排除FMC上的安全云集成连接问题

问题

思科防火墙管理中心(FMC)无法建立与思科安全云的连接以进行集成。

环境

• 适用于VMware的思科安全FMC（适用于所有型号）

• 软件版本:7.6.2.1（适用于所有版本）

• 具有上游安全控制/防火墙策略的网络环境

分辨率

要解决思科安全云集成连接问题，请遵循以下故障排除和解决步骤：

1:以root用户身份使用FMC中的以下命令测试与所需思科安全云URL的连接：

curl -v -k https://www.defenseorchestrator.com
nslookup www.defenseorchestrator.com
telnet www.defenseorchestrator.com 443
curl -v -k https://admin.sse.itd.cisco.com
nslookup admin.sse.itd.cisco.com
telnet admin.sse.itd.cisco.com 443
curl -v -k https://securex.us.security.cisco.com
nslookup securex.us.security.cisco.com
telnet securex.us.security.cisco.com 443
curl -v -k https://api-services.us.sse.itd.cisco.com
nslookup api-services.us.sse.itd.cisco.com
telnet api-services.us.sse.itd.cisco.com 443
curl -v -k https://api-sse.cisco.com
nslookup api-sse.cisco.com
telnet api-sse.cisco.com 443
curl -v -k https://registration.us.sse.itd.cisco.com
nslookup registration.us.sse.itd.cisco.com
telnet registration.us.sse.itd.cisco.com 443

2:如果连接测试显示连接拒绝或禁止响应，请更新上游网络安全策略，以允许FMC出站HTTPS访问us-east-1区域的所有所需思科安全云URL（如果该区域正在使用）。确保允许这些URL通过TCP端口443从FMC通过任何中间防火墙、代理或安全控制访问互联网。

inline_image_0.png

• www.defenseorchestrator.com

• admin.sse.itd.cisco.com

• securex.us.se curity.cisco.com

• api-services.us.ss e.itd.cisco.com

• api-sse.cisco.com

• registration.us.ss e.itd.cisco.com

3:更新网络安全策略后，请从FMC接口和curl/telnet命令重试思科安全云集成。现在，通过正确访问所有所需的云端点，集成成功完成。

原因

FMC无法访问思科安全云后端服务，因为所选区域(us-east-1)所需的思科云URL不允许通过网络安全控制，从而导致集成过程中发生HTTPS连接故障。

相关内容

• 使用安全云控制管理内部FMC
• 思科技术支持和下载