FMC 7.2.4 통합으로 ISE 3.2 구성 및 문제 해결

소개

이 문서에서는 Platform Exchange Grid 연결을 사용하여 Identity Services Engine을 방화벽 관리 센터와 통합하는 절차에 대해 설명합니다.

사전 요구 사항

Cisco에서는 다음 항목에 대한 지식을 권장합니다.

• ISE(Identity Services Engine)
• 플랫폼 교환 그리드
• 방화벽 관리 센터
• TLS/SSL 인증서

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• ISE(Identity Services Engine) 버전 3.2 패치 3
• Firewall Management Center 버전 7.2.4

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

배경 정보.

이 문서에서는 pxGrid 버전 2를 사용하여 FMC와 ISE를 통합하는 솔루션을 제공합니다.

Cisco Firepower Management Center는 Next Generation Firewall 및 Intrusion Prevention System을 위한 중앙 집중식 플랫폼으로서 정책 관리, 위협 탐지 및 사고 대응을 제공합니다.

Cisco Identity Services Engine은 AAA(Authentication, Authorization, and Accountability) 및 정책 시행 서비스를 제공하여 엔드포인트에 대한 보안 액세스를 제공하는 포괄적인 솔루션입니다.

pxGrid(Platform Exchange Grid)를 사용하면 멀티벤더 교차 플랫폼 네트워크 간에 정보를 교환할 수 있습니다.

이러한 통합을 통해 안전한 모니터링, 위협 탐지, 공유된 정보를 기반으로 네트워크 정책을 설정할 수 있습니다. 

PxGrid 프레임워크는 2가지 버전입니다. 사용해야 하는 것은 검토해야 하는 ISE 버전 및 패치에 따라 다릅니다.

버전 ISE 3.1부터 모든 pxGise의 rid 연결은 pxgrid 버전을 기반으로 합니다. 2 .

PxGrid 버전 1.

T이 프레임워크의 첫 번째 버전 (pxGrid v1) show application status ise 명령을 통해 확인된 서비스 기능 때문에 특징이 있습니다. 표시됩니다.

pxGrid 기능이 노드에서 활성화되면 pxGrid가 표시됩니다 기능 실행 중 상태.

PxGrid 버전 1 서비스 가용성.

이 플랫폼 버전에서는 pxGrid 프로세스가 실행 중인 하나의 pxGrid 노드만 있고 다른 pxGrid 노드는 대기 상태이며 관련 서비스가 실행 중인 pxGrid 노드의 상태를 지속적으로 모니터링하는 것으로 알려져 있습니다.

이 경우 기본 pxGrid 노드에 프로모션이 있었고 다른 pxGrid 노드는 해당 pxGrid 서비스를 활성화했습니다. 

그러나 이는 장애 조치가 발생했을 때의 다운타임을 나타냅니다.

pxgrid의 첫 번째 버전은 협업 및 음성 인프라에 사용되는 기술 집합인 XMPP(Extensible Messaging and Presence Protocol)의 통신을 기반으로 했습니다.

pxGrid v1 연결에서 공유하는 항목은 다음과 같습니다.

• 세션 디렉터리
• 엔드포인트 프로파일 메타데이터
• Trustsec 메타데이터
• 엔드포인트 보호 기능
• 적응형 네트워크 제어
• MDM_Offline 항목
• 신원
• SXP

PxGrid 버전 2.

이 문서에서는 이 버전의 사용을 다룹니다. 이 플랫폼은 현재 ISE 및 WebSocket 프로토콜에서 REST 작업을 사용하여 작동하며, 데이터 모델의 확장성, 성능 및 유연성이 개선되었습니다.

이 버전에서는 show application status ise 명령을 사용하여 이전 버전에서와 같이 실행 중인 pxgrid 기능을 볼 수 없습니다.

pxGrid 기능을 검토하기 위해 확인할 수 있는 메커니즘을 알아보려면 이 문서의 ISE에 대한 검증 섹션을 참조하십시오.

이 버전에서는 활성 pxGrid 노드로 구성하는 모든 pxGrid 노드가 있습니다. 이들은 언제든지 정보 교환에 참여할 수 있습니다.

버전 1에서는 한 노드만 pxGrid의 서비스 가용성을 실행 중인 것으로 유지했습니다.

pxGrid v2 연결에서 공유하는 항목은 다음과 같습니다.

• 세션 디렉터리
• Radius 실패
• 프로파일러 컨피그레이션
• 시스템 상태
• MDM
• ANC 상태
• 트러스트섹(TrustSec)
• TrustSec 컨피그레이션
• TrustSec SXP
• 엔드포인트 자산.

pxGrid의 구성 요소를 플랫폼으로 사용합니다.

PxGrid 컨트롤러(ISE): pxGrid를 사용하는 각 참가자를 신뢰해야 합니다.

클라이언트: 다른 주제의 구독자 및 게시자가 될 수 있습니다.

게시자: 컨트롤러와 정보를 공유하는 클라이언트입니다.

가입자: 주제의 정보를 사용하는 클라이언트입니다.

이러한 통합을 통해 ISE에서 공유하는 정보 및 게시된 항목(엔드포인트 활동과 관련)을 기반으로 FMC에서 콘텐츠 정책을 생성할 수 있습니다.

구성

통합을 위해 ISE를 준비합니다.

1단계. 메뉴에서 pxGrid 페르소나를 실행하도록 ISE 노드를 구성합니다(Administration > System > Deployment).

노드를 선택하고 pxGrid 기능을 활성화합니다.

노드에서 ISE pxGrid 서비스를 활성화합니다.

2단계. pxGrid 기능을 사용하여 노드를 활성화한 후 내부 클라이언트와 관련된 Websockets의 연결 상태를 검토합니다.

Administration(관리) > pxGrid Services(pxGrid 서비스) > Websocket(Websocket)으로 이동합니다. IP 주소 127.0.0.1을 통해 ISE 서비스를 직접 가리키는 클라이언트를 확인합니다.

ISE의 내부 WebSockets

3단계. Administration(관리) > pxGrid Services(pxGrid 서비스) > Settings(설정) 메뉴를 탐색하고 Automatically approve new certificate-base accounts(새 인증서 기반 어카운트 자동 승인),

이 단계는 선택 사항이지만 pxGrid 연결의 경우 이 확인란을 활성화하는 것이 좋습니다.

나중에 수동으로 FMC를 가입자로 수락할 수 있습니다.

pxGrid 인증서 기반 어카운트에 대한 자동 승인을 활성화합니다.

4단계. Administration(관리) > System(시스템) > System Certificates(시스템 인증서)에서 해당 환경의 pxGrid 기능과 관련된 인증서를 검토합니다.

동일한 루트 CA(Certificate Authority)에서 서명한 구축의 모든 노드에 동일한 pxGrid 인증서가 있는 것이 좋습니다

이 시나리오에서는 생성된 내부 ISE 인증서를 사용합니다. 이 예가 표시된 이 버전의 ISE에서는 루트 CA가 PAN 노드에 해당합니다.

ISE의 내부 인증서 다이어그램

분산 구축의 PxGrid 인증서

5단계. pxGrid 인증서의 상태를 확인합니다.

이전 메뉴에서 노드 pxGrid 인증서의 확인란을 선택한 다음 보기 옵션을 선택합니다.

출력은 여기에 pxGrid 인증서에 표시된 것과 같습니다.

pxGrid 인증서 확인.

통합을 위해 FMC를 준비합니다.

1단계.FMC 내부 시간이 최신.

탐색 System(시스템) > Configuration(구성) > Time FMC에 구성된 시간이 최신.

FMC가 최신 상태인지 확인하는 중입니다.

FMC 시간이 업데이트되지 않은 경우 NTP가 제대로 구성되었는지 확인합니다 및 에서 동기화. NTP는 System(시스템) > Configuration(구성) > Time(시간) > + Add(추가).

FMC에서 시간 동기화.

2단계. 탐색 System(시스템) > Configuration(구성) > 관리 인터페이스 > 공유 설정 최소 100% 이상의 기본 DNS 서버 필드 포함 유효한 DNS 서버 IP.

FMC의 DNS 컨피그레이션

3단계. FMC 호스트 이름이 구성되었는지 확인합니다.  

탐색 System(시스템) > Configuration(컨피그레이션) > Management Interface(관리 인터페이스) > Shared Settings(공유 설정) Cisco가 호스트 이름 필드에 FMC 호스트 이름이 포함되어 있습니다.

이 섹션의 이전 단계를 검토하면서 이 단계를 확인할 수 있습니다. 

ISE와 FMC 간에 pxGrid 연결을 설정합니다.

1단계. Administration(관리) > pxGrid Services(pxGrid 서비스) > Client Management(클라이언트 관리) > Certificates(인증서) 메뉴로 이동합니다.

첫 번째 옵션에서 I want to Generate single certificate (without certificate signing request)(인증서 서명 요청 없이 단일 인증서를 생성하겠습니다)를 선택합니다. 

Common Name (CN) 섹션에서 ISE가 인증서를 발급할 FMC의 FQDN을 입력합니다.

설명을 입력합니다.

SAN(Subject Alternative Name) 섹션에서 연결할 FMC의 FQDN과 IP 주소를 입력합니다.

Certificate Download Format(인증서 다운로드 형식)의 아래쪽에서 드롭다운 메뉴에서 Certificate in Privacy Enhanced Electronic Mail (PEM) format(프라이버시 강화 전자 메일(PEM) 형식의 인증서), key in PKCSS PEM format(certificate chain 포함) 옵션을 선택합니다.

나중에 FMC에서 이 비밀번호를 사용할 때 Certificate Password(인증서 비밀번호)에 비밀번호를 입력하고 저장합니다.

비밀번호를 확인한 다음 생성을 선택합니다.

pxGrid 인증서 생성의 예

2단계. zip 파일이 컴퓨터에 다운로드됩니다. 파일 압축을 풀고 해당 환경에서 다음 파일이 있는지 확인합니다.

ISE에서 생성된 PxGrid 인증서

3단계. FMC에서 Objects(개체) > Objects Management(개체 관리) > PKI > Internal Certs(내부 인증서) 메뉴로 이동합니다.

Add Internal Cert(내부 인증서 추가) 옵션을 선택합니다.

FMC 인증서를 내부 인증서로 추가합니다.

4단계. FMC에 할당된 인증서의 이름을 지정합니다. 

ISE에서 FMC를 위해 생성한 인증서를 Certificate Data(인증서 데이터) 섹션에서 찾고 확장자가 .key인 파일을 찾아 다음 필드를 채웁니다.

Encrypted(암호화됨) 옵션을 선택하고 ISE에서 인증서를 생성할 때 사용한 비밀번호를 입력합니다.

설정 저장.

ISE에서 생성한 FMC 인증서 내보내기

FMC 인증서

5단계. Objects(개체) > Objects Management(개체 관리) > PKI > Trusted CAs(신뢰할 수 있는 CA) 메뉴로 이동합니다.

Add Trusted CAs(신뢰할 수 있는 CA 추가)를 선택합니다.

ISE rootCA를 신뢰할 수 있는 인증서로 추가합니다.

6단계. 인증 기관의 이름을 지정합니다.

ISE 파일에서 다운로드한 ISE rootCA를 찾아 선택합니다.

컨피그레이션을 저장합니다.  

ISE rootCA를 내보냅니다.

7단계. Integration(통합) > Other Integrations(기타 통합) > Identity Sources(ID 소스) 메뉴로 이동합니다.

Service Type(서비스 유형): Identity Services Engine에서 선택합니다.

기본 노드가 되는 pxGrid 노드의 IP 주소 또는 FQDN을 입력합니다.

보조 pxGrid 노드에 대해 이 절차를 반복합니다.

드롭다운 메뉴에서 pxGrid 클라이언트 인증서 섹션에 대해 ISE에서 생성한 pxGrid 인증서를 선택합니다.

MNT 서버 CA 및 pxGrid 서버 CA 섹션에서 마지막 단계에서 내보낸 ISE rootCA를 선택합니다.

(선택 사항) ISE에서 세션 디렉토리 및 SXP 주제에 가입할 수 있습니다. 

설정 저장.

FMC에서 ISE를 ID 소스로 설정

확인.

FMC에 대한 검증

Integration(통합) > Other Integrations(기타 통합) > Identity Sources(ID 소스) > Identity Services Engine(ID 서비스 엔진) 메뉴에서 컨피그레이션을 저장하기 전에 pxGrid 링크에 대한 설정을 테스트할 수 있습니다.

PxGrid가 성공적으로 통신했습니다.

Primary host:

[INFO]: PXGrid v2 is enabled
[INFO]: pxgrid 2.0: account activate succeeded
[INFO]: Successful connection to ssptise02.ssptsec.mex:8910
[INFO]: Successful connection to ssptise01.ssptsec.mex:8910
[INFO]: These ISE Services are up: SessionDirectory, SXP, EndpointProfile, SecurityGroups, AdaptiveNetworkControl
[INFO]: All requested ISE Services are online.

Secondary host:

[INFO]: PXGrid v2 is enabled
[INFO]: pxgrid 2.0: account activate succeeded
[INFO]: Successful connection to ssptise02.ssptsec.mex:8910
[INFO]: Successful connection to ssptise01.ssptsec.mex:8910
[INFO]: These ISE Services are up: SessionDirectory, SXP, EndpointProfile, SecurityGroups, AdaptiveNetworkControl
[INFO]: All requested ISE Services are online.

ISE에서 검증.

FMC pxGrid 클라이언트가 ISE에 성공적으로 통합되면 당신 를 참조하십시오.메뉴 Administration(관리) > pxGrid Services(pxGrid 서비스) > Client Management(클라이언트 관리) > 클라이언트) fmc라는 이름의 클라이언트가 포함되어 있으며 사용.

사용 가능한 PxGrid 클라이언트 및 활성화

또한 administration(관리) > pxGrid Services(pxGrid 서비스) > Diagnostics(진단) > WebSocket(WebSocket) 메뉴로 이동할 경우 그런 다음초 Cisco의 FMC

FMC가 포함된 시나리오에서는 고가용성, 그런 다음 이 예에 표시된 대로 기본 및 보조 유닛이 표시됩니다.

ISE에서 사용할 수 있는 WebSockets.

다음 탭에서 이 메뉴에서 지명 Topics, 다음을 수행할 수 있습니다. fmc 가입자가 ISE에서 게시한 pxGrid 주제에 추가되었는지 확인합니다.

예를 들어, 보안 그룹, 위치 당신 두 FMC 모두 가입 및 수신 관련 정보 수신 SGT ISE에서 게시했습니다.

pxGrid 가입자당 항목 수

I메뉴 Administration(관리) > pxGrid Services(pxGrid 서비스) > Diagnostics(진단) > Log(로그), 중요한 이벤트 pxGrid 통신에서 관련(활성화된 기능이 활성화된 노드에 해당)이 표시됩니다 통합과 관련된 정보를 묘사합니다.

PxGrid 라이브 로그

문제 해결

FMC에서 트러블슈팅을 수행합니다. 

FMC가 호스트 이름으로 자체 호스트 이름 및 ISE 노드를 확인할 수 있는지 확인합니다.  

예를 들면 다음과 같습니다.

> expert
admin@sspt_fmc01_lab:~$ ping sspt_fmc01_lab

PING sspt_fmc01_lab (10.4.49.51) 56(84) bytes of data.
64 bytes from sspt_fmc01_lab (10.4.49.51): icmp_seq=1 ttl=64 time=0.029 ms
64 bytes from sspt_fmc01_lab (10.4.49.51): icmp_seq=2 ttl=64 time=0.071 ms
64 bytes from sspt_fmc01_lab (10.4.49.51): icmp_seq=3 ttl=64 time=0.055 ms
^C
--- sspt_fmc01_lab ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 27ms

admin@sspt_fmc01_lab:~$ ping ssptise01
PING ssptise01.ssptsec.mex (10.4.49.41) 56(84) bytes of data.
64 bytes from ssptise01.ssptsec.mex (10.4.49.41): icmp_seq=1 ttl=64 time=0.586 ms
64 bytes from ssptise01.ssptsec.mex (10.4.49.41): icmp_seq=2 ttl=64 time=0.646 ms
64 bytes from ssptise01.ssptsec.mex (10.4.49.41): icmp_seq=3 ttl=64 time=0.743 ms
^C
--- ssptise01.ssptsec.mex ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 82ms
rtt min/avg/max/mdev = 0.586/0.658/0.743/0.068 ms
admin@sspt_fmc01_lab:~$
admin@sspt_fmc01_lab:~$ ping ssptise02

PING ssptise02.ssptsec.mex (10.4.49.42) 56(84) bytes of data.
64 bytes from ssptise02.ssptsec.mex (10.4.49.42): icmp_seq=1 ttl=64 time=0.588 ms
64 bytes from ssptise02.ssptsec.mex (10.4.49.42): icmp_seq=2 ttl=64 time=0.609 ms
64 bytes from ssptise02.ssptsec.mex (10.4.49.42): icmp_seq=3 ttl=64 time=0.628 ms
^C
--- ssptise02.ssptsec.mex ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 45ms
rtt min/avg/max/mdev = 0.588/0.608/0.628/0.025 ms

다음을 확인합니다. ADI 프로세스가 실행 중입니다.

> expert
sudo suadmin@sspt_fmc01_lab:~$ sudo su
root@sspt_fmc01_lab:/Volume/home/admin#  pmtool status | grep adi  

adi (normal) - Running 7911

EFMC에서 ISE로의 통신이 port TCPP 8910이 허용됩니다. FMC에서 CLI Cisco는 구성 a tcpudump 패킷 캡처를 통해 양방향 통신을 확인합니다.

> expert
sudo suadmin@sspt_fmc01_lab:~$ sudo su

root@sspt_fmc01_lab:/Volume/home/admin# tcpdump -i any tcp and port 8910
22:34:08.415370 IP sspt_fmc01_lab.46248 > ssptise01.ssptsec.mex.8910: Flags [S], seq 3033526171, win 29200, options [mss 1460,sackOK,TS val 2701166399 ecr 0,nop,wscale 7], length 0
22:34:08.415840 IP ssptise01.ssptsec.mex.8910 > sspt_fmc01_lab.46248: Flags [S.], seq 3024877968, ack 3033526172, win 28960, options [mss 1460,sackOK,TS val 2268665064 ecr 2701166399,nop,wscale 7], length 0
22:34:08.415894 IP sspt_fmc01_lab.46248 > ssptise01.ssptsec.mex.8910: Flags [.], ack 1, win 229, options [nop,nop,TS val 2701166400 ecr 2268665064], length 0
[...]

ISE에서 트러블슈팅을 수행합니다.

포트 8910의 통신 확인 운영 중입니다.

이 포트는 pxGrid 클라이언트에서 사용하는 포트입니다를 사용하여 정보의 대량 다운로드를 위해 pxGrid 노드 및 MnT 노드와 통신할 수 있습니다.

ISE 환경의 PxGrid 상호 작용

IpxGrid 클라이언트와의 통신이 유지되는 ISE 노드에서 다음을 검토할 수 있습니다 이 포트: 열기 또는 에 연결된 소켓이 있는 경우 해당 포트.

#show ports | include 8910
tcp: (output omitted), :::8910, 

ISE에서는 pxGrid 구현의 전반적인 상태를 진단하는 2가지 테스트를 사용할 수 있습니다.

그것들은 메뉴에 있습니다 관리 > pxGrid 서비스 > 진단 > 테스트

이 섹션에 표시된 테스트는 ISE에서 내부적으로 수행됩니다.

상태 모니터링 테스트 pxGrid 서비스 모양을 검토합니다.위로 클라이언트가 세션 디렉터리 서비스 및 pxGrid 컨트롤러에서 게시한 항목에 액세스할 수 있는지 평가합니다.

다음을 선택합니다. 선택 시작하기 테스트 로그가 수집될 때까지 기다립니다.

PxGrid 상태 모니터링 테스트입니다.

테스트가 완료되면 선택 로그 보기. 이 예에서는 로그의 내용입니다 이(가):

상태 모니터링 테스트 검토

22-Aug-2023 17:03:13 [INFO] ************** pxGrid Session Directory Test ***************
22-Aug-2023 17:03:13 [INFO] ----------------- Starting Connection Test -----------------
22-Aug-2023 17:03:14 [INFO] pxGrid Node: ssptise01.ssptsec.mex
22-Aug-2023 17:03:14 [INFO] wsPubsubServiceName=com.cisco.ise.pubsub
22-Aug-2023 17:03:14 [INFO] sessionTopic=/topic/com.cisco.ise.session
22-Aug-2023 17:03:14 [INFO] sessionRestBaseUrl=https://ssptise01.ssptsec.mex:8910/pxgrid/mnt/sd
22-Aug-2023 17:03:14 [INFO] wsUrl=wss://ssptise02.ssptsec.mex:8910/pxgrid/ise/pubsub
22-Aug-2023 17:03:15 [INFO] ---------------- Connection Test Completed -----------------
22-Aug-2023 17:03:15 [INFO] ------------------ Starting Download Test ------------------
22-Aug-2023 17:03:15 [INFO] Downloading sessions since 2023-08-21T17:03:15.273-06:00
22-Aug-2023 17:03:15 [INFO] Response status=200
22-Aug-2023 17:03:15 [INFO] Number of sessions read: 0
22-Aug-2023 17:03:15 [INFO] ----------------- Download Test Completed ------------------
22-Aug-2023 17:03:15 [INFO] ----------------- Starting Subscribe Test ------------------
22-Aug-2023 17:03:16 [INFO] STOMP CONNECT host=ssptise02.ssptsec.mex
22-Aug-2023 17:03:16 [INFO] STOMP SUBSCRIBE topic=/topic/com.cisco.ise.session
22-Aug-2023 17:03:16 [INFO] STOMP CONNECTED version=1.2
22-Aug-2023 17:07:16 [INFO] A total of 0 notifications were received.
22-Aug-2023 17:07:16 [INFO] STOMP RECEIPT id=77
22-Aug-2023 17:07:19 [INFO] ----------------- Subscribe Test Completed -----------------
22-Aug-2023 17:07:19 [INFO] ********** pxGrid Session Directory Test Complete **********

PxGrid 데이터베이스 동기화 테스트는 다음을 확인합니다. 정보 데이터베이스 내에서 PAN 노드와 pxGrid 노드 간에 올바르고 동기화됩니다.

따라서 pxGrid 가입자에게 전송되는 정보는 다음과 같습니다 정확합니다.

다음을 선택합니다. 선택 테스트 시작 결과가 나올 때까지 기다립니다.

PxGrid 데이터베이스 동기화 테스트입니다.

생성된 로그에서 이 출력을 얻었습니다.

ssptise01.ssptsec.mex : In Sync
ssptise02.ssptsec.mex : In Sync

Primary PAN : ssptise01.ssptsec.mex
pxGrid Nodes : ssptise01.ssptsec.mex ssptise02.ssptsec.mex

캡처 수집 기본 FMC 노드를 가리키는 pxGrid 노드에서

메뉴로 이동 Operations(운영) > Troubleshoot(문제 해결) > Diagnostic Tools(진단 도구) > TCP Dump,

다음을 선택합니다. 선택 수신 추가 새로운 캡처.

ISE에서 패킷 캡처 생성

캡처에 대한 매개변수를 구성합니다.

수신 호스트 이름, fmc에서 선택한 주 pxGrid 노드를 선택합니다. 

필터 이 트래픽의 구문 ip 호스트 <FMC IP>

캡처 이름 지정 그리고 진행 수신 저장 및 실행.

패킷 캡처 컨피그레이션의 예

다른 창의 FMC 메뉴에서 Integration(통합) > Other Integrations(기타 통합) > Identity(ID) 소스, pxGrid 채널을 통해 ISE와의 연결을 테스트합니다.

W테스트 결과가 나오면 진행 수신 초꼭대기 ISE의 캡처.

ISE에서 패킷 캡처를 중지합니다.

다운로드 캡처하고 분석을 시작합니다. 이 시나리오에서는 참조 역할을 할 수 있는 작업 연결의 캡처를 표시합니다.

ISE와 FMC 간의 PxGrid 통신

또한 ISE에서는 px와 관련된 디버그를 수집할 수 있습니다그리드 처리.

메뉴 탐색 작업 이 > > 디버그 마법사 > 디버그 문제 해결 로그 컨피그레이션,

분석할 해당 ISE 노드를 선택한 다음 편집.

ISE에서 디버깅할 노드 선택

표시된 구성 요소를 필터링하고 로그 수준: pxgrid 디버그 구성 요소 수신 진행 분석 기능을 제공합니다

저장 구성합니다.

pxGrid 구성 요소를 디버그 레벨로 변경합니다.

분석할 동작을 재현한 다음 진행 - pxgrid-server.log 파일에 수집된 로그를 분석합니다. 기타 로그 ISE 노드에서 문제 해결을 검토할 수 있는 항목은 다음과 같습니다.

#show logging application | include pxgrid
ise-pxgriddirect.log
pxgrid/pxgrid-server.log
pxgrid/pxgrid-test.log
pxgrid/pxgrid_dbsync_summary.log
pxgrid/pxgrid_internal_dbsync_summary.log
pxgriddirect.log

일반적인 문제. 

PxGrid 가입자 클라이언트는 ISE에서 승인되지 않습니다.

이 활용 사례의 경우 FMC 테스트 pxGrid 버튼과 관련된 출력에 다음 동작이 표시됩니다.

FMC pxGrid 연결에 실패했습니다.

Primary host:

[INFO]: PXGrid v2 is enabled
[ERROR]: pxgrid 2.0: failed account activation. accountState=PENDING
[ERROR]: Failed to contact pxGrid node at '10.4.49.41': pxgrid2.0: Could not activate account

Secondary host:

[INFO]: PXGrid v2 is enabled
[ERROR]: Performing request failed with a timeout.
[ERROR]: Failed to contact pxGrid node at '10.4.19.42': Request failed with a timeout.

ISE에서 Administration(관리) > PxGrid Services(PxGrid 서비스) > Client Management(클라이언트 관리) > Clients(클라이언트)의 메뉴에서 FMC(pxGrid 클라이언트)가 승인 대기 중임을 나타내는 동작을 확인합니다.

승인 버튼을 선택하고, 다음 창에서 선택을 확인한 후 통합을 다시 시도합니다.

이번에는 통합이 성공했습니다.

FMC 클라이언트가 보류 중 상태입니다.

pxGrid 클라이언트의 승인 확인

인증서 기반 pxGrid 클라이언트의 자동 승인을 활성화하려는 경우 주의하십시오.

이전 페이지에서 클라이언트를 승인/거부합니다(이 경보가 나타날 수 있음).

pxGrid 클라이언트 승인과 관련된 오류입니다.

PxGrid ISE 인증서 사슬 불완전해.

이 시나리오에서 Administration(관리) > System(시스템) > Certificate(인증서) 메뉴로 이동하면 pxgrid 인증서를 선택하고 View(보기) 옵션을 선택합니다.

인증서에 문제가 있는 경우 이러한 관련 오류가 발생할 수 있습니다.

인증서 체인과 관련된 오류가 발생했습니다.

T확인해야 할 첫 번째 단계는 ISE 루트 CA가 완전한지 여부입니다View(보기) 옵션을 클릭합니다.

계층 구조에 인증서가 없는 경우 전체 ISE 구축 루트 CA를 발급할 수 있습니다.

B메뉴 관리 > 시스템 > 인증서 > 인증서 관리 > 인증서 서명 요청 (CSR) 및 단추를 선택합니다.

ISE에서 CSR 생성

이 메뉴에서 사용 ISE 루트 CA 모든 노드에 대해 ISE 루트 CA를 재생성합니다.

단추를 계속 진행합니다. ISE 루트 CA 인증서 체인 교체.

Certificate Signing Request 구성

IMP의 모든 노드에서 인증서가 생성될 때까지 기다립니다실행.

완료되면 ISE는 다음 알림을 표시합니다.

인증서 생성 확인

px가Grid 인증서 신뢰 체인이 완료되었습니다. 옵션을 선택하여 보기 시스템 인증서에 있습니다.

참조.

PxGrid Cisco 개발자 페이지

Cisco Identity Services Engine 관리자 가이드, 릴리스 3.2, 장: Cisco pxGrid.

Cisco Identity Services Engine 설치 가이드, 릴리스 3.2, 장: Cisco ISE 포트 참조

Cisco Identity Services Engine CLI 참조 가이드, 릴리스 2.4