تكوين تكامل ISE 2.7 PXgrid CCV 3.1.0
المحتويات
المقدمة
يصف هذا وثيقة كيف أن يشكل واستكشاف أخطاء الهوية محرك (ISE) 2.7 تكامل مع cisco Cyber Vision (CCV) 3.1.0 عبر منصة Exchange Grid v2 (pxGrid). CCV مسجل مع pxGrid v2 كناشر وينشر معلومات عن سمات نقطة النهاية إلى ISE ل IOTASSET Dictionary.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة أساسية بالمواضيع التالية:
-
محرك خدمات كشف الهوية (ISE)
-
رؤية Cisco Cyber
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- ISE الإصدار 2.7 من Cisco 1
- Cisco Cyber Vision، الإصدار 3.1.0
- محول الإيثرنت Industrial IE-4000-4TC4G-E مع S/W 15.2(6)E
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
التكوين
رسم تخطيطي للتدفق عالي المستوى
يتم إستخدام نشر ISE هذا في الإعداد.
ISE 2.7-1ek هو عقدة الإدارة الأساسية (PAN) وعقدة pxGrid.
ISE 2.7-2ek هو عقدة خدمة السياسة (PSN) مع تمكين PxGrid Probe.
فيما يلي الخطوات التي تتطابق مع المخطط المذكور سابقا.
1. يتم تسجيل CCV إلى AssetTopic في ISE عبر PxGrid الإصدار 2. السجلات المقابلة من CCV:
root@center:~# journalctl -u pxgrid-agent -f
Jun 24 13:31:03 center pxgrid-agent-start.sh[1310]: pxgrid-agent RPC server listening to: '/tmp/pxgrid-agent.sock' [caller=main.go:102]
Jun 24 13:31:03 center pxgrid-agent-start.sh[1310]: pxgrid-agent Request path=/pxgrid/control/AccountActivate body={}
[caller=control.go:127]
Jun 24 13:31:03 center pxgrid-agent-start.sh[1310]: pxgrid-agent Account activated [caller=pxgrid.go:76]
Jun 24 13:31:03 center pxgrid-agent-start.sh[1310]: pxgrid-agent Request path=/pxgrid/control/ServiceRegister
body={"name":"com.cisco.endpoint.asset","properties":{"assetTopic":"/topic/com.cisco.endpoint.asset
Jun 24 13:31:03 center pxgrid-agent-start.sh[1310]: pxgrid-agent Service registered, ID: 4b9af94b-9255-46df-b5ef-24bdbba99f3a
[caller=pxgrid.go:94]
Jun 24 13:31:03 center pxgrid-agent-start.sh[1310]: pxgrid-agent Request path=/pxgrid/control/ServiceLookup
body={"name":"com.cisco.ise.pubsub"} [caller=control.go:127]
Jun 24 13:31:03 center pxgrid-agent-start.sh[1310]: pxgrid-agent Request path=/pxgrid/control/AccessSecret
body={"peerNodeName":"com.cisco.ise.pubsub"} [caller=control.go:127]
Jun 24 13:31:03 center pxgrid-agent-start.sh[1310]: pxgrid-agent Websocket connect
url=wss://ISE27-1ek.example.com:8910/pxgrid/ise/pubsub [caller=endpoint.go:102]
Jun 24 13:31:03 center pxgrid-agent-start.sh[1310]: pxgrid-agent STOMP CONNECT host=10.48.17.86 [caller=endpoint.go:111]
Jun 24 13:33:27 center pxgrid-agent-start.sh[1310]: pxgrid-agent API: getSyncStatus [caller=sync_status.go:34]
Jun 24 13:33:28 center pxgrid-agent-start.sh[1310]: pxgrid-agent Cyber Vision is in sync with ISE [caller=assets.go:67]
Jun 24 13:36:03 center pxgrid-agent-start.sh[1310]: pxgrid-agent Request path=/pxgrid/control/ServiceReregister
body={"id":"4b9af94b-9255-46df-b5ef-24bdbba99f3a"} [caller=control.go:127]
2. يقوم ISE PSN مع تمكين PxGrid Probe بتنزيل كميات كبيرة من أصول pxGrid الموجودة (profiler.log):
2020-06-24 13:41:37,091 DEBUG [ProfilerINDSubscriberPoller-56-thread-1][]
cisco.profiler.infrastructure.probemgr.INDSubscriber -::::- Looking for new publishers ...
2020-06-24 13:41:37,104 DEBUG [ProfilerINDSubscriberPoller-56-thread-1][]
cisco.profiler.infrastructure.probemgr.INDSubscriber -::::- Existing services are:
[Service [name=com.cisco.endpoint.asset, nodeName=cv-jens,
properties={assetTopic=/topic/com.cisco.endpoint.asset, restBaseUrl=https://Center:8910/pxgrid/ind/asset/,
wsPubsubService=com.cisco.ise.pubsub}]]
2020-06-24 13:41:37,104 INFO [ProfilerINDSubscriberPoller-56-thread-1][]
cisco.profiler.infrastructure.probemgr.INDSubscriber -::::- New services are: []
2020-06-24 13:41:37,114 INFO [ProfilerINDSubscriberPoller-56-thread-1][]
cisco.profiler.infrastructure.probemgr.INDSubscriber -::::- NODENAME:cv-jens
2020-06-24 13:41:37,114 INFO [ProfilerINDSubscriberPoller-56-thread-1][]
cisco.profiler.infrastructure.probemgr.INDSubscriber -::::- REQUEST BODY{"offset":"0","limit":"500"}
2020-06-24 13:41:37,158 INFO [ProfilerINDSubscriberPoller-56-thread-1][]
cisco.profiler.infrastructure.probemgr.INDSubscriber -::::- Response status={}200
2020-06-24 13:41:37,159 INFO [ProfilerINDSubscriberPoller-56-thread-1][]
cisco.profiler.infrastructure.probemgr.INDSubscriber -::::- Content: {OUT_OF_SYNC}
2020-06-24 13:41:37,159 INFO [ProfilerINDSubscriberPoller-56-thread-1][]
cisco.profiler.infrastructure.probemgr.INDSubscriber -::::- Status is :{OUT_OF_SYNC}
2020-06-24 13:41:37,159 DEBUG [ProfilerINDSubscriberPoller-56-thread-1][]
cisco.profiler.infrastructure.probemgr.INDSubscriber -::::-
Static set after adding new services: [Service [name=com.cisco.endpoint.asset,
nodeName=cv-jens, properties={assetTopic=/topic/com.cisco.endpoint.asset,
restBaseUrl=https://Center:8910/pxgrid/ind/asset/, wsPubsubService=com.cisco.ise.pubsub}]]
2020-06-24 13:41:37,169 INFO [ProfilerINDSubscriberBulkRequestPool-77-thread-1][]
cisco.profiler.infrastructure.probemgr.INDSubscriber -::::- NODENAME:cv-jens
2020-06-24 13:41:37,169 INFO [ProfilerINDSubscriberBulkRequestPool-77-thread-1][]
cisco.profiler.infrastructure.probemgr.INDSubscriber -::::- REQUEST BODY{"offset":"0","limit":"500"}
2020-06-24 13:41:37,600 INFO [ProfilerINDSubscriberBulkRequestPool-77-thread-1][]
cisco.profiler.infrastructure.probemgr.INDSubscriber -::::- Response status={}200
2020-06-24 13:41:37,604 INFO [ProfilerINDSubscriberBulkRequestPool-77-thread-1][]
cisco.profiler.infrastructure.probemgr.INDSubscriber -::::- Content:
{"assets":[{"assetId":"88666e21-6eba-5c1e-b6a9-930c6076119d","assetName":"Xerox 0:0:0","assetIpAddress":"",
"assetMacAddress":"00:00:00:00:00:00","assetVendor":"XEROX
3. تتم إضافة نقاط النهاية إلى PSN مع تمكين PxGrid Probe وإرسال PSN حدثا مستمرا إلى PAN لحفظ نقاط النهاية هذه (profiler.log). يمكن عرض نقاط النهاية التي تم إنشاؤها على ISE في تفاصيل نقطة النهاية ضمن إمكانية رؤية السياق.
2020-06-24 13:41:37,677 DEBUG [ProfilerINDSubscriberBulkRequestPool-77-thread-1][]
cisco.profiler.infrastructure.probemgr.INDSubscriber -::::- mac address is :28:63:36:1e:10:05ip address is :192.168.105.150
2020-06-24 13:41:37,677 DEBUG [ProfilerINDSubscriberBulkRequestPool-77-thread-1][]
cisco.profiler.infrastructure.probemgr.INDSubscriber -::::- sending endpoint to forwarder{"assetId":
"01c8f9dd-8538-5eac-a924-d6382ce3df2d","assetName":"Siemens 192.168.105.150","assetIpAddress":"192.168.105.150",
"assetMacAddress":"28:63:36:1e:10:05","assetVendor":"Siemens AG","assetProductId":"","assetSerialNumber":"",
"assetDeviceType":"","assetSwRevision":"","assetHwRevision":"","assetProtocol":"ARP, S7Plus","assetCustomAttributes":[],
"assetConnectedLinks":[]}
2020-06-24 13:41:37,677 INFO [ProfilerINDSubscriberBulkRequestPool-77-thread-1][]
cisco.profiler.infrastructure.probemgr.Forwarder -::::- Forwarder Mac 28:63:36:1E:10:05 MessageCode null epSource pxGrid Probe
2020-06-24 13:41:37,677 DEBUG [ProfilerINDSubscriberBulkRequestPool-77-thread-1][]
cisco.profiler.infrastructure.probemgr.INDSubscriber -::::- Endpoint is proccessedEndPoint[id=<null>,name=<null>]
MAC: 28:63:36:1E:10:05
Attribute:BYODRegistration value:Unknown
Attribute:DeviceRegistrationStatus value:NotRegistered
Attribute:EndPointPolicy value:Unknown
Attribute:EndPointPolicyID value:
Attribute:EndPointSource value:pxGrid Probe
Attribute:MACAddress value:28:63:36:1E:10:05
Attribute:MatchedPolicy value:Unknown
Attribute:MatchedPolicyID value:
Attribute:NmapSubnetScanID value:0
Attribute:OUI value:Siemens AG
Attribute:PolicyVersion value:0
Attribute:PortalUser value:
Attribute:PostureApplicable value:Yes
Attribute:StaticAssignment value:false
Attribute:StaticGroupAssignment value:false
Attribute:Total Certainty Factor value:0
Attribute:assetDeviceType value:
Attribute:assetHwRevision value:
Attribute:assetId value:01c8f9dd-8538-5eac-a924-d6382ce3df2d
Attribute:assetIpAddress value:192.168.105.150
Attribute:assetMacAddress value:28:63:36:1e:10:05
Attribute:assetName value:Siemens 192.168.105.150
Attribute:assetProductId value:
Attribute:assetProtocol value:ARP, S7Plus
Attribute:assetSerialNumber value:
Attribute:assetSwRevision value:
Attribute:assetVendor value:Siemens AG
Attribute:ip value:192.168.105.150
Attribute:SkipProfiling value:false
4. بعد وضع نقطة نهاية في مجموعة، يرسل CCV رسالة STOMP عبر المنفذ 8910 لتحديث نقطة النهاية باستخدام بيانات المجموعة في سمات مخصصة. السجلات المقابلة من CCV:
root@center:~# journalctl -u pxgrid-agent -f
Jun 24 14:32:04 center pxgrid-agent-start.sh[1216]: pxgrid-agent STOMP SEND
destination=/topic/com.cisco.endpoint.asset body={"opType":"UPDATE","asset":{"assetId":"ce01ade2-eb6f-53c8-a646-9661b10c976e",
"assetName":"Cisco a0:3a:59","assetIpAddress":"","assetMacAddress":"00:f2:8b:a0:3a:59","assetVendor":"Cisco Systems, Inc",
"assetProductId":"","assetSerialNumber":"","assetDeviceType":"","assetSwRevision":"","assetHwRevision":"","assetProtocol":"",
"assetCustomAttributes":[{"key":"assetGroup","value":"Group1"},{"key":"assetCCVGrp","value":"Group1"}],
"assetConnectedLinks":[]}} [caller=endpoint.go:118]
5. تتلقى PxGrid Node تحديث STOMP وتعيد توجيه هذه الرسالة إلى جميع المشتركين، وتتضمن PSNs مع تمكين PxGrid Probe. pxgrid-server.log على PxGrid Node.
2020-06-24 14:40:13,765 TRACE [Thread-1631][] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -:::::-
stomp=SEND:{content-length=453, destination=/topic/com.cisco.endpoint.asset}
2020-06-24 14:40:13,766 TRACE [Thread-1631][] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -:::::-
session [2b,cv-jens,OPEN] is permitted (cached) to send to topic=/topic/com.cisco.endpoint.asset:
2020-06-24 14:40:13,766 TRACE [Thread-1631][] cpm.pxgridwebapp.ws.pubsub.SubscriptionThreadedDistributor -:::::-
Distributing stomp frame from=[2b,cv-jens,OPEN], topic=/topic/com.cisco.endpoint.asset, true:true
2020-06-24 14:40:13,766 TRACE [Thread-1631][] cpm.pxgridwebapp.ws.pubsub.SubscriptionThreadedDistributor -:::::-
Distributing stomp frame from=[2b,cv-jens,OPEN], topic=/topic/com.cisco.endpoint.asset,to=[19,ise-admin-ise27-2ek,OPEN]
2020-06-24 14:40:13,766 TRACE [Thread-1631][] cpm.pxgridwebapp.ws.pubsub.SubscriptionThreadedDistributor -:::::-
Distributing stomp frame from=[2b,cv-jens,OPEN], topic=/topic/wildcard,to=[2a,ise-fanout-ise27-1ek,OPEN]
6. يتلقى PSN مع تمكين pxGrid Probe كمشترك في موضوع الأصل الرسالة من PxGrid Node ويحدث نقطة النهاية (profiler.log). يمكن عرض نقاط النهاية المحدثة على ISE في تفاصيل نقطة النهاية ضمن "رؤية السياق".
2020-06-24 14:40:13,767 DEBUG [Grizzly(2)][] cisco.profiler.infrastructure.probemgr.INDSubscriber -::::-
Parsing push notification response: {"opType":"UPDATE","asset":{"assetId":"ce01ade2-eb6f-53c8-a646-9661b10c976e",
"assetName":"Cisco a0:3a:59","assetIpAddress":"","assetMacAddress":"00:f2:8b:a0:3a:59","assetVendor":"Cisco Systems, Inc",
"assetProductId":"","assetSerialNumber":"","assetDeviceType":"","assetSwRevision":"","assetHwRevision":"",
"assetProtocol":"","assetCustomAttributes":[{"key":"assetGroup","value":"Group1"},{"key":"assetCCVGrp","value":"Group1"}],
"assetConnectedLinks":[]}}
2020-06-24 14:40:13,767 DEBUG [Grizzly(2)][] cisco.profiler.infrastructure.probemgr.INDSubscriber -::::-
sending endpoint to forwarder{"assetId":"ce01ade2-eb6f-53c8-a646-9661b10c976e","assetName":"Cisco a0:3a:59","assetIpAddress":"",
"assetMacAddress":"00:f2:8b:a0:3a:59","assetVendor":"Cisco Systems, Inc","assetProductId":"","assetSerialNumber":"",
"assetDeviceType":"","assetSwRevision":"","assetHwRevision":"","assetProtocol":"",
"assetCustomAttributes":[{"key":"assetGroup","value":"Group1"},{"key":"assetCCVGrp","value":"Group1"}],"assetConnectedLinks":[]}
2020-06-24 14:40:13,768 INFO [Grizzly(2)][] cisco.profiler.infrastructure.probemgr.Forwarder -::::-
Forwarder Mac 00:F2:8B:A0:3A:59 MessageCode null epSource pxGrid Probe
2020-06-24 14:40:13,768 DEBUG [forwarder-9][] cisco.profiler.infrastructure.probemgr.ForwarderHelper -:
00:F2:8B:A0:3A:59:87026690-b628-11ea-bdb7-82edacd9a457:ProfilerCollection:- sequencing Radius message for mac = 00:F2:8B:A0:3A:59
2020-06-24 14:40:13,768 INFO [forwarder-9][] cisco.profiler.infrastructure.probemgr.Forwarder -:
00:F2:8B:A0:3A:59:9d077480-b628-11ea-bdb7-82edacd9a457:ProfilerCollection:-
Processing endpoint:00:F2:8B:A0:3A:59 MessageCode null epSource pxGrid Probe
2020-06-24 14:40:13,768 DEBUG [forwarder-9][] com.cisco.profiler.im.EndPoint -:
00:F2:8B:A0:3A:59:9d077480-b628-11ea-bdb7-82edacd9a457:ProfilerCollection:-
filtered custom attributes are:{assetGroup=Group1, assetCCVGrp=Group1}
2020-06-24 14:40:13,768 DEBUG [forwarder-9][] cisco.profiler.infrastructure.probemgr.Forwarder -:
00:F2:8B:A0:3A:59:9d077480-b628-11ea-bdb7-82edacd9a457:ProfilerCollection:- Radius Filtering:00:F2:8B:A0:3A:59
2020-06-24 14:40:13,768 DEBUG [forwarder-9][] cisco.profiler.infrastructure.probemgr.Forwarder -:
00:F2:8B:A0:3A:59:9d077480-b628-11ea-bdb7-82edacd9a457:ProfilerCollection:- Endpoint Attributes:EndPoint[id=<null>,name=<null>]
MAC: 00:F2:8B:A0:3A:59
Attribute:2309ae60-693d-11ea-9cbe-02251d8f7c49 value:Group1
Attribute:BYODRegistration value:Unknown
Attribute:DeviceRegistrationStatus value:NotRegistered
Attribute:EndPointProfilerServer value:ISE27-2ek.example.com
Attribute:EndPointSource value:pxGrid Probe
Attribute:MACAddress value:00:F2:8B:A0:3A:59
Attribute:NmapSubnetScanID value:0
Attribute:OUI value:Cisco Systems, Inc
Attribute:PolicyVersion value:0
Attribute:PortalUser value:
Attribute:PostureApplicable value:Yes
Attribute:assetDeviceType value:
Attribute:assetGroup value:Group1
Attribute:assetHwRevision value:
Attribute:assetId value:ce01ade2-eb6f-53c8-a646-9661b10c976e
Attribute:assetIpAddress value:
Attribute:assetMacAddress value:00:f2:8b:a0:3a:59
Attribute:assetName value:Cisco a0:3a:59
Attribute:assetProductId value:
Attribute:assetProtocol value:
Attribute:assetSerialNumber value:
Attribute:assetSwRevision value:
Attribute:assetVendor value:Cisco Systems, Inc
Attribute:SkipProfiling value:false
7. تعيد PSN مع تمكين pxGrid ملف تعريف نقطة النهاية كسياسة جديدة (profiler.log).
2020-06-24 14:40:13,773 INFO [forwarder-9][] cisco.profiler.infrastructure.profiling.ProfilerManager -:
00:F2:8B:A0:3A:59:9d077480-b628-11ea-bdb7-82edacd9a457:Profiling:- Classify Mac 00:F2:8B:A0:3A:59 MessageCode null epSource pxGrid Probe
2020-06-24 14:40:13,777 DEBUG [forwarder-9][] cisco.profiler.infrastructure.profiling.ProfilerManager -:
00:F2:8B:A0:3A:59:9d077480-b628-11ea-bdb7-82edacd9a457:Profiling:- Policy Cisco-Device matched 00:F2:8B:A0:3A:59 (certainty 10)
2020-06-24 14:40:13,777 DEBUG [forwarder-9][] cisco.profiler.infrastructure.profiling.ProfilerManager -:
00:F2:8B:A0:3A:59:9d077480-b628-11ea-bdb7-82edacd9a457:Profiling:- Policy ekorneyc_ASSET_Group1 matched 00:F2:8B:A0:3A:59 (certainty 20)
2020-06-24 14:40:13,778 DEBUG [forwarder-9][] cisco.profiler.infrastructure.profiling.ProfilerManager -:
00:F2:8B:A0:3A:59:9d077480-b628-11ea-bdb7-82edacd9a457:Profiling:- After analyzing policy hierarchy: Endpoint:
00:F2:8B:A0:3A:59 EndpointPolicy:ekorneyc_ASSET_Group1 for:20 ExceptionRuleMatched:false
2020-06-24 14:40:13,778 DEBUG [forwarder-9][] cisco.profiler.infrastructure.profiling.ProfilerManager -:
00:F2:8B:A0:3A:59:9d077480-b628-11ea-bdb7-82edacd9a457:Profiling:- Endpoint 00:F2:8B:A0:3A:59 Matched Policy Changed.
2020-06-24 14:40:13,778 DEBUG [forwarder-9][] cisco.profiler.infrastructure.profiling.ProfilerManager -:
00:F2:8B:A0:3A:59:9d077480-b628-11ea-bdb7-82edacd9a457:Profiling:- Endpoint 00:F2:8B:A0:3A:59 IdentityGroup Changed.
2020-06-24 14:40:13,778 DEBUG [forwarder-9][] cisco.profiler.infrastructure.profiling.ProfilerManager -:
00:F2:8B:A0:3A:59:9d077480-b628-11ea-bdb7-82edacd9a457:Profiling:- Setting identity group ID on endpoint
00:F2:8B:A0:3A:59 - 91b0fd10-a181-11ea-a1a3-fe7d097d8c61
2020-06-24 14:40:13,778 DEBUG [forwarder-9][] cisco.profiler.infrastructure.profiling.ProfilerManager -:
00:F2:8B:A0:3A:59:9d077480-b628-11ea-bdb7-82edacd9a457:Profiling:- Calling end point cache with profiled end point
00:F2:8B:A0:3A:59, policy ekorneyc_ASSET_Group1, matched policy ekorneyc_ASSET_Group1
2020-06-24 14:40:13,778 DEBUG [forwarder-9][] cisco.profiler.infrastructure.profiling.ProfilerManager -:
00:F2:8B:A0:3A:59:9d077480-b628-11ea-bdb7-82edacd9a457:Profiling:- Sending event to persist end point
00:F2:8B:A0:3A:59, and ep message code = null
2020-06-24 14:40:13,778 DEBUG [forwarder-9][] cisco.profiler.infrastructure.profiling.ProfilerManager -:
00:F2:8B:A0:3A:59:9d077480-b628-11ea-bdb7-82edacd9a457:Profiling:- Endpoint 00:F2:8B:A0:3A:59
IdentityGroup / Logical Profile Changed. Issuing a Conditional CoA
التكوينات
1. تمكين PxGrid Probe على أحد ملفات PSN
انتقل إلى إدارة > نظام > نشر، حدد عقدة ISE باستخدام PSN Persona. التبديل إلى علامة تبويب تكوين ملف التعريف. تأكد من تمكين تحقيق pxGrid.
2. تكوين السمات المخصصة لنقطة النهاية على ISE
انتقل إلى إدارة > إدارة الهوية > إعدادات > سمات نقطة النهاية المخصصة. تكوين سمات مخصصة (assetGroup) وفقا لهذه الصورة. يدعم CCV 3.1.0 سمة AssetGroup المخصصة فقط.
3. تكوين نهج منشئ ملفات التعريف باستخدام سمات مخصصة
انتقل إلى مراكز العمل > منشئ ملفات التعريف > نهج إنشاء ملفات التعريف. انقر على إضافة. تكوين نهج منشئ ملفات التعريف المماثل لهذه الصورة. تعبير الشرط المستخدم في هذا النهج هو CUSTOMATTRIBUTE:AssetGroup EQUALS Group1.
4. تمكين السمات المخصصة لإنفاذ تصنيف البيانات
انتقل إلى مراكز العمل > منشئ ملفات التعريف > نهج إنشاء ملفات التعريف. انقر على إضافة. تكوين نهج منشئ ملفات التعريف المماثل لهذه الصورة. تأكد من تمكين السمة المخصصة لتطبيق ملف التعريف.
5. تكوين الموافقة التلقائية لعملاء PXgrid
انتقل إلى إدارة > خدمات pxGrid > إعدادات. حدد الموافقة التلقائية على الحسابات المستندة إلى شهادة جديدة وانقر فوق حفظ. تضمن هذه الخطوة أنك لا تحتاج إلى الموافقة على CCV بمجرد إجراء التكامل.
6. تصدير شهادة CCV
انتقل إلى Admin > pxGrid. انقر على تنزيل الشهادة. يتم إستخدام هذه الشهادة أثناء تسجيل PxGrid، لذلك يجب أن يثق ISE بها.
7. تحميل شهادة هوية CCV إلى متجر ISE الموثوق به
انتقل إلى إدارة > شهادات > إدارة شهادات > شهادات موثوق بها. انقر فوق إستيراد. انقر على إستعراض وحدد شهادة CCV من الخطوة 5. انقر على إرسال.
8. إنشاء شهادة ل CCV
أثناء تكامل PxGrid والتحديثات، يحتاج CCV إلى شهادة العميل. يجب إصدارها بواسطة ISE Internal CA، باستخدام PxGrid_Certificate_Template.
انتقل إلى إدارة > خدمات pxGrid > شهادات. ملء الحقول طبقا لهذه الصورة. حقل الاسم الشائع (CN) إلزامي لأن هدف ISE CA هو إصدار شهادة هوية. أنت سوفت دخلت المضيف إسم من CCV، CN مجال قيمة مهم. أصدرت in order to فحصت ال hostname من CCV، ال hostname أمر. حدد PKCS12 بتنسيق تنزيل الشهادة.
root@center:~# hostname
center
root@center:~#
9. تنزيل سلسلة الشهادات بتنسيق PKCS12
عندما تقوم بتثبيت الشهادة بتنسيق PKCS12، بالإضافة إلى سلسلة ISE الداخلية لشهادة الهوية CCV مثبتة على CCV لضمان أن CCV يثق ISE عندما يبدأ اتصال pxGrid من ISE، على سبيل المثال، رسائل keepalive الخاصة ب pxGrid.
10. تكوين تفاصيل تكامل ISE على CCV
انتقل إلى Admin > pxGrid. تكوين اسم العقدة، سيتم عرض هذا الاسم على ISE كاسم عميل في الإدارة > خدمات pxGrid > عملاء الويب. قم بتكوين اسم المضيف وعنوان IP لعقدة ISE PxGrid. تأكد من إمكانية حل CCV ل ISE FQDN.
11- تحميل سلسلة الشهادات على CCV وتكامل الإطلاق
انتقل إلى Admin > pxGrid. انقر على تغيير الشهادة. حدد الشهادة الصادرة عن ISE CA من الخطوات 8-9. دخلت الكلمة من خطوة 8. وطقطقة ok.
انقر فوق تحديث، مما يؤدي إلى تشغيل تكامل CCV - ISE الفعلي.
التحقق من الصحة
استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.
التحقق من تكامل CCV
بمجرد إتمام التكامل، يمكنك تأكيد نجاحه من خلال الانتقال إلى Admin > PxGrid. يجب أن ترى أن الاتصال رسالة نشطة تحت خادم ISE.
التحقق من تكامل ISE
انتقل إلى إدارة > خدمات pxGrid > عملاء الويب. تأكد من أن حالة عميل CCV (CV-JENS) قيد التشغيل.
التحقق من تغيير مجموعة CCV
انتقل إلى أستكشاف > كل البيانات > قائمة المكونات. انقر فوق أحد المكونات وقم بإضافته إلى المجموعة.
تحقق من إدراج /topic/com.cisco.ise.endpoint.asset الآن كمنشورات مقابل CCV.
تأكد من أن المجموعة 1 التي تم تعيينها عبر CCV تنعكس على ISE، وقد بدأ تطبيق سياسة إنشاء ملفات التعريف (ISE) بالانتقال إلى رؤية السياق > نقاط النهاية. حدد نقطة النهاية التي تم تحديثها في الخطوة السابقة. قم بالتبديل إلى علامة التبويب سمات. يجب أن يعكس قسم السمات المخصصة المجموعة التي تم تكوينها حديثا.
يسرد قسم السمات الأخرى كل سمات الأصول الأخرى المتلقاة من CCV.
استكشاف الأخطاء وإصلاحها
يوفر هذا القسم معلومات يمكنك استخدامها لاستكشاف أخطاء التكوين وإصلاحها.
تمكين تصحيح الأخطاء على ISE
لتمكين تصحيح الأخطاء على ISE، انتقل إلى الإدارة > النظام > تسجيل الدخول > تكوين سجل تصحيح الأخطاء. قم بتعيين مستويات السجل إلى ما يلي:
| برسونا | اسم المكون | مستوى التسجيل | الملف المطلوب التحقق منه |
| PAN (إختياري) | محلل | تصحيح الأخطاء | منشئ ملفات التعريف.log |
| PSN مع تمكين PxGrid Probe | محلل | تصحيح الأخطاء | منشئ ملفات التعريف.log |
| PxGrid | pxgrid | أثر | pxgrid-server.log |
تمكين تصحيح الأخطاء على CCV
in order to مكنت يضبط على CCV:
- إنشاء ملف /data/etc/sbs/pxgrid-agent.conf باستخدام أمر touch /data/etc/sbs/pxgrid-agent.conf
- الصق هذا المحتوى في ملف pxgrid-agent.conf باستخدام المحرر vi باستخدام الأمر vi /data/etc/sbs/pxgrid-agent.conf
# /data/etc/sbs/pxgrid-agent.conf
base:
loglevel: debug
- قم بإعادة تشغيل عامل pxgrid من خلال تشغيل الأمر system restart pxgrid-agent
- عرض السجلات باستخدام الأمر journalCTL -u pxgrid-agent
فشل التنزيل المجمع
يقوم CCV بنشر عنوان URL للتنزيل المجمع إلى ISE أثناء التكامل. يقوم ISE PSN مع تمكين PxGrid بتنفيذ التنزيل المجمع باستخدام عنوان URL هذا. ضمان ما يلي:
- يمكن حل اسم المضيف في عنوان URL بشكل صحيح من منظور ISE
- يسمح إتصال من PSN على ميناء 8910 إلى CCV
profiler.log on PSN مع تمكين pxGrid probe:
INFO [ProfilerINDSubscriberPoller-58-thread-1][] cisco.profiler.infrastructure.probemgr.INDSubscriber -::::- New services are:
[Service [name=com.cisco.endpoint.asset, nodeName=cv-jens4, properties={assetTopic=/topic/com.cisco.endpoint.asset,
restBaseUrl=https://Center:8910/pxgrid/ind/asset/, wsPubsubService=com.cisco.ise.pubsub}]]
يمكن أن يفشل التنزيل المجمع بسبب CSCvt75422، يجب أن ترى هذا الخطأ في profiler.log على ISE لتأكيد ذلك. تم إصلاح العيب في CCV 3.1.0.
2020-04-09 10:47:22,832 ERROR [ProfilerINDSubscriberBulkRequestPool-212-thread-1][] cisco.profiler.infrastructure.probemgr.INDSubscriber
-::::- ProfilerError while sending bulkrequest to cv-jens4:This is not a JSON Object.
java.lang.IllegalStateException: This is not a JSON Object.
at com.google.gson.JsonElement.getAsJsonObject(JsonElement.java:83)
at com.cisco.profiler.infrastructure.probemgr.INDSubscriber.parseJsonBulkResponse(INDSubscriber.java:161)
at com.cisco.profiler.infrastructure.probemgr.INDSubscriber$BulkRequestWorkerThread.run(INDSubscriber.java:532)
at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1149)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:624)
at java.lang.Thread.run(Thread.java:748)
لا يتم إنشاء كل نقاط النهاية على ISE
قد تحتوي بعض نقاط النهاية على CCV على سمات كثيرة جدا مرفقة، لذلك لن تتمكن قاعدة بيانات ISE من معالجتها. يمكن التأكد من ظهور هذه الأخطاء في profiler.log on ISE.
2020-05-29 00:01:25,228 ERROR [admin-http-pool1][] com.cisco.profiler.api.EDFEndPointHandler -::::-
Failed to create endpoint 00:06:F6:2A:C4:2B ORA-12899:
value too large for column "CEPM"."EDF_EP_MASTER"."EDF_ENDPOINTIP" (actual:660, maximum: 100)
2020-05-29 00:01:25,229 ERROR [admin-http-pool1][] com.cisco.profiler.api.EDFEndPointHandler -::::-
Unable to create the endpoint.:ORA-12899:
value too large for column "CEPM"."EDF_EP_MASTER"."EDF_ENDPOINTIP" (actual: 660, maximum: 100)
com.cisco.epm.edf2.exceptions.EDF2SQLException: ORA-12899:
value too large for column "CEPM"."EDF_EP_MASTER"."EDF_ENDPOINTIP" (actual: 660, maximum: 100)
AssetGroup غير متوفرة على ISE
إذا لم تكن AssetGroup متوفرة على ISE، فمن المحتمل أن لا يتم تكوين نهج إنشاء ملفات التعريف باستخدام سمات مخصصة (ارجع إلى الخطوات 2-4. في جزء "التكوينات" من المستند). حتى بالنسبة لإمكانية رؤية السياق، فقط لعرض سمات المجموعة، تكون نهج إنشاء ملفات التعريف والإعدادات الأخرى من الخطوات 2-4 إلزامية.
لا تنعكس تحديثات مجموعة نقاط النهاية على ISE
بسبب CSCvu80175، CCV لا ينشر تحديث نقطة النهاية إلى ISE حتى CCV يعيد التمهيد مباشرة بعد التكامل. أنت يستطيع reboot CCV ما إن يتم التكامل كحل بديل.
لا تقوم إزالة مجموعة من CCV بإزالتها من ISE
رأيت هذا إصدار بسبب العيب معروف على CCV CSCvu47880.ال pxGrid تحديث يرسل أثناء إزالة مجموعة من CCV له تنسيق مختلف عن المتوقع، لذلك المجموعة لا يزال.
يسقط CCV من عملاء الويب
ينظر إلى هذه المشكلة بسبب العيب المعروف على ISE CSCvu47880 حيث ينتقل العملاء إلى حالة "خارج" يتبعها إزالة كاملة من عملاء الويب. تم حل المشكلة في 2.6 تصحيح 7 و 2.7 تصحيح 2 من ISE.
أنت يستطيع أكدت هو إن يرى أنت هذا خطأ في pxgrid-server.log on ISE:
2020-06-26 09:42:28,772 DEBUG [Pxgrid-SessionManager-LookupAccountsTask][] cpm.pxgridwebapp.ws.pubsub.StompPubsubEndpoint -:::::-
onClose: session=[14f,CLOSED], sessionInfo=WSSessionInfo [id=336, nodeName=cv-jens, addr=10.48.43.241, sessionID=14f, status=OFF,
creationTime=2020-06-26 08:19:28.726, closeTime=2020-06-26 09:42:28.772, reason=VIOLATED_POLICY:Did not receive a pong: too slow ...,
subscriptions=[], publications=[/topic/com.cisco.endpoint.asset]]
دمج ISE مع حالة إستخدام CCV TrustSec
يوضح هذا التكوين كيف يمكن أن يفيد دمج ISE مع CCV الأمان من نهاية إلى نهاية عندما يكون TrustSec في موضعه. هذا مجرد مثال واحد من الأمثلة على كيفية إستخدام التكامل، بمجرد القيام بالتكامل.
الطوبولوجيا والتدفق
التكوين
1. تكوين علامات المجموعة القابلة للتطوير على ISE
من أجل تحقيق حالة الاستخدام المذكورة سابقا، يتم تكوين IOt_Group1_Asset لعلامة TrustSec و IOT_Group2_Asset يدويا للتمييز بين أصول CCV الخاصة بالمجموعة 1 من المجموعة 2 على التوالي. انتقل إلى مراكز العمل > TrustSec > المكونات > مجموعات الأمان. انقر فوق إضافة. قم بتسمية الرقيب كما هو موضح في الصورة.
2. تكوين نهج منشئ ملفات التعريف بسمات مخصصة للمجموعة 2
انتقل إلى مراكز العمل > منشئ ملفات التعريف > نهج إنشاء ملفات التعريف. انقر على إضافة. تكوين نهج منشئ ملفات التعريف المماثل لهذه الصورة. تعبير الشرط المستخدم في هذا النهج هو CUSTOMATTRIBUTE:AssetGroup EQUALS Group2.
3. تكوين سياسات التفويض لتخصيص سياسات SGT القائمة على مجموعات هوية النقطة الطرفية على ISE
انتقل إلى السياسة > مجموعات السياسات. حدد مجموعة النهج وقم بتكوين نهج التخويل وفقا لهذه الصورة. لاحظ أنه نتيجة لذلك، يتم تعيين الرقيب الذي تم تكوينه في الخطوة 1.
| اسم القاعدة | شروط | ملفات التعريف | مجموعات الأمان |
| سياسة مجموعة CCV رقم 1 | IdentityGroup·Name يساوي مجموعات هوية نقطة النهاية:Profiled:ekorneyc_ASSET_GROUP1 | PermitAccess | IOT_GROUP1_ASSET |
| سياسة المجموعة الثانية CCV | IdentityGroup·Name يساوي مجموعات هوية نقطة النهاية:Profiled:ekorneyc_ASSET_GROUP2 | PermitAccess | IOt_GROUP2_ASSET |
التحقق من الصحة
استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.
1. مصادقة نقاط النهاية استنادا إلى مجموعة CCV 1
على المحول، يمكنك أن ترى أن بيانات البيئة تتضمن كل من 16-54:IOT_Group1_Asset و17-54:IOT_Group2_Asset.
KJK_IE4000_10#show cts environment-data
CTS Environment Data
====================
Current state = COMPLETE
Last status = Successful
Local Device SGT:
SGT tag = 0-00:Unknown
Server List Info:
Installed list: CTSServerList1-0001, 1 server(s):
*Server: 10.48.17.86, port 1812, A-ID 11A2F46141F0DC8F082EFBC4C49D217E
Status = ALIVE
auto-test = TRUE, keywrap-enable = FALSE, idle-time = 60 mins, deadtime = 20 secs
Multicast Group SGT Table:
Security Group Name Table:
0-54:Unknown
2-54:TrustSec_Devices
3-54:Network_Services
4-54:Employees
5-54:Contractors
6-54:Guests
7-54:Production_Users
8-54:Developers
9-54:Auditors
10-54:Point_of_Sale_Systems
11-54:Production_Servers
12-54:Development_Servers
13-54:Test_Servers
14-54:PCI_Servers
15-54:BYOD
16-54:IOT_Group1_Asset
17-54:IOT_Group2_Asset
255-54:Quarantined_Systems
Environment Data Lifetime = 86400 secs
Last update time = 16:39:44 UTC Wed Jun 13 2035
Env-data expires in 0:23:59:53 (dd:hr:mm:sec)
Env-data refreshes in 0:23:59:53 (dd:hr:mm:sec)
Cache data applied = NONE
State Machine is running
KJK_IE4000_10#
نقاط النهاية تصادق وكنتيجة لذلك، تتطابق سياسة CCV مجموعة 1، فيتم تعيين الرقيب IOT_Group1_Asset.
يؤكد المحول show authentication session interface fa1/7 detail أن بيانات قبول الوصول تم تطبيقها بنجاح.
KJK_IE4000_10#show authentication sessions interface fa1/7 detail
Interface: FastEthernet1/7
MAC Address: 00f2.8ba0.3a59
IPv6 Address: Unknown
IPv4 Address: 172.16.0.100
User-Name: 00-F2-8B-A0-3A-59
Status: Authorized
Domain: DATA
Oper host mode: single-host
Oper control dir: both
Session timeout: N/A
Restart timeout: N/A
Periodic Acct timeout: N/A
Session Uptime: 128s
Common Session ID: 0A302BFD0000001B02BE1E9C
Acct Session ID: 0x00000010
Handle: 0x58000003
Current Policy: POLICY_Fa1/7
Local Policies:
Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
Security Policy: Should Secure
Security Status: Link Unsecure
Server Policies:
SGT Value: 16
Method status list:
Method State
mab Authc Success
KJK_IE4000_10#
2. يقوم المسؤول بتغيير المجموعة
انتقل إلى البحث. الصق عنوان Mac لنقطة النهاية، انقر عليه وأضفه إلى المجموعة 2.
3-6 . تأثير تغيير مجموعة نقاط النهاية على CCV
تنعكس الخطوات 4 و 5 و 6 في هذه الصورة. بفضل عملية إنشاء ملفات التعريف، قامت نقطة النهاية بتغيير مجموعة الهوية إلى ekornec_ASSET_GROUP2 التي تظهر في الخطوة 4، مما أدى إلى قيام ISE بإرسال CoA إلى المحول (الخطوة 5) وأخيرا إعادة مصادقة نقطة النهاية (الخطوة 6).
يؤكد المحول show authentication session interface fa1/7 detail أنه تم تعيين الرقيب الجديد.
KJK_IE4000_10#show authentication sessions interface fa1/7 detail
Interface: FastEthernet1/7
MAC Address: 00f2.8ba0.3a59
IPv6 Address: Unknown
IPv4 Address: 172.16.0.100
User-Name: 00-F2-8B-A0-3A-59
Status: Authorized
Domain: DATA
Oper host mode: single-host
Oper control dir: both
Session timeout: N/A
Restart timeout: N/A
Periodic Acct timeout: N/A
Session Uptime: 664s
Common Session ID: 0A302BFD0000001B02BE1E9C
Acct Session ID: 0x00000010
Handle: 0x58000003
Current Policy: POLICY_Fa1/7
Local Policies:
Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
Security Policy: Should Secure
Security Status: Link Unsecure
Server Policies:
SGT Value: 17
Method status list:
Method State
mab Authc Success
KJK_IE4000_10#
الملحق
التكوين المرتبط ب Switch TrustSec
aaa new-model
!
aaa group server radius ISE
server name ISE-1
!
aaa authentication dot1x default group ISE
aaa authorization network default group ISE
aaa authorization network ISE group ISE
aaa accounting dot1x default start-stop group ISE
!
dot1x system-auth-control
!
aaa server radius dynamic-author
client 10.48.17.86
server-key cisco
!
aaa session-id common
!
cts authorization list ISE
cts role-based enforcement
!
interface FastEthernet1/7
description --- ekorneyc TEST machine ---
switchport access vlan 10
switchport mode access
authentication port-control auto
mab
!
radius server ISE-1
address ipv4 10.48.17.86 auth-port 1645 acct-port 1646
pac key cisco
!
end
KJK_IE4000_10#
التعليقات