Cisco Cisco Identity Services Engine 1.3 전단

第

10 页

安全访问操作指南

TrustSec 组件

请求方

如前所述，对身份验证失败进行故障排除时，首先应检查

ISE 策略管理节点 (PAN)。某些失败需要在 NAD 级

别执行额外的诊断工作。大多数情况下，来自

ISE 和 NAD 的日志及调试应足以确定问题的根本原因。

可以对请求方执行的诊断工作很大程度上取决于特定请求方提供的故障排除工具。本地

Windows 请求方几乎

没有任何调试工具。

Cisco AnyConnect 网络访问管理器具有可以部署到客户端并用于生成详细报告文件的诊

断和报告工具

(DART)。但是，报告文件主要供思科支持人员使用，通常不推荐最终用户使用。

嗅探器提供重要的故障排除信息，但是其在最终客户端上的使用也会受到限制。一般来说，使用思科交换端
口分析器

(SPAN) 嗅探交换机的流量是收集 EAP 数据包跟踪的更可靠且有效的方式。

在客户端发送

EAPoL 启动请求，但是未能响应来自交换机的身份请求消息的情况下，会发生一些常见的请求

方故障。通常，发生此情况是因为请求方无法找到有效的凭证。当客户端“静默”时，交换机或思科

ISE 将

无法了解故障。

与

Windows 本地请求方或其他操作系统上可用的其他请求方不同，Cisco AnyConnect 网络访问管理器包含用

于通知

ISE 故障原因的增强功能。例如，客户端配置错误且在 EAP 透明层安全 (EAP-TLS) 或受保护 EAP

(PEAP) 身份验证中不信任 ISE 证书的情况（图 9）。

图

7. 失败的身份验证报告：本地请求方

在图

9 中，PC 上使用了 Windows 本地请求方。没有关于除以下原因代码以外的其他事件的详细信息：

5411

No response received during 120 seconds on last EAP message sent to the client

。

此时，管理员将必须登录到受影响的终端对问题进行故障排除。