Introduzione
In questo documento viene descritto come configurare e comprendere il protocollo SXP (Security Group Exchange Protocol) tra ISE e Catalyst 9300 Switch.
Premesse
SXP è il protocollo SGT (Security Group Tag) Exchange utilizzato da TrustSec per propagare i mapping IP-SGT ai dispositivi TrustSec.
SXP è stato sviluppato per consentire alle reti, inclusi i dispositivi di terze parti o i dispositivi Cisco legacy che non supportano il tagging in linea SGT, di avere funzionalità TrustSec.
SXP è un protocollo peer; un dispositivo può fungere da altoparlante e l'altro da listener.
Il diffusore SXP è responsabile dell'invio dei binding IP-SGT e il listener è responsabile della raccolta di tali binding.
La connessione SXP utilizza la porta TCP 64999 come protocollo di trasporto sottostante e MD5 per l'integrità/autenticità dei messaggi.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza del protocollo SXP e della configurazione di Identity Services Engine (ISE).
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
- Switch Cisco Catalyst 9300 con software Cisco IOS® XE 17.6.5 e versioni successive
Cisco ISE versione 3.1 e successive
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Configurazione
Esempio di rete
Flusso traffico
PC esegue l'autenticazione con C9300A e ISE assegna dinamicamente SGT tramite set di criteri.
Una volta superata l'autenticazione, i binding vengono creati con un indirizzo IP uguale all'attributo RADIUS dell'indirizzo IP con frame e a SGT come configurato nel criterio.
Le associazioni vengono propagate in "Tutte le associazioni SXP" nel dominio predefinito.
C9300B riceve le informazioni di mappatura SXP da ISE attraverso il protocollo SXP.
Configura switch
Configurare lo switch come listener SXP per ottenere le mappature IP-SGT da ISE.
cts sxp enable cts sxp password predefinita cisco cts sxp default source-ip 10.127.213.27 cts sxp connection peer 10.127.197.53 password default mode peer speaker hold-time 0 vrf Mgmt-vrf |
Configurare ISE
Passaggio 1. Abilita il servizio SXP su ISE
Passare a Amministrazione > Sistema > Distribuzione > Modifica il nodo e in Policy Service selezionare Abilita servizio SXP.
Passaggio 2. Aggiungi dispositivi SXP
Per configurare il listener e l'altoparlante SXP per gli switch corrispondenti, selezionare Workcenter > Trustsec > SXP > Dispositivi SXP.
Aggiungere lo switch con il ruolo di peer come listener e assegnarlo al dominio predefinito.
Passaggio 3. Impostazioni SXP
Verificare che l'opzione Add radius mappings into SXP IP SGT mapping table sia selezionata, in modo che ISE apprenda le mappature IP-SGT dinamiche tramite le autenticazioni Radius.
Verifica
Passaggio 1. Connessione SXP su switch
C9300B#show cts connessioni sxp vrf Mgmt-vrf SXP : Attivato Versione più recente supportata: 4 Password predefinita : Set Catena di chiavi predefinita: non impostata Nome catena di chiavi predefinita: Non applicabile IP origine predefinito: 10.127.213.27 Periodo di apertura tentativi di connessione: 120 secondi Periodo di riconciliazione: 120 secondi Il timer di riavvio non è in esecuzione Limite di attraversamento sequenza peer per l'esportazione: non impostato Limite di attraversamento della sequenza peer per l'importazione: non impostato — IP peer : 10.127.197.53 Source IP : 10.127.213.27 Stato connessione : Attivato Versione conversione : 4 Funzionalità Conn : IPv4-IPv6-Subnet Tempo di attesa continuo: 120 secondi Modalità locale : Listener SXP Intervallo connessione n. : 1 TCP conn fd : 1 TCP conn password: password SXP predefinita Timer di attesa in esecuzione Durata dall'ultima modifica dello stato: 0:00:23:36 (gg:hr:mm:sec) Numero totale di connessioni SXP = 1 0x7F128DF555E0 VRF:Mgmt-vrf, fd: 1, ip peer: 10.127.197.53 cdbp:0x7F128DF555E0 Mgmt-vrf <10.127.197.53, 10.127.213.27> idtabella:0x1 |
Passaggio 2. Verifica ISE SXP
Verificare che lo stato SXP sia ON per lo switch in Workcenter > Trustsec > SXP > Dispositivi SXP.
Passaggio 3. Accounting Radius
Verificare che ISE abbia ricevuto l'attributo RADIUS dell'indirizzo IP del frame dal pacchetto di accounting Radius in seguito all'autenticazione riuscita.
Passaggio 4. Mappature ISE SXP
Passare a Workcenter > Trustsec > SXP > Tutti i mapping SXP per visualizzare i mapping IP-SGT appresi in modo dinamico dalla sessione Radius.
Autore
Locale: binding IP-SGT assegnati in modo statico su ISE.
Sessione: associazioni IP-SGT apprese in modo dinamico dalla sessione Radius.
Nota: ISE ha la capacità di ricevere i binding IP-SGT da un altro dispositivo. Queste associazioni possono essere visualizzate come Apprese da SXP in Tutti i mapping SXP.
Passaggio 5. Mapping SXP su switch
Lo switch ha appreso le mappature IP-SGT da ISE al protocollo SXP.
C9300B#show cts sxp sgt-map vrf Mgmt-vrf brief ID nodo SXP (generato):0x03030303(3.3.3.3) Mapping IP-SGT come segue: IPv4,SGT: <2.2.2.2 , 9> IPv4, SGT: <10.197.213.23 , 5> Numero totale di mapping IP-SGT: 2 conn in sxp_bnd_exp_conn_list (totale:0): C9300B# C9300B#show cts mappa dei segmenti basata sul ruolo vrf Mgmt-vrf all Informazioni sui binding IPv4-SGT attivi Origine SGT indirizzo IP =========================================== 2.2.2.2.9 SXP 10.197.213.23.5 SXP Riepilogo binding attivi IP-SGT =========================================== Numero totale di binding SXP = 2 Numero totale di binding attivi = 2 |
Risoluzione dei problemi
In questa sezione vengono fornite informazioni utili per risolvere i problemi di configurazione.
Report ISE
ISE consente anche di generare rapporti di collegamento e connessione SXP, come mostrato in questa immagine.
Debug su ISE
Raccogliere il bundle di supporto ISE con questi attributi da impostare al livello di debug:
- sxp
- sgtbinding
- nsf
- sessione nsf
- trustsec
Quando un utente viene autenticato dal server ISE, ISE assegna un SGT nel pacchetto di risposta di accettazione dell'accesso. Una volta che l'utente riceve l'indirizzo IP, lo switch invia l'indirizzo IP con frame nel pacchetto di accounting Radius.
show logging application localStore/iseLocalStore.log:
2024-07-18 09:55:55.051 +05:30 0000017592 3002 AVVISO Radius-Accounting: aggiornamento watchdog contabilità RADIUS, ConfigVersionId=129, Device IP Address=10.197.213.22, UserName=cisco, NetworkDeviceName=pk, User-Name=cisco, NAS-IP Indirizzo=10.197.213.22, Porta-NAS=50124, Indirizzo-IP-Frame=10.197.213.23, Classe=CACS:16D5C50A0000017C425E3C6:pk3-1a/510648097/25, Chiamato-Stazione-ID=C4 -B2-39-ED-AB-18, Calling-Station-ID=B4-96-91-F9-56-8B, Acct-Status-Type=Interim-Update, Acct-Delay-Time=0, Acct-Input-Octets=413, Acct-Output-Octets=0, Acct-Session-Id=00000007, Acct-Authentic=Remote, Acct-Input-Packets=4, Acct-Output-Packets=0, Event-Timestamp=17 2127745, NAS-Port-Type=Ethernet, NAS-Port-Id=TenGigabitEthernet1/0/24, cisco-av-pair=audit-session-id=16D5C50A0000017C425E3C6, cisco-av-pair=method=dot1x, cisco-av-pair=cts:security-group-tag=0005-00, AcsSessionID=pk3 1a/510648097/28, SelectedAccessService=Default Network Access, RequestLatency=6, Step=11004, Step=11017, Step=15049, Step=15008, Step=22085, Step=11005, NetworkDeviceGroups=IPSEC#Is IPSEC Device#No, NetworkDeviceGroups=Location#All Locations, NetworkDeviceGroups=Type #Tutti i tipi di dispositivo, CPMSessionID=16D5C50A0000017C425E3C6, TotalAutoLatency=6, ClientLatency=0, Network Device Profile=Cisco, Location=Location#All Locations, Device Type=Device Type#Tutti i tipi di dispositivo, IPSEC=IPSEC#Is IPSEC Device#No, |
show logging application ise-psc.log:
2024-07-18 09:55:55,054 DEBUG [SxpSessionNotifierThread][] ise.sxp.sessionbinding.util.SxpBindingUtil -::: registrazione dei valori di sessione ricevuti da PortCpmBridge: Tipo operazione ==>ADD, sessionId ==> 16D5C50A0000017C425E3C6, sessionState ==> ACCETTATO, inputIp ==> 10.197.213.23, inputSgTag ==> 0005-00, nasIp ==> 10.197.213.22null, vn ==> null |
Il nodo SXP memorizza il mapping IP + SGT nella relativa tabella H2DB e il nodo PAN successivo raccoglie questo mapping IP SGT e lo riflette in Tutti i mapping SXP nella GUI ISE (Workcenter ->Trustsec -> SXP->Tutti i mapping SXP).
show logging application sxp_appserver/sxp.log:
2024-07-18 10:01:01,312 INFO [sxpservice-http-96441] cisco.ise.sxp.rest.SxpGlueRestAPI:147 - SXP-PEERF Aggiungi associazioni di sessione dimensioni batch: 1 2024-07-18 10:01:01,317 DEBUG [SxpNotificationSerializer-Thread] cpm.sxp.engine.services.NotificationSerializerImpl:202 - attività di elaborazione [add=true, notification=RestSxpLocalBinding(tag=5, groupName=null, ipAddress=10.197.213.23/32, nasIp=10.197.213.22, session2=16D5C50A0000017C425E3C6, peerSequence=null, sxpBindingOpType=null, sessionExpiryTimeInMillis=0, apic=false, routable=true, vns=[])] 2024-07-18 10:01:01,344 DEBUG [SxpNotificationSerializer-Thread] cisco.cpm.sxp.engine.SxpEngine:1543 - [VPN: 'default'] Aggiunta nuova associazione: MasterBindingIdentity [ip=10.197.213.23/32, peerSequence=10.127.197.53,10.197.21 3.22, tag=5, isLocal=true, sessionId=16D5C50A0000017C425E3C6, vn=DEFAULT_VN] 2024-07-18 10:01:01,344 DEBUG [SxpNotificationSerializer-Thread] cisco.cpm.sxp.engine.SxpEngine:1581 - Aggiunta di 1 binding 2024-07-18 10:01:01,344 DEBUG [SxpNotificationSerializer-Thread] cisco.cpm.sxp.engine.MasterDbListener:251 - Invio dell'attività al gestore H2 per l'aggiunta di binding, numero di binding: 1 2024-07-18 10:01:01,344 DEBUG [H2_HANDLER] cisco.cpm.sxp.engine.MasterDbListener:256 - Elaborazione di MasterDbListener su aggiunta - bindingNumero: 1 |
Il nodo SXP aggiorna lo switch peer con i binding IP-SGT più recenti.
2024-07-18 10:01:01,346 DEBUG [pool-7-thread-4] opendaylight.sxp.core.service.UpdateExportTask:93 - SXP_PERF:SEND_UPDATE_BUFFER_SIZE=32 2024-07-18 10:01:01,346 DEBUG [pool-7-thread-4] opendaylight.sxp.core.service.UpdateExportTask:116 - SEND_UPDATE a [ISE:10.127.197.53][10.127.197.53:64999/10.127.213.27:31025][O|Sv4] 2024-07-18 10:01:01,346 DEBUG [pool-7-thread-4] opendaylight.sxp.core.service.UpdateExportTask:137 - SENT_UPDATE RIUSCITO a [ISE:10.127.197.53][10.127.197.53:64999/10.127.213.27:31025][O|Sv4] |
Debug sullo switch
Abilitare questi debug sullo switch per la risoluzione dei problemi relativi alle connessioni e agli aggiornamenti SXP.
debug cts sxp conn
errore debug cts sxp
debug cts sxp mdb
messaggio debug cts sxp
Switch ha ricevuto le mappature SGT-IP dall'altoparlante SXP "ISE".
Selezionare Mostra log per visualizzare i seguenti log:
Lug 18 04:23:04.324: CTS-SXP-MSG:sxp_recv_update_v4 <1> ip peer: 10.127.197.53 Lug 18 04:23:04.324: CTS-SXP-MDB:IMU Aggiungi binding:- <conn_index = 1> dal peer 10.127.197.53 lug 18 04:23:04.324: CTS-SXP-MDB:mdb_send_msg <IMU_ADD_IPSGT_DEVID> Lug 18 04:23:04.324: CTS-SXP-INTNL:mdb_send_msg mdb_process_add_ipsgt_device Start Lug 18 04:23:04.324: CTS-SXP-MDB:sxp_mdb_inform_rbm tableid:0x1 sense:1 sgt:5 peer:10.127.197.53 Lug 18 04:23:04.324: CTS-SXP-MDB:SXP MDB: voce aggiunta ip 10.197.213.23 sgt 0x0005 Lug 18 04:23:04.324: CTS-SXP-INTNL:mdb_send_msg mdb_process_add_ipsgt_device Fine |
Informazioni correlate
Segmentazione della Guida per l'amministratore di ISE 3.1
Panoramica sul trust sec della guida alla configurazione Catalyst