المقدمة
يصف هذا وثيقة كيف أن يشكل وفهم الأمنية مجموعة تبادل بروتوكول (SXP) توصيل بين ISE ومادة حفازة 9300 مفتاح.
معلومات أساسية
SXP هو بروتوكول تبادل SGT (علامة مجموعة الأمان) الذي يستخدمه TrustSec لنشر تعيينات IP إلى SGT لأجهزة TrustSec.
تم تطوير SXP للسماح للشبكات بما في ذلك أجهزة الطرف الثالث أو أجهزة Cisco القديمة التي لا تدعم وضع علامات في السطر للرقيب بأن يكون لها إمكانيات TrustSec.
إن SXP هو بروتوكول للتجميع في حزم، حيث يمكن أن يعمل أحد الأجهزة كمكبر صوت بينما يعمل الآخر كمصغي.
مكبر صوت SXP مسؤول عن إرسال روابط IP-SGT ويكون المستمع مسؤولا عن تجميع هذه الروابط.
يستخدم اتصال SXP منفذ TCP 64999 كبروتوكول النقل الأساسي و MD5 لسلامة/أصالة الرسائل.
المتطلبات الأساسية
المتطلبات
cisco يوصي أن يتلقى أنت معرفة من ال SXP بروتوكول و Identity Services Engine (ISE) تشكيل.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- المحول Cisco Catalyst 9300 switch ببرنامج Cisco IOS® XE 17.6.5 والإصدارات الأحدث
Cisco ISE، الإصدار 3.1 والإصدارات الأحدث
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
التكوين
الرسم التخطيطي للشبكة
تدفق حركة المرور
يصادق الكمبيوتر مع الطراز C9300a ويعين معيار ISE الرقيب بشكل ديناميكي من خلال مجموعات السياسات.
عند تمرير المصادقة، يتم إنشاء الروابط باستخدام IP يساوي سمة RADIUS لعنوان Framed-IP والرقيب كما تم تكوينه في السياسة.
قاعدة الربط في "كافة روابط SXP" ضمن المجال الافتراضي.
يتلقى C9300B معلومات تعيين SXP من ISE من خلال بروتوكول SXP.
تكوين المحول
قم بتكوين المحول كمستمع SXP للحصول على تعيينات IP-SGT من ISE.
تمكين CTS sxp كلمة المرور الافتراضية cts sxp من Cisco cts sxp default source-ip 10.127.213.27 نظير اتصال CTS sxp 10.127.197.53 كلمة مرور الوضع الافتراضي لمكبر صوت النظير وقت الانتظار 0 vrf Mgmt-vrf |
تكوين ISE
الخطوة 1. تمكين خدمة SXP على ISE
انتقل إلى إدارة > نظام > نشر > تحرير العقدة، وحدد تحت خدمة السياسة تمكين خدمة SXP.
الخطوة 2. إضافة أجهزة SXP
لتكوين وحدة إصغاء ومكبر صوت SXP للمحولات المقابلة، انتقل إلى مراكز العمل > TrustSec > SXP > أجهزة SXP.
إضافة المحول مع دور النظير كمستمع وتعيينه إلى المجال الافتراضي.
الخطوة 3. إعدادات SXP
تأكد من التحقق من إضافة تعيينات نصف القطر في جدول تخطيط SXP IP الخاص برقيب IP، حتى يتعلم ISE تعيينات IP-SGT الديناميكية من خلال مصادقة RADIUS.
التحقق من الصحة
الخطوة 1. اتصال SXP على المحول
C9300B#show cts sxp connections vrf mgmt-vrf SXP: ممكن أعلى إصدار مدعوم: 4 كلمة السر الافتراضية : مجموعة سلسلة المفاتيح الافتراضية: لم يتم تعيينها اسم سلسلة المفاتيح الافتراضي: غير قابل للتطبيق المصدر الافتراضي ل IP: 10.127.213.27 الفترة المفتوحة لإعادة محاولة الاتصال: 120 ثانية فترة التسوية: 120 ثانية إعادة محاولة فتح المؤقت غير قيد التشغيل حد إجتياز تسلسل النظير للتصدير: لم يتم تعيينه حد إجتياز تسلسل النظير للاستيراد: لم يتم تعيينه — بروتوكول الإنترنت النظير: 10.127.197.53 المصدر IP: 10.127.213.27 حالة المخروط: تشغيل مخروط الإصدار : 4 إمكانية الاتصال: شبكة IPv4-IPv6-فرعية وقت الانتظار في CONN: 120 ثانية الوضع المحلي: مستمع SXP رقم الاتصال: 1 توافق TCP مع FD : 1 كلمة مرور توافق TCP: كلمة مرور SXP الافتراضية مؤقت الاحتجاز قيد التشغيل المدة منذ آخر تغيير للحالة: 0:00:23:36 (dd:hr:mm:sec) إجمالي num إتصالات SXP = 1 0x7F128DF555E0 VRF:Mgmt-vrf، fd: 1، Peer IP: 10.127.197.53 cdbp:0x7F128DF555E0 MGMT-VRF <10.127.197.53 و 10.127.213.27> tableid:0x1 |
الخطوة 2. التحقق من ISE SXP
بالطبع حالة SXP قيد التشغيل للمحول ضمن مراكز العمل > TrustSec > SXP > أجهزة SXP.
الخطوة 3. محاسبة RADIUS
تأكد من أن ISE استلم سمة RADIUS لعنوان Framed-IP من حزمة محاسبة RADIUS بعد المصادقة الناجحة.
الخطوة 4. تعيينات ISE SXP
انتقل إلى مراكز العمل > TrustSec > SXP > جميع تعيينات SXP لعرض تعيينات IP-SGT التي تم التعرف عليها ديناميكيا من جلسة عمل RADIUS.
تم التعلم من قبل
محلي - روابط برقبي IP-Sgt معينة بشكل ثابت على ISE.
جلسة العمل - روابط IP-SGT التي تم التعرف عليها ديناميكيا من جلسة RADIUS.
ملاحظة: يتمتع ISE بالقدرة على تلقي روابط IP-Sgt من جهاز آخر. يمكن عرض هذه الروابط كما تم التعرف عليها من قبل SXP ضمن جميع تعيينات SXP.
الخطوة 5. تعيينات SXP على المحول
تعرف المحول على تعيينات IP-SGT من ISE من خلال بروتوكول SXP.
ملخص C9300B#show cts sxp sgt-map vrf mgmt-vrf معرف عقدة SXP(تم إنشاؤه):0x030303(3.3.3.3) عمليات تعيين رقيب بروتوكول الإنترنت (IP) كما يلي: بروتوكول IPv4، الرقيب: <2.2.2، 9> بروتوكول IPv4، الرقيب: <10.197.213.23 و 5> إجمالي عدد تعيينات IP-SGT: 2 تابع في sxp_bnd_exp_conn_list (total:0): C9300B# C9300B#show cts القائم على الأدوار الرقيب-map vrf mgmt-vrf all معلومات الربط النشط عبر الإصدار الرابع من بروتوكول الإنترنت (IP) مع الرقيب مصدر رقيب عنوان IP =============================================== 2.2.2.2 9 SXP 10٫197٫213٫23 5 SXP ملخص الروابط النشطة لرقيب IP =============================================== إجمالي عدد روابط SXP = 2 العدد الإجمالي للروابط النشطة = 2 |
استكشاف الأخطاء وإصلاحها
يوفر هذا القسم معلومات يمكنك استخدامها لاستكشاف أخطاء التكوين وإصلاحها.
تقرير ISE
يسمح ISE أيضا بإنشاء ربط SXP وتقارير الاتصال، كما هو موضح في هذه الصورة.
تصحيح الأخطاء على ISE
تجمع حزمة دعم ISE مع هذه الأجهزة التي سيتم تعيينها على مستوى تصحيح الأخطاء:
- sxp
- sgtbinding
- إن إس إف
- NSF-جلسة
- الثقة
عندما تتم مصادقة المستخدم من خادم ISE، يقوم ISE بتعيين مساعد رقمي في حزمة إستجابة قبول الوصول. بمجرد حصول المستخدم على عنوان IP، يرسل المحول عنوان IP المؤطر في حزمة محاسبة RADIUS.
show logging application localStore/iseLocalStore.log:
2024-07-18 09:55.051 +05:30 000017592إشعار Radius-Accounting: تحديث مراقبة حسابات RADIUS، ConfigVersionId=129، عنوان IP للجهاز=10.197.213.22، UserName=Cisco، NetworkDeviceName=pk، User-Name=Cisco، NAS-IP عنوان=10.197.213.22، NAS-Port=50124، Framed-IP-address=10.197.213.23، فئة=CACS:16d5C50a0000017c425e3c6:pk3-1a/510648097/25، تسمى-station id=c4-b2-39-ed-ab-18، call-station-id=b4-96-91-f9-56-8b، acct-status-type=interim-update، acct-delay-time=0، acct-input-octets=413، acct-output-octets=0، acct-session-id=000007، acct-authentic=remote، acct-input-packet=4،-output-packet=0، event-timestamp=172127745، NAS-Port-type=Ethernet، NAS-Port-ID=TenGigabitEthernet1/0/24، cisco-av-pair=audit-session-id=16D5C50A000017C425E3C6، cisco-av-pair=method=dot1x، cisco-av-pair=cts:security-group=0 005-00، AcsSessionID=pk3-1a/510648097/28، SelectAccessService=Default Network Access، RequestLatency=6، Step=11004، Step=11017، step=15049، step=15008، step=22085، step=11005، networkDevice Groups=IPSec#IPISsec device#no، NetworkDeviceGroups=location#all sites، NetworkDeviceGroups=Device Type#All Device Types، CPMSessionID=16D5C50A000017C425E3C6، TotalAuthenLatency=6، ClientLatency=0، ملف تعريف جهاز الشبكة=Cisco، الموقع=الموقع#All Sites، نوع الجهاز=Device#All Device Types، IPSEC=IPSEC sec#is جهاز IPSec#no، |
show logging application ise-psc.log:
2024-07-18 09:55:55،054 تصحيح الأخطاء [SxpSessionNotifierThread][] ise.sxp.sessionBinding.util.SxpBindingUtil -::-: تسجيل قيم الجلسة المستلمة من PrrtCpmBridge : نوع العملية ==>ADD، sessionId ==> 16D5C50A0000017C425E3C6، sessionState ==> مقبول، inputIp ==> 10.197.213.23، inputSgTag ==> 0005-00، nasIp => 10.197.213.22null، vn = = = null> |
تقوم عقدة SXP بتخزين تعيين IP + SGT في جدول H2DB الخاص بها وعقدة PAN الأحدث بتجميع تعيين IP SGT هذا وعكس ذلك في جميع تعيينات SXP في واجهة المستخدم الرسومية (GUI) لنظام التشغيل (مراكز العمل ->TrustSec -> SXP->جميع تعيينات SXP).
show logging application sxp_appserver/sxp.log:
2024-07-18 10:01:01،312 معلومات [sxpservice-http-96441] cisco.ise.sxp.rest.sxpGlueRestAPI:147 - SXP-PEERF إضافة ربط الجلسات حجم الدفعة: 1 2024-07-18 10:01:01،317 تصحيح الأخطاء [SxpNotificationSerializer-Thread] cpm.sxp.engine.services.NotificationSerializerImpl:202 - معالجة مهمة [add=true، إعلام=RestSxpLocalBinding(tag=5، groupName=null، ipAddress=10.197.213.23/32، nasIp=10.197.213.2، sessionId=16D5C 0A000017C425E3C6، peerSequence=null، sxpBindingOpType=null، sessionExpiryTimeInMillis=0، apic=false، routable=true، vns=[])] 2024-07-18 10:01:01،344 تصحيح الأخطاء [SxpNotificationSerializer-Thread] cisco.cpm.sxp.engine.sxpEngine:1543 - [VPN: 'default'] إضافة ربط جديد: MasterBindingIdentity [ip=10.197.213.23/32، peerSequence=10.127.53،10.197.213.2،5 علامة0 ، isLocal=true، sessionId=16D5C50A000017C425E3C6، vn=DEFAULT_VN] 2024-07-18 10:01:01،344 تصحيح الأخطاء [SxpNotificationSerializer-Thread] Cisco.cpm.sxp.engine.SxpEngine:1581 - إضافة 1 ربط (روابط) 2024-07-18 10:01:01،344 تصحيح الأخطاء [SxpNotificationSerializer-Thread] cisco.cpm.sxp.engine.MasterDbListener:251 - إرسال المهمة إلى معالج H2 لإضافة روابط، عدد الروابط: 1 2024-07-18 10:01:01،344 تصحيح الأخطاء [H2_HANDLER] cisco.cpm.sxp.engine.MasterDbListener:256 - معالجة MasterDbListener عند المضاف - روابطCount: 1 |
تقوم عقدة SXP بتحديث محول النظير باستخدام أحدث روابط IP-SGT.
2024-07-18 10:01:01،346 تصحيح الأخطاء [pool-7-thread-4] opendaylight.sxp.core.service.updateExportTask:93 - sxp_perf:Send_update_buffer_size=32 2024-07-18 10:01:01،346 تصحيح الأخطاء [pool-7-thread-4] openDaylight.sxp.core.service.UpdateExportTask:116 - Send_Update إلى [ISE:10.127.197.53][10.127.197.53:64999/10.127.213.27:31025] [o|SV4] 2024-07-18 10:01:01،346 تصحيح الأخطاء [pool-7-thread-4] openDaylight.sxp.core.service.UpdateExportTask:137 - Sent_Update بنجاح إلى [ISE:10.127.197.53][10.127.197.53:64999/10.127.213.27:31025][O|SV4] |
تصحيح الأخطاء على المحول
قم بتمكين عمليات تصحيح الأخطاء هذه على المحول لاستكشاف أخطاء إتصالات SXP والتحديثات وإصلاحها.
debug cts sxp conn
خطأ debug cts sxp
debug cts sxp mdb
debug cts sxp message
تلقت Swicth تعيينات Sgt-IP من مكبر صوت SXP "ISE".
تحقق من show logging لعرض هذه السجلات:
Jul 18 04:23:04.324: CTS-SXP-MSG:sxp_recv_update_v4 <1> عنوان IP النظير: 10.127.197.53 يوليو 1804:23:04.324: CTS-SXP-MDB:IMU إضافة ربط:- <conn_index = 1> من النظير 10.127.197.53 يوليو 1804:23:04.324: CTS-SXP-MDB:mdb_send_msg <IMU_Add_IPSGT_DEVID> بداية يوليو 1804:23:04.324: CTS-SXP-INTL:mdb_send_msg mdb_process_add_ipsgt_devid يوليو 1804:23:04.324: CTS-SXP-MDB:sxp_mdb_inform_rbm tableid:0x1 sense:1 sgt:5 peer:10.127.197.53 يوليو 1804:23:04.324: CTS-SXP-MDB:SXP MDB: إدخال مضاف ip 10.197.213.23 الرقيب 0x005 يوليو 1804:23:04.324: CTS-SXP-INTNL:mdb_send_msg mdb_process_add_ipsgt_devid تم |
معلومات ذات صلة
تجزئة دليل مسؤول ISE 3.1
نظرة عامة على دليل تكوين Catalyst TRUSTsec