思科 ISE 中的监控和故障排除服务
监控和故障排除 (MnT) 服务是所有思科 ISE 运行时服务的综合身份解决方案。操作 (Operations) 菜单包含以下组件,并且只能从主策略管理节点 (PAN) 查看。请注意,操作 (Operations) 菜单不会显示在主监控节点中。
-
监控:实时呈现代表网络上的访问活动状态的有意义数据。通过查看展示,您可以轻松地解释并监控操作条件。
-
故障排除:提供用来解决网络上的访问问题的上下文指导。然后,您可以解决用户的问题并及时提供解决方案。
-
报告:提供标准报告的目录,这些报告可用来分析趋势和监控系统性能以及网络活动。您可以用各种方式自定义这些报告,并可保存这些报告以供将来使用。您可以在所有报告中针对以下字段使用通配符和多个值搜索记录:身份 (Identity)、终端 ID (Endpoint ID) 和 ISE 节点 (ISE Node)(运行状况摘要 (Health Summary) 报告除外)。
有关故障排除技术说明的完整列表,请参阅 ISE 故障排除技术说明。 |
在思科 ISE 中提交 TAC 支持案例
您现在可以在思科 ISE 中提交 TAC 支持案例,以请求支持思科 ISE 的部署问题以及其他思科产品和服务(例如思科网讯、软件许可等)的问题。使用思科 ISE 门户中的 TAC 支持案例功能,您可以轻松地为您遇到问题的特定节点提出支持案例。您的节点的序列号和正在使用的思科 ISE 版本等信息会连同您通过随附表格提供的信息发送到思科 TAC。在打开其他思科产品的 TAC 支持案例时,您可以选择相关类别并提供销售订单、序列号和合同编号等其他信息,以便思科 TAC 能够更快地解决支持案例。
在TAC 支持案例窗口中,您还可以通过点击 操作 列中的星号来将案例添加到收藏夹中。您最喜欢的支持案例会在 收藏夹 选项卡中列出。您可以通过选中提交支持案例 (Open Cases)、支持案例草稿 (Draft Cases)、已关闭的案例 (Closed Cases)、创建的案例 (Created Cases)、更新的案例 (Updated Cases)的相应复选框及其更新时间来过滤支持支持案例。您还可以在高级过滤器 (Advanced Filters) 区域中按状态 (Status) 和严重性 (Severity) 来过滤案例。
![]() 注 |
|
过程
步骤 1 |
在思科 ISE 门户主页中,点击右上角的问号图标。 |
||||
步骤 2 |
在显示的交互式帮助 (Interactive Help) 菜单中,从资源 (Resources) 下拉列表中选择TAC 支持案例 (TAC Support Cases)。
|
||||
步骤 3 |
在 SSO 身份验证 窗口中,使用您的 cisco.com 凭证登录。如果您看到表示访问功能失败的错误消息,请咨询思科客户支持,以便查看您的思科 ISE 合同的条款。登录后,系统将显示TAC 支持案例 (TAC Support Cases) 窗口。与您的思科帐户关联的所有支持案例都会在此窗口中显示。 |
||||
步骤 4 |
点击 提交支持案例。 |
||||
步骤 5 |
系统将显示创建新案例 (Open New Case)对话框。单击思科 ISE 支持案例 (Cisco ISE Case) 单选按钮为您的思科 ISE 部署提交支持案例,或者单击其他支持案例 (Other Case) 单选按钮打开其他思科产品和服务的 TAC 支持案例。
|
运行状况检查
思科 ISE 引入了按需运行状况检查选项,用于诊断思科 ISE 部署中的所有节点。执行任何操作之前,先在所有节点上进行运行状况检查有助于减少停机时间,并通过发现关键问题(如有)来改善思科 ISE 系统的整体功能。运行状况检查可提供组件的工作状态,并显示有关部署中的问题(如有)的故障排除建议。
部署类型 |
说明 |
---|---|
平台支持检查 |
检查部署中支持的平台。不符合建议的要求规格的平台可能会导致性能问题。 检查 34xx 和其他不受支持的平台详细信息,并检查系统是否至少有 12 核心的 CPU、300 GB 硬盘以及 16 GB 内存。 |
部署验证 |
检查部署状态节点是否处于同步状态或在进行中。 |
DNS 解析 |
检查主机名和 IP 地址的正向和反向查找。 建议使用正向和反向 DNS 解析,以便让部署运行状况检查正常运行。 |
信任存储区证书验证 |
检查您的信任存储区证书是否有效或已过期。 删除或更新未使用或已过期的证书,以确保思科 ISE 达到最佳功能。 |
系统证书验证 |
检查每个节点的系统证书验证。 删除或更新未使用或已过期的证书,以确保思科 ISE 达到最佳功能。 |
磁盘空间检查 |
检查平台支持检查中的硬盘,以及磁盘中可进一步用于升级程序的空间。 我们建议您在开始升级操作之前运行磁盘空间检查,以避免出现性能问题。 |
NTP 连通性和时间源检查 |
检查系统中配置的 NTP 以及时间源是否为 NTP 服务器。 NTP 同步对于思科 ISE 服务(例如 AD 操作、升级工作流程等)至关重要。 |
平均负载检查 |
按指定时间间隔检查系统负载。有效间隔配置为 1 分钟、5 分钟和 15 分钟。 负载平均检查失败可能会导致思科 ISE 中出现性能问题。 |
MDM 验证 |
检查已配置的 MDM 服务器和思科 ISE PSN 服务器之间的连接。 要在思科 ISE 中使用 MDM 支持的功能,MDM 验证检查必须成功完成。 |
许可证验证 |
检查智能许可是否已配置且有效。如果您的智能许可证未配置或无效,则思科 ISE GUI 中会显示警告,要求您配置并验证许可证。 思科 ISE 版本 3.0 及更高版本仅支持智能许可。在升级到思科 ISE 版本 3.0 及更高版本之前,请将传统许可证转换为智能许可证。 |
服务或流程故障 |
检查服务或应用的状态是否处于运行或失败状态。 |
I/O 带宽性能检查 |
检查磁盘读取和写入速度,以避免任何思科 ISE 性能问题。 |
![]() 注 |
部署旁边的数字表示节点数量及其运行状况检查详细信息。例如,如果部署带有 0/2,则 0 表示处于“失败”、“进行中”和“已完成”状态的节点数,而 2 表示部署中的节点数。 |
![]() 注 |
在运行状况检查期间,如果任何节点在 15 分钟内没有发回响应,则该特定节点的运行状况检查会超时。 |
执行运行状况检查
过程
步骤 1 |
在思科 ISE GUI 中,单击菜单 图标 ( |
|||||||||||||||
步骤 2 |
点击启动运行状况检查 (Start health checks)。 信息弹出窗口将显示以下消息: 已触发健康状况检查 (Health Checks triggered)。 |
|||||||||||||||
步骤 3 |
点击确定 (Ok) 查看状态。 |
|||||||||||||||
步骤 4 |
在运行状况检查 (Health Checks) 窗口中,您将能够查看每个组件的运行状况。以下颜色用于指示相应思科 ISE 组件的运行状况:
|
|||||||||||||||
步骤 5 |
点击下载报告 (Download report)。 HealthChecksReport.json 文件将保存在本地系统中,其中包含思科 ISE 部署的详细运行状况信息。 触发运行状况检查后,状态将在运行状况检查 (Health Check) 窗口中保留三小时。在运行状况检查 (Health Check) 窗口刷新或过期前,将无法运行健康状况检查。 |
网络权限框架事件流程
网络权限框架 (NPF) 身份验证和授权事件流程使用下表列出的过程:
流程阶段 |
说明 |
---|---|
1 |
网络访问设备 (NAD) 执行正常授权或 Flex 授权。 |
2 |
使用 Web 授权分析无代理的未知身份。 |
3 |
RADIUS 服务器进行身份验证和授权。 |
4 |
在端口配置身份的授权。 |
5 |
丢弃未经授权的终端通信。 |
用于监控和故障排除功能的用户角色和权限
监控和故障排除功能与默认用户角色相关联。允许您执行的任务与分配给您的用户角色直接相关。
有关为每个用户角色设置的权限和限制的信息,请参阅思科 ISE 管理员组。
有关为每个用户角色设置的权限和限制的信息,请参阅《思科 ISE 管理员指南》中“思科 ISE 管理员指南:概述”一章中的“思科 ISE 管理员组”部分。
![]() 注 |
不支持在没有思科 TAC 监管的情况下使用根 shell 访问思科 ISE,并且思科不对由此导致的任何服务中断负责。 |
监控数据库中存储的数据
思科 ISE 监控服务会收集数据并将所收集的数据存储于专用监控数据库中。根据用于监控网络功能的数据速率和数据量,可能需要将某个节点专用于监控。如果思科 ISE 网络以高速率从策略服务节点或网络设备收集日志数据,则我们建议将某个思科 ISE 节点专用于监控。
要管理监控数据库中存储的信息,需要对数据库执行完整备份和增量备份。这包括清除不需要的数据,然后还原数据库。