تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يوضح هذا المستند الإجراءات اللازمة لدمج محرك خدمات الهوية مع مركز إدارة جدار الحماية باستخدام إتصالات شبكة Platform Exchange.
توصي Cisco بالمعرفة في هذه الموضوعات:
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
توفر هذه الوثائق حلا لدمج FMC و ISE باستخدام PxGrid الإصدار 2.
مركز إدارة Cisco Firepower (FMC) هو نظام أساسي مركزي للجيل التالي من نظام الحماية من الاختراقات وجدار الحماية، يوفر إدارة السياسات واكتشاف التهديدات والاستجابة للحوادث.
محرك خدمات الهوية من Cisco هو حل شامل يوفر الوصول الآمن إلى نقاط النهاية من خلال توفير خدمات المصادقة والتفويض والمساءلة (AAA) وإنفاذ السياسة.
يتيح لك Platform Exchange Grid (pxGrid) تبادل المعلومات بين شبكات متعددة الموردين عابرة الأنظمة الأساسية.
يتيح لك هذا التكامل إمكانية الحصول على مراقبة آمنة واكتشاف التهديدات وتعيين سياسات الشبكة استنادا إلى المعلومات المشتركة.
يحتوي إطار عمل PxGrid على إصدارين. يعتمد الإصدار المطلوب إستخدامه على إصدار ISE والربط الذي تحتاج إلى مراجعته.
ابتداء من الإصدار ISE 3.1، تستند جميع إتصالات PxGrid من ISE إلى الإصدار 2 من pxgrid.
PxGrid الإصدار 1.
يتم وصف الإصدار الأول من هذا الإطار (pxGrid v1) بسبب قابلية الصيانة التي تم رؤيتها من خلال الأمر show حالة التطبيق كما يتم عرضها في الإخراج التالي.
عندما pxGrid مكنت سمة في العقدة أنت ترى ال pxGrid سمة في وضع جار.
قابلية صيانة الإصدار 1 من PxGrid.
في هذا الإصدار من هذا النظام الأساسي، من المعروف أن عقد pxGrid واحدة فقط مع عمليات pxGrid في حالة التشغيل بينما تكون عقد pxGrid الأخرى في حالة إستعداد.
تقوم هذه العقد بمراقبة حالة عقدة pxGrid بشكل مستمر مع تشغيل الخدمات ذات الصلة.
في ذلك، كانت عقدة pxGrid الأساسية هناك ترقية وعقدة pxGrid الأخرى مكنت خدمات pxGrid الخاصة بها.
ومع ذلك، كان ذلك يمثل وقت توقف عن العمل عند حدوث تجاوز الفشل هذا.
كان الإصدار الأول من PXGRID يستند إلى الاتصال في بروتوكول التواجد والمراسلة الممتدة (XMPP) وهو مجموعة من التقنيات المستخدمة في التعاون والبنية الأساسية للصوت.
الموضوعات المشتركة في اتصال pxGrid v1 هي:
PxGrid الإصدار 2.
يغطي هذا المستند إستخدام PxGrid الإصدار 2. يعمل هذا النظام الأساسي باستخدام عمليات REST على بروتوكولات ISE و WebSocket التي توفر تحسينات وقابلية تطوير محسنة وأداء فائقا ومرونة في نماذج البيانات.
في هذا الإصدار، لا ترى ميزات pxgrid التي تعمل كما في الإصدار السابق باستخدام الأمر show حالة التطبيق.
يرجى الرجوع إلى قسم التحقق من الصحة ل ISE في هذا المستند لمعرفة الآليات التي يتم التحقق منها لمراجعة وظيفة pxGrid.
باستخدام هذا الإصدار، لديك جميع عقد pxGrid التي تقوم بتكوينها كعقد PXgrid نشطة. وهم مستعدون للمشاركة في تبادل المعلومات في أي وقت.
في الإصدار 1، حصلت عقدة واحدة فقط على قابلية صيانة PXgrid كقيد التشغيل.
الموضوعات المشتركة في اتصال pxGrid v2 هي:
مكونات pxGrid كمنصة.
وحدة التحكم في شبكة PxGrid (ISE) : يجب الثقة في كل من المشاركين الذين يستخدمون pxGrid.
العميل: يمكن أن يكون مشتركا وناشرا للمواضيع المختلفة.
الناشر: العميل الذي يشارك المعلومات مع وحدة التحكم.
المشترك: عميل يستهلك معلومات الموضوع.
يتيح لك هذا التكامل إنشاء سياسات المحتوى على FMC استنادا إلى المعلومات التي تتم مشاركتها بواسطة ISE والمواضيع المنشورة الخاصة بها (المتعلقة بنشاط نقطة النهاية).
الخطوة 1. قم بتكوين عقدة ISE لتشغيل شخصية pxGrid عليها في إدارة القائمة > نظام > نشر.
حدد العقد وقم بتمكين ميزة pxGrid.
تمكين خدمات ISE pxGrid في عقدة ما.
الخطوة 2. بعد تمكين العقد باستخدام ميزة PxGrid، راجع حالة مقابس الويب المتعلقة بالعملاء الداخليين المتصلين.
انتقل إلى Administration > PxGrid Services > Websocket. لاحظ العملاء الذين يشيرون إلى خدمات ISE مباشرة من خلال عنوان IP 127.0.0.1.
مقابس الويب الداخلية من ISE.
الخطوة 3. انتقل خلال إدارة القائمة > خدمات pxGrid > الإعدادات وحدد الخيار للموافقة تلقائيا على حسابات قاعدة الشهادات الجديدة،
هذه الخطوة إختياري في هذه النقطة، ومع ذلك، لاتصال pxGrid، يقترح تمكين خانة الاختيار هذه.
يمكنك قبول FMC كمشترك يدويا بعد ذلك.
تمكين الموافقة التلقائية على الحسابات المستندة إلى شهادة PxGrid.
الخطوة 4. راجع الشهادات المتعلقة بوظائف PxGrid الخاصة ببيئتك في الإدارة > النظام > شهادات النظام،
يوصى بأن يكون لديك شهادات PxGrid متجانسة في جميع عقد النشر الخاصة بك موقعة من قبل نفس المرجع المصدق الجذر (CA)
في هذا السيناريو، نستخدم شهادات ISE الداخلية التي تم إنشاؤها. بالنسبة لهذا الإصدار من ISE حيث في هذا المثال، يتوافق CA الجذر مع عقدة PAN.
رسم الشهادات الداخلية على ISE.
ملاحظة: لمزيد من المعلومات حول البنية الداخلية للشهادات التي تم إنشاؤها على ISE، يرجى الرجوع إلى فهم خدمات المرجع المصدق الداخلي ISE.
شهادات PxGrid في نشر موزع.
الخطوة 5. تحقق من حالة شهادات pxGrid.
من القائمة السابقة، حدد خانة إختيار من شهادة pxGrid للعقدة ثم حدد عرض الخيار.
يبدو المخرج كالمخرج المعروض هنا في شهادات pxGrid.
التحقق من شهادة pxGrid.
الخطوة 1. تأكد من تحديث الوقت الداخلي ل FMC.
انتقل إلى النظام > التكوين > الوقت وتأكد من أن الوقت الذي تم تكوينه على وحدة التحكم في إدارة الإطارات (FMC) حديث.
التحقق من تحديث FMC.
إذا لم يتم تحديث وقت FMC، فتأكد من تكوين NTP بشكل صحيح وفي المزامنة. يمكن تكوين NTP ضمن النظام > التكوين > الوقت > + الإضافة.
مزامنة الوقت على FMC.
الخطوة 2. انتقل إلى النظام > التكوين > واجهة الإدارة>الإعدادات المشتركة وتحقق من أن حقل خادم DNS الأساسي على الأقل يحتوي على خادم DNS صالح.
تكوين DNS على FMC.
الخطوة 3. تأكد من تكوين اسم مضيف FMC.
انتقل إلى النظام > التكوين > واجهة الإدارة > الإعدادات المشتركة وتحقق من أن حقل hostname يحتوي على اسم مضيف FMC.
يمكنك التحقق من هذه الخطوة أثناء مراجعة الخطوة السابقة في هذا القسم .
الخطوة 1. انتقل إلى إدارة القائمة > خدمات PXgrid > إدارة العميل > الشهادات.
في الخيار الأول، حدد أريد إنشاء شهادة مفردة (بدون طلب توقيع شهادة).
في قسم الاسم الشائع (CN)، أدخل FQDN الخاص ب FMC أن ISE هو أن يصدر شهادة.
توفير وصف.
في قسم الاسم البديل للموضوع (SAN)، أدخل FQDN وعنوان IP الخاص بوحدة التحكم في الوصول عن بعد (FMC) للاتصال.
في الأسفل في تنسيق تنزيل الشهادة، حدد من القائمة المنسدلة شهادة الخيار في تنسيق البريد الإلكتروني المحسن للخصوصية.
تنسيق PKCSS PEM للإدخال (بما في ذلك سلسلة الشهادات).
قم بإدخال كلمة مرور وتخزينها في كلمة مرور الشهادة بينما تستخدم كلمة المرور هذه لاحقا في FMC.
قم بتأكيد كلمة المرور ثم حدد إنشاء.
مثال لإنشاء شهادة PxGrid.
الخطوة 2. يتم تنزيل ملف zip إلى الكمبيوتر. قم بإلغاء ضغط الملف، وتأكد من توفر هذه الملفات من البيئة الخاصة بك:
شهادات PxGrid التي تم إنشاؤها بواسطة ISE.
الخطوة 3. في FMC، انتقل إلى كائنات القائمة > إدارة الكائنات > PKI > الشهادات الداخلية.
حدد الخيار إضافة شهادة داخلية.
إضافة شهادة FMC كشهادة داخلية.
الخطوة 4. قم بتسمية الشهادة المخصصة على FMC.
استعرض الشهادة التي أنشأتها ل FMC من ISE في بيانات شهادة القسم.
استعرض الملف باستخدام الملحق .key لتعبئة الحقل التالي.
حدد الخيار يشفر، وأدخل كلمة المرور التي أستخدمتها عند إنشاء الشهادة على ISE.
حفظ التكوين.
تصدير شهادة FMC التي تم إنشاؤها بواسطة ISE.
شهادة FMC.
الخطوة 5. انتقل إلى القائمة كائنات > إدارة الكائنات > PKI > مرجع مصدق ثقة،
حدد إضافة مرجع مصدق ثقة.
إضافة ISE RootCA كشهادة موثوق بها.
الخطوة 6. قم بتسمية المرجع المصدق.
استعرض وحدد ISE RootCA الذي تم تنزيله من ملف ISE.
احفظ التكوين الخاص بك.
تصدير جذر ISE.
الخطوة 7. انتقل إلى تكامل القائمة > عمليات تكامل أخرى > مصادر الهوية.
تحديد في نوع الخدمة: محرك خدمات الهوية،
أدخل عنوان IP أو FQDN لعقدة pxGrid التي تصبح العقدة الأساسية.
كرر الإجراء الخاص بعقدة pxGrid الثانوية.
حدد من القائمة المنسدلة شهادة pxGrid التي تم إنشاؤها بواسطة ISE لقسم شهادة عميل pxGrid،
في القسم MNT Server CA و PXgrid Server CA، حدد ISE RootCA الذي قمت بتصديره في الخطوة الأخيرة.
ملاحظة: يماثل مرجع مصدق خادم pxGrid المرجع المصدق الجذر للشهادة التي يتم إستخدامها بواسطة pxGrid على عقد pxGrid.
يتوافق المرجع المصدق لخادم MNT مع المرجع المصدق للشهادة التي يتم إستخدامها بواسطة PXgrid على عقد MNT.
(إختياري) يمكنك الاشتراك في دليل جلسة العمل وموضوع SXP من ISE.
حفظ التكوين.
إعداد ISE كمصدر هوية في FMC.
في القائمة، انتقل إلى التكامل > عمليات التكامل الأخرى > مصادر الهوية > محرك خدمات الهوية، قبل حفظ التكوين الخاص بك. يمكنك إختبار إعدادات إرتباط pxGrid.
اتصال PxGrid الناجح.
Primary host:
[INFO]: PXGrid v2 is enabled
[INFO]: pxgrid 2.0: account activate succeeded
[INFO]: Successful connection to ssptise02.ssptsec.mex:8910
[INFO]: Successful connection to ssptise01.ssptsec.mex:8910
[INFO]: These ISE Services are up: SessionDirectory, SXP, EndpointProfile, SecurityGroups, AdaptiveNetworkControl
[INFO]: All requested ISE Services are online.
Secondary host:
[INFO]: PXGrid v2 is enabled
[INFO]: pxgrid 2.0: account activate succeeded
[INFO]: Successful connection to ssptise02.ssptsec.mex:8910
[INFO]: Successful connection to ssptise01.ssptsec.mex:8910
[INFO]: These ISE Services are up: SessionDirectory, SXP, EndpointProfile, SecurityGroups, AdaptiveNetworkControl
[INFO]: All requested ISE Services are online.
عندما يتم دمج عميل FMC PxGrid بنجاح على ISE، حينئذ ترى (في الإدارة > خدمات pxGrid > إدارة العميل > العملاء في القائمة) العملاء الذين لديهم الاسم fmc يتم تضمينهم وتمكينهم.
عملاء PxGrid متوفرين وممكنين.
ملاحظة: عملاء PxGrid التي تبدأ ببادئة "t-fmc" هي تلك التي يتم إستخدامها من خلال زر الاختبار من FMC.
أيضا، إذا انتقلت إلى إدارة القائمة > خدمات pxGrid > تشخيصات > WebSocket، سترى الاتصالات باتجاه FMC.
في السيناريو الذي تتوفر فيه وحدة التحكم في إدارة الهيكل (FMC) بتوفر عال، يمكنك حينئذ مشاهدة الوحدات الأساسية والثانوية كما هي معروضة في هذا المثال:
مقابس الويب المتوفرة على ISE.
في علامة التبويب التالية من هذه القائمة المواضيع المسماة، يمكنك التحقق من إضافة مشتركي FMC إلى موضوعات PxGrid التي تم نشرها بواسطة ISE.
على سبيل المثال، هناك موضوع متعلق بمجموعة الأمان حيث يمكنك أن ترى أن كلا من FMC مشترك ويتلقى المعلومات المتعلقة بالرقيب SGT المنشورة من قبل ISE.
موضوعات لكل مشترك في PxGrid.
في القائمة إدارة > pxGrid خدمات > تشخيص > سجل، أحداث مهمة متعلقة ب في اتصال PxGrid (للعقد مع تمكين ميزة).
وتصور هذه المعلومات المعلومات المتعلقة بالتكامل.
سجلات PxGrid المباشرة.
تأكد من قدرة FMC على حل اسم المضيف وعقد ISE الخاصة بها بواسطة أسماء المضيف.
على سبيل المثال:
> expert
admin@sspt_fmc01_lab:~$ ping sspt_fmc01_lab
PING sspt_fmc01_lab (10.4.49.51) 56(84) bytes of data.
64 bytes from sspt_fmc01_lab (10.4.49.51): icmp_seq=1 ttl=64 time=0.029 ms
64 bytes from sspt_fmc01_lab (10.4.49.51): icmp_seq=2 ttl=64 time=0.071 ms
64 bytes from sspt_fmc01_lab (10.4.49.51): icmp_seq=3 ttl=64 time=0.055 ms
^C
--- sspt_fmc01_lab ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 27ms
admin@sspt_fmc01_lab:~$ ping ssptise01
PING ssptise01.ssptsec.mex (10.4.49.41) 56(84) bytes of data.
64 bytes from ssptise01.ssptsec.mex (10.4.49.41): icmp_seq=1 ttl=64 time=0.586 ms
64 bytes from ssptise01.ssptsec.mex (10.4.49.41): icmp_seq=2 ttl=64 time=0.646 ms
64 bytes from ssptise01.ssptsec.mex (10.4.49.41): icmp_seq=3 ttl=64 time=0.743 ms
^C
--- ssptise01.ssptsec.mex ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 82ms
rtt min/avg/max/mdev = 0.586/0.658/0.743/0.068 ms
admin@sspt_fmc01_lab:~$
admin@sspt_fmc01_lab:~$ ping ssptise02
PING ssptise02.ssptsec.mex (10.4.49.42) 56(84) bytes of data.
64 bytes from ssptise02.ssptsec.mex (10.4.49.42): icmp_seq=1 ttl=64 time=0.588 ms
64 bytes from ssptise02.ssptsec.mex (10.4.49.42): icmp_seq=2 ttl=64 time=0.609 ms
64 bytes from ssptise02.ssptsec.mex (10.4.49.42): icmp_seq=3 ttl=64 time=0.628 ms
^C
--- ssptise02.ssptsec.mex ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 45ms
rtt min/avg/max/mdev = 0.588/0.608/0.628/0.025 ms
تأكد من تشغيل عملية ADI:
> expert
sudo suadmin@sspt_fmc01_lab:~$ sudo su
root@sspt_fmc01_lab:/Volume/home/admin# pmtool status | grep adi
adi (normal) - Running 7911
ضمنت أن يسمح إتصال من FMC إلى ISE على ميناء TCPP 8910. من FMC CLI يمكننا تكوين التقاط حزمة tcpudump لتأكيد الاتصال ثنائي الإتجاه.
> expert
sudo suadmin@sspt_fmc01_lab:~$ sudo su
root@sspt_fmc01_lab:/Volume/home/admin# tcpdump -i any tcp and port 8910
22:34:08.415370 IP sspt_fmc01_lab.46248 > ssptise01.ssptsec.mex.8910: Flags [S], seq 3033526171, win 29200, options [mss 1460,sackOK,TS val 2701166399 ecr 0,nop,wscale 7], length 0
22:34:08.415840 IP ssptise01.ssptsec.mex.8910 > sspt_fmc01_lab.46248: Flags [S.], seq 3024877968, ack 3033526172, win 28960, options [mss 1460,sackOK,TS val 2268665064 ecr 2701166399,nop,wscale 7], length 0
22:34:08.415894 IP sspt_fmc01_lab.46248 > ssptise01.ssptsec.mex.8910: Flags [.], ack 1, win 229, options [nop,nop,TS val 2701166400 ecr 2268665064], length 0
[...]
تحقق من أن الاتصالات على المنفذ 8910 تعمل.
هذا هو المنفذ المستخدم من قبل عملاء PxGrid للاتصال بعقد PxGrid وعقد MnT للتنزيل المجمع للمعلومات.
تفاعل PxGrid في بيئة ISE.
ملاحظة: يتصل عميل PxGrid، في هذه الحالة، FMC بعقد PxGrid وعقدة MNT الثانوية (SMNT) للحصول على (التنزيل المجمع) للمعلومات، وفي حالة حدوث فشل في SMNT، فإنه يبحث عن المعلومات من خلال MNT الأساسي.
في عقد ISE حيث يتم عقد الاتصال مع عميل PxGrid، يمكنك مراجعة ما إذا كان المنفذ مفتوحا أو ما إذا كانت هناك مقابس متصلة بذلك المنفذ.
#show ports | include 8910
tcp: (output omitted), :::8910,
هناك إختباران متاحان على ISE يشخص الحالة العامة لعمليات تنفيذ pxGrid.
تلك يمكن أن تكون في إدارة القائمة > خدمات pxGrid > تشخيصات > إختبار.
يتم إجراء الاختبارات المعروضة في هذا القسم داخليا على ISE.
إختبار المراقبة الصحية مراجعة بحث خدمة pxGrid، الذي يقيم ما إذا كان العميل يمكنه الوصول إلى دليل جلسة العمل والخدمة والمواضيع المنشورة بواسطة وحدة التحكم pxGrid.
حدد الخيار بدء إختبار وانتظر تجميع السجلات.
إختبار مراقبة سلامة PxGrid.
بمجرد اكتمال الاختبار، حدد الخيار عرض السجل. لهذا المثال، يكون محتوى السجل:
إستعراض إختبار المراقبة الصحية.
22-Aug-2023 17:03:13 [INFO] ************** pxGrid Session Directory Test ***************
22-Aug-2023 17:03:13 [INFO] ----------------- Starting Connection Test -----------------
22-Aug-2023 17:03:14 [INFO] pxGrid Node: ssptise01.ssptsec.mex
22-Aug-2023 17:03:14 [INFO] wsPubsubServiceName=com.cisco.ise.pubsub
22-Aug-2023 17:03:14 [INFO] sessionTopic=/topic/com.cisco.ise.session
22-Aug-2023 17:03:14 [INFO] sessionRestBaseUrl=https://ssptise01.ssptsec.mex:8910/pxgrid/mnt/sd
22-Aug-2023 17:03:14 [INFO] wsUrl=wss://ssptise02.ssptsec.mex:8910/pxgrid/ise/pubsub
22-Aug-2023 17:03:15 [INFO] ---------------- Connection Test Completed -----------------
22-Aug-2023 17:03:15 [INFO] ------------------ Starting Download Test ------------------
22-Aug-2023 17:03:15 [INFO] Downloading sessions since 2023-08-21T17:03:15.273-06:00
22-Aug-2023 17:03:15 [INFO] Response status=200
22-Aug-2023 17:03:15 [INFO] Number of sessions read: 0
22-Aug-2023 17:03:15 [INFO] ----------------- Download Test Completed ------------------
22-Aug-2023 17:03:15 [INFO] ----------------- Starting Subscribe Test ------------------
22-Aug-2023 17:03:16 [INFO] STOMP CONNECT host=ssptise02.ssptsec.mex
22-Aug-2023 17:03:16 [INFO] STOMP SUBSCRIBE topic=/topic/com.cisco.ise.session
22-Aug-2023 17:03:16 [INFO] STOMP CONNECTED version=1.2
22-Aug-2023 17:07:16 [INFO] A total of 0 notifications were received.
22-Aug-2023 17:07:16 [INFO] STOMP RECEIPT id=77
22-Aug-2023 17:07:19 [INFO] ----------------- Subscribe Test Completed -----------------
22-Aug-2023 17:07:19 [INFO] ********** pxGrid Session Directory Test Complete **********
يتحقق إختبار مزامنة قاعدة بيانات PxGrid مما إذا كانت المعلومات داخل قواعد البيانات صحيحة بين عقد PAN و PxGrid ومزامنتها.
لذلك، تكون المعلومات المرسلة إلى مشتركي PXgrid دقيقة.
حدد إختبار بدء الخيار وانتظار النتائج حتى يتم تقييمها.
إختبار مزامنة قواعد بيانات PxGrid.
من السجلات التي تم إنشاؤها، تم الحصول على هذا الإخراج.
ssptise01.ssptsec.mex : In Sync
ssptise02.ssptsec.mex : In Sync
Primary PAN : ssptise01.ssptsec.mex
pxGrid Nodes : ssptise01.ssptsec.mex ssptise02.ssptsec.mex
تجميع التقاط على من عقد PXgrid تشير إلى عقدة FMC الأساسية.
انتقل إلى عمليات القائمة > أستكشاف الأخطاء وإصلاحها > أدوات التشخيص > تفريغ TCP،
حدد الخيار لإضافة التقاط جديد.
إنشاء التقاط حزمة على ISE.
قم بتكوين معلمات الالتقاط.
في اسم المضيف، حدد عقدة pxGrid الأساسية المحددة في FMC.
تصفية حركة المرور باستخدام مضيف IP هذا <FMC IP>
قم بتسمية الالتقاط ثم تابع إلى الحفظ والتشغيل.
مثال على تكوين التقاط الحزمة.
في نافذة أخرى، في قائمة دمج FMC > عمليات تكامل أخرى > مصادر الهوية، اختبر الاتصال ب ISE من خلال قناة pxGrid.
عندما تحصل على نتيجة الاختبار، تابع إلى إيقاف الالتقاط على ISE.
إيقاف التقاط حزمة على ISE.
قم بتنزيل الالتقاط وبدء التحليل. يعرض هذا السيناريو التقاط اتصال عمل يمكن أن يعمل كمرجع.
اتصال PxGrid بين ISE و FMC.
وبالإضافة إلى ذلك، في ISE، يمكنك تجميع تصحيح الأخطاء المتعلقة بمعالجة PXgrid.
انتقل خلال عمليات القائمة > أستكشاف الأخطاء وإصلاحها > معالج تصحيح الأخطاء > تكوين سجل التصحيح،
حدد عقدة ISE المطابقة لتحليلها ثم تحريرها.
تحديد عقدة لتصحيح أخطاء ISE.
قم بتصفية المكونات المعروضة وتغيير مستوى السجل إلى تصحيح أخطاء مكون pxgrid إلى المتابعة باستخدام تحليل.
حفظ التكوين.
تغيير مكون pxGrid إلى مستوى تصحيح الأخطاء.
قم بإعادة إنتاج السلوك المراد تحليله، ثم قم بالمتابعة لتحليل السجلات التي تم تجميعها على ملف pxgrid-server.log. السجلات الأخرى التي يمكنك مراجعتها على عقدة ISE لاستكشاف الأخطاء وإصلاحها هي:
#show logging application | include pxgrid
ise-pxgriddirect.log
pxgrid/pxgrid-server.log
pxgrid/pxgrid-test.log
pxgrid/pxgrid_dbsync_summary.log
pxgrid/pxgrid_internal_dbsync_summary.log
pxgriddirect.log
تلميح: لمزيد من توصيات مجموعة السجلات، يرجى مراجعة الفيديو كيفية تمكين تصحيح الأخطاء على إصدارات ISE 3.x.
لحالة الاستخدام هذه، تظهر المخرجات المتعلقة من زر إختبار FMC PXgrid هذا السلوك:
فشل اتصال FMC PXgrid.
Primary host:
[INFO]: PXGrid v2 is enabled
[ERROR]: pxgrid 2.0: failed account activation. accountState=PENDING
[ERROR]: Failed to contact pxGrid node at '10.4.49.41': pxgrid2.0: Could not activate account
Secondary host:
[INFO]: PXGrid v2 is enabled
[ERROR]: Performing request failed with a timeout.
[ERROR]: Failed to contact pxGrid node at '10.4.19.42': Request failed with a timeout.
في ISE، لاحظ السلوك في إدارة القائمة > خدمات PxGrid > إدارة العميل > عملاء يشير إلى أن عميل PxGrid (FMC) معلق للموافقة.
حدد الزر موافقة، وقم بتأكيد التحديد في الإطار التالي وحاول التكامل مرة أخرى.
هذه المرة تكون عملية التكامل ناجحة.
عميل FMC في حالة تعليق.
تأكيد الموافقة على عميل pxGrid.
لاحظ إذا كنت تريد تمكين الموافقة التلقائية لعملاء PxGrid المستندة إلى الشهادة.
الموافقة على/رفض العملاء من الصفحة السابقة عند ظهور هذا التنبيه.
خطأ متعلق باعتماد عملاء PxGrid.
في هذا السيناريو، إذا انتقلت إلى إدارة القائمة > النظام > الترخيص، حدد شهادة pxgrid وحدد عرض الخيار،
في حالة حدوث مشكلة في الشهادة، تكون هذه الأخطاء ذات الصلة ممكنة.
خطأ متعلق بإكمال سلسلة الشهادات.
تتمثل الخطوة الأولى التي يجب التحقق منها في ما إذا كان قد تم إكمال المرجع المصدق (ISE) الجذري في خيار العرض.
في حالة عدم وجود شهادة في التدرج الهرمي، يمكنك إصدار المرجع المصدق الجذر لنشر ISE بالكامل.
تصفح إلى إدارة القائمة > النظام > الشهادات > إدارة الشهادات > طلب توقيع الشهادة (CSR) ثم حدد ذلك الزر.
إنشاء CSR على ISE.
في هذه القائمة، حدد في Use ISE Root CA وأعد إنشاء ISE Root CA لجميع العقد.
استمر في إستخدام الزر إستبدال سلسلة شهادات ISE Root CA.
تكوين طلب توقيع الشهادة.
انتظر حتى يتم إنشاء الشهادات في جميع عقد التنفيذ.
وعند الإكمال، يعرض ISE الإشعار التالي.
تأكيد إنشاء الشهادات.
تأكيد ما إذا كان سلسلة الشهادات المعتمدة ل PxGrid مكتملة بتحديد طريقة عرض الخيار في شهادات النظام.
دليل مسؤول محرك خدمات الهوية من Cisco، الإصدار 3.2، الفصل: Cisco PXgrid.
دليل تثبيت محرك خدمات الهوية من Cisco، الإصدار 3.2، الفصل: مرجع منافذ ISE من Cisco
دليل مرجع واجهة سطر الأوامر (CLI) لمحرك خدمات الهوية من Cisco، الإصدار 2.4
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
1.0 |
29-Aug-2023
|
الإصدار الأولي |