تكوين ISE 3.2 واستكشاف أخطائه وإصلاحها باستخدام تكامل FMC 7.2.4

خيارات التنزيل

  • PDF     (3.2 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (3.2 MB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (2.0 MB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٢٩ أغسطس ٢٠٢٣
معرّف المستند:220856

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يوضح هذا المستند الإجراءات اللازمة لدمج محرك خدمات الهوية مع مركز إدارة جدار الحماية باستخدام إتصالات شبكة Platform Exchange.

    المتطلبات الأساسية

    توصي Cisco بالمعرفة في هذه الموضوعات:

    • محرك خدمات كشف الهوية (ISE)
    • شبكة تبادل الأنظمة الأساسية
    • مركز إدارة جدران الحماية (FMC)
    • شهادات TLS/SSL.

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

    • Identity Services Engine (ISE)، الإصدار 3.2 Patch 3
    • Firewall Management Center، الإصدار 7.2.4

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية.

    توفر هذه الوثائق حلا لدمج FMC و ISE باستخدام PxGrid الإصدار 2.

    مركز إدارة Cisco Firepower (FMC) هو نظام أساسي مركزي للجيل التالي من نظام الحماية من الاختراقات وجدار الحماية، يوفر إدارة السياسات واكتشاف التهديدات والاستجابة للحوادث.

    محرك خدمات الهوية من Cisco هو حل شامل يوفر الوصول الآمن إلى نقاط النهاية من خلال توفير خدمات المصادقة والتفويض والمساءلة (AAA) وإنفاذ السياسة.

    يتيح لك Platform Exchange Grid (pxGrid) تبادل المعلومات بين شبكات متعددة الموردين عابرة الأنظمة الأساسية.

    يتيح لك هذا التكامل إمكانية الحصول على مراقبة آمنة واكتشاف التهديدات وتعيين سياسات الشبكة استنادا إلى المعلومات المشتركة. 

    يحتوي إطار عمل PxGrid على إصدارين. يعتمد الإصدار المطلوب إستخدامه على إصدار ISE والربط الذي تحتاج إلى مراجعته.

    ابتداء من الإصدار ISE 3.1، تستند جميع إتصالات PxGrid من ISE إلى الإصدار 2 من pxgrid.

    PxGrid الإصدار 1.

    يتم وصف الإصدار الأول من هذا الإطار (pxGrid v1) بسبب قابلية الصيانة التي تم رؤيتها من خلال الأمر show حالة التطبيق كما يتم عرضها في الإخراج التالي.

    عندما pxGrid مكنت سمة في العقدة أنت ترى ال pxGrid سمة في وضع جار.

    PxGrid version 1 serviceability.قابلية صيانة الإصدار 1 من PxGrid.

    في هذا الإصدار من هذا النظام الأساسي، من المعروف أن عقد pxGrid واحدة فقط مع عمليات pxGrid في حالة التشغيل بينما تكون عقد pxGrid الأخرى في حالة إستعداد.

    تقوم هذه العقد بمراقبة حالة عقدة pxGrid بشكل مستمر مع تشغيل الخدمات ذات الصلة.

    في ذلك، كانت عقدة pxGrid الأساسية هناك ترقية وعقدة pxGrid الأخرى مكنت خدمات pxGrid الخاصة بها. 

    ومع ذلك، كان ذلك يمثل وقت توقف عن العمل عند حدوث تجاوز الفشل هذا.

    كان الإصدار الأول من PXGRID يستند إلى الاتصال في بروتوكول التواجد والمراسلة الممتدة (XMPP) وهو مجموعة من التقنيات المستخدمة في التعاون والبنية الأساسية للصوت.

    الموضوعات المشتركة في اتصال pxGrid v1 هي:

    • دليل جلسة العمل
    • بيانات تعريف ملف تعريف نقطة النهاية
    • بيانات تعريف TrustSec
    • إمكانية حماية النقطة الطرفية
    • تحكم تواؤمي في الشبكة
    • موضوع MDM_OFFLINE
    • هوية
    • SXP

    PxGrid الإصدار 2.

    يغطي هذا المستند إستخدام PxGrid الإصدار 2. يعمل هذا النظام الأساسي باستخدام عمليات REST على بروتوكولات ISE و WebSocket التي توفر تحسينات وقابلية تطوير محسنة وأداء فائقا ومرونة في نماذج البيانات.

    في هذا الإصدار، لا ترى ميزات pxgrid التي تعمل كما في الإصدار السابق باستخدام الأمر show حالة التطبيق.

    يرجى الرجوع إلى قسم التحقق من الصحة ل ISE في هذا المستند لمعرفة الآليات التي يتم التحقق منها لمراجعة وظيفة pxGrid.

    باستخدام هذا الإصدار، لديك جميع عقد pxGrid التي تقوم بتكوينها كعقد PXgrid نشطة. وهم مستعدون للمشاركة في تبادل المعلومات في أي وقت.

    في الإصدار 1، حصلت عقدة واحدة فقط على قابلية صيانة PXgrid كقيد التشغيل.

    الموضوعات المشتركة في اتصال pxGrid v2 هي:

    • دليل جلسة العمل
    • فشل RADIUS
    • تكوين محلل
    • صحة النظام
    • MDM
    • حالة ANC
    • تروسيك
    • تكوين TrustSec
    • TrustSec SXP
    • أصل نقطة النهاية.

    مكونات pxGrid كمنصة.

    وحدة التحكم في شبكة PxGrid (ISE) : يجب الثقة في كل من المشاركين الذين يستخدمون pxGrid.

    العميل: يمكن أن يكون مشتركا وناشرا للمواضيع المختلفة.

    الناشر: العميل الذي يشارك المعلومات مع وحدة التحكم.

    المشترك: عميل يستهلك معلومات الموضوع.

    يتيح لك هذا التكامل إنشاء سياسات المحتوى على FMC استنادا إلى المعلومات التي تتم مشاركتها بواسطة ISE والمواضيع المنشورة الخاصة بها (المتعلقة بنشاط نقطة النهاية).

    التكوين

    إعداد ISE للتكامل.

    الخطوة 1. قم بتكوين عقدة ISE لتشغيل شخصية pxGrid عليها في إدارة القائمة > نظام > نشر.

    حدد العقد وقم بتمكين ميزة pxGrid.

    Enabling ISE pxGrid services in a node.تمكين خدمات ISE pxGrid في عقدة ما.

    الخطوة 2. بعد تمكين العقد باستخدام ميزة PxGrid، راجع حالة مقابس الويب المتعلقة بالعملاء الداخليين المتصلين.

    انتقل إلى Administration > PxGrid Services > Websocket. لاحظ العملاء الذين يشيرون إلى خدمات ISE مباشرة من خلال عنوان IP 127.0.0.1.

    Internal WebSockets from ISE.مقابس الويب الداخلية من ISE.

    الخطوة 3.  انتقل خلال إدارة القائمة > خدمات pxGrid > الإعدادات وحدد الخيار للموافقة تلقائيا على حسابات قاعدة الشهادات الجديدة،

    هذه الخطوة إختياري في هذه النقطة، ومع ذلك، لاتصال pxGrid، يقترح تمكين خانة الاختيار هذه.

    يمكنك قبول FMC كمشترك يدويا بعد ذلك.

    Enabling Automatic approval for pxGrid certificate based accounts.تمكين الموافقة التلقائية على الحسابات المستندة إلى شهادة PxGrid.

    الخطوة 4.  راجع الشهادات المتعلقة بوظائف PxGrid الخاصة ببيئتك في الإدارة > النظام > شهادات النظام،

    يوصى بأن يكون لديك شهادات PxGrid متجانسة في جميع عقد النشر الخاصة بك موقعة من قبل نفس المرجع المصدق الجذر (CA)

    في هذا السيناريو، نستخدم شهادات ISE الداخلية التي تم إنشاؤها. بالنسبة لهذا الإصدار من ISE حيث في هذا المثال، يتوافق CA الجذر مع عقدة PAN.

    Diagram Internal Certificates on ISE.رسم الشهادات الداخلية على ISE.

    note-icon

    ملاحظة: لمزيد من المعلومات حول البنية الداخلية للشهادات التي تم إنشاؤها على ISE، يرجى الرجوع إلى فهم خدمات المرجع المصدق الداخلي ISE.

    PxGrid certificates in a distributed deployment.شهادات PxGrid في نشر موزع.

    الخطوة 5. تحقق من حالة شهادات pxGrid.

    من القائمة السابقة، حدد خانة إختيار من شهادة pxGrid للعقدة ثم حدد عرض الخيار.

    يبدو المخرج كالمخرج المعروض هنا في شهادات pxGrid.

    Verification of pxGrid certificate.التحقق من شهادة pxGrid.

    إعداد FMC للتكامل.

    الخطوة 1. تأكد من تحديث الوقت الداخلي ل FMC.

    انتقل إلى النظام > التكوين > الوقت وتأكد من أن الوقت الذي تم تكوينه على وحدة التحكم في إدارة الإطارات (FMC) حديث.

    Verifying that the FMC is up to date.التحقق من تحديث FMC.

    إذا لم يتم تحديث وقت FMC، فتأكد من تكوين NTP بشكل صحيح وفي المزامنة. يمكن تكوين NTP ضمن النظام > التكوين > الوقت > + الإضافة.

    Time Synchronization on FMC.مزامنة الوقت على FMC.

    الخطوة 2. انتقل إلى النظام > التكوين > واجهة الإدارة>الإعدادات المشتركة وتحقق من أن حقل خادم DNS الأساسي على الأقل يحتوي على خادم DNS صالح.

    DNS configuration on FMC.تكوين DNS على FMC.

    الخطوة 3. تأكد من تكوين اسم مضيف FMC.  

    انتقل إلى النظام > التكوين > واجهة الإدارة > الإعدادات المشتركة وتحقق من أن حقل hostname يحتوي على اسم مضيف FMC.

    يمكنك التحقق من هذه الخطوة أثناء مراجعة الخطوة السابقة في هذا القسم . 

    إعداد اتصال PxGrid بين ISE و FMC.

    الخطوة 1. انتقل إلى إدارة القائمة > خدمات PXgrid > إدارة العميل > الشهادات.

    في الخيار الأول، حدد أريد إنشاء شهادة مفردة (بدون طلب توقيع شهادة). 

    في قسم الاسم الشائع (CN)، أدخل FQDN الخاص ب FMC أن ISE هو أن يصدر شهادة.

    توفير وصف.

    في قسم الاسم البديل للموضوع (SAN)، أدخل FQDN وعنوان IP الخاص بوحدة التحكم في الوصول عن بعد (FMC) للاتصال.

    في الأسفل في تنسيق تنزيل الشهادة، حدد من القائمة المنسدلة شهادة الخيار في تنسيق البريد الإلكتروني المحسن للخصوصية.

    تنسيق PKCSS PEM للإدخال (بما في ذلك سلسلة الشهادات).

    قم بإدخال كلمة مرور وتخزينها في كلمة مرور الشهادة بينما تستخدم كلمة المرور هذه لاحقا في FMC.

    قم بتأكيد كلمة المرور ثم حدد إنشاء.

    Example of pxGrid certificate generation.مثال لإنشاء شهادة PxGrid.

    الخطوة 2. يتم تنزيل ملف zip إلى الكمبيوتر. قم بإلغاء ضغط الملف، وتأكد من توفر هذه الملفات من البيئة الخاصة بك:

    PxGrid certificates generated by ISE.شهادات PxGrid التي تم إنشاؤها بواسطة ISE.

    الخطوة 3. في FMC، انتقل إلى كائنات القائمة > إدارة الكائنات > PKI > الشهادات الداخلية.

    حدد الخيار إضافة شهادة داخلية.

    Adding the FMC certificate as internal certificate.إضافة شهادة FMC كشهادة داخلية.

    الخطوة 4. قم بتسمية الشهادة المخصصة على FMC. 

    استعرض الشهادة التي أنشأتها ل FMC من ISE في بيانات شهادة القسم. 

    استعرض الملف باستخدام الملحق .key لتعبئة الحقل التالي.

    حدد الخيار يشفر، وأدخل كلمة المرور التي أستخدمتها عند إنشاء الشهادة على ISE.

    حفظ التكوين.

    Exporting the FMC certificate that was generated by ISE.تصدير شهادة FMC التي تم إنشاؤها بواسطة ISE.

    FMC certificate.شهادة FMC.

    الخطوة 5. انتقل إلى القائمة كائنات > إدارة الكائنات > PKI > مرجع مصدق ثقة،

    حدد إضافة مرجع مصدق ثقة.

    Adding the ISE rootCA as trusted certificate.إضافة ISE RootCA كشهادة موثوق بها.

    الخطوة 6. قم بتسمية المرجع المصدق.

    استعرض وحدد ISE RootCA الذي تم تنزيله من ملف ISE.

    احفظ التكوين الخاص بك.  

    Exporting the ISE rootCA.تصدير جذر ISE.

    الخطوة 7. انتقل إلى تكامل القائمة > عمليات تكامل أخرى > مصادر الهوية.

    تحديد في نوع الخدمة: محرك خدمات الهوية،

    أدخل عنوان IP أو FQDN لعقدة pxGrid التي تصبح العقدة الأساسية.

    كرر الإجراء الخاص بعقدة pxGrid الثانوية.

    حدد من القائمة المنسدلة شهادة pxGrid التي تم إنشاؤها بواسطة ISE لقسم شهادة عميل pxGrid،

    في القسم MNT Server CA و PXgrid Server CA، حدد ISE RootCA الذي قمت بتصديره في الخطوة الأخيرة.

    note-icon

    ملاحظة: يماثل مرجع مصدق خادم pxGrid المرجع المصدق الجذر للشهادة التي يتم إستخدامها بواسطة pxGrid على عقد pxGrid.

    يتوافق المرجع المصدق لخادم MNT مع المرجع المصدق للشهادة التي يتم إستخدامها بواسطة PXgrid على عقد MNT.

    (إختياري) يمكنك الاشتراك في دليل جلسة العمل وموضوع SXP من ISE. 

    حفظ التكوين.

    Setting up ISE as Identity Source in FMC.إعداد ISE كمصدر هوية في FMC.

    التحقق من الصحة.

    التحقق من الصحة على FMC.

    في القائمة، انتقل إلى التكامل > عمليات التكامل الأخرى > مصادر الهوية > محرك خدمات الهوية، قبل حفظ التكوين الخاص بك. يمكنك إختبار إعدادات إرتباط pxGrid.

    PxGrid successful communication.اتصال PxGrid الناجح.

    Primary host:

    [INFO]: PXGrid v2 is enabled
    [INFO]: pxgrid 2.0: account activate succeeded
    [INFO]: Successful connection to ssptise02.ssptsec.mex:8910
    [INFO]: Successful connection to ssptise01.ssptsec.mex:8910
    [INFO]: These ISE Services are up: SessionDirectory, SXP, EndpointProfile, SecurityGroups, AdaptiveNetworkControl
    [INFO]: All requested ISE Services are online.

    Secondary host:

    [INFO]: PXGrid v2 is enabled
    [INFO]: pxgrid 2.0: account activate succeeded
    [INFO]: Successful connection to ssptise02.ssptsec.mex:8910
    [INFO]: Successful connection to ssptise01.ssptsec.mex:8910
    [INFO]: These ISE Services are up: SessionDirectory, SXP, EndpointProfile, SecurityGroups, AdaptiveNetworkControl
    [INFO]: All requested ISE Services are online.

    التحقق من صحة ISE.

    عندما يتم دمج عميل FMC PxGrid بنجاح على ISE، حينئذ ترى (في الإدارة > خدمات pxGrid > إدارة العميل > العملاء في القائمة) العملاء الذين لديهم الاسم fmc يتم تضمينهم وتمكينهم.

    PxGrid Clients available and enable.عملاء PxGrid متوفرين وممكنين.

    note-icon

    ملاحظة: عملاء PxGrid التي تبدأ ببادئة "t-fmc" هي تلك التي يتم إستخدامها من خلال زر الاختبار من FMC.

    أيضا، إذا انتقلت إلى إدارة القائمة > خدمات pxGrid > تشخيصات > WebSocket، سترى الاتصالات باتجاه FMC.

    في السيناريو الذي تتوفر فيه وحدة التحكم في إدارة الهيكل (FMC) بتوفر عال، يمكنك حينئذ مشاهدة الوحدات الأساسية والثانوية كما هي معروضة في هذا المثال:

    WebSockets available on ISE.مقابس الويب المتوفرة على ISE.

    في علامة التبويب التالية من هذه القائمة المواضيع المسماة، يمكنك التحقق من إضافة مشتركي FMC إلى موضوعات PxGrid التي تم نشرها بواسطة ISE.

    على سبيل المثال، هناك موضوع متعلق بمجموعة الأمان حيث يمكنك أن ترى أن كلا من FMC مشترك ويتلقى المعلومات المتعلقة بالرقيب SGT المنشورة من قبل ISE.

    Topics per pxGrid subscriber.موضوعات لكل مشترك في PxGrid.

    في القائمة إدارة > pxGrid خدمات > تشخيص > سجل، أحداث مهمة متعلقة ب في اتصال PxGrid (للعقد مع تمكين ميزة). 

    وتصور هذه المعلومات المعلومات المتعلقة بالتكامل.

    PxGrid live logs.سجلات PxGrid المباشرة.

    استكشاف الأخطاء وإصلاحها

    أستكشاف الأخطاء وإصلاحها على FMC. 

    تأكد من قدرة FMC على حل اسم المضيف وعقد ISE الخاصة بها بواسطة أسماء المضيف.  

    على سبيل المثال:

    > expert
    admin@sspt_fmc01_lab:~$ ping sspt_fmc01_lab

    PING sspt_fmc01_lab (10.4.49.51) 56(84) bytes of data.
    64 bytes from sspt_fmc01_lab (10.4.49.51): icmp_seq=1 ttl=64 time=0.029 ms
    64 bytes from sspt_fmc01_lab (10.4.49.51): icmp_seq=2 ttl=64 time=0.071 ms
    64 bytes from sspt_fmc01_lab (10.4.49.51): icmp_seq=3 ttl=64 time=0.055 ms
    ^C
    --- sspt_fmc01_lab ping statistics ---
    3 packets transmitted, 3 received, 0% packet loss, time 27ms

    admin@sspt_fmc01_lab:~$ ping ssptise01
    PING ssptise01.ssptsec.mex (10.4.49.41) 56(84) bytes of data.
    64 bytes from ssptise01.ssptsec.mex (10.4.49.41): icmp_seq=1 ttl=64 time=0.586 ms
    64 bytes from ssptise01.ssptsec.mex (10.4.49.41): icmp_seq=2 ttl=64 time=0.646 ms
    64 bytes from ssptise01.ssptsec.mex (10.4.49.41): icmp_seq=3 ttl=64 time=0.743 ms
    ^C
    --- ssptise01.ssptsec.mex ping statistics ---
    3 packets transmitted, 3 received, 0% packet loss, time 82ms
    rtt min/avg/max/mdev = 0.586/0.658/0.743/0.068 ms
    admin@sspt_fmc01_lab:~$
    admin@sspt_fmc01_lab:~$ ping ssptise02

    PING ssptise02.ssptsec.mex (10.4.49.42) 56(84) bytes of data.
    64 bytes from ssptise02.ssptsec.mex (10.4.49.42): icmp_seq=1 ttl=64 time=0.588 ms
    64 bytes from ssptise02.ssptsec.mex (10.4.49.42): icmp_seq=2 ttl=64 time=0.609 ms
    64 bytes from ssptise02.ssptsec.mex (10.4.49.42): icmp_seq=3 ttl=64 time=0.628 ms
    ^C
    --- ssptise02.ssptsec.mex ping statistics ---
    3 packets transmitted, 3 received, 0% packet loss, time 45ms
    rtt min/avg/max/mdev = 0.588/0.608/0.628/0.025 ms

    تأكد من تشغيل عملية ADI:

    > expert
    sudo suadmin@sspt_fmc01_lab:~$ sudo su
    root@sspt_fmc01_lab:/Volume/home/admin#  pmtool status | grep adi  

    adi (normal) - Running 7911

    ضمنت أن يسمح إتصال من FMC إلى ISE على ميناء TCPP 8910. من FMC CLI يمكننا تكوين التقاط حزمة tcpudump لتأكيد الاتصال ثنائي الإتجاه. 

    > expert
    sudo suadmin@sspt_fmc01_lab:~$ sudo su

    root@sspt_fmc01_lab:/Volume/home/admin# tcpdump -i any tcp and port 8910
    22:34:08.415370 IP sspt_fmc01_lab.46248 > ssptise01.ssptsec.mex.8910: Flags [S], seq 3033526171, win 29200, options [mss 1460,sackOK,TS val 2701166399 ecr 0,nop,wscale 7], length 0
    22:34:08.415840 IP ssptise01.ssptsec.mex.8910 > sspt_fmc01_lab.46248: Flags [S.], seq 3024877968, ack 3033526172, win 28960, options [mss 1460,sackOK,TS val 2268665064 ecr 2701166399,nop,wscale 7], length 0
    22:34:08.415894 IP sspt_fmc01_lab.46248 > ssptise01.ssptsec.mex.8910: Flags [.], ack 1, win 229, options [nop,nop,TS val 2701166400 ecr 2268665064], length 0
    [...]

    أستكشاف الأخطاء وإصلاحها على ISE.

    تحقق من أن الاتصالات على المنفذ 8910 تعمل.

    هذا هو المنفذ المستخدم من قبل عملاء PxGrid للاتصال بعقد PxGrid وعقد MnT للتنزيل المجمع للمعلومات.

    PxGrid interaction in ISE environment.تفاعل PxGrid في بيئة ISE.

    note-icon

    ملاحظة: يتصل عميل PxGrid، في هذه الحالة، FMC بعقد PxGrid وعقدة MNT الثانوية (SMNT) للحصول على (التنزيل المجمع) للمعلومات، وفي حالة حدوث فشل في SMNT، فإنه يبحث عن المعلومات من خلال MNT الأساسي.

    في عقد ISE حيث يتم عقد الاتصال مع عميل PxGrid، يمكنك مراجعة ما إذا كان المنفذ مفتوحا أو ما إذا كانت هناك مقابس متصلة بذلك المنفذ.

    #show ports | include 8910
    tcp: (output omitted), :::8910,

    هناك إختباران متاحان على ISE يشخص الحالة العامة لعمليات تنفيذ pxGrid.

    تلك يمكن أن تكون في إدارة القائمة > خدمات pxGrid > تشخيصات > إختبار.

    يتم إجراء الاختبارات المعروضة في هذا القسم داخليا على ISE.

    إختبار المراقبة الصحية مراجعة بحث خدمة pxGrid، الذي يقيم ما إذا كان العميل يمكنه الوصول إلى دليل جلسة العمل والخدمة والمواضيع المنشورة بواسطة وحدة التحكم pxGrid.

    حدد الخيار بدء إختبار وانتظر تجميع السجلات.

    PxGrid Health Monitoring Test.إختبار مراقبة سلامة PxGrid.

    بمجرد اكتمال الاختبار، حدد الخيار عرض السجل. لهذا المثال، يكون محتوى السجل:

    Review of Health Monitoring Test.إستعراض إختبار المراقبة الصحية.

    22-Aug-2023 17:03:13 [INFO] ************** pxGrid Session Directory Test ***************
    22-Aug-2023 17:03:13 [INFO] ----------------- Starting Connection Test -----------------
    22-Aug-2023 17:03:14 [INFO] pxGrid Node: ssptise01.ssptsec.mex
    22-Aug-2023 17:03:14 [INFO] wsPubsubServiceName=com.cisco.ise.pubsub
    22-Aug-2023 17:03:14 [INFO] sessionTopic=/topic/com.cisco.ise.session
    22-Aug-2023 17:03:14 [INFO] sessionRestBaseUrl=https://ssptise01.ssptsec.mex:8910/pxgrid/mnt/sd
    22-Aug-2023 17:03:14 [INFO] wsUrl=wss://ssptise02.ssptsec.mex:8910/pxgrid/ise/pubsub
    22-Aug-2023 17:03:15 [INFO] ---------------- Connection Test Completed -----------------
    22-Aug-2023 17:03:15 [INFO] ------------------ Starting Download Test ------------------
    22-Aug-2023 17:03:15 [INFO] Downloading sessions since 2023-08-21T17:03:15.273-06:00
    22-Aug-2023 17:03:15 [INFO] Response status=200
    22-Aug-2023 17:03:15 [INFO] Number of sessions read: 0
    22-Aug-2023 17:03:15 [INFO] ----------------- Download Test Completed ------------------
    22-Aug-2023 17:03:15 [INFO] ----------------- Starting Subscribe Test ------------------
    22-Aug-2023 17:03:16 [INFO] STOMP CONNECT host=ssptise02.ssptsec.mex
    22-Aug-2023 17:03:16 [INFO] STOMP SUBSCRIBE topic=/topic/com.cisco.ise.session
    22-Aug-2023 17:03:16 [INFO] STOMP CONNECTED version=1.2
    22-Aug-2023 17:07:16 [INFO] A total of 0 notifications were received.
    22-Aug-2023 17:07:16 [INFO] STOMP RECEIPT id=77
    22-Aug-2023 17:07:19 [INFO] ----------------- Subscribe Test Completed -----------------
    22-Aug-2023 17:07:19 [INFO] ********** pxGrid Session Directory Test Complete **********

    يتحقق إختبار مزامنة قاعدة بيانات PxGrid مما إذا كانت المعلومات داخل قواعد البيانات صحيحة بين عقد PAN و PxGrid ومزامنتها.

    لذلك، تكون المعلومات المرسلة إلى مشتركي PXgrid دقيقة.

    حدد إختبار بدء الخيار وانتظار النتائج حتى يتم تقييمها.

    PxGrid Databases Synchronization Test.إختبار مزامنة قواعد بيانات PxGrid.

    من السجلات التي تم إنشاؤها، تم الحصول على هذا الإخراج.

    ssptise01.ssptsec.mex : In Sync
    ssptise02.ssptsec.mex : In Sync

    Primary PAN : ssptise01.ssptsec.mex
    pxGrid Nodes : ssptise01.ssptsec.mex ssptise02.ssptsec.mex

    تجميع التقاط على من عقد PXgrid تشير إلى عقدة FMC الأساسية.

    انتقل إلى عمليات القائمة > أستكشاف الأخطاء وإصلاحها > أدوات التشخيص > تفريغ TCP،

    حدد الخيار لإضافة التقاط جديد.

    Generating a packet capture on ISE.إنشاء التقاط حزمة على ISE.

    قم بتكوين معلمات الالتقاط.

    في اسم المضيف، حدد عقدة pxGrid الأساسية المحددة في FMC. 

    تصفية حركة المرور باستخدام مضيف IP هذا <FMC IP>

    قم بتسمية الالتقاط ثم تابع إلى الحفظ والتشغيل.

    Example of packet capture configuration.مثال على تكوين التقاط الحزمة.

    في نافذة أخرى، في قائمة دمج FMC > عمليات تكامل أخرى > مصادر الهوية، اختبر الاتصال ب ISE من خلال قناة pxGrid.

    عندما تحصل على نتيجة الاختبار، تابع إلى إيقاف الالتقاط على ISE.

    Stoping a packet capture on ISE.إيقاف التقاط حزمة على ISE.

    قم بتنزيل الالتقاط وبدء التحليل. يعرض هذا السيناريو التقاط اتصال عمل يمكن أن يعمل كمرجع.

    PxGrid communication between ISE and FMC.اتصال PxGrid بين ISE و FMC.

    وبالإضافة إلى ذلك، في ISE، يمكنك تجميع تصحيح الأخطاء المتعلقة بمعالجة PXgrid.

    انتقل خلال عمليات القائمة > أستكشاف الأخطاء وإصلاحها > معالج تصحيح الأخطاء > تكوين سجل التصحيح،

    حدد عقدة ISE المطابقة لتحليلها ثم تحريرها.

    Selecting a node to debug on ISE.تحديد عقدة لتصحيح أخطاء ISE.

    قم بتصفية المكونات المعروضة وتغيير مستوى السجل إلى تصحيح أخطاء مكون pxgrid إلى المتابعة باستخدام تحليل.

    حفظ التكوين.

    Changing the pxGrid component to debug level.تغيير مكون pxGrid إلى مستوى تصحيح الأخطاء.

    قم بإعادة إنتاج السلوك المراد تحليله، ثم قم بالمتابعة لتحليل السجلات التي تم تجميعها على ملف pxgrid-server.log. السجلات الأخرى التي يمكنك مراجعتها على عقدة ISE لاستكشاف الأخطاء وإصلاحها هي:

    #show logging application | include pxgrid
    ise-pxgriddirect.log
    pxgrid/pxgrid-server.log
    pxgrid/pxgrid-test.log
    pxgrid/pxgrid_dbsync_summary.log
    pxgrid/pxgrid_internal_dbsync_summary.log
    pxgriddirect.log
    tip-icon

    تلميح: لمزيد من توصيات مجموعة السجلات، يرجى مراجعة الفيديو كيفية تمكين تصحيح الأخطاء على إصدارات ISE 3.x.

    المشاكل المشتركة. 

    لم تتم الموافقة على عميل مشترك PxGrid على ISE.

    لحالة الاستخدام هذه، تظهر المخرجات المتعلقة من زر إختبار FMC PXgrid هذا السلوك:

    FMC pxGrid connection failed.فشل اتصال FMC PXgrid.

    Primary host:

    [INFO]: PXGrid v2 is enabled
    [ERROR]: pxgrid 2.0: failed account activation. accountState=PENDING
    [ERROR]: Failed to contact pxGrid node at '10.4.49.41': pxgrid2.0: Could not activate account

    Secondary host:

    [INFO]: PXGrid v2 is enabled
    [ERROR]: Performing request failed with a timeout.
    [ERROR]: Failed to contact pxGrid node at '10.4.19.42': Request failed with a timeout.

    في ISE، لاحظ السلوك في إدارة القائمة > خدمات PxGrid > إدارة العميل > عملاء يشير إلى أن عميل PxGrid (FMC) معلق للموافقة.

    حدد الزر موافقة، وقم بتأكيد التحديد في الإطار التالي وحاول التكامل مرة أخرى.

    هذه المرة تكون عملية التكامل ناجحة.

    FMC client in pending status.عميل FMC في حالة تعليق.

    Confirmation of the approval of the pxGrid client.تأكيد الموافقة على عميل pxGrid.

    لاحظ إذا كنت تريد تمكين الموافقة التلقائية لعملاء PxGrid المستندة إلى الشهادة.

    الموافقة على/رفض العملاء من الصفحة السابقة عند ظهور هذا التنبيه.

    Error related to the approval of pxGrid clients.خطأ متعلق باعتماد عملاء PxGrid.

    سلسلة شهادات PxGrid ISE غير مكتملة.

    في هذا السيناريو، إذا انتقلت إلى إدارة القائمة > النظام > الترخيص، حدد شهادة pxgrid وحدد عرض الخيار،

    في حالة حدوث مشكلة في الشهادة، تكون هذه الأخطاء ذات الصلة ممكنة.

    Error related to certificate chain imcomplete.خطأ متعلق بإكمال سلسلة الشهادات.

    تتمثل الخطوة الأولى التي يجب التحقق منها في ما إذا كان قد تم إكمال المرجع المصدق (ISE) الجذري في خيار العرض.

    في حالة عدم وجود شهادة في التدرج الهرمي، يمكنك إصدار المرجع المصدق الجذر لنشر ISE بالكامل.

    تصفح إلى إدارة القائمة > النظام > الشهادات > إدارة الشهادات > طلب توقيع الشهادة (CSR) ثم حدد ذلك الزر.

    Generating a CSR on ISE.إنشاء CSR على ISE.

    في هذه القائمة، حدد في Use ISE Root CA وأعد إنشاء ISE Root CA لجميع العقد.

    استمر في إستخدام الزر إستبدال سلسلة شهادات ISE Root CA.

    Configuring the Certificate Signing Request.تكوين طلب توقيع الشهادة.

    انتظر حتى يتم إنشاء الشهادات في جميع عقد التنفيذ.

    وعند الإكمال، يعرض ISE الإشعار التالي.

    Confirmation of generation of certificates.تأكيد إنشاء الشهادات.

    تأكيد ما إذا كان سلسلة الشهادات المعتمدة ل PxGrid مكتملة بتحديد طريقة عرض الخيار في شهادات النظام.

    المرجع.

    صفحة مطور Cisco PxGrid.

    دليل مسؤول محرك خدمات الهوية من Cisco، الإصدار 3.2، الفصل: Cisco PXgrid.

    دليل تثبيت محرك خدمات الهوية من Cisco، الإصدار 3.2، الفصل: مرجع منافذ ISE من Cisco

    دليل مرجع واجهة سطر الأوامر (CLI) لمحرك خدمات الهوية من Cisco، الإصدار 2.4

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    29-Aug-2023
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Rodrigo Diaz Cruz
      Technical Consulting Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات