通過FMC 7.2.4整合配置ISE 3.2並對其進行故障排除

簡介

本文檔介紹使用Platform Exchange Grid連線將Identity Services Engine與防火牆管理中心整合的過程。

必要條件

思科建議瞭解以下主題：

• 身分識別服務引擎
• Platform Exchange Grid
• 防火牆管理中心
• TLS/SSL證書。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 身分識別服務引擎(ISE)版本3.2補丁3
• 防火牆管理中心版本7.2.4

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊.

本文檔提供使用pxGrid版本2整合FMC和ISE的解決方案。

Cisco Firepower Management Center是下一代防火牆和入侵防禦系統的集中平台，提供策略管理、威脅檢測和事件響應。

思科身份服務引擎是一個全面的解決方案，通過提供身份驗證、授權和責任(AAA)以及策略實施服務來提供對終端的安全訪問。

Platform Exchange Grid(pxGrid)允許您在多供應商跨平台網路之間交換資訊。

通過這種整合，您可以獲得安全監控、威脅檢測和基於共用資訊設定的網路策略。 

PxGrid框架有2個版本。 要使用的ISE版本取決於您需要檢視的ISE版本和補丁程式。

從ISE 3.1版開始，所有pxG來自ISE的RID連線基於pxgrid版本 2.

PxGrid版本1.

T此框架的第一個版本 (pxGrid v1) 特徵在於通過命令show application status ise看到的可維護性 在隨後的輸出中顯示。

在節點中啟用pxGrid功能時，您會看到pxGrid 功能 處於運行狀態.

PxGrid版本1的可維護性。

在此平台版本中，已知只有一個pxGrid節點的pxGrid進程處於運行狀態，而其他pxGrid節點處於備用狀態，持續監控運行相關服務的pxGrid節點的狀態。

其中主pxGrid節點進行了升級，另一個pxGrid節點啟用了其pxGrid服務。 

但是，當發生此故障轉移時，這意味著停機時間。

第一個版本的pxgrid是基於可擴充訊息和存在通訊協定(XMPP)中的通訊，該通訊協定是合作和語音基礎架構中使用的一組技術。

pxGrid v1連線中共用的主題包括：

• 會話目錄
• 終端配置檔案後設資料
• Trustsec後設資料
• 端點保護功能
• 自適應網路控制
• MDM_Offline主題
• 身份
• SXP

PxGrid版本2.

本檔案介紹此版本的使用。此平台現在通過在ISE和WebSocket協定上使用REST操作來運行，從而帶來增強功能，並提高了資料模型的可擴充性、效能和靈活性。

在此版本中，您不會看到使用命令show application status ise運行的pxgrid功能與先前版本相同。

請參閱本文檔中的ISE驗證部分，瞭解可以檢查的機制以檢視pxGrid功能。

在此版本中，您擁有配置為活動pxGrid節點的所有pxGrid節點。隨時可以交換情報。

在版本1中，只有一個節點將pxGrid的可維護性保持在運行狀態。

pxGrid v2連線中共用的主題包括：

• 會話目錄
• Radius故障
• 探查器配置
• 系統運行狀況
• MDM
• ANC狀態
• TrustSec
• TrustSec配置
• TrustSec SXP
• 終端資產。

作為平台的pxGrid元件。

PxGrid控制器(ISE)：必須信任使用pxGrid的每個參與者。

客戶端：可以是不同主題的訂閱者和發佈者。

發佈者：與控制器共用資訊的客戶端。

訂戶：使用主題資訊的客戶端。

通過此整合，您可以根據ISE共用的資訊及其發佈的主題（與終端活動相關）在FMC上建立內容策略。

設定

準備ISE以進行整合。

步驟1。在選單Administration > System > Deployment中配置ISE節點以在其上運行pxGrid角色。

選擇節點並啟用功能pxGrid。

在節點中啟用ISE pxGrid服務。

步驟2。啟用具有pxGrid功能的節點後，檢視與連線的內部客戶端相關的Websockets的狀態。

導航到管理> pxGrid服務> Websocket。 注意通過IP地址127.0.0.1直接指向ISE服務的客戶端。

來自ISE的內部WebSocket。

步驟3.瀏覽選單Administration > pxGrid Services > Settings，然後選擇Automatically approve new certificate-base accounts選項,

此時此步驟是可選的，但是對於pxGrid連線，建議啟用此覈取方塊。

您之後可以手動接受FMC作為訂戶。

為基於pxGrid證書的帳戶啟用自動批准。

步驟4.在Administration > System > System Certificates中，檢視與您的環境的pxGrid功能相關的證書,

建議在部署的所有節點中具有同一pxGrid證書，這些證書由同一個根證書頒發機構(CA)簽名

在此顯示的場景中，我們使用生成的內部ISE證書。對於顯示此示例的此版本的ISE，根CA對應於PAN節點。

ISE上的內部證書圖表。

分散式部署中的PxGrid證書。

步驟5.驗證pxGrid證書的狀態。

從上一個選單中，從節點pxGrid證書中選擇一個覈取方塊，然後選擇選項「檢視」。

輸出看起來與pxGrid證書中顯示的輸出類似。

驗證pxGrid證書。

準備FMC進行整合。

步驟1.確認FMC內部時間是 最新.

導航至 System > Configuration > 時間 並確保在FMC上配置的時間為 最新.

驗證FMC是否處於最新狀態。

如果未更新FMC時間，請確保正確配置NTP 和 在 同步.NTP可在 系統>配置>時間> +新增.

FMC上的時間同步。

步驟2. 導航至 System > Configuration > 管理介面 >共用設定 並驗證至少 主DNS伺服器 欄位 包含 有效的 DNS伺服器IP。

FMC上的DNS配置。

步驟3.確認已配置FMC主機名。  

導航至 系統>配置>管理介面>共用設定 並驗證 主機名 欄位包含FMC主機名。

您可以在檢視本節中上一步時驗證此步驟。 

設定ISE和FMC之間的pxGrid連線。

步驟1.導航到選單Administration > pxGrid Services > Client Management > Certificates。

在第一個選項中，選擇I want to Generate a single certificate(without a certificate signing request)。 

在Common Name(CN)部分，輸入ISE要頒發證書的FMC的FQDN。

提供說明。

在Subject Alternative Name(SAN)部分，輸入要連線的FMC的FQDN和IP地址。

在Certificate Download Format的底部，從下拉選單中選擇選項Certificate in Privacy Enhanced Electronic Mail(PEM) format， key in PKCSS PEM format（包括證書鏈）。

稍後在FMC中使用此密碼時，在Certificate Password中輸入並儲存密碼。

確認密碼，然後選擇Create。

pxGrid證書生成示例。

步驟2.Zip檔案已下載到您的電腦。解壓縮檔案，並確認環境中存在以下檔案：

由ISE生成的PxGrid證書。

步驟3.在FMC中，導航到選單Objects > Objects Management > PKI > Internal Certs。

選擇新增內部證書選項。

將FMC證書新增為內部證書。

步驟4.將在FMC上分配的證書命名為。 

在Certificate Data、Browse部分中瀏覽您從ISE為FMC建立的證書，以及副檔名為.key的檔案以填充下一個欄位。

選擇Encrypted選項，並輸入您在ISE上建立證書時使用的密碼，

儲存組態。

匯出ISE生成的FMC證書。

FMC證書。

步驟5.導航到選單Objects > Objects Management > PKI > Trusted CAs,

選擇Add Trusted CAs。

將ISE rootCA新增為受信任證書。

步驟6.命名證書頒發機構。

瀏覽並選擇從ISE檔案下載的ISE根CA。

儲存您的組態。  

匯出ISE rootCA。

步驟7.導航到選單Integration > Other Integrations > Identity Sources。

在Service Type: Identity Services Engine中選擇

輸入成為主節點的pxGrid節點的IP地址或FQDN。

對輔助pxGrid節點重複此過程。

從下拉選單中選擇ISE為pxGrid Client Certificate部分生成的pxGrid證書

在MNT伺服器CA和pxGrid伺服器CA部分中，選擇您在上一步中匯出的ISE根CA。

（可選）您可以從ISE訂閱會話目錄和SXP主題。 

儲存組態。

在FMC中將ISE設定為身份源。

驗證.

驗證FMC。

在選單Integration > Other Integrations > Identity Sources > Identity Services Engine中，在儲存配置之前，可以測試pxGrid連結的設定。

PxGrid通訊成功。

Primary host:

[INFO]: PXGrid v2 is enabled
[INFO]: pxgrid 2.0: account activate succeeded
[INFO]: Successful connection to ssptise02.ssptsec.mex:8910
[INFO]: Successful connection to ssptise01.ssptsec.mex:8910
[INFO]: These ISE Services are up: SessionDirectory, SXP, EndpointProfile, SecurityGroups, AdaptiveNetworkControl
[INFO]: All requested ISE Services are online.

Secondary host:

[INFO]: PXGrid v2 is enabled
[INFO]: pxgrid 2.0: account activate succeeded
[INFO]: Successful connection to ssptise02.ssptsec.mex:8910
[INFO]: Successful connection to ssptise01.ssptsec.mex:8910
[INFO]: These ISE Services are up: SessionDirectory, SXP, EndpointProfile, SecurityGroups, AdaptiveNetworkControl
[INFO]: All requested ISE Services are online.

在ISE上驗證。

當FMC pxGrid客戶端成功整合到ISE上時， 您 然後請參閱)在選單中 管理> pxGrid服務>客戶端管理 > 客戶端) 包含名為fmc的客戶端，且 已啟用.

PxGrid客戶端可用並啟用。

還有， 如果導航到選單Administration > pxGrid Services > Diagnostics > WebSocket， 然後您會看到連線s 到 FMC。

如果您將FMC放在 高可用性、 然後您會看到主要單位和輔助單位，如下例所示：

WebSocket在ISE上可用。

在下一個頁籤中 從此選單 已命名 Topics中， 您可以 驗證是否已將FMC訂閱者新增到ISE發佈的pxGrid主題中。

例如，有一個主題與安全組相關，來自 其中 您 可以看到兩個FMC 訂閱和接收相關的資訊 成長至 SGT 由ISE發佈。

每個pxGrid使用者的主題。

I在選單Administration > pxGrid Services > Diagnostics > Log中， 重要事件 顯示在pxGrid通訊中相關的（對於已啟用功能的節點） 描述與整合相關的資訊。

PxGrid即時日誌。

疑難排解

FMC故障排除。 

確認FMC能夠按主機名解析自己的主機名和ISE節點。  

例如：

> expert
admin@sspt_fmc01_lab:~$ ping sspt_fmc01_lab

PING sspt_fmc01_lab (10.4.49.51) 56(84) bytes of data.
64 bytes from sspt_fmc01_lab (10.4.49.51): icmp_seq=1 ttl=64 time=0.029 ms
64 bytes from sspt_fmc01_lab (10.4.49.51): icmp_seq=2 ttl=64 time=0.071 ms
64 bytes from sspt_fmc01_lab (10.4.49.51): icmp_seq=3 ttl=64 time=0.055 ms
^C
--- sspt_fmc01_lab ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 27ms

admin@sspt_fmc01_lab:~$ ping ssptise01
PING ssptise01.ssptsec.mex (10.4.49.41) 56(84) bytes of data.
64 bytes from ssptise01.ssptsec.mex (10.4.49.41): icmp_seq=1 ttl=64 time=0.586 ms
64 bytes from ssptise01.ssptsec.mex (10.4.49.41): icmp_seq=2 ttl=64 time=0.646 ms
64 bytes from ssptise01.ssptsec.mex (10.4.49.41): icmp_seq=3 ttl=64 time=0.743 ms
^C
--- ssptise01.ssptsec.mex ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 82ms
rtt min/avg/max/mdev = 0.586/0.658/0.743/0.068 ms
admin@sspt_fmc01_lab:~$
admin@sspt_fmc01_lab:~$ ping ssptise02

PING ssptise02.ssptsec.mex (10.4.49.42) 56(84) bytes of data.
64 bytes from ssptise02.ssptsec.mex (10.4.49.42): icmp_seq=1 ttl=64 time=0.588 ms
64 bytes from ssptise02.ssptsec.mex (10.4.49.42): icmp_seq=2 ttl=64 time=0.609 ms
64 bytes from ssptise02.ssptsec.mex (10.4.49.42): icmp_seq=3 ttl=64 time=0.628 ms
^C
--- ssptise02.ssptsec.mex ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 45ms
rtt min/avg/max/mdev = 0.588/0.608/0.628/0.025 ms

確保 ADI進程已啟動並正在運行：

> expert
sudo suadmin@sspt_fmc01_lab:~$ sudo su
root@sspt_fmc01_lab:/Volume/home/admin#  pmtool status | grep adi  

adi (normal) - Running 7911

E確保從FMC到ISE的通訊 port TCPP 8910被允許。來自FMC CLI 我們可以 設定 答 tcpudump 資料包捕獲，用於確認雙向通訊。

> expert
sudo suadmin@sspt_fmc01_lab:~$ sudo su

root@sspt_fmc01_lab:/Volume/home/admin# tcpdump -i any tcp and port 8910
22:34:08.415370 IP sspt_fmc01_lab.46248 > ssptise01.ssptsec.mex.8910: Flags [S], seq 3033526171, win 29200, options [mss 1460,sackOK,TS val 2701166399 ecr 0,nop,wscale 7], length 0
22:34:08.415840 IP ssptise01.ssptsec.mex.8910 > sspt_fmc01_lab.46248: Flags [S.], seq 3024877968, ack 3033526172, win 28960, options [mss 1460,sackOK,TS val 2268665064 ecr 2701166399,nop,wscale 7], length 0
22:34:08.415894 IP sspt_fmc01_lab.46248 > ssptise01.ssptsec.mex.8910: Flags [.], ack 1, win 229, options [nop,nop,TS val 2701166400 ecr 2268665064], length 0
[...]

ISE故障排除。

驗證埠8910上的通訊 已運行。

此埠是pxGrid客戶端使用的埠用於與pxGrid節點和MnT節點通訊以進行資訊批次下載。

ISE環境中的PxGrid互動。

I在與pxGrid客戶端進行通訊的ISE節點上，您可以檢視 如果 埠是 開啟或 如果有套接字連線到 那個埠。

#show ports | include 8910
tcp: (output omitted), :::8910, 

在ISE上有2項測試可用於診斷pxGrid實施的總體狀態。

這些可在選單上找到 管理> pxGrid服務>診斷>測試。

本節顯示的測試在ISE內部執行。

運行狀況監控測試 檢視pxGrid服務外觀up、 該選項評估客戶端是否可以訪問pxGrid控制器發佈的會話目錄服務和主題。

選擇 選項 開始 測試 然後等待日誌的收集。

PxGrid運行狀況監控測試。

測試完成後，選擇 選項 檢視日誌。 在本示例中，日誌的內容 是:

檢視運行狀況監控測試。

22-Aug-2023 17:03:13 [INFO] ************** pxGrid Session Directory Test ***************
22-Aug-2023 17:03:13 [INFO] ----------------- Starting Connection Test -----------------
22-Aug-2023 17:03:14 [INFO] pxGrid Node: ssptise01.ssptsec.mex
22-Aug-2023 17:03:14 [INFO] wsPubsubServiceName=com.cisco.ise.pubsub
22-Aug-2023 17:03:14 [INFO] sessionTopic=/topic/com.cisco.ise.session
22-Aug-2023 17:03:14 [INFO] sessionRestBaseUrl=https://ssptise01.ssptsec.mex:8910/pxgrid/mnt/sd
22-Aug-2023 17:03:14 [INFO] wsUrl=wss://ssptise02.ssptsec.mex:8910/pxgrid/ise/pubsub
22-Aug-2023 17:03:15 [INFO] ---------------- Connection Test Completed -----------------
22-Aug-2023 17:03:15 [INFO] ------------------ Starting Download Test ------------------
22-Aug-2023 17:03:15 [INFO] Downloading sessions since 2023-08-21T17:03:15.273-06:00
22-Aug-2023 17:03:15 [INFO] Response status=200
22-Aug-2023 17:03:15 [INFO] Number of sessions read: 0
22-Aug-2023 17:03:15 [INFO] ----------------- Download Test Completed ------------------
22-Aug-2023 17:03:15 [INFO] ----------------- Starting Subscribe Test ------------------
22-Aug-2023 17:03:16 [INFO] STOMP CONNECT host=ssptise02.ssptsec.mex
22-Aug-2023 17:03:16 [INFO] STOMP SUBSCRIBE topic=/topic/com.cisco.ise.session
22-Aug-2023 17:03:16 [INFO] STOMP CONNECTED version=1.2
22-Aug-2023 17:07:16 [INFO] A total of 0 notifications were received.
22-Aug-2023 17:07:16 [INFO] STOMP RECEIPT id=77
22-Aug-2023 17:07:19 [INFO] ----------------- Subscribe Test Completed -----------------
22-Aug-2023 17:07:19 [INFO] ********** pxGrid Session Directory Test Complete **********

PxGrid資料庫同步測試檢查是否 資訊 資料庫中的PAN和pxGrid節點之間正確且已同步。

因此，傳送到pxGrid使用者的資訊是 準確。

選擇 選項 啟動測試 等待評估結果。

PxGrid資料庫同步測試。

從生成的日誌中獲得此輸出。

ssptise01.ssptsec.mex : In Sync
ssptise02.ssptsec.mex : In Sync

Primary PAN : ssptise01.ssptsec.mex
pxGrid Nodes : ssptise01.ssptsec.mex ssptise02.ssptsec.mex

收集捕獲 從指向主FMC節點的pxGrid節點。

導航至選單 Operations > Troubleshoot > Diagnostic Tools > TCP Dump,

選擇 選項 成長至 新增 新捕捉.

在ISE上生成資料包捕獲。

配置捕獲的引數。

在 主機名、 選擇在FMC中選擇的主pxGrid節點。 

篩選條件 與此 語法 ip host <FMC IP>

為捕獲命名 然後 繼續 成長至 儲存 和運行.

資料包捕獲配置示例。

在另一個視窗中，在FMC選單中 整合>其他整合>身份 來源中， 測試通過pxGrid通道與ISE的連線。

W當你拿到測試結果時， 繼續 成長至 S頂端 在ISE上捕獲。

停止ISE上的資料包捕獲。

下載 捕獲並開始分析。 此方案顯示可用作參考的工作連線的捕獲。

ISE和FMC之間的PxGrid通訊。

此外，在ISE上，您可以收集與px相關的調試網格處理。

瀏覽選單 操作>故障排除>調試嚮導>調試 日誌配置中，

選擇要分析的對應ISE節點，然後 編輯.

選擇要在ISE上調試的節點。

篩選顯示的元件並更改 日誌級別到 偵錯pxgrid 元件 成長至 繼續 分析一下。

儲存 組態。

將pxGrid元件更改為調試級別。

重現要分析的行為，然後 繼續 分析在pxgrid-server.log檔案中收集的日誌。其他日誌 您可以在ISE節點上檢視以下內容進行故障排除：

#show logging application | include pxgrid
ise-pxgriddirect.log
pxgrid/pxgrid-server.log
pxgrid/pxgrid-test.log
pxgrid/pxgrid_dbsync_summary.log
pxgrid/pxgrid_internal_dbsync_summary.log
pxgriddirect.log

常見問題。 

PxGrid使用者客戶端未在ISE上獲得批准。

對於此使用情形，FMC測試pxGrid按鈕的相關輸出會顯示以下行為：

FMC pxGrid連線失敗。

Primary host:

[INFO]: PXGrid v2 is enabled
[ERROR]: pxgrid 2.0: failed account activation. accountState=PENDING
[ERROR]: Failed to contact pxGrid node at '10.4.49.41': pxgrid2.0: Could not activate account

Secondary host:

[INFO]: PXGrid v2 is enabled
[ERROR]: Performing request failed with a timeout.
[ERROR]: Failed to contact pxGrid node at '10.4.19.42': Request failed with a timeout.

在ISE上，請注意選單Administration > PxGrid Services > Client Management > Clients中的行為，指示pxGrid客戶端(FMC)正在等待批准。

選擇Approve按鈕，確認下一個視窗中的選擇，然後再次嘗試整合。

這次整合成功。

FMC客戶端處於掛起狀態。

確認pxGrid客戶端的批准。

請注意，如果要啟用基於證書的pxGrid客戶端的自動審批。

批准/拒絕上一頁的客戶端，因為可能會出現此警報。

與批准pxGrid客戶端相關的錯誤。

PxGrid ISE證書 鏈 不完整.

在此場景中，如果導航到選單Administration > System > Certificate，請選擇pxgrid證書並選擇View選項，

如果憑證有問題，可能會出現這些相關的錯誤。

與證書鏈不完整相關的錯誤。

T要檢查的第一步是是否已完成ISE根CA在「檢視」選項中關閉。

如果層次結構中缺少證書，您可以頒發整個ISE部署根CA。

B瀏覽至選單Administration > System > Certificates > Certificate Management > Certificate Signing Request(CSR)和 選擇該按鈕。

在ISE上生成CSR。

在此選單中，選擇 使用ISE根CA 並再生所有節點的ISE根CA。

繼續按鈕操作 替換ISE根CA證書鏈.

正在配置證書簽名請求。

等待IMP的所有節點中生成證書病理。

完成後，ISE顯示下一個通知.

確認證書生成。

確認pxGrid證書信任鏈已完成 通過選擇選項 檢視 在系統證書中。

參考。

PxGrid思科開發人員頁面。

思科身份服務引擎管理員指南，版本3.2，章節：Cisco pxGrid。

思科身份服務引擎安裝指南3.2版，章節：思科ISE埠參考

思科身份服務引擎CLI參考指南2.4版