- Introdução
- Descrição do Problema
- Troubleshooting
- Passo 1 - Verificar o status das aplicações
- Passo 2 - Pare e Inicie a Aplicação ISE
- Causa Raiz
- Resolução
- Conclusão
Introdução
Este documento tem como objetivo demonstrar um bug que ocorre na versão 3.1.0.518 do Cisco ISE.
Este problema foi descoberto durante a virtualização do Cisco ISE em ambiente de laboratório, porém o mesmo também ocorrer em um ambiente de produção, seja com o ISE virtualizado ou em um appliance físico.
Descrição do Problema
Após iniciar o Cisco ISE e tentar fazer login na página web, recebe-se a mensagem que não era possível acessar o site, um erro comum quando não há conectividade para uma página web.
Troubleshooting
Para entender o que está causando este problema, alguns passos devem ser tomados, até conseguir diagnosticar a causa raiz, e caso com o troubleshooting e pesquisas sobre o problema não consiga encontrar a solução, o TAC deve ser engajado.
Passo 1 - Verificar o status das aplicações
Acesse a CLI do Cisco ISE e execute o comando show application status ise. Com este comando, é possível verificar o status das aplicações.
Este é um troubleshooting inicial quando temos qualquer tipo de interrupção de serviço no Cisco ISE. Talvez, por conta de uma aplicação, um serviço pode estar apresentando algum tipo de problema.
No resultado é possível observar que as aplicações estão como running, disabled, ou not running. As que estão como not running, são aquelas que estão instaladas porém por alguma razão não iniciaram.
Umas das principais aplicações para ter acesso a GUI, é o Application Server, e esta está em perfeito funcionamento,
Porém duas aplicações, ISE API Gateway Database Service e ISE API Gateway Service não estão em execução. Essas aplicações foram introduzidas a partir da versão 3.1, para a integração de APIs e qualquer tipo de serviço que utilize as portas 443 dependem que o API gateway estejam funcionando, visto que todos os comandos enviados via API para o Cisco ISE é através da porta 443. Mais informações em: https://developer.cisco.com/docs/identity-services-engine/latest/#!cisco-ise-api-framework/cisco-ise-api-gateway
Passo 2 - Pare e Inicie a Aplicação ISE
Um outro passo a ser tomado quando um processo que não está em execução após o início da plataforma, porém deveria, é fazer a parada (stop) e iniciar (start) a aplicação. Algumas vezes simplesmente com esses comandos, a aplicação volta ao funcionamento normal.
Nota: Este tipo de ação causará disrupção do serviço em um ambiente de produção, então sempre importante que haja alinhamento prévio dentro da companhia, e de preferência que a atividade seja executada fora do horário comercial.
- Execute o comando application stop ise. Este comando fará com que todos os serviços sejam desabilitados, até executar o próximo comando, start.
- Execute o comando application start ise. Este comando iniciará todos os serviços instalados.
Mesmo após o reinicio das aplicações, a interface GUI continua inacessível e os processos ISE API Gateway Database Service e ISE API Gateway Service no status de not running.
Nota: Para validar, tente acessar a GUI ou executar o comando show application status ise.
Causa Raiz
Após as ações tomadas, foi possível identificar que a interface GUI continua inacessível, devido a um bug que ocorre na versão 3.1, sem patch ou com patch 1.
Este bug é o CSCwa08018, e é causado quando o protocolo IPv6 é desabilitado na CLI no modo de configuração global.
Resolução
Como resolução para este problema, basta reativar a configuração do protocolo IPv6 na CLI no modo de configuração global.
Aplique os comandos, configure terminal e ipv6 enable. Ao ser questionado se está certo de proceder, marque a letra Y e pressione <Enter>.
Observe que ao aplicar o comando ipv6 enable, ele será ativado tanto no modo global, quanto dentro da configuração da interface.
Nota: é possível verificar a configuração através do comando show running-config. Abaixo, parte da configuração do appliance.
Após habilitar o protocolo IPv6, execute o comando application start ise, e os serviços/aplicações que estão em not running serão iniciados, e o acesso a GUI reestabelecido.
Com a resolução demonstrada acima, é possível reestabelecer o acesso a interface GUI, porém o bug continua presente, visto que não existe nenhum patch instalado.
Caso seja realmente necessário desativar o protocolo IPv6, deve ser seguido a orientação de correção descrita no bug, que é instalar a versão de Patch 2 ou 3, ou então atualizar o ISE para a versão 3.2. Para este caso, o traria um menor impacto e menor tempo de interrupção, seria a instalação do patch.
Conclusão
Observe que com o acesso restaurado, agora é possível continuar a administração do ambiente Cisco ISE.
E caso os passos tomados acima, não resolvam o problema, é sempre recomendável que o Cisco TAC seja engajado, para uma análise mais aprofundada e entendimento do problema.
Espero que tenham aproveitado a leitura, e os ajude.
Jonas Resende.
