この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
この資料は Cisco Identity Services Engine (ISE)で複数の TrustSec 行列および DefCon 行列の使用を 2.2 記述したものです。 これはネットワークのよりよい細かさのための ISE 2.2 で導入される新しい TrustSec 機能です。
次の項目に関する知識があることが推奨されます。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。
ISE 2.0 ですべてのネットワークデバイスのために 1 つの本番 TrustSec 行列だけ使用する可能性があります。 ISE 2.1 追加された機能はテストおよび実装目的で使用できるステージング行列を呼出しました。 ステージング行列で作成されるポリシーはテストに使用するネットワークデバイスにだけ適用されます。 デバイスの他はまだ本番行列を使用します。 ステージング行列がうまく働くために確認されればすべてのその他のデバイスはそれに移動することができ、それは新しい本番行列になります。
ISE 2.2 は 2 つの新しい TrustSec 機能が付いています:
ISE 2.2 で単一行列機能か本番およびステージング行列機能を使用することは可能性のあるです。
複数の行列を使用するために、イメージに示すように作業センター > TrustSec > 設定 > 作業プロセス設定の下でこのオプションを、有効に しなければなりません:
これが有効に なれば、新しい行列を作成し、特定の行列にあとでネットワークデバイスを割り当てることができます。
DefCon 行列はいつでも展開されること準備ができた特別な行列です。 配置されたとき、すべてのネットワークデバイスはこの行列に自動的に割り当てられます。 ISE はまだすべてのネットワークデバイスのための最後の本番行列を覚えています、従って DefCon が無効になるときこの変更はいずれかの時点で戻すことができます。 DefCon 4 つまでの異なる行列を定義できます:
DefCon 行列はすべての 3 つの作業プロセス オプションと組み合わせて使用することができます:
複数の行列を使用するために、作業プロセス設定の下でそれを有効に しなければなりません。 この例では、DefCon 行列をまた有効に して下さい。
radius server ISE address ipv4 10.48.17.161 auth-port 1812 acct-port 1813 pac key cisco aaa group server radius ISE server name ISE ip radius source-interface FastEthernet0 ip radius source-interface FastEthernet0 aaa server radius dynamic-author client 10.48.17.161 server-key cisco
aaa new-model aaa authentication dot1x default group ISE aaa accounting dot1x default start-stop group ISE
CTS 情報を得るために、CTS 許可リストを作成しなければなりません:
cts authorization list LIST aaa authorization network LIST group ISE
CTS PAC (保護されたアクセス 資格情報)を ISE から受け取るために、ネットワークデバイスのための高度 TrustSec 設定の下でスイッチおよび ISE の同じ資格情報を設定しなければなりません:
cts credentials id GALA password cisco
これが設定されれば、スイッチは CTS PAC をダウンロードできます。 それの 1 部は ISE に各 RADIUS要求の AV-pair、従って ISE として(PAC 不透明)このネットワークデバイスのための PAC がまだ有効であるかどうか確認できます送信 されて います:
GALA#show cts pacs AID: E6796CD7BBF2FA4111AD9FB4FEFB5A50 PAC-Info: PAC-type = Cisco Trustsec AID: E6796CD7BBF2FA4111AD9FB4FEFB5A50 I-ID: GALA A-ID-Info: Identity Services Engine Credential Lifetime: 17:05:50 CEST Apr 5 2017 PAC-Opaque: 000200B00003000100040010E6796CD7BBF2FA4111AD9FB4FEFB5A50000600940003010012FABE10F3DCBCB152C54FA5BFE124CB00000013586BB31500093A809E11A93189C7BE6EBDFB8FDD15B9B7252EB741ADCA3B2ACC5FD923AEB7BDFE48A3A771338926A1F48141AF091469EE4AFC8C3E92A510BA214A407A33F469282A780E8F50F17A271E92D1FEE1A29ED427B985F9A0E00D6CDC934087716F4DEAF84AC11AA05F7587E898CA908463BDA9EC7E65D827 Refresh timer is set for 11y13w
PAC がダウンロードされれば、スイッチは追加 CTS 情報を要求できます(環境データおよびポリシー):
GALA#cts refresh environment-data GALA#show cts environment-data CTS Environment Data ==================== Current state = COMPLETE Last status = Successful Local Device SGT: SGT tag = 0-06:Unknown Server List Info: Installed list: CTSServerList1-0001, 1 server(s): *Server: 10.48.17.161, port 1812, A-ID E6796CD7BBF2FA4111AD9FB4FEFB5A50 Status = ALIVE auto-test = TRUE, keywrap-enable = FALSE, idle-time = 60 mins, deadtime = 20 secs Multicast Group SGT Table: Security Group Name Table: 0-ce:Unknown 2-ce:TrustSec_Devices 3-ce:Network_Services 4-ce:Employees 5-ce:Contractors 6-ce:Guests 7-ce:Production_Users 8-ce:Developers 9-ce:Auditors 10-ce:Point_of_Sale_Systems 11-ce:Production_Servers 12-ce:Development_Servers 13-ce:Test_Servers 14-ce:PCI_Servers 15-ce:BYOD 255-ce:Quarantined_Systems Environment Data Lifetime = 86400 secs Last update time = 07:48:41 CET Mon Jan 2 2006 Env-data expires in 0:23:56:02 (dd:hr:mm:sec) Env-data refreshes in 0:23:56:02 (dd:hr:mm:sec) Cache data applied = NONE State Machine is running
GALA#cts refresh policy GALA#show cts role-based permissions RBACL Monitor All for Dynamic Policies : FALSE RBACL Monitor All for Configured Policies : FALSE
原因 CTS 適用がスイッチで有効に ならないことです ISE からダウンロードされるポリシーがないことがわかるかもしれません:
cts role-based enforcement cts role-based enforcement vlan-list 1-4094 GALA#show cts role-based permissions IPv4 Role-based permissions default: Permit IP-00 RBACL Monitor All for Dynamic Policies : FALSE RBACL Monitor All for Configured Policies : FALSE
両方の出力では、-デフォルトで作成された SGTs デフォルト値を調べる可能性があります(0、2-15、255)およびデフォルト割り当て IP ポリシー。
それらをあとで使用するために新しいセキュリティグループ タグ(SGTs)および ISE の少数のポリシーを作成して下さい。 グループは作業センター > TrustSec > コンポーネント > Security にナビゲート しましたり、新しい SGT を作成するために『Add』 をクリック します:
トラフ ィック フィルタリングのためのセキュリティグループ アクセス制御リスト(SGACL)を作成するために、イメージに示すようにグループ ACL を、『Security』 を選択 して下さい:
同様に、他の SGTs および SGACLs を作成できます。 SGTs および SGACLs が作成されれば、CTS ポリシーでそうするためにそれらを、イメージに示すように作業センター > TrustSec > TustSec ポリシー > 出力ポリシー > ソース ツリーにナビゲートを接続、できます:
この例では、行列 ForGALA のためのポリシーを設定しました。 行列の間で切り替えるために、ドロップダウン メニューを使用できます。 複数の行列を有効に するために、作業センター > TrustSec > 設定 > 作業プロセス設定にナビゲート し、イメージに示すように複数の行列および DefCon 行列を、有効に して下さい:
このオプションが有効に なるとき、他の行列を作成することができるが利用可能 なデフォルト本番行列があります。 作業センター > TrustSec > TrustSec ポリシー > 出力ポリシー > 行列へのナビゲートはリストし、『Add』 をクリック します:
既に存在行列からの新しいものの一部に似合う必要があるコピー ポリシーへオプションがあります。 2 つの行列を- 3850 スイッチの 3750X スイッチのための 1 つ、もう 1 つ作成して下さい。 行列が作成されれば、デフォルトですべての TrustSec によって有効に される ネットワーク アクセス デバイスが本番行列に割り当てられるのでそれらの行列にネットワークデバイスを割り当てなければなりません。
NADs を割り当てるために、割り当てましたり NADs オプションを行列リストの下で、チェックし、行列をに割り当て、ドロップダウン メニューからの作成された行列を選ぶことを望むクリックします割り当てますイメージに示すように、クリックして下さいデバイスを:
その他のデバイスのために Assign ボタンのクリックによって続かれて同じをすることができます:
すべての変更が実行された、CTS ポリシーのリフレッシュを行うように新しいものをダウンロードするためにデバイスにすべての更新を送る Close&Send をクリックして下さい。 同様に、既存の行列からコピーできる DefCon 行列を作成して下さい、:
最終的なポリシー外観のような:
クライアント 割り当てへタグのための 2 つのオプションがあります(IP-SGT マッピングを作成して下さい):
両方のオプションをここでは使用して下さい、2 台のウィンドウ マシンは dot1x 認証によって SGT タグおよびスタティック SGT タグのループバックインターフェイスを得ます。 動的マッピングを展開するために、端クライアントのための承認ポリシーを作成して下さい:
静的な IP-SGT マッピングを作成するために、コマンド(お祭りスイッチのための例)を使用して下さい:
interface Loopback7 ip address 7.7.7.7 255.255.255.0 interface Loopback2 ip address 2.2.2.2 255.255.255.0 cts role-based sgt-map 2.2.2.2 sgt 15 cts role-based sgt-map 7.7.7.7 sgt 10
認証の成功の後、結果の仕様 SGT タグのクライアント ヒット承認ポリシー:
GALA#show authentication sessions interface Gi1/0/11 details Interface: GigabitEthernet1/0/11 MAC Address: 0050.5699.5bd9 IPv6 Address: Unknown IPv4 Address: 10.0.10.2 User-Name: 00-50-56-99-5B-D9 Status: Authorized Domain: DATA Oper host mode: single-host Oper control dir: both Session timeout: N/A Restart timeout: N/A Common Session ID: 0A30489C000000120002330D Acct Session ID: 0x00000008 Handle: 0xCE000001 Current Policy: POLICY_Gi1/0/11 Local Policies: Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150) Security Policy: Should Secure Security Status: Link Unsecure Server Policies: SGT Value: 16 Method status list: Method State mab Authc Success
各マッピング(ローカル- dot1x 認証によって、CLI -のもとを静的割り当て)見るところで、コマンドで示します cts に役割ベース sgt MAP をすべてすべての IP-SGT マッピングをチェックできます:
GALA#show cts role-based sgt-map all Active IPv4-SGT Bindings Information IP Address SGT Source ============================================ 2.2.2.2 15 CLI 7.7.7.7 10 CLI 10.0.10.2 16 LOCAL IP-SGT Active Bindings Summary ============================================ Total number of CLI bindings = 2 Total number of LOCAL bindings = 1 Total number of active bindings = 3
スイッチに CTS PAC および環境 データがダウンロードされればあれば、CTS ポリシーを要求できます。 スイッチはすべてのポリシーをダウンロードしませんが、-お祭りスイッチの場合には… -既知 SGT タグに向かうトラフィックのためのポリシー必要となる物だけ、ISE からそれらのポリシーを要求します:
お祭りスイッチのためのすべてのポリシーの出力:
GALA#show cts role-based permissions IPv4 Role-based permissions default: Permit IP-00 IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 15:BYOD: denyIP-20 IPv4 Role-based permissions from group 17:VLAN20 to group 16:VLAN10: denyIP-20 RBACL Monitor All for Dynamic Policies : FALSE RBACL Monitor All for Configured Policies : FALSE
スイッチは 2 つの方法でポリシーを得ます:
GALA#cts refresh policy
この例のための両方のスイッチの最終的な SGT-IP マッピングおよび CTS ポリシー:
お祭りスイッチ:
GALA#show cts role-based sgt-map all Active IPv4-SGT Bindings Information IP Address SGT Source ============================================ 2.2.2.2 15 CLI 7.7.7.7 10 CLI 10.0.10.2 16 LOCAL IP-SGT Active Bindings Summary ============================================ Total number of CLI bindings = 2 Total number of LOCAL bindings = 1 Total number of active bindings = 3
GALA#show cts role-based permissions
IPv4 Role-based permissions default:
Permit IP-00
IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 15:BYOD:
denyIP-20
IPv4 Role-based permissions from group 17:VLAN20 to group 15:BYOD:
permitIP-20
IPv4 Role-based permissions from group 17:VLAN20 to group 16:VLAN10:
permitIP-20
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE
GALA#show cts rbacl | s permitIP
name = permitIP-20
permit ip
GALA#show cts rbacl | s deny
name = denyIP-20
deny ip
DRARORA スイッチ:
DRARORA#show cts role-based sgt-map all Active IPv4-SGT Bindings Information IP Address SGT Source ============================================ 10.0.20.3 17 LOCAL 10.10.10.10 10 CLI 15.15.15.15 15 CLI IP-SGT Active Bindings Summary ============================================ Total number of CLI bindings = 2 Total number of LOCAL bindings = 1 Total number of active bindings = 3
DRARORA#show cts role-based permissions
IPv4 Role-based permissions default:
Permit IP-00
IPv4 Role-based permissions from group 17:VLAN20 to group 10:Point_of_Sale_Systems:
permitIP-20
IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 15:BYOD:
permitIP-20
IPv4 Role-based permissions from group 17:VLAN20 to group 15:BYOD:
permitIP-20
IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 17:VLAN20:
denyIP-20
IPv4 Role-based permissions from group 16:VLAN10 to group 17:VLAN20:
permitIP-20
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE
両方のスイッチ用のポリシーが異なっていることを観察して下さい(10 から 15 まで同じポリシーはお祭りおよび DRARORA スイッチのために異なっています)。 これは SGT 10 に 15 からのトラフィックが DRARORA で許可される、お祭りでブロックされてことを意味します:
DRARORA#ping 15.15.15.15 source Loopback 10 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 15.15.15.15, timeout is 2 seconds: Packet sent with a source address of 10.10.10.10 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms GALA#ping 2.2.2.2 source Loopback 7 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds: Packet sent with a source address of 7.7.7.7 U.U.U Success rate is 0 percent (0/5)
同様に、1 つのウィンドウから、もう 1 つにアクセスできます(SGT 17 - > 16) SGT:
そして別の方法(SGT 16 - > 17) SGT:
正しい CTS ポリシーが適用したことを確認するために、チェックは cts に出力される役割ベース カウンターを示します:
GALA#sh cts role-based counters Role-based IPv4 counters # '-' in hardware counters field indicates sharing among cells with identical policies From To SW-Denied HW-Denied SW-Permitted HW-Permitted 17 16 0 0 0 8 17 15 0 - 0 - 10 15 4 0 0 0 * * 0 0 127 26
お祭りに 8 つの割り当てられたパケット(4 および PING 16->17 からの PING 17->16 からの 4)があります。
必要とされた場合、作業区 > TrustSec > TrustSec ポリシー > 出力ポリシー > マトリックスの下で DefCon マトリックスをリストします、アクティブにし、『Activate』 をクリック することを望むチェック DefCon マトリックス展開して下さい:
DefCon がアクティブになれば、このように ISE なのメニュー:
そしてスイッチでポリシングを行ないます:
GALA#show cts role-based permissions IPv4 Role-based permissions default: Permit IP-00 IPv4 Role-based permissions from group 15:BYOD to group 10:Point_of_Sale_Systems: denyIP-20 IPv4 Role-based permissions from group 15:BYOD to group 16:VLAN10: denyIP-20 IPv4 Role-based permissions from group 17:VLAN20 to group 16:VLAN10: denyIP-20 RBACL Monitor All for Dynamic Policies : FALSE RBACL Monitor All for Configured Policies : FALSE DRARORA#show cts role-based permissions IPv4 Role-based permissions default: Permit IP-00 IPv4 Role-based permissions from group 15:BYOD to group 10:Point_of_Sale_Systems: denyIP-20 IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 17:VLAN20: permitIP-20 RBACL Monitor All for Dynamic Policies : FALSE RBACL Monitor All for Configured Policies : FALSE
SGT 15 からの SGT 10 へのトラフィックは両方のスイッチで許可されません:
DRARORA#ping 10.10.10.10 source Loopback 15 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.10.10.10, timeout is 2 seconds: Packet sent with a source address of 15.15.15.15 U.U.U Success rate is 0 percent (0/5) GALA#ping 7.7.7.7 source Loopback 2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 7.7.7.7, timeout is 2 seconds: Packet sent with a source address of 2.2.2.2 U.U.U Success rate is 0 percent (0/5)
配備が再度安定 して いれば、DefCon を無効にすることができ、スイッチは古いポリシーを要求します。 DefCon を無効にするために、作業区 > TrustSec > TrustSec ポリシー > 出力ポリシー > マトリックスにリストし、チェックし、DefCon アクティブなマトリックスを『deactivate』 をクリック します ナビゲート して下さい:
スイッチは両方とも古いポリシーをすぐに要求します:
DRARORA#show cts role-based permissions IPv4 Role-based permissions default: Permit IP-00 IPv4 Role-based permissions from group 17:VLAN20 to group 10:Point_of_Sale_Systems: permitIP-20 IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 15:BYOD: permitIP-20 IPv4 Role-based permissions from group 17:VLAN20 to group 15:BYOD: permitIP-20 IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 17:VLAN20: denyIP-20 IPv4 Role-based permissions from group 16:VLAN10 to group 17:VLAN20: permitIP-20 RBACL Monitor All for Dynamic Policies : FALSE RBACL Monitor All for Configured Policies : FALSE GALA#show cts role-based permissions IPv4 Role-based permissions default: Permit IP-00 IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 15:BYOD: denyIP-20 IPv4 Role-based permissions from group 17:VLAN20 to group 15:BYOD: permitIP-20 IPv4 Role-based permissions from group 17:VLAN20 to group 16:VLAN10: permitIP-20 RBACL Monitor All for Dynamic Policies : FALSE RBACL Monitor All for Configured Policies : FALSE
これは正常な PAC プロビジョニングの一部です:
GALA#debug cts provisioning packets GALA#debug cts provisioning events *Jan 2 04:39:05.707: %SYS-5-CONFIG_I: Configured from console by console *Jan 2 04:39:05.707: CTS-provisioning: Starting new control block for server 10.48.17.161: *Jan 2 04:39:05.707: CTS-provisioning: cts_provi_init_socket: Checking for any vrf associated with 10.48.17.161 *Jan 2 04:39:05.707: CTS-provisioning: New session socket: src=10.48.72.156:65242 dst=10.48.17.161:1812 *Jan 2 04:39:05.716: CTS-provisioning: cts_provi_init_socket: Checking for any vrf associated with 10.48.17.161 *Jan 2 04:39:05.716: CTS-provisioning: cts_provi_init_socket: Adding vrf-tableid: 0 to socket *Jan 2 04:39:05.716: CTS-provisioning: New session socket: src=10.48.72.156:65242 dst=10.48.17.161:1812 *Jan 2 04:39:05.716: CTS-provisioning: Sending EAP Response/Identity to 10.48.17.161 *Jan 2 04:39:05.716: CTS-provisioning: OUTGOING RADIUS msg to 10.48.17.161: 1E010EE0: 01010090 64BCBC01 7BEF347B 1E010EF0: 1E32C02E 8402A83D 010C4354 5320636C 1E010F00: 69656E74 04060A30 489C3D06 00000000 1E010F10: 06060000 00021F0E 30303037 37643862 1E010F20: 64663830 1A2D0000 00090127 4141413A 1E010F30: 73657276 6963652D 74797065 3D637473 1E010F40: 2D706163 2D70726F 76697369 6F6E696E 1E010F50: 674F1102 00000F01 43545320 636C6965 1E010F60: 6E745012 73EBE7F5 CDA0CF73 BFE4AFB6 1E010F70: 40D723B6 00 *Jan 2 04:39:06.035: CTS-provisioning: INCOMING RADIUS msg from 10.48.17.161: 1EC68460: 0B0100B5 E4C3C3C1 ED472766 1EC68470: 183F41A9 026453ED 18733634 43504D53 1EC68480: 65737369 6F6E4944 3D306133 30313161 1EC68490: 314C3767 78484956 62414976 37316D59 1EC684A0: 525F4D56 34517741 4C362F69 73517A72 1EC684B0: 7A586132 51566852 79635638 3B343353 1EC684C0: 65737369 6F6E4944 3D766368 72656E65 1EC684D0: 6B2D6973 6532322D 3432332F 32373238 1EC684E0: 32373637 362F3137 37343B4F 1C017400 1EC684F0: 1A2B2100 040010E6 796CD7BB F2FA4111 1EC68500: AD9FB4FE FB5A5050 124B76A2 E7D34684 1EC68510: DD8A1583 175C2627 9F00 *Jan 2 04:39:06.035: CTS-provisioning: Received RADIUS challenge from 10.48.17.161. *Jan 2 04:39:06.035: CTS-provisioning: A-ID for server 10.48.17.161 is "e6796cd7bbf2fa4111ad9fb4fefb5a50" *Jan 2 04:39:06.043: CTS-provisioning: Received TX_PKT from EAP method *Jan 2 04:39:06.043: CTS-provisioning: Sending EAPFAST response to 10.48.17.161 *Jan 2 04:39:06.043: CTS-provisioning: OUTGOING RADIUS msg to 10.48.17.161: <...> *Jan 2 04:39:09.549: CTS-provisioning: INCOMING RADIUS msg from 10.48.17.161: 1EC66C50: 0309002C 1A370BBB 58B828C3 1EC66C60: 3F0D490A 4469E8BB 4F06047B 00045012 1EC66C70: 7ECF8177 E3F4B9CB 8B0280BD 78A14CAA 1EC66C80: 4D *Jan 2 04:39:09.549: CTS-provisioning: Received RADIUS reject from 10.48.17.161. *Jan 2 04:39:09.549: CTS-provisioning: Successfully obtained PAC for A-ID e6796cd7bbf2fa4111ad9fb4fefb5a50
RADIUS リジェクトは PAC プロビジョニングが正常に終わるので期待されます。
これはスイッチからの正常な環境 データ ダウンロードを示します:
GALA#debug cts environment-data GALA# *Jan 2 04:33:24.702: CTS env-data: Force environment-data refresh *Jan 2 04:33:24.702: CTS env-data: download transport-type = CTS_TRANSPORT_IP_UDP *Jan 2 04:33:24.702: cts_env_data START: during state env_data_complete, got event 0(env_data_request) *Jan 2 04:33:24.702: cts_aaa_attr_add: AAA req(0x5F417F8) *Jan 2 04:33:24.702: username = #CTSREQUEST# *Jan 2 04:33:24.702: cts_aaa_context_add_attr: (CTS env-data SM)attr(GALA) *Jan 2 04:33:24.702: cts-environment-data = GALA *Jan 2 04:33:24.702: cts_aaa_attr_add: AAA req(0x5F417F8) *Jan 2 04:33:24.702: cts_aaa_context_add_attr: (CTS env-data SM)attr(env-data-fragment) *Jan 2 04:33:24.702: cts-device-capability = env-data-fragment *Jan 2 04:33:24.702: cts_aaa_req_send: AAA req(0x5F417F8) successfully sent to AAA. *Jan 2 04:33:25.474: cts_aaa_callback: (CTS env-data SM)AAA req(0x5F417F8) response success *Jan 2 04:33:25.474: cts_aaa_context_fragment_cleanup: (CTS env-data SM)attr(GALA) *Jan 2 04:33:25.474: cts_aaa_context_fragment_cleanup: (CTS env-data SM)attr(env-data-fragment) *Jan 2 04:33:25.474: AAA attr: Unknown type (450). *Jan 2 04:33:25.474: AAA attr: Unknown type (274). *Jan 2 04:33:25.474: AAA attr: server-list = CTSServerList1-0001. *Jan 2 04:33:25.482: AAA attr: security-group-tag = 0000-10. *Jan 2 04:33:25.482: AAA attr: environment-data-expiry = 86400. *Jan 2 04:33:25.482: AAA attr: security-group-table = 0001-19. *Jan 2 04:33:25.482: CTS env-data: Receiving AAA attributes CTS_AAA_SLIST slist name(CTSServerList1) received in 1st Access-Accept slist name(CTSServerList1) created CTS_AAA_SECURITY_GROUP_TAG - SGT = 0-10:unicast-unknown CTS_AAA_ENVIRONMENT_DATA_EXPIRY = 86400. CTS_AAA_SGT_NAME_LIST table(0001) received in 1st Access-Accept need a 2nd request for the SGT to SG NAME entries new name(0001), gen(19) CTS_AAA_DATA_END *Jan 2 04:33:25.784: cts_aaa_callback: (CTS env-data SM)AAA req(0x8853E60) response success *Jan 2 04:33:25.784: cts_aaa_context_fragment_cleanup: (CTS env-data SM)attr(0001) *Jan 2 04:33:25.784: AAA attr: Unknown type (450). *Jan 2 04:33:25.784: AAA attr: Unknown type (274). *Jan 2 04:33:25.784: AAA attr: security-group-table = 0001-19. *Jan 2 04:33:25.784: AAA attr: security-group-info = 0-10-00-Unknown. *Jan 2 04:33:25.784: AAA attr: security-group-info = ffff-13-00-ANY. *Jan 2 04:33:25.784: AAA attr: security-group-info = 9-10-00-Auditors. *Jan 2 04:33:25.784: AAA attr: security-group-info = f-32-00-BYOD. *Jan 2 04:33:25.784: AAA attr: security-group-info = 5-10-00-Contractors. *Jan 2 04:33:25.784: AAA attr: security-group-info = 8-10-00-Developers. *Jan 2 04:33:25.784: AAA attr: security-group-info = c-10-00-Development_Servers. *Jan 2 04:33:25.784: AAA attr: security-group-info = 4-10-00-Employees. *Jan 2 04:33:25.784: AAA attr: security-group-info = 6-10-00-Guests. *Jan 2 04:33:25.784: AAA attr: security-group-info = 3-10-00-Network_Services. *Jan 2 04:33:25.784: AAA attr: security-group-info = e-10-00-PCI_Servers. *Jan 2 04:33:25.784: AAA attr: security-group-info = a-23-00-Point_of_Sale_Systems. *Jan 2 04:33:25.784: AAA attr: security-group-info = b-10-00-Production_Servers. *Jan 2 04:33:25.793: AAA attr: security-group-info = 7-10-00-Production_Users. *Jan 2 04:33:25.793: AAA attr: security-group-info = ff-10-00-Quarantined_Systems. *Jan 2 04:33:25.793: AAA attr: security-group-info = d-10-00-Test_Servers. *Jan 2 04:33:25.793: AAA attr: security-group-info = 2-10-00-TrustSec_Devices. *Jan 2 04:33:25.793: AAA attr: security-group-info = 10-24-00-VLAN10. *Jan 2 04:33:25.793: AAA attr: security-group-info = 11-22-00-VLAN20. *Jan 2 04:33:25.793: CTS env-data: Receiving AAA attributes CTS_AAA_SGT_NAME_LIST table(0001) received in 2nd Access-Accept old name(0001), gen(19) new name(0001), gen(19) CTS_AAA_SGT_NAME_INBOUND - SGT = 0-68:unicast-unknown flag (128) sgname (Unknown) added name (0001), request (1), receive (1) cts_env_data_aaa_sgt_sgname, name = 0001, req = 1, rcv = 1 Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on CTS_AAA_SGT_NAME_INBOUND - SGT = 65535-68:unicast-default flag (128) sgname (ANY) added name (0001), request (1), receive (1) cts_env_data_aaa_sgt_sgname, name = 0001, req = 1, rcv = 1 Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on CTS_AAA_SGT_NAME_INBOUND - SGT = 9-68 flag (128) sgname (Auditors) added name (0001), request (1), receive (1) cts_env_data_aaa_sgt_sgname, name = 0001, req = 1, rcv = 1 Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on CTS_AAA_SGT_NAME_INBOUND - SGT = 15-68 flag (128) sgname (BYOD) added name (0001), request (1), receive (1) cts_env_data_aaa_sgt_sgname, name = 0001, req = 1, rcv = 1 Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on CTS_AAA_SGT_NAME_INBOUND - SGT = 5-68 flag (128) sgname (Contractors) added name (0001), request (1), receive (1) cts_env_data_aaa_sgt_sgname, name = 0001, req = 1, rcv = 1 Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on CTS_AAA_SGT_NAME_INBOUND - SGT = 8-68 flag (128) sgname (Developers) added name (0001), request (1), receive (1) cts_env_data_aaa_sgt_sgname, name = 0001, req = 1, rcv = 1 Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on CTS_AAA_SGT_NAME_INBOUND - SGT = 12-68 flag (128) sgname (Development_Servers) added name (0001), request (1), receive (1) cts_env_data_aaa_sgt_sgname, name = 0001, req = 1, rcv = 1 Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on CTS_AAA_SGT_NAME_INBOUND - SGT = 4-68 flag (128) sgname (Employees) added name (0001), request (1), receive (1) cts_env_data_aaa_sgt_sgname, na *Jan 2 04:33:25.793: cts_env_data WAITING_RESPONSE: during state env_data_waiting_rsp, got event 1(env_data_received) *Jan 2 04:33:25.793: @@@ cts_env_data WAITING_RESPONSE: env_data_waiting_rsp -> env_data_assessing *Jan 2 04:33:25.793: env_data_assessing_enter: state = ASSESSING *Jan 2 04:33:25.793: cts_aaa_is_fragmented: (CTS env-data SM)NOT-FRAG attr_q(0) *Jan 2 04:33:25.793: env_data_assessing_action: state = ASSESSING *Jan 2 04:33:25.793: cts_env_data_is_complete: FALSE, req(x1085), rec(x1487) *Jan 2 04:33:25.793: cts_env_data_is_complete: TRUE, req(x1085), rec(x1487), expect(x81), complete1(x85), complete2(xB5), complete3(x1485) *Jan 2 04:33:25.793: cts_env_data ASSESSING: during state env_data_assessing, got event 4(env_data_complete) *Jan 2 04:33:25.793: @@@ cts_env_data ASSESSING: env_data_assessing -> env_data_complete *Jan 2 04:33:25.793: env_data_complete_enter: state = COMPLETE *Jan 2 04:33:25.793: env_data_install_action: state = COMPLETE
CTS ポリシーは RADIUS メッセージの一部として押されます、従って ISE (Administration > ロギング > デバッグ ログ 設定)でおよびスイッチのデバッグの下でデバッグするために設定 されるランタイム AAA ロギング コンポーネントは CTS に関する問題を解決して十分であるはずです:
debug cts coa debug radius
どんなポリシーが- 3750X の…スイッチで一致するか Additionaly、チェック:
GALA#show cts role-based counters Role-based IPv4 counters # '-' in hardware counters field indicates sharing among cells with identical policies From To SW-Denied HW-Denied SW-Permitted HW-Permitted 10 15 5 0 0 0 * * 0 0 815 31 17 15 0 0 0 0 17 16 0 - 0 -
3850 の同じコマンドを使用 CiscobugID CSCuu32958 が原因でできません。