نشر وضع ISE

المقدمة

يصف هذا وثيقة بعض خط أساسي تشكيل أن يتناول عدة حالات إستخدام مع حالة مبنية على إعادة توجيه.

قيود

تعمل التكوينات الواردة في هذا المستند لأجهزة Cisco NAD، ولكن ليس بالضرورة لأجهزة NAD من إنتاج جهات أخرى.

سلوك عميل الوضع

يمكن لعميل الوضع تشغيل المسابير في هذه الأوقات:

• تسجيل الدخول الأولي
• تغيير طبقة 3 (L3)/تغيير بطاقة واجهة الشبكة (NIC) (عنوان IP جديد، تغيير حالة NIC)

حالات الاستخدام 

أستخدم الحالة 1 - تفرض إعادة مصادقة العميل NAD لإنشاء معرف جلسة جديد.

في حالة الاستخدام هذه، لا يزال العميل متوافقا، ولكن بسبب إعادة المصادقة، يكون NAD في حالة إعادة التوجيه (عنوان URL وقائمة الوصول المعاد توجيههما).

وبشكل افتراضي، يتم تكوين محرك خدمات الهوية (ISE) لإجراء تقييم للوضع في كل مرة يتصل فيها بالشبكة، وبشكل أكثر تحديدا لكل جلسة عمل جديدة.

يتم تكوين هذا الإعداد ضمن "مراكز العمل" > Posture (وضعية) > Settings (إعدادات) > Posture (وضعية الإعدادات العامة).

لمنع NAD من إنشاء معرف جلسة جديد على إعادة المصادقة، قم بتكوين قيم إعادة المصادقة هذه في ملف تعريف التخويل. وحدة توقيت إعادة المصادقة المعروضة ليست توصية قياسية وتأخذ في الاعتبار وحدات توقيت إعادة المصادقة لكل عملية نشر استنادا إلى نوع الاتصال (لاسلكي/سلكي) والتصميم (ما هي قواعد الاستمرار على موازن التحميل) وما إلى ذلك.

السياسة > عناصر السياسة > النتائج > التخويل > توصيفات التخويل

في المحولات، يلزمك تكوين كل واجهة، أو قالب، للحصول على مؤقت إعادة المصادقة الخاص بها من ISE. 

authentication timer reauthenticate server

ملاحظة: في حالة وجود موازن حمل، تحتاج إلى التأكد من تكوين الاستمرارية بطريقة يمكن بها إرجاع عمليات إعادة المصادقة إلى خدمة النهج الأصلية (PSN).

أستخدم الحالة 2 - يتم تكوين المحول باستخدام الأمر MAB DOT1X والأولوية DOT1X MAB (سلكي).

في هذه الحالة يمكن إنهاء عمليات إعادة المصادقة، لأن توقف المحاسبة لجلسة 802.1x يمكن أن يتم إرسالها عندما يتم محاولة تمرير مصادقة MAC (MAB) أثناء إعادة المصادقة.

• نقطة توقف المحاسبة التي يتم إرسالها لعملية MAB عند فشل المصادقة صحيحة، حيث يتغير اسم المستخدم للعميل من اسم مستخدم 802.1X إلى اسم مستخدم MAB.
• Dot1x كمعرف الأسلوب في توقف المحاسبة صحيح أيضا حيث أن طريقة التخويل كانت dot1x.
• عندما تنجح طريقة Dot1x، فإنها ترسل بداية محاسبة بمعرف الأسلوب على هيئة dot1x. وهنا أيضا، هذا السلوك هو كما هو متوقع.

لحل هذه المشكلة، قم بتكوين Cisco-av-pair:termination-action-modifier=1 على ملف تعريف AuthZ المستخدم عندما تكون نقطة النهاية متوافقة. يحدد زوج قيمة السمة (AV) هذا أن NAD يعيد إستخدام الطريقة المختارة في المصادقة الأصلية بغض النظر عن الأمر الذي تم تكوينه.

أستخدم الحالة 3 - تنتقل عمليات التجوال الخاصة بالعملاء اللاسلكيين والمصادقة الخاصة بنقاط الوصول المختلفة إلى وحدات تحكم مختلفة.

في هذه الحالة، يلزم تصميم الشبكة اللاسلكية بحيث تستخدم نفس وحدة التحكم النشطة نقاط الوصول (APs) الواقعة ضمن نطاق الوصول إلى نقاط الوصول الأخرى المخصصة للتجوال. وأحد الأمثلة على ذلك هو تجاوز فشل نقل بيانات الحالة (SSO) لوحدة تحكم الشبكة المحلية اللاسلكية (WLC). للحصول على مزيد من المعلومات حول SSO (HA) عالية التوفر لمركز التحكم في الشبكة المحلية اللاسلكية (WLC)، راجع دليل نشر التوافر العالي (SSO).

أستخدم الحالة 4 - عمليات النشر المزودة بوحدات موازنة الأحمال (حزمة التصحيح 6 من نوع PRE 2.6 و 2.7 Patch P2 و 3.0).

في عمليات النشر التي تتضمن موازن التحميل، من المهم التأكد من أنه بعد إجراء التغييرات في حالات الاستخدام السابقة، تستمر الجلسات في الانتقال إلى نفس PSN. قبل الإصدار/برامج التصحيح المدرجة لهذه الخطوة، لا يتم نسخ حالة الوضع نسخا متماثلا بين العقد عبر Light Data Dirrouting (المعروف سابقا باسم Light Session Directory). ولهذا السبب، من الممكن أن ترجع شبكات PSN المختلفة نتائج حالة الوضع المختلفة.

إن لا يشكل مثابرة يكون بشكل صحيح، جلسة أن reauthentication يستطيع ذهبت إلى PSN مختلف من أن كان استعملت أصلا. إذا حدث ذلك، فيمكن أن يقوم PSN الجديد بوضع علامة غير معروف على حالة توافق الجلسات وتمرير نتيجة المصادقة مع قائمة التحكم بالوصول المباشر (ACL)/URL والحد من الوصول إلى نقاط النهاية. مرة أخرى، لن يتم التعرف على هذا التغيير في NAD بواسطة وحدة الوضع ولن يتم تشغيل المسابير.

للحصول على مزيد من المعلومات حول كيفية تكوين موازين التحميل، راجع دليل نشر Cisco & F5: موازنة حمل ISE باستخدام IP الكبير. وهو يوفر نظرة عامة عالية المستوى وتهيئة خاصة بعامل F5 لتصميم أفضل الممارسات لعمليات نشر معيار ISE في بيئة متوازنة للتحميل.

إستخدام الحالة 5 - يتم الاستجابة إلى إختبارات اكتشاف المرحلة 2 بواسطة خادم مختلف عن العميل الذي تتم مصادقته مع (حزمة تصحيح 6 قبل 2.6 و 2.7 و 3.0).

ألق نظرة على المسابير ضمن المربع الأحمر في هذا الرسم التخطيطي..

تقوم PSNs بتخزين بيانات الجلسة لمدة خمسة أيام، لذلك في بعض الأحيان تظل بيانات الجلسة لجلسة عمل "متوافقة" موجودة على PSN الأصلي حتى إذا لم يعد العميل يصدق مع تلك العقدة. إذا تم الرد على المسابير الموجودة في المربع الأحمر بواسطة PSN آخر من الذي يصادق الجلسة حاليا وأن PSN قد امتلك سابقا وقام بوضع علامة متوافقة مع نقطة النهاية هذه، فمن الممكن أن يكون هناك عدم تطابق بين حالة الوضع للوحدة النمطية على نقطة النهاية و PSN الحالي الذي تتم مصادقته.

فيما يلي بعض السيناريوهات الشائعة حيث يمكن أن يحدث عدم التطابق هذا:

• لا يتم تلقي توقف محاسبة لنقطة نهاية عند قطع إتصالها بالشبكة.
• فشل NAD من PSN إلى آخر.
• يقوم موازن التحميل بإعادة توجيه المصادقات إلى شبكات PSN مختلفة لنفس نقطة النهاية.

لحماية من هذا السلوك، يمكن تكوين ISE للسماح فقط باستكشافات الاكتشاف من نقطة نهاية معينة للوصول إلى PSN الذي تتم المصادقة عليه حاليا. للحصول على هذا الإجراء، قم بتكوين سياسة تفويض مختلفة لكل PSN في النشر الخاص بك. في هذه السياسات، راجع ملف تعريف مصادقة (AuthZ) مختلف يحتوي على قائمة تحكم في الوصول قابلة للتنزيل (DACL) التي تسمح بالبحث فقط إلى PSN المحدد في حالة AuthZ. راجع هذا المثال:

يحتوي كل PSN على قاعدة لحالة الوضع غير المعروف:

يشير كل ملف تخصيص منفرد إلى DACL مختلف.

ملاحظة: بالنسبة للشبكة اللاسلكية، أستخدم قوائم التحكم في الوصول (ACL) إلى Airespace.

لا تسمح كل قائمة تحكم في الوصول إلى البنية الأساسية (DACL) إلا بالوصول إلى PSN الذي يعالج المصادقة.

في المثال السابق، 10.10.10.1 هو عنوان IP الخاص ب PSN 1. يمكن تغيير قائمة التحكم في الوصول (DACL) المشار إليها لأي خدمات/IPs إضافية حسب الحاجة، ولكنها تحد من الوصول إلى PSN الذي يتعامل مع المصادقة فقط.

Behavior Change Post 2.6 Patch 6 و 2.7 Patch 2 و 3.0

تمت إضافة حالة الوضع إلى دليل جلسة RADIUS من خلال إطار عمل توزيع البيانات الخفيفة. في كل مرة يتم تلقي تحديث حالة الوضع على أي PSN، يتم نسخه نسخا متماثلا إلى جميع PSN في النشر. ما إن يكون هذا تغير ساري المفعول، أزلت التأثيرات من تصديق و أو إختبار أن يبلغ PSN مختلف على صحة هوية مختلف و أي PSN يستطيع الرد إلى كل نقطة نهاية regardless of where هم يكونون حاليا مصدقين.

في حالات الاستخدام الخمسة في هذا المستند، ضع في الاعتبار هذه السلوكيات:

أستخدم الحالة 1 - تفرض إعادة مصادقة العميل NAD لإنشاء معرف جلسة جديد. لا يزال العميل متوافقا، ولكن بسبب إعادة المصادقة، فإن NAD في حالة إعادة التوجيه (عنوان URL وقائمة الوصول المعاد توجيهها).

- لا يتغير هذا السلوك وما يزال يمكن تنفيذ هذا التكوين على ISE و NADs.

أستخدم الحالة 2 - يتم تكوين المحول باستخدام الأمر MAB DOT1X والأولوية DOT1X MAB (سلكي).

- لا يتغير هذا السلوك وما يزال يمكن تنفيذ هذا التكوين على ISE و NADs.

أستخدم الحالة 3 - تنتقل عمليات التجوال الخاصة بالعملاء اللاسلكيين والمصادقة الخاصة بنقاط الوصول المختلفة إلى وحدات تحكم مختلفة.

- لا يتغير هذا السلوك وما يزال يمكن تنفيذ هذا التكوين على ISE و NADs.

إستخدام الحالة 4 - عمليات النشر باستخدام وحدات موازنة الأحمال.

- لا يزال من الممكن اتباع أفضل الممارسات المحددة في دليل موازنة الأحمال، ولكن في حالة إعادة توجيه عمليات المصادقة إلى شبكات PSN مختلفة بواسطة موازن التحميل، يمكن إرجاع حالة الوضع الصحيحة إلى العميل.

إستخدام الحالة 5 - يتم الاستجابة لمستكشفات المرحلة 2 بواسطة خادم مختلف عن الخادم الذي تمت مصادقة العميل عليه

- لا يمكن أن تكون هذه مشكلة تتعلق بالبنية الجديدة وموجز التفويض لكل PSN غير ضروري.

الاعتبارات عند الاحتفاظ بنفس معرف جلسة العمل

عندما تستخدم الطرق الواردة في هذا المستند، فمن المحتمل أن يظل المستخدم المتصل بالشبكة متوافقا لفترات طويلة من الوقت. على الرغم من أنها تعيد المصادقة، فإن معرف جلسة العمل لا يتغير وبالتالي يستمر ISE في تمرير نتيجة AuthZ لقاعدة مطابقة حالة التوافق.

وفي هذه الحالة، يلزم تكوين عملية إعادة التقييم الدوري بحيث تكون الوضعية مطلوبة للتأكد من أن نقطة النهاية لا تزال متوافقة مع سياسات الشركة على فترات محددة.

يمكن تكوين هذا ضمن مراكز العمل > الوضع > الإعدادات > تكوينات الخدمة.