Konfiguration von TrustSec SXP zwischen ISE und ASAv
Inhalt
Einführung
In diesem Dokument wird beschrieben, wie eine SXP-Verbindung (Security Group Exchange Protocol) zwischen ISE (Identity Services Engine) und einer ASAv (Virtual Adaptive Security Appliance) konfiguriert wird.
SXP ist das SGT (Security Group Tag) Exchange Protocol, das von TrustSec verwendet wird, um IP-to-SGT-Zuordnungen an TrustSec-Geräte weiterzugeben. SXP wurde entwickelt, um Netzwerken, die Geräte von Drittanbietern oder ältere Cisco Geräte ohne Unterstützung für Inline-Tagging von SGT enthalten, TrustSec-Funktionen zu ermöglichen. SXP ist ein Peering-Protokoll, ein Gerät fungiert als Lautsprecher, das andere als Listener. Der SXP-Lautsprecher ist für das Senden der IP-SGT-Bindungen verantwortlich, und der Listener ist für das Sammeln dieser Bindungen verantwortlich. Die SXP-Verbindung verwendet den TCP-Port 64999 als zugrunde liegendes Transportprotokoll und MD5 für Nachrichtenintegrität/Authentizität.
SXP wurde als IETF-Entwurf unter dem folgenden Link veröffentlicht:
https://datatracker.ietf.org/doc/draft-smith-kandula-sxp/
Voraussetzungen
Anforderungen
TrustSec-Kompatibilitätsmatrix:
http://www.cisco.com/c/en/us/solutions/enterprise-networks/trustsec/solution-overview-listing.html
Verwendete Komponenten
ISE 2.3
ASAv 9.8.1
ASDM 7.8.1.150
Netzwerkdiagramm
IP-Adressen
ISE: 14.36.143.223
ASAv: 14.36.143.30 Uhr
Erstkonfiguration
ISE-Netzwerkgerät
Registrierung der ASA als Netzwerkgerät
WorkCenter > TrustSec > Components > Network Devices > Add
OOB-PAC (Protected Access Credential) erstellen und herunterladen
ASDM AAA-Serverkonfiguration
AAA-Servergruppe erstellen
Configuration > Firewall > Identity by TrustSec > Server Group Setup > Manage..
AAA-Servergruppen > Hinzufügen
- AAA-Servergruppe: <Gruppenname>
- Dynamische Autorisierung aktivieren
Server zur Servergruppe hinzufügen
Server in der ausgewählten Gruppe > Hinzufügen
- Servername oder IP-Adresse: <ISE-IP-Adresse>
- Server-Authentifizierungsport: 1812
- Server-Buchhaltungsport: 1813
- Serverschlüssel: Cisco
- Allgemeines Kennwort: Cisco
PAC aus ISE herunterladen importieren
Konfiguration > Firewall > Identität nach TrustSec > Server Group Setup > PAC importieren..
- Kennwort: Cisco
Daten der Refresh-Umgebung
Konfiguration > Firewall > Identität nach TrustSec > Servergruppeneinrichtung > Umgebungsdaten aktualisieren
Überprüfung
ISE-Live-Protokolle
Betrieb > RADIUS > Live Logs
ISE-Sicherheitsgruppen
Work Center > TrustSec > Components > Security Groups
ASDM PAC
Überwachung > Eigenschaften > Identität nach TrustSec > PAC
ASDM-Umgebungsdaten und Sicherheitsgruppen
Überwachung > Eigenschaften > Identität nach TrustSec > Umgebungsdaten
ASDM SXP-Konfiguration
SXP aktivieren
Konfiguration > Firewall > Identität nach TrustSec > SGT Exchange Protocol (SXP) aktivieren
Standard-SXP-Quell-IP-Adresse und Standard-SXP-Kennwort festlegen
Konfiguration > Firewall > Identität nach TrustSec > Verbindungspersonal
SXP-Peer hinzufügen
Konfiguration > Firewall > Identity by TrustSec > Connection Peers > Add
- Peer-IP-Adresse: <ISE-IP-Adresse>
ISE SXP-Konfiguration
Globale SXP-Kennworteinstellung
WorkCenter > TrustSec > Einstellungen > SXP-Einstellungen
- Globales Kennwort: Cisco
SXP-Gerät hinzufügen
WorkCenter > TrustSec > SXP > SXP Devices > Add
SXP-Verifizierung
ISE SXP-Verifizierung
WorkCenter > TrustSec > SXP > SXP Devices
ISE-SXP-Zuordnungen
WorkCenter > TrustSec > SXP > Alle SXP-Zuordnungen
ASDM SXP-Verifizierung
Überwachung > Eigenschaften > Identität nach TrustSec > SXP-Verbindungen
ASDM hat SXP-IP-zu-SGT-Zuordnungen gelernt
Überwachung > Eigenschaften > Identität nach TrustSec > IP-Zuordnungen
Paketerfassung für ISE
Revisionsverlauf
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
1.0 |
13-Oct-2017 |
Erstveröffentlichung |
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)