Configuratie van TrustSec SXP tussen ISE en ASA

Downloadopties

  • PDF     (1.0 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (808.6 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (960.0 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:16 juli 2021
Document-id:212202

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriƫntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u een SXP (Security Group Exchange Protocol)-verbinding tussen ISE (Identity Services Engine) en een ASAv (virtuele adaptieve security applicatie) kunt configureren.

    SXP is het SGT (Security Group Tag) uitwisselingsprotocol dat door TrustSec wordt gebruikt om IP te propageren naar SGT mappings aan TrustSec Devices. SXP is ontwikkeld om netwerken toe te staan waaronder derdenapparaten of oudere apparaten van Cisco die geen SGT inline tagging ondersteunen om TrustSec-functies te hebben. SXP is een peerprotocol, het ene apparaat fungeert als spreker en het andere als luisteraar. De SXP-spreker is verantwoordelijk voor het verzenden van de IP-SGT-bindingen en de luisteraar is verantwoordelijk voor het verzamelen van deze bindingen. De SXP-verbinding gebruikt TCP-poort 64999 als het onderliggende transportprotocol en MD5 voor berichtintegriteit/authenticiteit.

    SXP is als IETF-ontwerp gepubliceerd op de volgende link:

    https://datatracker.ietf.org/doc/draft-smith-kandula-sxp/

    Voorwaarden

    Vereisten

    TrustSec-compatibiliteitsmatrix

    http://www.cisco.com/c/en/us/solutions/enterprise-networks/trustsec/solution-overview-listing.html

    Gebruikte componenten

    ISE 2.3

    ASAv 9.8.1

    ASDM 7.8.1.150

    Netwerkdiagram

    212202-configure-trustsec-sxp-between-ise-and-a-00.png

     IP-adressen

    ISE: 14.36.143.223

    ASAv: 14.36.143.30

    Eerste configuratie

    ISE-netwerkapparaat

    ASA als netwerkapparaat registreren

    WorkCenters > TrutSEC > Componenten > Netwerkapparaten > Add

    212202-configure-trustsec-sxp-between-ise-and-a-01.jpeg

    212202-configure-trustsec-sxp-between-ise-and-a-02.jpeg

    212202-configure-trustsec-sxp-between-ise-and-a-03.jpeg

    Opent vanuit band (OB) PAC (Protected Access Credentials) en download

    212202-configure-trustsec-sxp-between-ise-and-a-04.jpeg

    212202-configure-trustsec-sxp-between-ise-and-a-05.jpeg

    212202-configure-trustsec-sxp-between-ise-and-a-06.jpeg

    ASDM AAA-serverconfiguratie

    AAA-servergroep maken

    Configuratie > Firewall > Identiteit door TrustSec > Instellingen servergroep > Beheer...

    212202-configure-trustsec-sxp-between-ise-and-a-07.jpeg

    AAA-servergroepen > Toevoegen

    212202-configure-trustsec-sxp-between-ise-and-a-08.jpeg

    • AAA-servergroep: <groepsnaam>
    • Dynamische autorisatie inschakelen

    212202-configure-trustsec-sxp-between-ise-and-a-09.jpeg

    Server aan servergroep toevoegen

    servers in de geselecteerde groep > Toevoegen

    212202-configure-trustsec-sxp-between-ise-and-a-10.jpeg

    • Server naam of IP adres: <ISE IP-adres>
    • Server verificatiepoort: 1812
    • Boekhoudpoort op server: 1813
    • Sectorsleutel: Cisco UCS 0123
    • Wachtwoord: Cisco UCS 0123

    212202-configure-trustsec-sxp-between-ise-and-a-11.jpeg

    PAC importeren gedownload van ISE

    Configuratie > Firewall > Identiteit door TrustSec > Instellingen servergroep > PAC importeren...

    212202-configure-trustsec-sxp-between-ise-and-a-12.jpeg

    • Wachtwoord: Cisco UCS 0123

    212202-configure-trustsec-sxp-between-ise-and-a-13.jpeg

    212202-configure-trustsec-sxp-between-ise-and-a-14.jpeg

    Verfris milieugegevens

    Configuratie > Firewall > Identity Connector by TrustSec > Server Group Setup > Environment Data ververversen

    212202-configure-trustsec-sxp-between-ise-and-a-15.jpeg

    Verificatie

    ISE live-weblogs

    Operations > RADIUS > Live Logs

    212202-configure-trustsec-sxp-between-ise-and-a-16.jpeg

    212202-configure-trustsec-sxp-between-ise-and-a-17.jpeg

    212202-configure-trustsec-sxp-between-ise-and-a-18.jpeg

    212202-configure-trustsec-sxp-between-ise-and-a-19.jpeg

    212202-configure-trustsec-sxp-between-ise-and-a-20.jpeg

    212202-configure-trustsec-sxp-between-ise-and-a-21.jpeg

    ISE-beveiligingsgroepen

    Workcenters > TrustSec > Componenten > Security Groepen

    212202-configure-trustsec-sxp-between-ise-and-a-22.jpeg

    ASDM PAC

    Bewaking > Eigenschappen > Identiteit door TrustSec > PAC

    212202-configure-trustsec-sxp-between-ise-and-a-23.jpeg

    ASDM-milieugegevens en -beveiligingsgroepen

    Bewaking > Eigenschappen > Identity via TrustSec > Environment Data

    212202-configure-trustsec-sxp-between-ise-and-a-24.jpeg

    ASDM SXP-configuratie

    SXP inschakelen

    Configuratie > Firewall > Identity Connector by TrustSec > SGT Exchange Protocol inschakelen (SXP)

    212202-configure-trustsec-sxp-between-ise-and-a-25.jpeg

    Standaard SXP-Bron-IP-adres en standaard SXP-wachtwoord instellen

    Configuratie > Firewall > Identity Connector by TrustSec > Connection-peers

    212202-configure-trustsec-sxp-between-ise-and-a-26.jpeg

    SXP-peer toevoegen

    Configuratie > Firewall > Identity Connector by TrustSec > Connection peers > Add

    212202-configure-trustsec-sxp-between-ise-and-a-27.jpeg

    • Peer IP-adres: <ISE IP-adres>

    212202-configure-trustsec-sxp-between-ise-and-a-28.jpeg

    ISE SXP-configuratie

    Instelling van Global SXP-wachtwoord

    WorkCenters > TrustSec > Instellingen > SXP Instellingen

    • Wereldwijd wachtwoord: Cisco UCS 0123

    212202-configure-trustsec-sxp-between-ise-and-a-29.jpeg

    SXP-apparaat toevoegen

    WorkCenters > TrustSec > SXP > SXP Devices > Add

    212202-configure-trustsec-sxp-between-ise-and-a-30.jpeg

    SXP-verificatie

    ISE SXP-verificatie

    WorkCenters > TrustSec > SXP > SXP Devices

    212202-configure-trustsec-sxp-between-ise-and-a-31.jpeg

    ISE SXP-Maps

    WorkCenter > TrustSec > SXP > All SXP Mappings

    212202-configure-trustsec-sxp-between-ise-and-a-32.jpeg

    ASDM SXP-verificatie

    Bewaking > Eigenschappen > Identiteit door TrustSec > SXP-verbindingen

    212202-configure-trustsec-sxp-between-ise-and-a-33.jpeg

    ASDM geleerde SXP IP naar SGT Maps

    Bewaking > Eigenschappen > Identiteit door TrustSec > IP Maps

    212202-configure-trustsec-sxp-between-ise-and-a-34.jpeg

    Packet Capture overgenomen op ISE

    212202-configure-trustsec-sxp-between-ise-and-a-35.jpeg

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    13-Oct-2017
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Deon Pillsbury
      Cisco TAC

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten