問題
思科身份服務引擎(ISE)版本3.2補丁7和3.3測試版來賓門戶在部署內的策略服務節點(PSN)上間歇性停止運行,虛擬機器(VM)上存在一些節點,Azure上存在一些節點。發生這種情況時,停止/啟動ISE服務或從GUI手動同步節點有助於還原門戶功能。在環境中的多個節點上觀察到此問題。
環境
- 產品:思科身份服務引擎(ISE)
- 軟體版本:3.2補丁7和3.3_BETA
- 最新更改:節點遷移到獨立環境;PAN和MNT從Azure遷移到硬體裝置(SNS 3795)
- 網路:需要通過TCP埠8671進行節點間通訊。
解析
1.確保為每個PSN節點分配足夠的CPU和記憶體資源,特別是那些出現服務故障或效能降級的節點。如果檢測到資源限制,請根據需要增加CPU和/或記憶體分配。
2.確認所有PSN節點均可以通過TCP埠8671通訊,這對於節點同步至關重要。使用telnet測試TCP埠8671上節點之間的連通性。如果連線成功,則表明該埠是開啟且可訪問的。如果連線失敗,請檢查節點之間的防火牆設定、路由和網路ACL。
3.通過ISE GUI手動同步PSN節點:
- 導航到管理>系統>部署。
- 選擇受影響的PSN並按一下Syncup(ISE PSN節點服務,然後重新啟動)。
4.建立新的熱點門戶:
- 導航至工作中心(Work Center)>訪客接入(Guest Access)>門戶和元件(Portals & Components)。
- 按一下建立並選擇熱點門戶。
- 配置基本設定、新增簡單AUP以及設定登入後重定向URL。
- 儲存並測試新門戶以驗證功能。如果新門戶正常運行,則可能指示原始門戶存在配置問題。
5.如果在節點上存在Profiler隊列或資源相關警報(如高CPU使用率或隊列連結錯誤),請根據需要增加硬體資源。例如,將CPU分配從8個增加到16個vCPU。
注意:此步驟通過您的虛擬化或雲管理介面執行。
6.資源調整後,監控系統以提高穩定性。
7.繼續監視隊列連結錯誤或類似警告。如果此類錯誤持續存在但與ISP或網路問題(而非內部配置或防火牆)相關,請記錄發生情況以供持續檢查。如果錯誤跟蹤到外部ISP問題,請根據需要與網路服務提供商協調。
原因
ISE訪客門戶無響應的主要原因是受影響PSN節點上的資源限制(CPU/記憶體)以及節點間通訊問題(TCP埠8671)。隊列連結錯誤歸因於外部ISP問題,而不是內部網路或防火牆配置錯誤。節點遷移和硬體資源調整導致穩定性提高。
相關內容
意見