Integration von Cloud-basiertem Firewall Management Center mit ISE via pxGrid Cloud
Inhalt
Einleitung
In diesem Dokument wird das Verfahren zur Integration der Cisco ISE in das Cloud-basierte Firewall Management Center (cdFMC) über pxGrid Cloud beschrieben.
Voraussetzungen
- Umfassende Kenntnisse der Cisco Identity Service Engine (ISE)
- Ein Konto im Cisco Catalyst Cloud Portal
- Ein Konto im Cisco Security Cloud Control Portal
Anforderungen
- Installieren und aktivieren Sie die Advantage-Lizenzstufe in Ihrer Cisco ISE-Bereitstellung.
- Der pxGrid Cloud-Agent erstellt eine ausgehende HTTPS-Verbindung mit der Cisco pxGrid Cloud. Konfigurieren Sie daher die Cisco ISE-Proxyeinstellungen, wenn das Netzwerk einen Proxy verwendet, um das Internet zu erreichen. Um die Proxyeinstellungen in der Cisco ISE zu konfigurieren, wählen Sie Administration > System > Settings > Proxy aus.
- Der vertrauenswürdige Zertifikatsspeicher der Cisco ISE muss das Zertifikat der Stammzertifizierungsstelle enthalten, das zur Validierung des von Cisco pxGrid Cloud bereitgestellten Serverzertifikats erforderlich ist. Stellen Sie sicher, dass die Option Trust for Authentication of Cisco Services für dieses Stammzertifikat der Zertifizierungsstelle aktiviert ist. Um die Vertrauenswürdigkeit für die Authentifizierung von Cisco Services zu aktivieren, wählen Sie Administration > System > Certificates (Verwaltung > System > Zertifikate).
- Stellen Sie sicher, dass Port 443 für ausgehende Verbindungen von der Cisco ISE zum Cisco pxGrid Cloud Portal geöffnet ist. Wenn Firewall- oder Proxy-Einstellungen konfiguriert sind, stellen Sie sicher, dass diese URLs nicht blockiert werden.
Verwendete Komponenten
ISE-Softwareversion: 3.4 Patch 1, Bereitstellung von 4 Knoten (PAN, SAN und 2 PSN mit aktiviertem pxGrid-Service)
cdFMC-Version: 20241127
Version von Cisco Firepower Threat Defense (FTD) für VMware: 7.2.5
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Cisco pxGrid Cloud-Terminologie
Im Folgenden sind einige der gebräuchlichen Begriffe aufgeführt, die in der Cisco pxGrid Cloud-Lösung verwendet werden, und ihre Bedeutung in der Cisco pxGrid Cloud-Umgebung:
- Angebot: Eine Reihe von Funktionen in einem Paket als Lösung angeboten
- Abonnement: Ein Beispiel für ein Angebot, das von einem Tenant genutzt wird, ist ein Abonnement
- Anwendung: Je nach Ihren Anforderungen können Sie Anwendungen für Ihr Produkt erstellen und registrieren.
Hintergrundinformationen
Die Cisco ISE ermöglicht die gemeinsame Nutzung des Kontexts durch mehrere Anbieter von Sicherheitslösungen. Die aktuelle Architektur lässt jedoch keine Kommunikation zwischen der standortbasierten ISE und Cloud-basierten Lösungen über den Netzwerkperimeter zu, ohne dass dabei irgendeine Art von Bypass implementiert wird oder Löcher in die Firewall gesteckt werden.
Die Cisco ISE pxCloud ist eine Cloud-basierte Lösung, die dieses Problem löst und eine gemeinsame Nutzung von Kontext am Standort und in der Cloud ohne zusätzliche Installation, zusätzlichen Aufwand und Beeinträchtigung der Netzwerksicherheit ermöglicht. Sie ist sicher und anpassbar, sodass Sie nur die Daten freigeben können, die Sie freigeben möchten, und nur die für Ihre Anwendung relevanten Kontextdaten nutzen können.
Cisco ISE Release 3.1 Patch 3 und höher unterstützen pxGrid Cloud. Cisco und seine Partner können pxGrid Cloud-basierte Anwendungen entwickeln und im pxGrid Cloud-Angebot registrieren. Das Cisco DNA-Cloud-Portal integriert und registriert Anwendungen, ohne auf andere Infrastrukturen vor Ort angewiesen zu sein. Diese Anwendungen nutzen die externen RESTful Services (ERS), offene APIs und pxGrid (APIs und Websocket), um Informationen mit der Cisco ISE auszutauschen und Abonnement- und Benutzerdaten von ISE in cdFMC zu verwenden.
Konfigurieren
Netzwerkdiagramm
Integration von cdFMC und ISE über pxGrid Cloud
Konfigurationen
Vier Hauptschritte sind dabei zu nennen:
- Importieren Sie das Cisco pxGrid Cloud-Serverzertifikat in die ISE.
- Registrieren der ISE beim Catalyst Cloud Portal
- Aktivieren der cdFMC-Anwendung auf der ISE mithilfe des Integrationskatalogs
- pxGrid-Anwendungsinstanz (cdFMC) erstellen
Cisco pxGrid Cloud-Serverzertifikat in ISE importieren
Die ISE muss eine Vertrauensstellung zur Cisco pxGrid Cloud herstellen. Obwohl die Cloud-Website mit einem öffentlich signierten Zertifikat authentifiziert ist, verfügt die ISE nicht über eine vollständige Liste vertrauenswürdiger Stammzertifizierungsstellen. Daher muss der Administrator eine Vertrauensstellung herstellen. Exportieren Sie die pxGrid Cloud Root and Intermediate-Zertifikate, indem Sie zum Catalyst Cloud Portal navigieren. Die meisten Browser erlauben dies. Hier sind die Schritte, um ein Zertifikat von Chrome Browser zu erhalten.
Standortinformationen anzeigen
Exportieren der Zertifikatskette
Importieren Sie die Zertifikate in den ISE-Speicher "Trusted Certificates", wenn die Zertifikatskette fehlt (ISE verfügt bereits über IdenTrust Commercial Root CA 1).
Stellen Sie sicher, dass die Option "Trust for Authentication of Cisco Services" (Für die Authentifizierung von Cisco Services vertrauen) für dieses Stammzertifikat der Zertifizierungsstelle aktiviert ist. Um die Vertrauenswürdigkeit für die Authentifizierung von Cisco Services zu aktivieren, wählen Sie Administration > System > Certificates (Verwaltung > System > Zertifikate).
Unterstützung der Vertrauensstellung für die Authentifizierung von Cisco Services
Flussdiagramm
App-Aktivierungs-Workflow
In dieser Konfiguration verwendete ISE-Bereitstellung
Registrierung der ISE beim Catalyst Cloud Portal
Aktivieren Sie den pxGrid Cloud-Service in der Cisco ISE, und registrieren Sie Ihr Gerät.
1. Wählen Sie in der Cisco ISE-GUI Administration > System > Deployment aus.
2. Klicken Sie auf den Knoten, auf dem Sie den pxGrid Cloud-Service aktivieren möchten (in diesem Fall den ersten PSN-Knoten).
3. Aktivieren Sie auf der Registerkarte Allgemeine Einstellungen den Dienst pxGrid.
4. Aktivieren Sie das Kontrollkästchen pxGrid Cloud.
Anmerkung: Der pxGrid Cloud-Service kann nur auf zwei Knoten aktiviert werden, um eine hohe Verfügbarkeit zu ermöglichen. Sie können die pxGrid Cloud-Option nur aktivieren, wenn der pxGrid-Dienst auf diesem Knoten aktiviert ist.
5. Geben Sie im Feld ISE-Bereitstellungsname einen sinnvollen Namen ein. Dieser Name wird im Catalyst Cloud Portal angezeigt und kann verwendet werden, um zu unterscheiden, ob mehrere ISE-Bereitstellungen bei der Cloud registriert sind. Sie können Ihre registrierte Cisco ISE-Bereitstellung im Cisco Catalyst Cloud Portal anhand des ISE-Bereitstellungsnamens überprüfen.
(Optional) Geben Sie im Feld Description (optional) eine Beschreibung für Ihre Cisco ISE-Bereitstellung ein.
6. Wählen Sie in der Dropdown-Liste "Region" eine Region aus, um Ihr Cisco ISE-Gerät zu registrieren. Cisco pxGrid Cloud wird nun neben den USA auch in Europa, im Asien-Pazifik-Raum und in Japan unterstützt. Beachten Sie, dass die Anwendung, die Sie mit pxGrid Cloud verwenden möchten, auch in der gleichen Region verfügbar sein muss.
7. Klicken Sie auf Registrieren.
Registrieren von ISE PSN bei pxGrid Cloud
8. Auf der Popup-Seite Gerät aktivieren wird der Aktivierungscode für das Gerät automatisch ausgefüllt. Klicken Sie auf Next (Weiter).
Aktivieren des Geräts
Gerät aktiviert
Anmerkung: Wenn Sie "pxGrid Cloud"-Personal auf dem zweiten Knoten aktivieren, benötigt die ISE nicht alle diese Details, da sich die Registrierung der ISE bei pxGrid Cloud auf Bereitstellungsebene befindet.
9. Melden Sie sich mit Ihren Anmeldeinformationen beim Cisco Catalyst Cloud Portal-Konto an. Wenn Sie keine Anmeldeinformationen haben, erstellen Sie ein neues Konto, um die Geräteregistrierung abzuschließen. Weitere Informationen finden Sie unter Erstellen eines Kontos im Cisco Catalyst Cloud Portal.
Ihr Cisco ISE-Gerät ist aktiviert und registriert.
ISE-Knoten beim Catalyst Cloud Portal registriert
10. Details zu Ihrer registrierten Cisco ISE finden Sie im Abschnitt pxGrid (Administration > System > Deployment > pxGrid).
Überprüfung der ISE-Registrierung bei pxGrid Cloud
Sie können auf Registrierung aufheben klicken, um die Registrierung Ihres Cisco ISE-Geräts aufzuheben. Durch die Aufhebung der Registrierung der Cisco ISE werden auch die verbundenen Anwendungen automatisch deaktiviert.
Aktivieren der cdFMC-Anwendung auf der ISE mithilfe des Integrationskatalogs
1. Wählen Sie in der ISE-GUI Administration > Integration Catalog (Administration > Integrationskatalog).
2. Wählen Sie unter Verfügbare Integrationen die Anwendung Firewall Management Center.
Anmerkung: Die Liste der Anwendungen hängt vom Konto ab. Einige Anwendungen können nur bestimmten Konten zugeordnet werden.
Integrationskatalog
3. Wählen Sie im Abschnitt App-Konfiguration die Option Neue Instanz auswählen und wählen Sie die Datenbereiche für die App-Konfiguration aus. Wählen Sie zum Fortfahren mindestens einen Datenbereich aus.
Anmerkung: Wenn Sie einen Datenbereich auswählen, wird dieser unter den pxGrid-Cloud-Richtlinieneinstellungen auf Systemebene aktiviert.
4. Klicken Sie auf Aktivieren, um die App zu aktivieren.
FMC-Anwendungskonfiguration auf der ISE
5. Kopieren Sie aus dem Popup-Fenster "One-Time Password (OTP)" das OTP, um es bei der Erstellung der pxGrid-Anwendungsinstanz für cdFMC einzulösen.
OTP für CdFMC-Anwendung
6. Konfigurieren Sie die pxGrid-Cloud-Richtlinie, indem Sie zu Administration > pxGrid Services > Client Management > pxGrid Cloud Policy navigieren. Wählen Sie die pxGrid-Services aus, die Sie mit den SaaS-Anwendungen gemeinsam nutzen möchten, und aktivieren Sie die externen RESTful Services (ERS)-APIs und OpenAPIs, nur Lesezugriff auf Cisco pxGrid Cloud Anwendungen.
Konfigurieren der pxGrid-Cloud-Richtlinie
Anmerkung: Der Echo-Dienst dient zum Durchführen von Integritätsprüfungen, um sowohl die pub-sub- als auch die API-Verbindung mit der ISE zu ermitteln.
Standardmäßig erhalten die Cisco pxGrid Cloud-Anwendungen schreibgeschützten Zugriff auf die APIs (nur HTTP GET-Vorgänge können ausgeführt werden). Aktivieren Sie die Option Lesen/Schreiben im pxGrid Cloud Policy-Fenster, wenn Sie auch POST-, PUT- und DELETE-Vorgänge zulassen möchten.
pxGrid-Anwendungsinstanz (cdFMC) erstellen
1. Melden Sie sich beim Security Cloud Control (SCC)-Portal als Benutzer mit der Rolle "Super Admin" an.
SCC-Anmeldeseite
2. Klicken Sie im Menü Security Cloud Control auf wählen Sie Ihre cdFMC-Instanz aus, und wählen Sie im rechten Fensterbereich die Optionen System > Configuration aus.
Navigieren zum Firewall Management Center
3. Wählen Sie auf der Konfigurationsseite Integration > Weitere Integrationen > Identitätsquellen > Wählen Sie den Servicetyp Identity Services Engine (pxGrid Cloud). Klicken Sie auf Create pxGrid Application Instance (PxGrid-Anwendungsinstanz erstellen), und lösen Sie das kopierte OTP von der Cisco ISE ein, um eine Instanz hinzuzufügen.
cdFMC-Anwendungsinstanz erstellen
4. Überprüfen Sie dies auf dem Cisco Catalyst Cloud Portal unter Applications and Products > Firewall Management Center > Manage > Products > Select Instance (Anwendungen und Produkte > Firewall-Verwaltungscenter > Verwalten > Produkte > Select Instance).
Überprüfen Sie das cdFMC auf dem Catalyst Cloud Portal.
5. Wählen Sie die neu erstellte cdFMC-Anwendung und klicken Sie auf Hinzufügen. Wählen Sie Region aus, und klicken Sie auf Aktivieren.
Region auswählen
5. Wählen Sie Ihre Anwendungsinstanz aus, und klicken Sie auf Weiter. Wählen Sie Ihr Produkt (ISE pxGrid-Knoten), klicken Sie auf Weiter.
6. Konfigurieren der Zugriffskontrolle: Wählen Sie die für cdFMC zulässigen Funktionsfunktionen für das ausgewählte ISE-Produkt aus. Klicken Sie auf Next (Weiter). Eine Konfigurationsübersicht wird angezeigt. Überprüfen Sie die Einstellungen, und klicken Sie auf Aktivieren.
Konfigurieren Sie die Zugriffskontrolle für Ihr cdFMC.
Verbindung der Produkt-ISE mit cfFMC
8. Überprüfen Sie dies auf dem Cisco Catalyst Cloud Portal unter Applications and Products > Firewall Management Center > Manage > Products > Select Instance (Anwendungen und Produkte > Firewall-Verwaltungscenter > Verwalten > Produkte > Select Instance).
Überprüft, ob App aktiviert ist.
Überprüfung
1. Navigieren Sie im Catalyst Cloud Portal zu Anwendungen und Produkte. Wählen Sie Ihren ISE-Produktnamen aus, und überprüfen Sie die Produktdetails. Überprüfen Sie, ob cdFMC unter "Activated Application" (Aktivierte Anwendung) angezeigt wird.
Überprüfen Sie das Catalyst Cloud Control-Portal.
2. Testen Sie unter Security Cloud Control die konfigurierte cdFMC-Anwendungsinstanz. Der Test zeigt "Success"
Überprüfung im Security Cloud Control-Portal
3. Melden Sie sich beim Knoten Active pxGrid an, und überprüfen Sie, ob Hermes (pxGrid Cloud Agent) mit dem Befehl show application status ise ausgeführt wird. Dieser Agent befindet sich auf dem Knoten Standby pxGrid im deaktivierten Status.
Status von Hermes (pxGrid Cloud Agent) überprüfen
Überprüfen Sie pxcloud.log auf beiden pxGrid-Knoten, um den Aktiv- und Standby-Status zu bestätigen:
On Active pxGrid node (pxcloud.log)
2025-03-17 14:35:25,530 DEBUG [pxCloud-hermesCheck-2768][[]] cpm.pxcloud.ha.statemachine.StateMachine -:::::- RUNNING (HERMES_OK) ------> RUNNING
2025-03-17 14:35:27,438 DEBUG [pxCloud-heartbeat-2769][[]] cpm.pxcloud.ha.statemachine.HeartBeat -:::::- url - https://ise341-psn2.poongarg.local:8910/pxgrid/pxcloud/statusLookup
2025-03-17 14:35:27,445 DEBUG [pxCloud-heartbeat-2769][[]] cpm.pxcloud.ha.statemachine.HeartBeat -:::::- HeartBeat response from peer - StatusResponse [role=STANDBY, state=MONITORING, pxGridConnectionStatus=NOT_CONNECTED, cloudConnectionStatus=NOT_CONNECTED, reason=]
2025-03-17 14:35:27,445 DEBUG [pxCloud-heartbeat-2769][[]] cpm.pxcloud.ha.statemachine.HeartBeat -:::::- Post PEER_MONITORING to state machine
2025-03-17 14:35:27,445 DEBUG [pxCloud-heartbeat-2769][[]] cpm.pxcloud.ha.statemachine.StateMachine -:::::- RUNNING (PEER_MONITORING)
2025-03-17 14:35:35,548 DEBUG [pxCloud-hermesCheck-2768][[]] cpm.pxcloud.ha.statemachine.HermesCheck -:::::- Sending request to Hermes: POST https://localhost:8913/hermes/cloudConnectionStatus
2025-03-17 14:35:35,572 DEBUG [pxCloud-hermesCheck-2768][[]] cpm.pxcloud.ha.statemachine.HermesCheck -:::::- Hermes response: 200 OK
2025-03-17 14:35:35,572 DEBUG [pxCloud-hermesCheck-2768][[]] cpm.pxcloud.ha.statemachine.HermesCheck -:::::- Status - HermesConnectionStatus [pxGridConnectionStatus=CONNECTED, cloudConnectionStatus=CONNECTED, reason=] On Standby pxGrid node (pxcloud.log)
2025-03-17 14:34:14,145 DEBUG [pxCloud-heartbeat-6441][[]] cpm.pxcloud.ha.statemachine.HeartBeat -:::::- url - https://ise341-psn1.poongarg.local:8910/pxgrid/pxcloud/statusLookup
2025-03-17 14:34:14,153 DEBUG [pxCloud-heartbeat-6441][[]] cpm.pxcloud.ha.statemachine.HeartBeat -:::::- HeartBeat response from peer - StatusResponse [role=ACTIVE, state=RUNNING, pxGridConnectionStatus=CONNECTED, cloudConnectionStatus=CONNECTED, reason=]
2025-03-17 14:34:14,154 DEBUG [pxCloud-heartbeat-6441][[]] cpm.pxcloud.ha.statemachine.HeartBeat -:::::- Post PEER_RUNNING to state machine
2025-03-17 14:34:14,154 DEBUG [pxCloud-heartbeat-6441][[]] cpm.pxcloud.ha.statemachine.StateMachine -:::::- MONITORING (PEER_RUNNING)Überprüfen Sie außerdem den Port 8913, der nur auf dem ACTIVE pxGrid-Knoten geöffnet wird:
ise341-psn1/admin#show ports | include 8913
tcp: 127.0.0.1:8913
ise341-psn1/admin# 4. Überprüfen Sie den pxGrid-Cloud-Client, indem Sie zu Administration > pxGrid Services > Client Management > Clients > pxGrid Cloud Clients navigieren. Überprüfen Sie auch die abonnierten Themen.
pxGrid Cloud-Client auf der ISE
5. Stellen Sie sicher, dass die abonnierten Themen von cdFMC abgerufen werden. Klicken Sie im Security Cloud Control-Portal auf Identity Services Engine (pxGrid Cloud). Klicken Sie auf Configure Filters. Klicken Sie auf der Seite auf die Registerkarte Filter für dynamische Attribute. Erstellen Sie einen Filter für dynamische Attribute.
Attribute von ISE abgerufen
Fehlerbehebung
1. Fehler bei der ISE-Registrierung:
Fehlende Proxykonfiguration
Überprüfen Sie die Internetverbindung und mögliche Proxy-Fehlkonfigurationen.
2. Der pxGrid-Status zeigt nach der Aktivierung des pxGrid Cloud-Service und der Konfiguration der Name- und Regionsparameter Not connected auf der ISE Edit-Knotenseite an.
Überprüfen Sie hermes.log auf dem Knoten, auf dem Sie den pxGrid Cloud-Dienst aktivieren:
ise341-psn1/admin#show logging application hermes/hermes.log | begin 8913
2025-03-17T09:19:35.277Z | INFO | hermes/httpserver.go:57 | Starting REST server on :8913
2025-03-17T09:19:35.285Z | INFO | hermes/httpserver.go:78 | REST server is up and running
2025-03-17T09:19:35.307Z | ERROR | hermes/pxgrid.go:194 | Failed to establish pxGrid WebSocket connection: pubsub service lookup failed: service lookup for pubsub service failed: Post "https://ise341-psn1.poongarg.local:8910/pxgrid/control/ServiceLookup": SSL errors: SSL routines:tls_process_server_certificate:certificate verify failed
2025-03-17T09:19:35.307Z | ERROR | hermes/main.go:166 | Failed to open pxGrid WebSocket connection: Failed to establish pxGrid WebSocket connection: pubsub service lookup failed: service lookup for pubsub service failed: Post "https://ise341-psn1.poongarg.local:8910/pxgrid/control/ServiceLookup": SSL errors: SSL routines:tls_process_server_certificate:certificate verify failed
2025-03-17T09:19:35.307Z | INFO | hermes/config.go:279 | Stopping monitoring of configuration file: /opt/hermes/config.yaml
2025-03-17T09:19:35.307Z | INFO | hermes/connectionstatus.go:81 | Resetting connection status to DISCONNECTED with reason 'Failed to establish pxGrid WebSocket connection: pubsub service lookup failed: service lookup for pubsub service failed: Post "https://ise341-psn1.poongarg.local:8910/pxgrid/control/ServiceLookup": SSL errors: SSL routines:tls_process_server_certificate:certificate verify failed'
2025-03-17T09:19:35.308Z | ERROR | hermes/main.go:402 | Error running Hermes: Failed to establish pxGrid WebSocket connection: pubsub service lookup failed: service lookup for pubsub service failed: Post "https://ise341-psn1.poongarg.local:8910/pxgrid/control/ServiceLookup": SSL errors: SSL routines:tls_process_server_certificate:certificate verify failed
2025-03-17T09:19:35.308Z | INFO | hermes/httpserver.go:90 | Stopping REST server on :8913Hermes Rest Server lauscht auf Port 8913. Die Protokolle zeigen deutlich, dass der Hermes REST-Server versucht, eine pxGrid WebSocket-Verbindung herzustellen, jedoch aufgrund eines Fehlers bei der Zertifikatsüberprüfung nicht.
Lösung: Überprüfen Sie, ob das pxGrid-Zertifikat gültig ist und die Zertifikatskette nicht unterbrochen ist. Zeigen Sie das Zertifikat an, und überprüfen Sie, ob der Zertifikatsstatus gültig ist. In diesem Fall war der ISE-Hostname im pxGrid-Zertifikat, das für diesen Knoten ausgestellt wurde, falsch.
Gültiges pxGrid-Zertifikat
3. Fehler bei der Aktivierung der cdFMC-Anwendung auf dem Catalyst Cloud Portal.
Lösung: Stellen Sie sicher, dass auf der ISE unter der pxGrid-Cloud-Richtlinie die externen RESTful Services (ERS)-APIs und die OpenAPIs den schreibgeschützten Zugriff aktivieren.
Protokolle in Bezug auf pxGrid Cloud-Funktion:
| Debug-Komponente | Protokolldateiname | Beschreibung |
|
pxGrid-Cloud |
pxcloud.log, hermes.log |
pxcloud.log: Es protokolliert Konfigurationsänderungen des pxGrid-Cloud-Service, den Verbindungsstatus des pxGrid-Cloud-Service und den Hochverfügbarkeitsstatus. hermes.log: protokolliert pxGrid Thema Abonnement-Status, ERS Rest Anfragen aus pxGrid Cloud, Konfigurationsänderungen auf ISE. |
|
pxGrid Cloud OpenAPI |
pxcloud.log, hermes.log |
|
|
Telemetrie |
z.B. Protokoll |
Das Protokoll wird generiert, wenn der Benutzer den Integrationskatalog verwendet. Es enthält erste Protokolle mit Token, die für die Verbindung mit pxGrid Cloud verwendet werden. |
Anmerkung: Unabhängig davon, auf welchem Knoten Sie die pxGrid Cloud-Person aktivieren, müssen Sie die Protokolle auf dem aktiven PAN-Knoten überprüfen. Nach der Registrierung des Geräts befinden sich die Hermes-Protokolle auf dem Knoten, auf dem es aktiviert ist.
Hermes.log unterstützt nur die Protokollstufen Debug, Info, Warn und Error. Wenn Sie also Trace auswählen, wird die Protokollstufe für hermes.log auf Debug festgelegt. Wenn Sie Fatal auswählen, wird die Protokollstufe für hermes.log auf Error (Fehler) festgelegt.
ISE-Registrierung und -Anwendung Aktivierungsablauf
Vor der Registrierung des Geräts verwendet die ISE einen Geräte-Token, um eine Liste der Regionen und Anwendungen aus der Cloud abzurufen. Dieses Token wird von der Telemetriekomponente der ISE bereitgestellt. Überprüfen Sie sch.log auf PAN-Knoten:
2025-03-17 09:10:23,361 INFO [openapi-http-pool7][[]] infrastructure.telemetry.sch.api.DNATelemetryClient -:::::- Telemetry Lifecycle configured : PRODUCTION
2025-03-17 09:10:23,361 INFO [openapi-http-pool7][[]] infrastructure.telemetry.sch.api.DNATelemetryClient -:::::- Telemetry lifecycle::PRODUCTION
2025-03-17 09:10:23,463 INFO [openapi-http-pool7][[]] infrastructure.telemetry.sch.api.TetheringStateStorageImpl -:::::- Read tethering state from the db...
2025-03-17 09:10:23,467 INFO [openapi-http-pool7][[]] infrastructure.telemetry.sch.api.TetheringStateStorageImpl -:::::- Get encryption key for the tethering state data...
2025-03-17 09:10:23,480 INFO [openapi-http-pool7][[]] cisco.dna.tethering.client.TetheringClient -:::::- DNA Cloud Tethering Client Initialized, member ID = 67d7c58488c5fd08d085fffd, enrollment = existing
2025-03-17 09:10:23,480 INFO [openapi-http-pool7][[]] infrastructure.telemetry.sch.api.DNATelemetryClient -:::::- Tethering Client Initialized successfully
2025-03-17 09:10:23,483 INFO [openapi-http-pool7][[]] infrastructure.telemetry.sch.api.DNATetheringClient -:::::- Initialization Details :- Member Id: 67d7c58488c5fd08d085fffd
2025-03-17 09:10:24,492 INFO [openapi-http-pool7][[]] infrastructure.telemetry.sch.api.TetheringStateStorageImpl -:::::- Get encryption key for the tethering state data...
2025-03-17 09:10:24,497 INFO [openapi-http-pool7][[]] infrastructure.telemetry.sch.api.TetheringStateStorageImpl -:::::- Write tethering state to the db...
2025-03-17 09:10:24,529 INFO [openapi-http-pool7][[]] cpm.infrastructure.telemetry.api.TelemetryConfigHandler -:::::- Updated Tethering State in the TelemetryConfig table
pxcloud.log (PAN-Knoten), sobald Sie pxGrid Cloud-Service aktivieren, wird Hermes(pxGrid Cloud-Agent) aktiviert und ISE ruft die Regionsinformationen ab und erhält ein Token über die Telemetriekomponente.
2025-03-17 08:47:00,300 INFO [main][[]] cisco.cpm.pxcloud.api.PxCloudInitializer -:::::- Initializing pxGrid Cloud
2025-03-17 08:47:00,312 INFO [main][[]] cisco.cpm.pxcloud.pxgrid.PxCloudProviderRegistration -:::::- Registering the pxCloud service into pxGrid
2025-03-17 08:47:00,314 INFO [main][[]] cisco.cpm.pxcloud.hermes.ProxyConfigNotificationHandler -:::::- Register pxCloud ProxyConfig notification handler
2025-03-17 08:47:00,376 INFO [main][[]] cisco.cpm.pxcloud.hermes.HermesConfigManager -:::::- Registering listener for Hermes cert file changes
2025-03-17 08:47:00,376 INFO [main][[]] cisco.cpm.pxcloud.hermes.HermesConfigManager -:::::- Registering listener for pxCloud log level changes
2025-03-17 08:50:18,842 INFO [main][[]] cisco.cpm.pxcloud.hermes.HermesConfigManager -:::::- Updating Hermes certificate files
2025-03-17 08:52:46,834 INFO [pool-24-thread-1][[]] cpm.pxcloud.service.ui.IntegrationCatalogScheduler -:::::- validateIfApplicationStatusChanged :: Scheduler Invoked
2025-03-17 08:55:46,877 INFO [pool-24-thread-1][[]] cpm.pxcloud.service.ui.IntegrationCatalogScheduler -:::::- validateIfApplicationStatusChanged :: Scheduler Invoked
2025-03-17 08:58:46,781 INFO [pool-24-thread-1][[]] cpm.pxcloud.service.ui.IntegrationCatalogScheduler -:::::- validateIfApplicationStatusChanged :: Scheduler Invoked
2025-03-17 09:01:46,781 INFO [pool-24-thread-1][[]] cpm.pxcloud.service.ui.IntegrationCatalogScheduler -:::::- validateIfApplicationStatusChanged :: Scheduler Invoked
2025-03-17 09:03:37,136 INFO [pool-225-thread-1][[]] cpm.pxcloud.service.ui.IntegrationCatalogScheduler -:::::- validateIfApplicationStatusChanged :: Scheduler Invoked
2025-03-17 09:04:46,781 INFO [pool-24-thread-1][[]] cpm.pxcloud.service.ui.IntegrationCatalogScheduler -:::::- validateIfApplicationStatusChanged :: Scheduler Invoked
2025-03-17 09:06:37,136 INFO [pool-225-thread-1][[]] cpm.pxcloud.service.ui.IntegrationCatalogScheduler -:::::- validateIfApplicationStatusChanged :: Scheduler Invoked
2025-03-17 09:07:46,781 INFO [pool-24-thread-1][[]] cpm.pxcloud.service.ui.IntegrationCatalogScheduler -:::::- validateIfApplicationStatusChanged :: Scheduler Invoked
2025-03-17 09:09:11,901 DEBUG [hermes-change-monitor-0][[]] cisco.cpm.pxcloud.hermes.PxCloudNodeChangeHandler -:::::- Periodic check of PPAN hostFQDN: ise341-PAN.poongarg.local
2025-03-17 09:09:37,136 INFO [pool-225-thread-1][[]] cpm.pxcloud.service.ui.IntegrationCatalogScheduler -:::::- validateIfApplicationStatusChanged :: Scheduler Invoked
2025-03-17 09:09:37,139 DEBUG [pool-225-thread-1][[]] cpm.pxcloud.service.ui.IntegrationCatalogScheduler -:::::- ISE enrollment status is
2025-03-17 09:10:22,475 TRACE [openapi-http-pool4][[]] cpm.iseopenapi.pxcloud.impl.PxGridApiDelegateImpl -:::::- Request to get device information.
2025-03-17 09:10:22,485 INFO [openapi-http-pool4][[]] cpm.pxcloud.service.ui.IseEnrollment -:::::- Fetching Device Info...
2025-03-17 09:10:22,739 TRACE [openapi-http-pool7][[]] cpm.iseopenapi.pxcloud.impl.PxGridApiDelegateImpl -:::::- Request to get regions is received
2025-03-17 09:10:22,750 INFO [openapi-http-pool7][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- getRegionList :: get regions list api invoked.
2025-03-17 09:10:22,754 DEBUG [openapi-http-pool7][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- getRegionList :: fetch device token.
2025-03-17 09:10:24,529 DEBUG [openapi-http-pool7][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- getRegionList :: fetched device token.
2025-03-17 09:10:24,537 INFO [openapi-http-pool7][[]] cisco.cpm.pxcloud.utils.PxCloudHttpClient -:::::- Proxy configured. Address=x.x.x.x Port=80
2025-03-17 09:10:26,938 DEBUG [openapi-http-pool7][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- getRegionList :: Retrieved region list response from cloud : HttpResponseProxy{HTTP/1.1 200 OK [Date: Mon, 17 Mar 2025 09:10:28 GMT, Content-Type: application/json; charset=utf-8, Content-Length: 452, Connection: keep-alive, X-Tracking-Id: da111708f760551999f8cdfb2bfcc6bb, vary: Origin, Access-Control-Allow-Credentials: true, Access-Control-Expose-Headers: X-Auth-Token, Via: api-gateway,upstream, Content-Security-Policy: default-src 'self'; base-uri 'self'; frame-ancestors 'self'; block-all-mixed-content] ResponseEntityProxy{[Content-Type: application/json; charset=utf-8,Content-Length: 452,Chunked: false]}}
2025-03-17 09:10:26,946 DEBUG [openapi-http-pool7][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- getFilteredRegionInfo :: region list before filtering based on application list : [class Region {
id: ap-southeast-1
name: ap-southeast-1
fqdn: neoffers-sg.cisco.com
}, class Region {
id: eu-central-1
name: eu-central-1
fqdn: neoffers-de.cisco.com
}, class Region {
id: us-west-2
name: us-west-2
fqdn: neoffers.cisco.com
}]
2025-03-17 09:10:26,968 DEBUG [openapi-http-pool7][[]] cpm.pxcloud.api.impl.PxcloudApplicationCatalogImpl -:::::- Inside getApplicationCatalog
2025-03-17 09:10:27,051 INFO [openapi-http-pool7][[]] cpm.pxcloud.api.impl.PxcloudApplicationCatalogImpl -:::::- URL to get apps from cloud: https://dnaservices.cisco.com/api/uno/v1/assembler/data/applications
2025-03-17 09:10:27,055 DEBUG [openapi-http-pool7][[]] cisco.cpm.pxcloud.utils.PxCloudUtils -:::::- Anonymous token is used
2025-03-17 09:10:27,533 DEBUG [openapi-http-pool7][[]] cpm.pxcloud.api.impl.PxcloudApplicationCatalogImpl -:::::- Token is present
2025-03-17 09:10:27,533 DEBUG [openapi-http-pool7][[]] cpm.pxcloud.api.impl.PxcloudApplicationCatalogImpl -:::::- Request to getCatalogsUsingAnonymousToken is received
2025-03-17 09:10:27,533 DEBUG [openapi-http-pool7][[]] cpm.pxcloud.api.impl.PxcloudApplicationCatalogImpl -:::::- Inside getCatalog method
2025-03-17 09:10:27,533 DEBUG [openapi-http-pool7][[]] cisco.cpm.pxcloud.utils.PxCloudHttpClient -:::::- Inside httpGet method
!
2025-03-17 09:10:37,338 INFO [openapi-http-pool7][[]] cpm.pxcloud.api.impl.PxcloudApplicationCatalogImpl -:::::- Application Catalog status code 200
Der Aktivierungslink wird empfangen, die automatische Registrierung und Registrierung erfolgen.
2025-03-17 09:16:42,536 TRACE [openapi-http-pool2][[]] cpm.iseopenapi.pxcloud.impl.PxGridApiDelegateImpl -:::::- Request to get verification url is received
2025-03-17 09:16:42,537 DEBUG [openapi-http-pool2][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- getVerificationUri :: Checking Preconditions.
2025-03-17 09:16:42,569 DEBUG [openapi-http-pool2][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- getVerificationUri :: Preconditions check completed.
2025-03-17 09:16:42,569 DEBUG [openapi-http-pool2][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- getVerificationUri :: Trying to fetch activation link from platform.
!
2025-03-17 09:16:44,729 DEBUG [openapi-http-pool2][[]] cisco.cpm.pxcloud.api.PxCloudPropertiesNotificationHandler -:::::- onCreate DEVICE_CODE b6b4c9d0-4d07-4eb6-8d5e-b8a446f4a3eb
2025-03-17 09:16:44,735 DEBUG [openapi-http-pool2][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- getVerificationUri :: Activation link retrieval completed.
2025-03-17 09:16:45,310 TRACE [openapi-http-pool3][[]] cpm.iseopenapi.pxcloud.impl.PxGridApiDelegateImpl -:::::- Request to verify CCO login and auto register if single tenant.
2025-03-17 09:16:45,345 INFO [openapi-http-pool3][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- verifyCCOLoginAndAutoRegister:: Verify CCO login and try to auto-register if there is single tenant.
!
2025-03-17 09:16:45,538 INFO [openapi-http-pool3][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- verifyCCOLoginAndAutoRegisterWithoutTenant :: Verify CCO login to check if device is activated.
2025-03-17 09:16:45,589 DEBUG [openapi-http-pool3][[]] cisco.cpm.pxcloud.utils.PxCloudHttpClient -:::::- Inside httpPost method
2025-03-17 09:16:46,805 INFO [pool-24-thread-1][[]] cpm.pxcloud.service.ui.IntegrationCatalogScheduler -:::::- validateIfApplicationStatusChanged :: Scheduler Invoked
2025-03-17 09:16:46,816 DEBUG [pool-24-thread-1][[]] cpm.pxcloud.service.ui.IntegrationCatalogScheduler -:::::- ISE enrollment status is
2025-03-17 09:16:47,631 DEBUG [openapi-http-pool3][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- verifyCCOLoginAndAutoRegisterWithoutTenant :: auth token info for autoregister
!
2025-03-17 09:19:14,196 INFO [openapi-http-pool9][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- verifyCCOLoginAndAutoRegisterWithoutTenant :: device is activated.
2025-03-17 09:19:14,196 INFO [openapi-http-pool9][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- executeAutoRegister :: device is activated, going to execute auto register api.
2025-03-17 09:19:14,199 DEBUG [openapi-http-pool9][[]] cisco.cpm.pxcloud.utils.PxCloudHttpClient -:::::- Inside httpPost method
2025-03-17 09:19:16,956 DEBUG [openapi-http-pool9][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- executeAutoRegister :: AutoRegister api executed successfully and response is HttpResponseProxy{HTTP/1.1 201 Created [Date: Mon, 17 Mar 2025 09:19:18 GMT, Content-Type: application/json; charset=utf-8, Content-Length: 704, Connection: keep-alive, vary: Origin, Access-Control-Allow-Credentials: true, Access-Control-Expose-Headers: X-Auth-Token, Via: api-gateway,upstream, Content-Security-Policy: default-src 'self'; base-uri 'self'; frame-ancestors 'self'; block-all-mixed-content] ResponseEntityProxy{[Content-Type: application/json; charset=utf-8,Content-Length: 704,Chunked: false]}}
2025-03-17 09:19:16,964 DEBUG [openapi-http-pool9][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- executeAutoRegister :: AutoRegister api executed successfully and response is {"data":{"token":"eyJhbGciOiJFUzI1NiIsInR5cCI6IkpXVCJ9.eyJhdWQiOiJDRE5BIiwiYXV0aFNvdXJjZSI6Imh0dHBzOi8vaWQuY2lzY28uY29tL29hdXRoMi9kZWZhdWx0IiwiYXV0aHpUeXBlIjoiREVWSUNFX1JFR0lTVFJBVElPTiIsImV4cCI6MTc0MjIwNjc1OCwiaWF0IjoxNzQyMjAzMTU4LCJpc3MiOiJkbmFzZXJ2aWNlcy5jaXNjby5jb20iLCJqdGkiOiI5NGM3Mzg4NS1iYzkxLTRmNDQtOTg0MC1kYzEwNzdmYTkyYmQiLCJwciI6InVzZXIiLCJyZWdpb25zIjpbIioiXSwicm9sZXMiOlsiVEVMLUFETUlOIl0sInNlc3Npb25JZCI6ImZjYjEyNjkwLWVhZjctNGY2OS04NzBkLWQyNDExYjE1MmE5ZiIsInRlbmFudElkIjoiZTg3YzE5NmMtYzU4Ni00MWFmLTljMjYtMmVhMWUxODExNjRlIiwidGVuYW50TmFtZSI6ImNpc2NvIiwidXNlcm5hbWUiOiJwb29uZ2FyZyJ9.jSkuMLr17Vwoi3XTQC6A0Mnu8dODXAf5JQQddmtgekSMxUcgs3GrqpYzGpjTNXdS2_0TRjcbxDe4sEppStt7jg"},"responseType":"TOKEN"}.
2025-03-17 09:19:16,964 INFO [openapi-http-pool9][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- executeAutoRegister :: AutoRegister api executed successfully.
2025-03-17 09:19:16,964 INFO [openapi-http-pool9][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- processSuccessVerification :: Received token to enroll the device.
2025-03-17 09:19:17,284 INFO [openapi-http-pool9][[]] cpm.pxcloud.service.ui.IseEnrollment -:::::- ISE enrollment response: 200 OK
2025-03-17 09:19:17,284 DEBUG [openapi-http-pool9][[]] cpm.pxcloud.service.ui.IseEnrollment -:::::- ISE enrollment, processing success response:
2025-03-17 09:19:17,306 DEBUG [openapi-http-pool9][[]] cisco.cpm.pxcloud.api.PxCloudPropertiesNotificationHandler -:::::- onCreate CLIENT_SECRET <redacted>
2025-03-17 09:19:17,325 DEBUG [openapi-http-pool9][[]] cisco.cpm.pxcloud.api.PxCloudPropertiesNotificationHandler -:::::- onCreate TOKEN_URL <redacted>
2025-03-17 09:19:17,342 DEBUG [openapi-http-pool9][[]] cisco.cpm.pxcloud.api.PxCloudPropertiesNotificationHandler -:::::- onCreate FQDN neoffers.cisco.com
2025-03-17 09:19:17,369 DEBUG [openapi-http-pool9][[]] cisco.cpm.pxcloud.api.PxCloudPropertiesNotificationHandler -:::::- onCreate ENROLLMENT_STATUS true
2025-03-17 09:19:17,394 DEBUG [openapi-http-pool9][[]] cisco.cpm.pxcloud.api.PxCloudPropertiesNotificationHandler -:::::- onCreate CLIENT_ID 1466211b-8cc1-4838-a76b-d11057eb0a4a
2025-03-17 09:19:17,418 DEBUG [openapi-http-pool9][[]] cisco.cpm.pxcloud.api.PxCloudPropertiesNotificationHandler -:::::- onCreate TENANT_NAME cisco
2025-03-17 09:19:17,438 DEBUG [openapi-http-pool9][[]] cisco.cpm.pxcloud.api.PxCloudPropertiesNotificationHandler -:::::- onCreate MEMBER_ID 67d7e91688c5fd08d0860039
2025-03-17 09:19:17,463 DEBUG [openapi-http-pool9][[]] cisco.cpm.pxcloud.api.PxCloudPropertiesNotificationHandler -:::::- onCreate USERNAME <redacted>
2025-03-17 09:19:17,485 DEBUG [openapi-http-pool9][[]] cisco.cpm.pxcloud.api.PxCloudPropertiesNotificationHandler -:::::- onCreate TENANT_ID e87c196c-c586-41af-9c26-2ea1e181164e
2025-03-17 09:19:17,489 INFO [openapi-http-pool9][[]] cpm.pxcloud.service.ui.IseEnrollment -:::::- ISE Device enrollment properties data is saved to DB
2025-03-17 09:19:17,495 INFO [openapi-http-pool9][[]] cpm.pxcloud.service.ui.IseEnrollment -:::::- ISE enrollment with cloud is successful and status is set to true
2025-03-17 09:19:17,500 INFO [openapi-http-pool9][[]] cpm.pxcloud.service.ui.IseEnrollment -:::::- Initiated the cloud configuration process
2025-03-17 09:19:17,500 INFO [openapi-http-pool9][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- processSuccessVerification :: device is enrolled successfully.
2025-03-17 09:19:17,554 INFO [openapi-http-pool9][[]] cpm.iseopenapi.pxcloud.util.PxGridCloudUtil -:::::- updatePxGridCloud :: pxg added. preparing to retrieve pxg wallet cert
2025-03-17 09:19:17,554 DEBUG [openapi-http-pool9][[]] cpm.iseopenapi.pxcloud.util.PxGridCloudUtil -:::::- Preparing to save HostConfig [hostName=ise341-psn1, dispayName=ise341-psn1, hostId=07374a40-0301-11f0-873b-765072d6d75e, gateWay=10.106.39.1, masterStatus=NONE, nodeRoleStatus=SECONDARY, nodeTypes=PDP+PXG+PXCLOUD, nodeServiceType=SESSION,PROFILER, userName=null, smtpPort=null, smtpHost=null, hostAlias=ise341-psn1.poongarg.local, udiPid=ISE-VM-K9, udiVid=V01, udiSN=IHJDFEDEIKM, udiPT=VM, installType=null, vmInfo=28481208|12|LARGE||2025-03-14 17:45:14 UTC|0 MB|0 MHz|4294967295 MB|5000 MHz, isApiNode=false]
2025-03-17 09:19:18,501 INFO [pxcloud-configuration-1243][[]] cpm.pxcloud.service.ui.CloudConfigurationProcessor -:::::- Enrollment complete, starting cloud configuration process now
2025-03-17 09:19:18,505 DEBUG [pxcloud-configuration-1243][[]] cpm.pxcloud.service.ui.CloudConfigurationProcessor -:::::- Starting to process the cloud configuration for ISE
pxGrid-Knoten übernehmen AKTIVE Rolle, aber hier beobachteten wir pxGridConnectionStatus als NOT_CONNECTED, die behoben wurde, nachdem das richtige pxGrid-Zertifikat (mit vollständiger Wurzel-CA-Kette) auf diesem pxGrid-Knoten hinzugefügt wurde.
2025-03-17 09:20:12,301 TRACE [openapi-http-pool8][[]] cpm.iseopenapi.pxcloud.impl.PxGridApiDelegateImpl -:::::- Request to get device information.
2025-03-17 09:20:12,301 INFO [openapi-http-pool8][[]] cpm.pxcloud.service.ui.IseEnrollment -:::::- Fetching Device Info...
2025-03-17 09:20:12,310 INFO [Thread-150][[]] cpm.pxcloud.service.ui.IseEnrollment -:::::- Get pxCloud status information from ise341-psn1.poongarg.local
2025-03-17 09:20:12,311 INFO [Thread-150][[]] cpm.pxcloud.service.ui.IseEnrollment -:::::- pxCloud statusLookup URL: https://ise341-psn1.poongarg.local:8910/pxgrid/pxcloud/statusLookup
2025-03-17 09:20:12,427 INFO [Thread-150][[]] cpm.pxcloud.service.ui.IseEnrollment -:::::- Received response from ise341-psn1.poongarg.local: StatusResponse [role=ACTIVE, state=HERMES_ERROR, pxGridConnectionStatus=NOT_CONNECTED, cloudConnectionStatus=NOT_CONNECTED, reason=]
Überprüfen Sie jetzt Hermes.log auf dem ACTIVE pxGrid-Knoten auf pubsub-Ereignisse:
2025-03-17T09:37:43.906Z | INFO | hermes/config.go:332 | configMgr created successfully: configMgr[path=/opt/hermes/config.yaml]
2025-03-17T09:37:43.907Z | INFO | hermes/config.go:117 | Parsing configuration file: /opt/hermes/config.yaml
2025-03-17T09:37:43.907Z | INFO | hermes/config.go:338 | Config file /opt/hermes/config.yaml parsed successfully: &{PxGrid:{ClientName:~ise-hermes-ise341-psn1.poongarg.local Host:ise341-psn1.poongarg.local Port:8910 CertFile:/opt/xgrid/conf/ise-latest/host_H1742204190264.pem KeyFile:/opt/xgrid/conf/ise-latest/key_H1742204258381.pem CertPassword:aR8LRo9ZUmHnh5au3Gv7NX6VXn58SxehhxFtz2y2FL59PNfWWK9Lt/r+txTeQryR RootFile:/opt/xgrid/conf/ise-latest/ca_H1742204257774.pem} Log:{Level:info Files:[/opt/hermes/logs/hermes.log] Encoding:console} ERS:{Hostname:ise341-PAN.poongarg.local Port:-1 Enabled:false Username: CertFile:/opt/hermes/certs/adminCertFile.pem ConsumerKey: ConsumerSecret:} Proxy:{Host:bgl11-lab-wsa-1.cisco.com Port:80 Username: Password: BypassHosts:} Cloud:{CertFile:/opt/xgrid/conf/ise-latest/cacs_H1742198418638.pem} OpenAPI:{Hostname: Port:-1 Enabled:false Username: Password: CertFile:}}
2025-03-17T09:37:43.907Z | INFO | hermes/main.go:126 | Configuration loaded successfully
2025-03-17T09:37:43.908Z | INFO | trust/trust.go:28 | Custom trust bundle has been set/updated
2025-03-17T09:37:43.908Z | INFO | hermes/pxgrid.go:187 | Creating pxGrid WebSocket connection
2025-03-17T09:37:43.908Z | INFO | hermes/httpserver.go:57 | Starting REST server on :8913
2025-03-17T09:37:43.921Z | INFO | hermes/httpserver.go:78 | REST server is up and running
2025-03-17T09:37:43.983Z | INFO | pxgrid/websocket.go:93 | Got WS URL: wss://ise341-psn1.poongarg.local:8910/pxgrid/ise/pubsub
2025-03-17T09:37:44.066Z | INFO | pxgrid/websocket.go:107 | Connection to wss://ise341-psn1.poongarg.local:8910/pxgrid/ise/pubsub was created successfully
2025-03-17T09:37:44.066Z | INFO | hermes/connectionstatus.go:44 | Setting pxGrid connection status to CONNECTED
Die Root-CA-Kette des Catalyst Cloud Portal wird verifiziert.
2025-03-17T09:37:44.731Z | INFO | hermes/pxgrid.go:267 | Cloud credentials are obtained from ISE
2025-03-17T09:37:45.034Z | INFO | hermes/pxgrid.go:376 | DeviceID: 67d7e91688c5fd08d0860039, TenantID: e87c196c-c586-41af-9c26-2ea1e181164e
2025-03-17T09:37:45.743Z | INFO | rest/ocsp.go:207 | Making OCSP request at http://commercial.ocsp.identrust.com with timeout of 1500000000
2025-03-17T09:37:45.743Z | INFO | rest/ocsp.go:207 | Making OCSP request at http://commercial.ocsp.identrust.com with timeout of 1500000000
2025-03-17T09:37:46.273Z | INFO | rest/ocsp.go:254 | OCSP Validation passed for CN=HydrantID Server CA O1,OU=HydrantID Trusted Certificate Service,O=IdenTrust,C=US
2025-03-17T09:37:46.279Z | INFO | rest/ocsp.go:254 | OCSP Validation passed for CN=dnaservices.cisco.com,O=Cisco Systems Inc.,L=San Jose,ST=California,C=US
2025-03-17T09:37:47.054Z | INFO | rest/ocsp.go:207 | Making OCSP request at http://commercial.ocsp.identrust.com with timeout of 9000000000
2025-03-17T09:37:47.432Z | INFO | hermes/config.go:262 | File /opt/hermes/config.yaml modified. Event: WRITE
2025-03-17T09:37:47.533Z | INFO | hermes/config.go:117 | Parsing configuration file: /opt/hermes/config.yaml
2025-03-17T09:37:47.533Z | INFO | hermes/config.go:305 | New configuration loaded
2025-03-17T09:37:47.533Z | INFO | hermes/config.go:314 | Restarting Hermes due to configuration change
Die Abonnementanforderung für bestimmte Themen wurde einmal erstellt. Die FMC-Anwendung ist unter Integration Catalog konfiguriert:
2025-03-17T12:54:09.975Z | INFO | pxgrid/subscriber.go:40 | Request to create new subscriber: service=com.cisco.ise.session , topicKey=groupTopic and topicFQN=/topic/com.cisco.ise.session.group
2025-03-17T12:54:09.975Z | INFO | pxgrid/subscriber.go:55 | Subscriber[service: com.cisco.ise.session, topic: groupTopic, id: cvc1msd3ct8r98jaf6dg] created successfully
2025-03-17T12:54:10.263Z | INFO | device-manager@v1.1.12/control.go:240 | Completed activate sync ID [session:userGroups--67d7e91688c5fd08d0860039]
2025-03-17T12:54:10.263Z | INFO | device-manager@v1.1.12/control.go:227 | Processing activate sync ID [profiler:profiles--67d7e91688c5fd08d0860039]
2025-03-17T12:54:10.263Z | INFO | hermes/pxgrid.go:117 | Request to add new pxGrid subscriber [com.cisco.ise.config.profiler:topic] for DxHub stream profiler:profiles
2025-03-17T12:54:10.263Z | INFO | pxgrid/subscriber.go:28 | Request to create new subscriber: com.cisco.ise.config.profiler:topic
2025-03-17T12:54:10.270Z | INFO | pxgrid/subscriber.go:40 | Request to create new subscriber: service=com.cisco.ise.config.profiler , topicKey=topic and topicFQN=/topic/com.cisco.ise.config.profiler
2025-03-17T12:54:10.270Z | INFO | pxgrid/subscriber.go:55 | Subscriber[service: com.cisco.ise.config.profiler, topic: topic, id: cvc1msl3ct8r98jaf6e0] created successfully
2025-03-17T12:54:10.559Z | INFO | device-manager@v1.1.12/control.go:240 | Completed activate sync ID [profiler:profiles--67d7e91688c5fd08d0860039]
2025-03-17T12:54:10.559Z | INFO | device-manager@v1.1.12/control.go:227 | Processing activate sync ID [trustsec:securityGroups--67d7e91688c5fd08d0860039]
2025-03-17T12:54:10.559Z | INFO | hermes/pxgrid.go:117 | Request to add new pxGrid subscriber [com.cisco.ise.config.trustsec:securityGroupTopic] for DxHub stream trustsec:securityGroups
2025-03-17T12:54:10.559Z | INFO | pxgrid/subscriber.go:28 | Request to create new subscriber: com.cisco.ise.config.trustsec:securityGroupTopic
!
2025-03-17T16:17:30.050Z | INFO | api-proxy@v1.0.10/broker.go:114 | API-Proxy: Broker Agent start consuming
2025-03-17T16:17:30.050Z | INFO | hermes/apiproxy.go:43 | API Proxy connection established
2025-03-17T16:17:30.050Z | INFO | hermes/connectionstatus.go:62 | Setting cloud connection status to CONNECTED
2025-03-17T16:17:30.057Z | INFO | hermes/dxhub.go:94 | Policies are obtained from ISE : &{Pxgrid:{ContextOutTopics:[com.cisco.ise.sxp:bindingTopic com.cisco.ise.config.profiler:topic com.cisco.ise.endpoint:topic com.cisco.ise.radius:failureTopic com.cisco.ise.trustsec:policyDownloadTopic com.cisco.ise.echo:echoTopic com.cisco.ise.mdm:endpointTopic com.cisco.ise.config.trustsec:securityGroupTopic com.cisco.ise.config.trustsec:securityGroupAclTopic com.cisco.ise.config.anc:statusTopic com.cisco.ise.config.upn:statusTopic com.cisco.ise.session:sessionTopic com.cisco.ise.session:groupTopic]}}
Einschränkungen
1. Der Benutzer kann pxGrid Cloud-Persona nicht auf mehr als 2 Knoten aktivieren.
2. Die Deregistrierung vom Catalyst Cloud Portal zu cdFMC wird unterstützt, aber nicht umgekehrt.
Referenzen
Revisionsverlauf
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
1.0 |
21-Mar-2025
|
Erstveröffentlichung |
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)