El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo configurar y comprender la conexión del protocolo de intercambio de grupos de seguridad (SXP) entre ISE y el switch Catalyst 9300.
SXP es el protocolo de intercambio SGT (Security Group Tag) utilizado por TrustSec para propagar las asignaciones de IP a SGT a los dispositivos TrustSec.
SXP se ha desarrollado para permitir que las redes, incluidos los dispositivos de terceros o los dispositivos antiguos de Cisco que no admiten el etiquetado en línea SGT, tengan funciones TrustSec.
SXP es un protocolo de iguales; un dispositivo puede actuar como altavoz y el otro como receptor.
El altavoz SXP es responsable de enviar los enlaces IP-SGT y el receptor es responsable de recopilar estos enlaces.
La conexión SXP utiliza el puerto TCP 64999 como protocolo de transporte subyacente y MD5 para la integridad/autenticidad del mensaje.
Cisco recomienda conocer la configuración del protocolo SXP e Identity Services Engine (ISE).
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
El PC se autentica con C9300A e ISE asigna SGT de forma dinámica a través de conjuntos de políticas.
Una vez que ha pasado la autenticación, se crean enlaces con una IP igual al atributo RADIUS de la dirección IP entramada y SGT, tal como se configura en la política.
Los enlaces se propagan en "Todos los enlaces SXP" bajo el dominio predeterminado.
C9300B recibe la información de asignación de SXP de ISE a través del protocolo SXP.
Configure el switch como un receptor SXP para obtener las asignaciones IP-SGT de ISE.
cts sxp enable |
Vaya a Administration > System > Deployment > Edit the node y en Policy Service seleccione Enable SXP Service.
Para configurar el receptor y el altavoz SXP para los switches correspondientes, navegue hasta Workcenters > Trustsec > SXP > SXP Devices.
Agregue el switch con el rol de peer como Listener y asígnelo al dominio predeterminado.
Asegúrese de que Agregar asignaciones de radio a la tabla de asignación SXP IP SGT esté marcada, de modo que ISE aprenda las asignaciones IP-SGT dinámicas a través de las autenticaciones Radius.
C9300B#show cts sxp connections vrf Mgmt-vrf
0x7F128DF555E0 VRF:Mgmt-vrf, fd: 1, peer ip: 10.127.197.53 |
Verifique que el estado de SXP sea ON para el Switch en Workcenters > Trustsec > SXP > SXP Devices.
Asegúrese de que ISE haya recibido el atributo RADIUS de la dirección IP entramada del paquete de cuentas Radius después de una autenticación exitosa.
Navegue hasta Workcenters > Trustsec > SXP > All SXP Mappings para ver las asignaciones IP-SGT aprendidas dinámicamente desde la sesión Radius.
Aprendido por
Local: enlaces IP-SGT asignados estáticamente en ISE.
Sesión: enlaces IP-SGT aprendidos dinámicamente de la sesión Radius.
Nota: ISE tiene la capacidad de recibir enlaces IP-SGT de otro dispositivo. Estas vinculaciones se pueden mostrar como aprendidas por SXP en Todas las asignaciones de SXP.
El switch aprendió las asignaciones de IP-SGT de ISE a través del protocolo SXP.
C9300B#show cts sxp sgt-map vrf Mgmt-vrf brief C9300B#show cts role-based sgt-map vrf Mgmt-vrf all Origen de SGT de dirección IP Resumen de IP-SGT Active Bindings |
En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.
ISE también permite generar informes de conexiones y enlaces SXP, como se muestra en esta imagen.
Recopile el paquete de soporte de ISE con estos atributos que se establecerán en el nivel de depuración:
Cuando un usuario se autentica desde un servidor ISE, ISE asigna una SGT en el paquete de respuesta de aceptación de acceso. Una vez que el usuario obtiene la dirección IP, el switch envía la dirección IP entramada en el paquete de contabilidad Radius.
show logging application localStore/iseLocalStore.log:
2024-07-18 09:55:55.051 +05:30 000017592 3002 AVISO Radius-Accounting: Actualización de vigilancia de contabilidad RADIUS, ConfigVersionId=129, Dirección IP del dispositivo=10.197.213.22, UserName=cisco, NetworkDeviceName=pk, Nom-NAS=cisco, NAS-IP-Address=10.197.213.22, NAS-Port=50124, Framed-IP-Address=10.197.213.23, Class=CACS:16D5C50A00000017C425E3C6:pk3-1a/510648097/25, Called-Station-ID=C4-B2-39-ED-AB-18, Llamadas E-Station-ID=B4-96-91-F9-56-8B, Acct-Status-Type=Interim-Update, Acct-Delay-Time=0, Acct-Input-Octets=413, Acct-Output-Octets=0, Acct-Session-Id=00000007, Acct-Authentic=Remote, Acct-Input-Packets=4, Acct-Output-Packets=0, Event-Timestamp=1721277745, NAS-Port-Type=Ethernet, NAS-Port-Id=TenGigabitEthernet1/0 /24, cisco-av-pair=audit-session-id=16D5C50A00000017C425E3C6, cisco-av-pair=method=dot1x, cisco-av-pair=cts:security-group-tag=0005-00, AcsSessionID=pk3-1a/510648097/28, SelectedAccessService=Default Network Access, RequestLatency=6, Step=11004, Step=11017, Step=15049, Step=15008 22085, Step=11005, NetworkDeviceGroups=IPSEC#Is IPSEC Device#No, NetworkDeviceGroups=Location#All Locations, NetworkDeviceGroups=Device Type#All Device Types, CPMSessionID=16D5C50A00000017C425E3C6, TotalAuthenLatency=6, ClientLatency=0, Network Device Profile=Cisco, Location=Location#All Locations, Device Type=Device Type#All Types, IPSEC=IPSEC#Is IPSEC Device#No, |
show logging application ise-psc.log:
|
El nodo SXP almacena la asignación IP + SGT en su tabla H2DB y el nodo PAN posterior recopila esta asignación SGT IP y se refleja en Todas las asignaciones SXP en la GUI de ISE (Workcenters ->Trustsec -> SXP->Todas las asignaciones SXP).
show logging application sxp_appserver/sxp.log:
2024-07-18 10:01:01,312 INFO [sxpservice-http-96441] cisco.ise.sxp.rest.SxpGlueRestAPI:147 - SXP-PEERF Agregar enlaces de sesión por lotes-tamaño: 1 2024-07-18 10:01:01,344 DEBUG [SxpNotificationSerializer-Thread] cisco.cpm.sxp.engine.SxpEngine:1543 - [VPN: 'default'] Agregando nuevo enlace: MasterBindingIdentity [ip=10.197.213.23/32, peerSequence=10.127.197.53,10.197 8.213.22, tag=5, isLocal=true, sessionId=16D5C50A00000017C425E3C6, vn=DEFAULT_VN] |
El nodo SXP actualiza el switch de par con los últimos enlaces IP-SGT.
2024-07-18 10:01:01,346 DEBUG [pool-7-thread-4] opendaylight.sxp.core.service.UpdateExportTask:93 - SXP_PERF:SEND_UPDATE_BUFFER_SIZE=32 |
Depuraciones en el switch
Habilite estos debugs en el switch para resolver problemas de conexiones y actualizaciones de SXP.
debug cts sxp conn
debug cts sxp error
debug cts sxp mdb
debug cts sxp message
Switch recibió las asignaciones SGT-IP del altavoz SXP "ISE".
Marque Show logging para ver estos registros:
18 de julio 04:23:04.324: CTS-SXP-INTNL:mdb_send_msg mdb_process_add_ipsgt_devid Inicio |
Información Relacionada
Segmentación de la guía de administración de ISE 3.1
Guía de configuración de Catalyst Descripción general de Trustsec
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
24-Jul-2024 |
Versión inicial |