簡介
本文檔介紹如何配置和瞭解ISE和Catalyst 9300交換機之間的安全組交換協定(SXP)連線。
必要條件
需求
思科建議您瞭解SXP協定和身份服務引擎(ISE)配置。
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- Cisco Catalyst 9300交換器(搭載Cisco IOS® XE 17.6.5及更新版本)
Cisco ISE 3.1版及更高版本
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
SXP是TrustSec用來將IP到SGT對映傳播到TrustSec裝置的安全組標籤(SGT)交換協定。
SXP旨在允許包括第三方裝置或不支援SGT內聯標籤的舊式Cisco裝置的網路具有TrustSec功能。
SXP是一種對等通訊協定;一台裝置可以充當揚聲器,另一台可以充當監聽器:
- SXP發言人負責傳送IP-SGT繫結,監聽程式負責收集這些繫結。
- SXP連線使用TCP埠64999作為底層傳輸協定,使用MD5實現消息完整性/真實性。
組態
網路圖表

流量
PC使用C9300A進行身份驗證,ISE通過策略集動態分配SGT。
通過身份驗證後,系統會使用等於策略中配置的Framed-IP address RADIUS屬性和SGT的IP建立繫結。
繫結將在預設域下的所有SXP繫結中傳播。
C9300B通過SXP協定從ISE接收SXP對映資訊。
配置交換機
將交換機配置為SXP偵聽器以從ISE獲取IP-SGT對映。
cts sxp enable cts sxp預設密碼cisco cts sxp default source-ip 10.127.213.27 cts sxp connection peer 10.127.197.53 password default mode peer speaker hold-time 0 vrf Mgmt-vrf
|
配置ISE
步驟1.在ISE上啟用SXP服務
導航到Administration > System > Deployment > Edit the node,然後在Policy Service下選擇Enable SXP Service。

步驟2.新增SXP裝置
要為相應的交換機配置SXP監聽器和揚聲器,請導航至工作中心> Trustsec > SXP > SXP裝置。
將具有對等角色的switch新增為監聽器,並分配到預設域。

步驟3. SXP設定
確保選中Add radius mappings into SXP IP SGT mapping table,以便ISE通過Radius Authentications瞭解動態IP-SGT對映。

驗證
步驟1.交換機上的SXP連線
C9300B#show cts sxp connections vrf Mgmt-vrf SXP :已啟用 支援的最高版本:4 預設密碼:設定 預設金鑰鏈:未設定 預設金鑰鏈名稱:不適用 預設源IP:10.127.213.27 連線重試開啟期間:120秒 對帳期間:120秒 重試開啟計時器未運行 用於匯出的對等序列遍歷限制:未設定 匯入的對等序列遍歷限制:未設定 ---------------------------------------------- 對等IP :10.127.197.53 來源 IP:10.127.213.27 連線狀態:於 Conn版本:4 Conn功能:IPv4-IPv6 — 子網 Conn保持時間:120秒 本地模式:SXP偵聽程式 連線inst#:1 TCP連線fd :1 TCP連線密碼:預設SXP密碼 保持計時器正在運行 自上次狀態更改以來的持續時間:0:00:23:36(dd:hr:mm:sec)
SXP連線總數= 1
0x7F128DF555E0 VRF:Mgmt-vrf、fd:1,對等ip:10.127.197.53 cdbp:0x7F128DF555E0管理 — vrf <10.127.197.53, 10.127.213.27> tableid:0x1
|
步驟2. ISE SXP驗證
在Work Centers > Trustsec > SXP > SXP Devices下,驗證交換機的SXP狀態是否為ON。

步驟3. Radius計量
確保ISE在身份驗證成功後從Radius記帳資料包收到已框架的IP地址RADIUS屬性。

步驟4. ISE SXP對映
導航到Workcenters > Trustsec > SXP > All SXP Mappings,檢視從Radius會話動態獲取的IP-SGT對映。

學習者:
本地 — 在ISE上靜態分配的IP-SGT繫結。
Session — 從Radius會話動態獲取的IP-SGT繫結。
附註:ISE能夠接收來自其他裝置的IP-SGT繫結。這些繫結可以在「所有SXP對映」下顯示為由SXP獲取的。
步驟5.交換機上的SXP對映
交換機通過SXP協定從ISE獲取IP-SGT對映。
C9300B#show cts sxp sgt-map vrf Mgmt-vrf brief IP-SGT對映,如下所示: IPv4,SGT:<10.197.213.23, 5> IP-SGT對映總數:2 sxp_bnd_exp_conn_list中的conn(總計:0): C9300B#
C9300B#show cts role-based sgt-map vrf Mgmt-vrf all 活動IPv4-SGT繫結資訊
IP Address SGT Source ============================================ 10.197.213.23 5 SXP
IP-SGT活動繫結摘要 ============================================ SXP繫結總數= 2 活動繫結總數= 2
|
疑難排解
本節提供的資訊可用於對組態進行疑難排解。
ISE報告
ISE還允許您生成SXP繫結和連線報告,如下圖所示。

ISE上的調試
收集具有以下屬性的ISE支援捆綁包,以在調試級別設定:
- sxp
- sgtbinding
- nsf
- nsf-session
- trustsec
當使用者從ISE伺服器進行身份驗證時,ISE在訪問接受響應資料包中分配SGT。使用者取得IP位址後,交換器會在Radius計費封包中傳送已框架的IP位址。
show logging application localStore/iseLocalStore.log:
2024-07-18 09:55:55.051 +05:30 000017592 3002 Notice Radius-Accounting:RADIUS記帳監視器更新,ConfigVersionId=129,裝置IP地址=10.197.213.22,使用者名稱=cisco,網路裝置名稱=pk,使用者名稱=cisco,NAS-IP — 地址=10.197.213.22,NAS — 埠=50124,Framed-IP — 地址=10.197.213.23,類別=ACS 16D5C50A00000017C425E3C6:pk3-1a/510648097/25,Called-Station-ID=C4-B2-39-ED-AB-18,Calling-Station-ID=B4-96-91-F9-56-8B,Acct-Status-Type=Interim-Update,Acct-Delay-Time=0,Acct-Input-Octets=413 Acct-Output-Octets=0, Acct-Session-Id=00000007, Acct-Authentic=Remote, Acct-Input-Packets=4, Acct-Output-Packets=0, Event-Timestamp=1721277745, NAS-Port-Type=Ethernet, NAS-Port-Id=TenGigabitEthernet1/0/24, cisco-av-pair=audit-session-id=16D5C50A00000017C425E3C6, cisco-av-pair=method=dot1x, cisco-av-pair=cts:security-group-tag=0005-00, AcsSessionID=pk3-1a/510648097/28, SelectedAccessService=Default Network Access, RequestLatency=6, Step=11004, Step=11017, Step=15049, Step=15008, Step=22085, NetworkDeviceGroups=IPSEC#Is IPSEC Device#No, NetworkDeviceGroups=Location#All NetworkLocations, Locations Type#All Device Types, CPMSessionID=16D5C50A1100500000017 C425E3C6, TotalAuthLatency=6, ClientLatency=0, Network Device Profile=Cisco, Location=Location#All Locations, Device Type=Device Type#All Device Types, IPSEC=IPSEC#Is IPSEC Device#No,
|
show logging application ise-psc.log:
2024-07-18 09:55:55,054 DEBUG [SxpSessionNotifierThread][] ise.sxp.sessionbinding.util.SxpBindingUtil -::- 記錄從PrtCpmBridge接收的會話值: 操作型別==>ADD, sessionId ==> 16D5C50A00000017C425E3C6, sessionState ==> ACCEPTED, inputIp ==> 10.197.213.23, inputSgTag ==> 0005-00,nas Ip ==> 10.197.213.22null, vn ==> null
|
SXP節點將IP + SGT對映儲存在其H2DB表中,隨後PAN節點收集IP + SGT對映並在Work Centers >Trustsec > SXP >所有SXP對映中反映。
show logging application sxp_appserver/sxp.log:
2024-07-18 10:01:01,312 INFO [sxpservice-http-96441] cisco.ise.sxp.rest.SxpGlueRestAPI:147 - SXP-PEERF新增會話繫結批大小:1 2024-07-18 10:01:01,317 DEBUG [SxpNotificationSerializer-Thread] cpm.sxp.engine.services.NotificationSerializerImpl:202 — 處理任務任務[add=true, notification=RestSxpLocalBinding(tag=5, groupName=null, ipAddress=10.197.213.23/32, nasIp=10.197.213.22, session6 c50A00000017C425E3C6, peerSequence=null, sxpBindingOpType=null, sessionExpiryTimeInMillis=0, apic=false, routable=true, vns=[])]
2024-07-18 10:01:01,344 DEBUG [SxpNotificationSerializer-Thread] cisco.cpm.sxp.engine.SxpEngine:1543 - [VPN:'default']正在新增新繫結:MasterBindingIdentity [ip=10.197.213.23/32, peerSequence=10.127.197.53,10.197.213.22, tag=5, isLocal=true, sessionId=16D5C50A00000017C425E3C6, vn=DEFAULT_VN] 2024-07-18 10:01:01,344 DEBUG [SxpNotificationSerializer-Thread] cisco.cpm.sxp.engine.SxpEngine:1581 — 新增1個繫結 2024-07-18 10:01:01,344 DEBUG [SxpNotificationSerializer-Thread] cisco.cpm.sxp.engine.MasterDbListener:251 — 將任務提交到H2處理程式以新增繫結,繫結計數:1 2024-07-18 10:01:01,344 DEBUG [H2_HANDLER] cisco.cpm.sxp.engine.MasterDbListener:256 - MasterDbListener Processing onAdded - bindingsCount:1
|
SXP節點使用最新的IP-SGT繫結更新對等交換機。
2024-07-18 10:01:01,346 DEBUG [pool-7-thread-4] opendaylight.sxp.core.service.UpdateExportTask:93 - SXP_PERF:SEND_UPDATE_BUFFER_SIZE=32 2024-07-18 10:01:01,346 DEBUG [pool-7-thread-4] opendaylight.sxp.core.service.UpdateExportTask:116 - SENT_UPDATE到[ISE:10.127.197.53][10.127.197.53:64999/10.127.213.27:31025][O|Sv4] 2024-07-18 10:01:01,346 DEBUG [pool-7-thread-4] opendaylight.sxp.core.service.UpdateExportTask:137 - SENT_UPDATE SUCCESSFUL TO [ISE:10.127.197.53][10.127.197.53:64999/10.127.213.27:31025][O|Sv4]
|
交換機上的調試
在交換機上啟用這些調試以排除SXP連線和更新的故障。
debug cts sxp conn
debug cts sxp error
debug cts sxp mdb
debug cts sxp message
交換機從SXP揚聲器ISE收到SGT-IP對映。
選中Show logging以檢視這些日誌:
2018年7月04:23:04.324:CTS-SXP-MSG:sxp_recv_update_v4 <1>對等ip:10.127.197.53 2018年7月04:23:04.324:CTS-SXP-MDB:IMU新增繫結:- <conn_index = 1>來自對等體10.127.197.53 2018年7月04:23:04.324:CTS-SXP-MDB:mdb_send_msg <IMU_ADD_IPSGT_DEVID>
2018年7月04:23:04.324:CTS-SXP-INTNL:mdb_send_msg mdb_process_add_ipsgt_devid啟動 2018年7月04:23:04.324:CTS-SXP-MDB:sxp_mdb_inform_rbm tableid:0x1 sense:1 sgt:5 peer:10.127.197.53 2018年7月04:23:04.324:CTS-SXP-MDB:SXP MDB:Entry added ip 10.197.213.23 sgt 0x0005 2018年7月04:23:04.324:CTS-SXP-INTNL:mdb_send_msg mdb_process_add_ipsgt_devid完成
|
相關資訊