瞭解ISE中的SXP日誌機制–Catalyst通訊

下載選項

PDF (870.6 KB)
在多種裝置上使用 Adobe Reader 檢視

已更新: 2025 年 6 月 20 日

文件 ID:222201

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的，無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言，或引用第三方產品的語言，因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件，讓全世界的使用者能夠以自己的語言理解支援內容。請注意，即使是最佳機器翻譯，也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責，並建議一律查看原始英文文件（提供連結）。

簡介

本文檔介紹如何配置和瞭解ISE和Catalyst 9300交換機之間的安全組交換協定(SXP)連線。

必要條件

需求

思科建議您瞭解SXP協定和身份服務引擎(ISE)配置。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

Cisco Catalyst 9300交換器(搭載Cisco IOS® XE 17.6.5及更新版本)
Cisco ISE 3.1版及更高版本

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

SXP是TrustSec用來將IP到SGT對映傳播到TrustSec裝置的安全組標籤(SGT)交換協定。

SXP旨在允許包括第三方裝置或不支援SGT內聯標籤的舊式Cisco裝置的網路具有TrustSec功能。

SXP是一種對等通訊協定；一台裝置可以充當揚聲器，另一台可以充當監聽器：

SXP發言人負責傳送IP-SGT繫結，監聽程式負責收集這些繫結。
SXP連線使用TCP埠64999作為底層傳輸協定，使用MD5實現消息完整性/真實性。

組態

網路圖表

Connection Network Diagram

流量

PC使用C9300A進行身份驗證，ISE通過策略集動態分配SGT。
通過身份驗證後，系統會使用等於策略中配置的Framed-IP address RADIUS屬性和SGT的IP建立繫結。
繫結將在預設域下的所有SXP繫結中傳播。
C9300B通過SXP協定從ISE接收SXP對映資訊。

配置交換機

將交換機配置為SXP偵聽器以從ISE獲取IP-SGT對映。

cts sxp enable
cts sxp預設密碼cisco
cts sxp default source-ip 10.127.213.27
cts sxp connection peer 10.127.197.53 password default mode peer speaker hold-time 0 vrf Mgmt-vrf

配置ISE

步驟1.在ISE上啟用SXP服務

導航到Administration > System > Deployment > Edit the node，然後在Policy Service下選擇Enable SXP Service。

Enable SXP Service on ISE

步驟2.新增SXP裝置

要為相應的交換機配置SXP監聽器和揚聲器，請導航至工作中心> Trustsec > SXP > SXP裝置。
將具有對等角色的switch新增為監聽器，並分配到預設域。

Add SXP Devices

步驟3. SXP設定

確保選中Add radius mappings into SXP IP SGT mapping table，以便ISE通過Radius Authentications瞭解動態IP-SGT對映。

SXP Settings

驗證

步驟1.交換機上的SXP連線

C9300B#show cts sxp connections vrf Mgmt-vrf
SXP :已啟用
支援的最高版本：4
預設密碼：設定
預設金鑰鏈：未設定
預設金鑰鏈名稱：不適用
預設源IP:10.127.213.27
連線重試開啟期間：120秒
對帳期間：120秒
重試開啟計時器未運行
用於匯出的對等序列遍歷限制：未設定
匯入的對等序列遍歷限制：未設定
----------------------------------------------
對等IP :10.127.197.53
來源 IP:10.127.213.27
連線狀態：於
Conn版本：4
Conn功能：IPv4-IPv6 — 子網
Conn保持時間：120秒
本地模式：SXP偵聽程式
連線inst#:1
TCP連線fd :1
TCP連線密碼：預設SXP密碼
保持計時器正在運行
自上次狀態更改以來的持續時間：0:00:23:36(dd:hr:mm:sec)

SXP連線總數= 1

0x7F128DF555E0 VRF:Mgmt-vrf、fd:1，對等ip:10.127.197.53
cdbp:0x7F128DF555E0管理 — vrf <10.127.197.53, 10.127.213.27> tableid:0x1

步驟2. ISE SXP驗證

在Work Centers > Trustsec > SXP > SXP Devices下，驗證交換機的SXP狀態是否為ON。

ISE SXP Verification

步驟3. Radius計量

確保ISE在身份驗證成功後從Radius記帳資料包收到已框架的IP地址RADIUS屬性。

Radius Accounting

步驟4. ISE SXP對映

導航到Workcenters > Trustsec > SXP > All SXP Mappings，檢視從Radius會話動態獲取的IP-SGT對映。

ISE SXP Mappings

學習者：

本地 — 在ISE上靜態分配的IP-SGT繫結。
Session — 從Radius會話動態獲取的IP-SGT繫結。

附註：ISE能夠接收來自其他裝置的IP-SGT繫結。這些繫結可以在「所有SXP對映」下顯示為由SXP獲取的。

步驟5.交換機上的SXP對映

交換機通過SXP協定從ISE獲取IP-SGT對映。

C9300B#show cts sxp sgt-map vrf Mgmt-vrf brief
IP-SGT對映，如下所示：
IPv4,SGT:<10.197.213.23, 5>
IP-SGT對映總數：2
sxp_bnd_exp_conn_list中的conn（總計：0）：
C9300B#

C9300B#show cts role-based sgt-map vrf Mgmt-vrf all
活動IPv4-SGT繫結資訊

IP Address SGT Source
============================================
10.197.213.23 5 SXP

IP-SGT活動繫結摘要
============================================
SXP繫結總數= 2
活動繫結總數= 2

疑難排解

本節提供的資訊可用於對組態進行疑難排解。

ISE報告

ISE還允許您生成SXP繫結和連線報告，如下圖所示。

ISE Report

ISE上的調試

收集具有以下屬性的ISE支援捆綁包，以在調試級別設定：

sxp
sgtbinding
nsf
nsf-session
trustsec

當使用者從ISE伺服器進行身份驗證時，ISE在訪問接受響應資料包中分配SGT。使用者取得IP位址後，交換器會在Radius計費封包中傳送已框架的IP位址。

show logging application localStore/iseLocalStore.log:

2024-07-18 09:55:55.051 +05:30 000017592 3002 Notice Radius-Accounting:RADIUS記帳監視器更新，ConfigVersionId=129，裝置IP地址=10.197.213.22，使用者名稱=cisco，網路裝置名稱=pk，使用者名稱=cisco，NAS-IP — 地址=10.197.213.22,NAS — 埠=50124,Framed-IP — 地址=10.197.213.23，類別=ACS 16D5C50A00000017C425E3C6:pk3-1a/510648097/25,Called-Station-ID=C4-B2-39-ED-AB-18,Calling-Station-ID=B4-96-91-F9-56-8B，Acct-Status-Type=Interim-Update，Acct-Delay-Time=0,Acct-Input-Octets=413 Acct-Output-Octets=0, Acct-Session-Id=00000007, Acct-Authentic=Remote， Acct-Input-Packets=4, Acct-Output-Packets=0, Event-Timestamp=1721277745, NAS-Port-Type=Ethernet， NAS-Port-Id=TenGigabitEthernet1/0/24, cisco-av-pair=audit-session-id=16D5C50A00000017C425E3C6, cisco-av-pair=method=dot1x， cisco-av-pair=cts:security-group-tag=0005-00, AcsSessionID=pk3-1a/510648097/28, SelectedAccessService=Default Network Access， RequestLatency=6, Step=11004, Step=11017, Step=15049, Step=15008, Step=22085, NetworkDeviceGroups=IPSEC#Is IPSEC Device#No， NetworkDeviceGroups=Location#All NetworkLocations， Locations Type#All Device Types， CPMSessionID=16D5C50A1100500000017 C425E3C6, TotalAuthLatency=6, ClientLatency=0, Network Device Profile=Cisco， Location=Location#All Locations， Device Type=Device Type#All Device Types， IPSEC=IPSEC#Is IPSEC Device#No，

show logging application ise-psc.log:

2024-07-18 09:55:55,054 DEBUG [SxpSessionNotifierThread][] ise.sxp.sessionbinding.util.SxpBindingUtil -::-
記錄從PrtCpmBridge接收的會話值：
操作型別==>ADD， sessionId ==> 16D5C50A00000017C425E3C6, sessionState ==> ACCEPTED， inputIp ==> 10.197.213.23, inputSgTag ==> 0005-00,nas Ip ==> 10.197.213.22null， vn ==> null

SXP節點將IP + SGT對映儲存在其H2DB表中，隨後PAN節點收集IP + SGT對映並在Work Centers >Trustsec > SXP >所有SXP對映中反映。

show logging application sxp_appserver/sxp.log:

2024-07-18 10:01:01,312 INFO [sxpservice-http-96441] cisco.ise.sxp.rest.SxpGlueRestAPI:147 - SXP-PEERF新增會話繫結批大小：1
2024-07-18 10:01:01,317 DEBUG [SxpNotificationSerializer-Thread] cpm.sxp.engine.services.NotificationSerializerImpl:202 — 處理任務任務[add=true， notification=RestSxpLocalBinding(tag=5, groupName=null， ipAddress=10.197.213.23/32, nasIp=10.197.213.22, session6 c50A00000017C425E3C6, peerSequence=null， sxpBindingOpType=null， sessionExpiryTimeInMillis=0, apic=false， routable=true， vns=[])]

2024-07-18 10:01:01,344 DEBUG [SxpNotificationSerializer-Thread] cisco.cpm.sxp.engine.SxpEngine:1543 - [VPN:'default']正在新增新繫結：MasterBindingIdentity [ip=10.197.213.23/32, peerSequence=10.127.197.53,10.197.213.22, tag=5, isLocal=true， sessionId=16D5C50A00000017C425E3C6, vn=DEFAULT_VN]
2024-07-18 10:01:01,344 DEBUG [SxpNotificationSerializer-Thread] cisco.cpm.sxp.engine.SxpEngine:1581 — 新增1個繫結
2024-07-18 10:01:01,344 DEBUG [SxpNotificationSerializer-Thread] cisco.cpm.sxp.engine.MasterDbListener:251 — 將任務提交到H2處理程式以新增繫結，繫結計數：1
2024-07-18 10:01:01,344 DEBUG [H2_HANDLER] cisco.cpm.sxp.engine.MasterDbListener:256 - MasterDbListener Processing onAdded - bindingsCount:1

SXP節點使用最新的IP-SGT繫結更新對等交換機。

2024-07-18 10:01:01,346 DEBUG [pool-7-thread-4] opendaylight.sxp.core.service.UpdateExportTask:93 - SXP_PERF:SEND_UPDATE_BUFFER_SIZE=32
2024-07-18 10:01:01,346 DEBUG [pool-7-thread-4] opendaylight.sxp.core.service.UpdateExportTask:116 - SENT_UPDATE到[ISE:10.127.197.53][10.127.197.53:64999/10.127.213.27:31025][O|Sv4]
2024-07-18 10:01:01,346 DEBUG [pool-7-thread-4] opendaylight.sxp.core.service.UpdateExportTask:137 - SENT_UPDATE SUCCESSFUL TO [ISE:10.127.197.53][10.127.197.53:64999/10.127.213.27:31025][O|Sv4]

交換機上的調試

在交換機上啟用這些調試以排除SXP連線和更新的故障。

debug cts sxp conn

debug cts sxp error

debug cts sxp mdb

debug cts sxp message

交換機從SXP揚聲器ISE收到SGT-IP對映。

選中Show logging以檢視這些日誌：

2018年7月04:23:04.324:CTS-SXP-MSG:sxp_recv_update_v4 <1>對等ip:10.127.197.53
2018年7月04:23:04.324:CTS-SXP-MDB:IMU新增繫結：- <conn_index = 1>來自對等體10.127.197.53
2018年7月04:23:04.324:CTS-SXP-MDB:mdb_send_msg <IMU_ADD_IPSGT_DEVID>

2018年7月04:23:04.324:CTS-SXP-INTNL:mdb_send_msg mdb_process_add_ipsgt_devid啟動
2018年7月04:23:04.324:CTS-SXP-MDB:sxp_mdb_inform_rbm tableid:0x1 sense:1 sgt:5 peer:10.127.197.53
2018年7月04:23:04.324:CTS-SXP-MDB:SXP MDB:Entry added ip 10.197.213.23 sgt 0x0005
2018年7月04:23:04.324:CTS-SXP-INTNL:mdb_send_msg mdb_process_add_ipsgt_devid完成

修訂	發佈日期	意見
2.0	20-Jun-2025	初始版本
1.0	24-Jul-2024	初始版本