Configurazione di TrustSec SXP tra ISE e ASAv

Opzioni per il download

  • PDF     (961.6 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (785.5 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (922.8 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:16 luglio 2021
ID documento:212202

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto come configurare una connessione SXP (Security Group Exchange Protocol) tra ISE (Identity Services Engine) e ASAv (Virtual Adaptive Security Appliance).

    SXP è il protocollo SGT (Security Group Tag) Exchange utilizzato da TrustSec per propagare i mapping IP-SGT ai dispositivi TrustSec. SXP è stato sviluppato per consentire alle reti, inclusi i dispositivi di terze parti o i dispositivi Cisco legacy che non supportano il tagging in linea SGT, di avere funzionalità TrustSec. SXP è un protocollo peer, un dispositivo funge da altoparlante e l'altro da listener. Il diffusore SXP è responsabile dell'invio dei binding IP-SGT e il listener è responsabile della raccolta di tali binding. La connessione SXP utilizza la porta TCP 64999 come protocollo di trasporto sottostante e MD5 per l'integrità/autenticità dei messaggi.

    SXP è stato pubblicato come bozza IETF al seguente collegamento:

    https://datatracker.ietf.org/doc/draft-smith-kandula-sxp/

    Prerequisiti

    Requisiti

    Matrice di compatibilità TrustSec:

    http://www.cisco.com/c/en/us/solutions/enterprise-networks/trustsec/solution-overview-listing.html

    Componenti usati

    ISE 2.3

    ASA v 9.8.1

    ASDM 7.8.1.150

    Esempio di rete

     Indirizzi IP

    ISE: 14.36.143.223

    ASAv: 14.36.143.30

    Configurazione iniziale

    dispositivi di rete ISE

    Registrazione di un'appliance ASA come dispositivo di rete

    Centri di lavoro > TrutSec > Componenti > Dispositivi di rete > Aggiungi

    Genera PAC fuori banda (OOB) (Credenziale di accesso protetto) e scarica

    Configurazione server ASDM AAA

    Crea gruppo server AAA

    Configurazione > Firewall > Identity by TrustSec > Impostazione gruppo server > Gestisci...

    Gruppi di server AAA > Aggiungi

    • Gruppo server AAA: <Nome gruppo>
    • Abilita autorizzazione dinamica

    Aggiungi server al gruppo di server

    Server nel gruppo selezionato > Aggiungi

    • Nome server o indirizzo IP: <ISE IP address>
    • Porta di autenticazione server: 1812
    • Porta accounting server: 1813
    • Chiave privata server: Cisco 1023
    • Password comune: Cisco 1023

    Importazione PAC scaricata da ISE

    Configurazione > Firewall > Identity by TrustSec > Impostazione gruppo server > Importa PAC...

    • Password: Cisco 1023

    Aggiorna dati ambiente

    Configurazione > Firewall > Identity by TrustSec > Impostazione gruppo server > Aggiorna dati ambiente

    Verifica

    log ISE in tempo reale

    Operazioni > RADIUS > Registri attivi

    Gruppi di sicurezza ISE

    Centri di lavoro > TrustSec > Componenti > Gruppi di sicurezza

    PAC ASDM

    Monitoraggio > Proprietà > Identità per TrustSec > PAC

    Dati di ambiente e gruppi di sicurezza ASDM

    Monitoraggio > Proprietà > Identità per TrustSec > Dati ambiente

    Configurazione ASDM SXP

    Attiva SXP

    Configurazione > Firewall > Identity by TrustSec > Abilita SGT Exchange Protocol (SXP)

    Impostare l'indirizzo IP di origine SXP predefinito e la password SXP predefinita

    Configurazione > Firewall > Identity by TrustSec > Peer di connessione

    Aggiungi peer SXP

    Configurazione > Firewall > Identity by TrustSec > Peer di connessione > Aggiungi

    • Indirizzo IP peer: <Indirizzo IP ISE>

    Configurazione ISE SXP

    Impostazione password SXP globale

    Centri di lavoro > TrustSec > Impostazioni > Impostazioni SXP

    • Password globale: Cisco 1023

    Aggiungi dispositivo SXP

    Centri di lavoro > TrustSec > SXP > Dispositivi SXP > Aggiungi

    Verifica SXP

    Verifica ISE SXP

    Centri di lavoro > TrustSec > SXP > Dispositivi SXP

    Mapping ISE SXP

    Centri di lavoro > TrustSec > SXP > Tutti i mapping SXP

    Verifica ASDM SXP

    Monitoraggio > Proprietà > Identity by TrustSec > Connessioni SXP

    ASDM ha appreso i mapping da IP SXP a SGT

    Monitoraggio > Proprietà > Identità per TrustSec > Mapping IP

    Acquisizione del pacchetto effettuata ad ISE

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    13-Oct-2017
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Deon Pillsbury
      Cisco TAC

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti