소개
이 문서에서는 ISE(Identity Services Engine)와 ASAv(가상 Adaptive Security Appliance) 간 SXP(Security Group Exchange Protocol) 연결을 구성하는 방법에 대해 설명합니다.
SXP는 TrustSec에서 IP를 SGT에 TrustSec 디바이스에 매핑하는 데 사용하는 SGT(Security Group Tag) Exchange 프로토콜입니다.SXP는 서드파티 디바이스 또는 SGT 인라인 태깅을 지원하지 않는 레거시 Cisco 디바이스를 포함한 네트워크를 TrustSec 기능을 포함하도록 개발되었습니다.SXP는 피어링 프로토콜이며, 한 디바이스는 스피커로, 다른 디바이스는 리스너로 작동합니다.SXP 스피커는 IP-SGT 바인딩을 전송할 책임이 있으며 리스너는 이러한 바인딩을 수집할 책임이 있습니다.SXP 연결은 메시지 무결성/신뢰성을 위해 TCP 포트 64999를 기본 전송 프로토콜로 사용하고 MD5를 사용합니다.
SXP는 다음 링크에서 IETF 초안으로 게시되었습니다.
https://datatracker.ietf.org/doc/draft-smith-kandula-sxp/
사전 요구 사항
요구 사항
TrustSec 호환성 매트릭스:
http://www.cisco.com/c/en/us/solutions/enterprise-networks/trustsec/solution-overview-listing.html
사용되는 구성 요소
ISE 2.3
ASAv 9.8.1
ASDM 7.8.1.150
네트워크 다이어그램
IP 주소
ISE:14.36.143.223
ASAv:14.36.143.30
초기 컨피그레이션
ISE 네트워크 디바이스
ASA를 네트워크 디바이스로 등록
WorkCenters(작업 센터) > TrustSec > Components(구성 요소) > Network Devices(네트워크 디바이스) > Add(추가)
OOB(Out of Band) PAC(Protected Access Credential) 생성 및 다운로드
ASDM AAA 서버 컨피그레이션
AAA 서버 그룹 생성
Configuration(컨피그레이션) > Firewall(방화벽) > Identity by TrustSec(TrustSec별 ID) > Server Group Setup(서버 그룹 설정) > Manage(관리)...
AAA Server Groups(AAA 서버 그룹) > Add(추가)
- AAA 서버 그룹:<그룹 이름>
- 동적 권한 부여 사용
서버 그룹에 서버 추가
선택한 그룹의 서버 > 추가
- 서버 이름 또는 IP 주소:<ISE IP 주소>
- 서버 인증 포트:1812
- 서버 계정 포트:1813
- 서버 암호 키:Cisco0123
- 일반 암호:Cisco0123
ISE에서 다운로드한 PAC 가져오기
Configuration(컨피그레이션) > Firewall(방화벽) > Identity by TrustSec(TrustSec별 ID) > Server Group Setup(서버 그룹 설정) > Import PAC(PAC 가져오기)...
환경 데이터 새로 고침
Configuration(컨피그레이션) > Firewall(방화벽) > Identity by TrustSec(TrustSec별 ID) > Server Group Setup(서버 그룹 설정) > Refresh Environment Data(환경 데이터 새로 고침)
확인
ISE 라이브 로그
작업 > RADIUS > 라이브 로그
ISE 보안 그룹
작업 센터 > TrustSec > 구성 요소 > 보안 그룹
ASDM PAC
Monitoring > Properties > Identity by TrustSec > PAC
ASDM 환경 데이터 및 보안 그룹
Monitoring > Properties > Identity by TrustSec > Environment Data
ASDM SXP 컨피그레이션
SXP 사용
Configuration(컨피그레이션) > Firewall(방화벽) > Identity by TrustSec(TrustSec별 ID) > Enable SGT Exchange Protocol(SXP 활성화)
기본 SXP 소스 IP 주소 및 기본 SXP 비밀번호 설정
Configuration(컨피그레이션) > Firewall(방화벽) > Identity by TrustSec(TrustSec별 ID) > Connection Peers(연결 피어)
SXP 피어 추가
Configuration(컨피그레이션) > Firewall(방화벽) > Identity by TrustSec(TrustSec별 ID) > Connection Peers(연결 피어) > Add(추가)
ISE SXP 컨피그레이션
전역 SXP 비밀번호 설정
WorkCenters(작업 센터) > TrustSec > Settings(설정) > SXP Settings(SXP 설정)
SXP 장치 추가
WorkCenters(작업 센터) > TrustSec > SXP > SXP Devices(SXP 디바이스) > Add(추가)
SXP 확인
ISE SXP 확인
WorkCenters(작업 센터) > TrustSec > SXP > SXP Devices(SXP 디바이스)
ISE SXP 매핑
WorkCenters(작업 센터) > TrustSec > SXP > 모든 SXP 매핑
ASDM SXP 확인
Monitoring > Properties > Identity by TrustSec > SXP Connections
ASDM에서 SXP IP와 SGT 간 매핑 학습
Monitoring > Properties > Identity by TrustSec > IP Mappings
ISE에서 가져온 패킷 캡처