面的列表中)允许通过 GUI 配置 FTP 和 SFTP 密码。但是,这些特殊字符不允许通过 CLI 或开放式 API 进行配置。

在 SFTP 存储库中启用 RSA 公共密钥身份验证

在 SFTP 服务器中,每个节点必须具有两个 RSA 公共密钥,一个用于 CLI,一个用于 GUI。要在 SFTP 存储库中启用 RSA 公共密钥身份验证,请执行以下步骤:



在 SFTP 存储库中启用 RSA 公共密钥身份验证后,您将无法使用 SFTP 凭证登录。您可以使用基于 PKI 的身份验证或基于凭证的身份验证。如果要再次使用基于凭证的身份验证,则必须从 SFTP 服务器中删除公共密钥对。


过程


步骤 1

用有权限编辑 /etc/ssh/sshd_config.file 的帐户登录 SFTP 服务器。

 
sshd_config 文件的位置可能根据操作系统安装而有所不用。
步骤 2

输入 vi /etc/ssh/sshd_config 命令。

系统列出 sshd_config 文件的内容。

步骤 3

从以下行中删除“#”符号以启用 RSA 公共密钥身份验证:

  • RSAAuthentication 是

  • PubkeyAuthentication 是

     
    如果公共身份验证密钥为 no,则将其更改为 yes。
  • AuthorizedKeysFile ~/.ssh/authorized_keys


从本地磁盘下载文件

您可以轻松添加、下载或删除用于本地磁盘管理的文件。

过程


步骤 1

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 系统 (System) > 维护 (Maintenance) > 本地磁盘管理 (Localdisk Management)

步骤 2

选中要下载的文件旁边的复选框。

步骤 3

点击 Download

步骤 4

(可选)从思科 ISE CLI 运行以下命令以便从本地磁盘下载文件:#copy disk:/ filename repository repository_name


将文件上传到本地磁盘

过程

步骤 1

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 系统 (System) > 维护 (Maintenance) > 本地磁盘管理 (Localdisk Management)

步骤 2

要上传文件,请单击上传 (Upload)

步骤 3

单击选择文件 (Select File) 以浏览并选择要上传的文件。您还可以拖放文件。

步骤 4

单击开始上传 (Start Upload)


按需备份和计划备份

您可以配置主 PAN 和主监控节点的按需备份。当您希望立即备份数据时,系统会执行按需备份。

您可以安排一次性、每日、每周或每月运行系统级备份。由于备份操作持续时间较长,您可以将备份操作安排在空闲时间执行。您可以从管理门户安排备份。



如果使用的是内部 CA,应使用 CLI 导出证书和密钥。在管理门户中使用的备份不会备份 CA 链。

有关详细信息,请参阅《思科身份识别服务引擎管理员指南》的“基本设置”一章中的“导出思科 ISE CA 证书和密钥”部分。




思科 ISE 上的配置和操作备份可能会在短时间内使系统过载。这种预期的临时系统过载行为将取决于系统的配置和监控数据库大小。


执行按需备份

可以执行按需备份以立即备份配置或监控(操作)数据。恢复操作可将思科 ISE 恢复到获取备份时的配置状态。


重要

当执行备份和恢复时,恢复功能会使用源系统中的证书列表覆盖目标系统上的受信任证书列表。需要注意的是,备份和恢复功能不包括与内部证书颁发机构 (CA) 证书关联的专用密钥,这一点至关重要。

如果正在从一个系统向另一个系统上执行备份和恢复,必须选择下面一个选项以避免错误:

  • 选项 1:

    通过 CLI 从源 ISE 节点导出 CA 证书并通过 CLI 将其导入到目标系统。

    优点:从源系统向终端颁发的所有证书将继续受信任。由目标系统颁发的所有新证书将由同一密钥签名。

    缺点:在恢复功能之前由目标系统颁发的所有证书将不受信任且需要重新颁发。

  • 选项 2:

    在恢复过程之后,为内部 CA 生成所有新证书。

    优点:推荐采用此选项,这是一种较为安全的方法,其中将使用原始源证书或原始目标证书。由原始源系统颁发的证书将继续受信任。

    缺点:在恢复功能之前由目标系统颁发的所有证书将不受信任且需要重新颁发。


开始之前

  • 在执行按需备份之前,应对思科 ISE 中的备份数据类型有基本的了解。

  • 确保已创建存储备份文件的存储库。

  • 不要使用本地存储库进行备份。您无法在远程监控节点的本地存储库中备份监控数据。

  • 确保在获取备份之前执行所有证书相关的更改。

  • 要执行以下任务,您必须是超级管理员或系统管理员。



    对于备份和恢复操作,系统不支持以下存储库类型:CD-ROM、HTTP、HTTPS 或 TFTP。这是因为,这些存储库类型为只读或者协议不支持文件列表。要恢复备份,请选择存储库,然后单击恢复 (Restore)


过程


步骤 1

选择管理 (Administration) > 系统 (System) > 备份和恢复 (Backup and Restore)

步骤 2

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 备份和恢复 (Backup and Restore)

步骤 3

选择备份类型:“配置”(Configuration) 或“运行”(Operational)。

步骤 4

单击立即备份 (Backup Now)

步骤 5

根据需要输入值以执行备份。

步骤 6

单击 备份 (Backup)

步骤 7

验证备份是否成功完成。

思科 ISE 在备份文件名中附加时间戳并将文件存储在指定存储库中。除了时间戳外,思科 ISE 会为配置备份添加 CFG 标签,为运行备份添加 OPS 标签。确保备份文件位于指定的存储库中。

在分布式部署中,不要在备份运行时更改节点角色或升级节点。如果并发运行备份,则更改节点角色不会关闭所有进程,并可能导致数据不一致。在进行任何节点角色更改之前,请等待备份完成。

备份正在运行时,请勿升级节点。如果并发运行备份,这将关闭所有进程并可能导致数据不一致。在进行任何节点更改之前,请等待备份完成。

 

备份正在运行时,可能会看到 CPU 使用率高并收到平均负载高的警报。备份完成时,CPU 使用率将恢复正常。


按需备份设置

下表介绍按需备份 (On-Demand Backup) 窗口上的字段,您可以随时使用此窗口获取备份。要查看此处窗口,请单击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 备份和恢复(Backup & Restore)
表 3. 按需备份设置
字段名称 使用指南

Type

选择以下其中一个选项:

  • 配置数据备份 (Configuration Data Backup):包含应用特定配置数据和思科 ADE 操作系统配置数据

  • 运行数据备份 (Operational Data Backup):包含监控和故障排除数据

Backup Name

输入备份文件的名称。

Repository Name

应该保存您的备份文件的存储库。您无法在此处输入存储库。只能从下拉列表选择一个可用存储库。确保在运行备份之前创建了存储库。

Encryption Key

此密钥用于加密和解密备份文件。

计划备份

可以执行按需备份以立即备份配置或监控(操作)数据。恢复操作可将思科 ISE 恢复到获取备份时的配置状态。


重要

当执行备份和恢复时,恢复功能会使用源系统中的证书列表覆盖目标系统上的受信任证书列表。需要注意的是,备份和恢复功能不包括与内部证书颁发机构 (CA) 证书关联的专用密钥,这一点至关重要。

如果您正在从一个系统向另一个系统上执行备份和恢复,您将必须选择下面一个选项以避免错误:

  • 选项 1:

    通过 CLI 从源 ISE 节点导出 CA 证书并通过 CLI 将其导入到目标系统。

    优点:从源系统向终端颁发的所有证书将继续受信任。由目标系统颁发的所有新证书将由同一密钥签名。

    缺点:在恢复功能之前由目标系统颁发的所有证书将不受信任且需要重新颁发。

  • 选项 2:

    在恢复过程之后,为内部 CA 生成所有新证书。

    优点:推荐采用此选项,这是一种较为安全的方法,其中将使用原始源证书或原始目标证书。由原始源系统发布的证书将继续受信任。

    缺点:在恢复功能之前由目标系统颁发的所有证书将不受信任且需要重新颁发。


开始之前

  • 在安排备份之前,应对思科 ISE 中的备份数据类型有基本的了解。

  • 确保已配置存储库。

  • 不要使用本地存储库进行备份。您无法在远程监控节点的本地存储库中备份监控数据。

  • 要执行以下任务,您必须是超级管理员或系统管理员。

  • 如果已从思科 ISE 1.1 或更低版本升级到思科 ISE 1.2,应当重新配置已计划的备份。请参见《思科身份服务引擎升级指南》版本 1.2“已知升级问题”一节。



对于备份和恢复操作,系统不支持以下存储库类型:CD-ROM、HTTP、HTTPS 或 TFTP。这是因为,这些存储库类型为只读或者协议不支持文件列表。


计划备份设置

下表介绍“定期备份”(Scheduled Backup) 窗口上的字段,您可以使用此窗口恢复完整备份或增量备份。要查看此处窗口,请单击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 备份和恢复(Backup and Restore)
表 4. 计划备份设置
字段名称 使用指南

Type

选择以下其中一个选项:

  • 配置数据备份 (Configuration Data Backup):包含应用特定配置数据和思科 ADE 操作系统配置数据

  • 运行数据备份 (Operational Data Backup):包含监控和故障排除数据

Name

输入备份文件的名称。您可以输入您所选的描述性名称。思科 ISE 会将时间戳附加到备份文件名之后并将其存储在存储库中。即使您配置了一系列备份,也要有唯一的备份文件名。在“定期备份”(Scheduled Backup) 列表窗口上,备份文件名前面将附加“backup_occur”,表示文件是一次 kron 作业。

Description

输入对备份的说明。

Repository Name

选择保存您的备份文件的存储库。您无法在此处输入存储库。只能从下拉列表选择一个可用存储库。确保在运行备份之前创建了存储库。

Encryption Key

输入用于加密和解密备份文件的密钥。

Schedule Options

选择计划备份的频率并相应地填写其他选项。

使用 CLI 备份

虽然可以从 CLI 和 GUI 安排备份,但是建议使用 GUI。不过,只能从 CLI 对辅助监控节点执行操作备份。

备份历史记录

备份历史记录提供关于定时备份和按需备份的基本信息。它会列出备份名称、备份文件大小、存储备份的库以及指明获得备份的时间的时间戳。此信息在操作审核报告以及历史记录表的 Backup and Restore 页面上列出。

对于故障备份,思科 ISE 将触发警报。备份历史记录页面提供故障原因。操作审核报告也引用故障原因。如果故障原因缺失或不清楚,您可以从思科 ISE CLI 运行 backup-logs 命令,查看 ADE.log 了解更多信息。

在备份操作运行的过程中,您可以使用 show backup status CLI 命令查看备份操作的进度。

备份历史记录与思科 ADE 操作系统配置数据一起存储。甚至在应用升级后历史记录依然存在,只有当您重置 PAN 映像时才能将历史记录删除。

备份失败

如果备份失败,请检查以下事宜:

  • 检查是否存在任何 NTP 同步或服务失败问题。如果思科 ISE 上的 NTP 服务无效,思科 ISE 将发出 NTP 服务失败警报。当思科 ISE 无法与所有配置的 NTP 服务器同步时,思科 ISE 会发出 NTP 同步失败警报。如果 NTP 服务停止或有任何同步问题,思科 ISE 备份可能会失败。检查“警报”(Alarms ) Dashlet 并修复 NTP 同步或服务问题,然后再重试备份操作。

  • 确保没有同时运行任何其他备份。

  • 检查已配置存储库的可用磁盘空间。

    • 如果监控数据占用的空间超过所分配的监控数据库大小的 75%,则监控(操作)备份会失败。例如,如果向监控节点分配的空间为 600 GB,而监控数据占用超过 450 GB 的存储空间,则监控备份会失败。

    • 如果数据库磁盘使用量超过 90%,系统会执行清除操作,使数据库的大小小于或等于所分配空间的 75%。

  • 验证是否正在进行清除。进行清除时,备份和恢复操作不起作用。

  • 验证存储库的配置是否正确。

思科 ISE 恢复操作

可以在主管理节点或独立管理节点上恢复配置数据。在主 PAN 上恢复数据后,必须手动将辅助节点与主 PAN 同步。

恢复运营数据的过程根据部署类型而异。



思科 ISE 中新的备份/恢复用户界面利用备份文件名中的元数据。因此,在备份完成后,不应手动修改备份文件名。如果手动修改备份文件名,则思科 ISE 备份/恢复用户界面将无法识别备份文件。如果必须修改备份文件名,应使用思科 ISE CLI 恢复备份。


数据恢复指南

下面提供了恢复思科 ISE 备份数据时应遵守的指南。

  • 利用思科 ISE,您可以从 ISE 节点 (A) 获取备份并将其存储到另一个 ISE 节点 (B) 上,这两个节点有相同的主机名(但 IP 地址不同)。但是,当您在节点 B 上恢复备份后,不会更改节点 B 的主机名,因为这样做可能会导致证书和门户组标记出现问题。

  • 如果在一个时区内从主 PAN 获取备份,并尝试在另一时区中的另一个思科 ISE 节点上恢复该备份,恢复过程可能失败。如果备份文件中的时间戳晚于恢复备份所在的思科 ISE 节点上的系统时间,则会发生此故障。如果在获得备份之后一天恢复备份,那么备份文件中的时间戳则为过去时间,恢复过程将成功。

  • 当主 PAN 上恢复的备份所使用的主机名不同于获得备份的主机名时,此主 PAN 将成为独立节点。部署已损坏,辅节点将无法运行。您必须使独立节点成为主节点,重置辅节点上的配置,并在主节点上重新注册这些辅节点。要重置思科 ISE 节点上的配置,请从思科 ISE CLI 输入以下命令:

    • application reset-config ise

  • 建议您在初始思科 ISE 安装和设置之后,不要更改系统时区。

  • 如果更改了部署中的一个或多个节点上的证书配置,则必须获得另一个备份才能从独立思科 ISE 节点或主 PAN 恢复数据。否则,如果您尝试使用旧备份恢复数据,节点之间的通信可能失败。

  • 在主 PAN 上恢复配置备份后,可以导入先前导出的思科 ISE CA 证书和密钥。


    如果没有导出思科 ISE CA 证书和密钥,则在主 PAN 上恢复配置备份后,在主 PAN 和策略服务节点 (PSN) 上生成根 CA 和从属 CA。


  • 如果尝试恢复白金级数据库而没有使用正确的 FQDN(白金级数据库的 FQDN),则需要重新生成 CA 证书。( 要查看此处窗口,请单击菜单 图标 (),然后选择 管理 (Administration) > 证书 (Certificates) > 证书签名请求 (Certificate Signing Requests) > 更换 ISE 根 CA 证书链 (Replace ISE Root CA certificate chain))。不过,如果使用正确的 FQDN 恢复白金级数据库,请注意 CA 证书将自动重新注册。

  • 需要一个数据存储库,供思科 ISE 保存备份文件。您必须创建一个存储库,然后才能运行按需备份或定期备份。

  • 如果有一个独立管理节点发生故障,则必须运行配置备份进行恢复。如果主 PAN 发生故障,则可以使用分布式设置,将辅助管理节点升级为主管理节点。实现之后,可以在主 PAN 上恢复数据。



    思科 ISE 还提供 backup-logs CLI 命令,可用来收集日志和配置文件以用于故障排除。


从 CLI 恢复配置或监控(操作)备份

默认值

要通过思科 ISE CLI 恢复配置数据,请在执行模式下使用 restore 命令。使用以下命令从配置或操作备份恢复数据:

restore filename repository repository-name encryption-key hash|plain encryption-key name include-adeos

语法说明

restore

键入此命令,从配置或操作备份恢复数据。

filename

驻留在存储库的备份文件的名称。最多支持 120 个字母数字字符。

 

必须在文件名后面添加 .tar.gpg 扩展名(例如,myfile.tar.gpg)。

repository

指定包含备份的存储库。

repository-name

您想要从其恢复备份的存储库的名称。

encryption-key

(可选)指定用户定义的加密密钥以恢复备份。

hash

恢复备份的散列加密密钥。指定跟随的加密(散列)加密密钥。最多支持 40 个字符。

plain

用于恢复备份的明文加密密钥。指定跟随的未加密密文加密密钥。最多支持 15 个字符。

encryption-key name

输入加密密钥。

include-adeos

(可选,仅适用于配置备份)如果您想要从配置备份恢复 ADE-OS 配置,请输入此命令运算符参数。当您恢复配置备份,如果不包含此参数,思科 ISE 仅恢复思科 ISE 应用配置数据。

无默认行为或值。

EXEC

在思科 ISE 中使用 restore 命令时,思科 ISE 服务器会自动重新启动。

恢复数据时,加密密钥为可选。要在您未提供加密密钥的情况下,支持恢复更早的备份,您可以使用 restore 命令,无需加密密钥。


ise/admin# restore mybackup-100818-1502.tar.gpg repository myrepository encryption-key plain Lab12345
Restore may require a restart of application services. Continue? (yes/no) [yes] ? yes
Initiating restore.  Please wait...
ISE application restore is in progress.
This process could take several minutes. Please wait...
Stopping ISE Application Server...
Stopping ISE Monitoring & Troubleshooting Log Processor...
Stopping ISE Monitoring & Troubleshooting Log Collector...
Stopping ISE Monitoring & Troubleshooting Alert Process...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE Database processes...
Starting ISE Database processes...
Starting ISE Monitoring & Troubleshooting Session Database...
Starting ISE Application Server...
Starting ISE Monitoring & Troubleshooting Alert Process...
Starting ISE Monitoring & Troubleshooting Log Collector...
Starting ISE Monitoring & Troubleshooting Log Processor...
Note: ISE Processes are initializing. Use 'show application status ise'
      CLI to verify all processes are in running state.
ise/admin#

Description

backup

执行备份(思科 ISE 和思科 ADE OS),将备份放在存储库中。

backup-logs

备份系统日志。

repository

输入备份配置的存储库子模式。

show repository

显示位于特定存储库上的可用备份文件。

show backup history

显示系统的备份历史记录。

show backup status

显示备份操作的状态。

show restore status

显示恢复操作的状态。

如果任何辅助节点的应用恢复后同步状态和复制状态为 不同步 (Out of Sync),则必须将此辅助节点的证书重新导入主 PAN,执行手动同步。

从 GUI 恢复配置备份

可以从管理门户恢复配置备份。GUI 只列出从当前版本提取的备份。要恢复此版本之前的备份,请从 CLI 使用恢复命令。

开始之前

确保主 PAN 自动故障切换配置(如果已在部署中启用)已关闭。当恢复备份配置时,应用服务器进程会重新启动。这些服务重新启动时可能会出现延迟。由于服务重新启动时出现这种延迟,可能会触发辅助 PAN 的自动故障切换。

在配置备份期间,如果您的部署是双节点部署,请确保满足以下条件:

  • 如果用于恢复的源节点和目标节点与用于配置备份的相应节点相同,目标节点可以是独立节点或主节点。

  • 如果用于恢复的源节点和目标节点与用于配置备份的相应节点不同,目标节点必须是独立节点。



可以仅在主 PAN 上恢复配置数据库备份和重新生成根 CA。不过,无法恢复注册 PAN 上的配置数据库备份。


过程


步骤 1

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 选择管理 (Administration) > 系统 (System) > 备份和恢复 (Backup and Restore)

步骤 2

从配置备份列表中选择备份名称,然后单击恢复 (Restore)

步骤 3

输入在备份过程中使用的加密密钥。

步骤 4

单击恢复 (Restore)


下一步做什么

如果使用思科 ISE CA 服务,必须:

  1. 重新生成整个思科 ISE CA 根链。

  2. 从主 PAN 获取思科 ISE CA 证书和密钥的备份,然后在辅助 PAN 上恢复备份。这样确保了辅助 PAN 可以在主 PAN 故障时用作外部 PKI 的根 CA 或从属 CA,您可将辅助 PAN 升级为主 PAN。

恢复监控数据库

恢复监控数据库的流程因部署类型不同而异。以下各节介绍如何在独立和分布式部署中恢复监控数据库。

必须使用 CLI 从思科 ISE 的先前版本恢复按需监控数据库备份。不支持跨思科 ISE 版本恢复定期备份。



如果尝试将数据恢复到调取数据所在节点以外的节点,必须将日志记录目标设置配置为指向新节点。这可以确保监控系统日志发送到正确节点。


在独立环境中恢复监控(运行)备份

GUI 只列出从当前版本提取的备份。要恢复从早期版本获取的备份,请从 CLI 使用恢复命令。

开始之前
  • 清除旧的监控数据。

  • 计划备份或执行按需备份。

过程

步骤 1

选择管理 (Administration) > 系统 (System) > 备份和恢复 (Backup and Restore)

步骤 2

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 备份和恢复 (Backup and Restore)

步骤 3

从操作备份列表中选择备份的名称,然后点击 Restore

步骤 4

输入在备份过程中使用的加密密钥。

步骤 5

点击 Restore


通过管理和监控角色恢复监控备份

您可以使用管理和监控角色在分布式环境中恢复监控备份。

开始之前
  • 清除旧的监控数据。

  • 计划备份或执行按需备份。

过程

步骤 1

如果使用的是主 PAN 和辅助 PAN,请同步 PAN。

同步 PAN 时,必须选择一个 PAN 并将其升级为活动的主 PAN。

步骤 2

在注销监控节点之前,应将监控角色分配给部署中的其他节点。

每个部署必须至少有一个正常运行的监控节点。

步骤 3

注销监控节点以进行备份。

步骤 4

将监控备份恢复到最近注销的节点。

步骤 5

向当前管理节点注册新恢复的节点。

步骤 6

将新恢复和注册的节点升级为主用监控节点。


通过监控角色恢复监控备份

只能通过监控角色恢复分布式环境中的监控备份。

开始之前
  • 清除旧的监控数据。

  • 计划备份或执行按需备份。

过程

步骤 1

准备取消注册要恢复的节点。这是通过将监控角色分配给部署中的另一个节点来完成的。

部署必须至少有一个正常运行的监控节点。

步骤 2

取消注册要恢复的节点。

 

请等待,直到取消注册完成后,再继续执行恢复操作。该节点必须处于独立状态,然后您才能继续执行恢复操作。

步骤 3

将监控备份恢复到最近注销的节点。

步骤 4

向当前管理节点注册新恢复的节点。

步骤 5

将新恢复和注册的节点升级为主用监控节点。


恢复历史记录

可以从操作审核报告 (Operations Audit Report) 中获取所有恢复操作、日志事件和状态的相关信息。



操作审核报告 (Operations Audit Report) 窗口不提供与之前的恢复操作对应的起始时间的相关信息。


要获得故障排除信息,必须从思科 ISE CLI 运行 backup-logs 命令并查看 ADE.log 文件。

在恢复操作进行过程中,所有思科 ISE 服务都会停止。可以使用 CLI 命令 show restore status 查看恢复操作的进度。

导出身份验证和授权策略配置

您可以将身份验证和授权策略配置导出为 XML 文件,您可以离线阅读此文件以识别任何配置错误并用于故障排除。此 XML 文件包括身份验证和授权策略规则、简单和复合策略条件、自主访问控制列表 (dACL) 和授权配置文件。您可以选择以邮件方式发送 XML 文件或将其保存在本地系统中。

过程


步骤 1

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 备份和恢复 (Backup & Restore)

步骤 2

单击策略导出 (Policy Export)

步骤 3

根据需要输入值。

步骤 4

单击导出 (Export)

使用文本编辑器,例如 WordPad,查看 XML 文件的内容。


计划策略导入设置

下表对计划策略导出 (Schedule Policy Export) 窗口中的字段进行了说明。要查看此处窗口,请单击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 备份和恢复(Backup and Restore) > 策略导出 (Policy Export)
表 5. 计划策略导入设置
字段名称 使用指南

加密

Encryption Key

输入用于加密和解密导出数据的密钥。仅当您选择使用加密密钥导出 (Export with Encryption Key) 选项时,才会启用此字段。

目的地

Download file to local computer

可以让您将策略导出文件下载到本地系统。

Email file to

您可输入多个邮件地址,用逗号分隔。

Repository

选择要将策略数据导出到的存储库。无法在此处输入存储库名称。只能从下拉列表选择一个可用存储库。确保在计划策略导出之前创建存储库。

Export Now

点击此选项可将数据导出到本地计算机或作为电子邮件附件发送。您无法导出到存储库;只能计划存储库导出。

时间表

Schedule Options

选择导出计划的频率,并相应地输入其他详细信息。

在分布式环境中同步主节点和辅助节点

在分布式环境中,在 PAN 上恢复备份文件之后,主节点和辅助节点中的思科 ISE 数据库有时不会自动同步。如果发生这种情况,可以手动强制从 PAN 完全复制到辅助 ISE 节点。只能强制从 PAN 同步到辅助节点。在同步操作过程中,无法进行任何配置更改。通过思科 ISE,只能在同步完成后导航至其他思科 ISE 管理员门户页面和进行配置更改。

开始之前

要执行以下任务,您必须是超级管理员或系统管理员。

过程


步骤 1

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 部署 (Deployment)

步骤 2

选中处于不同步复制状态的辅助 ISE 节点旁边的复选框。

步骤 3

单击同步 (Syncup),等到节点与 PAN 同步。必须等到此流程完成,然后才能再次访问思科 ISE 管理员门户。


恢复独立和分布式部署中断开的节点

此部分提供可用于恢复独立和分布式部署中断开的节点的故障排除信息。以下某些用例使用备份和恢复功能,而其他用例则使用复制功能恢复已丢失的数据。

使用现有 IP 地址和主机名恢复分布式部署中断开连接的节点

场景

分布式部署中,一场自然灾害导致丢失了所有节点。在恢复之后,您想要使用现有 IP 地址和主机名。

例如,您有两个节点:N1(主策略管理节点,即主 PAN)和 N2(辅助策略管理节点,即辅助 PAN)。可提供在时间 T1 执行的 N1 节点的备份。后来,由于自然灾害,N1 和 N2 节点都出现了故障。

假定条件

部署中的所有思科 ISE 节点都已被破坏。已使用相同的主机名和 IP 地址对新硬件进行映像。

解决步骤

  1. 您必须更换 N1 和 N2 节点。N1 和 N2 节点现在具有独立配置。

  2. 用 N1 和 N2 节点的 UDI 获取许可证并将其安装在 N1 节点上。

  3. 然后,您必须在更换的 N1 节点上恢复备份。恢复脚本将尝试在 N2 上同步数据,但是,N2 现已成为独立节点,所以同步失败。N1 上的数据将重置至时间 T1。

  4. 您必须登录 N1 Admin 门户以删除和重新注册 N2 节点。N1 和 N2 节点都将使数据重置至时间 T1。

使用新 IP 地址和主机名恢复分布式部署中断开的节点

场景

分布式部署中,一场自然灾害导致丢失了所有节点。新硬件在新位置进行了重新镜像并且需要新的 IP 地址和主机名。

例如,您有两个 ISE 节点:N1(主策略管理节点,即主 PAN)和 N2(辅助策略服务节点)。系统可以提供在时间 T1 执行的 N1 节点备份。后来,由于自然灾害,N1 和 N2 节点都出现了故障。思科 ISE 节点在新位置被替换,新主机名为 N1A(主 PAN)和 N2A(辅助策略服务节点)。此处 N1A 和 N2A 都是独立节点。

假定条件

部署中的所有思科 ISE 节点都已被破坏。新硬件已使用不同的主机名和 IP 地址在另一位置进行镜像。

解决步骤

  1. 获取 N1 备份并在 N1A 上恢复此备份。恢复脚本将识别主机名更改和域名更改,并且将根据当前主机名在部署配置中更新主机名和域名。

  2. 您必须生成新的自签证书。

  3. 必须在 N1A 上登录思科 ISE 管理员门户。在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 部署 (Deployment) ,然后执行以下操作:

    删除旧 N2 节点。

    将新 N2A 节点注册为辅助节点。系统会将 N1A 节点的数据复制到 N2A 节点。

使用现有 IP 地址和主机名恢复独立部署中的节点

场景

独立管理节点出现故障。

例如,您有一个独立管理节点 N1。已在时间 T1 执行 N1 数据库的备份。N1 节点由于物理故障宕机,必须重置映像此节点或需要使用新的硬件。必须以相同的 IP 地址和主机名恢复 N1 节点。

假定条件

此部署是独立部署,而且新硬件或重置映像的硬件具有相同的 IP 地址和主机名。

解决步骤

N1 节点在重置映像或您采用具有相同 IP 地址和主机名的新思科 ISE 节点后开始运行时,您必须从旧 N1 节点恢复备份。您无需执行任何角色变更。

使用新 IP 地址和主机名恢复独立部署中的节点

场景

独立管理节点出现故障。

例如,您有一个独立管理节点 N1。系统可以提供在时间 T1 执行的 N1 数据库备份。N1 节点由于物理故障而宕机,此节点更换为另一位置具有不同 IP 地址和主机名的新硬件。

假定条件

这是独立部署,并且所更换的硬件具有不同的 IP 地址和主机名。

解决步骤

  1. 使用新硬件更换 N1 节点。此节点将处于独立状态,主机名为 N1B。

  2. 您可以在 N1B 节点恢复备份。不需要更改角色。

配置回滚

问题

有时候,您可能会不小心更改配置,然后您发现所做的更改不正确。例如,您可能会错误地删除几个 NAD 或修改一些 RADIUS 属性,然后在数小时后才发现这个问题。在这种情况下,可以通过恢复您在进行更改之前所做的备份,恢复原来的配置。

可能的原因

有两个节点:N1(主策略管理节点,即主 PAN)和 N2(辅助策略管理节点,即辅助 PAN),并且可提供 N1 节点的备份。您在 N1 节点上做了一些错误的配置更改并且想要撤消更改。

解决方案

获取在执行错误的配置更改之前所执行的 N1 节点备份。在 N1 节点上恢复此备份。恢复脚本会将数据从 N1 同步至 N2。

分布式部署出现故障的情况下恢复主节点

场景

在多节点部署中,PAN 出现故障。

例如,您有两个思科 ISE 节点:N1 (PAN) 和 N2(辅助管理节点)。由于硬件问题,N1 出现了故障。

假定条件

分布式部署中的主节点出现故障。

解决步骤

  1. 登录 N2 管理员门户。在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 部署 (Deployment),并将 N2 配置为主节点。

    使用新硬件更换 N1 节点,重新镜像此节点并使之处于独立状态。

  2. 从 N2 管理员门户,将新的 N1 节点注册为辅助节点。

    现在,N2 节点就成为您的主要节点,而 N1 节点则成为您的辅助节点。

如果您希望重新将 N1 节点设置为主要节点,请登录 N1 Admin 门户并将其设置为主要节点。N2 就自动成为辅助服务器。不会有数据丢失。

分布式部署出现故障的情况下恢复辅助节点

场景

在多节点部署中,一个辅助节点出现故障。无需恢复。

例如,具有多个节点:N1(主 PAN)、N2(辅助 PAN)、N3(辅助策略服务节点)、N4(辅助策略服务节点)。其中一个辅助节点 N3 出现故障。

解决步骤

  1. 将新的 N3A 节点重新映像到默认独立状态。

  2. 登录到 N1 管理门户并删除 N3 节点。

  3. 重新注册 N3A 节点。

    数据将从 N1 复制到 N3A。无需恢复。

思科 ISE 日志记录机制

思科 ISE 提供用于审核、故障管理和故障排除的日志记录机制。日志记录机制可以帮助您识别所部署的服务中的故障情况并有效地对相应问题进行故障排除。它还以一致的方式从监控和故障排除主要节点提供日志记录输出。

您可以将思科 ISE 配置为使用虚拟环回地址在本地系统中收集日志。要从外部收集日志,您可以配置外部系统日志服务器,这些服务器称为目标。日志分为多个预定义的类别。您可以根据各个类别的目标、严重性级别等编辑各个类别,以自定义日志记录输出。

作为最佳实践,请勿将网络设备配置为思科 ISE 监控和故障排除 (MnT) 节点,因为这会导致一些网络访问设备 (NAD) 系统日志丢失,并使 MnT 服务器过载,进而导致加载问题。如果 NAD 系统日志配置为直接发送至 MnT,会话管理功能可能会中断。NAD 系统日志可定向到外部系统日志服务器以进行故障排除,但不应定向到 MnT。

当 ISE 消息服务在节点上失败时,将不再触发“进程已关闭”(Process Down) 警报。当 ISE 消息服务在节点上失败时,所有系统日志和“进程已关闭”(Process Down) 警报将丢失,直至消息服务在此节点上恢复。

在此情况下,管理员必须查找队列链接错误 (Queue Link Error) 警报,此警报将列在思科 ISE 主页 (Home) 窗口的警报 (Alarms) Dashlet 上。单击此警报,随即将打开包含建议操作 (Suggested Actions) 部分的新窗口。请遵循这些说明解决问题。



如果将监控节点配置为网络设备的系统日志服务器,请确保该日志源按照如下格式发送正确的网络接入服务器 (NAS) IP 地址:

<message_number>sequence_number: NAS_IP_address: timestamp: syslog_type: <message_text>

否则,这可能会影响依赖 NAS IP 地址的功能。


配置系统日志清除设置

使用此流程可设置本地日志存储期,并可在一定时间后删除本地日志。

过程


步骤 1

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 选择管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 本地日志设置 (Local Log Settings)

步骤 2

Local Log Storage Period 字段中,输入要将日志条目保留在配置源中的最大天数。

如果 localStore 文件夹达到 97 GB,则可能会早于配置的本地日志存储期 (Local Log Storage Period) 而删除日志。

步骤 3

单击立即删除日志 (Delete Logs Now) 可在存储期到期前的任何时间删除现有日志文件。

步骤 4

点击保存


思科 ISE 系统日志

在思科 ISE 中,日志记录目标的位置会收集系统日志。目标是指收集和存储日志的服务器的 IP 地址。您可以在本地生成和存储日志,也可以使用 FTP 工具将日志传输至外部服务器。思科 ISE 具有以下默认目标,在本地系统的环回地址中会动态配置这些目标:

  • LogCollector - 日志收集器的系统日志默认目标。

  • ProfilerRadiusProbe - 分析器 RADIUS 探测功能的默认系统日志目标。

默认情况下,在执行全新思科 ISE 安装或升级期间会禁用 AAA 诊断子类别和系统诊断子类别日志记录目标,以减少磁盘空间。您可以为这些子类别手动配置日志记录目标,但这些子类别的本地日志记录始终处于启用状态。

您可以使用在思科 ISE 安装结束时在本地配置的默认日志记录目标,也可以创建外部目录来存储日志。



如果在分布式部署中配置了系统日志服务器,系统日志消息会直接从进行身份验证的 PSN 发送到系统日志服务器,而不是从 MnT 节点发送。


配置远程系统日志收集位置

您可以使用 Web 界面创建向其发送系统日志消息的远程系统日志服务器目标。日志消息根据系统日志协议标准被发送至远程系统日志服务器目标(请参阅 RFC-3164)。系统日志协议为非安全 UDP。

当发生某一事件时,系统会生成消息。事件可能是显示状态的事件,例如当存在某个程序时显示的消息,或报警。诸如内核、电子邮件和用户级别等多个设施会生成不同类型的事件消息。事件消息与严重性级别相关,它允许管理员过滤消息并将其进行优先级排序。数字代码被分配给该设备和严重性级别。系统日志服务器为事件消息收集器并从这些设施收集事件消息。管理员可以基于其严重性级别选择将消息转发至哪个事件消息收集器。

UDP 系统日志(日志收集器)是默认远程日志记录目标。当禁用此日志记录目标时,它不会再充当日志收集器,并且系统会将其从日志记录类别 (Logging Categories) 窗口中删除。当启用此日志记录目标时,它会成为日志记录类别 (Logging Categories) 窗口中的日志收集器。



对默认远程日志记录目标 SecureSyslogCollector 的任何更改都会导致思科 ISE 监控和故障排除日志处理器服务重新启动。


过程


步骤 1

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 远程日志记录目标 (Remote Logging Targets)

步骤 2

点击添加 (Add)

步骤 3

输入必要的详细信息。

步骤 4

点击 Save

步骤 5

转至 Remote Logging Targets 页面,然后验证新的目标是否创建。

然后,可以将日志记录目标映射到下面的每个日志记录类别。PSN 节点根据这些节点上启用的服务将相关日志发送到远程日志记录目标。

  • AAA 审核

  • AAA 诊断

  • 记账

  • 外部 MDM

  • 被动 ID

  • 终端安全评估和客户端调配审核

  • 终端安全评估和客户端调配诊断

  • Profiler

部署中的所有节点会将以下类别的日志发送到日志记录目标:

  • 管理和操作审核

  • 系统诊断

  • 系统统计项


思科 ISE 消息代码

日志记录类别是用于说明功能、流程或用例的消息代码的捆绑包。在思科 ISE 中,每条日志根据日志消息内容与日志记录类别所捆绑的消息代码相关联。日志记录类别帮助说明其包含的消息的内容。

日志记录类别可升级日志记录配置。每个类别具有可以根据应用要求进行设置的名称、目标和严重性级别。

思科 ISE 为可以向其分配日志目标的 Posture、Profiler、Guest、AAA(身份验证、授权和记帐)等服务提供预定义日志记录类别。

对于日志记录类别通过的身份验证 (Passed Authentications),默认情况下禁用允许本地日志记录的选项。启用此类别的本地日志记录将导致操作空间利用率高,并填写 prrt-server.log 与 iseLocalStore.log。

如果您选择为通过的身份验证 (Passed Authentications) 启用本地日志记录,请转至管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 日志记录类别 (Logging Categories),从类别部分中单击通过的身份验证 (Passed Authentications)然后选中本地日志记录 (Local Logging) 复选框。

设置消息代码的严重性级别

您可以设置日志严重性级别,选择存储所选类别的日志的日志记录目标。

过程


步骤 1

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 日志记录类别 (Logging Categories)

步骤 2

点击想要编辑的类别旁边的单选按钮,点击 Edit

步骤 3

修改必填字段值。

步骤 4

点击 Save

步骤 5

转至 Logging Categories 页面,验证对特定类别所做的配置更改。


思科 ISE 消息目录

您可以使用“消息目录”(Message Catalog) 页面查看所有可能的日志消息和说明。在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 消息目录 (Message Catalog)

系统将显示“日志消息目录”(Log Message Catalog) 页面,您可以在此查看所有显示在日志文件中可能的日志消息。 依次选择导出 (Export) 以 CSV 文件的形式导出所有系统日志消息

请参阅思科 ISE 系统日志,了解思科 ISE 发送的系统日志消息的综合列表、它们的含义以及它们如何记录在本地和远程目标中。

终端调试日志收集器

要排除特定终端的问题,可以根据其 IP 地址或 MAC 地址为该特定终端下载调试日志。该特定终端专用部署中的各个节点的日志收集在一个文件中,从而帮助您快速、有效地排除问题。一次只能对一个终端运行此故障排除工具。日志文件列于 GUI 中。您可以为部署中的一个节点或所有节点的终端下载日志。

下载特定终端的调试日志

要解决与网络中的特定终端相关的问题,可以从管理员门户使用调试终端工具。或者,可以从 Authentications 页面运行此工具。从 Authentications 页面右键点击 Endpoint ID,然后点击 Endpoint Debug。此工具在一个文件中提供关于特定终端的所有服务的所有调试信息。

开始之前

需要准备收集其调试日志的终端的 IP 地址或 MAC 地址。

过程


步骤 1

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 操作 (Operations) > 故障排除 (Troubleshoot) > 诊断工具 (Diagnostic Tools) > 常规工具 (General Tools) > 终端调试 (Endpoint Debug)

步骤 2

点击 MAC AddressIP 单选按钮,输入终端的 MAC 或 IP 地址。

步骤 3

如果想要在指定的时间之后停止日志收集,请选中 Automatic disable after n Minutes 复选框。如果选中此复选框,必须输入 1 和 60 分钟之间的时间值。

显示以下消息:“Endpoint Debug degrades the deployment performance. Would you like to continue?”

步骤 4

点击 Continue 收集日志。

步骤 5

当想要手动停止日志收集时,请点击 Stop


集合过滤器

您可以配置集合过滤器来禁止将系统日志消息发送到监控节点和外部服务器。可以根据不同属性类型在策略服务节点级别执行禁止。您可以使用特定属性类型和对应的值定义多个过滤器。

在将系统日志消息发送到监控节点或外部服务器之前,思科 ISE 会将这些值与要发送的系统日志消息中的字段进行比较。如果找到任何匹配项,则不会发送对应的消息。

配置集合过滤器

您可以根据各种属性类型配置一系列集合过滤器。建议将过滤器数限制在 20 个以内。您可以添加、编辑或删除集合过滤器。

过程


步骤 1

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 集合过滤器 (Collection Filters)

步骤 2

点击 Add

步骤 3

从以下列表选择 Filter Type

  • User Name

  • MAC Address

  • Policy Set Name

  • NAS IP Address

  • Device IP Address

步骤 4

为您已选的过滤器类型选择对应的 Value

步骤 5

从下拉列表中选择 Result。结果可能是 All、Passed 或 Failed。

步骤 6

点击 Submit


事件抑制绕行过滤器

思科 ISE 允许您设置过滤器,以禁止向监控节点和使用收集过滤器的其他外部服务器发送某些系统日志消息。有时,您需要访问这些禁止发送的日志消息。思科 ISE 现在为您提供根据特定属性(例如用户名)在可配置的时间内绕过事件抑制的选项。默认值为 50 分钟,但您可以将持续时间配置为 5 分钟至 480 分钟(8 小时)。配置事件抑制绕行后,该功能会立即生效。如果您设置的持续时间结束,则绕行抑制过滤器将过期。

您可以在思科 ISE 用户界面的 Collection Filters 页面中配置抑制绕行过滤器。使用此功能,您现在可以查看某个特定身份(用户)的所有日志并实时解决该身份遇到的问题。

您可以启用或禁用过滤器。如果您在绕行事件过滤器中配置的持续时间结束,则过滤器会自动禁用,直至您再次启用该过滤器。思科 ISE 在更改配置审核报告中捕获这些配置更改。此报告提供了事件抑制或绕行抑制配置人员的相关信息,以及抑制事件或绕行抑制的持续时间。

思科 ISE 报告

思科身份服务引擎 (ISE) 报告用于监控和故障排除功能分析趋势、和,监控系统性能和网络活动从中心位置。

思科 ISE 从您的网络收集日志和配置数据。然后,将数据聚合到报告,供您查看和分析。思科 ISE 提供一套标准的预定义报告,您可以直接使用,也可以自定义以满足自己的需求。

思科 ISE 报告经过预配置,划分为不同的类别,包含有关身份验证、会话流量、设备管理、配置和管理以及故障排除的信息。

报告过滤器

有两种报告类型:single-section 和 multi-section。Single-section 报告包含单一网格(RADIUS 身份验证报告),multi-section 报告包含多个网格(身份验证摘要报告),并以图表和表格的形式代表数据。单段报告中的过滤器下拉菜单包含快速过滤器 (Quick Filter)自定义过滤器 (Custom Filter)。在多段报告中,仅可以指定高级过滤器。

多段报告可能包含需要您输入的一个或多个必填自定义过滤器。例如,当点击“运行状况摘要”(Health Summary) 报告(操作 (Operations) > 报告 (Reports) > 诊断 (Diagnostics) 页面)时,会显示两个必填自定义过滤器:服务器 (Server) 和时间范围 (Time Range)。您必须为这两个过滤器指定操作符命令、服务器名称和所需值,然后点击开始 (Go) 生成报告。您可以点击加号 (+) 添加新的高级过滤器。您仅可将 multi-section 导出为 PDF 格式。您不能计划在特定时间或时间间隔运行和重新运行思科 ISE multi-section 报告。



当单击报告时,默认生成当前日期的数据。但是,除时间范围外,某些多段报告需要用户强制输入。


默认情况下,快速过滤器显示为 single-section 报告的第一行。字段可能是一个包含可选择搜索条件的下拉列表,也可以是一个文本框。

高级过滤器包含一个外部标准,其中含有一个或多个内部标准。外部标准用于指定搜索是否应满足所有或任何指定的内部标准。内部标准包含一个或多个条件,用于指定类别(终端 ID、身份组)、方法(操作符命令,例如包含、不包含)和该条件的时间范围。

使用快速过滤器 (Quick Filter) 时,可以从记录于 (Logged At) 下拉列表中选择日期或时间,以生成过去 30 天或以内记录的数据集的报告。如果要为 30 天前的日期或时间生成报告,请使用高级过滤器 (Advanced Filter),在下拉列表中自定义 (Custom) 选项的从 (From) 字段和到 (To) 字段中设置所需的时间范围。

创建快速过滤器条件

本节介绍如何创建快速过滤器条件。您只能为单段报告创建快速过滤器条件。

过程


步骤 1

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 操作 (Operations) > 报告 (Reports)并单击所需的报告。

步骤 2

设置 (Settings) 下拉列表中选择所需字段。

步骤 3

在必填字段中,您可以从下拉列表中选择或者键入特定字符以过滤数据。搜索使用 Contains 运算符命令。例如,要过滤以“K”开头的文本,请输入 K,或者要过滤任意位置包含“geo”的文本,请输入 geo。您还可以使用星号 (*),例如,以 *abc 开头并以 *def 结尾的正则表达式。

快速过滤器使用以下条件:包含、开头为、结尾为、开头为或结尾为,以及使用 OR 运算符的多个值。

步骤 4

Enter 键。


创建高级过滤条件

本节介绍如何创建高级过滤条件。您可以为单段和多段报告创建高级过滤器。单段报告中的过滤器下拉菜单包含快速过滤器 (Quick Filter)自定义过滤器 (Custom Filter)。在多段报告中,仅可以指定高级过滤器。

过程


步骤 1

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 操作 (Operations) > 报告 (Reports)并单击所需的报告。

步骤 2

过滤器 (Filters) 部分,从匹配 (Match) 下拉列表中选择一个选项。

  1. 选择所有 (All) 以匹配所有指定的条件。

  2. 选择任意 (Any) 以匹配任意一个指定的条件。

步骤 3

时间范围 (Time Range) 下拉列表中选择所需类别。

步骤 4

运算符命令 (Operator Commands) 下拉列表中,选择所需的命令。例如,可以过滤以特定字符开头的文本(使用“开头为”)或任意位置存在特定字符的文本(使用“包含”)。或者,您可以选择记录时间 (Logged Time) 和对应的自定义 (Custom) 选项并在日历中指定开始和结束的日期和时间以过滤数据。

步骤 5

时间范围 (Time Range) 下拉列表中选择所需选项。

步骤 6

点击 Go(前往)


您可以保存已过滤的报告并从过滤器 (Filters) 下拉列表中检索该报告以供将来参考。

运行并查看报告

本节描述如何使用报告视图运行、查看并导航报告。默认情况下,当您点击报告时,可生成最近七天的数据。每个报告每页显示 500 行数据。您可以指定报告中所显示数据的时间增量。

过程


步骤 1

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 选择操作 (Operations) > 报告 (Reports) > ISE 报告 (ISE Reports)

还可以导航到每个工作中心下的报告 (Reports) 链接,以查看特定于此工作中心的报告集。

步骤 2

单击"可用报告页上的类别的报告。

步骤 3

选择一个或多个过滤器以运行报告。每个报告都具有不同的可用过滤器,某些过滤器为必选而某些则为可选。

步骤 4

为过滤器输入适当的值。

步骤 5

单击 Go(前往)


报告导航

您可以从报告输出中获得详细信息。例如,如果您为五个月的一个时间段生成了报告,其图表将按月列出报告的汇总数据。

您可以从表格中点击特定值以查看与此特定字段相关的其他报告。例如,身份验证摘要报告将显示用户或用户组的失败计数。当您点击失败计数时,系统就会打开该特定失败计数的身份验证摘要报告。

导出报告

仅可以导出以下报告的 PDF 文件格式:

  • 身份验证摘要

  • 运行状况摘要

  • RBACL 丢弃摘要



    RBACL 丢弃的数据包流仅适用于 Cisco Catalyst 6500 系列交换机。
  • 访客赞助商摘要

  • 终端配置文件修改

  • 网络设备会话状态

过程


步骤 1

如“运行和查看报告”(Running and Viewing Reports) 一节所述运行报告。

步骤 2

点击报告摘要页面右上角的导出到 (Export To)

步骤 3

选择以下选项之一:

  • 存储库 (CSV):将报告以 CSV 文件格式导出到存储库

  • 本地 (CSV):将报告以 CSV 文件格式导出到本地磁盘

  • 本地 (PDF):将报告以 PDF 文件格式导出到本地磁盘

 
  • 当选择本地 CSV 或 PDF 选项时,仅会导出前 500 条记录。您可以使用存储库 CSV 选项导出所有记录。

  • 使用本地 pdf 选项导出多部分报告时,每个部分仅导出前 100 行。


我的报告

您可以将预配置的系统报告和个人过滤的报告添加到 我的报告 部分。保存到 我的报告部分的报告会保留对其应用的过滤器。

过程


步骤 1

报告 窗口(操作 > 报告)中,从左侧显示的 报告 下拉菜单中点击需要的报告。

步骤 2

(可选)打开所选报告后,添加所需的过滤器以自定义报告。

步骤 3

点击窗口右上角的 添加到我的报告 按钮。

步骤 4

系统将打开 保存到我的报告 对话框。报告的名称和说明会自动填充。如果需要,您可以编辑这些字段。

步骤 5

(可选)所选报告与适用的过滤器一起保存,从而保留其自定义。

步骤 6

点击 保存 将报告另存为。系统将显示一个对话框,说明报告已成功保存。

步骤 7

所选报告现在将显示在 我的报告 下拉列表中,以便于访问。


您可以通过点击窗口右上角的 从我的报告中删除 按钮来删除添加到 我的报告 部分的报告。在显示的“警报”对话框中点击 确定 ,报告将从“我的报告”部分中删除。

安排思科 ISE 报告

您可以安排 思科 ISE 报告,以在特定时间或时间间隔运行和重新运行。您还可以将适当的过滤器应用于您选择的报告。您可以安排在思科 ISE 上以每小时、每天、每周、每月和每年的频率运行报告。它也可以是一次性报告计划作业。您可以选择报告的开始日期和结束日期,并选择要安排报告的星期几。您可以决定计划报告的运行时间。

对于生成的报告,还可以发送和接收电子邮件通知。这些电邮通知将告诉您计划的报告是否已成功运行,还将包含存储库的详细信息、计划报告的时间等。

每小时 (Hourly) 频率安排报告时,可以让报告运行多天,但时间段不能跨越两天。

例如,在安排从 2019 年 5 月 4 日到 2019 年 5 月 8 日的每小时报告时,可以将时间间隔设置为每天上午 6:00 至晚上 11:00,但不能设置为某日下午 6:00 到次日上午 11:00。思科 ISE 会显示错误消息,说明在后一种情况下的时间范围无效。

无法安排以下报告:

  • 身份验证摘要

  • 运行状况摘要

  • RBACL 丢弃摘要



    RBACL 丢弃的数据包流仅适用于 Cisco Catalyst 6500 系列交换机。
  • 访客赞助商摘要

  • 终端配置文件更改

  • 网络设备会话状态

过程


步骤 1

报告 窗口(操作 > 报告)中,从左侧显示的 报告 下拉菜单中选择要计划的报告。

步骤 2

(可选)打开所选报告时,应用要应用于该报告的过滤器。

步骤 3

点击窗口右上角的 计划 按钮。

步骤 4

另存为计划 对话框随即打开。

步骤 5

填写计划作业的详细信息,例如名称、说明、电邮、日期和时间。

步骤 6

存储库 下拉列表中,选择将保存计划报告的外部存储库。有关详细信息,请参阅 “表 1。 思科 ISE 管理员指南的“备份和恢复存储库”部分下的“外部存储库可支持性矩阵”。

步骤 7

频率 下拉列表中,根据需要选择计划的频率。例如,如果您只需要过去 12 小时的数据,请在安排报告时选择 过去 12 小时 数据字段。

步骤 8

根据需要选择 开始日期结束日期 ,然后点击 保存

步骤 9

在计划报告时,所有选定的过滤器都将自动应用于报告。

步骤 10

您可以在窗口底部的 计划的报告 部分中查看创建的计划和应用的过滤器。


您还可以根据需要编辑和删除计划报告。从计划报告下拉列表(操作 > 报告 > 计划报告)中选择您选择的计划报告。点击 编辑计划 以更改计划的报告,然后点击 保存。点击 删除计划 以删除计划的报告。

使用案例:计划的报告

要在当日上午 12 点获取前一天的数据,请按照以下程序安排报告:

过程


步骤 1

报告 窗口(操作 > 报告)中,从左侧显示的 报告 下拉菜单中选择要计划的报告。

步骤 2

(可选)打开所选报告时,应用要应用于该报告的过滤器。

步骤 3

在此场景中,要获取前一天的数据,请选择 记录时间 字段并应用 昨天 过滤器。每当计划的报告运行时,这将返回前一天的数据。如果您只需要过去 12 小时的数据,请在计划报告时选择 另存为计划 对话框中的 过去 12 小时数据字段。

步骤 4

点击窗口右上角的 计划 按钮。

步骤 5

另存为计划 对话框随即打开。

步骤 6

填写计划作业的详细信息,例如名称、说明、电邮、日期和时间。

步骤 7

存储库 下拉列表中,选择将保存计划报告的外部存储库。有关详细信息,请参阅 “表 1。 思科 ISE 管理员指南的“备份和恢复存储库”部分下的“外部存储库可支持性矩阵”。

步骤 8

频率 下拉列表中,根据需要选择计划的频率。例如,如果您只需要过去 12 小时的数据,请在安排报告时选择 过去 12 小时 数据字段。

步骤 9

根据需要选择 开始日期结束日期 ,然后点击 保存

步骤 10

在计划报告时,所有选定的过滤器都将自动应用于报告。

步骤 11

您可以在窗口底部的 计划的报告 部分中查看创建的计划和应用的过滤器。




  • 大多数计划报告都以 .csv 格式导出。但是,Radius 身份验证、Radius 审计、TACACS 身份验证、TACACS 审计和操作审核的计划报告导出到包含 .csv 文件的 .zip 文件夹中。

  • 如果外部管理员(例如 Active Directory 管理员)在未填写电子邮件 ID 字段的情况下创建计划报告,则不会发送任何电子邮件通知。

  • 只有在删除由特定用户创建的计划报告后,才能删除内部或外部思科 ISE 用户,以确保在删除用户后没有活动计划正在运行。

  • 只能从 PAN 保存或安排(使用过滤器)思科 ISE 报告。

  • 计划的报告作业在主 MnT 和辅助 MnT 节点上运行。如果主 MnT 关闭,则辅助 MnT 将执行计划的报告作业。在这种情况下,辅助 MnT 首先对主 MnT 执行 ping 操作。仅当 ping 失败时,辅助 MnT 才会运行计划的导出作业。

  • 从思科 ISE 3.1 补丁 1 开始,导出的报告中的日期格式已从 YYYY-MM-DD 更改为 DD-MM-YY。时间格式已从 hh:mm:ss.sss 更改为 hh:mm:ss.sss AM/PM(24 小时制改为 12 小时制)。


思科 ISE 活动 RADIUS 会话

思科 ISE 为实时会话提供动态的授权更改 (CoA) 功能,通过此功能,可以动态地控制活动 RADIUS 会话。可以将重新验证或断开请求发送到网络接入设备 (NAD) 以执行以下任务:

  • 排除与身份验证相关的问题 - 可以使用 Session reauthentication 选项继续尝试重新验证。但是,不能使用此选项来限制访问。要限制访问,请使用 shutdown 选项。

  • 阻止有问题主机 - 可以将 Session termination 与 port shutdown 选项一起使用,以阻止在网络上发送大量流量的被感染主机。但是,RADIUS 协议当前不支持重新启用已关闭端口的方法。

  • 强制终端重新获取 IP 地址 - 可以将 Session termination 与 port bounce 选项一起使用,以便没有请求方或客户端的终端在 VLAN 更改之后生成 DHCP 请求。

  • 将更新的授权策略推送到终端 - 可以使用 Session reauthentication 选项执行更新的策略配置,例如,根据管理员的决定更改现有会话的授权策略。例如,如果启用终端安全评估验证,当终端初次获得访问权限时,通常会被隔离。已知终端的身份和终端安全评估之后,可将 Session reauthentication 命令发送到终端,以便该终端根据其终端安全评估获取实际授权策略。

为了让设备读懂 CoA 命令,应适当地配置选项,这一点非常重要。

为了使 CoA 正常工作,必须为每台需要动态授权更改的设备配置共享密钥。思科 ISE 使用共享密钥配置向设备请求访问权限并向其发出 CoA 命令。



在此思科 ISE 版本中,可以显示的经过身份验证的最大活动终端会话数限制为 100000。


更改 RADIUS 会话的授权

您网络中的某些网络接入设备可能不会在重新加载后发送 Accounting Stop 或 Accounting Off 数据包。因此,您可能会在 Session Directory 报告中找到两个会话,其中一个已过期。

要动态地更改活动 RADIUS 会话的授权或断开活动 RADIUS 会话的连接,请务必选择最近的会话。

过程


步骤 1

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 操作 (Operations) > RADIUS Livelog

步骤 2

将视图切换到 Show Live Session

步骤 3

点击要发出 CoA 的 RADIUS 会话的 CoA 链接,然后选择以下其中一个选项:

  • SAnet Session Query - 使用此选项查询有关支持 SAnet 的设备的信息。

  • Session reauthentication - 重新对会话进行身份验证。如果您为在支持 COA 的 ASA 设备上建立的会话选择此选项,则此操作将会调用 Session Policy Push CoA。

  • Session reauthentication with last - 为此会话使用最后一个成功身份验证方法。

  • Session reauthentication with rerun - 从头开始运行配置的身份验证方法。

     

    思科 IOS 软件中当前不支持 Session reauthentication with lastSession reauthentication with rerun 选项。

  • Session termination - 仅终止会话。交换机会在不同的会话中重新对客户端进行身份验证。

  • Session termination with port bounce - 终止会话并重新启动报告。

  • Session termination with port shutdown - 终止会话并关闭报告。

步骤 4

点击 Run 使用选定的 reauthenticate 或 terminate 选项发出 CoA。

如果您的 CoA 失败,可能是由于以下其中一个原因引起:

  • 设备不支持 CoA。

  • 身份或授权策略已发生更改。

  • 共享密钥不匹配。


可用报告

下表按照报告类别分组列出系统预配置的报告。此外还提供对报告功能和日志记录类别的说明。

要为日志记录类别生成系统日志,请将其日志严重性级别 (Log Severity Level) 设置为信息 (Info)

  • 在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 日志记录类别 (Logging Categories)

  • 点击必须为其生成系统日志的日志记录类别。

  • 日志严重性级别下拉列表中,选择信息

  • 点击保存



在思科 ISE 版本 2.6 及更高版本中,使用 IPv6 地址的用户将在审核报告中记录以下事件—登录/注销、密码更改和操作更改。在管理员登录、用户更改密码审核和操作审核报告中,您可以按 IPv4 和 IPv6 记录过滤日志。


报告名称

说明

日志记录类别

审计

自适应网络控制审计

自适应网络控制审计报告以 RADIUS 计费为基础。它可以显示每个终端所有网络会话的历史报告数据。

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 Administration > System > Logging > Logging Categories,然后点击 Passed AuthenticationsRADIUS Accounting

Administrator Logins

管理员登录报告提供关于所有基于 GUI 的管理员登录事件以及成功的 CLI 登录事件的信息。

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 日志记录类别 (Logging Categories),然后点击“管 理和操作审核”(Administrative and Operational Audit)。

Change Configuration Audit

更改配置审核报告提供关于指定时间内配置更改的详细信息。如果需要对某个功能进行故障排除,此报告可以帮助您确定是不是最近的配置更改导致了问题。

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 日志记录类别 (Logging Categories),然后点击“管 理和操作审核”(Administrative and Operational Audit)。

数据清除审核

数据清除审核报告记录何时清除了日志记录数据。

此报告会反映两个数据清除来源。

每天凌晨 4 点,思科 ISE 会检查是否有任何日志记录文件符合您在“管理”(Administration) > “维护”(Maintenance) > “数据清除”(Data Purging) 窗口设置的条件。如是,思科 ISE 会删除这些文件并将其记录于此报告中。此外,思科 ISE 继续为日志文件保留最多 80% 的已用存储空间(阈值)。思科 ISE 每小时都会检查此百分比并删除最早的数据,直到再次达到此阈值。这些信息也会记录于此报告中。

如果磁盘空间利用率高,则会显示一条警告消息,说明 ISE 监控节点即将超过分配的最大容量,即阈值的 80%,即总磁盘空间的 60%。随后,系统会在达到 90% 阈值(总磁盘空间的 70%)显示一条警报消息,说明 ISE 监控节点已超过最大分配量

-

终端清除活动

用户可以通过终端清除活动报告查看终端清除活动的历史记录。此报告要求启用“分析器”(Profiler) 日志记录类别。(请注意,此类别默认启用。)

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 > 系统 > 日志记录 > 日志记录类别,然后点击 分析器

内部管理员摘要

您可以通过内部管理员摘要报告验证管理员用户的注册情况。您还可以从此报告访问管理员登录和更改配置审核报告,从而可以查看每个管理员的此类详细信息。

-

操作审核

操作审核报告提供关于任何操作变更的详细信息,例如运行备份、注册思科 ISE 节点或重新启动应用。

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 日志记录类别 (Logging Categories),然后点击“管 理和操作审核”(Administrative and Operational Audit)。

pxGrid Administrator Audit

pxGrid 管理员审核报告提供关于 pxGrid 管理操作的详细信息,例如在主 PAN 上注册客户端、注销客户端、批准客户端、创建主题、删除主题、添加发布者-订用者,以及删除发布者-订用者。

每条记录都会注明在节点上执行相应操作的管理员名称。

您可以根据管理员和消息条件过滤 pxGrid 管理员审核报告。

-

Secure Communications Audit

安全通信审核报告提供关于思科 ISE 管理员 CLI 中的安全性相关事件的审核详细信息,该管理员 CLI 包括:身份验证失败、可能的入侵尝试、SSH 登录、失效密码、SSH 注销和无效用户帐户等。

-

用户更改密码审核

用户更改密码审核报告显示关于员工密码更改的验证信息。

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 日志记录类别 (Logging Categories),然后点击“管 理和操作审核”(Administrative and Operational Audit)。

Trustsec 审核

TrustSec 审核日志包含:

  • 管理(创建、重命名、更新和删除)TrustSec 组件。

  • 将 SGACL 和 SGT 部署到启用 TrustSec 的 NAD

  • TrustSec 会话。

如果思科 ISE 与思科 DNA 中心集成,并且 SD 访问由思科 DNA 中心管理,则此日志为空。

-

设备管理

TACACS 身份验证摘要

TACACS 身份验证摘要报告会详细说明最常见的身份验证以及身份验证失败的原因。

TACACS 计费

TACACS 计费报告为设备会话提供计费的详细信息。它显示用户和设备的生成和日志记录时间的相关信息。

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 日志记录类别 (Logging Categories),然后选择 TACACS 计费。

不同失败原因的前 N 个身份验证

“不同失败原因的前 N 个身份验证”报告根据所选参数显示特定期间内不同失败原因的身份验证总数。

不同网络设备的前 N 个身份验证

“不同网络设备的前 N 个身份验证”报告根据所选参数按网络设备名称显示特定期间内已通过和已失败的身份验证数量。

不同用户的前 N 个身份验证

“不同用户的前 N 个身份验证”(Top N Authentication by User) 报告根据所选参数按用户名显示特定期间内已通过和失败的身份验证数量。

诊断

AAA 诊断

AAA 诊断报告提供思科 ISE 和用户之间所有网络会话的详细信息。如果用户无法访问网络,您可查看此报告以确定其动态并明确问题是仅限于特定用户还是普遍存在。

 
有时,如果正在进行用户身份验证,ISE 会以静默方式丢弃终端的计费停止 (Accounting Stop) 请求。但是,用户身份验证完成后,ISE 将开始确认所有计费请求。

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 > 系统 > 日志记录 > 日志记录类别,然后选择这些日志记录类别: 政策诊断身份库诊断身份验证流程诊断RADIUS 诊断

AD Connector Operations

AD Connector Operations 报告提供关于 AD 连接器执行的操作的日志,例如思科 ISE 服务器密码更新、Kerberos 票证管理、DNS 查询、DC 发现、LDAP 和 RPC 连接管理等。

如果遇到某些 AD 故障,您可以在此报告中查看详细信息以确定可能的原因。

在思科 ISE GUI 中,单击菜单 图标 (),然后选择管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 日志记录类别 (Logging Categories),然后选择“AD 连接器”(AD Connector)。

Endpoint Profile Changes

终端顶级授权(MAC 地址)报告显示思科 ISE 已授权每个终端 MAC 地址访问网络的次数。

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 日志记录类别 (Logging Categories),然后选择已通过的身份验证 (Passed Authentications)失败尝试 (Failed Attempts)

Health Summary

运行状况摘要报告提供与控制面板类似的详细信息。但是,控制面板仅显示过去 24 小时的数据。此外,您还可以使用此报告查看更多历史数据。

您可以评估这些数据,以查看数据中的一致模式。例如,您可能预计当大多数员工都开始工作时,CPU 使用率较高。如果您发现这些趋势存在不一致性,您可以确定潜在的问题。

CPU 使用率表列出不同思科 ISE 功能的 CPU 使用率百分比。此表中提供 show cpu usage CLI 命令的输出,您可以将这些值与部署中的问题相关联,从而识别可能的原因。

ISE 计数器

ISE 计数器报告列出各种属性的阈值。这些不同的属性值按照不同的时间间隔收集,而数据以表格格式呈现;一个间隔为 5 分钟,另一个间隔大于 5 分钟。

您可以评估这些数据以查看趋势,如果发现高于阈值的值,则可以将此信息与部署中的问题相关联,以确定可能的原因。

默认情况下,思科 ISE 收集这些属性值。您可以在思科 ISE CLI 中使用 application configure ise 命令禁用此数据收集操作。选择 选项 14 可启用或禁用计数器属性收集。

关键性能指标

关键性能指标报告提供有关连接到部署的终端数量以及每个 PSN 每小时处理的 RADIUS 请求数量的统计信息。此报告列出服务器上的平均负载、每个请求的平均延迟和每秒的平均事务数。

-

配置有误的 NAS

配置有误的 NAS 报告提供关于记帐频率不正确(通常指频繁地发送记帐信息)的 NAD 的信息。如果您已采取纠正措施并修复配置错误的 NAD,此报告会显示修复确认信息。

 
应启用 RADIUS抑制 才能运行此报告。

-

配置有误的请求方

配置有误的请求方报告提供配置错误的请求方的列表以及对具体请求方执行的失败尝试的统计信息。如果您已采取纠正措施并修复配置错误的请求方,此报告会显示修复确认信息。

 
应启用 RADIUS抑制 才能运行此报告。

-

网络设备会话状态

您可以通过网络设备会话状态摘要报告显示交换机配置,而无需直接登录交换机。

思科 ISE 使用 SNMP 查询功能获取这些详细信息,而且要求用 SNMP v1 或 v2c 配置您的网络设备。

如果用户遇到网络问题,此报告可帮助您识别问题是否与交换机配置或与思科 ISE 有关。

-

OCSP 监控

OCSP 监控报告指明在线证书状态协议 (OCSP) 服务的状态。它可以确定思科 ISE 能否成功连接证书服务器并提供证书状态审核,还提供对思科 ISE 执行的所有 OCSP 证书验证操作的汇总。此外,它可从 OCSP 服务器检索关于正常和已吊销主要证书与辅助证书的信息。思科 ISE 缓存响应并利用响应生成后续OCSP 监控报告。如果缓存已清除,它将从 OCSP 服务器检索信息。

在思科 ISE GUI 中,单击菜单 图标 (),然后选择管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 日志记录类别 (Logging Categories),然后选择“系统诊断”(System Diagnostics)。

RADIUS 错误

您可以通过 RADIUS 错误报告检查已丢失的 RADIUS 请求(从未知网络访问设备丢弃的身份验证或记账请求)、EAP 连接超时和未知 NAD。

 

您只能查看过去 5 天的报告。

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 > 系统 > 日志记录 > 日志记录类别,然后选择 失败尝试

系统诊断

系统诊断报告提供关于思科 ISE 节点的状态的详细信息。如果思科 ISE 节点无法注册,您可查看此报告以对问题进行故障排除。

此报告要求首先启用几个诊断日志记录类别。收集这些日志可能会对思科 ISE 性能产生负面影响。因此,默认情况下未启用这些类别。如果您启用这些类别,应使其启用持续时间刚好满足收集数据的要求即可。否则,30 分钟后系统会自动禁用这些类别。

在思科 ISE GUI 中,单击菜单 图标 (),然后选择选择管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 日志记录类别 (Logging Categories),然后选择以下日志记录类别:“内部操作诊断”(Internal Operations Diagnostics)、“分布式管理”(Distributed Management)、“管理员身份验证”(Administrator Authentication) 和“授权” (Authorization)。

Endpoints and Users

无代理终端安全评估

列出运行无代理终端安全评估的所有终端。

身份验证摘要

身份验证摘要报告以 RADIUS 身份验证为基础。您可以通过此报告确定最常见的身份验证以及任何身份验证失败的原因。例如,如果一个思科 ISE 服务器处理的身份验证明显多于其他服务器,您可能需要重新将用户分配给其他思科 ISE 服务器,以实现更好的负载均衡。

 
由于身份验证摘要报告或控制板会收集和显示与失败或成功的身份验证对应的最新数据,因此报告内容会延迟几分钟后显示。

-

客户端调配

客户端调配报告显示应用于特定终端的客户端调配代理。您可以使用此报告验证应用于每个终端的策略,进而利用此报告确定是否正确调配了终端。

 
如果终端不与 ISE 连接(未建立会话)或对会话使用网络地址转换 (NAT) 地址,则终端的 MAC 地址不会显示在“终端 ID”(Endpoint ID) 列中。

在思科 ISE GUI 中,单击菜单 图标 (),然后选择管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 日志记录类别 (Logging Categories),然后选择“终端安全评估和客户端调配审核与终端安全评估和客户调配诊断”(Client Provisioning Audit and Posture and Client Provisioning Diagnostics)

Current Active Sessions

您可以通过当前活动会话报告导出包含关于指定时间内哪些用户正在访问网络的详细信息的报告。

如果用户无法访问网络,您可以查看会话是否经过了身份验证或是否中断,或会话是否存在其他问题。

-

终端脚本调配摘要

终端脚本调配摘要 窗口显示过去 30 天内通过 终端脚本 窗口运行的作业的详细信息。

外部移动设备管理

外部移动设备管理报告提供关于思科 ISE 与外部移动设备管理 (MDM) 服务器之间的集成的详细信息。

您可以使用此报告查看哪些终端经过了 MDM 服务器调配,而无需直接登录 MDM 服务器。此报告还显示注册和 MDM 合规状态等信息。

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 日志记录类别 (Logging Categories),然后选择 MDM。

被动 ID

您可以通过被动 ID (Passive ID) 报告监控与域控制器的 WMI 连接的状态并收集与之相关的统计信息(例如接收的通知数量、每秒钟用户登录/注销的次数等)。

 

通过此方法进行身份验证的会话在报告中没有身份验证详细信息。

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 日志记录类别 (Logging Categories),然后选择“身份映射”(Identity Mapping)。

手动证书调配

手动证书调配报告列出所有通过证书调配门户手动调配的证书。

-

按条件进行终端安全评估

通过按条件进行终端安全评估报告,您可以查看 ISE 中配置的基于终端安全评估策略条件的记录,从而对最新安全设置和应用在客户端计算机上的可用性进行验证。

-

按终端进行终端安全评估

“不同终端的终端安全评估”报告提供终端的详细信息,如时间、状态和 PRA 操作。您可以点击详细信息 (Details) 以查看终端的更多信息。

 
“不同终端的终端安全评估”报告不提供终端应用和硬件属性的终端安全评估策略详细信息。您只能在“情景可视性”(Context Visibility) 页面中查看这些信息。

-

终端安全评估脚本补救

终端安全评估脚本补救用于检查补救脚本的执行状态。

状态为以下之一:

  • 补救脚本执行成功。

  • 已尝试补救,并且脚本退出失败。

  • 未尝试补救(默认)。

  • 补救尝试失败。该脚本未通过完整性检查,因为包含的策略可能已被篡改。

  • 补救尝试失败。客户端无法下载脚本。

  • 补救尝试失败。脚本未通过完整性测试,因为脚本可能已损坏或已被篡改。

  • 补救尝试失败。脚本已执行,但未及时退出(超时)。

  • 补救尝试失败。发生通用内部系统故障。

  • 补救尝试失败。脚本类型不受支持。

  • 补救尝试失败。启动脚本失败。

  • 证书验证失败。客户端无法验证思科 ISE 提供的服务器证书。

-

已分析终端总结

已分析终端总结报告提供关于正在访问网络的终端的分析详细信息。

 
对于不注册会话时间的终端(例如思科 IP 电话),“终端会话时间”(Endpoint session time) 字段中会显示“不适用”(Not Applicable)。

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 日志记录 (Logging) ,然后选择“分析器”(Profiler)。

RADIUS 计费

RADIUS 计费报告指出用户访问网络持续的时间。如果用户失去了网络连接,您可以使用此报告确定是不是思科 ISE 导致的网络连接问题。

 

如果 RADIUS 记账临时更新包含有关给定会话的 IPv4 或 IPv6 地址更改的信息,则 RADIUS 记账报告中会包含 Radius 记账临时更新。

RADIUS 身份验证

您可以通过 RADIUS 身份验证报告查看身份验证失败和成功的历史记录。如果用户无法访问网络,您可以在此报告中查看详细信息以确定可能的原因。

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 日志记录类别 (Logging Categories),然后选择这些日志记录类别:“已通过身份验证”(Passed Authentications) 和“失败尝试”(Failed Attempts)。

注册终端

注册终端报告显示员工注册的所有个人设备。

-

拒绝的终端

“拒绝的终端”(Rejected Endpoints) 报告列出了员工注册的所有被拒绝或放行的个人设备。

请求方调配

请求方调配报告提供关于调配至员工个人设备的请求方的详细信息。

终端安全评估和客户端调配审核

按终端查看顶级授权

终端顶级授权(MAC 地址)报告显示思科 ISE 已授权每个终端 MAC 地址访问网络的次数。

已通过身份验证、失败尝试

按用户查看顶级授权

按用户查看顶级授权报告显示思科 ISE 已授权每个用户访问网络的次数。

已通过身份验证、失败尝试

不同访问服务的前 N 个身份验证

“不同访问服务的前 N 个身份验证”(Top N Authentication by Access Service) 报告根据所选参数按特定时间段的访问服务类型显示已通过和失败的身份验证数量。

不同失败原因的前 N 个身份验证

“不同失败原因的前 N 个身份验证”(Top N Authentication by Failure Reason) 报告根据所选参数显示特定期间内不同失败原因的身份验证总数。

不同网络设备的前 N 个身份验证

“不同网络设备的前 N 个身份验证”(Top N Authentication by Network Device) 报告根据所选参数按网络设备名称显示特定期间内已通过和已失败的身份验证数量。

不同用户的前 N 个身份验证

“不同用户的前 N 个身份验证”(Top N Authentication by User) 报告根据所选参数按用户名显示特定期间内已通过和失败的身份验证数量。

Guest

AUP Acceptance Status

AUP Acceptance Status 报告提供从所有 Guest 门户接受的 AUP 的详细信息。

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 日志记录类别 (Logging Categories),然后选择“访客”(Guest)。

访客计费

访客计费报告是 RADIUS 计费报告的一部分。此报告中显示分配至激活访客或访客身份组的所有用户。

-

访客报告

访客报告综合各个访客接入报告的数据,并且允许您从不同报告来源导出数据。访客报告还提供关于访客用户正在访问的网站的详细信息。您可以使用此报告进行安全审核,以证明访客用户何时访问了网络以及他们在网络上执行了什么活动。

您还必须在用于访客流量的网络访问设备 (NAD) 上启用 HTTP 检查。这些信息由 NAD 发送回思科 ISE。

要检查客户端何时达到最大并行会话限制数,从管理员门户选择管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 日志记录类别 (Logging Categories) 并执行以下操作:

  1. 将“身份验证流量诊断”(Authentication Flow Diagnostics) 日志类别的日志级别从警告提高到信息。

  2. 从 AAA 诊断“日志记录类别”下,将 LogCollector 目标从可用的更改为已选的。

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 日志记录类别 (Logging Categories),然后选择已通过的身份验证 (Passed Authentications)。

我的设备登录和审核

我的设备登录和审核报告提供关于用户通过设备在“我的设备门户”(My Devices Portal) 中执行的登录活动和操作的详细信息。

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 日志记录类别 (Logging Categories),然后选择“我的设备”(My Devices)。

Sponsor Login and Audit

Sponsor Login and Audit 报告提供关于访客用户的登录、添加、删除、启用、暂停和更新操作以及发起人在发起人门户上的登录活动的详细信息。

如果批量添加访客用户,则“访客用户”(Guest Users) 列下会显示这些用户。此列默认处于隐藏状态。在导出时,这些批量用户也会显示于导出的文件上。

在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 日志记录类别 (Logging Categories),然后选择“访客”(Guest)。

SXP

SXP 绑定

SXP 绑定报告提供与通过 SXP 连接进行交换的 IP-SGT 绑定有关的信息。

-

SXP 连接

您可以使用此报告来监控 SXP 连接的状态并收集与之相关的信息,例如对等 IP、SXP 节点 IP、VPN 名称、SXP 模式等。

TrustSec

RBACL 丢包摘要

RBACL 丢包摘要报告专用于 TrustSec 功能,只有在具备思科 ISE 高级许可证的情况下才可用。

此报告还要求您将网络设备配置为向思科 ISE 发送关于丢包事件的 NetFlow 事件。

如果用户违反特定策略或访问权限,系统会丢弃数据包并在此报告中指明。

 
RBACL 丢弃的数据包流仅适用于 Cisco Catalyst 6500 系列交换机。

按用户前 N 个 RBACL 丢包

按用户前 N 个 RBACL 丢包报告专用于 TrustSec 功能,只有在具备思科 ISE 高级许可证的情况下才可用。

此报告还要求您将网络设备配置为向思科 ISE 发送关于丢包事件的 NetFlow 事件。

此报告显示特定用户违反策略的情况(依据数据包丢弃情况)。

 
RBACL 丢弃的数据包流仅适用于 Cisco Catalyst 6500 系列交换机。

TrustSec ACI

此报告列出与 EEPG、终端和 APIC 子网配置同步的 SGT 和 SXP 映射。只有当 TrustSec APIC 集成功能启用时,这些细节才会显示。

-

TrustSec 部署验证

您可以使用此报告验证是否在所有网络设备上部署了最新的 TrustSec 策略,或者在思科 ISE 中配置的策略与网络设备之间是否存在任何差异。

点击详细信息 (Details) 图标以查看验证过程的结果。您可以查看以下详细信息:

  • 验证过程开始和完成的时间

  • 是否在网络设备上成功部署了最新的 TrustSec 策略。您还可以查看部署了最新 TrustSec 策略的网络设备的名称和 IP 地址。

  • 在思科 ISE 中配置的策略与网络设备之间是否存在任何差异。它显示每个策略差异的设备名称、IP 地址和相应的错误消息。

您可以在警报 (Alarms) Dashlet (在工作中心 (Work Centers) > TrustSec > 控制板 (Dashboard)主页 (Home) > 摘要 (Summary) 下)中查看 TrustSec 部署验证警报。

 
  • 报告所需的时间取决于部署中的网络设备和 TrustSec 组数量。

  • “TrustSec 部署验证”(TrustSec Deployment Verification) 报告中的错误消息长度当前限制为 480 个字符。超过 480 个字符的错误消息将被截断,并且报告中仅显示前 480 个字符。

-

Trustsec 策略下载

此报告列出网络设备发出的策略 (SGT/SGACL) 下载请求和 ISE 发出的详细信息。如果启用工作流模式,对于生产或暂存表,可对请求进行过滤。

要查看此报告,必须执行以下操作:
  1. 在思科 ISE GUI 中,单击菜单 图标 (),然后选择 管理 (Administration) > 系统 (System) > 日志记录 (Logging) > 日志记录类别 (Logging Categories)

  2. 选择 AAA 诊断 (AAA Diagnostics) > RADIUS 诊断 (RADIUS Diagnostics)

  3. 将 RADIUS 诊断的日志严重性级别设置为“调试”(DEBUG)。

以威胁防护为中心的 NAC 服务

适配器状态

适配器状态报告显示威胁和漏洞适配器的状态。

-

COA 事件

当收到某个终端的漏洞事件时,思科 ISE 对该终端触发 CoA。CoA 事件报告显示这些 CoA 事件的状态。同时显示这些终端的新旧授权规则和配置文件详细信息。

-

威胁事件

“威胁事件”(Threat Events) 报告提供思科 ISE 从已配置的各种适配器接收的所有威胁事件的列表。

-

漏洞评估

漏洞评估报告为您的终端提供正在进行的评估的信息。您可以查看此报告以确认评估是否以配置策略为基础正在进行。

RADIUS 实时日志

下表介绍“实时日志”(Live logs) 窗口中的字段,其中显示最近的 RADIUS 身份验证。在思科 ISE GUI 中,单击菜单 图标 (),然后选择 操作 (Operations) > RADIUS > 实时日志 (Live Logs)。请注意,只能在主 PAN 中查看 RADIUS 实时日志。

表 6. RADIUS 实时日志

字段名称

说明

时间

显示监控和故障排除收集代理接收日志的时间。此列为必选项,无法取消选择。

状态

显示身份验证成功还是失败。此列为必选项,无法取消选择。绿色用于代表已通过的身份验证。红色用于代表失败的身份验证。

详细信息

单击详细信息 (Details) 列下的图标可在新浏览器窗口中打开 会计详细报告(Accounting Detail Report)。此报告提供有关身份验证和相关属性以及身份验证流程的信息。在身份验证详细信息 (Authentication Details) 框中,响应时间 (Response Time) 是思科 ISE 处理身份验证流程所需的总时间。例如,如果身份验证包含三个往返消息,初始消息花费 300 毫秒,下一条消息花费 150 毫秒,最后一条消息花费 100 毫秒,则 响应时间 为 300 + 150 + 100 = 550 毫秒。

 

您无法查看活动时间超过 48 小时的终端的详细信息。当单击活动时间超过 48 小时的终端的详细信息 (Details) 图标时,您会看到一个包含以下消息的窗口:此记录无可用数据。(No Data available for this record.) 数据可能已清除或此会话记录的身份验证发生在一周之前。(Either the data is purged or authentication for this session record happened a week ago.) 或者,如果这是“PassiveID”或“PassiveID 可视性”(PassiveID Visibility) 会话,则不会有 ISE 身份验证详细信息,只有会话。(Or if this is an 'PassiveID' or 'PassiveID Visibility' session, it will not have authentication details on ISE but only the session.)

重复次数 (Repeat Count)

显示过去 24 小时内身份验证请求的重复次数,它们在身份、网络设备和授权方面没有任何变化。

Identity

显示与身份验证关联的已登录用户名。

如果用户名不存在于任何 ID 存储区中,则显示为 INVALID。如果身份验证由于任何其他原因而失败,则显示为 USERNAME

 

这仅适用于用户。这不适用于 MAC 地址。

为了帮助进行调试,可以强制思科 ISE 显示无效的用户名。为此,请选中管理 (Administration) > 系统 (System) > 设置 (Settings) > 安全设置 (Security Settings) 下的披露无效用户名 (Disclose Invalid Usernames) 复选框。您还可以将披露无效用户名 (Disclose Invalid Usernames) 选项配置为超时,这样就不必手动将其关闭。

终端 ID (Endpoint ID)

显示终端的唯一标识符,通常是 MAC 或 IP 地址。

终端配置文件

显示所分析的终端的类型,例如分析为 iPhone、Android、MacBook、Xbox 等。

身份验证策略 (Authentication Policy)

显示为特定身份验证选择的策略的名称。

授权策略

显示为特定授权选择的策略的名称。

授权配置文件 (Authorization Profiles)

显示用于身份验证的授权配置文件。

IP 地址

显示终端设备的 IP 地址。

Network Device

显示网络访问设备的 IP 地址。

Device Port

显示终端连接的端口号。

Identity Group

显示分配给生成了日志的用户或终端的身份组。

终端安全评估状态 (Posture Status)

显示安全评估验证的状态和身份验证的详细信息。

服务器

指明从其生成日志的策略服务。

MDM 服务器名称 (MDM Server Name)

显示 MDM 服务器的名称。

事件

显示事件状态。

Failure Reason

如果身份验证失败,显示失败的详细原因。

身份验证方法 (Auth Method)

显示 RADIUS 协议(例如 Microsoft 质询握手身份验证协议版本 2 (MS-CHAPv2)、IEEE 802.1x 或 dot1X 等)使用的身份验证方法。

身份验证协议

显示所使用的身份验证协议,例如受保护的可扩展身份验证协议 (PEAP) 和可扩展身份验证协议 (EAP) 等等。

Security Group

显示由身份验证日志标识的组。

Session ID

显示会话 ID。



RADIUS 实时日志 (RADIUS Live Logs)TACACS+ 实时日志 (TACACS+ Live Logs) 窗口中,系统会为每个策略授权规则的第一个属性显示一个“已查询 PIP”(Queried PIP) 条目。如果授权规则中的所有属性都与已为之前的规则查询的字典相关,则不会显示其他“已查询 PIP”(Queried PIP) 条目。


您可以在 RADIUS 实时日志 (Live Logs) 窗口中执行以下操作:

  • 将数据导出为 CSV 或 PDF 格式。

  • 根据要求显示或隐藏列。

  • 使用快速或自定义过滤器过滤数据。您也可以保存过滤器供以后使用。

  • 重新排列列并调整列宽。

  • 对列值排序。



所有用户自定义将存储为用户首选项。


身份验证延迟

身份验证延迟是 RADIUS 身份验证程序自身份验证程序启动后的平均响应时间。在思科 ISE GUI 中,单击菜单 图标 (),然后选择控制板 > 系统摘要 (System Summary) Dashlet。 查看Cisco ISE 身份验证延迟。

可以从下拉列表中选择以下身份验证延迟时间:

  • 60 分钟 (60 mins):此选项对于在前 60 分钟内启动的身份验证提供身份验证延迟。

  • 12 小时 (12 hrs):此选项对于在前 24 小时内启动的身份验证程序提供身份验证延迟。

显示的响应时间以毫秒 (ms) 为单位。要查看身份验证延迟的详细报告,请点击实时日志 (Live Logs) 窗口中的最新日志。要查看此处窗口,请单击菜单 图标 (),然后选择 操作 (Operations) > RADIUS

RADIUS 实时会话

下表说明了 RADIUS 实时会话 (Live Sessions) 窗口中的字段,此窗口显示实时身份验证要查看此处窗口,请单击菜单 图标 (),然后选择您仅可在主 PAN 上查看 RADIUS 实时会话。

表 7. RADIUS 实时会话

字段名称

说明

启动时间 (Initiated)

显示启动会话时的时间戳。

已更新 (Updated)

显示会话上次由于更改而更新时的时间戳。

帐户会话时间 (Account Session Time)

显示用户会话的时间跨度(秒)。

会话状态 (Session Status)

显示终端设备的当前状态。

操作 (Action)

单击操作 (Actions) 图标可对活动 RADIUS 会话重新进行身份验证或断开活动 RADIUS 会话连接。

重复次数 (Repeat Count)

显示用户或终端重新进行身份验证的次数。

终端 ID (Endpoint ID)

显示终端的唯一标识符,通常是 MAC 或 IP 地址。

身份 (Identity)

显示终端设备的用户名。

IP 地址 (IP Address)

显示终端设备的 IP 地址。

审核会话 ID (Audit Session ID)

显示唯一会话标识符。

帐户会话 ID (Account Session ID)

显示网络设备提供的唯一 ID。

终端配置文件 (Endpoint Profile)

显示设备的终端配置文件。

安全评估状态 (Posture Status)

显示安全评估验证的状态和身份验证的详细信息。

安全组 (Security Group)

显示由身份验证日志标识的组。

服务器 (Server)

指示已从中生成日志的策略服务节点。

身份验证方式 (Auth Method)

显示 RADIUS 协议使用的身份验证方式,例如密码身份验证协议 (PAP)、质询握手身份验证协议 (CHAP)、IEE 802.1x 或 dot1x 等等。

身份验证协议 (Authentication Protocol)

显示所使用的身份验证协议,例如受保护的可扩展身份验证协议 (PEAP) 和可扩展身份验证协议 (EAP) 等等。

身份验证策略 (Authentication Policy)

显示为特定身份验证选择的策略的名称。

授权策略 (Authorization Policy)

显示为特定授权选择的策略的名称。

授权配置文件 (Authorization Profiles)

显示用于身份验证的授权配置文件。

NAS IP 地址 (NAS IP Address)

显示网络设备的 IP 地址。

设备端口 (Device Port)

显示网络设备的连接端口。

PRA 操作 (PRA Action)

显示客户端在网络上成功通过合规性验证后,在客户端上采取的定期重评估操作。

ANC 状态 (ANC Status)

设备的自适应网络控制状态,如隔离 (Quarantine)、取消隔离 (Unquarantine)关闭 (Shutdown)

WLC 漫游 (WLC Roam)

显示用于跟踪是否已在漫游期间从一个无线局域网控制器 (WLC) 传递到另一个 WLC 的终端的布尔值 (Y/N)。它的值为 cisco-av-pair=nas-update =Y 或 N。

 

思科 ISE 依靠 WLC 中的 nas-update=true 属性识别会话是否处于漫游状态。当原始 WLC 在 nas-update=true 时发送记账停止属性时,不会在 ISE 中删除会话,以避免重新进行身份验证。如果漫游失败,ISE 将在会话处于非活动状态五天后清除该会话。

接收的数据包 (Packets In)

显示接收的数据包数量。

发送的数据包 (Packets Out)

显示发送的数据包数量。

接收的字节 (Bytes In)

显示接收的字节数。

发送的字节 (Bytes Out)

显示发送的字节数。

会话源 (Session Source)

指示它是 RADIUS 会话还是被动 ID 会话。

用户域名 (User Domain Name)

显示用户的注册 DNS 名称。

主机域名 (Host Domain Name)

显示主机的注册 DNS 名称。

用户 NetBIOS 名称 (User NetBIOS Name)

显示用户的 NetBIOS 名称。

主机 NetBIOS 名称 (Host NetBIOS Name)

显示主机的 NetBIOS 名称。

许可证类型 (License Type)

显示使用的许可证类型。

许可证详细信息 (License Details)

显示许可证详细信息。

提供程序 (Provider)

终端活动获悉自不同的系统日志源。这些系统日志源称为提供程序。

  • Windows Management Instrumentation (WMI):WMI 是一种 Windows 服务,用于提供通用接口和对象模型来访问有关操作系统、设备、应用和服务的管理信息。

  • 代理:代表客户端或另一个程序在客户端上运行的程序。

  • 系统日志:客户端发送事件消息的日志记录服务器。

  • REST:客户端通过终端服务器进行身份验证。对于此系统日志源,将会显示“TS 代理 ID”、“源端口开始时间”、“源端口结束时间”和“源第一个端口”值。

  • SPAN:使用 SPAN 探测器发现的网络信息。

  • DHCP:DHCP 事件。

  • 终端

 

从终端会话了解或获取来自不同提供程序的两个事件后,提供程序在实时会话 (Live Sessions)窗口中显示为逗号分隔值。

MAC 地址 (MAC Address)

显示客户端的 MAC 地址。

终端检查时间 (Endpoint Check Time)

显示终端探测器上次检查终端的时间。

终端检查结果 (Endpoint Check Result)

显示终端探测的结果。可能的值包括:

  • 无法接通

  • 用户退出

  • 活动用户

起始源端口 (Source Port Start)

(仅为 REST 提供程序显示值)显示端口范围中的第一个端口号。

结束源端口 (Source Port End)

(仅为 REST 提供程序显示值)显示端口范围中的最后一个端口号。

源第一个端口 (Source First Port)

(仅为 REST 提供程序显示值)显示由终端服务器代理分配的第一个端口。

终端服务器指允许多个终端在无需调制解调器或网络接口的情况下连接到其上的服务器或网络设备,可实现多个终端到 LAN 网络的连接。多个终端可能会有相同的 IP 地址,因此难以识别特定用户的 IP 地址。所以,为了识别特定用户,需在服务器上安装终端服务器代理,为每个用户分配一个端口范围。这有助于创建 IP 地址-端口用户映射。

TS 代理 ID (TS Agent ID)

(仅为 REST 提供程序显示值)显示安装在终端上的终端服务器代理的唯一标识。

AD 用户解析的身份 (AD User Resolved Identities)

(仅为 AD 用户显示值)显示匹配的潜在账户。

AD 用户解析的 DN (AD User Resolved DNs)

(仅为 AD 用户显示值)显示 AD 用户的可分辨名称,例如 CN=chris,CN=Users,DC=R1,DC=com

TACACS 实时日志

下表列出“TACACS+ 实时日志”(TACACS Live Logs) 窗口的字段,其中会显示 TACACS+ AAA 详细信息。在思科 ISE GUI 中,单击菜单 图标 (),然后选择 操作 (Operations) > TACACS > 实时日志 (Live Logs)。您只能在主 PAN 中查看 TACACS 实时日志。

表 8. TACACS 实时日志

字段名称

使用指南

生成时间 (Generated Time)

根据特定事件触发时间显示系统日志生成时间。

日志记录时间 (Logged Time)

显示监控节点处理和存储系统日志的时间。此列为必选项,无法取消选择。

状态

显示身份验证成功还是失败。此列为必选项,无法取消选择。绿色用于代表已通过的身份验证。红色用于代表失败的身份验证。

详细信息

在单击放大镜图标时显示报告,使您能够深入查看有关所选身份验证方案的更多详细信息。此列为必选项,无法取消选择。

会话密钥 (Session Key)

显示由 ISE 返回到网络设备的会话密钥(在 EAP 成功或 EAP 失败消息中查找)。

用户名

显示设备管理员的用户名。此列为必选项,无法取消选择。

Type

包括两种类型 - 身份验证和授权。显示身份验证或授权已成功或失败的用户名称,或二者均成功和失败的用户名称。此列为必选项,无法取消选择。

身份验证策略 (Authentication Policy)

显示为特定身份验证选择的策略的名称。

授权策略 (Authorization Policy)

显示为特定授权选择的策略的名称。

ISE 节点 (ISE Node)

显示处理访问请求的 ISE 节点的名称。

网络设备名称

显示网络设备的名称。

网络设备 IP (Network Device IP)

显示访问请求已处理的网络设备的 IP 地址。

网络设备组 (Network Device Groups)

显示网络设备所属相应网络设备组的名称。

设备类型 (Device Type)

显示用于处理来自不同网络设备的访问请求的设备类型。

位置

显示用于处理来自网络设备的访问请求的基于位置的策略。

设备端口 (Device Port)

显示发出访问请求的设备端口号。

故障原因 (Failure Reason)

显示拒绝网络设备发出的访问请求的原因。

远程地址 (Remote Address)

显示唯一标识终端站的 IP 地址、MAC 地址,或任何其他字符串。

匹配的命令集

如果 MatchedCommandSet 属性值存在,则显示该值,或如果 MatchedCommandSet 属性值为空或属性本身不存在于系统日志,则显示一个空值。

外壳配置文件 (Shell Profile)

显示已授予设备管理员用于在网络设备执行命令的权限。

您可以在TACACS 实时日志 (TACACS Live Logs) 窗口中执行以下操作:

  • 将数据导出为 CSV 或 PDF 格式。

  • 根据要求显示或隐藏列。

  • 使用快速或自定义过滤器过滤数据。您也可以保存过滤器供以后使用。

  • 重新排列列并调整列宽。

  • 对列值排序。



所有用户自定义将存储为用户首选项。

导出摘要

您可以查看过去 7 天内所有用户导出的报告的详细信息以及状态。导出摘要包括手动报告和已计划的报告。导出摘要 (Export Summary) 窗口每 2 分钟自动刷新一次。单击刷新图标可手动刷新导出摘要 (Export Summary) 窗口。

超级管理员可以取消正在进行 (In-Progess) 或处于排队 (Queued) 状态的导出进程。其他用户只能取消他们发起的导出进程。

默认情况下,在给定的时间点只能运行 3 次报告手动导出,其余触发的报告手动导出会排队。计划导出的报告没有此类限制。



当思科 ISE 服务器重新启动时,所有处于排队状态的报告都将重新安排,处于正在进行 (In-Progress)正在取消 (Cancellation-in-progress) 状态的报告将标记为失败。


如果主 MnT 节点关闭,则已计划的报告导出作业会在辅助 MnT 节点上运行。

下表列出导出摘要 (Export Summary) 窗口中的字段。 在思科 ISE GUI 中,单击菜单 图标 (),然后选择 操作 (Operations) > 报告 (Reports) > 导出摘要 (Export Summary)

表 9. 导出摘要

字段名称

说明

报告已导出

显示报告的名称。

导出依据

显示发起导出进程的用户的角色。

已计划

显示报告导出是否为计划性导出。

触发于

显示在系统中触发导出进程的时间。

Repository

显示将存储导出数据的存储库的名称。

过滤器参数

显示导出报告时选择的过滤器参数。

状态

显示导出的报告的状态。它可以是下列类型之一:

  • 已排队

  • 正在进行

  • 已完成

  • 正在取消

  • 已取消

  • 失败

  • 已跳过

 
失败状态指示失败的原因。已跳过状态指示当主 MnT 节点关闭时,跳过了计划的报告导出。

您可以在导出摘要 (Export Summary) 窗口中执行以下操作:

  • 根据要求显示或隐藏列。

  • 使用快速或自定义过滤器过滤数据。您也可以保存过滤器供以后使用。

  • 重新排列列并调整列宽。