Implementação de postura sem redirecionamento do ISE

Opções de download

  • PDF     (2.2 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (2.1 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.5 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:11 de julho de 2023
ID do documento:220394

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve o uso e a configuração do fluxo de postura sem redirecionamento e dicas de Troubleshooting.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Fluxo de postura no ISE
    • Configuração de componentes de postura no ISE
    • Redirecionamento para portais ISE

    Para compreender melhor os conceitos descritos mais adiante, é recomendável passar por:

    Comparar versões anteriores do ISE com o fluxo de postura do ISE no ISE 2.2
    Postura e gerenciamento de sessões do ISE

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • Cisco ISE versão 3.1
    • Cisco Secure Client 5.0.01242

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    O fluxo de postura do ISE consiste nas seguintes etapas:

    0. Autenticação/Autorização. Geralmente executado logo antes do fluxo de postura ser iniciado, mas pode ser ignorado para certos casos de uso, como a Reavaliação de postura (PRA). Como a própria autenticação não aciona a descoberta de postura, isso não é considerado essencial para cada fluxo de postura.

    1. Descoberta. Processo executado pelo módulo Secure Client ISE Posture para encontrar o proprietário PSN da sessão ativa atual.
    2. Provisionamento de clientes. Processo executado pelo ISE para provisionar o cliente com as versões correspondentes do módulo de postura do ISE do Cisco Secure Client (antigo AnyConnect) e do módulo de conformidade. Nesta etapa, a cópia local do perfil de postura contida e assinada pela PSN específica também é enviada ao cliente.
    3. Verificação do sistema. As políticas de postura configuradas no ISE são avaliadas pelo módulo de conformidade.
    4. Correção (opcional). Executado no caso de qualquer política de postura não estar em conformidade.
    5. CoA É necessária uma nova autorização para conceder acesso final à rede (em conformidade ou não em conformidade).


    Este documento concentra-se no processo de descoberta do fluxo de postura do ISE.

    A Cisco recomenda usar o redirecionamento para o processo de descoberta, no entanto, há alguns casos em que o redirecionamento não é possível de implementar, como o uso de dispositivos de rede de terceiros, em que o redirecionamento não é suportado. Este documento tem como objetivo fornecer uma orientação geral e práticas recomendadas para implementar e solucionar problemas de postura sem redirecionamento nesses ambientes.

    A descrição completa do fluxo sem redirecionamento está descrita em Comparar versões anteriores do ISE com o fluxo de postura do ISE no ISE 2.2.

    Há dois tipos de testes de descoberta de postura que não usam redirecionamento:

    1. Connectiondata.xml
    2. Lista do Call Home

    Connectiondata.xml

    O Connectiondata.xml é um arquivo criado e mantido automaticamente pelo Cisco Secure Client. Ele consiste em uma lista de PSNs às quais o cliente se conectou anteriormente com êxito para fins de postura. Portanto, esse é apenas um arquivo local e seu conteúdo não é persistente em todos os endpoints.

    A finalidade principal do connectiondata.xml é trabalhar como um mecanismo de backup para os testes de descoberta dos Estágios 1 e 2. Caso os testadores de redirecionamento ou de lista de call home não consigam encontrar um PSN com uma sessão ativa, o Cisco Secure Client envia uma solicitação direta a cada um dos servidores listados em connectiondata.xml.

    Stage 1 discovery probesSondas de descoberta do estágio 1

    Stage 2 discovery probesSondas de descoberta do estágio 2

    Um problema comum causado pelo uso de testes connectiondata.xml é uma sobrecarga da implantação do ISE devido a um grande número de solicitações HTTPS enviadas pelos pontos de extremidade. É importante considerar que, embora o connectiondata.xml seja eficaz como um mecanismo de backup para evitar interrupções completas para mecanismos de postura de redirecionamento e sem redirecionamento, ele não é uma solução sustentável para um ambiente de postura; portanto, é necessário diagnosticar e resolver os problemas de design e configuração que causam a falha dos principais testes de descoberta e que resultam em problemas de descoberta.

    Lista do Call Home

    Call Home List é uma seção do perfil de postura em que uma lista de PSNs é especificada para ser usada para postura. Diferentemente do connectiondata.xml, ele é criado e mantido por um administrador do ISE e pode exigir uma fase de projeto para a configuração ideal. A lista de PSNs na lista Call Home deve corresponder à lista de servidores de autenticação e contabilização configurada no dispositivo de rede ou balanceador de carga para RADIUS.

    Os testadores Call Home List permitem o uso de uma pesquisa MnT durante a pesquisa de sessão ativa em caso de falha de pesquisa local em um PSN. A mesma funcionalidade se estende aos testes connectiondata.xml somente quando eles são usados durante a descoberta do estágio 2. Por esse motivo, todos os testes do Estágio 2 também são chamados de testes de Nova Geração.

    MnT lookup flowFluxo de pesquisa MnT

    Projeto

    Como um processo de descoberta sem redirecionamento geralmente envolve um fluxo mais complexo e uma quantidade maior de processamento em PSNs e MnT em comparação a um fluxo de redirecionamento, há dois desafios comuns que podem surgir durante a implementação:

    1. Detecção eficaz
    2. Desempenho da implantação do ISE

    Para lidar com esses desafios, é recomendável projetar a lista Call Home para limitar o número de PSNs que um determinado endpoint pode usar para postura. Para implantações médias e grandes, é necessário distribuir a implantação para criar várias Listas de Call Home com número reduzido de PSNs. Consequentemente, a lista de PSNs que são usadas para autenticação RADIUS para um determinado Dispositivo de rede deve ser limitada da mesma forma para corresponder à Lista de Call Home correspondente.

    Os seguintes aspectos podem ser levados em consideração durante o desenvolvimento da estratégia de distribuição da PSN para determinar o número máximo de PSNs em cada lista de Call Home:

    • Número de PSNs na implantação
    • Especificações de hardware de PSNs e nós MnT
    • Número máximo de sessões de postura simultâneas na implantação
    • Número de dispositivos de rede
    • Ambientes híbridos (redirecionamento simultâneo e implementação de postura sem redirecionamento)
    • Número de adaptadores usados pelos pontos de extremidade
    • Localização dos dispositivos de rede e PSNs
    • Tipos de conexão de rede usados para postura (com fio, sem fio, VPN)

    Example. PSN distribution for redirectionless postureExemplo. Distribuição de PSN para postura sem redirecionamento

    Dica: use Network Device Groups para classificar os dispositivos de rede de acordo com o projeto.

    Configurar

    Grupos de dispositivos de rede (opcional)

    Os grupos de dispositivos de rede podem ser usados para identificar e associar dispositivos de rede à lista de servidores RADIUS correspondente e à lista de call home. No caso de ambientes híbridos, eles também podem ser usados para identificar dispositivos que suportam redirecionamento de dispositivos que não suportam esse recurso.

    Se a estratégia de distribuição desenvolvida durante a fase de projeto se basear em grupos de dispositivos de rede, siga as próximas etapas para configurá-los no ISE:

    1. Navegue até Administração > Recursos de rede Grupos de recursos de rede.
    2. Clique em Adicionar para adicionar um novo grupo, fornecer um nome e selecionar o grupo pai, se aplicável.
    3. Repita a etapa 2 para criar todos os grupos necessários.


    Nos exemplos usados neste guia, Location Device Group é usado para identificar a lista de servidores RADIUS e a lista Call Home, e um Posture Device Group personalizado é usado para identificar dispositivos de postura sem redirecionamento.

    Network Device GroupsGrupos de dispositivos de rede

    Dispositivo de rede

    1. O dispositivo de rede deve ser configurado para autenticação, autorização e tarifação RADIUS; consulte a documentação de cada fornecedor para obter as etapas de configuração. Configure a lista de servidores RADIUS de acordo com a Lista de Call Home correspondente.
    2. No ISE, navegue até Administração > Recursos de rede > Dispositivos de rede e clique em Adicionar. Configure os grupos de dispositivos de rede de acordo com o design e habilite as configurações de autenticação RADIUS para configurar o segredo compartilhado.

    Network Device configurationConfiguração do dispositivo de rede

    Provisionamento de clientes

    Há duas maneiras de provisionar o cliente com o software e o perfil corretos para executar a postura em um ambiente sem redirecionamento:

    1. Provisionamento manual (pré-implantação)
    2. Portal de provisionamento do cliente (implantação na Web)

    Provisionamento manual (pré-implantação)

    • Faça o download e instale o Cisco Secure Client Profile Editor a partir do download do software Cisco.Profile Editor packagePacote do Editor de perfis
    • Abra o editor de perfil de postura do ISE:
      • Verifique se Enable Posture Non-Redirection Flow está habilitado.
      • Configure as regras de nome do servidor separadas por vírgulas. Use um único asterisco * para permitir a conexão a qualquer PSN, valores curinga para permitir a conexão a qualquer PSN em um domínio específico ou os FQDNs PSN para restringir a conexão a PSNs específicos.
      • Configure Call Home List para especificar a lista separada por vírgulas de PSNs. Certifique-se de adicionar a porta do Portal de Provisionamento do Cliente com o formato FQDN:porta ou IP:porta.
        Posture profile configuraiton with Profile EditorConfiguração do perfil de postura com o Editor de perfis

        Observação: consulte a etapa 4 da seção Client Provisioning policy para obter instruções sobre como verificar a porta do Client Provisioning Portal, se necessário.

    • Repita a etapa 2 para cada lista do Call Home em uso.
    • Faça o download do pacote de pré-implantação do Cisco Secure Client a partir do download do software Cisco.
      Cisco Secure Client pre-deploy packagePacote de pré-implantação do Cisco Secure Client
    • Salve o perfil como ISEPostureCFG.xml.
    • Distribua os arquivos de perfil e instalação em um arquivo morto ou copie os arquivos para os clientes.

      Aviso: certifique-se de que os mesmos arquivos do Cisco Secure Client também estejam nos headends aos quais você planeja se conectar: Secure Firewall ASA, ISE, etc. Mesmo quando o provisionamento manual é usado, o ISE deve ser configurado para provisionamento de clientes com a versão de software correspondente. Consulte a seção Configuração da política de provisionamento do cliente para obter instruções detalhadas.

    • No cliente, abra o arquivo zip no e execute a Instalação para instalar os módulos Core e ISE Posture. Como alternativa, os arquivos msi individuais podem ser usados para instalar cada módulo. Nesse caso, você deve certificar-se de que o módulo core-vpn seja instalado primeiro.

      Cisco Secure Client pre-deploy package contentsConteúdo do pacote de pré-implantação do Cisco Secure Client


      Cisco Secure Client installerinstalador do Cisco Secure Client

      Dica: instale a ferramenta de diagnóstico e relatórios a ser usada para fins de solução de problemas. 

    • Depois que a instalação for concluída, copie o xml do perfil de postura para os seguintes locais:
      • Windows: %ProgramData%\Cisco\Cisco Secure Client\Postura do ISE
      • MacOS: /opt/cisco/secureclient/iseposture/

    Portal de provisionamento do cliente (implantação na Web)

    O ISE Client Provisioning Portal pode ser usado para instalar o módulo de postura do Cisco Secure Client ISE e o perfil de postura do ISE. Ele também pode ser usado para enviar o perfil de postura sozinho se o módulo de postura do ISE já estiver instalado no cliente.

      1. Navegue até Centros de trabalho > Postura > Provisionamento de cliente > Portal de provisionamento de cliente para abrir a configuração do portal. Expanda a seção Configurações do portal e localize o campo Método de autenticação, selecione a Sequência de origem da identidade a ser usada para autenticação no portal.
      2. Configure grupos de identidade internos e externos que estejam autorizados a usar o Portal de Provisionamento de Cliente.
        Authentication method and authorized groups in portal settingsMétodo de autenticação e grupos autorizados nas configurações do portal
      3. No campo Nome de domínio totalmente qualificado (FQDN), configure a URL usada pelos clientes para acessar o portal. Para configurar vários FQDNs, insira os valores separados por vírgulas.
        dianaro_7-1679511063143
      4. Configure o(s) servidor(es) DNS para resolver a URL do portal para os PSNs da lista de Call Home correspondente.
      5. Forneça o FQDN aos usuários finais para acessar o portal a fim de instalar o software ISE Posture.

    Observação: para usar o FQDN do portal, os clientes devem ter a cadeia de certificados PSN Admin e a cadeia de certificados do Portal instaladas no armazenamento confiável, e o certificado Admin deve conter o FQDN do portal no campo SAN.

    Política de provisionamento do cliente

    O provisionamento do cliente deve ser configurado no ISE independentemente do tipo de provisionamento (pré-implantação ou implantação na Web) usado para instalar o Cisco Secure Client nos endpoints.

    1. Faça o download do pacote de implantação da Web do Cisco Secure Client a partir do Download do Cisco Software.Cisco Secure Client webdeploy packagePacote de implantação na Web do Cisco Secure Client
    2. Faça o download do pacote de implantação da Web do módulo de conformidade mais recente em Download de software da Cisco.
      ISE Compliance Module webdeploy packagePacote de implantação da Web do módulo de conformidade ISE
    3. No ISE, navegue até Centros de trabalho > Postura > Provisionamento de cliente > Recursos e clique em Adicionar > Recursos de agente do disco local. Selecione Cisco Provided Packages no menu suspenso Category e carregue o pacote do Cisco Secure Client webdeploy baixado anteriormente. Repita o mesmo processo para carregar o módulo de conformidade.Upload Cisco Provided Packages to ISECarregar pacotes fornecidos pela Cisco no ISE
    4. De volta à guia Resources, clique em Add > AnyConnect Posture Profile. No perfil:
      • Configure um nome que possa ser usado para identificar o perfil no ISE.
      • Configure as regras de nome do servidor separadas por vírgulas. Use um único asterisco * para permitir a conexão a qualquer PSN, valores curinga para permitir a conexão a qualquer PSN em um domínio específico ou os FQDNs PSN para restringir a conexão a PSNs específicos.
      • Configure Call Home List para especificar a lista separada por vírgulas de PSNs. Certifique-se de adicionar a porta do Portal de Provisionamento do Cliente usando o formato FQDN:porta ou IP:porta.ISE Posture profile configuration IConfiguração de perfil de postura do ISE I
        ISE Posture Profile configuration IIConfiguração II do perfil de postura do ISE


      Para localizar a porta que deve ser usada na Lista de Call Home, navegue até Centros de trabalho > Postura > Provisionamento de cliente > Portal de provisionamento de cliente, selecione o portal em uso e expanda Configurações do portal.

      Client Provisioning Portal portPorta do Portal de Provisionamento de Cliente

    5. De volta à guia Resources, clique em Add > AnyConnect Configuration. Selecione o pacote Cisco Secure Client e o módulo de conformidade a ser usado.

      Aviso: se o Cisco Secure Client tiver sido pré-implantado nos clientes, certifique-se de que a versão no ISE corresponda à versão nos endpoints. Se o ASA ou o FTD for usado para implantação na Web, a versão neste dispositivo também deve ser compatível.

    6. Role para baixo até a seção Seleção de postura e selecione o perfil que foi criado na etapa 1. Clique em Enviar na parte inferior da página para salvar a configuração.AnyConnect ConfigurationConfiguração do AnyConnect
      Profile selectionSeleção de perfil
    7. Navegue até Centros de trabalho > Postura > Provisionamento de cliente > Política de provisionamento de cliente. Localize a diretiva usada para o sistema operacional necessário e clique em Editar. Clique no sinal + na coluna Resultados e selecione a configuração do AnyConnect na etapa 5 na seção Configuração do agente.

      Observação: no caso de várias listas Call Home, use o campo Other Conditions para enviar o perfil correto para os clientes correspondentes. No exemplo, o Grupo de localização do dispositivo é usado para identificar o perfil de postura que é enviado na política.

      Dica: se várias políticas de provisionamento de clientes forem configuradas para o mesmo sistema operacional, é recomendável torná-las mutuamente exclusivas, ou seja, um determinado cliente só deve conseguir acessar uma política de cada vez. Os atributos RADIUS podem ser usados na coluna Outras Condições para diferenciar uma política de outra.


      Client Provisioning Policy Agent ConfigurationConfiguração do Agente de Política de Provisionamento de ClienteClient Provisioning PolicyPolítica de Provisionamento de Cliente
    8. Repita as etapas de 4 a 7 para cada lista Call Home e o perfil de postura correspondente em uso. Para ambientes híbridos, os mesmos perfis podem ser usados para clientes de redirecionamento.

    Autorização

    Perfil de autorização

    1. Navegue para Política > Elementos de política > Resultados > Autorização > ACLs que podem ser baixadas e clique em Adicionar.
    2. Crie um DACL para permitir o tráfego para DNS, DHCP (se usado), ISE PSNs e bloquear outro tráfego. Certifique-se de permitir qualquer outro tráfego que seja necessário acessar antes do acesso final compatível.

      DACL configurationconfiguração de DACL

      permit udp any any eq domain
permit udp any any eq bootps
permit ip any host 
      
      
        permit ip any host 
       
         deny ip any any

      Cuidado: alguns dispositivos de terceiros podem não suportar DACLs; nesses casos, é necessário usar um ID de filtro ou outros atributos específicos do fornecedor. Consulte a documentação do fornecedor para obter mais informações. Se as DACLs não forem usadas, certifique-se de configurar a ACL correspondente no dispositivo de rede.

    3. Navegue para Política > Elementos de política > Resultados > Autorização >Perfis de autorização e clique em Adicionar. Dê um nome ao perfil de autorização e selecione Nome da DACL em Tarefas comuns. No menu suspenso, selecione a DACL criada na etapa 2.Authorization profilePerfil de autorização

      Observação: se as DACLs não forem usadas, use Filter-ID de Common Tasks ou as Advanced Attribute Settings para enviar o nome da ACL correspondente.

    4. Repita as etapas de 1 a 3 para cada lista de Call Home em uso. Para ambientes híbridos, é necessário apenas um único perfil de autorização para o redirecionamento. A configuração do perfil de autorização para redirecionamento está fora do escopo deste documento.

    Política de Autorização

    1. Navegue para Política > Conjuntos de políticas e abra o conjunto de políticas em uso ou crie um novo.
    2. Role para baixo até a seção Política de autorização. Crie uma política de autorização usando Session PostureStatus NOT_EQUALS Compliant e selecione o perfil de autorização criado na seção anterior.
      Authorization policiesPolíticas de autorização
    3. Repita a etapa 2 para cada perfil de autorização com sua lista do Call Home correspondente em uso. Para ambientes híbridos, é necessária apenas uma única política de autorização para o redirecionamento.

    Troubleshooting

    Compatível com o Cisco Secure Client e postura não aplicável (pendente) no ISE

    Sessões obsoletas/fantasmas

    A presença de sessões obsoletas ou fantasmas na implantação pode gerar falhas intermitentes e aparentemente aleatórias com descoberta de postura sem redirecionamento, que resultam em usuários presos em uma postura de acesso desconhecido/não aplicável no ISE, enquanto a IU do Cisco Secure Client mostra o acesso compatível.

    Sessões obsoletas são sessões antigas que não estão mais ativas. Eles são criados por uma solicitação de autenticação e início de contabilização, mas nenhuma parada de contabilização é recebida no PSN para limpar a sessão.

    As sessões fantasmas são sessões que nunca estiveram realmente ativas em uma PSN específica. Eles são criados por uma atualização provisória de contabilização, mas nenhuma parada de contabilização é recebida no PSN para limpar a sessão.

    Identificar

    Para identificar um problema de sessão obsoleta/fantasma, verifique a PSN usada na verificação do sistema no cliente e compare com a PSN que está executando a autenticação:

    1. Na IU do Cisco Secure Client, clique no ícone de engrenagem no canto inferior esquerdo. No menu esquerdo, abra a seção ISE Posture e navegue até a guia Statistics. Anote o Servidor de políticas em Informações de conexão.
      Policy Server for ISE Posture in Cisco Secure ClientServidor de políticas para postura do ISE no Cisco Secure Client
    2. Nos registros ao vivo do ISE RADIUS, observe o seguinte:
      • Alteração no status da postura
      • Alteração no servidor
      • Nenhuma alteração na Diretiva de Autorização e no Perfil de Autorização
      • Nenhum log ao vivo de CoA
      Live logs for stale/phantom sessionLogs ao vivo para sessão obsoleta/fantasma
    3. Abrir a sessão ao vivo ou os detalhes do log ao vivo da última autenticação. Anote o Servidor de políticas, se ele for diferente do servidor observado na etapa 1, isso indica um problema com sessões obsoletas/fantasmas.
      Policy server in live log detailsServidor de política em detalhes do log ao vivo

    Solução

    As versões do ISE acima do ISE 2.6 patch 6 e 2.7 patch 3 implementam o RADIUS Session Diretory como uma solução para cenário de sessão obsoleta/fantasma em fluxo de postura sem redirecionamento.

    1. Navegue para Administration > System > Settings > Light Data Distribution e verifique se a caixa de seleção Enable RADIUS Session Diretory está ativada.
      Enable RADIUS Session DirectoryAtivar o diretório de sessão RADIUS

    2. Na CLI do ISE, verifique se o serviço de mensagens do ISE está sendo executado em todas as PSNs executando o comando show applications status ise.
      ISE Messaging Service runningServiço de mensagens do ISE em execução

      Observação: esse serviço se refere ao método de comunicação usado para RSD entre PSNs e deve estar em execução independentemente do status da configuração do Serviço de mensagens do ISE para syslog que pode ser definido na interface do usuário do ISE.

    3. Navegue até o painel do ISE e localize o dashlet Alarms. Verifique se há algum alarme Queue Link Error. Clique no nome do alarme para ver mais detalhes.
      Queue Link Error alarmsAlarmes de Erro de Link de Fila
    4. Verifique se os alarmes são gerados entre as PSNs usadas para postura.
      Queue Link Error alarm detailsDetalhes do alarme de Erro do Link da Fila
    5. Passe o mouse sobre a descrição do alarme para ver todos os detalhes e anote o campo Causa. As duas causas mais comuns para erros de link de fila são: 
      • Tempo limite: indica que as solicitações enviadas por um nó para outro nó na porta 8671 não são respondidas dentro do limite. Para corrigir, verifique se a porta TCP 8671 é permitida entre os nós.
      • CA desconhecida: indica que a cadeia de certificados que assina o certificado de Mensagens do ISE não é válida ou está incompleta. Para corrigir esse erro:
        1. Navegue até Administração > Sistema > Certificados > Solicitações de assinatura de certificado.
        2. Clique em Generate Certificate Signing Requests (CSR).
        3. No menu suspenso, selecione ISE Root CA e clique em Replace ISE Root CA Certificate chain.
          Se a CA raiz do ISE não estiver disponível, navegue para Autoridade de certificação > Configurações internas da CA e clique em Habilitar autoridade de certificação, em seguida, volte para o CSR e gere novamente a CA raiz.
        4. Gere um novo CSR e selecione ISE Messaging Service no menu suspenso.
        5. Selecione todos os nós da implantação e gere novamente o certificado.

      Observação: é esperado que ele observe alarmes de Erro de link de fila com causa CA desconhecida ou Econnrejected enquanto os certificados forem regenerados. Monitore os alarmes após a geração do certificado para confirmar se o problema foi resolvido.

    Desempenho

    Identificar

    Problemas de desempenho, como alta utilização da CPU e alta média de carga relacionada à postura sem redirecionamento, podem afetar a PSN e os nós MnT e são frequentemente acompanhados ou precedidos pelos seguintes eventos:

    • Aleatório ou intermitente Nenhum servidor de políticas detectou erros no Cisco Secure Client
    • O limite máximo de recursos atingiu relatórios para eventos de valor de limite de pool de threads de serviço do portal. Navegue até Operações > Relatórios > Relatórios > Auditoria > Auditoria de operações para ver os relatórios.
    • Consulta de Postura para pesquisa MNT é um alto alarme. Esses alarmes são gerados apenas no ISE 3.1 e versões superiores.


    Solução

    Se o desempenho da implantação for afetado por uma postura sem redirecionamento, isso geralmente indica uma implementação ineficiente. Recomenda-se a revisão dos seguintes aspectos:

    • Número de PSNs usadas por lista de Call Home. Considere reduzir o número de PSNs que podem ser usadas para postura por endpoint ou dispositivo de rede de acordo com o design.
    • Porta do portal de provisionamento do cliente na lista Call Home. Certifique-se de que o número da porta do portal esteja incluído após o IP ou o FQDN de cada nó.


    Para atenuar o impacto:

    1. Limpe connectiondata.xml dos endpoints removendo o arquivo da pasta do Cisco Secure Client e reinicie o serviço de postura do ISE ou o Cisco Secure Client. Se os serviços não forem reiniciados, o arquivo antigo será gerado novamente e as alterações não terão efeito. Essa ação também deve ser executada após a revisão e modificação das listas Call Home.
    2. Use DACLs ou outras ACLs para bloquear o tráfego para ISE PSNs para conexões de rede onde ele não é relevante:
      • Para conexões em que a postura não é imposta nas políticas de autorização, mas que se aplicam a endpoints com o módulo de postura do Cisco Secure Client ISE instalado, bloqueie o tráfego dos clientes para todos os PSNs do ISE para as portas TCP 8905 e porta do Portal de Provisionamento de Cliente. Esta ação também é recomendada para postura com implementação de redirecionamento.
      • Para conexões em que a postura é imposta nas políticas de autorização, permita o tráfego dos clientes para a PSN de autenticação e bloqueie o tráfego para outras PSNs na implantação. Esta ação pode ser implementada temporariamente durante a revisão do projeto.
        Authorization profile with DACL for single PSNPerfil de autorização com DACL para PSN único
        Authorization policies per PSNPolíticas de autorização por PSN

    Relatório

    A contabilização de RADIUS é essencial para o gerenciamento de sessões no ISE. Como a postura depende de uma sessão ativa a ser executada, erros ou falta de configuração de contabilidade também podem afetar a descoberta da postura e o desempenho do ISE. É importante verificar se a contabilização está configurada corretamente no dispositivo de rede para enviar solicitações de autenticação, início de contabilização, interrupção de contabilização e atualizações de contabilização para um único PSN para cada sessão.

    Para verificar os pacotes de contabilização recebidos no ISE, navegue para Operações > Relatórios > Relatórios > Endpoints e Usuários > Contabilidade RADIUS.

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    24-Jul-2023
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Diana Rodriguez Zaragoza
      Engenheiro de consultoria técnica

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco