Dépannage du balisage en ligne Trustsec

Mis à jour:31 janvier 2023
ID du document:220183

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment configurer et vérifier la fonctionnalité de marquage en ligne Cisco sur un commutateur Cisco Catalyst 9300. 

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Connaissances de base des composants Cisco TrustSec (CTS)

    • Connaissances de base de la configuration CLI des commutateurs Catalyst

    • Expérience de la configuration ISE (Identity Services Engine)

    Cisco ISE doit être déployé sur votre réseau et les utilisateurs finaux doivent s'authentifier auprès de Cisco ISE via 802.1x (ou une autre méthode) lorsqu'ils se connectent par câble. Cisco ISE attribue une balise de groupe de sécurité (SGT) une fois qu'ils s'authentifient auprès de votre réseau câblé.

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • Cisco Identity Services Engine qui exécute 3.0 P5
    • Commutateur Cisco Catalyst 9300 qui exécute 17.03.02a
    • Commutateur Cisco Catalyst 9300 qui exécute 17.07.01

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Informations générales

    L'étiquetage en ligne est implémenté au niveau de la couche d'accès, car il s'agit du premier point de contact des informations. En d'autres termes, tous vos périphériques finaux sont connectés à la couche d'accès. Une fois que les périphériques de la couche d’accès ont effectué la classification, il est nécessaire de partager ces informations avec les périphériques chargés de l’application. Pour ce faire, le NAS peut ajouter 20 octets à la trame Ethernet. Il s’agit du champ CMD (métadonnées Cisco) de la trame. Le SGT est inclus à l'intérieur.

    Configurer

    Diagramme du réseau

    Topology DiagramDiagramme topologique

    • PC1 authentifie et ISE attribue dynamiquement SGT3.
    • C9300A marquage en ligne avec C9300B
    • PC2 authentifie et ISE attribue dynamiquement SGT 17
    • C9300B applique le trafic ICMP de SGT3 à SGT17.

    Étiquetage en ligne

    C9300A

    interface TwoGigabitEthernet1/0/4
 switchport trunk allowed vlan 761
 switchport mode trunk
 cts manual
  policy static sgt 2 trusted
end

    C9300B

    interface GigabitEthernet1/0/4
 switchport trunk allowed vlan 761
 switchport mode trunk
 cts manual 
  policy static sgt 2 trusted
end

    Vous devez utiliser la commande cts manual, puis policy static pour activer le balisage en ligne. Le sgt utilisé sur la commande peut être le sgt du périphérique réseau ou tout autre élément de sa zone réservée. La fonction de la commande trusted est d'ordonner au commutateur d'honorer le SGT, s'il reçoit le trafic avec l'en-tête CMD. Sans commande trusted, le commutateur étiquette tout le trafic qui circule à partir de cette interface avec le SGT défini.

    Chèques

    Accéder aux téléchargements de sessions SGT

    PC1

    Switch#show authentication session interface Tw1/0/3 details
            Interface:  TwoGigabitEthernet1/0/3
               IIF-ID:  0x1FB0D90E
          MAC Address:  507b.9df0.34bb
         IPv6 Address:  Unknown
         IPv4 Address:  10.4.16.142
            User-Name:  50-7B-9D-F0-34-BB
               Status:  Authorized
               Domain:  DATA
       Oper host mode:  multi-auth
     Oper control dir:  both
      Session timeout:  N/A
    Common Session ID:  3D781F0A0000000F2AE95F4A
      Acct Session ID:  0x00000005
               Handle:  0x02000004
       Current Policy:  POLICY_Tw1/0/3


Local Policies:
        Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
      Security Policy:  Should Secure

Server Policies:
            SGT Value:  3


Method status list:
       Method           State
          mab           Authc Success

    PC2

    Switch#show authentication session interface Gi1/0/1 details  
            Interface:  GigabitEthernet1/0/1
               IIF-ID:  0x1D1CA5C7
          MAC Address:  507b.9df8.02ed
         IPv6 Address:  fe80::114c:dce1:ffa1:1642
         IPv4 Address:  10.4.16.141
            User-Name:  50-7B-9D-F8-02-ED
               Status:  Authorized
               Domain:  DATA
       Oper host mode:  multi-auth
     Oper control dir:  both
      Session timeout:  N/A
    Common Session ID:  21781F0A000000242AF41195
      Acct Session ID:  0x00000004
               Handle:  0x4300000f
       Current Policy:  POLICY_Gi1/0/1


Local Policies:
        Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
      Security Policy:  Should Secure

Server Policies:
            SGT Value:  17


Method status list:
       Method           State
          mab           Authc Success

    Le commutateur apprend la liaison IP-SGT

    C9300A

    Switch#show cts role-based sgt-map all
Active IPv4-SGT Bindings Information

IP Address              SGT     Source
============================================
10.4.16.142             3       LOCAL

    C9300B

    Switch#show cts role-based sgt-map all
Active IPv4-SGT Bindings Information

IP Address              SGT     Source
============================================
10.4.16.141             17      LOCAL
10.31.120.33            2       INTERNAL

    État de l'autorisation entre C9300A et C9300B

    C9300A

    Switch#show cts interface Two 1/0/4 
Global Dot1x feature is Disabled
Interface TwoGigabitEthernet1/0/4:
    CTS is enabled, mode:    MANUAL
    IFC state:               OPEN
    Interface Active for 01:36:44.332
    Authentication Status:   NOT APPLICABLE
        Peer identity:       "unknown"
        Peer's advertised capabilities: ""
    Authorization Status:    SUCCEEDED
        Peer SGT:            2:TrustSec_Devices
        Peer SGT assignment: Trusted
    SAP Status:              NOT APPLICABLE
    Propagate SGT:           Enabled
    Cache Info:
        Expiration            : N/A
        Cache applied to link : NONE

    Statistics:
        authc success:              0
        authc reject:               0
        authc failure:              0
        authc no response:          0
        authc logoff:               0
        sap success:                0
        sap fail:                   0
        authz success:              0
        authz fail:                 0
        port auth fail:             0

    L3 IPM:   disabled.

    C9300B

    Switch#show cts interfac Gig 1/0/4         
Global Dot1x feature is Disabled
Interface GigabitEthernet1/0/4:
    CTS is enabled, mode:    MANUAL
    IFC state:               OPEN
    Interface Active for 01:34:18.433
    Authentication Status:   NOT APPLICABLE
        Peer identity:       "unknown"
        Peer's advertised capabilities: ""
    Authorization Status:    SUCCEEDED
        Peer SGT:            2:TrustSec_Devices
        Peer SGT assignment: Trusted
    SAP Status:              NOT APPLICABLE
    Propagate SGT:           Enabled
    Cache Info:
        Expiration            : N/A
        Cache applied to link : NONE

    Statistics:
        authc success:              0
        authc reject:               0
        authc failure:              0
        authc no response:          0
        authc logoff:               0
        sap success:                0
        sap fail:                   0
        authz success:              0
        authz fail:                 0
        port auth fail:             0

    L3 IPM:   disabled.

    Dépannage

    Pour résoudre les problèmes, tenez compte des points suivants :

    • La trame est toujours étiquetée au niveau du port d'entrée du périphérique compatible SGT.
    • Processus de balisage antérieur à un autre service de couche 2, tel que la QoS.
    • Aucun impact sur le MTU/la fragmentation IP.
    • Impact de MTU de trame L2 : ~ 40 octets (~1 600 octets avec MTU 1 552 octets)
    • MACsec est facultatif pour le matériel compatible.

    Capture de paquets/EPC

    Inline Tagging FlowFlux de balisage en ligne

    Si vous voulez dépanner l'étiquetage en ligne, vous devez effectuer une capture de paquets à l'entrée.

    tip-icon

    Conseil : si vous prenez un pcap dans la liaison ascendante du logiciel, vous ne voyez pas la balise car elle est incluse au niveau de l'interface, de sorte que l'EPC peut être pris avant que la balise ne soit appliquée.

    caution-icon

    Attention : il y a quelques exceptions comme C4500. En raison de l'architecture du C4500, il n'est pas en mesure de détecter l'en-tête CMD même si vous prenez le pcap au niveau de l'interface d'entrée. Pour ce cas spécifique, vous pouvez utiliser la configuration Netflow, Netflow Trustsec

    Capture de paquets intégrée (EPC) sur le port d'entrée du C9300B

    Switch#monitor capture test interface Gig 1/0/4 both 
Switch#monitor capture test match any 
Switch#monitor capture test start

<
     
     
       > Switch# 
      monitor capture test stop

    Après avoir pris l'EPC, vous pouvez utiliser la commande show monitor capture buffer brief pour vérifier le numéro de trame de la requête ICMP.

    Switch#show monitor capture test buffer 
..
..
 
   44  17.059569  10.4.16.142 b^F^R 10.4.16.141  ICMP 86 Echo (ping) request  id=0x0001, seq=147/37632, ttl=128
   45  17.061079  10.4.16.141 b^F^R 10.4.16.142  ICMP 74 Echo (ping) reply    id=0x0001, seq=147/37632, ttl=128 (request in 44)
..
..

    D’après le résultat précédent, il a été observé que le paquet ICMP se trouve dans la trame 44. Vous pouvez maintenant exécuter : show monitor capture <name> buffer detailed | commence la trame <number> pour afficher le contenu :

    ..
..
Frame 44: 86 bytes on wire (688 bits), 86 bytes captured (688 bits) on interface 0
    Interface id: 0 (/tmp/epc_ws/wif_to_ts_pipe)
        Interface name: /tmp/epc_ws/wif_to_ts_pipe
    Encapsulation type: Ethernet (1)
    Arrival Time: Jun  3, 2022 19:12:00.140014000 UTC
    [Time shift for this packet: 0.000000000 seconds]
    Epoch Time: 1654283520.140014000 seconds
    [Time delta from previous captured frame: 0.362660000 seconds]
    [Time delta from previous displayed frame: 0.362660000 seconds]
    [Time since reference or first frame: 17.059569000 seconds]
    Frame Number: 44
    Frame Length: 86 bytes (688 bits)
    Capture Length: 86 bytes (688 bits)
    [Frame is marked: False]
    [Frame is ignored: False]
    [Protocols in frame: eth:ethertype:vlan:ethertype:cmd:ethertype:ip:icmp:data]
Ethernet II, Src: 50:7b:9d:f0:34:bb (50:7b:9d:f0:34:bb), Dst: 50:7b:9d:f8:02:ed (50:7b:9d:f8:02:ed)
    Destination: 50:7b:9d:f8:02:ed (50:7b:9d:f8:02:ed)
        Address: 50:7b:9d:f8:02:ed (50:7b:9d:f8:02:ed)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
    Source: 50:7b:9d:f0:34:bb (50:7b:9d:f0:34:bb)
        Address: 50:7b:9d:f0:34:bb (50:7b:9d:f0:34:bb)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
    Type: 802.1Q Virtual LAN (0x8100)
802.1Q Virtual LAN, PRI: 0, DEI: 0, ID: 761
    000. .... .... .... = Priority: Best Effort (default) (0)
    ...0 .... .... .... = DEI: Ineligible
    .... 0010 1111 1001 = ID: 761
    Type: CiscoMetaData (0x8909)
Cisco MetaData <<<<<<<<<<<<<<<<<<<<<<< CMD header 
    Version: 1
    Length: 1
    Options: 0x0001
 SGT: 3 <<<<<<<<<<<<<<<<<<<<<<<<<< SGT of PC1
    Type: IPv4 (0x0800)
Internet Protocol Version 4, Src: 10.4.16.142, Dst: 10.4.16.141
    0100 .... = Version: 4
    .... 0101 = Header Length: 20 bytes (5)
    Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)
        0000 00.. = Differentiated Services Codepoint: Default (0)
        .... ..00 = Explicit Congestion Notification: Not ECN-Capable Transport (0)
    Total Length: 60
    Identification: 0x7d1f (32031)
    Flags: 0x0000
        0... .... .... .... = Reserved bit: Not set
        .0.. .... .... .... = Don't fragment: Not set
        ..0. .... .... .... = More fragments: Not set
        ...0 0000 0000 0000 = Fragment offset: 0
    Time to live: 128
    Protocol: ICMP (1)
    Header checksum: 0x887f [validation disabled]
    [Header checksum status: Unverified]
    Source: 10.4.16.142
    Destination: 10.4.16.141
Internet Control Message Protocol
    Type: 8 (Echo (ping) request)
    Code: 0
    Checksum: 0x4cc8 [correct]
    [Checksum Status: Good]
    Identifier (BE): 1 (0x0001)
    Identifier (LE): 256 (0x0100)
    Sequence number (BE): 147 (0x0093)
    Sequence number (LE): 37632 (0x9300)
    Data (32 bytes)

0000  61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70   abcdefghijklmnop
0010  71 72 73 74 75 76 77 61 62 63 64 65 66 67 68 69   qrstuvwabcdefghi
        Data: 6162636465666768696a6b6c6d6e6f707172737475767761...
        [Length: 32]
..
..

    Vérification SGACL

    Le commutateur télécharge uniquement les listes de contrôle d'accès SGACL qui correspondent aux liaisons IP-SGT apprises à partir de différentes méthodes (locale, SXP, étiquetage en ligne, etc.). C9300B apprend le groupe de sécurité de destination de manière dynamique à partir d'ISE. Comment apprend-il le groupe de sécurité source ? Avec marquage en ligne. Comme la commande show cts role-based sgt-map all n'affiche pas les balises SGT apprises à partir de l'étiquetage en ligne, vous pouvez conclure que si la SGACL est téléchargée, le commutateur est conscient à la fois des groupes de sécurité source (étiquetage en ligne) et de destination (local).

    Switch#show cts role-based permissions 
IPv4 Role-based permissions default:
        Permit_IP_Log-00
IPv4 Role-based permissions from group 3:DataCenter to group  17:MedicalDevices:  
        denyJonsICMP-06     <<<< 
        DENY_PRINTER_80_04-01
        permitJons-01
IPv4 Role-based permissions from group 16:IUH_Office to group 17:MedicalDevices:
        denyJonsICMP-06
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE

    Lorsque vous envoyez une requête ping à partir de PC1 à partir de PC2, le protocole ICMP est bloqué :

    cisco>ping -S 10.4.16.142 10.4.16.141

Pinging 10.4.16.141 from 10.4.16.142 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 10.4.16.141:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

    Informations connexes

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    01-Feb-2023
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Jonathan Daniel Casillas Gutierrez
      Responsable technique technique Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits