CISCO Trustsec Builds Secure Guida di l'utilizatori di a rete
Cisco TrustSec crea rete sicure stabilendu domini di dispositivi di rete di fiducia. Ogni dispusitivu in u duminiu hè autenticatu da i so pari. A cumunicazione nantu à i ligami trà i dispositi in u duminiu hè assicurata cù una cumminazione di criptografia, verificazione di l'integrità di u messagiu è meccanismi di prutezzione di replay di data-path.Restrizioni per Cisco TrustSec
- L'approvvigionamentu di credenziali d'accessu protetti (PAC) falla è resta in u statu hang, quandu hè specificatu un ID di u dispositivu invalidu. Ancu dopu avè sbulicatu u PAC, è cunfigurà l'ID di u dispositivu currettu è a password, PAC falla sempre.
Cum'è una soluzione alternativa, in u Cisco Identity Services Engine (ISE), desmarcate l'Suppress Anomalous Clients.
opzione in l'Amministrazione> Sistema> Settings> Protocols> Radius menu per PAC per travaglià. - Cisco TrustSec ùn hè micca supportatu in u modu FIPS.
- E seguenti restrizioni sò applicabili solu à u mudellu C9500X-28C8D di Cisco Catalyst 9500 Series Switches:
• A cunfigurazione manuale di Cisco TrustSec ùn hè micca supportata.
• A funziunalità Cisco TrustSec Security Association Protocol (SAP) ùn hè micca supportatu.
• Cisco TrustSec metadata header encapsulation ùn hè micca supportatu.
Informazioni nantu à Cisco TrustSec Architecture
L'architettura di sicurezza Cisco TrustSec crea rete sicure stabilendu domini di dispositivi di rete di fiducia. Ogni dispusitivu in u duminiu hè autenticatu da i so pari. A cumunicazione nantu à i ligami trà i dispositi in u duminiu hè assicurata cù una cumminazione di criptografia, verificazione di l'integrità di u messagiu è meccanismi di prutezzione di replay di data-path. Cisco TrustSec usa i credenziali di u dispositivu è di l'utilizatori acquistati durante l'autentificazione per classificà i pacchetti per gruppi di sicurezza (SG) mentre entranu in a reta. Questa classificazione di pacchetti hè mantinuta da tagging packets on ingress to the Cisco TrustSec network in modu chì ponu esse identificati currettamente per u scopu di applicà criterii di sicurità è altri pulitichi longu u percorsu di dati. U tag, chjamatu u gruppu di sicurità tag (SGT), permette à a reta di rinfurzà a pulitica di cuntrollu di l'accessu, permettendu à u dispositivu endpoint per agisce nantu à u SGT per filtrà u trafficu.
I ligami Cisco TrustSec IEEE 802.1X ùn sò micca supportati nantu à e piattaforme supportate in u Cisco IOS XE Denali(16.1.x à 16.3.x), Cisco IOS XE Everest (16.4.x à 16.6.x), è Cisco IOS XE Fuji (16.7.x à 16.9.x), è dunque solu l'Authenticator hè supportatu; u Supplicant ùn hè micca supportatu.
L'architettura Cisco TrustSec incorpora trè cumpunenti chjave:
- Infrastruttura di rete autentificata-Dopu chì u primu dispositivu (chjamatu u dispositivu di sementa) autentifica cù u servitore di autentificazione per inizià u duminiu Cisco TrustSec, ogni novu dispositivu aghjuntu à u duminiu hè autentificatu da i so dispusitivi pari digià in u duminiu. I pari agiscenu cum'è intermediari per u servitore di autentificazione di u duminiu. Ogni dispositivu novu autentificatu hè categurizatu da u servitore di autentificazione è attribuitu un numeru di gruppu di sicurità basatu nantu à a so identità, u rolu è a postura di sicurità.
- U cuntrollu di l'accessu basatu in u gruppu di sicurezza - e pulitiche d'accessu in u duminiu Cisco TrustSec sò indipindenti da a topologia, basatu annantu à i roli (cum'è indicatu da u numeru di u gruppu di sicurezza) di i dispositi fonte è di destinazione invece di l'indirizzi di a rete. I pacchetti individuali sò tagged cù u numeru di gruppu di sicurità di a surgente.
- Comunicazione sicura - Cù hardware capace di criptografia, a cumunicazione nantu à ogni ligame trà i dispositi in u duminiu pò esse assicurata cù una cumminazione di criptografia, cuntrolli di integrità di missaghju è meccanismi di prutezzione di replay di dati.
A figura seguente mostra un example di un duminiu Cisco TrustSec. In questu example, parechji dispositi di rete è un dispositivu endpoint sò in u duminiu Cisco TrustSec. Un dispositivu endpoint è un dispositivu di rete sò fora di u duminiu perchè ùn sò micca dispusitivi Cisco TrustSec-capable o perchè sò stati rifiutati l'accessu. U servitore di autentificazione hè cunsideratu fora di u duminiu Cisco TrustSec; hè o un Cisco Identities Service Engine (Cisco ISE), o un Cisco Secure Access Control System (Cisco ACS).
Figura 1: Cisco TrustSec Network Domain Example
Ogni participante in u prucessu di autentificazione Cisco TrustSec agisce in unu di i seguenti roli:
- Supplicant - Un dispositivu micca autenticatu cunnessu à un peer in u duminiu Cisco TrustSec, è prova di unisce à u duminiu Cisco TrustSec.
- Servitore di autentificazione - U servitore chì valida l'identità di u supplicant è emette e pulitiche chì determinanu l'accessu di u supplicant à i servizii in u duminiu Cisco TrustSec.
- Autentificatore - Un dispositivu autentificatu chì hè digià parte di u duminiu Cisco TrustSec è pò autentificà novi supplicanti peer in nome di u servitore di autentificazione.
Quandu u ligame trà un supplicant è un autentificatore vene prima, a seguente sequenza di avvenimenti tipicamenti si trova:
- Autentificazione (802.1X) - U supplicant hè autentificatu da u servitore di autentificazione, cù l'autentificatore chì agisce cum'è intermediariu. L'autentificazione mutuale hè realizata trà i dui pari (supplicante è autentificatore).
- Autorizazione - Basatu nantu à l'infurmazioni d'identità di u supplicant, u servitore di autentificazione furnisce e pulitiche d'autorizazione, cum'è l'assignazioni di u gruppu di sicurità è l'ACL, à ognunu di i pari ligati. U servitore d'autentificazione furnisce l'identità di ogni peer à l'altru, è ogni peer poi applica a pulitica approprita per u ligame.
- Negoziazione di u Protocolu di l'Associazione di Sicurezza (SAP) - Quandu i dui lati di un ligame supportanu a criptografia, u supplicante è l'autentificatore negocianu i paràmetri necessarii per stabilisce una associazione di sicurezza (SA).
SAP ùn hè micca supportatu nantu à interfacce 100G. Avemu cunsigliatu per aduprà u protocolu MACsec Key Agreement(MKA) cù numerazione di pacchetti estesa (XPN) in interfacce 100G.
Quandu tutti i trè passi sò cumpleti, l'autentificatore cambia u statu di u ligame da u statu micca autorizatu (blocking) à u statu autorizatu, è u supplicant diventa un membru di u duminiu Cisco TrustSec.
Cisco TrustSec usa l'ingress tagging and egress filtering per rinfurzà a pulitica di cuntrollu di l'accessu in una manera scalabile. I pacchetti chì entranu in u duminiu sò tagcun un gruppu di sicurità tag (SGT) chì cuntene u numeru di gruppu di sicurità assignatu di u dispusitivu fonte. Questa classificazione di pacchetti hè mantinuta longu u percorsu di dati in u duminiu Cisco TrustSec per u scopu di applicà criteri di sicurità è altri criteri di pulitica. U dispositivu Cisco TrustSec finali nantu à u percorsu di dati, sia l'endpoint o u puntu di egressu di a rete, impone una pulitica di cuntrollu di l'accessu basatu annantu à u gruppu di sicurità di u dispositivu fonte Cisco TrustSec è u gruppu di sicurità di u dispusitivu Cisco TrustSec finali. A cuntrariu di listi tradiziunali di cuntrollu di l'accessu basati nantu à l'indirizzi di rete, i pulitiche di cuntrollu di l'accessu di Cisco TrustSec sò una forma di liste di cuntrollu di accessu basatu in roli (RBACLs) chjamati listi di cuntrollu d'accessu di gruppu di sicurezza (SGACL).
Ingressu si riferisce à i pacchetti chì entranu in u primu dispositivu Cisco TrustSec-capable incontratu da un pacchettu in u so percorsu à a destinazione è egress si riferisce à i pacchetti chì abbandunonu l'ultimu dispositivu Cisco TrustSec-capable in u percorsu.Autentificazione
Cisco TrustSec è Autentificazione
Utilizendu u Controlu di Admissione di Dispositivi di Rete (NDAC), Cisco TrustSec autentifica un dispositivu prima di permette di unisce à a reta. NDAC usa l'autenticazione 802.1X cù l'autenticazione flessibile di u protocolu d'autenticazione estensibile via un tunnel sicuru (EAP-FAST) cum'è u metudu di u protocolu di autenticazione estensibile (EAP) per realizà l'autentificazione. E conversazioni EAP-FAST furniscenu altri scambii di metudu EAP in u tunnel EAP-FAST utilizendu catene. L'amministratori ponu utilizà i metudi tradiziunali di autenticazione di l'utilizatori, cum'è Microsoft Challenge Handshake Authentication Protocol Version 2 (MSCHAPv2), mentre anu sempre a sicurità furnita da u tunnel EAP-FAST. Durante u scambiu EAP-FAST, u servitore di autentificazione crea è furnisce à u suplicante una credenza d'accessu protetta unica (PAC) chì cuntene una chjave spartuta è un token criptatu per esse utilizatu per futuri cumunicazioni sicure cù u servitore di autentificazione.
A figura seguente mostra u tunnel EAP-FAST è i metudi interni cum'è utilizatu in Cisco TrustSec.
Figura 2: Autenticazione Cisco TrustSec
Cisco TrustSec miglioramenti à EAP-FAST
L'implementazione di EAP-FAST per Cisco TrustSec hà i seguenti miglioramenti:
- Autentificate l'autentificatore - Determina in modu sicuru l'identità di l'autenticatore esigendu chì l'autentificatore utilizeghja u so PAC per derivà a chjave spartuta trà ellu è u servitore di autentificazione. Questa funzione impedisce ancu di cunfigurà e chjave sparte RADIUS in u servitore di autentificazione per ogni indirizzu IP pussibule chì pò esse usatu da l'autentificatore.
- Notificà ogni dispositivu di l'identità di u so paru - À a fine di u scambiu d'autentificazione, u servitore d'autentificazione hà identificatu u suplicante è l'autentificatore. U servitore di autentificazione trasmette l'identità di l'autentificatore, è se l'autentificatore hè Cisco TrustSec-capable, à u supplicant utilizendu parametri supplementari di u valore di lunghezza di tipu (TLV) in a terminazione EAP-FAST prutetta. U servitore di autentificazione trasmette ancu l'identità di u supplicant, è se u supplicant hè Cisco TrustSec-capable, à l'autentificatore utilizendu attributi RADIUS in u messagiu Access-Accept.
Perchè ogni dispusitivu cunnosci l'identità di u so paru, pò mandà à RADIUS Access-Requests supplementari à u servitore di autentificazione per acquistà a pulitica per esse applicata nantu à u ligame.
Selezzione di u rolu 802.1X
In 802.1X, l'autentificatore deve avè una cunnessione IP cù u servitore di autentificazione perchè deve trasmette u scambiu di autentificazione trà u supplicant è l'autentificatore utilizendu RADIUS per UDP / IP. Quandu un dispositivu endpoint, cum'è un PC, cunnetta à una reta, hè ovvi chì deve funziunà cum'è supplicant. In ogni casu, in u casu di una cunnessione Cisco TrustSec trà dui dispositi di rete, u rolu 802.1X di ogni dispositivu di rete puderia micca esse immediatamente apparente à l'altru dispositivu di rete.
Invece di dumandà a cunfigurazione manuale di l'autenticatore è i roli di supplicante per dui switch adiacenti, Cisco TrustSec esegue un algoritmu di selezzione di rolu per determinà automaticamente quale switch funziona cum'è autentificatore è quale funziona cum'è supplicant. L'algoritmu di selezzione di u rolu assigna u rolu di l'autentificatore à u switch chì hà una accessibilità IP à un servitore RADIUS. I dui interruttori avvianu tramindui l'autenticatore è e macchine di u statu supplicant. Quandu un switch detecta chì u so paru hà accessu à un servitore RADIUS, termina a so propria macchina di statu di autentificatore è assume u rolu di u supplicant. Se i dui switches anu accessu à un servitore RADIUS, u primu switch per riceve una risposta da u servitore RADIUS diventa l'autentificatore è l'altru switch diventa u supplicant.
Riassuntu di l'autentificazione Cisco TrustSec
À a fine di u prucessu di autentificazione Cisco TrustSec, u servitore di autentificazione hà realizatu e seguenti azzioni:
- Verificatu l'identità di u supplicant è l'autentificatore.
- Autentificatu l'utilizatore se u supplicant hè un dispositivu endpoint.
À a fine di u prucessu di autentificazione Cisco TrustSec, sia l'autentificatore sia u supplicante cunnoscenu i seguenti:
- seguenti:
- ID di u dispositivu di u peer
- Cisco TrustSec infurmazione di capacità di u peer
- Chjave utilizata per u SAP
Identità di u dispusitivu
Cisco TrustSec ùn usa micca indirizzi IP o indirizzi MAC cum'è identità di u dispositivu. Invece, assignate un nome (ID di u dispositivu) à ogni switch Cisco TrustSec-capable per identificà unicu in u duminiu Cisco TrustSec. Stu ID di u dispusitivu hè usatu per i seguenti:
- Cerchendu a pulitica d'autorizazione
- Cerchendu password in e basa di dati durante l'autentificazione
Credenziali di u dispositivu
Cisco TrustSec supporta credenziali basate in password. Cisco TrustSec autentifica i supplicanti attraversu password è usa MSCHAPv2 per furnisce l'autentificazione mutuale.
U servitore di autentificazione usa queste credenziali per autentificà mutualmente u supplicante durante u scambiu EAP-FAST fase 0 (provisioning) induve un PAC hè furnitu in u supplicant. Cisco TrustSec ùn eseguisce micca u scambiu di a fase 0 EAP-FAST di novu finu à a scadenza di u PAC, è eseguisce solu scambii di fasi 1 è fasi 2 EAP-FAST per future inserzioni di ligami. U scambiu di a fase 1 EAP-FAST usa u PAC per autentificà mutualmente u servitore di autentificazione è u supplicant. Cisco TrustSec usa e credenziali di u dispositivu solu durante i passi di PAC (o reprovisioning).
Quandu u supplicant si unisce prima à u duminiu Cisco TrustSec, u servitore d'autentificazione autentifica u supplicant è spinge una chjave cumuni è un token criptatu à u supplicant cù u PAC. U servitore di autentificazione è u supplicante utilizanu sta chjave è u token per l'autentificazione mutuale in tutti i futuri scambii EAP-FAST di fase 0.
Credenziali d'utilizatore
Cisco TrustSec ùn hà micca bisognu di un tipu specificu di credenziali d'utilizatore per i dispositi endpoint. Pudete sceglie ogni tipu di metudu di autentificazione d'utilizatori chì hè supportatu da u servitore di autentificazione, è utilizate e credenziali currispundenti. Per esample, u Cisco Secure Access Control System (ACS) versione 5.1 supporta MSCHAPv2, token card generica (GTC), o RSA password one-time (OTP)
Cuntrollu di Accessu Basatu in Gruppi di Sicurezza
Questa sezione furnisce infurmazioni nantu à e liste di cuntrollu d'accessu basatu in gruppi di sicurezza (SGACL).
Questa sezione furnisce infurmazioni nantu à e liste di cuntrollu d'accessu basatu in gruppi di sicurezza (SGACL).
Gruppi di Sicurezza è SGT
Un gruppu di sicurità hè un raggruppamentu di l'utilizatori, i dispositi finali è e risorse chì sparte e pulitiche di cuntrollu di l'accessu. I gruppi di sicurezza sò definiti da l'amministratore in u Cisco ISE o Cisco Secure ACS. Quandu i novi utilizatori è i dispositi sò aghjuntu à u duminiu Cisco TrustSec, u servitore d'autentificazione assigna sti novi entità à i gruppi di sicurezza appropritati. Cisco TrustSec assigna à ogni gruppu di sicurità un numeru unicu di gruppu di sicurità di 16 bit chì u so scopu hè globale in un duminiu Cisco TrustSec. U numaru di gruppi di sicurità in u dispusitivu hè limitatu à u numeru di entità di rete autentificate. Ùn avete micca cunfigurà manualmente i numeri di gruppu di sicurità.
Un gruppu di sicurità hè un raggruppamentu di l'utilizatori, i dispositi finali è e risorse chì sparte e pulitiche di cuntrollu di l'accessu. I gruppi di sicurezza sò definiti da l'amministratore in u Cisco ISE o Cisco Secure ACS. Quandu i novi utilizatori è i dispositi sò aghjuntu à u duminiu Cisco TrustSec, u servitore d'autentificazione assigna sti novi entità à i gruppi di sicurezza appropritati. Cisco TrustSec assigna à ogni gruppu di sicurità un numeru unicu di gruppu di sicurità di 16 bit chì u so scopu hè globale in un duminiu Cisco TrustSec. U numaru di gruppi di sicurità in u dispusitivu hè limitatu à u numeru di entità di rete autentificate. Ùn avete micca cunfigurà manualmente i numeri di gruppu di sicurità.
Una volta un dispusitivu hè autentificata, Cisco TrustSec tags ogni pacchettu chì vene da quellu dispusitivu cù un gruppu di sicurità tag (SGT) chì cuntene u numeru di gruppu di sicurità di u dispusitivu. U pacchettu porta stu SGT in tutta a reta in l'intestazione Cisco TrustSec. U SGT hè una sola etichetta chì determina i privilegi di a fonte in tutta l'impresa.
Perchè u SGT cuntene u gruppu di sicurità di a fonte, u tag pò esse chjamatu a fonte SGT. U dispusitivu di destinazione hè ancu assignatu à un gruppu di sicurità (u destinazione SG) chì pò esse riferitu per simplicità cum'è u gruppu di destinazione. tag (DGT), anche se l'attuale pacchetto Cisco TrustSec tag ùn cuntene u numeru di gruppu di sicurità di u dispusitivu di destinazione.
Supportu ACL di u Gruppu di Sicurezza
Listi di cuntrollu di l'accessu di u gruppu di sicurezza (SGACLs) hè una applicazione di pulitica per via di quale l'amministratore pò cuntrullà l'operazioni realizate da un utilizatore, basatu annantu à l'assignazioni di u gruppu di sicurezza è e risorse di destinazione. L'applicazione di a pulitica in u duminiu Cisco Trustsec hè rapprisintata da una matrice di permessi, cù u numeru di u gruppu di sicurità di l'urigine in un assi è u numeru di u gruppu di sicurezza di destinazione in l'altru assi. Ogni cellula in a matrice cuntene una lista urdinata di SGACL, chì specifica i permessi chì deve esse appiicati à i pacchetti urigginati da un IP chì appartene à un gruppu di sicurità di l'urighjini è avè un IP di destinazione chì appartene à u gruppu di sicurità di destinazione.
Listi di cuntrollu di l'accessu di u gruppu di sicurezza (SGACLs) hè una applicazione di pulitica per via di quale l'amministratore pò cuntrullà l'operazioni realizate da un utilizatore, basatu annantu à l'assignazioni di u gruppu di sicurezza è e risorse di destinazione. L'applicazione di a pulitica in u duminiu Cisco Trustsec hè rapprisintata da una matrice di permessi, cù u numeru di u gruppu di sicurità di l'urigine in un assi è u numeru di u gruppu di sicurezza di destinazione in l'altru assi. Ogni cellula in a matrice cuntene una lista urdinata di SGACL, chì specifica i permessi chì deve esse appiicati à i pacchetti urigginati da un IP chì appartene à un gruppu di sicurità di l'urighjini è avè un IP di destinazione chì appartene à u gruppu di sicurità di destinazione.
SGACL furnisce un mecanismu di cuntrollu di l'accessu senza statu basatu annantu à l'associazione di sicurezza o gruppu di sicurità tag valore invece di indirizzi IP è filtri. Ci hè trè manere di furnisce una pulitica SGACL:
- Pruvisione di pulitica statica: E pulitiche SGACL sò definite da l'utilizatore utilizendu l'autorizazione basata in u rolu di u cumandamentu cts.
- Pruvisione di pulitica dinamica: A cunfigurazione di e pulitiche SGACL deve esse fatta principalmente per mezu di a funzione di gestione di pulitica di u Cisco Secure ACS o u Cisco Identity Services Engine.
- Cambiamentu di l'Autorizazione (CoA): A pulitica aghjurnata hè scaricata quandu a pulitica SGACL hè mudificata nantu à l'ISE è CoA hè imbuttatu à u dispusitivu Cisco TrustSec.
U pianu di dati di u dispositivu riceve i pacchetti CoA da u fornitore di pulitica (ISE) è applica a pulitica à i pacchetti CoA. I pacchetti sò poi trasmessi à u pianu di cuntrollu di u dispositivu induve u prossimu livellu di applicazione di a pulitica accade per i pacchetti CoA entranti. À view l'informazioni di u cuntatore di a pulitica di u hardware è di u software, eseguite u cumandamentu di i contatori basati in roli show cts in modu EXEC privilegiatu.
Politiche SGACL
Utilizendu listi di cuntrollu di l'accessu di u gruppu di sicurezza (SGACLs), pudete cuntrullà l'operazioni chì l'utilizatori ponu esse realizatu basatu annantu à l'assignazioni di u gruppu di sicurezza di l'utilizatori è e risorse di destinazione. L'applicazione di e pulitiche in u duminiu Cisco TrustSec hè rapprisintata da una matrice di permessi, cù i numeri di u gruppu di sicurità di fonte in un assi è i numeri di u gruppu di sicurezza di destinazione in l'altru assi. Ogni cellula in u corpu di a matrice pò cuntene una lista urdinata di SGACL chì specifica i permessi chì deve esse appiicati à i pacchetti urigginati da u gruppu di sicurità di l'urighjini è destinati à u gruppu di sicurità di destinazione.
A figura seguente mostra un example di una matrice di permessi Cisco TrustSec per un duminiu simplice cù trè roli d'utilizatori definiti è una risorsa di destinazione definita. Trè pulitiche SGACL cuntrolanu l'accessu à u servitore di destinazione basatu annantu à u rolu di l'utilizatore.
Figura 3: SGACL Policy Matrix Example
Assignendu l'utilizatori è i dispositi in a reta à i gruppi di sicurità è l'applicà u cuntrollu di l'accessu trà i gruppi di sicurezza, Cisco TrustSec ottenga un cuntrollu di accessu indipendente da a topologia basatu à u rolu in a reta. Perchè SGACL definisce e pulitiche di cuntrollu di l'accessu basatu annantu à l'identità di u dispositivu invece di l'indirizzi IP cum'è in l'ACL tradiziunali, i dispositi di rete sò liberi di spustà in tutta a reta è cambia l'indirizzi IP.
Mentre i roli è i permessi restanu listessi, i cambiamenti à a topologia di a rete ùn cambianu micca a pulitica di sicurità. Quandu un utilizatore hè aghjuntu à u dispositivu, simpricimenti assignà l'utilizatore à un gruppu di sicurità adattatu è l'utilizatore riceve immediatamente i permessi di quellu gruppu.
Mentre i roli è i permessi restanu listessi, i cambiamenti à a topologia di a rete ùn cambianu micca a pulitica di sicurità. Quandu un utilizatore hè aghjuntu à u dispositivu, simpricimenti assignà l'utilizatore à un gruppu di sicurità adattatu è l'utilizatore riceve immediatamente i permessi di quellu gruppu.
E pulitiche SGACL sò applicate à u trafficu chì hè generatu trà dui dispositi ospiti, micca à u trafficu chì hè generatu da un dispositivu à un dispositivu host finale.L'usu di permessi basati nantu à u rolu riduce assai a dimensione di l'ACL è simplifica u so mantenimentu. Cù Cisco TrustSec, u nùmeru di l'accessu di cuntrollu di l'accessu (ACE) cunfigurati hè determinatu da u nùmeru di permessi specificati, risultatu in un numeru assai più chjucu di ACE chì in una reta IP tradiziunale. L'usu di SGACL in Cisco TrustSec tipicamenti risultati in un usu più efficiente di risorse TCAM cumparatu cù ACL tradiziunali. Un massimu di 17,500 pulitiche SGACL sò supportati nantu à i Switch Catalyst 9500 Series. Nant'à i Switch di Serie Catalyst 9500 High Performance, un massimu di 28,224 pulitiche SGACL sò supportati.
Ingressu Tagging and Egress Enforcement
U cuntrollu di l'accessu Cisco TrustSec hè implementatu cù l'ingressu tagesecuzione di ging è egress. À u puntu di ingressu à u duminiu Cisco TrustSec, u trafficu da a fonte hè tagged cun un SGT chì cuntene u numeru di gruppu di sicurità di l'entità fonte. U SGT hè propagatu cù u trafficu à traversu u duminiu. À u puntu di egressu di u duminiu Cisco TrustSec, un dispositivu di egressu usa a fonte SGT è u numeru di gruppu di sicurità di l'entità di destinazione (a destinazione SG, o DGT) per determinà quale pulitica d'accessu per applicà da a matrice di pulitica SGACL.
A figura seguente mostra cumu l'assignazione SGT è l'applicazione SGACL operanu in un duminiu Cisco TrustSec.
Figura 4: SGT è SGACL in un Cisco TrustSec Domain
- U PC host trasmette un pacchettu à u web servitore. Ancu se u PC è u web u servitore ùn sò micca membri di u duminiu Cisco TrustSec, a strada di dati di u pacchettu include u duminiu Cisco TrustSec.
- U Cisco TrustSec ingress device mudifica u pacchettu per aghjunghje un SGT cù u numeru di u gruppu di sicurità 3, u numeru di gruppu di sicurità assignatu da u servitore di autentificazione per u PC host.
- U dispusitivu di egressu Cisco TrustSec impone a pulitica SGACL chì si applica à u gruppu fonte 3 è u gruppu di destinazione 4, u numeru di gruppu di sicurità assignatu da u servitore di autentificazione per u web servitore.
- Se u SGACL permette u pacchettu per esse trasmessu, u switch di uscita di Cisco TrustSec modifica u pacchettu per sguassà u SGT è trasmette u pacchettu à u web servitore.
Determinà u Gruppu di Sicurezza Surghjente
Un dispositivu di rete à l'ingressu di u duminiu Cisco TrustSec deve determinà u SGT di u pacchettu chì entra in u duminiu Cisco TrustSec per pudè. tag u pacchettu cù quellu SGT quandu u trasmette in u duminiu Cisco TrustSec. U dispusitivu di a reta di egressu deve determinà u SGT di u pacchettu per applicà un SGACL.
U dispusitivu di rete pò determinà u SGT per un pacchettu in unu di i metudi seguenti:
- Ottene a fonte SGT durante l'acquistu di pulitica - Dopu à a fase di autentificazione Cisco TrustSec, un dispositivu di rete acquiste l'infurmazioni di pulitica da u servitore d'autentificazione, chì indica se u dispusitivu peer hè fiducia o micca. Se un dispositivu peer ùn hè micca fiduciale, allora u servitore di autentificazione pò ancu furnisce un SGT per applicà à tutti i pacchetti chì venenu da u dispusitivu peer.
- Ottene a fonte SGT da u pacchettu - Se un pacchettu vene da un dispositivu peer di fiducia, u pacchettu porta u SGT. Questu hè appiicatu à un dispositivu di rete chì ùn hè micca u primu dispositivu di rete in u duminiu Cisco TrustSec per u pacchettu.
- Fighjate a fonte SGT basatu annantu à l'identità di a fonte - Cù Identity Port Mapping (IPM), pudete cunfigurà manualmente u ligame cù l'identità di u peer cunnessu. U dispusitivu di a reta dumanda infurmazione pulitica, cumpresi SGT è statu di fiducia, da u servitore di autentificazione.
- Fighjate l'SGT fonte basatu annantu à l'indirizzu IP di l'urigine - In certi casi, pudete cunfigurà manualmente a pulitica per decide u SGT di un pacchettu basatu annantu à u so indirizzu IP fonte. U SGT Exchange Protocol (SXP) pò ancu populate a tabella di mapping IP-address-to-SGT.
Determinazione di u Gruppu di Sicurezza di Destinazione
U dispusitivu di rete di egressu in un duminiu Cisco TrustSec determina u gruppu di destinazione (DGT) per applicà u SGACL. U dispusitivu di rete determina u gruppu di sicurità di destinazione per u pacchettu utilizendu i stessi metudi utilizati per a determinazione di u gruppu di sicurità di origine, cù l'eccezzioni di ottene u numeru di gruppu da un pacchettu. tag. U numeru di u gruppu di sicurità di destinazione ùn hè micca inclusu in un pacchettu tag.
In certi casi, i dispositi di ingressu o altri dispositi chì ùn sò micca uscita ponu avè l'infurmazioni di u gruppu di destinazione dispunibili. In questi casi, i SGACL ponu esse applicati in questi dispositi piuttostu cà i dispositi di egressu.
SGACL Enforcement on Routed and Switched Traffic
L'infurzazione SGACL hè appiicata solu à u trafficu IP, ma l'infurzazioni pò esse appiicata à u trafficu instradatu o cambiatu.
Per u trafficu instradatu, l'infurzazioni SGACL hè realizatu da un switch di egressu, tipicamente un switch di distribuzione o un switch d'accessu cù un portu di routed chì cunnetta à l'ospite di destinazione. Quandu attivate l'applicazione SGACL in u mondu, l'infurzazione hè attivata automaticamente nantu à ogni interfaccia Layer 3 eccettu per l'interfacce SVI.
L'infurzazione SGACL hè appiicata solu à u trafficu IP, ma l'infurzazioni pò esse appiicata à u trafficu instradatu o cambiatu.
Per u trafficu instradatu, l'infurzazioni SGACL hè realizatu da un switch di egressu, tipicamente un switch di distribuzione o un switch d'accessu cù un portu di routed chì cunnetta à l'ospite di destinazione. Quandu attivate l'applicazione SGACL in u mondu, l'infurzazione hè attivata automaticamente nantu à ogni interfaccia Layer 3 eccettu per l'interfacce SVI.
Per u trafficu cambiatu, l'applicazione SGACL hè realizata nantu à u trafficu chì scorri in un unicu duminiu di cambiamentu senza alcuna funzione di routing. Un exampLe seria l'applicazione SGACL realizata da un cambiamentu di accessu à u centru di dati nantu à u trafficu di u servitore à u servitore trà dui servitori direttamente cunnessi. In questu example, u trafficu di u servitore à u servitore hè tipicamenti cambiatu. L'applicazione SGACL pò esse applicata à i pacchetti cambiati in una VLAN o trasmessi à un SVI assuciatu cù una VLAN, ma l'applicazione deve esse attivata esplicitamente per ogni VLAN.
SGACL Logging è Statistiche ACE
Quandu u logu hè attivatu in SGACL, u dispusitivu registra l'infurmazioni seguenti:
- U gruppu di sicurità fonte tag (SGT) è SGT di destinazione
- U nome di a pulitica SGACL
- U tipu di protocolu di pacchettu
- L'azzione realizata nantu à u pacchettu
L'opzione di log si applica à l'ACE individuali è provoca i pacchetti chì currispondenu à l'ACE per esse registrati. U primu pacchettu registratu da a keyword log genera un missaghju syslog. I missaghji di log successivi sò generati è rappurtati à intervalli di cinque minuti. Se l'ACE attivatu per u logu currisponde à un altru pacchettu (cun caratteristiche identiche à u pacchettu chì hà generatu u missaghju di log), u numeru di pacchetti currispondenti hè aumentatu (contatori) è dopu rappurtatu.
Per attivà u logu, utilizate a chjave di log in fronte di a definizione ACE in a cunfigurazione SGACL. Per esample, permette u log ip.
Quandu u logu SGACL hè attivatu, i missaghji di dumanda ICMP da u dispusitivu à u cliente ùn sò micca registrati per
Protocolli IPv4 è IPv6. Tuttavia; I missaghji di Risposta ICMP da u cliente à u dispusitivu sò registrati.
Protocolli IPv4 è IPv6. Tuttavia; I missaghji di Risposta ICMP da u cliente à u dispusitivu sò registrati.
U seguitu hè cum'èample log, affissendu l'SGT d'origine è di destinazione, partite ACE (per un permessu o ricusà l'azzione), è u protocolu, vale à dì, TCP, UDP, IGMP è ICMP infurmazione:
* 2 ghjugnu 08:58:06.489: %C4K_IOSINTF-6-SGACLHIT: list deny_udp_src_port_log-30 Denied udp 24.0.0.23(100) -> 28.0.0.91(100), SGT8 DGT 12
In più di e statistiche SGACL esistenti "per cellula", chì ponu esse affissate usendu u show cts basatu in rolu
cumanda di counters, pudete ancu vede statistiche ACE, usendu u cumandimu show ip access-list sgacl_name. Nisuna cunfigurazione supplementaria hè necessaria per questu.
I seguenti example mostra cumu pudete aduprà u cumandimu show ip access-list per vede u conte ACE
cumanda di counters, pudete ancu vede statistiche ACE, usendu u cumandimu show ip access-list sgacl_name. Nisuna cunfigurazione supplementaria hè necessaria per questu.
I seguenti example mostra cumu pudete aduprà u cumandimu show ip access-list per vede u conte ACE
Dispositivu # mostra ip access-control deny_udp_src_port_log-30
Lista d'accessu IP basata nantu à u rolu deny_udp_src_port_log-30 (scaricatu)
10 deny udp src eq 100 log (283 partite)
20 permessi log ip (50 partite)
Lista d'accessu IP basata nantu à u rolu deny_udp_src_port_log-30 (scaricatu)
10 deny udp src eq 100 log (283 partite)
20 permessi log ip (50 partite)
Quandu u trafficu entrante currisponde à a cellula, ma ùn currisponde micca à u SGACL di a cellula, u trafficu hè permessu è i cuntatori sò incrementati in u HW-Permit per a cellula.I seguenti example mostra cumu funziona u SGACL di una cellula:
A pulitica SGACL hè cunfigurata da 5 à 18 cù "deny icmp echo" è ci hè u trafficu entrante da 5 à 18 cù l'intestazione TCP. Se a cellula currisponde à 5 à 18 ma u trafficu ùn currisponde micca à icmp, u trafficu serà permessu è u HW-Permit counter of cell 5 à 18 serà aumentatu.
Logging SGACL VRF-aware
I logs di u sistema SGACL includeranu infurmazioni VRF. In più di i campi chì sò attualmente registrati, l'infurmazioni di logu includeranu u nome VRF. L'infurmazione di logging aghjurnata serà cum'è mostrata quì sottu:
* 15 Nov 02:18:52.187: %RBM-6-SGACLHIT_V6: ingress_interface = 'GigabitEthernet1/0/15′ sgacl_name = 'IPV6_TCP_DENY' action = 'Deny' protocol = 'tcp' src-vrf =' CTS-VRF -ip='25::2′ src-port='20'
dest-vrf='CTS-VRF' dest-ip='49::2′ dest-port='30' sgt='200′ dgt='500′ logging_interval_hits='1′
dest-vrf='CTS-VRF' dest-ip='49::2′ dest-port='30' sgt='200′ dgt='500′ logging_interval_hits='1′
Modu Monitor SGACL
Durante a fase di pre-implementazione di Cisco TrustSec, un amministratore utilizerà u modu di monitoru per pruvà e pulitiche di sicurezza senza applicà per assicurà chì e pulitiche funzionanu cum'è previstu. Se e pulitiche di sicurezza ùn funzionanu micca cum'è previstu, u modu di monitoru furnisce un mecanismu convenientu per identificà quellu è furnisce l'uppurtunità di correggere a pulitica prima di attivà l'infurzazione SGACL. Questu permette à l'amministratori di avè una visibilità aumentata à u risultatu di l'azzioni di pulitica prima di mette in vigore, è cunfirmà chì a pulitica di u sughjettu risponde à i requisiti di sicurezza (l'accessu hè denegatu à e risorse se l'utilizatori ùn sò micca
autorizatu).
A capacità di monitorizazione hè furnita à u livellu di coppia SGT-DGT. Quandu attivate a funzione di modu di monitoraghju SGACL, l'azzione di denegazione hè implementata cum'è un permessu ACL nantu à e carte di linea. Questu permette à i cuntatori SGACL è u logu per vede cumu e cunnessione sò trattate da a pulitica SGACL. Siccomu tuttu u trafficu monitoratu hè permessu, ùn ci hè micca interruzzione di serviziu per via di SGACL mentre in u modu di monitor SGACL.
Durante a fase di pre-implementazione di Cisco TrustSec, un amministratore utilizerà u modu di monitoru per pruvà e pulitiche di sicurezza senza applicà per assicurà chì e pulitiche funzionanu cum'è previstu. Se e pulitiche di sicurezza ùn funzionanu micca cum'è previstu, u modu di monitoru furnisce un mecanismu convenientu per identificà quellu è furnisce l'uppurtunità di correggere a pulitica prima di attivà l'infurzazione SGACL. Questu permette à l'amministratori di avè una visibilità aumentata à u risultatu di l'azzioni di pulitica prima di mette in vigore, è cunfirmà chì a pulitica di u sughjettu risponde à i requisiti di sicurezza (l'accessu hè denegatu à e risorse se l'utilizatori ùn sò micca
autorizatu).
A capacità di monitorizazione hè furnita à u livellu di coppia SGT-DGT. Quandu attivate a funzione di modu di monitoraghju SGACL, l'azzione di denegazione hè implementata cum'è un permessu ACL nantu à e carte di linea. Questu permette à i cuntatori SGACL è u logu per vede cumu e cunnessione sò trattate da a pulitica SGACL. Siccomu tuttu u trafficu monitoratu hè permessu, ùn ci hè micca interruzzione di serviziu per via di SGACL mentre in u modu di monitor SGACL.
Autorizazione è Acquisizione di Politiche
Dopu chì l'autentificazione di u dispositivu finisce, sia u supplicant sia l'autentificatore uttene a pulitica di sicurezza da u servitore di autentificazione. I dui pari allora eseguinu l'autorizazione di ligame è infurzanu a pulitica di sicurezza di u ligame l'una contru à l'altru basatu annantu à i so ID di u dispositivu Cisco TrustSec. U metudu di autentificazione di ligame pò esse cunfiguratu cum'è 802.1X o autentificazione manuale. Se a sicurità di u ligame hè 802.1X, ogni peer usa un ID di u dispositivu ricevutu da u servitore di autentificazione. Se a securità di u ligame hè manuale, duvete assignà l'ID di u dispositivu peer.
U servitore di autentificazione torna i seguenti attributi di pulitica:
- Cisco TrustSec trust-Indica s'ellu u dispusitivu peer hè di fiducia per u scopu di mette u SGT in i pacchetti.
- Peer SGT-Indica u gruppu di sicurità à quale appartene u peer. Se u peer ùn hè micca fiduciale, tutti i pacchetti ricevuti da u peer sò tagged cun stu SGT. Se u dispusitivu ùn sapi micca s'ellu SGACL sò assuciati cù u SGT di u peer, u dispusitivu pò mandà una dumanda di seguitu à u servitore di autentificazione per scaricà l'SGACL.
- Tempu di scadenza di l'autorizazione - Indica u numeru di sicondi prima chì a pulitica scade. Un dispositivu Cisco TrustSec deve rinfriscà a so pulitica è l'autorizazione prima di u tempu. U dispusitivu pò cache i dati di autentificazione è pulitiche è riutilizà dopu un reboot se i dati ùn sò micca scaduti.
Ogni dispositivu Cisco TrustSec deve sustene una pulitica d'accessu predeterminata minima in casu ùn hè micca capaci di cuntattà u servitore di autentificazione per ottene una pulitica adatta per u paru.U prucessu di negoziazione NDAC è SAP hè mostratu in a figura seguente
Figura 5: NDAC è SAP Negotiation
Scaricamentu di Dati Ambiente
I dati di l'ambiente Cisco TrustSec sò una cullizzioni di informazioni o pulitiche chì aiutanu un dispositivu per funziunà cum'è un node Cisco TrustSec. U dispusitivu acquista i dati di l'ambiente da u servitore di autentificazione quandu u dispusitivu si unisce prima à un duminiu Cisco TrustSec, ancu s'ellu pudete ancu cunfigurà manualmente alcune di e dati in un dispositivu. Per esample, vi tocca à cunfigurà u dispusitivu Cisco TrustSec sumente cù l 'infurmazione servore autentificazione, chì pò dopu esse aumentatu da a lista servore chì u dispusitivu acquista da u servore autentificazione.
U dispusitivu deve rinfriscà i dati di l'ambiente Cisco TrustSec prima di scade. U dispusitivu pò ancu cache i dati di l'ambiente è riutilizà dopu un reboot se i dati ùn sò micca scaduti.
U dispusitivu usa RADIUS per acquistà i seguenti dati ambientali da u servitore di autentificazione:
- Elenchi di servitori: Lista di servitori chì u cliente pò aduprà per e future richieste RADIUS (per l'autentificazione è l'autorizazione). L'aghjurnamentu di PAC passa per questi servitori.
- Device SG: Gruppu di sicurità à quale appartene u dispusitivu stessu.
- Tempu di scadenza: Intervallu chì cuntrolla quantu spessu u dispusitivu Cisco TrustSec deve rinfriscà i so dati di l'ambiente.
Funzionalità RADIUS Relay
U dispusitivu chì ghjoca u rolu di l'autentificatore Cisco TrustSec in u prucessu d'autentificazione 802.1X hà a cunnessione IP à u servitore di autentificazione, chì permette à u dispusitivu di acquistà a pulitica è l'autorizazione da u servitore d'autentificazione scambiendu missaghji RADIUS per UDP / IP. U dispusitivu supplicante ùn pò micca avè una cunnessione IP cù u servitore di autentificazione. In tali casi, Cisco TrustSec permette à l'autentificatore di agisce cum'è un relay RADIUS per u supplicant.
U supplicant manda un missaghju speciale EAPOL à l'autentificatore chì cuntene l'indirizzu IP di u servitore RADIUS è u portu UDP è a dumanda RADIUS cumpleta. L'autentificatore estrae a dumanda RADIUS da u messagiu EAPOL ricevutu è u manda per UDP / IP à u servitore di autentificazione. Quandu a risposta RADIUS torna da u servitore d'autentificazione, l'autentificatore rinvia u missaghju à u supplicant, incapsulatu in un quadru EAPOL.
Link Security
Quandu i dui lati di un ligame supportanu 802.1AE Media Access Control Security (MACsec), una negoziazione di protocolu di associazione di sicurezza (SAP) hè realizata. Un scambiu di EAPOL-Key si trova trà u supplicant è l'autentificatore per negocià una suite di cifru, scambià parametri di sicurezza, è gestisce e chjave. U successu cumpletu di tutti i trè compiti risultati in a creazione di una associazione di sicurità (SA).
Sicondu a vostra versione di u software, licenze cripthe è supportu hardware di ligame, a negoziazione SAP pò aduprà unu di i seguenti modi di funziunamentu:
- Modu Galois/Counter (GCM) - Specifica l'autentificazione è a criptografia
- Autenticazione GCM (GMAC) - Specifica l'autentificazione è senza criptografia
- No Encapsulation - Specifica senza incapsulazione (testu chjaru)
- Null - Specifica l'incapsulazione, senza autentificazione è senza criptografia
Tutti i modi eccettu No Encapsulation necessitanu hardware Cisco TrustSec.
Configurazione di SAP-PMK per Link Security
SXP per a Propagazione SGT à traversu i Reti di Accessu Legacy
TagI pacchetti di ging cù SGT necessitanu supportu hardware. Puderete avè dispositi in a vostra rete chì, mentre sò capaci di participà à l'autentificazione Cisco TrustSec, ùn mancanu di capacità hardware per tag pacchetti cun
TagI pacchetti di ging cù SGT necessitanu supportu hardware. Puderete avè dispositi in a vostra rete chì, mentre sò capaci di participà à l'autentificazione Cisco TrustSec, ùn mancanu di capacità hardware per tag pacchetti cun
SGT. Utilizendu u SGT Exchange Protocol (SXP), sti dispusitivi ponu passà mappings di l'indirizzu IP à SGT à un dispositivu Cisco TrustSec peer chì hà hardware Cisco TrustSec-capable.
SXP opera tipicamente trà i dispositi di u nivellu d'accessu à l'ingressu à u bordu di u duminiu Cisco TrustSec è i dispositi di a strata di distribuzione in u duminiu Cisco TrustSec. U dispusitivu di a capa d'accessu esegue l'autentificazione Cisco TrustSec di i dispositi di fonte esterna per determinà i SGT appropritati per i pacchetti di ingressu. U dispusitivu di a capa d'accessu ampara l'indirizzi IP di i dispositi fonte cù u seguimentu di u dispositivu IP è (opcionalmente) DHCP snooping, poi usa SXP per passà l'indirizzi IP di i dispositi fonte cù i so SGT à i dispositi di distribuzione.
Dispositivi di distribuzione cù hardware Cisco TrustSec-capable ponu aduprà sta infurmazione di mapping IP-à-SGT à tag pacchetti apprupriati è per rinfurzà e pulitiche SGACL.
Figura 6: SXP Protocol per Propagate SGT Information
Duvete cunfigurà manualmente una cunnessione SXP trà un peer senza supportu hardware Cisco TrustSec è un peer cù support hardware Cisco TrustSec. I seguenti compiti sò necessarii quandu cunfigurà a cunnessione SXP:
- Sè avete bisognu di l'integrità è l'autentificazione di dati SXP, duvete cunfigurà a stessa password SXP in i dui dispositi pari. Pudete cunfigurà a password SXP o esplicitamente per ogni cunnessione peer o globally per u dispusitivu. Ancu s'ellu ùn hè micca necessariu una password SXP, ricumandemu u so usu.
- Duvete cunfigurà ogni peer in a cunnessione SXP cum'è un parlante SXP o un ascoltatore SXP. U dispusitivu di parlante distribuisce l'infurmazioni di mapping IP-à-SGT à u dispositivu di l'ascoltatore.
- Pudete specificà un indirizzu IP di fonte per utilizà per ogni relazione di peer o pudete cunfigurà un indirizzu IP di fonte predeterminatu per e cunnessione di peer induve ùn avete micca cunfiguratu un indirizzu IP di fonte specificu. Sè vo ùn specificà alcunu indirizzu IP surghjente, u dispusitivu hà da aduprà l 'indirizzu IP interfaccia di a cunnessione à u peer.
SXP permette parechji salti. Hè vale à dì, se u peer di un dispositivu chì manca di supportu hardware Cisco TrustSec manca ancu di supportu hardware Cisco TrustSec, u sicondu peer pò avè una cunnessione SXP à un terzu peer, cuntinuendu a propagazione di l'infurmazioni di mapping IP-to-SGT finu à un hardware- peer capaci hè ghjuntu. Un dispositivu pò esse cunfiguratu cum'è un listener SXP per una cunnessione SXP cum'è un parlante SXP per una altra cunnessione SXP.
Un dispositivu Cisco TrustSec mantene a cunnessione cù i so pari SXP utilizendu u mecanismu TCP keepalive.
Per stabilisce o restaurà una cunnessione peer, u dispusitivu hà ripetutu tentativu di a cunfigurazione di a cunnessione utilizendu un periodu di ricuperazione configurabile finu à chì a cunnessione hè successu o finu à chì a cunnessione hè eliminata da a cunfigurazione.
Per stabilisce o restaurà una cunnessione peer, u dispusitivu hà ripetutu tentativu di a cunfigurazione di a cunnessione utilizendu un periodu di ricuperazione configurabile finu à chì a cunnessione hè successu o finu à chì a cunnessione hè eliminata da a cunfigurazione.
Layer 3 SGT Transport per Spanning Non-TrustSec Regions
Quandu un pacchettu abbanduneghja u duminiu Cisco TrustSec per una destinazione non-TrustSec, u dispositivu Cisco TrustSec in uscita elimina l'intestazione Cisco TrustSec è SGT prima di rinvià u pacchettu à a reta esterna. Se, però, u pacchettu hè solu traversu un duminiu non-TrustSec nantu à a strada à un altru duminiu Cisco TrustSec, cum'è mostra in a figura seguente, u SGT pò esse cunservatu usendu a funzione Cisco TrustSec Layer 3 SGT Transport. In questa funzione, u dispusitivu Cisco TrustSec di egressu incapsula u pacchettu cù un capu ESP chì include una copia di u SGT. Quandu u pacchettu incapsulatu ghjunghje à u prossimu duminiu Cisco TrustSec, u dispusitivu Cisco TrustSec ingressu elimina l'incapsulazione ESP è propaga u pacchettu cù u so SGT.
Figura 7: Spanning un duminiu Non-TrustSec
Per supportà Cisco TrustSec Layer 3 SGT Transport, qualsiasi dispositivu chì agirà cum'è Cisco TrustSec ingress or egress Layer 3 gateway deve mantene una basa di dati di pulitica di trafficu chì elenca subnets ammissibili in domini Cisco TrustSec remoti è ancu qualsiasi subnet esclusi in queste regioni. Pudete cunfigurà sta basa di dati manualmente in ogni dispositivu s'ellu ùn pò micca esse scaricatu automaticamente da u Cisco Secure ACS.
Un dispositivu pò mandà dati di Trasportu di Layer 3 SGT da un portu è riceve dati di Trasportu di Layer 3 SGT in un altru portu, ma i porti di ingressu è di uscita anu da avè hardware Cisco TrustSec-capable.
Cisco TrustSec ùn cripta micca i pacchetti incapsulati Layer 3 SGT Transport. Per prutege i pacchetti chì traversanu u duminiu non-TrustSec, pudete cunfigurà altri metudi di prutezzione, cum'è IPsec.VRF-Aware SXP
L'implementazione SXP di Virtual Routing and Forwarding (VRF) unisce una cunnessione SXP cù un VRF specificu. Si assume chì a topologia di a rete hè cunfigurata currettamente per i VPN di Layer 2 o Layer 3, cù tutti i VRF cunfigurati prima di attivà Cisco TrustSec.
U supportu SXP VRF pò esse riassuntu cusì:
- Solu una cunnessione SXP pò esse ligata à un VRF.
- Diversi VRF ponu avè indirizzi IP peer o source SXP sovrapposti.
- I mappings IP-SGT amparati (aghjustatu o sguassati) in un VRF pò esse aghjurnatu solu in u stessu duminiu VRF.
A cunnessione SXP ùn pò micca aghjurnà una mappa ligata à un VRF differente. Se nisuna cunnessione SXP ùn esce per un VRF, i mappings IP-SGT per quellu VRF ùn saranu micca aghjurnati da SXP. - Più famiglie di indirizzu per VRF sò supportate. Dunque, una cunnessione SXP in un duminiu VRF pò trasmette sia IPV4 è IPV6 IP-SGT mappings.
- SXP ùn hà micca limitazione à u numeru di cunnessione è u numeru di mapping IP-SGT per VRF.
Layer 2 VRF-Aware SXP è Assegnazione VRF
L'assignazioni VRF à Layer 2 VLANs sò specificate cù u cumandamentu di cunfigurazione globale l2-vrf vrf-name vlan-list basata in u rolu cts. Una VLAN hè cunsiderata una VLAN Layer 2 sempre chì ùn ci hè micca una interfaccia virtuale di switch (SVI) cù un indirizzu IP cunfiguratu in a VLAN. A VLAN diventa una VLAN Layer 3 una volta chì un indirizzu IP hè cunfiguratu in u so SVI.
L'assignazioni VRF cunfigurate da u cumandamentu l2-vrf basatu in u rolu di cts sò attivi finu à chì una VLAN resta una VLAN Layer 2. L'associazioni IP-SGT apprese mentre una assignazione VRF hè attiva sò ancu aghjunte à a tabella di Base d'Informazioni di Trasferimentu (FIB) assuciata cù a VRF è a versione di u protocolu IP. Se un SVI diventa attivu per una VLAN, l'assignazione VRF à VLAN diventa inattiva è tutte e associazioni apprese nantu à a VLAN sò spustate à a tavola FIB assuciata à u VRF di SVI.
L'assignazione VRF à VLAN hè conservata ancu quandu l'assignazione diventa inattiva. Hè riattivatu quandu u SVI hè eliminatu o quandu l'indirizzu IP SVI hè deconfiguratu. Quandu sò riattivati, i ligami IP-SGT sò rimossi da a tavola FIB assuciata à u VRF di SVI à a tavola FIB assuciata à u VRF assignata da u cumandamentu l2-vrf basatu in rol cts.
Storia di funzioni per Cisco TrustSec Overview
Questa tavula furnisce liberazione è informazioni correlate per e funzioni spiegate in stu modulu.
Queste caratteristiche sò dispunibuli in tutte e versioni successive à quella in cui sò state introdutte, salvu chì ùn sia micca dettu altrimenti.
Queste caratteristiche sò dispunibuli in tutte e versioni successive à quella in cui sò state introdutte, salvu chì ùn sia micca dettu altrimenti.
Aduprate u Cisco Feature Navigator per truvà infurmazioni nantu à a piattaforma è u supportu di l'imaghjini di u software. Per accede
Cisco Feature Navigator, vai à http://www.cisco.com/go/cfn.
Cisco Feature Navigator, vai à http://www.cisco.com/go/cfn.
Documenti / Risorse
 |
CISCO Trustsec crea una rete sicura [pdfGuida di l'utente Trustsec Custruisce Rete Sicura, Trustsec, Custruisce Rete Sicura, Rete Sicura, Rete |