отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Ask the Expert: Cisco ISE, особенности инсталляции и конфигурирования

С Ириной Ильиной-Сидоровой

Read the bio

В ходе сессии вы сможете узнать о типовой инсталляции, роли устройств и их соответствие предыдущим решениям в области AAA от Cisco. Ирина ответит на вопросы о лицензионной модели Cisco ISE и потенциальных проблемах с лицензиями при апгрейде и переустановке. Также вы сможете задать вопросы на следующие темы: использование Cisco ISE в качестве RADIUS сервера, в 802.1X, использование Cisco ISE для организации хотспотов, гостевого доступа в сеть.

Ирина Ильина-Сидорова - инженер центра технической поддержки Cisco в Брюсселе. Ирина работает в группе WLAAAN и занимается поддержкой Wireless, AAA, 802.1X и TrustSec направлений (технологий беспроводного доступа и контроля доступа к сети, а также Cisco TrustSec). Является техническим лидером по продукту Cisco ISE. Ранее в Cisco Ирина работала в российском отделении Advanced Services, где занималась технической поддержкой заказчиков на территории России и стран СНГ.

Пожалуйста, не забывайте оценивать ответы Ирины, чтобы она знала, что вы получили совет, который вам помог.

Общение может быть продолжено на нашем форуме и после окончании сессии. Сессия продлится до 26-го октября

Теги (3)
22 ОТВЕТ.
New Member

Ask the Expert: Cisco ISE, особенности инсталл

Добрый день!

Пытаемся внедрить вместо ACS Cisco ISE. После установки и миграции с ACS сервер какое-то время работал (установка на vmware) но после перезагрузки RADIUS сервис перестал отвечать и сервер находится  в статусе "No data available". Восстановление с backup ситуации не изменило.

Как это починить? Куда смотреть?

С уважением,

Андрей Никоненко.

Cisco Employee

Ask the Expert: Cisco ISE, особенности инсталл

Добрый день, Андрей,

Вы написали, что RADIUS не отвечает - вы имеете в виду, что не осуществляется аутентификация клиентов?

В таком случае, наиболее быстрым способом будет являться восстановление VMWare snapshot'а, если он имеется.

Если проблема в том, что не отображается информация в System Summary или Profiled Endpoints, то это скорее всего CSCty81000    Dashboard queries are not consistent in different ISE releases - косметический дефект.

В таком случае вы можете просматривать результаты аутентификации клиентов с помощью вкладки Operations -> Authentications -> Live Authentications.

Если аутентификация клиентов не осуществляется и снапшота у вас нет, необходимо собрать support bundle и открыть кейс в TAC, чтобы мы могли подробнее исследовать проблему.

С уважением,

Ирина

New Member

Ask the Expert: Cisco ISE, особенности инсталл

RADIUS не отвечает. Я вижу запросы с помощью встроенного tcp dump, но они не обрабатываются.

Snapshot-а нет. Есть только full backup средствами ISE, но он не восстанавливает работоспособность.

Я могу открыть кейс в TAC, если у меня нет купленной поддержки? Устанавливалась trial license.

Cisco Employee

Ask the Expert: Cisco ISE, особенности инсталл

К сожалению, без купленной поддержки открыть кейс не удастся.

У вас есть возможность поставить ISE ещё раз и восстановить ваш backup в него? Если вы этого ещё не пробовали, попробуйте - если backup был создан до появления проблемы, вы сможете восстановить работоспособность системы.

Какая у вас версия ISE?

New Member

Re: Ask the Expert: Cisco ISE, особенности инста

Версия ISE 1.1.1

Переставил ISE, восстановил данные с backup - ситуация не поменялась.

Сгенерировал support-bundle, в файле iseLocalStore.log обнаружил следующее сообщение:

2012-10-16 11:16:42.012 +03:00 0000000145 5405 NOTICE Failed-Attempt: RADIUS Request dropped, ConfigVersionId=2, Device IP Address=172.16.42.1, Device Port=1645, DestinationIPAddress=192.168.11.89, DestinationPort=1812, Protocol=Radius, User-Name=nikon, NAS-IP-Address=172.16.42.1, NAS-Port=1, Service-Type=Login, Calling-Station-ID=172.16.1.242, NAS-Port-Type=Virtual, NAS-Port-Id=tty1, AcsSessionID=dc-ise2/139745182/1, FailureReason=11007 Could not locate Network Device or AAA Client, Step=11001, Step=11017, Step=11007, Step=5405,

При этом NAD заведён.

New Member

Re: Ask the Expert: Cisco ISE, особенности инста

Установил сервер с нуля. Поставил корневой доменный сертификат, сгенерировал запрос и установил подписанный сертификат на HTTPS (сертификат на EAP оставил самоподписной).

Между всем этапами перезагружал сервер - всё работало.

Как только я сделал из Standalone сервера Primary и перезагрузился - сразу "No status available".

RADIUS запросы не обрабатываются.

В чем проблема? Что я делаю не так?

Cisco Employee

Ask the Expert: Cisco ISE, особенности инсталл

Добрый день, Андрей,

Действительно, странно. Не могу сказать, что сталкивалась с таким багом раньше. А если вы возвращаетесь в Standalone - начинает работать или нет?

Если начинает, попробуйте - если вы восстановитесь из бэкапа и перейдёте в Standalone - будет работать или нет?

Знаете, поскольку это явно не вопрос настройки ISE, я предлагаю перевести дискуссию в почту - а конечный результат, если это будет интересно, я опубликую тут.

New Member

Re: Ask the Expert: Cisco ISE, особенности инста

Ирина, я нашел в чем проблема.

В старом ACS у нас заведено много телефонов с паролем из 4 символов. Импорт их с помощью migration tool срабатывает - длина пароля не проверяется. Однако впоследствии ISE от этого перестаёт работать.

Я нашел проблему, импортировав Identities из "заваленного" ISE через транзитный CSV-файл. При таком импорте длина пароля проверяется и слишком короткие пароли не проходят.

Надо вам что-то поправить либо в migration tool, либо в ISE. :-)

New Member

Ask the Expert: Cisco ISE, особенности инсталл

Мы попробовали работу ISE совместно со старым RADIUS, проксируя запросы. Смысла от ISE в данной конфигурации мало.

Мы не смогли отфильтровать authentication policy так, чтобы на proxy отправлялись только запросы на авторизацию от телефонов. Думали отсекать их по параметру EAP-MD5, но его можно применить только на втором уровне вложеной authentication-политики, в случае перенаправления запросов на Proxy такой возможности нет.

Есть ли какая-то возможность импортировать пользователей с коротким паролем без дальнейшего падения ISE?

Cisco Employee

Re: Ask the Expert: Cisco ISE, особенности инста

Добрый день,

Этот вопрос будет решаться нашей командой разработчиков. Большое спасибо, что нашли эту проблему и так подробно её разобрали!

В качестве временного решения могу предложить bulk import/export пользователей в .csv file c последующим изменением пароля в соответствии с требованиями ISE.

Ирина

New Member

Ask the Expert: Cisco ISE, особенности инсталл

Здравствуйте, Ирина!

Вопрос: Согласно рекомендуемому дизайну в low-impact mode авторизация происходит лишь посредством dacl. Смена ip адреса устройства после автризации не происходит. Как в таком случае предлагается использовать Critical Auth (т.е. авторизация посредством смены vlan на порту в случае недоступности radius сервера) ведь трафик будет регулироваться статическим pacl и как следствие блокироваться. Важно именно исключить смену ip адреса устройства, так как различные ОС (в частности WinXP) плохо отрабоатывают данный сценарий, а MAB устройства не отрабатывают вообще.

Спасибо!

Cisco Employee

Ask the Expert: Cisco ISE, особенности инсталл

Здравствуйте, Алексей,

Мне кажется, я не полностью понимаю вашу схему сети.

Какие VLAN у вас есть?

Какая адресация?

Какой вы используете ACL?

(если у вас реальные адреса - замените первые два октета на 10.10, например)

New Member

Re: Ask the Expert: Cisco ISE, особенности инста

1. Не использую динамические виланы.

2. Конфиг интерфейса:

!

interface GigabitEthernet3/0/5

switchport access vlan 70

switchport mode access

switchport voice vlan 40

ip device tracking maximum 2

ip access-group ACL-DEFAULT in

srr-queue bandwidth share 10 10 60 20

srr-queue bandwidth shape 10 0 0 0

queue-set 2

authentication event fail action next-method

authentication event server dead action authorize vlan 70

authentication event server alive action reinitialize

authentication host-mode multi-domain

authentication open

authentication order dot1x mab

authentication priority dot1x mab

authentication port-control auto

authentication violation restrict

mab

mls qos trust cos

dot1x pae authenticator

dot1x timeout tx-period 10

auto qos trust

spanning-tree portfast

end

!

ip access-list extended ACL-DEFAULT

permit udp any eq bootpc any eq bootps

remark DHCP

permit udp any any eq domain

remark Drop all the rest

permit tcp any any range 2000 2002

remark SCCP signaling

permit udp any any range 16384 32767

remark Ping

permit tcp any any eq 88

permit udp any any eq 88

remark Kerberos

permit udp any any eq ntp

remark NTP

permit tcp any any eq 135

remark RPC

permit udp any any eq netbios-ns

remark NetBIOS-Nameservice

remark tcp any any eq 139

remark NetBIOS-SSN

permit tcp any any eq 389

permit udp any any eq 389

remark LDAP

permit tcp any any eq 445

remark MS-DC/SMB

permit tcp any any eq 636

permit udp any any eq 636

remark LDAP w/ SSL

permit tcp any any eq 1025

permit tcp any any eq 1026

remark non-standard RPC

deny   ip any any log

end

!

3.

Servernaya#sh authe se int g3/0/5

            Interface:  GigabitEthernet3/0/5

          MAC Address:  6c62.6dd2.492c

           IP Address:  10.10.250.22

            User-Name:  CN=PC_141.xxxx.local

               Status:  Authz Success

               Domain:  DATA

      Security Policy:  Should Secure

      Security Status:  Unsecure

       Oper host mode:  multi-domain

     Oper control dir:  both

        Authorized By:  Authentication Server

           Vlan Group:  N/A

              ACS ACL:  xACSACLx-IP-PERMIT_ALL_TRAFFIC-4fe7f797

      Session timeout:  N/A

         Idle timeout:  N/A

    Common Session ID:  0A0AFD01000057E011F6DCC2

      Acct Session ID:  0x00005B82

               Handle:  0xC8000909

Runnable methods list:

       Method   State

       dot1x    Authc Success

       mab      Not run

----------------------------------------

            Interface:  GigabitEthernet3/0/5

          MAC Address:  001e.4a34.ba4a

           IP Address:  10.10.100.22

            User-Name:  00-1E-4A-34-BA-4A

               Status:  Authz Success

               Domain:  VOICE

      Security Policy:  Should Secure

      Security Status:  Unsecure

       Oper host mode:  multi-domain

     Oper control dir:  both

        Authorized By:  Authentication Server

          Vlan Policy:  40

              ACS ACL:  xACSACLx-IP-PERMIT_ALL_TRAFFIC-4fe7f797

      Session timeout:  N/A

         Idle timeout:  N/A

    Common Session ID:  0A0AFD01000057EF11F6E914

      Acct Session ID:  0x00005B91

               Handle:  0xCE00018A

Runnable methods list:

       Method   State

       dot1x    Failed over

       mab      Authc Success

Servernaya#sh ip acce

Servernaya#sh ip access-lists int g3/0/5

     permit ip host 10.10.250.22 any (722 matches)

     permit ip host 10.10.100.22 any

Servernaya#

Даная конфигурация рекомендована дизайн гайдом, но очевидно, что в случае срабатывания critical auth, pacl

ACL-DEFAULT не пропустит трафик.

Cisco Employee

Re: Ask the Expert: Cisco ISE, особенности инста

Алексей,

Я предлагаю обсудить это отдельно, в письме.

Пока у меня чёткое ощущение, что вы смешиваете две концепции, которые не должны применяться одновременно. Извините, что пока ответ такой не развёрнутый.

New Member

Re: Ask the Expert: Cisco ISE, особенности инста

Добрый день, Ирина.

В большинстве российских продуктов VPN-доступа (Континент,ФПСУ итп) нет поддержки RADIUS, и варинт с Inline Posture node не работает. Приходится докупать дополнитльно NAC.

Существуют ли другие решения для таких случаев?

Планируется ли перенос соответсвующего функционала NAC в ISE в будущих версиях?

Когда планируется выход ISE 2.0 с поддержкой TACACS?

Cisco Employee

Ask the Expert: Cisco ISE, особенности инсталл

Добрый день,

Говорить о точной дате выхода ISE 2.0 ещё очень рано. Могу только сказать, что сейчас эта версия планируется на осень следующего года.

В настоящее время ISE поддерживает только RADIUS. К сожалению, необходимо использовать NAC server.

С уважением,

Ирина

New Member

Ask the Expert: Cisco ISE, особенности инсталл

Ирина, добрый день

подскажите пожалуйста, что представляет собой позиция L-ISE-VM-K9=

Это образ ПО ISE для установки на уже имеющуюся у заказчика VMware ESX/ESXi 4.x and 5.x?

Или это образ ПО ISE сразу вместе с VMware – чтобы сразу на голый сервер ставить?

заказчик желает переходить с VMWare на Hyper-V. можно ли ISE v 1.1 поставить на Hyper-V?

Cisco Employee

Re: Ask the Expert: Cisco ISE, особенности инста

Добрый день, Кирило,

Это entitlement key для виртуальной машины с ISE. Вы можете выбрать вариант с доставкой письмом - а можете выбрать вариант с отправкой письма по email'y. Как раз буква L- это для варианта с email'ом.

В настоящее время поддерживается VMware ESX or ESXi 4.X hypervisor.

Пока поддержка Hyper-V только планируется. Я не могу сказать точно, когда она будет добавлена. Я прошу вас обратиться в наш локальный офис, чтобы мы могли сообщить в центр разработки о том, что в России есть заказчики, которые планируют использовать Hyper-V. Мы собираем такие запросы и направляем их в центр разработки - для того, чтобы приоритезировать добавление поддержки Hyper-V.

New Member

Ask the Expert: Cisco ISE, особенности инсталл

Добрый день Ирина,

1. Поясните пожалуйста по Cisco ISE X Year Advanced/Wireless лицензиям с временем жизни в 3 и 5 лет. Для чего такое сделано? И как быть по истечению их сроков действия? Что произойдет если срок будет просрочен?

2. Можно ли использовать ISE для перенаправления запросов от беспроводных клиентов в Microsoft AD в зависимости от того к какому BSID`у подключается беспроводной клиент?

3. Если используется кластер из двух ISE, обязательно ли прописывать оба ip адреса этих нод на устройствах с которых будут приходить запросы AAA или ip адрес активной ноды умеет мигрировать на бэкапную ноду?

Cisco Employee

Re: Ask the Expert: Cisco ISE, особенности инста

Добрый день, Александр,

Сделано это для того, чтобы раз в несколько лет вы платили Cisco ещё немножко денег и на них мы могли улучшать наши замечательные продукты :-)

Незадолго до истечения срока действия лицензии желательно обновить лицензию. Если вы решите не использовать больше advanced features, то есть не обновлять лицензию, вам будет необходимо сделать backup, а затем переустановить ISE - и восстановить данные из backup'а. В противном случае ISE не сможет понять, что вы решили не использовать больше advanced features, т.к. они использовались в конфигурации ранее (даже если вы удалите их из конфигурации).

По истечении срока действия лицензии произойдут неприятные, но не фатальные события. Во-первых, система будет генерировать алармы об истечении срока действия лицензии. Во-вторых, доступ к административному интерфейсу будет заблокирован - вместо него вы будете видеть страницу лицензирования, которая будет предлагать купить новую лицензию. Наконец, пользовательские аутентификации и авторизации будут происходить так же, как и раньше - то есть не будут затронуты.

Можно использовать calling-station-id, и в зависимости от того, какой там SSID, перенаправлять в AD.

IP адрес не мигрирует. Сертификаты тоже должны присутствовать на каждой ноде. Более того, автоматически failover не происходит. Вам необходимо залогиниться на Secondary Node и вручную повысить эту ноду до Primary, в случае необходимости сделать failover.

Если говорить о PSN, то у них достаточно сложный механизм распределения нагрузки и резервирования. Если они находятся в одном L2 сегменте, то их можно объединить в node group. Тогда они будут обмениваться между собой информацией о своём статусе с использованием мультикаста. Но в любом случае их необходимо располагать за load balancer'ом, если вы хотите, чтобы использовался один адрес (а это необходимо, если вы делаете posture, т.к. в конфигурации агента будет только один сервер).

New Member

Re: Ask the Expert: Cisco ISE, особенности инста

Ирина,

Подскажите наиболее вменяемый Deployment Guide ( Configuration Guide или т.п.) для настройки ISE for BYOD.

Я нашел документ Wireless ISE with BYOD от 9/26/2012, который мне показался наиболее грамотным, но в нем описаны только основы ( Profiling).

Что вы можете порекомендовать для настройки Provisioning, Posture, возможно Security Group Access.

По текущему Conf. Guide разобраться тяжелее, хотелось бы что-то на подобие упомянутого документа.

Спасибо.

Алексей Белоусов.

Cisco Employee

Re: Ask the Expert: Cisco ISE, особенности инста

Добрый день, Алексей,

Посмотрите на нашем сайте раздел partner education connection, который находится в Partners->Partner Support (если он вам доступен, конечно). Там есть большое количество интересных материалов в разделе ISE Lab Walkthrough Series. Из недавно опубликованного есть, например, Wireless and BYOD Lab Walkthrough - почти трёхчасовый фильм.

К сожалению, в основном это видеоматериалы, но, может быть, вы сможете найти для себя что-нибудь интересное.

3006
Просмотры
0
Полезный материал
22
Ответы
СоздатьДля создания публикации, пожалуйста в систему