El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe el uso y la configuración del flujo de estado sin redirección y las sugerencias para la resolución de problemas.
Cisco recomienda que tenga conocimiento sobre estos temas:
Para una mejor comprensión de los conceptos descritos más adelante, se recomienda pasar por:
Comparación de versiones anteriores de ISE con el flujo de estado de ISE en ISE 2.2
Gestión y estado de sesiones de ISE
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
El flujo de estado de ISE consta de los siguientes pasos:
0. Autenticación/Autorización. Generalmente se realiza justo antes de que se inicie el flujo de postura, pero se puede omitir para ciertos casos prácticos como la reevaluación de postura (PRA). Como la autenticación en sí no activa el descubrimiento de la postura, esto no se considera esencial para cada flujo de postura.
Este documento se centra en el proceso de detección del flujo de estado de ISE.
Cisco recomienda utilizar la redirección para el proceso de detección; sin embargo, hay algunos casos en los que no es posible implementar la redirección, como el uso de dispositivos de red de terceros en los que no se admite la redirección. Este documento tiene como objetivo proporcionar una guía general y mejores prácticas para implementar y resolver problemas de postura sin redireccionamiento en tales entornos.
La descripción completa del flujo sin redirección se describe en Comparar versiones anteriores de ISE con el flujo de posición de ISE en ISE 2.2.
Existen dos tipos de sondeos de detección de estado que no utilizan la redirección:
Connectiondata.xml es un archivo creado y mantenido automáticamente por Cisco Secure Client. Consta de una lista de PSN a los que el cliente se ha conectado previamente correctamente para el estado; por lo tanto, se trata solo de un archivo local y su contenido no es persistente en todos los terminales.
El objetivo principal de connectiondata.xml es funcionar como mecanismo de copia de seguridad para los sondeos de detección de las fases 1 y 2. En caso de que los sondeos de redirección o lista de inicio de llamada no puedan encontrar un PSN con una sesión activa, Cisco Secure Client envía una solicitud directa a cada uno de los servidores enumerados en connectiondata.xml.
Un problema común causado por el uso de sondeos de connectiondata.xml es una sobrecarga de la implementación de ISE debido al gran número de solicitudes HTTPS enviadas por los terminales. Es importante tener en cuenta que, si bien connectiondata.xml es eficaz como mecanismo de copia de seguridad para evitar interrupciones completas de los mecanismos de estado tanto de redirección como de redirección, no es una solución sostenible para un entorno de estado; por lo tanto, es necesario diagnosticar y resolver los problemas de diseño y configuración que causan la falla de las sondas de detección principales y que dan lugar a problemas de detección.
La lista de inicio de llamadas es una sección del perfil de estado en la que se especifica una lista de PSN que se utilizarán para el estado. A diferencia de connectiondata.xml, lo crea y mantiene un administrador de ISE y es posible que requiera una fase de diseño para lograr una configuración óptima. La lista de PSN de la lista de inicio de llamada debe coincidir con la lista de servidores de autenticación y cuentas configurada en el dispositivo de red o el equilibrador de carga para RADIUS.
Los sondeos de la lista de inicio de llamadas permiten el uso de una búsqueda de MnT durante la búsqueda de sesión activa en caso de que se produzca un error de búsqueda local en un PSN. La misma funcionalidad se extiende a los sondeos connection.data.xml sólo cuando se utilizan durante la detección de la etapa 2. Por este motivo, todos los sondeos de la etapa 2 también se denominan sondeos de nueva generación.
Dado que un proceso de detección sin redirección suele conllevar un flujo más complejo y una mayor cantidad de procesamiento en PSN y MnT en comparación con un flujo de redirección, existen dos retos comunes que pueden surgir durante la implementación:
Para hacer frente a estos retos, se recomienda diseñar la lista de inicio de llamadas para limitar el número de PSN que un terminal determinado puede utilizar para el estado. En el caso de implementaciones medianas y grandes, es necesario distribuir la implementación para crear varias listas de inicio de llamadas con un número reducido de PSN. Por consiguiente, la lista de PSN que se utilizan para la autenticación RADIUS de un dispositivo de red determinado debe limitarse del mismo modo para que coincida con la lista de inicio de llamadas correspondiente.
Al desarrollar la estrategia de distribución de PSN para determinar el número máximo de PSN en cada lista de inicio de llamadas, se pueden tener en cuenta los siguientes aspectos:
Sugerencia: utilice Grupos de dispositivos de red para clasificar los dispositivos de red según el diseño.
Los grupos de dispositivos de red se pueden utilizar para identificar y hacer coincidir los dispositivos de red con su correspondiente lista de servidores RADIUS y lista de inicio de llamada. En el caso de los entornos híbridos, también se pueden utilizar para identificar los dispositivos que admiten la redirección de los que no.
Si la estrategia de distribución desarrollada durante la fase de diseño depende de los grupos de dispositivos de red, siga los siguientes pasos para configurarlos en ISE:
En los ejemplos utilizados en esta guía, el grupo de dispositivos de ubicación se utiliza para identificar la lista de servidores RADIUS y la lista de inicio de llamada, y un grupo de dispositivos de postura personalizado se utiliza para identificar la redirección desde dispositivos de postura sin redirección.
Hay dos formas de proporcionar al cliente el software y el perfil adecuados para realizar el estado en un entorno sin redirección:
Nota: Consulte el paso 4 de la sección Política de aprovisionamiento de clientes para obtener instrucciones sobre cómo verificar el puerto del portal de aprovisionamiento de clientes si es necesario.
Advertencia: Asegúrese de que los mismos archivos de Cisco Secure Client también se encuentran en las cabeceras a las que tiene pensado conectarse: Secure Firewall ASA, ISE, etc. Incluso cuando se utiliza el aprovisionamiento manual, ISE se debe configurar para el aprovisionamiento de clientes con la versión de software correspondiente. Consulte la sección Configuración de políticas de aprovisionamiento de clientes para obtener instrucciones detalladas.
Sugerencia: instale la herramienta de diagnóstico e informes que se utilizará para solucionar problemas.
El portal de aprovisionamiento de clientes de ISE se puede utilizar para instalar el módulo de estado de ISE de Cisco Secure Client y el perfil de estado de ISE. También se puede utilizar para insertar el perfil de estado solo si el módulo de estado de ISE ya está instalado en el cliente.
Nota: para utilizar el FQDN del portal, los clientes deben tener la cadena de certificados de administración de PSN, así como la cadena de certificados del portal instalada en el almacén de confianza, y el certificado de administración debe contener el FQDN del portal en el campo SAN.
El aprovisionamiento de clientes se debe configurar en ISE independientemente del tipo de aprovisionamiento (preimplementación o implementación web) que se utilice para instalar Cisco Secure Client en los terminales.
Para buscar el puerto que se debe utilizar en la lista de inicio de llamada, navegue hasta Centros de trabajo > Estado > Aprovisionamiento del cliente > Portal de aprovisionamiento del cliente, seleccione el portal en uso y expanda Configuración del portal.
Advertencia: si Cisco Secure Client se ha implementado previamente en los clientes, asegúrese de que la versión de ISE coincida con la versión de los terminales. Si se utiliza ASA o FTD para la implementación web, la versión de este dispositivo también debe coincidir.
Nota: en el caso de varias listas de inicio de llamada, utilice el campo Otras condiciones para enviar el perfil correcto a los clientes correspondientes. En el ejemplo, Grupo de ubicación de dispositivos se utiliza para identificar el perfil de estado que se introduce en la política.
Sugerencia: Si se configuran varias políticas de aprovisionamiento de clientes para el mismo sistema operativo, se recomienda hacerlas mutuamente excluyentes, es decir, un cliente determinado solo debería poder acceder a una política a la vez. Los atributos RADIUS se pueden utilizar en la columna Otras condiciones para diferenciar una política de otra.
permit udp any any eq domain
permit udp any any eq bootps
permit ip any host
permit ip any host
deny ip any any
Precaución: es posible que algunos dispositivos de terceros no admitan DACL; en estos casos, es necesario utilizar un ID de filtro u otros atributos específicos del proveedor. Consulte la documentación del proveedor para obtener más información. Si no se utilizan DACL, asegúrese de configurar la ACL correspondiente en el dispositivo de red.
Nota: Si no se utilizan DACL, utilice Filter-ID de Tareas comunes o Advanced Attribute Settings para insertar el nombre de ACL correspondiente.
La presencia de sesiones obsoletas o fantasma en la implementación puede generar fallos intermitentes y aparentemente aleatorios con detección de estado sin redirección, lo que da lugar a que los usuarios se queden atascados en una postura de acceso desconocido/no aplicable en ISE, mientras que la interfaz de usuario de Cisco Secure Client muestra acceso conforme.
Las sesiones obsoletas son sesiones antiguas que ya no están activas. Se crean mediante una solicitud de autenticación y un inicio de contabilización, pero no se recibe ninguna detención de contabilización en PSN para borrar la sesión.
Las sesiones fantasma son sesiones que nunca estuvieron realmente activas en un PSN en particular. Se crean mediante una actualización intermedia de contabilidad, pero no se recibe ninguna detención de contabilidad en PSN para borrar la sesión.
Para identificar un problema de sesión obsoleta/fantasma, verifique el PSN utilizado en el análisis del sistema en el cliente y compárelo con el PSN que realiza la autenticación:
Las versiones de ISE que están por encima del parche 6 de ISE 2.6 y el parche 3 de ISE 2.7 implementan RADIUS Session Directory como solución para el escenario de sesión fantasma/obsoleta en el flujo de estado sin redirección.
Nota: este servicio hace referencia al método de comunicación que se utiliza para RSD entre PSN y que debe ejecutarse independientemente del estado de la configuración del servicio de mensajería ISE para syslog que se puede establecer desde la interfaz de usuario de ISE.
Nota: se espera que observe las alarmas de error de link de cola con la causa Unknown CA o Econndenied mientras se regeneran los certificados, monitoree las alarmas después de la generación del certificado para confirmar que el problema se ha resuelto.
Los problemas de rendimiento, como la alta utilización de la CPU y el alto promedio de carga relacionados con el estado sin redirección, pueden afectar a los nodos de PSN y MnT, y a menudo van acompañados o precedidos de los siguientes eventos:
Si el rendimiento del despliegue se ve afectado por una postura sin redirección, esto suele ser indicativo de una implementación ineficaz. Se recomienda revisar los siguientes aspectos:
Para mitigar el impacto:
La contabilidad RADIUS es esencial para la gestión de sesiones en ISE. Dado que el estado se basa en una sesión activa que se va a realizar, una configuración incorrecta o inexistente de la contabilidad también puede afectar a la detección del estado y al rendimiento de ISE. Es importante verificar que la contabilización esté configurada correctamente en el dispositivo de red para enviar solicitudes de autenticación, inicio de contabilización, detención de contabilización y actualizaciones de contabilización a un único PSN para cada sesión.
Para verificar los paquetes de contabilización recibidos en ISE, navegue hasta Operaciones > Informes > Informes > Terminales y Usuarios > Contabilización RADIUS.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
24-Jul-2023 |
Versión inicial |