Inleiding
In dit document wordt beschreven hoe u de SXP-verbinding (Security Group Exchange Protocol) tussen ISE en Catalyst 9300 Switch configureert en begrijpt.
Voorwaarden
Vereisten
Cisco raadt u aan kennis te hebben van de configuratie van de SXP Protocol and Identity Services Engine (ISE).
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Cisco Catalyst 9300 switch met software Cisco IOS® XE 17.6.5 en hoger
Cisco ISE, versie 3.1 en hoger
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
SXP is het Security Group Tag (SGT) Exchange Protocol dat door TrustSec wordt gebruikt om IP naar SGT-toewijzingen naar TrustSec-apparaten te verspreiden.
SXP is ontwikkeld om netwerken, waaronder apparaten van derden of oudere Cisco-apparaten die geen ondersteuning bieden voor SGT inline tagging, TrustSec-mogelijkheden te bieden.
SXP is een peering-protocol; het ene apparaat kan fungeren als een luidspreker en het andere als een luisteraar:
- De SXP-luidspreker is verantwoordelijk voor het verzenden van de IP-SGT-bindingen en de luisteraar is verantwoordelijk voor het verzamelen van deze bindingen.
- De SXP-verbinding gebruikt TCP-poort 64999 als het onderliggende transportprotocol en MD5 voor de integriteit/authenticiteit van berichten.
Configuratie
Netwerkdiagram

verkeersstroom
Pc verifieert met C9300A en ISE wijst SGT dynamisch toe via beleidssets.
Wanneer de verificatie is geslaagd, worden bindingen gemaakt met een IP gelijk aan het Framed-IP-adres RADIUS attribuut en SGT zoals geconfigureerd in het beleid.
De bindingen verspreiden zich in alle SXP-bindingen onder het standaarddomein.
C9300B ontvangt de SXP-toewijzingsinformatie van ISE via het SXP-protocol.
Switch configureren
Configureer de switch als een SXP-listener om de IP-SGT-toewijzingen van ISE te verkrijgen.
CTS SXP inschakelen CTS SXP Standaardwachtwoord Cisco CTS SXP Standaardbron-IP 10.127.213.27 CTS SXP Connection Peer 10.127.197.53 Wachtwoordstandaardmodus Peer Speaker Hold-time 0 0 vrf Mgmt-vrf
|
ISE configureren
Stap 1. SXP-service inschakelen bij ISE
Navigeer naar Beheer > Systeem > Implementatie > Bewerk de node en selecteer onder Beleidsservice SXP-service inschakelen.

Stap 2. SXP-apparaten toevoegen
Als u de SXP-listener en -luidspreker voor de bijbehorende switches wilt configureren, gaat u naar Werkcentra > Trustsec > SXP > SXP-apparaten.
Voeg de switch toe met peer-rol als Listener en wijs deze toe aan het standaarddomein.

Stap 3. SXP-instellingen
Zorg ervoor dat straaltoewijzingen toevoegen aan de SXP IP SGT-toewijzingstabel is ingeschakeld, zodat ISE dynamische IP-SGT-toewijzingen leert via Radius-verificaties.

Verifiëren
Stap 1. SXP-verbinding op Switch
C9300B#show cts sxp connections vrf Mgmt-vrf SXP: ingeschakeld Hoogste ondersteunde versie: 4 Standaardwachtwoord: instellen Standaardsleutelhanger: niet ingesteld Standaardsleutelketennaam: niet van toepassing Standaardbron IP: 10.127.213.27 Open periode voor opnieuw verbinden: 120 sec Reconciliatieperiode: 120 sec Open timer opnieuw proberen wordt niet uitgevoerd Verplaatsingslimiet van peer-sequentie voor export: niet ingesteld Verplaatsingslimiet van peer-sequentie voor importeren: niet ingesteld ----------------------------------- Peer IP: 10 127 197 53 Bron IP: 10.127.213.27 Conn-status: op Conversie: 4 Conn-mogelijkheid: IPv4-IPv6-Subnet Conn wachttijd: 120 seconden Lokale modus: SXP Listener Verbinding inst#: 1 TCP conn fd: 1 TCP-conn-wachtwoord: standaard SXP-wachtwoord Hold-timer wordt uitgevoerd Duur sinds laatste statuswijziging: 0:00:23:36 (dd:hr:mm:sec)
Totaal aantal SXP-verbindingen = 1
0x7F128DF555E0 VRF:Mgmt-vrf, fd: 1, peer ip: 10.127.197.53 cdbp:0x7F128DF555E0 Mgmt-vrf <10.127.197.53, 10.127.213.27> tableid:0x1
|
Stap 2. ISE SXP-verificatie
Controleer of de SXP-status is ingeschakeld voor de Switch onder Work Centers > Trustsec > SXP > SXP Devices.

Stap 3. radiusboekhouding
Zorg ervoor dat ISE het Framed-IP-adres RADIUS-kenmerk van Radius Accounting Packet heeft ontvangen na succesvolle verificatie.

Stap 4. ISE SXP-toewijzingen
Navigeer naar Workcenters > Trustsec > SXP > Alle SXP-toewijzingen om de dynamisch aangeleerde IP-SGT-toewijzingen van de Radius-sessie te bekijken.

Geleerd door:
Lokaal - Statisch toegewezen IP-SGT-bindingen op ISE.
Sessie - Dynamisch aangeleerde IP-SGT-bindingen van de Radius-sessie.
Opmerking: De ISE heeft de mogelijkheid om IP-SGT-bindingen van een ander apparaat te ontvangen. Deze bindingen konden worden weergegeven als geleerd door SXP onder Alle SXP-toewijzingen.
Stap 5. SXP-toewijzingen op Switch
De switch leerde IP-SGT-toewijzingen van ISE via SXP.
C9300B#show cts sxp sgt-map vrf Mgmt-vrf kort IP-SGT-toewijzingen als volgt: IPv4, SGT: <10.197.213.23, 5> Totaal aantal IP-SGT-toewijzingen: 2 Conn in de sxp_bnd_exp_conn_list (totaal: 0): C9300B#
C9300B#show cts role-based sgt-map vrf Mgmt-vrf all Informatie over actieve IPv4-SGT-bindingen
IP-adres SGT-bron ============================================ 10 197 213 23 5 SXP
Samenvatting van actieve IP-SGT-bindingen ============================================ Totaal aantal SXP-bindingen = 2 Totaal aantal actieve bindingen = 2
|
Problemen oplossen
Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.
ISE-rapport
Met ISE kunt u ook SXP-verbindings- en verbindingsrapporten genereren, zoals in deze afbeelding wordt weergegeven.

Foutopsporing op ISE
Verzamel de ISE-supportbundel met deze attributen die op het debug-niveau moeten worden ingesteld:
- SXP
- streng binden
- NSF
- NSF-sessie
- vertrouwensrelatie
Wanneer een gebruiker wordt geverifieerd vanaf de ISE-server, wijst ISE een SGT toe in het antwoordpakket voor toegangsacceptatie. Zodra de gebruiker het IP-adres heeft ontvangen, verzendt de switch het IP-adres Framed in het boekhoudpakket Radius.
Logboekregistratie-toepassing tonen localStore/iseLocalStore.log:
2024-07-18 09:55:55.051 +05:30 000017592 3002 KENNISGEVING Radius-Accounting: RADIUS Accounting watchdog update, ConfigVersionId=129, IP-adres van apparaat=10.197.213.22, gebruikersnaam=cisco, NetworkDeviceName=pk, gebruikersnaam=cisco, NAS-IP-adres=10.197.213.22, NAS-poort=50124, ingelijst-IP-adres=10.197.213.23, klasse=CACS:16D5C50A00000017C425E3C6:pk3-1a/510648097/25, aangeroepen-station-ID=C4-B2-39-ED-AB-18, aanroepend-station-ID=B4-96-91-F9-56-8B, interim-status ACCT-delay-time=0, ACCT-input-octets=413, ACCT-output-octets=0, ACCT-session-id=00000007, ACCT-authentic=remote, ACCT-input-packets=4, ACCT-output-packets=0, event-timestamp=1721277745, NAS-poort-type=Ethernet, NAS-poort-id=tenGigabitEthernet1/0/24, cisco-av-pair=audit-session-id=16D5C50A00000017C425E3C6, cisco-av-pair=method=dot1x, cisco-av-pair=cts:security-group-tag=0005-00, AcsSessionID=pk3-1a/510648097/28, SelectedAccessService=Default Network Access, RequestLatency=6, Step=11004, Step=11017, Step=15049, Step=150208 Stap=11005, NetworkDeviceGroups=IPSEC#is IPSEC Device#No, NetworkDeviceGroups=Location#All Locations, NetworkDeviceGroups=Device Type#All Device Types, CPMSessionID=16D5C50A00000017C425E3C6, TotalAuthenLatency=6, ClientLatency=0, Network Device Profile=Cisco, Location=Location#All Locations, Device Type=Device Type#All Device Types, IPSEC=IPSEC#is IPSEC Device#No,
|
Logboekregistratietoepassing ise-psc.log weergeven:
2024-07-18 09:55:55,054 DEBUG [SxpSessionNotifierThread][] ise.sxp.sessionbinding.util.SxpBindingUtil -::- registratie van de sessiewaarden die zijn ontvangen van PortComBridge: Bewerkingstype ==>ADD, sessionId ==> 16D5C50A00000017C425E3C6, sessionState ==> GEACCEPTEERD, inputIp ==> 10.197.213.23, inputSgTag ==> 0005-00, nasIp ==> 10.197.213.22null, vn ==> null
|
De SXP-node slaat de IP + SGT-toewijzing op in de H2DB-tabel en de latere PAN-node verzamelt de IP + SGT-toewijzing en wordt weergegeven in werkcentra > Trustsec > SXP > Alle SXP-toewijzingen.
Logboekregistratie-toepassing tonen sxp_appserver/sxp.log:
2024-07-18 10:01:01,312 INFO [sxpservice-http-96441] cisco.ise.sxp.rest.SxpGlueRestAPI:147 - SXP-PEERF Voeg Sessiebindingen toe batchgrootte: 1 2024-07-18 10:01:01,317 DEBUG [SxpNotificationSerializer-Thread] cpm.sxp.engine.services.NotificationSerializerImpl:202 - verwerkingstaak [add=true, notification=RestSxpLocalBinding(tag=5, groupName=null, ipAddress=10.197.213.23/32, nasIp=10.197.213.22, sessionId=16D5C50A00000017C425E3C6, peerSequence=null sxpBindingOpType=null, sessionExpiryTimeInMillis=0, apic=false, routable=true, vns=[])
2024-07-18 10:01:01,344 DEBUG [SxpNotificationSerializer-Thread] cisco.cpm.sxp.engine.SxpEngine:1543 - [VPN: 'default'] Nieuwe binding toevoegen: MasterBindingIdentity [ip=10.197.213.23/32, peerSequence=10.127.197.53,10.197.213.22,. tag=5, isLocal=true, sessionId=16D5C50A00000017C425E3C6, vn=DEFAULT_VN] 2024-07-18 10:01:01,344 DEBUG [SxpNotificationSerializer-Thread] cisco.cpm.sxp.engine.SxpEngine:1581 - Toevoegen van 1 binding(en) 2024-07-18 10:01:01,344 DEBUG [SxpNotificationSerializer-Thread] cisco.cpm.sxp.engine.MasterDBListener:251 - Taak indienen bij H2 Handler voor het toevoegen van bindingen, bindingen tellen: 1 2024-07-18 10:01:01,344 DEBUG [H2_HANDLER] cisco.cpm.sxp.engine.MasterDBListener:256 - MasterDBListener Verwerking opToegevoegd - bindingenAantal: 1
|
De SXP-node werkt de Peer-Switch bij met de nieuwste IP-SGT-bindingen.
2024-07-18 10:01:01,346 DEBUG [pool-7-thread-4] opendaylight.sxp.core.service.UpdateExportTask:93 - SXP_PERF:SEND_UPDATE_BUFFER_SIZE=32 2024-07-18 10:01:01,346 DEBUG [pool-7-thread-4] opendaylight.sxp.core.service.UpdateExportTask:116 - SENT_UPDATE naar [ISE:10.127.197.53][10.127.197.53:64999/10.127.213.27:31025][O|Sv4] 2024-07-18 10:01:01,346 DEBUG [pool-7-thread-4] opendaylight.sxp.core.service.UpdateExportTask:137 - SENT_UPDATE SUCCESVOL NAAR [ISE:10.127.197.53][10.127.197.53:64999/10.127.213.27:31025][O|Sv4]
|
Foutopsporing op Switch
Schakel deze foutmeldingen op de switch in om problemen met SXP-verbindingen en -updates op te lossen.
Foutopsporing CTS SXP Conn
Fout bij foutopsporing CTS SXP
Foutopsporing CTS SXP MDB
Foutopsporingsbericht CTS SXP
Switch ontving de SGT-IP-toewijzingen van de SXP-luidspreker ISE.
Controleer Logboekregistratie weergeven om deze logs te bekijken:
18 jul 04:23:04.324: CTS-SXP-MSG: sxp_recv_update_v4 <1> peer ip: 10.127.197.53 18 jul 04:23:04.324: CTS-SXP-MDB:IMU Voeg binding toe:- <conn_index = 1> vanaf peer 10.127.197.53 18 jul 04:23:04.324: CTS-SXP-MDB: mdb_send_msg <IMU_ADD_IPSGT_DEVID>
18 jul 04:23:04.324: CTS-SXP-INTNL: mdb_send_msg mdb_process_add_ipsgt_devid Start 18 jul 04:23:04.324: CTS-SXP-MDB:sxp_mdb_inform_rbm tableid:0x1 sense:1 sgt:5 peer:10.127.197.53 Jul 18 04:23:04.324: CTS-SXP-MDB:SXP MDB: Entry added ip 10.197.213.23 sgt 0x0005 18 jul 04:23:04.324: CTS-SXP-INTNL:mdb_send_msg mdb_process_add_ipsgt_devid Gereed
|
Gerelateerde informatie