Sécurité : Logiciel Cisco Adaptive Security Appliance (ASA)

L'ASA et les séries du Catalyst 3750X commutent l'exemple de configuration de TrustSec et dépannent le guide

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 septembre 2015) | Commentaires

Introduction

Cet article décrit comment configurer le Cisco TrustSec (CTS) sur l'appliance de sécurité adaptable Cisco Secure (ASA) et la gamme de Cisco Catalyst un 3750X commute (3750X).

Afin d'apprendre le mappage entre les balises de groupe de sécurité (SGTs) et les adresses IP, l'ASA utilise le protocole d'échange SGT (SXP). Puis, le Listes de contrôle d'accès (ACL) basé sur SGT sont utilisés afin de filtrer le trafic. Le 3750X télécharge des stratégies basées sur rôle de la liste de contrôle d'accès (RBACL) du Logiciel Cisco Identity Services Engine (ISE), et les filtres trafiquent basé sur elles. Cet article détaille le niveau de paquet afin de décrire comment la transmission fonctionne et prévu met au point.

Contribué par Michal Garcarz, ingénieur TAC Cisco.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • Composants CTS
  • Configuration CLI d'ASA et de Cisco IOS®

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Logiciel de Cisco ASA, versions 9.1 et ultérieures
  • Windows 7 et MS Windows XP de Microsoft (MS)
  • Logiciel de Cisco 3750X, versions 15.0 et ultérieures
  • Logiciel de Cisco ISE, versions 1.1.4 et ultérieures

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Configurez

Diagramme du réseau

La circulation

Voici la circulation :

  • Le 3750X est configuré sur G1/0/1 et G1/0/2 pour l'authentification de port.
  • L'ISE est utilisé en tant que serveur d'Authentification, autorisation et comptabilité (AAA).
  • Le contournement d'adresse MAC (MAB) est utilisé pour l'authentification pour le MS Windows 7.
  • Le 802.1x d'IEEE est utilisé pour le MS Windows XP afin d'expliquer qu'il n'importe pas que la méthode d'authentification est utilisé.

Après l'authentification réussie, l'ISE renvoie le SGT, et les grippages 3750X qui les étiquettent à la session d'authentification. Le commutateur apprend également les adresses IP des deux stations avec la commande de cheminement de périphérique d'IP. Le commutateur emploie alors SXP afin d'envoyer la table de mappage entre le SGT et l'adresse IP à l'ASA. Les deux PC de MS Windows ont un routage par défaut ces points à l'ASA.

Après que l'ASA reçoive le trafic de l'adresse IP qui est tracée au SGT, il peut utiliser l'ACL basé sur le sergent. En outre, quand vous utilisez 3750X en tant que routeur (passerelle par défaut pour les deux stations de MS Windows), il peut filtrer le trafic basé sur des stratégies téléchargées de l'ISE.

Voici les étapes pour la configuration et la vérification, qui est détaillée dans sa propre section plus tard dans le document :

  • Mettez en communication l'authentification avec la commande de cheminement de périphérique d'IP sur le 3750X
  • Configuration ISE pour l'authentification, le SGT, et les stratégies de la liste de contrôle d'accès de groupe de sécurité (SGACL)
  • Configuration CTS sur l'ASA et le 3750X
  • Ravitaillement de créance de Protected Access (PAC) sur le 3750X (automatique) et l'ASA (manuel)
  • L'environnement régénèrent sur l'ASA et le 3750X
  • Mettez en communication la vérification et l'application d'authentification sur le 3750X
  • La stratégie régénèrent sur le 3750X
  • Échange SXP (l'ASA comme auditeur, et le 3750X comme haut-parleur)
  • Filtrage de trafic sur l'ASA avec l'ACL SGT
  • Filtrage de trafic sur le 3750X avec des stratégies téléchargées de l'ISE

Configurations

Mettez en communication l'authentification avec la commande de cheminement de périphérique d'IP sur le 3750X

C'est la configuration typique pour le 802.1x ou le MAB. La modification de RAYON de l'autorisation (CoA) est nécessaire seulement quand vous utilisez la notification active de l'ISE.

aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa authorization network ise group radius
aaa accounting dot1x default start-stop group radius

!Radius COA
aaa server radius dynamic-author
 client 10.48.66.129 server-key cisco
 server-key cisco

ip device tracking

interface GigabitEthernet1/0/1
 description windowsxp
 switchport mode access
 authentication order mab dot1x
 authentication port-control auto
 mab
 dot1x pae authenticator
 spanning-tree portfast
!
interface GigabitEthernet1/0/2
 description windows7
 switchport mode access
 authentication order mab dot1x
 authentication port-control auto
 mab
 dot1x pae authenticator
spanning-tree portfast

radius-server host 10.48.66.129 pac key cisco
radius-server host 10.48.66.129 auth-port 1812
radius-server vsa send accounting
radius-server vsa send authentication

Configuration ISE pour l'authentification, les stratégies SGT, et SGACL

L'ISE doit avoir les deux périphériques de réseau configurés sous des périphériques de gestion > de réseau :

Pour le MS Windows 7, qui utilise l'authentification de MAB, vous devez créer l'identité de point final (l'adresse MAC) sous la gestion > la Gestion de l'identité > les identités > les points finaux :

Pour le MS Windows XP, qui utilise l'authentification de 802.1x, vous devez créer une identité de l'utilisateur (le nom d'utilisateur) sous la gestion > la Gestion de l'identité > les identités > les utilisateurs :

Le nom d'utilisateur Cisco est utilisé. Configurez le MS Windows XP pour l'EAP Protocol-protégé par authentification extensible (EAP-PEAP) avec ces qualifications.

Sur l'ISE, les stratégies d'authentification par défaut sont utilisées (ne changez pas ceci). Le premier est la stratégie pour l'authentification de MAB, et le deuxième est 802.1x :

Afin de configurer des stratégies d'autorisation, vous devez définir des profils d'autorisation sous la stratégie > les résultats > l'autorisation > les profils d'autorisation. Le VLAN10-Profile avec l'ACL téléchargeable (DACL), qui tient compte de tout le trafic, est utilisé pour le profil du MS Windows 7 :

Une configuration semblable, VLAN20-Profile, est utilisée pour le MS Windows XP à l'exception à VLAN le nombre (20).

Afin de configurer les groupes SGT (balises) sur ISE, naviguez vers la stratégie > les résultats > le groupe de sécurité Access > groupes de sécurité.

Remarque: Il n'est pas possible de choisir un nombre de balise ; il est sélectionné automatiquement par le premier nombre libre excepté 1. Vous pouvez configurer le nom SGT seulement.

Afin de créer le SGACL pour permettre le trafic de Protocole ICMP (Internet Control Message Protocol), naviguez vers la stratégie > les résultats > le groupe de sécurité Access > groupe de sécurité ACLs :

Afin de créer des stratégies, naviguez vers la stratégie > le groupe de sécurité Access > la stratégie de sortie. Pour le trafic entre VLAN10 et le VLAN ou le VLAN10 ou le VLAN20 inconnu, l'ACL d'ICMP est utilisé (ICMP d'autorisation) :

Afin de placer des règles d'autorisation, naviguez vers la stratégie > l'autorisation. Pour le MS Windows 7 (adresse MAC spécifique), VLAN10-Profile est utilisé, VLAN10 et DACL de renvoi, et le profil de Sécurité VLAN10 avec le VLAN10 nommé par SGT. Pour le MS Windows XP (nom d'utilisateur spécifique), VLAN20-Profile est utilisé, VLAN 20 et DACL de renvoi, et le profil de Sécurité VLAN20 avec le VLAN20 nommé par SGT.

Terminez le commutateur et la configuration ASA afin qu'ils puissent pour recevoir les attributs RADIUS SGT.

Configuration CTS sur l'ASA et le 3750X

Vous devez configurer les configurations de base CTS. Sur le 3750X, vous devez indiquer de quelles stratégies de serveur devraient être téléchargées :

aaa authorization network ise group radius
cts authorization list ise

Sur l'ASA, seulement le serveur d'AAA est nécessaire avec CTS ces points à ce serveur :

aaa-server ISE protocol radius
aaa-server ISE (mgmt) host 10.48.66.129
 key *****
cts server-group ISE

Remarque: Sur le 3750X, vous devez explicitement indiquer le serveur ISE avec la commande de rayon de groupe. C'est parce que le 3750X utilise le ravitaillement automatique PAC.

Ravitaillement PAC sur le 3750X (automatique) et l'ASA (manuel)

Chaque périphérique dans le nuage CTS doit authentifier au serveur d'authentification (ISE) sont de confiance par d'autres périphériques. Il utilise l'authentification Protocol-flexible d'authentification extensible par l'intermédiaire de la méthode de protocole sécurisé (EAP-FAST) (RFC 4851) pour ceci. Cette méthode exige de vous d'avoir hors bande livré par PAC. Ce processus s'appelle également le phase0, et n'est pas défini dans n'importe quel RFC. Le PAC pour l'EAP-FAST a un rôle semblable comme certificat pour le Protocol-transport Layer Security (EAP-TLS) d'authentification extensible. Le PAC est utilisé afin d'établir un tunnel sécurisé (phase1), qui est nécessaire pour l'authentification dans phase2.

Ravitaillement PAC sur le 3750X

Le 3750X prend en charge le ravitaillement automatique PAC. Un mot de passe partagé est utilisé sur le commutateur et l'ISE afin de télécharger le PAC. Ces mot de passe et ID doivent être configurés sur l'ISE sous la gestion > les ressources de réseau > les périphériques de réseau. Mettez en position le commutateur, et développez la section avancée de configurations de TrustSec afin de configurer :

Afin de faire utiliser le PAC ces qualifications, sélectionnez ces commandes :

bsns-3750-5#cts credentials id 3750X password ciscocisco
bsns-3750-5#show cts pacs
  AID: C40A15A339286CEAC28A50DBBAC59784
  PAC-Info:
    PAC-type = Cisco Trustsec
    AID: C40A15A339286CEAC28A50DBBAC59784
    I-ID: 3750X
    A-ID-Info: Identity Services Engine
    Credential Lifetime: 08:04:40 UTC Sep 25 2013
  PAC-Opaque: 000200B00003000100040010C40A15A339286CEAC28A50DBBAC59784000600940003
010094F559DAE0C837D7847F2454CAD7E80B0000001351C8235900093A803D7D427BFB5C6F0FBBDF
7EDF0818C58FECF97F8BDECF1B115FB0240260ADA8C96A46AA2A64C9EA2DB51E0E886768CA2D133D
2468D9D33339204BAA7E4CA2DE8E37FF1EB5BCB343408E9847998E301C26DDC6F91711F631A5B4C7
C2CB09EAB028630A3B22901FE3EF44F66FD019D09D2C46D92283
  Refresh timer is set for 2y24w

Ravitaillement PAC sur l'ASA

L'ASA prend en charge seulement le ravitaillement manuel PAC. Ceci signifie que vous devez le générer manuellement sur l'ISE (dans réseau Devices/ASA) :

Alors le fichier doit être installé (par exemple, avec le FTP) :

bsns-asa5510-17(config)# cts import-pac ftp://ftp:ftp@10.147.25.80/ASA.pac 
password ciscocisco

!PAC Imported Successfully

bsns-asa5510-17(config)# show cts pac

  PAC-Info:
    Valid until: Jul 04 2014 13:33:02
    AID:         c40a15a339286ceac28a50dbbac59784
    I-ID:        ASA
    A-ID-Info:   Identity Services Engine
    PAC-type:    Cisco Trustsec
  PAC-Opaque:
    000200a80003000100040010c40a15a339286ceac28a50dbbac597840006008c000301
    0003d64668f2badc76e251683394b3d5690000001351d15dd900093a8044df74b2b71f
    e667d7b908db7aeea3229e61462bdb70f46580bef9425011126bbf6c2f4212ccdacf08
    c01ddbc7608c3a1ddeb996ba9bfbd1b207281e3edc9ff61b9e800f225dc3f82bd5f794
    7e0a86bee8a3d437af93f54e61858bac877c58d3fe0ec6be54b4c75fad23e1fd

L'environnement régénèrent sur l'ASA et le 3750X

À ce stade, les deux périphériques ont le PAC installé correctement et le démarrent automatiquement pour télécharger les données d'environnement ISE. Ces données sont fondamentalement des nombres de balise et leurs noms. Afin de déclencher un environnement régénérez sur l'ASA, sélectionnent cette commande :

bsns-asa5510-17# cts refresh environment-data

Afin de le vérifier sur l'ASA (malheureusement vous ne pouvez pas voir les balises/noms de la particularité SGT, mais elle est vérifiée plus tard), sélectionnez cette commande :

bsns-asa5510-17(config)# show cts environment-data 
CTS Environment Data
====================
Status:                    Active
Last download attempt:     Successful
Environment Data Lifetime: 86400 secs
Last update time:          05:05:16 UTC Apr 14 2007
Env-data expires in:       0:23:56:15 (dd:hr:mm:sec)
Env-data refreshes in:     0:23:46:15 (dd:hr:mm:sec)

Afin de le vérifier sur 3750X, déclenchez un environnement régénèrent avec cette commande :

bsns-3750-5#cts refresh environment-data

Afin de vérifier les résultats, sélectionnez cette commande :

bsns-3750-5#show cts environment-data 
CTS Environment Data
====================
Current state = COMPLETE
Last status = Successful
Local Device SGT:
  SGT tag = 0-01:Unknown
Server List Info:
Installed list: CTSServerList1-0001, 1 server(s):
 *Server: 10.48.66.129, port 1812, A-ID C40A15A339286CEAC28A50DBBAC59784
          Status = ALIVE    flag(0x11)
          auto-test = TRUE, keywrap-enable = FALSE, idle-time = 60 mins,
deadtime = 20 secs
Security Group Name Table:
  0001-60 :
    0-47:Unknown
    2-47:VLAN10
    3-47:VLAN20
    4-47:VLAN100
Transport type = CTS_TRANSPORT_IP_UDP
Environment Data Lifetime = 86400 secs
Last update time = 05:33:49 UTC Thu Apr 7 2011
Env-data expires in   0:16:46:50 (dd:hr:mm:sec)
Env-data refreshes in 0:16:46:50 (dd:hr:mm:sec)
Cache data applied           = NONE
State Machine is running

Ceci prouve que tous les balises et noms correspondants sont correctement téléchargés.

Mettez en communication la vérification et l'application d'authentification sur le 3750X

Après que le 3750X ait les données d'environnement, vous devez vérifier que le SGTs sont appliqués aux sessions authentifiées.

Afin de vérifier si le MS Windows 7 est authentifié correctement, sélectionnez cette commande :

bsns-3750-5#show authentication sessions interface g1/0/2
            Interface:  GigabitEthernet1/0/2
          MAC Address:  0050.5699.4eb2
           IP Address:  192.168.1.200
            User-Name:  00-50-56-99-4E-B2
               Status:  Authz Success
               Domain:  DATA
      Security Policy:  Should Secure
      Security Status:  Unsecure
       Oper host mode:  single-host
     Oper control dir:  both
        Authorized By:  Authentication Server
          Vlan Policy:  10
              ACS ACL:  xACSACLx-IP-PERMIT_ALL_TRAFFIC-51134bb2
                  SGT:  0002-0
      Session timeout:  N/A
         Idle timeout:  N/A
    Common Session ID:  C0A80001000001002B67334C
      Acct Session ID:  0x00000179
               Handle:  0x94000101

Runnable methods list:
       Method   State
       mab      Authc Success
       dot1x    Not run

La sortie prouve que VLAN10 est utilisé avec le SGT 0002 et DACL tenant compte de tout le trafic.

Afin de vérifier si le MS Windows XP est authentifié correctement, sélectionnez cette commande :

bsns-3750-5#sh authentication sessions interface g1/0/1
            Interface:  GigabitEthernet1/0/1
          MAC Address:  0050.5699.4ea1
           IP Address:  192.168.2.200
            User-Name:  cisco
               Status:  Authz Success
               Domain:  DATA
      Security Policy:  Should Secure
      Security Status:  Unsecure
       Oper host mode:  multi-auth
     Oper control dir:  both
        Authorized By:  Authentication Server
          Vlan Policy:  20
              ACS ACL:  xACSACLx-IP-PERMIT_ALL_TRAFFIC-51134bb2
                  SGT:  0003-0
      Session timeout:  N/A
         Idle timeout:  N/A
    Common Session ID:  C0A80001000000FE2B67334C
      Acct Session ID:  0x00000177
               Handle:  0x540000FF

Runnable methods list:
       Method   State
       dot1x    Authc Success
       mab      Not run

La sortie prouve que le VLAN 20 est utilisé avec le SGT 0003 et DACL tenant compte de tout le trafic

Des adresses IP sont détectées avec la fonctionnalité de cheminement de périphérique d'IP. Le commutateur DHCP devrait être configuré pour piller DHCP. Puis, après la réponse DHCP pillante, il apprend l'adresse IP du client. Pour une adresse IP statique-configurée (comme dans cet exemple), la fonctionnalité pillante d'ARP est utilisée, et un PC doit envoyer n'importe quel paquet pour que le commutateur puisse détecter son adresse IP.

Pour le périphérique dépistant, une commande masquée pourrait être nécessaire afin de le lancer sur des ports :

bsns-3750-5#ip device tracking interface g1/0/1
bsns-3750-5#ip device tracking interface g1/0/2
bsns-3750-5#show ip device tracking all
IP Device Tracking = Enabled
IP Device Tracking Probe Count = 3
IP Device Tracking Probe Interval = 30
IP Device Tracking Probe Delay Interval = 0
-----------------------------------------------------------------------
  IP Address     MAC Address   Vlan  Interface                STATE    
-----------------------------------------------------------------------
192.168.1.200   0050.5699.4eb2  10   GigabitEthernet1/0/2     ACTIVE
192.168.2.200   0050.5699.4ea1  20   GigabitEthernet1/0/1     ACTIVE

Total number interfaces enabled: 2
Enabled interfaces:
  Gi1/0/1, Gi1/0/2

La stratégie régénèrent sur le 3750X

Le 3750X (à la différence de l'ASA) peut télécharger des stratégies de l'ISE. Avant qu'il télécharge et impose une stratégie, vous devez l'activer avec ces commandes :

bsns-3750-5(config)#cts role-based enforcement
bsns-3750-5(config)#cts role-based enforcement vlan-list 1-1005,1007-4094

Si vous ne l'activez pas, la stratégie est téléchargée, mais pas installée et pas utilisée pour l'application.

Afin de déclencher une stratégie régénérez, sélectionnez cette commande :

bsns-3750-5#cts refresh policy 
Policy refresh in progress

Afin de vérifier que la stratégie est téléchargée de l'ISE, sélectionnez cette commande :

bsns-3750-5#show cts role-based permissions 
IPv4 Role-based permissions default:
        Permit IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group Unknown:
        ICMP-20
IPv4 Role-based permissions from group 2:VLAN10 to group 2:VLAN10:
        ICMP-20
IPv4 Role-based permissions from group 2:VLAN10 to group 3:VLAN20:
        ICMP-20
        Deny IP-00

La sortie prouve que seulement la partie nécessaire de la stratégie est téléchargée.

Dans le nuage CTS, le paquet contient le SGT de l'hôte de source, et l'application est faite au périphérique de destination. Ceci signifie que le paquet est expédié de la source au dernier périphérique, qui est connecté directement à la destination host. Ce périphérique est le point d'application, puisqu'il connaît le SGTs de ses hôtes direct-connectés, et sait si le paquet entrant avec une source SGT est permis ou refusé pour le sergent spécifique de destination.

Cette décision est basée sur des stratégies téléchargées de l'ISE.

Dans ce scénario, toutes les stratégies sont téléchargées. Cependant, si vous effacez la session d'authentification de MS Windows XP (SGT=VLAN20), puis il n'y a aucun besoin du commutateur de télécharger n'importe quelle stratégie (ligne) qui correspond à VLAN20, parce qu'il n'y ont plus de périphériques de cela SGT connecté au commutateur.

La section avancée (de dépannage) explique comment le 3750X décide quelles stratégies devraient être téléchargées avec un examen du niveau de paquet.

Échange SXP (l'ASA comme auditeur, et le 3750X comme haut-parleur)

L'ASA ne prend en charge pas le sergent. Toutes les trames avec SGT sont abandonnées par l'ASA. C'est pourquoi le 3750X ne peut pas envoyer les trames SGT-étiquetées à l'ASA. Au lieu de cela, SXP est utilisé. Ce protocole permet à l'ASA pour recevoir les informations du commutateur au sujet du mappage entre les adresses IP et le sergent. Avec ces informations, l'ASA peut tracer des adresses IP à SGTs et faire une décision fondée sur SGACL.

Afin de configurer le 3750X comme haut-parleur, sélectionnez ces commandes :

cts sxp enable
cts sxp default source-ip 192.168.1.10
cts sxp default password cisco
cts sxp connection peer 192.168.1.1 password default mode local

Afin de configurer l'ASA en tant qu'auditeur, sélectionnez ces commandes :

cts sxp enable
cts sxp default password *****
cts sxp default source-ip 192.168.1.1
cts sxp connection peer 192.168.1.10 password default mode local listener

Afin de vérifier que l'ASA a reçu les mappages, sélectionnez cette commande :

bsns-asa5510-17# show cts sxp sgt-map ipv4 detail 
Total number of IP-SGT mappings : 2
Total number of IP-SGT mappings shown: 2

SGT        : 2:VLAN10
IPv4       : 192.168.1.200
Peer IP    : 192.168.1.10
Ins Num    : 1
Status     : Active
Seq Num    : 49

SGT        : 3:VLAN20
IPv4       : 192.168.2.200
Peer IP    : 192.168.1.10
Ins Num    : 1
Status     : Active
Seq Num    : 39

Maintenant, quand l'ASA reçoit le paquet entrant avec l'adresse IP source 192.168.1.200, il peut la traiter comme si il provient SGT=2. Pour l'adresse IP source 192.168.200.2, il peut la traiter comme si il provient SGT=3. Le même s'applique pour l'adresse IP de destination.

Remarque: Le 3750X doit connaître l'adresse IP de l'hôte associé. Ceci est fait par le cheminement de périphérique IP. Pour une adresse IP statique-configurée sur l'hôte d'extrémité, le commutateur doit recevoir n'importe quel paquet après authentification. Ceci déclenche le périphérique IP dépistant afin de trouver son adresse IP, qui déclenche une mise à jour SXP. Quand seulement le SGT est connu, il n'est pas envoyé par l'intermédiaire de SXP.

Filtrage de trafic sur l'ASA avec l'ACL SGT

Voici un contrôle de la configuration ASA :

interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 192.168.1.1 255.255.255.0
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 192.168.2.1 255.255.255.0

Un ACL est créé et appliqué à l'interface interne. Il tient compte de tout le trafic d'ICMP de SGT=3 à SGT=2 (appelé le VLAN10) :

access-list inside extended permit icmp security-group tag 3 any security-group
name VLAN10 any
access-group inside in interface inside

Remarque: Vous pouvez utiliser le nombre de balise ou le nom de balise.

Si vous cinglez du MS Windows XP avec une adresse IP source de 192.168.2.200 (SGT=3) au MS Windows 7 avec une adresse IP de 192.168.1.200 (SGT=2), l'ASA établit une connexion :

%ASA-6-302020: Built outbound ICMP connection for faddr 192.168.1.200/0
(2:VLAN10) gaddr 192.168.2.200/512 laddr 192.168.2.200/512(3:VLAN20)

Quand vous tentez la même chose avec le telnet, le trafic est bloqué :

Deny tcp src inside:192.168.2.200/2478(3:VLAN20) dst outside:192.168.1.200/23
(2:VLAN10) by access-group "inside"

Il y a plus d'options de configuration sur l'ASA. Il est possible d'utiliser une balise de Sécurité et une adresse IP pour la source et la destination. Cette règle permet le trafic d'écho d'ICMP de la balise SGT = 3 et adresse IP 192.168.2.200 à la balise SGT nommée VLAN10 et le host address 192.168.1.200 de destination :

access-list inside extended permit icmp security-group tag 3 host 192.168.2.200
security-group name VLAN10 host 192.168.1.200 echo

Ceci peut également être réalisé avec des groupes d'objets :

object-group security SGT-VLAN-10
 security-group name VLAN10
object-group security SGT-VLAN-20
 security-group tag 3
object-group network host1
 network-object host 192.168.1.200
object-group network host2
 network-object host 192.168.2.200
object-group service my-icmp-echo
 service-object icmp echo

access-list inside extended permit object-group my-icmp-echo
object-group-security SGT-VLAN-20 object-group host2 object-group-security
SGT-VLAN-10 object-group host1

Filtrage de trafic sur le 3750X avec des stratégies téléchargées de l'ISE (RBACL)

Il est également possible de définir des stratégies locales sur le commutateur. Cependant, stratégies de présents de cet exemple téléchargées de l'ISE. On permet à des des stratégies définies sur l'ASA pour utiliser des adresses IP et SGTs (et le nom d'utilisateur à partir du Répertoire actif) dans une règle. Les stratégies définies sur le commutateur (des gens du pays et de l'ISE) tiennent compte seulement de SGTs. Si vous devez utiliser des adresses IP dans vos règles, alors filtrant sur l'ASA est recommandé.

Le trafic d'ICMP entre le MS Windows XP et le MS Windows 7 est testé. Pour ceci, vous devez changer la passerelle par défaut de l'ASA au 3750X sur le MS Windows. Le 3750X a des interfaces de routage et peut conduire les paquets :

interface Vlan10
 ip address 192.168.1.10 255.255.255.0
!
interface Vlan20
 ip address 192.168.2.10 255.255.255.0

Les stratégies sont déjà téléchargées de l'ISE. Afin de les vérifier, sélectionnez cette commande :

 

 bsns-3750-5#show cts role-based permissions 
IPv4 Role-based permissions default:
        Permit IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group Unknown:
        ICMP-20
IPv4 Role-based permissions from group 2:VLAN10 to group 2:VLAN10:
        ICMP-20
IPv4 Role-based permissions from group 2:VLAN10 to group 3:VLAN20:
        ICMP-20
        Deny IP-00

Le trafic de VLAN10 (le MS Windows 7) à VLAN20 (WindowsXP de MS) est soumis à l'ACL ICMP-20, qui est téléchargé de l'ISE :

bsns-3750-5#show ip access-lists ICMP-20
Role-based IP access list ICMP-20 (downloaded)
    10 permit icmp

Afin de vérifier l'ACL, sélectionnez cette commande :

bsns-3750-5#show cts rbacl 
CTS RBACL Policy
================
RBACL IP Version Supported: IPv4
  name   = Deny IP-00
  IP protocol version = IPV4
  refcnt = 2
  flag   = 0x41000000
  stale  = FALSE
  RBACL ACEs:
    deny ip

  name   = ICMP-20
  IP protocol version = IPV4
  refcnt = 6
  flag   = 0x41000000
  stale  = FALSE
  RBACL ACEs:
    permit icmp

  name   = Permit IP-00
  IP protocol version = IPV4
  refcnt = 2
  flag   = 0x41000000
  stale  = FALSE
  RBACL ACEs:
    permit ip

Afin de vérifier le mappage SGT pour s'assurer que le trafic des deux hôtes est correctement étiqueté, sélectionnez cette commande :

bsns-3750-5#show cts role-based sgt-map all
Active IP-SGT Bindings Information

IP Address              SGT     Source
============================================
192.168.1.200           2       LOCAL
192.168.2.200           3       LOCAL

IP-SGT Active Bindings Summary
============================================
Total number of LOCAL    bindings = 2
Total number of active   bindings = 2


L'ICMP du MS Windows 7 (SGT=2) au MS Windows XP (SGT=3) fonctionne bien avec l'ACL ICMP-20. Ceci est vérifié en vérifiant des compteurs pour le trafic de 2 à 3 (15 paquets permis) :

bsns-3750-5#show cts role-based counters        
Role-based IPv4 counters
# '-' in hardware counters field indicates sharing among cells with identical
policies
From    To      SW-Denied       HW-Denied       SW-Permitted    HW-Permitted   

2       0       0               0               1695            224            
2       2       0               -               0               -              

*       *       0               0               133258          132921         

2       3       0               0               0               15 

Après que vous tentiez d'utiliser le compteur de telnet, l'augmentation refusée de paquets (on ne lui permet pas sur l'ACL ICMP-20) :

bsns-3750-5#show cts role-based counters        
Role-based IPv4 counters
# '-' in hardware counters field indicates sharing among cells with identical
policies
From    To      SW-Denied       HW-Denied       SW-Permitted    HW-Permitted   

2       0       0               0               1695            224            
2       2       0               -               0               -              

*       *       0               0               133281          132969         

2       3       0               2               0               15 

Remarque: Le caractère d'étoile (*) affiché dans la sortie est lié à tout le trafic qui n'est pas étiqueté (cette ligne et colonne s'appelle inconnue dans la matrice sur l'ISE, et la balise le numéro 0 d'utilisation).

Quand vous avez un rubrique de liste ACL avec le mot clé de journal (défini sur l'ISE), les détails correspondants de paquet et les mesures prises sont enregistré comme dans tout ACL avec le mot clé de journal.

Vérifiez

Référez-vous aux différentes sections de configuration pour des procédures de vérification.

Dépannez

Ravitaillement PAC

Les problèmes pourraient apparaître quand vous utilisez le ravitaillement automatique PAC. Souvenez-vous pour utiliser le mot clé pac pour le serveur de RAYON. Le ravitaillement automatique PAC sur le 3750X utilise la méthode d'EAP-FAST avec Extensible Authentication Protocol avec la méthode intérieure utilisant l'authentification à échanges confirmés de Protocol d'authentification de Microsoft (EAP-MSCHAPv2). Quand vous mettez au point, vous voyez les plusieurs messages de RAYON qui sont la partie de négociation d'EAP-FAST utilisée afin de construire le tunnel sécurisé, qui utilise EAP-MSCHAPv2 avec l'ID et le mot de passe configurés pour l'authentification.

La première demande RADIUS utilise l'AAA service-type=cts-pac-provisioning afin d'informer l'ISE que c'est une demande PAC.

bsns-3750-5#debug cts provisioning events 
bsns-3750-5#debug cts provisioning packets

*Mar  1 09:55:11.997: CTS-provisioning: New session socket: src=
10.48.66.109:57516 dst=10.48.66.129:1645
*Mar  1 09:55:11.997: CTS-provisioning: Sending EAP Response/Identity to
10.48.66.129
*Mar  1 09:55:11.997: CTS-provisioning: OUTGOING RADIUS msg to 10.48.66.129:
*Mar  1 09:55:11.997: CTS-provisioning: INCOMING RADIUS msg from 10.48.66.129:
*Mar  1 09:55:11.997: CTS-provisioning: Received RADIUS challenge from
10.48.66.129.
*Mar  1 09:55:12.006: CTS-provisioning: Received TX_PKT from EAP method
*Mar  1 09:55:12.006: CTS-provisioning: Sending EAPFAST response to
10.48.66.129
*Mar  1 09:55:12.006: CTS-provisioning: OUTGOING RADIUS msg to 10.48.66.129:
*Mar  1 09:55:12.106: CTS-provisioning: INCOMING RADIUS msg from 10.48.66.129:
*Mar  1 09:55:12.115: CTS-provisioning: Received RADIUS challenge from
10.48.66.129.
*Mar  1 09:55:12.744: CTS-provisioning: Received TX_PKT from EAP method
*Mar  1 09:55:12.744: CTS-provisioning: Sending EAPFAST response to
10.48.66.129
*Mar  1 09:55:12.744: CTS-provisioning: OUTGOING RADIUS msg to 10.48.66.129:
*Mar  1 09:55:12.844: CTS-provisioning: INCOMING RADIUS msg from 10.48.66.129:
*Mar  1 09:55:12.844: CTS-provisioning: Received RADIUS challenge from
10.48.66.129.
*Mar  1 09:55:12.853: CTS-provisioning: Received TX_PKT from EAP method
*Mar  1 09:55:12.853: CTS-provisioning: Sending EAPFAST response to 10.48.66.129
*Mar  1 09:55:12.853: CTS-provisioning: OUTGOING RADIUS msg to 10.48.66.129:
*Mar  1 09:55:12.853: CTS-provisioning: INCOMING RADIUS msg from 10.48.66.129:
*Mar  1 09:55:12.861: CTS-provisioning: Received RADIUS challenge from
10.48.66.129.
*Mar  1 09:55:12.861: CTS-provisioning: Received TX_PKT from EAP method
*Mar  1 09:55:12.861: CTS-provisioning: Sending EAPFAST response to 10.48.66.129
*Mar  1 09:55:12.861: CTS-provisioning: OUTGOING RADIUS msg to 10.48.66.129:
*Mar  1 09:55:12.878: CTS-provisioning: INCOMING RADIUS msg from 10.48.66.129:
*Mar  1 09:55:12.878: CTS-provisioning: Received RADIUS challenge from
10.48.66.129.
*Mar  1 09:55:12.886: CTS-provisioning: Received TX_PKT from EAP method
*Mar  1 09:55:12.886: CTS-provisioning: Sending EAPFAST response to 10.48.66.129
*Mar  1 09:55:12.886: CTS-provisioning: OUTGOING RADIUS msg to 10.48.66.129:
*Mar  1 09:55:12.895: CTS-provisioning: INCOMING RADIUS msg from 10.48.66.129:
*Mar  1 09:55:12.895: CTS-provisioning: Received RADIUS challenge from
10.48.66.129.
*Mar  1 09:55:12.895: CTS-provisioning: Received TX_PKT from EAP method
*Mar  1 09:55:12.895: CTS-provisioning: Sending EAPFAST response to 10.48.66.129
*Mar  1 09:55:12.903: CTS-provisioning: OUTGOING RADIUS msg to 10.48.66.129:
*Mar  1 09:55:12.912: CTS-provisioning: INCOMING RADIUS msg from 10.48.66.129:
*Mar  1 09:55:12.912: CTS-provisioning: Received RADIUS challenge from
10.48.66.129.
*Mar  1 09:55:12.920: CTS-provisioning: Received TX_PKT from EAP method
*Mar  1 09:55:12.920: CTS-provisioning: Sending EAPFAST response to 10.48.66.129
*Mar  1 09:55:12.920: CTS-provisioning: OUTGOING RADIUS msg to 10.48.66.129:
*Mar  1 09:55:12.928: CTS-provisioning: INCOMING RADIUS msg from 10.48.66.129:
*Mar  1 09:55:12.928: CTS-provisioning: Received RADIUS challenge from
10.48.66.129.
*Mar  1 09:55:12.970: CTS-pac-refresh: PAC C40A15A339286CEAC28A50DBBAC59784
refresh timer has been set for 20y30w

*Mar  1 09:55:12.970: CTS-provisioning: Ignoring key data.
*Mar  1 09:55:12.979: CTS-provisioning: Received TX_PKT from EAP method
*Mar  1 09:55:12.979: CTS-provisioning: Sending EAPFAST response to 10.48.66.129
*Mar  1 09:55:12.979: CTS-provisioning: OUTGOING RADIUS msg to 10.48.66.129:
*Mar  1 09:55:12.995: CTS-provisioning: INCOMING RADIUS msg from 10.48.66.129:
*Mar  1 09:55:12.995: CTS-provisioning: Received RADIUS reject from 10.48.66.129.
*Mar  1 09:55:12.995: CTS-provisioning: Successfully obtained PAC for A-ID
c40a15a339286ceac28a50dbbac59784

*Mar  1 09:55:12.995: CTS-provisioning: cts_provi_server_cleanup: 10.48.66.129
*Mar  1 09:55:12.995: CTS-provisioning: work complete, process terminating.

L'anomalie de RAYON à l'extrémité de la sortie est prévue puisque vous avez déjà reçu le PAC, et n'a pas suivi avec une autre procédure d'authentification.

Souvenez-vous que le PAC est exigé pour toute autre transmission avec l'ISE. Mais, si vous ne l'avez pas, le commutateur tente toujours un environnement ou la stratégie régénèrent quand elle est configurée. Puis, il ne relie pas le cts-opaqueue (PAC) dans les demandes RADIUS, qui entraîne les pannes.

Si votre clé PAC est erronée, des affichages de ce message d'erreur sur l'ISE :

The Message-Authenticator RADIUS attribute is invalid

Vous voyez également que cette sortie de met au point (mettez au point le ravitaillement + le debug radius de cts) sur le commutateur si votre clé PAC est erronée :

Apr 20 10:07:11.768: CTS-provisioning: Sending EAP Response/Identity t 
Apr 20 10:07:15.325: RADIUS(0000024B): Request timed out!
Apr 20 10:07:15.325: RADIUS: No response from (10.62.84.224:1645,1646) for
id 1645/37

Si vous utilisez la convention moderne de serveur de rayon, ceci affiche :

radius server KRK-ISE
 address ipv4 10.62.84.224 auth-port 1645 acct-port 1646
 pac key CISCO

Remarque: Vous devez utiliser le même mot de passe sur l'ISE que vous avez utilisé dans les configurations d'authentification de périphérique.

Après le ravitaillement réussi PAC, ce affichages sur l'ISE :

L'environnement régénèrent

L'environnement régénèrent est utilisé afin d'obtenir des données de base de l'ISE, qui inclut le nombre et le nom SGT. Le niveau de paquet prouve que c'est seulement trois demandes RADIUS et réponses avec des attributs.

Pour la première demande, le commutateur reçoit le nom de CTSServerlist. Pour le second, il reçoit les détails pour cette liste, et pour dernière, il reçoit tout le SGTs avec des balises et des noms :

Voici que vous voyez le par défaut SGT 0, le ffff, et également deux coutume-définis : La balise 2 SGT est nommée la balise 3 VLAN10 et SGT est nommée VLAN20.

Remarque: Toutes les demandes RADIUS incluent cts-pac-opaque en raison du ravitaillement PAC.

Sur le 3750X, vous devriez voir met au point pour chacune des trois réponses de RAYON et les listes correspondantes, répertorient des détails, et la particularité SGT-à l'intérieur de la liste :

bsns-3750-5#debug cts environment-data all

*Mar  1 10:05:07.454: CTS env-data: cleanup mcast SGT table
*Mar  1 10:05:18.057: CTS env-data: Force environment-data refresh
*Mar  1 10:05:18.057: CTS env-data: download transport-type =
CTS_TRANSPORT_IP_UDP
*Mar  1 10:05:18.057:     cts_env_data START: during state env_data_complete,
got event 0(env_data_request)
*Mar  1 10:05:18.057: @@@ cts_env_data START: env_data_complete ->
env_data_waiting_rsp
*Mar  1 10:05:18.057: env_data_waiting_rsp_enter: state = WAITING_RESPONSE
*Mar  1 10:05:18.057: env_data_request_action: state = WAITING_RESPONSE
*Mar  1 10:05:18.057: cts_env_data_is_complete: FALSE, req(x0), rec(x0),
expect(x81), complete1(x85), complete2(xB5), complete3(x28B5)
*Mar  1 10:05:18.057: cts_aaa_req_setup: (CTS env-data)Private group appears DEAD,
attempt public group
*Mar  1 10:05:18.057: cts_aaa_req_setup: (CTS env-data)CTS_TRANSPORT_IP_UDP
*Mar  1 10:05:18.057: cts_aaa_req_setup: (CTS env-data)AAA req(x7C3DF10)
*Mar  1 10:05:18.057: cts_aaa_attr_add: AAA req(0x7C3DF10)
*Mar  1 10:05:18.057:   username = #CTSREQUEST#
*Mar  1 10:05:18.057:   cts-environment-data = 3750X
*Mar  1 10:05:18.057: cts_aaa_req_send: AAA req(0x7C3DF10) successfully sent to AAA.
*Mar  1 10:05:18.083: cts_aaa_callback: (CTS env-data)AAA req(0x7C3DF10)
response success
*Mar  1 10:05:18.083:   AAA attr: Unknown type (447).
*Mar  1 10:05:18.083:   AAA attr: Unknown type (220).
*Mar  1 10:05:18.083:   AAA attr: Unknown type (275).
*Mar  1 10:05:18.083:   AAA attr: server-list = CTSServerList1-0001.
*Mar  1 10:05:18.083:   AAA attr: security-group-tag = 0000-00.
*Mar  1 10:05:18.083:   AAA attr: environment-data-expiry = 86400.
*Mar  1 10:05:18.083:   AAA attr: security-group-table = 0001-5.
*Mar  1 10:05:18.083: CTS env-data: Receiving AAA attributes
  CTS_AAA_SLIST
    slist name(CTSServerList1) received in 1st Access-Accept
    slist name(CTSServerList1) created
  CTS_AAA_SECURITY_GROUP_TAG - SGT = unicast-unknown-00
  CTS_AAA_ENVIRONMENT_DATA_EXPIRY = 86400.
  CTS_AAA_SGT_NAME_LIST
    table(0001) received in 1st Access-Accept
    old name(), gen()
    new name(0001), gen(50)
  CTS_AAA_DATA_END
*Mar  1 10:05:18.083:     cts_env_data WAITING_RESPONSE: during state
env_data_waiting_rsp, got event 1(env_data_received)
*Mar  1 10:05:18.083: @@@ cts_env_data WAITING_RESPONSE: env_data_waiting_rsp ->
env_data_assessing
*Mar  1 10:05:18.083: env_data_assessing_enter: state = ASSESSING
*Mar  1 10:05:18.083: env_data_assessing_action: state = ASSESSING
*Mar  1 10:05:18.083: cts_env_data_is_complete: FALSE, req(x1089), rec(xC83),
expect(x28B5), complete1(x85), complete2(xB5), complete3(x28B5)
*Mar  1 10:05:18.083:     cts_env_data ASSESSING: during state env_data_assessing,
got event 3(env_data_incomplete)
*Mar  1 10:05:18.083: @@@ cts_env_data ASSESSING: env_data_assessing ->
env_data_waiting_rsp
*Mar  1 10:05:18.083: env_data_waiting_rsp_enter: state = WAITING_RESPONSE
*Mar  1 10:05:18.083: env_data_request_action: state = WAITING_RESPONSE
*Mar  1 10:05:18.083: cts_env_data_is_complete: FALSE, req(x1089), rec(xC83),
expect(x28B5), complete1(x85), complete2(xB5), complete3(x28B5)
*Mar  1 10:05:18.083: cts_aaa_req_setup: (CTS env-data)Private group appears DEAD,
attempt public group
*Mar  1 10:05:18.083: cts_aaa_req_setup: (CTS env-data)CTS_TRANSPORT_IP_UDP
*Mar  1 10:05:18.083: cts_aaa_req_setup: (CTS env-data)AAA req(x792FFD0)
*Mar  1 10:05:18.083: cts_aaa_attr_add: AAA req(0x792FFD0)
*Mar  1 10:05:18.091:   username = #CTSREQUEST#
*Mar  1 10:05:18.091:   cts-server-list = CTSServerList1
*Mar  1 10:05:18.091: cts_aaa_req_send: AAA req(0x792FFD0) successfully sent to AAA.
*Mar  1 10:05:18.099: cts_aaa_callback: (CTS env-data)AAA req(0x792FFD0)
response success
*Mar  1 10:05:18.099:   AAA attr: Unknown type (447).
*Mar  1 10:05:18.099:   AAA attr: Unknown type (220).
*Mar  1 10:05:18.099:   AAA attr: Unknown type (275).
*Mar  1 10:05:18.099:   AAA attr: server-list = CTSServerList1-0001.
*Mar  1 10:05:18.099:   AAA attr: server = c40a15a339286ceac28a50dbbac59784:
10.48.66.129:1812.
*Mar  1 10:05:18.099: CTS env-data: Receiving AAA attributes
  CTS_AAA_SLIST
    2nd Access-Accept slist name(CTSServerList1), gen(0001)
  CTS_AAA_SERVERS
    server (c40a15a339286ceac28a50dbbac59784:10.48.66.129:1812) added
  CTS_AAA_DATA_END
*Mar  1 10:05:18.099:     cts_env_data WAITING_RESPONSE: during state
env_data_waiting_rsp, got event 1(env_data_received)
*Mar  1 10:05:18.099: @@@ cts_env_data WAITING_RESPONSE: env_data_waiting_rsp ->
env_data_assessing
*Mar  1 10:05:18.099: env_data_assessing_enter: state = ASSESSING
*Mar  1 10:05:18.099: env_data_assessing_action: state = ASSESSING
*Mar  1 10:05:18.099: cts_env_data_is_complete: FALSE, req(x108D), rec(xC87),
expect(x28B5), complete1(x85), complete2(xB5), complete3(x28B5)
*Mar  1 10:05:18.099:     cts_env_data ASSESSING: during state env_data_assessing,
got event 3(env_data_incomplete)
*Mar  1 10:05:18.099: @@@ cts_env_data ASSESSING: env_data_assessing ->
env_data_waiting_rsp
*Mar  1 10:05:18.099: env_data_waiting_rsp_enter: state = WAITING_RESPONSE
*Mar  1 10:05:18.099: env_data_request_action: state = WAITING_RESPONSE
*Mar  1 10:05:18.099: cts_env_data_is_complete: FALSE, req(x108D), rec(xC87),
expect(x28B5), complete1(x85), complete2(xB5), complete3(x28B5)
*Mar  1 10:05:18.099: cts_aaa_req_setup: (CTS env-data)Using private server group
*Mar  1 10:05:18.099: cts_aaa_req_setup: (CTS env-data)CTS_TRANSPORT_IP_UDP
*Mar  1 10:05:18.099: cts_aaa_req_setup: (CTS env-data)AAA req(x7A6C4AC)
*Mar  1 10:05:18.099: cts_aaa_attr_add: AAA req(0x7A6C4AC)
*Mar  1 10:05:18.099:   username = #CTSREQUEST#
*Mar  1 10:05:18.099:   cts-security-group-table = 0001
*Mar  1 10:05:18.099: cts_aaa_req_send: AAA req(0x7A6C4AC) successfully sent to AAA.
*Mar  1 10:05:18.108: cts_aaa_callback: (CTS env-data)AAA req(0x7A6C4AC)
response success
*Mar  1 10:05:18.108:   AAA attr: Unknown type (447).
*Mar  1 10:05:18.108:   AAA attr: Unknown type (220).
*Mar  1 10:05:18.108:   AAA attr: Unknown type (275).
*Mar  1 10:05:18.108:   AAA attr: security-group-table = 0001-5.
*Mar  1 10:05:18.108:   AAA attr: security-group-info = 0-0-00-Unknown.
*Mar  1 10:05:18.108:   AAA attr: security-group-info = ffff-0-00-ANY.
*Mar  1 10:05:18.108:   AAA attr: security-group-info = 2-0-00-VLAN10.
*Mar  1 10:05:18.108:   AAA attr: security-group-info = 3-0-00-VLAN20.
*Mar  1 10:05:18.108:  CTS env-data: Receiving AAA attributes
  CTS_AAA_SGT_NAME_LIST
    table(0001) received in 2nd Access-Accept
    old name(0001), gen(50)
    new name(0001), gen(50)
  CTS_AAA_SGT_NAME_INBOUND - SGT = unicast-unknown-00
   flag (128) server name (Unknown) added
   name (0001), request (1), receive (1)
   Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on
  CTS_AAA_SGT_NAME_INBOUND - SGT = unicast-default-00
   flag (128) server name (ANY) added
   name (0001), request (1), receive (1)
   Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on
  CTS_AAA_SGT_NAME_INBOUND - SGT = 2-00
   flag (128) server name (VLAN10) added
   name (0001), request (1), receive (1)
   Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on
  CTS_AAA_SGT_NAME_INBOUND - SGT = 3-00
   flag (128) server name (VLAN20) added
   name (0001), request (1), receive (1)
   Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on
  CTS_AAA_DATA_END
*Mar  1 10:05:18.108:     cts_env_data WAITING_RESPONSE: during state
env_data_waiting_rsp, got event 1(env_data_received)
*Mar  1 10:05:18.108: @@@ cts_env_data WAITING_RESPONSE: env_data_waiting_rsp ->
env_data_assessing
*Mar  1 10:05:18.108: env_data_assessing_enter: state = ASSESSING
*Mar  1 10:05:18.108: env_data_assessing_action: state = ASSESSING
*Mar  1 10:05:18.116: cts_env_data_is_complete: TRUE, req(x2085), rec(x2C87),
expect(x81), complete1(x85), complete2(xB5), complete3(x28B5)
*Mar  1 10:05:18.116:     cts_env_data ASSESSING: during state env_data_assessing,
got event 4(env_data_complete)
*Mar  1 10:05:18.116: @@@ cts_env_data ASSESSING: env_data_assessing ->
env_data_complete
*Mar  1 10:05:18.116: env_data_complete_enter: state = COMPLETE
*Mar  1 10:05:18.116: env_data_install_action: state = COMPLETE

La stratégie régénèrent

La stratégie régénèrent est prise en charge seulement sur le commutateur. Il est semblable à l'environnement régénèrent. Ce sont simplement des demandes RADIUS et reçoivent.

Le commutateur demande tout l'ACLs dans la liste par défaut. Puis, pour chaque ACL qui n'est pas à jour (ou n'existe pas), il envoie une autre demande d'obtenir les détails.

Voici une réponse d'exemple quand vous demandez l'ACL ICMP-20 :

Souvenez-vous que vous devez faire configurer le cts role-based enforcement afin d'imposer cet ACL.

Les debugs indiquent s'il y a des modifications (basées sur l'ID de génération). Si oui, vous pouvez désinstaller la vieille stratégie si nécessaire, et installez un neuf. Ceci inclut la programmation ASIC (support matériel).

bsns-3750-5#debug cts all

Mar 30 02:39:37.151:  CTS authz entry: peer(Unknown-2) Receiving AAA attributes
    rcv rbacl list: flags: req(81)rcv(0)wait(80)prev(0)install(880)
     - SGT = 2-01:VLAN10
     - SGT = 2-01:VLAN10
    current arg_cnt=8, expected_num_args=11
    3rd Access-Accept rbacl received name(ICMP), gen(20)
    received_policyp->sgt(2-01:VLAN10)
    existing sgt_policy(73FFDB4) sgt(2-01:VLAN10)
    RBACL name(ICMP-20)flag(40000000) already exists
   acl_listp(740266C) old_acl_infop(0),exist_rbacl_type(0)
  CTS_AAA_AUTHORIZATION_EXPIRY = 86400.
  CTS_AAA_DATA_END

Mar 30 02:39:37.176: cts_authz_entry_complete_action: Policy download complete -
peer(Unknown-2) SGT(2-01:VLAN10) status(RBACL-POLICY SUCCEEDED)

Mar 30 02:39:37.176: cts_authz_rbacl_uninstall_cb:
Mar 30 02:39:37.176: uninstall cb_ctx:
Mar 30 02:39:37.176:   session_hdl = F1000003
Mar 30 02:39:37.176:   sgt_policyp = 73FFDB4, sgt=(2-01:VLAN10), magic(BABECABB)
Mar 30 02:39:37.176:   ip_version  = IPV6
Mar 30 02:39:37.176:   src-or-dst  = BOTH
Mar 30 02:39:37.176:   wait_rbm_install_ip_ver(0)
Mar 30 02:39:37.176:   wait_rbm_uninstall_ip_ver(C0000000)
Mar 30 02:39:37.176: cts_authz_rbacl_uninstall_cb:
Mar 30 02:39:37.176: uninstall cb_ctx:
Mar 30 02:39:37.176:   session_hdl = F1000003
Mar 30 02:39:37.176:   sgt_policyp = 73FFDB4, sgt=(2-01:VLAN10), magic(BABECABB)
Mar 30 02:39:37.176:   ip_version  = IPV4
Mar 30 02:39:37.176:   src-or-dst  = BOTH
Mar 30 02:39:37.176:   wait_rbm_install_ip_ver(0)
Mar 30 02:39:37.176:   wait_rbm_uninstall_ip_ver(40000000)

Mar 30 02:39:37.210: install cb_ctx:
Mar 30 02:39:37.210:   session_hdl = F1000003
Mar 30 02:39:37.210:   sgt_policyp = 73FFDB4, sgt=(2-01:VLAN10), magic(BABECABB)
Mar 30 02:39:37.210:   ip_version  = IPV6
Mar 30 02:39:37.210:   src-or-dst  = SRC
Mar 30 02:39:37.210:   wait_rbm_install_ip_ver(C0000000)
Mar 30 02:39:37.210:   wait_rbm_uninstall_ip_ver(0)
Mar 30 02:39:37.210: cts_authz_rbacl_install_cb: Waiting for more RBM callback
for remaining IP version(40000000) RBACL policy(73FFDB4) for SGT(2-01:VLAN10)
flag(41400001)
Mar 30 02:39:37.210: cts_authz_rbacl_install_cb:
Mar 30 02:39:37.210: install cb_ctx:
Mar 30 02:39:37.210:   session_hdl = F1000003
Mar 30 02:39:37.210:   sgt_policyp = 73FFDB4, sgt=(2-01:VLAN10), magic(BABECABB)
Mar 30 02:39:37.210:   ip_version  = IPV4
Mar 30 02:39:37.210:   src-or-dst  = SRC
Mar 30 02:39:37.210:   wait_rbm_install_ip_ver(40000000)
Mar 30 02:39:37.210:   wait_rbm_uninstall_ip_ver(0)
Mar 30 02:39:37.210: cts_authz_rbacl_install_cb: Program RBACL policy(73FFDB4)
for SGT(2-01:VLAN10) flag(41400001) success

Échange SXP

La mise à jour SXP est déclenchée par le code de périphérique-cheminement IP qui trouve l'adresse IP du périphérique. Puis, le protocole peer-to-peer de message court (SMPP) est utilisé afin d'envoyer les mises à jour. Il utilise l'option 19 de TCP pour l'authentification, qui est identique que le Protocole BGP (Border Gateway Protocol). La charge utile SMPP n'est pas chiffrée. Wireshark n'a pas un décodeur approprié pour la charge utile SMPP, mais il est facile de trouver des données à l'intérieur de lui :

  • Le premier, c0 a8 01 c8, est 192.168.1.200 et a la balise 2.
  • Le second, c0 a8 02 c8, est 192.168.2.200 et a la balise 3.
  • Le troisième, c0 a8 0a 02, est 192.168.10.2 et a la balise 4 (celui-ci était le téléphone de test utilisé SGT=4)

Voici certains mettent au point sur le 3750X après que le cheminement de périphérique IP trouve l'adresse IP du MS Windows 7 :

bsns-3750-5#debug cts sxp message
bsns-3750-5#debug cts sxp internal
bsns-3750-5#debug cts sxp conn
bsns-3750-5#debug cts sxp mdb
bsns-3750-5#debug cts sxp error

Apr  7 00:39:06.874: CTS-SXP-CONN:sxp_process_message_event = CTS_SXPMSG_REQUEST
Apr  7 00:39:06.874: CTS-SXP-CONN:sxp_process_request  CTS_SXPMSG_REQ_CONN_NVGEN
Apr  7 00:39:06.874: CTS-SXP-CONN:cts_get_next_sxpconn_cli
Apr  7 00:39:06.874: CTS-SXP-CONN:cts_get_next_sxpconn_cli
Apr  7 00:39:06.874: CTS-SXP-INTNL:sxp_process_request boolean set
Apr  7 00:39:06.874: CTS-SXP-INTNL:sxp_send_request set boolean after
Apr  7 00:40:05.418: CTS-SXP-CONN:is_cts_sxp_rf_active
Apr  7 00:40:05.418: CTS-SXP-MDB:sxp_export_ipsgt_change 192.168.1.200/32 add 1

Voici la correspondance met au point sur l'ASA :

bsns-asa5510-17# debug cts sxp all

%ASA-7-776018: CTS SXP: Binding 192.168.1.200->2:VLAN10 from peer 192.168.1.10
(instance 1) added in SXP database.

%ASA-7-776019: CTS SXP: Binding 192.168.1.200->2:VLAN10 added. Update binding
manager.
%ASA-6-776251: CTS SGT-MAP: Binding 192.168.1.200->2:VLAN10 from SXP added to
binding manager.
%ASA-7-776014: CTS SXP: SXP received binding forwarding request (add) binding
192.168.1.200->2:VLAN10.

SGACL sur l'ASA

Après que l'ASA installe correctement les mappages SGT reçus par SXP, l'ACL de groupes de sécurité devrait fonctionner bien. Quand vous rencontrez des problèmes avec le mappage, entrez :

bsns-asa5510-17# debug cts sgt-map 

L'ACL avec le groupe de sécurité travaille exactement les mêmes qu'il fait pour l'adresse IP ou l'identité de l'utilisateur. Les logs indiquent les problèmes, et l'entrée précise de l'ACL qui a été frappée.

Voici un ping de MS Windows XP au MS Windows 7 qui affiche des travaux de ce traceur de paquet correctement :

bsns-asa5510-17# packet-tracer input inside icmp 192.168.2.200 8 0 192.168.1.200 
detailed
<output ommitted>

Phase: 2
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group inside in interface inside
access-list inside extended permit icmp security-group tag 3 any security-group
name VLAN10 any

Additional Information:
 Forward Flow based lookup yields rule:
 in  id=0xaaf2ae80, priority=13, domain=permit, deny=false
        hits=185, user_data=0xaa2f5040, cs_id=0x0, use_real_addr, flags=0x0,
protocol=1
        src ip/id=0.0.0.0, mask=0.0.0.0, icmp-type=0, tag=3:VLAN20
        dst ip/id=0.0.0.0, mask=0.0.0.0, icmp-code=0, tag=2:VLAN10, dscp=0x0
        input_ifc=inside, output_ifc=any
              
<output ommitted>

Informations connexes


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 116497