تكوين TrustSec SXP بين ISE و ASAv

المقدمة

يوضح هذا المستند كيفية تكوين اتصال SXP (بروتوكول تبادل مجموعة الأمان) بين ISE (Identity Services Engine) و ASAv (جهاز الأمان القابل للتكيف الظاهري).

SXP هو بروتوكول تبادل SGT (علامة مجموعة الأمان) الذي يستخدمه TrustSec لنشر تعيينات IP إلى SGT لأجهزة TrustSec. تم تطوير SXP للسماح للشبكات بما في ذلك أجهزة الطرف الثالث أو أجهزة Cisco القديمة التي لا تدعم وضع علامات في السطر للرقيب بأن يكون لها إمكانيات TrustSec. SXP هو بروتوكول تجميع الشاشة، حيث يعمل جهاز واحد كمكبر صوت بينما يعمل الآخر كمصغي. يكون مكبر صوت SXP مسؤولا عن إرسال روابط IP-SGT ويكون المستمع مسؤولا عن تجميع هذه الروابط. يستخدم اتصال SXP منفذ TCP 64999 كبروتوكول النقل الأساسي و MD5 لسلامة/أصالة الرسائل.

تم نشر SXP كمسودة IETF عند الارتباط التالي:

https://datatracker.ietf.org/doc/draft-smith-kandula-sxp/

المتطلبات الأساسية

المتطلبات

مصفوفة توافق TrustSec:

http://www.cisco.com/c/en/us/solutions/enterprise-networks/trustsec/solution-overview-listing.html

المكونات المستخدمة

ISE 2.3

ASAv 9.8.1

ASDM 7.8.1.150

الرسم التخطيطي للشبكة

 عناوين IP

ISE: 14.36.143.223

ASAv: 14.36.143.30

التهيئة الأولية

جهاز شبكة ISE

تسجيل ASA كجهاز شبكة

مراكز العمل > TrutSec > المكونات > أجهزة الشبكة > إضافة

إنشاء مسوغ وصول محمي خارج النطاق (OOB) وتنزيله

تكوين خادم ASDM AAA

إنشاء مجموعة خوادم AAA

التكوين > جدار الحماية > Identity by TrustSec > إعداد مجموعة الخوادم > إدارة...

مجموعات خوادم AAA > إضافة

• مجموعة خوادم AAA: <اسم المجموعة>
• تمكين التفويض الديناميكي

إضافة خادم إلى مجموعة الخوادم

الخوادم في المجموعة المحددة > إضافة

• اسم الخادم أو عنوان IP: <ISE IP address>
• منفذ مصادقة الخادم: 1812
• منفذ محاسبة الخادم: 1813
• مفتاح سر الخادم: Cisco0123
• كلمة المرور العامة: Cisco0123

إستيراد PAC الذي تم تنزيله من ISE

التكوين > جدار الحماية > Identity by TrustSec > إعداد مجموعة الخوادم > إستيراد PAC...

• كلمة المرور: Cisco0123

تحديث بيانات البيئة

التكوين > جدار الحماية > Identity by TrustSec > إعداد مجموعة الخوادم > تحديث بيانات البيئة

التحقق

سجلات ISE المباشرة

العمليات > RADIUS > السجلات المباشرة

مجموعات أمان ISE

مراكز العمل > TrustSec > المكونات > مجموعات الأمان

ASDM PAC

مراقبة > خصائص > تعريف بواسطة TrustSec > PAC

مجموعات البيانات والأمان البيئية ل ASDM

مراقبة > خصائص > تعريف بواسطة TrustSec > بيانات البيئة

تكوين ASDM SXP

تمكين SXP

التكوين > جدار الحماية > Identity by TrustSec > تمكين بروتوكول تبادل الرقيب (SXP)

تعيين عنوان IP لمصدر SXP الافتراضي وكلمة مرور SXP الافتراضية

التكوين > جدار الحماية > الهوية بواسطة TrustSec > نظائر الاتصال

إضافة نظير SXP

التكوين > جدار الحماية > الهوية بواسطة TrustSec > نظراء الاتصال > إضافة

• عنوان IP للنظير: <عنوان ISE IP>

تكوين ISE SXP

إعداد كلمة مرور SXP العمومي

مراكز العمل > TrustSec > إعدادات > إعدادات SXP

• كلمة المرور العالمية: Cisco0123

إضافة جهاز SXP

مراكز العمل > TrustSec > SXP > أجهزة SXP > إضافة

التحقق من SXP

التحقق من ISE SXP

مراكز العمل > TrustSec > SXP > أجهزة SXP

تعيينات ISE SXP

مراكز العمل > TrustSec > SXP > جميع تعيينات SXP

التحقق من ASDM SXP

مراقبة > خصائص > تعريف بواسطة TrustSec > إتصالات SXP

قام ASDM بتعلم SXP IP لتعيين الرقيب

مراقبة > خصائص > تعريف بواسطة TrustSec > تعيينات IP

التقاط الحزمة المأخوذ على ISE