상태 동기화 구성 및 문제 해결

다운로드 옵션

PDF (1.3 MB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (1.1 MB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (769.0 KB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2024년 10월 18일

문서 ID:222483

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 Cisco ISE(Identity Service Engine) 3.1 버전에 도입된 포스처 상태 동기화의 구성 및 사용에 대해 설명합니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

Cisco ISE의 상태 흐름
Cisco ISE의 상태 구성 요소 구성

모든 유형 대신 Posture 컨피그레이션이 있어야 합니다.

나중에 설명하는 개념을 더 잘 이해하려면 다음 단계를 거치는 것이 좋습니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

Cisco ISE 버전 3.1
Cisco Secure Client 5.0.00556

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

배경 정보

ISE Posture 플로우는 일반적으로 ISE의 클라이언트에서 포스처 상태를 업데이트할 수 없습니다. Cisco Secure Client Posture Module은 엔드포인트의 상태(Posture) 상태를 평가하고 네트워크 변경, 정기 재평가 또는 기타 클라이언트측이 트리거될 때까지 이를 유지하는 데 사용됩니다. 세션 종료 또는 기타 이유로 인해 ISE에서 엔드포인트 상태 상태가 변경되면 Secure Client Posture Module은 해당 변경 사항을 인식하지 못할 수 있으므로, 엔드포인트는 클라이언트측 트리거 중 하나가 발생할 때까지 네트워크 액세스가 제한된 상태 알 수 없음 상태로 유지됩니다.

이 문서는 새로운 기능, 즉 Posture Status Synchronization에 초점을 맞추고 있습니다. 이 기능은 이러한 종류의 문제를 해결하고 ISE가 엔드포인트의 현재 Posture Status에 대한 피드백을 Secure Client Posture Module에 제공할 수 있도록 개발되었습니다.

구성

Posture State Synchronization(포스처 상태 동기화)이 활성화된 경우 포스처 상태 프로브 포트가 각 ISE PSN 노드에 도입되었습니다(기본적으로 TCP 8449). 엔드 포인트 상태 상태가 알 수 없음 또는 보류 중 인 경우 엔드 포인트에서 연결 할 수 있어야 하고 엔드 포인트 상태가 규정 준수 인 경우 도달 할 수 없습니다.

네트워크 다이어그램

Network diagram

설정

포스처 상태 동기화 기능 컨피그레이션은 다음 두 부분으로 구성됩니다.

AnyConnect Posture 프로파일 컨피그레이션

1.1 Cisco ISE GUI에서 Policy(정책) > Policy Elements(정책 요소) > Results(결과) > Client Provisioning(클라이언트 프로비저닝) > Resources(리소스)로 이동합니다.

1.2 이미 사용 중인 AnyConnect Posture 프로파일을 선택하거나 새 프로파일을 생성합니다.

1.3 Agent Behavior(에이전트 동작) 영역에서 Posture State Synchronization Interval(포스처 상태 동기화 간격)을 1~300초 사이의 값으로 구성합니다. 0은 포스처 상태 동기화를 비활성화합니다

1.4 Posture Probing Backup List(포스처 프로빙 백업 목록)를 구성할 수 있습니다. 보안 클라이언트는 이 목록을 사용하여 선택한 PSN의 포스처 상태를 확인합니다. PSN을 선택하지 않으면 포스처 상태 동기화를 위한 백업으로 연결된 PSN과 두 개의 백업 서버가 사용됩니다.

Configuration

2. 클라이언트 포스처 상태가 Compliant 또는 Non-Compliant인 경우 Cisco ISE의 포스처 상태 동기화 포트에 대한 액세스를 차단하기 위한 dACL(downloadable ACL)의 구성 엔드포인트 상태가 알려진 경우 포스처 상태 동기화 포트에 대한 액세스를 제한하려면 규정 준수 엔드포인트에 사용되는 ACL의 맨 위에 있는 모든 PSN에 대해 포스처 상태 동기화 포트로 액세스 제어 거부 항목을 추가해야 합니다. 예를 들면 다음과 같습니다.

deny tcp any host PSN1-IP-ADDRESS eq 8449
deny tcp any host PSN2-IP-ADDRESS eq 8449
permit ip any any

permit ip any any는 필수 사항이 아니며 필요에 따라 규칙 집합으로 대체할 수 있습니다.

참고: dACL의 거부 항목이 구성되지 않은 경우 Cisco ISE 대시보드에서 상태 컨피그레이션 탐지 경보가 트리거되며 Cisco Secure Client가 다시 시작될 때까지 엔드포인트에서 상태 동기화가 비활성화됩니다.

Posture State Synchronization 포트(양방향 포트)는 클라이언트 프로비저닝 포털 컨피그레이션 페이지에서 변경할 수 있습니다. Administration(관리) > Device Portal Management(디바이스 포털 관리) > Client Provisioning(클라이언트 프로비저닝) > Select desired portal(원하는 포털) > Portal Behavior and Flow Settings(포털 동작 및 플로우 설정)로 이동하고 Portal Settings(포털 설정)를 엽니다. 기본 클라이언트 프로비저닝 포털의 상태 동기화 포트를 변경할 수 없습니다.

Portals Settings and Customization

다음을 확인합니다.

DART 번들에서

상태 동기화는 DART 번들의 Cisco Secure Client Posture Module 로그(AnyConnect_ISEPosture.txt)를 확인하여 클라이언트 측에서 확인할 수 있습니다.

1. 상태 평가가 완료, 상태 상태가 규정 준수 입니다.

2022/11/09 12:22:47 [Information] aciseagent Function: Authenticator::sendUIStatus Thread Id: 0xC60 File: authenticator.cpp Line: 1905 Level: debug  MSG_SU_STEP_STATUS, {Status:4,Compliant:2,RemStatus:2,Phase:0,StepNumber:-1,Progress:-1,Attention:1,Cancellable:0,Restartable:0,ErrorMessage:0,Description1:"Compliant.",Description2:"Network access allowed."}.

2. 상태 동기화 프로브가 시작되었습니다.

2022/11/09 12:22:47 [Information] aciseagent Function: PeriodicProbe::ProcessMessage Thread Id: 0xC60 File: periodic_probe.cpp Line: 143 Level: info  Session Sync Periodic Probing start. 
2022/11/09 12:22:47 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 335 Level: info  Session sync periodic probing thread start.

3. 포스처 상태 동기화 포트(8449)에서 ISE PSN에 대한 HTTPS 연결이 시작되었습니다.

2022/11/09 12:22:47 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 357 Level: debug  Sending http session sync periodic probe to [ISE-PSN-FQDN]. 
2022/11/09 12:22:47 [Information] aciseagent Function: HttpConnection::MakeRequest Thread Id: 0x296C File: httpconnection.cpp Line: 330 Level: debug  Url=https://ISE-PSN-FQDN:8449/auth/StateSynch.

4. 포스처 상태 동기화 프로빙 시간 초과.

2022/11/09 12:22:54 [Information] aciseagent Function: hs_transport_winhttp_post Thread Id: 0x296C File: hs_transport_winhttp.c Line: 5815 Level: debug  unable to send request: 12002. 
2022/11/09 12:22:54 [Information] aciseagent Function: hs_transport_post Thread Id: 0x296C File: hs_transport.c Line: 1425 Level: trace  posting data failed. 
2022/11/09 12:22:54 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 394 Level: debug  HTTP Probe failed/timed-out, Retrying...

클라이언트의 패킷 캡처에서

클라이언트에서 수행된 패킷 캡처는 ISE PSN의 SYN-ACK 응답 없이 포스처 상태 동기화 포트(8449)에서 ISE PSN 노드로 전송된 SYN 패킷을 보여줍니다.

From Packet Capture on the Client

ISE에서

Posture State Synchronization 포트(8449)의 연결이 실패해야 하므로 ISE측에서 Correct Posture Status Synchronization 컨피그레이션을 확인할 수 없습니다.

상태 상태 변경 시 상태 다시 시작

1) Cisco Secure Client가 "호환" 상태에 있는 동안 ISE에서 상태 정보가 "알 수 없음"으로 수신되었습니다.

2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 430 Level: debug  --- Http Response Headers ---. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  HTTP-Version: 1.1. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Status-Code: 200. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Connection: keep-alive. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Date: Wed, 09 Nov 2022 11:26:24 GMT. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Keep-Alive: timeout=20. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Content-Length: 0. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Server: server. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  X-Frame-Options: SAMEORIGIN. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Strict-Transport-Security: max-age=31536000; includeSubDomains. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  X-Content-Type-Options: nosniff. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; img-src 'self' http://www.cisco.com/ data:;. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  X-XSS-Protection: 1; mode=block. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Accept-CH: Sec-CH-UA-Arch, Sec-CH-UA-Full-Version, Sec-CH-UA-Mobile, Sec-CH-UA-Model, Sec-CH-UA-Platform-Version, Sec-CH-UA-Platform, Sec-CH-UA. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  X-ISE-POSTURE_STATUS: Unknown. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 442 Level: debug  --------------------.

2) Cisco Secure Client는 상태 변경을 승인하고 상태 검색을 재시작합니다.

2022/11/09 12:26:24 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 379 Level: debug  Different Session state on ISE = [ ISE-PSN-FQDN]. Restarting discovery. 
2022/11/09 12:26:24 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 387 Level: debug  MSG_NS_SWIFT_RESTART_SEARCH, {manualRescan:0,stopPeriodicProbe:1}. 
2022/11/09 12:26:24 [Information] aciseagent Function: SwiftHttpRunner::restartDiscovery Thread Id: 0xC60 File: swifthttprunner.cpp Line: 1431 Level: debug  Restarting Discovery.

3) Cisco Secure Client는 상태 평가가 수행될 때까지 상태 동기화를 중지합니다.

2022/11/09 12:26:24 [Information] aciseagent Function: SwiftHttpRunner::processMessage Thread Id: 0xC60 File: swifthttprunner.cpp Line: 383 Level: debug  Periodic Probes requested to be stopped. 
2022/11/09 12:26:24 [Information] aciseagent Function: SwiftHttpRunner::restartDiscovery Thread Id: 0xC60 File: swifthttprunner.cpp Line: 1436 Level: debug  MSG_PN_STOP_PERIODIC_PROBE sent. 
2022/11/09 12:26:24 [Information] aciseagent Function: SwiftHttpRunner::restartDiscovery Thread Id: 0xC60 File: swifthttprunner.cpp Line: 1437 Level: debug  MSG_PN_STOP_PERIODIC_PROBE, . 
2022/11/09 12:26:24 [Information] aciseagent Function: hs_transport_free Thread Id: 0xC60 File: hs_transport.c Line: 606 Level: trace  de-initialization done. 
2022/11/09 12:26:24 [Information] aciseagent Function: PeriodicProbe::ProcessMessage Thread Id: 0xC60 File: periodic_probe.cpp Line: 210 Level: debug  MSG_PN_STOP_PERIODIC_PROBE received.. 
2022/11/09 12:26:24 [Information] aciseagent Function: PeriodicProbe::ProcessMessage Thread Id: 0xC60 File: periodic_probe.cpp Line: 224 Level: debug  Periodic Probing stopped. 
2022/11/09 12:26:24 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 411 Level: info  Session sync periodic probing thread end.

문제 해결

상태 동기화가 시작되지 않음

AnyConnect_ISEPosture.txt 로그 파일에 포스처 상태 동기화 시작에 대한 표시가 없고 클라이언트가 포스처 상태 동기화 포트(8449)에서 ISE PSN 노드와의 연결을 설정하지 않는 경우 DART 번들에서 또는 Windows PC용 클라이언트 시스템에서 직접 포스처 구성 파일 ISEPostureCFG.xml을 확인하십시오. "%ProgramData%\Cisco\Cisco Secure Client\ISE Posture\"

상태 동기화를 담당하는 매개 변수는 "StateSyncProbeInterval"이며 0보다 큰 값으로 설정되어야 합니다.

Posture State Synchronization Does not Start

"StateSyncProbeInterval" 또는 "0" 값이 없으면 상태 동기화가 비활성화되었음을 의미합니다.

ISE의 Posture Profile에서 "Posture State Synchronization Interval"이 설정되었지만 클라이언트의 컨피그레이션 파일에 반영되지 않은 경우 Posture 프로비저닝을 조사해야 합니다.

ISE 대시보드에서 경보와 함께 상태 동기화 실패

ISE에서 포스처 상태 동기화가 경보와 함께 실패하는 경우 Cisco Secure Client가 포스처 상태 동기화 포트(8449)에서 ISE에 연결할 수 있었고 "호환" 상태의 세션에 대한 상태를 요청했음을 의미합니다.

ISE GUI의 경보:

Alarm in ISE GUI

패킷 캡처에서 검증

포스처 상태 동기화 포트(8449)에서 TCP 연결이 설정되었습니다.

TCP Connection on Posture State Synchronization Established

Cisco Secure Client Posture Module 로그에서 검증

DART 번들에서 AnyConnect_ISEPosture.txt를 선택합니다.

1) 포스처 상태 동기화 포트(8449)에서 ISE PSN에 대한 HTTPS 연결이 시작되었습니다.

2022/11/09 12:26:34 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x2750 File: periodic_probe.cpp Line: 357 Level: debug  Sending http session sync periodic probe to [ISE-PSN-FQDN].

2) 세션 상태 정보가 Posture Status "Compliant"(포스처 상태 "Compliant")로 ISE에서 수신되었습니다.

2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 430 Level: debug  --- Http Response Headers ---. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  HTTP-Version: 1.1. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Status-Code: 200. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Connection: keep-alive. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Date: Wed, 09 Nov 2022 11:26:34 GMT. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Keep-Alive: timeout=20. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Content-Length: 0. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Server: server. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  X-Frame-Options: SAMEORIGIN. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Strict-Transport-Security: max-age=31536000; includeSubDomains. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  X-Content-Type-Options: nosniff. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; img-src 'self' http://www.cisco.com/ data:;. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  X-XSS-Protection: 1; mode=block. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Accept-CH: Sec-CH-UA-Arch, Sec-CH-UA-Full-Version, Sec-CH-UA-Mobile, Sec-CH-UA-Model, Sec-CH-UA-Platform-Version, Sec-CH-UA-Platform, Sec-CH-UA. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  X-ISE-POSTURE_STATUS: Compliant. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 442 Level: debug  --------------------.

3) 잘못된 컨피그레이션이 탐지되어 포스처 상태 동기화가 중지됩니다.

2022/11/09 12:26:34 [Error] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x2750 File: periodic_probe.cpp Line: 370 Level: error  Incorrect configuration detected by ISE = [ISE-PSN-FQDN], compliant status is not expected. 
2022/11/09 12:26:34 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x2750 File: periodic_probe.cpp Line: 371 Level: debug  MSG_PN_STOP_PERIODIC_PROBE, . 
2022/11/09 12:26:34 [Information] aciseagent Function: PeriodicProbe::ProcessMessage Thread Id: 0xC60 File: periodic_probe.cpp Line: 210 Level: debug  MSG_PN_STOP_PERIODIC_PROBE received.. 
2022/11/09 12:26:34 [Information] aciseagent Function: PeriodicProbe::ProcessMessage Thread Id: 0xC60 File: periodic_probe.cpp Line: 224 Level: debug  Periodic Probing stopped.

상태 평가 또는 네트워크 변경을 다시 시작하여 Cisco Secure Client GUI에서 상태 동기화를 다시 시작할 수 없습니다. 대신 포스처 상태 동기화가 다시 작동하려면 Cisco Secure Client를 다시 시작해야 합니다.

상태 " 호환 " 권한 부여 프로파일에 대해 구성 된 dACL 확인

1. 상태 "규정 준수" 권한 부여 프로파일에 대해 적절한 dACL이 구성되었는지 확인합니다.

Verify dACL Configured for Posture Compliant Profile

2. "Compliant" 엔드포인트 인증 결과 세부 인증 보고서 dACL이 올바르게 전송되었는지 확인합니다.

Validate Detailed Authentication Report

3. dACL이 네트워크 액세스 장치에 올바르게 적용되었는지 확인합니다.

avakhrus_3560C#sh authe sess int fa0/12 det
            Interface:  FastEthernet0/12
          MAC Address:  0050.56a8.be02
         IPv6 Address:  Unknown
         IPv4 Address:  192.168.255.193
            User-Name:  TRAINING\bob
               Status:  Authorized
               Domain:  DATA
       Oper host mode:  multi-auth
     Oper control dir:  both
      Session timeout:  N/A
      Restart timeout:  N/A
Periodic Acct timeout:  172800s (local), Remaining: 92111s
       Session Uptime:  1515s
    Common Session ID:  C0A8FF0C00000012679EAF14
      Acct Session ID:  0x00000012
               Handle:  0x5D000005
       Current Policy:  POLICY_Fa0/12

Local Policies:
        Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)

Server Policies:
              ACS ACL:  xACSACLx-IP-avakhrus_posture_probe_ACL-636b75ac

Method status list:
       Method           State

       mab              Stopped
       dot1x            Authc Success

avakhrus_3560C#sh access-lists | s  xACSACLx-IP-avakhrus_posture_probe_ACL-636b75ac
Extended IP access list xACSACLx-IP-avakhrus_posture_probe_ACL-636b75ac (per-user)
    1 deny tcp any host PSN1-IP-ADDRESS eq 8449
    2 deny tcp any host PSN2-IP-ADDRESS eq 8449
    3 permit ip any any

알려진 문제

ISE에서 경보와 함께 상태 동기화 실패

상태 동기화는 적절한 dACL이 네트워크 액세스 장치에 클라이언트 엔드포인트에 적용되더라도 ISE에서 알람과 함께 실패할 수 있습니다. 상태 동기화 프로브가 dACL이 적용된 것보다 빠르게 수행되거나 상태 동기화 프로브가 이미 진행 중인 경우 dACL이 적용된 경우 발생합니다. 이 문제는 Cisco 버그 ID CSCwd에서 조사되었습니다58316 . 이를 해결하려면 Anyconnect Posture 프로파일(ISE Posture 에이전트 프로파일 설정)에서 "네트워크 전환 지연"을 10초로 설정해야 합니다.

Posture State Synchronization Failes with Alarm on ISE

개정 이력

개정	게시 날짜	의견
1.0	18-Oct-2024	최초 릴리스

Cisco 엔지니어가 작성

알렉스 바흐루셰프
기술 컨설팅 엔지니어