Tógann CISCO Trustsec Treoir Úsáideora Líonra Slán

Tógann CISCO Trustsec Slán
 Treoir úsáideora líonra

Tógann Cisco TrustSec líonraí slána trí fhearainn de ghléasanna líonra iontaofa a bhunú. Tá gach feiste san fhearann fíordheimhnithe ag a bpiaraí. Daingnítear cumarsáid maidir leis na naisc idir gléasanna san fhearann le meascán de chriptiú, seiceáil sláine na teachtaireachta, agus meicníochtaí cosanta athimeartha cosáin sonraí.

Srianta le Cisco TrustSec

Teipeann ar sholáthar dintiúr rochtana cosanta (PAC) agus fanann sé i stát crochta, nuair a shonraítear aitheantas feiste neamhbhailí. Fiú amháin tar éis an PAC a ghlanadh, agus an ID feiste agus an focal faire ceart a chumrú, ní theipeann ar PAC fós.
Mar réiteach oibre, in Inneall Seirbhísí Aitheantais Cisco (ISE), díthiceáil na Cliaint Aimhrialta Suppress
rogha sa roghchlár Riarachán> Córas> Socruithe> Prótacail> Radius chun go n-oibreoidh PAC.

Ní thacaítear le Cisco TrustSec sa mhód FIPS.
Níl na srianta seo a leanas infheidhme ach amháin maidir leis an tsamhail C9500X-28C8D de Lasca Sraith Cisco Catalyst 9500:
• Ní thacaítear le cumraíocht láimhe Cisco TrustSec.
• Ní thacaítear le feidhmiúlacht Cisco TrustSec Security Association Protocol (SAP).
• Ní thacaítear le hinchaitheamh ceanntásca meiteashonraí Cisco TrustSec.

Clár ábhair ceilt

1 Eolas Faoi Cisco TrustSec Architecture

2 Doiciméid / Acmhainní

2.1 Tagairtí

Eolas Faoi Cisco TrustSec Architecture

Tógann ailtireacht slándála Cisco TrustSec líonraí slána trí fhearainn de ghléasanna líonra iontaofa a bhunú. Tá gach feiste san fhearann fíordheimhnithe ag a bpiaraí. Daingnítear cumarsáid maidir leis na naisc idir gléasanna san fhearann le meascán de chriptiú, seiceáil sláine na teachtaireachta, agus meicníochtaí cosanta athimeartha cosáin sonraí. Úsáideann Cisco TrustSec an gléas agus dintiúirí úsáideora a fuarthas le linn fíordheimhnithe chun na paicéid a rangú de réir grúpaí slándála (SGanna) agus iad ag dul isteach sa líonra. Tá an t-aicmiú paicéad seo á chothabháil ag tagpaicéid a chur ar aghaidh chuig líonra Cisco TrustSec ionas gur féidir iad a aithint i gceart chun críche critéar slándála agus beartais eile a chur i bhfeidhm feadh chonair na sonraí. Tá an tag, ar a dtugtar an grúpa slándála tag (SGT), ligeann don líonra an beartas rialaithe rochtana a fhorfheidhmiú trí chur ar chumas na feiste críochphointe gníomhú ar an SGT chun trácht a scagadh.

Ní thacaítear le naisc Cisco TrustSec IEEE 802.1X ar ardáin a dtacaítear leo sa Cisco IOS XE Denali
(16.1.x go 16.3.x), Cisco IOS XE Everest (16.4.x go 16.6.x), agus Cisco IOS XE Fuji (16.7.x go 16.9.x) eisiúintí, agus mar sin ní thacaítear ach leis an Fíordheimhnitheoir; ní thacaítear leis an Iarratasóir.

Ionchorpraíonn ailtireacht Cisco TrustSec trí phríomhchuid:

Bonneagar líonraithe fíordheimhnithe - Tar éis don chéad ghléas (ar a dtugtar an gléas síl) fíordheimhniú leis an bhfreastalaí fíordheimhnithe chun tús a chur leis an bhfearann Cisco TrustSec, tá gach feiste nua a chuirtear leis an bhfearann fíordheimhnithe ag a feistí piaraí atá laistigh den fhearann cheana féin. Feidhmíonn na piaraí mar idirghabhálaithe do fhreastalaí fíordheimhnithe an fhearainn. Déanann an freastalaí fíordheimhnithe catagóiriú ar gach feiste nua-fhíordheimhnithe agus sanntar uimhir ghrúpa slándála bunaithe ar a chéannacht, a ról agus a staidiúir slándála.
Rialú rochtana grúpa-bhunaithe slándála - Tá beartais rochtana laistigh d'fhearann Cisco TrustSec neamhspleách ar an topology, bunaithe ar róil (mar a léirítear ag uimhir an ghrúpa slándála) feistí foinse agus cinn scríbe seachas ar sheoltaí líonra. Tá paicéid aonair tagged le huimhir ghrúpa slándála na foinse.

Cumarsáid shlán - Le crua-earraí atá in ann criptithe, is féidir cumarsáid ar gach nasc idir gléasanna san fhearann a dhaingniú le meascán de chriptiú, seiceálacha sláine teachtaireachta, agus meicníochtaí cosanta athimeartha cosáin sonraí.

Taispeánann an figiúr seo a leanas example fearann Cisco TrustSec. Sa seanample, tá roinnt gléasanna líonraithe agus feiste críochphointe laistigh d'fhearann Cisco TrustSec. Tá gléas críochphointe amháin agus feiste líonraithe amháin lasmuigh den fhearann toisc nach feistí Cisco TrustSec iad nó toisc gur diúltaíodh rochtain dóibh. Meastar go bhfuil an freastalaí fíordheimhnithe lasmuigh d'fhearann Cisco TrustSec; is Inneall Seirbhíse Aitheantais Cisco é (Cisco ISE), nó Córas Rialaithe Rochtana Slán Cisco (Cisco ACS).

Fíor 1: Fearann Líonra Cisco TrustSec Example

Tógann CISCO Trustsec Líonra Slán - Fíor 1

Feidhmíonn gach rannpháirtí i bpróiseas fíordheimhnithe Cisco TrustSec i gceann de na róil seo a leanas:

Soláthraí - Gléas neamhfhíordheimhnithe atá nasctha le piaraí laistigh d'fhearann Cisco TrustSec, agus ag iarraidh dul isteach san fhearann Cisco TrustSec.

Freastalaí fíordheimhnithe - An freastalaí a bhailíochtaíonn céannacht an iarrthóra agus a eisíonn na polasaithe a chinneann rochtain an iarrthóra ar sheirbhísí laistigh d'fhearann Cisco TrustSec.
Authenticator-Gléas fíordheimhnithe atá mar chuid d'fhearann Cisco TrustSec cheana agus atá in ann iarrthóirí nua a fhíordheimhniú thar ceann an fhreastalaí fíordheimhnithe.

Nuair a thagann an nasc idir forbróir agus fíordheimhnitheoir chun cinn den chéad uair, tarlaíonn an t-ord teagmhas seo a leanas de ghnáth:

Fíordheimhniú (802.1X) – Fíordheimhníonn an freastalaí fíordheimhnithe an t-iarrthóir, agus gníomhaíonn an fíordheimhnitheoir mar idirghabhálaí. Déantar fíordheimhnithe frithpháirteach idir an dá phiaraí (iarrthóir agus fíordheimhnitheoir).
Údarú - Bunaithe ar fhaisnéis aitheantais an iarrthóra, soláthraíonn an freastalaí fíordheimhnithe beartais údaraithe, amhail sannacháin grúpa slándála agus ACLanna, do gach ceann de na piaraí nasctha. Soláthraíonn an freastalaí fíordheimhnithe céannacht gach piaraí don duine eile, agus cuireann gach piaraí an beartas cuí don nasc i bhfeidhm ansin.

Caibidlíocht Phrótacail Chomhlachas Slándála (SAP) — Nuair a thacaíonn an dá thaobh de nasc le criptiú, déanann an t-iarrthóir agus an fíordheimhnitheoir na paraiméadair riachtanacha a chaibidil chun comhlachas slándála (SA) a bhunú.

Ní thacaítear le SAP ar chomhéadain 100G. Molaimid duit prótacal Eochair-Chomhaontaithe MACsec a úsáid
(MKA) le huimhriú paicéad leathnaithe (XPN) ar chomhéadain 100G.

Nuair a bhíonn na trí chéim go léir críochnaithe, athraíonn an fíordheimhnitheoir staid an naisc ón stát neamhúdaraithe (blocála) go dtí an stát údaraithe, agus déantar an t-iarrthóir ina bhall den fhearann Cisco TrustSec.

Úsáideann Cisco TrustSec ingress tagscagadh agus scagadh amach chun beartas rialaithe rochtana a fhorfheidhmiú ar bhealach inscálaithe. Tá paicéid ag dul isteach san fhearann tagged le grúpa slándála tag (SGT) ina bhfuil an uimhir ghrúpa slándála sannta don bhunghléas. Coinnítear an t-aicmiú paicéid seo feadh chonair na sonraí laistigh d'fhearann Cisco TrustSec ar mhaithe le critéir slándála agus beartais eile a chur i bhfeidhm. Déanann gléas deiridh Cisco TrustSec ar an gcosán sonraí, an críochphointe nó an pointe dul amach líonra, beartas rialaithe rochtana a fhorfheidhmiú bunaithe ar ghrúpa slándála an fheiste foinse Cisco TrustSec agus grúpa slándála an fheiste deiridh Cisco TrustSec. Murab ionann agus liostaí rialaithe rochtana traidisiúnta atá bunaithe ar sheoltaí líonra, is foirm de liostaí rialaithe rochtana ról-bhunaithe (RBACLanna) iad beartais rialaithe rochtana Cisco TrustSec ar a dtugtar liostaí rialaithe rochtana grúpa slándála (SGACLanna).

Tagraíonn Ingress do phaicéid a théann isteach sa chéad ghaireas Cisco TrustSec-in ann a bhuaileann paicéad ar a chosán go dtí an ceann scríbe agus tagraíonn imeacht do phaicéid a fhágann an gléas is déanaí atá in ann Cisco TrustSec ar an gcosán.

Fíordheimhniú

Cisco TrustSec agus Fíordheimhniú

Trí Rialú Iontrála Gléas Líonra (NDAC) a úsáid, déanann Cisco TrustSec feiste a fhíordheimhniú sula gceadaítear dó dul isteach sa líonra. Úsáideann NDAC fíordheimhniú 802.1X le Prótacal Fíordheimhnithe Leathanaithe Fíordheimhniú Solúbtha trí Thollán Slán (EAP-FAST) mar mhodh an Phrótacail Fíordheimhnithe Leathnaithe (EAP) chun an fíordheimhniú a dhéanamh. Soláthraíonn comhráite EAP-FAST do mhalartuithe modhanna EAP eile laistigh den tollán EAP-FAST ag baint úsáide as slabhraí. Is féidir le riarthóirí modhanna traidisiúnta fíordheimhnithe úsáideora a úsáid, ar nós Microsoft Challenge Handshake Authentication Protocol Leagan 2 (MSCHAPv2), agus an tslándáil fós á soláthar ag tollán EAP-FAST. Le linn an mhalartaithe EAP-FAST, cruthaíonn agus seachadann an freastalaí fíordheimhnithe don soláthróir dintiúir rochtana faoi chosaint ar leith (PAC) ina bhfuil eochair chomhroinnte agus comhartha criptithe le húsáid le haghaidh cumarsáid shlán sa todhchaí leis an bhfreastalaí fíordheimhnithe.

Léiríonn an figiúr seo a leanas an tollán EAP-FAST agus na modhanna istigh mar a úsáidtear in Cisco TrustSec.

Fíor 2: Fíordheimhniú Cisco TrustSec

Tógann CISCO Trustsec Líonra Slán - Fíor 2

Feabhsuithe Cisco TrustSec ar EAP-FAST

Tá na feabhsuithe seo a leanas le cur i bhfeidhm EAP-FAST do Cisco TrustSec:

Fíordheimhnigh an fíordheimhnitheoir - Cinneann sé go sábháilte céannacht an fhíordheimhnitheora trí éileamh ar an bhfíordheimhnitheoir a PAC a úsáid chun an eochair roinnte idir é féin agus an freastalaí fíordheimhnithe a dhíorthú. Cuireann an ghné seo cosc ort freisin ó eochracha comhroinnte RADIUS a chumrú ar an bhfreastalaí fíordheimhnithe do gach seoladh IP féideartha is féidir leis an bhfíordheimhnitheoir a úsáid.

Cuir céannacht a bpiaraí in iúl do gach gléas - Faoi dheireadh an mhalartaithe fíordheimhnithe, tá an t-iarrthóir agus an fíordheimhnitheoir sainaitheanta ag an bhfreastalaí fíordheimhnithe. Cuireann an freastalaí fíordheimhnithe céannacht an fhíordheimhnitheora, agus cibé an bhfuil an fíordheimhnitheoir in ann Cisco TrustSec, chuig an soláthraí trí úsáid a bhaint as paraiméadair chineál-fhad-luacha breise (TLVanna) sa fhoirceannadh cosanta EAP-FAST. Cuireann an freastalaí fíordheimhnithe céannacht an iarrthóra, agus cibé an bhfuil Cisco TrustSec-in ann nó nach bhfuil, don fhíordheimhnitheoir trí úsáid a bhaint as tréithe RADIUS sa teachtaireacht Access-Accept.
Toisc go bhfuil a fhios ag gach gléas céannacht a bpiaraí, is féidir leis Iarratais Rochtana RADIUS breise a sheoladh chuig an bhfreastalaí fíordheimhnithe chun an polasaí a bheidh le cur i bhfeidhm ar an nasc a fháil.

802.1X Roghnú Ról

In 802.1X, ní mór nascacht IP a bheith ag an bhfíordheimhnitheoir leis an bhfreastalaí fíordheimhnithe toisc go gcaithfidh sé an malartú fíordheimhnithe a athsheoladh idir an t-iarrthóir agus an fíordheimhnitheoir ag baint úsáide as RADIUS thar UDP/IP. Nuair a cheanglaíonn gléas críochphointe, ar nós ríomhaire pearsanta, le líonra, is léir gur cheart go bhfeidhmeodh sé mar shínitheoir. Mar sin féin, i gcás nasc Cisco TrustSec idir dhá fheiste líonra, seans nach mbeadh ról 802.1X gach feiste líonra le feiceáil láithreach don fheiste líonra eile.

In ionad cumraíocht láimhe an fhíordheimhneora agus róil an iarrthóra a bheith ag teastáil le haghaidh dhá lasc in aice láimhe, ritheann Cisco TrustSec algartam ról-roghnaithe chun a chinneadh go huathoibríoch cé na lasca a fheidhmíonn mar fhíordheimhnitheoir agus cé na cinn a fheidhmíonn mar an t-iarrthóir. Sannann an algartam ról-roghnaithe ról an fhíordheimhneora don lasc a bhfuil insroichteacht IP aige do fhreastalaí RADIUS. Tosaíonn an dá lasca na meaisíní stáit fíordheimhnitheora agus supplicant araon. Nuair a bhraitheann lasc go bhfuil rochtain ag a phiaraí ar fhreastalaí RADIUS, cuireann sé deireadh lena mheaisín stáit fíordheimhnitheora agus glacann sé ról an iarrthóra. Má tá rochtain ag an dá lasc ar fhreastalaí RADIUS, is é an chéad lasc chun freagra a fháil ón bhfreastalaí RADIUS a bheidh ina fhíordheimhnitheoir agus is é an lasc eile an t-iarrthóir.

Cisco TrustSec Achoimre Fíordheimhnithe

Faoi dheireadh phróiseas fíordheimhnithe Cisco TrustSec, tá na gníomhartha seo a leanas déanta ag an bhfreastalaí fíordheimhnithe:

Deimhníodh céannacht an iarrthóra agus an fhíordheimhneora.

Fíordheimhnigh an t-úsáideoir más feiste críochphointe é an t-iarrthóir.

Ag deireadh phróiseas fíordheimhnithe Cisco TrustSec, tá na nithe seo a leanas ar eolas ag an bhfíordheimhnitheoir agus an t-iarratasóir araon:

seo a leanas:

Aitheantas gléis an phiara
Faisnéis inniúlachta Cisco TrustSec an phiara

An eochair a úsáidtear le haghaidh an SAP

Aitheantais Ghléis

Ní úsáideann Cisco TrustSec seoltaí IP ná seoltaí MAC mar aitheantais gléis. Ina áit sin, sannann tú ainm (ID gléis) do gach athrú Cisco TrustSec chun é a aithint go haonarach san fhearann Cisco TrustSec. Úsáidtear aitheantas an ghléis seo le haghaidh na nithe seo a leanas:

Breathnú ar an mbeartas údaraithe

Ag féachaint suas pasfhocail sna bunachair shonraí le linn fíordheimhnithe

Dintiúir Gléas

Tacaíonn Cisco TrustSec le dintiúir pasfhocal-bhunaithe. Fíordheimhníonn Cisco TrustSec na soláthraithe trí phasfhocail agus úsáideann MSCHAPv2 chun fíordheimhniú frithpháirteach a sholáthar.

Úsáideann an freastalaí fíordheimhnithe na dintiúirí seo chun an t-iarrthóir a fhíordheimhniú go frithpháirteach le linn an mhalartaithe EAP-FAST chéim 0 (soláthar) nuair a chuirtear PAC ar fáil san iarratasóir. Ní dhéanann Cisco TrustSec malartú céim 0 EAP-FAST arís go dtí go n-éagann an PAC, agus ní dhéanann sé ach malartuithe céim 1 agus céim 2 EAP-FAST le haghaidh nascleanúint a dhéanamh amach anseo. Úsáideann malartú céim 1 EAP-FAST an PAC chun an freastalaí fíordheimhnithe agus an t-iarratasóir a fhíordheimhniú go frithpháirteach. Ní úsáideann Cisco TrustSec dintiúirí an ghléis ach amháin le linn céimeanna soláthair (nó athsholáthair) PAC.

Nuair a théann an t-iarrthóir le fearann Cisco TrustSec den chéad uair, déanann an freastalaí fíordheimhnithe an t-iarrthóir a fhíordheimhniú agus cuireann sé eochair roinnte agus comhartha criptithe chuig an iarrthóir leis an PAC. Úsáideann an freastalaí fíordheimhnithe agus an t-iarrthóir an eochair agus an comhartha seo le haghaidh fíordheimhnithe frithpháirteach i ngach malartú céim 0 EAP-FAST amach anseo.

Dintiúir Úsáideora

Ní éilíonn Cisco TrustSec cineál sonrach dintiúir úsáideora le haghaidh feistí críochphointe. Is féidir leat aon chineál modh fíordheimhnithe úsáideora a thacaíonn an freastalaí fíordheimhnithe a roghnú, agus na dintiúir chomhfhreagracha a úsáid. Le haghaidh example, tacaíonn an Cisco Secure Access Control System (ACS) leagan 5.1 le MSCHAPv2, cárta comharthaí cineálach (GTC), nó pasfhocal aonuaire RSA (OTP)

Rialú Rochtana Bunaithe ar Ghrúpa Slándála
Soláthraíonn an chuid seo faisnéis faoi liostaí rialaithe rochtana grúpabhunaithe slándála (SGACLanna).

Grúpaí Slándála agus SGTanna
Is éard is grúpa slándála ann ná grúpáil úsáideoirí, feistí críochphointe, agus acmhainní a roinneann beartais rialaithe rochtana. Sainmhíníonn an riarthóir grúpaí slándála sa Cisco ISE nó Cisco Secure ACS. De réir mar a chuirtear úsáideoirí agus gléasanna nua le fearann Cisco TrustSec, sannann an freastalaí fíordheimhnithe na heintitis nua seo do ghrúpaí slándála cuí. Sannann Cisco TrustSec uimhir ghrúpa slándála uathúil 16-giotán do gach grúpa slándála a bhfuil a raon feidhme domhanda laistigh d’fhearann Cisco TrustSec. Tá líon na ngrúpaí slándála sa fheiste teoranta do líon na n-eintiteas líonra fíordheimhnithe. Ní gá duit uimhreacha grúpa slándála a chumrú de láimh.

Nuair atá feiste fíordheimhnithe, Cisco TrustSec tags paicéad ar bith a eascraíonn ón ngléas sin le grúpa slándála tag (SGT) ina bhfuil uimhir ghrúpa slándála na feiste. Iompraíonn an paicéad an SGT seo ar fud an líonra laistigh de cheanntásc Cisco TrustSec. Is lipéad aonair é an SGT a chinneann pribhléidí na foinse laistigh den ghnóthas iomlán.

Toisc go bhfuil grúpa slándála na foinse sa SGT, tá an tag is féidir tagairt a dhéanamh dó mar fhoinse SGT. Sanntar an gléas sprice freisin do ghrúpa slándála (an SG ceann scríbe) ar féidir tagairt a dhéanamh dó ar mhaithe le simplíocht mar an grúpa sprice tag (DGT), cé go bhfuil an paicéad Cisco TrustSec iarbhír tag níl uimhir ghrúpa slándála an ghléis sprice ann.

Tacaíocht ACL Grúpa Slándála
Is forfheidhmiú beartais é liostaí rialaithe rochtana grúpa slándála (SGACLanna) trína bhféadfaidh an riarthóir oibríochtaí a dhéanann úsáideoir a rialú, bunaithe ar thascanna grúpa slándála agus acmhainní cinn scríbe. Déanann maitrís ceada ionadaíocht ar fhorfheidhmiú beartais laistigh d'fhearann Cisco Trustsec, le uimhir ghrúpa slándála foinse ar ais amháin agus uimhir ghrúpa slándála ceann scríbe ar an ais eile. Tá liosta ordaithe de SGACLanna i ngach cill sa mhaitrís, a shonraíonn ceadanna ba cheart a chur i bhfeidhm ar phaicéid de thionscnamh IP a bhaineann le grúpa slándála foinse agus a bhfuil IP ceann scríbe aige a bhaineann leis an ngrúpa slándála ceann scríbe.

Soláthraíonn SGACL meicníocht rialaithe rochtana gan stát bunaithe ar an gcomhlachas slándála nó an grúpa slándála tag luach in ionad seoltaí IP agus scagairí. Tá trí bhealach ann le beartas SGACL a sholáthar:

Soláthar beartais statach: Sainmhíníonn an t-úsáideoir beartais SGACL ag baint úsáide as an gcead ordú rólbhunaithe cts.

Soláthar beartais dinimiciúil: Ba cheart beartais SGACL a chumrú go príomha trí fheidhm bhainistíochta beartais an Cisco Secure ACS nó Inneall Seirbhísí Aitheantais Cisco.
Athrú Údaraithe (CoA): Déantar an polasaí nuashonraithe a íoslódáil nuair a dhéantar polasaí SGACL a mhodhnú ar an ISE agus CoA a bhrú chuig gléas Cisco TrustSec.
Faigheann eitleán sonraí an fheiste na paicéid CoA ón soláthraí beartais (ISE) agus cuireann sé an beartas i bhfeidhm ar na paicéid CoA. Cuirtear na paicéid ar aghaidh ansin chuig an eitleán rialaithe feiste áit a dtarlaíonn an chéad leibhéal eile d'fhorfheidhmiú beartais do na paicéid COA atá ag teacht isteach. Chun view an gcuntar polasaí crua-earraí agus bogearraí faisnéise, reáchtáil an seó ordú cuntair ról-bhunaithe cts i mód EXEC pribhléideach.

Beartais SGACL

Trí úsáid a bhaint as liostaí rialaithe rochtana grúpa slándála (SGACLanna), is féidir leat na hoibríochtaí is féidir le húsáideoirí a dhéanamh a rialú bunaithe ar thascanna grúpa slándála úsáideoirí agus acmhainní ceann scríbe. Déanann maitrís ceada ionadaíocht ar fhorghníomhú beartais laistigh d'fhearann Cisco TrustSec, le huimhreacha grúpa slándála foinse ar ais amháin agus uimhreacha grúpa slándála ceann scríbe ar an ais eile. Féadfaidh liosta ordaithe de SGACLanna a bheith i ngach cill i gcorp na maitrís a shonraíonn na ceadanna ba cheart a chur i bhfeidhm ar phaicéid a thagann ón ngrúpa slándála foinse agus atá beartaithe don ghrúpa slándála cinn scríbe.

Taispeánann an figiúr seo a leanas example maitrís ceadanna Cisco TrustSec le haghaidh fearainn shimplí le trí ról úsáideora sainithe agus acmhainn chinn scríbe sainithe amháin. Rialaíonn trí bheartas SGACL rochtain ar an bhfreastalaí ceann scríbe bunaithe ar ról an úsáideora.

Fíor 3: Maitrís Beartais SGACL Example

Tógann CISCO Trustsec Líonra Slán - Fíor 3

Trí úsáideoirí agus gléasanna laistigh den líonra a shannadh do ghrúpaí slándála agus rialú rochtana a chur i bhfeidhm idir na grúpaí slándála, baineann Cisco TrustSec amach rialú rochtana atá neamhspleách ar an topology laistigh den líonra. Toisc go sainmhíníonn SGACLanna beartais rialaithe rochtana bunaithe ar chéannacht gléas in ionad seoltaí IP mar atá in ACLanna traidisiúnta, tá cead ag feistí líonra bogadh ar fud an líonra agus seoltaí IP a athrú.
Chomh fada agus a fhanann na róil agus na ceadanna mar a chéile, ní athraíonn athruithe ar topology an líonra an beartas slándála. Nuair a chuirtear úsáideoir leis an bhfeiste, ní dhéanann tú ach an t-úsáideoir a shannadh do ghrúpa slándála cuí agus faigheann an t-úsáideoir ceadanna an ghrúpa sin láithreach.

Cuirtear beartais SGACL i bhfeidhm ar thrácht a ghintear idir dhá ghléas óstaigh, ní ar thrácht a ghintear ó ghléas go feiste deiridh óstaigh.

Laghdaítear go mór méid ACLanna trí cheadanna rólbhunaithe a úsáid agus simplítear a gcothabháil. Le Cisco TrustSec, déantar líon na n-iontrálacha rialaithe rochtana (ACEanna) cumraithe a chinneadh de réir líon na gceadanna sonraithe, rud a fhágann go bhfuil líon i bhfad níos lú ACEanna ná mar atá i líonra IP traidisiúnta. Is gnách go mbíonn úsáid níos éifeachtaí as acmhainní TCAM i gcomparáid le ACLS traidisiúnta mar thoradh ar úsáid SGACLanna in Cisco TrustSec. Tacaítear le huasmhéid de bheartais 17,500 SGACL ar Lasca Sraith Catalyst 9500. Ar na Lasca Sraith Ardfheidhmíochta Catalyst 9500, tacaítear le huasmhéid de 28,224 beartas SGACL.

Isteach Tagging agus Forfheidhmiú Egress

Cuirtear rialú rochtana Cisco TrustSec i bhfeidhm trí úsáid a bhaint as ingress tagforghníomhú dul chun cinn agus éalú. Ag an bpointe iontrála chuig fearann Cisco TrustSec, tá trácht ón bhfoinse tagged le SGT ina bhfuil uimhir ghrúpa slándála an aonáin bhunaidh. Tá an SGT iomadaithe leis an trácht trasna an fhearainn. Ag pointe dul amach an fhearainn Cisco TrustSec, úsáideann feiste bealach amach an fhoinse SGT agus uimhir ghrúpa slándála an eintitis chinn scríbe (an SG ceann scríbe, nó an DGT) chun a chinneadh cén beartas rochtana atá le cur i bhfeidhm ó mhaitrís beartais SGACL.

Léiríonn an figiúr seo a leanas conas a fheidhmíonn sannadh SGT agus forfheidhmiú SGACL i bhfearann Cisco TrustSec.

Fíor 4: SGT agus SGACL i bhFearann Cisco TrustSec

Tógann CISCO Trustsec Líonra Slán - Fíor 4

Tarchuireann an ríomhaire óstach paicéad chuig an web freastalaí. Cé go bhfuil an ríomhaire agus an web nach baill d’fhearann Cisco TrustSec iad an freastalaí, cuimsíonn cosán sonraí an phaicéid fearann Cisco TrustSec.

Athraíonn gléas ingress Cisco TrustSec an paicéad chun SGT a chur leis le grúpa slándála uimhir 3, an uimhir ghrúpa slándála a shann an freastalaí fíordheimhnithe don ríomhaire óstaigh.
Forfheidhmíonn gléas egress Cisco TrustSec an polasaí SGACL a bhaineann le grúpa foinse 3 agus le grúpa sprice 4, an uimhir ghrúpa slándála arna sannadh ag an bhfreastalaí fíordheimhnithe don web freastalaí.

Má cheadaíonn an SGACL an paicéad a chur ar aghaidh, modhnaítear an paicéad chun an SGT a bhaint as lasc éalaithe Cisco TrustSec agus seolann sé an paicéad ar aghaidh chuig an web freastalaí.

An Grúpa Slándála Foinse a chinneadh

Caithfidh gléas líonra ag teacht isteach an fhearainn Cisco TrustSec SGT an phaicéid a iontráiltear san fhearann Cisco TrustSec a chinneadh ionas gur féidir leis tag an paicéad leis an SGT sin nuair a chuireann sé ar aghaidh é isteach san fhearann Cisco TrustSec. Ní mór don ghléas líonra bealach amach SGT an phaicéid a chinneadh chun SGACL a chur i bhfeidhm.

Is féidir leis an ngléas líonra an SGT do phaicéad a chinneadh ar cheann de na modhanna seo a leanas:

Faigh an fhoinse SGT le linn sealbhú beartais—Tar éis chéim fíordheimhnithe Cisco TrustSec, faigheann gléas líonra faisnéis bheartais ón bhfreastalaí fíordheimhnithe, a léiríonn an bhfuil muinín sa phiarfheiste nó nach bhfuil. Mura gcuirtear muinín i ngléas piaraí, is féidir leis an bhfreastalaí fíordheimhnithe SGT a sholáthar freisin le cur i bhfeidhm ar gach paicéad a thagann ón ngléas piaraí.

Faigh an fhoinse SGT ón bpaicéad—Má thagann paicéad ó ghléas piaraí iontaofa, iompraíonn an paicéad an SGT. Baineann sé seo le gléas líonra nach é an chéad ghléas líonra in fhearann Cisco TrustSec don phaicéad.
Féach ar an bhfoinse SGT bunaithe ar chéannacht na foinse - Le Mapáil Poirt Aitheantais (IPM), is féidir leat an nasc a chumrú de láimh le céannacht an phiara nasctha. Iarrann an gléas líonra faisnéis bheartais, lena n-áirítear SGT agus staid iontaobhais, ón bhfreastalaí fíordheimhnithe.
Cuardaigh an fhoinse SGT bunaithe ar an seoladh IP foinse - I gcásanna áirithe, is féidir leat an polasaí a chumrú de láimh chun cinneadh a dhéanamh ar SGT paicéad bunaithe ar a sheoladh IP foinse. Is féidir leis an bPrótacal Malartaithe SGT (SXP) an tábla mapála IP-seoladh-go-SGT a líonadh freisin.

An Grúpa Slándála Ceann Scríbe a chinneadh

Cinneann an gléas líonra egress i bhfearann Cisco TrustSec an grúpa cinn scríbe (DGT) chun an SGACL a chur i bhfeidhm. Cinneann an gléas líonra an grúpa slándála cinn scríbe don phaicéad ag baint úsáide as na modhanna céanna a úsáidtear chun an grúpa slándála foinse a chinneadh, cé is moite den ghrúpa uimhir a fháil ó phaicéad tag. Níl uimhir an ghrúpa slándála cinn scríbe san áireamh i bpaicéad tag.

I gcásanna áirithe, d’fhéadfadh faisnéis maidir le grúpaí cinn scríbe a bheith ar fáil ar ghléasanna iontrála nó gléasanna eile nach n-imíonn siad. Sna cásanna sin, d’fhéadfaí SGACLanna a chur i bhfeidhm ar na gléasanna seo seachas ar fheistí dul amach.

SGACL Forfheidhmiú ar Thrácht Ródáilte agus Aistrithe
Ní chuirtear forghníomhú SGACL i bhfeidhm ach amháin ar thrácht IP, ach is féidir forghníomhú a chur i bhfeidhm ar thrácht treoraithe nó lasctha.
Maidir le trácht treoraithe, déantar forghníomhú SGACL trí lasc amach, go hiondúil lasc dáileacháin nó lasc rochtana le calafort ródaithe a nascann leis an óstaigh ceann scríbe. Nuair a chumasaíonn tú forfheidhmiú SGACL ar fud an domhain, cumasaítear forghníomhú go huathoibríoch ar gach comhéadan Sraith 3 ach amháin i gcás comhéadain SVI.

Maidir le trácht lasctha, déantar forghníomhú SGACL ar thrácht a shreabhann laistigh d’fhearann lasctha amháin gan aon fheidhm ródaithe. Tá seanample go ndéanfaí forfheidhmiú SGACL trí lasc rochtana lárionad sonraí ar thrácht freastalaí go freastalaí idir dhá fhreastalaí atá nasctha go díreach. Sa seanample, is gnách go n-aistreofaí an trácht freastalaí go freastalaí. Is féidir forfheidhmiú SGACL a chur i bhfeidhm ar phaicéid a aistrítear laistigh de VLAN nó a chuirtear ar aghaidh chuig SVI a bhaineann le VLAN, ach ní mór forfheidhmiú a chumasú go sainráite do gach VLAN.

SGACL Logála agus Staitisticí ACE

Nuair a bhíonn logáil cumasaithe in SGACL, logálann an gléas an fhaisnéis seo a leanas:

An grúpa slándála foinse tag (SGT) agus SGT ceann scríbe
An t-ainm polasaí SGACL
An cineál prótacail paicéad
An gníomh a dhéantar ar an bpaicéad

Baineann an rogha logála le ACE aonair agus cuireann sé faoi deara paicéid a mheaitseálann an ACE a logáil. Gineann an chéad phaicéad logáilte ag an eochairfhocal loga teachtaireacht syslog. Gintear agus tuairiscítear teachtaireachtaí loga ina dhiaidh sin ag eatraimh cúig nóiméad. Má mheaitseálann an ACE logáil-chumasaithe paicéad eile (a bhfuil tréithe comhionann leis an bpaicéad a ghin an teachtaireacht logála), méadaítear líon na bpacáistí comhoiriúnaithe (cuntair) agus ansin tuairiscítear iad.

Chun logáil a chumasú, bain úsáid as an eochairfhocal logála os comhair an tsainmhínithe ACE i gcumraíocht SGACL. Le haghaidh example, cead logáil ip.

Nuair atá logáil SGACL cumasaithe, ní dhéantar logáil isteach do theachtaireachtaí Iarratas ICMP ón bhfeiste chuig an gcliant
Prótacail IPv4 agus IPv6. Ach; Tá teachtaireachtaí Freagra ICMP ón gcliant chuig an ngléas logáilte.

Seo a leanas marample logáil, ina dtaispeántar SGTanna foinse agus cinn scríbe, meaitseálacha ACE (le haghaidh ceada nó gníomh diúltaithe), agus an prótacal, is é sin, faisnéis TCP, UDP, IGMP, agus ICMP:

*Meitheamh 2 08:58:06.489: %C4K_IOSINTF-6-SGACCLHIT: liosta deny_udp_src_port_log-30 Diúltaithe udp 24.0.0.23(100) -> 28.0.0.91(100), SGT8 DGT

Chomh maith leis na staitisticí SGACL 'in aghaidh na cille' atá ann cheana féin, ar féidir iad a thaispeáint ag baint úsáide as an seó cts ról-bhunaithe
ordú cuntair, is féidir leat staitisticí ACE a thaispeáint freisin, trí úsáid a bhaint as an ordú taispeáin ip access-list sgacl_name. Níl aon chumraíocht bhreise ag teastáil le haghaidh seo.
Seo a leanas exampLéiríonn le conas is féidir leat an t-ordú taispeáin ip access-list a úsáid chun an comhaireamh ACE a thaispeáint

Taispeáin gléas # rochtain ip deny_udp_src_port_log-30
Liosta rochtana IP rólbhunaithe deny_udp_src_port_log-30 (íosluchtaithe)
10 diúltaigh logáil udp src eq 100 (283 meaitseáil)
20 logáil ip cheada (50 meaits)

Nuair a mheaitseálann an trácht ag teacht isteach leis an gcill, ach nach dtagann sé le SGACL na cille, ceadaítear an trácht agus méadaítear na cuntair sa Chead HW don chill.

Seo a leanas exampLéiríonn le conas a oibríonn SGACL cille:

Tá polasaí SGACL cumraithe ó 5 go 18 le “deny icmp macalla” agus tá trácht ag teacht isteach ó 5 go 18 le ceanntásc TCP. Má mheaitseálann an chill ó 5 go 18 ach nach dtagann an trácht le icmp, ceadófar trácht agus ardófar cuntar HW-Ceadúnas cille 5 go 18.

Tógann CISCO Trustsec Líonra Slán - Tá polasaí SGACL cumraithe ó 5 go 18 le “deny icmp macalla

Logáil SGACL ar an eolas faoi VRF

Áireofar faisnéis VRF i logaí córais SGACL. Chomh maith leis na réimsí atá logáilte faoi láthair, beidh an t-ainm VRF san áireamh san fhaisnéis logála. Beidh an fhaisnéis logála nuashonraithe mar a thaispeántar thíos:

*15 Samhain 02:18:52.187: %RBM-6-SGACLHIT_V6: ingress_interface='GigabitEthernet1/0/15′ sgacl_name='IPV6_TCP_DENY' action='Diúltaigh' prótacal='tcp' src-vrf='CTS-VRF -ip='25::2' src-port='20'
dest-vrf='CTS-VRF' dest-ip='49::2' dest-port='30' sgt='200' dgt='500' logging_interval_hits='1'

Mód Monatóireachta SGACL
Le linn na céime réamh-imscartha de Cisco TrustSec, úsáidfidh riarthóir an modh monatóireachta chun na beartais slándála a thástáil gan iad a fhorfheidhmiú chun a chinntiú go bhfeidhmíonn na beartais mar a bhí beartaithe. Mura bhfeidhmíonn na beartais slándála mar a bhí beartaithe, cuireann an modh faireacháin meicníocht áisiúil ar fáil chun é sin a shainaithint agus tugann sé deis an beartas a cheartú sula gcumasaítear forghníomhú SGACL. Cuireann sé seo ar chumas riarthóirí infheictheacht mhéadaithe a bheith acu ar thoradh na ngníomhaíochtaí beartais sula ndéanann siad é a fhorghníomhú, agus a dheimhniú go gcomhlíonann an beartas is ábhar na ceanglais slándála (diúltaítear rochtain ar acmhainní mura bhfuil úsáideoirí
údaraithe).
Cuirtear an cumas monatóireachta ar fáil ag leibhéal péire SGT-DGT. Nuair a chumasaíonn tú gné mód monatóireachta SGACL, cuirtear an gníomh dhiúltú i bhfeidhm mar chead ACL ar na cártaí líne. Ligeann sé seo do na cuntair agus don logáil SGACL conas a láimhseálann beartas SGACL naisc a thaispeáint. Ós rud é go gceadaítear an trácht monatóireachta go léir, níl aon cur isteach ar an tseirbhís mar gheall ar SGACLanna agus iad i mód monatóireachta SGACL.

Údarú agus Fáil Beartais

Tar éis deireadh a chur le fíordheimhniú gléas, faigheann an t-iarrthóir agus an fíordheimhnitheoir an beartas slándála ón bhfreastalaí fíordheimhnithe. Ansin déanann an dá chomhghleacaithe údarú naisc agus forfheidhmíonn siad an beartas slándála naisc i gcoinne a chéile bunaithe ar a n-IDanna gléas Cisco TrustSec. Is féidir an modh fíordheimhnithe naisc a chumrú mar 802.1X nó mar fhíordheimhniú láimhe. Más é 802.1X an t-urrús naisc, úsáideann gach piaraí ID gléis a fuarthas ón bhfreastalaí fíordheimhnithe. Má tá slándáil an naisc láimhe, ní mór duit aitheantais an ghléis phiara a shannadh.

Tugann an freastalaí fíordheimhnithe na tréithe polasaí seo a leanas ar ais:

Cisco TrustSec trust—Léiríonn sé cibé an bhfuil muinín as an ngléas piaraí chun an SGT a chur sna paicéid.
Piaraí SGT - Léiríonn sé an grúpa slándála lena mbaineann an piara. Mura bhfuil muinín ag an bpiaraí, tá gach paicéad a fhaightear ón bpiaraí tagged leis an SGT seo. Mura bhfuil a fhios ag an ngléas an bhfuil baint ag aon SGACLanna le SGT an chomhghleacaí, féadfaidh an gléas iarratas leantach a sheoladh chuig an bhfreastalaí fíordheimhnithe chun na SGACLanna a íoslódáil.
Am éaga an údaraithe – Léiríonn sé líon na soicind sula dtéann an polasaí in éag. Ba cheart d'fheiste Cisco TrustSec a polasaí agus a údarú a athnuachan sula n-imíonn sé. Is féidir leis an bhfeiste na sonraí fíordheimhnithe agus beartais a thaisceadh agus iad a athúsáid tar éis atosaigh mura bhfuil na sonraí imithe in éag.

Ba cheart go dtacódh gach feiste Cisco TrustSec le roinnt polasaí rochtana réamhshocraithe íosta ar eagla nach bhfuil sé in ann teagmháil a dhéanamh leis an bhfreastalaí fíordheimhnithe chun beartas cuí a fháil don phiara.

Léirítear próiseas idirbheartaíochta an NDAC agus SAP san fhigiúr seo a leanas

Fíor 5: Idirbheartaíocht NDAC agus SAP

Tógann CISCO Trustsec Líonra Slán - Fíor 5

Íosluchtaigh faisnéise comhshaoil

Is éard atá i sonraí comhshaoil Cisco TrustSec ná bailiúchán faisnéise nó beartais a chuidíonn le gléas feidhmiú mar nód Cisco TrustSec. Faigheann an gléas na sonraí comhshaoil ón bhfreastalaí fíordheimhnithe nuair a théann an gléas isteach i bhfearann Cisco TrustSec den chéad uair, cé go bhféadfá cuid de na sonraí ar ghléas a chumrú de láimh freisin. Le haghaidh example, ní mór duit an gléas síol Cisco TrustSec a chumrú leis an bhfaisnéis freastalaí fíordheimhnithe, ar féidir é a mhéadú níos déanaí leis an liosta freastalaí a fhaigheann an gléas ón bhfreastalaí fíordheimhnithe.

Ní mór don ghléas sonraí timpeallachta Cisco TrustSec a athnuachan sula dtéann sé in éag. Is féidir leis an bhfeiste na sonraí timpeallachta a thaisceadh freisin agus iad a athúsáid tar éis atosaigh mura bhfuil na sonraí imithe in éag.

Úsáideann an gléas RADIUS chun na sonraí timpeallachta seo a leanas a fháil ón bhfreastalaí fíordheimhnithe:

Liostaí freastalaí: Liosta de na freastalaithe is féidir leis an gcliant a úsáid le haghaidh iarratais RADIUS amach anseo (le haghaidh fíordheimhnithe agus údaraithe araon). Tarlaíonn athnuachan PAC trí na freastalaithe seo.
Gléas SG: Grúpa slándála lena mbaineann an gléas féin.
Teorainn ama éaga: Eatramh a rialaíonn cé chomh minic is ceart don ghléas Cisco TrustSec a shonraí timpeallachta a athnuachan.

Feidhmiúlacht Leaschraolacháin RADIUS

Tá nascacht IP leis an bhfreastalaí fíordheimhnithe ag an bhfeiste a bhfuil ról fíordheimhnitheora Cisco TrustSec aige sa phróiseas fíordheimhnithe 802.1X, rud a ligeann don fheiste an polasaí agus an t-údarú a fháil ón bhfreastalaí fíordheimhnithe trí theachtaireachtaí RADIUS a mhalartú thar UDP/IP. Seans nach bhfuil nascacht IP ag an ngléas supplicant leis an bhfreastalaí fíordheimhnithe. I gcásanna den sórt sin, ceadaíonn Cisco TrustSec don fhíordheimhnitheoir gníomhú mar athsheachadán RADIUS don iarrthóir.

Seolann an t-iarrthóir teachtaireacht speisialta EAPOL chuig an bhfíordheimhnitheoir ina bhfuil seoladh IP an fhreastalaí RADIUS agus an calafort UDP agus an t-iarratas iomlán RADIUS. Baineann an fíordheimhnitheoir an t-iarratas RADIUS as an teachtaireacht EAPOL a fuarthas agus seolann sé thar UDP/IP chuig an bhfreastalaí fíordheimhnithe. Nuair a fhilleann an freagra RADIUS ón bhfreastalaí fíordheimhnithe, cuireann an fíordheimhnitheoir an teachtaireacht ar ais chuig an soláthraí, agus í cuimsithe i bhfráma EAPOL.

Slándáil Nasc

Nuair a thacaíonn an dá thaobh de nasc le 802.1AE Slándála Rialaithe Rochtana Meáin (MACsec), déantar idirbheartaíocht prótacail comhlachais slándála (SAP). Tarlaíonn malartú EAPOL-Eochair idir an t-iarrthóir agus an fíordheimhnitheoir chun sraith cipher a chaibidil, paraiméadair shlándála a mhalartú, agus eochracha a bhainistiú. Nuair a chuirtear na trí thasc ar fad i gcrích go rathúil, bunaítear comhlachas slándála (SA).

Ag brath ar do leagan bogearraí, ceadúnú criptithe, agus tacaíocht crua-earraí nasc, is féidir le hidirbheartaíocht SAP ceann de na modhanna oibríochta seo a leanas a úsáid:

Galois/Mód Cuntair (GCM) - Sonraítear fíordheimhniú agus criptiú
Fíordheimhniú GCM (GMAC) - Sonraítear fíordheimhniú agus gan aon chriptiú
Gan Imchochlú - Sonraítear gan imchochlú (téacs soiléir)
Null - Sonraíonn sé imchochlú, gan fíordheimhniú agus gan aon chriptiú

Tá crua-earraí atá in ann Cisco TrustSec ag teastáil ó gach modh seachas Gan Imchochlú.

SAP-PMK á chumrú le haghaidh Slándáil Nasc

Tógann CISCO Trustsec Líonra Slán - Cumrú SAP-PMK le haghaidh Slándáil Nasc

Tógann CISCO Trustsec Líonra Slán - Cumrú SAP-PMK le haghaidh Slándáil Nasc 2

SXP le haghaidh Iomadú SGT ar fud Líonraí Rochtana Oidhreacht
Tagtá tacaíocht crua-earraí de dhíth ar phacáistí ging le SGTanna. B'fhéidir go bhfuil gléasanna i do líonra agat, cé go bhfuil tú in ann páirt a ghlacadh i bhfíordheimhniú Cisco TrustSec, nach bhfuil an cumas crua-earraí acu tag paicéid le

SGTanna. Trí Phrótacal Malairte SGT (SXP) a úsáid, is féidir leis na gléasanna seo mapálacha IP-seoladh-go-SGT a chur ar aghaidh chuig gléas piaraí Cisco TrustSec a bhfuil crua-earraí in ann Cisco TrustSec.

Is gnách go n-oibríonn SXP idir feistí ciseal rochtana ingress ag imeall fearainn Cisco TrustSec agus feistí ciseal dáileacháin laistigh den fhearann Cisco TrustSec. Déanann an gléas ciseal rochtana fíordheimhniú Cisco TrustSec ar fheistí foinse sheachtracha chun na SGTanna cuí a chinneadh le haghaidh paicéid isteach. Foghlaimíonn an gléas ciseal rochtana seoltaí IP na bhfeistí foinse ag baint úsáide as rianú gléas IP agus (go roghnach) DHCP snooping, ansin úsáideann SXP chun seoltaí IP na bhfeistí foinse chomh maith lena SGTanna a chur ar aghaidh chuig na feistí dáileacháin.
Is féidir le gléasanna dáileacháin le crua-earraí Cisco TrustSec an fhaisnéis mapála IP-go-SGT seo a úsáid chun tag paicéid go cuí agus chun beartais SGACL a fhorfheidhmiú.

Fíor 6: Prótacal SXP chun Faisnéis SGT a Iomadú

Tógann CISCO Trustsec Líonra Slán - Fíor 6

Ní mór duit nasc SXP a chumrú de láimh idir piaraí gan tacaíocht crua-earraí Cisco TrustSec agus piaraí le tacaíocht crua-earraí Cisco TrustSec. Teastaíonn na tascanna seo a leanas agus an nasc SXP á chumrú:

Má theastaíonn sláine agus fíordheimhniú sonraí SXP uait, ní mór duit an focal faire SXP céanna a chumrú ar an dá fheiste piaraí. Is féidir leat an pasfhocal SXP a chumrú go sainráite do gach nasc piaraí nó go domhanda don ghléas. Cé nach bhfuil pasfhocal SXP ag teastáil, molaimid é a úsáid.
Ní mór duit gach piaraí ar an nasc SXP a chumrú mar chainteoir SXP nó mar éisteoir SXP. Dáileann an gléas cainteoir an fhaisnéis mapála IP-go-SGT chuig an ngléas éisteoir.

Is féidir leat seoladh IP foinse a shonrú le húsáid do gach caidreamh piaraí nó is féidir leat seoladh IP foinse réamhshocraithe a chumrú le haghaidh naisc phiaraí nuair nach bhfuil seoladh IP foinse sonrach cumraithe agat. Mura sonraíonn tú aon seoladh IP foinse, úsáidfidh an gléas seoladh IP comhéadan an cheangail leis an bpiaraí.

Ceadaíonn SXP leannlusanna iolracha. Is é sin, má tá easpa tacaíochta crua-earraí Cisco TrustSec ag piaraí gléas a bhfuil easpa tacaíochta crua-earraí Cisco TrustSec aige freisin, is féidir leis an dara piaraí nasc SXP a bheith aige le tríú piaraí, ag leanúint le iomadú na faisnéise mapála IP-go-SGT go dtí go mbeidh crua-earraí-. sroichtear piaraí cumasach. Is féidir gléas a chumrú mar éisteoir SXP do nasc SXP amháin mar chainteoir SXP do nasc SXP eile.

Coinníonn feiste Cisco TrustSec nascacht lena gcomhghleacaithe SXP trí úsáid a bhaint as meicníocht coimeádta TCP.
Chun nasc piaraí a bhunú nó a athbhunú, déanfaidh an gléas iarracht arís agus arís eile an nasc a shocrú ag baint úsáide as tréimhse atriail inchumraithe go dtí go n-éireoidh leis an nasc nó go dtí go mbaintear an nasc den chumraíocht.

Sraith 3 Iompar SGT do Réigiúin Neamh-Iontaobhais

Nuair a fhágann paicéad fearann Cisco TrustSec le haghaidh ceann scríbe neamh-TrustSec, baineann gléas egress Cisco TrustSec an ceanntásc Cisco TrustSec agus SGT sula gcuirtear an paicéad ar aghaidh chuig an líonra lasmuigh. Más rud é, áfach, nach bhfuil an paicéad ach ag trasnú fearann neamh-TrustSec ar an gcosán go fearann Cisco TrustSec eile, mar a thaispeántar san fhigiúr seo a leanas, is féidir an SGT a chaomhnú trí úsáid a bhaint as gné Iompar Cisco TrustSec Layer 3 SGT. Sa ghné seo, cuimsíonn gléas egress Cisco TrustSec an paicéad le ceanntásc ESP a chuimsíonn cóip den SGT. Nuair a shroicheann an paicéad imchochlaithe an chéad fearann eile de chuid Cisco TrustSec, baintear an gléas ingress Cisco TrustSec as an imchochlú ESP agus iomadaíonn sé an paicéad lena SGT.

Fíor 7: A chuimsíonn fearann Neamh-Iontaobhais

Tógann CISCO Trustsec Líonra Slán - Fíor 7

Chun tacú le Cisco TrustSec Layer 3 SGT Transport, ní mór d’aon fheiste a fheidhmeoidh mar gheata isteach nó amach as Sraith 3 Cisco TrustSec bunachar sonraí beartais tráchta a choinneáil a liostaíonn folíonta incháilithe i bhfearainn iargúlta Cisco TrustSec chomh maith le haon fho-líonraí eisiata laistigh de na réigiúin sin. Is féidir leat an bunachar sonraí seo a chumrú de láimh ar gach gléas mura féidir iad a íoslódáil go huathoibríoch ón Cisco Secure ACS.

Is féidir le gléas sonraí Iompar SGT Sraith 3 a sheoladh ó chalafort amháin agus sonraí Iompar SGT Sraith 3 a fháil ar chalafort eile, ach caithfidh crua-earraí atá in ann Cisco TrustSec a bheith ag na calafoirt isteach agus amach.

Ní chriptíonn Cisco TrustSec na paicéid imchochlaithe SGT Transport Sraith 3. Chun na paicéid a thrasnaíonn an fearann neamh-TrustSec a chosaint, is féidir leat modhanna cosanta eile a chumrú, mar IPsec.

VRF-Aware SXP

Ceanglaíonn cur i bhfeidhm SXP Ródú agus Cur ar Aghaidh Fíorúil (VRF) nasc SXP le VRF ar leith. Glactar leis go bhfuil topology an líonra cumraithe i gceart le haghaidh VPNanna Sraith 2 nó Sraith 3, agus gach VRF cumraithe sula gcumasaítear Cisco TrustSec.

Is féidir achoimre a dhéanamh ar thacaíocht SXP VRF mar seo a leanas:

Ní féidir ach nasc SXP amháin a cheangal le VRF amháin.
D’fhéadfadh go mbeadh seoltaí IP piaraí nó foinse IP forluiteacha ag VRFanna éagsúla.

Ní féidir mapálacha IP-SGT a foghlaimíodh (curtha leis nó scriosta) i VRF amháin a nuashonrú ach san fhearann VRF céanna.
Ní féidir leis an nasc SXP léarscáiliú atá ceangailte le VRF eile a nuashonrú. Mura n-imíonn nasc SXP le haghaidh VRF, ní dhéanfaidh SXP léarscáileanna IP-SGT don VRF sin a nuashonrú.
Tacaítear le teaghlaigh seolta iolracha in aghaidh an VRF. Mar sin, is féidir le nasc SXP amháin i bhfearann VRF mapálacha IPV4 agus IPV6 IP-SGT araon a chur ar aghaidh.
Níl aon teorainn ag SXP le líon na nasc agus líon na mapálacha IP-SGT in aghaidh an VRF.

Ciseal 2 Tasc VRF-Aware SXP agus VRF

Sonraítear tascanna VLANanna VRF go Sraith 2 leis an ordú cumraíochta domhanda l2-vrf vrf-name vlan-list atá bunaithe ar ról cts. Meastar VLAN mar VLAN Sraith 2 chomh fada agus nach bhfuil aon lasc-chomhéadan fíorúil (SVI) le seoladh IP cumraithe ar an VLAN. Éiríonn an VLAN ina VLAN Sraith 3 nuair a bhíonn seoladh IP cumraithe ar a SVI.

Tá na tascanna VRF atá cumraithe ag an ordú l2-vrf ról-bhunaithe cts gníomhach chomh fada agus a fhanann VLAN ina VLAN Sraith 2. Cuirtear na ceangail IP-SGT a foghlaimíodh agus sannadh VRF gníomhach leis an tábla Bonn Faisnéise ar Aghaidh (FIB) a bhaineann leis an VRF agus leis an leagan prótacail IP freisin. Má éiríonn SVI gníomhach le haghaidh VLAN, éiríonn an tasc VRF go VLAN neamhghníomhach agus bogtar na ceangail go léir a foghlaimíodh ar an VLAN go dtí an tábla FIB a bhaineann le VRF an SVI.

Coinnítear an tasc VRF go VLAN fiú nuair a éiríonn an tasc neamhghníomhach. Athghníomhaítear é nuair a bhaintear an SVI nó nuair a dhéantar an seoladh IP SVI a dhíchumrú. Nuair a athghníomhaítear iad, bogtar na ceangail IP-SGT ar ais ón tábla FIB a bhaineann le VRF an SVI go dtí an tábla FIB a bhaineann leis an VRF a shanntar leis an ordú l2-vrf ról-bhunaithe cts.

Stair Gné do Cisco TrustSec Tharview

Soláthraíonn an tábla seo faisnéis eisithe agus faisnéis ghaolmhar maidir leis na gnéithe a mhínítear sa mhodúl seo.
Tá na gnéithe seo ar fáil sna heisiúintí go léir i ndiaidh na heisiúna inar tugadh isteach iad, mura sonraítear a mhalairt.

Úsáid an Cisco Feature Navigator chun faisnéis a fháil faoi thacaíocht íomhá ardáin agus bogearraí. Chun rochtain a fháil
Cisco Gné Navigator, téigh go dtí http://www.cisco.com/go/cfn.

Doiciméid / Acmhainní

Tógann CISCO Trustsec Líonra Slán [pdfTreoir Úsáideora
Tógann Trustsec Líonra Slán, Tógann Trustsec, Tógann Líonra Slán, Líonra Slán, Líonra

Tagairtí

Lámhleabhar Úsáideora

Eolas Faoi Cisco TrustSec Architecture

Doiciméid / Acmhainní

Tagairtí

Fág trácht

Cealaigh freagra