ISEとASAv間のTrustSec SXPの設定
内容
概要
このドキュメントでは、ISE(Identity Services Engine)とASAv(仮想適応型セキュリティアプライアンス)の間にSXP(Security Group Exchange Protocol)接続を設定する方法について説明します。
SXPは、TrustSecによってTrustSecデバイスへのIPからSGTへのマッピングを伝播するために使用されるSGT(セキュリティグループタグ)交換プロトコルです。SXPは、SGTインラインタギングをサポートしていないサードパーティ製デバイスや従来のシスコデバイスを含むネットワークでTrustSec機能を使用できるように開発されました。SXPはピアリングプロトコルであり、1つのデバイスがスピーカーとして機能し、もう1つのデバイスがリスナーとして機能します。SXPスピーカはIP-SGTバインディングを送信し、リスナーはこれらのバインディングを収集します。SXP接続では、メッセージの整合性/完全性のために、基盤となるトランスポートプロトコルとしてTCPポート64999とMD5が使用されます。
SXPは、次のリンクでIETFドラフトとして公開されています。
https://datatracker.ietf.org/doc/draft-smith-kandula-sxp/
前提条件
要件
TrustSec互換性マトリクス:
http://www.cisco.com/c/en/us/solutions/enterprise-networks/trustsec/solution-overview-listing.html
使用するコンポーネント
ISE 2.3
ASAv 9.8.1
ASDM 7.8.1.150
ネットワーク図
[IP アドレス(IP Addresses)]
ISE:14.36.143.223
ASAv:14.36.143.30
初期設定
ISEネットワークデバイス
ネットワークデバイスとしてのASAの登録
[WorkCenters] > [TrueSec] > [Components] > [Network Devices] > [Add]
アウトオブバンド(OOB)PAC(Protected Access Credential)の生成とダウンロード
ASDM AAAサーバの設定
AAAサーバグループの作成
[Configuration] > [Firewall] > [Identity by TrustSec] > [Server Group Setup] > [Manage...]
[AAA Server Groups] > [Add]
- AAAサーバグループ:<グループ名>
- 動的認可の有効化
サーバグループへのサーバの追加
[Servers in the Selected Group] > [Add]
- サーバ名またはIPアドレス:<ISE IP address>
- サーバ認証ポート:1812
- サーバアカウンティングポート:1813
- サーバシークレットキー:Cisco0123
- 共通パスワード:Cisco0123
ISEからダウンロードしたPACのインポート
[Configuration] > [Firewall] > [Identity by TrustSec] > [Server Group Setup] > [Import PAC...]
- パスワード:Cisco0123
環境データの更新
[Configuration] > [Firewall] > [Identity by TrustSec] > [Server Group Setup] > [Refresh Environment Data]
確認
ISEライブログ
[Operations] > [RADIUS] > [Live Logs]
ISEセキュリティグループ
[Work Centers] > [TrustSec] > [Components] > [Security Groups]
ASDM PAC
[Monitoring] > [Properties] > [Identity by TrustSec] > [PAC
ASDM環境のデータおよびセキュリティグループ
[Monitoring] > [Properties] > [Identity by TrustSec] > [Environment Data]
ASDM SXPの設定
SXPの有効化
[Configuration] > [Firewall] > [Identity by TrustSec] > [Enable SGT Exchange Protocol (SXP)]
デフォルトSXP送信元IPアドレスとデフォルトSXPパスワードの設定
[Configuration] > [Firewall] > [Identity by TrustSec] > [Connection Peers]
SXPピアの追加
[Configuration] > [Firewall] > [Identity by TrustSec] > [Connection Peers] > [Add]
- ピアの IP アドレス:<ISE IP address>
ISE SXPの設定
グローバルSXPパスワード設定
[WorkCenters] > [TrustSec] > [Settings] > [SXP Settings]
- グローバルパスワード:Cisco0123
SXPデバイスの追加
[WorkCenters] > [TrustSec] > [SXP] > [SXP Devices] > [Add]
SXPの検証
ISE SXPの検証
[WorkCenters] > [TrustSec] > [SXP] > [SXP Devices]
ISE SXPのマッピング
[WorkCenters] > [TrustSec] > [SXP] > [All SXP Mappings]
ASDM SXPの検証
[Monitoring] > [Properties] > [Identity by TrustSec] > [SXP Connections]
ASDMがSXPのIPからSGTへのマッピングを学習
[Monitoring] > [Properties] > [Identity by TrustSec] > [IP Mappings]
ISEでのパケットキャプチャ
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
13-Oct-2017 |
初版 |
フィードバック