ISE 2.2에서 TrustSec 다중 매트릭스 구성
목차
소개
이 문서에서는 Cisco ISE(Identity Services Engine) 2.2에서 여러 TrustSec 매트릭스 및 DefCon 매트릭스를 사용하는 방법에 대해 설명합니다. 이 기능은 네트워크의 세분화를 개선하기 위해 ISE 2.2에 도입된 새로운 TrustSec 기능입니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- Cisco CTS(TrustSec) 구성 요소에 대한 기본 지식
- Catalyst 스위치의 CLI 구성에 대한 기본 지식
- ISE(Identity Services Engine) 구성 경험
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- Identity Services Engine 2.2
- Cisco Catalyst Switch 3850 03.07.03.E
- Cisco Catalyst Switch 3750X 15.2(4)E1
- Windows 7 시스템
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
배경 정보
ISE 2.0에서는 모든 네트워크 디바이스에 하나의 프로덕션 TrustSec 매트릭스만 사용할 수 있습니다.ISE 2.1에는 테스트 및 구현을 위해 사용할 수 있는 스테이징 매트릭스라는 기능이 추가되었습니다.스테이징 매트릭스에서 생성된 정책은 테스트에 사용되는 네트워크 디바이스에만 적용됩니다.나머지 디바이스는 여전히 프로덕션 매트릭스를 사용합니다.스테이징 매트릭스가 제대로 작동한 것으로 확인되면 다른 모든 디바이스는 스테이징 매트릭스로 이동할 수 있으며 새로운 프로덕션 매트릭스가 됩니다.
ISE 2.2에는 두 가지 새로운 TrustSec 기능이 있습니다.
- 다중 매트릭스 - 네트워크 디바이스에 서로 다른 매트릭스 할당 가능
- DefCon 매트릭스 - 이 매트릭스는 관리자가 트리거한 특정 상황에서 모든 네트워크 디바이스에 푸시됩니다.
ISE 2.2에서는 단일 매트릭스 기능 또는 프로덕션 및 스테이징 매트릭스 기능을 사용할 수 있습니다.
다중 행렬
여러 매트릭스를 사용하려면 이미지에 표시된 대로 Work Centers(작업 센터) > TrustSec > Settings(설정) > Work Process Settings(작업 프로세스 설정)에서 이 옵션을 활성화해야 합니다.
이 기능이 활성화되면 새 매트릭스를 만들고 나중에 네트워크 디바이스를 특정 매트릭스에 할당할 수 있습니다.
DefCon 행렬
DefCon 행렬은 언제든지 배포할 수 있는 특수 행렬입니다.구축되면 모든 네트워크 디바이스가 이 매트릭스에 자동으로 할당됩니다.ISE는 모든 네트워크 디바이스에 대한 마지막 운영 매트릭스를 계속 기억하므로 DefCon이 비활성화될 때 언제든지 이 변경 사항을 되돌릴 수 있습니다.최대 4개의 다른 DefCon 행렬을 정의할 수 있습니다.
- DefCon1 - 중대
- DefCon2 - 심각함
- DefCon3 - 상당량
- DefCon4 - 보통
DefCon 행렬은 세 가지 작업 프로세스 옵션 모두와 함께 사용할 수 있습니다.
구성
네트워크 다이어그램
구성
여러 매트릭스를 사용하려면 작업 프로세스 설정에서 해당 매트릭스를 활성화해야 합니다.이 예에서는 DefCon 매트릭스도 활성화합니다.
1. RADIUS/CTS의 기본 스위치 구성
radius server ISE address ipv4 10.48.17.161 auth-port 1812 acct-port 1813 pac key cisco aaa group server radius ISE server name ISE ip radius source-interface FastEthernet0 ip radius source-interface FastEthernet0 aaa server radius dynamic-author client 10.48.17.161 server-key cisco
aaa new-model aaa authentication dot1x default group ISE aaa accounting dot1x default start-stop group ISE
CTS 정보를 얻으려면 CTS 권한 부여 목록을 만들어야 합니다.
cts authorization list LIST aaa authorization network LIST group ISE
2. CTS PAC
ISE에서 CTS PAC(Protected Access Credentials)를 수신하려면 네트워크 디바이스에 대한 Advanced TrustSec 컨피그레이션에서 스위치 및 ISE에서 동일한 자격 증명을 구성해야 합니다.
cts credentials id GALA password cisco
이 구성이 완료되면 스위치가 CTS PAC를 다운로드할 수 있습니다.ISE에 대한 모든 RADIUS 요청에서 AV 쌍으로 PAC-Opaque(PAC-Opaque)의 한 부분이 전송되므로 ISE는 이 네트워크 디바이스에 대한 PAC가 여전히 유효한지 확인할 수 있습니다.
GALA#show cts pacs
AID: E6796CD7BBF2FA4111AD9FB4FEFB5A50
PAC-Info:
PAC-type = Cisco Trustsec
AID: E6796CD7BBF2FA4111AD9FB4FEFB5A50
I-ID: GALA
A-ID-Info: Identity Services Engine
Credential Lifetime: 17:05:50 CEST Apr 5 2017
PAC-Opaque: 000200B00003000100040010E6796CD7BBF2FA4111AD9FB4FEFB5A50000600940003010012FABE10F3DCBCB152C54FA5BFE124CB00000013586BB31500093A809E11A93189C7BE6EBDFB8FDD15B9B7252EB741ADCA3B2ACC5FD923AEB7BDFE48A3A771338926A1F48141AF091469EE4AFC8C3E92A510BA214A407A33F469282A780E8F50F17A271E92D1FEE1A29ED427B985F9A0E00D6CDC934087716F4DEAF84AC11AA05F7587E898CA908463BDA9EC7E65D827
Refresh timer is set for 11y13w
3. 스위치의 CTS 구성
PAC를 다운로드하면 스위치가 추가 CTS 정보(환경 데이터 및 정책)를 요청할 수 있습니다.
GALA#cts refresh environment-data
GALA#show cts environment-data
CTS Environment Data
====================
Current state = COMPLETE
Last status = Successful
Local Device SGT:
SGT tag = 0-06:Unknown
Server List Info:
Installed list: CTSServerList1-0001, 1 server(s):
*Server: 10.48.17.161, port 1812, A-ID E6796CD7BBF2FA4111AD9FB4FEFB5A50
Status = ALIVE
auto-test = TRUE, keywrap-enable = FALSE, idle-time = 60 mins, deadtime = 20 secs
Multicast Group SGT Table:
Security Group Name Table:
0-ce:Unknown
2-ce:TrustSec_Devices
3-ce:Network_Services
4-ce:Employees
5-ce:Contractors
6-ce:Guests
7-ce:Production_Users
8-ce:Developers
9-ce:Auditors
10-ce:Point_of_Sale_Systems
11-ce:Production_Servers
12-ce:Development_Servers
13-ce:Test_Servers
14-ce:PCI_Servers
15-ce:BYOD
255-ce:Quarantined_Systems
Environment Data Lifetime = 86400 secs
Last update time = 07:48:41 CET Mon Jan 2 2006
Env-data expires in 0:23:56:02 (dd:hr:mm:sec)
Env-data refreshes in 0:23:56:02 (dd:hr:mm:sec)
Cache data applied = NONE
State Machine is running
GALA#cts refresh policy GALA#show cts role-based permissions RBACL Monitor All for Dynamic Policies : FALSE RBACL Monitor All for Configured Policies : FALSE
ISE에서 다운로드되는 정책이 없음을 알 수 있습니다. CTS 시행이 스위치에서 활성화되지 않았기 때문입니다.
cts role-based enforcement cts role-based enforcement vlan-list 1-4094 GALA#show cts role-based permissions IPv4 Role-based permissions default: Permit IP-00 RBACL Monitor All for Dynamic Policies : FALSE RBACL Monitor All for Configured Policies : FALSE
두 출력에서 기본값(0, 2-15, 255)으로 생성된 SGT 및 기본 IP 정책 허용을 볼 수 있습니다.
4. ISE의 기본 CTS 구성
나중에 사용하기 위해 ISE에서 새 SGT(Security Group Tag) 및 소수의 정책을 생성합니다.Work Centers(작업 센터) > TrustSec > Components(구성 요소) > Security Groups(보안 그룹)로 이동하고 Add(추가)를 클릭하여 새 SGT를 생성합니다.
트래픽 필터링을 위한 SGACL(Security Group Access Control List)을 생성하려면 이미지에 표시된 대로 Security Group ACLs(보안 그룹 ACL)를 선택합니다.
마찬가지로 다른 SGT 및 SGACL을 생성할 수 있습니다.SGT와 SGACL이 생성되면 CTS 정책에서 이를 결합할 수 있습니다. 이렇게 하면 이미지에 표시된 대로 Work Centers(작업 센터) > TrustSec > TrustSec Policy(TrustSec 정책) > Egress Policy(이그레스 정책) > Source Tree(소스 트리)로 이동합니다.
5. ISE의 다중 매트릭스 및 DefCon 구성
이 예에서는 matrix ForGALA에 대한 정책을 구성했습니다.행렬 사이를 전환하려면 드롭다운 메뉴를 사용할 수 있습니다.여러 매트릭스를 활성화하려면 다음 이미지에 표시된 대로 Work Centers(작업 센터) > TrustSec > Settings(설정) > Work Process Settings(작업 프로세스 설정)로 이동하고 Multiple Matrices 및 DefCon 매트릭스를 활성화합니다.
이 옵션을 활성화하면 다른 행렬을 생성할 수도 있지만 기본 Production Matrix를 사용할 수 있습니다.Work Centers(작업 센터) > TrustSec > TrustSec Policy(TrustSec 정책) > Egress Policy(이그레스 정책) > Matrices List(매트릭스 목록)로 이동하고 Add(추가)를 클릭합니다.
기존 매트릭스에서 새 정책의 일부가 되어야 하는 정책을 복사하는 옵션이 있습니다.3750X 스위치용 1개, 3850 스위치용 1개 등 2개의 행렬을 생성합니다.매트릭스가 생성되면 기본적으로 모든 TrustSec 지원 네트워크 액세스 디바이스가 Production Matrix에 할당되므로 해당 매트릭스에 네트워크 디바이스를 할당해야 합니다.
NAD를 할당하려면 Matrices List(매트릭스 목록)에서 Assign NADs(NAD 할당) 옵션을 클릭하고 매트릭스를 할당할 디바이스를 선택한 다음 드롭다운 메뉴에서 생성된 매트릭스를 선택하고 이미지에 표시된 대로 Assign(할당)을 클릭합니다.
다른 디바이스에 대해서도 동일한 작업을 수행한 다음 Assign(할당) 버튼을 클릭합니다.
모든 변경 사항이 수행되면 Close&Send를 클릭합니다. 그러면 디바이스에 모든 업데이트를 전송하여 CTS 정책을 새로 고침하여 새 정책을 다운로드합니다.마찬가지로 기존 행렬에서 복사할 수 있는 DefCon 행렬을 생성합니다.
최종 정책은 다음과 같습니다.
6. SGT 분류
클라이언트 할당에 대한 태그(IP-SGT 매핑 생성)에는 두 가지 옵션이 있습니다.
- static - cts 역할 기반 sgt-map IP_address sgt 태그 포함
- 동적 - dot1x 인증을 통해(성공적으로 인증한 결과 태그가 할당됨)
여기서 두 옵션을 모두 사용합니다. 두 개의 Windows 시스템은 dot1x 인증을 통해 SGT 태그를 얻고 루프백 인터페이스에는 고정 SGT 태그를 사용합니다.동적 매핑을 구축하려면 최종 클라이언트에 대한 권한 부여 정책을 생성합니다.
고정 IP-SGT 매핑을 생성하려면 명령(예: GALA 스위치)을 사용합니다.
interface Loopback7 ip address 7.7.7.7 255.255.255.0 interface Loopback2 ip address 2.2.2.2 255.255.255.0 cts role-based sgt-map 2.2.2.2 sgt 15 cts role-based sgt-map 7.7.7.7 sgt 10
인증 성공 후, 클라이언트는 특정 SGT 태그로 권한 부여 정책에 도달합니다.
GALA#show authentication sessions interface Gi1/0/11 details
Interface: GigabitEthernet1/0/11
MAC Address: 0050.5699.5bd9
IPv6 Address: Unknown
IPv4 Address: 10.0.10.2
User-Name: 00-50-56-99-5B-D9
Status: Authorized
Domain: DATA
Oper host mode: single-host
Oper control dir: both
Session timeout: N/A
Restart timeout: N/A
Common Session ID: 0A30489C000000120002330D
Acct Session ID: 0x00000008
Handle: 0xCE000001
Current Policy: POLICY_Gi1/0/11
Local Policies:
Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
Security Policy: Should Secure
Security Status: Link Unsecure
Server Policies:
SGT Value: 16
Method status list:
Method State
mab Authc Success
모든 매핑(LOCAL - dot1x 인증을 통해, CLI - 정적 할당을 통해)의 소스를 볼 수 있는 show cts role-based sgt-map all 명령을 사용하여 모든 IP-SGT 매핑을 확인할 수 있습니다.
GALA#show cts role-based sgt-map all Active IPv4-SGT Bindings Information IP Address SGT Source ============================================ 2.2.2.2 15 CLI 7.7.7.7 10 CLI 10.0.10.2 16 LOCAL IP-SGT Active Bindings Summary ============================================ Total number of CLI bindings = 2 Total number of LOCAL bindings = 1 Total number of active bindings = 3
7. CTS 정책 다운로드
스위치에 CTS PAC가 있고 환경 데이터가 다운로드되면 CTS 정책을 요청할 수 있습니다.스위치는 모든 정책을 다운로드하지 않으며, 알려진 SGT 태그로 향하는 트래픽에 대한 정책(필요한 정책)만 다운로드하지 않습니다. GALA 스위치의 경우 ISE에서 이러한 정책을 요청합니다.
- SGT 15에 대한 트래픽 정책
- SGT 10에 대한 트래픽 정책
- SGT 16에 대한 트래픽 정책
GALA 스위치에 대한 모든 정책의 결과:
GALA#show cts role-based permissions IPv4 Role-based permissions default: Permit IP-00 IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 15:BYOD: denyIP-20 IPv4 Role-based permissions from group 17:VLAN20 to group 16:VLAN10: denyIP-20 RBACL Monitor All for Dynamic Policies : FALSE RBACL Monitor All for Configured Policies : FALSE
스위치는 두 가지 방법으로 정책을 얻습니다.
- 스위치 자체에서 CTS 새로 고침:
GALA#cts refresh policy
- ISE에서 수동 푸시:
다음을 확인합니다.
다중 행렬
이 예제의 두 스위치의 최종 SGT-IP 매핑 및 CTS 정책:
GALA 스위치:
GALA#show cts role-based sgt-map all Active IPv4-SGT Bindings Information IP Address SGT Source ============================================ 2.2.2.2 15 CLI 7.7.7.7 10 CLI 10.0.10.2 16 LOCAL IP-SGT Active Bindings Summary ============================================ Total number of CLI bindings = 2 Total number of LOCAL bindings = 1 Total number of active bindings = 3
GALA#show cts role-based permissions
IPv4 Role-based permissions default:
Permit IP-00
IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 15:BYOD:
denyIP-20
IPv4 Role-based permissions from group 17:VLAN20 to group 15:BYOD:
permitIP-20
IPv4 Role-based permissions from group 17:VLAN20 to group 16:VLAN10:
permitIP-20
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE
GALA#show cts rbacl | s permitIP
name = permitIP-20
permit ip
GALA#show cts rbacl | s deny
name = denyIP-20
deny ip
DRARORA 스위치:
DRARORA#show cts role-based sgt-map all Active IPv4-SGT Bindings Information IP Address SGT Source ============================================ 10.0.20.3 17 LOCAL 10.10.10.10 10 CLI 15.15.15.15 15 CLI IP-SGT Active Bindings Summary ============================================ Total number of CLI bindings = 2 Total number of LOCAL bindings = 1 Total number of active bindings = 3
DRARORA#show cts role-based permissions
IPv4 Role-based permissions default:
Permit IP-00
IPv4 Role-based permissions from group 17:VLAN20 to group 10:Point_of_Sale_Systems:
permitIP-20
IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 15:BYOD:
permitIP-20
IPv4 Role-based permissions from group 17:VLAN20 to group 15:BYOD:
permitIP-20
IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 17:VLAN20:
denyIP-20
IPv4 Role-based permissions from group 16:VLAN10 to group 17:VLAN20:
permitIP-20
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE
두 스위치의 정책이 서로 다른지 확인합니다(10에서 15까지의 동일한 정책도 GALA 및 DRARORA 스위치의 경우 다름). 이는 DRARORA에서 SGT 10에서 15까지의 트래픽이 허용되지만 GALA에서 차단됨을 의미합니다.
DRARORA#ping 15.15.15.15 source Loopback 10 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 15.15.15.15, timeout is 2 seconds: Packet sent with a source address of 10.10.10.10 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms GALA#ping 2.2.2.2 source Loopback 7 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds: Packet sent with a source address of 7.7.7.7 U.U.U Success rate is 0 percent (0/5)
마찬가지로 한 창에서 다른 창에 액세스할 수 있습니다(SGT 17 -> SGT 16).
또 다른 방법(SGT 16 -> SGT 17):
올바른 CTS 정책이 적용되었는지 확인하려면 show cts role-based counters 출력을 선택합니다.
GALA#sh cts role-based counters Role-based IPv4 counters # '-' in hardware counters field indicates sharing among cells with identical policies From To SW-Denied HW-Denied SW-Permitted HW-Permitted 17 16 0 0 0 8 17 15 0 - 0 - 10 15 4 0 0 0 * * 0 0 127 26
GALA에는 8개의 허용된 패킷(ping 17->16에서 4개, ping 16->17에서 4개)이 있습니다.
DefCon 구축
필요한 경우 Work Centers(작업 센터) > TrustSec > TrustSec Policy(TrustSec 정책) > Egress Policy(이그레스 정책) > Matrices List(매트릭스 목록) 아래에 DefCon 매트릭스를 구축하고 활성화하려는 DefCon matrix를 선택하고 Activate(활성화)를 클릭합니다.
DefCon이 활성화되면 ISE의 메뉴는 다음과 같습니다.
스위치 정책:
GALA#show cts role-based permissions IPv4 Role-based permissions default: Permit IP-00 IPv4 Role-based permissions from group 15:BYOD to group 10:Point_of_Sale_Systems: denyIP-20 IPv4 Role-based permissions from group 15:BYOD to group 16:VLAN10: denyIP-20 IPv4 Role-based permissions from group 17:VLAN20 to group 16:VLAN10: denyIP-20 RBACL Monitor All for Dynamic Policies : FALSE RBACL Monitor All for Configured Policies : FALSE DRARORA#show cts role-based permissions IPv4 Role-based permissions default: Permit IP-00 IPv4 Role-based permissions from group 15:BYOD to group 10:Point_of_Sale_Systems: denyIP-20 IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 17:VLAN20: permitIP-20 RBACL Monitor All for Dynamic Policies : FALSE RBACL Monitor All for Configured Policies : FALSE
SGT 15에서 SGT 10으로의 트래픽은 두 스위치에서 모두 허용되지 않습니다.
DRARORA#ping 10.10.10.10 source Loopback 15 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.10.10.10, timeout is 2 seconds: Packet sent with a source address of 15.15.15.15 U.U.U Success rate is 0 percent (0/5) GALA#ping 7.7.7.7 source Loopback 2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 7.7.7.7, timeout is 2 seconds: Packet sent with a source address of 2.2.2.2 U.U.U Success rate is 0 percent (0/5)
구축이 다시 안정되면 DefCon을 비활성화할 수 있으며 스위치에서 이전 정책을 요청할 수 있습니다.DefCon을 비활성화하려면 Work Centers(작업 센터) > TrustSec > TrustSec Policy(TrustSec 정책) > Egress Policy(이그레스 정책) > Matrices List(매트릭스 목록)로 이동하고 활성 DefCon 매트릭스를 선택하고 Deactivate(비활성화)를 클릭합니다.
두 스위치 모두 즉시 이전 정책을 요청합니다.
DRARORA#show cts role-based permissions IPv4 Role-based permissions default: Permit IP-00 IPv4 Role-based permissions from group 17:VLAN20 to group 10:Point_of_Sale_Systems: permitIP-20 IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 15:BYOD: permitIP-20 IPv4 Role-based permissions from group 17:VLAN20 to group 15:BYOD: permitIP-20 IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 17:VLAN20: denyIP-20 IPv4 Role-based permissions from group 16:VLAN10 to group 17:VLAN20: permitIP-20 RBACL Monitor All for Dynamic Policies : FALSE RBACL Monitor All for Configured Policies : FALSE GALA#show cts role-based permissions IPv4 Role-based permissions default: Permit IP-00 IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 15:BYOD: denyIP-20 IPv4 Role-based permissions from group 17:VLAN20 to group 15:BYOD: permitIP-20 IPv4 Role-based permissions from group 17:VLAN20 to group 16:VLAN10: permitIP-20 RBACL Monitor All for Dynamic Policies : FALSE RBACL Monitor All for Configured Policies : FALSE
문제 해결
PAC 프로비저닝
이는 성공적인 PAC 프로비저닝의 일부입니다.
GALA#debug cts provisioning packets GALA#debug cts provisioning events *Jan 2 04:39:05.707: %SYS-5-CONFIG_I: Configured from console by console *Jan 2 04:39:05.707: CTS-provisioning: Starting new control block for server 10.48.17.161: *Jan 2 04:39:05.707: CTS-provisioning: cts_provi_init_socket: Checking for any vrf associated with 10.48.17.161 *Jan 2 04:39:05.707: CTS-provisioning: New session socket: src=10.48.72.156:65242 dst=10.48.17.161:1812 *Jan 2 04:39:05.716: CTS-provisioning: cts_provi_init_socket: Checking for any vrf associated with 10.48.17.161 *Jan 2 04:39:05.716: CTS-provisioning: cts_provi_init_socket: Adding vrf-tableid: 0 to socket *Jan 2 04:39:05.716: CTS-provisioning: New session socket: src=10.48.72.156:65242 dst=10.48.17.161:1812 *Jan 2 04:39:05.716: CTS-provisioning: Sending EAP Response/Identity to 10.48.17.161 *Jan 2 04:39:05.716: CTS-provisioning: OUTGOING RADIUS msg to 10.48.17.161: 1E010EE0: 01010090 64BCBC01 7BEF347B 1E010EF0: 1E32C02E 8402A83D 010C4354 5320636C 1E010F00: 69656E74 04060A30 489C3D06 00000000 1E010F10: 06060000 00021F0E 30303037 37643862 1E010F20: 64663830 1A2D0000 00090127 4141413A 1E010F30: 73657276 6963652D 74797065 3D637473 1E010F40: 2D706163 2D70726F 76697369 6F6E696E 1E010F50: 674F1102 00000F01 43545320 636C6965 1E010F60: 6E745012 73EBE7F5 CDA0CF73 BFE4AFB6 1E010F70: 40D723B6 00 *Jan 2 04:39:06.035: CTS-provisioning: INCOMING RADIUS msg from 10.48.17.161: 1EC68460: 0B0100B5 E4C3C3C1 ED472766 1EC68470: 183F41A9 026453ED 18733634 43504D53 1EC68480: 65737369 6F6E4944 3D306133 30313161 1EC68490: 314C3767 78484956 62414976 37316D59 1EC684A0: 525F4D56 34517741 4C362F69 73517A72 1EC684B0: 7A586132 51566852 79635638 3B343353 1EC684C0: 65737369 6F6E4944 3D766368 72656E65 1EC684D0: 6B2D6973 6532322D 3432332F 32373238 1EC684E0: 32373637 362F3137 37343B4F 1C017400 1EC684F0: 1A2B2100 040010E6 796CD7BB F2FA4111 1EC68500: AD9FB4FE FB5A5050 124B76A2 E7D34684 1EC68510: DD8A1583 175C2627 9F00 *Jan 2 04:39:06.035: CTS-provisioning: Received RADIUS challenge from 10.48.17.161. *Jan 2 04:39:06.035: CTS-provisioning: A-ID for server 10.48.17.161 is "e6796cd7bbf2fa4111ad9fb4fefb5a50" *Jan 2 04:39:06.043: CTS-provisioning: Received TX_PKT from EAP method *Jan 2 04:39:06.043: CTS-provisioning: Sending EAPFAST response to 10.48.17.161 *Jan 2 04:39:06.043: CTS-provisioning: OUTGOING RADIUS msg to 10.48.17.161: <...> *Jan 2 04:39:09.549: CTS-provisioning: INCOMING RADIUS msg from 10.48.17.161: 1EC66C50: 0309002C 1A370BBB 58B828C3 1EC66C60: 3F0D490A 4469E8BB 4F06047B 00045012 1EC66C70: 7ECF8177 E3F4B9CB 8B0280BD 78A14CAA 1EC66C80: 4D *Jan 2 04:39:09.549: CTS-provisioning: Received RADIUS reject from 10.48.17.161. *Jan 2 04:39:09.549: CTS-provisioning: Successfully obtained PAC for A-ID e6796cd7bbf2fa4111ad9fb4fefb5a50
PAC 프로비저닝이 성공적으로 완료되었으므로 RADIUS 거부가 필요합니다.
환경 데이터 다운로드
스위치에서 성공적으로 다운로드한 환경 데이터를 보여줍니다.
GALA#debug cts environment-data
GALA#
*Jan 2 04:33:24.702: CTS env-data: Force environment-data refresh
*Jan 2 04:33:24.702: CTS env-data: download transport-type = CTS_TRANSPORT_IP_UDP
*Jan 2 04:33:24.702: cts_env_data START: during state env_data_complete, got event 0(env_data_request)
*Jan 2 04:33:24.702: cts_aaa_attr_add: AAA req(0x5F417F8)
*Jan 2 04:33:24.702: username = #CTSREQUEST#
*Jan 2 04:33:24.702: cts_aaa_context_add_attr: (CTS env-data SM)attr(GALA)
*Jan 2 04:33:24.702: cts-environment-data = GALA
*Jan 2 04:33:24.702: cts_aaa_attr_add: AAA req(0x5F417F8)
*Jan 2 04:33:24.702: cts_aaa_context_add_attr: (CTS env-data SM)attr(env-data-fragment)
*Jan 2 04:33:24.702: cts-device-capability = env-data-fragment
*Jan 2 04:33:24.702: cts_aaa_req_send: AAA req(0x5F417F8) successfully sent to AAA.
*Jan 2 04:33:25.474: cts_aaa_callback: (CTS env-data SM)AAA req(0x5F417F8) response success
*Jan 2 04:33:25.474: cts_aaa_context_fragment_cleanup: (CTS env-data SM)attr(GALA)
*Jan 2 04:33:25.474: cts_aaa_context_fragment_cleanup: (CTS env-data SM)attr(env-data-fragment)
*Jan 2 04:33:25.474: AAA attr: Unknown type (450).
*Jan 2 04:33:25.474: AAA attr: Unknown type (274).
*Jan 2 04:33:25.474: AAA attr: server-list = CTSServerList1-0001.
*Jan 2 04:33:25.482: AAA attr: security-group-tag = 0000-10.
*Jan 2 04:33:25.482: AAA attr: environment-data-expiry = 86400.
*Jan 2 04:33:25.482: AAA attr: security-group-table = 0001-19.
*Jan 2 04:33:25.482: CTS env-data: Receiving AAA attributes
CTS_AAA_SLIST
slist name(CTSServerList1) received in 1st Access-Accept
slist name(CTSServerList1) created
CTS_AAA_SECURITY_GROUP_TAG - SGT = 0-10:unicast-unknown
CTS_AAA_ENVIRONMENT_DATA_EXPIRY = 86400.
CTS_AAA_SGT_NAME_LIST
table(0001) received in 1st Access-Accept
need a 2nd request for the SGT to SG NAME entries
new name(0001), gen(19)
CTS_AAA_DATA_END
*Jan 2 04:33:25.784: cts_aaa_callback: (CTS env-data SM)AAA req(0x8853E60) response success
*Jan 2 04:33:25.784: cts_aaa_context_fragment_cleanup: (CTS env-data SM)attr(0001)
*Jan 2 04:33:25.784: AAA attr: Unknown type (450).
*Jan 2 04:33:25.784: AAA attr: Unknown type (274).
*Jan 2 04:33:25.784: AAA attr: security-group-table = 0001-19.
*Jan 2 04:33:25.784: AAA attr: security-group-info = 0-10-00-Unknown.
*Jan 2 04:33:25.784: AAA attr: security-group-info = ffff-13-00-ANY.
*Jan 2 04:33:25.784: AAA attr: security-group-info = 9-10-00-Auditors.
*Jan 2 04:33:25.784: AAA attr: security-group-info = f-32-00-BYOD.
*Jan 2 04:33:25.784: AAA attr: security-group-info = 5-10-00-Contractors.
*Jan 2 04:33:25.784: AAA attr: security-group-info = 8-10-00-Developers.
*Jan 2 04:33:25.784: AAA attr: security-group-info = c-10-00-Development_Servers.
*Jan 2 04:33:25.784: AAA attr: security-group-info = 4-10-00-Employees.
*Jan 2 04:33:25.784: AAA attr: security-group-info = 6-10-00-Guests.
*Jan 2 04:33:25.784: AAA attr: security-group-info = 3-10-00-Network_Services.
*Jan 2 04:33:25.784: AAA attr: security-group-info = e-10-00-PCI_Servers.
*Jan 2 04:33:25.784: AAA attr: security-group-info = a-23-00-Point_of_Sale_Systems.
*Jan 2 04:33:25.784: AAA attr: security-group-info = b-10-00-Production_Servers.
*Jan 2 04:33:25.793: AAA attr: security-group-info = 7-10-00-Production_Users.
*Jan 2 04:33:25.793: AAA attr: security-group-info = ff-10-00-Quarantined_Systems.
*Jan 2 04:33:25.793: AAA attr: security-group-info = d-10-00-Test_Servers.
*Jan 2 04:33:25.793: AAA attr: security-group-info = 2-10-00-TrustSec_Devices.
*Jan 2 04:33:25.793: AAA attr: security-group-info = 10-24-00-VLAN10.
*Jan 2 04:33:25.793: AAA attr: security-group-info = 11-22-00-VLAN20.
*Jan 2 04:33:25.793: CTS env-data: Receiving AAA attributes
CTS_AAA_SGT_NAME_LIST
table(0001) received in 2nd Access-Accept
old name(0001), gen(19)
new name(0001), gen(19)
CTS_AAA_SGT_NAME_INBOUND - SGT = 0-68:unicast-unknown
flag (128) sgname (Unknown) added
name (0001), request (1), receive (1)
cts_env_data_aaa_sgt_sgname, name = 0001, req = 1, rcv = 1
Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on
CTS_AAA_SGT_NAME_INBOUND - SGT = 65535-68:unicast-default
flag (128) sgname (ANY) added
name (0001), request (1), receive (1)
cts_env_data_aaa_sgt_sgname, name = 0001, req = 1, rcv = 1
Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on
CTS_AAA_SGT_NAME_INBOUND - SGT = 9-68
flag (128) sgname (Auditors) added
name (0001), request (1), receive (1)
cts_env_data_aaa_sgt_sgname, name = 0001, req = 1, rcv = 1
Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on
CTS_AAA_SGT_NAME_INBOUND - SGT = 15-68
flag (128) sgname (BYOD) added
name (0001), request (1), receive (1)
cts_env_data_aaa_sgt_sgname, name = 0001, req = 1, rcv = 1
Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on
CTS_AAA_SGT_NAME_INBOUND - SGT = 5-68
flag (128) sgname (Contractors) added
name (0001), request (1), receive (1)
cts_env_data_aaa_sgt_sgname, name = 0001, req = 1, rcv = 1
Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on
CTS_AAA_SGT_NAME_INBOUND - SGT = 8-68
flag (128) sgname (Developers) added
name (0001), request (1), receive (1)
cts_env_data_aaa_sgt_sgname, name = 0001, req = 1, rcv = 1
Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on
CTS_AAA_SGT_NAME_INBOUND - SGT = 12-68
flag (128) sgname (Development_Servers) added
name (0001), request (1), receive (1)
cts_env_data_aaa_sgt_sgname, name = 0001, req = 1, rcv = 1
Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on
CTS_AAA_SGT_NAME_INBOUND - SGT = 4-68
flag (128) sgname (Employees) added
name (0001), request (1), receive (1)
cts_env_data_aaa_sgt_sgname, na
*Jan 2 04:33:25.793: cts_env_data WAITING_RESPONSE: during state env_data_waiting_rsp, got event 1(env_data_received)
*Jan 2 04:33:25.793: @@@ cts_env_data WAITING_RESPONSE: env_data_waiting_rsp -> env_data_assessing
*Jan 2 04:33:25.793: env_data_assessing_enter: state = ASSESSING
*Jan 2 04:33:25.793: cts_aaa_is_fragmented: (CTS env-data SM)NOT-FRAG attr_q(0)
*Jan 2 04:33:25.793: env_data_assessing_action: state = ASSESSING
*Jan 2 04:33:25.793: cts_env_data_is_complete: FALSE, req(x1085), rec(x1487)
*Jan 2 04:33:25.793: cts_env_data_is_complete: TRUE, req(x1085), rec(x1487), expect(x81), complete1(x85), complete2(xB5), complete3(x1485)
*Jan 2 04:33:25.793: cts_env_data ASSESSING: during state env_data_assessing, got event 4(env_data_complete)
*Jan 2 04:33:25.793: @@@ cts_env_data ASSESSING: env_data_assessing -> env_data_complete
*Jan 2 04:33:25.793: env_data_complete_enter: state = COMPLETE
*Jan 2 04:33:25.793: env_data_install_action: state = COMPLETE
CTS 정책
CTS 정책은 RADIUS 메시지의 일부로 푸시되므로 ISE(Administration > Logging > Debug Log Configuration)에서 디버깅하도록 런타임 AAA 로깅 구성 요소와 스위치의 하위 디버그이면 CTS와 관련된 모든 문제를 해결할 수 있습니다.
debug cts coa debug radius
또한 3750X에서 스위치에서 어떤 정책이 일치하는지 확인합니다.
GALA#show cts role-based counters Role-based IPv4 counters # '-' in hardware counters field indicates sharing among cells with identical policies From To SW-Denied HW-Denied SW-Permitted HW-Permitted 10 15 5 0 0 0 * * 0 0 815 31 17 15 0 0 0 0 17 16 0 - 0 -
CiscoBugID CSCuu32958로 인해 3850에서 동일한 명령을 사용할 수 없습니다.
피드백