ISE와 ASAv 간에 TrustSec SXP 구성

소개

이 문서에서는 ISE(Identity Services Engine)와 ASAv(가상 Adaptive Security Appliance) 간 SXP(Security Group Exchange Protocol) 연결을 구성하는 방법에 대해 설명합니다.

SXP는 TrustSec에서 IP를 SGT에 TrustSec 디바이스에 매핑하는 데 사용하는 SGT(Security Group Tag) Exchange 프로토콜입니다.SXP는 서드파티 디바이스 또는 SGT 인라인 태깅을 지원하지 않는 레거시 Cisco 디바이스를 포함한 네트워크를 TrustSec 기능을 포함하도록 개발되었습니다.SXP는 피어링 프로토콜이며, 한 디바이스는 스피커로, 다른 디바이스는 리스너로 작동합니다.SXP 스피커는 IP-SGT 바인딩을 전송할 책임이 있으며 리스너는 이러한 바인딩을 수집할 책임이 있습니다.SXP 연결은 메시지 무결성/신뢰성을 위해 TCP 포트 64999를 기본 전송 프로토콜로 사용하고 MD5를 사용합니다.

SXP는 다음 링크에서 IETF 초안으로 게시되었습니다.

https://datatracker.ietf.org/doc/draft-smith-kandula-sxp/

사전 요구 사항

요구 사항

TrustSec 호환성 매트릭스:

http://www.cisco.com/c/en/us/solutions/enterprise-networks/trustsec/solution-overview-listing.html

사용되는 구성 요소

ISE 2.3

ASAv 9.8.1

ASDM 7.8.1.150

네트워크 다이어그램

 IP 주소

ISE:14.36.143.223

ASAv:14.36.143.30

초기 컨피그레이션

ISE 네트워크 디바이스

ASA를 네트워크 디바이스로 등록

WorkCenters(작업 센터) > TrustSec > Components(구성 요소) > Network Devices(네트워크 디바이스) > Add(추가)

OOB(Out of Band) PAC(Protected Access Credential) 생성 및 다운로드

ASDM AAA 서버 컨피그레이션

AAA 서버 그룹 생성

Configuration(컨피그레이션) > Firewall(방화벽) > Identity by TrustSec(TrustSec별 ID) > Server Group Setup(서버 그룹 설정) > Manage(관리)...

AAA Server Groups(AAA 서버 그룹) > Add(추가)

• AAA 서버 그룹:<그룹 이름>
• 동적 권한 부여 사용

서버 그룹에 서버 추가

선택한 그룹의 서버 > 추가

• 서버 이름 또는 IP 주소:<ISE IP 주소>
• 서버 인증 포트:1812
• 서버 계정 포트:1813
• 서버 암호 키:Cisco0123
• 일반 암호:Cisco0123

ISE에서 다운로드한 PAC 가져오기

Configuration(컨피그레이션) > Firewall(방화벽) > Identity by TrustSec(TrustSec별 ID) > Server Group Setup(서버 그룹 설정) > Import PAC(PAC 가져오기)...

• 암호:Cisco0123

환경 데이터 새로 고침

Configuration(컨피그레이션) > Firewall(방화벽) > Identity by TrustSec(TrustSec별 ID) > Server Group Setup(서버 그룹 설정) > Refresh Environment Data(환경 데이터 새로 고침)

확인

ISE 라이브 로그

작업 > RADIUS > 라이브 로그

ISE 보안 그룹

작업 센터 > TrustSec > 구성 요소 > 보안 그룹

ASDM PAC

Monitoring > Properties > Identity by TrustSec > PAC

ASDM 환경 데이터 및 보안 그룹

Monitoring > Properties > Identity by TrustSec > Environment Data

ASDM SXP 컨피그레이션

SXP 사용

Configuration(컨피그레이션) > Firewall(방화벽) > Identity by TrustSec(TrustSec별 ID) > Enable SGT Exchange Protocol(SXP 활성화)

기본 SXP 소스 IP 주소 및 기본 SXP 비밀번호 설정

Configuration(컨피그레이션) > Firewall(방화벽) > Identity by TrustSec(TrustSec별 ID) > Connection Peers(연결 피어)

SXP 피어 추가

Configuration(컨피그레이션) > Firewall(방화벽) > Identity by TrustSec(TrustSec별 ID) > Connection Peers(연결 피어) > Add(추가)

• 피어 IP 주소:<ISE IP 주소>

ISE SXP 컨피그레이션

전역 SXP 비밀번호 설정

WorkCenters(작업 센터) > TrustSec > Settings(설정) > SXP Settings(SXP 설정)

• 전역 암호:Cisco0123

SXP 장치 추가

WorkCenters(작업 센터) > TrustSec > SXP > SXP Devices(SXP 디바이스) > Add(추가)

SXP 확인

ISE SXP 확인

WorkCenters(작업 센터) > TrustSec > SXP > SXP Devices(SXP 디바이스)

ISE SXP 매핑

WorkCenters(작업 센터) > TrustSec > SXP > 모든 SXP 매핑

ASDM SXP 확인

Monitoring > Properties > Identity by TrustSec > SXP Connections

ASDM에서 SXP IP와 SGT 간 매핑 학습

Monitoring > Properties > Identity by TrustSec > IP Mappings

ISE에서 가져온 패킷 캡처