はじめに
このドキュメントでは、ISEとCatalyst 9300スイッチ間のSecurity Group Exchange Protocol(SXP)接続を設定し、理解する方法について説明します。
前提条件
要件
SXPプロトコル(SXP)およびIdentity Services Engine(ISE)の設定に関する知識があることが推奨されます。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- ソフトウェアCisco IOS® XE 17.6.5以降が稼働するCisco Catalyst 9300スイッチ
Cisco ISE リリース 3.1 以降
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
SXPは、TrustSecがIPからSGTへのマッピングをTrustSecデバイスに伝播するために使用するセキュリティグループタグ(SGT)交換プロトコルです。
SXPは、SGTインラインタギングをサポートしないサードパーティ製デバイスやレガシーのシスコデバイスを含むネットワークでTrustSec機能を使用できるようにするために開発されました。
SXPはピアリングプロトコルです。1つのデバイスをスピーカーとして、もう1つのデバイスをリスナーとして機能させることができます。
- SXPスピーカはIP-SGTバインディングを送信し、リスナーはこれらのバインディングを収集します。
- SXP接続では、基盤となるトランスポートプロトコルとしてTCPポート64999を使用し、メッセージの整合性と信頼性のためにMD5を使用します。
コンフィギュレーション
ネットワーク図

Traffic flow
PCはC9300Aで認証され、ISEはポリシーセットを使用してSGTを動的に割り当てます。
認証に合格すると、ポリシーで設定されているFramed-IP address RADIUS属性およびSGTと同じIPを持つバインディングが作成されます。
バインディングは、デフォルトドメインの下のすべてのSXPバインディングに伝搬されます。
C9300Bは、SXPプロトコルを介してISEからSXPマッピング情報を受信します。
スイッチの設定
スイッチをSXPリスナーとして設定し、ISEからIP-SGTマッピングを取得します。
cts sxpの有効化 cts sxpデフォルトパスワードcisco cts sxp default source-ip 10.127.213.27 cts sxp connection peer 10.127.197.53 password default mode peer speaker hold-time 0 0 vrf Mgmt-vrf
|
ISE の設定
ステップ 1:ISEでのSXPサービスの有効化
ノードをAdministration > System > Deployment > Editの順に移動し、Policy Serviceの下でEnable SXP Serviceを選択します。

ステップ 2:SXPデバイスの追加
対応するスイッチのSXPリスナーおよびスピーカーを設定するには、Work Centers > Trustsec > SXP > SXP Devicesの順に移動します。
ピアロールがListenerのスイッチを追加し、default domainに割り当てます。

ステップ 3:SXPの設定
ISEがRADIUS認証を通じてダイナミックIP-SGTマッピングを学習するように、Add radius mappings into SXP IP SGT mapping tableにチェックマークが付いていることを確認します。

確認
ステップ 1:スイッチ上のSXP接続
C9300B#show cts sxp connections vrf Mgmt-vrf SXP:有効 サポートされる最新バージョン:4 デフォルトパスワード:設定 既定のキーチェーン:未設定 デフォルトのキーチェーン名:該当なし デフォルトの送信元IP:10.127.213.27 接続再試行オープン時間:120秒 調整期間:120秒 再試行オープンタイマーが実行されていません エクスポートのピアシーケンスのトラバース制限:未設定 インポートのピアシーケンスのトラバース制限:未設定 ---------------------------------------------- ピアIP:10.127.197.53 送信元IP:10.127.213.27 Conn status(接続ステータス):オン Connバージョン:4 接続機能:IPv4-IPv6-Subnet Connホールドタイム:120秒 ローカルモード:SXPリスナー 接続インスタンス#:1 TCP conn fd:1 TCP conn password:デフォルトSXPパスワード ホールドタイマーが実行中 前回の状態変更からの継続時間: 0:00:23:36 (dd:hr:mm:sec)
SXP接続の総数= 1
0x7F128DF555E0 VRF:Mgmt-vrf、fd: 1、ピアip: 10.127.197.53 cdbp:0x7F128DF555E0 Mgmt-vrf <10.127.197.53, 10.127.213.27> tableid:0x1
|
ステップ 2:ISE SXPの検証
Work Centers > Trustsec > SXP > SXP Devicesで、スイッチのSXPステータスがONになっていることを確認します。

ステップ 3:RADIUS アカウンティング
認証が成功した後、ISEがRADIUSアカウンティングパケットからFramed-IPアドレスのRADIUS属性を受信したことを確認します。

ステップ 4:ISE SXPマッピング
Workcenters > Trustsec > SXP > All SXP Mappingsの順に移動し、RADIUSセッションから動的に学習したIP-SGTマッピングを表示します。

学習者:
Local:ISEで静的に割り当てられたIP-SGTバインディング。
Session:RADIUSセッションから動的に学習されたIP-SGTバインディング。
注:ISEには、別のデバイスからIP-SGTバインディングを受信する機能があります。これらのバインディングは、「All SXP Mappings」の下に「Learned by SXP」として表示される場合があります。
ステップ 5:スイッチでのSXPマッピング
スイッチは、SXPプロトコルを介してISEからIP-SGTマッピングを学習しました。
C9300B#show cts sxp sgt-map vrf Mgmt-vrf brief IP-SGTマッピングは次のようになります。 IPv4,SGT: <10.197.213.23 , 5> IP-SGTマッピングの総数:2 sxp_bnd_exp_conn_listのconn(合計:0): C9300B番号
C9300B#show cts role-based sgt-map vrf Mgmt-vrf all アクティブなIPv4-SGTバインディング情報
IPアドレスSGTソース ============================================ 10.197.213.23 5 SXP
IP-SGTアクティブバインディングの要約 ============================================ SXPバインディングの総数= 2 アクティブなバインドの総数= 2
|
トラブルシュート
このセクションでは、設定のトラブルシューティングに役立つ情報を紹介します。
ISEレポート
ISEでは、次の図に示すように、SXPバインディングおよび接続レポートを生成することもできます。

ISE でのデバッグ
デバッグレベルで設定する次の属性を持つISEサポートバンドルを収集します。
- sxp
- sgtbinding
- nsf
- nsf-session
- TrustSecの略
ユーザがISEサーバから認証されると、ISEはAccess Accept応答パケットにSGTを割り当てます。ユーザがIPアドレスを取得すると、スイッチはRadius Accounting Packetでフレーム化されたIPアドレスを送信します。
show logging application localStore/iseLocalStore.logの出力を示します。
2024-07-18 09:55:55.051 +05:30 0000017592 3002 NOTICE Radius-Accounting: RADIUS Accounting watchdog update, ConfigVersionId=129, Device IP Address=10.197.213.22, UserName=cisco, NetworkDevice=Name pk、User-Name=cisco、NAS-IP-Address=10.197.213.22、NAS-Port=50124、Framed-IP-Address=10.197.213.23、Class=CACS:16D5C50A00000017C425E3C6:pk3-1a/510648097/25、Called-Station-ID=C4 B2-39-ED-AB-18、Calling-Station-ID=B4-96-91-F9-56-8B、Acct-Status-Type=Interim-Update、Acct-Delay-Time=0、Acct-Input-Octets=413、Acct-Output-Octets=0、Acct-Session-Id=00000007、Acct-Authentic=Remote、Acct-Input-Packets=4、 t-Output-Packets=0、Event-Timestamp=1721277745、NAS-Port-Type=Ethernet、NAS-Port-Id=TenGigabitEthernet1/0/24、cisco-av-pair=audit-session-id=16D5C50A00000017C425E3C6、cisco-av-pair=method=dot1x、cisco-av-pair=cts:security-group-tag=0005-00、AcsSessionID = 3-1a/510648097/28、SelectedAccessService=既定のネットワークアクセス、RequestLatency=6、Step=11004、Step=11017、Step=15049、Step=15008、Step=22085、Step=11005、NetworkDeviceGroups=IPSEC#Is IPSEC Device#No, NetworkDeviceGroups=Location#All locations, NetworkDeviceGroups=Device Type#All Device Types, CPMSessionID=16D5C5 A00000017C425E3C6、TotalAuthenLatency=6、ClientLatency=0、Network Device Profile=Cisco、Location=Location#All Locations、Device Type=Device Type#All Device Types、IPSEC=IPSEC#Is IPSEC Device#No,
|
show logging application ise-psc.log:
2024-07-18 09:55:55,054 DEBUG [SxpSessionNotifierThread][] ise.sxp.sessionbinding.util.SxpBindingUtil -:::- prrtCpmBridgeから受信したセッション値をロギングします。 操作タイプ==>ADD, sessionId ==> 16D5C50A00000017C425E3C6, sessionState ==> ACCEPTED, inputIp ==> 10.197.213.23, inputSgTag ==> 0005-00,nasIp ==> 10.197.213.22null, vn ==> null
|
SXPノードはIP + SGTマッピングをH2DBテーブルに保存し、後でPANノードがIP + SGTマッピングを収集して、ワークセンター>Trustsec > SXP >すべてのSXPマッピングに反映します。
show logging application sxp_appserver/sxp.logの出力を示します。
2024-07-18 10:01:01,312 INFO [sxpservice-http-96441] cisco.ise.sxp.rest.SxpGlueRestAPI:147 - SXP-PEERFセッションバインディングの追加batch-size: 1 2024-07-18 10:01:01,317 DEBUG [SxpNotificationSerializer-Thread] cpm.sxp.engine.services.NotificationSerializerImpl:202 – タスクの処理[add=true, notification=RestSxpLocalBinding(tag=5, groupName=null, ipAddress=10.197.213.23/32, nasIp=10.197.213.22, Id=16D5C50A00000017C425E3C6, peerSequence=null, sxpBindingOpType=null, sessionExpiryTimeInMillis=0, apic=false, routable=true, vns=[])]
2024-07-18 10:01:01,344 DEBUG [SxpNotificationSerializer-Thread] cisco.cpm.sxp.engine.SxpEngine:1543 - [VPN: 'default']新しいバインディングの追加:MasterBindingIdentity [ip=10.197.213.23/32, peerSequence=10.127.197.53,10.197.2 3.22、tag=5、isLocal=true、sessionId=16D5C50A00000017C425E3C6、vn=DEFAULT_VN] 2024-07-18 10:01:01,344 DEBUG [SxpNotificationSerializer-Thread] cisco.cpm.sxp.engine.SxpEngine:1581 - 1つのバインディングの追加 2024-07-18 10:01:01,344 DEBUG [SxpNotificationSerializer-Thread] cisco.cpm.sxp.engine.MasterDbListener:251 - バインディングを追加するためにH2ハンドラにタスクを送信しています。バインディング数: 1 2024-07-18 10:01:01,344 DEBUG [H2_HANDLER] cisco.cpm.sxp.engine.MasterDbListener:256 - MasterDbListener Processing onAdded - bindingsCount: 1
|
SXPノードは、最新のIP-SGTバインディングでピアスイッチを更新します。
2024-07-18 10:01:01,346 DEBUG [pool-7-thread-4] opendaylight.sxp.core.service.UpdateExportTask:93 - SXP_PERF:SEND_UPDATE_BUFFER_SIZE=32 2024-07-18 10:01:01,346 DEBUG [pool-7-thread-4] opendaylight.sxp.core.service.UpdateExportTask:116 - SENT_UPDATEから[ISE:10.127.197.53][10.127.197.53:64999/10.127.213.27:31025][O|Sv4] 2024-07-18 10:01:01,346 DEBUG [pool-7-thread-4] opendaylight.sxp.core.service.UpdateExportTask:137 - SENT_UPDATE SUCCESSFUL to [ISE:10.127.197.53][10.127.197.53:64999/10.127.213.27:31025][O|Sv4]
|
スイッチのデバッグ
SXPの接続とアップデートのトラブルシューティングを行うには、スイッチで次のデバッグを有効にします。
debug cts sxp conn
debug cts sxpエラー
デバッグcts sxp mdb
debug cts sxpメッセージ
スイッチがSXPスピーカISEからSGT-IPマッピングを受信しました。
これらのログを表示するには、Show loggingをチェックします。
7月18日04:23:04.324: CTS-SXP-MSG:sxp_recv_update_v4 <1>ピアip: 10.127.197.53 7月18日04:23:04.324: CTS-SXP-MDB:IMU追加binding:- <conn_index = 1>ピア10.127.197.53から 7月18日04:23:04.324: CTS-SXP-MDB:mdb_send_msg <IMU_ADD_IPSGT_DEVID>
7月18日04:23:04.324: CTS-SXP-INTNL:mdb_send_msg mdb_process_add_ipsgt_devid開始 7月18日04:23:04.324: CTS-SXP-MDB:sxp_mdb_inform_rbm tableid:0x1 sense:1 sgt:5 peer:10.127.197.53 7月18日04:23:04.324:CTS-SXP-MDB:SXP MDB:エントリがip 10.197.213.23 sgt 0x0005を追加 7月18日04:23:04.324:CTS-SXP-INTNL:mdb_send_msg mdb_process_add_ipsgt_devid完了
|
関連情報