Statussynchronisatie van houding configureren en problemen oplossen

Downloadopties

PDF (1.2 MB)
Met Adobe Reader op diverse apparaten bekijken
ePub (1.1 MB)
Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
Mobi (Kindle) (775.7 KB)
Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken

Bijgewerkt:18 oktober 2024

Document-id:222483

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

Inleiding

Voorwaarden

Vereisten

Gebruikte componenten

Achtergrondinformatie

Configureren

Netwerkdiagram

Configuraties

Verifiëren

Van DART-bundel

Van pakketvastlegging op de client

Van ISE

Opnieuw beginnen aan wijziging van de status van houding

Problemen oplossen

De synchronisatie van de status van de houding begint niet

Statussynchronisatie mislukt met alarmsignaal op ISE-dashboard

Controleer of dACL is geconfigureerd voor het autorisatieprofiel "conform" van de posterijen

Bekende problemen

Statussynchronisatie bij houding mislukt met alarmsignaal op ISE

Inleiding

Dit document beschrijft de configuratie en het gebruik van Posture State Synchronization die in versie Cisco Identity Service Engine (ISE) 3.1 is geïntroduceerd.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

Houdbare flow op Cisco ISE-lijnkaart
Configuratie van poortcomponenten op Cisco ISE

Er wordt verondersteld dat je een Posterure-configuratie hebt in plaats van elk type.

Om de later beschreven concepten beter te begrijpen, is het raadzaam om door te gaan:

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

Cisco ISE versie 3.1
Cisco Secure-client 5.0.00556

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

De stroom van de Houding van ISE staat gewoonlijk niet toe de status van de Houding om op de Cliënt van ISE worden bijgewerkt. Cisco Secure Client Post Module wordt gebruikt om de status van de houding van het eindpunt te evalueren en deze te bewaren tot de netwerkwijziging, de periodieke herbeoordeling of andere triggers aan de clientzijde. Als de status van de eindpuntpositie verandert op ISE als gevolg van een sessiebeëindiging of andere redenen, kan de Secure Client Posture Module niet op de hoogte zijn van die wijziging, zodat het Endpoint blijft in Posture Onbekende staat met beperkte netwerktoegang tot een van de client-side triggers gebeurt.

Dit document is gericht op een nieuwe functie - Posture Status Synchronisation, die is ontwikkeld om dit soort probleem aan te pakken en ISE in staat te stellen om feedback te geven aan de Secure Client Positie Module over de huidige Positie Status van het eindpunt.

Configureren

De poortstatus probe-poort werd geïntroduceerd op elke ISE PSN-knooppunt wanneer Posture State Synchronization is ingeschakeld - TCP 8449 standaard. Het is verondersteld bereikbaar te zijn vanaf het Endpoint als de Endpoint Positie status Onbekend of Hangend en onbereikbaar is als de Endpoint status Conform is.

Netwerkdiagram

Network diagram

Configuraties

De de functieconfiguratie van de synchronisatie van de status van de houding bestaat uit twee delen:

Configuratie van AnyConnect-standenprofiel

1.1 Navigeer in de Cisco ISE GUI naar Policy > Policy Elements > Results > Client Provisioning > Resources.

1.2 Selecteer het AnyConnect-poortprofiel dat u al gebruikt of maak een nieuw profiel.

1.3 In het gebied van het Gedrag van de Agent, vorm het Interval van de Synchronisatie van de Staat van de Positie aan om het even welke waarde tussen 1 en 300 seconden, 0 - maakt de Synchronisatie van de Staat van de Positie onbruikbaar

1.4 U kunt Posture Probing Backup List configureren - Secure Client gebruikt deze lijst om de Posture State op geselecteerde PSN’s te controleren. Als u geen PSN kiest, worden de aangesloten PSN en twee back-upservers gebruikt als back-ups voor de synchronisatie van de status.

Configuration

2. Configuratie van een downloadbare ACL (dACL) om toegang tot de Posture State Synchronisation-poort op Cisco ISE te blokkeren wanneer de status van de clientpositie conform of niet-conform is. U moet toegangscontrole toevoegen ontkent ingang met de Posture State Synchronisatiepoort voor elke PSN bovenop ACLs die voor Conforme eindpunten wordt gebruikt om toegang tot de Posture State Synchronisatiepoort te beperken als de eindpuntstatus bekend is, bijvoorbeeld:

deny tcp any host PSN1-IP-ADDRESS eq 8449
deny tcp any host PSN2-IP-ADDRESS eq 8449
permit ip any any

permissie ip elke willekeurige is niet verplicht, kunt u het vervangen met een set van regels volgens uw behoeften.

Opmerking: als invoer in dACL weigeren niet is geconfigureerd, wordt het alarm voor de detectie van de poortconfiguratie geactiveerd op het Cisco ISE-dashboard en wordt de synchronisatie van de poortstatus uitgeschakeld op het eindpunt totdat Cisco Secure Client opnieuw is gestart.

De Posture State Synchronisation-poort (Bidirectionele poort) kan worden gewijzigd op de configuratiepagina van de Client Provisioning Portal. Navigeer naar Beheer > Apparaatbeheer > Clientprovisioning > Selecteer het gewenste portaal > Poortgedrag en stroominstellingen en open portaalinstellingen. De Posture State Synchronisation-poort voor de standaard client provisioningportal kan niet worden gewijzigd.

Portals Settings and Customization

Verifiëren

Van DART-bundel

De synchronisatie van de status van de houding kan van de kant van de Cliënt worden geverifieerd door de logboeken van de Module van de Brief van Cisco Veilige Cliënt (AnyConnect_ISEPosture.txt) van bundel te bekijken DART:

1. De evaluatie van de houding is voltooid, de status van de houding is Voldoet.

2022/11/09 12:22:47 [Information] aciseagent Function: Authenticator::sendUIStatus Thread Id: 0xC60 File: authenticator.cpp Line: 1905 Level: debug  MSG_SU_STEP_STATUS, {Status:4,Compliant:2,RemStatus:2,Phase:0,StepNumber:-1,Progress:-1,Attention:1,Cancellable:0,Restartable:0,ErrorMessage:0,Description1:"Compliant.",Description2:"Network access allowed."}.

2. De controle van de synchronisatie van de houding is gestart.

2022/11/09 12:22:47 [Information] aciseagent Function: PeriodicProbe::ProcessMessage Thread Id: 0xC60 File: periodic_probe.cpp Line: 143 Level: info  Session Sync Periodic Probing start. 
2022/11/09 12:22:47 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 335 Level: info  Session sync periodic probing thread start.

3. Er wordt een HTTPS-verbinding naar ISE-PSN op de Posture State Synchronisation-poort (8449) gestart.

2022/11/09 12:22:47 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 357 Level: debug  Sending http session sync periodic probe to [ISE-PSN-FQDN]. 
2022/11/09 12:22:47 [Information] aciseagent Function: HttpConnection::MakeRequest Thread Id: 0x296C File: httpconnection.cpp Line: 330 Level: debug  Url=https://ISE-PSN-FQDN:8449/auth/StateSynch.

4. Time-out voor statussynchronisatie van post.

2022/11/09 12:22:54 [Information] aciseagent Function: hs_transport_winhttp_post Thread Id: 0x296C File: hs_transport_winhttp.c Line: 5815 Level: debug  unable to send request: 12002. 
2022/11/09 12:22:54 [Information] aciseagent Function: hs_transport_post Thread Id: 0x296C File: hs_transport.c Line: 1425 Level: trace  posting data failed. 
2022/11/09 12:22:54 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 394 Level: debug  HTTP Probe failed/timed-out, Retrying...

Van pakketvastlegging op de client

Packet-opname op de client toont SYN-pakketten die naar de ISE-PSN-knooppunt worden verzonden op de Posture State Synchronisation-poort (8449) zonder SYN-ACK-respons van ISE-PSN:

From Packet Capture on the Client

Van ISE

De correcte configuratie van de Synchronisatie van de Status van de Houding kan niet van de kant van ISE worden geverifieerd aangezien de verbinding op de haven van de Synchronisatie van de Staat van de Houding (8449) verondersteld wordt te ontbreken.

Opnieuw beginnen aan wijziging van de status van houding

1) Er is informatie over de sessiestatus ontvangen van ISE met posterstatus "onbekend", terwijl Cisco Secure Client zich in de status "conform" bevindt.

2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 430 Level: debug  --- Http Response Headers ---. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  HTTP-Version: 1.1. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Status-Code: 200. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Connection: keep-alive. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Date: Wed, 09 Nov 2022 11:26:24 GMT. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Keep-Alive: timeout=20. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Content-Length: 0. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Server: server. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  X-Frame-Options: SAMEORIGIN. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Strict-Transport-Security: max-age=31536000; includeSubDomains. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  X-Content-Type-Options: nosniff. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; img-src 'self' http://www.cisco.com/ data:;. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  X-XSS-Protection: 1; mode=block. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Accept-CH: Sec-CH-UA-Arch, Sec-CH-UA-Full-Version, Sec-CH-UA-Mobile, Sec-CH-UA-Model, Sec-CH-UA-Platform-Version, Sec-CH-UA-Platform, Sec-CH-UA. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  X-ISE-POSTURE_STATUS: Unknown. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 442 Level: debug  --------------------.

2) Cisco Secure Client erkent de statuswijziging van de houding en start de detectie van de houding opnieuw:

2022/11/09 12:26:24 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 379 Level: debug  Different Session state on ISE = [ ISE-PSN-FQDN]. Restarting discovery. 
2022/11/09 12:26:24 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 387 Level: debug  MSG_NS_SWIFT_RESTART_SEARCH, {manualRescan:0,stopPeriodicProbe:1}. 
2022/11/09 12:26:24 [Information] aciseagent Function: SwiftHttpRunner::restartDiscovery Thread Id: 0xC60 File: swifthttprunner.cpp Line: 1431 Level: debug  Restarting Discovery.

3) Cisco Secure Client stopt de synchronisatie van de posturestatus tot de posturebeoordeling wordt uitgevoerd:

2022/11/09 12:26:24 [Information] aciseagent Function: SwiftHttpRunner::processMessage Thread Id: 0xC60 File: swifthttprunner.cpp Line: 383 Level: debug  Periodic Probes requested to be stopped. 
2022/11/09 12:26:24 [Information] aciseagent Function: SwiftHttpRunner::restartDiscovery Thread Id: 0xC60 File: swifthttprunner.cpp Line: 1436 Level: debug  MSG_PN_STOP_PERIODIC_PROBE sent. 
2022/11/09 12:26:24 [Information] aciseagent Function: SwiftHttpRunner::restartDiscovery Thread Id: 0xC60 File: swifthttprunner.cpp Line: 1437 Level: debug  MSG_PN_STOP_PERIODIC_PROBE, . 
2022/11/09 12:26:24 [Information] aciseagent Function: hs_transport_free Thread Id: 0xC60 File: hs_transport.c Line: 606 Level: trace  de-initialization done. 
2022/11/09 12:26:24 [Information] aciseagent Function: PeriodicProbe::ProcessMessage Thread Id: 0xC60 File: periodic_probe.cpp Line: 210 Level: debug  MSG_PN_STOP_PERIODIC_PROBE received.. 
2022/11/09 12:26:24 [Information] aciseagent Function: PeriodicProbe::ProcessMessage Thread Id: 0xC60 File: periodic_probe.cpp Line: 224 Level: debug  Periodic Probing stopped. 
2022/11/09 12:26:24 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 411 Level: info  Session sync periodic probing thread end.

Problemen oplossen

De synchronisatie van de status van de houding begint niet

Als er geen indicatie is van het starten van de Posture Status-synchronisatie in het logbestand AnyConnect_ISEPosture.txt en de client niet probeert een verbinding tot stand te brengen met de ISE PSN-knooppunt op de Posture State Synchronisation-poort(8449), controleer dan het Posture-configuratiebestand ISEPostureCFG.xml van DART-bundel of rechtstreeks op de clientcomputer: "%ProgramData%\Cisco\Secure Client\ISE Posture\" voor een Windows-pc.

De parameter die verantwoordelijk is voor de synchronisatie van de Posturestatus is "StateSyncProbeInterval", het zou met een waarde hoger dan 0 moeten worden ingesteld:

Posture State Synchronization Does not Start

De afwezigheid van "StateSyncProbeInterval" of een waarde van "0" betekent dat de synchronisatie van de status van de houding is uitgeschakeld.

Als "Posture State Synchronisation Interval" is ingesteld in Posture Profile op ISE, maar het wordt niet weerspiegeld in een configuratiebestand op de client dan moet Posture provisioning worden onderzocht.

Statussynchronisatie mislukt met alarmsignaal op ISE-dashboard

Als de synchronisatie van de Posture Staat met alarm op ISE ontbreekt, betekent het dat Cisco Secure Client in staat was om ISE te bereiken op de Posture State Synchronisation-poort (8449) en om een status voor de sessie met "Volgzaam" status verzocht.

Alarmmelding in ISE GUI:

Alarm in ISE GUI

Valideren van pakketvastlegging

De TCP-verbinding op de Posture State Synchronisation-poort (8449) is tot stand gebracht:

TCP Connection on Posture State Synchronization Established

Valideren via het logbestand Cisco Secure Client Profile Module

Controleer AnyConnect_ISEPosture.txt vanaf het DART-bundel:

1) Er wordt een HTTPS-verbinding naar ISE-PSN op de Posture State Synchronisation-poort (8449) gestart.

2022/11/09 12:26:34 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x2750 File: periodic_probe.cpp Line: 357 Level: debug  Sending http session sync periodic probe to [ISE-PSN-FQDN].

2) Er is informatie over de sessiestatus ontvangen van ISE met posterstatus "conform".

2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 430 Level: debug  --- Http Response Headers ---. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  HTTP-Version: 1.1. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Status-Code: 200. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Connection: keep-alive. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Date: Wed, 09 Nov 2022 11:26:34 GMT. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Keep-Alive: timeout=20. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Content-Length: 0. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Server: server. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  X-Frame-Options: SAMEORIGIN. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Strict-Transport-Security: max-age=31536000; includeSubDomains. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  X-Content-Type-Options: nosniff. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; img-src 'self' http://www.cisco.com/ data:;. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  X-XSS-Protection: 1; mode=block. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Accept-CH: Sec-CH-UA-Arch, Sec-CH-UA-Full-Version, Sec-CH-UA-Mobile, Sec-CH-UA-Model, Sec-CH-UA-Platform-Version, Sec-CH-UA-Platform, Sec-CH-UA. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  X-ISE-POSTURE_STATUS: Compliant. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 442 Level: debug  --------------------.

3) Posture State Synchronisation stopt vanwege detectie van een onjuiste configuratie:

2022/11/09 12:26:34 [Error] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x2750 File: periodic_probe.cpp Line: 370 Level: error  Incorrect configuration detected by ISE = [ISE-PSN-FQDN], compliant status is not expected. 
2022/11/09 12:26:34 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x2750 File: periodic_probe.cpp Line: 371 Level: debug  MSG_PN_STOP_PERIODIC_PROBE, . 
2022/11/09 12:26:34 [Information] aciseagent Function: PeriodicProbe::ProcessMessage Thread Id: 0xC60 File: periodic_probe.cpp Line: 210 Level: debug  MSG_PN_STOP_PERIODIC_PROBE received.. 
2022/11/09 12:26:34 [Information] aciseagent Function: PeriodicProbe::ProcessMessage Thread Id: 0xC60 File: periodic_probe.cpp Line: 224 Level: debug  Periodic Probing stopped.

Posture State Synchronisation kan niet opnieuw worden gestart vanuit de Cisco Secure Client GUI door de Posture-evaluatie te herstarten of een netwerkwijziging door te voeren. In plaats daarvan moet de Cisco Secure Client worden herstart om Posture State Synchronisation weer te laten werken.

Controleer of dACL is geconfigureerd voor het autorisatieprofiel "conform" van de posterijen

1. Valideren van juiste dACL is ingesteld voor een posterijen-"conform"-autorisatieprofiel:

Verify dACL Configured for Posture Compliant Profile

2. Valideren van gedetailleerd verificatierapport dACL is correct verzonden als resultaat van authenticatie van het "conforme" eindpunt.

Validate Detailed Authentication Report

3. Controleer of dACL correct wordt toegepast op een netwerktoegangsapparaat:

avakhrus_3560C#sh authe sess int fa0/12 det
            Interface:  FastEthernet0/12
          MAC Address:  0050.56a8.be02
         IPv6 Address:  Unknown
         IPv4 Address:  192.168.255.193
            User-Name:  TRAINING\bob
               Status:  Authorized
               Domain:  DATA
       Oper host mode:  multi-auth
     Oper control dir:  both
      Session timeout:  N/A
      Restart timeout:  N/A
Periodic Acct timeout:  172800s (local), Remaining: 92111s
       Session Uptime:  1515s
    Common Session ID:  C0A8FF0C00000012679EAF14
      Acct Session ID:  0x00000012
               Handle:  0x5D000005
       Current Policy:  POLICY_Fa0/12

Local Policies:
        Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)

Server Policies:
              ACS ACL:  xACSACLx-IP-avakhrus_posture_probe_ACL-636b75ac

Method status list:
       Method           State

       mab              Stopped
       dot1x            Authc Success

avakhrus_3560C#sh access-lists | s  xACSACLx-IP-avakhrus_posture_probe_ACL-636b75ac
Extended IP access list xACSACLx-IP-avakhrus_posture_probe_ACL-636b75ac (per-user)
    1 deny tcp any host PSN1-IP-ADDRESS eq 8449
    2 deny tcp any host PSN2-IP-ADDRESS eq 8449
    3 permit ip any any

Bekende problemen

Statussynchronisatie mislukt met alarmsignaal op ISE

De synchronisatie van de positiestaat kan met alarm op ISE ontbreken zelfs als juiste dACL op een netwerktoegangsapparaat wordt toegepast op het Clientendpoint. Het gebeurt als de Probe van de Synchronisatie van de Posture Staat sneller wordt uitgevoerd dan dACL wordt toegepast of als de Sonde van de Synchronisatie van de Posture Staat reeds lopend is wanneer dACL wordt toegepast. Het probleem is onderzocht in Cisco bug-id CSCwd58316 . Als tijdelijke oplossing moet u "Vertraging netwerkovergang" instellen op 10 seconden in het AnyConnect Posture-profiel (ISE Posture Agent Profile Settings).