ISE 3.2 mit FMC 7.2.4-Integration konfigurieren und Fehlerbehebung dafür durchführen

Download-Optionen

  • PDF     (3.2 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (3.2 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (2.0 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:29. August 2023
Dokument-ID:220856

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument werden Verfahren zur Integration der Identity Services Engine in das Firewall Management Center unter Verwendung von Platform Exchange Grid-Verbindungen beschrieben.

    Voraussetzungen

    Cisco empfiehlt Fachwissen in folgenden Bereichen:

    • Identity Services Engine (ISE)
    • Plattform-Austausch-Grid
    • Firewall Management Center (FMC)
    • TLS/SSL-Zertifikate

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Identity Services Engine (ISE) Version 3.2 Patch 3
    • Firewall Management Center Version 7.2.4

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen.

    Diese Dokumentation bietet eine Lösung zur Integration von FMC und ISE mit pxGrid Version 2.

    Das Cisco FirePOWER Management Center (FMC) ist eine zentralisierte Plattform für Firewalls der nächsten Generation und Intrusions Prevention Systems und bietet Richtlinienmanagement, Bedrohungserkennung und Reaktion auf Vorfälle.

    Die Cisco Identity Services Engine ist eine umfassende Lösung, die einen sicheren Zugriff auf Endgeräte ermöglicht, indem sie Services für Authentifizierung, Autorisierung und Rechenschaftspflicht (AAA) sowie die Durchsetzung von Richtlinien bereitstellt.

    Mit Platform Exchange Grid (pxGrid) können Sie Informationen zwischen anbieterübergreifenden, plattformübergreifenden Netzwerken austauschen.

    Diese Integration ermöglicht eine sichere Überwachung und Erkennung von Bedrohungen sowie die Festlegung von Netzwerkrichtlinien auf Basis der gemeinsam genutzten Informationen. 

    PxGrid Framework hat 2 Versionen. Die zu verwendende hängt von der ISE-Version und dem Patch ab, die Sie überprüfen müssen.

    Ab Version ISE 3.1 basieren alle pxGrid-Verbindungen von ISE auf pxgrid Version 2.

    PxGrid Version 1.

    Die erste Version dieses Frameworks (pxGrid v1) zeichnet sich durch die Benutzerfreundlichkeit aus, die durch den Befehl show application status ise erkannt wurde, wie er in der folgenden Ausgabe angezeigt wird.

    Wenn die pxGrid-Funktion im Knoten aktiviert ist, werden die pxGrid-Funktionen im Ausführungsstatus angezeigt.

    PxGrid version 1 serviceability.Benutzerfreundlichkeit von PxGrid Version 1.

    In dieser Version dieser Plattform ist es bekannt, nur einen pxGrid-Knoten mit den pxGrid-Prozessen im laufenden Status zu haben, während sich die anderen pxGrid-Knoten im Standby-Status befinden.

    Diese Knoten überwachen ständig den Status des pxGrid-Knotens mit zugehörigen Services, die mit der Ausführung zusammenhängen.

    In diesem, der primäre pxGrid-Knoten gab es eine Promotion und die anderen pxGrid-Knoten aktiviert ihre pxGrid-Dienste. 

    Dies bedeutete jedoch eine Ausfallzeit, wenn dieses Failover auftrat.

    Die erste Version von pxgrid basiert auf der Kommunikation im Extensible Messaging and Presence Protocol (XMPP), einer Reihe von Technologien, die in der Collaboration- und Sprachinfrastruktur verwendet werden.

    Folgende Themen werden in einer pxGrid v1-Verbindung behandelt:

    • Sitzungsverzeichnis
    • Endpunktprofil-Metadaten
    • TrustSec-Metadaten
    • Funktion zum Schutz von Endgeräten
    • Adaptive Netzwerkkontrolle
    • MDM_Offline - Thema
    • Identität
    • SXP

    PxGrid Version 2.

    Dieses Dokument behandelt die Verwendung von PxGrid Version 2. Diese Plattform arbeitet mit REST-Operationen auf ISE und WebSocket-Protokolle, die Verbesserungen, verbesserte Skalierbarkeit, Leistung und Flexibilität in Datenmodellen bringt.

    In dieser Version werden pxgrid-Features nicht wie in der vorherigen Version mit dem Befehl show application status ise ausgeführt.

    Im Abschnitt zur Validierung der ISE in diesem Dokument erfahren Sie, welche Mechanismen Sie überprüfen müssen, um die pxGrid-Funktionalität zu überprüfen.

    Mit dieser Version haben Sie alle pxGrid-Knoten, die Sie als aktive pxGrid-Knoten konfigurieren. Sie sind jederzeit bereit, sich am Informationsaustausch zu beteiligen.

    In Version 1 wurde die Betriebsfähigkeit von pxGrid nur auf einem Knoten ausgeführt.

    Folgende Themen werden in einer pxGrid v2-Verbindung behandelt:

    • Sitzungsverzeichnis
    • Radius-Fehler
    • Profiler-Konfiguration
    • Systemstatus
    • MDM
    • ANC-Status
    • TrustSec
    • TrustSec-Konfiguration
    • TrustSec-SXP
    • Endgerät-Ressource.

    Komponenten von pxGrid als Plattform.

    PxGrid-Controller (ISE): Muss allen Teilnehmern vertrauen, die pxGrid verwenden.

    Kunde: Kann Abonnent und Herausgeber verschiedener Themen sein.

    Herausgeber: Client, der Informationen mit dem Controller teilt.

    Teilnehmer: Client, der die Informationen eines Themas verwendet.

    Durch diese Integration können Sie Content-Richtlinien auf FMC-Basis erstellen. Diese basieren auf den von der ISE freigegebenen Informationen und den veröffentlichten Themen (im Zusammenhang mit der Endgerätaktivität).

    Konfigurieren

    Vorbereitung der ISE auf die Integration

    Schritt 1. Konfigurieren Sie den ISE-Knoten, um die pxGrid persona darauf im Menü Administration > System > Deployment auszuführen.

    Wählen Sie die Knoten und aktivieren Sie die Funktion pxGrid.

    Enabling ISE pxGrid services in a node.Aktivieren von ISE-pxGrid-Services in einem Knoten

    Schritt 2: Nachdem Sie die Knoten mit der Funktion pxGrid aktiviert haben, überprüfen Sie den Status der Websockets, die sich auf die verbundenen internen Clients beziehen.

    Navigieren Sie zu Administration > pxGrid Services > Websocket. Beachten Sie, dass Clients direkt über die IP-Adresse 127.0.0.1 auf die ISE-Services verweisen.

    Internal WebSockets from ISE.Interne WebSockets von der ISE.

    Schritt 3:  Navigieren Sie durch das Menü Administration > pxGrid Services > Settings (Verwaltung > pxGrid-Dienste > Einstellungen), und wählen Sie die Option zum automatischen Genehmigen neuer Zertifikatbasiskonten aus.

    Dieser Schritt ist zu diesem Zeitpunkt optional. Für die pxGrid-Verbindung wird jedoch empfohlen, dieses Kontrollkästchen zu aktivieren.

    Sie können das FMC anschließend manuell als Teilnehmer akzeptieren.

    Enabling Automatic approval for pxGrid certificate based accounts.Aktivieren der automatischen Genehmigung für pxGrid-Zertifikatkonten.

    Schritt 4:  Überprüfen Sie die Zertifikate für die pxGrid-Funktion Ihrer Umgebung unter Administration > System > System Certificates,

    Es wird empfohlen, dass Sie homogene pxGrid-Zertifikate in allen Knoten Ihrer Bereitstellung haben, die von der gleichen Stammzertifizierungsstelle (Certificate Authority, CA) signiert werden

    In diesem Szenario werden die generierten internen ISE-Zertifikate verwendet. Bei dieser Version der ISE, bei der in diesem Beispiel die Stammzertifizierungsstelle dem PAN-Knoten entspricht.

    Diagram Internal Certificates on ISE.Diagramm der internen Zertifikate auf der ISE.

    note-icon

    Anmerkung: Weitere Informationen zur internen Struktur der auf der ISE generierten Zertifikate finden Sie unter Verstehen der internen Services der ISE-Zertifizierungsstelle.

    PxGrid certificates in a distributed deployment.PxGrid-Zertifikate in einer verteilten Bereitstellung.

    Schritt 5: Überprüfen des Status der pxGrid-Zertifikate

    Wählen Sie aus dem vorherigen Menü ein Kontrollkästchen aus einem Knoten pxGrid-Zertifikat und anschließend die Option Ansicht.

    Die Ausgabe ähnelt der Ausgabe, die hier in den pxGrid-Zertifikaten angezeigt wird.

    Verification of pxGrid certificate.Verifizierung des pxGrid-Zertifikats.

    Bereiten Sie das FMC auf die Integration vor.

    Schritt 1: Bestätigen Sie, dass die interne FMC-Zeit aktuell ist.

    Navigieren Sie zu System > Configuration > Time (System > Konfiguration > Uhrzeit), und stellen Sie sicher, dass die auf dem FMC konfigurierte Zeit aktuell ist.

    Verifying that the FMC is up to date.Überprüfen der Aktualität des FMC

    Wenn die FMC-Zeit nicht aktualisiert wird, stellen Sie sicher, dass das NTP ordnungsgemäß konfiguriert ist und sich synchronisiert. NTP kann unter System > Configuration > Time > + Add konfiguriert werden.

    Time Synchronization on FMC.Zeitsynchronisierung auf FMC

    Schritt 2: Navigieren Sie zu System > Configuration > Management Interface > Shared Settings, und stellen Sie sicher, dass mindestens das Feld Primary DNS Server (Primärer DNS-Server) eine gültige IP-Adresse für den DNS-Server enthält.

    DNS configuration on FMC.DNS-Konfiguration auf FMC

    Schritt 3: Bestätigen Sie die Konfiguration des FMC-Hostnamens.  

    Navigieren Sie zu System > Configuration > Management Interface > Shared Settings, und vergewissern Sie sich, dass das Feld Hostname den FMC-Hostnamen enthält.

    Sie können diesen Schritt überprüfen, während Sie den vorherigen Schritt in diesem Abschnitt lesen. 

    Einrichten der pxGrid-Verbindung zwischen ISE und FMC

    Schritt 1. Navigieren Sie zum Menü Administration > pxGrid Services > Client Management > Certificates (Verwaltung > pxGrid-Dienste > Client-Verwaltung > Zertifikate).

    Wählen Sie in der ersten Option I want to Generate a single certificate (without a certificate signing request) aus. 

    Geben Sie im Abschnitt Common Name (CN) den FQDN des FMC ein, das die ISE ausstellen soll.

    Geben Sie eine Beschreibung an.

    Geben Sie im Abschnitt Subject Alternative Name (SAN) den FQDN und die IP-Adresse des anzuschließenden FMC ein.

    Wählen Sie unten im Certificate Download Format aus dem Dropdown-Menü die Option Certificate in Privacy Enhanced Electronic Mail (PEM) format.

    PKCSS-PEM-Format eingeben (einschließlich Zertifikatkette).

    Geben Sie ein Kennwort in das Zertifikatkennwort ein, und speichern Sie es so, wie Sie es später im FMC verwenden.

    Bestätigen Sie das Kennwort, und wählen Sie dann Erstellen aus.

    Example of pxGrid certificate generation.Beispiel für pxGrid-Zertifikatgenerierung.

    Schritt 2. Eine ZIP-Datei wird auf Ihren Computer heruntergeladen. Dekomprimieren Sie die Datei, und vergewissern Sie sich, dass Sie die folgenden Dateien in Ihrer Umgebung installiert haben:

    PxGrid certificates generated by ISE.Von ISE generierte PxGrid-Zertifikate.

    Schritt 3: Navigieren Sie im FMC zum Menü Objekte > Objektverwaltung > PKI > Interne Zertifikate.

    Wählen Sie die Option Internes Zertifikat hinzufügen aus.

    Adding the FMC certificate as internal certificate.FMC-Zertifikat als internes Zertifikat hinzugefügt.

    Schritt 4: Nennen Sie das Zertifikat, das auf dem FMC zugewiesen ist. 

    Durchsuchen Sie das von Ihnen für das FMC von der ISE erstellte Zertifikat im Abschnitt Zertifikatsdaten

    Durchsuchen Sie die Datei mit der Erweiterung .key, um das nächste Feld auszufüllen.

    Wählen Sie die Option Verschlüsselt aus, und geben Sie das Kennwort ein, das Sie beim Erstellen des Zertifikats auf der ISE verwendet haben.

    Speichern Sie die Konfiguration.

    Exporting the FMC certificate that was generated by ISE.Exportieren des von der ISE generierten FMC-Zertifikats.

    FMC certificate.FMC-Zertifikat.

    Schritt 5: Navigieren Sie zum Menü Objekte > Objektverwaltung > PKI > Vertrauenswürdige Zertifizierungsstellen,

    Wählen Sie Vertrauenswürdige Zertifizierungsstellen hinzufügen aus.

    Adding the ISE rootCA as trusted certificate.Hinzufügen der ISE-Stammzertifizierungsstelle als vertrauenswürdiges Zertifikat.

    Schritt 6: Benennen Sie die Zertifizierungsstelle.

    Durchsuchen Sie die ISE-Stammzertifizierungsstelle, die von der ISE-Datei heruntergeladen wurde, und wählen Sie sie aus.

    Speichern Sie Ihre Konfiguration.  

    Exporting the ISE rootCA.Exportieren der ISE-Stammzertifizierungsstelle.

    Schritt 7: Navigieren Sie zum Menü Integration > Weitere Integrationen > Identitätsquellen.

    Wählen Sie unter Servicetyp: Identity Services Engine,

    Geben Sie die IP-Adresse oder den FQDN des pxGrid-Knotens ein, der zum primären Knoten wird.

    Wiederholen Sie den Vorgang für den sekundären pxGrid-Knoten.

    Wählen Sie aus dem Dropdown-Menü das von ISE generierte pxGrid-Zertifikat für den Abschnitt pxGrid-Client-Zertifikat aus.

    Wählen Sie im Abschnitt MNT Server CA und pxGrid Server CA die ISE-Stammzertifizierungsstelle aus, die Sie im letzten Schritt exportiert haben.

    note-icon

    Anmerkung: Die pxGrid Server-CA entspricht der Stammzertifizierungsstelle des Zertifikats, das von pxGrid auf den pxGrid-Knoten verwendet wird.

    Die MNT Server CA entspricht der Certificate Authority des Zertifikats, das von pxGrid auf den MNT-Knoten verwendet wird.

    (Optional) Sie können das Sitzungsverzeichnis und das SXP-Thema von der ISE abonnieren. 

    Speichern Sie die Konfiguration.

    Setting up ISE as Identity Source in FMC.Einrichten der ISE als Identitätsquelle in FMC

    Überprüfung.

    Validierung auf FMC

    Navigieren Sie im Menü zu Integration > Other Integrations > Identity Sources > Identity Services Engine, bevor Sie Ihre Konfiguration speichern. Sie können die Einstellungen für den pxGrid-Link testen.

    PxGrid successful communication.PxGrid-Kommunikation erfolgreich.

    Primary host:

    [INFO]: PXGrid v2 is enabled
    [INFO]: pxgrid 2.0: account activate succeeded
    [INFO]: Successful connection to ssptise02.ssptsec.mex:8910
    [INFO]: Successful connection to ssptise01.ssptsec.mex:8910
    [INFO]: These ISE Services are up: SessionDirectory, SXP, EndpointProfile, SecurityGroups, AdaptiveNetworkControl
    [INFO]: All requested ISE Services are online.

    Secondary host:

    [INFO]: PXGrid v2 is enabled
    [INFO]: pxgrid 2.0: account activate succeeded
    [INFO]: Successful connection to ssptise02.ssptsec.mex:8910
    [INFO]: Successful connection to ssptise01.ssptsec.mex:8910
    [INFO]: These ISE Services are up: SessionDirectory, SXP, EndpointProfile, SecurityGroups, AdaptiveNetworkControl
    [INFO]: All requested ISE Services are online.

    Validierung auf der ISE

    Wenn der FMC pxGrid-Client erfolgreich in die ISE integriert wurde, sehen Sie dann (im Menü Administration > pxGrid Services > Client Management > Clients), dass Clients mit dem Namen fmc eingeschlossen und aktiviert sind.

    PxGrid Clients available and enable.PxGrid-Clients verfügbar und aktiviert.

    note-icon

    Anmerkung: Die pxGrid-Clients, deren Präfix mit "t-fmc" beginnt, werden über die Testtaste vom FMC verwendet.

    Wenn Sie außerdem zum Menü Administration > pxGrid Services > Diagnostics > WebSocket navigieren, sehen Sie die Verbindungen zum FMC.

    In dem Szenario, in dem das FMC hochverfügbar ist, sehen Sie dann die primären und sekundären Einheiten, wie sie in diesem Beispiel angezeigt werden:

    WebSockets available on ISE.WebSockets sind auf der ISE verfügbar.

    Auf der nächsten Registerkarte dieses Menüs mit dem Namen Themenkönnen Sie überprüfen, ob die FMC-Abonnenten zu den von der ISE veröffentlichten pxGrid-Themen hinzugefügt wurden.

    Zum Beispiel gibt es das Thema Sicherheitsgruppe, von wo Sie sehen können, dass beide FMC abonniert sind und Informationen zu SGT von ISE erhalten.

    Topics per pxGrid subscriber.Themen pro pxGrid-Abonnent.

    Im Menü Administration > pxGrid Services > Diagnostics > Log werden wichtige Ereignisse für die pxGrid-Kommunikation (für die Knoten mit aktivierter Funktion) angezeigt. 

    Diese stellen die Informationen zur Integration dar.

    PxGrid live logs.PxGrid-Live-Protokolle.

    Fehlerbehebung

    Fehlerbehebung auf FMC 

    Bestätigen Sie, dass FMC in der Lage ist, seinen eigenen Hostnamen und ISE-Knoten nach Hostnamen aufzulösen.  

    Beispiele:

    > expert
    admin@sspt_fmc01_lab:~$ ping sspt_fmc01_lab

    PING sspt_fmc01_lab (10.4.49.51) 56(84) bytes of data.
    64 bytes from sspt_fmc01_lab (10.4.49.51): icmp_seq=1 ttl=64 time=0.029 ms
    64 bytes from sspt_fmc01_lab (10.4.49.51): icmp_seq=2 ttl=64 time=0.071 ms
    64 bytes from sspt_fmc01_lab (10.4.49.51): icmp_seq=3 ttl=64 time=0.055 ms
    ^C
    --- sspt_fmc01_lab ping statistics ---
    3 packets transmitted, 3 received, 0% packet loss, time 27ms

    admin@sspt_fmc01_lab:~$ ping ssptise01
    PING ssptise01.ssptsec.mex (10.4.49.41) 56(84) bytes of data.
    64 bytes from ssptise01.ssptsec.mex (10.4.49.41): icmp_seq=1 ttl=64 time=0.586 ms
    64 bytes from ssptise01.ssptsec.mex (10.4.49.41): icmp_seq=2 ttl=64 time=0.646 ms
    64 bytes from ssptise01.ssptsec.mex (10.4.49.41): icmp_seq=3 ttl=64 time=0.743 ms
    ^C
    --- ssptise01.ssptsec.mex ping statistics ---
    3 packets transmitted, 3 received, 0% packet loss, time 82ms
    rtt min/avg/max/mdev = 0.586/0.658/0.743/0.068 ms
    admin@sspt_fmc01_lab:~$
    admin@sspt_fmc01_lab:~$ ping ssptise02

    PING ssptise02.ssptsec.mex (10.4.49.42) 56(84) bytes of data.
    64 bytes from ssptise02.ssptsec.mex (10.4.49.42): icmp_seq=1 ttl=64 time=0.588 ms
    64 bytes from ssptise02.ssptsec.mex (10.4.49.42): icmp_seq=2 ttl=64 time=0.609 ms
    64 bytes from ssptise02.ssptsec.mex (10.4.49.42): icmp_seq=3 ttl=64 time=0.628 ms
    ^C
    --- ssptise02.ssptsec.mex ping statistics ---
    3 packets transmitted, 3 received, 0% packet loss, time 45ms
    rtt min/avg/max/mdev = 0.588/0.608/0.628/0.025 ms

    Stellen Sie sicher, dass der ADI-Prozess aktiv ist:

    > expert
    sudo suadmin@sspt_fmc01_lab:~$ sudo su
    root@sspt_fmc01_lab:/Volume/home/admin#  pmtool status | grep adi  

    adi (normal) - Running 7911

    Stellen Sie sicher, dass die Kommunikation von FMC zu ISE auf Port TCPP 8910 zulässig ist. Über die FMC-CLI können wir eine tcpudump-Paketerfassung konfigurieren, um die bidirektionale Kommunikation zu bestätigen. 

    > expert
    sudo suadmin@sspt_fmc01_lab:~$ sudo su

    root@sspt_fmc01_lab:/Volume/home/admin# tcpdump -i any tcp and port 8910
    22:34:08.415370 IP sspt_fmc01_lab.46248 > ssptise01.ssptsec.mex.8910: Flags [S], seq 3033526171, win 29200, options [mss 1460,sackOK,TS val 2701166399 ecr 0,nop,wscale 7], length 0
    22:34:08.415840 IP ssptise01.ssptsec.mex.8910 > sspt_fmc01_lab.46248: Flags [S.], seq 3024877968, ack 3033526172, win 28960, options [mss 1460,sackOK,TS val 2268665064 ecr 2701166399,nop,wscale 7], length 0
    22:34:08.415894 IP sspt_fmc01_lab.46248 > ssptise01.ssptsec.mex.8910: Flags [.], ack 1, win 229, options [nop,nop,TS val 2701166400 ecr 2268665064], length 0
    [...]

    Fehlerbehebung auf der ISE.

    Überprüfen Sie, ob die Kommunikation an Port 8910 funktioniert.

    Dies ist der Port, der von den pxGrid-Clients für die Kommunikation mit pxGrid-Knoten und MnT-Knoten für den Massen-Download von Informationen verwendet wird.

    PxGrid interaction in ISE environment.Interaktion von PxGrid in der ISE-Umgebung.

    note-icon

    Anmerkung: Der pxGrid-Client, in diesem Fall kommuniziert das FMC mit den pxGrid-Knoten und dem sekundären MNT (SMNT)-Knoten, um die (Bulk Download) der Informationen zu erhalten, im Falle eines Fehlers in der SMNT sucht es nach den Informationen über die primäre MNT.

    In den ISE-Knoten, in denen die Kommunikation mit dem pxGrid-Client stattfindet, können Sie überprüfen, ob der Port offen ist oder ob Sockets an diesen Port angeschlossen sind.

    #show ports | include 8910
    tcp: (output omitted), :::8910,

    Es stehen 2 Tests auf der ISE zur Verfügung, die den Gesamtstatus der pxGrid-Implementierungen diagnostizieren.

    Diese finden Sie im Menü Administration > pxGrid Services > Diagnostics > Test.

    Die in diesem Abschnitt angezeigten Tests werden intern auf der ISE durchgeführt.

    Health Monitoring-Test überprüft die pxGrid-Dienstsuche, die auswertet, ob ein Client auf das Sitzungsverzeichnis, den Dienst und die vom pxGrid-Controller veröffentlichten Themen zugreifen kann.

    Wählen Sie die Option Start Test (Test starten) aus, und warten Sie, bis die Protokolle erfasst sind.

    PxGrid Health Monitoring Test.PxGrid-Systemüberwachungstest.

    Wählen Sie nach Abschluss des Tests die Option Protokoll anzeigen. Für dieses Beispiel lautet der Inhalt des Protokolls:

    Review of Health Monitoring Test.Überprüfung des Integritätsüberwachungstests

    22-Aug-2023 17:03:13 [INFO] ************** pxGrid Session Directory Test ***************
    22-Aug-2023 17:03:13 [INFO] ----------------- Starting Connection Test -----------------
    22-Aug-2023 17:03:14 [INFO] pxGrid Node: ssptise01.ssptsec.mex
    22-Aug-2023 17:03:14 [INFO] wsPubsubServiceName=com.cisco.ise.pubsub
    22-Aug-2023 17:03:14 [INFO] sessionTopic=/topic/com.cisco.ise.session
    22-Aug-2023 17:03:14 [INFO] sessionRestBaseUrl=https://ssptise01.ssptsec.mex:8910/pxgrid/mnt/sd
    22-Aug-2023 17:03:14 [INFO] wsUrl=wss://ssptise02.ssptsec.mex:8910/pxgrid/ise/pubsub
    22-Aug-2023 17:03:15 [INFO] ---------------- Connection Test Completed -----------------
    22-Aug-2023 17:03:15 [INFO] ------------------ Starting Download Test ------------------
    22-Aug-2023 17:03:15 [INFO] Downloading sessions since 2023-08-21T17:03:15.273-06:00
    22-Aug-2023 17:03:15 [INFO] Response status=200
    22-Aug-2023 17:03:15 [INFO] Number of sessions read: 0
    22-Aug-2023 17:03:15 [INFO] ----------------- Download Test Completed ------------------
    22-Aug-2023 17:03:15 [INFO] ----------------- Starting Subscribe Test ------------------
    22-Aug-2023 17:03:16 [INFO] STOMP CONNECT host=ssptise02.ssptsec.mex
    22-Aug-2023 17:03:16 [INFO] STOMP SUBSCRIBE topic=/topic/com.cisco.ise.session
    22-Aug-2023 17:03:16 [INFO] STOMP CONNECTED version=1.2
    22-Aug-2023 17:07:16 [INFO] A total of 0 notifications were received.
    22-Aug-2023 17:07:16 [INFO] STOMP RECEIPT id=77
    22-Aug-2023 17:07:19 [INFO] ----------------- Subscribe Test Completed -----------------
    22-Aug-2023 17:07:19 [INFO] ********** pxGrid Session Directory Test Complete **********

    Der PxGrid-Datenbanksynchronisierungstest überprüft, ob die Informationen in den Datenbanken zwischen den PAN- und pxGrid-Knoten richtig sind und synchronisiert wurden.

    Daher sind die Informationen, die an die pxGrid-Abonnenten gesendet werden, korrekt.

    Wählen Sie die Option Test starten und warten, bis die Ergebnisse bewertet werden.

    PxGrid Databases Synchronization Test.Synchronisierungstest für PxGrid-Datenbanken.

    Aus den generierten Protokollen wurde diese Ausgabe abgerufen.

    ssptise01.ssptsec.mex : In Sync
    ssptise02.ssptsec.mex : In Sync

    Primary PAN : ssptise01.ssptsec.mex
    pxGrid Nodes : ssptise01.ssptsec.mex ssptise02.ssptsec.mex

    Erfassen Sie Daten von den pxGrid-Knoten, die auf den primären FMC-Knoten zeigen.

    Navigieren Sie zum Menü Operationen > Troubleshoot > Diagnostic Tools > TCP Dump,

    Wählen Sie die Option zum Hinzufügen einer neuen Erfassung aus.

    Generating a packet capture on ISE.Generieren einer Paketerfassung auf der ISE.

    Konfigurieren der Parameter für die Erfassung.

    Wählen Sie unter Hostname den im FMC ausgewählten primären pxGrid-Knoten aus. 

    Filtern des Datenverkehrs mit dieser Syntax ip host <FMC IP>

    Nennen Sie die Erfassung, und fahren Sie dann mit Speichern und Ausführen fort.

    Example of packet capture configuration.Beispiel einer Konfiguration für die Paketerfassung.

    In einem anderen Fenster im FMC-Menü Integration > Other Integrations > Identity Sources die Verbindung mit der ISE über den pxGrid-Kanal testen.

    Wenn Sie das Testergebnis erhalten haben, fahren Sie mit Stopp the capture on ISE fort.

    Stoping a packet capture on ISE.Anhalten einer Paketerfassung auf der ISE.

    Laden Sie die Erfassung herunter, und starten Sie die Analyse. In diesem Szenario wird eine Erfassung einer funktionierenden Verbindung angezeigt, die als Referenz dienen kann.

    PxGrid communication between ISE and FMC.PxGrid-Kommunikation zwischen ISE und FMC

    Darüber hinaus können Sie auf der ISE Debugs für die pxGrid-Verarbeitung sammeln.

    Navigieren Sie durch das Menü Vorgänge > Fehlerbehebung > Debug-Assistent > Debug-Protokollkonfiguration,

    Wählen Sie den entsprechenden zu analysierenden ISE-Knoten aus, und klicken Sie dann auf Edit.

    Selecting a node to debug on ISE.Auswählen eines Knotens zum Debuggen auf der ISE.

    Filtern Sie die angezeigten Komponenten, und ändern Sie die Protokollstufe zu DEBUG der pxgrid-Komponente, um mit einer Analyse fortzufahren.

    Speichern Sie die Konfiguration.

    Changing the pxGrid component to debug level.Ändern der pxGrid-Komponente in die Debugebene.

    Reproduzieren Sie das zu analysierende Verhalten und fahren Sie dann fort, die in der Datei pxgrid-server.log gesammelten Protokolle zu analysieren. Weitere Protokolle, die Sie auf dem ISE-Knoten überprüfen können, um Fehler zu beheben, sind:

    #show logging application | include pxgrid
    ise-pxgriddirect.log
    pxgrid/pxgrid-server.log
    pxgrid/pxgrid-test.log
    pxgrid/pxgrid_dbsync_summary.log
    pxgrid/pxgrid_internal_dbsync_summary.log
    pxgriddirect.log
    tip-icon

    Tipp: Weitere Empfehlungen zur Protokollsammlung finden Sie im Video How to Enable Debugs on ISE 3.x Versions (So aktivieren Sie Debugs auf ISE 3.x-Versionen).

    Häufige Probleme. 

    Der PxGrid-Subscriber-Client ist für die ISE nicht zugelassen.

    Für diesen Anwendungsfall zeigt die Ausgabe, die von der FMC-Test-Schaltfläche pxGrid stammt, folgendes Verhalten:

    FMC pxGrid connection failed.FMC pxGrid-Verbindung fehlgeschlagen.

    Primary host:

    [INFO]: PXGrid v2 is enabled
    [ERROR]: pxgrid 2.0: failed account activation. accountState=PENDING
    [ERROR]: Failed to contact pxGrid node at '10.4.49.41': pxgrid2.0: Could not activate account

    Secondary host:

    [INFO]: PXGrid v2 is enabled
    [ERROR]: Performing request failed with a timeout.
    [ERROR]: Failed to contact pxGrid node at '10.4.19.42': Request failed with a timeout.

    Beachten Sie auf der ISE das Verhalten im Menü Administration > PxGrid Services > Client Management > Clients, das anzeigt, dass der pxGrid-Client (FMC) zur Genehmigung ansteht.

    Klicken Sie auf die Schaltfläche Genehmigen, bestätigen Sie die Auswahl im nächsten Fenster, und wiederholen Sie den Integrationsvorgang.

    Dieses Mal ist die Integration erfolgreich.

    FMC client in pending status.FMC-Client im Status "Ausstehend".

    Confirmation of the approval of the pxGrid client.Bestätigung der Genehmigung des pxGrid-Clients.

    Beachten Sie, wenn Sie die automatische Genehmigung zertifikatbasierter pxGrid-Clients aktivieren möchten.

    Die Clients der vorherigen Seite genehmigen/ablehnen, da dieser Alarm angezeigt werden kann.

    Error related to the approval of pxGrid clients.Fehler bei der Genehmigung von pxGrid-Clients.

    PxGrid ISE-Zertifikatkette unvollständig.

    Wenn Sie in diesem Szenario zum Menü Administration > System > Certificate navigieren, wählen Sie das pxgrid-Zertifikat aus, und wählen Sie die Option View,

    Falls Sie ein Problem mit dem Zertifikat haben, sind diese damit zusammenhängenden Fehler möglich.

    Error related to certificate chain imcomplete.Fehler in Bezug auf Zertifikatskette unvollständig.

    Der erste Schritt besteht darin, zu überprüfen, ob die ISE-Stammzertifizierungsstelle in der Option "Anzeigen" abgeschlossen ist.

    Wenn ein Zertifikat in der Hierarchie fehlt, können Sie die gesamte ISE-Bereitstellungsroot-Zertifizierungsstelle ausstellen.

    Navigieren Sie zum Menü Administration > System > Certificates > Certificate Management > Certificate Signing Request (CSR) und wählen Sie diese Schaltfläche.

    Generating a CSR on ISE.Erstellen einer CSR-Anfrage auf der ISE.

    Wählen Sie in diesem Menü Usage ISE Root CA und Regenerate ISE Root CA for all Nodes.

    Fahren Sie mit der Schaltfläche ISE-Stammzertifizierungsstelle ersetzen fort.

    Configuring the Certificate Signing Request.Konfigurieren der Zertifikatsignierungsanforderung.

    Warten Sie, bis die Zertifikate in allen Knoten der Implementierung generiert werden.

    Nach Abschluss des Vorgangs zeigt die ISE die nächste Benachrichtigung an.

    Confirmation of generation of certificates.Bestätigung der Erstellung von Zertifikaten.

    Bestätigen Sie, ob die pxGrid-Zertifikatvertrauenskette abgeschlossen ist, indem Sie die Option Ansicht in Systemzertifikaten auswählen.

    Referenz.

    Cisco Developer-Seite zu PxGrid.

    Cisco Identity Services Engine - Administratorhandbuch, Version 3.2, Kapitel: Cisco pxGrid

    Cisco Identity Services Engine-Installationshandbuch, Version 3.2, Kapitel: Referenz der Cisco ISE-Ports

    CLI-Referenzhandbuch zur Cisco Identity Services Engine, Version 2.4

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    29-Aug-2023
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Rodrigo Diaz Cruz
      Technical Consulting Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.