Configurar e solucionar problemas do ISE 3.2 com integração do FMC 7.2.4

Introdução

Este documento descreve os procedimentos para integrar o Identity Services Engine com o Firewall Management Center usando as conexões do Platform Exchange Grid.

Pré-requisitos

A Cisco recomenda conhecimento sobre estes tópicos:

• Identity Services Engine
• Grade de intercâmbio de plataforma
• Centro de gerenciamento de firewall
• Certificados TLS/SSL.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Patch 3 do Identity Services Engine (ISE) versão 3.2
• Firewall Management Center versão 7.2.4

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações de Apoio.

Esta documentação fornece uma solução para integrar o FMC e o ISE usando o pxGrid versão 2.

O Cisco Firepower Management Center é uma plataforma centralizada para o firewall de próxima geração e o sistema de prevenção de invasões, oferecendo gerenciamento de políticas, detecção de ameaças e resposta a incidentes.

O Cisco Identity Services Engine é uma solução abrangente que fornece acesso seguro a endpoints fornecendo serviços de autenticação, autorização e responsabilidade (AAA) e aplicação de políticas.

O Platform Exchange Grid (pxGrid) permite que você troque informações entre redes de vários fornecedores e várias plataformas.

Essa integração permite que você obtenha monitoramento seguro, detecção de ameaças e o conjunto de políticas de rede com base nas informações compartilhadas. 

A estrutura PxGrid tem duas versões. O que deve ser usado depende da versão do ISE e do patch que você precisa revisar.

Começando com a versão ISE 3.1, todos os pxGas conexões de RID do ISE são baseadas na versão pxgrid 2.

PxGrid versão 1.

TA primeira versão deste framework (pxGrid v1) é caracterizado devido à facilidade de manutenção observada através do comando show application status ise conforme exibido na saída subsequente.

Quando o recurso pxGrid estiver habilitado no nó, você verá o pxGrid recursos em um status de execução.

Manutenção do PxGrid versão 1.

Nessa versão dessa plataforma, sabe-se que há apenas um nó pxGrid com os processos pxGrid em status de execução, enquanto os outros nós pxGrid estão em status de espera, monitorando constantemente o status do nó pxGrid com os serviços relacionados em execução.

Nesse caso, o nó principal do pxGrid era uma promoção e o outro nó do pxGrid ativava seus serviços do pxGrid. 

No entanto, isso representou um tempo de inatividade quando esse failover ocorreu.

A primeira versão do pxgrid foi baseada na comunicação no Extensible Messaging and Presence Protocol (XMPP), que é um conjunto de tecnologias usadas na infraestrutura de colaboração e voz.

Os tópicos compartilhados em uma conexão pxGrid v1 são:

• Diretório da sessão
• Metadados de Perfil de Ponto de Extremidade
• Metadados Trustsec
• Recurso de proteção de endpoint
• Controle de rede adaptável
• Tópico MDM_Offline
• Identidade
• SXP

PxGrid versão 2.

Este documento aborda o uso desta versão. Essa plataforma opera agora usando operações REST nos protocolos ISE e WebSocket, que trazem melhorias, com melhor escalabilidade, desempenho e flexibilidade nos modelos de dados.

Nesta versão, você não vê os recursos do pxgrid sendo executados como na versão anterior com o comando show application status ise.

Consulte a seção de validação do ISE neste documento para conhecer os mecanismos que você pode verificar para revisar a funcionalidade do pxGrid.

Com esta versão, você tem todos os nós pxGrid configurados como nós pxGrid ativos. Estão prontos para participar no intercâmbio de informações a qualquer momento.

Na versão 1, apenas um nó mantinha a capacidade de serviço do pxGrid como em execução.

Os tópicos compartilhados em uma conexão pxGrid v2 são:

• Diretório da sessão
• Falha de raio
• Configuração do Profiler
• Integridade do Sistema
• MDM
• Status do ANC
• TrustSec
• Configuração do TrustSec
• TrustSec SXP
• Ativo de endpoint.

Componentes do pxGrid como plataforma.

Controlador PxGrid (ISE) : deve confiar em cada um dos participantes que usam o pxGrid.

Cliente: Pode ser assinante e editor de diferentes tópicos.

Fornecedor: cliente que compartilha informações com o controlador.

Assinante: O cliente que consome as informações de um tópico.

Essa integração permite criar políticas de conteúdo no FMC com base nas informações compartilhadas pelo ISE e nos tópicos publicados (relacionados à atividade de endpoint).

Configurar

Prepare o ISE para a integração.

Etapa 1. Configure o nó ISE para executar o pxGrid persona nele no menu Administração > Sistema > Implantação.

Selecione os nós e ative o recurso pxGrid.

Habilitando serviços pxGrid do ISE em um nó.

Etapa 2. Depois de ativar os nós com o recurso pxGrid, revise o status dos Websockets relacionados aos clientes internos que estão conectados.

Navegue até Administration > pxGrid Services > Websocket. Observe os clientes que apontam para os serviços ISE diretamente através do endereço IP 127.0.0.1.

WebSockets internos do ISE.

Etapa 3. Navegue pelo menu Administration > pxGrid Services > Settings e selecione a opção para Aprovar automaticamente novas contas baseadas em certificado,

Essa etapa é opcional neste ponto, no entanto, para a conexão pxGrid, é recomendável ativar essa caixa de seleção.

Você pode aceitar o FMC como assinante manualmente depois.

Habilitando a aprovação automática para contas baseadas em certificado pxGrid.

Etapa 4. Reveja os certificados relacionados à funcionalidade pxGrid de seu ambiente em Administração > Sistema > Certificados do Sistema,

É recomendável que você tenha certificados pxGrid homogêneos em todos os nós de sua implantação assinados pela mesma CA raiz

Neste cenário exibido, estamos usando os certificados internos do ISE gerados. Para esta versão do ISE em que este exemplo é exibido, a CA raiz corresponde ao nó PAN.

Certificados internos do diagrama no ISE.

Certificados PxGrid em uma implantação distribuída.

Etapa 5. Verifique o status dos certificados pxGrid.

No menu anterior, marque uma caixa de seleção de um certificado pxGrid de nó e, em seguida, selecione a opção Exibir.

A saída se parece com a exibida aqui nos certificados pxGrid.

Verificação do certificado pxGrid.

Preparar o CVP para a integração.

Etapa 1.Confirme se a hora interna do FMC está atualizado.

Navegue até Sistema > Configuração > Tempo e garantir que o tempo configurado no CVP atualizado.

Verificação da atualização do CVP.

Se a hora do FMC não for atualizada, verifique se o NTP está configurado corretamente e in Sync. O NTP pode ser configurado em Sistema > Configuração > Tempo > + Adicionar.

Time Synchronization on FMC (Sincronização de horário no FMC).

Etapa 2. Navegue até Sistema > Configuração > Interface de gerenciamento > Configurações compartilhadas e verificar se pelo menos Servidor DNS primário campo contém um IP do servidor DNS.

Configuração DNS no FMC.

Etapa 3. Confirme se o nome de host FMC está configurado.  

Navegue até Sistema > Configuração > Interface de Gerenciamento > Configurações Compartilhadas e verificar se Hostname contém o nome de host do FMC.

Você pode verificar esta etapa ao revisar a etapa anterior nesta seção . 

Configurando a conexão pxGrid entre o ISE e o FMC.

Etapa 1. Navegue até o menu Administration > pxGrid Services > Client Management > Certificates.

Na primeira opção, selecione Desejo gerar um único certificado (sem uma solicitação de assinatura de certificado). 

Na seção Nome comum (CN), introduza o FQDN do CVP em que o ISE emitirá um certificado.

Forneça uma Descrição.

Na seção Nome alternativo do assunto (SAN), insira o FQDN e o endereço IP do FMC para conexão.

Na parte inferior do Formato de Download do Certificado, selecione no menu suspenso a opção Certificado no formato Privacy Enhanced Electronic Mail (PEM), chave no formato PKCSS PEM (incluindo a cadeia de certificados).

Insira e armazene uma senha em Certificate Password ao usá-la posteriormente no FMC.

Confirme a senha e selecione Create.

Exemplo de geração de certificado pxGrid.

Etapa 2. Um arquivo zip é baixado para o seu computador. Descompacte o arquivo e confirme se você tem estes arquivos do seu ambiente:

Certificados PxGrid gerados pelo ISE.

Etapa 3. No FMC, navegue até o menu Objetos > Gerenciamento de objetos > PKI > Certificados internos.

Selecione a opção Add Internal Cert.

Acrescentar o certificado FMC como certificado interno.

Etapa 4. Indique o nome do certificado atribuído no CVP. 

Procure o certificado que você criou para o FMC do ISE na seção Dados do certificado, Procurar, bem como o arquivo com a extensão .key para preencher o próximo campo.

Selecione a opção Encrypted e insira a senha que você usou quando criou o certificado no ISE,

Salve a configuração.

Exportando o certificado FMC gerado pelo ISE.

Certificado FMC.

Etapa 5. Navegue até o menu Objetos > Gerenciamento de objetos > PKI > CAs confiáveis,

Selecione Adicionar CAs confiáveis.

Adicionando a rootCA do ISE como certificado confiável.

Etapa 6. Nomeie a Autoridade de Certificação.

Procure e selecione o rootCA do ISE que foi baixado do arquivo do ISE.

Salve sua configuração.  

Exportando o rootCA do ISE.

Passo 7. Navegue até o menu Integração > Outras integrações > Origens de identidade.

Selecione em Tipo de serviço: Identity Services Engine,

Insira o endereço IP ou o FQDN do nó pxGrid que se tornará o nó primário.

Repita o procedimento para o nó pxGrid secundário.

Selecione, no menu suspenso, o certificado pxGrid gerado pelo ISE para a seção pxGrid Client Certificate,

Na seção MNT Server CA e pxGrid Server CA, selecione a rootCA do ISE que você exportou na última etapa.

(Opcional) Você pode assinar o Diretório de sessão e o tópico do SXP no ISE. 

Salve a configuração.

Configuração do ISE como fonte de identidade no FMC.

Verificar.

Validação no CVP.

No menu Integration > Other Integrations > Identity Sources > Identity Services Engine, antes de salvar sua configuração, você pode testar as configurações para o link pxGrid.

Comunicação bem-sucedida do PxGrid.

Primary host:

[INFO]: PXGrid v2 is enabled
[INFO]: pxgrid 2.0: account activate succeeded
[INFO]: Successful connection to ssptise02.ssptsec.mex:8910
[INFO]: Successful connection to ssptise01.ssptsec.mex:8910
[INFO]: These ISE Services are up: SessionDirectory, SXP, EndpointProfile, SecurityGroups, AdaptiveNetworkControl
[INFO]: All requested ISE Services are online.

Secondary host:

[INFO]: PXGrid v2 is enabled
[INFO]: pxgrid 2.0: account activate succeeded
[INFO]: Successful connection to ssptise02.ssptsec.mex:8910
[INFO]: Successful connection to ssptise01.ssptsec.mex:8910
[INFO]: These ISE Services are up: SessionDirectory, SXP, EndpointProfile, SecurityGroups, AdaptiveNetworkControl
[INFO]: All requested ISE Services are online.

Validação no ISE.

Quando o cliente pxGrid do FMC tiver sido integrado com êxito ao ISE, você consulte )no menu Administração > pxGrid Services > Gerenciamento de clientes > Clientes) clientes com o nome fmc estão incluídos e habilitado.

Clientes PxGrid disponíveis e ativados.

Além disso, se você navegar para o menu Administration > pxGrid Services > Diagnostics > WebSocket, você verá a conexãos para a CVP.

No cenário em que você tem o FMC em alta disponibilidade, você verá então as unidades principal e secundária como são exibidas neste exemplo:

WebSockets disponíveis no ISE.

Na próxima guia neste menu nomeado Tópicos, você pode verificar se os assinantes do FMC foram adicionados aos tópicos pxGrid publicados pelo ISE.

Por exemplo, há um tópico relacionado ao grupo de segurança, de where você podem ver que ambos os CVP são assinados e recebem informações relacionadas para SGT postado pelo ISE.

Tópicos por assinante do pxGrid.

INo menu Administration > pxGrid Services > Diagnostics > Log, eventos importantes relacionados na comunicação pxGrid (para os nós com o recurso habilitado) são exibidos representação das informações relacionadas à integração.

Logs ao vivo do PxGrid.

Troubleshooting

Solução de problemas no FMC. 

Confirme se o FMC pode resolver seu próprio nome de host e nós do ISE por nomes de host.  

Por exemplo:

> expert
admin@sspt_fmc01_lab:~$ ping sspt_fmc01_lab

PING sspt_fmc01_lab (10.4.49.51) 56(84) bytes of data.
64 bytes from sspt_fmc01_lab (10.4.49.51): icmp_seq=1 ttl=64 time=0.029 ms
64 bytes from sspt_fmc01_lab (10.4.49.51): icmp_seq=2 ttl=64 time=0.071 ms
64 bytes from sspt_fmc01_lab (10.4.49.51): icmp_seq=3 ttl=64 time=0.055 ms
^C
--- sspt_fmc01_lab ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 27ms

admin@sspt_fmc01_lab:~$ ping ssptise01
PING ssptise01.ssptsec.mex (10.4.49.41) 56(84) bytes of data.
64 bytes from ssptise01.ssptsec.mex (10.4.49.41): icmp_seq=1 ttl=64 time=0.586 ms
64 bytes from ssptise01.ssptsec.mex (10.4.49.41): icmp_seq=2 ttl=64 time=0.646 ms
64 bytes from ssptise01.ssptsec.mex (10.4.49.41): icmp_seq=3 ttl=64 time=0.743 ms
^C
--- ssptise01.ssptsec.mex ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 82ms
rtt min/avg/max/mdev = 0.586/0.658/0.743/0.068 ms
admin@sspt_fmc01_lab:~$
admin@sspt_fmc01_lab:~$ ping ssptise02

PING ssptise02.ssptsec.mex (10.4.49.42) 56(84) bytes of data.
64 bytes from ssptise02.ssptsec.mex (10.4.49.42): icmp_seq=1 ttl=64 time=0.588 ms
64 bytes from ssptise02.ssptsec.mex (10.4.49.42): icmp_seq=2 ttl=64 time=0.609 ms
64 bytes from ssptise02.ssptsec.mex (10.4.49.42): icmp_seq=3 ttl=64 time=0.628 ms
^C
--- ssptise02.ssptsec.mex ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 45ms
rtt min/avg/max/mdev = 0.588/0.608/0.628/0.025 ms

Assegure que O processo ADI está ativo e em execução:

> expert
sudo suadmin@sspt_fmc01_lab:~$ sudo su
root@sspt_fmc01_lab:/Volume/home/admin#  pmtool status | grep adi  

adi (normal) - Running 7911

EAssegurar que a comunicação entre o CVP e o port O TCPP 8910 é permitido. Do CVP CLI podemos configurar a tcpudump captura de pacotes para confirmar a comunicação bidirecional.

> expert
sudo suadmin@sspt_fmc01_lab:~$ sudo su

root@sspt_fmc01_lab:/Volume/home/admin# tcpdump -i any tcp and port 8910
22:34:08.415370 IP sspt_fmc01_lab.46248 > ssptise01.ssptsec.mex.8910: Flags [S], seq 3033526171, win 29200, options [mss 1460,sackOK,TS val 2701166399 ecr 0,nop,wscale 7], length 0
22:34:08.415840 IP ssptise01.ssptsec.mex.8910 > sspt_fmc01_lab.46248: Flags [S.], seq 3024877968, ack 3033526172, win 28960, options [mss 1460,sackOK,TS val 2268665064 ecr 2701166399,nop,wscale 7], length 0
22:34:08.415894 IP sspt_fmc01_lab.46248 > ssptise01.ssptsec.mex.8910: Flags [.], ack 1, win 229, options [nop,nop,TS val 2701166400 ecr 2268665064], length 0
[...]

Solução de problemas no ISE.

Verifique se as comunicações na porta 8910 está operacional.

Esta porta é aquela usada pelo cliente pxGrids para se comunicar com nós pxGrid e nós MnT para o download em massa de informações.

Interação do PxGrid no ambiente ISE.

INos nós do ISE onde a comunicação com o cliente pxGrid é mantida, você pode revisar se a a porta está aberta ou se houver soquetes conectados a naquela porta.

#show ports | include 8910
tcp: (output omitted), :::8910, 

Há dois testes disponíveis no ISE que diagnosticam o status geral das implementações do pxGrid.

Eles podem ser encontrados no menu Administração > Serviços do pxGrid > Diagnóstico > Teste.

Os testes exibidos nesta seção são executados internamente no ISE.

Teste de Monitoramento de Integridade analisa a aparência do serviço pxGridup, que avalia se um cliente pode acessar o serviço de Diretório de Sessões e os tópicos publicados pelo controlador pxGrid.

Selecione a opção opção Iniciar Teste e aguarde até que os logs sejam coletados.

PxGrid Health Monitoring Test (Teste de monitoramento de integridade do PxGrid).

Após a conclusão do teste, selecione a opção opção Exibir log. Para este exemplo, o conteúdo do log é:

Revisão do teste de monitoramento de integridade.

22-Aug-2023 17:03:13 [INFO] ************** pxGrid Session Directory Test ***************
22-Aug-2023 17:03:13 [INFO] ----------------- Starting Connection Test -----------------
22-Aug-2023 17:03:14 [INFO] pxGrid Node: ssptise01.ssptsec.mex
22-Aug-2023 17:03:14 [INFO] wsPubsubServiceName=com.cisco.ise.pubsub
22-Aug-2023 17:03:14 [INFO] sessionTopic=/topic/com.cisco.ise.session
22-Aug-2023 17:03:14 [INFO] sessionRestBaseUrl=https://ssptise01.ssptsec.mex:8910/pxgrid/mnt/sd
22-Aug-2023 17:03:14 [INFO] wsUrl=wss://ssptise02.ssptsec.mex:8910/pxgrid/ise/pubsub
22-Aug-2023 17:03:15 [INFO] ---------------- Connection Test Completed -----------------
22-Aug-2023 17:03:15 [INFO] ------------------ Starting Download Test ------------------
22-Aug-2023 17:03:15 [INFO] Downloading sessions since 2023-08-21T17:03:15.273-06:00
22-Aug-2023 17:03:15 [INFO] Response status=200
22-Aug-2023 17:03:15 [INFO] Number of sessions read: 0
22-Aug-2023 17:03:15 [INFO] ----------------- Download Test Completed ------------------
22-Aug-2023 17:03:15 [INFO] ----------------- Starting Subscribe Test ------------------
22-Aug-2023 17:03:16 [INFO] STOMP CONNECT host=ssptise02.ssptsec.mex
22-Aug-2023 17:03:16 [INFO] STOMP SUBSCRIBE topic=/topic/com.cisco.ise.session
22-Aug-2023 17:03:16 [INFO] STOMP CONNECTED version=1.2
22-Aug-2023 17:07:16 [INFO] A total of 0 notifications were received.
22-Aug-2023 17:07:16 [INFO] STOMP RECEIPT id=77
22-Aug-2023 17:07:19 [INFO] ----------------- Subscribe Test Completed -----------------
22-Aug-2023 17:07:19 [INFO] ********** pxGrid Session Directory Test Complete **********

O teste de sincronização de banco de dados do PxGrid verifica se as informações dentro dos bancos de dados está correto entre os nós PAN e pxGrid e sincronizado.

Portanto, as informações enviadas aos assinantes do pxGrid são precisa.

Selecione a opção opção Iniciar teste e esperar que os resultados venham a ser avaliados.

Teste de sincronização de bancos de dados PxGrid.

A partir dos registros gerados, essa saída foi obtida.

ssptise01.ssptsec.mex : In Sync
ssptise02.ssptsec.mex : In Sync

Primary PAN : ssptise01.ssptsec.mex
pxGrid Nodes : ssptise01.ssptsec.mex ssptise02.ssptsec.mex

Coletar uma captura em a partir dos nós pxGrid apontando em direção ao nó FMC primário.

Navegar até o menu Operações > Solução de Problemas > Ferramentas de Diagnóstico > Despejo TCP,

Selecione a opção opção para adi uma nova captura.

Gerando uma captura de pacote no ISE.

Configure os parâmetros para a captura.

IN Nome de Host, selecione o nó pxGrid primário selecionado no FMC. 

Filtrar o tráfego com este sintaxe ip host <FMC IP>

Nomear a captura e depois continuar para Save e Executar.

Exemplo de configuração de captura de pacotes.

Em outra janela, no menu FMC Integração > Outras integrações > Identidade Origens, Teste a conexão com o ISE através do canal pxGrid.

WQuando você obtém o resultado do teste, continuar para Ssuperior a captura no ISE.

Interrompendo uma captura de pacote no ISE.

Download a captura e iniciar a análise. Esse cenário exibe uma captura de uma conexão em funcionamento que pode servir como referência.

Comunicação PxGrid entre ISE e FMC.

Além disso, no ISE, você pode coletar depurações relacionadas ao pxProcessamento de grade.

Navegar pelo menu Operações > Solução de Problemas > Assistente de Depuração > Depurar Configuração de log,

Selecione o nó do ISE correspondente para analisar e Editar.

Selecionando um nó para depurar no ISE.

Filtrar os componentes exibidos e alterar o Nível de log para DEBUG the pxgrid componente para continuar com uma análise.

Save a configuração.

Alterando o componente pxGrid para o nível de depuração.

Reproduzir o comportamento a ser analisado e, em seguida, continuar para analisar os logs coletados no arquivo pxgrid-server.log. Outros logs que você pode examinar no nó ISE para solucionar problemas são:

#show logging application | include pxgrid
ise-pxgriddirect.log
pxgrid/pxgrid-server.log
pxgrid/pxgrid-test.log
pxgrid/pxgrid_dbsync_summary.log
pxgrid/pxgrid_internal_dbsync_summary.log
pxgriddirect.log

Problemas comuns. 

O cliente assinante PxGrid não foi aprovado no ISE.

Para este caso de uso, a saída relacionada ao botão FMC test pxGrid mostra este comportamento:

Falha na conexão do FMC pxGrid.

Primary host:

[INFO]: PXGrid v2 is enabled
[ERROR]: pxgrid 2.0: failed account activation. accountState=PENDING
[ERROR]: Failed to contact pxGrid node at '10.4.49.41': pxgrid2.0: Could not activate account

Secondary host:

[INFO]: PXGrid v2 is enabled
[ERROR]: Performing request failed with a timeout.
[ERROR]: Failed to contact pxGrid node at '10.4.19.42': Request failed with a timeout.

No ISE, observe o comportamento no menu Administration > PxGrid Services > Client Management > Clients indicando que o cliente pxGrid (FMC) está pendente para aprovação.

Selecione o botão Aprovar, confirme a seleção na próxima janela e tente a integração novamente.

Desta vez, a integração é bem-sucedida.

Cliente FMC com status pendente.

Confirmação da aprovação do cliente pxGrid.

Observe se você deseja habilitar a aprovação automática de clientes pxGrid baseados em certificado.

Aprovar/Recusar os clientes da página anterior, pois este alarme pode aparecer.

Erro relacionado à aprovação de clientes pxGrid.

Certificado ISE PxGrid cadeia incompleto.

Neste cenário, se você navegar para o menu Administração > Sistema > Certificado, selecione o certificado pxgrid e selecione a opção Exibir,

No caso de você ter um problema com o certificado, esses erros relacionados são possíveis.

Erro relacionado à cadeia de certificados incompleto.

TA primeira etapa a ser verificada é se a CA raiz do ISE está completana opção Exibir.

No caso de um certificado ausente na hierarquia, você pode emitir toda a CA raiz de implantação do ISE.

BNavegue até o menu Administration > System > Certificates > Certificate Management > Certificate Signing Request (RSE) e selecione esse botão.

Geração de um CSR no ISE.

Neste menu, selecione em Uso da CA raiz do ISE e recriar a CA raiz do ISE para todos os nós.

Prosseguir com o botão Substituir a cadeia de certificados da CA raiz do ISE.

Configurando a solicitação de assinatura de certificado.

Aguarde até que os certificados sejam gerados em todos os nós do impImplementação.

Após a conclusão, o ISE exibe a próxima notificação.

Confirmação de geração de certificados.

Confirme se o pxGa cadeia de confiança do certificado rid foi concluída selecionando a opção Exibir em Certificados do sistema.

Referência.

Página do Cisco Developer do PxGrid.

Guia do Administrador do Cisco Identity Services Engine, Versão 3.2 , Capítulo: Cisco pxGrid.

Guia de instalação do Cisco Identity Services Engine, versão 3.2, capítulo: referência de portas do Cisco ISE

Guia de referência da CLI do Cisco Identity Services Engine, versão 2.4