思科 pxGrid 节点
可以使用思科 pxGrid 与其他网络系统(例如思科 ISE 生态系统合作伙伴系统)和其他思科平台共享思科 ISE 会话目录中的情景相关信息。pxGrid 框架也可用来在思科 ISE 与第三方供应商之间、在节点(例如共享标记)与策略对象之间交换策略和配置数据,还能进行其他信息的交换。思科 pxGrid 还允许第三方系统调通过自适应网络控制操作 来隔离用户和/或设备以应对网络或安全事件。可通过思科 TrustSec 主题将标签定义、值和说明等思科 TrustSec 信息从思科 ISE 传输到其他网络。可通过终端配置文件元主题,将具有完全限定名称 (FQN) 的终端配置文件从思科 ISE 传输到其他网络。思科 pxGrid 还支持标签和终端配置文件的批量下载。
在高可用性配置中,思科 pxGrid 服务器通过 PAN 在节点之间复制信息。当 PAN 关闭时,思科 pxGrid 服务器会停止处理客户端注册和订用。需要手动升级 PAN,以激活思科 pxGrid 服务器。
在具有 pxGrid 角色的活动思科节点上,这些进程会显示为正在运行 (Running)。在备用思科 pxGrid 节点上,它们会显示为备用 (Standby)。如果活动 pxGrid 节点关闭,备用 pxGrid 节点会检测到此情况,并启动四个 pxGrid 进程。在几分钟内,这些进程显示为正在运行 (Running),备用节点成为活动节点。可以运行 CLI 命令 show logging application pxgrid/pxgrid.state 来验证思科 pxGrid 服务在此节点上是否处于备用状态。
启动面向辅助思科 pxGrid 节点的自动故障切换后,如果原始主思科 pxGrid 节点重新接入网络,则除非当前主节点关闭,否则原始主思科 pxGrid 节点将继续具有辅助角色,并且不会重新升级到主角色。
![]() 注 |
有时,原始主思科 pxGrid 节点可能会自动重新升级回主角色。 |
在高可用性部署中,当主 pxGrid 节点关闭时,可能需要大约 3 到 5 分钟来切换到辅助 pxGrid 节点。我们建议客户端等待故障切换完成,然后再清除缓存数据,以防主思科 pxGrid 节点发生故障。
以下日志可用于思科 pxGrid 节点:
-
pxgrid.log:通过状态变更通知。
-
pxgrid-cm.log:显示有关客户端与服务器之间的发布者和/或用户以及数据交换活动的更新。
-
pxgrid-controller.log:显示客户端功能、组和客户端授权的详细信息。
-
pxgrid-jabberd.log:显示与系统状态和身份验证相关的所有日志。
-
pxgrid-pubsub.log:显示与发布者和用户事件相关的所有信息。
![]() 注 |
|
![]() 注 |
可以使用 Base 许可证启用思科 pxGrid,但必须使用 Plus 许可证才能启用思科 pxGrid 角色。 |
![]() 注 |
|
思科 pxGrid 客户端和功能管理
使用 Cisco pxGrid 服务之前,连接到思科 ISE 的客户端必须注册并获得帐户审批。Cisco pxGrid 客户端使用 Cisco pxGrid SDK 中提供的 Cisco pxGrid 客户端库成为客户端。思科 ISE 同时支持自动和手动批准。客户端可以使用唯一名称和基于证书的相互身份验证登录 Cisco pxGrid。类似于交换机上的 AAA 设置,客户端可以连接已配置的 Cisco pxGrid 服务器主机名或 IP 地址。
Cisco pxGrid 功能是指 Cisco pxGrid 上供客户端发布和订用的信息主题或信道。在思科 ISE 中,仅支持身份、自适应网络控制 (ANC) 和安全组访问 (SGA) 等功能。您可以启用或禁用功能。如果禁用这些功能,客户端就被取消订用。可通过发布、定向查询或批量下载查询,从发布方获取功能信息。
启用 pxGrid 服务
开始之前
-
至少在一个节点上启用 pxGrid 角色,以查看思科 pxGrid 客户端发送的请求。
-
启用身份映射。有关详细信息,请参阅配置身份映射。
过程
步骤 1 |
选择 。 |
步骤 2 |
选中该客户端旁边的复选框,然后点击通过 (Approve)。 |
步骤 3 |
要查看功能,请点击右上角的根据功能查看 (View by Capabilities)。 |
步骤 4 |
点击刷新 (Refresh) 查看最新的状态。 |
步骤 5 |
选择要启用的功能,并点击启用 (Enable)。 |
步骤 6 |
单击刷新 (Refresh) 查看最新的状态。 |
部署思科 pxGrid 节点
开始之前
-
所有节点都将 CA 证书用于思科 pxGrid 服务用途。如果在升级之前对思科 pxGrid 服务使用默认证书,则升级时会将该证书替换为内部 CA 证书。
-
如果您使用的是分布式部署或从思科 ISE 1.2 升级,则需要为证书启用 pxGrid 用途选项。您可以在系统证书 (System Certificates) 窗口中启用 pxGrid 用途选项。此窗口的导航路径为选择用于部署的证书,然后点击 。编辑 (Edit) 选中 pxGrid:使用 pxGrid 控制器证书 (pxGrid: use certificate for the pxGrid Controller) 复选框。
-
必须为 Websocket (pxGrid 2.0) 打开端口 8910,并为 XMPP (pxGrid V1.0) 打开端口 5222。如果在节点上禁用思科 pxGrid 服务,则端口 5222 将关闭,但是端口 8910 仍正常工作,并继续响应请求。
过程
步骤 1 |
选择 。 |
||
步骤 2 |
在部署节点 (Deployment Nodes) 窗口中,选中要为其启用思科 pxGrid 服务的节点旁的复选框,然后点击编辑 (Edit)。 |
||
步骤 3 |
点击常规设置 (General Settings) 选项卡, 选中 pxGrid 复选框。 |
||
步骤 4 |
点击 Save。
|
思科 pxGrid 实时日志
“实时日志”(Live Logs) 窗口会显示所有 pxGrid 管理事件。事件信息包括客户端和功能名称,以及事件类型和时间戳。
此窗口的导航路径为您还可以清除日志并重新同步或刷新列表。 。