ISE 통합 문제 해결

다운로드 옵션

  • PDF     (1.5 MB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (1.4 MB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (922.9 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2024년 4월 15일
문서 ID:221834

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

    소개

    이 문서에서는 CyberVision Center와 ISE의 통합을 위한 트러블슈팅 단계에 대해 설명합니다.

    모범 사례 개요

    모범 사례는 시스템 컨피그레이션의 올바른 작동을 보장하기 위해 반드시 고려해야 하는 권장 단계입니다. 권장 사항:

    • 최신 기능, 지침, 제한 사항 및 주의 사항은 Cisco Cyber Vision 릴리스 노트 및 Cisco ISE(Identity Services Engine) 릴리스 노트를 참조하십시오
    • 새 컨피그레이션 변경 사항을 구현한 후 이를 확인하고 트러블슈팅합니다

    CCV-ISE 하이 레벨 플로우 다이어그램

    CCV와 ISE의 통합 상위 레벨 플로우 다이어그램

    문제 해결 지침

    다음 질문에 답하면 문제 해결 경로와 추가 조사가 필요한 구성 요소를 확인할 수 있습니다. 설치 상태를 확인하려면 다음 질문에 답하십시오.

    • 새로 설치한 시스템입니까, 아니면 기존 시스템입니까?
    • CyberVision에서 ISE를 볼 수 있었습니까?

    명령을 사용하여 pxGrid 서비스 상태를 확인합니다systemctl status pxgrid-agent.

    CCV CLI의 pxGrid 에이전트 서비스 상태

    • ISE에서 pxGrid를 고가용성으로 실행합니까?
    • 애플리케이션이 문제를 일으키기 직전에 구성 또는 전체 인프라에서 어떤 변화가 있었습니까?
      •

    네트워크 문제를 발견하려면 일반적인 네트워크 문제 해결 단계를 사용합니다.

    1단계. ISE에서 CyberVision Center 호스트 이름을 ping할 수 있습니까?

    ISE에서 Center로 Ping 상태

    ping할 수 없는 경우 SSH(Secure Shell)를 사용하여 ISE CLI에 연결하고 호스트 이름을 추가합니다.

    ISE에서 호스트 이름 추가

    2단계. CyberVision Center에서 ISE 호스트 이름을 ping할 수 있습니까?

    중앙에서 ISE로 Ping 상태

    그렇지 않은 경우 ISE 호스트 이름을 Center의 /data/etc/hosts 파일에 추가해 봅니다.

    CCV 센터에서 호스트 이름 추가

    3단계. 인증서 문제를 검색합니다.


    CyberVision Centeropenssl s_client -connect YourISEHostname:8910에서 명령을 입력합니다.

    센터에서 인증서 문제 검색

    수집할 데이터

    네트워크 문제의 경우:

    • 아키텍처:
      •

    센터와 ISE 간의 세부 정보를 보여 주는 체계가 유용합니다.

    • 방화벽 규칙
    • 고정 경로
    • 게이트웨이 컨피그레이션
    • VLAN 컨피그레이션
      •
    • 모든 ISE 문제에 대해 수집할 로그:
      •

    데이터 손실을 방지하기 위해 센터 진단 파일을 수집하는 것으로 시작할 수 있습니다.

    CCV 센터 진단 수집

    그런 다음 다음 다음 절차를 사용하여 센터에 고급 로그를 활성화합니다.
    폴더에 두 개의 파일을 만듭니다/data/etc/sbs.
    첫 번째 파일의 이름은 listener.conf 다음과 같이 지정해야 합니다.

    (loglevel 앞에 있는 선행 공백을 참고하십시오.)

    root@Center:~# cat /data/etc/sbs/listener.conf
    configlog:
     loglevel: debug
    root@Center:~#

    두 번째 파일은 이름이 지정되어야 하며pxgrid-agent.conf 다음 내용을 포함해야 합니다.

    (loglevel 앞에 있는 선행 공백을 참고하십시오.) 

    root@Center:~# cat /data/etc/sbs/pxgrid-agent.conf
    configlog:
     loglevel: debug

    두 파일이 모두 생성되면 센터를 재부팅하거나 및 서비스를sbs-burrow 다시 pxgrid-agent 시작합니다.

    Restart service using the command: 
    #systemctl restart sbs-burrow
    #systemctl restart pxgrid-agent

    그런 다음 pxGrid 로그를 수집합니다(중앙에서 로그를 내보내려면 파일 전송 툴 사용).

    root@Center:~# journalctl -u pxgrid-agent > /data/tmp/pxgridLogs.log

    Center와 ISE 간의 통신 흐름을 분석하기 위한 tcpdump 캡처를 수집합니다.

    root@Center:~# tcpdump -i eth0 -n host CCV_IP and host ISE_IP -w /data/tmp/ccv_ise.pcap
    • ISE에서 디버그를 활성화하고 지원 번들을 수집합니다.
      •

    ISE에서 디버그를 활성화하려면 로 Administration > System > Logging > Debug Log Configuration 이동합니다. 로그 레벨을 다음으로 설정합니다.

    페르소나

    구성 요소 이름

    로그 레벨

    확인할 파일

    PAN(선택 사항)

    프로 파 일러

    디버그

    profiler.log

    pxGrid 프로브가 활성화된 PSN

    프로 파 일러

    디버그

    profiler.log

    PxGrid

    pxgrid

    추적

    pxgrid-server.log

    예상 로그 메시지

    센터에 있는 pxGrid-agent의 디버그 로그에는 에이전트 시작, 서비스 등록, Cisco Cyber Vision(CCV) ISE와의 단순(또는 스트리밍) STOMP(Text Oriented Messaging Protocol) 연결 설정, 자산/구성 요소에 대한 업데이트 작업 전송 등이 표시됩니다.

    Jul 11 13:05:02 center systemd[1]: Started Agent for interfacing with pxGrid.
    Jul 11 13:05:02 center pxgrid-agent[5404]: pxgrid-agent Center type: standalone [caller=postgres.go:543]
    Jul 11 13:05:03 center pxgrid-agent[5404]: pxgrid-agent RPC server listening to: '/tmp/pxgrid-agent.sock' [caller=main.go:119]
    Jul 11 13:05:03 center pxgrid-agent[5404]: pxgrid-agent HTTP server listening to: '169.254.0.90:2027' [caller=main.go:154]
    Jul 11 13:05:03 center pxgrid-agent[5404]: pxgrid-agent Request path=/pxgrid/control/AccountActivate body={} [caller=control.go:147]
    Jul 11 13:05:03 center pxgrid-agent[5404]: pxgrid-agent Account activated [caller=pxgrid.go:58]
    Jul 11 13:05:03 center pxgrid-agent[5404]: pxgrid-agent Request path=/pxgrid/control/ServiceRegister body={"name":"com.cisco.endpoint.asset","properties":{"assetTopic":"/topic/com.cisco.endpoint.asset","restBaseUrl":"https://Center:8910/
    Jul 11 13:05:04 center pxgrid-agent[5404]: pxgrid-agent Service registered, ID: c514c790-2361-47b5-976d-4a1b5ccfa8b7 [caller=pxgrid.go:76]
    Jul 11 13:05:04 center pxgrid-agent[5404]: pxgrid-agent Request path=/pxgrid/control/ServiceLookup body={"name":"com.cisco.ise.pubsub"} [caller=control.go:147]
    Jul 11 13:05:05 center pxgrid-agent[5404]: pxgrid-agent Request path=/pxgrid/control/AccessSecret body={"peerNodeName":"com.cisco.ise.pubsub"} [caller=control.go:147]
    Jul 11 13:05:06 center pxgrid-agent[5404]: pxgrid-agent Websocket connect url=wss://labise. aaalab .com:8910/pxgrid/ise/pubsub [caller=endpoint.go:129]
    Jul 11 13:05:07 center pxgrid-agent[5404]: pxgrid-agent STOMP CONNECT host=10.48.78.177 [caller=endpoint.go:138]
    Jul 11 13:06:59 center pxgrid-agent[5404]: pxgrid-agent STOMP SEND destination=/topic/com.cisco.endpoint.asset body={"opType":"UPDATE","asset":{"assetId":"01:80:c2:00:00:00","assetName":"LLDP/STP bridges Multicast 0:0:0","assetIpAddress"
    Jul 11 13:10:04 center pxgrid-agent[5404]: pxgrid-agent Request path=/pxgrid/control/ServiceReregister body={"id":"c514c790-2361-47b5-976d-4a1b5ccfa8b7"} [caller=control.go:147]


    통합 후 필요한 메시지 형식 및 assetGroup 특성은 다음과 같이 값 없이 게시됩니다.

     Jan 25 11:05:49 center pxgrid-agent[1063977]: pxgrid-agent STOMP SEND destination=/topic/com.cisco.endpoint.asset body={"opType":"UPDATE","asset":{"assetId":"48:4d:7e:e0:e2:52","assetName":"Dell 10.234.176.35","assetIpAddress":"10.234.176.35","assetMacAddress":"48:4d:7e:e0:e2:52","assetVendor":"Dell Inc.","assetProductId":"","assetSerialNumber":"","assetDeviceType":"","assetSwRevision":"","assetHwRevision":"","assetProtocol":"SMB","assetCustomAttributes":[{"key":"assetSource","value":"CCV"},{"key":"assetGroup","value":""},{"key":"assetCustomName","value":"test"},{"key":"assetGroupPath","value":""}],"assetConnectedLinks":[]}} length=513 [caller=endpoint.go:149]

    메시지 형식이 필요합니다(표시된 대로 값이 있는 assetGroup). 이는 CyberVision Center에서 특성을 전송하는 것을 확인하며, ISE에 더 이상 반영되지 않을 경우 ISE와 추가로 조사해야 합니다.

    Jan 25 11:09:28 center pxgrid-agent[1063977]: pxgrid-agent STOMP SEND destination=/topic/com.cisco.endpoint.asset body={"opType":"UPDATE","asset":{"assetId":"48:4d:7e:e0:e2:52","assetName":"Dell 10.234.176.35","assetIpAddress":"10.234.176.35","assetMacAddress":"48:4d:7e:e0:e2:52","assetVendor":"Dell Inc.","assetProductId":"","assetSerialNumber":"","assetDeviceType":"","assetSwRevision":"","assetHwRevision":"","assetProtocol":"SMB","assetCustomAttributes":[{"key":"assetSource","value":"CCV"},{"key":"assetGroup","value":"test group"},{"key":"assetCustomName","value":"test"},{"key":"assetGroupPath","value":"test group"}],"assetConnectedLinks":[]}} length=533 [caller=endpoint.go:149]

    관련 정보

    개정 이력

    개정 게시 날짜 의견
    1.0
    15-Apr-2024
    최초 릴리스
    TAC Authored

    Cisco 엔지니어가 작성

    • 벤캇 R
      Cisco TAC 엔지니어
    • 재스완스 D K
      Cisco 엔지니어링
    • 왈리드 부다
      Cisco 엔지니어링

    이 문서가 도움이 되셨습니까?

    Feedback피드백

    지원 문의