Analyse des SXP-Protokollmechanismus in ISE–Catalyst-Kommunikation

Download-Optionen

  • PDF     (740.6 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (622.3 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (490.4 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:20. Juni 2025
Dokument-ID:222201

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird die Konfiguration und das Verständnis der SXP-Verbindung (Security Group Exchange Protocol) zwischen ISE und Catalyst 9300-Switch beschrieben.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie mit der Konfiguration des SXP-Protokolls und der Identity Services Engine (ISE) vertraut sind.

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Cisco Catalyst Switch der Serie 9300 mit der Software Cisco IOS® XE 17.6.5 und höher
      Cisco ISE, Version 3.1 und höher

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    SXP ist das von TrustSec verwendete Security Group Tag (SGT) Exchange Protocol, mit dem IP- und SGT-Zuordnungen an TrustSec-Geräte weitergegeben werden.

    SXP wurde entwickelt, damit Netzwerke wie Drittanbietergeräte oder ältere Cisco Geräte, die kein SGT-Inline-Tagging unterstützen, über TrustSec-Funktionen verfügen.

    SXP ist ein Peering-Protokoll; ein Gerät kann als Lautsprecher und das andere als Listener fungieren:

    • Der SXP-Sprecher ist für das Senden der IP-SGT-Bindungen verantwortlich, und der Listener ist für das Sammeln dieser Bindungen verantwortlich.
    • Die SXP-Verbindung verwendet den TCP-Port 64999 als zugrunde liegendes Transportprotokoll und MD5 für die Integrität/Authentizität der Nachricht.

    Konfiguration

    Netzwerkdiagramm

    Connection Network Diagram

    Datenverkehrsfluss

    Der PC wird mit C9300A authentifiziert, und die ISE weist SGT dynamisch über Richtliniensätze zu.
    Wenn die Authentifizierung verstrichen ist, werden Bindungen mit einer IP erstellt, die dem RADIUS-Attribut der Framed-IP-Adresse und dem in der Richtlinie konfigurierten SGT entspricht.
    Die Bindungen werden in allen SXP-Bindungen unter der Standarddomäne propagiert.
    Der C9300B empfängt die SXP-Zuordnungsinformationen von der ISE über das SXP-Protokoll.

    Switch konfigurieren

    Konfigurieren Sie den Switch als SXP-Listener, um die IP-SGT-Zuordnungen von der ISE abzurufen.

    cts sxp enable
    cts sxp default kennwort cisco
    cts sxp default source-ip 10.127.213.27
    cts sxp connection peer 10.127.197.53 Kennwort Standardmodus Peer-Lautsprecher Haltezeit 0 0 vrf Mgmt-vrf

    Konfigurieren der ISE

    Schritt 1: Aktivieren des SXP-Service auf der ISE

    Navigieren Sie zu Administration > System > Deployment > Edit the node, und wählen Sie unter Policy Service die Option Enable SXP Service aus.

    Enable SXP Service on ISE

    Schritt 2: Hinzufügen von SXP-Geräten

    Um den SXP-Listener und -Lautsprecher für die entsprechenden Switches zu konfigurieren, navigieren Sie zu Work Centers > TrustSec > SXP > SXP Devices.
    Fügen Sie den Switch mit der Peer-Rolle als Listener hinzu, und weisen Sie ihn der Standarddomäne zu.

    Add SXP Devices

    Schritt 3: SXP-Einstellungen

    Stellen Sie sicher, dass die Option "Add radius mappings into SXP IP SGT mapping table" aktiviert ist, damit die ISE dynamische IP-SGT-Zuordnungen über Radius-Authentifizierungen erlernt.

    SXP Settings

    Überprüfung

    Schritt 1: SXP-Verbindung am Switch

    C9300B#show cts sxp verbindungen vrf mgmt-vrf
    SXP: Aktiviert
    Unterstützte Version: 4
    Standardkennwort: Festlegen
    Standard-Schlüsselbund: Nicht festgelegt
    Standard-Schlüsselbundname: Nicht zutreffend
    Standard-Quell-IP: 10.127.213.27
    Offener Zeitraum für Verbindungsversuch: 120 s
    Abstimmungszeitraum: 120 s
    Der Zeitgeber zum erneuten Öffnen wird nicht ausgeführt
    Peer-Sequenz-Durchlauflimit für Export: Nicht festgelegt
    Grenzwert für Peer-Sequenz-Durchläufe für den Import: Nicht festgelegt
    ----------------------------------------------
    Peer-IP: 10.127.197.53
    Quell-IP: 10.127.213.27
    Verbindungsstatus: On
    Konvertierung: 4
    Verbindungsfähigkeit: IPv4-IPv6-Subnetz
    Wartezeit für Verbindungen: 120 Sekunden
    Lokaler Modus: SXP-Listener
    Verbindungs-INST#: 1
    TCP-Verbindung fd: 1
    Passwort für TCP-Verbindung: Standard-SXP-Kennwort
    Haltezeit läuft
    Dauer seit letzter Statusänderung: 0:00:23:36 (TT:H:MM:S)


    Gesamtzahl der SXP-Verbindungen = 1

    0x7F128DF555E0 VRF:Mgmt-vrf, fd: 1, Peer-IP: 10.127.197.53
    cdbp:0x7F128DF555E0 Mgmt-vrf <10.127.197.53, 10.127.213.27> tableid:0x1

    Schritt 2: ISE SXP-Verifizierung

    Vergewissern Sie sich, dass der SXP-Status für den Switch unter Work Centers > TrustSec > SXP > SXP Devices (Work Center > TrustSec > SXP > SXP Devices) ON lautet.

    ISE SXP Verification

    Schritt 3: RADIUS-Accounting

    Stellen Sie sicher, dass die ISE nach der erfolgreichen Authentifizierung das RADIUS-Attribut für die Framed-IP-Adresse vom Radius-Accounting-Paket erhalten hat.

    Radius Accounting

    Schritt 4: ISE SXP-Zuordnungen

    Navigieren Sie zu Workcenters > TrustSec > SXP > All SXP Mappings, um die dynamisch abgefragten IP-SGT-Zuordnungen aus der Radius-Sitzung anzuzeigen.

    ISE SXP Mappings

    Gelernt von:

    Lokal - Statisch zugewiesene IP-SGT-Bindungen auf der ISE.
    Sitzung - Dynamisch empfangene IP-SGT-Bindungen aus einer Radius-Sitzung.

    note-icon

    Anmerkung: Die ISE kann IP-SGT-Bindungen von einem anderen Gerät empfangen. Diese Bindungen können als Gelernt von SXP unter Alle SXP-Zuordnungen angezeigt werden.

    Schritt 5: SXP-Zuordnungen auf dem Switch

    Der Switch hat IP-SGT-Zuordnungen über das SXP-Protokoll von der ISE erhalten.

    C9300B#show cts sxp sgt-map vrf mgmt-vrf brief
    IP-SGT-Zuordnungen:
    IPv4, SGT: <10.197.213.23 , 5>
    Gesamtanzahl der IP-SGT-Zuordnungen: 2
    conn in der sxp_bnd_exp_conn_list (gesamt:0):
    C9300B#

    C9300B#show cts, rollenbasiertes SGT-Map-VRF, Mgmt-VRF, alle
    Informationen zu aktiven IPv4-SGT-Bindungen

    IP-Adresse SGT-Quelle
    ============================================
    10.197.213.23 5 SXP

    Zusammenfassung der aktiven IP-SGT-Bindungen
    ============================================
    Gesamtanzahl der SXP-Bindungen = 2
    Gesamtzahl aktiver Bindungen = 2

    Fehlerbehebung

    In diesem Abschnitt finden Sie Informationen zur Behebung von Fehlern in Ihrer Konfiguration.

    ISE-Bericht

    Mit der ISE können Sie auch SXP-Verbindungs- und Verbindungsberichte erstellen, wie in diesem Bild gezeigt.

    ISE Report

    Debuggen auf der ISE

    Sammeln Sie das ISE-Support-Paket mit den folgenden Attributen, die auf Debugebene festgelegt werden sollen:

    • SXP 
    • SGTbindung
    • NSF
    • NSF-Sitzung
    • TrustSec

    Wenn ein Benutzer vom ISE-Server authentifiziert wird, weist die ISE dem Accept Response-Paket einen SGT zu. Sobald der Benutzer die IP-Adresse erhält, sendet der Switch die Frame-IP-Adresse im Radius-Accounting-Paket.

    show logging-Anwendung localStore/iseLocalStore.log:

    2024-07-18 09:55:55.051 +05:30 000017592 3002 HINWEIS Radius-Accounting: RADIUS Accounting Watchdog-Update, ConfigVersionId=129, Geräte-IP-Adresse=10.197.213.22, UserName=cisco, NetworkDeviceName=pk, User-Name=cisco, NAS-IP-Adresse=10.197.213.22, NAS-Port=50124, Framed-IP-Adresse=10.197.213.23, Class=CACS:16D5C50A00000017C425E3C6:pk3-1a/510648097/25, Called-Station-ID=C4-B2-39-ED-AB-18, Calling-Station-ID=B4-96-91-F9-56-8B, Acct-Status-Type=Interim-Update, Acct-Delay-Time=0, Acct-Input-Octets=413, Acct-Output-Octets=0, Acct-Session-Id=00000007 Acct-Input-Packets=4, Acct-Output-Packets=0, Event-Timestamp=1721277745, NAS-Port-Type=Ethernet, NAS-Port-Id=TenGigabitEthernet1/0/24, cisco-av-pair=audit-session-id=16D5C50A00000017C425E3C6, cisco-av-pair=method=dot1x, cisco-av-pair=cts:security-group-tag=0005-00, AcsSessionID=pk3-1a/510648097/28, SelectedAccessService=Default Network Access, RequestLatency=6, Step=11004, Step=11017, Step=15049, Step=15008, Step=22085, NetworkDeviceGroups=IPSEC#Is IPSEC Device#No, NetworkDeviceGroups=Location#All Locations, NetworkDeviceGroups=Device Type#All Device Types, CPMSessionID=16D5C50A1100500000017 C425E3C6, TotalAuthenhenLatency=6, ClientLatency=0, Network Device Profile=Cisco, Location=Location Standorte, Gerätetyp=Gerätetyp#Alle Gerätetypen, IPSEC=IPSEC#Ist IPSEC-Gerät#Nein,

    show logging application ise-psc.log:


    2024-07-18 09:55:55,054 DEBUG [SxpSessionNotifierThread][] ise.sxp.sessionbinding.util.SxpBindingUtil -:::-
    Protokollieren der von PrrtCpmBridge empfangenen Sitzungswerte:
    Vorgangstyp ==>ADD, sessionId ==> 16D5C50A00000017C425E3C6, sessionState ==> ACCEPTED, inputIp ==> 10.197.213.23, inputSgTag ==> 0005-00, nasIp ==> 10.197.213.22null, vn ==> null

    Der SXP-Knoten speichert die IP- und SGT-Zuordnung in seiner H2DB-Tabelle, der spätere PAN-Knoten sammelt die IP- und SGT-Zuordnung und spiegelt sie in Work Centers > TrustSec > SXP > All SXP Mappings wider.

    show logging-Anwendung sxp_appserver/sxp.log:

    2024-07-18 10:01:01,312 INFO [sxpservice-http-96441] cisco.ise.sxp.rest.SxpGlueRestAPI:147 - SXP-PEERF Hinzufügen von Sitzungsbindungen Batchgröße: 1
    2024-07-18 10:01:01,317 DEBUG [SxpNotificationSerializer-Thread] cpm.sxp.engine.services.NotificationSerializerImpl:202 - processing task [add=true, notification=RestSxpLocalBinding(tag=5, groupName=null, ipAddress=10.197.213.23/32, nasIp=10.197.213.22, sessionId=16D5C50A00000017C425E3C6, peerSequence=null, sxpBindingOpType=null, sessionExpiryTimeInMillis=0, apic=false, routable=true, vns=[])]

    2024-07-18 10:01:01,344 DEBUG [SxpNotificationSerializer-Thread] cisco.cpm.sxp.engine.SxpEngine:1543 - [VPN: 'default'] Neue Bindung wird hinzugefügt: MasterBindingIdentity [ip=10.197.213.23/32, peerSequence=10.127.197.53,10.197.213.22, tag=5, isLocal=true, sessionId=16D5C50A00000017C425E3C6, vn=DEFAULT_VN]
    2024-07-18 10:01:01,344 DEBUG [SxpNotificationSerializer-Thread] cisco.cpm.sxp.engine.SxpEngine:1581 - Adding 1 binding(s)
    18.07.2024 10:01:01,344 DEBUG [SxpNotificationSerializer-Thread] cisco.cpm.sxp.engine.MasterDbListener:251 - Aufgabe wird an H2 Handler zum Hinzufügen von Bindungen gesendet, Anzahl der Bindungen: 1
    2024-07-18 10:01:01,344 DEBUG [H2_HANDLER] cisco.cpm.sxp.engine.MasterDbListener:256 - MasterDbListener Processing onAdded - BindingsCount: 1

    Der SXP-Knoten aktualisiert den Peer-Switch mit den neuesten IP-SGT-Bindungen.

    2024-07-18 10:01:01,346 DEBUG [pool-7-thread-4] opendaylight.sxp.core.service.UpdateExportTask:93 - SXP_PERF:SEND_UPDATE_BUFFER_SIZE=32
    2024-07-18 10:01:01,346 DEBUG [pool-7-thread-4] opendaylight.sxp.core.service.UpdateExportTask:116 - SENT_UPDATE to [ISE:10.127.197.53][10.127.197.53:64999/10.127.213.27:31025][O|Sv4]
    2024-07-18 10:01:01,346 DEBUG [pool-7-thread-4] opendaylight.sxp.core.service.UpdateExportTask:137 - SENT_UPDATE SUCCESSFUL to [ISE:10.127.197.53][10.127.197.53:64999/10.127.213.27:31025][O|Sv4]

    Debuggen auf Switch

    Aktivieren Sie diese Fehlerbehebungen auf dem Switch, um SXP-Verbindungen und -Updates zu beheben.

    debug cts sxp conn

    debug cts sxp error

    debug cts sxp mdb

    debug cts sxp nachricht

    Der Switch hat die SGT-IP-Zuordnungen von der SXP-Lautsprecher-ISE erhalten.

    Aktivieren Sie Protokoll anzeigen, um diese Protokolle anzuzeigen:


    18.07. 04:23:04.324: CTS-SXP-MSG:sxp_recv_update_v4 <1> Peer-IP: 10.127.197.53
    18.07. 04:23:04.324: CTS-SXP-MDB:IMU Bindung hinzufügen:- <conn_index = 1> von Peer 10.127.197.53
    18.07. 04:23:04.324: CTS-SXP-MDB:mdb_send_msg <IMU_ADD_IPSGT_DEVID>

    18.07. 04:23:04.324: CTS-SXP-INTNL:mdb_send_msg mdb_process_add_ipsgt_devid Start
    18.07. 04:23:04.324: CTS-SXP-MDB:sxp_mdb_notify_rbm, Tabelle:0x1 Sinn:1 sgt:5 Peer:10.127.197.53
    18.07. 04:23:04.324: CTS-SXP-MDB:SXP-MDB: Eintrag hinzugefügt IP 10.197.213.23 sgt 0x0005
    18.07. 04:23:04.324: CTS-SXP-INTNL:mdb_send_msg mdb_process_add_ipsgt_devid Fertig

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    2.0
    20-Jun-2025
    Erstveröffentlichung
    1.0
    24-Jul-2024
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Praveenkumar Palanisamy
      Technical Consulting Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.