排除ISE集成故障

简介

本文档介绍CyberVision Center到ISE集成的故障排除步骤。

最佳实践概述

最佳做法是您必须考虑的推荐步骤，以确保系统配置的正确运行。建议：

• 有关最新功能、指南、限制和警告，请参阅Cisco Cyber Vision版本说明和Cisco身份服务引擎(ISE)版本说明
• 实施任何新的配置更改后，请对其进行验证和故障排除

CCV-ISE高级流程图

故障排除指南

通过回答接下来的问题，您可以确定故障排除路径和需要进一步调查的组件。回答后续问题以确定安装状态：

• 这是新安装的系统还是现有安装？
• CyberVision是否能看到ISE？

使用命令systemctl status pxgrid-agent检查pxGrid服务状态。

• ISE是否以高可用性运行pxGrid？
• 在应用程序开始出现问题之前，配置或整个基础架构发生了什么变化？

要发现网络问题，请使用常规网络故障排除步骤：

步骤1:您是否能从ISE ping通CyberVision Center主机名？

如果无法ping通，请使用安全外壳(SSH)和添加主机名连接到ISE CLI。

第二步：您是否能从CyberVision Center对ISE主机名执行ping操作？

否则，尝试将ISE主机名添加到Center中的/data/etc/hosts文件。

第三步：发现证书问题。


从CyberVision Center输入命令openssl s_client -connect YourISEHostname:8910。

要收集的数据

对于网络问题：

• 架构：

显示中心与ISE之间详细信息的方案非常有用：

• 防火墙规则
• 静态路由
• 网关配置
• VLAN 配置

• 针对所有ISE问题收集的日志：

您可以从收集中心诊断文件开始，以免丢失数据。

然后，按照以下步骤激活中心上的高级日志：
在文件夹中创建两个文件/data/etc/sbs。
第一个文件必须命名为listener.conf，并包含内容：

（请注意日志级别前面的前导空格。）

root@Center:~# cat /data/etc/sbs/listener.conf
configlog:
 loglevel: debug
root@Center:~#

第二个文件必须命名为pxgrid-agent.conf，并包含内容：

（请注意日志级别前面的前导空格。） 

root@Center:~# cat /data/etc/sbs/pxgrid-agent.conf
configlog:
 loglevel: debug

创建这两个文件后，请重新启动中心或重新启动sbs-burrow和pxgrid-agent服务。

Restart service using the command: 
#systemctl restart sbs-burrow
#systemctl restart pxgrid-agent

然后收集pxGrid日志（使用文件传输工具从中心导出日志）。

root@Center:~# journalctl -u pxgrid-agent > /data/tmp/pxgridLogs.log

收集tcpdump捕获以分析中心与ISE之间的通信流。

root@Center:~# tcpdump -i eth0 -n host CCV_IP and host ISE_IP -w /data/tmp/ccv_ise.pcap

• 在ISE上启用调试并收集支持捆绑包。

要在ISE上启用调试，请导航到Administration > System > Logging > Debug Log Configuration。将日志级别设置为以下级别：

角色	组件名称	日志级别	要检查的文件
PAN（可选）	分析器	调试	profiler.log
已启用pxGrid探测功能的PSN	分析器	调试	profiler.log
PxGrid	pxgrid	跟踪	pxgrid-server.log

预期日志消息

中心中pxGrid-agent的调试日志显示正在启动的代理、已注册的服务、思科网络愿景(CCV)与ISE建立简单（或流式）面向文本消息协议(STOMP)连接，以及正在发送资产/组件的更新操作：

Jul 11 13:05:02 center systemd[1]: Started Agent for interfacing with pxGrid.
Jul 11 13:05:02 center pxgrid-agent[5404]: pxgrid-agent Center type: standalone [caller=postgres.go:543]
Jul 11 13:05:03 center pxgrid-agent[5404]: pxgrid-agent RPC server listening to: '/tmp/pxgrid-agent.sock' [caller=main.go:119]
Jul 11 13:05:03 center pxgrid-agent[5404]: pxgrid-agent HTTP server listening to: '169.254.0.90:2027' [caller=main.go:154]
Jul 11 13:05:03 center pxgrid-agent[5404]: pxgrid-agent Request path=/pxgrid/control/AccountActivate body={} [caller=control.go:147]
Jul 11 13:05:03 center pxgrid-agent[5404]: pxgrid-agent Account activated [caller=pxgrid.go:58]
Jul 11 13:05:03 center pxgrid-agent[5404]: pxgrid-agent Request path=/pxgrid/control/ServiceRegister body={"name":"com.cisco.endpoint.asset","properties":{"assetTopic":"/topic/com.cisco.endpoint.asset","restBaseUrl":"https://Center:8910/
Jul 11 13:05:04 center pxgrid-agent[5404]: pxgrid-agent Service registered, ID: c514c790-2361-47b5-976d-4a1b5ccfa8b7 [caller=pxgrid.go:76]
Jul 11 13:05:04 center pxgrid-agent[5404]: pxgrid-agent Request path=/pxgrid/control/ServiceLookup body={"name":"com.cisco.ise.pubsub"} [caller=control.go:147]
Jul 11 13:05:05 center pxgrid-agent[5404]: pxgrid-agent Request path=/pxgrid/control/AccessSecret body={"peerNodeName":"com.cisco.ise.pubsub"} [caller=control.go:147]
Jul 11 13:05:06 center pxgrid-agent[5404]: pxgrid-agent Websocket connect url=wss://labise. aaalab .com:8910/pxgrid/ise/pubsub [caller=endpoint.go:129]
Jul 11 13:05:07 center pxgrid-agent[5404]: pxgrid-agent STOMP CONNECT host=10.48.78.177 [caller=endpoint.go:138]
Jul 11 13:06:59 center pxgrid-agent[5404]: pxgrid-agent STOMP SEND destination=/topic/com.cisco.endpoint.asset body={"opType":"UPDATE","asset":{"assetId":"01:80:c2:00:00:00","assetName":"LLDP/STP bridges Multicast 0:0:0","assetIpAddress"
Jul 11 13:10:04 center pxgrid-agent[5404]: pxgrid-agent Request path=/pxgrid/control/ServiceReregister body={"id":"c514c790-2361-47b5-976d-4a1b5ccfa8b7"} [caller=control.go:147]

成功集成后的预期消息格式和assetGroup属性发布时不带值，如下所示：

 Jan 25 11:05:49 center pxgrid-agent[1063977]: pxgrid-agent STOMP SEND destination=/topic/com.cisco.endpoint.asset body={"opType":"UPDATE","asset":{"assetId":"48:4d:7e:e0:e2:52","assetName":"Dell 10.234.176.35","assetIpAddress":"10.234.176.35","assetMacAddress":"48:4d:7e:e0:e2:52","assetVendor":"Dell Inc.","assetProductId":"","assetSerialNumber":"","assetDeviceType":"","assetSwRevision":"","assetHwRevision":"","assetProtocol":"SMB","assetCustomAttributes":[{"key":"assetSource","value":"CCV"},{"key":"assetGroup","value":""},{"key":"assetCustomName","value":"test"},{"key":"assetGroupPath","value":""}],"assetConnectedLinks":[]}} length=513 [caller=endpoint.go:149] 

预期的消息格式（带值的assetGroup，如下所示）。这确认了CyberVision Center正在发送属性，如果ISE端没有进一步反映相同的属性，您必须使用ISE进行进一步调查。

Jan 25 11:09:28 center pxgrid-agent[1063977]: pxgrid-agent STOMP SEND destination=/topic/com.cisco.endpoint.asset body={"opType":"UPDATE","asset":{"assetId":"48:4d:7e:e0:e2:52","assetName":"Dell 10.234.176.35","assetIpAddress":"10.234.176.35","assetMacAddress":"48:4d:7e:e0:e2:52","assetVendor":"Dell Inc.","assetProductId":"","assetSerialNumber":"","assetDeviceType":"","assetSwRevision":"","assetHwRevision":"","assetProtocol":"SMB","assetCustomAttributes":[{"key":"assetSource","value":"CCV"},{"key":"assetGroup","value":"test group"},{"key":"assetCustomName","value":"test"},{"key":"assetGroupPath","value":"test group"}],"assetConnectedLinks":[]}} length=533 [caller=endpoint.go:149]

相关信息

• CCV和ISE解决方案简介
• 演示实验：使用思科网络愿景提供使用Cisco ISE的动态微分段
• 演示ISE和CCV 
• ISE集成指南
• 思科技术支持和下载