Solucionar problemas de etiquetado en línea Trustsec

Actualizado:31 de enero de 2023
ID del documento:220183

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar y verificar la función Cisco Inline Tagging en un Cisco Catalyst Switch 9300. 

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Conocimientos básicos de los componentes de Cisco TrustSec (CTS)

    • Conocimientos básicos sobre la configuración CLI de los switches Catalyst

    • Experiencia con la configuración de Identity Services Engine (ISE)

    Debe tener Cisco ISE implementado en la red y los usuarios finales deben autenticarse en Cisco ISE a través de 802.1x (u otro método) cuando se conectan por cable. Cisco ISE asigna una etiqueta de grupo de seguridad (SGT) una vez que se autentican en la red con cables.

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Cisco Identity Services Engine que ejecuta 3.0 P5
    • Switch Cisco Catalyst 9300 que ejecuta 17.03.02a
    • Switch Cisco Catalyst 9300 que ejecuta 17.07.01

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    El etiquetado en línea se implementa en la capa de acceso porque es el primer punto de contacto de la información. En otras palabras, todos los dispositivos finales están conectados a la capa de acceso. Una vez que los dispositivos de la capa de acceso realizan la clasificación, es necesario compartir esta información con los dispositivos que hacen la aplicación. Para ello, el NAS puede agregar 20 bytes a la trama Ethernet. Este es el campo CMD (metadatos de Cisco) de la trama. Dentro de esto se incluye el SGT.

    Configurar

    Diagrama de la red

    Topology DiagramDiagrama de topología

    • PC1 autentica e ISE asigna SGT3 de forma dinámica.
    • C9300A etiquetado en línea con C9300B
    • PC2 autentica e ISE asigna SGT 17 de forma dinámica
    • C9300B aplica el tráfico ICMP de SGT3 a SGT17.

    Etiquetado en línea

    C9300A

    interface TwoGigabitEthernet1/0/4
 switchport trunk allowed vlan 761
 switchport mode trunk
 cts manual
  policy static sgt 2 trusted
end

    C9300B

    interface GigabitEthernet1/0/4
 switchport trunk allowed vlan 761
 switchport mode trunk
 cts manual 
  policy static sgt 2 trusted
end

    Debe utilizar el comando cts manual y luego policy static para habilitar el etiquetado en línea. El sgt utilizado en el comando puede ser el sgt del dispositivo de red o cualquier otro marcador de posición. La función del comando trusted es instruir al switch para honrar la SGT, si recibe tráfico con el encabezado CMD. Sin el comando trusted, el switch etiqueta todo el tráfico que fluye desde esa interfaz con la SGT definida.

    Cheques

    Acceso a descargas de sesiones SGT

    PC1

    Switch#show authentication session interface Tw1/0/3 details
            Interface:  TwoGigabitEthernet1/0/3
               IIF-ID:  0x1FB0D90E
          MAC Address:  507b.9df0.34bb
         IPv6 Address:  Unknown
         IPv4 Address:  10.4.16.142
            User-Name:  50-7B-9D-F0-34-BB
               Status:  Authorized
               Domain:  DATA
       Oper host mode:  multi-auth
     Oper control dir:  both
      Session timeout:  N/A
    Common Session ID:  3D781F0A0000000F2AE95F4A
      Acct Session ID:  0x00000005
               Handle:  0x02000004
       Current Policy:  POLICY_Tw1/0/3


Local Policies:
        Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
      Security Policy:  Should Secure

Server Policies:
            SGT Value:  3


Method status list:
       Method           State
          mab           Authc Success

    PC2

    Switch#show authentication session interface Gi1/0/1 details  
            Interface:  GigabitEthernet1/0/1
               IIF-ID:  0x1D1CA5C7
          MAC Address:  507b.9df8.02ed
         IPv6 Address:  fe80::114c:dce1:ffa1:1642
         IPv4 Address:  10.4.16.141
            User-Name:  50-7B-9D-F8-02-ED
               Status:  Authorized
               Domain:  DATA
       Oper host mode:  multi-auth
     Oper control dir:  both
      Session timeout:  N/A
    Common Session ID:  21781F0A000000242AF41195
      Acct Session ID:  0x00000004
               Handle:  0x4300000f
       Current Policy:  POLICY_Gi1/0/1


Local Policies:
        Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
      Security Policy:  Should Secure

Server Policies:
            SGT Value:  17


Method status list:
       Method           State
          mab           Authc Success

    El switch aprende el enlace IP-SGT

    C9300A

    Switch#show cts role-based sgt-map all
Active IPv4-SGT Bindings Information

IP Address              SGT     Source
============================================
10.4.16.142             3       LOCAL

    C9300B

    Switch#show cts role-based sgt-map all
Active IPv4-SGT Bindings Information

IP Address              SGT     Source
============================================
10.4.16.141             17      LOCAL
10.31.120.33            2       INTERNAL

    Estado de autorización entre C9300A y C9300B

    C9300A

    Switch#show cts interface Two 1/0/4 
Global Dot1x feature is Disabled
Interface TwoGigabitEthernet1/0/4:
    CTS is enabled, mode:    MANUAL
    IFC state:               OPEN
    Interface Active for 01:36:44.332
    Authentication Status:   NOT APPLICABLE
        Peer identity:       "unknown"
        Peer's advertised capabilities: ""
    Authorization Status:    SUCCEEDED
        Peer SGT:            2:TrustSec_Devices
        Peer SGT assignment: Trusted
    SAP Status:              NOT APPLICABLE
    Propagate SGT:           Enabled
    Cache Info:
        Expiration            : N/A
        Cache applied to link : NONE

    Statistics:
        authc success:              0
        authc reject:               0
        authc failure:              0
        authc no response:          0
        authc logoff:               0
        sap success:                0
        sap fail:                   0
        authz success:              0
        authz fail:                 0
        port auth fail:             0

    L3 IPM:   disabled.

    C9300B

    Switch#show cts interfac Gig 1/0/4         
Global Dot1x feature is Disabled
Interface GigabitEthernet1/0/4:
    CTS is enabled, mode:    MANUAL
    IFC state:               OPEN
    Interface Active for 01:34:18.433
    Authentication Status:   NOT APPLICABLE
        Peer identity:       "unknown"
        Peer's advertised capabilities: ""
    Authorization Status:    SUCCEEDED
        Peer SGT:            2:TrustSec_Devices
        Peer SGT assignment: Trusted
    SAP Status:              NOT APPLICABLE
    Propagate SGT:           Enabled
    Cache Info:
        Expiration            : N/A
        Cache applied to link : NONE

    Statistics:
        authc success:              0
        authc reject:               0
        authc failure:              0
        authc no response:          0
        authc logoff:               0
        sap success:                0
        sap fail:                   0
        authz success:              0
        authz fail:                 0
        port auth fail:             0

    L3 IPM:   disabled.

    Troubleshoot

    Para solucionar cualquier problema, tenga en cuenta lo siguiente:

    • La trama siempre se etiqueta en el puerto de ingreso del dispositivo compatible con SGT.
    • Proceso de etiquetado anterior a otro servicio L2 como QoS.
    • Sin impacto en la MTU/fragmentación de IP.
    • Impacto de MTU de trama L2: ~ 40 bytes (~1600 bytes con MTU de 1552 bytes)
    • MACsec es opcional para hardware compatible.

    Captura de paquetes/EPC

    Inline Tagging FlowFlujo de etiquetado en línea

    Si desea resolver problemas de etiquetado en línea, deberá realizar una captura de paquetes en el ingreso.

    tip-icon

    Sugerencia: Si toma un pcap en el link ascendente del SW, no verá la etiqueta, ya que se incluye en el nivel de interfaz, por lo que el EPC se puede tomar antes de aplicar la etiqueta.

    caution-icon

    Precaución: hay algunas excepciones a esto, como C4500. Debido a la arquitectura del C4500, no puede detectar el encabezado CMD aunque tome el pcap en la interfaz de ingreso. Para estos casos específicos puede utilizar la configuración Netflow, Netflow Trustsec

    Realice una captura de paquetes integrada (EPC) en el puerto de entrada del C9300B

    Switch#monitor capture test interface Gig 1/0/4 both 
Switch#monitor capture test match any 
Switch#monitor capture test start

<
     
     
       > Switch# 
      monitor capture test stop

    Después de tomar el EPC, puede utilizar el comando show monitor capture buffer brief para verificar el número de trama de la solicitud ICMP.

    Switch#show monitor capture test buffer 
..
..
 
   44  17.059569  10.4.16.142 b^F^R 10.4.16.141  ICMP 86 Echo (ping) request  id=0x0001, seq=147/37632, ttl=128
   45  17.061079  10.4.16.141 b^F^R 10.4.16.142  ICMP 74 Echo (ping) reply    id=0x0001, seq=147/37632, ttl=128 (request in 44)
..
..

    De la salida anterior se observó que el paquete ICMP está en la trama 44. Con esto ahora puede ejecutar: show monitor capture <name> buffer detailed | begin Frame <number> para ver el contenido:

    ..
..
Frame 44: 86 bytes on wire (688 bits), 86 bytes captured (688 bits) on interface 0
    Interface id: 0 (/tmp/epc_ws/wif_to_ts_pipe)
        Interface name: /tmp/epc_ws/wif_to_ts_pipe
    Encapsulation type: Ethernet (1)
    Arrival Time: Jun  3, 2022 19:12:00.140014000 UTC
    [Time shift for this packet: 0.000000000 seconds]
    Epoch Time: 1654283520.140014000 seconds
    [Time delta from previous captured frame: 0.362660000 seconds]
    [Time delta from previous displayed frame: 0.362660000 seconds]
    [Time since reference or first frame: 17.059569000 seconds]
    Frame Number: 44
    Frame Length: 86 bytes (688 bits)
    Capture Length: 86 bytes (688 bits)
    [Frame is marked: False]
    [Frame is ignored: False]
    [Protocols in frame: eth:ethertype:vlan:ethertype:cmd:ethertype:ip:icmp:data]
Ethernet II, Src: 50:7b:9d:f0:34:bb (50:7b:9d:f0:34:bb), Dst: 50:7b:9d:f8:02:ed (50:7b:9d:f8:02:ed)
    Destination: 50:7b:9d:f8:02:ed (50:7b:9d:f8:02:ed)
        Address: 50:7b:9d:f8:02:ed (50:7b:9d:f8:02:ed)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
    Source: 50:7b:9d:f0:34:bb (50:7b:9d:f0:34:bb)
        Address: 50:7b:9d:f0:34:bb (50:7b:9d:f0:34:bb)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
    Type: 802.1Q Virtual LAN (0x8100)
802.1Q Virtual LAN, PRI: 0, DEI: 0, ID: 761
    000. .... .... .... = Priority: Best Effort (default) (0)
    ...0 .... .... .... = DEI: Ineligible
    .... 0010 1111 1001 = ID: 761
    Type: CiscoMetaData (0x8909)
Cisco MetaData <<<<<<<<<<<<<<<<<<<<<<< CMD header 
    Version: 1
    Length: 1
    Options: 0x0001
 SGT: 3 <<<<<<<<<<<<<<<<<<<<<<<<<< SGT of PC1
    Type: IPv4 (0x0800)
Internet Protocol Version 4, Src: 10.4.16.142, Dst: 10.4.16.141
    0100 .... = Version: 4
    .... 0101 = Header Length: 20 bytes (5)
    Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)
        0000 00.. = Differentiated Services Codepoint: Default (0)
        .... ..00 = Explicit Congestion Notification: Not ECN-Capable Transport (0)
    Total Length: 60
    Identification: 0x7d1f (32031)
    Flags: 0x0000
        0... .... .... .... = Reserved bit: Not set
        .0.. .... .... .... = Don't fragment: Not set
        ..0. .... .... .... = More fragments: Not set
        ...0 0000 0000 0000 = Fragment offset: 0
    Time to live: 128
    Protocol: ICMP (1)
    Header checksum: 0x887f [validation disabled]
    [Header checksum status: Unverified]
    Source: 10.4.16.142
    Destination: 10.4.16.141
Internet Control Message Protocol
    Type: 8 (Echo (ping) request)
    Code: 0
    Checksum: 0x4cc8 [correct]
    [Checksum Status: Good]
    Identifier (BE): 1 (0x0001)
    Identifier (LE): 256 (0x0100)
    Sequence number (BE): 147 (0x0093)
    Sequence number (LE): 37632 (0x9300)
    Data (32 bytes)

0000  61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70   abcdefghijklmnop
0010  71 72 73 74 75 76 77 61 62 63 64 65 66 67 68 69   qrstuvwabcdefghi
        Data: 6162636465666768696a6b6c6d6e6f707172737475767761...
        [Length: 32]
..
..

    Comprobación de SGACL

    El switch sólo descarga las SGACL que coinciden con las vinculaciones IP-SGT aprendidas de diferentes métodos (local, SXP, etiquetado en línea, etc.). C9300B aprende el grupo de seguridad de destino de forma dinámica a partir de ISE. ¿Cómo aprende el grupo de seguridad de origen? Con Etiquetado En Línea. Como el comando show cts role-based sgt-map all no muestra las SGT aprendidas del etiquetado en línea, puede concluir que si se descarga la SGACL, el switch es consciente de los grupos de seguridad de origen (etiquetado en línea) y de destino (local).

    Switch#show cts role-based permissions 
IPv4 Role-based permissions default:
        Permit_IP_Log-00
IPv4 Role-based permissions from group 3:DataCenter to group  17:MedicalDevices:  
        denyJonsICMP-06     <<<< 
        DENY_PRINTER_80_04-01
        permitJons-01
IPv4 Role-based permissions from group 16:IUH_Office to group 17:MedicalDevices:
        denyJonsICMP-06
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE

    Cuando hace ping desde PC1 desde PC2, el ICMP se bloquea:

    cisco>ping -S 10.4.16.142 10.4.16.141

Pinging 10.4.16.141 from 10.4.16.142 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 10.4.16.141:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    01-Feb-2023
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Jonathan Daniel Casillas Gutierrez
      Líder técnico en ingeniería de Cisco

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos