Solución de problemas de integración de ISE

Opciones de descarga

  • PDF     (1.5 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.5 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (927.1 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:15 de abril de 2024
ID del documento:221834

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    En este documento se describen los pasos para la solución de problemas de la integración de CyberVision Center a ISE.

    Descripción general de las prácticas recomendadas

    Las prácticas recomendadas son los pasos recomendados que debe considerar para garantizar el funcionamiento correcto de la configuración del sistema. Recomendaciones:

    • Consulte las notas de la versión de Cisco Cyber Vision y las notas de la versión de Cisco Identity Services Engine (ISE) para conocer las últimas características, directrices, limitaciones y advertencias
    • Verifique y solucione cualquier cambio de configuración nuevo después de implementarlo

    Diagrama de flujo de alto nivel de CCV-ISE

    Diagrama de flujo de alto nivel de integración de CCV a ISE

    Pautas para la resolución de problemas

    Respondiendo a las próximas preguntas, puede determinar la ruta de solución de problemas y los componentes que necesitan más investigación. Responda a las siguientes preguntas para determinar el estado de su instalación:

    • ¿Se trata de un sistema recién instalado o de una instalación existente?
    • ¿CyberVision ha podido ver alguna vez el ISE?

    Verifique el estado de los servicios pxGrid mediante el comando systemctl status pxgrid-agent.

    Estado del servicio del agente pxGrid en la CLI de CCV

    • ¿ISE ejecuta pxGrid con alta disponibilidad?
    • ¿Qué cambió en la configuración o en la infraestructura general inmediatamente antes de que las aplicaciones comenzaran a tener problemas?
      •

    Para descubrir un problema de red, utilice los pasos generales de troubleshooting de la red:

    Paso 1. ¿Puede hacer ping al nombre de host de CyberVision Center desde ISE?

    Estado de ping de ISE hacia el centro

    Si no puede hacer ping, conéctese a ISE CLI mediante Secure Shell (SSH) y Add hostname (Agregar nombre de host).

    Adición de un nombre de host en ISE

    Paso 2. ¿Puede hacer ping al nombre de host de ISE desde el CyberVision Center?

    Estado de ping desde el centro hacia ISE

    Si no es así, intente agregar el nombre de host de ISE al /data/etc/hosts archivo en Center.

    Adición de un nombre de host en CCV Center

    Paso 3. Detectar problemas de certificados.


    Ingrese el comando openssl s_client -connect YourISEHostname:8910 de CyberVision Center.

    Descubriendo problemas de certificados en el centro

    Datos que recopilar

    Para problemas de red:

    • Arquitectura:
      •

    Es útil contar con un esquema que muestre esos detalles entre el centro e ISE:

    • Reglas de firewall
    • Rutas estáticas
    • Configuración del gateway
    • Configuraciones de VLAN
      •
    • Registros que recopilar para todos los problemas de ISE:
      •

    Puede empezar por recopilar un archivo de diagnóstico del centro para evitar la pérdida de datos.

    Recopilación de diagnósticos de CCV Center

    A continuación, active los registros avanzados en el centro mediante este procedimiento:
    Cree dos archivos en la carpeta /data/etc/sbs.
    El primer archivo debe tener nombre listener.conf y contener el contenido:

    (Observe el espacio inicial delante del nivel de registro.)

    root@Center:~# cat /data/etc/sbs/listener.conf
    configlog:
     loglevel: debug
    root@Center:~#

    El segundo archivo debe tener nombre pxgrid-agent.conf y contener el contenido:

    (Observe el espacio inicial delante del nivel de registro.) 

    root@Center:~# cat /data/etc/sbs/pxgrid-agent.conf
    configlog:
     loglevel: debug

    Una vez creados ambos archivos, reinicie el Centro o reinicie los servicios sbs-burrow y pxgrid-agent.

    Restart service using the command: 
    #systemctl restart sbs-burrow
    #systemctl restart pxgrid-agent

    Luego recopile los registros de pxGrid (utilice las herramientas de transferencia de archivos para exportar los registros desde el Centro).

    root@Center:~# journalctl -u pxgrid-agent > /data/tmp/pxgridLogs.log

    Recopile capturas de tcpdump para analizar el flujo de comunicación entre el centro e ISE.

    root@Center:~# tcpdump -i eth0 -n host CCV_IP and host ISE_IP -w /data/tmp/ccv_ise.pcap
    • Habilite las depuraciones en ISE y recopile el paquete de asistencia.
      •

    Para habilitar los debugs en ISE, navegue hasta Administration > System > Logging > Debug Log Configuration. Establezca los niveles de registro en los siguientes:

    Persona

    Nombre del componente

    Nivel de registro

    Archivo para comprobar

    PAN (opcional)

    generador de perfiles

    DEPURAR

    profiler.log

    PSN con la sonda pxGrid habilitada

    generador de perfiles

    DEPURAR

    profiler.log

    PxGrid

    pxgrid

    RASTREAR

    pxgrid-server.log

    Mensajes de registro esperados

    Los logs de depuración del pxGrid-agent en el centro muestran el agente que se está iniciando, el servicio que se ha registrado, Cisco Cyber Vision (CCV) Estableciendo una conexión simple (o de transmisión) de protocolo de mensajería orientada a texto (STOMP) con ISE y enviando la operación de actualización para un activo/componente:

    Jul 11 13:05:02 center systemd[1]: Started Agent for interfacing with pxGrid.
    Jul 11 13:05:02 center pxgrid-agent[5404]: pxgrid-agent Center type: standalone [caller=postgres.go:543]
    Jul 11 13:05:03 center pxgrid-agent[5404]: pxgrid-agent RPC server listening to: '/tmp/pxgrid-agent.sock' [caller=main.go:119]
    Jul 11 13:05:03 center pxgrid-agent[5404]: pxgrid-agent HTTP server listening to: '169.254.0.90:2027' [caller=main.go:154]
    Jul 11 13:05:03 center pxgrid-agent[5404]: pxgrid-agent Request path=/pxgrid/control/AccountActivate body={} [caller=control.go:147]
    Jul 11 13:05:03 center pxgrid-agent[5404]: pxgrid-agent Account activated [caller=pxgrid.go:58]
    Jul 11 13:05:03 center pxgrid-agent[5404]: pxgrid-agent Request path=/pxgrid/control/ServiceRegister body={"name":"com.cisco.endpoint.asset","properties":{"assetTopic":"/topic/com.cisco.endpoint.asset","restBaseUrl":"https://Center:8910/
    Jul 11 13:05:04 center pxgrid-agent[5404]: pxgrid-agent Service registered, ID: c514c790-2361-47b5-976d-4a1b5ccfa8b7 [caller=pxgrid.go:76]
    Jul 11 13:05:04 center pxgrid-agent[5404]: pxgrid-agent Request path=/pxgrid/control/ServiceLookup body={"name":"com.cisco.ise.pubsub"} [caller=control.go:147]
    Jul 11 13:05:05 center pxgrid-agent[5404]: pxgrid-agent Request path=/pxgrid/control/AccessSecret body={"peerNodeName":"com.cisco.ise.pubsub"} [caller=control.go:147]
    Jul 11 13:05:06 center pxgrid-agent[5404]: pxgrid-agent Websocket connect url=wss://labise. aaalab .com:8910/pxgrid/ise/pubsub [caller=endpoint.go:129]
    Jul 11 13:05:07 center pxgrid-agent[5404]: pxgrid-agent STOMP CONNECT host=10.48.78.177 [caller=endpoint.go:138]
    Jul 11 13:06:59 center pxgrid-agent[5404]: pxgrid-agent STOMP SEND destination=/topic/com.cisco.endpoint.asset body={"opType":"UPDATE","asset":{"assetId":"01:80:c2:00:00:00","assetName":"LLDP/STP bridges Multicast 0:0:0","assetIpAddress"
    Jul 11 13:10:04 center pxgrid-agent[5404]: pxgrid-agent Request path=/pxgrid/control/ServiceReregister body={"id":"c514c790-2361-47b5-976d-4a1b5ccfa8b7"} [caller=control.go:147]


    El formato de mensaje esperado tras la integración correcta y el atributo assetGroup se publica sin valor, como se muestra a continuación:

     Jan 25 11:05:49 center pxgrid-agent[1063977]: pxgrid-agent STOMP SEND destination=/topic/com.cisco.endpoint.asset body={"opType":"UPDATE","asset":{"assetId":"48:4d:7e:e0:e2:52","assetName":"Dell 10.234.176.35","assetIpAddress":"10.234.176.35","assetMacAddress":"48:4d:7e:e0:e2:52","assetVendor":"Dell Inc.","assetProductId":"","assetSerialNumber":"","assetDeviceType":"","assetSwRevision":"","assetHwRevision":"","assetProtocol":"SMB","assetCustomAttributes":[{"key":"assetSource","value":"CCV"},{"key":"assetGroup","value":""},{"key":"assetCustomName","value":"test"},{"key":"assetGroupPath","value":""}],"assetConnectedLinks":[]}} length=513 [caller=endpoint.go:149]

    Formato de mensaje esperado (assetGroup con un valor, como se muestra). Esto confirma que CyberVision Center está enviando los atributos y, si no se refleja más en el lado de ISE, debe investigar con ISE más a fondo.

    Jan 25 11:09:28 center pxgrid-agent[1063977]: pxgrid-agent STOMP SEND destination=/topic/com.cisco.endpoint.asset body={"opType":"UPDATE","asset":{"assetId":"48:4d:7e:e0:e2:52","assetName":"Dell 10.234.176.35","assetIpAddress":"10.234.176.35","assetMacAddress":"48:4d:7e:e0:e2:52","assetVendor":"Dell Inc.","assetProductId":"","assetSerialNumber":"","assetDeviceType":"","assetSwRevision":"","assetHwRevision":"","assetProtocol":"SMB","assetCustomAttributes":[{"key":"assetSource","value":"CCV"},{"key":"assetGroup","value":"test group"},{"key":"assetCustomName","value":"test"},{"key":"assetGroupPath","value":"test group"}],"assetConnectedLinks":[]}} length=533 [caller=endpoint.go:149]

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    15-Apr-2024
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Venkat R
      Ingeniero del TAC de Cisco
    • Jaswanth D K
      Ingeniería de Cisco
    • Walid Boudaa
      Ingeniería de Cisco

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco