セキュリティ : Cisco 適応型セキュリティ アプライアンス(ASA)ソフトウェア

ASA と Catalyst 3750X シリーズ スイッチ TrustSec の設定例とトラブルシューティング ガイド

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 9 月 22 日) | フィードバック

概要

Cisco Secure 適応型セキュリティ アプライアンス(ASA)および Cisco Catalyst 3750X シリーズ スイッチ(3750X)での Cisco TrustSec (CTS)の設定方法について説明します。

セキュリティ グループ タグ(SGT)と IP アドレス間のマッピングを学習するため、ASA は SGT Exchange Protocol(SXP)を使用します。 次に、SGT に基づくアクセス コントロール リスト(ACL)を使用してトラフィックのフィルタリングが行われます。 3750X は、Cisco Identity Services Engine(ISE)からロール ベース アクセス コントロール リスト(RBACL)ポリシーをダウンロードし、このポリシーに基づいてトラフィックをフィルタリングします。 本書では、通信の仕組みと予期されるデバッグについて説明するために、パケット レベルについて詳しく説明します。

著者:Cisco TAC エンジニア、Michal Garcarz

前提条件

要件

Cisco では、次の項目について基本的な知識があることを推奨しています。

  • CTS のコンポーネント
  • ASA と Cisco IOS® の CLI 設定

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco ASA ソフトウェア バージョン 9.1 以降
  • Microsoft(MS)Windows 7 および MS Windows XP
  • Cisco 3750X ソフトウェア バージョン 15.0 以降
  • Cisco ISE ソフトウェア リリース 1.1.4 以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

設定

ネットワーク図

トラフィック フロー

トラフィック フローを次に示します。

  • ポート認証のために G1/0/1G1/0/2 で 3750X が設定されます。
  • ISE は、認証、認可、およびアカウンティング(AAA)サーバとして使用されます。
  • MS Windows 7 での認証に MAC アドレス バイパス(MAB)が使用されます。
  • 使用する認証手法は重要ではないことを示すため、MS Windows XP に IEEE 802.1x が使用されます。

認証が成功すると、ISE が SGT を戻し、3750X がこのタグを認証セッションにバインドします。 スイッチは ip device tracking コマンドを使用して両方のステーションの IP アドレスを学習します。 次にスイッチは、SGT と ASA の IP アドレスの間でマッピング テーブルを送信するために、SXP を使用します。 この両方の MS Windows PC のデフォルト ルーティングは ASA を指し示します。

ASA は、SGT にマッピングされた IP アドレスからのトラフィックを受信した後、SGT に基づいて ACL を使用できます。 また、3750X をルータ(両方の MS Windows ステーションのデフォルト ゲートウェイ)として使用する場合は、ISE からダウンロードしたポリシーに基づいてトラフィックをフィルタリングできます。

設定と検証の手順を次に示します。それぞれの手順について、このドキュメントの個別のセクションで詳しく後述します。

  • 3750X で ip device tracking コマンドを使用したポート認証
  • 認証、SGT、およびセキュリティ グループ アクセス コントロール リスト(SGACL)ポリシーに対応した ISE 設定
  • ASA および 3750X での CTS 設定
  • 3750X(自動)および ASA(手動)での Protected Access Credential(PAC)プロビジョニング
  • ASA および 3750X での環境の更新
  • 3750X でのポート認証の検証と適用
  • 3750X でのポリシーの更新
  • SXP の交換(ASA:リスナー、3750X:スピーカ)
  • SGT ACL を使用した ASA でのトラフィック フィルタリング
  • ISE からダウンロードしたポリシーを使用した 3750X でのトラフィック フィルタリング

設定

3750X で ip device tracking コマンドを使用したポート認証

802.1x または MAB の一般的な設定を次に示します。 RADIUS 認可変更(CoA)は、ISE からのアクティブな通知を使用する場合にのみ必要です。

aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa authorization network ise group radius
aaa accounting dot1x default start-stop group radius

!Radius COA
aaa server radius dynamic-author
 client 10.48.66.129 server-key cisco
 server-key cisco

ip device tracking

interface GigabitEthernet1/0/1
 description windowsxp
 switchport mode access
 authentication order mab dot1x
 authentication port-control auto
 mab
 dot1x pae authenticator
 spanning-tree portfast
!
interface GigabitEthernet1/0/2
 description windows7
 switchport mode access
 authentication order mab dot1x
 authentication port-control auto
 mab
 dot1x pae authenticator
spanning-tree portfast

radius-server host 10.48.66.129 pac key cisco
radius-server host 10.48.66.129 auth-port 1812
radius-server vsa send accounting
radius-server vsa send authentication

認証、SGT、および SGACL ポリシー用の ISE 設定

ISE の [Administration] > [Network Devices] で両方のネットワーク デバイスが設定されている必要があります。

MAB 認証を使用する MS Windows 7 では、[Administration] > [Identity Management] > [Identities] > [Endpoints] でエンドポイント ID(Mac アドレス)を作成する必要があります。

802.1x 認証を使用する MS Windows XP では、[Administration] > [Identity Management] > [Identities] > [Users] でユーザ ID(ユーザ名)を作成する必要があります。

ユーザ名 cisco が使用されます。 これらのクレデンシャルを使用して、MS Windows XP で Extensible Authentication Protocol-Protected EAP(EAP-PEAP)を設定します。

ISE ではデフォルトの認証のポリシーが使用されます(これを変更しないでください)。 1 番目は MAB 認証のポリシー、2 番目は 802.1x 認証のポリシーです。

認証ポリシーを設定するには、[Policy] > [Results] > [Authorization] > [Authorization Profiles] で認証プロファイルを定義する必要があります。 MS Windows 7 プロファイルには、すべてのトラフィックを許可するダウンロード可能 ACL(DACL)を含む VLAN10-Profile が使用されます。

MS Windows XP には、VLAN 番号(20)以外は類似した設定である VLAN20-Profile が使用されます。

ISE で SGT グループ(タグ)を設定するには、[Policy] > [Results] > [Security Group Access] > [Security Groups] に移動します。

: タグ番号は選択できません。 最初に使用可能な番号(1 以外)が自動的に選択されます。 SGT 名だけを設定できます。

Internet Control Message Protocol(ICMP)トラフィックを許可するために、SGACL を作成するには、[Policy] > [Results] > [Security Group Access] > [Security Group ACLs] に移動します。

ポリシーを作成するために、[Policy] > [Security Group Access] > [Egress Policy] に移動します。 VLAN10 と不明な VLAN、VLAN 10、または VLAN20 の間のトラフィックには、ICMP ACL が使用されます(permit icmp)。

認証ルールを設定するために、[Policy] > [Authorization] に移動します。 MS Windows 7(特定の MAC アドレス)では、VLAN10-Profile が使用され、VLAN 10 と DACL、および VLAN10 という名前の SGT を持つセキュリティ プロファイル VLAN10 が戻されます。 MS Windows XP(特定のユーザ名)では、VLAN20-Profile が使用され、VLAN 20 と DACL、および VLAN20 という名前の SGT を持つセキュリティ プロファイル VLAN20 が戻されます。

SGT RADIUS 属性を受け入れるために、スイッチと ASA の設定を終了します。

ASA および 3750X での CTS 設定

基本的な CTS 設定を行う必要があります。 3750X では、ポリシーのダウンロード元サーバを指定する必要があります。

aaa authorization network ise group radius
cts authorization list ise

ASA で、AAAサーバだけそのサーバに CTS と共に必要そのポイントです:

aaa-server ISE protocol radius
aaa-server ISE (mgmt) host 10.48.66.129
 key *****
cts server-group ISE

: 3750X では、group radius コマンドを使用して ISE サーバを明示的に指し示す必要があります。 これは、3750X では自動 PAC プロビジョニングが使用されるためです。

3750X(自動)および ASA(手動)での PAC プロビジョニング

CTS クラウドの各デバイスは、その他のデバイスから信頼されるようにするために、認証サーバ(ISE)に対して認証する必要があります。 このためには、Extensible Authentication Protocol-Flexible Authentication via Secure Protocol(EAP-FAST)方式(RFC 4851)が使用されます。 この方式では、PAC をアウトオブバンドで配信する必要があります。 このプロセスは phase0 とも呼ばれ、どの RFC でも定義されていません。 PAC for EAP-FAST は、Extensible Authentication Protocol-Transport Layer Security (EAP-TLS)の証明書と同様の役割を果たします。 PAC はセキュア トンネルを確立するために使用されます(phase1)。このトンネルは、phase2 の認証に必要です。

3750X での PAC プロビジョニング

3750X では自動 PAC プロビジョニングがサポートされています。 スイッチと ISE では、PAC のダウンロードに共有パスワードが使用されます。 このパスワードと ID は、ISE の [Administration] > [ Network Resources] > [Network Devices] で設定する必要があります。 スイッチを選択し、[Advanced TrustSec Settings] セクションを展開して次のように設定します。

PAC がこれらのクレデンシャルを使用できるようにするために、次のコマンドを入力します。

bsns-3750-5#cts credentials id 3750X password ciscocisco
bsns-3750-5#show cts pacs
  AID: C40A15A339286CEAC28A50DBBAC59784
  PAC-Info:
    PAC-type = Cisco Trustsec
    AID: C40A15A339286CEAC28A50DBBAC59784
    I-ID: 3750X
    A-ID-Info: Identity Services Engine
    Credential Lifetime: 08:04:40 UTC Sep 25 2013
  PAC-Opaque: 000200B00003000100040010C40A15A339286CEAC28A50DBBAC59784000600940003
010094F559DAE0C837D7847F2454CAD7E80B0000001351C8235900093A803D7D427BFB5C6F0FBBDF
7EDF0818C58FECF97F8BDECF1B115FB0240260ADA8C96A46AA2A64C9EA2DB51E0E886768CA2D133D
2468D9D33339204BAA7E4CA2DE8E37FF1EB5BCB343408E9847998E301C26DDC6F91711F631A5B4C7
C2CB09EAB028630A3B22901FE3EF44F66FD019D09D2C46D92283
  Refresh timer is set for 2y24w

ASA での PAC プロビジョニング

ASA では手動 PAC プロビジョニングだけがサポートされています。 つまり、ISE(の [Network Devices/ASA])で手動で生成する必要があります。

その後、(FTP などを使用して)ファイルをインストールする必要があります。

bsns-asa5510-17(config)# cts import-pac ftp://ftp:ftp@10.147.25.80/ASA.pac 
password ciscocisco

!PAC Imported Successfully

bsns-asa5510-17(config)# show cts pac

  PAC-Info:
    Valid until: Jul 04 2014 13:33:02
    AID:         c40a15a339286ceac28a50dbbac59784
    I-ID:        ASA
    A-ID-Info:   Identity Services Engine
    PAC-type:    Cisco Trustsec
  PAC-Opaque:
    000200a80003000100040010c40a15a339286ceac28a50dbbac597840006008c000301
    0003d64668f2badc76e251683394b3d5690000001351d15dd900093a8044df74b2b71f
    e667d7b908db7aeea3229e61462bdb70f46580bef9425011126bbf6c2f4212ccdacf08
    c01ddbc7608c3a1ddeb996ba9bfbd1b207281e3edc9ff61b9e800f225dc3f82bd5f794
    7e0a86bee8a3d437af93f54e61858bac877c58d3fe0ec6be54b4c75fad23e1fd

ASA および 3750X での環境の更新

この段階で、両方のデバイスには PAC が正しくインストールされており、ISE 環境データのダウンロードが自動的に開始されます。 このデータは基本的にタグ番号とタグの名前です。 ASA での環境の更新を開始するには、次のコマンドを入力します。:

bsns-asa5510-17# cts refresh environment-data

ASA でこれを確認するために、次のコマンドを入力します(特定の SGT タグ/名前を表示することはできませんが、後で検証されます)。

bsns-asa5510-17(config)# show cts environment-data 
CTS Environment Data
====================
Status:                    Active
Last download attempt:     Successful
Environment Data Lifetime: 86400 secs
Last update time:          05:05:16 UTC Apr 14 2007
Env-data expires in:       0:23:56:15 (dd:hr:mm:sec)
Env-data refreshes in:     0:23:46:15 (dd:hr:mm:sec)

3750X でこれを確認するために、次のコマンドを使用して環境の更新を開始します。

bsns-3750-5#cts refresh environment-data

結果を確認するために、次のコマンドを入力します。

bsns-3750-5#show cts environment-data 
CTS Environment Data
====================
Current state = COMPLETE
Last status = Successful
Local Device SGT:
  SGT tag = 0-01:Unknown
Server List Info:
Installed list: CTSServerList1-0001, 1 server(s):
 *Server: 10.48.66.129, port 1812, A-ID C40A15A339286CEAC28A50DBBAC59784
          Status = ALIVE    flag(0x11)
          auto-test = TRUE, keywrap-enable = FALSE, idle-time = 60 mins,
deadtime = 20 secs
Security Group Name Table:
  0001-60 :
    0-47:Unknown
    2-47:VLAN10
    3-47:VLAN20
    4-47:VLAN100
Transport type = CTS_TRANSPORT_IP_UDP
Environment Data Lifetime = 86400 secs
Last update time = 05:33:49 UTC Thu Apr 7 2011
Env-data expires in   0:16:46:50 (dd:hr:mm:sec)
Env-data refreshes in 0:16:46:50 (dd:hr:mm:sec)
Cache data applied           = NONE
State Machine is running

これは、すべてのタグと対応する名前が正しくダウンロードされていることを示しています。

3750X でのポート認証の検証と適用

3750X が環境データを取得した後で、SGT が認証済みセッションに適用されていることを確認する必要があります。

MS Windows 7 が正しく認証されるかどうかを確認するには、次のコマンドを入力します。

bsns-3750-5#show authentication sessions interface g1/0/2
            Interface:  GigabitEthernet1/0/2
          MAC Address:  0050.5699.4eb2
           IP Address:  192.168.1.200
            User-Name:  00-50-56-99-4E-B2
               Status:  Authz Success
               Domain:  DATA
      Security Policy:  Should Secure
      Security Status:  Unsecure
       Oper host mode:  single-host
     Oper control dir:  both
        Authorized By:  Authentication Server
          Vlan Policy:  10
              ACS ACL:  xACSACLx-IP-PERMIT_ALL_TRAFFIC-51134bb2
                  SGT:  0002-0
      Session timeout:  N/A
         Idle timeout:  N/A
    Common Session ID:  C0A80001000001002B67334C
      Acct Session ID:  0x00000179
               Handle:  0x94000101

Runnable methods list:
       Method   State
       mab      Authc Success
       dot1x    Not run

出力には、DACL および SGT 0002 と共に VLAN10 が使用され、すべてのトラフィックが許可されることが示されます。

MS Windows XP が正しく認証されるかどうかを確認するには、次のコマンドを入力します。

bsns-3750-5#sh authentication sessions interface g1/0/1
            Interface:  GigabitEthernet1/0/1
          MAC Address:  0050.5699.4ea1
           IP Address:  192.168.2.200
            User-Name:  cisco
               Status:  Authz Success
               Domain:  DATA
      Security Policy:  Should Secure
      Security Status:  Unsecure
       Oper host mode:  multi-auth
     Oper control dir:  both
        Authorized By:  Authentication Server
          Vlan Policy:  20
              ACS ACL:  xACSACLx-IP-PERMIT_ALL_TRAFFIC-51134bb2
                  SGT:  0003-0
      Session timeout:  N/A
         Idle timeout:  N/A
    Common Session ID:  C0A80001000000FE2B67334C
      Acct Session ID:  0x00000177
               Handle:  0x540000FF

Runnable methods list:
       Method   State
       dot1x    Authc Success
       mab      Not run

出力には、DACL および SGT 0003 と共に VLAN 20 が使用され、すべてのトラフィックが許可されることが示されます。

IP アドレスを検出するには、ip device tracking 機能を使用します。 DHCP スイッチは dhcp スヌーピングに対して設定されている必要があります。 これにより DHCP 応答のスヌープ後に、スイッチはクライアントの IP アドレスを学習します。 (この例に示すように)静的に設定された IP アドレスの場合は、ARP スヌーピング機能が使用されます。また、スイッチが IP アドレスを検出できるようにするために、PC はパケットを送信する必要があります。

デバイス トラッキングでは、ポートでこの機能をアクティブにするために隠しコマンドが必要となることがあります。

bsns-3750-5#ip device tracking interface g1/0/1
bsns-3750-5#ip device tracking interface g1/0/2
bsns-3750-5#show ip device tracking all
IP Device Tracking = Enabled
IP Device Tracking Probe Count = 3
IP Device Tracking Probe Interval = 30
IP Device Tracking Probe Delay Interval = 0
-----------------------------------------------------------------------
  IP Address     MAC Address   Vlan  Interface                STATE    
-----------------------------------------------------------------------
192.168.1.200   0050.5699.4eb2  10   GigabitEthernet1/0/2     ACTIVE
192.168.2.200   0050.5699.4ea1  20   GigabitEthernet1/0/1     ACTIVE

Total number interfaces enabled: 2
Enabled interfaces:
  Gi1/0/1, Gi1/0/2

3750X でのポリシーの更新

3750X は(ASA とは異なり)ISE からポリシーをダウンロードできます。 ポリシーをダウンロードして適用する前に、次のコマンドを使用して、ポリシー適用を有効にする必要があります。

bsns-3750-5(config)#cts role-based enforcement
bsns-3750-5(config)#cts role-based enforcement vlan-list 1-1005,1007-4094

有効にしない場合、ポリシーがダウンロードされてもインストールされず、適用されません。

ポリシー更新を開始するには、次のコマンドを入力します。

bsns-3750-5#cts refresh policy 
Policy refresh in progress

ポリシーが ISE からダウンロードされたことを確認するには、次のコマンドを入力します。

bsns-3750-5#show cts role-based permissions 
IPv4 Role-based permissions default:
        Permit IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group Unknown:
        ICMP-20
IPv4 Role-based permissions from group 2:VLAN10 to group 2:VLAN10:
        ICMP-20
IPv4 Role-based permissions from group 2:VLAN10 to group 3:VLAN20:
        ICMP-20
        Deny IP-00

出力には、ポリシーの必要な部分だけがダウンロードされたことが示されます。

CTS クラウドでは、パケットには送信元ホストの SGT が含まれており、宛先デバイスで適用が実行されます。 つまり、パケットは送信元から、宛先ホストに直接接続する最終デバイスに転送されます。 そのデバイスが適用ポイントとなります。これは、そのデバイスは直接接続しているホストの SGT を認識しており、送信元 SGT を含む着信パケットが特定の宛先 SGT で許可または拒否されるかを認識しているためです。

この決定は、ISE からダウンロードしたポリシーに基づいています。

このシナリオでは、すべてのポリシーがダウンロードされます。 ただし、MS Windows XP 認証セッション(SGT=VLAN20)をクリアした場合は、スイッチが VLAN20 に対応するポリシー(行)をダウンロードする必要はありません。これは、その SGT にスイッチに接続するデバイスがないためです。

「詳細情報(トラブルシューティング)」セクションで、3750X がパケット レベルの検査によってダウンロードするポリシーを決定する方法を説明します。

SXP の交換(ASA:リスナー、3750X:スピーカー)

ASA では SGT はサポートされていません。 ASA では、SGT が含まれるフレームはすべてドロップされます。 このため、3750X は ASA に SGT タグ付きフレームを送信できません。 代わりに SXP が使用されます。 このプロトコルでは、IP アドレスと SGT の間のマッピングに関する情報を ASA がスイッチから受信します。 この情報から、ASA は IP アドレスを SGT にマッピングし、SGACL に基づいて決定できます。

3750X をスピーカーとして設定するには、次のコマンドを入力します。

cts sxp enable
cts sxp default source-ip 192.168.1.10
cts sxp default password cisco
cts sxp connection peer 192.168.1.1 password default mode local

ASA をリスナーとして設定するには、次のコマンドを入力します。

cts sxp enable
cts sxp default password *****
cts sxp default source-ip 192.168.1.1
cts sxp connection peer 192.168.1.10 password default mode local listener

ASA がマッピングを受信したことを確認するには、次のコマンドを入力します。

bsns-asa5510-17# show cts sxp sgt-map ipv4 detail 
Total number of IP-SGT mappings : 2
Total number of IP-SGT mappings shown: 2

SGT        : 2:VLAN10
IPv4       : 192.168.1.200
Peer IP    : 192.168.1.10
Ins Num    : 1
Status     : Active
Seq Num    : 49

SGT        : 3:VLAN20
IPv4       : 192.168.2.200
Peer IP    : 192.168.1.10
Ins Num    : 1
Status     : Active
Seq Num    : 39

これで ASA は、送信元 IP アドレス 192.168.1.200 を含む着信パケットを受信すると、このパケットを SGT=2 から受信した場合と同様に扱うことができます。 送信元 IP アドレス 192.168.200.2 の場合は、SGT=3 から受信した場合と同様に扱うことができます。 同じことが宛先 IP アドレスにも該当します。

: 3750X は、関連付けられているホストの IP アドレスを認識している必要があります。 これは IP デバイス トラッキングによって行われます。 エンド ホストで静的に設定された IP アドレスの場合、スイッチは認証後もパケットを受信する必要があります。 これによりその IP アドレスを検出するための IP デバッグ トラッキングが開始され、さらに SXP 更新が開始されます。 SGT だけが判明している場合、SXP 経由で送信されません。

SGT ACL を使用した ASA でのトラフィック フィルタリング

ASA 設定のチェックを次に示します。

interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 192.168.1.1 255.255.255.0
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 192.168.2.1 255.255.255.0

ACL が作成され、内部インターフェイスに適用されます。 これにより SGT=3 からのすべての ICMP トラフィックが SGT=2VLAN10 と呼ばれます)に流れます。

access-list inside extended permit icmp security-group tag 3 any security-group
name VLAN10 any
access-group inside in interface inside

: タグ番号またはタグ名を使用できます。

送信元 IP アドレスが 192.168.2.200SGT=3)の MS Windows XP から、IP アドレスが 192.168.1.200SGT=2)の MS Windows 7 に ping を実行すると、ASA により接続が確立されます。

%ASA-6-302020: Built outbound ICMP connection for faddr 192.168.1.200/0
(2:VLAN10) gaddr 192.168.2.200/512 laddr 192.168.2.200/512(3:VLAN20)

Telnet で同様の操作を行おうとすると、トラフィックがブロックされます。

Deny tcp src inside:192.168.2.200/2478(3:VLAN20) dst outside:192.168.1.200/23
(2:VLAN10) by access-group "inside"

ASA にはその他にも設定オプションがあります。 送信元と宛先の両方にセキュリティ タグと IP アドレスの両方を使用することができます。 このルールにより、SGT タグ = 3 および IP アドレス 192.168.2.200 から、SGT タグ VLAN10 および宛先ホスト アドレス 192.168.1.200 への ICMP エコー トラフィックが可能になります。

access-list inside extended permit icmp security-group tag 3 host 192.168.2.200
security-group name VLAN10 host 192.168.1.200 echo

これは、オブジェクト グループを使用して実行することもできます。

object-group security SGT-VLAN-10
 security-group name VLAN10
object-group security SGT-VLAN-20
 security-group tag 3
object-group network host1
 network-object host 192.168.1.200
object-group network host2
 network-object host 192.168.2.200
object-group service my-icmp-echo
 service-object icmp echo

access-list inside extended permit object-group my-icmp-echo
object-group-security SGT-VLAN-20 object-group host2 object-group-security
SGT-VLAN-10 object-group host1

ISE(RBACL)からダウンロードしたポリシーを使用した 3750X でのトラフィック フィルタリング

スイッチでローカル ポリシーを定義することもできます。 ただし、次の例では ISE からダウンロードしたポリシーを示します。 ASA で定義されたポリシーでは、1 つのルールで IP アドレスと STG(および Active Directory のユーザ名)の両方を使用できます。 スイッチで定義されているポリシー(ローカルおよび ISE の両方)は、SGT だけを使用できます。 ルールで IP アドレスを使用する必要がある場合は、ASA でフィルタリングすることを推奨します。

MS Windows XP と MS Windows 7 の間の ICMP トラフィックがテストされます。 このため、MS Windows でデフォルト ゲートウェイを ASA から 3750X に変更する必要があります。 3750X にはルーティング インターフェイスがあり、パケットをルーティングできます。

interface Vlan10
 ip address 192.168.1.10 255.255.255.0
!
interface Vlan20
 ip address 192.168.2.10 255.255.255.0

ポリシーは ISE からすでにダウンロードされています。 これを確認するために、次のコマンドを入力します。

 

 bsns-3750-5#show cts role-based permissions 
IPv4 Role-based permissions default:
        Permit IP-00
IPv4 Role-based permissions from group 2:VLAN10 to group Unknown:
        ICMP-20
IPv4 Role-based permissions from group 2:VLAN10 to group 2:VLAN10:
        ICMP-20
IPv4 Role-based permissions from group 2:VLAN10 to group 3:VLAN20:
        ICMP-20
        Deny IP-00

VLAN10(MS Windows 7)から VLAN20(MS WindowsXP)へのトラフィックは、ISE からダウンロードされた ICMP-20 ACL の対象です。

bsns-3750-5#show ip access-lists ICMP-20
Role-based IP access list ICMP-20 (downloaded)
    10 permit icmp

この ACL を確認するために、次のコマンドを入力します。

bsns-3750-5#show cts rbacl 
CTS RBACL Policy
================
RBACL IP Version Supported: IPv4
  name   = Deny IP-00
  IP protocol version = IPV4
  refcnt = 2
  flag   = 0x41000000
  stale  = FALSE
  RBACL ACEs:
    deny ip

  name   = ICMP-20
  IP protocol version = IPV4
  refcnt = 6
  flag   = 0x41000000
  stale  = FALSE
  RBACL ACEs:
    permit icmp

  name   = Permit IP-00
  IP protocol version = IPV4
  refcnt = 2
  flag   = 0x41000000
  stale  = FALSE
  RBACL ACEs:
    permit ip

SGT マッピングを検証し、両方のホストからのトラフィックが正しくタグ付けされていることを確認するには、次のコマンドを入力します。

bsns-3750-5#show cts role-based sgt-map all
Active IP-SGT Bindings Information

IP Address              SGT     Source
============================================
192.168.1.200           2       LOCAL
192.168.2.200           3       LOCAL

IP-SGT Active Bindings Summary
============================================
Total number of LOCAL    bindings = 2
Total number of active   bindings = 2


MS Windows 7(SGT=2)から MS Windows XP(SGT=3)への ICMP は、ACL ICMP-20 で正常に機能します。 これを検証するには、2 から 3 へのトラフィック(15 個の許可パケット)のカウンタを確認します。

bsns-3750-5#show cts role-based counters        
Role-based IPv4 counters
# '-' in hardware counters field indicates sharing among cells with identical
policies
From    To      SW-Denied       HW-Denied       SW-Permitted    HW-Permitted   

2       0       0               0               1695            224            
2       2       0               -               0               -              

*       *       0               0               133258          132921         

2       3       0               0               0               15 

Telnet カウンタを使用しようとすると、拒否パケットの数が増加します(これは ICMP-20 ACL で許可されていません)。

bsns-3750-5#show cts role-based counters        
Role-based IPv4 counters
# '-' in hardware counters field indicates sharing among cells with identical
policies
From    To      SW-Denied       HW-Denied       SW-Permitted    HW-Permitted   

2       0       0               0               1695            224            
2       2       0               -               0               -              

*       *       0               0               133281          132969         

2       3       0               2               0               15 

: 出力のアスタリスク(*)文字は、タグが付いていないすべてのトラフィックに関連します(その列と行は ISE の Matrix では unknown と呼ばれ、タグ番号 0 を使用します)。

log キーワードが指定された ACL エントリ(ISE で定義)がある場合、対応するパケットの詳細と実行されたアクションも、log キーワードが指定された ACL と同様に記録されます。

確認

確認手順については、個々の設定に関するセクションを参照してください。

トラブルシューティング

PAC プロビジョニング

自動 PAC プロビジョニングの使用時に問題が発生することがあります。 必ず RADIUS サーバに対し pac キーワードを使用してください。 3750X での自動 PAC プロビジョニングでは、Microsoft のチャレンジ ハンドシェイク認証プロトコルを使用した内部方式による拡張認証プロトコル(EAP-MSCHAPv2)による認証を使用した EAP-FAST メソッドを使用します。 デバッグ時には、セキュア トンネルを構築するために EAP-FAST ネゴシエーションの一部である複数の RADIUS メッセージが使用されます。このトンネルでは、認証用の ID とパスワードが設定された EAP-MSCHAPv2 が使用されます。

最初の RADIUS 要求は、ISE に対してこれが PAC 要求であることを通知するために AAA service-type=cts-pac-provisioning を使用します。

bsns-3750-5#debug cts provisioning events 
bsns-3750-5#debug cts provisioning packets

*Mar  1 09:55:11.997: CTS-provisioning: New session socket: src=
10.48.66.109:57516 dst=10.48.66.129:1645
*Mar  1 09:55:11.997: CTS-provisioning: Sending EAP Response/Identity to
10.48.66.129
*Mar  1 09:55:11.997: CTS-provisioning: OUTGOING RADIUS msg to 10.48.66.129:
*Mar  1 09:55:11.997: CTS-provisioning: INCOMING RADIUS msg from 10.48.66.129:
*Mar  1 09:55:11.997: CTS-provisioning: Received RADIUS challenge from
10.48.66.129.
*Mar  1 09:55:12.006: CTS-provisioning: Received TX_PKT from EAP method
*Mar  1 09:55:12.006: CTS-provisioning: Sending EAPFAST response to
10.48.66.129
*Mar  1 09:55:12.006: CTS-provisioning: OUTGOING RADIUS msg to 10.48.66.129:
*Mar  1 09:55:12.106: CTS-provisioning: INCOMING RADIUS msg from 10.48.66.129:
*Mar  1 09:55:12.115: CTS-provisioning: Received RADIUS challenge from
10.48.66.129.
*Mar  1 09:55:12.744: CTS-provisioning: Received TX_PKT from EAP method
*Mar  1 09:55:12.744: CTS-provisioning: Sending EAPFAST response to
10.48.66.129
*Mar  1 09:55:12.744: CTS-provisioning: OUTGOING RADIUS msg to 10.48.66.129:
*Mar  1 09:55:12.844: CTS-provisioning: INCOMING RADIUS msg from 10.48.66.129:
*Mar  1 09:55:12.844: CTS-provisioning: Received RADIUS challenge from
10.48.66.129.
*Mar  1 09:55:12.853: CTS-provisioning: Received TX_PKT from EAP method
*Mar  1 09:55:12.853: CTS-provisioning: Sending EAPFAST response to 10.48.66.129
*Mar  1 09:55:12.853: CTS-provisioning: OUTGOING RADIUS msg to 10.48.66.129:
*Mar  1 09:55:12.853: CTS-provisioning: INCOMING RADIUS msg from 10.48.66.129:
*Mar  1 09:55:12.861: CTS-provisioning: Received RADIUS challenge from
10.48.66.129.
*Mar  1 09:55:12.861: CTS-provisioning: Received TX_PKT from EAP method
*Mar  1 09:55:12.861: CTS-provisioning: Sending EAPFAST response to 10.48.66.129
*Mar  1 09:55:12.861: CTS-provisioning: OUTGOING RADIUS msg to 10.48.66.129:
*Mar  1 09:55:12.878: CTS-provisioning: INCOMING RADIUS msg from 10.48.66.129:
*Mar  1 09:55:12.878: CTS-provisioning: Received RADIUS challenge from
10.48.66.129.
*Mar  1 09:55:12.886: CTS-provisioning: Received TX_PKT from EAP method
*Mar  1 09:55:12.886: CTS-provisioning: Sending EAPFAST response to 10.48.66.129
*Mar  1 09:55:12.886: CTS-provisioning: OUTGOING RADIUS msg to 10.48.66.129:
*Mar  1 09:55:12.895: CTS-provisioning: INCOMING RADIUS msg from 10.48.66.129:
*Mar  1 09:55:12.895: CTS-provisioning: Received RADIUS challenge from
10.48.66.129.
*Mar  1 09:55:12.895: CTS-provisioning: Received TX_PKT from EAP method
*Mar  1 09:55:12.895: CTS-provisioning: Sending EAPFAST response to 10.48.66.129
*Mar  1 09:55:12.903: CTS-provisioning: OUTGOING RADIUS msg to 10.48.66.129:
*Mar  1 09:55:12.912: CTS-provisioning: INCOMING RADIUS msg from 10.48.66.129:
*Mar  1 09:55:12.912: CTS-provisioning: Received RADIUS challenge from
10.48.66.129.
*Mar  1 09:55:12.920: CTS-provisioning: Received TX_PKT from EAP method
*Mar  1 09:55:12.920: CTS-provisioning: Sending EAPFAST response to 10.48.66.129
*Mar  1 09:55:12.920: CTS-provisioning: OUTGOING RADIUS msg to 10.48.66.129:
*Mar  1 09:55:12.928: CTS-provisioning: INCOMING RADIUS msg from 10.48.66.129:
*Mar  1 09:55:12.928: CTS-provisioning: Received RADIUS challenge from
10.48.66.129.
*Mar  1 09:55:12.970: CTS-pac-refresh: PAC C40A15A339286CEAC28A50DBBAC59784
refresh timer has been set for 20y30w

*Mar  1 09:55:12.970: CTS-provisioning: Ignoring key data.
*Mar  1 09:55:12.979: CTS-provisioning: Received TX_PKT from EAP method
*Mar  1 09:55:12.979: CTS-provisioning: Sending EAPFAST response to 10.48.66.129
*Mar  1 09:55:12.979: CTS-provisioning: OUTGOING RADIUS msg to 10.48.66.129:
*Mar  1 09:55:12.995: CTS-provisioning: INCOMING RADIUS msg from 10.48.66.129:
*Mar  1 09:55:12.995: CTS-provisioning: Received RADIUS reject from 10.48.66.129.
*Mar  1 09:55:12.995: CTS-provisioning: Successfully obtained PAC for A-ID
c40a15a339286ceac28a50dbbac59784

*Mar  1 09:55:12.995: CTS-provisioning: cts_provi_server_cleanup: 10.48.66.129
*Mar  1 09:55:12.995: CTS-provisioning: work complete, process terminating.

すでに PAC を受信しており、これ以上認証プロセスを行わないため、出力の最後に RADIUS reject が示されることが予期されます。

ISE とのその他のすべての通信では PAC が必要であることに注意してください。 ただし PAC がない場合、スイッチは引き続き環境またはポリシーの更新を試行します(設定されている場合)。 RADIUS 要求に cts-opaqueue(PAC)をアタッチするとエラーが発生するため、アタッチしません。

PAC キーが正しくない場合は、ISE に次のエラー メッセージが表示されます。

The Message-Authenticator RADIUS attribute is invalid

PAC キーが正しくない場合は、スイッチでのデバッグ(debug cts provisioning + debug radius)から次の出力も表示されます。

Apr 20 10:07:11.768: CTS-provisioning: Sending EAP Response/Identity t 
Apr 20 10:07:15.325: RADIUS(0000024B): Request timed out!
Apr 20 10:07:15.325: RADIUS: No response from (10.62.84.224:1645,1646) for
id 1645/37

新しい radius server 規則を使用している場合は、次のように表示されます。

radius server KRK-ISE
 address ipv4 10.62.84.224 auth-port 1645 acct-port 1646
 pac key CISCO

: [Device Authentication Settings] で使用したパスワードと同じパスワードを ISE で使用する必要があります。

PAC プロビジョニングが正常に完了すると、ISE に次の内容が表示されます。

環境の更新

環境の更新は、SGT 番号と名前を含む基本データを ISE から取得する場合に使用されます。 パケット レベルは、属性が設定された RADIUS 要求と応答が 3 つだけであることを示しています。

最初の要求では、スイッチは CTSServerlist の名前を受信します。 2 番目の要求では、そのリストの詳細を受信し、最後の要求では、すべての SGT(タグと名前を含む)を受信します。

上記の例では、デフォルトの SGT 0 および ffff と、2 つのカスタム定義 SGT タグが表示されます( SGT タグ 2 の名前は VLAN10、SGT タグ 3 の名前は VLAN20)。

: すべての RADIUS 要求には、PAC プロビジョニング結果として cts-pac-opaque が含まれています。

3750X では、3 つのすべての RADIUS 応答のデバッグと、対応するリスト、リストの詳細、および特定の SGT 内部リストが表示されます。

bsns-3750-5#debug cts environment-data all

*Mar  1 10:05:07.454: CTS env-data: cleanup mcast SGT table
*Mar  1 10:05:18.057: CTS env-data: Force environment-data refresh
*Mar  1 10:05:18.057: CTS env-data: download transport-type =
CTS_TRANSPORT_IP_UDP
*Mar  1 10:05:18.057:     cts_env_data START: during state env_data_complete,
got event 0(env_data_request)
*Mar  1 10:05:18.057: @@@ cts_env_data START: env_data_complete ->
env_data_waiting_rsp
*Mar  1 10:05:18.057: env_data_waiting_rsp_enter: state = WAITING_RESPONSE
*Mar  1 10:05:18.057: env_data_request_action: state = WAITING_RESPONSE
*Mar  1 10:05:18.057: cts_env_data_is_complete: FALSE, req(x0), rec(x0),
expect(x81), complete1(x85), complete2(xB5), complete3(x28B5)
*Mar  1 10:05:18.057: cts_aaa_req_setup: (CTS env-data)Private group appears DEAD,
attempt public group
*Mar  1 10:05:18.057: cts_aaa_req_setup: (CTS env-data)CTS_TRANSPORT_IP_UDP
*Mar  1 10:05:18.057: cts_aaa_req_setup: (CTS env-data)AAA req(x7C3DF10)
*Mar  1 10:05:18.057: cts_aaa_attr_add: AAA req(0x7C3DF10)
*Mar  1 10:05:18.057:   username = #CTSREQUEST#
*Mar  1 10:05:18.057:   cts-environment-data = 3750X
*Mar  1 10:05:18.057: cts_aaa_req_send: AAA req(0x7C3DF10) successfully sent to AAA.
*Mar  1 10:05:18.083: cts_aaa_callback: (CTS env-data)AAA req(0x7C3DF10)
response success
*Mar  1 10:05:18.083:   AAA attr: Unknown type (447).
*Mar  1 10:05:18.083:   AAA attr: Unknown type (220).
*Mar  1 10:05:18.083:   AAA attr: Unknown type (275).
*Mar  1 10:05:18.083:   AAA attr: server-list = CTSServerList1-0001.
*Mar  1 10:05:18.083:   AAA attr: security-group-tag = 0000-00.
*Mar  1 10:05:18.083:   AAA attr: environment-data-expiry = 86400.
*Mar  1 10:05:18.083:   AAA attr: security-group-table = 0001-5.
*Mar  1 10:05:18.083: CTS env-data: Receiving AAA attributes
  CTS_AAA_SLIST
    slist name(CTSServerList1) received in 1st Access-Accept
    slist name(CTSServerList1) created
  CTS_AAA_SECURITY_GROUP_TAG - SGT = unicast-unknown-00
  CTS_AAA_ENVIRONMENT_DATA_EXPIRY = 86400.
  CTS_AAA_SGT_NAME_LIST
    table(0001) received in 1st Access-Accept
    old name(), gen()
    new name(0001), gen(50)
  CTS_AAA_DATA_END
*Mar  1 10:05:18.083:     cts_env_data WAITING_RESPONSE: during state
env_data_waiting_rsp, got event 1(env_data_received)
*Mar  1 10:05:18.083: @@@ cts_env_data WAITING_RESPONSE: env_data_waiting_rsp ->
env_data_assessing
*Mar  1 10:05:18.083: env_data_assessing_enter: state = ASSESSING
*Mar  1 10:05:18.083: env_data_assessing_action: state = ASSESSING
*Mar  1 10:05:18.083: cts_env_data_is_complete: FALSE, req(x1089), rec(xC83),
expect(x28B5), complete1(x85), complete2(xB5), complete3(x28B5)
*Mar  1 10:05:18.083:     cts_env_data ASSESSING: during state env_data_assessing,
got event 3(env_data_incomplete)
*Mar  1 10:05:18.083: @@@ cts_env_data ASSESSING: env_data_assessing ->
env_data_waiting_rsp
*Mar  1 10:05:18.083: env_data_waiting_rsp_enter: state = WAITING_RESPONSE
*Mar  1 10:05:18.083: env_data_request_action: state = WAITING_RESPONSE
*Mar  1 10:05:18.083: cts_env_data_is_complete: FALSE, req(x1089), rec(xC83),
expect(x28B5), complete1(x85), complete2(xB5), complete3(x28B5)
*Mar  1 10:05:18.083: cts_aaa_req_setup: (CTS env-data)Private group appears DEAD,
attempt public group
*Mar  1 10:05:18.083: cts_aaa_req_setup: (CTS env-data)CTS_TRANSPORT_IP_UDP
*Mar  1 10:05:18.083: cts_aaa_req_setup: (CTS env-data)AAA req(x792FFD0)
*Mar  1 10:05:18.083: cts_aaa_attr_add: AAA req(0x792FFD0)
*Mar  1 10:05:18.091:   username = #CTSREQUEST#
*Mar  1 10:05:18.091:   cts-server-list = CTSServerList1
*Mar  1 10:05:18.091: cts_aaa_req_send: AAA req(0x792FFD0) successfully sent to AAA.
*Mar  1 10:05:18.099: cts_aaa_callback: (CTS env-data)AAA req(0x792FFD0)
response success
*Mar  1 10:05:18.099:   AAA attr: Unknown type (447).
*Mar  1 10:05:18.099:   AAA attr: Unknown type (220).
*Mar  1 10:05:18.099:   AAA attr: Unknown type (275).
*Mar  1 10:05:18.099:   AAA attr: server-list = CTSServerList1-0001.
*Mar  1 10:05:18.099:   AAA attr: server = c40a15a339286ceac28a50dbbac59784:
10.48.66.129:1812.
*Mar  1 10:05:18.099: CTS env-data: Receiving AAA attributes
  CTS_AAA_SLIST
    2nd Access-Accept slist name(CTSServerList1), gen(0001)
  CTS_AAA_SERVERS
    server (c40a15a339286ceac28a50dbbac59784:10.48.66.129:1812) added
  CTS_AAA_DATA_END
*Mar  1 10:05:18.099:     cts_env_data WAITING_RESPONSE: during state
env_data_waiting_rsp, got event 1(env_data_received)
*Mar  1 10:05:18.099: @@@ cts_env_data WAITING_RESPONSE: env_data_waiting_rsp ->
env_data_assessing
*Mar  1 10:05:18.099: env_data_assessing_enter: state = ASSESSING
*Mar  1 10:05:18.099: env_data_assessing_action: state = ASSESSING
*Mar  1 10:05:18.099: cts_env_data_is_complete: FALSE, req(x108D), rec(xC87),
expect(x28B5), complete1(x85), complete2(xB5), complete3(x28B5)
*Mar  1 10:05:18.099:     cts_env_data ASSESSING: during state env_data_assessing,
got event 3(env_data_incomplete)
*Mar  1 10:05:18.099: @@@ cts_env_data ASSESSING: env_data_assessing ->
env_data_waiting_rsp
*Mar  1 10:05:18.099: env_data_waiting_rsp_enter: state = WAITING_RESPONSE
*Mar  1 10:05:18.099: env_data_request_action: state = WAITING_RESPONSE
*Mar  1 10:05:18.099: cts_env_data_is_complete: FALSE, req(x108D), rec(xC87),
expect(x28B5), complete1(x85), complete2(xB5), complete3(x28B5)
*Mar  1 10:05:18.099: cts_aaa_req_setup: (CTS env-data)Using private server group
*Mar  1 10:05:18.099: cts_aaa_req_setup: (CTS env-data)CTS_TRANSPORT_IP_UDP
*Mar  1 10:05:18.099: cts_aaa_req_setup: (CTS env-data)AAA req(x7A6C4AC)
*Mar  1 10:05:18.099: cts_aaa_attr_add: AAA req(0x7A6C4AC)
*Mar  1 10:05:18.099:   username = #CTSREQUEST#
*Mar  1 10:05:18.099:   cts-security-group-table = 0001
*Mar  1 10:05:18.099: cts_aaa_req_send: AAA req(0x7A6C4AC) successfully sent to AAA.
*Mar  1 10:05:18.108: cts_aaa_callback: (CTS env-data)AAA req(0x7A6C4AC)
response success
*Mar  1 10:05:18.108:   AAA attr: Unknown type (447).
*Mar  1 10:05:18.108:   AAA attr: Unknown type (220).
*Mar  1 10:05:18.108:   AAA attr: Unknown type (275).
*Mar  1 10:05:18.108:   AAA attr: security-group-table = 0001-5.
*Mar  1 10:05:18.108:   AAA attr: security-group-info = 0-0-00-Unknown.
*Mar  1 10:05:18.108:   AAA attr: security-group-info = ffff-0-00-ANY.
*Mar  1 10:05:18.108:   AAA attr: security-group-info = 2-0-00-VLAN10.
*Mar  1 10:05:18.108:   AAA attr: security-group-info = 3-0-00-VLAN20.
*Mar  1 10:05:18.108:  CTS env-data: Receiving AAA attributes
  CTS_AAA_SGT_NAME_LIST
    table(0001) received in 2nd Access-Accept
    old name(0001), gen(50)
    new name(0001), gen(50)
  CTS_AAA_SGT_NAME_INBOUND - SGT = unicast-unknown-00
   flag (128) server name (Unknown) added
   name (0001), request (1), receive (1)
   Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on
  CTS_AAA_SGT_NAME_INBOUND - SGT = unicast-default-00
   flag (128) server name (ANY) added
   name (0001), request (1), receive (1)
   Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on
  CTS_AAA_SGT_NAME_INBOUND - SGT = 2-00
   flag (128) server name (VLAN10) added
   name (0001), request (1), receive (1)
   Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on
  CTS_AAA_SGT_NAME_INBOUND - SGT = 3-00
   flag (128) server name (VLAN20) added
   name (0001), request (1), receive (1)
   Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on
  CTS_AAA_DATA_END
*Mar  1 10:05:18.108:     cts_env_data WAITING_RESPONSE: during state
env_data_waiting_rsp, got event 1(env_data_received)
*Mar  1 10:05:18.108: @@@ cts_env_data WAITING_RESPONSE: env_data_waiting_rsp ->
env_data_assessing
*Mar  1 10:05:18.108: env_data_assessing_enter: state = ASSESSING
*Mar  1 10:05:18.108: env_data_assessing_action: state = ASSESSING
*Mar  1 10:05:18.116: cts_env_data_is_complete: TRUE, req(x2085), rec(x2C87),
expect(x81), complete1(x85), complete2(xB5), complete3(x28B5)
*Mar  1 10:05:18.116:     cts_env_data ASSESSING: during state env_data_assessing,
got event 4(env_data_complete)
*Mar  1 10:05:18.116: @@@ cts_env_data ASSESSING: env_data_assessing ->
env_data_complete
*Mar  1 10:05:18.116: env_data_complete_enter: state = COMPLETE
*Mar  1 10:05:18.116: env_data_install_action: state = COMPLETE

ポリシーの更新

ポリシーの更新はスイッチでのみサポートされています。 環境の更新に似ています。 これらは RADIUS Request と Radius Accept です。

スイッチはデフォルト リスト内のすべての ACL を要求します。 次に、最新ではない(または存在しない)ACL ごとに、詳細を取得するための別の要求を送信します。

ICMP-20 ACL を要求する場合の応答の例を次に示します。

この ACL を適用するには、cts role-based enforcement が設定されている必要がある点に注意してください。

デバッグにより、(Gen ID に基づいて)変更があるかどうかが示されます。 該当する場合は、必要に応じて古いポリシーをアンインストールし、新しいポリシーをインストールできます。 これには ASIC プログラミング(ハードウェア サポート)が含まれます。

bsns-3750-5#debug cts all

Mar 30 02:39:37.151:  CTS authz entry: peer(Unknown-2) Receiving AAA attributes
    rcv rbacl list: flags: req(81)rcv(0)wait(80)prev(0)install(880)
     - SGT = 2-01:VLAN10
     - SGT = 2-01:VLAN10
    current arg_cnt=8, expected_num_args=11
    3rd Access-Accept rbacl received name(ICMP), gen(20)
    received_policyp->sgt(2-01:VLAN10)
    existing sgt_policy(73FFDB4) sgt(2-01:VLAN10)
    RBACL name(ICMP-20)flag(40000000) already exists
   acl_listp(740266C) old_acl_infop(0),exist_rbacl_type(0)
  CTS_AAA_AUTHORIZATION_EXPIRY = 86400.
  CTS_AAA_DATA_END

Mar 30 02:39:37.176: cts_authz_entry_complete_action: Policy download complete -
peer(Unknown-2) SGT(2-01:VLAN10) status(RBACL-POLICY SUCCEEDED)

Mar 30 02:39:37.176: cts_authz_rbacl_uninstall_cb:
Mar 30 02:39:37.176: uninstall cb_ctx:
Mar 30 02:39:37.176:   session_hdl = F1000003
Mar 30 02:39:37.176:   sgt_policyp = 73FFDB4, sgt=(2-01:VLAN10), magic(BABECABB)
Mar 30 02:39:37.176:   ip_version  = IPV6
Mar 30 02:39:37.176:   src-or-dst  = BOTH
Mar 30 02:39:37.176:   wait_rbm_install_ip_ver(0)
Mar 30 02:39:37.176:   wait_rbm_uninstall_ip_ver(C0000000)
Mar 30 02:39:37.176: cts_authz_rbacl_uninstall_cb:
Mar 30 02:39:37.176: uninstall cb_ctx:
Mar 30 02:39:37.176:   session_hdl = F1000003
Mar 30 02:39:37.176:   sgt_policyp = 73FFDB4, sgt=(2-01:VLAN10), magic(BABECABB)
Mar 30 02:39:37.176:   ip_version  = IPV4
Mar 30 02:39:37.176:   src-or-dst  = BOTH
Mar 30 02:39:37.176:   wait_rbm_install_ip_ver(0)
Mar 30 02:39:37.176:   wait_rbm_uninstall_ip_ver(40000000)

Mar 30 02:39:37.210: install cb_ctx:
Mar 30 02:39:37.210:   session_hdl = F1000003
Mar 30 02:39:37.210:   sgt_policyp = 73FFDB4, sgt=(2-01:VLAN10), magic(BABECABB)
Mar 30 02:39:37.210:   ip_version  = IPV6
Mar 30 02:39:37.210:   src-or-dst  = SRC
Mar 30 02:39:37.210:   wait_rbm_install_ip_ver(C0000000)
Mar 30 02:39:37.210:   wait_rbm_uninstall_ip_ver(0)
Mar 30 02:39:37.210: cts_authz_rbacl_install_cb: Waiting for more RBM callback
for remaining IP version(40000000) RBACL policy(73FFDB4) for SGT(2-01:VLAN10)
flag(41400001)
Mar 30 02:39:37.210: cts_authz_rbacl_install_cb:
Mar 30 02:39:37.210: install cb_ctx:
Mar 30 02:39:37.210:   session_hdl = F1000003
Mar 30 02:39:37.210:   sgt_policyp = 73FFDB4, sgt=(2-01:VLAN10), magic(BABECABB)
Mar 30 02:39:37.210:   ip_version  = IPV4
Mar 30 02:39:37.210:   src-or-dst  = SRC
Mar 30 02:39:37.210:   wait_rbm_install_ip_ver(40000000)
Mar 30 02:39:37.210:   wait_rbm_uninstall_ip_ver(0)
Mar 30 02:39:37.210: cts_authz_rbacl_install_cb: Program RBACL policy(73FFDB4)
for SGT(2-01:VLAN10) flag(41400001) success

SXP の交換

SXP の更新は、デバイスの IP アドレスを検出する IP デバイス トラッキング コードにより開始されます。 その後、Short Message Peer-to-Peer(SMPP)プロトコルを使用して更新が送信されます。 Border Gateway Protocol(BGP)と同様に、このプロトコルでは認証に TCP オプション 19 が使用されます。 SMPP ペイロードは暗号化されません。 Wireshark には、SMPP ペイロードに適したデコーダがありませんが、ペイロード内部のデータは簡単に検出できます。

  • 最初のペイロード c0 a8 01 c8192.168.1.200 であり、tag 2 が含まれています。
  • 2 番目のペイロード c0 a8 02 c8192.168.2.200 であり、tag 3 が含まれています。
  • 3 番目のペイロード c0 a8 0a 02192.168.10.2 であり、tag 4 が含まれています(これは電話機 SGT=4 のテストに使用されたものです)。

IP デバイス トラッキングで MS Windows 7 の IP アドレスが検出された後の 3750X でのデバッグを次に示します。

bsns-3750-5#debug cts sxp message
bsns-3750-5#debug cts sxp internal
bsns-3750-5#debug cts sxp conn
bsns-3750-5#debug cts sxp mdb
bsns-3750-5#debug cts sxp error

Apr  7 00:39:06.874: CTS-SXP-CONN:sxp_process_message_event = CTS_SXPMSG_REQUEST
Apr  7 00:39:06.874: CTS-SXP-CONN:sxp_process_request  CTS_SXPMSG_REQ_CONN_NVGEN
Apr  7 00:39:06.874: CTS-SXP-CONN:cts_get_next_sxpconn_cli
Apr  7 00:39:06.874: CTS-SXP-CONN:cts_get_next_sxpconn_cli
Apr  7 00:39:06.874: CTS-SXP-INTNL:sxp_process_request boolean set
Apr  7 00:39:06.874: CTS-SXP-INTNL:sxp_send_request set boolean after
Apr  7 00:40:05.418: CTS-SXP-CONN:is_cts_sxp_rf_active
Apr  7 00:40:05.418: CTS-SXP-MDB:sxp_export_ipsgt_change 192.168.1.200/32 add 1

ASA での対応するデバッグを次に示します。

bsns-asa5510-17# debug cts sxp all

%ASA-7-776018: CTS SXP: Binding 192.168.1.200->2:VLAN10 from peer 192.168.1.10
(instance 1) added in SXP database.

%ASA-7-776019: CTS SXP: Binding 192.168.1.200->2:VLAN10 added. Update binding
manager.
%ASA-6-776251: CTS SGT-MAP: Binding 192.168.1.200->2:VLAN10 from SXP added to
binding manager.
%ASA-7-776014: CTS SXP: SXP received binding forwarding request (add) binding
192.168.1.200->2:VLAN10.

ASA での SGACL

SXP が受信した SGT マッピングが ASA により正しくインストールされたら、セキュリティ グループ ACL は正常に機能します。 マッピングで問題が発生した場合は、次のように入力します。

bsns-asa5510-17# debug cts sgt-map 

セキュリティ グループの ACL は、IP アドレスまたは ユーザ ID の場合とまったく同じように機能します。 ログから、問題と、ヒットした ACL の具体的なエントリが判明します。

MS Windows XP から MS Windows 7 に対する ping を次に示します。この ping は、パケット トレーサが正しく動作していることを示します。

bsns-asa5510-17# packet-tracer input inside icmp 192.168.2.200 8 0 192.168.1.200 
detailed
<output ommitted>

Phase: 2
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group inside in interface inside
access-list inside extended permit icmp security-group tag 3 any security-group
name VLAN10 any

Additional Information:
 Forward Flow based lookup yields rule:
 in  id=0xaaf2ae80, priority=13, domain=permit, deny=false
        hits=185, user_data=0xaa2f5040, cs_id=0x0, use_real_addr, flags=0x0,
protocol=1
        src ip/id=0.0.0.0, mask=0.0.0.0, icmp-type=0, tag=3:VLAN20
        dst ip/id=0.0.0.0, mask=0.0.0.0, icmp-code=0, tag=2:VLAN10, dscp=0x0
        input_ifc=inside, output_ifc=any
              
<output ommitted>

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 116497