SNA(Secure Network Analytics) 문제 해결 - ISE(Identity Services Engine) 통합 "연결 실패 - 이 ISE 클러스터에서 서비스를 찾을 수 없음"

소개

이 문서에서는 SMC 버전 7.3.2 이상에서 ISE 통합 문제를 확인하는 방법에 대해 설명합니다. SNA는 릴리스 7.3.2의 ISE 통합 구성 요소에 대한 PxGrid v2.0을 소개합니다. 이 문서에서는 릴리스 7.3.2 이상에서 Cisco ISE 통합을 구성할 때 발생할 수 있는 몇 가지 특정 오류 메시지에 초점을 맞춥니다.

PxGrid v2.0 및 해당 기능에 대한 자세한 내용은 PxGrid v2.0을 참조하십시오.

Cisco ISE 통합

SMC가 ISE와 통합되면 컨피그레이션 UI에서 선택한 확인란을 기반으로 적절한 서비스 가입을 요청합니다.

ISE 서비스

선택한 확인란을 기반으로 SMC에서 다음을 요청할 수 있습니다.

서비스: com.cisco.ise.config.anc

서비스: com.cisco.ise.trustsec

서비스: com.cisco.ise.session

서비스: com.cisco.ise.pubsub

이러한 서비스의 경우 SMC는 ISE 노드와 통신하여 서비스에 가입합니다.  SMC가 ISE 노드에 서비스를 요청할 경우, ISE 노드가 해당 항목 또는 서비스를 제공할 수 있는 항목을 알고 있어야 합니다.

 잠재적 실패 사유

• "연결 상태: 이 ISE 클러스터에서 실패한 서비스 com.cisco.ise.pubsub를 찾을 수 없습니다."
• "연결 상태: 이 ISE 클러스터에서 실패한 서비스 com.cisco.ise.anc를 찾을 수 없습니다."
• "연결 상태: 이 ISE 클러스터에서 실패한 서비스 com.cisco.ise.session을 찾을 수 없습니다."
• "연결 상태: 이 ISE 클러스터에서 실패한 서비스 com.cisco.ise.trustsec을 찾을 수 없습니다."

확인 및 문제 해결

Administration(관리) > PxGrid Services(PxGrid 서비스) > Diagnostics(진단) > Tests(테스트)로 이동하고 Health Monitoring Test Tool(상태 모니터링 테스트 도구)(ISE 3.0 이상)을 실행합니다

상태 모니터링 테스트 도구

ISE 2.4, 2.6 및 2.7의 경우:

상태 모니터링 테스트 도구

테스트 결과는 XMPP를 통해 연결됨 <호스트 이름>에 대한 페이지 바닥글에 표시된 PXGrid 노드의 CLI에서 볼 수 있습니다. 

"show logging application pxgrid/pxgrid-test.log" 명령을 실행합니다.

연결되고 성공할 때의 출력은 다음을 나타냅니다.

asc-ise24p12-347/admin# show logging application pxgrid/pxgrid-test.log
2021-10-29 01:46:32 INFO TestGridConnection:55 - pxgrid 테스트 연결을 시작하는 중.........
2021-10-29 01:46:33 INFO TestGridConnectionHelper:307 - SUMMARY> Subscribe=CONNECTING,session-cnt=0; BulkDownload=NOT STARTED,bd-session-cnt=0
2021-10-29 01:46:33 INFO Configuration:313 - 호스트 asc-ise24p12-347.rtpaaa.net에 연결
2021-10-29 01:46:33 INFO Configuration:318 - 호스트에 OK 연결됨 asc-ise24p12-347.rtpaaa.net
2021-10-29 01:46:33 INFO Configuration:343 - 클라이언트 로그인 호스트 asc-ise24p12-347.rtpaaa.net
2021-10-29 01:46:34 INFO Configuration:345 - 클라이언트 로그인 호스트 asc-ise24p12-347.rtpaaa.net
2021-10-29 01:46:35 INFO NotificationHandlerSmack:70 - 연결 상태 새로 고침을 완료했습니다.
2021-10-29 01:46:35 INFO TestGridConnectionHelper:312 - SUMMARY> Subscribe=CONNECTED,session-cnt=0; BulkDownload=NOT STARTED,bd-session-cnt=0
2021-10-29 01:50:36 INFO TestGridConnection:164 - SUMMARY> Subscribe=CONNECTED,session-cnt=0;BulkDownload=SUCCESS,bd-session-cnt=0
2021-10-29 01:50:36 INFO NotificationHandlerSmack:81 - 연결 상태가 초기화되었습니다...
2021-10-29 01:50:36 INFO TestGridConnectionHelper:322 - 클라이언트 연결 끊김
2021-10-29 01:50:36 INFO TestGridConnection:75 - SUMMARY> Subscribe=DISCONNECTED,session-cnt=0;BulkDownload=DISCONNECTED,bd-session-cnt=0

SMC를 ISE에 연결하는 데 사용되는 계정이 활성화되었는지 확인합니다.

클라이언트가 승인되었는지 확인하고 보류 중인 경우 클라이언트를 승인합니다.

ISE 3.0 이상:

관리 > PxGrid 서비스 > 클라이언트 관리 > 클라이언트:

ISE 2.4, 2.6 및 2.7:

Administration(관리) > PxGrid Services(PxGrid 서비스) > All Clients(모든 클라이언트)

SMC PxGrid 클라이언트의 연결 상태 및 해당 클라이언트가 연결된 ISE 노드를 확인하려면 Administration(관리) > PxGrid Services(PxGrid 서비스) > Diagnostics(진단) > WebSocket(WebSocket)으로 이동합니다

알려진 원인

• PxGrid 페르소나가 활성화된 노드에서 ISE 구축 내의 복제 문제 해결
• PxGrid 인증서 신뢰 문제

ISE 구축의 복제 문제

복제는 구축의 모든 멤버 노드에 대한 최신 정보를 유지하는 데 중요합니다.  PxGrid 페르소나를 실행 중인 노드가 복제 문제를 보고하는 경우 PxGrid 클라이언트에 제공할 수 있는 항목 및 서비스에 대한 최신 정보가 없을 수 있습니다. 

노드가 복제 실패 경보를 보고 하거나 느린 복제:

또는

이는 통합 실패의 잠재적 원인입니다.

시정 조치를 취하려면

ISE 노드와의 IP 연결을 확인하고 SSH를 통해 로그인하고 다음을 실행하여 서비스가 실행 중인지 확인합니다.

           # show application status ise

예:

asc-ise30p2-353/admin# 애플리케이션 상태 ise 표시

ISE 프로세스 이름 상태 프로세스 ID
--------------------------------------------------------------------
데이터베이스 리스너에서 24872 실행
114개 프로세스를 실행하는 데이터베이스 서버
응용 프로그램 서버 실행 40137
프로파일러 데이터베이스가 실행 35916
ISE 인덱싱 엔진 사용 안 함
AD 커넥터 실행 40746
M&T 세션 데이터베이스 사용 안 함
M&T 로그 프로세서 사용 안 함
인증 기관 서비스 실행 40609
EST 서비스 실행 77903
SXP 엔진 서비스 사용 안 함
Docker Daemon 실행 28517
TC-NAC 서비스 사용 안 함
pxGrid 인프라 서비스 사용 안 함
pxGrid 게시자 구독자 서비스 사용 안 함
pxGrid 연결 관리자 사용 안 함
pxGrid 컨트롤러 비활성화됨
PassiveID WMI 서비스를 사용할 수 없습니다.
PassiveID Syslog 서비스 사용 안 함
PassiveID API 서비스 사용 안 함
PassiveID 에이전트 서비스 사용 안 함
PassiveID 엔드포인트 서비스 사용 안 함
PassiveID SPAN 서비스 사용 안 함
DHCP 서버(dhcpd) 사용 안 함
DNS 서버(명명된) 사용 안 함
ISE 메시징 서비스 실행 29277
ISE API Gateway Database Service 실행 32173
ISE API 게이트웨이 서비스 실행 38161
세그먼테이션 정책 서비스 사용 안 함
REST 인증 서비스 사용 안 함
SSE 커넥터 사용 안 함

관리 > 시스템 > 구축 아래의 영향을 받는 노드의 수동 동기화 수행

보고 문제를 노드를 선택하고 Syncup을 클릭합니다.

참고: 이로 인해 동기화 중인 노드에서 서비스가 다시 시작되며 노드가 30분 동안 서비스 상태가 아닐 수 있습니다. 이 작업은 제어된 변경 창에서 수행하는 것이 좋습니다.

ISE PxGrid 인증서 체인 확인

ISE GUI에서 Administration > System > Certificates로 이동합니다

PxGrid 페르소나가 활성화된 각 노드에는 PxGrid 역할이 연결된 인증서가 있습니다.

이러한 인증서는 서드파티 CA 또는 ISE 내부 CA에서 서명할 수 있습니다.  Certificate and hit view(인증서 및 히트 보기) 옆의 상자를 선택합니다. 여기에는 인증서 세부사항 및 인증서 체인이 나열되어야 합니다.  인증서 세부사항에는 인증서가 정상인지 아니면 체인이 불완전한지 나타내는 상태 표시기도 있습니다.

인증서가 ISE 내부 CA에 의해 서명된 경우:

맨 위에 4개의 레벨이 있습니다.

1. ISE 루트 CA - CA 인증서이며 각 구축에는 기본 관리 노드인 ISE 루트 CA만 있습니다.

2. ISE 노드 CA - ISE 루트 CA에서 인증서를 발급하는 중간 CA이며 기본 관리 노드이기도 합니다

3. ISE 엔드포인트 하위 CA - 세 번째 레벨이며 PxGrid ID 인증서의 발급자입니다.  구축의 각 노드에는 ISE 노드 CA(기본 관리 노드)에서 발급한 자체 ISE 엔드포인트 하위 CA가 있습니다

4. PxGrid ID 인증서 - 통합 및 통신 중에 ISE 노드가 PxGrid 클라이언트(예: SMC)에 제공하는 인증서입니다

ISE 및/또는 잘 알려진 서드파티 CA와 독립적으로 조직의 CA에서 서명한 인증서가 있는 경우:

루트 CA 및 PxGrid 인증서에 서명한 중간 CA가 Administration(관리) > System(시스템) > Certificates(인증서) > Certificate Management(인증서 관리) > Trusted Certificates(신뢰할 수 있는 인증서) 아래의 ISE의 신뢰할 수 있는 보안 인증서 저장소에 설치되어 있는지 확인합니다

두 경우 모두 인증서를 볼 때 UI에 "Certificate Status is good"이 표시되어야 합니다.

오류 상태:

PxGrid 인증서 신뢰 문제

ISE 내부 CA가 사용 중일 때 인증서 신뢰 체인이 불완전한 경우, 프로세스의 일부로 ISE PxGrid 인증서를 다시 생성하는 ISE 루트 CA를 다시 생성해야 합니다.  기본 관리자의 새로 생성된 ISE 루트 CA 및 ISE 노드 CA와 각 PxGrid 노드의 ISE 엔드포인트 하위 CA 인증서를 사용하여 SMC의 신뢰 저장소를 업데이트합니다.

ISE 루트 CA 체인을 교체하려면 Administration(관리) > System(시스템) > Certificates(인증서) > Certificate Management(인증서 관리) > Certificate Signing Requests(인증서 서명 요청)로 이동하고 이 UI를 제공하는 Generate Certificate Signing Request(인증서 서명 요청 생성)를 선택합니다.

드롭다운에서 ISE Root CA(ISE 루트 CA)를 선택하고 Replace ISE Root CA Certificate Chain(ISE 루트 CA 인증서 체인 대체)을 선택합니다

외부 CA가 사용 중일 때 인증서 신뢰 체인이 불완전할 경우 Administration > System > Certificates > Certificate Management > Trusted Certificates의 ISE 신뢰 저장소에 누락된 인증서를 추가하고 ISE CLI에서 "application stop ise" 다음에 "application start ise"를 실행하여 노드에서 서비스를 다시 시작합니다.  CA 인증서는 1 기본 관리 노드에 ISE 구축의 GUI에 액세스 하여 추가 되지만 인증서 상태 오류를 표시 한 노드에서 CLI를 통해 서비스를 다시 시작 해야 합니다.

참고: 서비스를 다시 시작하면 15~20분 동안 노드가 오프라인 상태로 전환됩니다.

이러한 시정 단계를 수행한 후에도 문제가 지속될 경우 지원을 요청하시기 바랍니다.