Cisco Cisco Web Security Appliance S670 User Guide
A-8
思科网络安全设备 AsyncOS 8.8 用户指南
附录 A 故障排除
身份服务引擎问题
•
如果使用自签名证书:
–
验证 WSA 客户端证书 (在 WSA 上生成并且已下载)是否已上传到 ISE 服务器并且显
示在 ISE 服务器受信任证书列表中。
示在 ISE 服务器受信任证书列表中。
–
验证 ISE 管理员证书和 pxGrid 证书 (在 ISE 服务器上生成并已下载)是否已上传到
WSA 并显示在其证书列表中。
WSA 并显示在其证书列表中。
•
过期的证书:
–
确认上传时有效的证书未到期。
日志输出指示证书问题
以下 ISE 服务日志片段显示由于缺少证书或者证书无效导致客户端连接超时。
WSA 上的这些跟踪级别日志条目显示 30 秒后,终止连接到 ISE 服务器的尝试。
网络问题
•
如果与 ISE 服务器的连接在身份服务引擎页面 (
)上的开始测试期间
失败,请检查与端口 443 和 5222 上的已配置 ISE 服务器的连接。
端口 5222 是正式的客户端到服务器可扩展消息传送和在线状态协议 (XMPP) 端口,用于与
ISE 服务器的连接;此外,它还由 Jabber 和 Google Talk 等应用所使用。注意,某些防火
墙已配置为阻止端口 5222。
ISE 服务器的连接;此外,它还由 Jabber 和 Google Talk 等应用所使用。注意,某些防火
墙已配置为阻止端口 5222。
可用于检查连接的工具包括
telnet
和
tcpdump
。
ISE 服务器连接问题
当 WSA 尝试连接 ISE 服务器时,下列问题会导致失败:
•
ISE 服务器上的许可证已过期。
•
在 ISE 服务器的 “管理” (Administration) > “pxGrid 服务” (pxGrid Services) 页面上,
pxGrid 节点状态为 “未连接” (not connected)。请确保在此页面上选择 “启用自动注册”
(Enable Auto-Registration)。
pxGrid 节点状态为 “未连接” (not connected)。请确保在此页面上选择 “启用自动注册”
(Enable Auto-Registration)。
•
过期的 WSA 客户端 (尤其是 “test_client”或 “pxgrid_client”)显示在 ISE 服务器上。
这些需要删除;请参阅 ISE 服务器上的 “管理” (Administration) > “pxGrid 服务”
(pxGrid Services) > “客户端” (Clients)。
这些需要删除;请参阅 ISE 服务器上的 “管理” (Administration) > “pxGrid 服务”
(pxGrid Services) > “客户端” (Clients)。