Introducción
Este documento describe cómo configurar una conexión SXP (Security Group Exchange Protocol) entre ISE (Identity Services Engine) y ASAv (Virtual Adaptive Security Appliance).
SXP es el SGT (Security Group Tag) Exchange Protocol utilizado por TrustSec para propagar las asignaciones IP a SGT a dispositivos TrustSec. SXP se ha desarrollado para permitir que las redes, incluidos los dispositivos de terceros o los dispositivos Cisco antiguos que no admiten el etiquetado en línea SGT, tengan funciones TrustSec. SXP es un protocolo de iguales, un dispositivo actuará como altavoz y el otro como receptor. El altavoz SXP es responsable de enviar las vinculaciones IP-SGT y el receptor es responsable de recopilar estas vinculaciones. La conexión SXP utiliza el puerto TCP 64999 como el protocolo de transporte subyacente y MD5 para la integridad/autenticidad del mensaje.
SXP se ha publicado como borrador IETF en el siguiente enlace:
https://datatracker.ietf.org/doc/draft-smith-kandula-sxp/
Prerequisites
Requirements
Matriz de compatibilidad de TrustSec:
http://www.cisco.com/c/en/us/solutions/enterprise-networks/trustsec/solution-overview-listing.html
Componentes Utilizados
ISE 2.3
ASAv 9.8.1
ASDM 7.8.1.150
Diagrama de la red

Direcciones de IP
ISE: 14.36.143.223
ASAv: 14.36.143.30
Configuración inicial
Dispositivo de red ISE
Registre ASA como dispositivo de red
WorkCenters > TrutSec > Components > Network Devices > Add



Generar PAC fuera de banda (OOB) (Credencial de acceso protegido) y descargar



Configuración del servidor ASDM AAA
Crear grupo de servidores AAA
Configuration > Firewall > Identity by TrustSec > Server Group Setup > Manage...

Grupos de servidores AAA > Agregar

- Grupo de servidores AAA: <Group Name>
- Habilitar autorización dinámica

Agregar servidor al grupo de servidores
Servidores en el grupo seleccionado > Agregar

- Nombre de servidor o dirección IP: <ISE IP address>
- Puerto de autenticación del servidor: 1812
- Puerto de contabilidad del servidor: 1813
- Clave secreta del servidor: Cisco0123
- Contraseña común: Cisco0123

Importar PAC descargado de ISE
Configuration > Firewall > Identity by TrustSec > Server Group Setup > Import PAC...



Actualizar datos del entorno
Configuration > Firewall > Identity by TrustSec > Server Group Setup > Refresh Environment Data

Verificación
Registros en directo de ISE
Operations > RADIUS > Live Logs






Grupos de seguridad ISE
Centros de trabajo > TrustSec > Componentes > Grupos de seguridad

ASDM PAC
Monitoring > Properties > Identity by TrustSec > PAC

Grupos de seguridad y datos del entorno ASDM
Monitoring > Properties > Identity by TrustSec > Environment Data

Configuración de ASDM SXP
Activar SXP
Configuration > Firewall > Identity by TrustSec > Enable SGT Exchange Protocol (SXP)

Establecer la dirección IP de origen predeterminada de SXP y la contraseña predeterminada de SXP
Configuration > Firewall > Identity by TrustSec > Connection Peers

Agregar par SXP
Configuration > Firewall > Identity by TrustSec > Connection Peers > Add

- Dirección IP del par: <ISE IP Address>

Configuración de ISE SXP
Configuración de contraseña de Global SXP
WorkCenters > TrustSec > Settings > SXP Settings
- Contraseña global: Cisco0123

Agregar dispositivo SXP
WorkCenters > TrustSec > SXP > SXP Devices > Add

Verificación SXP
Verificación de ISE SXP
WorkCenters > TrustSec > SXP > Dispositivos SXP

Asignaciones de ISE SXP
WorkCenters > TrustSec > SXP > Todas las asignaciones SXP

Verificación de ASDM SXP
Monitoring > Properties > Identity by TrustSec > SXP Connections

ASDM aprendió las asignaciones de IP SXP a SGT
Monitoring > Properties > Identity by TrustSec > IP Mappings

Captura de paquetes en ISE
