FMC 7.2.4統合を使用したISE 3.2の設定およびトラブルシューティング

概要

このドキュメントでは、Platform Exchange Grid接続を使用して、Identity Services Engine(ISE)をファイアウォール管理センターに統合する手順について説明します。

前提条件

次の項目に関する知識があることが推奨されます。

• Identity Services Engine
• Platform Exchangeグリッド
• ファイアウォール管理センター
• TLS/SSL証明書。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• Identity Services Engine(ISE)バージョン3.2パッチ3
• Firewall Management Center(FMC)バージョン7.2.4

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

バックグラウンド情報.

このドキュメントでは、pxGridバージョン2を使用してFMCとISEを統合するソリューションについて説明します。

Cisco Firewall Management Centerは、Next Generation Firewall and Intrusion Prevention System(NGIPS)用の中央集中型プラットフォームで、Firepower管理、脅威検知、およびインシデント対応を提供します。

Cisco Identity Services Engine(ISE)は、認証、許可、アカウンタビリティ(AAA)とポリシー適用のサービスを提供することで、エンドポイントへのセキュアなアクセスを実現する包括的なソリューションです。

Platform Exchange Grid(pxGrid)を使用すると、マルチベンダーのクロスプラットフォームネットワーク間で情報を交換できます。

この統合により、安全なモニタリング、脅威の検出、および共有された情報に基づくネットワークポリシーの設定が可能になります。 

PxGridフレームワークには2つのバージョンがあります。 どちらを使用するかは、確認する必要があるISEのバージョンとパッチによって異なります。

バージョンISE 3.1以降のすべてのpxGiseからのRID接続はpxgridバージョンに基づきます 2.

PxGridバージョン1。

Tこのフレームワークの最初のバージョン (pxGrid v1) show application status iseコマンドで確認したサービサビリティにより特徴付けられる 次の出力に表示されているとおりです。

ノードでpxGrid機能を有効にすると、pxGrid 機能 実行中の状態を参照。

PxGridバージョン1の保守性。

このバージョンのプラットフォームでは、実行中の状態にあるpxGridプロセスを持つpxGridノードが1つだけであり、他のpxGridノードはスタンバイ状態にあり、関連するサービスが実行されているpxGridノードの状態を常に監視することが知られています。

その中で、プライマリpxGridノードはプロモーションを行い、もう1つのpxGridノードはpxGridサービスを有効にしました。 

ただし、これは、このフェールオーバーが発生した際のダウンタイムを表していました。

pxgridの最初のバージョンは、コラボレーションおよび音声インフラストラクチャで使用されるテクノロジーセットであるExtensible Messaging and Presence Protocol(XMPP)での通信に基づいています。

pxGrid v1接続で共有されるトピックは次のとおりです。

• セッションディレクトリ
• エンドポイントプロファイルメタデータ
• Trustsecメタデータ
• Endpoint Protection機能
• 適応型ネットワーク制御
• MDM_Offlineトピック
• Identity
• SXP

PxGridバージョン2。

このドキュメントでは、このバージョンの使用方法について説明します。このプラットフォームは、ISEおよびWebSocketプロトコルでREST操作を使用することで動作します。これにより、データモデルのスケーラビリティ、パフォーマンス、および柔軟性が向上し、拡張機能が提供されます。

このバージョンでは、show application status iseコマンドを使用しても、以前のバージョンのようにpxgrid機能が実行されているとは表示されません。

pxGrid機能を確認するために確認できるメカニズムについては、このドキュメントの「ISEの検証」セクションを参照してください。

このバージョンでは、アクティブなpxGridノードとして設定するすべてのpxGridノードがあります。いつでも情報交換に参加できます。

バージョン1では、pxGridの有用性を実行中として保持するノードは1つだけでした。

pxGrid v2接続で共有されるトピックは次のとおりです。

• セッションディレクトリ
• Radiusの障害
• プロファイラの設定
• システムヘルス
• MDM
• ANCステータス
• TrustSec
• TrustSecの設定
• TrustSec SXP
• エンドポイントアセット。

プラットフォームとしてのpxGridのコンポーネント。

PxGridコントローラ(ISE):pxGridを使用する各参加者を信頼する必要があります。

クライアント：さまざまなトピックのサブスクライバおよびパブリッシャとして使用できます。

パブリッシャ：コントローラと情報を共有するクライアント。

サブスクライバ：トピックの情報を消費するクライアント。

この統合により、ISEによって共有される情報および公開されたトピック（エンドポイントアクティビティに関連）に基づいて、FMCでコンテンツポリシーを作成できます。

設定

統合のためにISEを準備します。

ステップ 1：メニューAdministration > System > Deploymentで、ISEノードでpxGridペルソナを実行するように設定します。

ノードを選択し、pxGrid機能を有効にします。

ノードでISE pxGridサービスを有効にします。

ステップ 2：pxGrid機能でノードを有効にした後、内部クライアントに関連するWebsocketのステータスを確認します。

Administration > pxGrid Services > Websocketの順に移動します。 IPアドレス127.0.0.1を介してISEサービスを直接指しているクライアントに注目してください。

ISEからの内部WebSocket。

ステップ3:メニューAdministration > pxGrid Services > Settingsの順に移動し、Automatically approve new certificate-base accountsのオプションを選択します。

この手順はこの時点ではオプションですが、pxGrid接続の場合は、このチェックボックスをオンにすることをお勧めします。

その後、FMCをサブスクライバとして手動で受け入れることができます。

pxGrid証明書ベースのアカウントの自動承認を有効にしています。

ステップ4:環境のpxGrid機能に関連する証明書をAdministration > System > System Certificatesで確認します。

同じルート認証局(CA)によって署名された展開のすべてのノードに、均一なpxGrid証明書を保持することをお勧めします

このシナリオでは、生成された内部ISE証明書を使用しています。この例が表示されているこのバージョンのISEでは、ルートCAはPANノードに対応します。

ISEの内部証明書のダイアグラムを作成します。

分散配置でのPxGrid証明書。

ステップ 5：pxGrid証明書のステータスを確認します。

前のメニューから、ノードpxGrid証明書のチェックボックスを選択し、オプションビューを選択します。

出力は、pxGrid証明書に次のように表示されます。

pxGrid証明書の検証。

統合のためにFMCを準備します。

ステップ 1：FMC内部時刻が次の値であることを確認します。 最新のを参照。

移動先 システム>設定> 時間 FMCに設定されている時刻が 最新を参照。

FMCが最新であることを確認します。

FMC時間が更新されていない場合は、NTPが正しく設定されていることを確認します と イン syncを参照。NTPは、 [システム]>[構成]>[時間]>[+追加]を参照。

FMCでの時刻の同期

ステップ 2： 移動先 システム>設定> Management Interface >共有設定 少なくとも プライマリDNSサーバ フィールド 含む 有効な DNSサーバのIP。

FMCでのDNSの設定

ステップ 3：FMCホスト名が設定されていることを確認します。  

移動先 システム>設定>管理インターフェイス>共有設定 次のことを確認します ホスト名 フィールドにはFMCホスト名が含まれます。

このセクションの前の手順を確認しながら、この手順を確認できます。 

ISEとFMCの間のpxGrid接続をセットアップします。

ステップ 1：メニューAdministration > pxGrid Services > Client Management > Certificatesに移動します。

最初のオプションで、I want to Generate a single certificate (without a certificate signing request).を選択します。 

Common Name(CN)セクションで、ISEが証明書を発行するFMCのFQDNを入力します。

説明を入力します。

Subject Alternative Name(SAN)のセクションで、接続するFMCのFQDNとIPアドレスを入力します。

Certificate Download Formatの下部にあるドロップダウンメニューから、Certificate in Privacy Enhanced Electronic Mail (PEM) format, key in PKCSS PEM format (including certificate chain)オプションを選択します。

後でFMCでこのパスワードを使用するときに、パスワードをCertificate Passwordに入力して保存します。

パスワードを確認し、Createを選択します。

pxGrid証明書の生成例。

ステップ 2：zipファイルがコンピュータにダウンロードされます。ファイルを圧縮解除し、環境に次のファイルがあることを確認します。

ISEによって生成されたPxGrid証明書。

ステップ 3：FMCで、メニューObjects > Objects Management > PKI > Internal Certsに移動します。

Add Internal Certオプションを選択します。

FMC証明書を内部証明書として追加します。

ステップ 4：FMCに割り当てられている証明書に名前を付けます。 

ISEからFMC用に作成した証明書をCertificate DataセクションのBrowseで参照し、拡張子が.keyのファイルを参照して次のフィールドに入力します。

Encryptedオプションを選択し、ISEで証明書を作成したときに使用したパスワードを入力します。

設定を保存します。

ISEによって生成されたFMC証明書をエクスポートします。

FMC証明書。

ステップ 5：メニューObjects > Objects Management > PKI > Trusted CAsに移動し、

Add Trusted CAsを選択します。

ISE rootCAを信頼できる証明書として追加します。

手順 6：認証局に名前を付けます。

ISEファイルからダウンロードしたISE rootCAを参照して選択します。

設定を保存します。  

ISE rootCAをエクスポートします。

手順 7：メニュー「統合」>「その他の統合」>「アイデンティティ・ソース」に移動します。

サービスタイプ：Identity Services Engineで選択します。

プライマリノードになるpxGridノードのIPアドレスまたはFQDNを入力します。

セカンダリpxGridノードに対してこの手順を繰り返します。

ドロップダウンメニューから、セクション「pxGrid Client Certificate」のISEによって生成されたpxGrid証明書を選択します。

セクションMNTサーバCAおよびpxGridサーバCAで、最後の手順でエクスポートしたISEルートCAを選択します。

（オプション）ISEからセッションディレクトリとSXPトピックをサブスクライブできます。 

設定を保存します。

FMCでISEをアイデンティティソースとして設定します。

検証を行います。

FMCでの検証。

[統合] > [その他の統合] > [アイデンティティソース] > [Identity Services Engine]メニューで、設定を保存する前にpxGridリンクの設定をテストできます。

PxGridが正常に通信しました。

Primary host:

[INFO]: PXGrid v2 is enabled
[INFO]: pxgrid 2.0: account activate succeeded
[INFO]: Successful connection to ssptise02.ssptsec.mex:8910
[INFO]: Successful connection to ssptise01.ssptsec.mex:8910
[INFO]: These ISE Services are up: SessionDirectory, SXP, EndpointProfile, SecurityGroups, AdaptiveNetworkControl
[INFO]: All requested ISE Services are online.

Secondary host:

[INFO]: PXGrid v2 is enabled
[INFO]: pxgrid 2.0: account activate succeeded
[INFO]: Successful connection to ssptise02.ssptsec.mex:8910
[INFO]: Successful connection to ssptise01.ssptsec.mex:8910
[INFO]: These ISE Services are up: SessionDirectory, SXP, EndpointProfile, SecurityGroups, AdaptiveNetworkControl
[INFO]: All requested ISE Services are online.

ISEでの検証。

FMC pxGridクライアントがISEに正常に統合されると、 ユーザは、 を参照)。メニュー内 Administration > pxGrid Services > Client Management ＞ クライアント) fmcという名前のクライアントが含まれ、 enabledを参照。

PxGridクライアントが使用可能で有効になっている。

さらに― メニューAdministration > pxGrid Services > Diagnostics > WebSocketに移動すると、 接続が表示されますs に向かって FMCを使用します。

FMCがインストールされているシナリオでは、 ハイ アベイラビリティ, 次の例に示すように、プライマリとセカンダリのユニットが表示されます。

ISEで使用可能なWebSocket。

次のタブ このメニューから 名前付き T光学、 次のことが可能です fmcサブスクライバがISEによって公開されるpxGridトピックに追加されたことを確認します。

たとえば、次のURLにあるセキュリティグループに関連するトピックがあります。 値は次のとおりです。 ユーザは、 両方のFMCが サブスクライブされ、関連する情報を受信している から SGT ISEによってポストされます。

pxGridサブスクライバごとのトピック。

IメニューAdministration > pxGrid Services > Diagnostics > Log、 重要イベント 関連：in pxGrid通信（有効な機能が有効になっているノード用）が表示されます。 統合に関連する情報を描く。

PxGridライブログ。

トラブルシュート

FMCでのトラブルシューティング。 

FMCが自身のホスト名とISEノードをホスト名で解決できることを確認します。  

例：

> expert
admin@sspt_fmc01_lab:~$ ping sspt_fmc01_lab

PING sspt_fmc01_lab (10.4.49.51) 56(84) bytes of data.
64 bytes from sspt_fmc01_lab (10.4.49.51): icmp_seq=1 ttl=64 time=0.029 ms
64 bytes from sspt_fmc01_lab (10.4.49.51): icmp_seq=2 ttl=64 time=0.071 ms
64 bytes from sspt_fmc01_lab (10.4.49.51): icmp_seq=3 ttl=64 time=0.055 ms
^C
--- sspt_fmc01_lab ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 27ms

admin@sspt_fmc01_lab:~$ ping ssptise01
PING ssptise01.ssptsec.mex (10.4.49.41) 56(84) bytes of data.
64 bytes from ssptise01.ssptsec.mex (10.4.49.41): icmp_seq=1 ttl=64 time=0.586 ms
64 bytes from ssptise01.ssptsec.mex (10.4.49.41): icmp_seq=2 ttl=64 time=0.646 ms
64 bytes from ssptise01.ssptsec.mex (10.4.49.41): icmp_seq=3 ttl=64 time=0.743 ms
^C
--- ssptise01.ssptsec.mex ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 82ms
rtt min/avg/max/mdev = 0.586/0.658/0.743/0.068 ms
admin@sspt_fmc01_lab:~$
admin@sspt_fmc01_lab:~$ ping ssptise02

PING ssptise02.ssptsec.mex (10.4.49.42) 56(84) bytes of data.
64 bytes from ssptise02.ssptsec.mex (10.4.49.42): icmp_seq=1 ttl=64 time=0.588 ms
64 bytes from ssptise02.ssptsec.mex (10.4.49.42): icmp_seq=2 ttl=64 time=0.609 ms
64 bytes from ssptise02.ssptsec.mex (10.4.49.42): icmp_seq=3 ttl=64 time=0.628 ms
^C
--- ssptise02.ssptsec.mex ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 45ms
rtt min/avg/max/mdev = 0.588/0.608/0.628/0.025 ms

次のことを確認します。 ADIプロセスが実行中です：

> expert
sudo suadmin@sspt_fmc01_lab:~$ sudo su
root@sspt_fmc01_lab:/Volume/home/admin#  pmtool status | grep adi  

adi (normal) - Running 7911

EFMCからISEへの通信が ポートt TCPP 8910が許可されます。FMCから CLI を使う場合： 私たちは 設定 a tcpudump パケットキャプチャを使用して、双方向通信を確認します。

> expert
sudo suadmin@sspt_fmc01_lab:~$ sudo su

root@sspt_fmc01_lab:/Volume/home/admin# tcpdump -i any tcp and port 8910
22:34:08.415370 IP sspt_fmc01_lab.46248 > ssptise01.ssptsec.mex.8910: Flags [S], seq 3033526171, win 29200, options [mss 1460,sackOK,TS val 2701166399 ecr 0,nop,wscale 7], length 0
22:34:08.415840 IP ssptise01.ssptsec.mex.8910 > sspt_fmc01_lab.46248: Flags [S.], seq 3024877968, ack 3033526172, win 28960, options [mss 1460,sackOK,TS val 2268665064 ecr 2701166399,nop,wscale 7], length 0
22:34:08.415894 IP sspt_fmc01_lab.46248 > ssptise01.ssptsec.mex.8910: Flags [.], ack 1, win 229, options [nop,nop,TS val 2701166400 ecr 2268665064], length 0
[...]

ISEのトラブルシューティング。

ポート8910の通信を確認します。 動作しています。

このポートは、pxGridクライアントによって使用されますを使用して、pxGridノードおよびMnTノードと通信し、情報を一括ダウンロードします。

ISE環境でのPxGridインタラクション。

IpxGridクライアントとの通信が行われるISEノードでは、 if the ポートは オープンまたは 接続されているソケットがある場合 設定します。

#show ports | include 8910
tcp: (output omitted), :::8910, 

ISEでは、pxGrid実装の全体的なステータスを診断する2つのテストを利用できます。

これらはメニューにあります Administration > pxGrid Services > Diagnostics > Testの順に選択します。

このセクションに示すテストは、ISEの内部で実行されます。

ヘルスモニタリングテスト pxGridサービスの外観を確認します。up, これは、クライアントがセッションディレクトリサービスにアクセスできるかどうか、およびpxGridコントローラによって公開されるトピックを評価します。

次のいずれかを選択します。 オプション 開始 テスト ログが収集されるまで待ちます。

PxGridヘルスモニタリングテスト。

テストが完了したら、 オプション ログの表示: この例では、ログの内容は が：を入力します。

ヘルスモニタリングテストのレビュー。

22-Aug-2023 17:03:13 [INFO] ************** pxGrid Session Directory Test ***************
22-Aug-2023 17:03:13 [INFO] ----------------- Starting Connection Test -----------------
22-Aug-2023 17:03:14 [INFO] pxGrid Node: ssptise01.ssptsec.mex
22-Aug-2023 17:03:14 [INFO] wsPubsubServiceName=com.cisco.ise.pubsub
22-Aug-2023 17:03:14 [INFO] sessionTopic=/topic/com.cisco.ise.session
22-Aug-2023 17:03:14 [INFO] sessionRestBaseUrl=https://ssptise01.ssptsec.mex:8910/pxgrid/mnt/sd
22-Aug-2023 17:03:14 [INFO] wsUrl=wss://ssptise02.ssptsec.mex:8910/pxgrid/ise/pubsub
22-Aug-2023 17:03:15 [INFO] ---------------- Connection Test Completed -----------------
22-Aug-2023 17:03:15 [INFO] ------------------ Starting Download Test ------------------
22-Aug-2023 17:03:15 [INFO] Downloading sessions since 2023-08-21T17:03:15.273-06:00
22-Aug-2023 17:03:15 [INFO] Response status=200
22-Aug-2023 17:03:15 [INFO] Number of sessions read: 0
22-Aug-2023 17:03:15 [INFO] ----------------- Download Test Completed ------------------
22-Aug-2023 17:03:15 [INFO] ----------------- Starting Subscribe Test ------------------
22-Aug-2023 17:03:16 [INFO] STOMP CONNECT host=ssptise02.ssptsec.mex
22-Aug-2023 17:03:16 [INFO] STOMP SUBSCRIBE topic=/topic/com.cisco.ise.session
22-Aug-2023 17:03:16 [INFO] STOMP CONNECTED version=1.2
22-Aug-2023 17:07:16 [INFO] A total of 0 notifications were received.
22-Aug-2023 17:07:16 [INFO] STOMP RECEIPT id=77
22-Aug-2023 17:07:19 [INFO] ----------------- Subscribe Test Completed -----------------
22-Aug-2023 17:07:19 [INFO] ********** pxGrid Session Directory Test Complete **********

PxGridデータベース同期テストで次の項目がチェックされます 情報 データベース内では、PANノードとpxGridノードの間が正しく同期されます。

したがって、pxGridサブスクライバに送信される情報は 正確です。

次のいずれかを選択します。 オプション テストの開始 結果が評価されるまで待ちます

PxGridデータベース同期テスト。

生成されたログから、次の出力を取得しました。

ssptise01.ssptsec.mex : In Sync
ssptise02.ssptsec.mex : In Sync

Primary PAN : ssptise01.ssptsec.mex
pxGrid Nodes : ssptise01.ssptsec.mex ssptise02.ssptsec.mex

キャプチャを収集する pxGridノードからプライマリFMCノードに向かって移動します。

メニューに移動します Operations > Troubleshoot > Diagnostic Tools > TCP Dump、

次のいずれかを選択します。 オプション から 追加 新しいキャプチャを参照。

ISEでのパケットキャプチャの生成

キャプチャのパラメータを設定します。

イン ホスト名, fmcで選択したプライマリpxGridノードを選択します。 

フィルタ トラフィックの増加を 構文 ip host <FMC IP>

キャプチャに名前を付けます その後 進む から 保存します。 および実行を参照。

パケットキャプチャの設定例。

別のウィンドウのFMCメニューで、 「統合」 > 「その他の統合」 > 「アイデンティティ」 出典、 pxGridチャネルを介したISEとの接続をテストします。

Wテストの結果が得られたら –  進む から Stop ISE上のキャプチャ。

ISEでのパケットキャプチャの停止

ダウンロード 分析のキャプチャと開始。 このシナリオでは、参照用として使用できる動作中の接続のキャプチャを示します。

ISEとFMC間のPxGrid通信。

また、ISEでは、pxに関連するデバッグを収集できますグリッド処理。

メニュー内を移動する 「操作」>「トラブルシューティング」>「デバッグウィザード」>「デバッグ」 ログの設定、

分析する対応するISEノードを選択し、 編集を参照。

ISEでデバッグするノードを選択します。

表示されるコンポーネントをフィルタし、 ログレベル: pxgridのデバッグ コンポーネント から 進む 分析を行います

保存します。 設定を確認します。

pxGridコンポーネントをデバッグレベルに変更します。

分析する動作を再現し、 進む pxgrid-server.logファイルで収集されたログを分析します。その他のログ トラブルシューティングするISEノードで確認できる項目は次のとおりです。

#show logging application | include pxgrid
ise-pxgriddirect.log
pxgrid/pxgrid-server.log
pxgrid/pxgrid-test.log
pxgrid/pxgrid_dbsync_summary.log
pxgrid/pxgrid_internal_dbsync_summary.log
pxgriddirect.log

一般的な問題. 

PxGridサブスクライバクライアントがISEで承認されていません。

この使用例では、FMCのtest pxGridボタンからの関連する出力に次の動作が示されます。

FMC pxGrid接続に失敗しました。

Primary host:

[INFO]: PXGrid v2 is enabled
[ERROR]: pxgrid 2.0: failed account activation. accountState=PENDING
[ERROR]: Failed to contact pxGrid node at '10.4.49.41': pxgrid2.0: Could not activate account

Secondary host:

[INFO]: PXGrid v2 is enabled
[ERROR]: Performing request failed with a timeout.
[ERROR]: Failed to contact pxGrid node at '10.4.19.42': Request failed with a timeout.

ISEで、Administration > PxGrid Services > Client Management > Clientsの順に選択して、pxGridクライアント(FMC)が承認を保留していることを示す動作に注目してください。

Approveボタンを選択し、次のウィンドウで選択を確認して、統合を再試行します。

今回は統合が成功します。

FMCクライアントがpendingステータスになっている。

pxGridクライアントの承認の確認。

証明書ベースのpxGridクライアントの自動承認を有効にする場合に注意してください。

このアラームが表示される可能性があるため、前のページのクライアントを承認/拒否します。

pxGridクライアントの承認に関連するエラーです。

PxGrid ISE証明書 鎖 incompleteを参照。

このシナリオでは、メニューAdministration > System > Certificateに移動した場合、pxgrid証明書を選択し、オプションViewを選択します。

証明書に問題がある場合、次の関連エラーが発生する可能性があります。

証明書チェーンの未完了に関連するエラーです。

T確認する最初のステップは、ISEルートCAが完全であるかどうかを確認することですViewオプションで編集します。

階層に証明書がない場合は、ISE導入ルートCA全体を発行できます。

BメニューAdministration > System > Certificates > Certificate Management > Certificate Signing Request (CSR)および そのボタンを選択します。

ISEでのCSRの生成

このメニューで、 ISEルートCAの使用 すべてのノードのISEルートCAを再生成します。

ボタンを押して進みます ISEルートCA証明書チェーンの置き換えを参照。

証明書署名要求の設定

IMPのすべてのノードで証明書が生成されるまで待ちます改善。

完了すると、ISEは次の通知を表示しますを参照。

証明書の生成の確認。

pxがGrid証明書信頼チェーンが完了しました オプションを選択する [View] System Certificatesで確認できます。

参照.

PxGridシスコ開発者ページ

Cisco Identity Services Engine管理者ガイド、リリース3.2、章：Cisco pxGrid

Cisco Identity Services Engineインストールガイド、リリース3.2、章：Cisco ISEポートリファレンス

Cisco Identity Services Engine CLIリファレンスガイド、リリース2.4