pxGrid 클라우드를 통해 클라우드에서 제공하는 방화벽 관리 센터를 ISE와 통합

소개

이 문서에서는 Cisco ISE를 pxGrid Cloud를 통해 클라우드에서 제공하는 cdFMC(Firewall Management Center)와 통합하는 절차에 대해 설명합니다.

사전 요구 사항

• Cisco ISE(Identity Service Engine)에 대한 실무 지식
• Cisco Catalyst 클라우드 포털의 계정
• Cisco Security Cloud Control Portal의 계정

요구 사항

• Cisco ISE 구축에서 Advantage 라이센스 계층을 설치 및 활성화합니다.
• pxGrid 클라우드 에이전트는 Cisco pxGrid 클라우드에 대한 아웃바운드 HTTPS 연결을 생성합니다. 따라서 네트워크가 프록시를 사용하여 인터넷에 연결하는 경우 Cisco ISE 프록시 설정을 구성합니다. Cisco ISE에서 프록시 설정을 구성하려면 Administration(관리) > System(시스템) > Settings(설정) > Proxy(프록시)를 선택합니다.
• Cisco ISE Trusted Certificates Store에는 Cisco pxGrid Cloud에서 제공하는 서버 인증서를 검증하는 데 필요한 루트 CA 인증서가 포함되어야 합니다. 이 루트 CA 인증서에 대해 Trust for Authentication of Cisco Services(Cisco 서비스의 인증을 위한 신뢰) 옵션이 활성화되어 있는지 확인합니다. Trust for Authentication of Cisco Services를 활성화하려면 Administration > System > Certificates를 선택합니다.
• Cisco ISE에서 Cisco pxGrid Cloud Portal로의 아웃바운드 연결을 위해 포트 443이 열려 있는지 확인합니다. 방화벽 또는 프록시 설정이 구성된 경우 이러한 URL이 차단되지 않았는지 확인합니다.

https://dna.cisco.com

https://dnaservices.cisco.com

https://ciscodnacloud.com

사용되는 구성 요소

ISE 소프트웨어 버전: 3.4 패치 1, 4노드 구축(pxGrid 서비스가 활성화된 PAN, SAN 및 2 PSN)

cdFMC 버전: 20241127

Cisco FTD(Firepower 위협 방어) for VMware 버전: 7.2.5

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

Cisco pxGrid 클라우드 용어

다음은 Cisco pxGrid Cloud 솔루션에서 사용되는 몇 가지 일반적인 용어와 Cisco pxGrid Cloud 환경에서 해당 용어의 의미입니다.

• 제안: 함께 패키지화되어 솔루션으로 제공되는 기능 집합
• 구독: 테넌트에서 사용 중인 제안의 인스턴스가 구독입니다.
• 앱: 요구 사항에 따라 제품에 대한 애플리케이션을 만들고 등록할 수 있습니다.

배경 정보

Cisco ISE는 여러 보안 벤더 간의 컨텍스트 공유를 제공합니다. 그러나 현재의 아키텍처에서는 방화벽에 구멍을 뚫지 않고 네트워크 경계를 통해 온프레미스 ISE와 클라우드 기반 솔루션 간의 통신을 허용하지 않습니다. 

Cisco ISE의 pxCloud는 이 문제를 해결하고 추가 설치, 오버헤드 및 네트워크 보안 침해 없이 온프레미스와 클라우드 간의 컨텍스트 공유를 지원하는 클라우드 기반 솔루션입니다. 안전하고 사용자 정의가 가능하므로 공유하고자 하는 데이터만 공유할 수 있으며 애플리케이션에 적합한 컨텍스트 데이터만 사용할 수 있습니다. 

Cisco ISE 릴리스 3.1 패치 3 이상은 pxGrid Cloud를 지원합니다. Cisco와 파트너는 pxGrid 클라우드 기반 애플리케이션을 개발하고 pxGrid 클라우드 오퍼에 등록할 수 있습니다. Cisco DNA-Cloud Portal을 사용하여 다른 온프레미스 인프라에 의존하지 않고 애플리케이션을 온보딩하고 등록할 수 있습니다. 이러한 애플리케이션은 외부 RESTful 서비스(ERS), Open API 및 pxGrid(API 및 웹소켓)를 사용하여 Cisco ISE와 정보를 교환하여 cdFMC에서 ISE의 서브스크립션 및 사용자 데이터를 사용합니다.

구성

네트워크 다이어그램

pxGrid Cloud를 통한 cdFMC 및 ISE 통합

설정

4가지 주요 단계는 다음과 같습니다.

• ISE에서 Cisco pxGrid Cloud 서버 인증서를 가져옵니다.
• Catalyst Cloud Portal에 ISE를 등록합니다.
• 통합 카탈로그를 사용하여 ISE에서 cdFMC 애플리케이션 활성화
• pxGrid 애플리케이션(cdFMC) 인스턴스 생성

ISE에서 Cisco pxGrid Cloud 서버 인증서 가져오기

ISE는 Cisco pxGrid Cloud와 신뢰를 구축해야 합니다. 클라우드 웹 사이트가 공개적으로 서명된 인증서로 인증되더라도 ISE는 신뢰할 수 있는 루트 CA의 전체 목록을 유지하지 않습니다. 따라서 관리자는 신뢰 관계를 설정해야 합니다. Catalyst Cloud Portal로 이동하여 pxGrid 클라우드 루트 및 중간 인증서를 내보냅니다. 대부분의 브라우저에서 이를 허용합니다. 다음은 Chrome 브라우저에서 인증서를 가져오는 단계입니다. 

사이트 정보 보기

인증서 체인 내보내기

인증서 체인이 없는 경우(ISE에 이미 IdenTrust Commercial Root CA 1이 있는 경우) ISE의 "신뢰할 수 있는 인증서" 저장소로 인증서를 가져옵니다. 

이 루트 CA 인증서에 대해 "Trust for Authentication of Cisco Services(Cisco 서비스의 인증에 대한 신뢰)" 옵션이 활성화되었는지 확인합니다. Trust for Authentication of Cisco Services를 활성화하려면 Administration > System > Certificates를 선택합니다.

Cisco Services 인증을 위한 Trust 활성화

순서도

앱 활성화 워크플로

이 설정에 사용된 ISE 구축

Catalyst Cloud Portal에 ISE 등록

Cisco ISE에서 pxGrid 클라우드 서비스를 활성화하고 디바이스를 등록합니다.

1. Cisco ISE GUI에서 Administration(관리) > System(시스템) > Deployment(구축)를 선택합니다.

2. pxGrid 클라우드 서비스를 활성화할 노드를 클릭합니다(이 경우 첫 번째 PSN 노드).

3. General Settings(일반 설정) 탭에서 pxGrid 서비스를 활성화합니다.

4. pxGrid Cloud(pxGrid 클라우드) 확인란을 선택합니다.

참고: pxGrid 클라우드 서비스는 고가용성을 활성화하기 위해 두 개의 노드에서만 활성화할 수 있습니다. 해당 노드에서 pxGrid 서비스가 활성화된 경우에만 pxGrid Cloud 옵션을 활성화할 수 있습니다.

5. ISE 구축 이름 필드에 의미 있는 이름을 입력합니다. 이 이름은 Catalyst Cloud Portal에 표시되며 여러 ISE 구축이 클라우드에 등록되었는지 여부를 구분하는 데 사용할 수 있습니다. ISE 구축 이름을 사용하여 Cisco Catalyst Cloud Portal에 등록된 Cisco ISE 구축을 확인할 수 있습니다.

(선택 사항) Description (선택 사항) 필드에 Cisco ISE 구축에 대한 설명을 입력합니다.

6. Region(지역) 드롭다운 목록에서 Cisco ISE 디바이스를 등록할 지역을 선택합니다. Cisco pxGrid Cloud는 이제 미국 외에도 유럽, 아시아 태평양, 일본에서 지원됩니다. pxGrid Cloud와 함께 사용할 애플리케이션도 동일한 지역에서 사용할 수 있어야 합니다.

7. 등록을 클릭합니다.

pxGrid 클라우드에 ISE PSN 등록

8. 장치 활성화 팝업 페이지에 장치의 활성화 코드가 자동으로 채워집니다. Next(다음)를 클릭합니다.

장치 활성화

디바이스 활성화됨

참고: 두 번째 노드에서 "pxGrid Cloud" 페르소나를 활성화할 경우, pxGrid Cloud를 사용한 ISE 등록이 구축 레벨에 있으므로 ISE는 이러한 모든 세부사항을 필요로 하지 않습니다.

9. 로그인 자격 증명을 사용하여 Cisco Catalyst Cloud Portal 계정에 로그인합니다. 로그인 자격 증명이 없는 경우 새 계정을 만들어 디바이스 등록을 완료합니다. 자세한 내용은 Cisco Catalyst Cloud Portal에서 계정 생성을 참조하십시오

Cisco ISE 장치가 활성화 되어 등록 됩니다.

Catalyst Cloud Portal에 등록된 ISE 노드

10. 등록된 Cisco ISE의 세부 정보는 pxGrid 섹션(Administration > System > Deployment > pxGrid)에서 확인할 수 있습니다.

pxGrid 클라우드에 등록된 ISE 확인

Deregister(등록 취소)를 클릭하여 Cisco ISE 디바이스를 등록 취소할 수 있습니다. Cisco ISE의 등록을 취소하면 연결된 애플리케이션도 자동으로 비활성화됩니다.

통합 카탈로그를 사용하여 ISE에서 cdFMC 애플리케이션 활성화

1. ISE GUI에서 Administration(관리) > Integration Catalog(통합 카탈로그)를 선택합니다.

2. Available integrations(사용 가능한 통합) 아래에서 Firewall Management Center application을 선택합니다.

참고: 신청 목록은 계정에 따라 다릅니다. 일부 애플리케이션은 특정 계정에만 노출될 수 있습니다.

통합 카탈로그

3. 앱 구성 섹션에서 새 인스턴스를 선택하고 앱 구성에 대한 데이터 범위를 선택합니다. 진행할 데이터 범위를 하나 이상 선택하십시오.

참고: 데이터 범위를 선택하면 시스템 레벨 pxGrid 클라우드 정책 설정에서 동일하게 활성화됩니다.

4. 활성화를 클릭하여 앱을 활성화합니다.

ISE의 FMC 애플리케이션 컨피그레이션

5. OTP(One-Time Password) 팝업에서 OTP를 복사하여 cdFMC에서 이를 사용하는 동시에 pxGrid 애플리케이션 인스턴스를 생성합니다

cdFMC 애플리케이션용 OTP

6. Administration(관리) > pxgrid Services(pxgrid 서비스) > Client Management(클라이언트 관리) > pxGrid Cloud Policy(pxGrid 클라우드 정책)로 이동하여 pxGrid 클라우드 정책을 구성합니다. Saas 애플리케이션과 공유할 pxGrid 서비스를 선택하고 Cisco pxGrid 클라우드 애플리케이션에 대한 외부 RESTful 서비스(ERS) API 및 OpenAPI 읽기 전용 액세스를 활성화합니다.

pxGrid 클라우드 정책 구성

참고: 에코 서비스는 상태 확인을 실행하여 ISE에 대한 pub-sub 및 API 연결을 확인하는 데 사용됩니다.

         기본적으로 Cisco pxGrid Cloud 애플리케이션에는 API에 대한 읽기 전용 액세스 권한이 부여됩니다(HTTP GET 작업만 수행할 수 있음). POST, PUT 및 DELETE 작업도 허용하려면 pxGrid Cloud Policy 창에서 Read/Write 옵션을 활성화합니다.

pxGrid 애플리케이션(cdFMC) 인스턴스 생성 

1. 수퍼 관리자 역할의 사용자로 SCC(Security Cloud Control) 포털에 로그인합니다.

SCC 로그인 페이지

2. Security Cloud Control(보안 클라우드 제어) 메뉴에서 Administration(관리) > Integrations(통합) > Firewall Management Center(방화벽 관리 센터)를 클릭하고 cdFMC 인스턴스를 선택한 다음 오른쪽 창 옵션에서 System(시스템) > Configuration(컨피그레이션)을 선택합니다.

방화벽 관리 센터 탐색

3. [구성] 페이지에서 [통합] > [기타 통합] > [Identity Sources] > [서비스 유형 Identity Services Engine(pxGrid Cloud)]을 선택합니다. Create pxGrid Application Instance(pxGrid 애플리케이션 인스턴스 생성)를 클릭하고 Cisco ISE에서 복사한 OTP를 사용하여 인스턴스를 추가합니다.

cdFMC 응용 프로그램 인스턴스 만들기

4. Cisco Catalyst Cloud Portal의 Applications and Products(애플리케이션 및 제품) > Firewall Management Center > Manage > Products > Select Instance(인스턴스 선택) 드롭다운 메뉴에서 확인합니다. 

Catalyst Cloud Portal에서 cdFMC 확인

5. 새로 작성한 cdFMC 응용 프로그램을 선택하고 추가를 클릭합니다. Region을 선택하고 Activate를 클릭합니다.  

지역 선택

5. 애플리케이션 인스턴스를 선택하고 다음을 클릭합니다. 제품(ISE pxGrid 노드)을 선택하고 다음을 클릭합니다.

6. 액세스 제어 구성: 선택한 ISE 제품에서 cdFMC에 대해 허용할 기능 선택 Next(다음)를 클릭합니다. 구성 요약이 표시됩니다. 확인하고 Activate(활성화)를 클릭합니다.

cdFMC에 대한 액세스 제어 구성

제품 ISE가 cfFMC에 연결됨

8. Cisco Catalyst Cloud Portal의 Applications and Products(애플리케이션 및 제품) > Firewall Management Center > Manage > Products > Select Instance(인스턴스 선택) 드롭다운 메뉴에서 확인합니다. 

앱이 활성화되었는지 확인합니다.

다음을 확인합니다.

1.  Catalyst Cloud Portal(Catalyst 클라우드 포털)에서 Applications and Products(애플리케이션 및 제품)로 이동합니다. ISE 제품 이름을 선택하고 Product Details(제품 세부사항)를 확인합니다. Activated Application(활성화된 애플리케이션) 아래에 cdFMC가 표시되는지 확인합니다.

Catalyst Cloud Control Portal에서 확인

2 .  Security Cloud Control(보안 클라우드 제어)에서 구성된 cdFMC 애플리케이션 인스턴스를 테스트합니다. 테스트 결과에 "성공"이 표시됩니다.

보안 클라우드 제어 포털에서 확인

3. 활성 pxGrid 노드에 로그인하고 show application status ise 명령을 사용하여 Hermes(pxGrid Cloud Agent)가 실행 중인지 확인합니다. 이 에이전트는 대기 pxGrid 노드에서 비활성 상태입니다.

Hermes(pxGrid Cloud Agent) 상태 확인

두 pxGrid 노드에서 pxcloud.log를 확인하여 액티브 및 스탠바이 상태를 확인합니다.

On Active pxGrid node (pxcloud.log)

2025-03-17 14:35:25,530 DEBUG  [pxCloud-hermesCheck-2768][[]] cpm.pxcloud.ha.statemachine.StateMachine -:::::- RUNNING (HERMES_OK) ------> RUNNING
2025-03-17 14:35:27,438 DEBUG  [pxCloud-heartbeat-2769][[]] cpm.pxcloud.ha.statemachine.HeartBeat -:::::- url - https://ise341-psn2.poongarg.local:8910/pxgrid/pxcloud/statusLookup
2025-03-17 14:35:27,445 DEBUG  [pxCloud-heartbeat-2769][[]] cpm.pxcloud.ha.statemachine.HeartBeat -:::::- HeartBeat response from peer - StatusResponse [role=STANDBY, state=MONITORING, pxGridConnectionStatus=NOT_CONNECTED, cloudConnectionStatus=NOT_CONNECTED, reason=] 
2025-03-17 14:35:27,445 DEBUG  [pxCloud-heartbeat-2769][[]] cpm.pxcloud.ha.statemachine.HeartBeat -:::::- Post PEER_MONITORING to state machine
2025-03-17 14:35:27,445 DEBUG  [pxCloud-heartbeat-2769][[]] cpm.pxcloud.ha.statemachine.StateMachine -:::::- RUNNING (PEER_MONITORING) 
2025-03-17 14:35:35,548 DEBUG  [pxCloud-hermesCheck-2768][[]] cpm.pxcloud.ha.statemachine.HermesCheck -:::::- Sending request to Hermes: POST https://localhost:8913/hermes/cloudConnectionStatus
2025-03-17 14:35:35,572 DEBUG  [pxCloud-hermesCheck-2768][[]] cpm.pxcloud.ha.statemachine.HermesCheck -:::::- Hermes response: 200 OK
2025-03-17 14:35:35,572 DEBUG  [pxCloud-hermesCheck-2768][[]] cpm.pxcloud.ha.statemachine.HermesCheck -:::::- Status - HermesConnectionStatus [pxGridConnectionStatus=CONNECTED, cloudConnectionStatus=CONNECTED, reason=] 

On Standby pxGrid node (pxcloud.log)

2025-03-17 14:34:14,145 DEBUG  [pxCloud-heartbeat-6441][[]] cpm.pxcloud.ha.statemachine.HeartBeat -:::::- url - https://ise341-psn1.poongarg.local:8910/pxgrid/pxcloud/statusLookup
2025-03-17 14:34:14,153 DEBUG  [pxCloud-heartbeat-6441][[]] cpm.pxcloud.ha.statemachine.HeartBeat -:::::- HeartBeat response from peer - StatusResponse [role=ACTIVE, state=RUNNING, pxGridConnectionStatus=CONNECTED, cloudConnectionStatus=CONNECTED, reason=]
2025-03-17 14:34:14,154 DEBUG  [pxCloud-heartbeat-6441][[]] cpm.pxcloud.ha.statemachine.HeartBeat -:::::- Post PEER_RUNNING to state machine
2025-03-17 14:34:14,154 DEBUG  [pxCloud-heartbeat-6441][[]] cpm.pxcloud.ha.statemachine.StateMachine -:::::- MONITORING (PEER_RUNNING)

또한 ACTIVE pxGrid 노드에서만 열리는 포트 8913을 확인합니다.

ise341-psn1/admin#show ports | include 8913                                     
           tcp: 127.0.0.1:8913
ise341-psn1/admin# 

4. Administration(관리) > pxGrid Services(pxGrid 서비스) > Client Management(클라이언트 관리) > Clients(클라이언트) > pxGrid Cloud Clients(pxGrid 클라우드 클라이언트)로 이동하여 pxGrid 클라우드 클라이언트를 확인합니다. 가입한 항목도 확인합니다.

ISE의 pxGrid 클라우드 클라이언트

5. 구독한 항목이 cdFMC에서 불러오는지 확인합니다. Security Cloud Control 포털에서 Policies(정책) > Threat Defense(위협 방어) > Integration(통합) > Other Integrations(기타 통합) > Identity Sources(ID 소스)를 클릭합니다. Identity Services Engine (pxGrid Cloud)을 클릭합니다. Configure Filters(필터 구성)를 클릭합니다. 페이지에서 동적 속성 필터 탭을 누릅니다. 동적 속성 필터를 생성합니다.

ISE에서 가져온 특성

문제 해결

1. ISE 등록 중 오류 발생:

프록시 컨피그레이션 누락

인터넷 연결 및 가능한 프록시 잘못된 컨피그레이션을 확인합니다.

2 .  pxGrid 상태는 pxGrid Cloud 서비스를 활성화하고 이름 및 영역 매개변수를 구성한 후 ISE 노드 편집 페이지에서 연결되지 않음(Not connected on ISE)을 표시합니다.

pxGrid Cloud 서비스를 활성화할 노드에서 hermes.log를 확인합니다.

ise341-psn1/admin#show logging application hermes/hermes.log | begin 8913
2025-03-17T09:19:35.277Z | INFO | hermes/httpserver.go:57 | Starting REST server on :8913
2025-03-17T09:19:35.285Z | INFO | hermes/httpserver.go:78 | REST server is up and running
2025-03-17T09:19:35.307Z | ERROR | hermes/pxgrid.go:194 | Failed to establish pxGrid WebSocket connection: pubsub service lookup failed: service lookup for pubsub service failed: Post "https://ise341-psn1.poongarg.local:8910/pxgrid/control/ServiceLookup": SSL errors: SSL routines:tls_process_server_certificate:certificate verify failed
2025-03-17T09:19:35.307Z | ERROR | hermes/main.go:166 | Failed to open pxGrid WebSocket connection: Failed to establish pxGrid WebSocket connection: pubsub service lookup failed: service lookup for pubsub service failed: Post "https://ise341-psn1.poongarg.local:8910/pxgrid/control/ServiceLookup": SSL errors: SSL routines:tls_process_server_certificate:certificate verify failed
2025-03-17T09:19:35.307Z | INFO | hermes/config.go:279 | Stopping monitoring of configuration file: /opt/hermes/config.yaml
2025-03-17T09:19:35.307Z | INFO | hermes/connectionstatus.go:81 | Resetting connection status to DISCONNECTED with reason 'Failed to establish pxGrid WebSocket connection: pubsub service lookup failed: service lookup for pubsub service failed: Post "https://ise341-psn1.poongarg.local:8910/pxgrid/control/ServiceLookup": SSL errors: SSL routines:tls_process_server_certificate:certificate verify failed'
2025-03-17T09:19:35.308Z | ERROR | hermes/main.go:402 | Error running Hermes: Failed to establish pxGrid WebSocket connection: pubsub service lookup failed: service lookup for pubsub service failed: Post "https://ise341-psn1.poongarg.local:8910/pxgrid/control/ServiceLookup": SSL errors: SSL routines:tls_process_server_certificate:certificate verify failed
2025-03-17T09:19:35.308Z | INFO | hermes/httpserver.go:90 | Stopping REST server on :8913

Hermes Rest 서버는 포트 8913에서 수신합니다. 로그는 Hermes REST 서버가 시작하려고 하지만 인증서 확인 실패로 인해 pxGrid WebSocket 연결을 설정하지 못했음을 명확하게 보여줍니다.

해결책: pxGrid 인증서가 유효하고 인증서 체인이 손상되지 않았는지 확인합니다. 인증서를 보고 Certificate status is good(인증서 상태가 양호함)인지 확인합니다. 이 경우 이 노드에 발급된 pxGrid 인증서에서 ISE 호스트 이름이 잘못되었습니다.

유효한 pxGrid 인증서

3 . Catalyst Cloud Portal에서 cdFMC 애플리케이션을 활성화하지 못했습니다.

해결책: ISE의 pxGrid 클라우드 정책에서 외부 RESTful 서비스(ERS) API 및 OpenAPI 읽기 전용 액세스가 활성화되었는지 확인합니다.

pxGrid 클라우드 기능과 관련된 로그:

참고: pxGrid 클라우드 페르소나를 활성화하는 노드에 관계없이 활성 PAN 노드의 로그를 확인해야 합니다. 디바이스가 등록되면 Hermes 로그는 활성화된 특정 노드에 있게 됩니다.

         Hermes.log는 Debug, Info, Warn 및 Error 로그 레벨만 지원합니다. 따라서 Trace(추적)를 선택하면 로그 레벨이 hermes.log에 대해 Debug로 설정됩니다. Fatal(치명적)을 선택하면 로그 레벨은 hermes.log에 대해 Error로 설정됩니다.

ISE 등록/등록 및 앱. 활성화 흐름

디바이스를 등록하기 전에 ISE는 디바이스 토큰을 사용하여 클라우드에서 영역 목록, 앱 목록을 가져옵니다. 이 토큰은 ISE의 "텔레메트리" 구성 요소에서 제공합니다. PAN 노드에서 sch.log를 선택합니다.

2025-03-17 09:10:23,361 INFO [openapi-http-pool7][[]] infrastructure.telemetry.sch.api.DNATelemetryClient -:::::- Telemetry Lifecycle configured : PRODUCTION
2025-03-17 09:10:23,361 INFO [openapi-http-pool7][[]] infrastructure.telemetry.sch.api.DNATelemetryClient -:::::- Telemetry lifecycle::PRODUCTION
2025-03-17 09:10:23,463 INFO [openapi-http-pool7][[]] infrastructure.telemetry.sch.api.TetheringStateStorageImpl -:::::- Read tethering state from the db...
2025-03-17 09:10:23,467 INFO [openapi-http-pool7][[]] infrastructure.telemetry.sch.api.TetheringStateStorageImpl -:::::- Get encryption key for the tethering state data...
2025-03-17 09:10:23,480 INFO [openapi-http-pool7][[]] cisco.dna.tethering.client.TetheringClient -:::::- DNA Cloud Tethering Client Initialized, member ID = 67d7c58488c5fd08d085fffd, enrollment = existing
2025-03-17 09:10:23,480 INFO [openapi-http-pool7][[]] infrastructure.telemetry.sch.api.DNATelemetryClient -:::::- Tethering Client Initialized successfully
2025-03-17 09:10:23,483 INFO [openapi-http-pool7][[]] infrastructure.telemetry.sch.api.DNATetheringClient -:::::- Initialization Details :- Member Id: 67d7c58488c5fd08d085fffd
2025-03-17 09:10:24,492 INFO [openapi-http-pool7][[]] infrastructure.telemetry.sch.api.TetheringStateStorageImpl -:::::- Get encryption key for the tethering state data...
2025-03-17 09:10:24,497 INFO [openapi-http-pool7][[]] infrastructure.telemetry.sch.api.TetheringStateStorageImpl -:::::- Write tethering state to the db...
2025-03-17 09:10:24,529 INFO [openapi-http-pool7][[]] cpm.infrastructure.telemetry.api.TelemetryConfigHandler -:::::- Updated Tethering State in the TelemetryConfig table

pxcloud.log(PAN 노드), 일단 pxGrid Cloud 서비스를 활성화하면 Hermes(pxGrid Cloud 에이전트)가 활성화되고 ISE는 지역 정보를 가져오며 원격 분석 구성 요소를 통해 토큰을 수신합니다.

2025-03-17 08:47:00,300 INFO [main][[]] cisco.cpm.pxcloud.api.PxCloudInitializer -:::::- Initializing pxGrid Cloud
2025-03-17 08:47:00,312 INFO [main][[]] cisco.cpm.pxcloud.pxgrid.PxCloudProviderRegistration -:::::- Registering the pxCloud service into pxGrid
2025-03-17 08:47:00,314 INFO [main][[]] cisco.cpm.pxcloud.hermes.ProxyConfigNotificationHandler -:::::- Register pxCloud ProxyConfig notification handler
2025-03-17 08:47:00,376 INFO [main][[]] cisco.cpm.pxcloud.hermes.HermesConfigManager -:::::- Registering listener for Hermes cert file changes
2025-03-17 08:47:00,376 INFO [main][[]] cisco.cpm.pxcloud.hermes.HermesConfigManager -:::::- Registering listener for pxCloud log level changes
2025-03-17 08:50:18,842 INFO [main][[]] cisco.cpm.pxcloud.hermes.HermesConfigManager -:::::- Updating Hermes certificate files
2025-03-17 08:52:46,834 INFO [pool-24-thread-1][[]] cpm.pxcloud.service.ui.IntegrationCatalogScheduler -:::::- validateIfApplicationStatusChanged :: Scheduler Invoked
2025-03-17 08:55:46,877 INFO [pool-24-thread-1][[]] cpm.pxcloud.service.ui.IntegrationCatalogScheduler -:::::- validateIfApplicationStatusChanged :: Scheduler Invoked
2025-03-17 08:58:46,781 INFO [pool-24-thread-1][[]] cpm.pxcloud.service.ui.IntegrationCatalogScheduler -:::::- validateIfApplicationStatusChanged :: Scheduler Invoked
2025-03-17 09:01:46,781 INFO [pool-24-thread-1][[]] cpm.pxcloud.service.ui.IntegrationCatalogScheduler -:::::- validateIfApplicationStatusChanged :: Scheduler Invoked
2025-03-17 09:03:37,136 INFO [pool-225-thread-1][[]] cpm.pxcloud.service.ui.IntegrationCatalogScheduler -:::::- validateIfApplicationStatusChanged :: Scheduler Invoked
2025-03-17 09:04:46,781 INFO [pool-24-thread-1][[]] cpm.pxcloud.service.ui.IntegrationCatalogScheduler -:::::- validateIfApplicationStatusChanged :: Scheduler Invoked
2025-03-17 09:06:37,136 INFO [pool-225-thread-1][[]] cpm.pxcloud.service.ui.IntegrationCatalogScheduler -:::::- validateIfApplicationStatusChanged :: Scheduler Invoked
2025-03-17 09:07:46,781 INFO [pool-24-thread-1][[]] cpm.pxcloud.service.ui.IntegrationCatalogScheduler -:::::- validateIfApplicationStatusChanged :: Scheduler Invoked
2025-03-17 09:09:11,901 DEBUG [hermes-change-monitor-0][[]] cisco.cpm.pxcloud.hermes.PxCloudNodeChangeHandler -:::::- Periodic check of PPAN hostFQDN: ise341-PAN.poongarg.local
2025-03-17 09:09:37,136 INFO [pool-225-thread-1][[]] cpm.pxcloud.service.ui.IntegrationCatalogScheduler -:::::- validateIfApplicationStatusChanged :: Scheduler Invoked
2025-03-17 09:09:37,139 DEBUG [pool-225-thread-1][[]] cpm.pxcloud.service.ui.IntegrationCatalogScheduler -:::::- ISE enrollment status is 
2025-03-17 09:10:22,475 TRACE [openapi-http-pool4][[]] cpm.iseopenapi.pxcloud.impl.PxGridApiDelegateImpl -:::::- Request to get device information.
2025-03-17 09:10:22,485 INFO [openapi-http-pool4][[]] cpm.pxcloud.service.ui.IseEnrollment -:::::- Fetching Device Info...
2025-03-17 09:10:22,739 TRACE [openapi-http-pool7][[]] cpm.iseopenapi.pxcloud.impl.PxGridApiDelegateImpl -:::::- Request to get regions is received
2025-03-17 09:10:22,750 INFO [openapi-http-pool7][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- getRegionList :: get regions list api invoked.
2025-03-17 09:10:22,754 DEBUG [openapi-http-pool7][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- getRegionList :: fetch device token.
2025-03-17 09:10:24,529 DEBUG [openapi-http-pool7][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- getRegionList :: fetched device token.
2025-03-17 09:10:24,537 INFO [openapi-http-pool7][[]] cisco.cpm.pxcloud.utils.PxCloudHttpClient -:::::- Proxy configured. Address=x.x.x.x Port=80
2025-03-17 09:10:26,938 DEBUG [openapi-http-pool7][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- getRegionList :: Retrieved region list response from cloud : HttpResponseProxy{HTTP/1.1 200 OK [Date: Mon, 17 Mar 2025 09:10:28 GMT, Content-Type: application/json; charset=utf-8, Content-Length: 452, Connection: keep-alive, X-Tracking-Id: da111708f760551999f8cdfb2bfcc6bb, vary: Origin, Access-Control-Allow-Credentials: true, Access-Control-Expose-Headers: X-Auth-Token, Via: api-gateway,upstream, Content-Security-Policy: default-src 'self'; base-uri 'self'; frame-ancestors 'self'; block-all-mixed-content] ResponseEntityProxy{[Content-Type: application/json; charset=utf-8,Content-Length: 452,Chunked: false]}}
2025-03-17 09:10:26,946 DEBUG [openapi-http-pool7][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- getFilteredRegionInfo :: region list before filtering based on application list : [class Region {
id: ap-southeast-1
name: ap-southeast-1
fqdn: neoffers-sg.cisco.com
}, class Region {
id: eu-central-1
name: eu-central-1
fqdn: neoffers-de.cisco.com
}, class Region {
id: us-west-2
name: us-west-2
fqdn: neoffers.cisco.com
}]
2025-03-17 09:10:26,968 DEBUG [openapi-http-pool7][[]] cpm.pxcloud.api.impl.PxcloudApplicationCatalogImpl -:::::- Inside getApplicationCatalog
2025-03-17 09:10:27,051 INFO [openapi-http-pool7][[]] cpm.pxcloud.api.impl.PxcloudApplicationCatalogImpl -:::::- URL to get apps from cloud: https://dnaservices.cisco.com/api/uno/v1/assembler/data/applications
2025-03-17 09:10:27,055 DEBUG [openapi-http-pool7][[]] cisco.cpm.pxcloud.utils.PxCloudUtils -:::::- Anonymous token is used
2025-03-17 09:10:27,533 DEBUG [openapi-http-pool7][[]] cpm.pxcloud.api.impl.PxcloudApplicationCatalogImpl -:::::- Token is present
2025-03-17 09:10:27,533 DEBUG [openapi-http-pool7][[]] cpm.pxcloud.api.impl.PxcloudApplicationCatalogImpl -:::::- Request to getCatalogsUsingAnonymousToken is received
2025-03-17 09:10:27,533 DEBUG [openapi-http-pool7][[]] cpm.pxcloud.api.impl.PxcloudApplicationCatalogImpl -:::::- Inside getCatalog method
2025-03-17 09:10:27,533 DEBUG [openapi-http-pool7][[]] cisco.cpm.pxcloud.utils.PxCloudHttpClient -:::::- Inside httpGet method
!
2025-03-17 09:10:37,338 INFO [openapi-http-pool7][[]] cpm.pxcloud.api.impl.PxcloudApplicationCatalogImpl -:::::- Application Catalog status code 200 

활성화 링크가 수신되며 자동 등록 및 등록이 수행됩니다.

2025-03-17 09:16:42,536 TRACE [openapi-http-pool2][[]] cpm.iseopenapi.pxcloud.impl.PxGridApiDelegateImpl -:::::- Request to get verification url is received
2025-03-17 09:16:42,537 DEBUG [openapi-http-pool2][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- getVerificationUri :: Checking Preconditions.
2025-03-17 09:16:42,569 DEBUG [openapi-http-pool2][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- getVerificationUri :: Preconditions check completed.
2025-03-17 09:16:42,569 DEBUG [openapi-http-pool2][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- getVerificationUri :: Trying to fetch activation link from platform.
!
2025-03-17 09:16:44,729 DEBUG [openapi-http-pool2][[]] cisco.cpm.pxcloud.api.PxCloudPropertiesNotificationHandler -:::::- onCreate DEVICE_CODE b6b4c9d0-4d07-4eb6-8d5e-b8a446f4a3eb
2025-03-17 09:16:44,735 DEBUG [openapi-http-pool2][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- getVerificationUri :: Activation link retrieval completed.
2025-03-17 09:16:45,310 TRACE [openapi-http-pool3][[]] cpm.iseopenapi.pxcloud.impl.PxGridApiDelegateImpl -:::::- Request to verify CCO login and auto register if single tenant.
2025-03-17 09:16:45,345 INFO [openapi-http-pool3][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- verifyCCOLoginAndAutoRegister:: Verify CCO login and try to auto-register if there is single tenant.
!
2025-03-17 09:16:45,538 INFO [openapi-http-pool3][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- verifyCCOLoginAndAutoRegisterWithoutTenant :: Verify CCO login to check if device is activated.
2025-03-17 09:16:45,589 DEBUG [openapi-http-pool3][[]] cisco.cpm.pxcloud.utils.PxCloudHttpClient -:::::- Inside httpPost method
2025-03-17 09:16:46,805 INFO [pool-24-thread-1][[]] cpm.pxcloud.service.ui.IntegrationCatalogScheduler -:::::- validateIfApplicationStatusChanged :: Scheduler Invoked
2025-03-17 09:16:46,816 DEBUG [pool-24-thread-1][[]] cpm.pxcloud.service.ui.IntegrationCatalogScheduler -:::::- ISE enrollment status is 
2025-03-17 09:16:47,631 DEBUG [openapi-http-pool3][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- verifyCCOLoginAndAutoRegisterWithoutTenant :: auth token info for autoregister 
!
2025-03-17 09:19:14,196 INFO [openapi-http-pool9][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- verifyCCOLoginAndAutoRegisterWithoutTenant :: device is activated.
2025-03-17 09:19:14,196 INFO [openapi-http-pool9][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- executeAutoRegister :: device is activated, going to execute auto register api.
2025-03-17 09:19:14,199 DEBUG [openapi-http-pool9][[]] cisco.cpm.pxcloud.utils.PxCloudHttpClient -:::::- Inside httpPost method
2025-03-17 09:19:16,956 DEBUG [openapi-http-pool9][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- executeAutoRegister :: AutoRegister api executed successfully and response is HttpResponseProxy{HTTP/1.1 201 Created [Date: Mon, 17 Mar 2025 09:19:18 GMT, Content-Type: application/json; charset=utf-8, Content-Length: 704, Connection: keep-alive, vary: Origin, Access-Control-Allow-Credentials: true, Access-Control-Expose-Headers: X-Auth-Token, Via: api-gateway,upstream, Content-Security-Policy: default-src 'self'; base-uri 'self'; frame-ancestors 'self'; block-all-mixed-content] ResponseEntityProxy{[Content-Type: application/json; charset=utf-8,Content-Length: 704,Chunked: false]}}
2025-03-17 09:19:16,964 DEBUG [openapi-http-pool9][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- executeAutoRegister :: AutoRegister api executed successfully and response is {"data":{"token":"eyJhbGciOiJFUzI1NiIsInR5cCI6IkpXVCJ9.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.jSkuMLr17Vwoi3XTQC6A0Mnu8dODXAf5JQQddmtgekSMxUcgs3GrqpYzGpjTNXdS2_0TRjcbxDe4sEppStt7jg"},"responseType":"TOKEN"}.
2025-03-17 09:19:16,964 INFO [openapi-http-pool9][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- executeAutoRegister :: AutoRegister api executed successfully.
2025-03-17 09:19:16,964 INFO [openapi-http-pool9][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- processSuccessVerification :: Received token to enroll the device.
2025-03-17 09:19:17,284 INFO [openapi-http-pool9][[]] cpm.pxcloud.service.ui.IseEnrollment -:::::- ISE enrollment response: 200 OK
2025-03-17 09:19:17,284 DEBUG [openapi-http-pool9][[]] cpm.pxcloud.service.ui.IseEnrollment -:::::- ISE enrollment, processing success response:
2025-03-17 09:19:17,306 DEBUG [openapi-http-pool9][[]] cisco.cpm.pxcloud.api.PxCloudPropertiesNotificationHandler -:::::- onCreate CLIENT_SECRET <redacted>
2025-03-17 09:19:17,325 DEBUG [openapi-http-pool9][[]] cisco.cpm.pxcloud.api.PxCloudPropertiesNotificationHandler -:::::- onCreate TOKEN_URL <redacted>
2025-03-17 09:19:17,342 DEBUG [openapi-http-pool9][[]] cisco.cpm.pxcloud.api.PxCloudPropertiesNotificationHandler -:::::- onCreate FQDN neoffers.cisco.com
2025-03-17 09:19:17,369 DEBUG [openapi-http-pool9][[]] cisco.cpm.pxcloud.api.PxCloudPropertiesNotificationHandler -:::::- onCreate ENROLLMENT_STATUS true
2025-03-17 09:19:17,394 DEBUG [openapi-http-pool9][[]] cisco.cpm.pxcloud.api.PxCloudPropertiesNotificationHandler -:::::- onCreate CLIENT_ID 1466211b-8cc1-4838-a76b-d11057eb0a4a
2025-03-17 09:19:17,418 DEBUG [openapi-http-pool9][[]] cisco.cpm.pxcloud.api.PxCloudPropertiesNotificationHandler -:::::- onCreate TENANT_NAME cisco
2025-03-17 09:19:17,438 DEBUG [openapi-http-pool9][[]] cisco.cpm.pxcloud.api.PxCloudPropertiesNotificationHandler -:::::- onCreate MEMBER_ID 67d7e91688c5fd08d0860039
2025-03-17 09:19:17,463 DEBUG [openapi-http-pool9][[]] cisco.cpm.pxcloud.api.PxCloudPropertiesNotificationHandler -:::::- onCreate USERNAME <redacted>
2025-03-17 09:19:17,485 DEBUG [openapi-http-pool9][[]] cisco.cpm.pxcloud.api.PxCloudPropertiesNotificationHandler -:::::- onCreate TENANT_ID e87c196c-c586-41af-9c26-2ea1e181164e
2025-03-17 09:19:17,489 INFO [openapi-http-pool9][[]] cpm.pxcloud.service.ui.IseEnrollment -:::::- ISE Device enrollment properties data is saved to DB
2025-03-17 09:19:17,495 INFO [openapi-http-pool9][[]] cpm.pxcloud.service.ui.IseEnrollment -:::::- ISE enrollment with cloud is successful and status is set to true
2025-03-17 09:19:17,500 INFO [openapi-http-pool9][[]] cpm.pxcloud.service.ui.IseEnrollment -:::::- Initiated the cloud configuration process
2025-03-17 09:19:17,500 INFO [openapi-http-pool9][[]] cpm.pxcloud.api.impl.DeviceRegistrationApiImpl -:::::- processSuccessVerification :: device is enrolled successfully.
2025-03-17 09:19:17,554 INFO [openapi-http-pool9][[]] cpm.iseopenapi.pxcloud.util.PxGridCloudUtil -:::::- updatePxGridCloud :: pxg added. preparing to retrieve pxg wallet cert
2025-03-17 09:19:17,554 DEBUG [openapi-http-pool9][[]] cpm.iseopenapi.pxcloud.util.PxGridCloudUtil -:::::- Preparing to save HostConfig [hostName=ise341-psn1, dispayName=ise341-psn1, hostId=07374a40-0301-11f0-873b-765072d6d75e, gateWay=10.106.39.1, masterStatus=NONE, nodeRoleStatus=SECONDARY, nodeTypes=PDP+PXG+PXCLOUD, nodeServiceType=SESSION,PROFILER, userName=null, smtpPort=null, smtpHost=null, hostAlias=ise341-psn1.poongarg.local, udiPid=ISE-VM-K9, udiVid=V01, udiSN=IHJDFEDEIKM, udiPT=VM, installType=null, vmInfo=28481208|12|LARGE||2025-03-14 17:45:14 UTC|0 MB|0 MHz|4294967295 MB|5000 MHz, isApiNode=false]
2025-03-17 09:19:18,501 INFO [pxcloud-configuration-1243][[]] cpm.pxcloud.service.ui.CloudConfigurationProcessor -:::::- Enrollment complete, starting cloud configuration process now
2025-03-17 09:19:18,505 DEBUG [pxcloud-configuration-1243][[]] cpm.pxcloud.service.ui.CloudConfigurationProcessor -:::::- Starting to process the cloud configuration for ISE

pxGrid 노드는 ACTIVE 역할을 수행하지만 여기서는 pxGridConnectionStatus가 NOT_CONNECTED로 관찰되었으며, 이 pxGrid 노드에 올바른 pxGrid 인증서(전체 루트 CA 체인 포함)를 추가한 후 수정되었습니다

2025-03-17 09:20:12,301 TRACE [openapi-http-pool8][[]] cpm.iseopenapi.pxcloud.impl.PxGridApiDelegateImpl -:::::- Request to get device information.
2025-03-17 09:20:12,301 INFO [openapi-http-pool8][[]] cpm.pxcloud.service.ui.IseEnrollment -:::::- Fetching Device Info...
2025-03-17 09:20:12,310 INFO [Thread-150][[]] cpm.pxcloud.service.ui.IseEnrollment -:::::- Get pxCloud status information from ise341-psn1.poongarg.local
2025-03-17 09:20:12,311 INFO [Thread-150][[]] cpm.pxcloud.service.ui.IseEnrollment -:::::- pxCloud statusLookup URL: https://ise341-psn1.poongarg.local:8910/pxgrid/pxcloud/statusLookup
2025-03-17 09:20:12,427 INFO [Thread-150][[]] cpm.pxcloud.service.ui.IseEnrollment -:::::- Received response from ise341-psn1.poongarg.local: StatusResponse [role=ACTIVE, state=HERMES_ERROR, pxGridConnectionStatus=NOT_CONNECTED, cloudConnectionStatus=NOT_CONNECTED, reason=]

이제 ACTIVE pxGrid 노드의 Hermes.log에서 pubsub 이벤트를 확인합니다.

2025-03-17T09:37:43.906Z | INFO | hermes/config.go:332 | configMgr created successfully: configMgr[path=/opt/hermes/config.yaml]
2025-03-17T09:37:43.907Z | INFO | hermes/config.go:117 | Parsing configuration file: /opt/hermes/config.yaml
2025-03-17T09:37:43.907Z | INFO | hermes/config.go:338 | Config file /opt/hermes/config.yaml parsed successfully: &{PxGrid:{ClientName:~ise-hermes-ise341-psn1.poongarg.local Host:ise341-psn1.poongarg.local Port:8910 CertFile:/opt/xgrid/conf/ise-latest/host_H1742204190264.pem KeyFile:/opt/xgrid/conf/ise-latest/key_H1742204258381.pem CertPassword:aR8LRo9ZUmHnh5au3Gv7NX6VXn58SxehhxFtz2y2FL59PNfWWK9Lt/r+txTeQryR RootFile:/opt/xgrid/conf/ise-latest/ca_H1742204257774.pem} Log:{Level:info Files:[/opt/hermes/logs/hermes.log] Encoding:console} ERS:{Hostname:ise341-PAN.poongarg.local Port:-1 Enabled:false Username: CertFile:/opt/hermes/certs/adminCertFile.pem ConsumerKey: ConsumerSecret:} Proxy:{Host:bgl11-lab-wsa-1.cisco.com Port:80 Username: Password: BypassHosts:} Cloud:{CertFile:/opt/xgrid/conf/ise-latest/cacs_H1742198418638.pem} OpenAPI:{Hostname: Port:-1 Enabled:false Username: Password: CertFile:}}
2025-03-17T09:37:43.907Z | INFO | hermes/main.go:126 | Configuration loaded successfully
2025-03-17T09:37:43.908Z | INFO | trust/trust.go:28 | Custom trust bundle has been set/updated
2025-03-17T09:37:43.908Z | INFO | hermes/pxgrid.go:187 | Creating pxGrid WebSocket connection
2025-03-17T09:37:43.908Z | INFO | hermes/httpserver.go:57 | Starting REST server on :8913
2025-03-17T09:37:43.921Z | INFO | hermes/httpserver.go:78 | REST server is up and running
2025-03-17T09:37:43.983Z | INFO | pxgrid/websocket.go:93 | Got WS URL: wss://ise341-psn1.poongarg.local:8910/pxgrid/ise/pubsub
2025-03-17T09:37:44.066Z | INFO | pxgrid/websocket.go:107 | Connection to wss://ise341-psn1.poongarg.local:8910/pxgrid/ise/pubsub was created successfully
2025-03-17T09:37:44.066Z | INFO | hermes/connectionstatus.go:44 | Setting pxGrid connection status to CONNECTED

Catalyst Cloud Portal의 루트 CA 체인이 검증되었습니다.

2025-03-17T09:37:44.731Z | INFO | hermes/pxgrid.go:267 | Cloud credentials are obtained from ISE
2025-03-17T09:37:45.034Z | INFO | hermes/pxgrid.go:376 | DeviceID: 67d7e91688c5fd08d0860039, TenantID: e87c196c-c586-41af-9c26-2ea1e181164e
2025-03-17T09:37:45.743Z | INFO | rest/ocsp.go:207 | Making OCSP request at http://commercial.ocsp.identrust.com with timeout of 1500000000
2025-03-17T09:37:45.743Z | INFO | rest/ocsp.go:207 | Making OCSP request at http://commercial.ocsp.identrust.com with timeout of 1500000000
2025-03-17T09:37:46.273Z | INFO | rest/ocsp.go:254 | OCSP Validation passed for CN=HydrantID Server CA O1,OU=HydrantID Trusted Certificate Service,O=IdenTrust,C=US
2025-03-17T09:37:46.279Z | INFO | rest/ocsp.go:254 | OCSP Validation passed for CN=dnaservices.cisco.com,O=Cisco Systems Inc.,L=San Jose,ST=California,C=US
2025-03-17T09:37:47.054Z | INFO | rest/ocsp.go:207 | Making OCSP request at http://commercial.ocsp.identrust.com with timeout of 9000000000
2025-03-17T09:37:47.432Z | INFO | hermes/config.go:262 | File /opt/hermes/config.yaml modified. Event: WRITE
2025-03-17T09:37:47.533Z | INFO | hermes/config.go:117 | Parsing configuration file: /opt/hermes/config.yaml
2025-03-17T09:37:47.533Z | INFO | hermes/config.go:305 | New configuration loaded
2025-03-17T09:37:47.533Z | INFO | hermes/config.go:314 | Restarting Hermes due to configuration change

특정 주제 구독 요청이 한 번 생성되면 FMC 애플리케이션이 통합 카탈로그에 구성됩니다.

2025-03-17T12:54:09.975Z | INFO | pxgrid/subscriber.go:40 | Request to create new subscriber: service=com.cisco.ise.session , topicKey=groupTopic and topicFQN=/topic/com.cisco.ise.session.group
2025-03-17T12:54:09.975Z | INFO | pxgrid/subscriber.go:55 | Subscriber[service: com.cisco.ise.session, topic: groupTopic, id: cvc1msd3ct8r98jaf6dg] created successfully
2025-03-17T12:54:10.263Z | INFO | device-manager@v1.1.12/control.go:240 | Completed activate sync ID [session:userGroups--67d7e91688c5fd08d0860039]
2025-03-17T12:54:10.263Z | INFO | device-manager@v1.1.12/control.go:227 | Processing activate sync ID [profiler:profiles--67d7e91688c5fd08d0860039]
2025-03-17T12:54:10.263Z | INFO | hermes/pxgrid.go:117 | Request to add new pxGrid subscriber [com.cisco.ise.config.profiler:topic] for DxHub stream profiler:profiles
2025-03-17T12:54:10.263Z | INFO | pxgrid/subscriber.go:28 | Request to create new subscriber: com.cisco.ise.config.profiler:topic
2025-03-17T12:54:10.270Z | INFO | pxgrid/subscriber.go:40 | Request to create new subscriber: service=com.cisco.ise.config.profiler , topicKey=topic and topicFQN=/topic/com.cisco.ise.config.profiler
2025-03-17T12:54:10.270Z | INFO | pxgrid/subscriber.go:55 | Subscriber[service: com.cisco.ise.config.profiler, topic: topic, id: cvc1msl3ct8r98jaf6e0] created successfully
2025-03-17T12:54:10.559Z | INFO | device-manager@v1.1.12/control.go:240 | Completed activate sync ID [profiler:profiles--67d7e91688c5fd08d0860039]
2025-03-17T12:54:10.559Z | INFO | device-manager@v1.1.12/control.go:227 | Processing activate sync ID [trustsec:securityGroups--67d7e91688c5fd08d0860039]
2025-03-17T12:54:10.559Z | INFO | hermes/pxgrid.go:117 | Request to add new pxGrid subscriber [com.cisco.ise.config.trustsec:securityGroupTopic] for DxHub stream trustsec:securityGroups
2025-03-17T12:54:10.559Z | INFO | pxgrid/subscriber.go:28 | Request to create new subscriber: com.cisco.ise.config.trustsec:securityGroupTopic 
!
2025-03-17T16:17:30.050Z | INFO | api-proxy@v1.0.10/broker.go:114 | API-Proxy: Broker Agent start consuming 
2025-03-17T16:17:30.050Z | INFO | hermes/apiproxy.go:43 | API Proxy connection established
2025-03-17T16:17:30.050Z | INFO | hermes/connectionstatus.go:62 | Setting cloud connection status to CONNECTED
2025-03-17T16:17:30.057Z | INFO | hermes/dxhub.go:94 | Policies are obtained from ISE : &{Pxgrid:{ContextOutTopics:[com.cisco.ise.sxp:bindingTopic com.cisco.ise.config.profiler:topic com.cisco.ise.endpoint:topic com.cisco.ise.radius:failureTopic com.cisco.ise.trustsec:policyDownloadTopic com.cisco.ise.echo:echoTopic com.cisco.ise.mdm:endpointTopic com.cisco.ise.config.trustsec:securityGroupTopic com.cisco.ise.config.trustsec:securityGroupAclTopic com.cisco.ise.config.anc:statusTopic com.cisco.ise.config.upn:statusTopic com.cisco.ise.session:sessionTopic com.cisco.ise.session:groupTopic]}}

제한 사항

1. 사용자는 2개 이상의 노드에서 pxGrid Cloud 페르소나를 활성화할 수 없습니다.

2. Catalyst Cloud Portal에서 cdFMC로의 등록 취소가 지원되지만 그 반대의 경우도 지원되지는 않습니다.

참조

pxGrid 클라우드 ID 소스를 사용한 사용자 제어

Cisco pxGrid 클라우드

Cisco pxGrid 클라우드 솔루션 가이드