Entender o mecanismo de log do SXP no ISE–Comunicação com o Catalyst

Opções de download

  • PDF     (740.8 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (621.7 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (489.4 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:20 de junho de 2025
ID do documento:222201

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como configurar e entender a conexão do Security Group Exchange Protocol (SXP) entre o ISE e o Switch Catalyst 9300.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento da configuração do protocolo SXP e do Identity Services Engine (ISE).

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • Switch Cisco Catalyst 9300 com software Cisco IOS® XE 17.6.5 e posterior
      Cisco ISE, versão 3.1 e posterior

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    O SXP é o protocolo de intercâmbio de marcação de grupo de segurança (SGT) usado pelo TrustSec para propagar mapeamentos de IP para SGT para dispositivos TrustSec.

    O SXP foi desenvolvido para permitir que as redes que incluem dispositivos de terceiros ou dispositivos Cisco legados que não suportam marcação em linha SGT tenham recursos TrustSec.

    O SXP é um protocolo de peering; um dispositivo pode atuar como Locutor e o outro como Ouvinte:

    • O alto-falante SXP é responsável por enviar as vinculações IP-SGT e o ouvinte é responsável por coletar essas vinculações.
    • A conexão SXP usa a porta TCP 64999 como o protocolo de transporte subjacente e MD5 para integridade/autenticidade da mensagem.

    Configuração

    Diagrama de Rede

    Connection Network Diagram

    Fluxo de tráfico

    O PC autentica com C9300A e o ISE atribui dinamicamente SGT através de conjuntos de políticas.
    Quando a autenticação tiver sido aprovada, as associações serão criadas com um IP igual ao atributo RADIUS do endereço IP com quadro e SGT, conforme configurado na política.
    As vinculações se propagam em todas as vinculações do SXP sob o domínio padrão.
    O C9300B recebe as informações de mapeamento do SXP do ISE através do protocolo SXP.

    Configurar o switch

    Configure o switch como um ouvinte SXP para obter os mapeamentos IP-SGT do ISE.

    cts sxp enable
    cts sxp default password cisco
    cts sxp default source-ip 10.127.213.27
    cts sxp connection peer 10.127.197.53 password default mode peer speaker hold-time 0 0 vrf Mgmt-vrf

    Configurar o ISE

    Etapa 1. Ativar o serviço SXP no ISE

    Navegue para Administração > Sistema > Implantação > Editar o nó e, em Serviço de política, selecione Habilitar serviço SXP.

    Enable SXP Service on ISE

    Etapa 2. Adicionar dispositivos SXP

    Para configurar o ouvinte e o alto-falante SXP para os switches correspondentes, navegue para Centros de trabalho > Trustsec > SXP > Dispositivos SXP.
    Adicione o switch com a função de peer como Listener e atribua a domínio padrão.

    Add SXP Devices

    Etapa 3. Configurações do SXP

    Certifique-se de que Add radius mappings into SXP IP SGT mapping table esteja marcado, para que o ISE aprenda os mapeamentos IP-SGT dinâmicos por meio de Autenticações Radius.

    SXP Settings

    Verificar

    Etapa 1. Conexão SXP no Switch

    C9300B#show cts sxp connections vrf Mgmt-vrf
    SXP: Habilitado
    Versão mais alta suportada: 4
    Senha padrão: Configurado
    Cadeia de chaves padrão: não definido
    Nome da cadeia de chaves padrão: Não aplicável
    IP de origem padrão: 10.127.213.27
    Período de abertura de nova tentativa de conexão: 120 seg
    Período de reconciliação: 120 seg
    O temporizador de reinício aberto não está em execução
    Limite de passagem de Peer-Sequence para exportação: não definido
    Limite de passagem de Peer-Sequence para importação: não definido
    ----------------------------------------------
    IP de mesmo nível: 10.127.197.53
    IP de origem: 10.127.213.27
    Status de conexão: Ligado
    Versão de conversão: 4
    Recurso de conexão: IPv4-IPv6-Sub-rede
    Tempo de espera de conexão: 120 segundos
    Modo local: Ouvinte do SXP
    Conexão inst#: 1
    conn fd de TCP: 1
    Senha TCP conn: senha padrão do SXP
    O temporizador de espera está em execução
    Duração desde a última alteração de estado: 0:00:23:36 (dd:hr:mm:seg)


    Número total de conexões SXP = 1

    0x7F128DF555E0 VRF:Mgmt-vrf, fd: 1, peer ip: 10.127.197.53
    cdbp:0x7F128DF555E0 Mgmt-vrf <10.127.197.53, 10.127.213.27> tableid:0x1

    Etapa 2. Verificação do ISE SXP

    Verifique se o status do SXP é ON para o Switch em Work Centers > Trustsec > SXP > SXP Devices.

    ISE SXP Verification

    Etapa 3. Contabilização Radius

    Certifique-se de que o ISE recebeu o atributo RADIUS do endereço IP com quadro do pacote de contabilização Radius após a autenticação bem-sucedida.

    Radius Accounting

    Etapa 4. Mapeamentos do ISE SXP

    Navegue para Workcenters > Trustsec > SXP > All SXP Mappings para exibir os mapeamentos IP-SGT aprendidos dinamicamente da sessão Radius.

    ISE SXP Mappings

    Aprendido por:

    Local - Associações IP-SGT atribuídas estaticamente no ISE.
    Sessão - Associações IP-SGT aprendidas dinamicamente da sessão Radius.

    note-icon

    Note: O ISE tem a capacidade de receber associações IP-SGT de outro dispositivo. Essas vinculações podem ser exibidas como Aprendidas pelo SXP em Todos os mapeamentos do SXP.

    Etapa 5. Mapeamentos SXP no Switch

    O switch aprendeu os mapeamentos IP-SGT do ISE através do protocolo SXP.

    C9300B#show cts sxp sgt-map vrf Mgmt-vrf brief
    Mapeamentos IP-SGT da seguinte maneira:
    IPv4,SGT: <10.197.213.23 , 5>
    Número total de mapeamentos IP-SGT: 2
    conn na sxp_bnd_exp_conn_list (total:0):
    C9300B#

    C9300B#show cts role-based sgt-map vrf Mgmt-vrf all
    Informações de Associações IPv4-SGT Ativas

    Origem SGT do Endereço IP
    ============================================
    10.197.213.23 5 SXP

    Resumo de Associações Ativas IP-SGT
    ============================================
    Número total de associações SXP = 2
    Número total de associações ativas = 2

    Troubleshooting

    Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

    Relatório do ISE

    O ISE também permite gerar relatórios de vinculação e conexão do SXP, como mostrado nesta imagem.

    ISE Report

    Depurações no ISE

    Colete o pacote de suporte do ISE com estes atributos para serem definidos no nível de depuração:

    • sxp 
    • sgtbinding
    • nsf
    • nsf-session
    • trustsec

    Quando um usuário é autenticado do servidor ISE, o ISE atribui um SGT no pacote de resposta de aceitação de acesso. Quando o usuário obtém o endereço IP, o switch envia o endereço IP com quadros no pacote de contabilização RADIUS.

    show logging application localStore/iseLocalStore.log:

    2024-07-18 09:55:55.051 +05:30 0000017592 3002 AVISO Radius-Accounting: Atualização do watchdog de Contabilidade RADIUS, ConfigVersionId=129, Endereço IP do Dispositivo=10.197.213.22, UserName=cisco, NetworkDeviceName=pk, User-Name=cisco, NAS-IP-Address=10.197.213.22, NAS-Port=50124, Framed-IP-Address=10.197.213.23, Class=CACS:16D5C50A00000017C425E3C6:pk3-1a/510648097/25, ID da Estação Chamada=C4-B2-39-ED-AB-18, ID da Estação Chamadora=B4-96-91-F9-56-8B, Tipo de Status da Conta=Atualização Provisória, Tempo de Atraso da Conta=0, Octetos de Entrada da Conta=413, Acct-Output-Octets=0, Acct-Session-Id=00000007, Acct-Authentic=Remote, Acct-Input-Packets=4, Acct-Output-Packets=0, Event-Timestamp=1721277745, NAS-Port-Type=Ethernet, NAS-Port-Id=TenGigabitEthernet1/0/24, cisco-av-pair=audit-session-id=16D5C50A00000017C425E3C6, cisco-av-pair=method=dot1x, cisco-av-pair=cts:security-group-tag=0005-00, AcsSessionID=pk3-1a/510648097/28, SeletedAccessService=Acesso Padrão à Rede, RequestLatency=6, Step=11004, Step=11017, Step=15049, Step=15008, Step=22085, Step=11005, NetworkDeviceGroups=IPSEC#Is IPSEC Device#No, NetworkDeviceGroups=Location#All Locations, NetworkDeviceGroups=Device Type#All Device Types, CPMSessionID=16D5C50A00000017C425E3C6, TotalAuthenLatency=6, ClientLatency=0, Network Device Profile=Cisco, Location=Location#Todos os Locais, Device Type=Device Type#Todos os Tipos de Dispositivo, IPSEC=IPSEC#É Dispositivo IPSEC#Não,

    show logging application ise-psc.log:


    2024-07-18 09:55:55,054 DEBUG [SxpSessionNotifierThread][] ise.sxp.sessionbinding.util.SxpBindingUtil -::::-
    registrando os valores de sessão recebidos de PrrtCpmBridge:
    Tipo de operação ==>ADD, sessionId ==> 16D5C50A00000017C425E3C6, sessionState ==> ACCEPTED, inputIp ==> 10.197.213.23, inputSgTag ==> 0005-00, nasIp ==> 10.197.213.22null, vn ==> null

    O nó SXP armazena o mapeamento IP + SGT em sua tabela H2DB e o nó PAN posterior reúne o mapeamento IP + SGT e reflete em Centros de trabalho >Trustsec > SXP > Todos os mapeamentos SXP.

    show logging application sxp_appserver/sxp.log:

    2024-07-18 10:01:01,312 INFORMAÇÕES [sxpservice-http-96441] cisco.ise.sxp.rest.SxpGlueRestAPI:147 - SXP-PEERF Adicionar Ligações de Sessão tamanho de lote: 1
    2024-07-18 10:01:01,317 DEBUG [SxpNotificationSerializer-Thread] cpm.sxp.engine.services.NotificationSerializerImpl:202 - tarefa de processamento [add=true, notification=RestSxpLocalBinding(tag=5, groupName=null, ipAddress=10.197.213.23/32, nasIp=10.197.213.22, sessionId=16D5C50A00000017C425E3C6, peerSequence=null, sxpBindingOpType=null, sessionExpiryTimeInMillis=0, apic=false, routable=true, vns=[])]

    2024-07-18 10:01:01,344 DEBUG [SxpNotificationSerializer-Thread] cisco.cpm.sxp.engine.SxpEngine:1543 - [VPN: 'default'] Adicionando nova associação: MasterBindingIdentity [ip=10.197.213.23/32, peerSequence=10.127.197.53,10.197.213.22, tag=5, isLocal=true, sessionId=16D5C50A00000017C425E3C6, vn=DEFAULT_VN]
    2024-07-18 10:01:01,344 DEBUG [SxpNotificationSerializer-Thread] cisco.cpm.sxp.engine.SxpEngine:1581 - Adicionando 1 associação(ões)
    2024-07-18 10:01:01,344 DEBUG [SxpNotificationSerializer-Thread] cisco.cpm.sxp.engine.MasterDbListener:251 - Enviando tarefa ao Manipulador H2 para adicionar associações, contagem de associações: 1
    2024-07-18 10:01:01,344 DEBUG [H2_HANDLER] cisco.cpm.sxp.engine.MasterDbListener:256 - MasterDbListener Processamento onAdded - bindingsCount: 1

    O nó SXP atualiza o Peer Switch com as ligações IP-SGT mais recentes.

    2024-07-18 10:01:01,346 DEBUG [pool-7-thread-4] opendaylight.sxp.core.service.UpdateExportTask:93 - SXP_PERF:SEND_UPDATE_BUFFER_SIZE=32
    2024-07-18 10:01:01,346 DEBUG [pool-7-thread-4] opendaylight.sxp.core.service.UpdateExportTask:116 - SENT_UPDATE para [ISE:10.127.197.53][10.127.197.53:64999/10.127.213.27:31025][O|Sv4]
    2024-07-18 10:01:01,346 DEBUG [pool-7-thread-4] opendaylight.sxp.core.service.UpdateExportTask:137 - SENT_UPDATE BEM-SUCEDIDO para [ISE:10.127.197.53][10.127.197.53:64999/10.127.213.27:31025][O|Sv4]

    Depurações no Switch

    Ative essas depurações no switch para solucionar problemas de conexões e atualizações do SXP.

    debug cts sxp conn

    debug cts sxp error

    debug cts sxp mdb

    debug cts sxp message

    O switch recebeu os mapeamentos SGT-IP do ISE do alto-falante SXP.

    Marque Show logging para exibir estes logs:


    Jul 18 04:23:04.324: CTS-SXP-MSG:sxp_recv_update_v4 <1> peer ip: 10.127.197.53
    Jul 18 04:23:04.324: CTS-SXP-MDB:IMU Adicionar associação:- <conn_index = 1> do peer 10.127.197.53
    Jul 18 04:23:04.324: CTS-SXP-MDB:mdb_send_msg <IMU_ADD_IPSGT_DEVID>

    Jul 18 04:23:04.324: CTS-SXP-INTNL:mdb_send_msg mdb_process_add_ipsgt_devid Iniciar
    Jul 18 04:23:04.324: CTS-SXP-MDB:sxp_mdb_inform_rbm tableid:0x1 sense:1 sgt:5 peer:10.127.197.53
    Jul 18 04:23:04.324: CTS-SXP-MDB:SXP MDB: Entrada adicionada ip 10.197.213.23 sgt 0x0005
    Jul 18 04:23:04.324: CTS-SXP-INTNL:mdb_send_msg mdb_process_add_ipsgt_devid Concluído

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    2.0
    20-Jun-2025
    Versão inicial
    1.0
    24-Jul-2024
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Praveenkumar Palanisamy
      Engenheiro de consultoria técnica

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos