تكوين ISE 3.2 واستكشاف أخطائه وإصلاحها باستخدام تكامل FMC 7.2.4

تم التحديث:٢٩ أغسطس ٢٠٢٣

معرّف المستند:220856

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المحتويات

المقدمة

المتطلبات الأساسية

المكونات المستخدمة

معلومات أساسية.

التكوين

إعداد ISE للتكامل.

إعداد FMC للتكامل.

إعداد اتصال PxGrid بين ISE و FMC.

التحقق من الصحة.

التحقق من الصحة على FMC.

التحقق من صحة ISE.

استكشاف الأخطاء وإصلاحها

أستكشاف الأخطاء وإصلاحها على FMC.

أستكشاف الأخطاء وإصلاحها على ISE.

المشاكل المشتركة.

لم تتم الموافقة على عميل مشترك PxGrid على ISE.

سلسلة شهادات PxGrid ISE غير مكتملة.

المرجع.

المقدمة

يوضح هذا المستند الإجراءات اللازمة لدمج محرك خدمات الهوية مع مركز إدارة جدار الحماية باستخدام إتصالات شبكة Platform Exchange.

المتطلبات الأساسية

توصي Cisco بالمعرفة في هذه الموضوعات:

محرك خدمات الهوية
شبكة تبادل الأنظمة الأساسية
مركز إدارة جدران الحماية
شهادات TLS/SSL.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

Identity Services Engine (ISE)، الإصدار 3.2 Patch 3
Firewall Management Center، الإصدار 7.2.4

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية.

توفر هذه الوثائق حلا لدمج FMC و ISE باستخدام PxGrid الإصدار 2.

مركز إدارة Cisco Firepower هو نظام أساسي مركزي لجدار الحماية ونظام منع الاقتحام من الجيل التالي، مما يوفر إدارة السياسات واكتشاف التهديدات والاستجابة للحوادث.

محرك خدمات الهوية من Cisco هو حل شامل يوفر الوصول الآمن إلى نقاط النهاية من خلال توفير خدمات المصادقة والتفويض والمساءلة (AAA) وإنفاذ السياسة.

يتيح لك Platform Exchange Grid (pxGrid) تبادل المعلومات بين شبكات متعددة الموردين عابرة الأنظمة الأساسية.

يتيح لك هذا التكامل إمكانية الحصول على مراقبة آمنة واكتشاف التهديدات وتعيين سياسات الشبكة استنادا إلى المعلومات المشتركة.

يحتوي إطار عمل PxGrid على إصدارين. يعتمد الرقم المستخدم على إصدار ISE والرقعة التي تحتاج إلى مراجعتها.

بدءا من الإصدار ISE 3.1، جميع وحداتGتستند الاتصالات التي تم التخلص منها من ISE إلى إصدار pxgrid 2.

PxGrid الإصدار 1.

Tالنسخة الأولى من هذا الإطار (pxGrid v1) نظرا إلى قابلية الخدمة التي تم رؤيتها من خلال الأمر show application status ise كما هو معروض في الإنتاج التالي.

عندما pxGrid مكنت سمة في العقدة أنت ترى ال pxGrid ملامح في حالة التشغيل.

PxGrid version 1 serviceability. قابلية صيانة الإصدار 1 من PxGrid.

في هذا الإصدار من هذا النظام الأساسي، من المعروف أنه لا يوجد سوى عقدة pxGrid واحدة مع عمليات pxGrid في حالة التشغيل بينما تكون عقد pxGrid الأخرى في حالة إستعداد بشكل مستمر تراقب حالة عقدة pxGrid مع الخدمات ذات الصلة قيد التشغيل.

في ذلك، كانت عقدة pxGrid الأساسية هناك ترقية وعقدة pxGrid الأخرى مكنت خدمات pxGrid الخاصة بها.

ومع ذلك، كان ذلك يمثل وقت توقف عن العمل عند حدوث تجاوز الفشل هذا.

كان الإصدار الأول من PXGRID يستند إلى الاتصال في بروتوكول التواجد والمراسلة الممتدة (XMPP) وهو مجموعة من التقنيات المستخدمة في التعاون والبنية الأساسية للصوت.

الموضوعات المشتركة في اتصال pxGrid v1 هي:

دليل جلسة العمل
بيانات تعريف ملف تعريف نقطة النهاية
بيانات تعريف TrustSec
إمكانية حماية النقطة الطرفية
تحكم تواؤمي في الشبكة
موضوع MDM_OFFLINE
هوية
SXP

PxGrid الإصدار 2.

يغطي هذا المستند إستخدام هذا الإصدار. يعمل هذا النظام الأساسي الآن باستخدام عمليات REST على بروتوكولات ISE و WebSocket التي توفر تحسينات مع إمكانية توسع محسنة وأداء فائق ومرونة مذهلة في نماذج البيانات.

في هذا الإصدار، لا ترى ميزات pxgrid التي تعمل كما في الإصدار السابق باستخدام الأمر show حالة التطبيق.

يرجى الرجوع إلى قسم التحقق من الصحة ل ISE في هذا المستند لمعرفة الآليات التي يمكنك التحقق منها لمراجعة وظيفة pxGrid.

باستخدام هذا الإصدار، لديك جميع عقد pxGrid التي تقوم بتكوينها كعقد PXgrid نشطة. وهم مستعدون للمشاركة في تبادل المعلومات في أي وقت.

في الإصدار 1، حصلت عقدة واحدة فقط على قابلية صيانة PXgrid كقيد التشغيل.

الموضوعات المشتركة في اتصال pxGrid v2 هي:

دليل جلسة العمل
فشل RADIUS
تكوين محلل
صحة النظام
MDM
حالة ANC
تروسيك
تكوين TrustSec
TrustSec SXP
أصل نقطة النهاية.

مكونات pxGrid كمنصة.

وحدة التحكم في شبكة PxGrid (ISE): يجب أن تثق في كل مشارك يستخدم PXgrid.

العميل: يمكن أن يكون مشتركا وناشرا للمواضيع المختلفة.

Publisher: العميل الذي يشارك المعلومات مع وحدة التحكم.

المشترك: عميل يستهلك معلومات الموضوع.

يتيح لك هذا التكامل إنشاء سياسات المحتوى على FMC استنادا إلى المعلومات التي تتم مشاركتها بواسطة ISE والمواضيع المنشورة الخاصة بها (المتعلقة بنشاط نقطة النهاية).

التكوين

إعداد ISE للتكامل.

الخطوة 1. قم بتكوين عقدة ISE لتشغيل الشخص pxGrid عليها في إدارة القائمة > النظام > النشر.

حدد العقد وقم بتمكين ميزة pxGrid.

Enabling ISE pxGrid services in a node. تمكين خدمات ISE pxGrid في عقدة ما.

الخطوة 2. بعد تمكين العقد باستخدام ميزة PXgrid، راجع حالة مقابس الويب المتعلقة بالعملاء الداخليين المتصلة.

انتقل إلى إدارة > خدمات PXgrid > WebSocket. لاحظ العملاء الذين يشيرون إلى خدمات ISE مباشرة من خلال عنوان IP 127.0.0.1.

Internal WebSockets from ISE. مقابس الويب الداخلية من ISE.

الخطوة 3. انتقل عبر إدارة القائمة > خدمات pxGrid > الإعدادات وحدد الخيار للموافقة تلقائيا على حسابات قاعدة الشهادات الجديدة،

هذه الخطوة إختياري في هذه النقطة، ومع ذلك، لاتصال pxGrid، يقترح تمكين خانة الاختيار هذه.

يمكنك قبول FMC كمشترك يدويا بعد ذلك.

Enabling Automatic approval for pxGrid certificate based accounts. تمكين الموافقة التلقائية على الحسابات المستندة إلى شهادة PxGrid.

الخطوة 4. راجع الشهادات المتعلقة بوظائف PxGrid الخاصة ببيئتك في الإدارة > النظام > شهادات النظام،

يوصى بأن يكون لديك شهادات PxGrid متجانسة في جميع عقد النشر الخاصة بك موقعة من قبل نفس المرجع المصدق الجذر (CA)

في هذا السيناريو الذي يتم عرضه، نستخدم شهادات ISE الداخلية التي تم إنشاؤها. لهذا الإصدار من ISE حيث يتم عرض هذا المثال، يتوافق CA الجذر مع عقدة PAN.

Diagram Internal Certificates on ISE. رسم الشهادات الداخلية على ISE.

ملاحظة: للحصول على مزيد من المعلومات حول البنية الداخلية للشهادات التي تم إنشاؤها على ISE، يرجى الرجوع إلى فهم خدمات المرجع المصدق الداخلي ISE.

شهادات PxGrid في نشر موزع.

الخطوة 5. تحقق من حالة شهادات pxGrid.

من القائمة السابقة، حدد خانة إختيار من شهادة pxGrid للعقدة ثم حدد عرض الخيار.

يبدو المخرج كالمخرج المعروض هنا في شهادات pxGrid.

Verification of pxGrid certificate. التحقق من شهادة pxGrid.

إعداد FMC للتكامل.

الخطوة 1.تأكيد أن الوقت الداخلي ل FMC هو محدث.

انتقل إلى النظام > التكوين > الوقت وتأكد من أن الوقت الذي تم تكوينه على FMC هو محدث.

Verifying that the FMC is up to date. التحقق من تحديث FMC.

إذا لم يتم تحديث وقت FMC، فتأكد من تكوين NTP بشكل صحيح و في مزامنة. يمكن تكوين NTP ضمن النظام > التكوين > الوقت > + إضافة.

Time Synchronization on FMC. مزامنة الوقت على FMC.

الخطوة 2. انتقل إلى النظام > التكوين > واجهة الإدارة > الإعدادات المشتركة والتحقق من أنه على الأقل خادم DNS الأساسي الحقل تحوى صالح IP لخادم DNS.

DNS configuration on FMC. تكوين DNS على FMC.

الخطوة 3. تأكد من تكوين اسم مضيف FMC.

انتقل إلى النظام > التكوين > واجهة الإدارة > الإعدادات المشتركة والتحقق من ذلك اسم المضيف يحتوي الحقل على اسم مضيف FMC.

يمكنك التحقق من هذه الخطوة أثناء مراجعة الخطوة السابقة في هذا القسم .

إعداد اتصال PxGrid بين ISE و FMC.

الخطوة 1. انتقل إلى إدارة القائمة > خدمات pxGrid > إدارة العملاء > الشهادات.

في الخيار الأول، حدد أريد إنشاء شهادة مفردة (بدون طلب توقيع شهادة).

في قسم الاسم الشائع (CN)، أدخل FQDN الخاص ب FMC أن ISE هو أن يصدر شهادة.

توفير وصف.

في قسم الاسم البديل للموضوع (SAN)، أدخل FQDN وعنوان IP الخاص بوحدة التحكم في الوصول عن بعد (FMC) للاتصال.

في الأسفل في تنسيق تنزيل الشهادة، حدد من القائمة المنسدلة خيار شهادة في تنسيق البريد الإلكتروني المحسن للخصوصية (PEM)، مفتاح في تنسيق PKCSS PEM (بما في ذلك سلسلة الشهادات).

قم بإدخال كلمة مرور وتخزينها في كلمة مرور الشهادة بينما تستخدم كلمة المرور هذه لاحقا في FMC.

قم بتأكيد كلمة المرور ثم حدد إنشاء.

Example of pxGrid certificate generation. مثال لإنشاء شهادة PxGrid.

الخطوة 2. تم تنزيل ملف مضغوط إلى الكمبيوتر. قم بإلغاء ضغط الملف، وتأكد من توفر هذه الملفات من البيئة الخاصة بك:

PxGrid certificates generated by ISE. شهادات PxGrid التي تم إنشاؤها بواسطة ISE.

الخطوة 3. في FMC، انتقل إلى القائمة كائنات > إدارة الكائنات > PKI > الشهادات الداخلية.

حدد الخيار إضافة شهادة داخلية.

Adding the FMC certificate as internal certificate. إضافة شهادة FMC كشهادة داخلية.

الخطوة 4. قم بتسمية الشهادة المخصصة على FMC.

تصفح الشهادة التي أنشأتها ل FMC من ISE في قسم بيانات شهادة، تصفح أيضا الملف بالمفتاح الملحق .لملء الحقل التالي.

حدد الخيار يشفر، وأدخل كلمة المرور التي أستخدمتها عند إنشاء الشهادة على ISE،

حفظ التكوين.

Exporting the FMC certificate that was generated by ISE. تصدير شهادة FMC التي تم إنشاؤها بواسطة ISE.

FMC certificate. شهادة FMC.

الخطوة 5. انتقل إلى القائمة كائنات > إدارة الكائنات > PKI > وثائق التحكم الموثوق بها،

حدد إضافة مرجع مصدق ثقة.

Adding the ISE rootCA as trusted certificate. إضافة ISE RootCA كشهادة موثوق بها.

الخطوة 6. تسمية المرجع المصدق.

استعرض وحدد ISE RootCA الذي تم تنزيله من ملف ISE.

احفظ التكوين الخاص بك.

Exporting the ISE rootCA. تصدير جذر ISE.

الخطوة 7. انتقل إلى تكامل القائمة > عمليات تكامل أخرى > مصادر الهوية.

التحديد في نوع الخدمة: محرك خدمات الهوية،

أدخل عنوان IP أو FQDN لعقدة pxGrid التي تصبح العقدة الأساسية.

كرر الإجراء الخاص بعقدة pxGrid الثانوية.

حدد من القائمة المنسدلة شهادة pxGrid التي تم إنشاؤها بواسطة ISE لقسم شهادة عميل pxGrid،

في القسم MNT Server CA و PXgrid Server CA حدد ISE RootCA الذي قمت بتصديره في الخطوة الأخيرة.

ملاحظة: يتطابق CA الخاص بخادم PxGrid مع المرجع المصدق الجذر للشهادة التي يتم إستخدامها بواسطة PXgrid على عقد PXgrid.

يتوافق المرجع المصدق لخادم MNT مع المرجع المصدق للشهادة التي يتم إستخدامها بواسطة PXgrid على عقد MNT.

(إختياري) يمكنك الاشتراك في دليل جلسة العمل وموضوع SXP من ISE.

حفظ التكوين.

Setting up ISE as Identity Source in FMC. إعداد ISE كمصدر هوية في FMC.

التحقق من الصحة.

التحقق من الصحة على FMC.

في تكامل القائمة > عمليات التكامل الأخرى > مصادر الهوية > محرك خدمات الهوية، قبل حفظ التكوين الخاص بك، يمكنك إختبار إعدادات إرتباط pxGrid.

PxGrid successful communication. اتصال PxGrid الناجح.

Primary host:

[INFO]: PXGrid v2 is enabled
[INFO]: pxgrid 2.0: account activate succeeded
[INFO]: Successful connection to ssptise02.ssptsec.mex:8910
[INFO]: Successful connection to ssptise01.ssptsec.mex:8910
[INFO]: These ISE Services are up: SessionDirectory, SXP, EndpointProfile, SecurityGroups, AdaptiveNetworkControl
[INFO]: All requested ISE Services are online.

Secondary host:

[INFO]: PXGrid v2 is enabled
[INFO]: pxgrid 2.0: account activate succeeded
[INFO]: Successful connection to ssptise02.ssptsec.mex:8910
[INFO]: Successful connection to ssptise01.ssptsec.mex:8910
[INFO]: These ISE Services are up: SessionDirectory, SXP, EndpointProfile, SecurityGroups, AdaptiveNetworkControl
[INFO]: All requested ISE Services are online.

التحقق من صحة ISE.

عند دمج عميل FMC PxGrid بنجاح على ISE، أنت ثم انظر )في القائمة الإدارة > خدمات PXgrid > إدارة العملاء > العملاء) يتم تضمين العملاء الذين لديهم اسم FMC تمكين.

PxGrid Clients available and enable. عملاء PxGrid متوفرين وممكنين.

ملاحظة: عملاء PXgrid الذين تبدأ البادئة ب "t-fmc" هم العملاء الذين يتم إستخدامهم من خلال زر الاختبار من FMC.

أيضا، إذا انتقلت إلى إدارة القائمة > خدمات PXgrid > التشخيص > WebSocket، ثم ترى الوصلةs نحو FMC.

في السيناريو الذي لديك فيه FMC في الإتاحة العالية، ثم ترى الوحدات الأساسية والثانوية كما هو معروض في هذا المثال:

WebSockets available on ISE. مقابس الويب المتوفرة على ISE.

في علامة التبويب التالية من هذه القائمة المسماة Tضوئيات، تستطيع تحقق من إضافة مشتركي FMC إلى موضوعات PxGrid التي تم نشرها بواسطة ISE.

على سبيل المثال، هناك موضوع متعلق بمجموعة الأمان، من أين أنت يمكن أن ترى أن كلا FMC يتم الاشتراك فيها وتلقي المعلومات المتعلقة بها إلى رقيب تم النشر بواسطة ISE.

Topics per pxGrid subscriber. موضوعات لكل مشترك في PxGrid.

Iفي القائمة إدارة > خدمات PXgrid > تشخيصات > سجل، أحداث مهمة يتم عرض الاتصال المرتبط ب PxGrid (للعقد مع تمكين الميزة) تمثيل المعلومات المتعلقة بالتكامل.

PxGrid live logs. سجلات PxGrid المباشرة.

استكشاف الأخطاء وإصلاحها

أستكشاف الأخطاء وإصلاحها على FMC.

تأكد من قدرة FMC على حل اسم المضيف وعقد ISE الخاصة بها بواسطة أسماء المضيف.

على سبيل المثال:

> expert
admin@sspt_fmc01_lab:~$ ping sspt_fmc01_lab

PING sspt_fmc01_lab (10.4.49.51) 56(84) bytes of data.
64 bytes from sspt_fmc01_lab (10.4.49.51): icmp_seq=1 ttl=64 time=0.029 ms
64 bytes from sspt_fmc01_lab (10.4.49.51): icmp_seq=2 ttl=64 time=0.071 ms
64 bytes from sspt_fmc01_lab (10.4.49.51): icmp_seq=3 ttl=64 time=0.055 ms
^C
--- sspt_fmc01_lab ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 27ms

admin@sspt_fmc01_lab:~$ ping ssptise01
PING ssptise01.ssptsec.mex (10.4.49.41) 56(84) bytes of data.
64 bytes from ssptise01.ssptsec.mex (10.4.49.41): icmp_seq=1 ttl=64 time=0.586 ms
64 bytes from ssptise01.ssptsec.mex (10.4.49.41): icmp_seq=2 ttl=64 time=0.646 ms
64 bytes from ssptise01.ssptsec.mex (10.4.49.41): icmp_seq=3 ttl=64 time=0.743 ms
^C
--- ssptise01.ssptsec.mex ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 82ms
rtt min/avg/max/mdev = 0.586/0.658/0.743/0.068 ms
admin@sspt_fmc01_lab:~$
admin@sspt_fmc01_lab:~$ ping ssptise02

PING ssptise02.ssptsec.mex (10.4.49.42) 56(84) bytes of data.
64 bytes from ssptise02.ssptsec.mex (10.4.49.42): icmp_seq=1 ttl=64 time=0.588 ms
64 bytes from ssptise02.ssptsec.mex (10.4.49.42): icmp_seq=2 ttl=64 time=0.609 ms
64 bytes from ssptise02.ssptsec.mex (10.4.49.42): icmp_seq=3 ttl=64 time=0.628 ms
^C
--- ssptise02.ssptsec.mex ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 45ms
rtt min/avg/max/mdev = 0.588/0.608/0.628/0.025 ms

تأكد من عملية ADI قيد التشغيل:

> expert
sudo suadmin@sspt_fmc01_lab:~$ sudo su
root@sspt_fmc01_lab:/Volume/home/admin#  pmtool status | grep adi  

adi (normal) - Running 7911

Eتأكد من أن الاتصال من FMC إلى ISE على مهمازيسمح بt TCPP 8910. من FMC CLI بإمكاننا التكوين ج تفريع التقاط الحزمة لتأكيد الاتصال ثنائي الإتجاه.

> expert
sudo suadmin@sspt_fmc01_lab:~$ sudo su

root@sspt_fmc01_lab:/Volume/home/admin# tcpdump -i any tcp and port 8910
22:34:08.415370 IP sspt_fmc01_lab.46248 > ssptise01.ssptsec.mex.8910: Flags [S], seq 3033526171, win 29200, options [mss 1460,sackOK,TS val 2701166399 ecr 0,nop,wscale 7], length 0
22:34:08.415840 IP ssptise01.ssptsec.mex.8910 > sspt_fmc01_lab.46248: Flags [S.], seq 3024877968, ack 3033526172, win 28960, options [mss 1460,sackOK,TS val 2268665064 ecr 2701166399,nop,wscale 7], length 0
22:34:08.415894 IP sspt_fmc01_lab.46248 > ssptise01.ssptsec.mex.8910: Flags [.], ack 1, win 229, options [nop,nop,TS val 2701166400 ecr 2268665064], length 0
[...]

أستكشاف الأخطاء وإصلاحها على ISE.

تحقق من أن الاتصالات على المنفذ 8910 في وضع التشغيل.

هذا ميناء الواحد يستعمل ب ال pxGrid زبونللاتصال بعقد PxGrid وعقد MnT للتنزيل المجمع للمعلومات.

PxGrid interaction in ISE environment. تفاعل PxGrid في بيئة ISE.

ملاحظة: يتصل عميل PxGrid، في هذه الحالة، FMC بعقد PxGrid وعقدة MNT الثانوية (SMNT) للحصول على (التنزيل المجمع) للمعلومات، وفي حالة الفشل في SMNT، فإنه يبحث عن المعلومات من خلال MNT الأساسي.

Iفي عقد ISE حيث يتم إجراء الاتصال مع عميل PXgrid، يمكنك مراجعة إذا المنفذ هو فتح أو في حالة وجود مقابس متصلة مع ذلك المنفذ.

#show ports | include 8910
tcp: (output omitted), :::8910,

هناك إختباران متاحان على ISE يشخص الحالة العامة لعمليات تنفيذ pxGrid.

يمكن العثور على هذه في القائمة الإدارة > خدمات PXgrid > التشخيصات > الاختبار.

يتم إجراء الاختبارات المعروضة في هذا القسم داخليا على ISE.

إختبار المراقبة الصحية مراجعة شكل خدمة pxGridلأعلى، الذي يقيم ما إذا كان العميل يمكنه الوصول إلى خدمة دليل جلسة العمل والمواضيع المنشورة بواسطة وحدة التحكم pxGrid.

حدد خيار بدء إختبار و ننتظر تجميع الحطب.

PxGrid Health Monitoring Test. إختبار مراقبة سلامة PxGrid.

بمجرد اكتمال الاختبار، حدد خيار عرض السجل. على سبيل المثال، محتوى السجل هو:

Review of Health Monitoring Test. إستعراض إختبار المراقبة الصحية.

22-Aug-2023 17:03:13 [INFO] ************** pxGrid Session Directory Test ***************
22-Aug-2023 17:03:13 [INFO] ----------------- Starting Connection Test -----------------
22-Aug-2023 17:03:14 [INFO] pxGrid Node: ssptise01.ssptsec.mex
22-Aug-2023 17:03:14 [INFO] wsPubsubServiceName=com.cisco.ise.pubsub
22-Aug-2023 17:03:14 [INFO] sessionTopic=/topic/com.cisco.ise.session
22-Aug-2023 17:03:14 [INFO] sessionRestBaseUrl=https://ssptise01.ssptsec.mex:8910/pxgrid/mnt/sd
22-Aug-2023 17:03:14 [INFO] wsUrl=wss://ssptise02.ssptsec.mex:8910/pxgrid/ise/pubsub
22-Aug-2023 17:03:15 [INFO] ---------------- Connection Test Completed -----------------
22-Aug-2023 17:03:15 [INFO] ------------------ Starting Download Test ------------------
22-Aug-2023 17:03:15 [INFO] Downloading sessions since 2023-08-21T17:03:15.273-06:00
22-Aug-2023 17:03:15 [INFO] Response status=200
22-Aug-2023 17:03:15 [INFO] Number of sessions read: 0
22-Aug-2023 17:03:15 [INFO] ----------------- Download Test Completed ------------------
22-Aug-2023 17:03:15 [INFO] ----------------- Starting Subscribe Test ------------------
22-Aug-2023 17:03:16 [INFO] STOMP CONNECT host=ssptise02.ssptsec.mex
22-Aug-2023 17:03:16 [INFO] STOMP SUBSCRIBE topic=/topic/com.cisco.ise.session
22-Aug-2023 17:03:16 [INFO] STOMP CONNECTED version=1.2
22-Aug-2023 17:07:16 [INFO] A total of 0 notifications were received.
22-Aug-2023 17:07:16 [INFO] STOMP RECEIPT id=77
22-Aug-2023 17:07:19 [INFO] ----------------- Subscribe Test Completed -----------------
22-Aug-2023 17:07:19 [INFO] ********** pxGrid Session Directory Test Complete **********

يتحقق إختبار مزامنة قاعدة بيانات PxGrid ما إذا المعلومات داخل قواعد البيانات صحيحة بين عقد PAN و PxGrid ويتم مزامنتها.

لذلك، فإن المعلومات المرسلة إلى مشتركي PxGrid هي دقيق.

حدد خيار بدء الاختبار وانتظار النتائج حتى يتم تقييمها.

PxGrid Databases Synchronization Test. إختبار مزامنة قواعد بيانات PxGrid.

من السجلات التي تم إنشاؤها، تم الحصول على هذا الإخراج.

ssptise01.ssptsec.mex : In Sync
ssptise02.ssptsec.mex : In Sync

Primary PAN : ssptise01.ssptsec.mex
pxGrid Nodes : ssptise01.ssptsec.mex ssptise02.ssptsec.mex

تجميع التقاط على من عقد pxGrid التي تشير إلى عقدة FMC الأساسية.

انتقل إلى القائمة العمليات > أستكشاف الأخطاء وإصلاحها > أدوات التشخيص > تفريغ TCP،

حدد خيار إلى إضافة التقاط جديد.

Generating a packet capture on ISE. إنشاء التقاط حزمة على ISE.

قم بتكوين معلمات الالتقاط.

في اسم المضيف، حدد عقدة pxGrid الأساسية المحددة في FMC.

تصفية المرور مع هذا بناء جملة مضيف IP <FMC IP>

تسمية الالتقاط ومن ثم نمضي إلى حفظ و اهرب.

Example of packet capture configuration. مثال على تكوين التقاط الحزمة.

في نافذة أخرى، في قائمة FMC التكامل > عمليات التكامل الأخرى > الهوية المصادر، اختبر الاتصال ب ISE من خلال قناة pxGrid.

وعندما تحصل على نتيجة الاختبار، نمضي إلى Sقمة التقاط على ISE.

Stoping a packet capture on ISE. إيقاف التقاط حزمة على ISE.

تنزيل التقاط وبدء التحليل. يعرض هذا السيناريو التقاط اتصال عمل يمكن أن يعمل كمرجع.

PxGrid communication between ISE and FMC. اتصال PxGrid بين ISE و FMC.

وبالإضافة إلى ذلك، يمكنك على ISE تجميع تصحيح الأخطاء المتعلقة ب PXمعالجة الشبكة.

التنقل عبر القائمة عمليات > أستكشاف الأخطاء وإصلاحها > معالج تصحيح الأخطاء > تصحيح الأخطاء تكوين السجل،

حدد عقدة ISE المطابقة لتحليلها ثم تحرير.

Selecting a node to debug on ISE. تحديد عقدة لتصحيح أخطاء ISE.

تصفية المكونات المعروضة وتغيير مستوى التسجيل إلى تصحيح أخطاء pxgrid مكون إلى نمضي بتحليل.

حفظ التشكيل.

Changing the pxGrid component to debug level. تغيير مكون pxGrid إلى مستوى تصحيح الأخطاء.

قم بإعادة إنتاج السلوك لتحليله نمضي لتحليل السجلات التي تم تجميعها على ملف pxgrid-server.log. السجلات الأخرى التي يمكنك مراجعتها على عقدة ISE لاستكشاف الأخطاء وإصلاحها هي:

#show logging application | include pxgrid
ise-pxgriddirect.log
pxgrid/pxgrid-server.log
pxgrid/pxgrid-test.log
pxgrid/pxgrid_dbsync_summary.log
pxgrid/pxgrid_internal_dbsync_summary.log
pxgriddirect.log

تلميح: لمزيد من توصيات مجموعة السجلات، يرجى مراجعة الفيديو كيفية تمكين تصحيح الأخطاء على إصدارات ISE 3.x.

المشاكل المشتركة.

لم تتم الموافقة على عميل مشترك PxGrid على ISE.

لحالة الاستخدام هذه، تظهر المخرجات المتعلقة من زر إختبار FMC PXgrid هذا السلوك:

FMC pxGrid connection failed. فشل اتصال FMC PXgrid.

Primary host:

[INFO]: PXGrid v2 is enabled
[ERROR]: pxgrid 2.0: failed account activation. accountState=PENDING
[ERROR]: Failed to contact pxGrid node at '10.4.49.41': pxgrid2.0: Could not activate account

Secondary host:

[INFO]: PXGrid v2 is enabled
[ERROR]: Performing request failed with a timeout.
[ERROR]: Failed to contact pxGrid node at '10.4.19.42': Request failed with a timeout.

في ISE، لاحظ السلوك في إدارة القائمة > خدمات PxGrid > إدارة العميل > عملاء يشير إلى أن عميل PxGrid (FMC) معلق للموافقة.

حدد الزر موافقة، وقم بتأكيد التحديد في الإطار التالي وحاول التكامل مرة أخرى.

هذه المرة تكون عملية التكامل ناجحة.

FMC client in pending status. عميل FMC في حالة تعليق.