简介
本文档介绍如何配置和了解ISE和Catalyst 9300交换机之间的安全组交换协议(SXP)连接。
先决条件
要求
思科建议您了解SXP协议和身份服务引擎(ISE)配置。
使用的组件
本文档中的信息基于以下软件和硬件版本:
- Cisco Catalyst 9300交换机,带Cisco IOS® XE 17.6.5及更高版本
思科ISE版本3.1及更高版本
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
SXP是TrustSec用来将IP到SGT的映射传播到TrustSec设备的安全组标记(SGT)交换协议。
开发SXP是为了使包括第三方设备或不支持SGT内联标记的旧式Cisco设备在内的网络具有TrustSec功能。
SXP是一种对等协议;一台设备可以充当发言人,另一台设备可以充当收听者:
- SXP发言人负责发送IP-SGT绑定,而侦听程序负责收集这些绑定。
- SXP连接使用TCP端口64999作为底层传输协议,使用MD5实现消息完整性/真实性。
配置
网络图

流量传输
PC使用C9300A进行身份验证,ISE通过策略集动态分配SGT。
通过身份验证后,系统会根据策略中的配置,使用等于Framed-IP address RADIUS属性和SGT的IP创建绑定。
绑定在默认域下的所有SXP绑定中传播。
C9300B通过SXP协议从ISE接收SXP映射信息。
配置交换机
将交换机配置为SXP侦听程序,以从ISE获取IP-SGT映射。
cts sxp enable cts sxp default password cisco cts sxp default source-ip 10.127.213.27 cts sxp connection peer 10.127.197.53 password default mode peer speaker hold-time 0 vrf Mgmt-vrf
|
配置ISE
步骤1.在ISE上启用SXP服务
导航到Administration > System > Deployment > Edit节点,并在Policy Service下,选择Enable SXP Service。

步骤2.添加SXP设备
要配置相应交换机的SXP侦听器和扬声器,请导航到工作中心> Trustsec > SXP > SXP设备。
将具有对等角色的交换机添加为监听程序,并将其分配到默认域。

步骤3. SXP设置
确保选中Add radius mappings into SXP IP SGT mapping table,以便ISE通过Radius Authentications了解动态IP-SGT映射。

验证
步骤1.交换机上的SXP连接
C9300B#show cts sxp connections vrf Mgmt-vrf SXP:启用 支持的最高版本:4 默认密码:设置 默认密钥链:未设置 默认密钥链名称:不能应用 默认源IP:10.127.213.27 连接重试打开时间:120秒 对帐期间:120秒 重试打开计时器未运行 用于导出的对等序列遍历限制:未设置 导入的对等序列遍历限制:未设置 ---------------------------------------------- 对等IP:10.127.197.53 源 IP:10.127.213.27 连接状态:开启 Conn版本:4 连接功能:IPv4-IPv6 — 子网 Conn保持时间:120 秒 本地模式:SXP监听程序 Connection inst# :1 TCP连接fd :1 TCP连接密码:默认SXP密码 保持计时器正在运行 自上次状态更改以来的持续时间:0:00:23:36(dd:hr:mm:sec)
SXP连接总数= 1
0x7F128DF555E0 VRF:Mgmt-vrf,fd:1,对等ip:10.127.197.53 cdbp:0x7F128DF555E0 Mgmt-vrf <10.127.197.53, 10.127.213.27> tableid:0x1
|
步骤2. ISE SXP验证
在Work Centers > Trustsec > SXP > SXP Devices下,验证交换机的SXP状态为ON。

步骤3. Radius记帐
确保ISE在身份验证成功后从Radius记帐数据包收到Framed-IP address RADIUS属性。

步骤4. ISE SXP映射
导航到Workcenters > Trustsec > SXP > All SXP Mappings以查看从Radius会话动态获取的IP-SGT映射。

学习者:
本地 — ISE上静态分配的IP-SGT绑定。
会话 — 从Radius会话动态获取的IP-SGT绑定。
注意:ISE能够接收来自其他设备的IP-SGT绑定。这些绑定可以显示在All SXP Mappings(所有SXP映射)下的Learned by SXP。
步骤5.交换机上的SXP映射
交换机通过SXP协议从ISE获取IP-SGT映射。
C9300B#show cts sxp sgt-map vrf Mgmt-vrf brief IP-SGT映射,如下所示: IPv4,SGT:<10.197.213.23, 5> IP-SGT映射总数:2 sxp_bnd_exp_conn_list中的conn(总计:0): C9300B#
C9300B#show cts role-based sgt-map vrf Mgmt-vrf all 活动IPv4-SGT绑定信息
IP地址SGT源 ============================================ 10.197.213.23 5 SXP
IP-SGT活动绑定摘要 ============================================ SXP绑定总数= 2 活动绑定总数= 2
|
故障排除
本部分提供的信息可用于对配置进行故障排除。
ISE报告
ISE还允许您生成SXP绑定和连接报告,如本图所示。

ISE上的调试
收集具有以下属性的ISE支持捆绑包,在调试级别设置:
- sxp
- sgtbinding
- nsf
- NSF会话
- trustsec
从ISE服务器对用户进行身份验证时,ISE在访问接受响应数据包中分配SGT。用户获得IP地址后,交换机将在Radius记账数据包中发送成帧IP地址。
show logging application localStore/iseLocalStore.log:
2024-07-18 09:55:55.051 +05:30 000017592 3002通知Radius-Accounting:RADIUS记帐监视器更新,ConfigVersionId=129,设备IP地址=10.197.213.22,用户名=cisco,NetworkDeviceName=pk,用户名=cisco,NAS-IP地址=10.197.213.22,NAS — 端口=50124,Framed-IP地址=10.197.213.23,类=ACS 16D5C50A00000017C425E3C6:pk3-1a/510648097/25,Called-Station-ID=C4-B2-39-ED-AB-18,Calling-Station-ID=B4-96-91-F9-56-8B,Acct-Status-Type=Interim-Update,Acct-Delay-Time=0,Acct-Input-Octets=413 Acct-Output-Octets=0、Acct-Session-Id=00000007、Acct-Authentic=Remote、Acct-Input-Packets=4、Acct-Output-Packets=0、Event-Timestamp=1721277745、NAS-Port-Type=Ethernet、NAS-Port-Id=TenGigabitEthernet1/0/24、cisco-av-pair=audit-session-id=16D5C50A00000017C425E3C6, cisco-av-pair=method=dot1x, cisco-av-pair=cts:security-group-tag=0005-00, AcsSessionID=pk3-1a/510648097/28, SelectedAccessService=Default Network Access, RequestLatency=6, Step=11004, Step=11017, Step=15049, Step=15008, Step=22085, Step=11005, NetworkDeviceGroups=IPSEC#Is IPSEC Device#No, NetworkDeviceGroups=Location#NetworkGroup=All Location, NetworkLocation Type#All Device Types, CPMSessionID=16D5C50A00000017C425E3C6, TotalAuthenLatency=6, ClientLatency=0, Network Device Profile=Cisco, Location=Location#All Locations, Device Type=Device Type#All Device Types, IPSEC=IPSEC#Is IPSEC Device#No,
|
show logging application ise-psc.log:
2024-07-18 09:55:55,054 DEBUG [SxpSessionNotifierThread][] ise.sxp.sessionbinding.util.SxpBindingUtil -::- 记录从PrrtCpmBridge接收的会话值: 操作类型==>ADD、sessionId ==> 16D5C50A00000017C425E3C6、sessionState ==> ACCEPTED、inputIp ==> 10.197.213.23、inputSgTag ==> 0005-00、nas Ip ==> 10.197.213.22null、vn ==>空
|
SXP节点将IP + SGT映射存储在其H2DB表中,之后的PAN节点收集IP + SGT映射并反映在Work Centers > Trustsec > SXP > All SXP Mappings中。
show logging application sxp_appserver/sxp.log:
2024-07-18 10:01:01,312 INFO [sxpservice-http-96441] cisco.ise.sxp.rest.SxpGlueRestAPI:147 - SXP-PEERF添加会话绑定批大小:1 2024-07-18 10:01:01,317 DEBUG [SxpNotificationSerializer-Thread] cpm.sxp.engine.services.NotificationSerializerImpl:202 — 处理任务任务[add=true, notification=RestSxpLocalBinding(tag=5, groupName=null, ipAddress=10.197.213.23/32, nasIp=10.197.213.2, session6 c50A00000017C425E3C6, peerSequence=null, sxpBindingOpType=null, sessionExpiryTimeInMillis=0, apic=false, routable=true, vns=[])]
2024-07-18 10:01:01,344 DEBUG [SxpNotificationSerializer-Thread] cisco.cpm.sxp.engine.SxpEngine:1543 - [VPN:'default']正在添加新绑定:MasterBindingIdentity [ip=10.197.213.23/32, peerSequence=10.127.197.53,10.197.213.22, tag=5, isLocal=true, sessionId=16D5C50A00000017C425E3C6, vn=DEFAULT_VN] 2024-07-18 10:01:01,344 DEBUG [SxpNotificationSerializer-Thread] cisco.cpm.sxp.engine.SxpEngine:1581 — 添加1个绑定 2024-07-18 10:01:01,344 DEBUG [SxpNotificationSerializer-Thread] cisco.cpm.sxp.engine.MasterDbListener:251 — 将任务提交到H2处理程序以添加绑定,绑定计数:1 2024-07-18 10:01:01,344 DEBUG [H2_HANDLER] cisco.cpm.sxp.engine.MasterDbListener:256 - MasterDbListener Processing onAdded - bindingsCount:1
|
SXP节点使用最新的IP-SGT绑定更新对等交换机。
2024-07-18 10:01:01,346 DEBUG [pool-7-thread-4] opendaylight.sxp.core.service.UpdateExportTask:93 - SXP_PERF:SEND_UPDATE_BUFFER_SIZE=32 2024-07-18 10:01:01,346 DEBUG [pool-7-thread-4] opendaylight.sxp.core.service.UpdateExportTask:116 - SENT_UPDATE to [ISE:10.127.197.53][10.127.197.53:64999/10.127.213.27:31025][O|Sv4] 2024-07-18 10:01:01,346 DEBUG [pool-7-thread-4] opendaylight.sxp.core.service.UpdateExportTask:137 - SENT_UPDATE SUCCESSFUL TO [ISE:10.127.197.53][10.127.197.53:64999/10.127.213.27:31025][O|Sv4]
|
交换机上的调试
在交换机上启用这些调试,以排除SXP连接和更新的故障。
debug cts sxp conn
debug cts sxp error
debug cts sxp mdb
debug cts sxp message
交换机从SXP发言人ISE收到SGT-IP映射。
选中Show logging以查看以下日志:
2018年7月04:23:04.324:CTS-SXP-MSG:sxp_recv_update_v4 <1>对等ip:10.127.197.53 2018年7月04:23:04.324:CTS-SXP-MDB:IMU添加绑定:- <conn_index = 1>来自对等体10.127.197.53 2018年7月04:23:04.324:CTS-SXP-MDB:mdb_send_msg <IMU_ADD_IPSGT_DEVID>
2018年7月04:23:04.324:CTS-SXP-INTNL:mdb_send_msg mdb_process_add_ipsgt_devid启动 2018年7月04:23:04.324:CTS-SXP-MDB:sxp_mdb_inform_rbm表id:0x1检测:1 sgt:5对等体:10.127.197.53 2018年7月04:23:04.324:CTS-SXP-MDB:SXP MDB:Entry added ip 10.197.213.23 sgt 0x0005 2018年7月04:23:04.324:CTS-SXP-INTNL:mdb_send_msg mdb_process_add_ipsgt_devid完成
|
相关信息