Risoluzione dei problemi relativi all'integrazione con ISE

Opzioni per il download

  • PDF     (1.5 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (1.5 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (928.5 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:15 aprile 2024
ID documento:221834

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto come risolvere i problemi relativi all'integrazione di CyberVision Center con ISE.

    Panoramica delle procedure ottimali

    Le procedure ottimali sono i passi consigliati che è necessario prendere in considerazione per garantire il corretto funzionamento della configurazione del sistema. Consigli:

    • Per le funzionalità, le linee guida, le limitazioni e le avvertenze più recenti, consultare le note di rilascio di Cisco Cyber Vision e le note di rilascio di Cisco Identity Services Engine (ISE)
    • Verifica e risoluzione dei problemi relativi alle nuove modifiche alla configurazione dopo l'implementazione

    Diagramma di flusso ad alto livello CCV-ISE

    Diagramma di flusso ad alto livello integrazione CCV - ISE

    Linee guida per la risoluzione dei problemi

    Rispondendo alle domande successive, è possibile determinare il percorso per la risoluzione dei problemi e i componenti che richiedono un'ulteriore analisi. Rispondere alle domande successive per determinare lo stato dell'installazione:

    • Si tratta di un sistema appena installato o di un'installazione esistente?
    • CyberVision ha mai visto l'ISE?

    Controllare lo stato dei servizi di pxGrid utilizzando il comando systemctl status pxgrid-agent.

    Stato del servizio dell'agente pxGrid nella CLI CCV

    • ISE esegue pxGrid in ambienti ad alta disponibilità?
    • Che cosa è cambiato nella configurazione o nell'infrastruttura complessiva immediatamente prima che le applicazioni iniziassero ad avere problemi?
      •

    Per individuare un problema di rete, eseguire le operazioni generali di risoluzione dei problemi di rete:

    Passaggio 1. È possibile eseguire il ping tra CyberVision Center Hostname e ISE?

    Stato del ping da ISE verso il centro

    Se non è possibile eseguire il ping, connettersi a ISE CLI usando Secure Shell (SSH) e aggiungere il nome host.

    Aggiunta di Hostname in ISE

    Passaggio 2. È possibile eseguire il ping tra ISE Hostname e CyberVision Center?

    Esegui il ping tra il centro e ISE

    In caso contrario, provare ad aggiungere il nome host ISE al /data/etc/hosts file in Center.

    Aggiunta del nome host in CCV Center

    Passaggio 3. Individuazione dei problemi relativi ai certificati.


    Immettere il comando openssl s_client -connect YourISEHostname:8910 da CyberVision Center.

    Rilevamento dei problemi relativi ai certificati in Center

    Dati da raccogliere

    Per i problemi di rete:

    • Architettura:
      •

    Uno schema che mostra questi dettagli tra il centro e ISE è utile:

    • Regole firewall
    • Route statiche
    • Configurazione del gateway
    • Configurazioni VLAN
      •
    • Log da raccogliere per tutti i problemi ISE:
      •

    È possibile iniziare raccogliendo un file di diagnostica di Center per evitare la perdita di dati.

    Raccolta di CCV Center Diagnostics

    Quindi attivare i log avanzati sul centro utilizzando la seguente procedura:
    Creare due file nella cartella /data/etc/sbs.
    Il primo file deve avere un nome listener.conf e contenere il contenuto:

    Notare lo spazio iniziale davanti al livello di log.

    root@Center:~# cat /data/etc/sbs/listener.conf
    configlog:
     loglevel: debug
    root@Center:~#

    Il secondo file deve essere denominato pxgrid-agent.conf e contenere il contenuto:

    Notare lo spazio iniziale davanti al livello di log. 

    root@Center:~# cat /data/etc/sbs/pxgrid-agent.conf
    configlog:
     loglevel: debug

    Una volta creati entrambi i file, riavviare il Centro o i servizi sbs-burrow epxgrid-agent.

    Restart service using the command: 
    #systemctl restart sbs-burrow
    #systemctl restart pxgrid-agent

    Raccogliere quindi i log di pxGrid (utilizzare gli strumenti di trasferimento dei file per esportare i log dal centro).

    root@Center:~# journalctl -u pxgrid-agent > /data/tmp/pxgridLogs.log

    Raccogliere le clip tcpdump per analizzare il flusso di comunicazione tra il Center e ISE.

    root@Center:~# tcpdump -i eth0 -n host CCV_IP and host ISE_IP -w /data/tmp/ccv_ise.pcap
    • Abilitare Debug su ISE e raccogliere il bundle di supporto.
      •

    Per abilitare i debug su ISE, selezionare Administration > System > Logging > Debug Log Configuration. Impostare i seguenti livelli di log:

    Persona

    Nome componente

    Livello log

    File da controllare

    PAN (opzionale)

    profiler

    DEBUG

    profiler.log

    PSN con probe pxGrid abilitato

    profiler

    DEBUG

    profiler.log

    PxGrid

    pxgrid

    TRACCIA

    pxgrid-server.log

    Messaggi di log previsti

    I log di debug dell'agente pxGrid al centro mostrano l'agente che viene avviato, il servizio registrato, Cisco Cyber Vision (CCV) che stabilisce una connessione STOMP (Text Oriented Messaging Protocol) semplice (o streaming) con ISE e invia un'operazione di aggiornamento per un asset/componente:

    Jul 11 13:05:02 center systemd[1]: Started Agent for interfacing with pxGrid.
    Jul 11 13:05:02 center pxgrid-agent[5404]: pxgrid-agent Center type: standalone [caller=postgres.go:543]
    Jul 11 13:05:03 center pxgrid-agent[5404]: pxgrid-agent RPC server listening to: '/tmp/pxgrid-agent.sock' [caller=main.go:119]
    Jul 11 13:05:03 center pxgrid-agent[5404]: pxgrid-agent HTTP server listening to: '169.254.0.90:2027' [caller=main.go:154]
    Jul 11 13:05:03 center pxgrid-agent[5404]: pxgrid-agent Request path=/pxgrid/control/AccountActivate body={} [caller=control.go:147]
    Jul 11 13:05:03 center pxgrid-agent[5404]: pxgrid-agent Account activated [caller=pxgrid.go:58]
    Jul 11 13:05:03 center pxgrid-agent[5404]: pxgrid-agent Request path=/pxgrid/control/ServiceRegister body={"name":"com.cisco.endpoint.asset","properties":{"assetTopic":"/topic/com.cisco.endpoint.asset","restBaseUrl":"https://Center:8910/
    Jul 11 13:05:04 center pxgrid-agent[5404]: pxgrid-agent Service registered, ID: c514c790-2361-47b5-976d-4a1b5ccfa8b7 [caller=pxgrid.go:76]
    Jul 11 13:05:04 center pxgrid-agent[5404]: pxgrid-agent Request path=/pxgrid/control/ServiceLookup body={"name":"com.cisco.ise.pubsub"} [caller=control.go:147]
    Jul 11 13:05:05 center pxgrid-agent[5404]: pxgrid-agent Request path=/pxgrid/control/AccessSecret body={"peerNodeName":"com.cisco.ise.pubsub"} [caller=control.go:147]
    Jul 11 13:05:06 center pxgrid-agent[5404]: pxgrid-agent Websocket connect url=wss://labise. aaalab .com:8910/pxgrid/ise/pubsub [caller=endpoint.go:129]
    Jul 11 13:05:07 center pxgrid-agent[5404]: pxgrid-agent STOMP CONNECT host=10.48.78.177 [caller=endpoint.go:138]
    Jul 11 13:06:59 center pxgrid-agent[5404]: pxgrid-agent STOMP SEND destination=/topic/com.cisco.endpoint.asset body={"opType":"UPDATE","asset":{"assetId":"01:80:c2:00:00:00","assetName":"LLDP/STP bridges Multicast 0:0:0","assetIpAddress"
    Jul 11 13:10:04 center pxgrid-agent[5404]: pxgrid-agent Request path=/pxgrid/control/ServiceReregister body={"id":"c514c790-2361-47b5-976d-4a1b5ccfa8b7"} [caller=control.go:147]


    Il formato del messaggio previsto dopo l'integrazione riuscita e l'attributo assetGroup viene pubblicato senza un valore, come mostrato di seguito:

     Jan 25 11:05:49 center pxgrid-agent[1063977]: pxgrid-agent STOMP SEND destination=/topic/com.cisco.endpoint.asset body={"opType":"UPDATE","asset":{"assetId":"48:4d:7e:e0:e2:52","assetName":"Dell 10.234.176.35","assetIpAddress":"10.234.176.35","assetMacAddress":"48:4d:7e:e0:e2:52","assetVendor":"Dell Inc.","assetProductId":"","assetSerialNumber":"","assetDeviceType":"","assetSwRevision":"","assetHwRevision":"","assetProtocol":"SMB","assetCustomAttributes":[{"key":"assetSource","value":"CCV"},{"key":"assetGroup","value":""},{"key":"assetCustomName","value":"test"},{"key":"assetGroupPath","value":""}],"assetConnectedLinks":[]}} length=513 [caller=endpoint.go:149]

    Formato previsto del messaggio (assetGroup con un valore, come mostrato). Ciò conferma che CyberVision Center sta inviando gli attributi e se la stessa condizione non viene riflessa ulteriormente sul lato ISE, è necessario indagare ulteriormente con ISE.

    Jan 25 11:09:28 center pxgrid-agent[1063977]: pxgrid-agent STOMP SEND destination=/topic/com.cisco.endpoint.asset body={"opType":"UPDATE","asset":{"assetId":"48:4d:7e:e0:e2:52","assetName":"Dell 10.234.176.35","assetIpAddress":"10.234.176.35","assetMacAddress":"48:4d:7e:e0:e2:52","assetVendor":"Dell Inc.","assetProductId":"","assetSerialNumber":"","assetDeviceType":"","assetSwRevision":"","assetHwRevision":"","assetProtocol":"SMB","assetCustomAttributes":[{"key":"assetSource","value":"CCV"},{"key":"assetGroup","value":"test group"},{"key":"assetCustomName","value":"test"},{"key":"assetGroupPath","value":"test group"}],"assetConnectedLinks":[]}} length=533 [caller=endpoint.go:149]

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    15-Apr-2024
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Venkat R
      Cisco TAC Engineer
    • Jaswanth D K
      Cisco Engineering
    • Walid Boudaa
      Cisco Engineering

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci