In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument wird die Konfiguration und das Verständnis der SXP-Verbindung (Security Group Exchange Protocol) zwischen ISE und Catalyst 9300-Switch beschrieben.
SXP ist das von TrustSec verwendete SGT (Security Group Tag)-Austauschprotokoll, mit dem IP-zu-SGT-Zuordnungen an TrustSec-Geräte weitergegeben werden.
SXP wurde entwickelt, damit Netzwerke wie Drittanbietergeräte oder ältere Cisco Geräte, die kein SGT-Inline-Tagging unterstützen, über TrustSec-Funktionen verfügen.
SXP ist ein Peering-Protokoll, bei dem ein Gerät als Lautsprecher und das andere als Listener fungieren kann.
Der SXP-Sprecher ist für das Senden der IP-SGT-Bindungen verantwortlich, und der Listener ist für das Sammeln dieser Bindungen verantwortlich.
Die SXP-Verbindung verwendet den TCP-Port 64999 als zugrunde liegendes Transportprotokoll und MD5 für die Integrität/Authentizität der Nachricht.
Cisco empfiehlt, dass Sie mit der Konfiguration des SXP-Protokolls und der Identity Services Engine (ISE) vertraut sind.
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Der PC wird mit C9300A authentifiziert, und die ISE weist SGT dynamisch über Richtliniensätze zu.
Wenn die Authentifizierung erfolgreich war, werden Bindungen mit einer IP erstellt, die dem RADIUS-Attribut der Framed-IP-Adresse und dem in der Richtlinie konfigurierten SGT entspricht.
Die Bindungen werden in "Alle SXP-Bindungen" unter der Standarddomäne propagiert.
Der C9300B empfängt die SXP-Zuordnungsinformationen von der ISE über das SXP-Protokoll.
Konfigurieren Sie den Switch als SXP-Listener, um die IP-SGT-Zuordnungen von der ISE abzurufen.
cts sxp enable |
Navigieren Sie zu Administration > System > Deployment > Edit the node, und wählen Sie unter Policy Service die Option Enable SXP Service aus.
Um den SXP-Listener und -Lautsprecher für die entsprechenden Switches zu konfigurieren, navigieren Sie zu Workcenters > TrustSec > SXP > SXP Devices.
Fügen Sie den Switch mit der Peer-Rolle als Listener hinzu, und weisen Sie ihn der Standarddomäne zu.
Stellen Sie sicher, dass die Option "Add radius mappings into SXP IP SGT mapping table" aktiviert ist, damit die ISE dynamische IP-SGT-Zuordnungen über Radius-Authentifizierungen erlernt.
C9300B#show cts sxp verbindungen vrf mgmt-vrf
0x7F128DF555E0 VRF:Mgmt-vrf, fd: 1, Peer-IP: 10.127.197.53 |
Vergewissern Sie sich, dass der SXP-Status für den Switch unter Workcenters > TrustSec > SXP > SXP Devices (Workcenter > TrustSec > SXP > SXP-Geräte) ON lautet.
Vergewissern Sie sich, dass die ISE nach der erfolgreichen Authentifizierung das RADIUS-Attribut für die Framed-IP-Adresse vom Radius-Accounting-Paket erhalten hat.
Navigieren Sie zu Workcenters > TrustSec > SXP > All SXP Mappings, um die dynamisch abgefragten IP-SGT-Zuordnungen aus der Radius-Sitzung anzuzeigen.
Gelernt von
Lokal - Statisch zugewiesene IP-SGT-Bindungen auf der ISE.
Sitzung - Dynamisch empfangene IP-SGT-Bindungen aus einer Radius-Sitzung.
Hinweis: Die ISE kann IP-SGT-Bindungen von einem anderen Gerät empfangen. Diese Bindungen können als Gelernt von SXP unter Alle SXP-Zuordnungen angezeigt werden.
Der Switch hat IP-SGT-Zuordnungen über das SXP-Protokoll von der ISE erhalten.
C9300B#show cts sxp sgt-map vrf mgmt-vrf brief C9300B#show cts, rollenbasiertes SGT-Map-VRF, Mgmt-VRF, alle IP-Adresse SGT-Quelle Zusammenfassung der aktiven IP-SGT-Bindungen |
In diesem Abschnitt finden Sie Informationen zur Behebung von Fehlern in Ihrer Konfiguration.
Die ISE ermöglicht auch das Generieren von SXP-Bindungs- und Verbindungsberichten, wie in diesem Bild gezeigt.
Sammeln Sie das ISE-Supportpaket mit den folgenden Attributen, die auf Debugebene festgelegt werden sollen:
Wenn ein Benutzer vom ISE-Server authentifiziert wird, weist die ISE dem Accept Response-Paket einen SGT zu. Sobald der Benutzer die IP-Adresse erhält, sendet der Switch die Frame-IP-Adresse im Radius-Accounting-Paket.
show logging-Anwendung localStore/iseLocalStore.log:
2024-07-18 09:55:55.051 +05:30 000017592 3002 HINWEIS Radius-Accounting: RADIUS Accounting watchdog update, ConfigVersionId=129, Geräte-IP-Adresse=10.197.213.22, UserName=cisco, NetworkDeviceName=pk, User-Name=cisco, NAS-IP-Adresse=10.197.213.22, NAS-Port=50124, Framed-IP-Adresse=10.197.2 13.23, Class=CACS:16D5C50A00000017C425E3C6:pk3-1a/510648097/25, Called-Station-ID=C4-B2-39-ED-AB-18, Calling-Station-ID=B4-96-91-F9 -56-8B, Acct-Status-Type=Interim-Update, Acct-Delay-Time=0, Acct-Input-Octets=413, Acct-Output-Octets=0, Acct-Session-Id=00000007, Acct-Authentic=Remote, Acct-Input-Packets=4, Acct-Output-Packets=0, Event-Timestamp=1721277745, NAS-Port-Type=Ethernet, NAS-Port-Id=TenGigabitEthernet1/0/24, cisco-av-pair=audit-session-id=16D5C50A00000017C425E3C6, cisco-av-pair=method=dot1x, cisco-av-pair=cts:security-group-tag=0 0005-00, AcsSessionID=pk3-1a/510648097/28, SelectedAccessService=Default Network Access, RequestLatency=6, Step=11004, Step=11017, Step=15049, Step=15008, Step=22085, NetworkDeviceGroups=IPSEC#Is IPSEC Device#No, NetworkDeviceGroups=Location#All Locations , NetworkDeviceGroups=Gerätetyp#Alle Gerätetypen, CPMSessionID=16D5C50A1100500000017 C425E3C6, TotalAuthenticationLatency=6, ClientLatency=0, Network Device Profile=Cisco, Location=Location#Alle Standorte, Gerätetyp=Gerätetyp#Alle Gerätetypen, IPSEC=IPSEC#Is IPSEC Device#No und |
show logging application ise-psc.log:
|
Der SXP-Knoten speichert die IP + SGT-Zuordnung in seiner H2DB-Tabelle und der spätere PAN-Knoten sammelt diese IP SGT-Zuordnung und spiegelt sie in Alle SXP-Zuordnungen in der ISE-GUI wider (Workcenter ->TrustSec -> SXP->Alle SXP-Zuordnungen).
show logging-Anwendung sxp_appserver/sxp.log:
2024-07-18 10:01:01,312 INFO [sxpservice-http-96441] cisco.ise.sxp.rest.SxpGlueRestAPI:147 - SXP-PEERF Hinzufügen von Sitzungsbindungen Batchgröße: 1 2024-07-18 10:01:01,344 DEBUG [SxpNotificationSerializer-Thread] cisco.cpm.sxp.engine.SxpEngine:1543 - [VPN: 'default'] Neue Bindung hinzufügen: MasterBindingIdentity [ip p=10.197.213.23/32, peerSequence=10.127.197.53,10.197.213.22, tag=5, isLocal=true, sessionId=16D5C50A00000017C425E3C6, vn=STANDARD_VN] |
Der SXP-Knoten aktualisiert den Peer-Switch mit den neuesten IP-SGT-Bindungen.
2024-07-18 10:01:01,346 DEBUG [pool-7-thread-4] opendaylight.sxp.core.service.UpdateExportTask:93 - SXP_PERF:SEND_UPDATE_BUFFER_SIZE=32 |
Debuggen auf Switch
Aktivieren Sie diese Fehlerbehebungen auf dem Switch, um SXP-Verbindungen und -Updates zu beheben.
debug cts sxp conn
debug cts sxp error
debug cts sxp mdb
debug cts sxp nachricht
Switch hat die SGT-IP-Zuordnungen vom SXP-Lautsprecher "ISE" erhalten.
Aktivieren Sie Protokoll anzeigen, um diese Protokolle anzuzeigen:
18.07.04:23:04.324: CTS-SXP-INTNL:mdb_send_msg mdb_process_add_ipsgt_devid Start |
Zugehörige Informationen
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
24-Jul-2024 |
Erstveröffentlichung |