pxGridクラウドを介してクラウド提供のファイアウォール管理センターをISEと統合

はじめに

このドキュメントでは、pxGrid Cloudを介してCisco ISEをクラウド提供のFirewall Management Center(cdFMC)と統合する手順について説明します。

前提条件

• Cisco Identity Service Engine(ISE)に関する実務知識
• Cisco Catalyst Cloud Portalのアカウント
• Cisco Security Cloud Control Portalのアカウント

要件

• Cisco ISE環境にAdvantageライセンス階層をインストールし、アクティブにします。
• pxGrid Cloudエージェントは、Cisco pxGrid CloudへのアウトバウンドHTTPS接続を作成します。したがって、ネットワークがインターネットに到達するためにプロキシを使用する場合は、Cisco ISEプロキシを設定します。Cisco ISEでプロキシを設定するには、Administration > System > Settings > Proxyの順に選択します。
• Cisco ISEの信頼できる証明書ストアには、Cisco pxGrid Cloudによって提示されるサーバ証明書を検証するために必要なルートCA証明書が含まれている必要があります。Trust for Authentication of Cisco ServicesオプションがこのルートCA証明書に対して有効になっていることを確認します。Cisco Servicesの認証の信頼を有効にするには、Administration > System > Certificatesの順に選択します。
• Cisco ISEからCisco pxGrid Cloud Portalへのアウトバウンド接続用にポート443が開いていることを確認します。ファイアウォールまたはプロキシの設定が構成されている場合は、これらのURLがブロックされていないことを確認します。

https://dna.cisco.com

https://dnaservices.cisco.com

https://ciscodnacloud.com

使用するコンポーネント

ISEソフトウェアバージョン：3.4パッチ1、4ノードの導入（pxGridサービスを有効にしたPAN、SAN、および2 PSN）

cdFMCバージョン：20241127

VMware向けCisco Firepower Threat Defense(FTD)バージョン：7.2.5

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

Cisco pxGrid Cloudの用語

Cisco pxGrid Cloudソリューションで使用される一般的な用語の一部と、Cisco pxGrid Cloud環境でのその意味を次に示します。

• オファー：パッケージ化され、ソリューションとして提供される機能セット
• サブスクリプション：テナントが使用しているオファーのインスタンスはサブスクリプションです
• アプリ：要件に基づいて製品のアプリケーションを作成および登録できます。

背景説明

Cisco ISEは、複数のセキュリティベンダー間でのコンテキスト共有を提供します。ただし、現在のアーキテクチャでは、ファイアウォールに何らかのバイパスまたは穴を開けることなく、オンプレミスのISEとクラウドベースのソリューション間でネットワーク境界を介した通信を行うことはできません。 

Cisco ISEのpxCloudはクラウドベースのソリューションで、この問題を解決し、追加のインストール、オーバーヘッド、およびネットワークのセキュリティを損なうことなく、オンプレミスとクラウド間でコンテキストを共有できます。 安全でカスタマイズ可能なため、共有するデータのみを共有し、アプリケーションに関連するコンテキストデータのみを使用できます。 

Cisco ISEリリース3.1パッチ3以降では、pxGrid Cloudがサポートされています。シスコとそのパートナーは、pxGrid Cloudベースのアプリケーションを開発し、pxGrid Cloudオファーに登録できます。 Cisco DNA-Cloud Portalを利用して、他のオンプレミスインフラストラクチャに依存することなくアプリケーションをオンボーディングおよび登録します。これらのアプリケーションは、外部RESTfulサービス(ERS)、Open API、およびpxGrid（APIおよびWebSocket）を使用してCisco ISEと情報を交換し、ISEからのサブスクリプションおよびユーザデータをcdFMCで使用します。

設定

ネットワーク図

pxGridクラウドによるCDFMCとISEの統合

コンフィギュレーション

主な4つの手順は次のとおりです。

• ISEでCisco pxGrid Cloudサーバ証明書をインポートします。
• ISEをCatalyst Cloud Portalに登録します。
• 統合カタログを使用したISEでのcdFMCアプリケーションのアクティブ化
• pxGridアプリケーション(cdFMC)インスタンスの作成

ISEでのCisco pxGrid Cloudサーバ証明書のインポート

ISEはCisco pxGridクラウドとの信頼を確立する必要があります。クラウドWebサイトが公開署名証明書で認証されていても、ISEは信頼されたルートCAの完全なリストを保持しません。そのため、管理者は信頼関係を確立する必要があります。Catalyst Cloud Portalを参照して、pxGrid Cloudのルート証明書と中間証明書をエクスポートします。ほとんどのブラウザはこれを可能にします。Chromeブラウザから証明書を取得する手順は次のとおりです。 

サイト情報の表示

証明書チェーンのエクスポート

証明書チェーンが欠落している場合(ISEにすでにIdentrust商用ルートCA 1がある場合)、証明書をISEの「信頼できる証明書」ストアにインポートします。 

このルートCA証明書に対して、「Trust for Authentication of Cisco Services」オプションが有効になっていることを確認します。Cisco Servicesの認証の信頼を有効にするには、Administration > System > Certificatesの順に選択します。

シスコサービスの認証に対する信頼の有効化

フロー図

アプリの有効化ワークフロー

この設定で使用されるISE導入

Catalyst Cloud PortalへのISEの登録

Cisco ISEでpxGridクラウドサービスを有効にし、デバイスを登録します。

1. Cisco ISE GUIで、Administration > System > Deploymentの順に選択します。

2. pxGridクラウドサービスを有効にするノード（この場合は最初のPSNノード）をクリックします。

3. 一般設定タブで、pxGridサービスを有効にします。

4. pxGrid Cloudチェックボックスにチェックマークを入れます。

注：pxGrid Cloudサービスは、ハイアベイラビリティを有効にするために2つのノードでのみ有効にできます。pxGrid Cloudオプションは、そのノードでpxGridサービスが有効になっている場合にのみ有効にできます。

5. ISE導入名フィールドに、意味のある名前を入力します。この名前はCatalyst Cloud Portalに表示され、複数のISE導入がクラウドに登録されているかどうかを区別するために使用できます。ISE導入名を使用して、Cisco Catalyst Cloud Portalで登録済みのCisco ISE導入を確認できます。

（オプション）Description（オプション）フィールドに、Cisco ISE導入の説明を入力します。

6. Regionドロップダウンリストで、Cisco ISEデバイスを登録するリージョンを選択します。Cisco pxGrid Cloudは、現在、米国に加え、欧州、アジア太平洋、日本でもサポートされています。pxGrid Cloudで使用するアプリケーションも同じリージョンで使用できる必要があります。

7. Registerをクリックします。

pxGrid CloudへのISE PSNの登録

8. [デバイスのライセンス認証]ポップアップページで、デバイスのライセンス認証コードが自動的に入力されます。[Next] をクリックします。

デバイスをアクティブにする

デバイスの有効化

注:「pxGrid Cloud」ペルソナを2番目のノードで有効にすると、ISEとpxGrid Cloudの登録が導入レベルになるため、これらの詳細すべてがISEに必要なくなります。

9. ログインクレデンシャルを使用して、Cisco Catalyst Cloud Portalアカウントにログインします。ログインクレデンシャルがない場合は、新しいアカウントを作成してデバイス登録を完了します。詳細については、「Cisco Catalyst Cloud Portalでのアカウント作成」を参照してください。

Cisco ISEデバイスがアクティブ化され、登録されます。

Catalyst Cloud Portalに登録されているISEノード

10. 登録したCisco ISEの詳細は、pxGridセクション(Administration > System> Deployment > pxGrid)にあります。

ISEがpxGrid Cloudに登録されていることを確認します。

Deregisterをクリックすると、Cisco ISEデバイスの登録を解除できます。Cisco ISEの登録を解除すると、接続されているアプリケーションも自動的に無効になります。

統合カタログを使用したISEでのcdFMCアプリケーションのアクティブ化

1. ISE GUIで、Administration > Integration Catalogの順に選択します。

2. 「使用可能な統合」で、「ファイアウォール管理センター」アプリケーションを選択します。

注：アプリケーションのリストはアカウントによって異なります。一部のアプリケーションは、特定のアカウントのみに公開される可能性があります。

統合カタログ

3. App configurationセクションで、New instanceを選択し、App configurationのData scopesを選択します。続行するには、少なくとも1つのデータスコープを選択してください。

注：データスコープを選択すると、システムレベルpxGridクラウドポリシー設定でも同じことが有効になります。

4. Activateをクリックしてアプリをアクティブにします。

ISEでのFMCアプリケーションの設定

5. ワンタイムパスワード(OTP)ポップアップから、pxGridアプリケーションインスタンスの作成中にOTPをコピーしてcdFMCで使用できるようにします

cdFMCアプリケーション用OTP

6. Administration > pxgrid Services > Client Management > pxGrid Cloud Policyの順に移動して、pxGrid Cloud Policyを設定します。 Saasアプリケーションと共有し、Cisco pxGridクラウドアプリケーションへのExternal RESTful Services (ERS)APIおよびOpenAPIの読み取り専用アクセスを有効にするpxGridサービスを選択します。

pxGridクラウドポリシーの設定

注：エコーサービスは、ヘルスチェックを実行してISEへのpub-subとAPIの両方の接続を判別するために使用されます。

         デフォルトでは、Cisco pxGrid CloudアプリケーションにはAPIへの読み取り専用アクセスが許可されます（HTTP GET操作のみ実行できます）。 POST、PUT、およびDELETE操作も許可する場合は、pxGrid Cloud PolicyウィンドウでRead/Writeオプションを有効にします。

pxGridアプリケーション(cdFMC)インスタンスの作成 

1. スーパー管理者ロールを持つユーザーとしてセキュリティクラウドコントロール(SCC)ポータルにログインします。

SCCログインページ

2. Security Cloud Controlメニューから、Administration > Integrations > Firewall Management Centerの順にクリックし、cdFMCインスタンスを選択して、右側のペインのオプションでSystem > Configurationを選択します。

Firewall Management Centerへの移動

3. 「構成」ページで、「統合」>「その他の統合」>「アイデンティティ・ソース」を選択し、「サービス・タイプ」「Identity Services Engine (pxGrid Cloud)」を選択します。 Create pxGrid Application Instanceをクリックし、Cisco ISEからコピーされたOTPと引き換えてインスタンスを追加します。

cdFMCアプリケーションインスタンスの作成

4. Cisco Catalyst Cloud PortalのApplications and Products > Firewall Management Center > Manage > Products > Select Instance drop down menuでこれを確認します。 

Catalyst Cloud PortalでのcdFMCの確認

5. 新しく作成したcdFMCアプリケーションを選択し、Addをクリックします。Regionを選択して、Activateをクリックします。  

リージョンを選択

5. アプリケーションインスタンスを選択し、Nextをクリックします。製品（ISE pxGridノード）を選択し、Nextをクリックします。

6. アクセス制御の設定：選択したISE製品でcdFMCに許可する機能機能を選択します。[Next] をクリックします。設定の概要が表示されます。確認して、Activateをクリックします。

cdFMCのアクセスコントロールの設定

cfFMCに接続された製品ISE

8. Cisco Catalyst Cloud PortalのApplications and Products > Firewall Management Center > Manage > Products > Select Instance drop down menuでこれを確認します。 

アプリがアクティブ化されていることを確認します

確認

1. Catalyst Cloud Portalで、Applications and Productsの順に移動します。ISE製品名を選択し、製品の詳細を確認します。Activated Applicationの下にcdFMCが表示されることを確認します。

Catalyst Cloud Control Portalでの確認

2. Security Cloud Controlで、設定したcdFMCアプリケーションインスタンスをテストします。テストは「Success」を示します。

Security Cloud Control Portalでの検証

3. アクティブpxGridノードにログインし、show application status iseコマンドを使用してHermes(pxGrid Cloud Agent)が実行状態であることを確認します。 このエージェントは、スタンバイpxGridノードで無効ステータスになっています。

Hermes(pxGrid Cloud Agent)ステータスの確認

両方のpxGridノードのpxcloud.logを確認して、アクティブおよびスタンバイステータスを確認します。

On Active pxGrid node (pxcloud.log)

2025-03-17 14:35:25,530 DEBUG  [pxCloud-hermesCheck-2768][[]] cpm.pxcloud.ha.statemachine.StateMachine -:::::- RUNNING (HERMES_OK) ------> RUNNING
2025-03-17 14:35:27,438 DEBUG  [pxCloud-heartbeat-2769][[]] cpm.pxcloud.ha.statemachine.HeartBeat -:::::- url - https://ise341-psn2.poongarg.local:8910/pxgrid/pxcloud/statusLookup
2025-03-17 14:35:27,445 DEBUG  [pxCloud-heartbeat-2769][[]] cpm.pxcloud.ha.statemachine.HeartBeat -:::::- HeartBeat response from peer - StatusResponse [role=STANDBY, state=MONITORING, pxGridConnectionStatus=NOT_CONNECTED, cloudConnectionStatus=NOT_CONNECTED, reason=] 
2025-03-17 14:35:27,445 DEBUG  [pxCloud-heartbeat-2769][[]] cpm.pxcloud.ha.statemachine.HeartBeat -:::::- Post PEER_MONITORING to state machine
2025-03-17 14:35:27,445 DEBUG  [pxCloud-heartbeat-2769][[]] cpm.pxcloud.ha.statemachine.StateMachine -:::::- RUNNING (PEER_MONITORING) 
2025-03-17 14:35:35,548 DEBUG  [pxCloud-hermesCheck-2768][[]] cpm.pxcloud.ha.statemachine.HermesCheck -:::::- Sending request to Hermes: POST https://localhost:8913/hermes/cloudConnectionStatus
2025-03-17 14:35:35,572 DEBUG  [pxCloud-hermesCheck-2768][[]] cpm.pxcloud.ha.statemachine.HermesCheck -:::::- Hermes response: 200 OK
2025-03-17 14:35:35,572 DEBUG  [pxCloud-hermesCheck-2768][[]] cpm.pxcloud.ha.statemachine.HermesCheck -:::::- Status - HermesConnectionStatus [pxGridConnectionStatus=CONNECTED, cloudConnectionStatus=CONNECTED, reason=] 

On Standby pxGrid node (pxcloud.log)

2025-03-17 14:34:14,145 DEBUG  [pxCloud-heartbeat-6441][[]] cpm.pxcloud.ha.statemachine.HeartBeat -:::::- url - https://ise341-psn1.poongarg.local:8910/pxgrid/pxcloud/statusLookup
2025-03-17 14:34:14,153 DEBUG  [pxCloud-heartbeat-6441][[]] cpm.pxcloud.ha.statemachine.HeartBeat -:::::- HeartBeat response from peer - StatusResponse [role=ACTIVE, state=RUNNING, pxGridConnectionStatus=CONNECTED, cloudConnectionStatus=CONNECTED, reason=]
2025-03-17 14:34:14,154 DEBUG  [pxCloud-heartbeat-6441][[]] cpm.pxcloud.ha.statemachine.HeartBeat -:::::- Post PEER_RUNNING to state machine
2025-03-17 14:34:14,154 DEBUG  [pxCloud-heartbeat-6441][[]] cpm.pxcloud.ha.statemachine.StateMachine -:::::- MONITORING (PEER_RUNNING)

さらに、ACTIVE pxGridノードでのみ開かれるポート8913を確認します。

ise341-psn1/admin#show ports | include 8913                                     
           tcp: 127.0.0.1:8913
ise341-psn1/admin# 

4. Administration > pxGrid Services > Client Management > Clients > pxGrid Cloud clientsの順に移動して、pxGridクラウドクライアントを確認します。購読されているトピックも確認してください。

ISE上のpxGridクラウドクライアント

5. 購読したトピックがcdFMCにフェッチされたことを確認します。Security Cloud Control Portalで、Policies > Threat Defense > Integration > Other Integrations > Identity Sourcesの順にクリックします。 Identity Services Engine (pxGrid Cloud)をクリックします。 Configure Filtersをクリックします。ページで、[ダイナミック属性フィルタ]タブをクリックします。 ダイナミック属性フィルタを作成します。

ISEから取得された属性

トラブルシュート

1. ISE登録中の障害：

プロキシ設定が見つかりません

インターネット接続と、プロキシの設定ミスの可能性を確認します。

2. pxGridクラウドサービスを有効にし、名前とリージョンパラメータを設定した後、pxGridステータスがISE編集ノードページでNot connectedと表示される。

pxGrid Cloudサービスを有効にするノードのhermes.logを確認します。

ise341-psn1/admin#show logging application hermes/hermes.log | begin 8913
2025-03-17T09:19:35.277Z | INFO | hermes/httpserver.go:57 | Starting REST server on :8913
2025-03-17T09:19:35.285Z | INFO | hermes/httpserver.go:78 | REST server is up and running
2025-03-17T09:19:35.307Z | ERROR | hermes/pxgrid.go:194 | Failed to establish pxGrid WebSocket connection: pubsub service lookup failed: service lookup for pubsub service failed: Post "https://ise341-psn1.poongarg.local:8910/pxgrid/control/ServiceLookup": SSL errors: SSL routines:tls_process_server_certificate:certificate verify failed
2025-03-17T09:19:35.307Z | ERROR | hermes/main.go:166 | Failed to open pxGrid WebSocket connection: Failed to establish pxGrid WebSocket connection: pubsub service lookup failed: service lookup for pubsub service failed: Post "https://ise341-psn1.poongarg.local:8910/pxgrid/control/ServiceLookup": SSL errors: SSL routines:tls_process_server_certificate:certificate verify failed
2025-03-17T09:19:35.307Z | INFO | hermes/config.go:279 | Stopping monitoring of configuration file: /opt/hermes/config.yaml
2025-03-17T09:19:35.307Z | INFO | hermes/connectionstatus.go:81 | Resetting connection status to DISCONNECTED with reason 'Failed to establish pxGrid WebSocket connection: pubsub service lookup failed: service lookup for pubsub service failed: Post "https://ise341-psn1.poongarg.local:8910/pxgrid/control/ServiceLookup": SSL errors: SSL routines:tls_process_server_certificate:certificate verify failed'
2025-03-17T09:19:35.308Z | ERROR | hermes/main.go:402 | Error running Hermes: Failed to establish pxGrid WebSocket connection: pubsub service lookup failed: service lookup for pubsub service failed: Post "https://ise341-psn1.poongarg.local:8910/pxgrid/control/ServiceLookup": SSL errors: SSL routines:tls_process_server_certificate:certificate verify failed
2025-03-17T09:19:35.308Z | INFO | hermes/httpserver.go:90 | Stopping REST server on :8913

Hermes Restサーバはポート8913でリッスンします。ログには、Hermes RESTサーバが開始しようとしたが、証明書検証の失敗が原因でpxGrid WebSocket接続を確立できなかったことが明確に示されます。

解決方法： pxGrid証明書が有効で、証明書チェーンが壊れていないことを確認してください。証明書を表示し、証明書のステータスが正常であることを確認します。この場合、このノードに発行されたpxGrid証明書内のISEホスト名が正しくありませんでした。

有効なpxGrid証明書

3. cdFMCアプリケーションのアクティブ化がCatalyst Cloud Portalで失敗しました。

解決策：ISEで、pxGridクラウドポリシーの下で、External RESTful Services(ERS)APIおよびOpenAPIの読み取り専用アクセスが有効になっていることを確認します。

pxGrid Cloud機能に関連するログ：

注：pxGrid Cloudペルソナを有効にするノードに関係なく、アクティブなPANノードのログを確認する必要があります。デバイスが登録されると、Hermesログは有効になっている特定のノードに記録されます。

         hermes.logでサポートされるのは、Debug、Info、Warn、およびErrorのログレベルだけです。したがって、Traceを選択した場合、ログレベルはhermes.logのDebugとして設定されます。Fatalを選択した場合、hermes.logのログレベルはErrorに設定されます。

ISE登録/登録およびアプリケーションのアクティベーションフロー

デバイスが登録される前に、ISEはデバイストークンを使用して、リージョンのリスト、クラウドからのアプリケーションのリストを取得します。このトークンは、ISEの「テレメトリ」コンポーネントによって提供されます。PANノードのsch.logを確認します。

2025-03-17 09:10:23,361 INFO [openapi-http-pool7][[]] infrastructure.telemetry.sch.api.DNATelemetryClient -:::::- Telemetry Lifecycle configured : PRODUCTION
2025-03-17 09:10:23,361 INFO [openapi-http-pool7][[]] infrastructure.telemetry.sch.api.DNATelemetryClient -:::::- Telemetry lifecycle::PRODUCTION
2025-03-17 09:10:23,463 INFO [openapi-http-pool7][[]] infrastructure.telemetry.sch.api.TetheringStateStorageImpl -:::::- Read tethering state from the db...
2025-03-17 09:10:23,467 INFO [openapi-http-pool7][[]] infrastructure.telemetry.sch.api.TetheringStateStorageImpl -:::::- Get encryption key for the tethering state data...
2025-03-17 09:10:23,480 INFO [openapi-http-pool7][[]] cisco.dna.tethering.client.TetheringClient -:::::- DNA Cloud Tethering Client Initialized, member ID = 67d7c58488c5fd08d085fffd, enrollment = existing
2025-03-17 09:10:23,480 INFO [openapi-http-pool7][[]] infrastructure.telemetry.sch.api.DNATelemetryClient -:::::- Tethering Client Initialized successfully
2025-03-17 09:10:23,483 INFO [openapi-http-pool7][[]] infrastructure.telemetry.sch.api.DNATetheringClient -:::::- Initialization Details :- Member Id: 67d7c58488c5fd08d085fffd
2025-03-17 09:10:24,492 INFO [openapi-http-pool7][[]] infrastructure.telemetry.sch.api.TetheringStateStorageImpl -:::::- Get encryption key for the tethering state data...
2025-03-17 09:10:24,497 INFO [openapi-http-pool7][[]] infrastructure.telemetry.sch.api.TetheringStateStorageImpl -:::::- Write tethering state to the db...
2025-03-17 09:10:24,529 INFO [openapi-http-pool7][[]] cpm.infrastructure.telemetry.api.TelemetryConfigHandler -:::::- Updated Tethering State in the TelemetryConfig table

pxcloud.log（PANノード）:pxGrid Cloudサービスを有効にすると、Hermes(pxGrid Cloud agent)がアクティブ化され、ISEが領域情報を取得してテレメトリコンポーネント経由でトークンを受信します。

2025-03-17 08:47:00,300 INFO [main][[]] cisco.cpm.pxcloud.api.PxCloudInitializer -:::::- Initializing pxGrid Cloud
2025-03-17 08:47:00,312 INFO [main][[]] cisco.cpm.pxcloud.pxgrid.PxCloudProviderRegistration -:::::- Registering the pxCloud service into pxGrid
2025-03-17 08:47:00,314 INFO [main][[]] cisco.cpm.pxcloud.hermes.ProxyConfigNotificationHandler -:::::- Register pxCloud ProxyConfig notification handler
2025-03-17 08:47:00,376 INFO [main][[]] cisco.cpm.pxcloud.hermes.HermesConfigManager -:::::- Registering listener for Hermes cert file changes
2025-03-17 08:47:00,376 INFO [main][[]] cisco.cpm.pxcloud.hermes.HermesConfigManager -:::::- Registering listener for pxCloud log level changes
2025-03-17 08:50:18,842 INFO [main][[]] cisco.cpm.pxcloud.hermes.HermesConfigManager -:::::- Updating Hermes certificate files
2025-03-17 08:52:46,834 INFO [pool-24-thread-1][[]] cpm.pxcloud.service.ui.IntegrationCatalogScheduler -:::::- validateIfApplicationStatusChanged :: Scheduler Invoked
2025-03-17 08:55:46,877 INFO [pool-24-thread-1][[]] cpm.pxcloud.service.ui.IntegrationCatalogScheduler -:::::- validateIfApplicationStatusChanged :: Scheduler Invoked
2025-03-17 08:58:46,781 INFO [pool-24-thread-1][[]] cpm.pxcloud.service.ui.IntegrationCatalogScheduler -:::::- validateIfApplicationStatusChanged :: Scheduler Invoked
2025-03-17 09:01:46,781 INFO [pool-24-thread-1][[]] cpm.pxcloud.service.ui.IntegrationCatalogScheduler -:::::- validateIfApplicationStatusChanged :: Scheduler Invoked
2025-03-17 09:03:37,136 INFO [pool-225-thread-1][[]] cpm.pxcloud.service.ui.IntegrationCatalogScheduler -:::::- validateIfApplicationStatusChanged :: Scheduler Invoked
2025-03-17 09:04:46,781 INFO [pool-24-thread-1][[]] cpm.pxcloud.service.ui.IntegrationCatalogScheduler -:::::- validateIfApplicationStatusChanged :: Scheduler Invoked
2025-03-17 09:06:37,136 INFO [pool-225-thread-1][[]] cpm.pxcloud.service.ui.IntegrationCatalogScheduler -:::::- validateIfApplicationStatusChanged :: Scheduler Invoked
2025-03-17 09:07:46,781 INFO [pool-24-thread-1][[]] cpm.pxcloud.service.ui.IntegrationCatalogScheduler -:::::- validateIfApplicationStatusChanged :: Scheduler Invoked
2025-03-17 09:09:11,901 DEBUG [hermes-change-monitor-0][[]] cisco.cpm.pxcloud.hermes.PxCloudNodeChangeHandler -:::::- Periodic check of PPAN hostFQDN: ise341-PAN.poongarg.local
2025-03-17 09:09:37,136 INFO [pool-225-thread-1][[]] cpm.pxcloud.service.ui.IntegrationCatalogScheduler -:::::- validateIfApplicationStatusChanged :: Scheduler Invoked
2025-03-17 09:09:37,139 DEBUG [pool-225-thread-1][[]] cpm.pxcloud.service.ui.IntegrationCatalogScheduler -:::::- ISE enrollment status is 
2025-03-17 09:10:22,475 TRACE [openapi-http-pool4][[]] cpm.iseopenapi.pxcloud.impl.PxGridApiDelegateImpl -:::::- Request to get device information.
2025-03-17 09:10:22,485 INFO [openapi-http-pool4][[]] cpm.pxcloud.service.ui.IseEnrollment -:::::- Fetching Device Info...
2025-03-17 09:10:22,739 TRACE [openapi-http-pool7][[]] cpm.iseopenapi.pxcloud.impl.PxGridApiDelegateImpl -:::::- Request to get regions is received
2025-03-17 09:10:22,750 INFO [openapi-http-pool7][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- getRegionList :: get regions list api invoked.
2025-03-17 09:10:22,754 DEBUG [openapi-http-pool7][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- getRegionList :: fetch device token.
2025-03-17 09:10:24,529 DEBUG [openapi-http-pool7][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- getRegionList :: fetched device token.
2025-03-17 09:10:24,537 INFO [openapi-http-pool7][[]] cisco.cpm.pxcloud.utils.PxCloudHttpClient -:::::- Proxy configured. Address=x.x.x.x Port=80
2025-03-17 09:10:26,938 DEBUG [openapi-http-pool7][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- getRegionList :: Retrieved region list response from cloud : HttpResponseProxy{HTTP/1.1 200 OK [Date: Mon, 17 Mar 2025 09:10:28 GMT, Content-Type: application/json; charset=utf-8, Content-Length: 452, Connection: keep-alive, X-Tracking-Id: da111708f760551999f8cdfb2bfcc6bb, vary: Origin, Access-Control-Allow-Credentials: true, Access-Control-Expose-Headers: X-Auth-Token, Via: api-gateway,upstream, Content-Security-Policy: default-src 'self'; base-uri 'self'; frame-ancestors 'self'; block-all-mixed-content] ResponseEntityProxy{[Content-Type: application/json; charset=utf-8,Content-Length: 452,Chunked: false]}}
2025-03-17 09:10:26,946 DEBUG [openapi-http-pool7][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- getFilteredRegionInfo :: region list before filtering based on application list : [class Region {
id: ap-southeast-1
name: ap-southeast-1
fqdn: neoffers-sg.cisco.com
}, class Region {
id: eu-central-1
name: eu-central-1
fqdn: neoffers-de.cisco.com
}, class Region {
id: us-west-2
name: us-west-2
fqdn: neoffers.cisco.com
}]
2025-03-17 09:10:26,968 DEBUG [openapi-http-pool7][[]] cpm.pxcloud.api.impl.PxcloudApplicationCatalogImpl -:::::- Inside getApplicationCatalog
2025-03-17 09:10:27,051 INFO [openapi-http-pool7][[]] cpm.pxcloud.api.impl.PxcloudApplicationCatalogImpl -:::::- URL to get apps from cloud: https://dnaservices.cisco.com/api/uno/v1/assembler/data/applications
2025-03-17 09:10:27,055 DEBUG [openapi-http-pool7][[]] cisco.cpm.pxcloud.utils.PxCloudUtils -:::::- Anonymous token is used
2025-03-17 09:10:27,533 DEBUG [openapi-http-pool7][[]] cpm.pxcloud.api.impl.PxcloudApplicationCatalogImpl -:::::- Token is present
2025-03-17 09:10:27,533 DEBUG [openapi-http-pool7][[]] cpm.pxcloud.api.impl.PxcloudApplicationCatalogImpl -:::::- Request to getCatalogsUsingAnonymousToken is received
2025-03-17 09:10:27,533 DEBUG [openapi-http-pool7][[]] cpm.pxcloud.api.impl.PxcloudApplicationCatalogImpl -:::::- Inside getCatalog method
2025-03-17 09:10:27,533 DEBUG [openapi-http-pool7][[]] cisco.cpm.pxcloud.utils.PxCloudHttpClient -:::::- Inside httpGet method
!
2025-03-17 09:10:37,338 INFO [openapi-http-pool7][[]] cpm.pxcloud.api.impl.PxcloudApplicationCatalogImpl -:::::- Application Catalog status code 200 

アクティベーションリンクが受信され、自動登録と登録が行われます。

2025-03-17 09:16:42,536 TRACE [openapi-http-pool2][[]] cpm.iseopenapi.pxcloud.impl.PxGridApiDelegateImpl -:::::- Request to get verification url is received
2025-03-17 09:16:42,537 DEBUG [openapi-http-pool2][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- getVerificationUri :: Checking Preconditions.
2025-03-17 09:16:42,569 DEBUG [openapi-http-pool2][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- getVerificationUri :: Preconditions check completed.
2025-03-17 09:16:42,569 DEBUG [openapi-http-pool2][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- getVerificationUri :: Trying to fetch activation link from platform.
!
2025-03-17 09:16:44,729 DEBUG [openapi-http-pool2][[]] cisco.cpm.pxcloud.api.PxCloudPropertiesNotificationHandler -:::::- onCreate DEVICE_CODE b6b4c9d0-4d07-4eb6-8d5e-b8a446f4a3eb
2025-03-17 09:16:44,735 DEBUG [openapi-http-pool2][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- getVerificationUri :: Activation link retrieval completed.
2025-03-17 09:16:45,310 TRACE [openapi-http-pool3][[]] cpm.iseopenapi.pxcloud.impl.PxGridApiDelegateImpl -:::::- Request to verify CCO login and auto register if single tenant.
2025-03-17 09:16:45,345 INFO [openapi-http-pool3][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- verifyCCOLoginAndAutoRegister:: Verify CCO login and try to auto-register if there is single tenant.
!
2025-03-17 09:16:45,538 INFO [openapi-http-pool3][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- verifyCCOLoginAndAutoRegisterWithoutTenant :: Verify CCO login to check if device is activated.
2025-03-17 09:16:45,589 DEBUG [openapi-http-pool3][[]] cisco.cpm.pxcloud.utils.PxCloudHttpClient -:::::- Inside httpPost method
2025-03-17 09:16:46,805 INFO [pool-24-thread-1][[]] cpm.pxcloud.service.ui.IntegrationCatalogScheduler -:::::- validateIfApplicationStatusChanged :: Scheduler Invoked
2025-03-17 09:16:46,816 DEBUG [pool-24-thread-1][[]] cpm.pxcloud.service.ui.IntegrationCatalogScheduler -:::::- ISE enrollment status is 
2025-03-17 09:16:47,631 DEBUG [openapi-http-pool3][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- verifyCCOLoginAndAutoRegisterWithoutTenant :: auth token info for autoregister 
!
2025-03-17 09:19:14,196 INFO [openapi-http-pool9][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- verifyCCOLoginAndAutoRegisterWithoutTenant :: device is activated.
2025-03-17 09:19:14,196 INFO [openapi-http-pool9][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- executeAutoRegister :: device is activated, going to execute auto register api.
2025-03-17 09:19:14,199 DEBUG [openapi-http-pool9][[]] cisco.cpm.pxcloud.utils.PxCloudHttpClient -:::::- Inside httpPost method
2025-03-17 09:19:16,956 DEBUG [openapi-http-pool9][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- executeAutoRegister :: AutoRegister api executed successfully and response is HttpResponseProxy{HTTP/1.1 201 Created [Date: Mon, 17 Mar 2025 09:19:18 GMT, Content-Type: application/json; charset=utf-8, Content-Length: 704, Connection: keep-alive, vary: Origin, Access-Control-Allow-Credentials: true, Access-Control-Expose-Headers: X-Auth-Token, Via: api-gateway,upstream, Content-Security-Policy: default-src 'self'; base-uri 'self'; frame-ancestors 'self'; block-all-mixed-content] ResponseEntityProxy{[Content-Type: application/json; charset=utf-8,Content-Length: 704,Chunked: false]}}
2025-03-17 09:19:16,964 DEBUG [openapi-http-pool9][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- executeAutoRegister :: AutoRegister api executed successfully and response is {"data":{"token":"eyJhbGciOiJFUzI1NiIsInR5cCI6IkpXVCJ9.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.jSkuMLr17Vwoi3XTQC6A0Mnu8dODXAf5JQQddmtgekSMxUcgs3GrqpYzGpjTNXdS2_0TRjcbxDe4sEppStt7jg"},"responseType":"TOKEN"}.
2025-03-17 09:19:16,964 INFO [openapi-http-pool9][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- executeAutoRegister :: AutoRegister api executed successfully.
2025-03-17 09:19:16,964 INFO [openapi-http-pool9][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- processSuccessVerification :: Received token to enroll the device.
2025-03-17 09:19:17,284 INFO [openapi-http-pool9][[]] cpm.pxcloud.service.ui.IseEnrollment -:::::- ISE enrollment response: 200 OK
2025-03-17 09:19:17,284 DEBUG [openapi-http-pool9][[]] cpm.pxcloud.service.ui.IseEnrollment -:::::- ISE enrollment, processing success response:
2025-03-17 09:19:17,306 DEBUG [openapi-http-pool9][[]] cisco.cpm.pxcloud.api.PxCloudPropertiesNotificationHandler -:::::- onCreate CLIENT_SECRET <redacted>
2025-03-17 09:19:17,325 DEBUG [openapi-http-pool9][[]] cisco.cpm.pxcloud.api.PxCloudPropertiesNotificationHandler -:::::- onCreate TOKEN_URL <redacted>
2025-03-17 09:19:17,342 DEBUG [openapi-http-pool9][[]] cisco.cpm.pxcloud.api.PxCloudPropertiesNotificationHandler -:::::- onCreate FQDN neoffers.cisco.com
2025-03-17 09:19:17,369 DEBUG [openapi-http-pool9][[]] cisco.cpm.pxcloud.api.PxCloudPropertiesNotificationHandler -:::::- onCreate ENROLLMENT_STATUS true
2025-03-17 09:19:17,394 DEBUG [openapi-http-pool9][[]] cisco.cpm.pxcloud.api.PxCloudPropertiesNotificationHandler -:::::- onCreate CLIENT_ID 1466211b-8cc1-4838-a76b-d11057eb0a4a
2025-03-17 09:19:17,418 DEBUG [openapi-http-pool9][[]] cisco.cpm.pxcloud.api.PxCloudPropertiesNotificationHandler -:::::- onCreate TENANT_NAME cisco
2025-03-17 09:19:17,438 DEBUG [openapi-http-pool9][[]] cisco.cpm.pxcloud.api.PxCloudPropertiesNotificationHandler -:::::- onCreate MEMBER_ID 67d7e91688c5fd08d0860039
2025-03-17 09:19:17,463 DEBUG [openapi-http-pool9][[]] cisco.cpm.pxcloud.api.PxCloudPropertiesNotificationHandler -:::::- onCreate USERNAME <redacted>
2025-03-17 09:19:17,485 DEBUG [openapi-http-pool9][[]] cisco.cpm.pxcloud.api.PxCloudPropertiesNotificationHandler -:::::- onCreate TENANT_ID e87c196c-c586-41af-9c26-2ea1e181164e
2025-03-17 09:19:17,489 INFO [openapi-http-pool9][[]] cpm.pxcloud.service.ui.IseEnrollment -:::::- ISE Device enrollment properties data is saved to DB
2025-03-17 09:19:17,495 INFO [openapi-http-pool9][[]] cpm.pxcloud.service.ui.IseEnrollment -:::::- ISE enrollment with cloud is successful and status is set to true
2025-03-17 09:19:17,500 INFO [openapi-http-pool9][[]] cpm.pxcloud.service.ui.IseEnrollment -:::::- Initiated the cloud configuration process
2025-03-17 09:19:17,500 INFO [openapi-http-pool9][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- processSuccessVerification :: device is enrolled successfully.
2025-03-17 09:19:17,554 INFO [openapi-http-pool9][[]] cpm.iseopenapi.pxcloud.util.PxGridCloudUtil -:::::- updatePxGridCloud :: pxg added. preparing to retrieve pxg wallet cert
2025-03-17 09:19:17,554 DEBUG [openapi-http-pool9][[]] cpm.iseopenapi.pxcloud.util.PxGridCloudUtil -:::::- Preparing to save HostConfig [hostName=ise341-psn1, dispayName=ise341-psn1, hostId=07374a40-0301-11f0-873b-765072d6d75e, gateWay=10.106.39.1, masterStatus=NONE, nodeRoleStatus=SECONDARY, nodeTypes=PDP+PXG+PXCLOUD, nodeServiceType=SESSION,PROFILER, userName=null, smtpPort=null, smtpHost=null, hostAlias=ise341-psn1.poongarg.local, udiPid=ISE-VM-K9, udiVid=V01, udiSN=IHJDFEDEIKM, udiPT=VM, installType=null, vmInfo=28481208|12|LARGE||2025-03-14 17:45:14 UTC|0 MB|0 MHz|4294967295 MB|5000 MHz, isApiNode=false]
2025-03-17 09:19:18,501 INFO [pxcloud-configuration-1243][[]] cpm.pxcloud.service.ui.CloudConfigurationProcessor -:::::- Enrollment complete, starting cloud configuration process now
2025-03-17 09:19:18,505 DEBUG [pxcloud-configuration-1243][[]] cpm.pxcloud.service.ui.CloudConfigurationProcessor -:::::- Starting to process the cloud configuration for ISE

pxGridノードがACTIVEロールを引き受けますが、ここでは、pxGridConnectionStatusがNOT_CONNECTEDであることが確認されています。これは、このpxGridノードに正しいpxGrid証明書（完全なルートCAチェーンを含む）を追加した後で修正されました

2025-03-17 09:20:12,301 TRACE [openapi-http-pool8][[]] cpm.iseopenapi.pxcloud.impl.PxGridApiDelegateImpl -:::::- Request to get device information.
2025-03-17 09:20:12,301 INFO [openapi-http-pool8][[]] cpm.pxcloud.service.ui.IseEnrollment -:::::- Fetching Device Info...
2025-03-17 09:20:12,310 INFO [Thread-150][[]] cpm.pxcloud.service.ui.IseEnrollment -:::::- Get pxCloud status information from ise341-psn1.poongarg.local
2025-03-17 09:20:12,311 INFO [Thread-150][[]] cpm.pxcloud.service.ui.IseEnrollment -:::::- pxCloud statusLookup URL: https://ise341-psn1.poongarg.local:8910/pxgrid/pxcloud/statusLookup
2025-03-17 09:20:12,427 INFO [Thread-150][[]] cpm.pxcloud.service.ui.IseEnrollment -:::::- Received response from ise341-psn1.poongarg.local: StatusResponse [role=ACTIVE, state=HERMES_ERROR, pxGridConnectionStatus=NOT_CONNECTED, cloudConnectionStatus=NOT_CONNECTED, reason=]

ここで、ACTIVE pxGridノードのHermes.logでpubsubイベントを確認します。

2025-03-17T09:37:43.906Z | INFO | hermes/config.go:332 | configMgr created successfully: configMgr[path=/opt/hermes/config.yaml]
2025-03-17T09:37:43.907Z | INFO | hermes/config.go:117 | Parsing configuration file: /opt/hermes/config.yaml
2025-03-17T09:37:43.907Z | INFO | hermes/config.go:338 | Config file /opt/hermes/config.yaml parsed successfully: &{PxGrid:{ClientName:~ise-hermes-ise341-psn1.poongarg.local Host:ise341-psn1.poongarg.local Port:8910 CertFile:/opt/xgrid/conf/ise-latest/host_H1742204190264.pem KeyFile:/opt/xgrid/conf/ise-latest/key_H1742204258381.pem CertPassword:aR8LRo9ZUmHnh5au3Gv7NX6VXn58SxehhxFtz2y2FL59PNfWWK9Lt/r+txTeQryR RootFile:/opt/xgrid/conf/ise-latest/ca_H1742204257774.pem} Log:{Level:info Files:[/opt/hermes/logs/hermes.log] Encoding:console} ERS:{Hostname:ise341-PAN.poongarg.local Port:-1 Enabled:false Username: CertFile:/opt/hermes/certs/adminCertFile.pem ConsumerKey: ConsumerSecret:} Proxy:{Host:bgl11-lab-wsa-1.cisco.com Port:80 Username: Password: BypassHosts:} Cloud:{CertFile:/opt/xgrid/conf/ise-latest/cacs_H1742198418638.pem} OpenAPI:{Hostname: Port:-1 Enabled:false Username: Password: CertFile:}}
2025-03-17T09:37:43.907Z | INFO | hermes/main.go:126 | Configuration loaded successfully
2025-03-17T09:37:43.908Z | INFO | trust/trust.go:28 | Custom trust bundle has been set/updated
2025-03-17T09:37:43.908Z | INFO | hermes/pxgrid.go:187 | Creating pxGrid WebSocket connection
2025-03-17T09:37:43.908Z | INFO | hermes/httpserver.go:57 | Starting REST server on :8913
2025-03-17T09:37:43.921Z | INFO | hermes/httpserver.go:78 | REST server is up and running
2025-03-17T09:37:43.983Z | INFO | pxgrid/websocket.go:93 | Got WS URL: wss://ise341-psn1.poongarg.local:8910/pxgrid/ise/pubsub
2025-03-17T09:37:44.066Z | INFO | pxgrid/websocket.go:107 | Connection to wss://ise341-psn1.poongarg.local:8910/pxgrid/ise/pubsub was created successfully
2025-03-17T09:37:44.066Z | INFO | hermes/connectionstatus.go:44 | Setting pxGrid connection status to CONNECTED

Catalyst Cloud PortalのルートCAチェーンが検証されます。

2025-03-17T09:37:44.731Z | INFO | hermes/pxgrid.go:267 | Cloud credentials are obtained from ISE
2025-03-17T09:37:45.034Z | INFO | hermes/pxgrid.go:376 | DeviceID: 67d7e91688c5fd08d0860039, TenantID: e87c196c-c586-41af-9c26-2ea1e181164e
2025-03-17T09:37:45.743Z | INFO | rest/ocsp.go:207 | Making OCSP request at http://commercial.ocsp.identrust.com with timeout of 1500000000
2025-03-17T09:37:45.743Z | INFO | rest/ocsp.go:207 | Making OCSP request at http://commercial.ocsp.identrust.com with timeout of 1500000000
2025-03-17T09:37:46.273Z | INFO | rest/ocsp.go:254 | OCSP Validation passed for CN=HydrantID Server CA O1,OU=HydrantID Trusted Certificate Service,O=IdenTrust,C=US
2025-03-17T09:37:46.279Z | INFO | rest/ocsp.go:254 | OCSP Validation passed for CN=dnaservices.cisco.com,O=Cisco Systems Inc.,L=San Jose,ST=California,C=US
2025-03-17T09:37:47.054Z | INFO | rest/ocsp.go:207 | Making OCSP request at http://commercial.ocsp.identrust.com with timeout of 9000000000
2025-03-17T09:37:47.432Z | INFO | hermes/config.go:262 | File /opt/hermes/config.yaml modified. Event: WRITE
2025-03-17T09:37:47.533Z | INFO | hermes/config.go:117 | Parsing configuration file: /opt/hermes/config.yaml
2025-03-17T09:37:47.533Z | INFO | hermes/config.go:305 | New configuration loaded
2025-03-17T09:37:47.533Z | INFO | hermes/config.go:314 | Restarting Hermes due to configuration change

特定のトピックのサブスクリプション要求が作成後に作成され、FMCアプリケーションが統合カタログの下で構成されました：

2025-03-17T12:54:09.975Z | INFO | pxgrid/subscriber.go:40 | Request to create new subscriber: service=com.cisco.ise.session , topicKey=groupTopic and topicFQN=/topic/com.cisco.ise.session.group
2025-03-17T12:54:09.975Z | INFO | pxgrid/subscriber.go:55 | Subscriber[service: com.cisco.ise.session, topic: groupTopic, id: cvc1msd3ct8r98jaf6dg] created successfully
2025-03-17T12:54:10.263Z | INFO | device-manager@v1.1.12/control.go:240 | Completed activate sync ID [session:userGroups--67d7e91688c5fd08d0860039]
2025-03-17T12:54:10.263Z | INFO | device-manager@v1.1.12/control.go:227 | Processing activate sync ID [profiler:profiles--67d7e91688c5fd08d0860039]
2025-03-17T12:54:10.263Z | INFO | hermes/pxgrid.go:117 | Request to add new pxGrid subscriber [com.cisco.ise.config.profiler:topic] for DxHub stream profiler:profiles
2025-03-17T12:54:10.263Z | INFO | pxgrid/subscriber.go:28 | Request to create new subscriber: com.cisco.ise.config.profiler:topic
2025-03-17T12:54:10.270Z | INFO | pxgrid/subscriber.go:40 | Request to create new subscriber: service=com.cisco.ise.config.profiler , topicKey=topic and topicFQN=/topic/com.cisco.ise.config.profiler
2025-03-17T12:54:10.270Z | INFO | pxgrid/subscriber.go:55 | Subscriber[service: com.cisco.ise.config.profiler, topic: topic, id: cvc1msl3ct8r98jaf6e0] created successfully
2025-03-17T12:54:10.559Z | INFO | device-manager@v1.1.12/control.go:240 | Completed activate sync ID [profiler:profiles--67d7e91688c5fd08d0860039]
2025-03-17T12:54:10.559Z | INFO | device-manager@v1.1.12/control.go:227 | Processing activate sync ID [trustsec:securityGroups--67d7e91688c5fd08d0860039]
2025-03-17T12:54:10.559Z | INFO | hermes/pxgrid.go:117 | Request to add new pxGrid subscriber [com.cisco.ise.config.trustsec:securityGroupTopic] for DxHub stream trustsec:securityGroups
2025-03-17T12:54:10.559Z | INFO | pxgrid/subscriber.go:28 | Request to create new subscriber: com.cisco.ise.config.trustsec:securityGroupTopic 
!
2025-03-17T16:17:30.050Z | INFO | api-proxy@v1.0.10/broker.go:114 | API-Proxy: Broker Agent start consuming 
2025-03-17T16:17:30.050Z | INFO | hermes/apiproxy.go:43 | API Proxy connection established
2025-03-17T16:17:30.050Z | INFO | hermes/connectionstatus.go:62 | Setting cloud connection status to CONNECTED
2025-03-17T16:17:30.057Z | INFO | hermes/dxhub.go:94 | Policies are obtained from ISE : &{Pxgrid:{ContextOutTopics:[com.cisco.ise.sxp:bindingTopic com.cisco.ise.config.profiler:topic com.cisco.ise.endpoint:topic com.cisco.ise.radius:failureTopic com.cisco.ise.trustsec:policyDownloadTopic com.cisco.ise.echo:echoTopic com.cisco.ise.mdm:endpointTopic com.cisco.ise.config.trustsec:securityGroupTopic com.cisco.ise.config.trustsec:securityGroupAclTopic com.cisco.ise.config.anc:statusTopic com.cisco.ise.config.upn:statusTopic com.cisco.ise.session:sessionTopic com.cisco.ise.session:groupTopic]}}

制限事項

1. ユーザーは2つ以上のノードでpxGrid Cloudペルソナを有効にできません。

2. Catalyst Cloud PortalからcdFMCへの登録解除はサポートされていますが、その逆はサポートされていません。

参考資料

pxGrid Cloudアイデンティティソースによるユーザ制御

Cisco pxGridクラウド

Cisco pxGridクラウドソリューションガイド