SXP-logmechanisme begrijpen in ISE– Catalyst Communication

Downloadopties

  • PDF     (739.0 KB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:20 juni 2025
Document-id:222201

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u de SXP-verbinding (Security Group Exchange Protocol) tussen ISE en Catalyst 9300 Switch configureert en begrijpt.

    Voorwaarden

    Vereisten

    Cisco raadt u aan kennis te hebben van de configuratie van de SXP Protocol and Identity Services Engine (ISE).

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Cisco Catalyst 9300 switch met software Cisco IOS® XE 17.6.5 en hoger
      Cisco ISE, versie 3.1 en hoger

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    SXP is het Security Group Tag (SGT) Exchange Protocol dat door TrustSec wordt gebruikt om IP naar SGT-toewijzingen naar TrustSec-apparaten te verspreiden.

    SXP is ontwikkeld om netwerken, waaronder apparaten van derden of oudere Cisco-apparaten die geen ondersteuning bieden voor SGT inline tagging, TrustSec-mogelijkheden te bieden.

    SXP is een peering-protocol; het ene apparaat kan fungeren als een luidspreker en het andere als een luisteraar:

    • De SXP-luidspreker is verantwoordelijk voor het verzenden van de IP-SGT-bindingen en de luisteraar is verantwoordelijk voor het verzamelen van deze bindingen.
    • De SXP-verbinding gebruikt TCP-poort 64999 als het onderliggende transportprotocol en MD5 voor de integriteit/authenticiteit van berichten.

    Configuratie

    Netwerkdiagram

    Connection Network Diagram

    verkeersstroom

    Pc verifieert met C9300A en ISE wijst SGT dynamisch toe via beleidssets.
    Wanneer de verificatie is geslaagd, worden bindingen gemaakt met een IP gelijk aan het Framed-IP-adres RADIUS attribuut en SGT zoals geconfigureerd in het beleid.
    De bindingen verspreiden zich in alle SXP-bindingen onder het standaarddomein.
    C9300B ontvangt de SXP-toewijzingsinformatie van ISE via het SXP-protocol.

    Switch configureren

    Configureer de switch als een SXP-listener om de IP-SGT-toewijzingen van ISE te verkrijgen.

    CTS SXP inschakelen
    CTS SXP Standaardwachtwoord Cisco
    CTS SXP Standaardbron-IP 10.127.213.27
    CTS SXP Connection Peer 10.127.197.53 Wachtwoordstandaardmodus Peer Speaker Hold-time 0 0 vrf Mgmt-vrf

    ISE configureren

    Stap 1. SXP-service inschakelen bij ISE

    Navigeer naar Beheer > Systeem > Implementatie > Bewerk de node en selecteer onder Beleidsservice SXP-service inschakelen.

    Enable SXP Service on ISE

    Stap 2. SXP-apparaten toevoegen

    Als u de SXP-listener en -luidspreker voor de bijbehorende switches wilt configureren, gaat u naar Werkcentra > Trustsec > SXP > SXP-apparaten.
    Voeg de switch toe met peer-rol als Listener en wijs deze toe aan het standaarddomein.

    Add SXP Devices

    Stap 3. SXP-instellingen

    Zorg ervoor dat straaltoewijzingen toevoegen aan de SXP IP SGT-toewijzingstabel is ingeschakeld, zodat ISE dynamische IP-SGT-toewijzingen leert via Radius-verificaties.

    SXP Settings

    Verifiëren

    Stap 1. SXP-verbinding op Switch

    C9300B#show cts sxp connections vrf Mgmt-vrf
    SXP: ingeschakeld
    Hoogste ondersteunde versie: 4
    Standaardwachtwoord: instellen
    Standaardsleutelhanger: niet ingesteld
    Standaardsleutelketennaam: niet van toepassing
    Standaardbron IP: 10.127.213.27
    Open periode voor opnieuw verbinden: 120 sec
    Reconciliatieperiode: 120 sec
    Open timer opnieuw proberen wordt niet uitgevoerd
    Verplaatsingslimiet van peer-sequentie voor export: niet ingesteld
    Verplaatsingslimiet van peer-sequentie voor importeren: niet ingesteld
    -----------------------------------
    Peer IP: 10 127 197 53
    Bron IP: 10.127.213.27
    Conn-status: op
    Conversie: 4
    Conn-mogelijkheid: IPv4-IPv6-Subnet
    Conn wachttijd: 120 seconden
    Lokale modus: SXP Listener
    Verbinding inst#: 1
    TCP conn fd: 1
    TCP-conn-wachtwoord: standaard SXP-wachtwoord
    Hold-timer wordt uitgevoerd
    Duur sinds laatste statuswijziging: 0:00:23:36 (dd:hr:mm:sec)


    Totaal aantal SXP-verbindingen = 1

    0x7F128DF555E0 VRF:Mgmt-vrf, fd: 1, peer ip: 10.127.197.53
    cdbp:0x7F128DF555E0 Mgmt-vrf <10.127.197.53, 10.127.213.27> tableid:0x1

    Stap 2. ISE SXP-verificatie

    Controleer of de SXP-status is ingeschakeld voor de Switch onder Work Centers > Trustsec > SXP > SXP Devices.

    ISE SXP Verification

    Stap 3. radiusboekhouding

    Zorg ervoor dat ISE het Framed-IP-adres RADIUS-kenmerk van Radius Accounting Packet heeft ontvangen na succesvolle verificatie.

    Radius Accounting

    Stap 4. ISE SXP-toewijzingen

    Navigeer naar Workcenters > Trustsec > SXP > Alle SXP-toewijzingen om de dynamisch aangeleerde IP-SGT-toewijzingen van de Radius-sessie te bekijken.

    ISE SXP Mappings

    Geleerd door:

    Lokaal - Statisch toegewezen IP-SGT-bindingen op ISE.
    Sessie - Dynamisch aangeleerde IP-SGT-bindingen van de Radius-sessie.

    note-icon

    Opmerking: De ISE heeft de mogelijkheid om IP-SGT-bindingen van een ander apparaat te ontvangen. Deze bindingen konden worden weergegeven als geleerd door SXP onder Alle SXP-toewijzingen.

    Stap 5. SXP-toewijzingen op Switch

    De switch leerde IP-SGT-toewijzingen van ISE via SXP.

    C9300B#show cts sxp sgt-map vrf Mgmt-vrf kort
    IP-SGT-toewijzingen als volgt:
    IPv4, SGT: <10.197.213.23, 5>
    Totaal aantal IP-SGT-toewijzingen: 2
    Conn in de sxp_bnd_exp_conn_list (totaal: 0):
    C9300B#

    C9300B#show cts role-based sgt-map vrf Mgmt-vrf all
    Informatie over actieve IPv4-SGT-bindingen

    IP-adres SGT-bron
    ============================================
    10 197 213 23 5 SXP

    Samenvatting van actieve IP-SGT-bindingen
    ============================================
    Totaal aantal SXP-bindingen = 2
    Totaal aantal actieve bindingen = 2

    Problemen oplossen

    Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

    ISE-rapport

    Met ISE kunt u ook SXP-verbindings- en verbindingsrapporten genereren, zoals in deze afbeelding wordt weergegeven.

    ISE Report

    Foutopsporing op ISE

    Verzamel de ISE-supportbundel met deze attributen die op het debug-niveau moeten worden ingesteld:

    • SXP 
    • streng binden
    • NSF
    • NSF-sessie
    • vertrouwensrelatie

    Wanneer een gebruiker wordt geverifieerd vanaf de ISE-server, wijst ISE een SGT toe in het antwoordpakket voor toegangsacceptatie. Zodra de gebruiker het IP-adres heeft ontvangen, verzendt de switch het IP-adres Framed in het boekhoudpakket Radius.

    Logboekregistratie-toepassing tonen localStore/iseLocalStore.log:

    2024-07-18 09:55:55.051 +05:30 000017592 3002 KENNISGEVING Radius-Accounting: RADIUS Accounting watchdog update, ConfigVersionId=129, IP-adres van apparaat=10.197.213.22, gebruikersnaam=cisco, NetworkDeviceName=pk, gebruikersnaam=cisco, NAS-IP-adres=10.197.213.22, NAS-poort=50124, ingelijst-IP-adres=10.197.213.23, klasse=CACS:16D5C50A00000017C425E3C6:pk3-1a/510648097/25, aangeroepen-station-ID=C4-B2-39-ED-AB-18, aanroepend-station-ID=B4-96-91-F9-56-8B, interim-status ACCT-delay-time=0, ACCT-input-octets=413, ACCT-output-octets=0, ACCT-session-id=00000007, ACCT-authentic=remote, ACCT-input-packets=4, ACCT-output-packets=0, event-timestamp=1721277745, NAS-poort-type=Ethernet, NAS-poort-id=tenGigabitEthernet1/0/24, cisco-av-pair=audit-session-id=16D5C50A00000017C425E3C6, cisco-av-pair=method=dot1x, cisco-av-pair=cts:security-group-tag=0005-00, AcsSessionID=pk3-1a/510648097/28, SelectedAccessService=Default Network Access, RequestLatency=6, Step=11004, Step=11017, Step=15049, Step=150208 Stap=11005, NetworkDeviceGroups=IPSEC#is IPSEC Device#No, NetworkDeviceGroups=Location#All Locations, NetworkDeviceGroups=Device Type#All Device Types, CPMSessionID=16D5C50A00000017C425E3C6, TotalAuthenLatency=6, ClientLatency=0, Network Device Profile=Cisco, Location=Location#All Locations, Device Type=Device Type#All Device Types, IPSEC=IPSEC#is IPSEC Device#No,

    Logboekregistratietoepassing ise-psc.log weergeven:


    2024-07-18 09:55:55,054 DEBUG [SxpSessionNotifierThread][] ise.sxp.sessionbinding.util.SxpBindingUtil -::-
    registratie van de sessiewaarden die zijn ontvangen van PortComBridge:
    Bewerkingstype ==>ADD, sessionId ==> 16D5C50A00000017C425E3C6, sessionState ==> GEACCEPTEERD, inputIp ==> 10.197.213.23, inputSgTag ==> 0005-00, nasIp ==> 10.197.213.22null, vn ==> null

    De SXP-node slaat de IP + SGT-toewijzing op in de H2DB-tabel en de latere PAN-node verzamelt de IP + SGT-toewijzing en wordt weergegeven in werkcentra > Trustsec > SXP > Alle SXP-toewijzingen.

    Logboekregistratie-toepassing tonen sxp_appserver/sxp.log:

    2024-07-18 10:01:01,312 INFO [sxpservice-http-96441] cisco.ise.sxp.rest.SxpGlueRestAPI:147 - SXP-PEERF Voeg Sessiebindingen toe batchgrootte: 1
    2024-07-18 10:01:01,317 DEBUG [SxpNotificationSerializer-Thread] cpm.sxp.engine.services.NotificationSerializerImpl:202 - verwerkingstaak [add=true, notification=RestSxpLocalBinding(tag=5, groupName=null, ipAddress=10.197.213.23/32, nasIp=10.197.213.22, sessionId=16D5C50A00000017C425E3C6, peerSequence=null sxpBindingOpType=null, sessionExpiryTimeInMillis=0, apic=false, routable=true, vns=[])

    2024-07-18 10:01:01,344 DEBUG [SxpNotificationSerializer-Thread] cisco.cpm.sxp.engine.SxpEngine:1543 - [VPN: 'default'] Nieuwe binding toevoegen: MasterBindingIdentity [ip=10.197.213.23/32, peerSequence=10.127.197.53,10.197.213.22,. tag=5, isLocal=true, sessionId=16D5C50A00000017C425E3C6, vn=DEFAULT_VN]
    2024-07-18 10:01:01,344 DEBUG [SxpNotificationSerializer-Thread] cisco.cpm.sxp.engine.SxpEngine:1581 - Toevoegen van 1 binding(en)
    2024-07-18 10:01:01,344 DEBUG [SxpNotificationSerializer-Thread] cisco.cpm.sxp.engine.MasterDBListener:251 - Taak indienen bij H2 Handler voor het toevoegen van bindingen, bindingen tellen: 1
    2024-07-18 10:01:01,344 DEBUG [H2_HANDLER] cisco.cpm.sxp.engine.MasterDBListener:256 - MasterDBListener Verwerking opToegevoegd - bindingenAantal: 1

    De SXP-node werkt de Peer-Switch bij met de nieuwste IP-SGT-bindingen.

    2024-07-18 10:01:01,346 DEBUG [pool-7-thread-4] opendaylight.sxp.core.service.UpdateExportTask:93 - SXP_PERF:SEND_UPDATE_BUFFER_SIZE=32
    2024-07-18 10:01:01,346 DEBUG [pool-7-thread-4] opendaylight.sxp.core.service.UpdateExportTask:116 - SENT_UPDATE naar [ISE:10.127.197.53][10.127.197.53:64999/10.127.213.27:31025][O|Sv4]
    2024-07-18 10:01:01,346 DEBUG [pool-7-thread-4] opendaylight.sxp.core.service.UpdateExportTask:137 - SENT_UPDATE SUCCESVOL NAAR [ISE:10.127.197.53][10.127.197.53:64999/10.127.213.27:31025][O|Sv4]

    Foutopsporing op Switch

    Schakel deze foutmeldingen op de switch in om problemen met SXP-verbindingen en -updates op te lossen.

    Foutopsporing CTS SXP Conn

    Fout bij foutopsporing CTS SXP

    Foutopsporing CTS SXP MDB

    Foutopsporingsbericht CTS SXP

    Switch ontving de SGT-IP-toewijzingen van de SXP-luidspreker ISE.

    Controleer Logboekregistratie weergeven om deze logs te bekijken:


    18 jul 04:23:04.324: CTS-SXP-MSG: sxp_recv_update_v4 <1> peer ip: 10.127.197.53
    18 jul 04:23:04.324: CTS-SXP-MDB:IMU Voeg binding toe:- <conn_index = 1> vanaf peer 10.127.197.53
    18 jul 04:23:04.324: CTS-SXP-MDB: mdb_send_msg <IMU_ADD_IPSGT_DEVID>

    18 jul 04:23:04.324: CTS-SXP-INTNL: mdb_send_msg mdb_process_add_ipsgt_devid Start
    18 jul 04:23:04.324: CTS-SXP-MDB:sxp_mdb_inform_rbm tableid:0x1 sense:1 sgt:5 peer:10.127.197.53
    Jul 18 04:23:04.324: CTS-SXP-MDB:SXP MDB: Entry added ip 10.197.213.23 sgt 0x0005
    18 jul 04:23:04.324: CTS-SXP-INTNL:mdb_send_msg mdb_process_add_ipsgt_devid Gereed

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    20-Jun-2025
    Eerste vrijgave
    1.0
    24-Jul-2024
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Praveenkumar Palanisamy
      technisch adviseur

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten