ISEでのSXPログメカニズムの理解(&N);Catalystコミュニケーション

ダウンロード オプション

  • PDF     (832.1 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
Updated: 2025 年 6 月 20 日
Document ID:222201

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、ISEとCatalyst 9300スイッチ間のSecurity Group Exchange Protocol(SXP)接続を設定し、理解する方法について説明します。

    前提条件

    要件

    SXPプロトコル(SXP)およびIdentity Services Engine(ISE)の設定に関する知識があることが推奨されます。

    使用するコンポーネント

    このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

    • ソフトウェアCisco IOS® XE 17.6.5以降が稼働するCisco Catalyst 9300スイッチ
      Cisco ISE リリース 3.1 以降

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    背景説明

    SXPは、TrustSecがIPからSGTへのマッピングをTrustSecデバイスに伝播するために使用するセキュリティグループタグ(SGT)交換プロトコルです。

    SXPは、SGTインラインタギングをサポートしないサードパーティ製デバイスやレガシーのシスコデバイスを含むネットワークでTrustSec機能を使用できるようにするために開発されました。

    SXPはピアリングプロトコルです。1つのデバイスをスピーカーとして、もう1つのデバイスをリスナーとして機能させることができます。

    • SXPスピーカはIP-SGTバインディングを送信し、リスナーはこれらのバインディングを収集します。
    • SXP接続では、基盤となるトランスポートプロトコルとしてTCPポート64999を使用し、メッセージの整合性と信頼性のためにMD5を使用します。

    コンフィギュレーション

    ネットワーク図

    Connection Network Diagram

    Traffic flow

    PCはC9300Aで認証され、ISEはポリシーセットを使用してSGTを動的に割り当てます。
    認証に合格すると、ポリシーで設定されているFramed-IP address RADIUS属性およびSGTと同じIPを持つバインディングが作成されます。
    バインディングは、デフォルトドメインの下のすべてのSXPバインディングに伝搬されます。
    C9300Bは、SXPプロトコルを介してISEからSXPマッピング情報を受信します。

    スイッチの設定

    スイッチをSXPリスナーとして設定し、ISEからIP-SGTマッピングを取得します。

    cts sxpの有効化
    cts sxpデフォルトパスワードcisco
    cts sxp default source-ip 10.127.213.27
    cts sxp connection peer 10.127.197.53 password default mode peer speaker hold-time 0 0 vrf Mgmt-vrf

    ISE の設定

    ステップ 1:ISEでのSXPサービスの有効化

    ノードをAdministration > System > Deployment > Editの順に移動し、Policy Serviceの下でEnable SXP Serviceを選択します。

    Enable SXP Service on ISE

    ステップ 2:SXPデバイスの追加

    対応するスイッチのSXPリスナーおよびスピーカーを設定するには、Work Centers > Trustsec > SXP > SXP Devicesの順に移動します。
    ピアロールがListenerスイッチを追加し、default domainに割り当てます。

    Add SXP Devices

    ステップ 3:SXPの設定

    ISEがRADIUS認証を通じてダイナミックIP-SGTマッピングを学習するように、Add radius mappings into SXP IP SGT mapping tableにチェックマークが付いていることを確認します。

    SXP Settings

    確認

    ステップ 1:スイッチ上のSXP接続

    C9300B#show cts sxp connections vrf Mgmt-vrf
    SXP:有効
    サポートされる最新バージョン:4
    デフォルトパスワード:設定
    既定のキーチェーン:未設定
    デフォルトのキーチェーン名:該当なし
    デフォルトの送信元IP:10.127.213.27
    接続再試行オープン時間:120秒
    調整期間:120秒
    再試行オープンタイマーが実行されていません
    エクスポートのピアシーケンスのトラバース制限:未設定
    インポートのピアシーケンスのトラバース制限:未設定
    ----------------------------------------------
    ピアIP:10.127.197.53
    送信元IP:10.127.213.27
    Conn status(接続ステータス):オン
    Connバージョン:4
    接続機能:IPv4-IPv6-Subnet
    Connホールドタイム:120秒
    ローカルモード:SXPリスナー
    接続インスタンス#:1
    TCP conn fd:1
    TCP conn password:デフォルトSXPパスワード
    ホールドタイマーが実行中
    前回の状態変更からの継続時間: 0:00:23:36 (dd:hr:mm:sec)


    SXP接続の総数= 1

    0x7F128DF555E0 VRF:Mgmt-vrf、fd: 1、ピアip: 10.127.197.53
    cdbp:0x7F128DF555E0 Mgmt-vrf <10.127.197.53, 10.127.213.27> tableid:0x1

    ステップ 2:ISE SXPの検証

    Work Centers > Trustsec > SXP > SXP Devicesで、スイッチのSXPステータスがONになっていることを確認します。

    ISE SXP Verification

    ステップ 3:RADIUS アカウンティング

    認証が成功した後、ISEがRADIUSアカウンティングパケットからFramed-IPアドレスのRADIUS属性を受信したことを確認します。

    Radius Accounting

    ステップ 4:ISE SXPマッピング

    Workcenters > Trustsec > SXP > All SXP Mappingsの順に移動し、RADIUSセッションから動的に学習したIP-SGTマッピングを表示します。

    ISE SXP Mappings

    学習者:

    Local:ISEで静的に割り当てられたIP-SGTバインディング。
    Session:RADIUSセッションから動的に学習されたIP-SGTバインディング。

    note-icon

    :ISEには、別のデバイスからIP-SGTバインディングを受信する機能があります。これらのバインディングは、「All SXP Mappings」の下に「Learned by SXP」として表示される場合があります。

    ステップ 5:スイッチでのSXPマッピング

    スイッチは、SXPプロトコルを介してISEからIP-SGTマッピングを学習しました。

    C9300B#show cts sxp sgt-map vrf Mgmt-vrf brief
    IP-SGTマッピングは次のようになります。
    IPv4,SGT: <10.197.213.23 , 5>
    IP-SGTマッピングの総数:2
    sxp_bnd_exp_conn_listのconn(合計:0):
    C9300B番号

    C9300B#show cts role-based sgt-map vrf Mgmt-vrf all
    アクティブなIPv4-SGTバインディング情報

    IPアドレスSGTソース
    ============================================
    10.197.213.23 5 SXP

    IP-SGTアクティブバインディングの要約
    ============================================
    SXPバインディングの総数= 2
    アクティブなバインドの総数= 2

    トラブルシュート

    このセクションでは、設定のトラブルシューティングに役立つ情報を紹介します。

    ISEレポート

    ISEでは、次の図に示すように、SXPバインディングおよび接続レポートを生成することもできます。

    ISE Report

    ISE でのデバッグ

    デバッグレベル設定する次の属性を持つISEサポートバンドル収集します。

    • sxp 
    • sgtbinding
    • nsf
    • nsf-session
    • TrustSecの略

    ユーザがISEサーバから認証されると、ISEはAccess Accept応答パケットにSGTを割り当てます。ユーザがIPアドレスを取得すると、スイッチはRadius Accounting Packetでフレーム化されたIPアドレスを送信します。

    show logging application localStore/iseLocalStore.logの出力を示します。

    2024-07-18 09:55:55.051 +05:30 0000017592 3002 NOTICE Radius-Accounting: RADIUS Accounting watchdog update, ConfigVersionId=129, Device IP Address=10.197.213.22, UserName=cisco, NetworkDevice=Name pk、User-Name=cisco、NAS-IP-Address=10.197.213.22、NAS-Port=50124、Framed-IP-Address=10.197.213.23、Class=CACS:16D5C50A00000017C425E3C6:pk3-1a/510648097/25、Called-Station-ID=C4 B2-39-ED-AB-18、Calling-Station-ID=B4-96-91-F9-56-8B、Acct-Status-Type=Interim-Update、Acct-Delay-Time=0、Acct-Input-Octets=413、Acct-Output-Octets=0、Acct-Session-Id=00000007、Acct-Authentic=Remote、Acct-Input-Packets=4、 t-Output-Packets=0、Event-Timestamp=1721277745、NAS-Port-Type=Ethernet、NAS-Port-Id=TenGigabitEthernet1/0/24、cisco-av-pair=audit-session-id=16D5C50A00000017C425E3C6、cisco-av-pair=method=dot1x、cisco-av-pair=cts:security-group-tag=0005-00、AcsSessionID = 3-1a/510648097/28、SelectedAccessService=既定のネットワークアクセス、RequestLatency=6、Step=11004、Step=11017、Step=15049、Step=15008、Step=22085、Step=11005、NetworkDeviceGroups=IPSEC#Is IPSEC Device#No, NetworkDeviceGroups=Location#All locations, NetworkDeviceGroups=Device Type#All Device Types, CPMSessionID=16D5C5 A00000017C425E3C6、TotalAuthenLatency=6、ClientLatency=0、Network Device Profile=Cisco、Location=Location#All Locations、Device Type=Device Type#All Device Types、IPSEC=IPSEC#Is IPSEC Device#No,

    show logging application ise-psc.log:


    2024-07-18 09:55:55,054 DEBUG [SxpSessionNotifierThread][] ise.sxp.sessionbinding.util.SxpBindingUtil -:::-
    prrtCpmBridgeから受信したセッション値をロギングします。
    操作タイプ==>ADD, sessionId ==> 16D5C50A00000017C425E3C6, sessionState ==> ACCEPTED, inputIp ==> 10.197.213.23, inputSgTag ==> 0005-00,nasIp ==> 10.197.213.22null, vn ==> null

    SXPノードはIP + SGTマッピングをH2DBテーブルに保存し、後でPANノードがIP + SGTマッピングを収集して、ワークセンター>Trustsec > SXP >すべてのSXPマッピングに反映します。

    show logging application sxp_appserver/sxp.logの出力を示します。

    2024-07-18 10:01:01,312 INFO [sxpservice-http-96441] cisco.ise.sxp.rest.SxpGlueRestAPI:147 - SXP-PEERFセッションバインディングの追加batch-size: 1
    2024-07-18 10:01:01,317 DEBUG [SxpNotificationSerializer-Thread] cpm.sxp.engine.services.NotificationSerializerImpl:202 – タスクの処理[add=true, notification=RestSxpLocalBinding(tag=5, groupName=null, ipAddress=10.197.213.23/32, nasIp=10.197.213.22, Id=16D5C50A00000017C425E3C6, peerSequence=null, sxpBindingOpType=null, sessionExpiryTimeInMillis=0, apic=false, routable=true, vns=[])]

    2024-07-18 10:01:01,344 DEBUG [SxpNotificationSerializer-Thread] cisco.cpm.sxp.engine.SxpEngine:1543 - [VPN: 'default']新しいバインディングの追加:MasterBindingIdentity [ip=10.197.213.23/32, peerSequence=10.127.197.53,10.197.2 3.22、tag=5、isLocal=true、sessionId=16D5C50A00000017C425E3C6、vn=DEFAULT_VN]
    2024-07-18 10:01:01,344 DEBUG [SxpNotificationSerializer-Thread] cisco.cpm.sxp.engine.SxpEngine:1581 - 1つのバインディングの追加
    2024-07-18 10:01:01,344 DEBUG [SxpNotificationSerializer-Thread] cisco.cpm.sxp.engine.MasterDbListener:251 - バインディングを追加するためにH2ハンドラにタスクを送信しています。バインディング数: 1
    2024-07-18 10:01:01,344 DEBUG [H2_HANDLER] cisco.cpm.sxp.engine.MasterDbListener:256 - MasterDbListener Processing onAdded - bindingsCount: 1

    SXPノードは、最新のIP-SGTバインディングでピアスイッチを更新します。

    2024-07-18 10:01:01,346 DEBUG [pool-7-thread-4] opendaylight.sxp.core.service.UpdateExportTask:93 - SXP_PERF:SEND_UPDATE_BUFFER_SIZE=32
    2024-07-18 10:01:01,346 DEBUG [pool-7-thread-4] opendaylight.sxp.core.service.UpdateExportTask:116 - SENT_UPDATEから[ISE:10.127.197.53][10.127.197.53:64999/10.127.213.27:31025][O|Sv4]
    2024-07-18 10:01:01,346 DEBUG [pool-7-thread-4] opendaylight.sxp.core.service.UpdateExportTask:137 - SENT_UPDATE SUCCESSFUL to [ISE:10.127.197.53][10.127.197.53:64999/10.127.213.27:31025][O|Sv4]

    スイッチのデバッグ

    SXPの接続とアップデートのトラブルシューティングを行うには、スイッチで次のデバッグを有効にします。

    debug cts sxp conn

    debug cts sxpエラー

    デバッグcts sxp mdb

    debug cts sxpメッセージ

    スイッチがSXPスピーカISEからSGT-IPマッピングを受信しました。

    これらのログを表示するには、Show loggingをチェックします。


    7月18日04:23:04.324: CTS-SXP-MSG:sxp_recv_update_v4 <1>ピアip: 10.127.197.53
    7月18日04:23:04.324: CTS-SXP-MDB:IMU追加binding:- <conn_index = 1>ピア10.127.197.53から
    7月18日04:23:04.324: CTS-SXP-MDB:mdb_send_msg <IMU_ADD_IPSGT_DEVID>

    7月18日04:23:04.324: CTS-SXP-INTNL:mdb_send_msg mdb_process_add_ipsgt_devid開始
    7月18日04:23:04.324: CTS-SXP-MDB:sxp_mdb_inform_rbm tableid:0x1 sense:1 sgt:5 peer:10.127.197.53
    7月18日04:23:04.324:CTS-SXP-MDB:SXP MDB:エントリがip 10.197.213.23 sgt 0x0005を追加
    7月18日04:23:04.324:CTS-SXP-INTNL:mdb_send_msg mdb_process_add_ipsgt_devid完了

    関連情報

    更新履歴

    改定 発行日 コメント
    2.0
    20-Jun-2025
    初版リリース
    1.0
    24-Jul-2024
    初版
    TAC Authored

    シスコ エンジニア提供

    • Praveenkumarパラニサミ
      テクニカルコンサルティングエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています