Cisco pxGrid と ISE
 (注) |
WebSocket に基づき、すべての pxGrid 接続で pxGrid 2.0 を使用するようになりました。pxGrid 1.0(XMPP ベース)に依存する統合は機能しなくなります。統合が中断されることのないよう、他のシステムを pxGrid 2.0 準拠バージョンにアップグレードすることをお勧めします。 |
Cisco Platform Exchange Grid(pxGrid)は、オープンで拡張性のある Security Product Integration Framework であり、双方向の Any-to-Any パートナープラットフォーム統合を可能にします。
pxGrid 2.0 は REST および WebSocket インターフェイスを使用します。クライアントは、制御メッセージ、クエリ、アプリケーションデータに REST を使用し、イベントをプッシュするために Websocket を使用します。pxGrid 2.0 の詳細については、『Welcome to Learning Cisco Platform Exchange Grid (pxGrid)』を参照してください。
Cisco pxGrid Direct の詳細については、Cisco pxGrid Directを参照してください。
Cisco pxGrid Cloud の詳細については、『Cisco pxGrid Cloud Solution Guide』[英語] を参照してください。
pxGrid は次のことができます。
-
Cisco ISE セッションディレクトリからの状況依存情報を、Cisco ISE エコシステムのパートナーシステムなどの他のネットワークシステムや他のシスコプラットフォームと共有する。
-
サードパーティシステムが適応型のネットワーク制御アクションを呼び出し、ネットワークまたはセキュリティイベントに応じてユーザーおよびデバイスを検疫できるようにする。タグ定義、値、説明などの TrustSec 情報を、TrustSec トピックを介して Cisco ISE から別のネットワークに渡す。
-
完全修飾名(FQN)を持つエンドポイントプロファイルを、エンドポイント プロファイル メタ トピックを通して Cisco ISE から他のネットワークに渡す。
-
タグおよびエンドポイントプロファイルを一括ダウンロードする。
-
pxGrid 経由で SXP バインディング(IP-SGT マッピング)を発行および登録する。SXP バインディングの詳細については、『Segmentation chapter of the Cisco ISE Administrators Guide』の「Security Group Tag Exchange Protocol」のセクションを参照してください。
-
Cisco pxGrid Context-in を使用すると、エコシステムパートナーはトピック情報を Cisco ISE に公開できます。これにより、Cisco ISE は、エコシステムで特定された資産に基づいてアクションを実行できます。Cisco pxGrid Context-in の詳細については、「pxGrid Context-In」を参照してください。
pxGrid の概要
pxGrid には次のコンポーネントがあります。
-
コントローラ:検出、認証、および許可を処理します。
-
プロバイダ:クエリ結果を返すか、または発行します。
-
Pubsub:プロバイダとコンシューマに pxGrid サービスを提供します。
-
サブスクライバ:サブスクライバは、承認されると、登録しているトピックからコンテキスト情報とアラートを取得します。
pxGrid には次の機能があります。
-
検出:サービス名に基づいてサービスプロパティを検出します。フローは、プロバイダが pxGrid コントローラで「サービスの登録」を要求したときに開始されます。登録後、コンシューマは「ルックアップサービス」を使用してプロバイダの場所を検出します。
-
認証:pxGrid コントローラは、サービスにアクセスするために pxGrid クライアントを認証します。ログイン情報は、ユーザー名とパスワード、または証明書(推奨)です。
-
許可:pxGrid は操作要求を取得すると、pxGrid コントローラに問い合わせて要求を許可し、クライアントを事前定義されたグループに割り当てます。
pxGrid 2.0 の高可用性
pxGrid 2.0 ノードはアクティブ/アクティブ構成で動作します。高可用性を実現するには、展開環境に少なくとも 2 つの pxGrid ノードが必要です。大規模な展開では、拡張性と冗長性を高めるために最大 4 つのノードを使用できます。あるノードがダウンした場合に、そのノードのクライアントが動作中のノードに接続できるように、すべてのノードの IP アドレスを設定することをお勧めします。PAN がダウンすると、pxGrid サーバーは、アクティブ化処理を停止します。pxGrid サーバーをアクティブにするには、PAN を手動で昇格させます。pxGrid の展開の詳細については、『ISE Performance & Scale』を参照してください。
すべての pxGrid サービスは、7.5 分以内に pxGrid コントローラに定期的に再登録します。サービスが再登録しない場合、PAN ノードは非アクティブであると見なし、そのサービスを削除します。PAN ノードが 7.5 分を超えてダウンした場合、再度起動すると、タイムスタンプ値が 7.5 分よりも古いすべてのサービスが削除されます。これらのサービスはすべて、pxGrid コントローラに再度登録する必要があります。
pxGrid 2.0 クライアントでは、PubSub やクエリに WebSocket および REST ベースの API を使用しています。これらの API は、ポート 8910 で ISE アプリケーションサーバーによって提供されます。show logging application pxgrid を実行して表示される pxGrid プロセスは、pxGrid 2.0 には適用されません。
(注) |
GUI および CLI では、pxGrid 1.0 プロセスへのすべての参照が削除されています。 |
損失検出
シーケンス ID が pxGrid トピックに追加されます。送信に中断がある場合、サブスクライバは ID のシーケンスのギャップをチェックすることで中断を認識できます。サブスクライバはトピックシーケンス ID の変更に気付き、最後のシーケンス番号の日付に基づいてデータを要求します。パブリッシャがダウンして復帰した場合、トピックシーケンスは 0 から始まります。サブスクライバはシーケンス 0 を確認したら、キャッシュをクリアして一括ダウンロードを開始する必要があります。サブスクライバがダウンした場合、パブリッシャはシーケンス ID を割り当て続けます。サブスクライバが再接続し、シーケンス ID にギャップがある場合、サブスクライバは最後のシーケンス番号の時刻からデータを要求します。損失検出は、セッションディレクトリおよび TrustSec 構成で機能します。セッションディレクトリを使用している場合、損失を検出したクライアントは、キャッシュをクリアして一括ダウンロードを開始する必要があります。
シーケンス ID を使用しない既存のアプリケーションがある場合は、シーケンス ID を使用する必要はありません。ただし、シーケンス ID を使用すると、損失検出と損失からの回復という利点を得られます。
セッションディレクトリのセッションは、/topic/com.cisco.ise.session への通知間隔ごとに MnT によって非同期的にバッチ処理され、公開されます。
TrustSec セキュリティグループへの変更は、/topic/com.cisco.ise.config.trustsec.security.group に公開されます。
損失検出は pxGrid 2.0 でのみサポートされ、デフォルトで有効になっています。
損失検出を使用したコード例、https://github.com/cisco-pxgrid/pxgrid-rest-ws/tree/master/java/src/main/java/com/cisco/pxgrid/samples/ise を参照してください。
モニターリングとデバッグ
pxGrid では、次のログを使用できます。
-
pxgrid-server.log:pxGrid 2.0 のアクティビティとエラー
[ログ(Logs)] ページには、すべての pxGrid 2.0 管理イベントが表示されます。イベント情報には、クライアント名と機能名、およびイベント タイプとタイムスタンプが含まれています。[管理(Administration)] > [pxGridサービス(pxGrid Services)] > [診断(Diagnostics)] > [ログ(Log)] の順に移動して、イベントリストを表示します。ログを消去して、リストを再同期またはリフレッシュすることもできます。
pxGrid フェールオーバーとリカバリ
プライマリ pxGrid ノードとセカンダリ pxGrid ノードがそれぞれ少なくとも 1 つ含まれたマルチ pxGrid ノードでの展開で、さまざまなフェールオーバーシナリオにおける pxGrid のリカバリにかかる時間は、ダウンして復帰するノードやその他の特定の変数によって異なります。そのうちの一部の詳細について、以下に示します。
以下に、4 つの異なる pxGrid フェールオーバーおよびリカバリのシナリオと、各ケースで内部的にトリガーされるワークフローを示します。
-
プライマリ pxGrid ノードがダウンする
セカンダリ pxGrid ノード MnT は、引き続きセッションデータのパブリッシャとなります。Firewall Management Center(FMC)がプライマリノードに接続されている場合、再試行に数回失敗すると、セカンダリノードに接続して登録されます。中断が発生したため、FMC で一括ダウンロードを実行します。
FMC がすでにセカンダリ pxGrid ノードに登録されている場合、リカバリはさらにスムーズになります。中断がないため、FMC で一括ダウンロードを実行する必要はありません。したがって、リカバリがさらにスムーズになります。このシナリオでのリカバリの所要時間は 2 分程度です。
-
プライマリ pxGrid ノードが復旧する
FMC は引き続きセカンダリ pxGrid ノードに接続され、セカンダリノードでセッションデータの公開が継続されるため、中断は少なくなります。この場合、一括ダウンロードは不要であるため、前のシナリオの場合と同様にリカバリがスムーズになります。
すべてのファンアウトが再確立され、データベースの同期が完了した後にのみ、FMC で pxGrid との接続が再確立され、プライマリ pxGrid ノードに接続できます。
-
セカンダリ pxGrid ノードがダウンする
FMC がプライマリノード pxGrid に接続されている場合は、引き続き同じ場所に接続されます。ただし、これまではセカンダリ MnT ノードがセッショントピックデータのパブリッシャであったため、中断が発生します。プライマリ MnT ノードでセカンダリ MnT ノードがダウンしていることを認識するまでには時間がかかりますが、認識されると、プライマリノードからセッショントピックデータの公開が開始されます。
FMC がセカンダリノードの pxGrid に接続されている場合は接続を再試行し、失敗した場合はプライマリ PxGrid ノードに接続して登録されます。これは、前の手順と並行して行われます。セカンダリ pxGrid ノードとの再接続が成功すると、FMC は一括ダウンロードを実行します。
-
セカンダリ pxGrid ノードが復旧する
これは、リカバリに最も時間がかかるシナリオです。セカンダリノードがダウンしている間に pxGrid 関連のデータベースに変更があった場合、データベースの同期操作が完了するまで pxGrid が機能しない可能性があります。データベースの同期にかかる時間は、コンフィギュレーション データベースのサイズによって異なります。
セカンダリ pxGrid ノードは、セッションデータのパブリッシャに戻ります。
更新された展開の通知がすべてのモジュールに送信され、pxGrid モジュールがこの通知を受信すると、データの内部配布に使用されるすべてのファンアウトが再確立されます。これが完了するまで、pxGrid は完全には機能しません。
FMC を再接続する必要がある場合、再接続に成功すると FMC で一括ダウンロードが実行されます。
pxGrid の概要ページ
pxGrid の [概要(Summary)] ページには、現在の pxGrid 2.0 環境の統計情報が表示されます。
-
[現在の接続(Current Connections)]:コントローラへの接続のリストが表示されます。
-
[制御メッセージ(Control Messages)]:認証、認可、およびサービスディスカバリ。
-
[REST API]:WebSocket または XMPP を使用して接続したクライアントの数。
-
[PubSub スループット(Pubsub Throughput)]:クライアントにパブリッシュされたデータの量。
-
[クライアント(Clients)]:REST または WebSocket によって接続されたクライアント。
-
[エラー(Errors)]:クライアントがデータ転送の再開を要求する原因となった送信エラーの数。
pxGrid クライアント管理
クライアントは、Cisco ISEで pxGrid サービスを使用するためにアカウントを登録して承認を受ける必要があります。クライアントは、登録するために pxGrid SDK を介して pxGrid クライアントライブラリを使用します。Cisco ISE は、自動と手動両方の登録をサポートします。
-
[クライアント(Clients)]:[管理(Administration)] > [pxGridサービス(pxGrid Services)] > [クライアント管理(Client Management)] > [クライアント(Clients)] を選択して、このウィンドウを表示します。pxGrid 2.0 の外部クライアントアカウントが一覧表示されます。
-
[pxGridポリシー(pxGrid Policy)]:[管理(Administration)] > [pxGridサービス(pxGrid Services)] > [クライアント管理(Client Management)] > [pxGridポリシー(pxGrid Policy)] を選択して、このウィンドウを表示します。クライアントが登録できる使用可能なサービスのリストが表示されます。ポリシーを編集して、そのポリシーにアクセスできるグループを変更できます。まだポリシーがないサービスに新しいポリシーを作成することもできます。
-
[グループ(Groups)]:[管理(Administration)] > [pxGridサービス(pxGrid Services)] > [クライアント管理(Client Management)] > [グループ(Groups)] を選択して、このウィンドウを表示します。デフォルトグループは EPS または ANC です。ANC は事前定義されたグループです。他のグループを追加し、それらのグループを使用してサービスへのアクセスを制限できます。
pxGrid クライアントは、REST API を介してユーザー名を送信することで、pxGrid コントローラに自身を登録できます。pxGrid コントローラは、クライアント登録時に pxGrid クライアントのパスワードを生成します。管理者は接続要求を承認または拒否できます。
-
[証明書(Certificates)]:[管理(Administration)] > [pxGridサービス(pxGrid Services)] > [クライアント管理(Client Management)] > [証明書(Certificates)] を選択して、このウィンドウを表示します。Cisco ISE 内部認証局を使用する新しい証明書を生成できます。
pxGrid ポリシーの制御
pxGrid クライアントがアクセスできるサービスへのアクセスを制御する pxGrid 認証ポリシーを作成できます。これらのポリシーは、pxGrid クライアントで使用できるサービスを制御します。
さまざまなタイプのグループを作成して、pxGrid クライアントで使用可能なサービスをこれらのグループにマッピングできます。[クライアント管理(Client Management)] > [グループ(Groups)] ウィンドウの [グループの管理(Manage Groups)] オプションを使用して、新しいグループを追加します。 ウィンドウで、許可ルールの例を表示できます。
pxGrid クライアントの認証ポリシーを作成するには、次の手順を実行します。手順
|
ステップ 1 |
[管理(Administration)] > [pxGridサービス(pxGrid Services)] > [クライアント管理(Client Management)] > [ポリシー(Policy)] を選択し、[追加(Add)] をクリックします。 |
||
|
ステップ 2 |
[サービス(Service)] ドロップダウン リストから、次のいずれかのオプションを選択します。
|
||
|
ステップ 3 |
[操作(Operations)] ドロップダウン リストから、次のいずれかのオプションを選択します。
|
||
|
ステップ 4 |
[グループ(Groups)] ドロップダウン リストから、このサービスにマッピングするグループを選択します。 (EPS や ANC などの)事前に定義されたグループ、および手動で追加したグループがこのドロップダウンリストに表示されます。
|
||
|
ステップ 5 |
[送信(Submit)] をクリックします。 |
pxGrid サービスの有効化
始める前に
-
Cisco pxGrid クライアントからの要求を表示するには、少なくとも 1 つのノードで pxGrid ペルソナを有効にします。
手順
|
ステップ 1 |
Cisco ISE GUI で [メニュー(Menu)] アイコン( |
|
ステップ 2 |
クライアントの隣にあるチェックボックスをオンにして [承認(Approve)] をクリックします。 |
|
ステップ 3 |
[リフレッシュ(Refresh)] をクリックすると、最新のステータスが表示されます。 |
|
ステップ 4 |
有効にする機能を選択し、[有効(Enable)] をクリックします。 |
|
ステップ 5 |
[リフレッシュ(Refresh)] をクリックすると、最新のステータスが表示されます。 |
)をクリックして、pxGrid 診断
-
[WebSocket]:[管理(Administration)] > [pxGridサービス(pxGrid Services)] > [診断(Diagnostics)] > [WebSocket] ウィンドウには、pxGrid 2.0 クライアント(外部および内部)のリストが表示されます。また、使用可能な pxGrid 2.0 トピック、および各トピックを公開または登録するクライアントのリストも表示されます。
-
[ログ(Log)]:[管理(Administration)] > [pxGridサービス(pxGrid Services)] > [診断(Diagnostics)] > [ライブログ(Live Logs)] ウィンドウに管理イベントのリストが表示されます。
-
[テスト(Tests)]:[管理(Administration)] > [pxGridサービス(pxGrid Services)] > [診断(Diagnostics)] > [テスト(Tests)] > [ヘルスモニタリングテスト(Health Monitoring test)] を選択し、[テストの開始(Start Test)] をクリックして、クライアントがセッション ディレクトリ サービスにアクセスできることを確認します。テストが完了すると、テストアクティビティのログを表示できます。
pxGrid 設定
[管理(Administration)] > [pxGridサービス(pxGrid Services)] > [設定(Settings)] ウィンドウで、次のオプションのいずれかを選択します。
-
[新しい証明書ベースのアカウントを自動的に承認する(Automatically approve new certificate-based accounts)]:このオプションはデフォルトで無効になっています。これにより、pxGrid サーバーへの接続を制御できます。環境内のすべてのクライアントを信頼している場合にのみ、このオプションを有効にします。
-
[パスワードベースのアカウント作成の許可(Allow password based account creation)]:このチェックボックスをオンにすると、pxGrid クライアントのユーザー名/パスワードベースの認証が有効になります。このオプションを有効にした場合、pxGrid クライアントを自動的に承認することはできません。
Cisco pxGrid 証明書の生成
始める前に
-
Cisco ISE pxGrid サーバーと pxGrid クライアントに同じ証明書を使用しないでください。pxGrid クライアントにはクライアント証明書を使用する必要があります。クライアント証明書を生成するには、[Administration] > [System] > [Certificates] を選択します。
-
Cisco ISE の一部のバージョンには NetscapeCertType を使用する Cisco pxGrid の証明書があります。新しい証明書を生成することを推奨します。
-
次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。
-
pxGrid 証明書はプライマリ PAN から生成する必要があります。
-
Cisco pxGrid 証明書がサブジェクト代替名(SAN)の拡張を使用する場合、DNS 名のエントリとしてサブジェクト ID の FQDN が含まれるようにします。
-
デジタル署名を使用して証明書テンプレートを作成し、新しい Cisco pxGrid 証明書を生成します。
(注)
FIPS モードが有効になっている場合、pxGrid 証明書テンプレートの RSA 秘密キーのサイズは 2048 ビット以上である必要があります。それ以外の場合、pxGrid 証明書を生成しようとするとエラーが表示されます。証明書テンプレートの秘密キーサイズを変更するには、「pxGrid 証明書テンプレートのキーサイズの変更」を参照してください。
手順
|
ステップ 1 |
Cisco ISE GUI で [メニュー(Menu)] アイコン( |
||
|
ステップ 2 |
[処理の選択(I want to)] ドロップダウンリストから、次のオプションのいずれかを選択します。
|
||
|
ステップ 3 |
(オプション)この証明書の説明を入力します。 |
||
|
ステップ 4 |
[pxGrig_Certificate_Template] のリンクをクリックして証明書テンプレートをダウンロードし、必要に応じて編集します。 |
||
|
ステップ 5 |
[サブジェクト代替名(SAN)(Subject Alternative Name (SAN))] を指定します。複数の SAN を追加できます。次のオプションを使用できます。
|
||
|
ステップ 6 |
[証明書のダウンロード形式(Certificate Download Format)] ドロップダウンリストから、以下のいずれかのオプションを選択します。
|
||
|
ステップ 7 |
証明書のパスワードを入力します。 |
||
|
ステップ 8 |
[作成(Create)] をクリックします。 作成した証明書は、[発行された証明書(Issued Certificates)] ウィンドウに表示されます。このウィンドウを表示するには、[メニュー(Menu)] アイコン(
非準拠の証明書を持つクライアントは、Cisco ISE と統合できません。内部 CA によって発行された証明書を使用するか、適切な Usage 拡張を指定して新しい証明書を生成します。
|
pxGrid 証明書の生成における既知の制限
Cisco ISE での pxGrid 証明書の生成は、次に説明する表形式のロジックに従います。
| シリアル番号 | システム証明書(EAP) | 発行元証明書 | pxGrid 形式 | サポート |
|---|---|---|---|---|
|
1 |
複数の共通名 |
単一の共通名 |
PKCS8、PKCS12 |
サポート対象 |
|
2 |
複数の共通名 |
複数の共通名 |
PKCS12 |
サポート対象 |
|
3 |
複数の共通名 |
複数の共通名 |
PKCS8 |
サポート対象外 |
pxGrid 証明書テンプレートのキーサイズの変更
次のタスクは、pxGrid 証明書テンプレートのキーサイズを変更するのに役立ちます。
手順
|
ステップ 1 |
Cisco ISE GUI で [メニュー(Menu)] アイコン( |
|
ステップ 2 |
テンプレート pxGrid_Certificate_Template の横にあるチェックボックスをオンにします。 |
|
ステップ 3 |
[編集(Edit)] をクリックします。 |
|
ステップ 4 |
[キーサイズ(Key Size)] ドロップダウンリストから、[2048] を選択します。 |
|
ステップ 5 |
[保存(Save)] をクリックします。 |
フィードバック