تكوين مزامنة حالة الوضع واستكشاف أخطائها وإصلاحها

خيارات التنزيل

PDF (1.2 MB)
عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
ePub (1.1 MB)
العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
Mobi (Kindle) (774.1 KB)
عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة

تم التحديث:١٨ أكتوبر ٢٠٢٤

معرّف المستند:222483

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المحتويات

المقدمة

المتطلبات الأساسية

المتطلبات

المكونات المستخدمة

معلومات أساسية

التكوين

الرسم التخطيطي للشبكة

التكوينات

التحقق من الصحة

من DART Bundle

من التقاط الحزمة على العميل

من ISE

إعادة تشغيل الوضع عند تغيير حالة الوضع

استكشاف الأخطاء وإصلاحها

لا يتم بدء مزامنة حالة الوضع

فشل مزامنة حالة الوضع مع التنبيه على لوحة معلومات ISE

التحقق من تكوين قائمة التحكم في الوصول للبنية الأساسية (dACL) لملف تعريف تفويض "متوافق" للوضع

مشكلات معروفة

فشل مزامنة حالة الوضع مع ظهور تنبيه على ISE

المقدمة

يصف هذا المستند تكوين مزامنة حالة الوضع واستخدامها الذي تم تقديمه في إصدار Cisco Identity Service Engine(ISE) 3.1.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

تدفق Posture على Cisco ISE
تكوين مكونات الوضع على Cisco ISE

من المفترض أن يكون لديك تكوين Posture (وضعية) بدلا من أي نوع.

ولفهم المفاهيم الموصوفة لاحقا على نحو أفضل، يوصى بالمرور بما يلي:

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

ISE الإصدار 3.1 من Cisco
Cisco Secure Client 5.0.00556

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

لا يسمح تدفق ISE Posture (وضعية محرك خدمات الهوية (ISE)) عادة بتحديث حالة Posture على العميل من ISE. يتم إستخدام الوحدة النمطية Cisco Secure Client Posture (وضعية العميل) لتقييم حالة حالة نقطة النهاية وإبقائها حتى تغيير الشبكة أو إعادة التقييم الدورية أو المشغلات من جانب العميل الأخرى. إذا تم تغيير حالة حالة نقطة النهاية على ISE بسبب إنهاء جلسة عمل أو أسباب أخرى، فقد تكون الوحدة النمطية "وضع العميل الآمن" غير مدركة لهذا التغيير، لذلك تظل نقطة النهاية في حالة Posture Unknown مع وصول محدود إلى الشبكة حتى يحدث أحد مشغلات جانب العميل.

يركز هذا المستند على ميزة جديدة - مزامنة حالة الوضع، التي تم تطويرها لمعالجة هذا النوع من المشاكل والسماح ل ISE بتوفير ملاحظات إلى الوحدة النمطية "وضع العميل الآمن" على حالة الوضع الحالية لنقطة النهاية.

التكوين

تم إدخال منفذ تحقيق حالة Posture على كل عقدة ISE PSN عند تمكين مزامنة حالة الوضع - TCP 8449 بشكل افتراضي. من المفترض أن يكون من الممكن الوصول إليه من نقطة النهاية إذا كانت حالة "وضع النقطة الطرفية" غير معروفة أو معلقة ولا يمكن الوصول إليها إذا كانت حالة نقطة النهاية متوافقة.

الرسم التخطيطي للشبكة

Network diagram

التكوينات

يتكون تكوين ميزة مزامنة حالة الوضع من جزئين:

تكوين ملف تعريف AnyConnect Posture

1.1 في واجهة المستخدم الرسومية Cisco ISE، انتقل إلى السياسة > عناصر السياسة > النتائج > إمداد العميل > الموارد.

1.2 حدد ملف تعريف AnyConnect Posture الذي تستخدمه بالفعل أو قم بإنشاء ملف تعريف جديد.

1.3 في منطقة "سلوك الوكيل"، قم بتكوين الفاصل الزمني لمزامنة حالة الوضع إلى أي قيمة تتراوح بين 1 و 300 ثانية، 0 - تعطيل مزامنة حالة الوضع

1.4 يمكنك تكوين قائمة النسخ الاحتياطي لاختبار الوضع - يستخدم العميل الآمن هذه القائمة للتحقق من حالة الوضع على شبكات PSN المحددة. إذا لم تقم باختيار أي PSN، فسيتم إستخدام PSN المتصل وأي خادمين للنسخ الاحتياطي كنسخ إحتياطية لمزامنة حالة الوضع.

Configuration

2. تكوين قائمة تحكم في الوصول (dACL) قابلة للتنزيل لحظر الوصول إلى منفذ مزامنة حالة الوضع على Cisco ISE عندما تكون حالة وضع العميل متوافقة أو غير متوافقة. تحتاج إلى إضافة إدخال رفض التحكم بالوصول باستخدام منفذ مزامنة حالة الوضع لكل PSN في أعلى قوائم التحكم في الوصول المستخدمة لنقاط النهاية المتوافقة لتقييد الوصول إلى منفذ مزامنة حالة الوضع إذا كانت حالة نقطة النهاية معروفة، على سبيل المثال:

deny tcp any host PSN1-IP-ADDRESS eq 8449
deny tcp any host PSN2-IP-ADDRESS eq 8449
permit ip any any

لا يكون السماح ب ip أي أمرا إلزاميا، يمكنك إستبداله بأي مجموعة من القواعد وفقا لاحتياجاتك.

ملاحظة: في حالة عدم تكوين إدخال الرفض في قائمة التحكم في الوصول إلى البنية الأساسية (dACL)، يتم تشغيل تنبيه اكتشاف تكوين الوضع على لوحة معلومات Cisco ISE ويتم تعطيل مزامنة حالة الوضع على نقطة النهاية حتى يتم إعادة بدء تشغيل عميل Cisco الآمن.

يمكن تغيير منفذ مزامنة حالة الوضع (منفذ ثنائي الإتجاه) في صفحة تكوين مدخل إمداد العميل. انتقل إلى إدارة > إدارة مدخل الأجهزة > إمداد العميل > تحديد المدخل المطلوب > سلوك المدخل وإعدادات التدفق وإعدادات المدخل المفتوح. لا يمكن تغيير منفذ مزامنة حالة الوضع لبوابة إمداد العميل الافتراضية.

Portals Settings and Customization

التحقق من الصحة

من DART Bundle

يمكن التحقق من مزامنة حالة الوضع من جانب العميل من خلال النظر في سجلات وحدة وضع العميل الآمنة من Cisco (AnyConnect_ISEPosture.txt) من حزمة DART:

1. انتهى تقييم الوضع، وكانت حالة الوضع متوافقة.

2022/11/09 12:22:47 [Information] aciseagent Function: Authenticator::sendUIStatus Thread Id: 0xC60 File: authenticator.cpp Line: 1905 Level: debug  MSG_SU_STEP_STATUS, {Status:4,Compliant:2,RemStatus:2,Phase:0,StepNumber:-1,Progress:-1,Attention:1,Cancellable:0,Restartable:0,ErrorMessage:0,Description1:"Compliant.",Description2:"Network access allowed."}.

2. تم بدء التحقق من مزامنة حالة الوضع.

2022/11/09 12:22:47 [Information] aciseagent Function: PeriodicProbe::ProcessMessage Thread Id: 0xC60 File: periodic_probe.cpp Line: 143 Level: info  Session Sync Periodic Probing start. 
2022/11/09 12:22:47 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 335 Level: info  Session sync periodic probing thread start.

3. يتم بدء اتصال HTTPS ب ISE PSN على منفذ مزامنة حالة الوضع (8449).

2022/11/09 12:22:47 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 357 Level: debug  Sending http session sync periodic probe to [ISE-PSN-FQDN]. 
2022/11/09 12:22:47 [Information] aciseagent Function: HttpConnection::MakeRequest Thread Id: 0x296C File: httpconnection.cpp Line: 330 Level: debug  Url=https://ISE-PSN-FQDN:8449/auth/StateSynch.

4. مهلة تدقيق مزامنة حالة الوضع.

2022/11/09 12:22:54 [Information] aciseagent Function: hs_transport_winhttp_post Thread Id: 0x296C File: hs_transport_winhttp.c Line: 5815 Level: debug  unable to send request: 12002. 
2022/11/09 12:22:54 [Information] aciseagent Function: hs_transport_post Thread Id: 0x296C File: hs_transport.c Line: 1425 Level: trace  posting data failed. 
2022/11/09 12:22:54 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 394 Level: debug  HTTP Probe failed/timed-out, Retrying...

من التقاط الحزمة على العميل

يظهر التقاط الحزم المأخوذ على العميل حزم SYN المرسلة نحو عقدة ISE PSN على منفذ مزامنة حالة الوضع (8449) بدون إستجابة SYN-ACK من ISE PSN:

From Packet Capture on the Client

من ISE

لا يمكن التحقق من صحة تكوين مزامنة حالة الوضع من جانب ISE حيث من المفترض أن يفشل الاتصال بمنفذ مزامنة حالة الوضع (8449).

إعادة تشغيل الوضع عند تغيير حالة الوضع

1) تم تلقي معلومات حالة جلسة العمل من ISE مع وضع "غير معروف" بينما يكون Cisco Secure Client في حالة "متوافق".

2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 430 Level: debug  --- Http Response Headers ---. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  HTTP-Version: 1.1. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Status-Code: 200. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Connection: keep-alive. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Date: Wed, 09 Nov 2022 11:26:24 GMT. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Keep-Alive: timeout=20. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Content-Length: 0. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Server: server. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  X-Frame-Options: SAMEORIGIN. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Strict-Transport-Security: max-age=31536000; includeSubDomains. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  X-Content-Type-Options: nosniff. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; img-src 'self' http://www.cisco.com/ data:;. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  X-XSS-Protection: 1; mode=block. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Accept-CH: Sec-CH-UA-Arch, Sec-CH-UA-Full-Version, Sec-CH-UA-Mobile, Sec-CH-UA-Model, Sec-CH-UA-Platform-Version, Sec-CH-UA-Platform, Sec-CH-UA. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  X-ISE-POSTURE_STATUS: Unknown. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 442 Level: debug  --------------------.

2) يتعرف Cisco Secure Client على تغيير حالة الوضع ويعيد تشغيل اكتشاف الوضع:

2022/11/09 12:26:24 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 379 Level: debug  Different Session state on ISE = [ ISE-PSN-FQDN]. Restarting discovery. 
2022/11/09 12:26:24 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 387 Level: debug  MSG_NS_SWIFT_RESTART_SEARCH, {manualRescan:0,stopPeriodicProbe:1}. 
2022/11/09 12:26:24 [Information] aciseagent Function: SwiftHttpRunner::restartDiscovery Thread Id: 0xC60 File: swifthttprunner.cpp Line: 1431 Level: debug  Restarting Discovery.

3) توقف Cisco Secure Client مزامنة حالة الوضع حتى يتم إجراء تقييم الوضع:

2022/11/09 12:26:24 [Information] aciseagent Function: SwiftHttpRunner::processMessage Thread Id: 0xC60 File: swifthttprunner.cpp Line: 383 Level: debug  Periodic Probes requested to be stopped. 
2022/11/09 12:26:24 [Information] aciseagent Function: SwiftHttpRunner::restartDiscovery Thread Id: 0xC60 File: swifthttprunner.cpp Line: 1436 Level: debug  MSG_PN_STOP_PERIODIC_PROBE sent. 
2022/11/09 12:26:24 [Information] aciseagent Function: SwiftHttpRunner::restartDiscovery Thread Id: 0xC60 File: swifthttprunner.cpp Line: 1437 Level: debug  MSG_PN_STOP_PERIODIC_PROBE, . 
2022/11/09 12:26:24 [Information] aciseagent Function: hs_transport_free Thread Id: 0xC60 File: hs_transport.c Line: 606 Level: trace  de-initialization done. 
2022/11/09 12:26:24 [Information] aciseagent Function: PeriodicProbe::ProcessMessage Thread Id: 0xC60 File: periodic_probe.cpp Line: 210 Level: debug  MSG_PN_STOP_PERIODIC_PROBE received.. 
2022/11/09 12:26:24 [Information] aciseagent Function: PeriodicProbe::ProcessMessage Thread Id: 0xC60 File: periodic_probe.cpp Line: 224 Level: debug  Periodic Probing stopped. 
2022/11/09 12:26:24 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 411 Level: info  Session sync periodic probing thread end.

استكشاف الأخطاء وإصلاحها

لا يتم بدء مزامنة حالة الوضع

في حالة عدم وجود إشارة إلى بدء مزامنة حالة الوضع في ملف السجل AnyConnect_ISEPosture.txt ولا يحاول العميل إنشاء اتصال مع عقدة ISE PSN في منفذ مزامنة حالة الوضع (8449)، تحقق من ملف تكوين الوضع ISEPostureCFG.xml من حزمة DART أو مباشرة على جهاز العميل: "٪ProgramData٪\Cisco\Cisco Secure Client\ISE Posture\" لجهاز كمبيوتر Windows.

المعلمة المسؤولة عن مزامنة حالة الوضع هي StateSyncProbeInterval"، ومن المفترض تعيينها بقيمة أعلى من 0:

Posture State Synchronization Does not Start

يعني غياب StateSyncProbeInterval" أو قيمة "0" أن مزامنة حالة الوضع معطلة.

في حالة تعيين "الفاصل الزمني لمزامنة حالة الوضع" في ملف تعريف Posture على ISE ولكن لا يتم عكسه في ملف تكوين على العميل، يلزم عندئذ التحقق من إعداد Posture.

فشل مزامنة حالة الوضع مع التنبيه على لوحة معلومات ISE

إذا فشلت مزامنة حالة الوضع مع التنبيه على ISE، فهذا يعني أن Cisco Secure Client كان قادرا على الوصول إلى ISE على منفذ مزامنة حالة الوضع (8449) وطلب حالة لجلسة العمل بحالة "متوافق".

الإنذار في واجهة المستخدم الرسومية (ISE):

Alarm in ISE GUI

التحقق من التقاط الحزمة

تم إنشاء اتصال TCP على منفذ مزامنة حالة الوضع (8449):

TCP Connection on Posture State Synchronization Established

التحقق من الصحة من سجل وحدة وضع العميل الآمن من Cisco

تحقق من AnyConnect_ISEPosture.txt من حزمة DART:

1) تم بدء اتصال HTTPS ب ISE PSN على منفذ مزامنة حالة الوضع (8449).

2022/11/09 12:26:34 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x2750 File: periodic_probe.cpp Line: 357 Level: debug  Sending http session sync periodic probe to [ISE-PSN-FQDN].

2) تم تلقي معلومات حالة جلسة العمل من ISE مع حالة Posture "متوافق".

2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 430 Level: debug  --- Http Response Headers ---. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  HTTP-Version: 1.1. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Status-Code: 200. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Connection: keep-alive. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Date: Wed, 09 Nov 2022 11:26:34 GMT. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Keep-Alive: timeout=20. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Content-Length: 0. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Server: server. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  X-Frame-Options: SAMEORIGIN. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Strict-Transport-Security: max-age=31536000; includeSubDomains. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  X-Content-Type-Options: nosniff. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; img-src 'self' http://www.cisco.com/ data:;. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  X-XSS-Protection: 1; mode=block. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Accept-CH: Sec-CH-UA-Arch, Sec-CH-UA-Full-Version, Sec-CH-UA-Mobile, Sec-CH-UA-Model, Sec-CH-UA-Platform-Version, Sec-CH-UA-Platform, Sec-CH-UA. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  X-ISE-POSTURE_STATUS: Compliant. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 442 Level: debug  --------------------.

3) توقفات مزامنة حالة الوضع بسبب اكتشاف تكوين غير صحيح:

2022/11/09 12:26:34 [Error] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x2750 File: periodic_probe.cpp Line: 370 Level: error  Incorrect configuration detected by ISE = [ISE-PSN-FQDN], compliant status is not expected. 
2022/11/09 12:26:34 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x2750 File: periodic_probe.cpp Line: 371 Level: debug  MSG_PN_STOP_PERIODIC_PROBE, . 
2022/11/09 12:26:34 [Information] aciseagent Function: PeriodicProbe::ProcessMessage Thread Id: 0xC60 File: periodic_probe.cpp Line: 210 Level: debug  MSG_PN_STOP_PERIODIC_PROBE received.. 
2022/11/09 12:26:34 [Information] aciseagent Function: PeriodicProbe::ProcessMessage Thread Id: 0xC60 File: periodic_probe.cpp Line: 224 Level: debug  Periodic Probing stopped.

لا يمكن إعادة تشغيل مزامنة حالة الوضع من واجهة المستخدم الرسومية (GUI) ل Cisco Secure Client عن طريق إعادة تشغيل تقييم الوضع أو تغيير الشبكة. بدلا من ذلك، يلزم إعادة تشغيل "العميل الآمن من Cisco" من أجل مزامنة حالة الوضع للعمل مرة أخرى.

التحقق من تكوين قائمة التحكم في الوصول للبنية الأساسية (dACL) لملف تعريف تفويض "متوافق" للوضع

1. التحقق من تكوين قائمة التحكم في الوصول للبنية الأساسية (dACL) المناسبة لملف تعريف تخويل "متوافق" للوضع:

Verify dACL Configured for Posture Compliant Profile

2. التحقق من صحة إرسال تقرير المصادقة التفصيلي إلى قائمة التحكم في الوصول (dACL) بشكل صحيح نتيجة لمصادقة نقطة النهاية "متوافق".

Validate Detailed Authentication Report

3. تحقق من تطبيق قائمة التحكم في الوصول للبنية الأساسية (dACL) بشكل صحيح على جهاز الوصول إلى الشبكة:

avakhrus_3560C#sh authe sess int fa0/12 det
            Interface:  FastEthernet0/12
          MAC Address:  0050.56a8.be02
         IPv6 Address:  Unknown
         IPv4 Address:  192.168.255.193
            User-Name:  TRAINING\bob
               Status:  Authorized
               Domain:  DATA
       Oper host mode:  multi-auth
     Oper control dir:  both
      Session timeout:  N/A
      Restart timeout:  N/A
Periodic Acct timeout:  172800s (local), Remaining: 92111s
       Session Uptime:  1515s
    Common Session ID:  C0A8FF0C00000012679EAF14
      Acct Session ID:  0x00000012
               Handle:  0x5D000005
       Current Policy:  POLICY_Fa0/12

Local Policies:
        Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)

Server Policies:
              ACS ACL:  xACSACLx-IP-avakhrus_posture_probe_ACL-636b75ac

Method status list:
       Method           State

       mab              Stopped
       dot1x            Authc Success

avakhrus_3560C#sh access-lists | s  xACSACLx-IP-avakhrus_posture_probe_ACL-636b75ac
Extended IP access list xACSACLx-IP-avakhrus_posture_probe_ACL-636b75ac (per-user)
    1 deny tcp any host PSN1-IP-ADDRESS eq 8449
    2 deny tcp any host PSN2-IP-ADDRESS eq 8449
    3 permit ip any any

مشكلات معروفة

فشل مزامنة حالة الوضع مع ظهور تنبيه على ISE

يمكن أن تفشل مزامنة حالة الوضع مع التنبيه على ISE حتى إذا تم تطبيق قائمة التحكم في الوصول (dACL) المناسبة على جهاز وصول الشبكة إلى نقطة نهاية العميل. يحدث ذلك إذا تم تنفيذ Posture State Synchronization Probe أسرع من تطبيق قائمة التحكم في الوصول (dACL) أو إذا كان Posture State Synchronization Probe قيد التقدم بالفعل عندما يتم تطبيق قائمة التحكم في الوصول للبنية الأساسية (dACL). حققت الإصدار في cisco بق id CSCwd58316 . كحل بديل، يلزمك تعيين "تأخر انتقال الشبكة" على 10 ثوان في ملف تعريف AnyConnect Posture (إعدادات ملف تعريف وكيل ISE Posture).

Posture State Synchronization Failes with Alarm on ISE

محفوظات المراجعة

المراجعة	تاريخ النشر	التعليقات
1.0	18-Oct-2024	الإصدار الأولي

تمت المساهمة بواسطة مهندسو Cisco

أليكس فاخروشيف
مهندس إستشاري تقني

تكوين مزامنة حالة الوضع واستكشاف أخطائها وإصلاحها

خيارات التنزيل

لغة خالية من التحيز

حول هذه الترجمة

المحتويات

المقدمة

المتطلبات الأساسية

المتطلبات

المكونات المستخدمة

معلومات أساسية

التكوين

الرسم التخطيطي للشبكة

التكوينات

التحقق من الصحة

من DART Bundle

من التقاط الحزمة على العميل

من ISE

إعادة تشغيل الوضع عند تغيير حالة الوضع

استكشاف الأخطاء وإصلاحها

لا يتم بدء مزامنة حالة الوضع

فشل مزامنة حالة الوضع مع التنبيه على لوحة معلومات ISE

التحقق من تكوين قائمة التحكم في الوصول للبنية الأساسية (dACL) لملف تعريف تفويض "متوافق" للوضع

مشكلات معروفة

فشل مزامنة حالة الوضع مع ظهور تنبيه على ISE

محفوظات المراجعة

تمت المساهمة بواسطة مهندسو Cisco

هل كان هذا المستند مفيدًا؟

اتصل بنا

ينطبق هذا المستند على هذه المنتجات