ISE 3.2 configureren en oplossen met FMC 7.2.4-integratie

Inleiding

In dit document worden procedures beschreven voor het integreren van de Identity Services Engine met Firewall Management Center met behulp van Platform Exchange Grid-verbindingen.

Voorwaarden

Cisco raadt kennis aan over deze onderwerpen:

• Identity Services Engine (ISE)
• Platform Exchange Grid
• Firewall Management Center (FMC)
• TLS/SSL Certificaten.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Identity Services Engine (ISE) versie 3.2 patch 3
• Firewall Management Center versie 7.2.4

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie.

Deze documentatie biedt een oplossing voor de integratie van FMC en ISE met behulp van pxGrid versie 2.

Cisco Firepower Management Center (FMC) is een gecentraliseerd platform voor het Next Generation Firewall and Intrusions Prevention System, dat beleidsbeheer, bedreigingsdetectie en incidentrespons biedt.

Cisco Identity Services Engine is een uitgebreide oplossing die veilige toegang tot eindpunten biedt door het leveren van diensten van authenticatie, autorisatie en verantwoording (AAA) en beleidshandhaving.

Met Platform Exchange Grid (pxGrid) kunt u informatie uitwisselen tussen netwerken van meerdere leveranciers en platforms.

Met deze integratie kunt u veilig toezicht houden, bedreigingen detecteren en het netwerkbeleid instellen op basis van de gedeelde informatie. 

Het PxGrid framework bestaat uit twee versies. De te gebruiken versie is afhankelijk van de ISE-versie en -patch die u moet bekijken.

Vanaf versie ISE 3.1 zijn alle pxGrid-aansluitingen van ISE gebaseerd op pxGrid versie 2.

PxGrid versie 1.

De eerste versie van dit framework (pxGrid v1) wordt gekenmerkt door de bruikbaarheid die werd gezien door de weergave van de toepassingsstatus zoals deze wordt weergegeven in de daaropvolgende uitvoer.

Wanneer de pxGrid-functie is ingeschakeld in de node, ziet u de pxGrid-functies in een actieve status.

PxGrid versie 1 onderhoudsmogelijkheden.

In deze versie van dit platform is het bekend dat het slechts één pxGrid-node heeft met de pxGrid-processen in actieve status terwijl de andere pxGrid-nodes in een standby-status staan.

Deze knooppunten bewaken voortdurend de status van de pxGrid-node met gerelateerde services die gerelateerd zijn aan het uitvoeren.

In dat geval was de primaire pxGrid-node een promotie en de andere pxGrid-node schakelde hun pxGrid-services in. 

Dat betekende echter een downtime toen deze failover plaatsvond.

De eerste versie van patgrid was gebaseerd op communicatie in Extensible Messaging and Presence Protocol (XMPP), een reeks technologieën die worden gebruikt in samenwerking en spraakinfrastructuur.

De onderwerpen die worden gedeeld in een pxGrid v1-verbinding zijn:

• sessiemap
• Metagegevens eindpuntprofiel
• Trustsec MetaData
• Endpoint Protection-mogelijkheid
• adaptieve netwerkbesturing
• MDM_Offline-onderwerp
• identiteit
• SXP

PxGrid versie 2.

Dit document behandelt het gebruik van PxGrid versie 2. Dit platform werkt met REST-bewerkingen op ISE- en WebSocket-protocollen die verbeteringen, verbeterde schaalbaarheid, prestaties en flexibiliteit in gegevensmodellen bieden.

In deze versie ziet u geen pargrid-functies die worden uitgevoerd zoals in de vorige versie met de opdracht Toepassingsstatus weergeven.

Raadpleeg de sectie voor validatie van ISE in dit document om te weten welke mechanismen moeten worden gecontroleerd om de pxGrid-functionaliteit te bekijken.

Met deze versie hebt u alle pxGrid-nodes die u configureert als actieve pxGrid-nodes. Deze zijn te allen tijde bereid om deel te nemen aan de uitwisseling van informatie.

In versie 1 kon slechts één node de service van pxGrid als actief houden.

De onderwerpen die worden gedeeld in een pxGrid v2-verbinding zijn:

• sessiemap
• Radiusfalen
• Profielconfiguratie
• systeemgezondheid
• MDM
• ANC-status
• TrustSec
• Configuratie van TrustSec
• TrustSec SXP
• Eindpuntactiva.

Onderdelen van pxGrid als platform.

PxGrid-controller (ISE): moet vertrouwen hebben in alle deelnemers die pxGrid gebruiken.

Klant: Kan abonnee en uitgever zijn van verschillende onderwerpen.

Uitgever: Opdrachtgever die informatie deelt met de verwerkingsverantwoordelijke.

Abonnee: Cliënt die de informatie van een onderwerp verbruikt.

Met deze integratie kunt u inhoudsbeleid op FMC maken op basis van de informatie die wordt gedeeld door ISE en hun gepubliceerde onderwerpen (gerelateerd aan de eindpuntactiviteit).

Configureren

Bereid de ISE voor op de integratie.

Stap 1. Configureer de ISE-node om de pxGrid-persona erop uit te voeren in het menu Beheer > Systeem > Implementatie.

Selecteer de nodes en schakel de functie pxGrid in.

ISEPXgrid-services in een node inschakelen.

Stap 2. Nadat u de nodes met de pxGrid-functie hebt ingeschakeld, controleert u de status van de websockets met betrekking tot de verbonden interne clients.

Navigeer naar Beheer > pxGrid Services > Websocket. Klanten die rechtstreeks naar de ISE-diensten verwijzen, worden op de hoogte gebracht via het IP-adres 127.0.0.1.

Interne WebSockets van ISE.

Stap 3. Navigeer door het menu Beheer > pxGrid Services > Instellingen en selecteer de optie om nieuwe certificaatbasisaccounts automatisch goed te keuren,

Deze stap is op dit punt optioneel, maar voor de pxGrid-verbinding wordt voorgesteld om dit selectievakje in te schakelen.

U kunt de FMC daarna handmatig als abonnee accepteren.

Automatische goedkeuring voor op pxGrid-certificaten gebaseerde accounts inschakelen.

Stap 4. Controleer de certificaten met betrekking tot de pxGrid-functionaliteit van uw omgeving in Beheer > Systeem > Systeemcertificaten,

Het wordt aanbevolen dat u homogene pxGrid-certificaten hebt in alle knooppunten van uw implementatie die zijn ondertekend door dezelfde root Certificate Authority (CA)

In dit scenario maken we gebruik van de gegenereerde interne ISE-certificaten. Voor deze versie van ISE waarbij in dit voorbeeld de root CA overeenkomt met de PAN-node.

Diagram Interne Certificaten op ISE.

Opmerking: voor meer informatie over de interne structuur van certificaten die op ISE zijn gegenereerd, raadpleegt u Interne certificaatautoriteit-services van ISE begrijpen.

PxGrid-certificaten in een gedistribueerde implementatie.

Stap 5. Controleer de status van de pxGrid-certificaten.

Selecteer in het vorige menu een selectievakje van een node pxGrid-certificaat en selecteer vervolgens de optie Bekijken.

De uitvoer ziet eruit zoals die hier wordt weergegeven in de pxGrid-certificaten.

Verificatie van het pxGrid-certificaat.

Bereid het FMC voor op de integratie.

Stap 1. Bevestig dat de interne tijd van de VCC up-to-date is.

Navigeer naar Systeem > Configuratie > Tijd en zorg ervoor dat de tijd die op de FMC is geconfigureerd up-to-date is.

Controleren of het VCC up-to-date is.

Als de FMC-tijd niet wordt bijgewerkt, moet u ervoor zorgen dat NTP correct is geconfigureerd en in Sync. NTP kan worden geconfigureerd onder Systeem > Configuratie > Tijd > + Toevoegen.

Tijdsynchronisatie op FMC.

Stap 2. Navigeer naar Systeem > Configuratie > Beheerinterface > Gedeelde instellingen en controleer of ten minste het veld Primaire DNS-server een geldige DNS-server-IP bevat.

DNS-configuratie op FMC.

Stap 3. Controleer of de FMC-hostnaam is geconfigureerd.  

Navigeer naar Systeem > Configuratie > Beheerinterface > Gedeelde instellingen en controleer of het veld Hostname de FMC-hostnaam bevat.

U kunt deze stap controleren terwijl u de vorige stap in deze sectie bekijkt. 

De pxGrid-verbinding tussen ISE en FMC instellen.

Stap 1. Navigeer naar het menu Beheer > pxGrid Services > Clientbeheer > Certificaten.

Selecteer in de eerste optie de optie Ik wil één certificaat genereren (zonder verzoek om ondertekening van een certificaat). 

Voer in het gedeelte Common Name (CN) de FQDN van het VCC in dat de ISE een certificaat moet afgeven.

Geef een beschrijving.

Voer in het gedeelte Alternatieve naam onderwerp (SAN) het FQDN- en IP-adres van de FMC in om verbinding te maken.

Selecteer onderaan in de indeling Certificaat downloaden in het vervolgkeuzemenu de optie Certificaat in de indeling Privacy Enhanced Electronic Mail (PEM).

Input PKCSS PEM-indeling (inclusief certificaatketen).

Voer een wachtwoord in en sla dit op in Certificaatwachtwoord terwijl u dit wachtwoord later in de FMC gebruikt.

Bevestig het wachtwoord en selecteer vervolgens Maken.

Voorbeeld van het genereren van pxGrid-certificaten.

Stap 2. Een zip-bestand wordt gedownload naar uw computer. Comprimeer het bestand en bevestig dat u deze bestanden uit uw omgeving hebt:

PxGrid-certificaten gegenereerd door ISE.

Stap 3. Navigeer in de FMC naar het menu Objecten > Objectenbeheer > PKI > Interne certs.

Selecteer de optie Intern cert toevoegen.

Het FMC-certificaat toevoegen als intern certificaat.

Stap 4. Geef de naam van het certificaat dat aan het VCC is toegewezen. 

Blader door het certificaat dat u hebt gemaakt voor de FMC van ISE in de sectie Certificaatgegevens. 

Blader door het bestand met de extensie .key om het volgende veld in te vullen.

Selecteer de optie Versleuteld en voer het wachtwoord in dat u hebt gebruikt toen u het certificaat op ISE maakte.

Sla de configuratie op.

Exporteren van het FMC-certificaat dat is gegenereerd door ISE.

FMC-certificaat.

Stap 5. Navigeer naar het menu Objecten > Objectenbeheer > PKI > Vertrouwde CA's,

Selecteer Vertrouwde CA's toevoegen.

De ISE rootCA toevoegen als vertrouwd certificaat.

Stap 6. Noem de certificeringsinstantie.

Blader en selecteer de ISE rootCA die is gedownload uit het ISE-bestand.

Sla uw configuratie op.  

De ISE rootCA exporteren.

Stap 7. Navigeer naar het menu Integratie > Andere integraties > Identiteitsbronnen.

Selecteer in Servicetype: Identity Services Engine,

Voer het IP-adres of het FQDN in van de pxGrid-node die de primaire node wordt.

Herhaal de procedure voor de secundaire pxGrid-node.

Selecteer in de vervolgkeuzelijst het pxGrid-certificaat dat door ISE is gegenereerd voor de sectie pxGrid-clientcertificaat,

Selecteer in de sectie MNT Server CA en pxGrid Server CA de ISE rootCA die u in de laatste stap hebt geëxporteerd.

Opmerking: de CA van pxGrid Server komt overeen met de root Certificate Authority van het certificaat dat wordt gebruikt door pxGrid op de pxGrid-knooppunten.

De CA van de MNT-server komt overeen met de certificeringsinstantie van het certificaat dat wordt gebruikt door pxGrid op de MNT-knooppunten.

(Optioneel) U kunt zich abonneren op de sessiemap en het SXP-onderwerp van ISE. 

Sla de configuratie op.

ISE instellen als identiteitsbron in FMC.

Verifiëren.

Validering op FMC.

Navigeer in het menu naar Integratie > Andere integraties > Identiteitsbronnen > Identity Services Engine voordat u uw configuratie opslaat. U kunt de instellingen voor de pxGrid-koppeling testen.

PxGrid voor succesvolle communicatie.

Primary host:

[INFO]: PXGrid v2 is enabled
[INFO]: pxgrid 2.0: account activate succeeded
[INFO]: Successful connection to ssptise02.ssptsec.mex:8910
[INFO]: Successful connection to ssptise01.ssptsec.mex:8910
[INFO]: These ISE Services are up: SessionDirectory, SXP, EndpointProfile, SecurityGroups, AdaptiveNetworkControl
[INFO]: All requested ISE Services are online.

Secondary host:

[INFO]: PXGrid v2 is enabled
[INFO]: pxgrid 2.0: account activate succeeded
[INFO]: Successful connection to ssptise02.ssptsec.mex:8910
[INFO]: Successful connection to ssptise01.ssptsec.mex:8910
[INFO]: These ISE Services are up: SessionDirectory, SXP, EndpointProfile, SecurityGroups, AdaptiveNetworkControl
[INFO]: All requested ISE Services are online.

Validatie op ISE.

Wanneer de FMC pxGrid-client succesvol is geïntegreerd in ISE, ziet u (in het menu Beheer > pxGrid Services > Clientbeheer > Clients) clients met de naam fmc worden opgenomen en ingeschakeld.

PxGrid-clients beschikbaar en ingeschakeld.

Opmerking: de pxGrid-clients waarvan het voorvoegsel begint met "t-fmc" zijn de clients die worden gebruikt via de testknop van de FMC.

Ook als u naar het menu Beheer > pxGrid Services > Diagnostics > WebSocket navigeert, ziet u de verbindingen naar de FMC.

In het scenario waarin u de FMC in hoge beschikbaarheid hebt, ziet u vervolgens de primaire en secundaire eenheden zoals deze in dit voorbeeld worden weergegeven:

WebSockets beschikbaar op ISE.

Op het volgende tabblad van dit menu met de naam OnderwerpenVervolgens kunt u controleren of de FMC-abonnees zijn toegevoegd aan de pxGrid-onderwerpen die door ISE zijn gepubliceerd.

Er is bijvoorbeeld het onderwerp met betrekking tot de beveiligingsgroep waar u kunt zien dat beide FMC zijn geabonneerd en informatie ontvangen met betrekking tot SGT gepost door ISE.

Onderwerpen per pxGrid-abonnee.

In het menu Beheer > pxGrid Services > Diagnostics > Log worden belangrijke gebeurtenissen weergegeven die verband houden met pxGrid-communicatie (voor de knooppunten waarvoor de functie Ingeschakeld is ingeschakeld). 

Deze geven de informatie weer die verband houdt met de integratie.

Live-logs van PxGrid.

Problemen oplossen

Problemen oplossen bij FMC. 

Bevestig dat FMC zijn eigen hostnaam en ISE-nodes kan oplossen met hostnamen.  

Voorbeeld:

> expert
admin@sspt_fmc01_lab:~$ ping sspt_fmc01_lab

PING sspt_fmc01_lab (10.4.49.51) 56(84) bytes of data.
64 bytes from sspt_fmc01_lab (10.4.49.51): icmp_seq=1 ttl=64 time=0.029 ms
64 bytes from sspt_fmc01_lab (10.4.49.51): icmp_seq=2 ttl=64 time=0.071 ms
64 bytes from sspt_fmc01_lab (10.4.49.51): icmp_seq=3 ttl=64 time=0.055 ms
^C
--- sspt_fmc01_lab ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 27ms

admin@sspt_fmc01_lab:~$ ping ssptise01
PING ssptise01.ssptsec.mex (10.4.49.41) 56(84) bytes of data.
64 bytes from ssptise01.ssptsec.mex (10.4.49.41): icmp_seq=1 ttl=64 time=0.586 ms
64 bytes from ssptise01.ssptsec.mex (10.4.49.41): icmp_seq=2 ttl=64 time=0.646 ms
64 bytes from ssptise01.ssptsec.mex (10.4.49.41): icmp_seq=3 ttl=64 time=0.743 ms
^C
--- ssptise01.ssptsec.mex ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 82ms
rtt min/avg/max/mdev = 0.586/0.658/0.743/0.068 ms
admin@sspt_fmc01_lab:~$
admin@sspt_fmc01_lab:~$ ping ssptise02

PING ssptise02.ssptsec.mex (10.4.49.42) 56(84) bytes of data.
64 bytes from ssptise02.ssptsec.mex (10.4.49.42): icmp_seq=1 ttl=64 time=0.588 ms
64 bytes from ssptise02.ssptsec.mex (10.4.49.42): icmp_seq=2 ttl=64 time=0.609 ms
64 bytes from ssptise02.ssptsec.mex (10.4.49.42): icmp_seq=3 ttl=64 time=0.628 ms
^C
--- ssptise02.ssptsec.mex ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 45ms
rtt min/avg/max/mdev = 0.588/0.608/0.628/0.025 ms

Zorg ervoor dat het ADI-proces actief is:

> expert
sudo suadmin@sspt_fmc01_lab:~$ sudo su
root@sspt_fmc01_lab:/Volume/home/admin#  pmtool status | grep adi  

adi (normal) - Running 7911

Zorg ervoor dat communicatie van FMC naar ISE op poort TCPP 8910 is toegestaan. Vanuit FMC CLI kunnen we een tcpudump pakketopname configureren om bidirectionele communicatie te bevestigen.

> expert
sudo suadmin@sspt_fmc01_lab:~$ sudo su

root@sspt_fmc01_lab:/Volume/home/admin# tcpdump -i any tcp and port 8910
22:34:08.415370 IP sspt_fmc01_lab.46248 > ssptise01.ssptsec.mex.8910: Flags [S], seq 3033526171, win 29200, options [mss 1460,sackOK,TS val 2701166399 ecr 0,nop,wscale 7], length 0
22:34:08.415840 IP ssptise01.ssptsec.mex.8910 > sspt_fmc01_lab.46248: Flags [S.], seq 3024877968, ack 3033526172, win 28960, options [mss 1460,sackOK,TS val 2268665064 ecr 2701166399,nop,wscale 7], length 0
22:34:08.415894 IP sspt_fmc01_lab.46248 > ssptise01.ssptsec.mex.8910: Flags [.], ack 1, win 229, options [nop,nop,TS val 2701166400 ecr 2268665064], length 0
[...]

Problemen oplossen bij ISE.

Controleer of de communicatie op poort 8910 operationeel is.

Dit is de poort die door de pxGrid-clients wordt gebruikt om te communiceren met pxGrid-knooppunten en MnT-knooppunten voor het bulkdownloaden van informatie.

PxGrid-interactie in ISE-omgeving.

Opmerking: De pxGrid-client, in dit geval de FMC communiceert met de pxGrid-knooppunten en de secundaire MNT (SMNT) node om de (Bulk Download) van de informatie te krijgen, in het geval van een storing in de SMNT zoekt het naar de informatie via de primaire MNT.

In de ISE-knooppunten waar de communicatie met de pxGrid-client wordt gehouden, kunt u controleren of de poort open is of er sockets zijn aangesloten op die poort.

#show ports | include 8910
tcp: (output omitted), :::8910, 

Er zijn 2 tests beschikbaar op ISE die de algehele status van de pxGrid-implementaties diagnosticeren.

Deze zijn te vinden in het menu Beheer > pxGrid Services > Diagnostics > Test.

De tests die in deze sectie worden weergegeven, worden intern uitgevoerd op ISE.

test voor gezondheidsbewaking bekijkt de pxGrid-service-lookup, waarin wordt geëvalueerd of een client toegang heeft tot de sessiemap, service en onderwerpen die zijn gepubliceerd door de pxGrid-controller.

Selecteer de optie Test starten en wacht tot de logs zijn verzameld.

PxGrid-test voor gezondheidsbewaking.

Nadat de test is voltooid, selecteert u de optie Log bekijken. In dit voorbeeld is de inhoud van het log:

Evaluatie van de test voor gezondheidsmonitoring.

22-Aug-2023 17:03:13 [INFO] ************** pxGrid Session Directory Test ***************
22-Aug-2023 17:03:13 [INFO] ----------------- Starting Connection Test -----------------
22-Aug-2023 17:03:14 [INFO] pxGrid Node: ssptise01.ssptsec.mex
22-Aug-2023 17:03:14 [INFO] wsPubsubServiceName=com.cisco.ise.pubsub
22-Aug-2023 17:03:14 [INFO] sessionTopic=/topic/com.cisco.ise.session
22-Aug-2023 17:03:14 [INFO] sessionRestBaseUrl=https://ssptise01.ssptsec.mex:8910/pxgrid/mnt/sd
22-Aug-2023 17:03:14 [INFO] wsUrl=wss://ssptise02.ssptsec.mex:8910/pxgrid/ise/pubsub
22-Aug-2023 17:03:15 [INFO] ---------------- Connection Test Completed -----------------
22-Aug-2023 17:03:15 [INFO] ------------------ Starting Download Test ------------------
22-Aug-2023 17:03:15 [INFO] Downloading sessions since 2023-08-21T17:03:15.273-06:00
22-Aug-2023 17:03:15 [INFO] Response status=200
22-Aug-2023 17:03:15 [INFO] Number of sessions read: 0
22-Aug-2023 17:03:15 [INFO] ----------------- Download Test Completed ------------------
22-Aug-2023 17:03:15 [INFO] ----------------- Starting Subscribe Test ------------------
22-Aug-2023 17:03:16 [INFO] STOMP CONNECT host=ssptise02.ssptsec.mex
22-Aug-2023 17:03:16 [INFO] STOMP SUBSCRIBE topic=/topic/com.cisco.ise.session
22-Aug-2023 17:03:16 [INFO] STOMP CONNECTED version=1.2
22-Aug-2023 17:07:16 [INFO] A total of 0 notifications were received.
22-Aug-2023 17:07:16 [INFO] STOMP RECEIPT id=77
22-Aug-2023 17:07:19 [INFO] ----------------- Subscribe Test Completed -----------------
22-Aug-2023 17:07:19 [INFO] ********** pxGrid Session Directory Test Complete **********

PxGrid Database Synchronization Test controleert of de informatie binnen de databases juist is tussen de PAN- en pxGrid-knooppunten en gesynchroniseerd.

Daarom is de informatie die naar de pxGrid-abonnees wordt verzonden, nauwkeurig.

Selecteer de optie Test starten en wacht tot de resultaten geëvalueerd zijn.

PxGrid-database synchronisatietest.

Uit de gegenereerde logs werd deze output verkregen.

ssptise01.ssptsec.mex : In Sync
ssptise02.ssptsec.mex : In Sync

Primary PAN : ssptise01.ssptsec.mex
pxGrid Nodes : ssptise01.ssptsec.mex ssptise02.ssptsec.mex

Verzamel een opname op vanaf de pxGrid-knooppunten die naar het primaire FMC-knooppunt wijzen.

Navigeer naar het menu Bewerkingen > Problemen oplossen > Diagnostische hulpmiddelen > TCP-dumping,

Selecteer de optie om een nieuwe opname toe te voegen.

Het genereren van een pakketopname op ISE.

Configureer de parameters voor de opname.

Selecteer in Hostnaam de primaire pxGrid-node die is geselecteerd in de FMC. 

Filter het verkeer met deze syntaxis ip host <FMC IP>

Geef de naam van de opname en ga vervolgens verder met Opslaan en Uitvoeren.

Voorbeeld van configuratie voor pakketvastlegging.

In een ander venster, in het FMC-menu Integratie > Andere integraties > Identiteitsbronnen, Test de verbinding met de ISE via het pxGrid-kanaal.

Wanneer u de uitkomst van de test krijgt, gaat u verder met Stoppen van de opname op ISE.

Een pakketopname op ISE stoppen.

Download de opname en start de analyse. In dit scenario wordt een vastlegging van een werkverbinding weergegeven die als referentie kan dienen.

PxGrid-communicatie tussen ISE en FMC.

Bovendien kunt u op ISE debugs verzamelen met betrekking tot pxGrid-verwerking.

Navigeer door het menu Bewerkingen > Problemen oplossen > Wizard Foutopsporing > Logboekconfiguratie voor foutopsporing,

Selecteer het betreffende ISE-knooppunt om te analyseren en vervolgens Bewerken.

Een node selecteren om te debuggen op ISE.

Filter de weergegeven componenten en wijzig het logniveau om de parametrische component te DEBUGGEN om verder te gaan met een analyse.

Sla de configuratie op.

De component pxGrid wijzigen in debugniveau.

Reproduceer het te analyseren gedrag en ga vervolgens verder met het analyseren van de logs die zijn verzameld in het bestand pxgrid-server.log. Andere logs die u kunt bekijken op ISE node om problemen op te lossen zijn:

#show logging application | include pxgrid
ise-pxgriddirect.log
pxgrid/pxgrid-server.log
pxgrid/pxgrid-test.log
pxgrid/pxgrid_dbsync_summary.log
pxgrid/pxgrid_internal_dbsync_summary.log
pxgriddirect.log

Tip: Voor verdere aanbevelingen voor het verzamelen van logboeken, bekijk de video Hoe foutopsporingen op ISE 3.x-versies in te schakelen.

Gemeenschappelijke problemen. 

De abonnee-client van PxGrid is niet goedgekeurd op ISE.

Voor deze use case toont de uitvoer gerelateerd aan de FMC test pxGrid knop dit gedrag:

De FMC pxGrid-verbinding is mislukt.

Primary host:

[INFO]: PXGrid v2 is enabled
[ERROR]: pxgrid 2.0: failed account activation. accountState=PENDING
[ERROR]: Failed to contact pxGrid node at '10.4.49.41': pxgrid2.0: Could not activate account

Secondary host:

[INFO]: PXGrid v2 is enabled
[ERROR]: Performing request failed with a timeout.
[ERROR]: Failed to contact pxGrid node at '10.4.19.42': Request failed with a timeout.

Op ISE ziet u het gedrag in het menu Beheer > PxGrid Services > Clientbeheer > Clients dat aangeeft dat de pxGrid-client (FMC) in behandeling is voor goedkeuring.

Selecteer de knop Goedkeuren, bevestig de selectie in het volgende venster en probeer de integratie opnieuw.

Deze keer is de integratie succesvol.

FMC-client in wachtstand.

Bevestiging van de goedkeuring van de pxGrid-client.

Let op als u de automatische goedkeuring van op certificaten gebaseerde pxGrid-clients wilt inschakelen.

De clients van de vorige pagina goedkeuren/weigeren, aangezien dit alarm kan worden weergegeven.

Fout met betrekking tot de goedkeuring van pxGrid-clients.

PxGrid ISE-certificaatketen onvolledig.

Als u in dit scenario naar het menu Beheer > Systeem > Certificaat navigeert, selecteert u het parametercertificaat en selecteert u de optie Bekijken,

In het geval dat u een probleem heeft met het certificaat, zijn deze gerelateerde fouten mogelijk.

Fout met betrekking tot onvolledige certificaatketen.

De eerste stap om te controleren is of u de ISE root-CA hebt voltooid in de optie Weergave.

Als er een certificaat ontbreekt in de hiërarchie, kunt u de volledige ISE-implementatie-root-CA uitgeven.

Blader naar het menu Beheer > Systeem > Certificaten > Certificaatbeheer > Certificaatondertekeningsverzoek (CSR) en selecteer die knop.

Het genereren van een CSR op ISE.

Selecteer in dit menu ISE Root CA gebruiken en ISE Root CA regenereren voor alle nodes.

Ga verder met de knop ISE Root CA-certificaatketen vervangen.

De aanvraag voor de ondertekening van het certificaat configureren.

Wacht tot de certificaten zijn gegenereerd in alle knooppunten van de implementatie.

Na voltooiing geeft de ISE de volgende melding weer.

Bevestiging van het genereren van certificaten.

Controleer of de vertrouwensketen van het pxGrid-certificaat is voltooid door de optie Bekijken in Systeemcertificaten te selecteren.

Referentie.

PxGrid Cisco-ontwikkelaarspagina.

Cisco Identity Services Engine Administrator Guide, release 3.2, hoofdstuk: Cisco pxGrid.

Installatiehandleiding voor de Cisco Identity Services-engine, release 3.2, hoofdstuk: Cisco ISE Ports Reference

Cisco Identity Services Engine CLI-referentiehandleiding, release 2.4