Matrices múltiples de TrustSec de la configuración en ISE 2.2

Introducción

Este documento describe el uso de las matrices múltiples de TrustSec y de las matrices de DefCon en Cisco Identity Services Engine (ISE) 2.2. Esto es una nueva característica de TrustSec introducida en ISE 2.2 para un mejor granularity en la red.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

• Conocimiento básico de los componentes de Cisco TrustSec (CTS)
• Conocimiento básico de la configuración CLI de los switches de Catalyst
• Experiencia con la configuración del Identity Services Engine (ISE)

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Identity Services Engine 2.2
• Switch 3850 03.07.03.E del Cisco Catalyst
• Switch 3750X 15.2(4)E1 del Cisco Catalyst
• Máquinas de Windows 7

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Antecedentes

En ISE 2.0 hay una posibilidad para utilizar solamente una matriz de TrustSec de la producción para todos los dispositivos de red. La función agregada del 2.1 ISE llamó la matriz del estacionamiento que se puede utilizar para los propósitos de la prueba y de la implementación. Las directivas creadas en la matriz del estacionamiento se aplican solamente a los dispositivos de red usados para las pruebas. El resto de los dispositivos todavía utiliza la matriz de la producción. Una vez que la matriz que efectúa se confirma para trabajar muy bien, todos los otros dispositivos se pueden mover a ella y se convierte en nueva matriz de la producción.

El ISE 2.2 viene con dos nuevas características de TrustSec:

1. Matrices múltiples - capacidad de asignar diversas matrices a los dispositivos de red
2. Matriz de DefCon - esta matriz se avanza a toda la situación de los dispositivos de red particularmente, accionada por el administrador

Es posible utilizar la sola característica de la matriz o la característica de la matriz de la producción y del estacionamiento en ISE 2.2.

Matrices múltiples

Para utilizar las matrices múltiples, usted tiene que habilitar esta opción bajo los centros de trabajo > TrustSec > las configuraciones > configuraciones de proceso del trabajo, tal y como se muestra en de la imagen:

Una vez que se habilita esto, usted puede crear las nuevas matrices y asignar después los dispositivos de red a la matriz específica.

Matrices de DefCon

Las matrices de DefCon son matrices especiales, listas para ser desplegado en cualquier momento. Cuando están desplegados, todos los dispositivos de red se asignan automáticamente a esta matriz. El ISE todavía recuerda la matriz más reciente de la producción para todos los dispositivos de red, así que este cambio se puede invertir detrás en cualquier momento cuando se desactiva DefCon. Usted puede definir hasta cuatro diversas matrices de DefCon:

1. DefCon1 - Crítico
2. DefCon2 - Severo
3. DefCon3 - Sustancial
4. DefCon4 - Moderado

Las matrices de DefCon se pueden utilizar conjuntamente con las tres opciones de proceso del trabajo:

Configurar

Diagrama de la red

Configuraciones

Para utilizar las matrices múltiples, usted tiene que habilitarlo bajo configuraciones del proceso del trabajo. En este ejemplo, habilite también la matriz de DefCon.

1. Configuración de Switch básica para RADIUS/CTS

radius server ISE
 address ipv4 10.48.17.161 auth-port 1812 acct-port 1813
 pac key cisco

aaa group server radius ISE
 server name ISE
 ip radius source-interface FastEthernet0

ip radius source-interface FastEthernet0 

aaa server radius dynamic-author
 client 10.48.17.161 server-key cisco

aaa new-model
aaa authentication dot1x default group ISE
aaa accounting dot1x default start-stop group ISE 

Para obtener la información CTS, usted tiene que crear la lista de la autorización CTS:

cts authorization list LIST
aaa authorization network LIST group ISE

2. CTS PAC

Para recibir CTS PAC (credenciales protegidas del acceso) del ISE, usted tiene que configurar las mismas credenciales en el Switch y el ISE bajo configuración avanzada de TrustSec para el dispositivo de red:

cts credentials id GALA password cisco 

Una vez que se configura esto, un Switch puede descargar CTS PAC. Una parte de que (PAC-opaco) se está enviando como el par AV en cada pedido de RADIUS al ISE, así que ISE puede verificar si el PAC para este dispositivo de red es todavía válido:

GALA#show cts pacs 
  AID: E6796CD7BBF2FA4111AD9FB4FEFB5A50
  PAC-Info:
    PAC-type = Cisco Trustsec
    AID: E6796CD7BBF2FA4111AD9FB4FEFB5A50
    I-ID: GALA
    A-ID-Info: Identity Services Engine
    Credential Lifetime: 17:05:50 CEST Apr 5 2017
  PAC-Opaque: 000200B00003000100040010E6796CD7BBF2FA4111AD9FB4FEFB5A50000600940003010012FABE10F3DCBCB152C54FA5BFE124CB00000013586BB31500093A809E11A93189C7BE6EBDFB8FDD15B9B7252EB741ADCA3B2ACC5FD923AEB7BDFE48A3A771338926A1F48141AF091469EE4AFC8C3E92A510BA214A407A33F469282A780E8F50F17A271E92D1FEE1A29ED427B985F9A0E00D6CDC934087716F4DEAF84AC11AA05F7587E898CA908463BDA9EC7E65D827
  Refresh timer is set for 11y13w 

3. Configuración CTS en un Switch.

Una vez que se descarga el PAC, el Switch puede pedir la información adicional CTS (entorno-DATA y las directivas):

GALA#cts refresh environment-data

GALA#show cts environment-data 
CTS Environment Data
====================
Current state = COMPLETE
Last status = Successful
Local Device SGT:
  SGT tag = 0-06:Unknown
Server List Info:
Installed list: CTSServerList1-0001, 1 server(s):
 *Server: 10.48.17.161, port 1812, A-ID E6796CD7BBF2FA4111AD9FB4FEFB5A50
          Status = ALIVE
          auto-test = TRUE, keywrap-enable = FALSE, idle-time = 60 mins, deadtime = 20 secs
Multicast Group SGT Table:
Security Group Name Table:
    0-ce:Unknown
    2-ce:TrustSec_Devices
    3-ce:Network_Services
    4-ce:Employees
    5-ce:Contractors
    6-ce:Guests
    7-ce:Production_Users
    8-ce:Developers
    9-ce:Auditors
    10-ce:Point_of_Sale_Systems
    11-ce:Production_Servers
    12-ce:Development_Servers
    13-ce:Test_Servers
    14-ce:PCI_Servers
    15-ce:BYOD
    255-ce:Quarantined_Systems
Environment Data Lifetime = 86400 secs 
Last update time = 07:48:41 CET Mon Jan 2 2006
Env-data expires in   0:23:56:02 (dd:hr:mm:sec)
Env-data refreshes in 0:23:56:02 (dd:hr:mm:sec)
Cache data applied           = NONE
State Machine is running

GALA#cts refresh policy

GALA#show cts role-based permissions 
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE

Usted puede ser que vea que no hay directivas que son descargadas del ISE, la razón es que la aplicación CTS no está habilitada en el Switch:

cts role-based enforcement
cts role-based enforcement vlan-list 1-4094

GALA#show cts role-based permissions 
IPv4 Role-based permissions default:
	Permit IP-00
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE

En ambas salidas, usted podría ver los valores predeterminados - SGTs creado por abandono (0, 2-15, 255) y directiva predeterminada IP del permiso.

4. Configuración básica CTS en el ISE.

Cree las nuevas etiquetas del grupo de seguridad (SGTs) y pocas directivas en el ISE para utilizarlas después. Navegue los grupos al > Security (Seguridad) de los centros de trabajo > de TrustSec > de los componentes, tecleo agregan para crear nuevo SGT:

Para crear la lista de control de acceso del grupo de seguridad (SGACL) para el filtrado de tráfico, elija el grupo de seguridad ACL, tal y como se muestra en de la imagen:

Semejantemente, usted puede crear el otro SGTs y SGACLs. Una vez que se crean SGTs y SGACLs, usted puede atarlos juntos en las directivas CTS, para hacer navega tan a los centros de trabajo > a TrustSec > árbol a la directiva > a la política de egress > a la fuente de TustSec, tal y como se muestra en de la imagen:

5. Matrices y configuración múltiples de DefCon en el ISE.

En este ejemplo, usted ha configurado las directivas para la matriz ForGALA. Para conmutar entre las matrices, usted puede utilizar el menú desplegable. Para habilitar las matrices múltiples, navegue a los centros de trabajo > a TrustSec > a las configuraciones > a las configuraciones de proceso del trabajo y habilite las matrices múltiples de las matrices y de DefCon, tal y como se muestra en de la imagen:

Cuando se habilita esta opción, hay matriz predeterminada de la producción disponible, aunque usted pueda crear otras matrices. Navegue a los centros de trabajo > a TrustSec > a la directiva > a la política de egress > a las matrices de TrustSec enumeran y el tecleo agrega:

Hay una opción para copiar las directivas que deben sentir bien a la parte del nuevo de la matriz ya existente. Cree dos matrices - una para el 3750X Switch, otro para el 3850 Switch. Una vez que se crean las matrices, usted tiene que asignar los dispositivos de red a esas matrices, porque por abandono todos los dispositivos de acceso a la red habilitados TrustSec se asignan a la matriz de la producción.

Para asignar los NAD, el tecleo asigna la opción NAD conforme a la lista de las matrices, marca el dispositivo que usted quisiera asignar la matriz a y escoger la matriz creada del menú desplegable y del tecleo asigne, tal y como se muestra en de la imagen:

Usted puede hacer lo mismo para los otros dispositivos, seguido por el hacer clic en asigna el botón:

Una vez que se realizan todos los cambios, haga clic en Close&Send, que envía todas las actualizaciones a los dispositivos para realizar una restauración de las directivas CTS para descargar los nuevos. Semejantemente, cree la matriz de DefCon, que usted puede copiar de las matrices existentes:

Las directivas finales parecen:

6. Clasificación SGT

Hay dos opciones para las etiquetas a las asignaciones de los clientes (cree las asignaciones IP-SGT):

• estático - con los cts papel-basó la etiqueta del sgt de IP_address del sgt-mapa
• dinámico - vía la autenticación del dot1x (la etiqueta se asigna como resultado de la autenticación satisfactoria)

Utilice ambas opciones aquí, dos máquinas de las ventanas obtienen la etiqueta SGT vía la autenticación del dot1x y las interfaces del loopback con SGT estático marcan con etiqueta. Para desplegar la correspondencia dinámica, cree las directivas de la autorización para los clientes del extremo:

Para crear la asignación estática IP-SGT, utilice los comandos (ejemplo para el Switch de la GALA):

interface Loopback7
 ip address 7.7.7.7 255.255.255.0

interface Loopback2
 ip address 2.2.2.2 255.255.255.0

cts role-based sgt-map 2.2.2.2 sgt 15
cts role-based sgt-map 7.7.7.7 sgt 10 

Después de la autenticación satisfactoria, el cliente golpea la directiva de la autorización con la etiqueta específica SGT en un resultado:

GALA#show authentication sessions interface Gi1/0/11 details 
            Interface:  GigabitEthernet1/0/11
          MAC Address:  0050.5699.5bd9
         IPv6 Address:  Unknown
         IPv4 Address:  10.0.10.2
            User-Name:  00-50-56-99-5B-D9
               Status:  Authorized
               Domain:  DATA
       Oper host mode:  single-host
     Oper control dir:  both
      Session timeout:  N/A
      Restart timeout:  N/A
    Common Session ID:  0A30489C000000120002330D
      Acct Session ID:  0x00000008
               Handle:  0xCE000001
       Current Policy:  POLICY_Gi1/0/11

Local Policies:
	Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
      Security Policy:  Should Secure
      Security Status:  Link Unsecure

Server Policies:
            SGT Value:  16 
          
Method status list: 
       Method           State 

       mab              Authc Success

Usted puede marcar todas las asignaciones con el sgt-mapa papel-basado los cts todas IP-SGT del comando show, donde usted ve la fuente de cada asignación (LOCAL - vía la autenticación del dot1x, CLI - asignación estática):

GALA#show cts role-based sgt-map all
Active IPv4-SGT Bindings Information

IP Address              SGT     Source
============================================
2.2.2.2                 15      CLI
7.7.7.7                 10      CLI
10.0.10.2               16      LOCAL

IP-SGT Active Bindings Summary
============================================
Total number of CLI      bindings = 2
Total number of LOCAL    bindings = 1
Total number of active   bindings = 3 

7. Descarga de la directiva CTS

Se descarga el Switch tiene una vez CTS PAC y datos del entorno, él puede pedir las directivas CTS. El Switch no descarga todas las directivas, sino que solamente unas que se requieran - las directivas para el tráfico destinado a las etiquetas sabidas SGT - en caso del Switch de la GALA, pregunta el ISE esas directivas:

• directiva para el tráfico a SGT 15
• directiva para el tráfico a SGT 10
• directiva para el tráfico a SGT 16

La salida de todas las directivas para el Switch de la GALA:

GALA#show cts role-based permissions 
IPv4 Role-based permissions default:
	Permit IP-00
IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 15:BYOD:
	denyIP-20
IPv4 Role-based permissions from group 17:VLAN20 to group 16:VLAN10:
	denyIP-20
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE

El Switch obtiene las directivas de dos maneras:

• El CTS restaura del Switch sí mismo:

GALA#cts refresh policy 

• Empuje manual del ISE:

Verificación

Matrices múltiples

Las asignaciones finales SGT-IP y directivas CTS en ambo Switches por este ejemplo:

Switch de la GALA:

GALA#show cts role-based sgt-map all
Active IPv4-SGT Bindings Information

IP Address              SGT     Source
============================================
2.2.2.2                 15      CLI
7.7.7.7                 10      CLI
10.0.10.2               16      LOCAL

IP-SGT Active Bindings Summary
============================================
Total number of CLI      bindings = 2
Total number of LOCAL    bindings = 1
Total number of active   bindings = 3

GALA#show cts role-based permissions 
IPv4 Role-based permissions default:
    Permit IP-00
IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 15:BYOD:
    denyIP-20
IPv4 Role-based permissions from group 17:VLAN20 to group 15:BYOD:
    permitIP-20
IPv4 Role-based permissions from group 17:VLAN20 to group 16:VLAN10:
    permitIP-20
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE

GALA#show cts rbacl | s permitIP
  name   = permitIP-20
    permit ip

GALA#show cts rbacl | s deny  
  name   = denyIP-20
    deny ip

Switch DRARORA:

DRARORA#show cts role-based sgt-map all
Active IPv4-SGT Bindings Information

IP Address              SGT     Source
============================================
10.0.20.3               17      LOCAL
10.10.10.10             10      CLI
15.15.15.15             15      CLI

IP-SGT Active Bindings Summary
============================================
Total number of CLI      bindings = 2
Total number of LOCAL    bindings = 1
Total number of active   bindings = 3

DRARORA#show cts role-based permissions 
IPv4 Role-based permissions default:
    Permit IP-00
IPv4 Role-based permissions from group 17:VLAN20 to group 10:Point_of_Sale_Systems:
    permitIP-20
IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 15:BYOD:
    permitIP-20
IPv4 Role-based permissions from group 17:VLAN20 to group 15:BYOD:
    permitIP-20
IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 17:VLAN20:
    denyIP-20
IPv4 Role-based permissions from group 16:VLAN10 to group 17:VLAN20:
    permitIP-20
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE

Observe que las directivas para ambo Switches son diferentes (incluso la misma directiva a partir del 10 a 15 es diferente para el Switch de la GALA y DRARORA). Esto significa que el tráfico de SGT 10 a 15 está permitido en DRARORA, pero bloqueado en la GALA:

DRARORA#ping 15.15.15.15 source Loopback 10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 15.15.15.15, timeout is 2 seconds:
Packet sent with a source address of 10.10.10.10 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

GALA#ping 2.2.2.2 source Loopback 7
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds:
Packet sent with a source address of 7.7.7.7 
U.U.U
Success rate is 0 percent (0/5)

Semejantemente, a partir de una ventana, usted puede acceder otro (SGT 17 - > SGT 16):

Y otra manera (SGT 16 - > SGT 17):

Para confirmar que la directiva correcta CTS era aplicada, los cts de la demostración del control papel-basaron los contadores hechos salir:

GALA#sh cts role-based counters
Role-based IPv4 counters
# '-' in hardware counters field indicates sharing among cells with identical policies
From    To      SW-Denied       HW-Denied       SW-Permitted    HW-Permitted   

17      16      0               0               0               8              
17      15      0               -               0               -              

10      15      4               0               0               0              

*       *       0               0               127             26  

La GALA tiene 8 paquetes permitidos (4 del ping 17->16 y 4 del ping 16->17).

Despliegue de DefCon

Cuando está requerido, despliegue la matriz de DefCon bajo los centros de trabajo > TrustSec > la directiva > la política de egress > matrices de TrustSec enumeran, matriz de DefCon del control que usted quisiera activar y hacer clic en active:

Una vez que se activa DefCon, el menú en el ISE parece esto:

Y limpia en el Switches:

GALA#show cts role-based permissions 
IPv4 Role-based permissions default:
	Permit IP-00
IPv4 Role-based permissions from group 15:BYOD to group 10:Point_of_Sale_Systems:
	denyIP-20
IPv4 Role-based permissions from group 15:BYOD to group 16:VLAN10:
	denyIP-20
IPv4 Role-based permissions from group 17:VLAN20 to group 16:VLAN10:
	denyIP-20
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE

DRARORA#show cts role-based permissions 
IPv4 Role-based permissions default:
	Permit IP-00
IPv4 Role-based permissions from group 15:BYOD to group 10:Point_of_Sale_Systems:
	denyIP-20
IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 17:VLAN20:
	permitIP-20
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE

El tráfico de SGT 15 a SGT 10 no se permite en ambo Switches:

DRARORA#ping 10.10.10.10 source Loopback 15
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.10, timeout is 2 seconds:
Packet sent with a source address of 15.15.15.15 
U.U.U
Success rate is 0 percent (0/5)

GALA#ping 7.7.7.7 source Loopback 2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 7.7.7.7, timeout is 2 seconds:
Packet sent with a source address of 2.2.2.2 
U.U.U
Success rate is 0 percent (0/5)

Una vez que el despliegue es estable otra vez, usted puede desactivar DefCon y el Switches pide las viejas directivas. Para desactivar DefCon, navegar a los centros de trabajo > a TrustSec > a la directiva > a la política de egress > a las matrices de TrustSec enumera, marca la matriz activa de DefCon y hace clic en desactiva:

Ambo Switches pide las viejas directivas inmediatamente:

DRARORA#show cts role-based permissions
IPv4 Role-based permissions default:
	Permit IP-00
IPv4 Role-based permissions from group 17:VLAN20 to group 10:Point_of_Sale_Systems:
	permitIP-20
IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 15:BYOD:
	permitIP-20
IPv4 Role-based permissions from group 17:VLAN20 to group 15:BYOD:
	permitIP-20
IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 17:VLAN20:
	denyIP-20
IPv4 Role-based permissions from group 16:VLAN10 to group 17:VLAN20:
	permitIP-20
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE

GALA#show cts role-based permissions 
IPv4 Role-based permissions default:
	Permit IP-00
IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 15:BYOD:
	denyIP-20
IPv4 Role-based permissions from group 17:VLAN20 to group 15:BYOD:
	permitIP-20
IPv4 Role-based permissions from group 17:VLAN20 to group 16:VLAN10:
	permitIP-20
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE

Troubleshooting

Aprovisionamiento PAC

Éste es aprovisionamiento acertado de la parte de PAC:

GALA#debug cts provisioning packets 
GALA#debug cts provisioning events

*Jan  2 04:39:05.707: %SYS-5-CONFIG_I: Configured from console by console
*Jan  2 04:39:05.707: CTS-provisioning: Starting new control block for server 10.48.17.161:
*Jan  2 04:39:05.707: CTS-provisioning: cts_provi_init_socket: Checking for any vrf associated with 10.48.17.161
*Jan  2 04:39:05.707: CTS-provisioning: New session socket: src=10.48.72.156:65242 dst=10.48.17.161:1812
*Jan  2 04:39:05.716: CTS-provisioning: cts_provi_init_socket: Checking for any vrf associated with 10.48.17.161
*Jan  2 04:39:05.716: CTS-provisioning: cts_provi_init_socket: Adding vrf-tableid: 0 to socket
*Jan  2 04:39:05.716: CTS-provisioning: New session socket: src=10.48.72.156:65242 dst=10.48.17.161:1812
*Jan  2 04:39:05.716: CTS-provisioning: Sending EAP Response/Identity to 10.48.17.161
*Jan  2 04:39:05.716: CTS-provisioning: OUTGOING RADIUS msg to 10.48.17.161:
1E010EE0:          01010090 64BCBC01 7BEF347B
1E010EF0: 1E32C02E 8402A83D 010C4354 5320636C
1E010F00: 69656E74 04060A30 489C3D06 00000000
1E010F10: 06060000 00021F0E 30303037 37643862
1E010F20: 64663830 1A2D0000 00090127 4141413A
1E010F30: 73657276 6963652D 74797065 3D637473
1E010F40: 2D706163 2D70726F 76697369 6F6E696E
1E010F50: 674F1102 00000F01 43545320 636C6965
1E010F60: 6E745012 73EBE7F5 CDA0CF73 BFE4AFB6
1E010F70: 40D723B6 00                        
*Jan  2 04:39:06.035: CTS-provisioning: INCOMING RADIUS msg from 10.48.17.161:
1EC68460:          0B0100B5 E4C3C3C1 ED472766
1EC68470: 183F41A9 026453ED 18733634 43504D53
1EC68480: 65737369 6F6E4944 3D306133 30313161
1EC68490: 314C3767 78484956 62414976 37316D59
1EC684A0: 525F4D56 34517741 4C362F69 73517A72
1EC684B0: 7A586132 51566852 79635638 3B343353
1EC684C0: 65737369 6F6E4944 3D766368 72656E65
1EC684D0: 6B2D6973 6532322D 3432332F 32373238
1EC684E0: 32373637 362F3137 37343B4F 1C017400
1EC684F0: 1A2B2100 040010E6 796CD7BB F2FA4111
1EC68500: AD9FB4FE FB5A5050 124B76A2 E7D34684
1EC68510: DD8A1583 175C2627 9F00             
*Jan  2 04:39:06.035: CTS-provisioning: Received RADIUS challenge from 10.48.17.161.
*Jan  2 04:39:06.035: CTS-provisioning: A-ID for server 10.48.17.161 is "e6796cd7bbf2fa4111ad9fb4fefb5a50"
*Jan  2 04:39:06.043: CTS-provisioning: Received TX_PKT from EAP method
*Jan  2 04:39:06.043: CTS-provisioning: Sending EAPFAST response to 10.48.17.161
*Jan  2 04:39:06.043: CTS-provisioning: OUTGOING RADIUS msg to 10.48.17.161:
<...>
*Jan  2 04:39:09.549: CTS-provisioning: INCOMING RADIUS msg from 10.48.17.161:
1EC66C50:          0309002C 1A370BBB 58B828C3
1EC66C60: 3F0D490A 4469E8BB 4F06047B 00045012
1EC66C70: 7ECF8177 E3F4B9CB 8B0280BD 78A14CAA
1EC66C80: 4D                                 
*Jan  2 04:39:09.549: CTS-provisioning: Received RADIUS reject from 10.48.17.161.
*Jan  2 04:39:09.549: CTS-provisioning: Successfully obtained PAC for A-ID e6796cd7bbf2fa4111ad9fb4fefb5a50

Se espera el rechazo RADIUS puesto que el aprovisionamiento PAC se acaba con éxito.

Descarga de los datos del entorno

Esto muestra la descarga acertada de los datos del entorno del Switch:

GALA#debug cts environment-data

GALA#
*Jan  2 04:33:24.702: CTS env-data: Force environment-data refresh
*Jan  2 04:33:24.702: CTS env-data: download transport-type = CTS_TRANSPORT_IP_UDP
*Jan  2 04:33:24.702:     cts_env_data START: during state env_data_complete, got event 0(env_data_request)

*Jan  2 04:33:24.702: cts_aaa_attr_add: AAA req(0x5F417F8)
*Jan  2 04:33:24.702:   username = #CTSREQUEST#
*Jan  2 04:33:24.702: cts_aaa_context_add_attr: (CTS env-data SM)attr(GALA)
*Jan  2 04:33:24.702:   cts-environment-data = GALA
*Jan  2 04:33:24.702: cts_aaa_attr_add: AAA req(0x5F417F8)
*Jan  2 04:33:24.702: cts_aaa_context_add_attr: (CTS env-data SM)attr(env-data-fragment)
*Jan  2 04:33:24.702:   cts-device-capability = env-data-fragment
*Jan  2 04:33:24.702: cts_aaa_req_send: AAA req(0x5F417F8) successfully sent to AAA.
*Jan  2 04:33:25.474: cts_aaa_callback: (CTS env-data SM)AAA req(0x5F417F8) response success
*Jan  2 04:33:25.474: cts_aaa_context_fragment_cleanup: (CTS env-data SM)attr(GALA)
*Jan  2 04:33:25.474: cts_aaa_context_fragment_cleanup: (CTS env-data SM)attr(env-data-fragment)

*Jan  2 04:33:25.474:   AAA attr: Unknown type (450).
*Jan  2 04:33:25.474:   AAA attr: Unknown type (274).
*Jan  2 04:33:25.474:   AAA attr: server-list = CTSServerList1-0001.
*Jan  2 04:33:25.482:   AAA attr: security-group-tag = 0000-10.
*Jan  2 04:33:25.482:   AAA attr: environment-data-expiry = 86400.
*Jan  2 04:33:25.482:   AAA attr: security-group-table = 0001-19.
*Jan  2 04:33:25.482: CTS env-data: Receiving AAA attributes
  CTS_AAA_SLIST
    slist name(CTSServerList1) received in 1st Access-Accept
    slist name(CTSServerList1) created
  CTS_AAA_SECURITY_GROUP_TAG - SGT = 0-10:unicast-unknown
  CTS_AAA_ENVIRONMENT_DATA_EXPIRY = 86400.
  CTS_AAA_SGT_NAME_LIST
    table(0001) received in 1st Access-Accept
    need a 2nd request for the SGT to SG NAME entries
    new name(0001), gen(19)
  CTS_AAA_DATA_END

*Jan  2 04:33:25.784: cts_aaa_callback: (CTS env-data SM)AAA req(0x8853E60) response success
*Jan  2 04:33:25.784: cts_aaa_context_fragment_cleanup: (CTS env-data SM)attr(0001)
*Jan  2 04:33:25.784:   AAA attr: Unknown type (450).
*Jan  2 04:33:25.784:   AAA attr: Unknown type (274).
*Jan  2 04:33:25.784:   AAA attr: security-group-table = 0001-19.
*Jan  2 04:33:25.784:   AAA attr: security-group-info = 0-10-00-Unknown.
*Jan  2 04:33:25.784:   AAA attr: security-group-info = ffff-13-00-ANY.
*Jan  2 04:33:25.784:   AAA attr: security-group-info = 9-10-00-Auditors.
*Jan  2 04:33:25.784:   AAA attr: security-group-info = f-32-00-BYOD.
*Jan  2 04:33:25.784:   AAA attr: security-group-info = 5-10-00-Contractors.
*Jan  2 04:33:25.784:   AAA attr: security-group-info = 8-10-00-Developers.
*Jan  2 04:33:25.784:   AAA attr: security-group-info = c-10-00-Development_Servers.
*Jan  2 04:33:25.784:   AAA attr: security-group-info = 4-10-00-Employees.
*Jan  2 04:33:25.784:   AAA attr: security-group-info = 6-10-00-Guests.
*Jan  2 04:33:25.784:   AAA attr: security-group-info = 3-10-00-Network_Services.
*Jan  2 04:33:25.784:   AAA attr: security-group-info = e-10-00-PCI_Servers.
*Jan  2 04:33:25.784:   AAA attr: security-group-info = a-23-00-Point_of_Sale_Systems.
*Jan  2 04:33:25.784:   AAA attr: security-group-info = b-10-00-Production_Servers.
*Jan  2 04:33:25.793:   AAA attr: security-group-info = 7-10-00-Production_Users.
*Jan  2 04:33:25.793:   AAA attr: security-group-info = ff-10-00-Quarantined_Systems.
*Jan  2 04:33:25.793:   AAA attr: security-group-info = d-10-00-Test_Servers.
*Jan  2 04:33:25.793:   AAA attr: security-group-info = 2-10-00-TrustSec_Devices.
*Jan  2 04:33:25.793:   AAA attr: security-group-info = 10-24-00-VLAN10.
*Jan  2 04:33:25.793:   AAA attr: security-group-info = 11-22-00-VLAN20.
*Jan  2 04:33:25.793:  CTS env-data: Receiving AAA attributes
  CTS_AAA_SGT_NAME_LIST
    table(0001) received in 2nd Access-Accept
    old name(0001), gen(19)
    new name(0001), gen(19)
  CTS_AAA_SGT_NAME_INBOUND - SGT = 0-68:unicast-unknown
   flag (128) sgname (Unknown) added
   name (0001), request (1), receive (1)
cts_env_data_aaa_sgt_sgname, name = 0001, req = 1, rcv = 1
   Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on
  CTS_AAA_SGT_NAME_INBOUND - SGT = 65535-68:unicast-default
   flag (128) sgname (ANY) added
   name (0001), request (1), receive (1)
cts_env_data_aaa_sgt_sgname, name = 0001, req = 1, rcv = 1
   Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on
  CTS_AAA_SGT_NAME_INBOUND - SGT = 9-68
   flag (128) sgname (Auditors) added
   name (0001), request (1), receive (1)
cts_env_data_aaa_sgt_sgname, name = 0001, req = 1, rcv = 1
   Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on
  CTS_AAA_SGT_NAME_INBOUND - SGT = 15-68
   flag (128) sgname (BYOD) added
   name (0001), request (1), receive (1)
cts_env_data_aaa_sgt_sgname, name = 0001, req = 1, rcv = 1
   Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on
  CTS_AAA_SGT_NAME_INBOUND - SGT = 5-68
   flag (128) sgname (Contractors) added
   name (0001), request (1), receive (1)
cts_env_data_aaa_sgt_sgname, name = 0001, req = 1, rcv = 1
   Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on
  CTS_AAA_SGT_NAME_INBOUND - SGT = 8-68
   flag (128) sgname (Developers) added
   name (0001), request (1), receive (1)
cts_env_data_aaa_sgt_sgname, name = 0001, req = 1, rcv = 1
   Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on
  CTS_AAA_SGT_NAME_INBOUND - SGT = 12-68
   flag (128) sgname (Development_Servers) added
   name (0001), request (1), receive (1)
cts_env_data_aaa_sgt_sgname, name = 0001, req = 1, rcv = 1
   Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on
  CTS_AAA_SGT_NAME_INBOUND - SGT = 4-68
   flag (128) sgname (Employees) added
   name (0001), request (1), receive (1)
cts_env_data_aaa_sgt_sgname, na
*Jan  2 04:33:25.793:     cts_env_data WAITING_RESPONSE: during state env_data_waiting_rsp, got event 1(env_data_received)
*Jan  2 04:33:25.793: @@@ cts_env_data WAITING_RESPONSE: env_data_waiting_rsp -> env_data_assessing
*Jan  2 04:33:25.793: env_data_assessing_enter: state = ASSESSING
*Jan  2 04:33:25.793: cts_aaa_is_fragmented: (CTS env-data SM)NOT-FRAG attr_q(0)
*Jan  2 04:33:25.793: env_data_assessing_action: state = ASSESSING
*Jan  2 04:33:25.793: cts_env_data_is_complete: FALSE, req(x1085), rec(x1487) 
*Jan  2 04:33:25.793: cts_env_data_is_complete: TRUE, req(x1085), rec(x1487), expect(x81), complete1(x85), complete2(xB5), complete3(x1485)
*Jan  2 04:33:25.793:     cts_env_data ASSESSING: during state env_data_assessing, got event 4(env_data_complete)
*Jan  2 04:33:25.793: @@@ cts_env_data ASSESSING: env_data_assessing -> env_data_complete
*Jan  2 04:33:25.793: env_data_complete_enter: state = COMPLETE
*Jan  2 04:33:25.793: env_data_install_action: state = COMPLETE

Directivas CTS

Las directivas CTS se avanzan como parte de los mensajes de RADIUS, así que el conjunto del componente del registro Runtime-AAA a hacer el debug de en ISE (la administración > configuración del registro del registro > del debug) y debajo de los debugs en el Switch debe ser suficiente resolver problemas cualquier problema relacionado con el CTS:

debug cts coa
debug radius

Additionaly, control qué directivas se corresponden con en el Switch - en 3750X:

GALA#show cts role-based counters    
Role-based IPv4 counters
# '-' in hardware counters field indicates sharing among cells with identical policies
From    To      SW-Denied       HW-Denied       SW-Permitted    HW-Permitted   

10      15      5               0               0               0              

*       *       0               0               815             31             

17      15      0               0               0               0              
17      16      0               -               0               -       

Usted no puede utilizar el mismo comando en 3850, debido a CiscobugID CSCuu32958.