Configurar matrizes múltiplas de TrustSec em ISE 2.2

Opções de download

  • PDF     (2.1 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (2.1 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.6 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:14 de Fevereiro de 2017
ID do documento:200971

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve o uso de matrizes múltiplas de TrustSec e de matrizes de DefCon no Cisco Identity Services Engine (ISE) 2.2. Esta é uma característica nova de TrustSec introduzida em ISE 2.2 para a melhor granularidade na rede.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Conhecimento básico de componentes de Cisco TrustSec (CTS)
  • Conhecimento básico da configuração de CLI dos Catalyst Switches
  • Experiência com configuração do Identity Services Engine (ISE)

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Identity Services Engine 2.2
  • Interruptor 3850 03.07.03.E do Cisco catalyst
  • Interruptor 3750X 15.2(4)E1 do Cisco catalyst
  • Máquinas de Windows 7

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Informações de Apoio

Em ISE 2.0 há uma possibilidade para usar somente uma matriz de TrustSec da produção para todos os dispositivos de rede. Os recursos adicionados do 2.1 ISE chamaram a matriz da plataforma que pode ser usada para finalidades do teste e da aplicação. As políticas criadas na matriz da plataforma são aplicadas somente aos dispositivos de rede usados para testes. O resto dos dispositivos ainda usa a matriz da produção. Uma vez que a matriz de encenação é confirmada para trabalhar muito bem, todos os outros dispositivos podem lhe ser movidos para e transforma-se matriz nova da produção.

O ISE 2.2 vem com duas características novas de TrustSec:

  1. Matrizes múltiplas - capacidade para atribuir matrizes diferentes aos dispositivos de rede
  2. Matriz de DefCon - esta matriz é empurrada para toda a situação dos dispositivos de rede em particular, provocada pelo administrador

É possível usar a única característica da matriz ou a característica da matriz da produção e da plataforma em ISE 2.2.

Matrizes múltiplas

A fim usar matrizes múltiplas, você tem que permitir esta opção sob centros de trabalho > TrustSec > ajustes > ajustes do processo do trabalho, segundo as indicações da imagem:

Uma vez que isto é permitido, você pode criar matrizes novas e mais tarde atribuir dispositivos de rede à matriz específica.

Matrizes de DefCon

As matrizes de DefCon são matrizes especiais, prontas para ser distribuído a qualquer hora. Quando distribuídos, todos os dispositivos de rede são atribuídos automaticamente a esta matriz. O ISE ainda recorda a última matriz da produção para todos os dispositivos de rede, assim que esta mudança pode ser revertida para trás em qualquer momento quando DefCon é desativado. Você pode definir até quatro matrizes diferentes de DefCon:

  1. DefCon1 - Crítico
  2. DefCon2 - Severo
  3. DefCon3 - Substancial
  4. DefCon4 - Moderado

As matrizes de DefCon podem ser usadas em combinação com todas as três opções do processo do trabalho:

Configurar

Diagrama de Rede

Configurações

A fim usar matrizes múltiplas, você tem que permiti-lo sob ajustes do processo do trabalho. Neste exemplo, permita igualmente a matriz de DefCon.

1. Configuração do switch básico para RADIUS/CTS

radius server ISE
 address ipv4 10.48.17.161 auth-port 1812 acct-port 1813
 pac key cisco

aaa group server radius ISE
 server name ISE
 ip radius source-interface FastEthernet0

ip radius source-interface FastEthernet0 

aaa server radius dynamic-author
 client 10.48.17.161 server-key cisco

aaa new-model
aaa authentication dot1x default group ISE
aaa accounting dot1x default start-stop group ISE

A fim obter a informação CTS, você tem que criar a lista da autorização CTS:

cts authorization list LIST
aaa authorization network LIST group ISE

2. CTS PAC

Para receber CTS PAC (credenciais protegidas do acesso) do ISE, você tem que configurar as mesmas credenciais no interruptor e o ISE sob configuração avançada de TrustSec para o dispositivo de rede:

cts credentials id GALA password cisco

Uma vez que isto é configurado, um interruptor pode transferir CTS PAC. De uma parte dele (PAC-opaco) está sendo enviado como o par AV em cada requisição RADIUS ao ISE, assim que o ISE pode verificar se o PAC para este dispositivo de rede é ainda válido:

GALA#show cts pacs 
  AID: E6796CD7BBF2FA4111AD9FB4FEFB5A50
  PAC-Info:
    PAC-type = Cisco Trustsec
    AID: E6796CD7BBF2FA4111AD9FB4FEFB5A50
    I-ID: GALA
    A-ID-Info: Identity Services Engine
    Credential Lifetime: 17:05:50 CEST Apr 5 2017
  PAC-Opaque: 000200B00003000100040010E6796CD7BBF2FA4111AD9FB4FEFB5A50000600940003010012FABE10F3DCBCB152C54FA5BFE124CB00000013586BB31500093A809E11A93189C7BE6EBDFB8FDD15B9B7252EB741ADCA3B2ACC5FD923AEB7BDFE48A3A771338926A1F48141AF091469EE4AFC8C3E92A510BA214A407A33F469282A780E8F50F17A271E92D1FEE1A29ED427B985F9A0E00D6CDC934087716F4DEAF84AC11AA05F7587E898CA908463BDA9EC7E65D827
  Refresh timer is set for 11y13w

3. Configuração CTS em um interruptor.

Uma vez que o PAC é transferido, o interruptor pode pedir a informação adicional CTS (ambiente-DATA e políticas):

GALA#cts refresh environment-data

GALA#show cts environment-data 
CTS Environment Data
====================
Current state = COMPLETE
Last status = Successful
Local Device SGT:
  SGT tag = 0-06:Unknown
Server List Info:
Installed list: CTSServerList1-0001, 1 server(s):
 *Server: 10.48.17.161, port 1812, A-ID E6796CD7BBF2FA4111AD9FB4FEFB5A50
          Status = ALIVE
          auto-test = TRUE, keywrap-enable = FALSE, idle-time = 60 mins, deadtime = 20 secs
Multicast Group SGT Table:
Security Group Name Table:
    0-ce:Unknown
    2-ce:TrustSec_Devices
    3-ce:Network_Services
    4-ce:Employees
    5-ce:Contractors
    6-ce:Guests
    7-ce:Production_Users
    8-ce:Developers
    9-ce:Auditors
    10-ce:Point_of_Sale_Systems
    11-ce:Production_Servers
    12-ce:Development_Servers
    13-ce:Test_Servers
    14-ce:PCI_Servers
    15-ce:BYOD
    255-ce:Quarantined_Systems
Environment Data Lifetime = 86400 secs 
Last update time = 07:48:41 CET Mon Jan 2 2006
Env-data expires in   0:23:56:02 (dd:hr:mm:sec)
Env-data refreshes in 0:23:56:02 (dd:hr:mm:sec)
Cache data applied           = NONE
State Machine is running
GALA#cts refresh policy

GALA#show cts role-based permissions 
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE

Você pôde ver que não há nenhuma política que está sendo transferida do ISE, a razão é que a aplicação CTS não está permitida no interruptor:

cts role-based enforcement
cts role-based enforcement vlan-list 1-4094

GALA#show cts role-based permissions 
IPv4 Role-based permissions default:
	Permit IP-00
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE

Em ambas as saídas, você poderia ver valores padrão - SGTs criado à revelia (0, 2-15, 255) e política IP da licença do padrão.

4. Configuração básica CTS no ISE.

Crie etiquetas novas do grupo de segurança (SGTs) e poucas políticas no ISE a fim usá-los mais tarde. Navegue grupos ao > segurança dos centros de trabalho > do TrustSec > dos componentes, clique adicionam para criar SGT novo:

Para criar o Access Control List do grupo de segurança (SGACL) para o filtragem de tráfego, escolha o grupo de segurança ACL, segundo as indicações da imagem:

Similarmente, você pode criar o outro SGTs e SGACLs. Uma vez que SGTs e SGACLs são criados, você pode amarrá-lo junto em políticas CTS, para fazer navega assim aos centros de trabalho > ao TrustSec > à política > à política de saída > à fonte de TustSec árvore, segundo as indicações da imagem:

5. Matrizes e configuração múltiplas de DefCon no ISE.

Neste exemplo, você configurou políticas para a matriz ForGALA. A fim comutar entre matrizes, você pode usar o menu suspenso. A fim permitir matrizes múltiplas, navegue aos centros de trabalho > ao TrustSec > aos ajustes > aos ajustes do processo do trabalho e permita matrizes múltiplas das matrizes e do DefCon, segundo as indicações da imagem:

Quando esta opção é permitida, há uma matriz da produção do padrão disponível, embora você possa criar outras matrizes. Navegue aos centros de trabalho > ao TrustSec > à política > à política de saída > às matrizes de TrustSec alistam e o clique adiciona:

Há uma opção para copiar as políticas que devem se transformar parte do novo da matriz já existente. Crie duas matrizes - uma para o 3750X Switch, outro para o 3850 Switch. Uma vez que as matrizes são criadas, você tem que atribuir dispositivos de rede 2 aquelas matrizes, porque todos os dispositivos permitidos TrustSec do acesso de rede são atribuídos à revelia à matriz da produção.

Para atribuir NADs, o clique atribui a opção de NADs sob a lista das matrizes, verifica o dispositivo que você gostaria de atribuir a matriz a e para escolher a matriz criada do menu suspenso e do clique atribua, segundo as indicações da imagem:

Você pode fazer o mesmos para outros dispositivos, seguido pelo clique no botão Assign:

Uma vez que todas as mudanças são executadas, clique sobre Close&Send, que envia todas as atualizações aos dispositivos para executar um refrescamento de políticas CTS a fim transferir novos. Similarmente, crie a matriz de DefCon, que você pode copiar das matrizes existentes:

As políticas finais olham como:

6. Classificação SGT

Há duas opções para etiquetas às atribuições dos clientes (crie mapeamentos IP-SGT):

  • estático - com cts papel-baseou a etiqueta do sgt de IP_address do sgt-mapa
  • dinâmico - através da autenticação do dot1x (a etiqueta é atribuída em consequência da autenticação bem sucedida)

Use ambas as opções aqui, duas máquinas dos indicadores obtêm a etiqueta SGT através da autenticação do dot1x e as interfaces de loopback com o SGT estático etiquetam. Para distribuir o mapeamento dinâmico, crie políticas da autorização para clientes da extremidade:

Para criar o mapeamento estático IP-SGT, use os comandos (exemplo para o interruptor da GALA):

interface Loopback7
 ip address 7.7.7.7 255.255.255.0

interface Loopback2
 ip address 2.2.2.2 255.255.255.0

cts role-based sgt-map 2.2.2.2 sgt 15
cts role-based sgt-map 7.7.7.7 sgt 10

Após a autenticação bem sucedida, o cliente bate a política da autorização com a etiqueta específica SGT em um resultado:

GALA#show authentication sessions interface Gi1/0/11 details 
            Interface:  GigabitEthernet1/0/11
          MAC Address:  0050.5699.5bd9
         IPv6 Address:  Unknown
         IPv4 Address:  10.0.10.2
            User-Name:  00-50-56-99-5B-D9
               Status:  Authorized
               Domain:  DATA
       Oper host mode:  single-host
     Oper control dir:  both
      Session timeout:  N/A
      Restart timeout:  N/A
    Common Session ID:  0A30489C000000120002330D
      Acct Session ID:  0x00000008
               Handle:  0xCE000001
       Current Policy:  POLICY_Gi1/0/11

Local Policies:
	Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
      Security Policy:  Should Secure
      Security Status:  Link Unsecure

Server Policies:
            SGT Value:  16 
          
Method status list: 
       Method           State 

       mab              Authc Success

Você pode verificar todos os mapeamentos com o sgt-mapa papel-baseado cts todos IP-SGT do comando show, onde você vê a fonte de cada mapeamento (LOCAL - através da autenticação do dot1x, CLI - atribuição estática):

GALA#show cts role-based sgt-map all
Active IPv4-SGT Bindings Information

IP Address              SGT     Source
============================================
2.2.2.2                 15      CLI
7.7.7.7                 10      CLI
10.0.10.2               16      LOCAL

IP-SGT Active Bindings Summary
============================================
Total number of CLI      bindings = 2
Total number of LOCAL    bindings = 1
Total number of active   bindings = 3

7. Transferência da política CTS

Uma vez que o interruptor tem CTS PAC e dados do ambiente é transferido, pode pedir políticas CTS. O interruptor não transfere todas as políticas, mas somente umas que são exigidas - políticas para o tráfego destinado às etiquetas conhecidas SGT - em caso do interruptor da GALA, pede do ISE aquelas políticas:

  • política para o tráfego a SGT 15
  • política para o tráfego a SGT 10
  • política para o tráfego a SGT 16

A saída de todas as políticas para o interruptor da GALA:

GALA#show cts role-based permissions 
IPv4 Role-based permissions default:
	Permit IP-00
IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 15:BYOD:
	denyIP-20
IPv4 Role-based permissions from group 17:VLAN20 to group 16:VLAN10:
	denyIP-20
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE

O interruptor obtém políticas em duas maneiras:

  • O CTS refresca do interruptor próprio:
GALA#cts refresh policy
  • Impulso manual do ISE:

Verificar

Matrizes múltiplas

Os mapeamentos finais SGT-IP e políticas CTS em ambo o Switches para este exemplo:

Interruptor da GALA:

GALA#show cts role-based sgt-map all
Active IPv4-SGT Bindings Information

IP Address              SGT     Source
============================================
2.2.2.2                 15      CLI
7.7.7.7                 10      CLI
10.0.10.2               16      LOCAL

IP-SGT Active Bindings Summary
============================================
Total number of CLI      bindings = 2
Total number of LOCAL    bindings = 1
Total number of active   bindings = 3

GALA#show cts role-based permissions 
IPv4 Role-based permissions default:
    Permit IP-00
IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 15:BYOD:
    denyIP-20
IPv4 Role-based permissions from group 17:VLAN20 to group 15:BYOD:
    permitIP-20
IPv4 Role-based permissions from group 17:VLAN20 to group 16:VLAN10:
    permitIP-20
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE

GALA#show cts rbacl | s permitIP
  name   = permitIP-20
    permit ip

GALA#show cts rbacl | s deny  
  name   = denyIP-20
    deny ip

Interruptor DRARORA:

DRARORA#show cts role-based sgt-map all
Active IPv4-SGT Bindings Information

IP Address              SGT     Source
============================================
10.0.20.3               17      LOCAL
10.10.10.10             10      CLI
15.15.15.15             15      CLI

IP-SGT Active Bindings Summary
============================================
Total number of CLI      bindings = 2
Total number of LOCAL    bindings = 1
Total number of active   bindings = 3

DRARORA#show cts role-based permissions 
IPv4 Role-based permissions default:
    Permit IP-00
IPv4 Role-based permissions from group 17:VLAN20 to group 10:Point_of_Sale_Systems:
    permitIP-20
IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 15:BYOD:
    permitIP-20
IPv4 Role-based permissions from group 17:VLAN20 to group 15:BYOD:
    permitIP-20
IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 17:VLAN20:
    denyIP-20
IPv4 Role-based permissions from group 16:VLAN10 to group 17:VLAN20:
    permitIP-20
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE

Observe que as políticas para ambo o Switches são diferentes (mesmo a mesma política do 10 a 15 é diferente para o interruptor da GALA e DRARORA). Isto significa que o tráfego de SGT 10 a 15 está permitido em DRARORA, mas obstruído na GALA:

DRARORA#ping 15.15.15.15 source Loopback 10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 15.15.15.15, timeout is 2 seconds:
Packet sent with a source address of 10.10.10.10 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

GALA#ping 2.2.2.2 source Loopback 7
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds:
Packet sent with a source address of 7.7.7.7 
U.U.U
Success rate is 0 percent (0/5)

Similarmente, de um indicador, você pode alcançar outro (SGT 17 - > SGT 16):

E uma outra maneira (SGT 16 - > SGT 17):

Para confirmar que a política correta CTS era aplicada, os cts da mostra da verificação papel-basearam os contadores output:

GALA#sh cts role-based counters
Role-based IPv4 counters
# '-' in hardware counters field indicates sharing among cells with identical policies
From    To      SW-Denied       HW-Denied       SW-Permitted    HW-Permitted   

17      16      0               0               0               8              
17      15      0               -               0               -              

10      15      4               0               0               0              

*       *       0               0               127             26

A GALA tem 8 pacotes permitidos (4 do sibilo 17->16 e 4 do sibilo 16->17).

Desenvolvimento de DefCon

Se necessário, distribua a matriz de DefCon sob centros de trabalho > TrustSec > política > política de saída > matrizes de TrustSec alistam, matriz que de DefCon da verificação você gostaria de ativar sobre e clicar Activate:

Uma vez que DefCon é ativado, o menu no ISE olha como este:

E policia no Switches:

GALA#show cts role-based permissions 
IPv4 Role-based permissions default:
	Permit IP-00
IPv4 Role-based permissions from group 15:BYOD to group 10:Point_of_Sale_Systems:
	denyIP-20
IPv4 Role-based permissions from group 15:BYOD to group 16:VLAN10:
	denyIP-20
IPv4 Role-based permissions from group 17:VLAN20 to group 16:VLAN10:
	denyIP-20
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE

DRARORA#show cts role-based permissions 
IPv4 Role-based permissions default:
	Permit IP-00
IPv4 Role-based permissions from group 15:BYOD to group 10:Point_of_Sale_Systems:
	denyIP-20
IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 17:VLAN20:
	permitIP-20
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE

O tráfego de SGT 15 a SGT 10 não é permitido em ambo o Switches:

DRARORA#ping 10.10.10.10 source Loopback 15
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.10, timeout is 2 seconds:
Packet sent with a source address of 15.15.15.15 
U.U.U
Success rate is 0 percent (0/5)

GALA#ping 7.7.7.7 source Loopback 2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 7.7.7.7, timeout is 2 seconds:
Packet sent with a source address of 2.2.2.2 
U.U.U
Success rate is 0 percent (0/5)

Uma vez que o desenvolvimento é estável outra vez, você pode desativar DefCon e o Switches pede as políticas velhas. Para desativar DefCon, navegue aos centros de trabalho > ao TrustSec > à política > à política de saída > às matrizes de TrustSec alistam, verificam a matriz ativa de DefCon e clicam sobre Deactivate:

Ambo o Switches pede políticas velhas imediatamente:

DRARORA#show cts role-based permissions
IPv4 Role-based permissions default:
	Permit IP-00
IPv4 Role-based permissions from group 17:VLAN20 to group 10:Point_of_Sale_Systems:
	permitIP-20
IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 15:BYOD:
	permitIP-20
IPv4 Role-based permissions from group 17:VLAN20 to group 15:BYOD:
	permitIP-20
IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 17:VLAN20:
	denyIP-20
IPv4 Role-based permissions from group 16:VLAN10 to group 17:VLAN20:
	permitIP-20
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE

GALA#show cts role-based permissions 
IPv4 Role-based permissions default:
	Permit IP-00
IPv4 Role-based permissions from group 10:Point_of_Sale_Systems to group 15:BYOD:
	denyIP-20
IPv4 Role-based permissions from group 17:VLAN20 to group 15:BYOD:
	permitIP-20
IPv4 Role-based permissions from group 17:VLAN20 to group 16:VLAN10:
	permitIP-20
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE

Troubleshooting

Abastecimento PAC

Este é parte de abastecimento bem sucedido PAC:

GALA#debug cts provisioning packets 
GALA#debug cts provisioning events

*Jan  2 04:39:05.707: %SYS-5-CONFIG_I: Configured from console by console
*Jan  2 04:39:05.707: CTS-provisioning: Starting new control block for server 10.48.17.161:
*Jan  2 04:39:05.707: CTS-provisioning: cts_provi_init_socket: Checking for any vrf associated with 10.48.17.161
*Jan  2 04:39:05.707: CTS-provisioning: New session socket: src=10.48.72.156:65242 dst=10.48.17.161:1812
*Jan  2 04:39:05.716: CTS-provisioning: cts_provi_init_socket: Checking for any vrf associated with 10.48.17.161
*Jan  2 04:39:05.716: CTS-provisioning: cts_provi_init_socket: Adding vrf-tableid: 0 to socket
*Jan  2 04:39:05.716: CTS-provisioning: New session socket: src=10.48.72.156:65242 dst=10.48.17.161:1812
*Jan  2 04:39:05.716: CTS-provisioning: Sending EAP Response/Identity to 10.48.17.161
*Jan  2 04:39:05.716: CTS-provisioning: OUTGOING RADIUS msg to 10.48.17.161:
1E010EE0:          01010090 64BCBC01 7BEF347B
1E010EF0: 1E32C02E 8402A83D 010C4354 5320636C
1E010F00: 69656E74 04060A30 489C3D06 00000000
1E010F10: 06060000 00021F0E 30303037 37643862
1E010F20: 64663830 1A2D0000 00090127 4141413A
1E010F30: 73657276 6963652D 74797065 3D637473
1E010F40: 2D706163 2D70726F 76697369 6F6E696E
1E010F50: 674F1102 00000F01 43545320 636C6965
1E010F60: 6E745012 73EBE7F5 CDA0CF73 BFE4AFB6
1E010F70: 40D723B6 00                        
*Jan  2 04:39:06.035: CTS-provisioning: INCOMING RADIUS msg from 10.48.17.161:
1EC68460:          0B0100B5 E4C3C3C1 ED472766
1EC68470: 183F41A9 026453ED 18733634 43504D53
1EC68480: 65737369 6F6E4944 3D306133 30313161
1EC68490: 314C3767 78484956 62414976 37316D59
1EC684A0: 525F4D56 34517741 4C362F69 73517A72
1EC684B0: 7A586132 51566852 79635638 3B343353
1EC684C0: 65737369 6F6E4944 3D766368 72656E65
1EC684D0: 6B2D6973 6532322D 3432332F 32373238
1EC684E0: 32373637 362F3137 37343B4F 1C017400
1EC684F0: 1A2B2100 040010E6 796CD7BB F2FA4111
1EC68500: AD9FB4FE FB5A5050 124B76A2 E7D34684
1EC68510: DD8A1583 175C2627 9F00             
*Jan  2 04:39:06.035: CTS-provisioning: Received RADIUS challenge from 10.48.17.161.
*Jan  2 04:39:06.035: CTS-provisioning: A-ID for server 10.48.17.161 is "e6796cd7bbf2fa4111ad9fb4fefb5a50"
*Jan  2 04:39:06.043: CTS-provisioning: Received TX_PKT from EAP method
*Jan  2 04:39:06.043: CTS-provisioning: Sending EAPFAST response to 10.48.17.161
*Jan  2 04:39:06.043: CTS-provisioning: OUTGOING RADIUS msg to 10.48.17.161:
<...>
*Jan  2 04:39:09.549: CTS-provisioning: INCOMING RADIUS msg from 10.48.17.161:
1EC66C50:          0309002C 1A370BBB 58B828C3
1EC66C60: 3F0D490A 4469E8BB 4F06047B 00045012
1EC66C70: 7ECF8177 E3F4B9CB 8B0280BD 78A14CAA
1EC66C80: 4D                                 
*Jan  2 04:39:09.549: CTS-provisioning: Received RADIUS reject from 10.48.17.161.
*Jan  2 04:39:09.549: CTS-provisioning: Successfully obtained PAC for A-ID e6796cd7bbf2fa4111ad9fb4fefb5a50

A rejeição do RAIO é esperada desde que o abastecimento PAC é terminado com sucesso.

Transferência dos dados do ambiente

Isto mostra a transferência bem sucedida dos dados do ambiente do interruptor:

GALA#debug cts environment-data

GALA#
*Jan  2 04:33:24.702: CTS env-data: Force environment-data refresh
*Jan  2 04:33:24.702: CTS env-data: download transport-type = CTS_TRANSPORT_IP_UDP
*Jan  2 04:33:24.702:     cts_env_data START: during state env_data_complete, got event 0(env_data_request)

*Jan  2 04:33:24.702: cts_aaa_attr_add: AAA req(0x5F417F8)
*Jan  2 04:33:24.702:   username = #CTSREQUEST#
*Jan  2 04:33:24.702: cts_aaa_context_add_attr: (CTS env-data SM)attr(GALA)
*Jan  2 04:33:24.702:   cts-environment-data = GALA
*Jan  2 04:33:24.702: cts_aaa_attr_add: AAA req(0x5F417F8)
*Jan  2 04:33:24.702: cts_aaa_context_add_attr: (CTS env-data SM)attr(env-data-fragment)
*Jan  2 04:33:24.702:   cts-device-capability = env-data-fragment
*Jan  2 04:33:24.702: cts_aaa_req_send: AAA req(0x5F417F8) successfully sent to AAA.
*Jan  2 04:33:25.474: cts_aaa_callback: (CTS env-data SM)AAA req(0x5F417F8) response success
*Jan  2 04:33:25.474: cts_aaa_context_fragment_cleanup: (CTS env-data SM)attr(GALA)
*Jan  2 04:33:25.474: cts_aaa_context_fragment_cleanup: (CTS env-data SM)attr(env-data-fragment)

*Jan  2 04:33:25.474:   AAA attr: Unknown type (450).
*Jan  2 04:33:25.474:   AAA attr: Unknown type (274).
*Jan  2 04:33:25.474:   AAA attr: server-list = CTSServerList1-0001.
*Jan  2 04:33:25.482:   AAA attr: security-group-tag = 0000-10.
*Jan  2 04:33:25.482:   AAA attr: environment-data-expiry = 86400.
*Jan  2 04:33:25.482:   AAA attr: security-group-table = 0001-19.
*Jan  2 04:33:25.482: CTS env-data: Receiving AAA attributes
  CTS_AAA_SLIST
    slist name(CTSServerList1) received in 1st Access-Accept
    slist name(CTSServerList1) created
  CTS_AAA_SECURITY_GROUP_TAG - SGT = 0-10:unicast-unknown
  CTS_AAA_ENVIRONMENT_DATA_EXPIRY = 86400.
  CTS_AAA_SGT_NAME_LIST
    table(0001) received in 1st Access-Accept
    need a 2nd request for the SGT to SG NAME entries
    new name(0001), gen(19)
  CTS_AAA_DATA_END

*Jan  2 04:33:25.784: cts_aaa_callback: (CTS env-data SM)AAA req(0x8853E60) response success
*Jan  2 04:33:25.784: cts_aaa_context_fragment_cleanup: (CTS env-data SM)attr(0001)
*Jan  2 04:33:25.784:   AAA attr: Unknown type (450).
*Jan  2 04:33:25.784:   AAA attr: Unknown type (274).
*Jan  2 04:33:25.784:   AAA attr: security-group-table = 0001-19.
*Jan  2 04:33:25.784:   AAA attr: security-group-info = 0-10-00-Unknown.
*Jan  2 04:33:25.784:   AAA attr: security-group-info = ffff-13-00-ANY.
*Jan  2 04:33:25.784:   AAA attr: security-group-info = 9-10-00-Auditors.
*Jan  2 04:33:25.784:   AAA attr: security-group-info = f-32-00-BYOD.
*Jan  2 04:33:25.784:   AAA attr: security-group-info = 5-10-00-Contractors.
*Jan  2 04:33:25.784:   AAA attr: security-group-info = 8-10-00-Developers.
*Jan  2 04:33:25.784:   AAA attr: security-group-info = c-10-00-Development_Servers.
*Jan  2 04:33:25.784:   AAA attr: security-group-info = 4-10-00-Employees.
*Jan  2 04:33:25.784:   AAA attr: security-group-info = 6-10-00-Guests.
*Jan  2 04:33:25.784:   AAA attr: security-group-info = 3-10-00-Network_Services.
*Jan  2 04:33:25.784:   AAA attr: security-group-info = e-10-00-PCI_Servers.
*Jan  2 04:33:25.784:   AAA attr: security-group-info = a-23-00-Point_of_Sale_Systems.
*Jan  2 04:33:25.784:   AAA attr: security-group-info = b-10-00-Production_Servers.
*Jan  2 04:33:25.793:   AAA attr: security-group-info = 7-10-00-Production_Users.
*Jan  2 04:33:25.793:   AAA attr: security-group-info = ff-10-00-Quarantined_Systems.
*Jan  2 04:33:25.793:   AAA attr: security-group-info = d-10-00-Test_Servers.
*Jan  2 04:33:25.793:   AAA attr: security-group-info = 2-10-00-TrustSec_Devices.
*Jan  2 04:33:25.793:   AAA attr: security-group-info = 10-24-00-VLAN10.
*Jan  2 04:33:25.793:   AAA attr: security-group-info = 11-22-00-VLAN20.
*Jan  2 04:33:25.793:  CTS env-data: Receiving AAA attributes
  CTS_AAA_SGT_NAME_LIST
    table(0001) received in 2nd Access-Accept
    old name(0001), gen(19)
    new name(0001), gen(19)
  CTS_AAA_SGT_NAME_INBOUND - SGT = 0-68:unicast-unknown
   flag (128) sgname (Unknown) added
   name (0001), request (1), receive (1)
cts_env_data_aaa_sgt_sgname, name = 0001, req = 1, rcv = 1
   Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on
  CTS_AAA_SGT_NAME_INBOUND - SGT = 65535-68:unicast-default
   flag (128) sgname (ANY) added
   name (0001), request (1), receive (1)
cts_env_data_aaa_sgt_sgname, name = 0001, req = 1, rcv = 1
   Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on
  CTS_AAA_SGT_NAME_INBOUND - SGT = 9-68
   flag (128) sgname (Auditors) added
   name (0001), request (1), receive (1)
cts_env_data_aaa_sgt_sgname, name = 0001, req = 1, rcv = 1
   Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on
  CTS_AAA_SGT_NAME_INBOUND - SGT = 15-68
   flag (128) sgname (BYOD) added
   name (0001), request (1), receive (1)
cts_env_data_aaa_sgt_sgname, name = 0001, req = 1, rcv = 1
   Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on
  CTS_AAA_SGT_NAME_INBOUND - SGT = 5-68
   flag (128) sgname (Contractors) added
   name (0001), request (1), receive (1)
cts_env_data_aaa_sgt_sgname, name = 0001, req = 1, rcv = 1
   Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on
  CTS_AAA_SGT_NAME_INBOUND - SGT = 8-68
   flag (128) sgname (Developers) added
   name (0001), request (1), receive (1)
cts_env_data_aaa_sgt_sgname, name = 0001, req = 1, rcv = 1
   Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on
  CTS_AAA_SGT_NAME_INBOUND - SGT = 12-68
   flag (128) sgname (Development_Servers) added
   name (0001), request (1), receive (1)
cts_env_data_aaa_sgt_sgname, name = 0001, req = 1, rcv = 1
   Setting SG Name receving bit CTS_ENV_DATA_SGT_NAME_ENTRY on
  CTS_AAA_SGT_NAME_INBOUND - SGT = 4-68
   flag (128) sgname (Employees) added
   name (0001), request (1), receive (1)
cts_env_data_aaa_sgt_sgname, na
*Jan  2 04:33:25.793:     cts_env_data WAITING_RESPONSE: during state env_data_waiting_rsp, got event 1(env_data_received)
*Jan  2 04:33:25.793: @@@ cts_env_data WAITING_RESPONSE: env_data_waiting_rsp -> env_data_assessing
*Jan  2 04:33:25.793: env_data_assessing_enter: state = ASSESSING
*Jan  2 04:33:25.793: cts_aaa_is_fragmented: (CTS env-data SM)NOT-FRAG attr_q(0)
*Jan  2 04:33:25.793: env_data_assessing_action: state = ASSESSING
*Jan  2 04:33:25.793: cts_env_data_is_complete: FALSE, req(x1085), rec(x1487) 
*Jan  2 04:33:25.793: cts_env_data_is_complete: TRUE, req(x1085), rec(x1487), expect(x81), complete1(x85), complete2(xB5), complete3(x1485)
*Jan  2 04:33:25.793:     cts_env_data ASSESSING: during state env_data_assessing, got event 4(env_data_complete)
*Jan  2 04:33:25.793: @@@ cts_env_data ASSESSING: env_data_assessing -> env_data_complete
*Jan  2 04:33:25.793: env_data_complete_enter: state = COMPLETE
*Jan  2 04:33:25.793: env_data_install_action: state = COMPLETE

Políticas CTS

As políticas CTS são empurradas como parte dos mensagens de RADIUS, assim que do grupo de registro do componente Runtime-AAA para debugar no ISE (a administração > registrando > debuga a configuração do log) e debugam abaixo no interruptor devem ser suficientes para pesquisar defeitos todas as edições relativas ao CTS:

debug cts coa
debug radius

Additionaly, verificação que políticas são combinadas no interruptor - em 3750X:

GALA#show cts role-based counters    
Role-based IPv4 counters
# '-' in hardware counters field indicates sharing among cells with identical policies
From    To      SW-Denied       HW-Denied       SW-Permitted    HW-Permitted   

10      15      5               0               0               0              

*       *       0               0               815             31             

17      15      0               0               0               0              
17      16      0               -               0               -

Você não pode usar o mesmo comando em 3850, devido a CiscobugID CSCuu32958.

TAC Authored

Colaborado por engenheiros da Cisco

  • Veronika Chrenekova
    Engenheiro de TAC da Cisco

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos