المقدمة
يصف هذا وثيقة كيف أن يشكل وفهم الأمنية مجموعة تبادل بروتوكول (SXP) توصيل بين ISE ومادة حفازة 9300 مفتاح.
المتطلبات الأساسية
المتطلبات
cisco يوصي أن يتلقى أنت معرفة من ال SXP بروتوكول و Identity Services Engine (ISE) تشكيل.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- المحول Cisco Catalyst 9300 switch ببرنامج Cisco IOS® XE 17.6.5 والإصدارات الأحدث
Cisco ISE، الإصدار 3.1 والإصدارات الأحدث
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
SXP هو بروتوكول تبادل رقم مجموعة الأمان (SGT) الذي يستخدمه TrustSec لنشر تعيينات IP إلى SGT لأجهزة TrustSec.
تم تطوير SXP للسماح للشبكات بما في ذلك أجهزة الطرف الثالث أو أجهزة Cisco القديمة التي لا تدعم وضع علامات في السطر للرقيب بأن يكون لها إمكانيات TrustSec.
SXP هو بروتوكول نظير؛ يمكن أن يعمل أحد الجهازين كمتحدث بينما يعمل الآخر كمستمع:
- مكبر صوت SXP مسؤول عن إرسال روابط IP-SGT ويكون المستمع مسؤولا عن تجميع هذه الروابط.
- يستخدم اتصال SXP منفذ TCP 64999 كبروتوكول النقل الأساسي و MD5 لسلامة/أصالة الرسائل.
التكوين
الرسم التخطيطي للشبكة

تدفق حركة المرور
يصادق الكمبيوتر مع الطراز C9300a ويعين معيار ISE الرقيب بشكل ديناميكي من خلال مجموعات السياسات.
عند تمرير المصادقة، يتم إنشاء الروابط باستخدام IP يساوي سمة RADIUS لعنوان Framed-IP والرقيب كما تم تكوينه في السياسة.
يتم نشر الارتباطات في كافة روابط SXP ضمن المجال الافتراضي.
يتلقى C9300B معلومات تعيين SXP من ISE من خلال بروتوكول SXP.
تكوين المحول
قم بتكوين المحول كمستمع SXP للحصول على تعيينات IP-SGT من ISE.
تمكين CTS sxp كلمة المرور الافتراضية cts sxp من Cisco cts sxp default source-ip 10.127.213.27 نظير اتصال CTS sxp 10.127.197.53 كلمة مرور الوضع الافتراضي لمكبر صوت النظير وقت الانتظار 0 vrf Mgmt-vrf
|
تكوين ISE
الخطوة 1. تمكين خدمة SXP على ISE
انتقل إلى إدارة > نظام > نشر > تحرير العقدة وتحت خدمة السياسة، حدد تمكين خدمة SXP.

الخطوة 2. إضافة أجهزة SXP
لتكوين وحدة إصغاء ومكبر صوت SXP للمحولات المقابلة، انتقل إلى مراكز العمل > TrustSec > SXP > أجهزة SXP.
قم بإضافة المحول مع دور النظير كمستمع وتعيينه إلى المجال الافتراضي.

الخطوة 3. إعدادات SXP
تأكد من التحقق من إضافة تعيينات نصف القطر في جدول تخطيط SXP IP الخاص برقيب IP، حتى يتعلم ISE تعيينات IP-SGT الديناميكية من خلال مصادقة RADIUS.

التحقق من الصحة
الخطوة 1. اتصال SXP على المحول
C9300B#show cts sxp connections vrf mgmt-vrf SXP : ممكن أعلى إصدار مدعوم: 4 كلمة المرور الافتراضية : مجموعة سلسلة المفاتيح الافتراضية: غير معين اسم سلسلة المفاتيح الافتراضية: غير قابل للتطبيق مصدر IP الافتراضي: 10.127.213.27 الفترة المفتوحة لإعادة محاولة الاتصال: 120 ثوان تسوية الفترة: 120 ثوان إعادة محاولة فتح المؤقت غير قيد التشغيل حد إجتياز تسلسل النظير للتصدير: غير معين حد إجتياز تسلسل النظير للاستيراد: غير معين — IP النظير : 10.127.197.53 IP المصدر : 10.127.213.27 حالة المخروط : تشغيل إصدار المخروط : 4 إمكانية الاتصال : الشبكة الفرعية IPv4-IPv6-Subnet وقت تعليق CONN : 120 ثانية الوضع المحلي : مستمع SXP رقم تعريف الاتصال : 1 تنسيق TCP FD : 1 كلمة مرور توافق TCP: كلمة مرور SXP الافتراضية مؤقت الاحتجاز قيد التشغيل المدة منذ آخر تغيير للحالة: 0:00:23:36 (dd:hr:mm:sec)
إجمالي num إتصالات SXP = 1
0x7F128DF555E0 VRF:Mgmt-vrf، fd: 1، IP النظير: 10.127.197.53 cdbp:0x7F128DF555E0 MGMT-VRF <10.127.197.53 و 10.127.213.27> tableid:0x1
|
الخطوة 2. التحقق من ISE SXP
تحقق من أن حالة SXP قيد التشغيل للمحول ضمن مراكز العمل > TrustSec > SXP > أجهزة SXP.

الخطوة 3. محاسبة RADIUS
تأكد من أن ISE استلم سمة RADIUS لعنوان Framed-IP من حزمة محاسبة RADIUS بعد مصادقة ناجحة.

الخطوة 4. تعيينات ISE SXP
انتقل إلى مراكز العمل > TrustSec > SXP > جميع تعيينات SXP لعرض تعيينات IP-SGT التي تم التعرف عليها ديناميكيا من جلسة عمل RADIUS.

تعلم من قبل:
محلي - روابط برقبي IP-Sgt معينة بشكل ثابت على ISE.
جلسة العمل - روابط IP-SGT التي تم التعرف عليها ديناميكيا من جلسة RADIUS.
ملاحظة: ويملك ISE القدرة على إستقبال روابط IP-Sgt من جهاز آخر. يمكن عرض هذه الروابط كما تم التعرف عليها من قبل SXP ضمن جميع تعيينات SXP.
الخطوة 5. تعيينات SXP على المحول
تعرف المحول على تعيينات IP-SGT من ISE من خلال بروتوكول SXP.
ملخص C9300B#show cts sxp sgt-map vrf mgmt-vrf عمليات تعيين رقيب بروتوكول الإنترنت (IP) كما يلي: بروتوكول IPv4، الرقيب: <10.197.213.23 و 5> إجمالي عدد تعيينات IP-SGT: 2 تابع في sxp_bnd_exp_conn_list (total:0): C9300B#
C9300B#show cts القائم على الأدوار الرقيب-map vrf mgmt-vrf all معلومات الربط النشط عبر الإصدار الرابع من بروتوكول الإنترنت (IP) مع الرقيب
مصدر رقيب عنوان IP =============================================== 10٫197٫213٫23 5 SXP
ملخص الروابط النشطة لرقيب IP =============================================== إجمالي عدد روابط SXP = 2 العدد الإجمالي للروابط النشطة = 2
|
استكشاف الأخطاء وإصلاحها
يوفر هذا القسم معلومات يمكنك استخدامها لاستكشاف أخطاء التكوين وإصلاحها.
تقرير ISE
كما يسمح لك ISE بإنشاء ربط SXP وتقارير الاتصال، كما هو موضح في هذه الصورة.

تصحيح الأخطاء على ISE
قم بتجميع حزمة دعم ISE باستخدام هذه السمة التي سيتم تعيينها على مستوى تصحيح الأخطاء:
- sxp
- sgtbinding
- إن إس إف
- NSF-جلسة
- الثقة
عندما تتم مصادقة المستخدم من خادم ISE، يقوم ISE بتعيين مساعد رقمي في حزمة إستجابة قبول الوصول. بمجرد حصول المستخدم على عنوان IP، يرسل المحول عنوان IP المؤطر في حزمة محاسبة RADIUS.
show logging application localStore/iseLocalStore.log:
2024-07-18 09:55:55.051 +05:30 000017592 3002 إشعار Radius-Accounting: تحديث مراقبة حسابات RADIUS، ConfigVersionId=129، عنوان IP للجهاز=10.197.213.22، UserName=cisco، NetworkDeviceName=pk، user-name=cisco، NAS-IP-Address=10.197.213.22، NAS-Port=50124، framed-IP-address=10.197.213.23، class=cacs:16d5c50a000017c425e3c6:pk3-1a/510648097/25، call-station-id=c4-b2-39-ed-ab-18، call-station-id=b4-96-91-f9-56-8b، acct-status-type=مؤقت-update، acct delay-time=0، acct-input-octets=413، acct-output-octets=0، acct-session-id=000007، acct-genuine=remote، acct-input-packet=4، acct-output-packet=0، event-timestamp=172127745، nas-port-type=ethernet، nas-port-id=00gigabitEthernet1/0/24، cisco-av-pair=audit-session-id=16D5C50A000017C425E3C6، cisco-av-pair=method=dot1x، cisco-av-pair=cts:security-group-tag=0005-00، acsSessionID=pk3-1a/510648097/28، selectAccessService=Default Network Access، RequestLatency=6، step=11004، step=11017، step=15049، step=15008، step=22085، step=11005، networkDeviceGroups=IPSec#device#no، networkDeviceGroups=location#All Sites، networkDeviceGroups=device#All Device Types، CPMSsessionID=16D5C50C a000017C425E3C6، TotalAuthenLatency=6، ClientLatency=0، ملف تعريف جهاز الشبكة=Cisco، الموقع=Location#All Sites، نوع الجهاز=نوع الجهاز#All Device Types، IPSsec=IPSec#Device#No،
|
show logging application ise-psc.log:
2024-07-18 09:55:55،054 تصحيح الأخطاء [SxpSessionNotifierThread][] ise.sxp.sessionBinding.util.SxpBindingUtil -::-: تسجيل قيم الجلسة المستلمة من PrrtCpmBridge : نوع العملية ==>ADD، sessionId ==> 16D5C50A0000017C425E3C6، sessionState ==> مقبول، inputIp ==> 10.197.213.23، inputSgTag ==> 0005-00، nasIp => 10.197.213.22null، vn = = = null>
|
تقوم عقدة SXP بتخزين تعيين IP + SGT في جدول H2DB الخاص بها وعقدة PAN الأحدث بتجميع تعيين IP + SGT وعكس ذلك في مراكز العمل >TrustSec > SXP > جميع تعيينات SXP.
show logging application sxp_appserver/sxp.log:
2024-07-18 10:01:01،312 معلومات [sxpservice-http-96441] cisco.ise.sxp.rest.sxpGlueRestAPI:147 - SXP-PEERF إضافة حجم دفعة ربط الجلسات: 1 2024-07-18 10:01:01،317 تصحيح الأخطاء [SxpNotificationSerializer-Thread] cpm.sxp.engine.services.NotificationSerializerImpl:202 - معالجة مهمة [add=true، إعلام=RestSxpLocalBinding(tag=5، groupName=null، ipAddress=10.197.213.23/32، nasIp=10.197.213.2، sessionId=16D5D c50A0000017C425E3C6، peerSequence=null، sxpBindingOpType=null، sessionExpiryTimeInMillis=0، apic=false، routable=true، vns=[]]
2024-07-18 10:01:01،344 تصحيح الأخطاء [SxpNotificationSerializer-Thread] Cisco.cpm.sxp.engine:1543 - [VPN: 'default'] إضافة ربط جديد: MasterBindingIdentity [ip=10.197.213.23/32، peerSequence=10.127.197.53،10.197.213.22، tag=5، isLocal=true، sessionId=16D5C50A0000017C425E3C6، vn=default_VN] 2024-07-18 10:01:01،344 تصحيح الأخطاء [SxpNotificationSerializer-Thread] Cisco.cpm.sxp.engine.SxpEngine:1581 - إضافة 1 ربط (روابط) 2024-07-18 10:01:01،344 تصحيح الأخطاء [SxpNotificationSerializer-Thread] cisco.cpm.sxp.engine.MasterDbListener:251 - إرسال المهمة إلى معالج H2 لإضافة روابط، عدد الروابط: 1 2024-07-18 10:01:01،344 تصحيح الأخطاء [H2_HANDLER] cisco.cpm.sxp.engine.MasterDbListener:256 - معالجة MasterDbListener عند المضاف - الروابط عدد: 1
|
تقوم عقدة SXP بتحديث محول النظير باستخدام أحدث روابط IP-SGT.
2024-07-18 10:01:01،346 تصحيح الأخطاء [pool-7-thread-4] opendaylight.sxp.core.service.updateExportTask:93 - sxp_perf:Send_update_buffer_size=32 2024-07-18 10:01:01،346 تصحيح الأخطاء [pool-7-thread-4] openDaylight.sxp.core.service.UpdateExportTask:116 - Send_Update إلى [ISE:10.127.197.53][10.127.197.53:64999/10.127.213.27:31025] [o|SV4] 2024-07-18 10:01:01،346 تصحيح الأخطاء [pool-7-thread-4] openDaylight.sxp.core.service.UpdateExportTask:137 - Sent_Update بنجاح إلى [ISE:10.127.197.53][10.127.197.53:64999/10.127.213.27:31025][O|SV4]
|
تصحيح الأخطاء على المحول
قم بتمكين عمليات تصحيح الأخطاء هذه على المحول لاستكشاف أخطاء إتصالات SXP والتحديثات وإصلاحها.
debug cts sxp conn
خطأ debug cts sxp
debug cts sxp mdb
debug cts sxp message
تلقى المحول تعيينات SGT-IP من نظام ISE لمكبر صوت SXP.
تحقق من show logging لعرض هذه السجلات:
يوليو 1804:23:04.324: CTS-SXP-MSG:sxp_recv_update_v4 <1> عنوان IP النظير: 10.127.197.53 يوليو 1804:23:04.324: CTS-SXP-MDB:IMU إضافة ربط:- <conn_index = 1> من النظير 10.127.197.53 يوليو 1804:23:04.324: CTS-SXP-MDB:mdb_send_msg <IMU_Add_IPSGT_DEVID>
يوليو 1804:23:04.324: بدء CTS-SXP-INTNL:mdb_send_msg mdb_process_add_ipsgt_devid يوليو 1804:23:04.324: CTS-SXP-MDB:sxp_mdb_inform_rbm tableid:0x1 sense:1 sgt:5 peer:10.127.197.53 يوليو 1804:23:04.324: CTS-SXP-MDB:SXP mdb: IP 10.197.213.23 الرقيب 0x005 مضاف إلى الإدخال يوليو 1804:23:04.324: CTS-SXP-INTNL:mdb_send_msg mdb_process_add_ipsgt_devid تم
|
معلومات ذات صلة