はじめに

本ドキュメントでは、Cisco Digital Network Architecture Center (DNA Center) と Cisco Identity Services Engine (ISE) のインテグレーションフローを紹介します。
DNA Center 側のログから確認できる、インテグレーション時に出力されるログメッセージも記載していますので、インテグレーションに失敗する際のトラブルシューティング資料として使用ください。

 

 

インテグレーションに必要な条件

DNA Center と ISE のインテグレーションに失敗した時は、まずインテグレーションに必要な条件が満たされているか確認してください。

ISE:

• pxGrid が有効になっている
• SSH が有効になっている
• ERS Read/Write が有効になっている
• CLI と GUI のユーザアカウントのユーザ名/パスワードが同一である
• ISE admin certificate において、ISE の IP Address もしくは FQDN が、subject name もしくは SAN に含まれている

 

DNA Center:

• DNAC system certificate において、DNA Center の IP Address もしくは FQDN が、subject name もしくは SAN に含まれている

 

その他:

• DNA Center と ISE の version に互換性がある (互換性については、Compatibility Matrix を参照)
• DNA Center と ISE が通信可能である (Firewall や Proxy を Bypass する)
• DNA Center と ISE の NTP サーバが正しく同期されている

 

 

インテグレーションフロー

以下、DNA Center と ISE のインテグレーションが確立されるまでのフロー図です。

 

 

このフローに沿って、DNA Center のログに出力されるログメッセージを紹介します。
DNA Center のログ取得については、以下のドキュメントを参照してください。

DNAC: DNA Center 調査用ログ取得手順

 

今回紹介するログを取得したのは、以下の環境です。
version によって動作が変わる可能性もありますので、予めご理解ください。

- DNA Center
version: 1.3.1.2
maglev intra-cluster port IP Address: 172.30.230.1
ISE Subscriber Name: dna_lab

- ISE
version: 2.6.0.156
IP Address: 172.20.0.10
FQDN: ise1-pod.ciscotac.com


ここで参照する DNA Center のログファイルは、以下になります。

• network-design-service
• identity-manager-pxgrid-service
• collector-ise

各ログメッセージの上に、どのログファイルを参照しているか記載しています。

 

 

では、さっそく DNA Center のログメッセージを見ていきましょう。

 

1. DNA Center が ISE のセットアップを開始
(ユーザ動作: DNA Center > Settings > Authentication and Policy Servers で AAA/ISE server を登録)

- ログファイル: network-design-service

2019-10-25 04:12:27,371 |   INFO | SimpleAsyncTaskExecutor-4 |  | c.c.a.c.s.h.CreateAaaMessageHandler | invoking establish trust | 
2019-10-25 04:12:27,371 |   INFO | SimpleAsyncTaskExecutor-4 |  | c.c.a.c.s.trust.CiscoISEManager | ------------------------------------------------------------------------------------------------ | 
2019-10-25 04:12:27,371 |   INFO | SimpleAsyncTaskExecutor-4 |  | c.c.a.c.s.trust.CiscoISEManager | STEP: Fetching iseUsername, isePassword, iseHostIp, iseHostName, iseSshKey, apicEmIp, apicEmFqdn | 

(省略)

2019-10-25 04:12:27,661 |   INFO | SimpleAsyncTaskExecutor-4 |  | c.c.g.api.impl.NetworkManagerImpl | Cluster network IP from path=/api/system/v1/maglev/cluster/network/172.20.0.10, response=ClusterIpResponse {response=172.30.230.1, status=null, error_code=null, version=1.4.0, isError=false} | 
2019-10-25 04:12:27,661 |   INFO | SimpleAsyncTaskExecutor-4 |  | c.c.a.c.s.trust.CiscoISEManager | APIC-EM Ip: 172.30.230.1 | 
2019-10-25 04:12:27,665 |   INFO | SimpleAsyncTaskExecutor-4 |  | c.c.a.c.s.trust.CiscoISEManager | APIC-EM FQDN: 172.30.230.1 | 
2019-10-25 04:12:27,793 |   INFO | SimpleAsyncTaskExecutor-4 |  | c.c.a.c.s.trust.CiscoISEManager | APIC-EM certificate chain: -----BEGIN CERTIFICATE-----

 

2. DNA Center が ISE に SSH 接続

- ログファイル: network-design-service

2019-10-25 04:12:27,871 |   INFO | SimpleAsyncTaskExecutor-4 |  | c.c.a.c.s.trust.ISETrustManager | ------------------------------------------------------------------- | 
2019-10-25 04:12:27,871 |   INFO | SimpleAsyncTaskExecutor-4 |  | c.c.a.c.s.trust.ISETrustManager | STEP: Connecting to ISE Server for initiating trust establishment | 
2019-10-25 04:12:27,871 |   INFO | SimpleAsyncTaskExecutor-4 |  | c.c.a.c.s.trust.ISETrustManager | ------------------------------------------------------------------- | 

(省略)

2019-10-25 04:12:28,298 |   INFO | SimpleAsyncTaskExecutor-4 |  | c.c.a.c.s.trust.ISETrustManager | Authentication successful | 
2019-10-25 04:12:28,298 |   INFO | SimpleAsyncTaskExecutor-4 |  | c.c.a.c.s.trust.ISETrustManager | ------------------------------------------------------------------------------------- | 
2019-10-25 04:12:28,298 |   INFO | SimpleAsyncTaskExecutor-4 |  | c.c.a.c.s.trust.ISETrustManager | STEP: Configuring DNAC access details on ISE for trust establishment with controller | 
2019-10-25 04:12:28,298 |   INFO | SimpleAsyncTaskExecutor-4 |  | c.c.a.c.s.trust.ISETrustManager | ------------------------------------------------------------------------------------- | 

 

3. DNA Center が ISE CLI に対して、application configure のための command を実行

- ログファイル: network-design-service

2019-10-25 04:12:31,899 |   INFO | SimpleAsyncTaskExecutor-4 |  | c.c.a.c.s.trust.SessionManager | Sending command: application configure ise | 
2019-10-25 04:12:31,899 |   INFO | SimpleAsyncTaskExecutor-4 |  | c.c.a.c.s.trust.SessionManager | Command sent | 
2019-10-25 04:12:31,900 |   INFO | SimpleAsyncTaskExecutor-4 |  | c.c.a.c.s.trust.SessionManager | Expecting [[19]Establish Trust with controller] for success, [] for failure | 
2019-10-25 04:12:31,901 |   INFO | SimpleAsyncTaskExecutor-4 |  | c.c.a.c.s.trust.SessionManager | SSH response: application configure ise
 | 
2019-10-25 04:12:33,089 |   INFO | SimpleAsyncTaskExecutor-4 |  | c.c.a.c.s.trust.SessionManager | SSH response: 
Selection configuration option
[1]Reset M&T Session Database
[2]Rebuild M&T Unusable Indexes
[3]Purge M&T Operational Data
(以下、省略)

 

4. 上記 3 の command 実行に対して ISE が応答

- ログファイル: network-design-service

2019-10-25 04:12:33,466 |   INFO | SimpleAsyncTaskExecutor-4 |  | c.c.a.c.s.trust.SessionManager | Expecting [Enter URI for uploading ISE certificate chain:] for success, [] for failure | 
2019-10-25 04:12:33,468 |   INFO | SimpleAsyncTaskExecutor-4 |  | c.c.a.c.s.trust.SessionManager | SSH response: -----BEGIN CERTIFICATE-----
MIIEdjCCA1......................................................
(以下、省略)

 

5. ISE が DNA Center に対して ISE certificate chain をアップロード

- ログファイル: network-design-service

2019-10-25 04:12:33,471 |   INFO | SimpleAsyncTaskExecutor-4 |  | c.c.a.c.s.trust.SessionManager | SSH response: Enter URI for uploading ISE certificate chain:  | 
2019-10-25 04:12:33,471 |   INFO | SimpleAsyncTaskExecutor-4 |  | c.c.a.c.s.trust.SessionManager | Expected success phrase received: Enter URI for uploading ISE certificate chain: | 
2019-10-25 04:12:33,471 |   INFO | SimpleAsyncTaskExecutor-4 |  | c.c.a.c.s.trust.SessionManager | Sending command: https://172.30.230.1/api/v1/aaa/ise/certificate | 
2019-10-25 04:12:33,471 |   INFO | SimpleAsyncTaskExecutor-4 |  | c.c.a.c.s.trust.SessionManager | Command sent | 
2019-10-25 04:12:33,471 |   INFO | SimpleAsyncTaskExecutor-4 |  | c.c.a.c.s.trust.SessionManager | Expecting [Enter Authentication token:] for success, [] for failure | 
2019-10-25 04:12:33,472 |   INFO | SimpleAsyncTaskExecutor-4 |  | c.c.a.c.s.trust.SessionManager | SSH response: https://172.30.230.1/api/v1/aaa/ise/certificate
 | 
2019-10-25 04:12:33,472 |   INFO | SimpleAsyncTaskExecutor-4 |  | c.c.a.c.s.trust.SessionManager | SSH response: Enter Authentication token:  | 
2019-10-25 04:12:33,472 |   INFO | SimpleAsyncTaskExecutor-4 |  | c.c.a.c.s.trust.SessionManager | Expected success phrase received: Enter Authentication token: | 
2019-10-25 04:12:33,472 |   INFO | SimpleAsyncTaskExecutor-4 |  | c.c.a.c.s.trust.SessionManager | Command sent | 
2019-10-25 04:12:33,472 |   INFO | SimpleAsyncTaskExecutor-4 |  | c.c.a.c.s.trust.SessionManager | Expecting [Start Trust establishment operation. This may take few secs] for success, [] for failure | 
2019-10-25 04:12:33,475 |   INFO | SimpleAsyncTaskExecutor-4 |  | c.c.a.c.s.trust.SessionManager | Expected success phrase received: Start Trust establishment operation. This may take few secs | 
2019-10-25 04:12:33,475 |   INFO | SimpleAsyncTaskExecutor-4 |  | c.c.a.c.s.trust.ISETrustManager | -------------------------------------------------------- | 
2019-10-25 04:12:33,475 |   INFO | SimpleAsyncTaskExecutor-4 |  | c.c.a.c.s.trust.ISETrustManager | Waiting for ISE to complete processing DNAC cert chain... | 
2019-10-25 04:12:33,475 |   INFO | SimpleAsyncTaskExecutor-4 |  | c.c.a.c.s.trust.ISETrustManager | -------------------------------------------------------- | 

 

6. ISE Certificate chain が Validated となり、TRUST 通信確立

- ログファイル: network-design-service

2019-10-25 04:13:14,672 |   INFO | qtp1287934450-9030        |  | c.c.a.c.s.t.ISECertificateManager | Validating certificate chain: -----BEGIN CERTIFICATE-----
MIIFsTCCA5mgAwIBAgIQDhqKHdhNRX6wiuJTx6TTdDANBgkqhkiG9w0BAQsFADA2
(以下、省略)

2019-10-25 04:13:14,686 |   INFO | qtp1287934450-9030        |  | c.c.a.c.s.controller.AAAController | Validated ISE Certificate chain | 
2019-10-25 04:13:14,689 |   INFO | SimpleAsyncTaskExecutor-3 |  | c.c.a.c.s.h.ImportTrustedCertificateMessageHandler | -------------------------------------------------------------------------------- | 
2019-10-25 04:13:14,689 |   INFO | SimpleAsyncTaskExecutor-3 |  | c.c.a.c.s.h.ImportTrustedCertificateMessageHandler | STEP: Requesting pki-broker-service to store the certificate chain in truststore | 
2019-10-25 04:13:14,689 |   INFO | SimpleAsyncTaskExecutor-3 |  | c.c.a.c.s.h.ImportTrustedCertificateMessageHandler | -------------------------------------------------------------------------------- | 
2019-10-25 04:13:14,689 |   INFO | SimpleAsyncTaskExecutor-3 |  | c.c.a.c.s.t.PKITrustStoreManager | pki-broker Certificate endpoint : http://apic-em-pki-broker-service.fusion.svc.cluster.local:16025/certificate-authority/default/trustpool | 
2019-10-25 04:13:14,691 |   INFO | SimpleAsyncTaskExecutor-3 |  | c.c.a.c.s.t.PKITrustStoreManager | Request sent to pki-broker-service for importing trusted certificate | 
2019-10-25 04:13:14,691 |   INFO | SimpleAsyncTaskExecutor-3 |  | c.c.a.c.s.t.PKITrustStoreManager | POST http://apic-em-pki-broker-service.fusion.svc.cluster.local:16025/certificate-authority/default/trustpool HTTP/1.1 | 
2019-10-25 04:13:15,233 |   INFO | SimpleAsyncTaskExecutor-4 |  | c.c.a.c.s.trust.SessionManager | SSH response: Trust establishment completed successfully

 

7. PAN への ERS で node 構成をスキャンし、pxGrid node IP を把握

- ログファイル: network-design-service

2019-10-25 04:13:36,066 |   INFO | SimpleAsyncTaskExecutor-3 |  | c.c.a.c.e.c.CloseableHttpClientUtils | Making an api call: GET https://172.20.0.10:9060/ers/config/node | 
2019-10-25 04:13:36,251 |   INFO | SimpleAsyncTaskExecutor-3 |  | c.c.a.c.service.util.AAARbacIseUtil | Status: 200 | 
2019-10-25 04:13:36,251 |   INFO | SimpleAsyncTaskExecutor-3 |  | c.c.a.c.service.util.AAARbacIseUtil | After get of list of PSNs from PAN | 

(省略)

2019-10-25 04:13:36,414 |   INFO | SimpleAsyncTaskExecutor-3 |  | c.c.a.c.s.trust.CiscoISEPSNManager | PxGrid node found: CiscoISE[lastStatusUpdateTime=Fri Oct 25 04:13:36 UTC 2019,role=PXGRID,sshKey=,subscriberName=dna_lab,trustState=TRUSTED,description=,fqdn=ise1-pod.ciscotac.com,ipAddress=172.20.0.10,password=7Q9r5Dxxxxxxxxxxxxxxxxxxxxx,state=INACTIVE,type=ISE,userName=admin,instanceUuid=be6xxxxx-xxxx-xxxx-xxxxxxxxxxxx,instanceId=0,instanceTenantId=5d8dxxxxxxxxxxxxxxxxxxx,_orderedListOEIndex=<Integer>,_creationOrderIndex=<Integer>,_isBeingChanged=<Boolean>,deployPending=<DeployPendingEnum>,instanceVersion=0] | 

 

8. TRUST 通信確立を、identity-manager-pxgrid-service のログでも確認

- ログファイル: identity-manager-pxgrid-service

2019-10-25 04:13:36,520 |   INFO | SimpleAsyncTaskExecutor-1 |  | c.c.a.i.h.c.CiscoIseTrustMessageHandlerV2 | ISE Event Received: trust.established | 
2019-10-25 04:13:36,520 |   INFO | SimpleAsyncTaskExecutor-1 |  | c.c.a.i.h.c.CiscoIseTrustMessageHandlerV2 | ISE Event payload: CiscoIseNotifcation [ciscoIseUuid=1f9xxxx-xxxx-xxxx-xxxxxxxxxx] | 
2019-10-25 04:13:36,520 |   INFO | SimpleAsyncTaskExecutor-1 |  | c.c.a.i.h.c.CiscoIseTrustMessageHandlerV2 | Received Cisco ISE trust established message | 
2019-10-25 04:13:36,520 |   INFO | SimpleAsyncTaskExecutor-1 |  | c.c.e.i.impl.CiscoIseServiceImplV2 | Connecting with ISE: 1f9xxxx-xxxx-xxxx-xxxxxxxxxx | 

 

9. pxGrid のセットアップを開始

- ログファイル: identity-manager-pxgrid-service

2019-10-25 04:13:36,526 |   INFO | coIseServiceImpl-Worker-2 |  | c.c.e.i.u.PxgridConnectionManagerFactoryV2 | Creating a new PxGridConnection ManagerV2 for aaa server 013xxxx-xxxx-xxxx-xxxxxxxxxx  | 
2019-10-25 04:13:36,564 |   INFO | coIseServiceImpl-Worker-2 |  | c.c.e.i.u.PxgridConnectionManagerFactoryV2 | PxGrid nodes found: [CiscoISE[lastStatusUpdateTime=2019-10-25 04:13:36.417,role=PXGRID,sshKey=,subscriberName=dna_lab,trustState=TRUSTED,description=,.....
(以下、省略)

2019-10-25 04:13:36,566 |   INFO | coIseServiceImpl-Worker-2 |  | c.c.e.i.u.PxgridConnectionManagerV2 | Try connecting to 172.20.0.10 | 
2019-10-25 04:13:36,567 |   INFO | coIseServiceImpl-Worker-2 |  | c.c.e.i.u.PxgridConnectionManagerV2 | getActiveV1Node : V1 primary on 172.20.0.10 | 
2019-10-25 04:13:36,567 |   INFO | coIseServiceImpl-Worker-2 |  | c.c.e.i.u.PxgridConnectionManagerV2 | Establishing connection with ISE 172.20.0.10  | 

 

10. pxGrid の接続を確立し、DNA Center にて ISE の Status が ACTIVE になる
(ユーザ動作: ISE > Administration > pxGrid Services で Pending ステータスの client を Approve)

- ログファイル: identity-manager-pxgrid-service

2019-10-25 04:14:14,724 |   INFO | Grizzly(2)                |  | c.c.e.i.u.PxgridConnectionManagerV2 | PxGridManagerV2: Successfully connected to PxGrid V2, ip 172.20.0.10 and id be60ab4e-8245-46ee-936c-5529ee341a28 | 
2019-10-25 04:14:14,724 |   INFO | Grizzly(2)                |  | c.c.e.i.impl.CiscoIseServiceImplV2 | Updating ISE server state. ID: be6xxxx-xxxx-xxxx-xxxxxxxxxx. New State: ACTIVE | 

 

11. Trustsec のデータを取得

- ログファイル: identity-manager-pxgrid-service

2019-10-25 04:14:14,729 |   INFO | Grizzly(2)                |  | c.c.e.i.h.PxgridV2SecurityGroupConsumer | Subscribe to com.cisco.ise.config.trustsec | 
2019-10-25 04:14:14,730 |   INFO | Grizzly(2)                |  | c.c.e.i.u.PxgridV2RestController | sendRequest:  url https://172.20.0.10:8910/pxgrid/control/ServiceLookup | 
2019-10-25 04:14:14,740 |   INFO | Grizzly(2)                |  | c.c.e.i.u.PxgridV2RestController | Response data received {"services":[{"name":"com.cisco.ise.config.trustsec","nodeName":"ise-admin-ise1-pod","properties":{"wsPubsubService":"com.cisco.ise.pubsub","restBaseUrl":"https://ise1-pod.ciscotac.com:8910/pxgrid/ise/config/trustsec","securityGroupTopic":"/topic/com.cisco.ise.config.trustsec.security.group","securityGroupAclTopic":"/topic/com.cisco.ise.config.trustsec.security.group.acl"}}]} | 

 

12. ERS でステータス把握

- ログファイル: network-design-service

2019-10-25 04:16:45,774 | INFO | pool-4-thread-1 | | c.c.a.c.e.c.CloseableHttpClientUtils | Making an api call: GET https://172.20.0.10:9060/ers/config/node | 
2019-10-25 04:16:45,816 | INFO | pool-4-thread-1 | | c.c.a.c.service.util.AAARbacIseUtil | Status: 200 | 

 

13. Assurance (NDP) 用の pxGrid subscriber (*) の登録
(ユーザ動作: ISE > Administration > pxGrid Services で Pending ステータスの 'xxx_dnac_ndp' client を Approve)

- ログファイル: collector-ise

{"log":"{\"timeMillis\":1571991509711,\"thread\":\"Smack Packet Reader (0)\",\"level\":\"INFO\",\"loggerName\":\"com.cisco.tesseract.collectors.ise.pxgridconnection.ConnectionListener\",\"message\":\"Disconnected from ISE with id: eaaxxxxx-xxxx-xxxx-xxxx-xxxxxxxxx IP: 172.20.0.10\",\"endOfBatch\":false,\"loggerFqcn\":\"org.apache.logging.slf4j.Log4jLogger\",\"threadId\":51646,\"threadPriority\":5}\r\n","stream":"stdout","time":"2019-10-25T08:18:29.712086505Z"}
{"log":"{\"timeMillis\":1571991509712,\"thread\":\"Smack Packet Reader (0)\",\"level\":\"INFO\",\"loggerName\":\"com.cisco.tesseract.collectors.ise.pxgridconnection.ConnectionListener\",\"message\":\"Updated server state to be INACTIVE. IP: 172.20.0.10\",\"endOfBatch\":false,\"loggerFqcn\":\"org.apache.logging.slf4j.Log4jLogger\",\"threadId\":51646,\"threadPriority\":5}\r\n","stream":"stdout","time":"2019-10-25T08:18:29.712101574Z"}

<<Approve を実行>>

{"log":"{\"timeMillis\":1571991562209,\"thread\":\"Smack-Cached Executor 4 (6)\",\"level\":\"INFO\",\"loggerName\":\"com.cisco.tesseract.collectors.ise.pxgridconnection.ConnectionListener\",\"message\":\"Enabled from ISE with id: a3bxxxxx-xxxx-xxxx-xxxx-xxxxxxxxx IP: 172.20.0.10\",\"endOfBatch\":false,\"loggerFqcn\":\"org.apache.logging.slf4j.Log4jLogger\",\"threadId\":51647,\"threadPriority\":5}\r\n","stream":"stdout","time":"2019-10-25T08:19:22.209440468Z"}
{"log":"{\"timeMillis\":1571991562209,\"thread\":\"Smack-Cached Executor 4 
{"log":"{\"timeMillis\":1571991562209,\"thread\":\"Smack-Cached Executor 4 (6)\",\"level\":\"INFO\",\"loggerName\":\"com.cisco.tesseract.collectors.ise.pxgridconnection.ConnectionListener\",\"message\":\"Updated server state to be ACTIVE. id: a3bxxxxx-xxxx-xxxx-xxxx-xxxxxxxxx IP: 172.20.0.10\",\"endOfBatch\":false,\"loggerFqcn\":\"org.apache.logging.slf4j.Log4jLogger\",\"threadId\":51647,\"threadPriority\":5}\r\n","stream":"stdout","time":"2019-10-25T08:19:22.209466861Z"}
{"log":"{\"timeMillis\":1571991562209,\"thread\":\"Smack-Cached Executor 4 (6)\",\"level\":\"INFO\",\"loggerName\":\"com.cisco.tesseract.collectors.ise.pxgridconnection.PxgridConnectionManager\",\"message\":\"configuration received to enable session,securitygroup groups\",\"endOfBatch\":false,\"loggerFqcn\":\"org.apache.logging.slf4j.Log4jLogger\",\"threadId\":51647,\"threadPriority\":5}\r\n","stream":"stdout","time":"2019-10-25T08:19:22.209472476Z"}

(*) DNA Center 1.3 では SessionDirectory および IdentityGroup capability をサポートする Assurance (NDP) 用の pxGrid subscriber が "[ユーザ名定義名]_dnac_ndp" という名前で追加実装されています。詳しくは、以下のドキュメントを参照してください。

DNAC: Assurance 用 pxGrid クライアントの追加実装

 

 

DNA Center GUI 上でインテグレーション Status を確認

DNA Center GUI から、ISE とのインテグレーション Status を確認できます。

AAAserverStatus:

歯車マーク > System Settings > Settings タブ > Authentication and Policy Servers > Status が Active となっているか確認

 

Identity source status:

歯車マーク > System Settings > System 360 タブ > Status が Available となっているか確認

 

 

 

参考ドキュメント

 

• DNAC: DNA Center 調査用ログ取得手順
• DNAC: rca ファイル内のログ分類例
• DNAC: ISE 再インテグレーション
• SD-Access Product Compatibility