فهم آلية سجل SXP في ISE&ndash؛اتصال Catalyst

خيارات التنزيل

  • PDF     (747.9 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
تم التحديث:٢٠ يونيو ٢٠٢٥
معرّف المستند:222201

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا وثيقة كيف أن يشكل وفهم الأمنية مجموعة تبادل بروتوكول (SXP) توصيل بين ISE ومادة حفازة 9300 مفتاح.

    المتطلبات الأساسية

    المتطلبات

    cisco يوصي أن يتلقى أنت معرفة من ال SXP بروتوكول و Identity Services Engine (ISE) تشكيل.

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

    • المحول Cisco Catalyst 9300 switch ببرنامج Cisco IOS® XE 17.6.5 والإصدارات الأحدث
      Cisco ISE، الإصدار 3.1 والإصدارات الأحدث

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية

    SXP هو بروتوكول تبادل رقم مجموعة الأمان (SGT) الذي يستخدمه TrustSec لنشر تعيينات IP إلى SGT لأجهزة TrustSec.

    تم تطوير SXP للسماح للشبكات بما في ذلك أجهزة الطرف الثالث أو أجهزة Cisco القديمة التي لا تدعم وضع علامات في السطر للرقيب بأن يكون لها إمكانيات TrustSec.

    SXP هو بروتوكول نظير؛ يمكن أن يعمل أحد الجهازين كمتحدث بينما يعمل الآخر كمستمع:

    • مكبر صوت SXP مسؤول عن إرسال روابط IP-SGT ويكون المستمع مسؤولا عن تجميع هذه الروابط.
    • يستخدم اتصال SXP منفذ TCP 64999 كبروتوكول النقل الأساسي و MD5 لسلامة/أصالة الرسائل.

    التكوين

    الرسم التخطيطي للشبكة

    Connection Network Diagram

    تدفق حركة المرور

    يصادق الكمبيوتر مع الطراز C9300a ويعين معيار ISE الرقيب بشكل ديناميكي من خلال مجموعات السياسات.
    عند تمرير المصادقة، يتم إنشاء الروابط باستخدام IP يساوي سمة RADIUS لعنوان Framed-IP والرقيب كما تم تكوينه في السياسة.
    يتم نشر الارتباطات في كافة روابط SXP ضمن المجال الافتراضي.
    يتلقى C9300B معلومات تعيين SXP من ISE من خلال بروتوكول SXP.

    تكوين المحول

    قم بتكوين المحول كمستمع SXP للحصول على تعيينات IP-SGT من ISE.

    تمكين CTS sxp
    كلمة المرور الافتراضية cts sxp من Cisco
    cts sxp default source-ip 10.127.213.27
    نظير اتصال CTS sxp 10.127.197.53 كلمة مرور الوضع الافتراضي لمكبر صوت النظير وقت الانتظار 0 vrf Mgmt-vrf

    تكوين ISE

    الخطوة 1. تمكين خدمة SXP على ISE

    انتقل إلى إدارة > نظام > نشر > تحرير العقدة وتحت خدمة السياسة، حدد تمكين خدمة SXP.

    Enable SXP Service on ISE

    الخطوة 2. إضافة أجهزة SXP

    لتكوين وحدة إصغاء ومكبر صوت SXP للمحولات المقابلة، انتقل إلى مراكز العمل > TrustSec > SXP > أجهزة SXP.
    قم بإضافة المحول مع دور النظير كمستمع وتعيينه إلى المجال الافتراضي.

    Add SXP Devices

    الخطوة 3. إعدادات SXP

    تأكد من التحقق من إضافة تعيينات نصف القطر في جدول تخطيط SXP IP الخاص برقيب IP، حتى يتعلم ISE تعيينات IP-SGT الديناميكية من خلال مصادقة RADIUS.

    SXP Settings

    التحقق من الصحة

    الخطوة 1. اتصال SXP على المحول

    C9300B#show cts sxp connections vrf mgmt-vrf
    SXP : ممكن
    أعلى إصدار مدعوم: 4
    كلمة المرور الافتراضية : مجموعة
    سلسلة المفاتيح الافتراضية: غير معين
    اسم سلسلة المفاتيح الافتراضية: غير قابل للتطبيق
    مصدر IP الافتراضي: 10.127.213.27
    الفترة المفتوحة لإعادة محاولة الاتصال: 120 ثوان
    تسوية الفترة: 120 ثوان
    إعادة محاولة فتح المؤقت غير قيد التشغيل
    حد إجتياز تسلسل النظير للتصدير: غير معين
    حد إجتياز تسلسل النظير للاستيراد: غير معين

    IP النظير : 10.127.197.53
    IP المصدر : 10.127.213.27
    حالة المخروط : تشغيل
    إصدار المخروط : 4
    إمكانية الاتصال : الشبكة الفرعية IPv4-IPv6-Subnet
    وقت تعليق CONN : 120 ثانية
    الوضع المحلي : مستمع SXP
    رقم تعريف الاتصال : 1
    تنسيق TCP FD : 1
    كلمة مرور توافق TCP: كلمة مرور SXP الافتراضية
    مؤقت الاحتجاز قيد التشغيل
    المدة منذ آخر تغيير للحالة: 0:00:23:36 (dd:hr:mm:sec)


    إجمالي num إتصالات SXP = 1

    0x7F128DF555E0 VRF:Mgmt-vrf، fd: 1، IP النظير: 10.127.197.53
    cdbp:0x7F128DF555E0 MGMT-VRF <10.127.197.53 و 10.127.213.27> tableid:0x1

    الخطوة 2. التحقق من ISE SXP

    تحقق من أن حالة SXP قيد التشغيل للمحول ضمن مراكز العمل > TrustSec > SXP > أجهزة SXP.

    ISE SXP Verification

    الخطوة 3. محاسبة RADIUS

    تأكد من أن ISE استلم سمة RADIUS لعنوان Framed-IP من حزمة محاسبة RADIUS بعد مصادقة ناجحة.

    Radius Accounting

    الخطوة 4. تعيينات ISE SXP

    انتقل إلى مراكز العمل > TrustSec > SXP > جميع تعيينات SXP لعرض تعيينات IP-SGT التي تم التعرف عليها ديناميكيا من جلسة عمل RADIUS.

    ISE SXP Mappings

    تعلم من قبل:

    محلي - روابط برقبي IP-Sgt معينة بشكل ثابت على ISE.
    جلسة العمل - روابط IP-SGT التي تم التعرف عليها ديناميكيا من جلسة RADIUS.

    note-icon

    ملاحظة: ويملك ISE القدرة على إستقبال روابط IP-Sgt من جهاز آخر. يمكن عرض هذه الروابط كما تم التعرف عليها من قبل SXP ضمن جميع تعيينات SXP.

    الخطوة 5. تعيينات SXP على المحول

    تعرف المحول على تعيينات IP-SGT من ISE من خلال بروتوكول SXP.

    ملخص C9300B#show cts sxp sgt-map vrf mgmt-vrf
    عمليات تعيين رقيب بروتوكول الإنترنت (IP) كما يلي:
    بروتوكول IPv4، الرقيب: <10.197.213.23 و 5>
    إجمالي عدد تعيينات IP-SGT: 2
    تابع في sxp_bnd_exp_conn_list (total:0):
    C9300B#

    C9300B#show cts القائم على الأدوار الرقيب-map vrf mgmt-vrf all
    معلومات الربط النشط عبر الإصدار الرابع من بروتوكول الإنترنت (IP) مع الرقيب

    مصدر رقيب عنوان IP
    ===============================================
    10٫197٫213٫23 5 SXP

    ملخص الروابط النشطة لرقيب IP
    ===============================================
    إجمالي عدد روابط SXP = 2
    العدد الإجمالي للروابط النشطة = 2

    استكشاف الأخطاء وإصلاحها

    يوفر هذا القسم معلومات يمكنك استخدامها لاستكشاف أخطاء التكوين وإصلاحها.

    تقرير ISE

    كما يسمح لك ISE بإنشاء ربط SXP وتقارير الاتصال، كما هو موضح في هذه الصورة.

    ISE Report

    تصحيح الأخطاء على ISE

    قم بتجميع حزمة دعم ISE باستخدام هذه السمة التي سيتم تعيينها على مستوى تصحيح الأخطاء:

    • sxp 
    • sgtbinding
    • إن إس إف
    • NSF-جلسة
    • الثقة

    عندما تتم مصادقة المستخدم من خادم ISE، يقوم ISE بتعيين مساعد رقمي في حزمة إستجابة قبول الوصول. بمجرد حصول المستخدم على عنوان IP، يرسل المحول عنوان IP المؤطر في حزمة محاسبة RADIUS.

    show logging application localStore/iseLocalStore.log:

    2024-07-18 09:55:55.051 +05:30 000017592 3002 إشعار Radius-Accounting: تحديث مراقبة حسابات RADIUS، ConfigVersionId=129، عنوان IP للجهاز=10.197.213.22، UserName=cisco، NetworkDeviceName=pk، user-name=cisco، NAS-IP-Address=10.197.213.22، NAS-Port=50124، framed-IP-address=10.197.213.23، class=cacs:16d5c50a000017c425e3c6:pk3-1a/510648097/25، call-station-id=c4-b2-39-ed-ab-18، call-station-id=b4-96-91-f9-56-8b، acct-status-type=مؤقت-update، acct delay-time=0، acct-input-octets=413، acct-output-octets=0، acct-session-id=000007، acct-genuine=remote، acct-input-packet=4، acct-output-packet=0، event-timestamp=172127745، nas-port-type=ethernet، nas-port-id=00gigabitEthernet1/0/24، cisco-av-pair=audit-session-id=16D5C50A000017C425E3C6، cisco-av-pair=method=dot1x، cisco-av-pair=cts:security-group-tag=0005-00، acsSessionID=pk3-1a/510648097/28، selectAccessService=Default Network Access، RequestLatency=6، step=11004، step=11017، step=15049، step=15008، step=22085، step=11005، networkDeviceGroups=IPSec#device#no، networkDeviceGroups=location#All Sites، networkDeviceGroups=device#All Device Types، CPMSsessionID=16D5C50C a000017C425E3C6، TotalAuthenLatency=6، ClientLatency=0، ملف تعريف جهاز الشبكة=Cisco، الموقع=Location#All Sites، نوع الجهاز=نوع الجهاز#All Device Types، IPSsec=IPSec#Device#No،

    show logging application ise-psc.log:


    2024-07-18 09:55:55،054 تصحيح الأخطاء [SxpSessionNotifierThread][] ise.sxp.sessionBinding.util.SxpBindingUtil -::-:
    تسجيل قيم الجلسة المستلمة من PrrtCpmBridge :
    نوع العملية ==>ADD، sessionId ==> 16D5C50A0000017C425E3C6، sessionState ==> مقبول، inputIp ==> 10.197.213.23، inputSgTag ==> 0005-00، nasIp => 10.197.213.22null، vn = = = null>

    تقوم عقدة SXP بتخزين تعيين IP + SGT في جدول H2DB الخاص بها وعقدة PAN الأحدث بتجميع تعيين IP + SGT وعكس ذلك في مراكز العمل >TrustSec > SXP > جميع تعيينات SXP.

    show logging application sxp_appserver/sxp.log:

    2024-07-18 10:01:01،312 معلومات [sxpservice-http-96441] cisco.ise.sxp.rest.sxpGlueRestAPI:147 - SXP-PEERF إضافة حجم دفعة ربط الجلسات: 1
    2024-07-18 10:01:01،317 تصحيح الأخطاء [SxpNotificationSerializer-Thread] cpm.sxp.engine.services.NotificationSerializerImpl:202 - معالجة مهمة [add=true، إعلام=RestSxpLocalBinding(tag=5، groupName=null، ipAddress=10.197.213.23/32، nasIp=10.197.213.2، sessionId=16D5D c50A0000017C425E3C6، peerSequence=null، sxpBindingOpType=null، sessionExpiryTimeInMillis=0، apic=false، routable=true، vns=[]]

    2024-07-18 10:01:01،344 تصحيح الأخطاء [SxpNotificationSerializer-Thread] Cisco.cpm.sxp.engine:1543 - [VPN: 'default'] إضافة ربط جديد: MasterBindingIdentity [ip=10.197.213.23/32، peerSequence=10.127.197.53،10.197.213.22، tag=5، isLocal=true، sessionId=16D5C50A0000017C425E3C6، vn=default_VN]
    2024-07-18 10:01:01،344 تصحيح الأخطاء [SxpNotificationSerializer-Thread] Cisco.cpm.sxp.engine.SxpEngine:1581 - إضافة 1 ربط (روابط)
    2024-07-18 10:01:01،344 تصحيح الأخطاء [SxpNotificationSerializer-Thread] cisco.cpm.sxp.engine.MasterDbListener:251 - إرسال المهمة إلى معالج H2 لإضافة روابط، عدد الروابط: 1
    2024-07-18 10:01:01،344 تصحيح الأخطاء [H2_HANDLER] cisco.cpm.sxp.engine.MasterDbListener:256 - معالجة MasterDbListener عند المضاف - الروابط عدد: 1

    تقوم عقدة SXP بتحديث محول النظير باستخدام أحدث روابط IP-SGT.

    2024-07-18 10:01:01،346 تصحيح الأخطاء [pool-7-thread-4] opendaylight.sxp.core.service.updateExportTask:93 - sxp_perf:Send_update_buffer_size=32
    2024-07-18 10:01:01،346 تصحيح الأخطاء [pool-7-thread-4] openDaylight.sxp.core.service.UpdateExportTask:116 - Send_Update إلى [ISE:10.127.197.53][10.127.197.53:64999/10.127.213.27:31025] [o|SV4]
    2024-07-18 10:01:01،346 تصحيح الأخطاء [pool-7-thread-4] openDaylight.sxp.core.service.UpdateExportTask:137 - Sent_Update بنجاح إلى [ISE:10.127.197.53][10.127.197.53:64999/10.127.213.27:31025][O|SV4]

    تصحيح الأخطاء على المحول

    قم بتمكين عمليات تصحيح الأخطاء هذه على المحول لاستكشاف أخطاء إتصالات SXP والتحديثات وإصلاحها.

    debug cts sxp conn

    خطأ debug cts sxp

    debug cts sxp mdb

    debug cts sxp message

    تلقى المحول تعيينات SGT-IP من نظام ISE لمكبر صوت SXP.

    تحقق من show logging لعرض هذه السجلات:


    يوليو 1804:23:04.324: CTS-SXP-MSG:sxp_recv_update_v4 <1> عنوان IP النظير: 10.127.197.53
    يوليو 1804:23:04.324: CTS-SXP-MDB:IMU إضافة ربط:- <conn_index = 1> من النظير 10.127.197.53
    يوليو 1804:23:04.324: CTS-SXP-MDB:mdb_send_msg <IMU_Add_IPSGT_DEVID>

    يوليو 1804:23:04.324: بدء CTS-SXP-INTNL:mdb_send_msg mdb_process_add_ipsgt_devid
    يوليو 1804:23:04.324: CTS-SXP-MDB:sxp_mdb_inform_rbm tableid:0x1 sense:1 sgt:5 peer:10.127.197.53
    يوليو 1804:23:04.324: CTS-SXP-MDB:SXP mdb: IP 10.197.213.23 الرقيب 0x005 مضاف إلى الإدخال
    يوليو 1804:23:04.324: CTS-SXP-INTNL:mdb_send_msg mdb_process_add_ipsgt_devid تم

    معلومات ذات صلة

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    2.0
    20-Jun-2025
    الإصدار الأولي
    1.0
    24-Jul-2024
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Praveenkumar Palanisamy
      Technical Consulting Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات