Implementieren von ISE Redirectionless Posture

Download-Optionen

  • PDF     (2.2 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (2.1 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (1.5 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:11. Juli 2023
Dokument-ID:220394

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument werden die Verwendung und Konfiguration eines umleitungslosen Statusflusses und Tipps zur Fehlerbehebung beschrieben.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Statusüberprüfung für ISE
    • Konfiguration von Statuskomponenten auf der ISE
    • Umleitung zu ISE-Portalen

    Für ein besseres Verständnis der später beschriebenen Konzepte wird empfohlen, folgende Schritte durchzuführen:

    Vergleich früherer ISE-Versionen mit dem ISE-Statusverlauf in ISE 2.2
    ISE-Sitzungsmanagement und Status

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Cisco ISE Version 3.1
    • Cisco Secure Client 5.0.01242

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    Der ISE-Statusflow besteht aus den folgenden Schritten:

    0. Authentifizierung/Autorisierung Wird in der Regel unmittelbar vor Beginn des Status-Flows durchgeführt, kann aber in bestimmten Anwendungsfällen wie der Statusüberprüfung (PRA) umgangen werden. Da die Authentifizierung selbst keine Statuserkennung auslöst, wird dies nicht bei jedem Statusfluss als wesentlich erachtet.

    1. Erkennung. Prozess, der vom Secure Client ISE Posture-Modul ausgeführt wird, um den PSN-Besitzer der aktuellen aktiven Sitzung zu finden.
    2. Client-Bereitstellung. Von der ISE durchgeführter Prozess zur Bereitstellung des entsprechenden Cisco Secure Client (ehemals AnyConnect) ISE Posture-Moduls und der Versionen des Compliance-Moduls für den Client. In diesem Schritt wird die lokale Kopie des Statusprofils, das in dem jeweiligen PSN enthalten und von diesem signiert ist, ebenfalls an den Client gesendet.
    3. Systemscan. Auf der ISE konfigurierte Statusrichtlinien werden vom Compliance-Modul bewertet.
    4. Problembehebung (optional). Wird bei nicht konformen Statusrichtlinien ausgeführt.
    5. CoA Eine erneute Autorisierung ist erforderlich, um den endgültigen (konformen oder nicht konformen) Netzwerkzugriff zu gewähren.


    Dieses Dokument konzentriert sich auf den Erkennungsprozess des ISE-Statusflusses.

    Cisco empfiehlt, die Umleitung für den Erkennungsprozess zu verwenden. In einigen Fällen ist jedoch eine Umleitung nicht möglich, z. B. bei Netzwerkgeräten von Drittanbietern, bei denen die Umleitung nicht unterstützt wird. Dieses Dokument bietet eine allgemeine Anleitung und Best Practices für die Implementierung und Fehlerbehebung von umleitungslosen Zuständen in solchen Umgebungen.

    Eine vollständige Beschreibung des umleitungslosen Datenflusses finden Sie unter Frühere ISE-Versionen vergleichen mit ISE-Statusfluss in ISE 2.2.

    Es gibt zwei Arten von Statusermittlungssonden, die keine Umleitung verwenden:

    1. Connectiondata.xml
    2. Call Home-Liste

    Connectiondata.xml

    Connectiondata.xml ist eine Datei, die vom Cisco Secure Client automatisch erstellt und verwaltet wird. Es besteht aus einer Liste von PSNs, mit denen der Client zuvor eine Verbindung für Statusfragen hergestellt hat. Daher handelt es sich hierbei nur um eine lokale Datei, deren Inhalt nicht auf allen Endpunkten dauerhaft ist.

    Der Hauptzweck von connectionData.xml besteht darin, als Sicherungsmechanismus für Erkennungssonden der Phasen 1 und 2 zu fungieren. Falls die Weiterleitungs- oder Call Home List-Diagnosetools ein PSN mit einer aktiven Sitzung nicht finden können, sendet der Cisco Secure Client eine direkte Anforderung an jeden der in connectionData.xml aufgeführten Server.

    Stage 1 discovery probesErkennungssonden der Stufe 1

    Stage 2 discovery probesErkennungssonden der Stufe 2

    Ein häufiges Problem, das durch die Verwendung von connectionData.xml-Tests verursacht wird, ist eine Überlastung der ISE-Bereitstellung aufgrund einer großen Anzahl von HTTPS-Anforderungen, die von den Endpunkten gesendet werden. Es ist wichtig zu beachten, dass connectionData.xml zwar als Backup-Mechanismus wirksam ist, um vollständige Ausfälle sowohl für Umleitungs- als auch für umleitungslose Statusmechanismen zu vermeiden, jedoch keine nachhaltige Lösung für eine Statusumgebung darstellt. Daher ist es erforderlich, die Design- und Konfigurationsprobleme zu diagnostizieren und zu beheben, die den Ausfall der Haupterkennungssonden verursachen und zu Erkennungsproblemen führen.

    Call Home-Liste

    Die Call Home List (Liste der Anrufer-Standorte) ist ein Abschnitt des Statusprofils, in dem eine Liste von PSNs zur Verwendung für die Statusanzeige festgelegt ist. Im Gegensatz zu connectiondata.xml wird diese Datei von einem ISE-Administrator erstellt und verwaltet und erfordert möglicherweise eine Entwurfsphase für die optimale Konfiguration. Die Liste der PSNs in der Call Home-Liste muss mit der Liste der Authentifizierungs- und Abrechnungsserver übereinstimmen, die im Netzwerkgerät oder Load Balancer für RADIUS konfiguriert ist.

    Call Home List-Tests ermöglichen die Verwendung einer MnT-Suche während der aktiven Sitzungssuche, falls die lokale Suche in einem PSN fehlschlägt. Dieselbe Funktion wird nur dann auf die Prüfpunkte connectionData.xml erweitert, wenn diese während der Phase-2-Erkennung verwendet werden. Aus diesem Grund werden alle Sonden der Stufe 2 auch als Sonden der neuen Generation bezeichnet.

    MnT lookup flowMnT-Suchablauf

    Design

    Da ein umleitungsloser Erkennungsprozess häufig einen komplexeren Datenfluss und eine höhere Verarbeitungsleistung auf PSNs und MnT im Vergleich zu einem Umleitungsfluss erfordert, können sich bei der Implementierung zwei allgemeine Herausforderungen ergeben:

    1. Effektive Erkennung
    2. Leistung der ISE-Bereitstellung

    Um diese Herausforderungen zu bewältigen, wird empfohlen, die Call Home-Liste so zu entwerfen, dass die Anzahl der PSNs, die ein Endgerät für den Status verwenden kann, begrenzt wird. Bei mittleren und großen Bereitstellungen muss die Bereitstellung verteilt werden, damit mehrere Call Home-Listen mit einer reduzierten Anzahl von PSNs erstellt werden können. Daher sollte die Liste der PSNs, die für die RADIUS-Authentifizierung für ein bestimmtes Netzwerkgerät verwendet werden, auf die gleiche Weise begrenzt werden, damit sie mit der entsprechenden Call Home-Liste übereinstimmen.

    Die folgenden Aspekte können bei der Entwicklung der PSN-Verteilungsstrategie berücksichtigt werden, um die maximale Anzahl von PSNs in jeder Call Home-Liste zu bestimmen:

    • Anzahl der PSNs in der Bereitstellung
    • Hardwarespezifikationen von PSNs und MnT-Knoten
    • Maximale Anzahl gleichzeitiger Statussitzungen in der Bereitstellung
    • Anzahl der Netzwerkgeräte
    • Hybride Umgebungen (gleichzeitige Umleitung und umleitungslose Implementierung des Status)
    • Anzahl der von den Endpunkten verwendeten Adapter
    • Standort von Netzwerkgeräten und PSNs
    • Für Statusservices verwendete Netzwerkverbindungstypen (kabelgebunden, Wireless, VPN)

    Example. PSN distribution for redirectionless postureBeispiel. PSN-Verteilung für umleitungslosen Status

    Tipp: Verwenden Sie Netzwerkgerätegruppen, um die Netzwerkgeräte entsprechend dem Design zu klassifizieren.

    Konfigurieren

    Netzwerk-Gerätegruppen (optional)

    Netzwerkgerätegruppen können verwendet werden, um Netzwerkgeräte anhand der entsprechenden RADIUS-Serverliste und der Call Home-Liste zu identifizieren und ihnen zuzuordnen. Im Fall von Hybrid-Umgebungen können sie auch verwendet werden, um Geräte zu identifizieren, die die Umleitung von Geräten unterstützen, die dies nicht tun.

    Wenn die während der Designphase entwickelte Verteilungsstrategie Netzwerkgerätegruppen verwendet, führen Sie die folgenden Schritte aus, um diese für die ISE zu konfigurieren:

    1. Navigieren Sie zu Administration > Network Resources (Verwaltung) Network Resource Groups (Netzwerkressourcengruppen).
    2. Klicken Sie auf Hinzufügen, um eine neue Gruppe hinzuzufügen, einen Namen anzugeben und ggf. die übergeordnete Gruppe auszuwählen.
    3. Wiederholen Sie Schritt 2, um alle erforderlichen Gruppen zu erstellen.


    In den in diesem Leitfaden verwendeten Beispielen wird die Location Device Group (Standort-Gerätegruppe) verwendet, um die RADIUS-Serverliste und die Call Home List (Anrufleitliste) zu identifizieren, und eine benutzerdefinierte Posture Device Group (Status-Gerätegruppe) wird verwendet, um die Umleitung von umleitungslosen Statusgeräten zu identifizieren.

    Network Device GroupsNetzwerk-Gerätegruppen

    Netzwerkgerät

    1. Das Netzwerkgerät sollte für die RADIUS-Authentifizierung, -Autorisierung und -Abrechnung konfiguriert werden. Die Konfigurationsschritte finden Sie in der Dokumentation des jeweiligen Anbieters. Konfigurieren Sie die Liste der RADIUS-Server entsprechend der entsprechenden Liste Call Home (Call Home).
    2. Navigieren Sie auf der ISE zu Administration > Network Resources > Network Devices, und klicken Sie auf Add. Konfigurieren Sie die Netzwerk-Gerätegruppen entsprechend dem Design, und aktivieren Sie die RADIUS-Authentifizierungseinstellungen, um den gemeinsamen geheimen Schlüssel zu konfigurieren.

    Network Device configurationKonfiguration von Netzwerkgeräten

    Client-Bereitstellung

    Es gibt zwei Möglichkeiten, den Client mit der richtigen Software und dem richtigen Profil auszustatten, um den Status in einer Umgebung ohne Umleitung auszuführen:

    1. Manuelle Bereitstellung (Pre-Deployment)
    2. Client-Bereitstellungsportal (Webbereitstellung)

    Manuelle Bereitstellung (Pre-Deployment)

    • Laden Sie Cisco Secure Client Profile Editor von Cisco Software Download herunter, und installieren Sie es.Profile Editor packageProfil-Editor-Paket
    • Öffnen Sie den ISE-Statusprofil-Editor:
      • Vergewissern Sie sich, dass Status-Nichtweiterleitungsfluss aktivieren aktiviert ist.
      • Konfigurieren Sie die Servernamen-Regeln getrennt durch Kommas. Verwenden Sie ein einzelnes Sternchen (*), um die Verbindung mit einem beliebigen PSN zuzulassen, Platzhalterwerte, um die Verbindung mit einem beliebigen PSN in einer bestimmten Domäne zuzulassen, oder die PSN-FQDNs, um die Verbindung auf bestimmte PSNs zu beschränken.
      • Konfigurieren Sie die Call Home List (Liste der Anrufer nach Hause), um die kommagetrennte Liste der PSNs anzugeben. Stellen Sie sicher, dass Sie den Port des Client Provisioning Portals im Format FQDN:port oder IP:port hinzufügen.
        Posture profile configuraiton with Profile EditorStatusprofilkonfiguration mit dem Profil-Editor

        Hinweis: In Schritt 4 des Abschnitts für die Client-Bereitstellungsrichtlinie finden Sie Anweisungen zum Überprüfen des Ports im Client-Bereitstellungsportal, falls erforderlich.

    • Wiederholen Sie Schritt 2 für jede verwendete Call Home-Liste.
    • Laden Sie das Cisco Secure Client-Paket vor der Bereitstellung von Cisco Software Download herunter.
      Cisco Secure Client pre-deploy packageCisco Secure Client-Paket vor der Bereitstellung
    • Speichern Sie das Profil als ISEPostureCFG.xml.
    • Verteilen Sie die Profil- und Installationsdateien in einer Archivdatei, oder kopieren Sie die Dateien auf die Clients.

      Warnung: Stellen Sie sicher, dass sich die gleichen Cisco Secure Client-Dateien auch auf den Headends befinden, mit denen Sie eine Verbindung herstellen möchten: Secure Firewall ASA, ISE usw. Selbst bei Verwendung der manuellen Bereitstellung muss die ISE für die Client-Bereitstellung mit der entsprechenden Softwareversion konfiguriert werden. Detaillierte Anweisungen finden Sie im Abschnitt Konfiguration der Client-Bereitstellungsrichtlinie.

    • Öffnen Sie auf dem Client die ZIP-Datei, und führen Sie Setup aus, um die Core- und ISE Posture-Module zu installieren. Alternativ können die einzelnen msi-Dateien verwendet werden, um jedes Modul zu installieren. In diesem Fall müssen Sie sicherstellen, dass das Core-VPN-Modul zuerst installiert wird.

      Cisco Secure Client pre-deploy package contentsPaketinhalt vor der Bereitstellung mit Cisco Secure Client


      Cisco Secure Client installerCisco Secure Client-Installationsprogramm

      Tipp: Installieren Sie das Diagnose- und Reporting-Tool, das zur Fehlerbehebung verwendet werden soll. 

    • Kopieren Sie nach Abschluss der Installation die Statusprofil-XML an die folgenden Speicherorte:
      • Windows: %ProgramData%\Cisco\Cisco Secure Client\ISE - Status
      • macOS: /opt/cisco/secureclient/iseposture/ 

    Client-Bereitstellungsportal (Webbereitstellung)

    Das ISE Client Provisioning Portal kann zur Installation des Cisco Secure Client ISE Posture-Moduls und des Statusprofils von der ISE verwendet werden. Es kann auch verwendet werden, um das Statusprofil alleine zu übertragen, wenn das ISE Posture-Modul bereits auf dem Client installiert ist.

      1. Navigieren Sie zu Work Centers > Posture > Client Provisioning > Client Provisioning Portal, um die Portalkonfiguration zu öffnen. Erweitern Sie den Abschnitt Portal Settings, und suchen Sie das Feld Authentication method (Authentifizierungsmethode), wählen Sie die Identity Source Sequence aus, die für die Authentifizierung im Portal verwendet werden soll.
      2. Konfigurieren Sie interne und externe Identitätsgruppen, die zur Verwendung des Client-Bereitstellungsportals autorisiert sind.
        Authentication method and authorized groups in portal settingsAuthentifizierungsmethode und autorisierte Gruppen in Portaleinstellungen
      3. Konfigurieren Sie im Feld Fully qualified Domain Name (FQDN) die URL, die von den Clients für den Zugriff auf das Portal verwendet wird. Um mehrere FQDNs zu konfigurieren, geben Sie die durch Kommas getrennten Werte ein.
        dianaro_7-1679511063143
      4. Konfigurieren Sie den bzw. die DNS-Server, um die Portal-URL in die PSNs der entsprechenden Call Home List aufzulösen.
      5. Stellen Sie den Endbenutzern den FQDN für den Zugriff auf das Portal zur Installation der ISE Posture-Software bereit.

    Hinweis: Um den Portal-FQDN nutzen zu können, müssen die Clients sowohl die PSN-Admin-Zertifikatkette als auch die Portal-Zertifikatkette im vertrauenswürdigen Speicher installiert haben, und das Admin-Zertifikat muss den Portal-FQDN im SAN-Feld enthalten.

    Client-Bereitstellungsrichtlinie

    Die Client-Bereitstellung muss auf der ISE konfiguriert werden, und zwar unabhängig von der Art der Bereitstellung (Pre-Deployment oder Web Deployment), mit der Cisco Secure Client auf den Endpunkten installiert wird.

    1. Laden Sie das Cisco Secure Client Webdeploy-Paket von Cisco Software Download herunter.Cisco Secure Client webdeploy packageCisco Secure Client WebDeployment-Paket
    2. Laden Sie das neueste webdeploy-Paket von Cisco Software Download herunter.
      ISE Compliance Module webdeploy packageISE Compliance Module webdeploy-Paket
    3. Navigieren Sie auf der ISE zu Work Centers > Posture > Client Provisioning > Resources und klicken Sie auf Add > Agent resources from local disk (Hinzufügen > Agent-Ressourcen von der lokalen Festplatte). Wählen Sie Cisco Provided Packages aus dem Dropdown-Menü Kategorie aus, und laden Sie das zuvor heruntergeladene Cisco Secure Client WebDeployment-Paket hoch. Wiederholen Sie den gleichen Vorgang, um das Compliance-Modul hochzuladen.Upload Cisco Provided Packages to ISEVon Cisco bereitgestellte Pakete auf die ISE hochladen
    4. Klicken Sie auf der Registerkarte "Ressourcen" auf Hinzufügen > AnyConnect Posture Profile. Im Profil:
      • Konfigurieren Sie einen Namen, mit dem das Profil in der ISE identifiziert werden kann.
      • Konfigurieren Sie die Servernamen-Regeln getrennt durch Kommas. Verwenden Sie ein einzelnes Sternchen (*), um die Verbindung mit einem beliebigen PSN zuzulassen, Platzhalterwerte, um die Verbindung mit einem beliebigen PSN in einer bestimmten Domäne zuzulassen, oder die PSN-FQDNs, um die Verbindung auf bestimmte PSNs zu beschränken.
      • Konfigurieren Sie die Call Home List (Liste der Anrufer nach Hause), um die kommagetrennte Liste der PSNs anzugeben. Stellen Sie sicher, dass Sie den Port des Client Provisioning Portals im Format FQDN:port oder IP:port hinzufügen.ISE Posture profile configuration IISE-Statusprofil-Konfiguration I
        ISE Posture Profile configuration IIISE-Statusprofil-Konfiguration II


      Um den Port zu finden, der in der Call Home-Liste verwendet werden soll, navigieren Sie zu Work Centers > Posture > Client Provisioning > Client Provisioning Portal, wählen Sie das verwendete Portal aus, und erweitern Sie Portal Settings (Porteinstellungen).

      Client Provisioning Portal portPort des Client-Bereitstellungsportals

    5. Klicken Sie auf der Registerkarte "Ressourcen" auf Hinzufügen > AnyConnect-Konfiguration. Wählen Sie das Cisco Secure Client-Paket und das Kompatibilitätsmodul aus, die verwendet werden sollen.

      Warnung: Wenn Cisco Secure Client bereits auf den Clients bereitgestellt wurde, stellen Sie sicher, dass die ISE-Version mit der Version auf den Endgeräten übereinstimmt. Wenn ASA oder FTD für die Web-Bereitstellung verwendet wird, sollte auch die Version auf diesem Gerät übereinstimmen.

    6. Blättern Sie nach unten zum Abschnitt Statusauswahl, und wählen Sie das Profil aus, das in Schritt 1 erstellt wurde. Klicken Sie unten auf der Seite auf Senden, um die Konfiguration zu speichern.AnyConnect ConfigurationAnyConnect-Konfiguration
      Profile selectionProfilauswahl
    7. Navigieren Sie zu Work Centers > Posture > Client Provisioning > Client provisioning policy. Suchen Sie die Richtlinie, die für das erforderliche Betriebssystem verwendet wird, und klicken Sie auf Bearbeiten. Klicken Sie in der Spalte Ergebnisse auf +, und wählen Sie im Abschnitt Agentenkonfiguration aus Schritt 5 die AnyConnect-Konfiguration aus.

      Hinweis: Verwenden Sie bei mehreren Call Home-Listen das Feld Andere Bedingungen, um das richtige Profil an die entsprechenden Clients weiterzuleiten. In diesem Beispiel wird die Device Location Group verwendet, um das Statusprofil zu identifizieren, das in die Richtlinie eingefügt wird.

      Tipp: Wenn mehrere Client-Bereitstellungsrichtlinien für dasselbe Betriebssystem konfiguriert sind, wird empfohlen, sie sich gegenseitig auszuschließen, d. h., ein Client sollte jeweils nur eine Richtlinie erreichen können. RADIUS-Attribute können in der Spalte Other Conditions (Andere Bedingungen) verwendet werden, um eine Richtlinie von einer anderen zu unterscheiden.


      Client Provisioning Policy Agent ConfigurationKonfiguration des Client-Bereitstellungsrichtlinien-AgentsClient Provisioning PolicyClient-Bereitstellungsrichtlinie
    8. Wiederholen Sie die Schritte 4 bis 7 für jede verwendete Call Home-Liste und das entsprechende Statusprofil. In Hybrid-Umgebungen können die gleichen Profile für Umleitungs-Clients verwendet werden.

    Autorisierung

    Autorisierungsprofil

    1. Navigieren Sie zu Richtlinie > Richtlinienelemente > Ergebnisse > Autorisierung > Herunterladbare ACLs, und klicken Sie auf Hinzufügen.
    2. Erstellen Sie eine DACL, um den Datenverkehr zu DNS, DHCP (falls verwendet), ISE-PSNs zuzulassen und anderen Datenverkehr zu blockieren. Stellen Sie sicher, dass Sie allen anderen Datenverkehr zulassen, der für den Zugriff erforderlich ist, bevor Sie den endgültigen konformen Zugriff zulassen.

      DACL configurationDACL-Konfiguration

      permit udp any any eq domain
permit udp any any eq bootps
permit ip any host 
      
      
        permit ip any host 
       
         deny ip any any

      Achtung: Einige Geräte von Drittanbietern unterstützen möglicherweise keine DACLs. In diesem Fall müssen Sie eine Filter-ID oder andere anbieterspezifische Attribute verwenden. Weitere Informationen finden Sie in der Herstellerdokumentation. Wenn keine DACLs verwendet werden, müssen Sie die entsprechende ACL im Netzwerkgerät konfigurieren.

    3. Navigieren Sie zu Richtlinie > Richtlinienelemente > Ergebnisse > Autorisierung > Autorisierungsprofile, und klicken Sie auf Hinzufügen. Geben Sie dem Autorisierungsprofil einen Namen, und wählen Sie DACL-Namen aus Allgemeine Aufgaben aus. Wählen Sie aus dem Dropdown-Menü die in Schritt 2 erstellte DACL aus.Authorization profileAutorisierungsprofil

      Hinweis: Wenn keine DACLs verwendet werden, verwenden Sie Filter-ID aus Common Tasks oder den erweiterten Attributeinstellungen, um den entsprechenden ACL-Namen zu übertragen.

    4. Wiederholen Sie die Schritte 1 bis 3 für jede verwendete Call Home-Liste. In Hybrid-Umgebungen ist nur ein einziges Autorisierungsprofil für die Umleitung erforderlich. Die Konfiguration des Autorisierungsprofils für die Umleitung wird in diesem Dokument nicht behandelt.

    Autorisierungsrichtlinie

    1. Navigieren Sie zu Policy > Policy Sets, und öffnen Sie den verwendeten Policy Set, oder erstellen Sie einen neuen.
    2. Blättern Sie nach unten zum Abschnitt Autorisierungsrichtlinie. Erstellen Sie eine Autorisierungsrichtlinie mit Session PostureStatus NOT_EQUALS Compliant, und wählen Sie das im vorherigen Abschnitt erstellte Autorisierungsprofil aus.
      Authorization policiesAutorisierungsrichtlinien
    3. Wiederholen Sie Schritt 2 für jedes Autorisierungsprofil mit der entsprechenden verwendeten Call Home-Liste. In Hybrid-Umgebungen ist nur eine einzige Autorisierungsrichtlinie für die Umleitung erforderlich.

    Fehlerbehebung

    Konformität mit Cisco Secure Client und Status nicht zutreffend (ausstehend) auf ISE

    Veraltete/Phantom-Sitzungen

    Das Vorhandensein veralteter oder Phantom-Sitzungen in der Bereitstellung kann intermittierende und scheinbar zufällige Fehler mit umleitungsloser Statuserkennung verursachen, die dazu führen, dass Benutzer in einem unbekannten/nicht anwendbaren Status auf der ISE feststecken, während die Benutzeroberfläche des Cisco Secure Client einen konformen Zugriff aufweist.

    Veraltete Sitzungen sind alte Sitzungen, die nicht mehr aktiv sind. Sie werden durch eine Authentifizierungsanforderung und einen Accounting-Start erstellt, aber auf dem PSN wird kein Accounting-Stopp empfangen, um die Sitzung zu löschen.

    Phantom-Sitzungen sind Sitzungen, die in einem bestimmten PSN nie aktiv waren. Sie werden durch ein Accounting-Interim-Update erstellt, es wird jedoch kein Accounting-Stopp auf dem PSN empfangen, um die Sitzung zu löschen.

    Identifizieren

    Um ein veraltetes/Phantom-Sitzungsproblem zu identifizieren, überprüfen Sie das beim Systemscan auf dem Client verwendete PSN, und vergleichen Sie es mit dem PSN, der die Authentifizierung durchführt:

    1. Klicken Sie in der Benutzeroberfläche von Cisco Secure Client auf das Zahnrad-Symbol in der linken unteren Ecke. Öffnen Sie im linken Menü den Abschnitt ISE-Status, und navigieren Sie zur Registerkarte Statistik. Notieren Sie sich den Policy Server unter Verbindungsinformationen.
      Policy Server for ISE Posture in Cisco Secure ClientPolicy Server für ISE-Status im Cisco Secure Client
    2. In ISE-RADIUS-Live-Protokollen werden folgende Punkte berücksichtigt:
      • Statusänderung
      • Änderung im Server
      • Keine Änderung bei Autorisierungsrichtlinie und Autorisierungsprofil
      • Kein CoA-Live-Protokoll
      Live logs for stale/phantom sessionLive-Protokolle für veraltete/Phantom-Sitzungen
    3. Öffnen Sie die Live-Sitzung oder die letzten Details des Authentifizierungs-Live-Protokolls. Beachten Sie, dass der Policy Server, wenn er sich von dem in Schritt 1 beobachteten Server unterscheidet, auf ein Problem mit veralteten/Phantom-Sitzungen hinweist.
      Policy server in live log detailsRichtlinienserver in Live-Protokolldetails

    Lösung

    Die ISE-Versionen oberhalb von ISE 2.6 Patch 6 und 2.7 Patch 3 implementieren RADIUS Session Directory als Lösung für veraltete/Phantom-Sitzungen im umleitungslosen Statusfluss.

    1. Navigieren Sie zu Administration > System > Settings > Light Data Distribution, und stellen Sie sicher, dass das Kontrollkästchen Enable RADIUS Session Directory (RADIUS-Sitzungsverzeichnis aktivieren) aktiviert ist.
      Enable RADIUS Session DirectoryRADIUS-Sitzungsverzeichnis aktivieren

    2. Überprüfen Sie über die ISE CLI, ob ISE Messaging Service auf allen PSNs ausgeführt wird, indem Sie den Befehl Anwendungsstatus anzeigen ise.
      ISE Messaging Service runningISE Messaging Service wird ausgeführt

      Hinweis: Dieser Service bezieht sich auf die Kommunikationsmethode, die für RSD zwischen PSNs verwendet wird und unabhängig vom Status der ISE Messaging Service-Einstellung für Syslog ausgeführt werden sollte, die über die ISE-Benutzeroberfläche festgelegt werden kann.

    3. Navigieren Sie zum ISE Dashboard, und suchen Sie das Alarms-Dashlet. Überprüfen Sie, ob Warnungen zu Warteschlangenverbindungsfehlern vorliegen. Klicken Sie auf den Namen des Alarms, um weitere Details anzuzeigen.
      Queue Link Error alarmsWarnungen zu Verbindungsfehlern in Warteschlange
    4. Überprüfen Sie, ob zwischen den für den Status verwendeten PSNs Alarme generiert werden.
      Queue Link Error alarm detailsAlarmdetails für Warteschlangenverbindungsfehler
    5. Bewegen Sie den Mauszeiger über die Beschreibung der Erinnerung, um alle Details anzuzeigen und das Feld Ursache zu notieren. Die zwei häufigsten Ursachen für Warteschlangenverbindungsfehler sind: 
      • Timeout: gibt an, dass die Anforderungen, die von einem Knoten an einen anderen Knoten auf Port 8671 gesendet werden, nicht innerhalb des Grenzwerts beantwortet werden. Überprüfen Sie, ob der TCP-Port 8671 zwischen den Knoten zulässig ist, um die Ursache zu beheben.
      • Unbekannte Zertifizierungsstelle: gibt an, dass die Zertifikatskette, die das ISE-Messaging-Zertifikat signiert, ungültig oder unvollständig ist. So beheben Sie diesen Fehler:
        1. Navigieren Sie zu Administration > System > Certificates > Certificate Signing Requests.
        2. Klicken Sie auf CSR (Certificate Signing Requests) generieren.
        3. Wählen Sie im Dropdown-Menü die Option ISE Root CA aus, und klicken Sie auf Replace ISE Root CA Certificate chain.
          Wenn die ISE-Stammzertifizierungsstelle nicht verfügbar ist, navigieren Sie zu Zertifizierungsstelle > Interne Zertifizierungsstelleneinstellungen, und klicken Sie auf Zertifizierungsstelle aktivieren, kehren Sie zum CSR zurück, und generieren Sie die Stammzertifizierungsstelle neu.
        4. Erstellen Sie einen neuen CSR, und wählen Sie ISE Messaging Service aus dem Dropdown-Menü aus.
        5. Wählen Sie alle Knoten aus der Bereitstellung aus, und generieren Sie das Zertifikat neu.

      Hinweis: Es wird erwartet, dass während der Neugenerierung der Zertifikate Warnungen aufgrund von Warteschlangenverbindungsfehlern mit der Ursache Unbekannte Zertifizierungsstelle oder Nicht verweigert beobachtet werden. Überwachen Sie die Warnungen nach der Zertifikatgenerierung, um zu bestätigen, dass das Problem behoben wurde.

    Leistung

    Identifizieren

    Leistungsprobleme wie eine hohe CPU-Auslastung und ein hoher Lastdurchschnitt im Zusammenhang mit einem umleitungslosen Status können sich auf PSN- und MnT-Knoten auswirken und werden häufig von den folgenden Ereignissen begleitet oder ihnen vorangehen:

    • Zufällig oder zeitweilig Kein Policy Server im Cisco Secure Client erkannt
    • Der maximale Ressourcengrenzwert hat Berichte für den Threadpool des Portaldiensts erreicht, die Schwellenwertereignisse erreicht haben. Navigieren Sie zu Vorgänge > Berichte > Berichte > Audit > Operations Audit (Betriebsprüfung), um die Berichte anzuzeigen.
    • Statusabfrage nach MNT-Suche enthält hohe Alarme. Diese Alarme werden nur für ISE 3.1 und höher generiert.


    Lösung

    Wenn die Leistung der Bereitstellung durch einen umleitungslosen Status beeinträchtigt wird, ist dies häufig ein Hinweis auf eine ineffektive Implementierung. Es wird empfohlen, die folgenden Aspekte zu überarbeiten:

    • Anzahl der pro Call Home-Liste verwendeten PSNs Erwägen Sie, die Anzahl der PSNs, die je nach Design für den Status pro Endgerät oder Netzwerkgerät verwendet werden können, zu reduzieren.
    • Port des Clientbereitstellungsportals in der Liste der Call Home-Geräte. Vergewissern Sie sich, dass die Portalportnummer hinter der IP- oder FQDN-Nummer jedes Knotens steht.


    So reduzieren Sie die Auswirkungen:

    1. Löschen Sie "connectiondata.xml" aus den Endpunkten, indem Sie die Datei aus dem Ordner "Cisco Secure Client" entfernen und den ISE Posture-Dienst oder Cisco Secure Client neu starten. Wenn die Dienste nicht neu gestartet werden, wird die alte Datei neu generiert, und die Änderungen werden nicht übernommen. Diese Aktion sollte auch nach der Überarbeitung und Änderung der Call Home-Listen durchgeführt werden.
    2. Verwenden Sie DACLs oder andere ACLs, um Datenverkehr zu ISE-PSNs für Netzwerkverbindungen zu blockieren, wenn dies nicht relevant ist:
      • Für Verbindungen, bei denen der Status in den Autorisierungsrichtlinien nicht erzwungen wird, die aber für Endpunkte mit installiertem Cisco Secure Client ISE Posture-Modul gelten, blockieren Sie den Datenverkehr von den Clients zu allen ISE-PSNs für die TCP-Ports 8905 und den Client Provisioning Portal-Port. Diese Aktion wird auch für den Status mit Umleitungsimplementierung empfohlen.
      • Bei Verbindungen, bei denen der Status in den Autorisierungsrichtlinien erzwungen wird, Datenverkehr von den Clients zum authentifizierenden PSN zulassen und Datenverkehr zu anderen PSNs in der Bereitstellung blockieren. Diese Aktion kann vorübergehend ausgeführt werden, während das Design überarbeitet wird.
        Authorization profile with DACL for single PSNAutorisierungsprofil mit DACL für ein PSN
        Authorization policies per PSNAutorisierungsrichtlinien pro PSN

    Buchhaltung

    RADIUS-Accounting ist für das Sitzungsmanagement auf der ISE unverzichtbar. Da der Status von einer aktiven Sitzung abhängt, kann sich eine falsche oder fehlende Accounting-Konfiguration auch auf die Statuserkennung und die ISE-Leistung auswirken. Es ist wichtig zu überprüfen, ob die Abrechnung auf dem Netzwerkgerät korrekt konfiguriert ist, um Authentifizierungsanforderungen, Abrechnungsstart, Abrechnungsstopp und Abrechnungsaktualisierungen für jede Sitzung an einen einzigen PSN zu senden.

    Um die auf der ISE empfangenen Abrechnungspakete zu überprüfen, navigieren Sie zu Operations > Reports > Reports > Endpoints and Users > RADIUS Accounting.

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    24-Jul-2023
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Diana Rodriguez Zaragoza
      Technical Consulting Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren