In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument werden Verfahren zur Integration der Identity Services Engine in das Firewall Management Center unter Verwendung von Platform Exchange Grid-Verbindungen beschrieben.
Cisco empfiehlt Fachwissen in folgenden Bereichen:
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Diese Dokumentation bietet eine Lösung zur Integration von FMC und ISE mit pxGrid Version 2.
Das Cisco FirePOWER Management Center (FMC) ist eine zentralisierte Plattform für Firewalls der nächsten Generation und Intrusions Prevention Systems und bietet Richtlinienmanagement, Bedrohungserkennung und Reaktion auf Vorfälle.
Die Cisco Identity Services Engine ist eine umfassende Lösung, die einen sicheren Zugriff auf Endgeräte ermöglicht, indem sie Services für Authentifizierung, Autorisierung und Rechenschaftspflicht (AAA) sowie die Durchsetzung von Richtlinien bereitstellt.
Mit Platform Exchange Grid (pxGrid) können Sie Informationen zwischen anbieterübergreifenden, plattformübergreifenden Netzwerken austauschen.
Diese Integration ermöglicht eine sichere Überwachung und Erkennung von Bedrohungen sowie die Festlegung von Netzwerkrichtlinien auf Basis der gemeinsam genutzten Informationen.
PxGrid Framework hat 2 Versionen. Die zu verwendende hängt von der ISE-Version und dem Patch ab, die Sie überprüfen müssen.
Ab Version ISE 3.1 basieren alle pxGrid-Verbindungen von ISE auf pxgrid Version 2.
PxGrid Version 1.
Die erste Version dieses Frameworks (pxGrid v1) zeichnet sich durch die Benutzerfreundlichkeit aus, die durch den Befehl show application status ise erkannt wurde, wie er in der folgenden Ausgabe angezeigt wird.
Wenn die pxGrid-Funktion im Knoten aktiviert ist, werden die pxGrid-Funktionen im Ausführungsstatus angezeigt.
Benutzerfreundlichkeit von PxGrid Version 1.
In dieser Version dieser Plattform ist es bekannt, nur einen pxGrid-Knoten mit den pxGrid-Prozessen im laufenden Status zu haben, während sich die anderen pxGrid-Knoten im Standby-Status befinden.
Diese Knoten überwachen ständig den Status des pxGrid-Knotens mit zugehörigen Services, die mit der Ausführung zusammenhängen.
In diesem, der primäre pxGrid-Knoten gab es eine Promotion und die anderen pxGrid-Knoten aktiviert ihre pxGrid-Dienste.
Dies bedeutete jedoch eine Ausfallzeit, wenn dieses Failover auftrat.
Die erste Version von pxgrid basiert auf der Kommunikation im Extensible Messaging and Presence Protocol (XMPP), einer Reihe von Technologien, die in der Collaboration- und Sprachinfrastruktur verwendet werden.
Folgende Themen werden in einer pxGrid v1-Verbindung behandelt:
PxGrid Version 2.
Dieses Dokument behandelt die Verwendung von PxGrid Version 2. Diese Plattform arbeitet mit REST-Operationen auf ISE und WebSocket-Protokolle, die Verbesserungen, verbesserte Skalierbarkeit, Leistung und Flexibilität in Datenmodellen bringt.
In dieser Version werden pxgrid-Features nicht wie in der vorherigen Version mit dem Befehl show application status ise ausgeführt.
Im Abschnitt zur Validierung der ISE in diesem Dokument erfahren Sie, welche Mechanismen Sie überprüfen müssen, um die pxGrid-Funktionalität zu überprüfen.
Mit dieser Version haben Sie alle pxGrid-Knoten, die Sie als aktive pxGrid-Knoten konfigurieren. Sie sind jederzeit bereit, sich am Informationsaustausch zu beteiligen.
In Version 1 wurde die Betriebsfähigkeit von pxGrid nur auf einem Knoten ausgeführt.
Folgende Themen werden in einer pxGrid v2-Verbindung behandelt:
Komponenten von pxGrid als Plattform.
PxGrid-Controller (ISE): Muss allen Teilnehmern vertrauen, die pxGrid verwenden.
Kunde: Kann Abonnent und Herausgeber verschiedener Themen sein.
Herausgeber: Client, der Informationen mit dem Controller teilt.
Teilnehmer: Client, der die Informationen eines Themas verwendet.
Durch diese Integration können Sie Content-Richtlinien auf FMC-Basis erstellen. Diese basieren auf den von der ISE freigegebenen Informationen und den veröffentlichten Themen (im Zusammenhang mit der Endgerätaktivität).
Schritt 1. Konfigurieren Sie den ISE-Knoten, um die pxGrid persona darauf im Menü Administration > System > Deployment auszuführen.
Wählen Sie die Knoten und aktivieren Sie die Funktion pxGrid.
Aktivieren von ISE-pxGrid-Services in einem Knoten
Schritt 2: Nachdem Sie die Knoten mit der Funktion pxGrid aktiviert haben, überprüfen Sie den Status der Websockets, die sich auf die verbundenen internen Clients beziehen.
Navigieren Sie zu Administration > pxGrid Services > Websocket. Beachten Sie, dass Clients direkt über die IP-Adresse 127.0.0.1 auf die ISE-Services verweisen.
Interne WebSockets von der ISE.
Schritt 3: Navigieren Sie durch das Menü Administration > pxGrid Services > Settings (Verwaltung > pxGrid-Dienste > Einstellungen), und wählen Sie die Option zum automatischen Genehmigen neuer Zertifikatbasiskonten aus.
Dieser Schritt ist zu diesem Zeitpunkt optional. Für die pxGrid-Verbindung wird jedoch empfohlen, dieses Kontrollkästchen zu aktivieren.
Sie können das FMC anschließend manuell als Teilnehmer akzeptieren.
Aktivieren der automatischen Genehmigung für pxGrid-Zertifikatkonten.
Schritt 4: Überprüfen Sie die Zertifikate für die pxGrid-Funktion Ihrer Umgebung unter Administration > System > System Certificates,
Es wird empfohlen, dass Sie homogene pxGrid-Zertifikate in allen Knoten Ihrer Bereitstellung haben, die von der gleichen Stammzertifizierungsstelle (Certificate Authority, CA) signiert werden
In diesem Szenario werden die generierten internen ISE-Zertifikate verwendet. Bei dieser Version der ISE, bei der in diesem Beispiel die Stammzertifizierungsstelle dem PAN-Knoten entspricht.
Diagramm der internen Zertifikate auf der ISE.
Anmerkung: Weitere Informationen zur internen Struktur der auf der ISE generierten Zertifikate finden Sie unter Verstehen der internen Services der ISE-Zertifizierungsstelle.
PxGrid-Zertifikate in einer verteilten Bereitstellung.
Schritt 5: Überprüfen des Status der pxGrid-Zertifikate
Wählen Sie aus dem vorherigen Menü ein Kontrollkästchen aus einem Knoten pxGrid-Zertifikat und anschließend die Option Ansicht.
Die Ausgabe ähnelt der Ausgabe, die hier in den pxGrid-Zertifikaten angezeigt wird.
Verifizierung des pxGrid-Zertifikats.
Schritt 1: Bestätigen Sie, dass die interne FMC-Zeit aktuell ist.
Navigieren Sie zu System > Configuration > Time (System > Konfiguration > Uhrzeit), und stellen Sie sicher, dass die auf dem FMC konfigurierte Zeit aktuell ist.
Überprüfen der Aktualität des FMC
Wenn die FMC-Zeit nicht aktualisiert wird, stellen Sie sicher, dass das NTP ordnungsgemäß konfiguriert ist und sich synchronisiert. NTP kann unter System > Configuration > Time > + Add konfiguriert werden.
Zeitsynchronisierung auf FMC
Schritt 2: Navigieren Sie zu System > Configuration > Management Interface > Shared Settings, und stellen Sie sicher, dass mindestens das Feld Primary DNS Server (Primärer DNS-Server) eine gültige IP-Adresse für den DNS-Server enthält.
DNS-Konfiguration auf FMC
Schritt 3: Bestätigen Sie die Konfiguration des FMC-Hostnamens.
Navigieren Sie zu System > Configuration > Management Interface > Shared Settings, und vergewissern Sie sich, dass das Feld Hostname den FMC-Hostnamen enthält.
Sie können diesen Schritt überprüfen, während Sie den vorherigen Schritt in diesem Abschnitt lesen.
Schritt 1. Navigieren Sie zum Menü Administration > pxGrid Services > Client Management > Certificates (Verwaltung > pxGrid-Dienste > Client-Verwaltung > Zertifikate).
Wählen Sie in der ersten Option I want to Generate a single certificate (without a certificate signing request) aus.
Geben Sie im Abschnitt Common Name (CN) den FQDN des FMC ein, das die ISE ausstellen soll.
Geben Sie eine Beschreibung an.
Geben Sie im Abschnitt Subject Alternative Name (SAN) den FQDN und die IP-Adresse des anzuschließenden FMC ein.
Wählen Sie unten im Certificate Download Format aus dem Dropdown-Menü die Option Certificate in Privacy Enhanced Electronic Mail (PEM) format.
PKCSS-PEM-Format eingeben (einschließlich Zertifikatkette).
Geben Sie ein Kennwort in das Zertifikatkennwort ein, und speichern Sie es so, wie Sie es später im FMC verwenden.
Bestätigen Sie das Kennwort, und wählen Sie dann Erstellen aus.
Beispiel für pxGrid-Zertifikatgenerierung.
Schritt 2. Eine ZIP-Datei wird auf Ihren Computer heruntergeladen. Dekomprimieren Sie die Datei, und vergewissern Sie sich, dass Sie die folgenden Dateien in Ihrer Umgebung installiert haben:
Von ISE generierte PxGrid-Zertifikate.
Schritt 3: Navigieren Sie im FMC zum Menü Objekte > Objektverwaltung > PKI > Interne Zertifikate.
Wählen Sie die Option Internes Zertifikat hinzufügen aus.
FMC-Zertifikat als internes Zertifikat hinzugefügt.
Schritt 4: Nennen Sie das Zertifikat, das auf dem FMC zugewiesen ist.
Durchsuchen Sie das von Ihnen für das FMC von der ISE erstellte Zertifikat im Abschnitt Zertifikatsdaten.
Durchsuchen Sie die Datei mit der Erweiterung .key, um das nächste Feld auszufüllen.
Wählen Sie die Option Verschlüsselt aus, und geben Sie das Kennwort ein, das Sie beim Erstellen des Zertifikats auf der ISE verwendet haben.
Speichern Sie die Konfiguration.
Exportieren des von der ISE generierten FMC-Zertifikats.
FMC-Zertifikat.
Schritt 5: Navigieren Sie zum Menü Objekte > Objektverwaltung > PKI > Vertrauenswürdige Zertifizierungsstellen,
Wählen Sie Vertrauenswürdige Zertifizierungsstellen hinzufügen aus.
Hinzufügen der ISE-Stammzertifizierungsstelle als vertrauenswürdiges Zertifikat.
Schritt 6: Benennen Sie die Zertifizierungsstelle.
Durchsuchen Sie die ISE-Stammzertifizierungsstelle, die von der ISE-Datei heruntergeladen wurde, und wählen Sie sie aus.
Speichern Sie Ihre Konfiguration.
Exportieren der ISE-Stammzertifizierungsstelle.
Schritt 7: Navigieren Sie zum Menü Integration > Weitere Integrationen > Identitätsquellen.
Wählen Sie unter Servicetyp: Identity Services Engine,
Geben Sie die IP-Adresse oder den FQDN des pxGrid-Knotens ein, der zum primären Knoten wird.
Wiederholen Sie den Vorgang für den sekundären pxGrid-Knoten.
Wählen Sie aus dem Dropdown-Menü das von ISE generierte pxGrid-Zertifikat für den Abschnitt pxGrid-Client-Zertifikat aus.
Wählen Sie im Abschnitt MNT Server CA und pxGrid Server CA die ISE-Stammzertifizierungsstelle aus, die Sie im letzten Schritt exportiert haben.
Anmerkung: Die pxGrid Server-CA entspricht der Stammzertifizierungsstelle des Zertifikats, das von pxGrid auf den pxGrid-Knoten verwendet wird.
Die MNT Server CA entspricht der Certificate Authority des Zertifikats, das von pxGrid auf den MNT-Knoten verwendet wird.
(Optional) Sie können das Sitzungsverzeichnis und das SXP-Thema von der ISE abonnieren.
Speichern Sie die Konfiguration.
Einrichten der ISE als Identitätsquelle in FMC
Navigieren Sie im Menü zu Integration > Other Integrations > Identity Sources > Identity Services Engine, bevor Sie Ihre Konfiguration speichern. Sie können die Einstellungen für den pxGrid-Link testen.
PxGrid-Kommunikation erfolgreich.
Primary host:
[INFO]: PXGrid v2 is enabled
[INFO]: pxgrid 2.0: account activate succeeded
[INFO]: Successful connection to ssptise02.ssptsec.mex:8910
[INFO]: Successful connection to ssptise01.ssptsec.mex:8910
[INFO]: These ISE Services are up: SessionDirectory, SXP, EndpointProfile, SecurityGroups, AdaptiveNetworkControl
[INFO]: All requested ISE Services are online.
Secondary host:
[INFO]: PXGrid v2 is enabled
[INFO]: pxgrid 2.0: account activate succeeded
[INFO]: Successful connection to ssptise02.ssptsec.mex:8910
[INFO]: Successful connection to ssptise01.ssptsec.mex:8910
[INFO]: These ISE Services are up: SessionDirectory, SXP, EndpointProfile, SecurityGroups, AdaptiveNetworkControl
[INFO]: All requested ISE Services are online.
Wenn der FMC pxGrid-Client erfolgreich in die ISE integriert wurde, sehen Sie dann (im Menü Administration > pxGrid Services > Client Management > Clients), dass Clients mit dem Namen fmc eingeschlossen und aktiviert sind.
PxGrid-Clients verfügbar und aktiviert.
Anmerkung: Die pxGrid-Clients, deren Präfix mit "t-fmc" beginnt, werden über die Testtaste vom FMC verwendet.
Wenn Sie außerdem zum Menü Administration > pxGrid Services > Diagnostics > WebSocket navigieren, sehen Sie die Verbindungen zum FMC.
In dem Szenario, in dem das FMC hochverfügbar ist, sehen Sie dann die primären und sekundären Einheiten, wie sie in diesem Beispiel angezeigt werden:
WebSockets sind auf der ISE verfügbar.
Auf der nächsten Registerkarte dieses Menüs mit dem Namen Themenkönnen Sie überprüfen, ob die FMC-Abonnenten zu den von der ISE veröffentlichten pxGrid-Themen hinzugefügt wurden.
Zum Beispiel gibt es das Thema Sicherheitsgruppe, von wo Sie sehen können, dass beide FMC abonniert sind und Informationen zu SGT von ISE erhalten.
Themen pro pxGrid-Abonnent.
Im Menü Administration > pxGrid Services > Diagnostics > Log werden wichtige Ereignisse für die pxGrid-Kommunikation (für die Knoten mit aktivierter Funktion) angezeigt.
Diese stellen die Informationen zur Integration dar.
PxGrid-Live-Protokolle.
Bestätigen Sie, dass FMC in der Lage ist, seinen eigenen Hostnamen und ISE-Knoten nach Hostnamen aufzulösen.
Beispiele:
> expert
admin@sspt_fmc01_lab:~$ ping sspt_fmc01_lab
PING sspt_fmc01_lab (10.4.49.51) 56(84) bytes of data.
64 bytes from sspt_fmc01_lab (10.4.49.51): icmp_seq=1 ttl=64 time=0.029 ms
64 bytes from sspt_fmc01_lab (10.4.49.51): icmp_seq=2 ttl=64 time=0.071 ms
64 bytes from sspt_fmc01_lab (10.4.49.51): icmp_seq=3 ttl=64 time=0.055 ms
^C
--- sspt_fmc01_lab ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 27ms
admin@sspt_fmc01_lab:~$ ping ssptise01
PING ssptise01.ssptsec.mex (10.4.49.41) 56(84) bytes of data.
64 bytes from ssptise01.ssptsec.mex (10.4.49.41): icmp_seq=1 ttl=64 time=0.586 ms
64 bytes from ssptise01.ssptsec.mex (10.4.49.41): icmp_seq=2 ttl=64 time=0.646 ms
64 bytes from ssptise01.ssptsec.mex (10.4.49.41): icmp_seq=3 ttl=64 time=0.743 ms
^C
--- ssptise01.ssptsec.mex ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 82ms
rtt min/avg/max/mdev = 0.586/0.658/0.743/0.068 ms
admin@sspt_fmc01_lab:~$
admin@sspt_fmc01_lab:~$ ping ssptise02
PING ssptise02.ssptsec.mex (10.4.49.42) 56(84) bytes of data.
64 bytes from ssptise02.ssptsec.mex (10.4.49.42): icmp_seq=1 ttl=64 time=0.588 ms
64 bytes from ssptise02.ssptsec.mex (10.4.49.42): icmp_seq=2 ttl=64 time=0.609 ms
64 bytes from ssptise02.ssptsec.mex (10.4.49.42): icmp_seq=3 ttl=64 time=0.628 ms
^C
--- ssptise02.ssptsec.mex ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 45ms
rtt min/avg/max/mdev = 0.588/0.608/0.628/0.025 ms
Stellen Sie sicher, dass der ADI-Prozess aktiv ist:
> expert
sudo suadmin@sspt_fmc01_lab:~$ sudo su
root@sspt_fmc01_lab:/Volume/home/admin# pmtool status | grep adi
adi (normal) - Running 7911
Stellen Sie sicher, dass die Kommunikation von FMC zu ISE auf Port TCPP 8910 zulässig ist. Über die FMC-CLI können wir eine tcpudump-Paketerfassung konfigurieren, um die bidirektionale Kommunikation zu bestätigen.
> expert
sudo suadmin@sspt_fmc01_lab:~$ sudo su
root@sspt_fmc01_lab:/Volume/home/admin# tcpdump -i any tcp and port 8910
22:34:08.415370 IP sspt_fmc01_lab.46248 > ssptise01.ssptsec.mex.8910: Flags [S], seq 3033526171, win 29200, options [mss 1460,sackOK,TS val 2701166399 ecr 0,nop,wscale 7], length 0
22:34:08.415840 IP ssptise01.ssptsec.mex.8910 > sspt_fmc01_lab.46248: Flags [S.], seq 3024877968, ack 3033526172, win 28960, options [mss 1460,sackOK,TS val 2268665064 ecr 2701166399,nop,wscale 7], length 0
22:34:08.415894 IP sspt_fmc01_lab.46248 > ssptise01.ssptsec.mex.8910: Flags [.], ack 1, win 229, options [nop,nop,TS val 2701166400 ecr 2268665064], length 0
[...]
Überprüfen Sie, ob die Kommunikation an Port 8910 funktioniert.
Dies ist der Port, der von den pxGrid-Clients für die Kommunikation mit pxGrid-Knoten und MnT-Knoten für den Massen-Download von Informationen verwendet wird.
Interaktion von PxGrid in der ISE-Umgebung.
Anmerkung: Der pxGrid-Client, in diesem Fall kommuniziert das FMC mit den pxGrid-Knoten und dem sekundären MNT (SMNT)-Knoten, um die (Bulk Download) der Informationen zu erhalten, im Falle eines Fehlers in der SMNT sucht es nach den Informationen über die primäre MNT.
In den ISE-Knoten, in denen die Kommunikation mit dem pxGrid-Client stattfindet, können Sie überprüfen, ob der Port offen ist oder ob Sockets an diesen Port angeschlossen sind.
#show ports | include 8910
tcp: (output omitted), :::8910,
Es stehen 2 Tests auf der ISE zur Verfügung, die den Gesamtstatus der pxGrid-Implementierungen diagnostizieren.
Diese finden Sie im Menü Administration > pxGrid Services > Diagnostics > Test.
Die in diesem Abschnitt angezeigten Tests werden intern auf der ISE durchgeführt.
Health Monitoring-Test überprüft die pxGrid-Dienstsuche, die auswertet, ob ein Client auf das Sitzungsverzeichnis, den Dienst und die vom pxGrid-Controller veröffentlichten Themen zugreifen kann.
Wählen Sie die Option Start Test (Test starten) aus, und warten Sie, bis die Protokolle erfasst sind.
PxGrid-Systemüberwachungstest.
Wählen Sie nach Abschluss des Tests die Option Protokoll anzeigen. Für dieses Beispiel lautet der Inhalt des Protokolls:
Überprüfung des Integritätsüberwachungstests
22-Aug-2023 17:03:13 [INFO] ************** pxGrid Session Directory Test ***************
22-Aug-2023 17:03:13 [INFO] ----------------- Starting Connection Test -----------------
22-Aug-2023 17:03:14 [INFO] pxGrid Node: ssptise01.ssptsec.mex
22-Aug-2023 17:03:14 [INFO] wsPubsubServiceName=com.cisco.ise.pubsub
22-Aug-2023 17:03:14 [INFO] sessionTopic=/topic/com.cisco.ise.session
22-Aug-2023 17:03:14 [INFO] sessionRestBaseUrl=https://ssptise01.ssptsec.mex:8910/pxgrid/mnt/sd
22-Aug-2023 17:03:14 [INFO] wsUrl=wss://ssptise02.ssptsec.mex:8910/pxgrid/ise/pubsub
22-Aug-2023 17:03:15 [INFO] ---------------- Connection Test Completed -----------------
22-Aug-2023 17:03:15 [INFO] ------------------ Starting Download Test ------------------
22-Aug-2023 17:03:15 [INFO] Downloading sessions since 2023-08-21T17:03:15.273-06:00
22-Aug-2023 17:03:15 [INFO] Response status=200
22-Aug-2023 17:03:15 [INFO] Number of sessions read: 0
22-Aug-2023 17:03:15 [INFO] ----------------- Download Test Completed ------------------
22-Aug-2023 17:03:15 [INFO] ----------------- Starting Subscribe Test ------------------
22-Aug-2023 17:03:16 [INFO] STOMP CONNECT host=ssptise02.ssptsec.mex
22-Aug-2023 17:03:16 [INFO] STOMP SUBSCRIBE topic=/topic/com.cisco.ise.session
22-Aug-2023 17:03:16 [INFO] STOMP CONNECTED version=1.2
22-Aug-2023 17:07:16 [INFO] A total of 0 notifications were received.
22-Aug-2023 17:07:16 [INFO] STOMP RECEIPT id=77
22-Aug-2023 17:07:19 [INFO] ----------------- Subscribe Test Completed -----------------
22-Aug-2023 17:07:19 [INFO] ********** pxGrid Session Directory Test Complete **********
Der PxGrid-Datenbanksynchronisierungstest überprüft, ob die Informationen in den Datenbanken zwischen den PAN- und pxGrid-Knoten richtig sind und synchronisiert wurden.
Daher sind die Informationen, die an die pxGrid-Abonnenten gesendet werden, korrekt.
Wählen Sie die Option Test starten und warten, bis die Ergebnisse bewertet werden.
Synchronisierungstest für PxGrid-Datenbanken.
Aus den generierten Protokollen wurde diese Ausgabe abgerufen.
ssptise01.ssptsec.mex : In Sync
ssptise02.ssptsec.mex : In Sync
Primary PAN : ssptise01.ssptsec.mex
pxGrid Nodes : ssptise01.ssptsec.mex ssptise02.ssptsec.mex
Erfassen Sie Daten von den pxGrid-Knoten, die auf den primären FMC-Knoten zeigen.
Navigieren Sie zum Menü Operationen > Troubleshoot > Diagnostic Tools > TCP Dump,
Wählen Sie die Option zum Hinzufügen einer neuen Erfassung aus.
Generieren einer Paketerfassung auf der ISE.
Konfigurieren der Parameter für die Erfassung.
Wählen Sie unter Hostname den im FMC ausgewählten primären pxGrid-Knoten aus.
Filtern des Datenverkehrs mit dieser Syntax ip host <FMC IP>
Nennen Sie die Erfassung, und fahren Sie dann mit Speichern und Ausführen fort.
Beispiel einer Konfiguration für die Paketerfassung.
In einem anderen Fenster im FMC-Menü Integration > Other Integrations > Identity Sources die Verbindung mit der ISE über den pxGrid-Kanal testen.
Wenn Sie das Testergebnis erhalten haben, fahren Sie mit Stopp the capture on ISE fort.
Anhalten einer Paketerfassung auf der ISE.
Laden Sie die Erfassung herunter, und starten Sie die Analyse. In diesem Szenario wird eine Erfassung einer funktionierenden Verbindung angezeigt, die als Referenz dienen kann.
PxGrid-Kommunikation zwischen ISE und FMC
Darüber hinaus können Sie auf der ISE Debugs für die pxGrid-Verarbeitung sammeln.
Navigieren Sie durch das Menü Vorgänge > Fehlerbehebung > Debug-Assistent > Debug-Protokollkonfiguration,
Wählen Sie den entsprechenden zu analysierenden ISE-Knoten aus, und klicken Sie dann auf Edit.
Auswählen eines Knotens zum Debuggen auf der ISE.
Filtern Sie die angezeigten Komponenten, und ändern Sie die Protokollstufe zu DEBUG der pxgrid-Komponente, um mit einer Analyse fortzufahren.
Speichern Sie die Konfiguration.
Ändern der pxGrid-Komponente in die Debugebene.
Reproduzieren Sie das zu analysierende Verhalten und fahren Sie dann fort, die in der Datei pxgrid-server.log gesammelten Protokolle zu analysieren. Weitere Protokolle, die Sie auf dem ISE-Knoten überprüfen können, um Fehler zu beheben, sind:
#show logging application | include pxgrid
ise-pxgriddirect.log
pxgrid/pxgrid-server.log
pxgrid/pxgrid-test.log
pxgrid/pxgrid_dbsync_summary.log
pxgrid/pxgrid_internal_dbsync_summary.log
pxgriddirect.log
Tipp: Weitere Empfehlungen zur Protokollsammlung finden Sie im Video How to Enable Debugs on ISE 3.x Versions (So aktivieren Sie Debugs auf ISE 3.x-Versionen).
Für diesen Anwendungsfall zeigt die Ausgabe, die von der FMC-Test-Schaltfläche pxGrid stammt, folgendes Verhalten:
FMC pxGrid-Verbindung fehlgeschlagen.
Primary host:
[INFO]: PXGrid v2 is enabled
[ERROR]: pxgrid 2.0: failed account activation. accountState=PENDING
[ERROR]: Failed to contact pxGrid node at '10.4.49.41': pxgrid2.0: Could not activate account
Secondary host:
[INFO]: PXGrid v2 is enabled
[ERROR]: Performing request failed with a timeout.
[ERROR]: Failed to contact pxGrid node at '10.4.19.42': Request failed with a timeout.
Beachten Sie auf der ISE das Verhalten im Menü Administration > PxGrid Services > Client Management > Clients, das anzeigt, dass der pxGrid-Client (FMC) zur Genehmigung ansteht.
Klicken Sie auf die Schaltfläche Genehmigen, bestätigen Sie die Auswahl im nächsten Fenster, und wiederholen Sie den Integrationsvorgang.
Dieses Mal ist die Integration erfolgreich.
FMC-Client im Status "Ausstehend".
Bestätigung der Genehmigung des pxGrid-Clients.
Beachten Sie, wenn Sie die automatische Genehmigung zertifikatbasierter pxGrid-Clients aktivieren möchten.
Die Clients der vorherigen Seite genehmigen/ablehnen, da dieser Alarm angezeigt werden kann.
Fehler bei der Genehmigung von pxGrid-Clients.
Wenn Sie in diesem Szenario zum Menü Administration > System > Certificate navigieren, wählen Sie das pxgrid-Zertifikat aus, und wählen Sie die Option View,
Falls Sie ein Problem mit dem Zertifikat haben, sind diese damit zusammenhängenden Fehler möglich.
Fehler in Bezug auf Zertifikatskette unvollständig.
Der erste Schritt besteht darin, zu überprüfen, ob die ISE-Stammzertifizierungsstelle in der Option "Anzeigen" abgeschlossen ist.
Wenn ein Zertifikat in der Hierarchie fehlt, können Sie die gesamte ISE-Bereitstellungsroot-Zertifizierungsstelle ausstellen.
Navigieren Sie zum Menü Administration > System > Certificates > Certificate Management > Certificate Signing Request (CSR) und wählen Sie diese Schaltfläche.
Erstellen einer CSR-Anfrage auf der ISE.
Wählen Sie in diesem Menü Usage ISE Root CA und Regenerate ISE Root CA for all Nodes.
Fahren Sie mit der Schaltfläche ISE-Stammzertifizierungsstelle ersetzen fort.
Konfigurieren der Zertifikatsignierungsanforderung.
Warten Sie, bis die Zertifikate in allen Knoten der Implementierung generiert werden.
Nach Abschluss des Vorgangs zeigt die ISE die nächste Benachrichtigung an.
Bestätigung der Erstellung von Zertifikaten.
Bestätigen Sie, ob die pxGrid-Zertifikatvertrauenskette abgeschlossen ist, indem Sie die Option Ansicht in Systemzertifikaten auswählen.
Cisco Developer-Seite zu PxGrid.
Cisco Identity Services Engine - Administratorhandbuch, Version 3.2, Kapitel: Cisco pxGrid
CLI-Referenzhandbuch zur Cisco Identity Services Engine, Version 2.4
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
29-Aug-2023
|
Erstveröffentlichung |