تنفيذ وضع ISE غير القابل لإعادة التوجيه

خيارات التنزيل

  • PDF     (2.2 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (2.1 MB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (1.5 MB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:١١ يوليو ٢٠٢٣
معرّف المستند:220394

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند إستخدام وتكوين تلميحات أستكشاف المشكلات وإصلاحها الخاصة بتدفق الوضع دون إعادة التوجيه.

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • تدفق Posture على ISE
    • تكوين مكونات الوضع على ISE
    • إعادة التوجيه إلى بوابات ISE

    للحصول على فهم أفضل للمفاهيم التي تم وصفها لاحقا، يوصى بالمرور على:

    مقارنة إصدارات ISE السابقة بتدفق وضعية ISE في ISE 2.2
    إدارة جلسة ISE ووضعها

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

    • ISE الإصدار 3.1 من Cisco
    • Cisco Secure Client 5.0.01242

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية

    يتكون تدفق ISE Posture (وضعية محرك خدمات الهوية (ISE)) من الخطوات التالية:

    0. المصادقة/التخويل. يتم بشكل عام مباشرة قبل بدء تدفق الوضع ولكن يمكن تجاوزه في حالات إستخدام معينة مثل إعادة تقييم الوضع (PRA). بما أن المصادقة نفسها لا تطلق اكتشاف الوضع، فإن هذا لا يعتبر ضروريا لكل تدفق وضعية.

    1. الاكتشاف. تم إجراء العملية بواسطة وحدة وضع ISE للعميل الآمن للعثور على مالك PSN لجلسة العمل النشطة الحالية.
    2. إمداد العميل. تم إجراء العملية بواسطة ISE لتوفير العميل باستخدام وحدة وضع ISE النمطية المتوافقة مع Cisco Secure Client (المعروفة سابقا باسم AnyConnect) وإصدارات وحدة التوافق النمطية. في هذه الخطوة، يتم أيضا دفع النسخة المحلية من ملف تعريف الوضع الموجود في PSN المعين والموقع منه إلى العميل.
    3. فحص النظام. يتم تقييم سياسات الوضع التي تم تكوينها على ISE بواسطة وحدة التوافق النمطية.
    4. الإصلاح (إختياري). يتم تنفيذه في حالة عدم توافق أي نهج وضعية.
    5. CoA. يعد إعادة التفويض أمرا ضروريا لمنح حق الوصول النهائي إلى الشبكة (متوافق أو غير متوافق).


    يركز هذا المستند على عملية اكتشاف تدفق وضعية ISE.

    cisco يوصي أن يستعمل redirection ل الإكتشاف عملية، ومع ذلك، هناك حالات معينة حيث لا يمكن إعادة التوجيه أن ينفذ مثل إستخدام طرف ثالث شبكة أداة حيث إعادة التوجيه غير مدعوم. يهدف هذا المستند إلى توفير توجيه عام وأفضل الممارسات لتنفيذ الوضعية التي لا تحتاج إلى إعادة توجيه في هذه البيئات واستكشاف أخطائها وإصلاحها.

    يتم وصف الوصف الكامل للتدفق عديم الإتجاه في مقارنة إصدارات ISE السابقة بتدفق وضعية ISE في ISE 2.2.

    هناك نوعان من مستكشفات الوضع التي لا تستخدم إعادة التوجيه:

    1. Connectiondata.xml
    2. قائمة الاتصال بالمنزل

    Connectiondata.xml

    ConnectionData.xml هو ملف تم إنشاؤه وصيانته تلقائيا بواسطة Cisco Secure Client. وهو يتكون من قائمة بشبكات PSN التي نجح العميل في الاتصال بها للوضعية، وبالتالي، هذا هو الملف المحلي فقط ومحتوياته غير ثابتة عبر جميع نقاط النهاية.

    والغرض الرئيسي من ConnectionData.xml هو العمل كآلية نسخ إحتياطي لكل من عمليات أستكشاف المرحلة الأولى والثانية. في حالة تعذر العثور على مستكشفات Redirection أو Call Home List على PSN بجلسة عمل نشطة، يرسل Cisco Secure Client طلبا مباشرا إلى كل خادم من الخوادم المدرجة في ConnectionData.xml.

    Stage 1 discovery probesمستكشفات المرحلة 1

    Stage 2 discovery probesمستكشفات المرحلة 2

    هناك مشكلة شائعة ناجمة عن إستخدام إختبارات ConnectionData.xml وهي الحمل الزائد لنشر ISE بسبب وجود عدد كبير من طلبات HTTPS التي تم إرسالها بواسطة نقاط النهاية. من المهم إعتبار أنه في حين أن ConnectionData.xml فعال كآلية نسخ إحتياطي لتجنب حالات انتهاء الصلاحية الكاملة لكل من آليات إعادة التوجيه والوضعية غير القابلة لإعادة التوجيه، فإنه ليس حلا مستداما لبيئة الوضع، وبالتالي، من الضروري تشخيص مشاكل التصميم والتكوين التي تتسبب في فشل إختبارات الاكتشاف الرئيسية والتي ينتج عنها مشاكل في الاكتشاف وحلها.

    قائمة الاتصال بالمنزل

    Call Home List هو قسم من ملف تعريف الوضع حيث تم تحديد قائمة من PSNs ليتم إستخدامها للوضع. وعلى عكس ConnectionData.xml، يتم إنشاء هذا الإجراء وصيانته بواسطة مسؤول ISE وقد يتطلب مرحلة تصميم للتكوين الأمثل. يجب أن تطابق قائمة شبكات PSN في "قائمة الاتصال بالمنزل" قائمة خوادم المصادقة والمحاسبة التي تم تكوينها في جهاز الشبكة أو موازن التحميل ل RADIUS.

    يمكن Call Home List Probe إستخدام بحث MnT أثناء البحث في جلسة العمل النشطة في حالة فشل البحث المحلي في PSN. وتمتد الوظيفة نفسها إلى مسابر ConnectionData.xml فقط عند إستخدامها أثناء اكتشاف المرحلة 2. ولهذا السبب، يشار أيضا إلى جميع مستكشفات المرحلة 2 باسم مستكشفات الجيل الجديد.

    MnT lookup flowتدفق بحث MnT

    تصميم

    ونظرا لأن عملية الاكتشاف دون توجيه غالبا ما تستلزم تدفقا أكثر تعقيدا وكمية أكبر من المعالجة على شبكات PSN وشبكة MnT مقارنة بتدفق إعادة التوجيه، فهناك تحديان مشتركان يمكن أن يظهرا أثناء التنفيذ:

    1. اكتشاف فعال
    2. أداء نشر ISE

    للتعامل مع هذه التحديات، يوصى بتصميم قائمة الاتصال بالمنزل للحد من عدد شبكات PSN التي يمكن لنقطة نهاية معينة إستخدامها للوضع. بالنسبة لعمليات النشر المتوسطة والكبيرة، من الضروري توزيع النشر لإنشاء قوائم المكالمات الرئيسية المتعددة ذات عدد أقل من شبكات PSN، وبالتالي، يجب أن تكون قائمة شبكات PSN المستخدمة لمصادقة RADIUS لجهاز شبكة معين محدودة بنفس الطريقة لمطابقة قائمة الاتصال بالمنزل المقابلة.

    يمكن أخذ الجوانب التالية بعين الاعتبار عند تطوير إستراتيجية توزيع الشبكات الخاصة لتحديد الحد الأقصى لعدد الشبكات الخاصة في كل قائمة "الاتصال بالمنزل":

    • عدد شبكات PSN في النشر
    • مواصفات أجهزة PSN وعقد MNt
    • الحد الأقصى لعدد جلسات عمل الوضع المتزامن في النشر
    • عدد أجهزة الشبكة
    • البيئات المختلطة (إعادة التوجيه المتزامن وتنفيذ الوضع دون إعادة التوجيه)
    • عدد المهايئات التي تستخدمها نقاط النهاية
    • موقع أجهزة الشبكة وشبكات PSN
    • أنواع اتصال الشبكة المستخدمة للوضع (سلكي، لاسلكي، VPN)

    Example. PSN distribution for redirectionless postureمثال. توزيع PSN لوضعية غير قابلة لإعادة التوجيه

    تلميح: إستخدام مجموعات أجهزة الشبكة لتصنيف أجهزة الشبكة وفقا للتصميم.

    التكوين

    مجموعات أجهزة الشبكة (إختياري)

    يمكن إستخدام مجموعات أجهزة الشبكة للتعرف على أجهزة الشبكة ومطابقتها باستخدام قائمة خوادم RADIUS المطابقة لها وقائمة الاتصال بالمنزل. في حالة البيئات المختلطة، يمكن إستخدامها أيضا لتحديد الأجهزة التي تدعم إعادة التوجيه من الأجهزة التي لا تدعم.

    إذا كانت إستراتيجية التوزيع التي تم تطويرها أثناء مرحلة التصميم تعتمد على مجموعات أجهزة الشبكة، فاتبع الخطوات التالية لتكوينها على ISE:

    1. انتقل إلى الإدارة>مجموعات موارد شبكة موارد الشبكة.
    2. انقر فوق إضافة لإضافة مجموعة جديدة وتوفير اسم وتحديد المجموعة الأصلية إذا كان ذلك ممكنا.
    3. كرر الخطوة 2 لإنشاء كافة المجموعات الضرورية.


    في الأمثلة المستخدمة في هذا الدليل، يتم إستخدام مجموعة أجهزة تحديد الموقع لتحديد قائمة خوادم RADIUS وقائمة الاتصال بالمنزل، ويتم إستخدام مجموعة أجهزة الوضع المخصص لتعريف إعادة التوجيه من أجهزة الوضع غير القابلة لإعادة التوجيه.

    Network Device Groupsمجموعات أجهزة الشبكة

    جهاز الشبكة

    1. يجب تكوين جهاز الشبكة لمصادقة RADIUS والتخويل والمحاسبة، ارجع إلى كل وثائق المورد لخطوات التكوين. قم بتكوين قائمة خوادم RADIUS وفقا لقائمة الاتصال الرئيسية المقابلة.
    2. على ISE، انتقل إلى الإدارة>موارد الشبكة>أجهزة الشبكة وانقر فوق إضافة. قم بتكوين مجموعات أجهزة الشبكة وفقا للتصميم وتمكين إعدادات مصادقة RADIUS لتكوين السر المشترك.

    Network Device configurationتكوين جهاز الشبكة

    إمداد العميل

    هناك طريقتان لتزويد العميل بالبرنامج المناسب وملف التعريف المناسب لأداء الوضعية في بيئة غير قابلة لإعادة التوجيه:

    1. الإمداد اليدوي (قبل النشر)
    2. مدخل توفير العميل (نشر عبر الويب)

    الإمداد اليدوي (قبل النشر)

    • تنزيل Cisco Secure Client Profile Editor وتثبيته من تنزيل برامج Cisco.Profile Editor packageحزمة محرر ملف التعريف
    • افتح محرر ملف تعريف ISE Posture (وضعية محرك خدمات الهوية (ISE)):
      • تأكد من تمكين تمكين تدفق عدم إعادة التوجيه للوضع.
      • قم بتكوين قواعد اسم الخادم مفصولة بفواصل. أستخدم علامة نجمية واحدة * للسماح بالاتصال بأي PSN، وقيم أحرف البدل للسماح بالاتصال بأي PSN في مجال معين أو PSN FQDNs لتقييد الاتصال بشبكات PSN معينة.
      • قم بتكوين قائمة "الاتصال بالمنزل" لتحديد قائمة PSNs التي تم فصلها بفاصلة. تأكد من إضافة منفذ بوابة إمداد العميل باستخدام التنسيق FQDN:port أو IP:port.
        Posture profile configuraiton with Profile Editorتشكيل توصيف وضعي باستخدام محرر ملف التعريف

        ملاحظة: ارجع إلى الخطوة 4 من قسم سياسة إمداد العميل للحصول على تعليمات حول كيفية التحقق من منفذ بوابة إمداد العميل إذا لزم الأمر.

    • كرر الخطوة 2 لكل قائمة "الاتصال بالمنزل" قيد الاستخدام.
    • تنزيل حزمة النشر المسبق ل Cisco Secure Client من تنزيل برامج Cisco.
      Cisco Secure Client pre-deploy packageحزمة النشر المسبق ل Cisco Secure Client
    • احفظ ملف التعريف على هيئة ISEPostureCFG.xml.
    • قم بتوزيع ملفات التخصيص والتثبيت في ملف أرشيف، أو انسخ الملفات إلى العملاء.

      تحذير: تأكد من أن نفس ملفات العميل الآمنة من Cisco موجودة أيضا على المنافذ الرئيسية التي تخطط للاتصال بها: جدار الحماية الآمن ASA و ISE وما إلى ذلك. حتى عند إستخدام الإمداد اليدوي، يجب تكوين ISE لتوفير العميل باستخدام إصدار البرنامج المطابق. ارجع إلى قسم تكوين سياسة تزويد العميل للحصول على تعليمات تفصيلية.

    • على العميل، افتح ملف zip وقم بتشغيل الإعداد لتثبيت الوحدات النمطية Core و ISE Posture. بدلا من ذلك، يمكن إستخدام ملفات msi الفردية لتثبيت كل وحدة نمطية، في هذه الحالة، يجب التأكد من تثبيت وحدة Core-VPN النمطية أولا.

      Cisco Secure Client pre-deploy package contentsمحتويات حزمة النشر المسبق ل Cisco Secure Client


      Cisco Secure Client installerمثبت العميل الآمن من Cisco

      تلميح: تثبيت أداة التشخيص وإعداد التقارير التي سيتم إستخدامها لأغراض أستكشاف الأخطاء وإصلاحها. 

    • بمجرد اكتمال التثبيت، انسخ ملف تعريف الوضع xml إلى المواقع التالية:
      • Windows: ٪ProgramData٪\Cisco\Cisco Secure Client\ISE Posture
      • نظام التشغيل MacOS: /opt/cisco/secure/iseposture/

    مدخل توفير العميل (نشر الويب)

    يمكن إستخدام مدخل إمداد عميل ISE لتثبيت وحدة Cisco Secure Client ISE Posture Module وملف تعريف الوضع من ISE، كما يمكن إستخدامه لدفع ملف تعريف الوضع وحده إذا كان وحدة ISE Posture النمطية مثبتة بالفعل على العميل.

      1. انتقل إلى مراكز العمل>Posture>Client Provisioning>Client Provisioning Portal لفتح تكوين البوابة. قم بتوسيع قسم إعدادات المدخل وحدد موقع حقل طريقة المصادقة، وحدد تسلسل مصدر الهوية الذي سيتم إستخدامه للمصادقة في المدخل.
      2. تكوين مجموعات الهوية الداخلية والخارجية المخولة لاستخدام مدخل إمداد العميل.
        Authentication method and authorized groups in portal settingsأسلوب المصادقة والمجموعات المعتمدة في إعدادات المدخل
      3. في حقل اسم المجال المؤهل بالكامل (FQDN) قم بتكوين عنوان URL الذي يستخدمه العملاء للوصول إلى البوابة. لتكوين شبكات FQDN متعددة، أدخل القيم المفصولة بفواصل.
        dianaro_7-1679511063143
      4. قم بتكوين خادم (خوادم) DNS لحل URL المدخل إلى PSNs الخاصة بقائمة Call Home المقابلة.
      5. قم بتوفير FQDN للمستخدمين النهائيين للوصول إلى البوابة لتثبيت برنامج ISE Posture (وضعية محرك خدمات الهوية (ISE)).

    ملاحظة: لاستخدام FQDN الخاص بالمدخل، يجب أن يحتوي العملاء على سلسلة شهادات مسؤول PSN بالإضافة إلى سلسلة شهادات المدخل المثبتة في المخزن الموثوق به، كما يجب أن تحتوي شهادة المسؤول على FQDN الخاص بالمدخل في حقل شبكة التخزين (SAN).

    نهج توفير العميل

    يجب تكوين إمداد العميل على ISE بغض النظر عن نوع الإمداد (النشر المسبق أو النشر عبر الويب) الذي يتم إستخدامه لتثبيت Cisco Secure Client على نقاط النهاية.

    1. قم بتنزيل حزمة Cisco Secure Client Webdeploy من تنزيل برامج Cisco.Cisco Secure Client webdeploy packageحزمة نشر الويب ل Cisco Secure Client
    2. قم بتنزيل أحدث حزمة لنشر وحدة التوافق النمطية عبر الويب من تنزيل برامج Cisco.
      ISE Compliance Module webdeploy packageحزمة النشر عبر الويب لوحدة توافق ISE
    3. على ISE، انتقل إلى مراكز العمل > Posture > Client Provisioning > Resources وانقر فوق إضافة>موارد العميل من القرص المحلي. حدد الحزم المقدمة من Cisco من القائمة المنسدلة الفئة وقم بتحميل حزمة Cisco Secure Client Webdeploy التي تم تنزيلها مسبقا. كرر نفس العملية لتحميل وحدة التوافق النمطية.Upload Cisco Provided Packages to ISEتحميل الحزم المقدمة من Cisco إلى ISE
    4. بالعودة إلى علامة التبويب الموارد، انقر فوق إضافة > ملف تعريف AnyConnect Posture. في التوصيف:
      • قم بتكوين اسم يمكن إستخدامه لتحديد ملف التعريف داخل ISE.
      • قم بتكوين قواعد اسم الخادم مفصولة بفواصل. أستخدم علامة نجمية واحدة * للسماح بالاتصال بأي PSN، وقيم أحرف البدل للسماح بالاتصال بأي PSN في مجال معين أو PSN FQDNs لتقييد الاتصال بشبكات PSN معينة.
      • قم بتكوين قائمة "الاتصال بالمنزل" لتحديد قائمة PSNs التي تم فصلها بفاصلة. تأكد من إضافة منفذ بوابة إمداد العميل باستخدام التنسيق FQDN:port أو IP:port.ISE Posture profile configuration Iتكوين ملف تعريف ISE Posture Profile I
        ISE Posture Profile configuration IIتكوين ملف تعريف ISE Posture Profile II


      للعثور على المنفذ الذي يجب إستخدامه في "قائمة الاتصال بالمنزل"، انتقل إلى مراكز العمل > Posture > Client Provisioning>مدخل تزويد العميل، وحدد المدخل قيد الاستخدام، ثم قم بتوسيع إعدادات البوابة.

      Client Provisioning Portal portمنفذ بوابة إمداد العميل

    5. بالعودة إلى علامة التبويب الموارد، انقر فوق إضافة > تكوين AnyConnect. حدد حزمة Cisco Secure Client ووحدة التوافق النمطية التي سيتم إستخدامها.

      تحذير: إذا تم نشر Cisco Secure Client مسبقا على العملاء، فتأكد من تطابق الإصدار على ISE مع الإصدار على نقاط النهاية. إذا تم إستخدام ASA أو FTD لنشر الويب، فيجب أن يتطابق الإصدار الموجود على هذا الجهاز كذلك.

    6. قم بالتمرير لأسفل إلى قسم تحديد الوضع وحدد ملف التخصيص الذي تم إنشاؤه في الخطوة 1. انقر فوق إرسال في أسفل الصفحة لحفظ التكوين.AnyConnect Configurationتكوين AnyConnect
      Profile selectionتحديد ملف التعريف
    7. انتقل إلى مراكز العمل>Posture>إعداد العميل>سياسة إمداد العميل. حدد موقع النهج المستخدم في نظام التشغيل المطلوب وانقر فوق تحرير. انقر فوق علامة + في عمود النتائج وحدد تكوين AnyConnect من الخطوة 5 أسفل قسم تكوين الوكيل.

      ملاحظة: في حالة قوائم "الاتصال بالمنزل" المتعددة، أستخدم حقل الشروط الأخرى لدفع ملف التعريف الصحيح إلى العملاء المماثلين. في المثال، يتم إستخدام مجموعة مواقع الجهاز لتحديد ملف تعريف الوضع الذي يتم دفعه في النهج.

      تلميح: إذا تم تكوين سياسات توفير عميل متعددة ل نفس نظام التشغيل، فمن المستحسن جعلها خاصة بشكل متبادل، أي أنه يجب أن يكون العميل المحدد قادرا فقط على الضغط على نهج واحد في كل مرة. يمكن إستخدام سمات RADIUS تحت عمود شروط أخرى للتمييز بين سياسة وأخرى.


      Client Provisioning Policy Agent Configurationتكوين وكيل سياسة تزويد العميلClient Provisioning Policyنهج توفير العميل
    8. كرر الخطوات من 4 إلى 7 لكل قائمة "الاتصال بالمنزل" وملف تعريف الوضع المتوافق قيد الاستخدام. للبيئات المختلطة، يمكن إستخدام نفس التوصيفات لعملاء إعادة التوجيه.

    الاعتماد

    ملف تعريف التخويل

    1. انتقل إلى السياسة > عناصر السياسة > النتائج > التفويض > قوائم التحكم في الوصول (ACL) القابلة للتنزيل وانقر فوق إضافة.
    2. قم بإنشاء قائمة تحكم في الوصول إلى البنية الأساسية (DACL) للسماح بحركة المرور إلى DNS و DHCP (إذا تم إستخدامها) و ISE PSNs وحظر حركة المرور الأخرى. تأكد من السماح لأي حركة مرور أخرى ضرورية للوصول قبل الوصول المتوافق النهائي.

      DACL configurationتهيئة DACL

      permit udp any any eq domain
permit udp any any eq bootps
permit ip any host 
      
      
        permit ip any host 
       
         deny ip any any

      تحذير: قد لا تدعم بعض أجهزة الطرف الثالث قوائم التحكم في الوصول إلى النقل (DACLs)، في مثل هذه الحالات، من الضروري إستخدام معرف عامل التصفية أو سمات أخرى محددة للمورد. راجع وثائق المورد للحصول على مزيد من المعلومات. إذا لم يتم إستخدام قوائم التحكم في الوصول للبنية الأساسية (DACL)، فتأكد من تكوين قائمة التحكم في الوصول (ACL) المطابقة في جهاز الشبكة.

    3. انتقل إلى السياسة > عناصر السياسة > النتائج>التفويض >ملفات تعريف التفويض وانقر فوق إضافة. قم بتسمية ملف تعريف التخويل وحدد اسم قائمة التحكم بالوصول (DACL) من المهام المشتركة. من القائمة المنسدلة، حدد قائمة التحكم في الوصول للبنية الأساسية (DACL) التي تم إنشاؤها في الخطوة 2.Authorization profileملف تعريف التخويل

      ملاحظة: إذا لم يتم إستخدام قوائم التحكم في الوصول إلى النقل (DACL)، فاستخدم معرف عامل التصفية من المهام المشتركة أو إعدادات السمة المتقدمة للضغط على اسم قائمة التحكم في الوصول (ACL) المقابلة.

    4. كرر الخطوات من 1 إلى 3 لكل قائمة "الاتصال بالمنزل" قيد الاستخدام. بالنسبة للبيئات المختلطة، يكون من الضروري وجود توصيف تخويل واحد فقط لإعادة التوجيه. تكوين ملف تعريف التخويل لإعادة التوجيه خارج نطاق هذا المستند.

    سياسة التخويل

    1. انتقل إلى النهج > مجموعات النهج وافتح مجموعة النهج قيد الاستخدام أو قم بإنشاء مجموعة جديدة.
    2. قم بالتمرير لأسفل إلى قسم نهج التخويل. قم بإنشاء سياسة تخويل باستخدام Session PostureStatus NOT_EQUALS متوافق وحدد ملف تعريف التخويل الذي تم إنشاؤه في القسم السابق.
      Authorization policiesسياسات التخويل
    3. كرر الخطوة 2 لكل ملف تعريف تخويل مع إستخدام قائمة "الاتصال بالمنزل" المقابلة لها. بالنسبة للبيئات المختلطة، يلزم وجود سياسة تخويل واحدة فقط لإعادة التوجيه.

    استكشاف الأخطاء وإصلاحها

    متوافق مع Cisco Secure Client و Posture غير قابل للتطبيق (معلق) على ISE

    الجلسات الصورية/الوهمية

    يمكن أن يؤدي وجود جلسات عمل وهمية في النشر إلى إنشاء حالات فشل متقطعة وعشوائية على ما يبدو مع اكتشاف الوضع غير القابل لإعادة التوجيه مما يؤدي إلى إحتجاز المستخدمين في وضع غير معروف/غير قابل للتطبيق على ISE بينما تظهر واجهة مستخدم Cisco Secure Client وصول متوافق.

    جلسات العمل القديمة هي جلسات قديمة لم تعد نشطة. يتم إنشاؤها بواسطة طلب مصادقة وبداية محاسبة ولكن لا يتم تلقي أي توقف محاسبي على PSN لمسح الجلسة.

    الجلسات الوهمية هي جلسات لم تكن نشطة في الواقع في PSN معين. يتم إنشاؤها بواسطة تحديث مؤقت للمحاسبة ولكن لا يتم تلقي أي توقف محاسبي على PSN لمسح الجلسة.

    تحديد الهوية

    لتحديد مشكلة في جلسة عمل وهمية/وهمية، تحقق من PSN المستخدم في مسح النظام على العميل وقارن مع PSN الذي يقوم بتنفيذ المصادقة:

    1. في واجهة مستخدم Cisco "العميل الآمن"، انقر فوق رمز التروس في الركن الأيسر السفلي. من القائمة اليسرى، افتح قسم وضعية محرك خدمات الهوية (ISE) وانتقل إلى علامة تبويب الإحصائيات. لاحظ خادم النهج في "معلومات الاتصال".
      Policy Server for ISE Posture in Cisco Secure ClientPolicy Server ل ISE Posture (وضعية محرك خدمات الهوية (ISE)) في Cisco Secure Client
    2. في سجلات ISE RADIUS المباشرة، لاحظ ما يلي:
      • تغيير في حالة الوضع
      • تغيير في الخادم
      • لا يوجد تغيير في سياسة التخويل وملف تعريف التخويل
      • لا يوجد سجل CoA مباشر
      Live logs for stale/phantom sessionالسجلات الحية لجلسة العمل السطحية/الوهمية
    3. افتح تفاصيل جلسة العمل المباشرة أو آخر سجل نشط للمصادقة. انتبه إلى خادم النهج، إذا كان مختلفا عن الخادم الملاحظ في الخطوة 1، فإن ذلك يشير إلى وجود مشكلة في جلسات العمل البسيطة/الوهمية.
      Policy server in live log detailsخادم النهج الموجود في تفاصيل السجل المباشر

    الحل

    تقوم إصدارات ISE الموجودة فوق التصحيح 6 و 2.7 من ISE 3 بتطبيق دليل جلسة RADIUS كحل لسيناريو جلسة العمل البسيطة/الوهمية في تدفق تموضع بدون إتجاه.

    1. انتقل إلى إدارة > نظام > إعدادات > توزيع بيانات خفيف وتحقق من تمكين خانة الاختيار تمكين دليل جلسة عمل RADIUS.
      Enable RADIUS Session Directoryتمكين دليل جلسة RADIUS

    2. من ISE CLI تحقق من أن خدمة مراسلة ISE قيد التشغيل على جميع شبكات PSN عن طريق تشغيل الأمر إظهار حالة التطبيقات.
      ISE Messaging Service runningخدمة مراسلة ISE قيد التشغيل

      ملاحظة: تشير هذه الخدمة إلى طريقة الاتصال التي يتم إستخدامها ل RSD بين شبكات PSN ويجب أن تكون قيد التشغيل بغض النظر عن حالة إعداد خدمة ISE Messaging ل syslog التي يمكن تعيينها من واجهة مستخدم ISE.

    3. انتقل إلى لوحة معلومات ISE وحدد موقع dashlet Alarm. تحقق من وجود أي تنبيهات خطأ لارتباط قائمة الانتظار. انقر على اسم المنبه للاطلاع على مزيد من التفاصيل.
      Queue Link Error alarmsتنبيهات خطأ إرتباط قائمة الانتظار
    4. تحقق مما إذا تم إنشاء الإنذارات بين PSNs المستخدمة للوضع.
      Queue Link Error alarm detailsتفاصيل تنبيه خطأ إرتباط قائمة الانتظار
    5. قم بالمرور فوق وصف التنبيه للاطلاع على التفاصيل الكاملة والإحاطة علما بحقل السبب. السببان الأكثر شيوعا لخطأ إرتباط قائمة الانتظار هما: 
      • المهلة: تشير إلى أن الطلبات التي يتم إرسالها بواسطة عقدة إلى عقدة أخرى على المنفذ 8671 لا يتم الاستجابة لها ضمن الحد. للإصلاح، تحقق من السماح بمنفذ TCP 8671 بين العقد.
      • مرجع مصدق غير معروف: يشير إلى أن سلسلة الشهادات التي توقع شهادة مراسلة ISE غير صحيحة أو غير مكتملة. لتصحيح هذا الخطأ:
        1. انتقل إلى إدارة > نظام > شهادات>طلبات توقيع الشهادة.
        2. انقر على إنشاء طلبات توقيع الشهادات (CSR).
        3. من القائمة المنسدلة، حدد ISE Root CA وانقر فوق إستبدال سلسلة شهادات ISE Root CA.
          إذا لم يتوفر ISE Root CA، انتقل إلى Certificate Authority > إعدادات CA الداخلية وانقر فوق تمكين Certificate Authority، ثم عد إلى CSR وأعد إنشاء CA الجذر.
        4. قم بإنشاء CSR جديد وحدد خدمة مراسلة ISE من القائمة المنسدلة.
        5. حدد جميع العقد من النشر وأعد إنشاء الشهادة.

      ملاحظة: من المتوقع مراقبة إنذارات خطأ إرتباط قائمة الانتظار بسبب رفض CA أو Econnrejected غير معروف أثناء إعادة إنشاء الشهادات، ومراقبة الإنذارات بعد إنشاء الشهادة لتأكيد حل المشكلة.

    الأداء

    تحديد الهوية

    قد تؤثر مشاكل الأداء مثل الاستخدام العالي لوحدة المعالجة المركزية (CPU) ومتوسط الحمل المرتفع المرتبط بوضعية عدم التوجيه على PSN وكذلك عقد MnT، وغالبا ما تكون مصحوبة أو مسبوقة بالأحداث التالية:

    • عشوائي أو متقطع لم يكتشف أي خادم نهج أخطاء في Cisco Secure Client
    • وصل الحد الأقصى للموارد إلى تقارير تجمع مؤشرات ترابط خدمة المدخل إلى أحداث قيمة الحد. انتقل إلى العمليات > التقارير > التقارير > التدقيق > تدقيق العمليات لعرض التقارير.
    • Posture Query إلى البحث عن MNT هو تنبيهات عالية. يتم إنشاء هذه التنبيهات فقط على إصدارات ISE 3.1 والإصدارات الأحدث.


    الحل

    وإذا تأثر أداء النشر بوضعية عدم التوجيه، فإن ذلك غالبا ما يدل على عدم فعالية التنفيذ. يوصى بتنقيح الجوانب التالية:

    • عدد شبكات PSN المستخدمة لكل قائمة "الاتصال بالمنزل". فكر في تقليل عدد شبكات PSN التي يمكن إستخدامها للوضع لكل نقطة نهاية أو جهاز شبكة وفقا للتصميم.
    • منفذ مدخل تزويد العميل في قائمة الاتصال الرئيسية. تأكد من تضمين رقم منفذ المدخل بعد IP أو FQDN لكل عقدة.


    للتخفيف من التأثير:

    1. قم بمسح ConnectionData.xml من نقاط النهاية من خلال إزالة الملف من مجلد Cisco Secure Client وإعادة تشغيل خدمة ISE Posture (وضعية محرك خدمات الهوية (ISE)) أو Cisco Secure Client. في حالة عدم إعادة تشغيل الخدمات، يتم إعادة إنشاء الملف القديم ولا يتم تطبيق التغييرات. يجب تنفيذ هذا الإجراء أيضا بعد مراجعة قوائم الاتصال بالمنزل وتعديلها.
    2. إستخدام قوائم التحكم في الوصول الخاصة بالمنفذ (DACL) أو قوائم التحكم في الوصول الأخرى لحظر حركة المرور إلى شبكات ISE PSN لاتصالات الشبكة حيث لا تكون ذات صلة:
      • بالنسبة للاتصالات التي لا يتم فرض الوضع فيها في سياسات التخويل ولكن يتم تطبيقها على نقاط النهاية مع وحدة Cisco Secure Client ISE Posture Module المثبتة، قم بحظر حركة مرور البيانات من العملاء إلى جميع شبكات ISE PSN لمنافذ TCP 8905 ومنفذ بوابة إمداد العميل. يوصى بهذا الإجراء للوضع مع تنفيذ إعادة التوجيه أيضا.
      • بالنسبة للاتصالات التي يتم فرض الوضع فيها في سياسات التخويل، اسمح بحركة مرور البيانات من العملاء إلى PSN المصادق وامنع حركة مرور البيانات إلى PSN الأخرى في النشر. يمكن تنفيذ هذا الإجراء بشكل مؤقت أثناء مراجعة التصميم.
        Authorization profile with DACL for single PSNملف تعريف التخويل مع DACL ل PSN واحد
        Authorization policies per PSNنهج التخويل لكل PSN

    محاسبة

    تعد عملية محاسبة RADIUS ضرورية لإدارة جلسات العمل على ISE. نظرا لأن الوضع يعتمد على جلسة عمل نشطة ليتم تنفيذها، فإن التكوين المحاسبي غير الصحيح أو عدم تكوينه يمكن أن يؤثر أيضا على اكتشاف الوضع وأداء ISE. من المهم التحقق من تكوين عملية المحاسبة بشكل صحيح على جهاز الشبكة لإرسال طلبات المصادقة وبدء عملية المحاسبة ووقف عملية المحاسبة وإجراء التحديثات على PSN واحد لكل جلسة عمل.

    للتحقق من الحزم المحاسبية المستلمة على ISE، انتقل إلى العمليات > التقارير>التقارير>نقاط النهاية والمستخدمين>محاسبة RADIUS.

    معلومات ذات صلة

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    24-Jul-2023
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Diana Rodriguez Zaragoza
      Technical Consulting Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا