在ISE和ASAv之间配置TrustSec SXP

下载选项

  • PDF     (1.0 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (783.3 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (919.9 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2021 年 7 月 16 日
文档 ID:212202

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何在ISE(身份服务引擎)和ASAv(虚拟自适应安全设备)之间配置SXP(安全组交换协议)连接。

    SXP是TrustSec用于将IP到SGT的映射传播到TrustSec设备的SGT(安全组标记)交换协议。SXP的开发目的是允许网络(包括不支持SGT内联标记的第三方设备或传统思科设备)具有TrustSec功能。SXP是对等协议,一台设备将用作扬声器,另一台将用作侦听器。SXP发言人负责发送IP-SGT绑定,而侦听程序负责收集这些绑定。SXP连接使用TCP端口64999作为底层传输协议,使用MD5来实现消息完整性/真实性。

    SXP已在以下链接发布为IETF草案:

    https://datatracker.ietf.org/doc/draft-smith-kandula-sxp/

    先决条件

    要求

    TrustSec兼容性列表:

    http://www.cisco.com/c/en/us/solutions/enterprise-networks/trustsec/solution-overview-listing.html

    使用的组件

    ISE 2.3

    ASAv 9.8.1

    ASDM 7.8.1.150

    网络图

     IP 地址

    ISE:14.36.143.223

    ASAv:14.36.143.30

    初始配置

    ISE网络设备

    将ASA注册为网络设备

    WorkCenters > TrutSec >组件>网络设备>添

    生成带外(OOB)PAC(受保护访问凭证)并下载

    ASDM AAA服务器配置

    创建AAA服务器组

    Configuration > Firewall > Identity by TrustSec > Server Group Setup > Manage...

    AAA服务器组>添

    • AAA 服务器组:<组名>
    • 启用动态授权

    将服务器添加到服务器组

    所选组>添加中的服务器

    • 服务器名称或IP地址:<ISE IP地址>
    • 服务器身份验证端口:1812
    • 服务器记帐端口:1813
    • 服务器密钥:Cisco0123
    • 常用密码:Cisco0123

    从ISE下载的导入PAC

    Configuration > Firewall > Identity by TrustSec > Server Group Setup > Import PAC...

    • 密码:Cisco0123

    刷新环境数据

    Configuration > Firewall > Identity by TrustSec > Server Group Setup > Refresh Environment Data

    确认

    ISE实时日志

    操作> RADIUS >实时日志

    ISE安全组

    工作中心> TrustSec >组件>安全组

    ASDM PAC

    Monitoring > Properties > Identity by TrustSec > PAC

    ASDM环境数据和安全组

    Monitoring > Properties > Identity by TrustSec > Environment Data

    ASDM SXP配置

    启用SXP

    Configuration > Firewall > Identity by TrustSec > Enable SGT Exchange Protocol(SXP)

    设置默认SXP源IP地址和默认SXP密码

    Configuration > Firewall > Identity by TrustSec > Connection Peers

    添加SXP对等体

    Configuration > Firewall > Identity by TrustSec > Connection Peers > Add

    • 对等IP地址:<ISE IP地址>

    ISE SXP配置

    全局SXP密码设置

    WorkCenters > TrustSec > Settings > SXP Settings

    • 全局密码:Cisco0123

    添加SXP设备

    WorkCenters > TrustSec > SXP > SXP Devices > Add

    SXP验证

    ISE SXP验证

    WorkCenters > TrustSec > SXP > SXP Devices

    ISE SXP映射

    WorkCenters > TrustSec > SXP > All SXP Mappings

    ASDM SXP验证

    Monitoring > Properties > Identity by TrustSec > SXP Connections

    ASDM获知SXP IP到SGT的映射

    Monitoring > Properties > Identity by TrustSec > IP Mappings

    在ISE上捕获数据包

    修订历史记录

    版本 发布日期 备注
    1.0
    13-Oct-2017
    初始版本
    TAC Authored

    由思科工程师提供

    • Deon Pillsbury
      Cisco TAC

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品