Guest

Configuración TrustSec SXP entre el ISE y ASAv

Opciones de descarga

  • PDF     (1.0 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (793.2 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (960.1 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:13 de octubre de 2017
ID del documento:212202
Acerca de la traducción

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar una conexión SXP (Exchange Protocol del grupo de seguridad) entre ISE (Identity Services Engine) y un ASAv (dispositivo de seguridad adaptante virtual).

    SXP es el Exchange Protocol SGT (etiqueta del grupo de seguridad) usado por TrustSec para propagar el IP a las asignaciones SGT a los dispositivos de TrustSec. SXP fue desarrollado para permitir las redes incluyendo los dispositivos de tercero o los dispositivos de Cisco de la herencia que no soportan marcar con etiqueta en línea SGT para tener capacidades de TrustSec. SXP es un Peering Protocol, un dispositivo actuará como un Presidente y el otro como módulo de escucha. El altavoz SXP es responsilbe para enviar los atascamientos IP-SGT y el módulo de escucha es responsable de recoger estos atascamientos. La conexión SXP utiliza el puerto TCP 64999 como el Transport Protocol y el MD5 subyacentes para la Integridad del mensaje/la autenticidad.

    SXP se ha publicado como borrador IETF en el siguiente enlace:

    https://datatracker.ietf.org/doc/draft-smith-kandula-sxp/

    Prerequisites

    Requisitos

    Matriz de compatibilidad de TrustSec:

    http://www.cisco.com/c/en/us/solutions/enterprise-networks/trustsec/solution-overview-listing.html

    Componentes Utilizados

    ISE 2.3

    ASAv 9.8.1

    ASDM 7.8.1.150

    Diagrama de la red

     Direcciones de IP

    ISE: 14.36.143.223

    ASAv: 14.36.143.30

    Configuración inicial

    Dispositivo de red ISE

    Registro ASA como dispositivo de red

    WorkCenters > TrutSec > componentes > dispositivos de red > Add

    Genere fuera de la banda (OOB) PAC (credenciales protegidos del acceso) y descargue

    Configuración de servidor AAA del ASDM

    Cree al Grupo de servidores AAA

    La configuración > el Firewall > la identidad de TrustSec > del grupo de servidores puestos > manejan…

    Grupos de servidores AAA > Add

    • Grupo de servidores AAA: Name> del <Group
    • Autorización dinámica del permiso

    Agregue el servidor al grupo de servidores

    Servidores en el grupo seleccionado > Add

    • Nombre del servidor o dirección IP: Dirección IP <ISE >
    • Puerto de la autenticación de servidor: 1812
    • Puerto de contabilidad del servidor: 1813
    • Clave del Secreto de servidor: Cisc0123
    • Contraseña común: Cisc0123

    Importación PAC descargada del ISE

    Configuración > Firewall > identidad de TrustSec > del grupo de servidores puestos > importación PAC…

    • Contraseña Cisc0123

    Restaure los datos del entorno

    La configuración > el Firewall > la identidad de TrustSec > del grupo de servidores puestos > restauran los datos del entorno

    Verificación

    Registros vivos ISE

    Operaciones > RADIUS > registros vivos

    Grupos de seguridad ISE

    Grupos del > Security (Seguridad) de los centros de trabajo > de TrustSec > de los componentes

    ASDM PAC

    El monitorear > propiedades > identidad por TrustSec > el PAC

    Datos y grupos de seguridad del entorno del ASDM

    El monitorear > propiedades > identidad por TrustSec > los datos del entorno

    Configuración del ASDM SXP

    Permiso SXP

    Configuración > Firewall > identidad por el Exchange Protocol de TrustSec > del permiso SGT (SXP)

    Fije la dirección IP de origen predeterminada SXP y omita la contraseña SXP

    Configuración > Firewall > identidad de TrustSec > de los pares de la conexión

    Agregue al par SXP

    La configuración > el Firewall > la identidad por TrustSec > la conexión mira > Add

    • IP Address de Peer: Dirección IP <ISE >

    Configuración ISE SXP

    Configuración de la contraseña global SXP

    WorkCenters > TrustSec > configuraciones > configuraciones SXP

    • Contraseña global: Cisc0123

    Agregue el dispositivo SXP

    WorkCenters > TrustSec > Devices (Dispositivos) > Add (Agregar) SXP > SXP

    Verificación SXP

    Verificación ISE SXP

    WorkCenters > TrustSec > dispositivos SXP > SXP

    Asignaciones ISE SXP

    WorkCenters > TrustSec > SXP > todas las asignaciones SXP

    Verificación del ASDM SXP

    El monitorear > propiedades > identidad por TrustSec > las conexiones SXP

    IP docto del ASDM SXP a las asignaciones SGT

    El monitorear > propiedades > identidad por TrustSec > las asignaciones IP

    Captura de paquetes tomada en el ISE

    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Deon Pillsbury
      TAC de Cisco

    ¿Resultó útil este documento?

    FeedbackComentarios

    Déjenos ayudarlo

    Debates relacionados con la comunidad de soporte

    Este documento se aplica a estos productos