Introducción
Este documento describe cómo configurar una conexión SXP (Exchange Protocol del grupo de seguridad) entre ISE (Identity Services Engine) y un ASAv (dispositivo de seguridad adaptante virtual).
SXP es el Exchange Protocol SGT (etiqueta del grupo de seguridad) usado por TrustSec para propagar el IP a las asignaciones SGT a los dispositivos de TrustSec. SXP fue desarrollado para permitir las redes incluyendo los dispositivos de tercero o los dispositivos de Cisco de la herencia que no soportan marcar con etiqueta en línea SGT para tener capacidades de TrustSec. SXP es un Peering Protocol, un dispositivo actuará como un Presidente y el otro como módulo de escucha. El altavoz SXP es responsilbe para enviar los atascamientos IP-SGT y el módulo de escucha es responsable de recoger estos atascamientos. La conexión SXP utiliza el puerto TCP 64999 como el Transport Protocol y el MD5 subyacentes para la Integridad del mensaje/la autenticidad.
SXP se ha publicado como borrador IETF en el siguiente enlace:
https://datatracker.ietf.org/doc/draft-smith-kandula-sxp/
Prerequisites
Requisitos
Matriz de compatibilidad de TrustSec:
http://www.cisco.com/c/en/us/solutions/enterprise-networks/trustsec/solution-overview-listing.html
Componentes Utilizados
ISE 2.3
ASAv 9.8.1
ASDM 7.8.1.150
Diagrama de la red

Direcciones de IP
ISE: 14.36.143.223
ASAv: 14.36.143.30
Configuración inicial
Dispositivo de red ISE
Registro ASA como dispositivo de red
WorkCenters > TrutSec > componentes > dispositivos de red > Add



Genere fuera de la banda (OOB) PAC (credenciales protegidos del acceso) y descargue



Configuración de servidor AAA del ASDM
Cree al Grupo de servidores AAA
La configuración > el Firewall > la identidad de TrustSec > del grupo de servidores puestos > manejan…

Grupos de servidores AAA > Add

- Grupo de servidores AAA: Name> del <Group
- Autorización dinámica del permiso

Agregue el servidor al grupo de servidores
Servidores en el grupo seleccionado > Add

- Nombre del servidor o dirección IP: Dirección IP <ISE >
- Puerto de la autenticación de servidor: 1812
- Puerto de contabilidad del servidor: 1813
- Clave del Secreto de servidor: Cisc0123
- Contraseña común: Cisc0123

Importación PAC descargada del ISE
Configuración > Firewall > identidad de TrustSec > del grupo de servidores puestos > importación PAC…



Restaure los datos del entorno
La configuración > el Firewall > la identidad de TrustSec > del grupo de servidores puestos > restauran los datos del entorno

Verificación
Registros vivos ISE
Operaciones > RADIUS > registros vivos






Grupos de seguridad ISE
Grupos del > Security (Seguridad) de los centros de trabajo > de TrustSec > de los componentes

ASDM PAC
El monitorear > propiedades > identidad por TrustSec > el PAC

Datos y grupos de seguridad del entorno del ASDM
El monitorear > propiedades > identidad por TrustSec > los datos del entorno

Configuración del ASDM SXP
Permiso SXP
Configuración > Firewall > identidad por el Exchange Protocol de TrustSec > del permiso SGT (SXP)

Fije la dirección IP de origen predeterminada SXP y omita la contraseña SXP
Configuración > Firewall > identidad de TrustSec > de los pares de la conexión

Agregue al par SXP
La configuración > el Firewall > la identidad por TrustSec > la conexión mira > Add

- IP Address de Peer: Dirección IP <ISE >

Configuración ISE SXP
Configuración de la contraseña global SXP
WorkCenters > TrustSec > configuraciones > configuraciones SXP
- Contraseña global: Cisc0123

Agregue el dispositivo SXP
WorkCenters > TrustSec > Devices (Dispositivos) > Add (Agregar) SXP > SXP

Verificación SXP
Verificación ISE SXP
WorkCenters > TrustSec > dispositivos SXP > SXP

Asignaciones ISE SXP
WorkCenters > TrustSec > SXP > todas las asignaciones SXP

Verificación del ASDM SXP
El monitorear > propiedades > identidad por TrustSec > las conexiones SXP

IP docto del ASDM SXP a las asignaciones SGT
El monitorear > propiedades > identidad por TrustSec > las asignaciones IP

Captura de paquetes tomada en el ISE
