了解ISE中的SXP日志机制–Catalyst通信

下载选项

PDF (850.4 KB)
在各种设备上使用 Adobe Reader 查看

已更新: 2025 年 6 月 20 日

文档 ID:222201

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍如何配置和了解ISE和Catalyst 9300交换机之间的安全组交换协议(SXP)连接。

先决条件

要求

思科建议您了解SXP协议和身份服务引擎(ISE)配置。

使用的组件

本文档中的信息基于以下软件和硬件版本：

Cisco Catalyst 9300交换机，带Cisco IOS® XE 17.6.5及更高版本
思科ISE版本3.1及更高版本

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

SXP是TrustSec用来将IP到SGT的映射传播到TrustSec设备的安全组标记(SGT)交换协议。

开发SXP是为了使包括第三方设备或不支持SGT内联标记的旧式Cisco设备在内的网络具有TrustSec功能。

SXP是一种对等协议；一台设备可以充当发言人，另一台设备可以充当收听者：

SXP发言人负责发送IP-SGT绑定，而侦听程序负责收集这些绑定。
SXP连接使用TCP端口64999作为底层传输协议，使用MD5实现消息完整性/真实性。

配置

网络图

Connection Network Diagram

流量传输

PC使用C9300A进行身份验证，ISE通过策略集动态分配SGT。
通过身份验证后，系统会根据策略中的配置，使用等于Framed-IP address RADIUS属性和SGT的IP创建绑定。
绑定在默认域下的所有SXP绑定中传播。
C9300B通过SXP协议从ISE接收SXP映射信息。

配置交换机

将交换机配置为SXP侦听程序，以从ISE获取IP-SGT映射。

cts sxp enable
cts sxp default password cisco
cts sxp default source-ip 10.127.213.27
cts sxp connection peer 10.127.197.53 password default mode peer speaker hold-time 0 vrf Mgmt-vrf

配置ISE

步骤1.在ISE上启用SXP服务

导航到Administration > System > Deployment > Edit节点，并在Policy Service下，选择Enable SXP Service。

Enable SXP Service on ISE

步骤2.添加SXP设备

要配置相应交换机的SXP侦听器和扬声器，请导航到工作中心> Trustsec > SXP > SXP设备。
将具有对等角色的交换机添加为监听程序，并将其分配到默认域。

Add SXP Devices

步骤3. SXP设置

确保选中Add radius mappings into SXP IP SGT mapping table，以便ISE通过Radius Authentications了解动态IP-SGT映射。

SXP Settings

验证

步骤1.交换机上的SXP连接

C9300B#show cts sxp connections vrf Mgmt-vrf
SXP:启用
支持的最高版本：4
默认密码：设置
默认密钥链：未设置
默认密钥链名称：不能应用
默认源IP:10.127.213.27
连接重试打开时间：120秒
对帐期间：120秒
重试打开计时器未运行
用于导出的对等序列遍历限制：未设置
导入的对等序列遍历限制：未设置
----------------------------------------------
对等IP:10.127.197.53
源 IP：10.127.213.27
连接状态：开启
Conn版本：4
连接功能：IPv4-IPv6 — 子网
Conn保持时间：120 秒
本地模式：SXP监听程序
Connection inst# :1
TCP连接fd :1
TCP连接密码：默认SXP密码
保持计时器正在运行
自上次状态更改以来的持续时间：0:00:23:36(dd:hr:mm:sec)

SXP连接总数= 1

0x7F128DF555E0 VRF:Mgmt-vrf，fd:1，对等ip:10.127.197.53
cdbp:0x7F128DF555E0 Mgmt-vrf <10.127.197.53, 10.127.213.27> tableid:0x1

步骤2. ISE SXP验证

在Work Centers > Trustsec > SXP > SXP Devices下，验证交换机的SXP状态为ON。

ISE SXP Verification

步骤3. Radius记帐

确保ISE在身份验证成功后从Radius记帐数据包收到Framed-IP address RADIUS属性。

Radius Accounting

步骤4. ISE SXP映射

导航到Workcenters > Trustsec > SXP > All SXP Mappings以查看从Radius会话动态获取的IP-SGT映射。

ISE SXP Mappings

学习者：

本地 — ISE上静态分配的IP-SGT绑定。
会话 — 从Radius会话动态获取的IP-SGT绑定。

注意：ISE能够接收来自其他设备的IP-SGT绑定。这些绑定可以显示在All SXP Mappings（所有SXP映射）下的Learned by SXP。

步骤5.交换机上的SXP映射

交换机通过SXP协议从ISE获取IP-SGT映射。

C9300B#show cts sxp sgt-map vrf Mgmt-vrf brief
IP-SGT映射，如下所示：
IPv4,SGT:<10.197.213.23, 5>
IP-SGT映射总数：2
sxp_bnd_exp_conn_list中的conn（总计：0）：
C9300B#

C9300B#show cts role-based sgt-map vrf Mgmt-vrf all
活动IPv4-SGT绑定信息

IP地址SGT源
============================================
10.197.213.23 5 SXP

IP-SGT活动绑定摘要
============================================
SXP绑定总数= 2
活动绑定总数= 2

故障排除

本部分提供的信息可用于对配置进行故障排除。

ISE报告

ISE还允许您生成SXP绑定和连接报告，如本图所示。

ISE Report

ISE上的调试

收集具有以下属性的ISE支持捆绑包，在调试级别设置：

sxp
sgtbinding
nsf
NSF会话
trustsec

从ISE服务器对用户进行身份验证时，ISE在访问接受响应数据包中分配SGT。用户获得IP地址后，交换机将在Radius记账数据包中发送成帧IP地址。

show logging application localStore/iseLocalStore.log:

2024-07-18 09:55:55.051 +05:30 000017592 3002通知Radius-Accounting:RADIUS记帐监视器更新，ConfigVersionId=129，设备IP地址=10.197.213.22，用户名=cisco，NetworkDeviceName=pk，用户名=cisco，NAS-IP地址=10.197.213.22,NAS — 端口=50124,Framed-IP地址=10.197.213.23，类=ACS 16D5C50A00000017C425E3C6:pk3-1a/510648097/25,Called-Station-ID=C4-B2-39-ED-AB-18,Calling-Station-ID=B4-96-91-F9-56-8B，Acct-Status-Type=Interim-Update，Acct-Delay-Time=0,Acct-Input-Octets=413 Acct-Output-Octets=0、Acct-Session-Id=00000007、Acct-Authentic=Remote、Acct-Input-Packets=4、Acct-Output-Packets=0、Event-Timestamp=1721277745、NAS-Port-Type=Ethernet、NAS-Port-Id=TenGigabitEthernet1/0/24、cisco-av-pair=audit-session-id=16D5C50A00000017C425E3C6, cisco-av-pair=method=dot1x， cisco-av-pair=cts:security-group-tag=0005-00, AcsSessionID=pk3-1a/510648097/28, SelectedAccessService=Default Network Access， RequestLatency=6, Step=11004, Step=11017, Step=15049, Step=15008, Step=22085, Step=11005, NetworkDeviceGroups=IPSEC#Is IPSEC Device#No， NetworkDeviceGroups=Location#NetworkGroup=All Location， NetworkLocation Type#All Device Types， CPMSessionID=16D5C50A00000017C425E3C6, TotalAuthenLatency=6, ClientLatency=0, Network Device Profile=Cisco， Location=Location#All Locations， Device Type=Device Type#All Device Types， IPSEC=IPSEC#Is IPSEC Device#No，

show logging application ise-psc.log:

2024-07-18 09:55:55,054 DEBUG [SxpSessionNotifierThread][] ise.sxp.sessionbinding.util.SxpBindingUtil -::-
记录从PrrtCpmBridge接收的会话值：
操作类型==>ADD、sessionId ==> 16D5C50A00000017C425E3C6、sessionState ==> ACCEPTED、inputIp ==> 10.197.213.23、inputSgTag ==> 0005-00、nas Ip ==> 10.197.213.22null、vn ==>空

SXP节点将IP + SGT映射存储在其H2DB表中，之后的PAN节点收集IP + SGT映射并反映在Work Centers > Trustsec > SXP > All SXP Mappings中。

show logging application sxp_appserver/sxp.log:

2024-07-18 10:01:01,312 INFO [sxpservice-http-96441] cisco.ise.sxp.rest.SxpGlueRestAPI:147 - SXP-PEERF添加会话绑定批大小：1
2024-07-18 10:01:01,317 DEBUG [SxpNotificationSerializer-Thread] cpm.sxp.engine.services.NotificationSerializerImpl:202 — 处理任务任务[add=true， notification=RestSxpLocalBinding(tag=5, groupName=null， ipAddress=10.197.213.23/32, nasIp=10.197.213.2, session6 c50A00000017C425E3C6, peerSequence=null， sxpBindingOpType=null， sessionExpiryTimeInMillis=0, apic=false， routable=true， vns=[])]

2024-07-18 10:01:01,344 DEBUG [SxpNotificationSerializer-Thread] cisco.cpm.sxp.engine.SxpEngine:1543 - [VPN:'default']正在添加新绑定：MasterBindingIdentity [ip=10.197.213.23/32, peerSequence=10.127.197.53,10.197.213.22, tag=5, isLocal=true， sessionId=16D5C50A00000017C425E3C6, vn=DEFAULT_VN]
2024-07-18 10:01:01,344 DEBUG [SxpNotificationSerializer-Thread] cisco.cpm.sxp.engine.SxpEngine:1581 — 添加1个绑定
2024-07-18 10:01:01,344 DEBUG [SxpNotificationSerializer-Thread] cisco.cpm.sxp.engine.MasterDbListener:251 — 将任务提交到H2处理程序以添加绑定，绑定计数：1
2024-07-18 10:01:01,344 DEBUG [H2_HANDLER] cisco.cpm.sxp.engine.MasterDbListener:256 - MasterDbListener Processing onAdded - bindingsCount:1

SXP节点使用最新的IP-SGT绑定更新对等交换机。

2024-07-18 10:01:01,346 DEBUG [pool-7-thread-4] opendaylight.sxp.core.service.UpdateExportTask:93 - SXP_PERF:SEND_UPDATE_BUFFER_SIZE=32
2024-07-18 10:01:01,346 DEBUG [pool-7-thread-4] opendaylight.sxp.core.service.UpdateExportTask:116 - SENT_UPDATE to [ISE:10.127.197.53][10.127.197.53:64999/10.127.213.27:31025][O|Sv4]
2024-07-18 10:01:01,346 DEBUG [pool-7-thread-4] opendaylight.sxp.core.service.UpdateExportTask:137 - SENT_UPDATE SUCCESSFUL TO [ISE:10.127.197.53][10.127.197.53:64999/10.127.213.27:31025][O|Sv4]

交换机上的调试

在交换机上启用这些调试，以排除SXP连接和更新的故障。

debug cts sxp conn

debug cts sxp error

debug cts sxp mdb

debug cts sxp message

交换机从SXP发言人ISE收到SGT-IP映射。

选中Show logging以查看以下日志：

2018年7月04:23:04.324:CTS-SXP-MSG:sxp_recv_update_v4 <1>对等ip:10.127.197.53
2018年7月04:23:04.324:CTS-SXP-MDB:IMU添加绑定：- <conn_index = 1>来自对等体10.127.197.53
2018年7月04:23:04.324:CTS-SXP-MDB:mdb_send_msg <IMU_ADD_IPSGT_DEVID>

2018年7月04:23:04.324:CTS-SXP-INTNL:mdb_send_msg mdb_process_add_ipsgt_devid启动
2018年7月04:23:04.324:CTS-SXP-MDB:sxp_mdb_inform_rbm表id:0x1检测：1 sgt:5对等体：10.127.197.53
2018年7月04:23:04.324:CTS-SXP-MDB:SXP MDB:Entry added ip 10.197.213.23 sgt 0x0005
2018年7月04:23:04.324:CTS-SXP-INTNL:mdb_send_msg mdb_process_add_ipsgt_devid完成

版本	发布日期	备注
2.0	20-Jun-2025	首次公开发布
1.0	24-Jul-2024	初始版本