Устранение неполадок ISE Cisco без TAC

1. Отладка на конечную точку (ISE 1.3+)
2. Дедупликация и аномальное подавление конечной точки (1.2+)
3. Счетчики дашлетов выше Live Log (1.2+)
4. Ключевые действия от Live-Log (1.3+)
5. Live Log RegEx (1.3+)
6. Представление дерева для соответствия политики (1.3+)
7. Диагностика Active Directory (1.3+)
8. TCPDump из центрального графического интерфейса (1.0+)
9. Подробный отчет об аутентификации (1.0+)
10. Скачать логи из GUI (1.0+)
11. Предварительный просмотр портала (1.3+)
12. Кнопка тестирования портала (1.3+)
13. Ссылка на информационную поддержку на всех конечных пользовательских порталах (1.3+)
14. Пакеты поддержки временного диапазона (1,3+)
15. Предустановленные умные значения по умолчанию и политики (2.0+)

Одна вещь, которой я очень увлечен, - это упрощение развертывания безопасного доступа к сети, которое включает в себя то, что мы называем удобством обслуживания. Удобство обслуживания заключается в том, чтобы упростить поиск и устранение неисправностей, развернуть и использовать продукт. В конечном итоге цель всегда заключается в успехе клиента.

Существует четкая корреляция между видимостью и успехом любого проекта NAC. Если вы слепы к тому, что происходит, и если вы не можете легко получить информацию, которая помогает выяснить, в чем дело, это может быть очень неприятно, а также создает впечатление плохого развертывания.

Моя цель этого поста состоит в том, чтобы осветить многие элементы удобства обслуживания, которые Cisco добавила в ISE, о которых вы, возможно, не знаете. Я приложу все усилия, чтобы не только вызвать функцию или функцию, которая была добавлена, но и объяснить, почему это важно и в какой версии это было добавлено.

Отладка на конечную точку (ISE 1.3+)

Это одна из моих любимых функциональных возможностей, которую можно добавить, и, пожалуй, одна из самых полезных. ISE - это не просто продукт; это решение с множеством движущихся частей, и у каждой из этих частей могут быть разные журналы, через которые вам или TAC, возможно, придется просеять. Функция отладки для каждой конечной точки была добавлена ​​в ISE 1.3 и предоставляет единый файл отладки для всех компонентов (RADIUS, Guest, Profiling и т. Д.) Для конкретной конечной точки во всем сеансе - во всем развертывании!

Таким образом, если конечная точка профилируется в DC восточного побережья и DC западного побережья одновременно, все это все равно будет отображаться в едином консолидированном файле отладки. Он предотвращает необходимость включать отладку на самих компонентах для всех конечных точек и вместо этого фокусирует отладку. Это невероятно элегантно и помогает продвинутым администраторам и инженерам TAC значительно сократить время решения при возникновении проблемы.

Аарон Т. Воланд

Рисунок 1 - инструмент отладки конечной точки

Дедупликация и аномальное подавление конечной точки (1.2+)

Многие из вас также слышали, как я разглагольствовал о соискателях конечных точек и о том, как они себя ведут. Возможно, вы читали мой пост о том, почему использовать Wildcard / WildSAN сертификаты облегчить болезненный симптом плохого поведения конечной точки. Мы даже добавили функциональность в TEAP (RFC-7170), чтобы помочь с этим поведением, предоставив список сертификатов сервера для доверия запрашивающей стороне. Я не буду перефразировать всю эту боль здесь; вместо этого я покажу вам одну из вещей, которые мы сделали на стороне сервера RADIUS (ISE), чтобы помочь уменьшить трату времени на хранение / масштабирование журналов на плохо функционирующих конечных точках.

До ISE 1.2 каждый запрос аутентификации создавал бы запись журнала 12 КБ, которая должна была быть сохранена. Когда плохое поведение конечной точки вызывает миллионы неудачных аутентификаций в день, это хранит МНОГО данных журнала.

Начиная с ISE 1.2, ISE подавляет аномальных клиентов по умолчанию, сохраняя только одну запись, а затем регистрируя каждый раз, когда та же самая точная запись была получена. Это позволило сэкономить огромное количество обработки и хранения журналов и обеспечить более высокий масштаб.

Аарон Т. Воланд

Рисунок 2 - Подавление

Изучая скриншот выше:

• Интервал обнаружения будет помечать некорректно поступающие соискатели, если они не пройдут аутентификацию более одного раза за интервал.
• Интервал между отчетами отправляет сигнал тревоги из PSN в MNT каждые X минут.
• Интервал отклонения запроса прекращает отправку журналов для повторных сбоев аутентификации для той же конечной точки в течение интервала отклонения (Подавляет журналы). Примечание: успешная аутентификация очистит все флаги.
• Отклонить запросы после обнаружения. Как только конечная точка находится в интервале отклонения, любые запросы с одним и тем же идентификатором вызывающей станции (Mac-адрес), NAD (NAS-IP-адрес) и причиной сбоя будут отправлены с отклонением доступа, и счетчик будет увеличиваться на 1 + отметка времени. Этот журнал отправляется с указанным выше «Интервалом отчетности».

Ниже горизонтальной линии вы заметите возможность дедупликации успешных аутентификаций.

• Подавить повторное успешно. Применяет дедупликацию и подавляет журналы от MnT.
• Интервал подавления учета. Останавливает отправку журналов учета за тот же сеанс в течение этого настроенного интервала.
• Длинный шаг обработки пороговый интервал. Обнаруживает и регистрирует тайм-ауты повторной передачи NAS для шагов аутентификации, которые превышают этот порог. Это относится к задержке шага, которая видна в отчете Сведения об аутентификации.

Счетчики дашлетов выше Live Log (1.2+)

Дедупликация - это очень приятное и долгожданное изменение, но оно оставляет некоторые пробелы, которые необходимо устранить. Live Log - это первый экран, который будет использоваться при устранении неполадок при входе в систему. Однако, если записи не отображаются в Живом Журнале из-за того, что они подавляются, это оставляет администратора в очень плохом положении, не видя происходящего.

Итак, мы добавили ключевые счетчики в верхней части экрана Live Log, чтобы помочь обеспечить видимость. Вы можете увидеть эти счетчики на рисунке 3 ниже.

Аарон Т. Воланд

Рисунок 3 - Ключевые счетчики в реальном журнале

Администратор будет видеть, что счетчики повторов, неверно сконфигурированного соискателя и счетчики падений RADIUS продолжают увеличиваться. Нажмите на один из счетчиков, и вы попадете в список предметов, которые увеличивают счетчики.

Ключевые действия от Live-Log (1.3+)

Теперь вы можете видеть, какие конечные точки вызывают увеличение счетчиков, т.е. какие из них подавляются. При устранении неполадок может потребоваться обойти подавление, чтобы гарантировать, что все журналы поступают в оперативный журнал, независимо от того, что, но только для этой конечной точки. Таким образом, вы не отключаете дедупликацию для всего развертывания и не открываете эти шлюзы. Вместо этого он применяется только к одной конечной точке.

Живой журнал был расширен, чтобы включить возможность обхода подавления в течение одного часа с помощью щелчка правой кнопкой мыши (ISE 1.3 - 2.0) и с помощью значка цели Actions в ISE 2.1, как показано на рисунке 4.

Аарон Т. Воланд

Рисунок 4 - Обходная фильтрация подавления в течение 1 часа

Возможность обхода подавления событий не ограничивается только контекстным меню в Живом Журнале. Он также существует в фильтрах коллекции, расположенных в разделе Администрирование> Система> Ведение журнала> Фильтры коллекции , как показано на рисунке 5.

Аарон Т. Воланд

Рисунок 5 - Фильтры коллекции (1.2+)

Live Log RegEx (1.3+)

В ISE 1.3 была добавлена ​​возможность использовать негативную фильтрацию в полях быстрой фильтрации. Помимо просто негативной фильтрации, это была на самом деле полная возможность RegEx, что значительно облегчало поиск того, что вам действительно нужно, в Live Log. На рисунке 6 показан пример в версии 2.0 и ниже. На рисунке 7 показана новая фильтрация в ISE 2.1, которая предоставляет графический способ использования расширенных фильтров.

Аарон Т. Воланд

Рисунок 6 - RegEx в Live Log 2.0 и ниже

Аарон Т. Воланд

Рисунок 7 - Фильтрация в Live Log 2.1 и выше

Представление дерева для соответствия политики (1.3+)

Когда политика является многоуровневой, может быть довольно сложно быстро распознать «путь», который проходит сеанс аутентификации через эту политику. Древовидное представление было добавлено в Живой журнал и в отчеты, чтобы показать набор политик> Правило протокола аутентификации> Правило хранилища идентификаторов и Набор политик> Правило авторизации, которым следовал сеанс. Это показано на рисунке 8.

Аарон Т. Воланд

Рисунок 8 - Вид дерева

Диагностика Active Directory (1.3+)

В ISE 1.3 соединитель Active Directory был заменен на тот, который мог поддерживать Multi-Forest, Multi-Join, доменные белые списки и многое другое. Одним из фантастических улучшений, которые не получают достаточного количества кредитов, является инструмент диагностики.

Встроенный инструмент был разработан, чтобы предоставить администратору ISE всю возможную информацию, чтобы помочь им диагностировать проблемы. Вы можете перевести это, чтобы «предоставить достаточно подробностей, чтобы дать команде Active Directory в вашей компании неопровержимые доказательства, если что-то может быть ошибкой AD, а не ошибкой ISE»:

Аарон Т. Воланд

Рисунок 9 - Диагностика Active Directory

TCPDump из центрального графического интерфейса (1.0+)

Со времени первого выпуска ISE было известно, что захват пакетов чрезвычайно важен для эффективного устранения неполадок. Вместо того, чтобы просто включать утилиту TCPDump на каждом из узлов ISE, был сделан вызов для централизованного управления им через графический интерфейс. Из этого централизованного местоположения вы можете настроить TCPDump на любой интерфейс на любом узле во всем развертывании и загрузить результат на локальный компьютер - через графический интерфейс, как показано на рисунке 10.

Аарон Т. Воланд

Рисунок 10 - TCPDump

Подробный отчет об аутентификации (1.0+)

Начиная с версии 1.0, у ISE был невероятный инструмент для устранения неполадок, который в одиночку отвечал за решение подавляющего большинства случаев. Это какой-то волшебный портал? Нет, это просто подробный отчет об аутентификации. Просто нажмите на увеличительное стекло в Live Log. Он предоставляет обзор аутентификации, каждой доступной детали и даже включает каждый шаг, который произошел в ISE - от получения запроса доступа RADIUS до ответа RADIUS.

Кроме того, когда любой шаг занимает больше времени, чем обычно, в отчете указывается задержка шага. Высокопоставленный член TAC сказал, что включение задержки было «лучшей функцией когда-либо». :) На рисунке 11а показан фрагмент подробных отчетов об аутентификации, а на рисунке 11b показана задержка шага в действии.

Аарон Т. Воланд

Рисунок 11a - Подробный отчет об аутентификации

Аарон Т. Воланд

Рисунок 11b - Задержка

Скачать логи из GUI (1.0+)

Узлы ISE имеют очень подробные файлы журналов в базовой операционной системе. Вы можете загрузить эти журналы для любого узла в развертывании из централизованного графического интерфейса начиная с 1.0. Это улучшилось с течением времени, но всегда было там. Если бы это было в алфавитном порядке. :)

Аарон Т. Воланд

Рисунок 12 - Журналы загрузки

Предварительный просмотр портала (1.3+)

При создании порталов с ISE 1.3 или выше есть страница настройки портала WYSIWYG с автоматическим предварительным просмотром того, как портал будет выглядеть в мобильном размере.

Аарон Т. Воланд

Рисунок 13 - Предварительный просмотр портала

Кнопка тестирования портала (1.3+)

В дополнение к предварительному просмотру портала, открывается пример сохраненной конфигурации портала, который позволяет вам тестировать функциональность без фактического подключения к порталу. На рисунке 13 показана ссылка на тестирование портала, а на рисунке 14 показано

Аарон Т. Воланд

Рисунок 14 - Тест портала

Ссылка на информационную поддержку на всех конечных пользовательских порталах (1.3+)

Наряду со всеми новыми улучшениями портала, появившимися в ISE 1.3, на большинстве порталов (Гость, Спонсор, BYOD, MDM, Мои устройства) есть возможность предлагать «информацию о поддержке». Если он настроен, он будет содержать информацию, которая поможет справочной службе, если у кого-то возникнут проблемы. Информация - это то, что конечные пользователи могут не знать, как получить иначе (MAC-адрес, IP-адрес, пользовательский агент браузера, сервер политики и коды сбоев), как показано на рис. 15a и рис. 15b.

Аарон Т. Воланд

Рисунок 15a - Информация о поддержке

Аарон Т. Воланд

Рисунок 15b - Информация о поддержке

Пакеты поддержки временного диапазона (1,3+)

Пакеты поддержки - еще один спасатель для случаев TAC. Они создают одну зашифрованную пачку файлов, экспорт БД, конфигурации - в основном все, что нужно TAC, чтобы помочь устранить первопричину. В версии 1.3 ISE была добавлена ​​возможность привязывать этот пакет к указанному временному диапазону, как показано на рисунке 16. Это помогает уменьшить размер файла и гарантировать, что только соответствующие журналы регистрируются как часть пакета.

Аарон Т. Воланд

Рисунок 16 - Пакет поддержки на основе времени

Предустановленные умные значения по умолчанию и политики (2.0+)

Даже в версии 1.3 были добавлены некоторые умные значения по умолчанию, такие как предварительно созданные последовательности источника идентификаторов, которые включают в себя все точки соединения Active Directory и предварительное определение продолжения MAB для правил MAB. Это было очень хорошее дополнение.

В 2.0 эти предопределенные интеллектуальные конфигурации продолжались. Они включают в себя предварительно созданные гостевые правила, предварительно установленные значения по умолчанию для регистрации и подключения BYOD, даже предварительно установленные профили Native Supplicant и шаблоны сертификатов. Я лично прошел путь от первого входа в ISE до полного функционирования с включенной поддержкой BYOD с использованием TLS и сертификатов менее чем за 25 минут.

На рисунке 17 показаны предварительно созданные правила авторизации для подключения и для принятия EAP-TLS после того, как устройство было подключено.

Аарон Т. Воланд

Рисунок 17 - Предварительно собранные правила BYOD

На рисунке 18 показан предварительно созданный результат авторизации. Обратите внимание, что он использует ACL с именем «ACL_WEBAUTH_REDIRECT». Если ваш WLC использует другой ACL для перенаправления, измените это значение для соответствия.

Аарон Т. Воланд

Рисунок 18 - Готовый профиль авторизации для NSP

На рисунке 19 показан предварительно настроенный профиль Native Supplicant. Он предварительно настроен на использование SSID с именем «ISE». Он также предварительно настроен на использование предварительно созданного шаблона сертификата и встроенного центра сертификации.

Аарон Т. Воланд

Рисунок 19 - Предварительно построенный собственный профиль соискателя

До выхода ISE 2.0 вам необходимо было подключиться к Интернету и загрузить помощников сетевого соискателя (NSA) для MAC и Windows. В версии 2.0+ они включены в установку. На рисунке 20 показаны предварительно установленные мастера NSA.

Аарон Т. Воланд

Рисунок 20. Предварительно установленные помощники настройки сети

ISE 1.4 и ниже требует от вас создания политик обеспечения клиента; по одному для каждого типа ОС. Начиная с ISE 2.0, они предварительно настроены для всех ОС, использующих предварительно установленные NSA и предварительно настроенные NSP. :) На рисунке 21 показаны эти предварительно созданные политики.

Аарон Т. Воланд

Рисунок 21. Предварительно созданные политики обеспечения клиента

В целом экономия времени только на посадку в BYOD составляет более двух часов.