概要
このドキュメントでは、ISE(Identity Services Engine)とASAv(仮想適応型セキュリティアプライアンス)の間にSXP(Security Group Exchange Protocol)接続を設定する方法について説明します。
SXPは、TrustSecによってTrustSecデバイスへのIPからSGTへのマッピングを伝播するために使用されるSGT(セキュリティグループタグ)交換プロトコルです。SXPは、SGTインラインタギングをサポートしていないサードパーティ製デバイスや従来のシスコデバイスを含むネットワークでTrustSec機能を使用できるように開発されました。SXPはピアリングプロトコルであり、1つのデバイスがスピーカーとして機能し、もう1つのデバイスがリスナーとして機能します。SXPスピーカはIP-SGTバインディングを送信し、リスナーはこれらのバインディングを収集します。SXP接続では、メッセージの整合性/完全性のために、基盤となるトランスポートプロトコルとしてTCPポート64999とMD5が使用されます。
SXPは、次のリンクでIETFドラフトとして公開されています。
https://datatracker.ietf.org/doc/draft-smith-kandula-sxp/
前提条件
要件
TrustSec互換性マトリクス:
http://www.cisco.com/c/en/us/solutions/enterprise-networks/trustsec/solution-overview-listing.html
使用するコンポーネント
ISE 2.3
ASAv 9.8.1
ASDM 7.8.1.150
ネットワーク図
![](/c/dam/en/us/support/docs/security/identity-services-engine/212202-configure-trustsec-sxp-between-ise-and-a-00.png)
[IP アドレス(IP Addresses)]
ISE:14.36.143.223
ASAv:14.36.143.30
初期設定
ISEネットワークデバイス
ネットワークデバイスとしてのASAの登録
[WorkCenters] > [TrueSec] > [Components] > [Network Devices] > [Add]
![](/c/dam/en/us/support/docs/security/identity-services-engine/212202-configure-trustsec-sxp-between-ise-and-a-01.jpeg)
![](/c/dam/en/us/support/docs/security/identity-services-engine/212202-configure-trustsec-sxp-between-ise-and-a-02.jpeg)
![](/c/dam/en/us/support/docs/security/identity-services-engine/212202-configure-trustsec-sxp-between-ise-and-a-03.jpeg)
アウトオブバンド(OOB)PAC(Protected Access Credential)の生成とダウンロード
![](/c/dam/en/us/support/docs/security/identity-services-engine/212202-configure-trustsec-sxp-between-ise-and-a-04.jpeg)
![](/c/dam/en/us/support/docs/security/identity-services-engine/212202-configure-trustsec-sxp-between-ise-and-a-05.jpeg)
![](/c/dam/en/us/support/docs/security/identity-services-engine/212202-configure-trustsec-sxp-between-ise-and-a-06.jpeg)
ASDM AAAサーバの設定
AAAサーバグループの作成
[Configuration] > [Firewall] > [Identity by TrustSec] > [Server Group Setup] > [Manage...]
![](/c/dam/en/us/support/docs/security/identity-services-engine/212202-configure-trustsec-sxp-between-ise-and-a-07.jpeg)
[AAA Server Groups] > [Add]
![](/c/dam/en/us/support/docs/security/identity-services-engine/212202-configure-trustsec-sxp-between-ise-and-a-08.jpeg)
- AAAサーバグループ:<グループ名>
- 動的認可の有効化
![](/c/dam/en/us/support/docs/security/identity-services-engine/212202-configure-trustsec-sxp-between-ise-and-a-09.jpeg)
サーバグループへのサーバの追加
[Servers in the Selected Group] > [Add]
![](/c/dam/en/us/support/docs/security/identity-services-engine/212202-configure-trustsec-sxp-between-ise-and-a-10.jpeg)
- サーバ名またはIPアドレス:<ISE IP address>
- サーバ認証ポート:1812
- サーバアカウンティングポート:1813
- サーバシークレットキー:Cisco0123
- 共通パスワード:Cisco0123
![](/c/dam/en/us/support/docs/security/identity-services-engine/212202-configure-trustsec-sxp-between-ise-and-a-11.jpeg)
ISEからダウンロードしたPACのインポート
[Configuration] > [Firewall] > [Identity by TrustSec] > [Server Group Setup] > [Import PAC...]
![](/c/dam/en/us/support/docs/security/identity-services-engine/212202-configure-trustsec-sxp-between-ise-and-a-12.jpeg)
![](/c/dam/en/us/support/docs/security/identity-services-engine/212202-configure-trustsec-sxp-between-ise-and-a-13.jpeg)
![](/c/dam/en/us/support/docs/security/identity-services-engine/212202-configure-trustsec-sxp-between-ise-and-a-14.jpeg)
環境データの更新
[Configuration] > [Firewall] > [Identity by TrustSec] > [Server Group Setup] > [Refresh Environment Data]
![](/c/dam/en/us/support/docs/security/identity-services-engine/212202-configure-trustsec-sxp-between-ise-and-a-15.jpeg)
確認
ISEライブログ
[Operations] > [RADIUS] > [Live Logs]
![](/c/dam/en/us/support/docs/security/identity-services-engine/212202-configure-trustsec-sxp-between-ise-and-a-16.jpeg)
![](/c/dam/en/us/support/docs/security/identity-services-engine/212202-configure-trustsec-sxp-between-ise-and-a-17.jpeg)
![](/c/dam/en/us/support/docs/security/identity-services-engine/212202-configure-trustsec-sxp-between-ise-and-a-18.jpeg)
![](/c/dam/en/us/support/docs/security/identity-services-engine/212202-configure-trustsec-sxp-between-ise-and-a-19.jpeg)
![](/c/dam/en/us/support/docs/security/identity-services-engine/212202-configure-trustsec-sxp-between-ise-and-a-20.jpeg)
![](/c/dam/en/us/support/docs/security/identity-services-engine/212202-configure-trustsec-sxp-between-ise-and-a-21.jpeg)
ISEセキュリティグループ
[Work Centers] > [TrustSec] > [Components] > [Security Groups]
![](/c/dam/en/us/support/docs/security/identity-services-engine/212202-configure-trustsec-sxp-between-ise-and-a-22.jpeg)
ASDM PAC
[Monitoring] > [Properties] > [Identity by TrustSec] > [PAC
![](/c/dam/en/us/support/docs/security/identity-services-engine/212202-configure-trustsec-sxp-between-ise-and-a-23.jpeg)
ASDM環境のデータおよびセキュリティグループ
[Monitoring] > [Properties] > [Identity by TrustSec] > [Environment Data]
![](/c/dam/en/us/support/docs/security/identity-services-engine/212202-configure-trustsec-sxp-between-ise-and-a-24.jpeg)
ASDM SXPの設定
SXPの有効化
[Configuration] > [Firewall] > [Identity by TrustSec] > [Enable SGT Exchange Protocol (SXP)]
![](/c/dam/en/us/support/docs/security/identity-services-engine/212202-configure-trustsec-sxp-between-ise-and-a-25.jpeg)
デフォルトSXP送信元IPアドレスとデフォルトSXPパスワードの設定
[Configuration] > [Firewall] > [Identity by TrustSec] > [Connection Peers]
![](/c/dam/en/us/support/docs/security/identity-services-engine/212202-configure-trustsec-sxp-between-ise-and-a-26.jpeg)
SXPピアの追加
[Configuration] > [Firewall] > [Identity by TrustSec] > [Connection Peers] > [Add]
![](/c/dam/en/us/support/docs/security/identity-services-engine/212202-configure-trustsec-sxp-between-ise-and-a-27.jpeg)
- ピアの IP アドレス:<ISE IP address>
![](/c/dam/en/us/support/docs/security/identity-services-engine/212202-configure-trustsec-sxp-between-ise-and-a-28.jpeg)
ISE SXPの設定
グローバルSXPパスワード設定
[WorkCenters] > [TrustSec] > [Settings] > [SXP Settings]
![](/c/dam/en/us/support/docs/security/identity-services-engine/212202-configure-trustsec-sxp-between-ise-and-a-29.jpeg)
SXPデバイスの追加
[WorkCenters] > [TrustSec] > [SXP] > [SXP Devices] > [Add]
![](/c/dam/en/us/support/docs/security/identity-services-engine/212202-configure-trustsec-sxp-between-ise-and-a-30.jpeg)
SXPの検証
ISE SXPの検証
[WorkCenters] > [TrustSec] > [SXP] > [SXP Devices]
![](/c/dam/en/us/support/docs/security/identity-services-engine/212202-configure-trustsec-sxp-between-ise-and-a-31.jpeg)
ISE SXPのマッピング
[WorkCenters] > [TrustSec] > [SXP] > [All SXP Mappings]
![](/c/dam/en/us/support/docs/security/identity-services-engine/212202-configure-trustsec-sxp-between-ise-and-a-32.jpeg)
ASDM SXPの検証
[Monitoring] > [Properties] > [Identity by TrustSec] > [SXP Connections]
![](/c/dam/en/us/support/docs/security/identity-services-engine/212202-configure-trustsec-sxp-between-ise-and-a-33.jpeg)
ASDMがSXPのIPからSGTへのマッピングを学習
[Monitoring] > [Properties] > [Identity by TrustSec] > [IP Mappings]
![](/c/dam/en/us/support/docs/security/identity-services-engine/212202-configure-trustsec-sxp-between-ise-and-a-34.jpeg)
ISEでのパケットキャプチャ
![](/c/dam/en/us/support/docs/security/identity-services-engine/212202-configure-trustsec-sxp-between-ise-and-a-35.jpeg)