简介
本文档介绍如何在ISE(身份服务引擎)和ASAv(虚拟自适应安全设备)之间配置SXP(安全组交换协议)连接。
SXP是TrustSec用于将IP到SGT的映射传播到TrustSec设备的SGT(安全组标记)交换协议。SXP的开发目的是允许网络(包括不支持SGT内联标记的第三方设备或传统思科设备)具有TrustSec功能。SXP是对等协议,一台设备将用作扬声器,另一台将用作侦听器。SXP发言人负责发送IP-SGT绑定,而侦听程序负责收集这些绑定。SXP连接使用TCP端口64999作为底层传输协议,使用MD5来实现消息完整性/真实性。
SXP已在以下链接发布为IETF草案:
https://datatracker.ietf.org/doc/draft-smith-kandula-sxp/
先决条件
要求
TrustSec兼容性列表:
http://www.cisco.com/c/en/us/solutions/enterprise-networks/trustsec/solution-overview-listing.html
使用的组件
ISE 2.3
ASAv 9.8.1
ASDM 7.8.1.150
网络图

IP 地址
ISE:14.36.143.223
ASAv:14.36.143.30
初始配置
ISE网络设备
将ASA注册为网络设备
WorkCenters > TrutSec >组件>网络设备>添加



生成带外(OOB)PAC(受保护访问凭证)并下载



ASDM AAA服务器配置
创建AAA服务器组
Configuration > Firewall > Identity by TrustSec > Server Group Setup > Manage...

AAA服务器组>添加


将服务器添加到服务器组
所选组>添加中的服务器

- 服务器名称或IP地址:<ISE IP地址>
- 服务器身份验证端口:1812
- 服务器记帐端口:1813
- 服务器密钥:Cisco0123
- 常用密码:Cisco0123

从ISE下载的导入PAC
Configuration > Firewall > Identity by TrustSec > Server Group Setup > Import PAC...



刷新环境数据
Configuration > Firewall > Identity by TrustSec > Server Group Setup > Refresh Environment Data

确认
ISE实时日志
操作> RADIUS >实时日志






ISE安全组
工作中心> TrustSec >组件>安全组

ASDM PAC
Monitoring > Properties > Identity by TrustSec > PAC

ASDM环境数据和安全组
Monitoring > Properties > Identity by TrustSec > Environment Data

ASDM SXP配置
启用SXP
Configuration > Firewall > Identity by TrustSec > Enable SGT Exchange Protocol(SXP)

设置默认SXP源IP地址和默认SXP密码
Configuration > Firewall > Identity by TrustSec > Connection Peers

添加SXP对等体
Configuration > Firewall > Identity by TrustSec > Connection Peers > Add


ISE SXP配置
全局SXP密码设置
WorkCenters > TrustSec > Settings > SXP Settings

添加SXP设备
WorkCenters > TrustSec > SXP > SXP Devices > Add

SXP验证
ISE SXP验证
WorkCenters > TrustSec > SXP > SXP Devices

ISE SXP映射
WorkCenters > TrustSec > SXP > All SXP Mappings

ASDM SXP验证
Monitoring > Properties > Identity by TrustSec > SXP Connections

ASDM获知SXP IP到SGT的映射
Monitoring > Properties > Identity by TrustSec > IP Mappings

在ISE上捕获数据包
