ISE 3.2 met FMC 7.2.4-integratie configureren en problemen oplossen

Bijgewerkt:29 augustus 2023
Document-id:220856

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft procedures voor het integreren van Identity Services Engine met Firewall Management Center met behulp van Platform Exchange Grid-verbindingen.

    Voorwaarden

    Cisco raadt kennis over deze onderwerpen aan:

    • Identity Services Engine
    • Platform Exchange Grid
    • Firewallbeheercentrum
    • TLS-/SSL-certificaten.

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Identity Services Engine (ISE) versie 3.2 patch 3
    • Firewall Management Center versie 7.2.4

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie.

    Deze documentatie biedt een oplossing om FMC en ISE te integreren met behulp van pxGrid versie 2.

    Cisco Firepower Management Center is een gecentraliseerd platform voor Firewall en Inbraakpreventiesysteem van de volgende generatie dat beleidsbeheer, detectie van bedreigingen en respons op incidenten biedt.

    Cisco Identity Services Engine is een uitgebreide oplossing die beveiligde toegang tot endpoints biedt door services te bieden op het gebied van verificatie, autorisatie en verantwoordingsplicht (AAA) en beleidshandhaving.

    Platform Exchange Grid (pxGrid) stelt u in staat informatie uit te wisselen tussen netwerken van meerdere leveranciers en meerdere platforms.

    Dankzij deze integratie kunt u beveiligde bewaking, detectie van bedreigingen en het ingestelde netwerkbeleid op basis van de gedeelde informatie krijgen. 

    PxGrid-framework heeft 2 versies. De te gebruiken hangt af van de ISE-versie en de patch die u moet bekijken.

    Beginnend met versie ISE 3.1, alle pxGrid-verbindingen van ISE zijn gebaseerd op pxgrid-versie 2.

    PxGrid versie 1.0

    Tde eerste versie van dit kader (pxGrid v1) wordt gekenmerkt door de bruikbaarheid die door het bevel werd gezien tonen toepassingsstatus zoals het wordt weergegeven in de resulterende uitvoer.

    Wanneer pxGrid-functie is ingeschakeld in het knooppunt, ziet u de pxGrid eigenschappen in een actieve status.

    PxGrid version 1 serviceability.PxGrid versie 1 servicemogelijkheid.

    In deze versie van dit platform is het bekend dat er maar één pxGrid-knooppunt is met de pxGrid-processen in actieve status, terwijl de andere pxGrid-knooppunten in een stand-by-status staan die de status van de pxGrid-knooppunt met verwante services in werking stelt constant controleert.

    In dat, de primaire pxGrid-knooppunt was er een promotie en de andere pxGrid-knooppunt liet hun pxGrid-services toe. 

    Dat betekende echter een downtime toen deze failover plaatsvond.

    De eerste versie van pxgrid was gebaseerd op communicatie in het Extensible Messaging and Presence Protocol (XMPP), een set van technologieën die gebruikt worden in samenwerking- en spraakinfrastructuur.

    De onderwerpen die in een pxGrid v1-verbinding worden gedeeld, zijn:

    • Sessiemap
    • Endpoint Profile MetaData
    • Trustsec MetaData
    • Mogelijkheid voor endpointbescherming
    • Adaptieve netwerkcontrole
    • MDM_Offline onderwerp
    • Identiteit
    • SXP

    PxGrid versie 2.0

    Dit document behandelt het gebruik van deze versie. Dit platform werkt nu met behulp van REST-bewerkingen op ISE en WebSocket-protocollen die verbeteringen met verbeterde schaalbaarheid, prestaties en flexibiliteit in datamodellen brengen.

    In deze versie, ziet u pxgrid geen eigenschappen lopen zoals in vorige versie met het bevel toont toepassingsstatus.

    Raadpleeg de validatiesectie voor ISE in dit document om de mechanismen te kennen die u kunt controleren om de functionaliteit van pxGrid te bekijken.

    Met deze versie beschikt u over alle pxGrid-knooppunten die u als actieve pxGrid-knooppunten vormt. Deze zijn te allen tijde bereid deel te nemen aan de uitwisseling van informatie.

    In versie 1, slechts één knoop hield de nut van pxGrid zoals lopend.

    De onderwerpen die in een pxGrid v2-verbinding worden gedeeld, zijn:

    • Sessiemap
    • Radius-fout
    • Profilerconfiguratie
    • Systeemstatus
    • MDM
    • ANC-status
    • TrustSec
    • TrustSec-configuratie
    • TrustSec SXP
    • Eindpuntmateriaal.

    Componenten van pxGrid als platform.

    PxGrid controller (ISE): moet vertrouwen op elk van de deelnemers die pxGrid gebruiken.

    Opdrachtgever: Kan abonnee zijn en uitgever van verschillende onderwerpen.

    Uitgever: client die informatie deelt met de controller.

    Subscriber: client die de informatie van een onderwerp gebruikt.

    Deze integratie stelt u in staat om inhoudsbeleid op FMC te maken op basis van de informatie die wordt gedeeld door ISE en hun gepubliceerde onderwerpen (gerelateerd aan de endpointactiviteit).

    Configureren

    Bereid de ISE voor op de integratie.

    Stap 1. Configureer het ISE-knooppunt om de pxGrid-persona erop uit te voeren in het menu Beheer > Systeem > Implementatie.

    Selecteer de knooppunten en schakel de optie pxGrid in.

    Enabling ISE pxGrid services in a node.De diensten van ISE-pxGrid in een knooppunt inschakelen.

    Stap 2. Nadat u de knooppunten met de pxGrid-functie hebt ingeschakeld, bekijkt u de status van de WebexConnectors die aan de interne clients zijn gekoppeld.

    Ga naar Beheer > pxGrid Services > Websocket. U kunt klanten die rechtstreeks naar de ISE-diensten wijzen via het IP-adres 127.0.0.1.

    Internal WebSockets from ISE.Interne websockets van ISE.

    Stap 3. Navigeer door het menu Beheer > PxGrid Services > Instellingen en selecteer de optie om nieuwe certificaten-gebaseerde accounts automatisch goed te keuren.

    Deze stap is op dit punt optioneel, maar voor de pxGrid-verbinding wordt voorgesteld om dit selectievakje in te schakelen.

    U kunt het VCC achteraf handmatig als abonnee aanvaarden.

    Enabling Automatic approval for pxGrid certificate based accounts.Automatische goedkeuring voor op pxGrid-certificaten gebaseerde accounts inschakelen.

    Stap 4. Bekijk de certificaten met betrekking tot de pxGrid-functionaliteit van uw omgeving in Beheer > Systeem > Systeemcertificaten,

    Aanbevolen wordt dat u homogene pxGrid-certificaten hebt in alle knooppunten van uw implementatie die door dezelfde root-certificeringsinstantie (CA) zijn ondertekend

    In dit weergegeven scenario gebruiken we de interne ISE-certificaten die zijn gegenereerd. Voor deze versie van ISE, waar dit voorbeeld wordt weergegeven, komt de root CA overeen met de PAN-knooppunt.

    Diagram Internal Certificates on ISE.Diagram Interne certificaten op ISE.

    note-icon

    Opmerking: Voor meer informatie over de interne structuur van certificaten die op ISE worden gegenereerd, raadpleegt u Understand ISE Internal Certificate Authority Services.

    PxGrid certificates in a distributed deployment.PxGrid-certificaten in een gedistribueerde implementatie.

    Stap 5. Controleer de status van de PxGrid-certificaten.

    Selecteer in het vorige menu een selectievakje in een knooppunt-PxGrid-certificaat en selecteer vervolgens de optie Beeld.

    De output ziet eruit als degene die hier op de pxGrid-certificaten wordt weergegeven.

    Verification of pxGrid certificate.Verificatie van PxGrid-certificaat.

    Het VCC voorbereiden op de integratie.

    Stap 1.bevestigt dat de interne tijd van het VCC bijgewerkt.

    Naar navigeren Systeem > Configuratie > Tijd en ervoor te zorgen dat de tijd die op het VCC is bijgewerkt.

    Verifying that the FMC is up to date.de verificatie dat het VCC bijgewerkt is.

    Als de FMC-tijd niet is bijgewerkt, zorg er dan voor dat NTP goed is geconfigureerd en in Sync. NTP kan worden geconfigureerd onder Systeem > Configuratie > Tijd > + Toevoegen.

    Time Synchronization on FMC.Tijdsynchronisatie op VCC.

    Stap 2. Naar navigeren Systeem > Configuratie > Beheerinterface > Gedeelde instellingen en verifiëren dat ten minste Primaire DNS-server veld bevat een geldig DNS-server voor IP.

    DNS configuration on FMC.DNS-configuratie op FMC.

    Stap 3. Bevestig dat de hostnaam van het VCC is ingesteld.  

    Naar navigeren Systeem > Configuratie > Beheerinterface > Gedeelde instellingen en verifieert dat Hostname Veld bevat de hostnaam van het VCC.

    U kunt deze stap verifiëren terwijl u de vorige stap in deze sectie bekijkt. 

    De pxGrid-verbinding tussen ISE en FMC opzetten.

    Stap 1. Ga naar het menu Beheer > PxGrid Services > Clientbeheer > Certificaten.

    In de eerste optie, selecteer ik wil één enkel certificaat produceren (zonder een certificaat ondertekenend verzoek). 

    In de sectie Common Name (CN) voert u het FQDN van het FMC in dat de ISE een certificaat moet afgeven.

    Geef een beschrijving op.

    Voer in het gedeelte Onderwerp Alternative Name (SAN) het FQDN- en IP-adres in van het VCC om verbinding te maken.

    Selecteer onderaan in het Certificaat Download Format in het vervolgkeuzemenu de optie Certificaat in Privacy Enhanced Electronic Mail (PEM)-formaat, sleutel in PKCSS PEM-formaat (inclusief certificaatketen).

    Voer een wachtwoord in en bewaar het in het certificaatwachtwoord terwijl u dit wachtwoord later in het VCC gebruikt.

    Bevestig het wachtwoord en selecteer vervolgens Aanmaken.

    Example of pxGrid certificate generation.Voorbeeld van pxGrid-certificaatgeneratie.

    Stap 2. Er wordt een zip-bestand naar uw computer gedownload. Comprimeer het bestand en bevestig dat u deze bestanden uit uw omgeving hebt:

    PxGrid certificates generated by ISE.PxGrid-certificaten gegenereerd door ISE.

    Stap 3. Navigeer in het VCC naar het menu Objecten > Objectbeheer > PKI > Interne certs.

    Selecteer de optie Interne waarschuwing toevoegen.

    Adding the FMC certificate as internal certificate.Toevoeging van het VCC-certificaat als intern certificaat.

    Stap 4. Geef het certificaat aan dat aan het VCC is toegewezen. 

    Blader door het certificaat dat u voor het VCC hebt gemaakt van ISE in het vak Certificate Data, Blader ook door het bestand met de extensie .key om het volgende veld te vullen.

    Selecteer de optie Versleuteld en voer het wachtwoord in dat u hebt gebruikt toen u het certificaat op ISE hebt aangemaakt.

    Sla de configuratie op.

    Exporting the FMC certificate that was generated by ISE.Exporteren van het door ISE gegenereerde FMC-certificaat.

    FMC certificate.VCC-certificaat.

    Stap 5. Navigeer naar het menu Objecten > Objectbeheer > PKI > Vertrouwde CA's,

    Selecteer Vertrouwde CA's toevoegen.

    Adding the ISE rootCA as trusted certificate.Het toevoegen van de ISE rootCA als vertrouwd certificaat.

    Stap 6. Geef de certificeringsinstantie een naam.

    Blader en selecteer de ISE rootCA die is gedownload van het ISE-bestand.

    Sla uw configuratie op.  

    Exporting the ISE rootCA.Het exporteren van de ISE rootCA.

    Stap 7. Navigeer naar het menu Integratie > Andere integraties > Identiteitsbronnen.

    Selecteer in servicetype: Identity Services Engine,

    Voer het IP-adres of de FQDN van de pxGrid-knooppunt in die de Primaire knooppunt wordt.

    Herhaal de procedure voor de secundaire pxGrid-knooppunt.

    Selecteer in het vervolgkeuzemenu het pxGrid-certificaat dat door ISE is gegenereerd voor de sectie pxGrid clientcertificaat,

    In het gedeelte MNT Server CA en PxGrid Server CA selecteert u de ISE rootCA die u in de laatste stap geëxporteerd hebt.

    note-icon

    Opmerking: de PxGrid Server CA komt overeen met de root Certificate Authority van het certificaat dat door pxGrid op de pxGrid knooppunten wordt gebruikt.

    De MNT Server CA komt overeen met de certificaatinstantie van het certificaat dat door pxGrid op de MNT-knooppunten wordt gebruikt.

    (Optioneel) U kunt zich abonneren op de Session Directory en SXP topic van ISE. 

    Sla de configuratie op.

    Setting up ISE as Identity Source in FMC.ISE als identiteitsbron instellen in het VCC.

    Verifiëren.

    Validering op het VCC.

    In het menu Integratie > Andere integraties > Identity Sources > Identity Services Engine kunt u, voordat u uw configuratie opslaat, de instellingen voor de pxGrid-link testen.

    PxGrid successful communication.PxGrid succesvolle communicatie.

    Primary host:

    [INFO]: PXGrid v2 is enabled
    [INFO]: pxgrid 2.0: account activate succeeded
    [INFO]: Successful connection to ssptise02.ssptsec.mex:8910
    [INFO]: Successful connection to ssptise01.ssptsec.mex:8910
    [INFO]: These ISE Services are up: SessionDirectory, SXP, EndpointProfile, SecurityGroups, AdaptiveNetworkControl
    [INFO]: All requested ISE Services are online.

    Secondary host:

    [INFO]: PXGrid v2 is enabled
    [INFO]: pxgrid 2.0: account activate succeeded
    [INFO]: Successful connection to ssptise02.ssptsec.mex:8910
    [INFO]: Successful connection to ssptise01.ssptsec.mex:8910
    [INFO]: These ISE Services are up: SessionDirectory, SXP, EndpointProfile, SecurityGroups, AdaptiveNetworkControl
    [INFO]: All requested ISE Services are online.

    Validatie op ISE.

    Wanneer de FMC pxGrid-client met succes is geïntegreerd in ISE, u zie dan )in het menu Beheer > PxGrid-services > Clientbeheer > Clientsclients met de naam fmc zijn inbegrepen en ingeschakeld.

    PxGrid Clients available and enable.PxGrid-clients beschikbaar en ingeschakeld.

    note-icon

    Opmerking: De prefix van de pxGrid-clients die met t-fmc beginnen, zijn de clients die door de testknop van het VCC worden gebruikt.

    Ook als u naar het menu Beheer > pxGrid Services > Diagnostics > WebSocket navigeert, dan zie je de verbindingO naar het VCC.

    In het scenario waarin het VCC hoge beschikbaarheid, dan ziet u de primaire en secundaire eenheden zoals het in dit voorbeeld wordt getoond:

    WebSockets available on ISE.WebSockets beschikbaar op ISE.

    In het volgende tabblad van dit menu genoemd Tonderwerpen, u kunt verifiëren of de FMC-abonnees zijn toegevoegd aan de pxGrid-onderwerpen die door ISE zijn gepubliceerd.

    Bijvoorbeeld, is er het onderwerp met betrekking tot veiligheidsgroep, van waarbij u kan zien dat zowel het VCC zijn geabonneerd en ontvangen informatie over in SGT geplaatst door ISE.

    Topics per pxGrid subscriber.Onderwerpen per pxGrid-abonnee.

    IIn het menu Beheer > PxGrid Services > Diagnostiek > Logbelangrijke gebeurtenissen verwant aan in pxGrid-communicatie (voor de knooppunten met de ingeschakelde functie) wordt weergegeven het weergeven van de informatie met betrekking tot de integratie.

    PxGrid live logs.PxGrid live logs.

    Problemen oplossen

    Probleemoplossing bij VCC. 

    Bevestig dat het VCC zijn eigen hostname en ISE-knooppunten kan oplossen door hostnames.  

    Voorbeeld:

    > expert
    admin@sspt_fmc01_lab:~$ ping sspt_fmc01_lab

    PING sspt_fmc01_lab (10.4.49.51) 56(84) bytes of data.
    64 bytes from sspt_fmc01_lab (10.4.49.51): icmp_seq=1 ttl=64 time=0.029 ms
    64 bytes from sspt_fmc01_lab (10.4.49.51): icmp_seq=2 ttl=64 time=0.071 ms
    64 bytes from sspt_fmc01_lab (10.4.49.51): icmp_seq=3 ttl=64 time=0.055 ms
    ^C
    --- sspt_fmc01_lab ping statistics ---
    3 packets transmitted, 3 received, 0% packet loss, time 27ms

    admin@sspt_fmc01_lab:~$ ping ssptise01
    PING ssptise01.ssptsec.mex (10.4.49.41) 56(84) bytes of data.
    64 bytes from ssptise01.ssptsec.mex (10.4.49.41): icmp_seq=1 ttl=64 time=0.586 ms
    64 bytes from ssptise01.ssptsec.mex (10.4.49.41): icmp_seq=2 ttl=64 time=0.646 ms
    64 bytes from ssptise01.ssptsec.mex (10.4.49.41): icmp_seq=3 ttl=64 time=0.743 ms
    ^C
    --- ssptise01.ssptsec.mex ping statistics ---
    3 packets transmitted, 3 received, 0% packet loss, time 82ms
    rtt min/avg/max/mdev = 0.586/0.658/0.743/0.068 ms
    admin@sspt_fmc01_lab:~$
    admin@sspt_fmc01_lab:~$ ping ssptise02

    PING ssptise02.ssptsec.mex (10.4.49.42) 56(84) bytes of data.
    64 bytes from ssptise02.ssptsec.mex (10.4.49.42): icmp_seq=1 ttl=64 time=0.588 ms
    64 bytes from ssptise02.ssptsec.mex (10.4.49.42): icmp_seq=2 ttl=64 time=0.609 ms
    64 bytes from ssptise02.ssptsec.mex (10.4.49.42): icmp_seq=3 ttl=64 time=0.628 ms
    ^C
    --- ssptise02.ssptsec.mex ping statistics ---
    3 packets transmitted, 3 received, 0% packet loss, time 45ms
    rtt min/avg/max/mdev = 0.588/0.608/0.628/0.025 ms

    Zorg ervoor dat Het ADI-proces is actief:

    > expert
    sudo suadmin@sspt_fmc01_lab:~$ sudo su
    root@sspt_fmc01_lab:/Volume/home/admin#  pmtool status | grep adi  

    adi (normal) - Running 7911

    Ezorgt ervoor dat de communicatie van het VCC naar ISE stumperTCPP 8910 is toegestaan. van het VCC CLI kunnen configureren a waterpijp Packet Capture om bidirectionele communicatie te bevestigen. 

    > expert
    sudo suadmin@sspt_fmc01_lab:~$ sudo su

    root@sspt_fmc01_lab:/Volume/home/admin# tcpdump -i any tcp and port 8910
    22:34:08.415370 IP sspt_fmc01_lab.46248 > ssptise01.ssptsec.mex.8910: Flags [S], seq 3033526171, win 29200, options [mss 1460,sackOK,TS val 2701166399 ecr 0,nop,wscale 7], length 0
    22:34:08.415840 IP ssptise01.ssptsec.mex.8910 > sspt_fmc01_lab.46248: Flags [S.], seq 3024877968, ack 3033526172, win 28960, options [mss 1460,sackOK,TS val 2268665064 ecr 2701166399,nop,wscale 7], length 0
    22:34:08.415894 IP sspt_fmc01_lab.46248 > ssptise01.ssptsec.mex.8910: Flags [.], ack 1, win 229, options [nop,nop,TS val 2701166400 ecr 2268665064], length 0
    [...]

    Probleemoplossing op ISE.

    Controleer of de berichten op poort 8910 operationeel is.

    Deze poort wordt gebruikt door de pxGrid-clientWe kunnen communiceren met pxGrid-knooppunten en MnT-knooppunten voor de bulkdownload van informatie.

    PxGrid interaction in ISE environment.PxGrid-interactie in ISE-omgeving.

    note-icon

    Opmerking: De pxGrid-client, in dit geval het FMC communiceert met de pxGrid-knooppunten en de Secundaire MNT-knooppunt (SMNT) om de (bulk download) van de informatie te krijgen, in geval van een storing in de SMNT zoekt het de informatie via de Primaire MNT.

    IIn de ISE-knooppunten waar de communicatie met de pxGrid-client wordt gehouden, kunt u deze bekijken indien de poort is open of als er sockets zijn aangesloten op die haven.

    #show ports | include 8910
    tcp: (output omitted), :::8910,

    Er zijn 2 tests beschikbaar op ISE die de algemene status van de pxGrid implementaties diagnosticeren.

    Die zijn te vinden in het menu Beheer > PxGrid Services > Diagnostiek > Test.

    De in dit deel weergegeven tests worden intern op ISE uitgevoerd.

    Test van gezondheidsbewaking beoordeelt de pxGrid service lookomhoog, die evalueert als een client toegang heeft tot de Session Directory-service en onderwerpen die worden gepubliceerd door de pxGrid-controller.

    Selecteer de optie Starten Testen en wacht tot de logbestanden zijn verzameld.

    PxGrid Health Monitoring Test.PXGrid-test voor gezondheidsbewaking

    Selecteer na afloop van de test de optie Log bekijken. Bijvoorbeeld, de inhoud van het logboek is:

    Review of Health Monitoring Test.Evaluatie van de test voor gezondheidsbewaking.

    22-Aug-2023 17:03:13 [INFO] ************** pxGrid Session Directory Test ***************
    22-Aug-2023 17:03:13 [INFO] ----------------- Starting Connection Test -----------------
    22-Aug-2023 17:03:14 [INFO] pxGrid Node: ssptise01.ssptsec.mex
    22-Aug-2023 17:03:14 [INFO] wsPubsubServiceName=com.cisco.ise.pubsub
    22-Aug-2023 17:03:14 [INFO] sessionTopic=/topic/com.cisco.ise.session
    22-Aug-2023 17:03:14 [INFO] sessionRestBaseUrl=https://ssptise01.ssptsec.mex:8910/pxgrid/mnt/sd
    22-Aug-2023 17:03:14 [INFO] wsUrl=wss://ssptise02.ssptsec.mex:8910/pxgrid/ise/pubsub
    22-Aug-2023 17:03:15 [INFO] ---------------- Connection Test Completed -----------------
    22-Aug-2023 17:03:15 [INFO] ------------------ Starting Download Test ------------------
    22-Aug-2023 17:03:15 [INFO] Downloading sessions since 2023-08-21T17:03:15.273-06:00
    22-Aug-2023 17:03:15 [INFO] Response status=200
    22-Aug-2023 17:03:15 [INFO] Number of sessions read: 0
    22-Aug-2023 17:03:15 [INFO] ----------------- Download Test Completed ------------------
    22-Aug-2023 17:03:15 [INFO] ----------------- Starting Subscribe Test ------------------
    22-Aug-2023 17:03:16 [INFO] STOMP CONNECT host=ssptise02.ssptsec.mex
    22-Aug-2023 17:03:16 [INFO] STOMP SUBSCRIBE topic=/topic/com.cisco.ise.session
    22-Aug-2023 17:03:16 [INFO] STOMP CONNECTED version=1.2
    22-Aug-2023 17:07:16 [INFO] A total of 0 notifications were received.
    22-Aug-2023 17:07:16 [INFO] STOMP RECEIPT id=77
    22-Aug-2023 17:07:19 [INFO] ----------------- Subscribe Test Completed -----------------
    22-Aug-2023 17:07:19 [INFO] ********** pxGrid Session Directory Test Complete **********

    PxGrid Database synchronisatie Test controleert of de informatie binnen de databases is correct tussen de PAN- en pxGrid-knooppunten en gesynchroniseerd.

    Daarom is de informatie die naar de pxGrid-abonnees wordt verzonden nauwkeurig.

    Selecteer de optie Test starten en wacht tot de resultaten worden geëvalueerd.

    PxGrid Databases Synchronization Test.PXGrid-synchronisatietest voor databases.

    Uit de gegenereerde logs werd deze output verkregen.

    ssptise01.ssptsec.mex : In Sync
    ssptise02.ssptsec.mex : In Sync

    Primary PAN : ssptise01.ssptsec.mex
    pxGrid Nodes : ssptise01.ssptsec.mex ssptise02.ssptsec.mex

    Verzamel een vastlegging op van de pxGrid-knooppunten die naar het primaire FMC-knooppunt wijzen.

    Naar het menu navigeren Bediening > Probleemoplossing > Diagnostische tools > TCP-pomp

    Selecteer de optie in Toevoegen een nieuwe.

    Generating a packet capture on ISE.Het genereren van een pakketopname op ISE.

    Configureer de parameters voor de opname.

    In Hostnaam, het in het VCC geselecteerde primaire pxGrid-knooppunt selecteren. 

    filteren het verkeer met dit syntaxis IP-host <FMC IP>

    Geef de opname een naam en vervolgens handelen in Opslaan en uitvoeren.

    Example of packet capture configuration.Voorbeeld van configuratie voor pakketopname.

    In een ander venster in het menu van het VCC Integratie > Andere integraties > Identity Bronnen, Test de verbinding met de ISE via het pxGrid-kanaal.

    BWanneer je de uitslag van de test te zien krijgt, handelen in Stop de opname op ISE.

    Stoping a packet capture on ISE.Een pakketopname op ISE stoppen.

    Downloaden de opname en start van de analyse. Dit scenario toont een opname van een werkverbinding die als referentie kan dienen.

    PxGrid communication between ISE and FMC.PxGrid-communicatie tussen ISE en VCC.

    Daarnaast, op ISE, kunt u debugs met betrekking tot px verzamelenRasterverwerking.

    Navigeer door het menu Operations > Probleemoplossing > Wizard Debug > Debug Logconfiguratie,

    Selecteer het betreffende ISE-knooppunt om te analyseren en vervolgens Bewerken.

    Selecting a node to debug on ISE.Selecteren van een knooppunt voor debug op ISE.

    Filtert de weergegeven onderdelen en wijzigt de Log niveau op DEBUG het filter component in handelen met een analyse.

    Opslaan de configuratie.

    Changing the pxGrid component to debug level.Het wijzigen van de pxGrid component om niveau te zuiveren.

    Het te analyseren gedrag reproduceren en vervolgens handelen om de logbestanden te analyseren die zijn verzameld in het bestand pxgrid-server.log. Andere logs dat u op de ISE-knooppunt kunt bekijken voor probleemoplossing:

    #show logging application | include pxgrid
    ise-pxgriddirect.log
    pxgrid/pxgrid-server.log
    pxgrid/pxgrid-test.log
    pxgrid/pxgrid_dbsync_summary.log
    pxgrid/pxgrid_internal_dbsync_summary.log
    pxgriddirect.log
    tip-icon

    Tip: Raadpleeg voor verdere aanbevelingen voor logboekinzameling de video Hoe Debugs inschakelen op ISE 3.x versies.

    Gemeenschappelijke problemen. 

    De PxGrid-abonneeclient is niet goedgekeurd op ISE.

    Voor dit gebruiksgeval toont de output met betrekking tot de FMC-test pxGrid-toets dit gedrag:

    FMC pxGrid connection failed.FMC PxGrid-verbinding is mislukt.

    Primary host:

    [INFO]: PXGrid v2 is enabled
    [ERROR]: pxgrid 2.0: failed account activation. accountState=PENDING
    [ERROR]: Failed to contact pxGrid node at '10.4.49.41': pxgrid2.0: Could not activate account

    Secondary host:

    [INFO]: PXGrid v2 is enabled
    [ERROR]: Performing request failed with a timeout.
    [ERROR]: Failed to contact pxGrid node at '10.4.19.42': Request failed with a timeout.

    Let op bij ISE het gedrag in het menu Beheer > PxGrid Services > Clientbeheer > Clients dat de PxGrid-client (FMC) ter goedkeuring is aangevraagd.

    Selecteer de knop Goedkeuren, bevestig de selectie in het volgende venster en probeer de integratie opnieuw.

    Ditmaal is de integratie succesvol.

    FMC client in pending status.FMC-client in status in behandeling.

    Confirmation of the approval of the pxGrid client.Bevestiging van de goedkeuring van de pxGrid-client.

    Bericht als u de Automatische goedkeuring van op certificaat gebaseerde pxGrid-clients wilt inschakelen.

    Goedkeuren/Afwijzen van de clients van de vorige pagina als dit alarm kan verschijnen.

    Error related to the approval of pxGrid clients.Fout in verband met de goedkeuring van pxGrid-clients.

    PxGrid ISE-certificaat ketenen onvolledig.

    In dit scenario, als u naar het menu Beheer > Systeem > Certificaat navigeert, selecteert u het postcertificaat en selecteert u de optie Beeld,

    Indien u een probleem hebt met het certificaat, zijn deze gerelateerde fouten mogelijk.

    Error related to certificate chain imcomplete.Fout in verband met certificaatketting onvolledig.

    TDe eerste te controleren stap is of u de ISE-wortel CA volledig heeftKlik in de optie Bekijken.

    In het geval van een certificaat dat ontbreekt in de hiërarchie, kunt u de gehele ISE-implementatieroot CA uitgeven.

    BBlader naar het menu Beheer > Systeem > Certificaten > Certificaatbeheer > Verzoek tot ondertekening van het certificaat (MVO) en selecteer die knop.

    Generating a CSR on ISE.Het genereren van een MVO op ISE.

    Selecteer in dit menu Gebruik ISE Root CA en de ISE-root-AC herstellen voor alle knooppunten.

    Ga verder met de toets Vervang ISE Root CA Certificaatketen.

    Configuring the Certificate Signing Request.De aanvraag voor certificaatondertekening configureren.

    Wacht tot de certificaten worden gegenereerd in alle knooppunten van het impimplementatie.

    Na voltooiing toont de ISE de volgende melding.

    Confirmation of generation of certificates.Bevestiging van het verkrijgen van certificaten.

    Bevestig als de pxGrid certificaat vertrouwensketen is voltooid door de optie te selecteren Weergeven in systeemcertificaten.

    Referentie.

    PxGrid-pagina voor Cisco Developer.

    Beheerdershandleiding voor Cisco Identity Services Engine, release 3.2, hoofdstuk: Cisco PXGrid.

    Installatiehandleiding voor Cisco Identity Services Engine, release 3.2, hoofdstuk: referentie voor Cisco ISE-poorten

    Naslaghandleiding voor Cisco Identity Services Engine CLI, release 2.4

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    29-Aug-2023
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Rodrigo Diaz Cruz
      Technisch adviseur-engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten