Inleiding
Dit document beschrijft hoe u een SXP (Security Group Exchange Protocol)-verbinding tussen ISE (Identity Services Engine) en een ASAv (virtuele adaptieve security applicatie) kunt configureren.
SXP is het SGT (Security Group Tag) uitwisselingsprotocol dat door TrustSec wordt gebruikt om IP te propageren naar SGT mappings aan TrustSec Devices. SXP is ontwikkeld om netwerken toe te staan waaronder derdenapparaten of oudere apparaten van Cisco die geen SGT inline tagging ondersteunen om TrustSec-functies te hebben. SXP is een peerprotocol, het ene apparaat fungeert als spreker en het andere als luisteraar. De SXP-spreker is verantwoordelijk voor het verzenden van de IP-SGT-bindingen en de luisteraar is verantwoordelijk voor het verzamelen van deze bindingen. De SXP-verbinding gebruikt TCP-poort 64999 als het onderliggende transportprotocol en MD5 voor berichtintegriteit/authenticiteit.
SXP is als IETF-ontwerp gepubliceerd op de volgende link:
https://datatracker.ietf.org/doc/draft-smith-kandula-sxp/
Voorwaarden
Vereisten
TrustSec-compatibiliteitsmatrix
http://www.cisco.com/c/en/us/solutions/enterprise-networks/trustsec/solution-overview-listing.html
Gebruikte componenten
ISE 2.3
ASAv 9.8.1
ASDM 7.8.1.150
Netwerkdiagram
IP-adressen
ISE: 14.36.143.223
ASAv: 14.36.143.30
Eerste configuratie
ISE-netwerkapparaat
ASA als netwerkapparaat registreren
WorkCenters > TrutSEC > Componenten > Netwerkapparaten > Add
Opent vanuit band (OB) PAC (Protected Access Credentials) en download
ASDM AAA-serverconfiguratie
AAA-servergroep maken
Configuratie > Firewall > Identiteit door TrustSec > Instellingen servergroep > Beheer...
AAA-servergroepen > Toevoegen
- AAA-servergroep: <groepsnaam>
- Dynamische autorisatie inschakelen
Server aan servergroep toevoegen
servers in de geselecteerde groep > Toevoegen
- Server naam of IP adres: <ISE IP-adres>
- Server verificatiepoort: 1812
- Boekhoudpoort op server: 1813
- Sectorsleutel: Cisco UCS 0123
- Wachtwoord: Cisco UCS 0123
PAC importeren gedownload van ISE
Configuratie > Firewall > Identiteit door TrustSec > Instellingen servergroep > PAC importeren...
- Wachtwoord: Cisco UCS 0123
Verfris milieugegevens
Configuratie > Firewall > Identity Connector by TrustSec > Server Group Setup > Environment Data ververversen
Verificatie
ISE live-weblogs
Operations > RADIUS > Live Logs
ISE-beveiligingsgroepen
Workcenters > TrustSec > Componenten > Security Groepen
ASDM PAC
Bewaking > Eigenschappen > Identiteit door TrustSec > PAC
ASDM-milieugegevens en -beveiligingsgroepen
Bewaking > Eigenschappen > Identity via TrustSec > Environment Data
ASDM SXP-configuratie
SXP inschakelen
Configuratie > Firewall > Identity Connector by TrustSec > SGT Exchange Protocol inschakelen (SXP)
Standaard SXP-Bron-IP-adres en standaard SXP-wachtwoord instellen
Configuratie > Firewall > Identity Connector by TrustSec > Connection-peers
SXP-peer toevoegen
Configuratie > Firewall > Identity Connector by TrustSec > Connection peers > Add
- Peer IP-adres: <ISE IP-adres>
ISE SXP-configuratie
Instelling van Global SXP-wachtwoord
WorkCenters > TrustSec > Instellingen > SXP Instellingen
- Wereldwijd wachtwoord: Cisco UCS 0123
SXP-apparaat toevoegen
WorkCenters > TrustSec > SXP > SXP Devices > Add
SXP-verificatie
ISE SXP-verificatie
WorkCenters > TrustSec > SXP > SXP Devices
ISE SXP-Maps
WorkCenter > TrustSec > SXP > All SXP Mappings
ASDM SXP-verificatie
Bewaking > Eigenschappen > Identiteit door TrustSec > SXP-verbindingen
ASDM geleerde SXP IP naar SGT Maps
Bewaking > Eigenschappen > Identiteit door TrustSec > IP Maps
Packet Capture overgenomen op ISE