Cisco Cisco AnyConnect Secure Mobility Client v3.x Administrator's Guide
使用终端安全评估租约时,如果 ISE 上的会话有效,终端会从未知状态变为合规状态。
注释
VLAN 监控和转换
有些站点使用不同的 VLAN 或子网,按照公司群组和访问级别对其网络进行分区。 来自 ISE 的授权
更改 (CoA) 指定 VLAN 更改。 管理员操作(例如会话终止)也可能导致发生更改。 为支持 VPN 连
接期间的 VLAN 更改,请在 ISE 终端安全评估配置文件中配置以下设置:
更改 (CoA) 指定 VLAN 更改。 管理员操作(例如会话终止)也可能导致发生更改。 为支持 VPN 连
接期间的 VLAN 更改,请在 ISE 终端安全评估配置文件中配置以下设置:
• VLAN Detection Interval(VLAN 检测间隔)- 确定代理检测 VLAN 转换以及监控是否禁用的频
率。 当此时间间隔设置为非 0 值时,会启用 VLAN 监控。 对于 Mac OS X,将此值至少设置为
5。
5。
VLAN 监控在 Windows 和 Mac OS X 上都可实施,但在 Mac 上仅当检测意外 VLAN 更改时才
需要实施。 如果 VPN 已连接或者 acise(主要 AnyConnect ISE 进程)未运行,它会自动禁用。
有效范围为 0 到 900 秒。
需要实施。 如果 VPN 已连接或者 acise(主要 AnyConnect ISE 进程)未运行,它会自动禁用。
有效范围为 0 到 900 秒。
• Enable Agent IP Refresh(启用代理 IP 更新)- 未选中时,ISE 会向代理发送网络转换延迟值。
选中后,ISE 将向代理发送 DHCP 释放和续订值,然后代理更新 IP 以检索最新的 IP 地址。
• DHCP Release Delay and DHCP Renew Delay(DHCP 释放延迟和 DHCP 续订延迟)- 用于关联
IP 更新和 Enable Agent IP Refresh(启用代理 IP 更新)设置。 选中 Enable Agent IP Refresh(启
用代理 IP 更新)复选框且此值不是 0 时,代理会等待一定秒数的释放延迟,更新 IP 地址,然
后等待一定秒数的续订延迟。 如果 VPN 已连接,将自动禁用 IP 更新。
用代理 IP 更新)复选框且此值不是 0 时,代理会等待一定秒数的释放延迟,更新 IP 地址,然
后等待一定秒数的续订延迟。 如果 VPN 已连接,将自动禁用 IP 更新。
• Network Transition Delay(网络转换延迟)- 当 VLAN 监控被代理禁用或启用(在 Enable Agent
IP Refresh(启用代理 IP 更新)复选框中)时使用。 此延迟在未使用 VLAN 时会增加缓冲,给
代理适当的时间等待来自服务器的准确状态。 ISE 将此值发送给代理。 如果您还在 ISE 用户界
面的全局设置中设置了 Network Transition Delay(网络转换延迟)值,ISE 终端安全评估配置
文件编辑器中的值将覆盖它。
代理适当的时间等待来自服务器的准确状态。 ISE 将此值发送给代理。 如果您还在 ISE 用户界
面的全局设置中设置了 Network Transition Delay(网络转换延迟)值,ISE 终端安全评估配置
文件编辑器中的值将覆盖它。
ASA 不支持 VLAN 更改,因此这些设置在客户端通过 ASA 连接到 ISE 时不适用。
注释
故障排除
如果终端设备在终端安全评估完成后无法访问网络,请检查以下内容:
• 在 ISE 用户界面上是否配置了 VLAN 更改?
如已配置,是否在配置文件中设置了 DHCP 释放延迟和续订延迟?
如果这两项设置都为 0,是否在配置文件中设置了 Network Transition Delay(网络转换延
迟)?
迟)?
Cisco AnyConnect 安全移动客户端管理员指南,4.0 版
166
配置终端安全评估
VLAN 监控和转换