Bidh CISCO Trustsec a’ togail tèarainte Leabhar-iùil luchd-cleachdaidh lìonra
Bidh Cisco TrustSec a’ togail lìonraidhean tèarainte le bhith a’ stèidheachadh raointean de dh’ innealan lìonra earbsach. Tha gach inneal san raon air a dhearbhadh leis na co-aoisean aige. Tha conaltradh air na ceanglaichean eadar innealan san raon air a dhèanamh tèarainte le measgachadh de chrioptachadh, sgrùdadh iomlanachd teachdaireachd, agus dòighean dìon ath-chluich slighe dàta.Cuingeachaidhean airson Cisco TrustSec
- Bidh solar teisteanas ruigsinneachd dìon (PAC) a’ fàiligeadh agus fhathast ann an staid crochte, nuair a tha ID inneal neo-dhligheach air a shònrachadh. Fiù ‘s às deidh dhut am PAC a ghlanadh, agus an ID inneal agus am facal-faire ceart a rèiteachadh, tha PAC fhathast a’ fàiligeadh.
Mar dhòigh-obrach, ann an Einnsean Seirbheisean Aithne Cisco (ISE), dì-cheannaich an Suppress Anomalous Clients
roghainn anns a 'chlàr-taice Rianachd> System> Settings> Protocols> Radius airson PAC obrachadh. - Chan eil taic ri Cisco TrustSec sa mhodh FIPS.
- Chan eil na cuingeadan a leanas a’ buntainn ach ri modail C9500X-28C8D de Cisco Catalyst 9500 Series Switches:
• Chan eil taic ri rèiteachadh làimhe Cisco TrustSec.
• Chan eil taic ri gnìomhachd Cisco TrustSec Security Association Protocol (SAP).
• Chan eil taic ri cuairteachadh bann-cinn meata-dàta Cisco TrustSec.
Fiosrachadh mu dheidhinn Cisco TrustSec Architecture
Bidh ailtireachd tèarainteachd Cisco TrustSec a’ togail lìonraidhean tèarainte le bhith a’ stèidheachadh raointean de dh’ innealan lìonra earbsach. Tha gach inneal san raon air a dhearbhadh leis na co-aoisean aige. Tha conaltradh air na ceanglaichean eadar innealan san raon air a dhèanamh tèarainte le measgachadh de chrioptachadh, sgrùdadh ionracas teachdaireachd, agus dòighean dìon ath-chluich slighe dàta. Bidh Cisco TrustSec a’ cleachdadh an inneal agus teisteanasan luchd-cleachdaidh a fhuaireadh aig àm dearbhaidh airson na pacaidean a sheòrsachadh a rèir buidhnean tèarainteachd (SGn) nuair a thèid iad a-steach don lìonra. Tha an seòrsachadh pacaid seo air a chumail suas le taga’ dol a-steach do lìonra Cisco TrustSec gus an tèid an comharrachadh gu ceart airson adhbharan tèarainteachd agus slatan-tomhais poileasaidh eile a chuir an sàs air an t-slighe dàta. Tha an tag, ris an canar a’ bhuidheann tèarainteachd tag (SGT), a’ leigeil leis an lìonra am poileasaidh smachd ruigsinneachd a chuir an gnìomh le bhith a’ leigeil leis an inneal crìochnachaidh obrachadh air an SGT gus trafaic a shìoladh.
Chan eil ceanglaichean Cisco TrustSec IEEE 802.1X a’ faighinn taic air àrd-ùrlaran le taic anns an Cisco IOS XE Denali(16.1.x gu 16.3.x), Cisco IOS XE Everest (16.4.x gu 16.6.x), agus fiosan Cisco IOS XE Fuji (16.7.x gu 16.9.x), agus mar sin chan eil ach an Authenticator a’ faighinn taic; chan eil taic ris an t-Solaraiche.
Tha ailtireachd Cisco TrustSec a’ toirt a-steach trì prìomh phàirtean:
- Bun-structar lìonraidh dearbhte - Às deidh a ’chiad inneal (ris an canar an inneal sìl) dearbhadh leis an t-seirbheisiche dearbhaidh gus an raon Cisco TrustSec a thòiseachadh, tha gach inneal ùr a thèid a chur ris an àrainn air a dhearbhadh leis na h-innealan co-aoisean a tha taobh a-staigh an fhearainn mu thràth. Bidh an co-aoisean ag obair mar eadar-mheadhanairean airson frithealaiche dearbhaidh an àrainn. Tha gach inneal a tha air ùr-dhearbhadh air a sheòrsachadh leis an t-seirbheisiche dearbhaidh agus air àireamh buidheann tèarainteachd a shònrachadh a rèir an dearbh-aithne, an dreuchd agus an suidheachadh tèarainteachd.
- Smachd ruigsinneachd stèidhichte air buidheann tèarainteachd - Tha poileasaidhean ruigsinneachd taobh a-staigh raon Cisco TrustSec neo-eisimeileach air topology, stèidhichte air na dreuchdan (mar a tha air an comharrachadh le àireamh buidheann tèarainteachd) aig innealan stòr is ceann-uidhe seach air seòlaidhean lìonra. Tha pacaidean fa leth tagged le àireamh buidheann tèarainteachd an tùs.
- Conaltradh tèarainte - Le bathar-cruaidh comasach air crioptachadh, faodar conaltradh air gach ceangal eadar innealan san raon a dhèanamh tèarainte le measgachadh de chrioptachadh, sgrùdaidhean ionracas teachdaireachd, agus dòighean dìon ath-chluich slighe dàta.
Tha am figear a leanas a ’sealltainn example àrainn Cisco TrustSec. Anns an example, tha grunn innealan lìonraidh agus inneal crìochnachaidh taobh a-staigh àrainn Cisco TrustSec. Tha aon inneal crìochnachaidh agus aon inneal lìonraidh taobh a-muigh an fhearainn leis nach e innealan comasach Cisco TrustSec a th’ annta no leis gun deach ruigsinneachd a dhiùltadh dhaibh. Thathas den bheachd gu bheil am frithealaiche dearbhaidh taobh a-muigh raon Cisco TrustSec; tha e an dàrna cuid na Einnsean Seirbheis Cisco Identities (Cisco ISE), no na shiostam smachd ruigsinneachd tèarainte Cisco (Cisco ACS).
Figear 1: Cisco TrustSec Network Domain Example
Bidh gach com-pàirtiche ann am pròiseas dearbhaidh Cisco TrustSec ag obair ann an aon de na dreuchdan a leanas:
- Neach-taic - Inneal neo-dhearbhte ceangailte ri co-aoisean taobh a-staigh raon Cisco TrustSec, agus a’ feuchainn ri dhol còmhla ri raon Cisco TrustSec.
- Frithealaiche dearbhaidh - An frithealaiche a dhearbhas dearbh-aithne an neach-tagraidh agus a chuireas a-mach na poileasaidhean a tha a’ dearbhadh ruigsinneachd an tagraiche air seirbheisean taobh a-staigh raon Cisco TrustSec.
- Authenticator - Inneal dearbhte a tha mar-thà na phàirt den àrainn Cisco TrustSec agus as urrainn luchd-tagraidh ùr a dhearbhadh às leth an fhrithealaiche dearbhaidh.
Nuair a nochdas an ceangal eadar neach-tagraidh agus neach-dearbhaidh an toiseach, bidh an sreath de thachartasan a leanas a’ tachairt mar as trice:
- Dearbhadh (802.1X) - Tha an supplicant air a dhearbhadh leis an t-seirbheisiche dearbhaidh, leis an dearbhadair ag obair mar eadar-mheadhanair. Bithear a’ dèanamh dearbhadh co-phàirteach eadar an dà cho-aoisean (suplicant agus dearbhadair).
- Ùghdarrachadh - Stèidhichte air fiosrachadh dearbh-aithne an tagraiche, tha an frithealaiche dearbhaidh a’ toirt seachad poileasaidhean ceadachaidh, leithid sònrachaidhean buidhne tèarainteachd agus ACLn, do gach aon de na co-aoisean ceangailte. Bidh an frithealaiche dearbhaidh a’ toirt dearbh-aithne gach co-aoisean don neach eile, agus bidh gach co-aoisean an uairsin a’ cur an gnìomh am poileasaidh iomchaidh airson a’ cheangail.
- Co-rèiteachadh Pròtacal Comann Tèarainteachd (SAP) - Nuair a bhios an dà thaobh de cheangal a ’toirt taic do chrioptachadh, bidh an tagraiche agus an neach-dearbhaidh a’ barganachadh nam paramadairean riatanach gus comann tèarainteachd (SA) a stèidheachadh.
Chan eil SAP a’ faighinn taic air eadar-aghaidh 100G. Tha sinn a’ moladh gun cleachd thu protocol Prìomh Aonta MACsec(MKA) le àireamh pacaid leudaichte (XPN) air eadar-aghaidh 100G.
Nuair a bhios na trì ceumannan deiseil, bidh an dearbhaiche ag atharrachadh staid a’ cheangail bhon stàit neo-ùghdarraichte (bacadh) chun na stàite ùghdarraichte, agus bidh an tagraiche na bhall de àrainn Cisco TrustSec.
Bidh Cisco TrustSec a’ cleachdadh ingress tagging agus sìoladh a-mach gus poileasaidh smachd ruigsinneachd a chuir an gnìomh ann an dòigh scalable. Tha pacaidean a 'tighinn a-steach don àrainn tagged le buidheann tèarainteachd tag (SGT) anns a bheil an àireamh buidheann tèarainteachd ainmichte den inneal stòr. Tha an seòrsachadh pacaid seo air a chumail suas air an t-slighe dàta taobh a-staigh raon Cisco TrustSec airson adhbharan tèarainteachd agus slatan-tomhais poileasaidh eile a chuir an sàs. Bidh an inneal Cisco TrustSec mu dheireadh air an t-slighe dàta, an dàrna cuid am puing crìochnachaidh no puing slighe a-mach lìonra, a’ cur an gnìomh poileasaidh smachd ruigsinneachd stèidhichte air buidheann tèarainteachd inneal stòr Cisco TrustSec agus buidheann tèarainteachd an inneal Cisco TrustSec mu dheireadh. Eu-coltach ri liostaichean smachd ruigsinneachd traidiseanta stèidhichte air seòlaidhean lìonra, tha poileasaidhean smachd ruigsinneachd Cisco TrustSec mar sheòrsa de liostaichean smachd ruigsinneachd stèidhichte air dreuchd (RBACLs) ris an canar liostaichean smachd ruigsinneachd buidhnean tèarainteachd (SGACLs).
Tha Ingress a’ toirt iomradh air pacaidean a’ dol a-steach don chiad inneal comasach Cisco TrustSec a choinnicheas pacaid air an t-slighe chun cheann-uidhe agus a’ dol a-mach a’ toirt iomradh air pacaidean a’ fàgail an inneal Cisco TrustSec mu dheireadh air an t-slighe.Dearbhadh
Cisco TrustSec agus Dearbhadh
A’ cleachdadh Smachd Inntrigidh Inneal Lìonra (NDAC), bidh Cisco TrustSec a’ dearbhadh inneal mus leig e leis a dhol dhan lìonra. Bidh NDAC a’ cleachdadh dearbhadh 802.1X le Pròtacal Dearbhaidh Leudaichte Dearbhadh Sùbailte tro Thunail Thèarainte (EAP-FAST) mar dhòigh Pròtacal Dearbhaidh Leudaichte (EAP) gus an dearbhadh a choileanadh. Bidh còmhraidhean EAP-FAST a’ toirt seachad iomlaidean dòigh EAP eile taobh a-staigh tunail EAP-FAST a’ cleachdadh slabhraidhean. Faodaidh luchd-rianachd dòighean dearbhaidh cleachdaiche traidiseanta a chleachdadh, leithid Microsoft Challenge Handshake Authentication Protocol Version 2 (MSCHAPv2), fhad ‘s a tha tèarainteachd fhathast air a thoirt seachad leis an tunail EAP-FAST. Rè an iomlaid EAP-FAST, bidh an frithealaiche dearbhaidh a’ cruthachadh agus a’ lìbhrigeadh don tagraiche teisteanas ruigsinneachd dìon sònraichte (PAC) anns a bheil iuchair roinnte agus comharra crioptaichte airson a chleachdadh airson conaltradh tèarainte san àm ri teachd leis an t-seirbheisiche dearbhaidh.
Tha am figear a leanas a’ sealltainn an tunail EAP-FAST agus na dòighean a-staigh mar a chleachdar ann an Cisco TrustSec.
Figear 2: Cisco TrustSec Authentication
Leasachaidhean Cisco TrustSec gu EAP-FAST
Tha na leasachaidhean a leanas aig buileachadh EAP-FAST airson Cisco TrustSec:
- Dearbhaich an dearbhadair - Dearbhaidh dearbh-aithne an dearbhadair gu tèarainte le bhith ag iarraidh air an dearbhadair am PAC aige a chleachdadh gus an iuchair cho-roinnte fhaighinn eadar e fhèin agus am frithealaiche dearbhaidh. Tha am feart seo cuideachd a’ cur casg ort bho bhith a’ rèiteachadh iuchraichean co-roinnte RADIUS air an fhrithealaiche dearbhaidh airson gach seòladh IP a dh’ fhaodadh a bhith air a chleachdadh leis an dearbhadair.
- Cuir fios gu gach inneal mu dhearbh-aithne a cho-aoisean - Ro dheireadh an iomlaid dearbhaidh, tha am frithealaiche dearbhaidh air an dà chuid an supplicant agus an dearbhadair a chomharrachadh. Bidh am frithealaiche dearbhaidh a’ toirt seachad dearbh-aithne an neach-dearbhaidh, agus a bheil an dearbhadair comasach air Cisco TrustSec, don tagraiche le bhith a’ cleachdadh paramadairean luach-faid seòrsa (TLVs) a bharrachd anns a’ chrìoch dìon EAP-FAST. Bidh am frithealaiche dearbhaidh cuideachd a’ toirt seachad dearbh-aithne an tagraiche, agus a bheil an tagraiche comasach Cisco TrustSec, don neach-dearbhaidh le bhith a’ cleachdadh buadhan RADIUS anns an teachdaireachd Access-Accept.
Leis gu bheil fios aig gach inneal air dearbh-aithne a cho-aoisean, faodaidh e Iarrtasan Ruigsinneachd RADIUS a bharrachd a chuir chun t-seirbheisiche dearbhaidh gus am poileasaidh fhaighinn a thèid a chuir an sàs air a’ cheangal.
802.1X Taghadh Dreuchd
Ann an 802.1X, feumaidh ceangal IP a bhith aig an neach-dearbhaidh leis an t-seirbheisiche dearbhaidh oir feumaidh e an iomlaid dearbhaidh a chuir air adhart eadar an supplicant agus an dearbhadair a’ cleachdadh RADIUS thairis air UDP / IP. Nuair a bhios inneal crìochnachaidh, leithid PC, a’ ceangal ri lìonra, tha e follaiseach gum bu chòir dha a bhith ag obair mar supplicant. Ach, a thaobh ceangal Cisco TrustSec eadar dà inneal lìonra, is dòcha nach bi àite 802.1X gach inneal lìonra ri fhaicinn sa bhad don inneal lìonra eile.
An àite a bhith ag iarraidh rèiteachadh làimhe air an dearbhadair agus dreuchdan supplicant airson dà suidse ri thaobh, bidh Cisco TrustSec a’ ruith algairim taghaidh dreuchd gus dearbhadh gu fèin-ghluasadach dè na gnìomhan suidse mar an dearbhadair agus dè a bhios ag obair mar an supplicant. Bidh an algairim taghadh dreuchd a’ sònrachadh dreuchd an dearbhadair don tionndadh aig a bheil ruigsinneachd IP gu frithealaiche RADIUS. Bidh an dà suidse a’ tòiseachadh an dà chuid na h-innealan stàite dearbhaidh agus supplicant. Nuair a lorgas suidse gu bheil cothrom aig a cho-aoisean air frithealaiche RADIUS, bidh e a’ toirt gu crìch an inneal stàite dearbhaidh aige fhèin agus a ’gabhail os làimh dreuchd an supplicant. Ma tha cothrom aig an dà suidse air frithealaiche RADIUS, bidh a’ chiad tionndadh gus freagairt fhaighinn bhon t-seirbheisiche RADIUS gu bhith na neach-dearbhaidh agus bidh an tionndadh eile gu bhith na neach-tagraidh.
Geàrr-chunntas dearbhaidh Cisco TrustSec
Ro dheireadh pròiseas dearbhaidh Cisco TrustSec, tha am frithealaiche dearbhaidh air na gnìomhan a leanas a choileanadh:
- Dearbhaich dearbh-aithne an neach-tagraidh agus an neach-dearbhaidh.
- Dearbhaich an neach-cleachdaidh mas e inneal crìochnachaidh a th’ anns an supplicant.
Aig deireadh pròiseas dearbhaidh Cisco TrustSec, tha fios aig an neach-dearbhaidh agus an tagraiche air na leanas:
- a leanas:
- ID inneal an t-seise
- Fiosrachadh comas Cisco TrustSec den cho-aoisean
- Iuchair air a chleachdadh airson an SAP
Aithnean Innealan
Cha bhith Cisco TrustSec a’ cleachdadh seòlaidhean IP no seòlaidhean MAC mar dhearbh-aithne inneal. An àite sin, bidh thu a’ sònrachadh ainm (ID inneal) do gach tionndadh comasach le Cisco TrustSec gus a chomharrachadh gun samhail ann an raon Cisco TrustSec. Tha an ID inneal seo air a chleachdadh airson na leanas:
- A’ coimhead suas a’ phoileasaidh ùghdarrais
- A’ coimhead suas faclan-faire anns na stòran-dàta aig àm dearbhaidh
Teisteanasan inneal
Bidh Cisco TrustSec a’ toirt taic do theisteanasan stèidhichte air facal-faire. Bidh Cisco TrustSec a’ dearbhadh an luchd-tagraidh tro fhaclan-faire agus a’ cleachdadh MSCHAPv2 gus dearbhadh dha chèile a thoirt seachad.
Bidh an frithealaiche dearbhaidh a’ cleachdadh na teisteanasan sin gus an neach-tagraidh a dhearbhadh le chèile rè iomlaid ìre 0 (solar) EAP-FAST far a bheil PAC air a sholarachadh san supplicanant. Cha bhith Cisco TrustSec a’ coileanadh an iomlaid ìre 0 EAP-FAST a-rithist gus an tig am PAC gu crìch, agus cha bhith e a’ coileanadh ach iomlaid EAP-FAST ìre 1 agus ìre 2 airson ceanglaichean ceangail san àm ri teachd. Bidh an iomlaid ìre 1 EAP-FAST a’ cleachdadh am PAC gus an t-seirbheisiche dearbhaidh agus an tagraiche a dhearbhadh le chèile. Bidh Cisco TrustSec a’ cleachdadh teisteanasan an uidheim a-mhàin rè ceumannan solarachaidh (no ath-sholarachadh) PAC.
Nuair a thèid an supplicant a-steach don àrainn Cisco TrustSec an-toiseach, bidh am frithealaiche dearbhaidh a’ dearbhadh an neach-tagraidh agus a’ putadh iuchair cho-roinnte agus comharra crioptaichte don supplicant leis a’ PAC. Bidh an frithealaiche dearbhaidh agus an supplicant a’ cleachdadh an iuchair agus an comharra seo airson dearbhadh dha chèile anns a h-uile iomlaid ìre 0 EAP-FAST san àm ri teachd.
Teisteanasan cleachdaiche
Chan fheum Cisco TrustSec seòrsa sònraichte de theisteanas cleachdaiche airson innealan crìochnachaidh. Faodaidh tu seòrsa sam bith de dhòigh dearbhaidh cleachdaiche a thaghadh a gheibh taic bhon t-seirbheisiche dearbhaidh, agus na teisteanasan co-fhreagarrach a chleachdadh. Airson example, tha an tionndadh Cisco Secure Access Control System (ACS) dreach 5.1 a’ toirt taic do MSCHAPv2, cairt tòcan coitcheann (GTC), no facal-faire aon-ùine RSA (OTP)
Smachd ruigsinneachd stèidhichte air buidheann tèarainteachd
Tha an earrann seo a’ toirt seachad fiosrachadh mu liostaichean smachd ruigsinneachd stèidhichte air buidhnean tèarainteachd (SGACLn).
Tha an earrann seo a’ toirt seachad fiosrachadh mu liostaichean smachd ruigsinneachd stèidhichte air buidhnean tèarainteachd (SGACLn).
Buidhnean tèarainteachd agus SGTan
Tha buidheann tèarainteachd na bhuidheann de luchd-cleachdaidh, innealan crìochnachaidh, agus goireasan a bhios a’ roinn poileasaidhean smachd ruigsinneachd. Tha buidhnean tèarainteachd air am mìneachadh leis an rianaire anns an Cisco ISE no Cisco Secure ACS. Mar a bhios luchd-cleachdaidh agus innealan ùra gan cur ri àrainn Cisco TrustSec, bidh am frithealaiche dearbhaidh a’ sònrachadh nan aonadan ùra sin gu buidhnean tèarainteachd iomchaidh. Bidh Cisco TrustSec a’ sònrachadh àireamh buidheann tèarainteachd 16-bit sònraichte do gach buidheann tèarainteachd aig a bheil farsaingeachd cruinneil taobh a-staigh raon Cisco TrustSec. Tha an àireamh de bhuidhnean tèarainteachd san inneal cuingealaichte ris an àireamh de bhuidhnean lìonra dearbhte. Chan fheum thu àireamhan buidhne tèarainteachd a rèiteachadh le làimh.
Tha buidheann tèarainteachd na bhuidheann de luchd-cleachdaidh, innealan crìochnachaidh, agus goireasan a bhios a’ roinn poileasaidhean smachd ruigsinneachd. Tha buidhnean tèarainteachd air am mìneachadh leis an rianaire anns an Cisco ISE no Cisco Secure ACS. Mar a bhios luchd-cleachdaidh agus innealan ùra gan cur ri àrainn Cisco TrustSec, bidh am frithealaiche dearbhaidh a’ sònrachadh nan aonadan ùra sin gu buidhnean tèarainteachd iomchaidh. Bidh Cisco TrustSec a’ sònrachadh àireamh buidheann tèarainteachd 16-bit sònraichte do gach buidheann tèarainteachd aig a bheil farsaingeachd cruinneil taobh a-staigh raon Cisco TrustSec. Tha an àireamh de bhuidhnean tèarainteachd san inneal cuingealaichte ris an àireamh de bhuidhnean lìonra dearbhte. Chan fheum thu àireamhan buidhne tèarainteachd a rèiteachadh le làimh.
Aon uair ‘s gu bheil inneal air a dhearbhadh, bidh Cisco TrustSec tags pacaid sam bith a thig bhon inneal sin le buidheann tèarainteachd tag (SGT) anns a bheil àireamh buidheann tèarainteachd an inneil. Bidh am pasgan a’ giùlan an SGT seo air feadh an lìonra taobh a-staigh bann-cinn Cisco TrustSec. Tha an SGT na aon leubail a bhios a’ dearbhadh sochairean an stòr taobh a-staigh na h-iomairt gu lèir.
Leis gu bheil buidheann tèarainteachd an tùs anns an SGT, tha an tag faodar ainmeachadh mar an stòr SGT. Tha an inneal ceann-uidhe cuideachd air a shònrachadh do bhuidheann tèarainteachd (an ceann-uidhe SG) a dh'fhaodar ainmeachadh airson sìmplidh mar am buidheann ceann-uidhe tag (DGT), ged a tha fìor phacaid Cisco TrustSec tag chan eil àireamh buidheann tèarainteachd an uidheim cheann-uidhe ann.
Taic ACL Buidheann Tèarainteachd
Is e cur an gnìomh poileasaidh a th’ ann an liostaichean smachd ruigsinneachd buidhnean tèarainteachd (SGACLs) leis an urrainn don rianaire smachd a chumail air gnìomhachd neach-cleachdaidh, stèidhichte air sònrachaidhean buidhne tèarainteachd agus goireasan ceann-uidhe. Tha cur an gnìomh poileasaidh taobh a-staigh raon Cisco Trustsec air a riochdachadh le matrix cead, le àireamh buidheann tèarainteachd stòr air aon axis agus àireamh buidheann tèarainteachd ceann-uidhe air an axis eile. Tha liosta òrdaichte de SGACLn anns gach cealla sa mhaitrix, a tha a’ sònrachadh ceadan a bu chòir a chuir an sàs ann am pacaidean a thàinig bho IP a bhuineas do bhuidheann tèarainteachd stòr agus aig a bheil IP ceann-uidhe a bhuineas don bhuidheann tèarainteachd ceann-uidhe.
Is e cur an gnìomh poileasaidh a th’ ann an liostaichean smachd ruigsinneachd buidhnean tèarainteachd (SGACLs) leis an urrainn don rianaire smachd a chumail air gnìomhachd neach-cleachdaidh, stèidhichte air sònrachaidhean buidhne tèarainteachd agus goireasan ceann-uidhe. Tha cur an gnìomh poileasaidh taobh a-staigh raon Cisco Trustsec air a riochdachadh le matrix cead, le àireamh buidheann tèarainteachd stòr air aon axis agus àireamh buidheann tèarainteachd ceann-uidhe air an axis eile. Tha liosta òrdaichte de SGACLn anns gach cealla sa mhaitrix, a tha a’ sònrachadh ceadan a bu chòir a chuir an sàs ann am pacaidean a thàinig bho IP a bhuineas do bhuidheann tèarainteachd stòr agus aig a bheil IP ceann-uidhe a bhuineas don bhuidheann tèarainteachd ceann-uidhe.
Tha SGACL a’ toirt seachad uidheamachd smachd ruigsinneachd gun stàite stèidhichte air a’ chomann tèarainteachd no a’ bhuidheann tèarainteachd tag luach an àite seòlaidhean IP agus sìoltachain. Tha trì dòighean ann airson poileasaidh SGACL a sholarachadh:
- Solarachadh poileasaidh statach: Tha poileasaidhean SGACL air am mìneachadh leis an neach-cleachdaidh a’ cleachdadh an àithne cts cead stèidhichte air dreuchd.
- Solarachadh poileasaidh dinamic: Bu chòir rèiteachadh phoileasaidhean SGACL a dhèanamh sa mhòr-chuid tro ghnìomh stiùireadh poileasaidh an Cisco Secure ACS no an Cisco Aithneachd Seirbheisean Einnsean.
- Atharrachadh Ùghdarrachaidh (CoA): Tha am poileasaidh ùraichte air a luchdachadh sìos nuair a thèid poileasaidh SGACL atharrachadh air an ISE agus CoA air a phutadh gu inneal Cisco TrustSec.
Bidh am plèana dàta inneal a’ faighinn na pacaidean CoA bhon t-solaraiche poileasaidh (ISE) agus a’ cur a’ phoileasaidh an sàs anns na pacaidean CoA. Thèid na pacaidean an uairsin a chuir air adhart gu itealan smachd an inneil far a bheil an ath ìre de chur an gnìomh poileasaidh a’ tachairt airson na pacaidean CoA a tha a’ tighinn a-steach. Gu view bhuail am poileasaidh bathar-cruaidh is bathar-bog fiosrachadh, ruith an taisbeanadh cts òrdugh cunntair stèidhichte air dreuchd ann am modh EXEC sochair.
Poileasaidhean SGACL
A’ cleachdadh liostaichean smachd ruigsinneachd buidhnean tèarainteachd (SGACLn), faodaidh tu smachd a chumail air gnìomhachd a dh’ fhaodas luchd-cleachdaidh a dhèanamh stèidhichte air sònrachaidhean buidhne tèarainteachd luchd-cleachdaidh agus goireasan ceann-uidhe. Tha cur an gnìomh poileasaidh taobh a-staigh raon Cisco TrustSec air a riochdachadh le matrix ceadan, le àireamhan buidheann tèarainteachd stòr air aon axis agus àireamhan buidhnean tèarainteachd ceann-uidhe air an axis eile. Faodaidh liosta òrdaichte de SGACLn a bhith anns gach cealla ann am bodhaig na matrix a shònraicheas na ceadan a bu chòir a chuir an sàs ann am pacaidean a thàinig bhon bhuidheann tèarainteachd stòr agus a tha gu bhith don bhuidheann tèarainteachd ceann-uidhe.
Tha am figear a leanas a ’sealltainn example matrix ceadan Cisco TrustSec airson raon sìmplidh le trì dreuchdan cleachdaiche comharraichte agus aon ghoireas ceann-uidhe comharraichte. Bidh trì poileasaidhean SGACL a’ cumail smachd air ruigsinneachd don t-seirbheisiche ceann-uidhe stèidhichte air àite an neach-cleachdaidh.
Figear 3: Matrix Poileasaidh SGACL Example
Le bhith a’ sònrachadh luchd-cleachdaidh agus innealan taobh a-staigh an lìonra gu buidhnean tèarainteachd agus a’ cleachdadh smachd ruigsinneachd eadar na buidhnean tèarainteachd, bidh Cisco TrustSec a’ coileanadh smachd ruigsinneachd neo-eisimeileach stèidhichte air topology taobh a-staigh an lìonra. Leis gu bheil SGACLn a’ mìneachadh poileasaidhean smachd ruigsinneachd stèidhichte air dearbh-aithne inneal an àite seòlaidhean IP mar a tha ann an ACLn traidiseanta, faodaidh innealan lìonra gluasad air feadh an lìonraidh agus seòlaidhean IP atharrachadh.
Cho fad ‘s a dh’ fhanas na dreuchdan agus na ceadan mar a bha iad, chan atharraich atharrachaidhean air topology an lìonraidh am poileasaidh tèarainteachd. Nuair a thèid cleachdaiche a chuir ris an inneal, bidh thu dìreach a’ sònrachadh an neach-cleachdaidh gu buidheann tèarainteachd iomchaidh agus gheibh an neach-cleachdaidh ceadan na buidhne sin sa bhad.
Cho fad ‘s a dh’ fhanas na dreuchdan agus na ceadan mar a bha iad, chan atharraich atharrachaidhean air topology an lìonraidh am poileasaidh tèarainteachd. Nuair a thèid cleachdaiche a chuir ris an inneal, bidh thu dìreach a’ sònrachadh an neach-cleachdaidh gu buidheann tèarainteachd iomchaidh agus gheibh an neach-cleachdaidh ceadan na buidhne sin sa bhad.
Tha poileasaidhean SGACL air an cur an sàs ann an trafaic a thèid a chruthachadh eadar dà inneal aoigheachd, chan ann ri trafaic a thèid a chruthachadh bho inneal gu inneal aoigheachd deireannach.Le bhith a’ cleachdadh ceadan stèidhichte air dreuchd bidh e gu mòr a’ lughdachadh meud ACLn agus a’ sìmpleachadh an cumail suas. Le Cisco TrustSec, tha an àireamh de dh’ inntrigidhean smachd ruigsinneachd (ACEs) a tha air an rèiteachadh air a dhearbhadh leis an àireamh de cheadan a chaidh a shònrachadh, agus mar thoradh air sin bidh àireamh mòran nas lugha de ACEan na ann an lìonra IP traidiseanta. Mar as trice bidh cleachdadh SGACLn ann an Cisco TrustSec a’ leantainn gu cleachdadh nas èifeachdaiche de ghoireasan TCAM an taca ri ACLn traidiseanta. Tha suas ri 17,500 poileasaidhean SGACL a’ faighinn taic air na Catalyst 9500 Series Switches. Air an Catalyst 9500 High Performance Series Switches, tha suas ri 28,224 poileasaidhean SGACL a’ faighinn taic.
A-steach Tagging agus Co-èigneachadh Egress
Tha smachd ruigsinneachd Cisco TrustSec air a chuir an gnìomh a’ cleachdadh ingress tagcur an gnìomh gèilleadh agus dol a-mach. Aig an ìre inntrigidh gu àrainn Cisco TrustSec, tha trafaic bhon stòr tagged le SGT anns a bheil àireamh buidheann tèarainteachd an eintiteas tùsail. Tha an SGT air a ghluasad leis an trafaic thairis air an raon. Aig ìre slighe a-mach àrainn Cisco TrustSec, bidh inneal slighe a-mach a’ cleachdadh an stòr SGT agus àireamh buidheann tèarainteachd an eintiteas ceann-uidhe (an ceann-uidhe SG, no DGT) gus faighinn a-mach dè am poileasaidh ruigsinneachd a chuireas a-steach bho mhaitrix poileasaidh SGACL.
Tha am figear a leanas a’ sealltainn mar a tha sònrachadh SGT agus cur an gnìomh SGACL ag obair ann an raon Cisco TrustSec.
Figear 4: SGT agus SGACL ann an Raon Cisco TrustSec
- Bidh am PC aoigheachd a 'toirt seachad pasgan chun an web frithealaiche. Ged a tha am PC agus an web chan eil am frithealaiche nam buill de àrainn Cisco TrustSec, tha slighe dàta a’ phacaid a’ toirt a-steach àrainn Cisco TrustSec.
- Bidh an inneal ingress Cisco TrustSec ag atharrachadh a’ phacaid gus SGT a chuir ris le buidheann tèarainteachd àireamh 3, an àireamh buidheann tèarainteachd a chaidh a shònrachadh leis an t-seirbheisiche dearbhaidh airson a’ PC aoigheachd.
- Bidh inneal egress Cisco TrustSec a’ cur an gnìomh poileasaidh SGACL a tha a’ buntainn ri buidheann stòr 3 agus buidheann cinn-uidhe 4, an àireamh buidheann tèarainteachd a chaidh a shònrachadh leis an t-seirbheisiche dearbhaidh airson an web frithealaiche.
- Ma leigeas an SGACL leis a’ phacaid a chuir air adhart, bidh tionndadh egress Cisco TrustSec ag atharrachadh a’ phacaid gus an SGT a thoirt air falbh agus a’ cur a’ phacaid air adhart chun web frithealaiche.
A 'dearbhadh a' Bhuidheann Tèarainteachd Stòr
Feumaidh inneal lìonraidh aig inntrigeadh àrainn Cisco TrustSec SGT a’ phacaid a dhearbhadh a’ dol a-steach don àrainn Cisco TrustSec gus an urrainn dha tag am pacaid leis an SGT sin nuair a chuireas e air adhart e gu àrainn Cisco TrustSec. Feumaidh an inneal lìonra egress SGT a’ phacaid a dhearbhadh gus SGACL a chuir an sàs.
Faodaidh an inneal lìonra an SGT airson pacaid a dhearbhadh ann an aon de na dòighean a leanas:
- Faigh an stòr SGT aig àm togail poileasaidh - Às deidh ìre dearbhaidh Cisco TrustSec, bidh inneal lìonra a’ faighinn fiosrachadh poileasaidh bhon t-seirbheisiche dearbhaidh, a sheallas a bheil earbsa san inneal co-aoisean no nach eil. Mura h-eil earbsa ann an inneal co-aoisean, faodaidh an frithealaiche dearbhaidh SGT a thoirt seachad cuideachd airson a bhith a’ buntainn ris a h-uile pacaid a thig bhon inneal co-aoisean.
- Faigh an stòr SGT bhon phacaid - Ma thig pacaid bho inneal earbsach le co-aoisean, bidh am pacaid a’ giùlan an SGT. Tha seo a’ buntainn ri inneal lìonraidh nach e a’ chiad inneal lìonra ann an àrainn Cisco TrustSec airson a’ phacaid.
- Coimhead suas an stòr SGT stèidhichte air dearbh-aithne an stòr - Le Mapadh Port Dearbh-aithne (IPM), faodaidh tu an ceangal a rèiteachadh le làimh le dearbh-aithne an t-seise ceangailte. Bidh an inneal lìonra ag iarraidh fiosrachadh poileasaidh, a’ gabhail a-steach SGT agus staid earbsa, bhon t-seirbheisiche dearbhaidh.
- Coimhead suas an stòr SGT stèidhichte air an t-seòladh IP stòr - Ann an cuid de chùisean, faodaidh tu am poileasaidh a rèiteachadh le làimh gus co-dhùnadh a dhèanamh air SGT pacaid stèidhichte air an t-seòladh IP tùsail aige. Faodaidh am Pròtacal Iomlaid SGT (SXP) cuideachd clàr mapaidh IP-seòladh-gu-SGT a lìonadh.
Co-dhùnadh Buidheann Tèarainteachd Ceann-uidhe
Bidh an inneal lìonra egress ann an àrainn Cisco TrustSec a’ dearbhadh a’ bhuidheann ceann-uidhe (DGT) airson an SGACL a chuir an sàs. Bidh an inneal lìonra a’ dearbhadh a’ bhuidheann tèarainteachd ceann-uidhe airson a’ phacaid a’ cleachdadh na h-aon dhòighean a thathas a’ cleachdadh airson a’ bhuidheann tèarainteachd stòr a dhearbhadh, ach a-mhàin àireamh na buidhne fhaighinn bho phasgan tag. Chan eil àireamh buidheann tèarainteachd ceann-uidhe air a ghabhail a-steach ann am pacaid tag.
Ann an cuid de chùisean, dh’ fhaodadh gum bi fiosrachadh mu bhuidheann cinn-uidhe ri fhaighinn air innealan-inntrigidh no innealan eile nach eil a’ dol a-mach. Anns na cùisean sin, dh’ fhaodadh SGACLn a bhith air an cur an sàs anns na h-innealan sin seach innealan slighe a-mach.
Co-èigneachadh SGACL air trafaic air a ghluasad agus air a ghluasad
Tha cur an gnìomh SGACL air a chuir an sàs a-mhàin air trafaic IP, ach faodar co-èigneachadh a chuir an sàs an dàrna cuid air trafaic le gluasad no le tionndadh.
Airson trafaic air a stiùireadh, bidh cur an gnìomh SGACL air a dhèanamh le tionndadh egress, mar as trice tionndadh cuairteachaidh no tionndadh ruigsinneachd le port air a stiùireadh a ’ceangal ris an aoigh ceann-uidhe. Nuair a bheir thu comas do cho-èigneachadh SGACL air feadh na cruinne, tha cur an gnìomh air a chomasachadh gu fèin-ghluasadach air a h-uile eadar-aghaidh Layer 3 ach a-mhàin eadar-aghaidh SVI.
Tha cur an gnìomh SGACL air a chuir an sàs a-mhàin air trafaic IP, ach faodar co-èigneachadh a chuir an sàs an dàrna cuid air trafaic le gluasad no le tionndadh.
Airson trafaic air a stiùireadh, bidh cur an gnìomh SGACL air a dhèanamh le tionndadh egress, mar as trice tionndadh cuairteachaidh no tionndadh ruigsinneachd le port air a stiùireadh a ’ceangal ris an aoigh ceann-uidhe. Nuair a bheir thu comas do cho-èigneachadh SGACL air feadh na cruinne, tha cur an gnìomh air a chomasachadh gu fèin-ghluasadach air a h-uile eadar-aghaidh Layer 3 ach a-mhàin eadar-aghaidh SVI.
Airson trafaic suidse, bithear a’ cur an gnìomh SGACL air trafaic a tha a’ sruthadh taobh a-staigh aon raon suidseadh gun ghnìomh slighe sam bith. Tha example bhith a’ cur an gnìomh SGACL le tionndadh ruigsinneachd ionad dàta air trafaic frithealaiche-gu-frithealaiche eadar dà fhrithealaiche ceangailte gu dìreach. Anns an example, mar as trice bhiodh an trafaic frithealaiche-gu-frithealaiche air a thionndadh. Faodar cur an gnìomh SGACL a chuir an sàs ann am pacaidean air an tionndadh taobh a-staigh VLAN no air an cur air adhart gu SVI co-cheangailte ri VLAN, ach feumaidh cur an gnìomh a bhith air a chomasachadh gu sònraichte airson gach VLAN.
Logadh SGACL agus Staitistig ACE
Nuair a tha logadh air a chomasachadh ann an SGACL, bidh an inneal a’ logadh an fhiosrachaidh a leanas:
- Buidheann tèarainteachd tùs tag (SGT) agus SGT ceann-uidhe
- An t-ainm poileasaidh SGACL
- An seòrsa protocol pacaid
- An gnìomh a chaidh a dhèanamh air a’ phacaid
Tha an roghainn log a’ buntainn ri ACE fa leth agus ag adhbhrachadh gun tèid pacaidean a tha a rèir an ACE a chlàradh. Bidh a’ chiad phacaid air a logadh leis a’ phrìomh fhacal log a’ gineadh teachdaireachd syslog. Bithear a’ cruthachadh teachdaireachdan log às deidh sin agus air an aithris aig amannan còig mionaidean. Ma tha an ACE le comas logaidh a’ maidseadh pacaid eile (le feartan co-ionann ris a’ phacaid a ghineadh an teachdaireachd loga), tha an àireamh de phasgan maidsichte air àrdachadh (cunntairean) agus an uairsin air aithris.
Gus logadh a dhèanamh comasach, cleachd am prìomh fhacal log air beulaibh mìneachadh ACE ann an rèiteachadh SGACL. Airson example, cead ip log.
Nuair a bhios logadh SGACL air a chomasachadh, chan eil logadh a-steach airson teachdaireachdan Iarrtas ICMP bhon inneal chun neach-dèiligidh
Pròtacalan IPv4 agus IPv6. Ge-tà; Tha teachdaireachdan freagairt ICMP bhon neach-dèiligidh chun inneal air an logadh.
Pròtacalan IPv4 agus IPv6. Ge-tà; Tha teachdaireachdan freagairt ICMP bhon neach-dèiligidh chun inneal air an logadh.
Tha na leanas marample log, a’ taisbeanadh SGTan stòr is ceann-uidhe, maidsean ACE (airson cead no diùltadh gnìomh), agus am pròtacal, is e sin, fiosrachadh TCP, UDP, IGMP, agus ICMP:
* Jun 2 08:58:06.489: %C4K_IOSINTF-6-SGACCLHIT: liosta deny_udp_src_port_log-30 Air a dhiùltadh udp 24.0.0.23(100) -> 28.0.0.91(100), SGT8 DGT
A bharrachd air na staitistig SGACL 'gach cealla' a th 'ann mar-thà, a dh'fhaodar a thaisbeanadh a' cleachdadh an taisbeanaidh cts stèidhichte air àite
òrdugh cunntais, faodaidh tu cuideachd staitistig ACE a thaisbeanadh, le bhith a’ cleachdadh an àithne taisbeanaidh ip access-list sgacl_name. Chan eil feum air rèiteachadh a bharrachd airson seo.
Tha an t-example a’ sealltainn mar as urrainn dhut an àithne taisbeanaidh ip access-list a chleachdadh gus an cunntas ACE a thaisbeanadh
òrdugh cunntais, faodaidh tu cuideachd staitistig ACE a thaisbeanadh, le bhith a’ cleachdadh an àithne taisbeanaidh ip access-list sgacl_name. Chan eil feum air rèiteachadh a bharrachd airson seo.
Tha an t-example a’ sealltainn mar as urrainn dhut an àithne taisbeanaidh ip access-list a chleachdadh gus an cunntas ACE a thaisbeanadh
Inneal # seall ruigsinneachd ip-smachd deny_udp_src_port_log-30
Liosta ruigsinneachd IP stèidhichte air dreuchd deny_udp_src_port_log-30 (luchdachadh sìos)
Tha 10 a’ diùltadh log udp src eq 100 (283 maidsean)
20 log ip cead (50 maidsean)
Liosta ruigsinneachd IP stèidhichte air dreuchd deny_udp_src_port_log-30 (luchdachadh sìos)
Tha 10 a’ diùltadh log udp src eq 100 (283 maidsean)
20 log ip cead (50 maidsean)
Nuair a bhios an trafaic a’ tighinn a-steach a rèir na cealla, ach nach eil e a’ freagairt ri SGACL na cealla, tha an trafaic ceadaichte agus tha na cunntairean air an àrdachadh anns a’ chead HW airson a’ chill.Tha an t-example a’ sealltainn mar a tha SGACL cealla ag obair:
Tha poileasaidh SGACL air a rèiteachadh bho 5 gu 18 le “deny icmp mac-talla” agus tha trafaic a’ tighinn a-steach bho 5 gu 18 le bann-cinn TCP. Ma tha an cealla a’ maidseadh bho 5 gu 18 ach nach eil an trafaic a’ freagairt ri icmp, thèid trafaic a cheadachadh agus thèid cuntair HW-Permit de chealla 5 gu 18 àrdachadh.
Logadh SGACL mothachail air VRF
Bidh fiosrachadh VRF ann an logaichean siostam SGACL. A bharrachd air na raointean a tha clàraichte an-dràsta, bidh an t-ainm VRF anns an fhiosrachadh logaidh. Bidh am fiosrachadh logaidh ùraichte mar a chithear gu h-ìosal:
* An t-Samhain 15 02:18:52.187: %RBM-6-SGACLHIT_V6: ingress_interface='GigabitEthernet1/0/15' sgacl_name='IPV6_TCP_DENY' action='Dà-dhìteadh' protocol='tcp' src-vrf='CTS-VRF -ip = '25:: 2' src-port = '20'
dest-vrf = 'CTS-VRF' dest-ip = ' 49 :: 2 ′ dest-port = ' 30 ' sgt = ' 200 ′ dgt = ' 500 ′ logging_interval_hits = ' 1 ′
dest-vrf = 'CTS-VRF' dest-ip = ' 49 :: 2 ′ dest-port = ' 30 ' sgt = ' 200 ′ dgt = ' 500 ′ logging_interval_hits = ' 1 ′
Modh sgrùdaidh SGACL
Rè na h-ìre ro-chleachdadh de Cisco TrustSec, cleachdaidh rianadair am modh sgrùdaidh gus na poileasaidhean tèarainteachd a dhearbhadh gun a bhith gan cur an gnìomh gus dèanamh cinnteach gu bheil na poileasaidhean ag obair mar a bha dùil. Mura h-eil na poileasaidhean tèarainteachd ag obair mar a bha dùil, tha am modh sgrùdaidh a’ toirt seachad dòigh iomchaidh airson sin a chomharrachadh agus a’ toirt cothrom am poileasaidh a cheartachadh mus cuir e an gnìomh SGACL. Leigidh seo le luchd-rianachd barrachd faicsinneachd a bhith aca mu thoradh gnìomhan a’ phoileasaidh mus cuir iad an gnìomh e, agus dearbhadh gu bheil poileasaidh a’ chuspair a’ coinneachadh ri riatanasan tèarainteachd (tha cothrom air goireasan a dhiùltadh mura h-eil luchd-cleachdaidh gan cleachdadh.
ùghdarraichte).
Tha an comas sgrùdaidh air a thoirt seachad aig ìre paidhir SGT-DGT. Nuair a bheir thu comas don fheart modh sgrùdaidh SGACL, thèid an gnìomh diùltadh a chuir an gnìomh mar chead ACL air na cairtean loidhne. Leigidh seo le cunntairean agus logadh SGACL sealltainn mar a tha ceanglaichean air an làimhseachadh le poileasaidh SGACL. Leis gu bheil an trafaic sgrùdaichte gu lèir ceadaichte, chan eil dragh sam bith air seirbheis mar thoradh air SGACLn fhad ‘s a tha iad ann am modh sgrùdaidh SGACL.
Rè na h-ìre ro-chleachdadh de Cisco TrustSec, cleachdaidh rianadair am modh sgrùdaidh gus na poileasaidhean tèarainteachd a dhearbhadh gun a bhith gan cur an gnìomh gus dèanamh cinnteach gu bheil na poileasaidhean ag obair mar a bha dùil. Mura h-eil na poileasaidhean tèarainteachd ag obair mar a bha dùil, tha am modh sgrùdaidh a’ toirt seachad dòigh iomchaidh airson sin a chomharrachadh agus a’ toirt cothrom am poileasaidh a cheartachadh mus cuir e an gnìomh SGACL. Leigidh seo le luchd-rianachd barrachd faicsinneachd a bhith aca mu thoradh gnìomhan a’ phoileasaidh mus cuir iad an gnìomh e, agus dearbhadh gu bheil poileasaidh a’ chuspair a’ coinneachadh ri riatanasan tèarainteachd (tha cothrom air goireasan a dhiùltadh mura h-eil luchd-cleachdaidh gan cleachdadh.
ùghdarraichte).
Tha an comas sgrùdaidh air a thoirt seachad aig ìre paidhir SGT-DGT. Nuair a bheir thu comas don fheart modh sgrùdaidh SGACL, thèid an gnìomh diùltadh a chuir an gnìomh mar chead ACL air na cairtean loidhne. Leigidh seo le cunntairean agus logadh SGACL sealltainn mar a tha ceanglaichean air an làimhseachadh le poileasaidh SGACL. Leis gu bheil an trafaic sgrùdaichte gu lèir ceadaichte, chan eil dragh sam bith air seirbheis mar thoradh air SGACLn fhad ‘s a tha iad ann am modh sgrùdaidh SGACL.
Ùghdarrachadh agus Togail Poileasaidh
Às deidh dearbhadh inneal a thighinn gu crìch, gheibh an dà chuid an supplicant agus an dearbhadair am poileasaidh tèarainteachd bhon t-seirbheisiche dearbhaidh. Bidh an dà cho-aoisean an uairsin a’ dèanamh cead ceangail agus a’ cur an gnìomh am poileasaidh tèarainteachd ceangail an aghaidh a chèile stèidhichte air na IDan inneal Cisco TrustSec aca. Faodar an dòigh dearbhaidh ceangail a rèiteachadh mar 802.1X no dearbhadh làimhe. Mas e tèarainteachd ceangail 802.1X, bidh gach co-aoisean a’ cleachdadh ID inneal a fhuaireadh bhon t-seirbheisiche dearbhaidh. Ma tha tèarainteachd ceangail làimhe, feumaidh tu IDan an inneal co-aoisean a shònrachadh.
Tillidh am frithealaiche dearbhaidh na feartan poileasaidh a leanas:
- Urras Cisco TrustSec - A’ nochdadh a bheil earbsa anns an inneal co-aoisean airson an SGT a chuir anns na pacaidean.
- Peer SGT - A’ comharrachadh a’ bhuidheann tèarainteachd dham buin an co-aoisean. Mura h-eil earbsa aig an t-seise, tha a h-uile pasgan a gheibhear bhon cho-aoisean tagged leis an SGT seo. Mura h-eil fios aig an inneal a bheil SGACLn sam bith co-cheangailte ri SGT an co-aoisean, faodaidh an inneal iarrtas leanmhainn a chuir chun t-seirbheisiche dearbhaidh gus na SGACLs a luchdachadh sìos.
- Ùine crìochnachaidh ceadachaidh - A’ nochdadh an àireamh de dhiog mus tig am poileasaidh gu crìch. Bu chòir inneal Cisco TrustSec am poileasaidh agus an cead ùrachadh mus tig e a-mach. Faodaidh an inneal an dàta dearbhaidh is poileasaidh a thasgadh agus ath-chleachdadh às deidh ath-thòiseachadh mura h-eil an dàta air tighinn gu crìch.
Bu chòir do gach inneal Cisco TrustSec taic a thoirt do chuid de phoileasaidh ruigsinneachd bunaiteach air eagal ’s nach urrainn dha fios a chuir chun t-seirbheisiche dearbhaidh gus poileasaidh iomchaidh fhaighinn airson an co-aoisean.Tha pròiseas co-rèiteachaidh NDAC agus SAP ri fhaicinn anns an fhigear a leanas
Figear 5: Co-rèiteachadh NDAC agus SAP
Luchdaich a-nuas an dàta fiosrachaidh na h-àrainneachd.
Tha dàta àrainneachd Cisco TrustSec na chruinneachadh de fhiosrachadh no phoileasaidhean a chuidicheas inneal gus a bhith ag obair mar nód Cisco TrustSec. Bidh an inneal a’ faighinn dàta na h-àrainneachd bhon t-seirbheisiche dearbhaidh nuair a thèid an inneal còmhla ri àrainn Cisco TrustSec an toiseach, ged a dh’ fhaodadh tu cuideachd cuid den dàta air inneal a rèiteachadh le làimh. Airson example, feumaidh tu an inneal sìol Cisco TrustSec a rèiteachadh leis an fhiosrachadh frithealaiche dearbhaidh, a dh’ fhaodar a leudachadh nas fhaide air adhart leis an liosta frithealaiche a gheibh an inneal bhon t-seirbheisiche dearbhaidh.
Feumaidh an inneal dàta àrainneachd Cisco TrustSec ùrachadh mus tig e gu crìch. Faodaidh an inneal cuideachd dàta na h-àrainneachd a thasgadh agus ath-chleachdadh às deidh ath-thòiseachadh mura h-eil an dàta air tighinn gu crìch.
Bidh an inneal a’ cleachdadh RADIUS gus an dàta àrainneachd a leanas fhaighinn bhon t-seirbheisiche dearbhaidh:
- Liostaichean frithealaiche: Liosta de na frithealaichean as urrainn don neach-dèiligidh a chleachdadh airson iarrtasan RADIUS san àm ri teachd (airson an dà chuid dearbhadh agus ùghdarras). Bidh ùrachadh PAC a’ tachairt tro na frithealaichean sin.
- Inneal SG: Buidheann tèarainteachd dham buin an inneal fhèin.
- Ùine crìochnachaidh: Eadar-ama a bhios a’ cumail smachd air cho tric sa bu chòir don inneal Cisco TrustSec an dàta àrainneachd aige ùrachadh.
Gnìomh sealaidheachd RADIUS
Tha ceangal IP aig an inneal aig a bheil pàirt an neach-dearbhaidh Cisco TrustSec ann am pròiseas dearbhaidh 802.1X ris an t-seirbheisiche dearbhaidh, a’ leigeil leis an inneal am poileasaidh agus an ùghdarras fhaighinn bhon t-seirbheisiche dearbhaidh le bhith ag iomlaid teachdaireachdan RADIUS thairis air UDP / IP. Is dòcha nach eil ceangal IP aig an inneal supplicant ris an fhrithealaiche dearbhaidh. Ann an leithid de chùisean, tha Cisco TrustSec a’ leigeil leis an neach-dearbhaidh a bhith na shealaidheachd RADIUS airson an tagraiche.
Bidh an tagraiche a’ cur teachdaireachd EAPOL sònraichte chun neach-dearbhaidh anns a bheil seòladh IP frithealaiche RADIUS agus port UDP agus an t-iarrtas RADIUS iomlan. Bidh an dearbhadair a’ toirt a-mach an t-iarrtas RADIUS bhon teachdaireachd EAPOL a fhuaireadh agus ga chuir thairis air UDP/IP chun t-seirbheisiche dearbhaidh. Nuair a thilleas am freagairt RADIUS bhon t-seirbheisiche dearbhaidh, bidh an dearbhadair a’ cur an teachdaireachd air ais chun an tagraiche, air a chuairteachadh ann am frèam EAPOL.
Tèarainteachd ceangail
Nuair a bhios gach taobh de cheangal a’ toirt taic do 802.1AE Media Access Control Security (MACsec), thèid co-rèiteachadh protocol comann tèarainteachd (SAP) a choileanadh. Bidh iomlaid EAPOL-Key a’ tachairt eadar an supplicant agus an neach-dearbhaidh gus sreath cipher a cho-rèiteachadh, paramadairean tèarainteachd iomlaid, agus iuchraichean a riaghladh. Tha coileanadh soirbheachail nan trì gnìomhan a’ leantainn gu stèidheachadh comann tèarainteachd (SA).
A rèir an dreach bathar-bog agad, ceadachd crypto, agus taic bathar-cruaidh ceangail, faodaidh co-rèiteachadh SAP aon de na modhan obrachaidh a leanas a chleachdadh:
- Modh Galois / Counter (GCM) - Sònraich dearbhadh agus crioptachadh
- Dearbhadh GCM (GMAC) - Sònraich dearbhadh agus gun chrioptachadh
- Gun Encapsulation - Sònraich nach eil còmhdach ann (teacsa soilleir)
- Null - Sònraich cuairteachadh, gun dearbhadh agus gun chrioptachadh
Feumaidh a h-uile modh ach a-mhàin No Encapsulation bathar-cruaidh comasach air Cisco TrustSec.
A’ rèiteachadh SAP-PMK airson tèarainteachd ceangail
SXP airson sgaoileadh SGT air feadh lìonraidhean ruigsinneachd dìleab
Tagfeumaidh pacaidean ging le SGTn taic bathar-cruaidh. Is dòcha gu bheil innealan agad san lìonra agad aig nach eil comas bathar-cruaidh, ged a tha e comasach dhut pàirt a ghabhail ann an dearbhadh Cisco TrustSec tag pacaidean le
Tagfeumaidh pacaidean ging le SGTn taic bathar-cruaidh. Is dòcha gu bheil innealan agad san lìonra agad aig nach eil comas bathar-cruaidh, ged a tha e comasach dhut pàirt a ghabhail ann an dearbhadh Cisco TrustSec tag pacaidean le
SGTan. Le bhith a’ cleachdadh Pròtacal Iomlaid SGT (SXP), faodaidh na h-innealan sin mapaichean seòladh IP-gu-SGT a chuir gu inneal co-aoisean Cisco TrustSec aig a bheil bathar-cruaidh comasach air Cisco TrustSec.
Mar as trice bidh SXP ag obair eadar innealan còmhdach inntrigidh inntrigidh aig iomall fearainn Cisco TrustSec agus innealan còmhdach sgaoilidh taobh a-staigh raon Cisco TrustSec. Bidh an inneal còmhdach ruigsinneachd a’ coileanadh dearbhadh Cisco TrustSec air innealan stòr bhon taobh a-muigh gus na SGTan iomchaidh airson pacaidean inntrigidh a dhearbhadh. Bidh an inneal còmhdach ruigsinneachd ag ionnsachadh seòlaidhean IP nan innealan stòr a ’cleachdadh tracadh inneal IP agus (gu roghnach) DHCP snooping, an uairsin a’ cleachdadh SXP gus seòlaidhean IP nan innealan stòr a thoirt seachad còmhla ris na SGTn aca gu na h-innealan cuairteachaidh.
Faodaidh innealan cuairteachaidh le bathar-cruaidh comasach Cisco TrustSec am fiosrachadh mapaidh IP-gu-SGT seo a chleachdadh gus tag pacaidean gu h-iomchaidh agus gus poileasaidhean SGACL a chuir an gnìomh.
Figear 6: Pròtacal SXP gus fiosrachadh SGT a sgaoileadh
Feumaidh tu ceangal SXP a rèiteachadh le làimh eadar co-aoisean às aonais taic bathar-cruaidh Cisco TrustSec agus co-aoisean le taic bathar-cruaidh Cisco TrustSec. Tha feum air na gnìomhan a leanas nuair a thathar a’ rèiteachadh an ceangal SXP:
- Ma tha feum agad air ionracas agus dearbhadh dàta SXP, feumaidh tu an aon fhacal-faire SXP a rèiteachadh air an dà inneal co-aoisean. Faodaidh tu am facal-faire SXP a rèiteachadh gu sònraichte airson gach ceangal co-aoisean no gu cruinneil airson an inneal. Ged nach eil feum air facal-faire SXP, tha sinn a’ moladh a chleachdadh.
- Feumaidh tu gach seise a rèiteachadh air a’ cheangal SXP mar neach-labhairt SXP no mar neach-èisteachd SXP. Bidh an inneal labhairt a’ sgaoileadh fiosrachadh mapaidh IP-gu-SGT chun inneal èisteachd.
- Faodaidh tu seòladh IP tùsail a shònrachadh airson a chleachdadh airson gach dàimh co-aoisean no faodaidh tu seòladh IP tùsail bunaiteach a rèiteachadh airson ceanglaichean co-aoisean far nach eil thu air seòladh IP stòr sònraichte a rèiteachadh. Mura sònraich thu seòladh IP stòr sam bith, cleachdaidh an inneal seòladh IP eadar-aghaidh a’ cheangail ris an t-seise.
Tha SXP a’ ceadachadh ioma hopan. Is e sin, ma tha dìth taic bathar-cruaidh Cisco TrustSec aig co-aoisean inneal aig a bheil dìth taic bathar-cruaidh Cisco TrustSec, faodaidh ceangal SXP a bhith aig an dàrna co-aoisean ri treas co-aoisean, a’ leantainn air adhart le sgaoileadh an fhiosrachaidh mapaidh IP-gu-SGT gus am bi bathar-cruaidh-. tha co-aoisean comasach air a ruighinn. Faodar inneal a rèiteachadh mar neach-èisteachd SXP airson aon cheangal SXP mar neach-labhairt SXP airson ceangal SXP eile.
Bidh inneal Cisco TrustSec a’ cumail ceangal ris na co-aoisean SXP aige le bhith a’ cleachdadh inneal gleidhidh TCP.
Gus ceangal co-aoisean a stèidheachadh no a thoirt air ais, feuchaidh an inneal a-rithist ri rèiteachadh a ’cheangail a’ cleachdadh ùine ath-rèiteachaidh a ghabhas rèiteachadh gus am bi an ceangal soirbheachail no gus an tèid an ceangal a thoirt air falbh bhon rèiteachadh.
Gus ceangal co-aoisean a stèidheachadh no a thoirt air ais, feuchaidh an inneal a-rithist ri rèiteachadh a ’cheangail a’ cleachdadh ùine ath-rèiteachaidh a ghabhas rèiteachadh gus am bi an ceangal soirbheachail no gus an tèid an ceangal a thoirt air falbh bhon rèiteachadh.
Sreath 3 Còmhdhail SGT airson a bhith a’ cuairteachadh roinnean neo-earbsach
Nuair a dh’ fhàgas pacaid an àrainn Cisco TrustSec airson ceann-uidhe neo-TrustSec, bheir an inneal egress Cisco TrustSec air falbh bann-cinn Cisco TrustSec agus SGT mus cuir e am pacaid air adhart chun lìonra a-muigh. Ma tha, ge-tà, nach eil am pacaid ach a’ dol thairis air àrainn neo-TrustSec air an t-slighe gu àrainn Cisco TrustSec eile, mar a chithear san fhigear a leanas, faodar an SGT a ghleidheadh le bhith a’ cleachdadh feart Còmhdhail Cisco TrustSec Layer 3 SGT. Anns an fheart seo, tha an inneal egress Cisco TrustSec a’ toirt a-steach a’ phacaid le bann-cinn ESP anns a bheil leth-bhreac den SGT. Nuair a ruigeas am pasgan dùblaichte an ath raon Cisco TrustSec, bidh an inneal Cisco TrustSec a tha a ’toirt a-steach a’ toirt air falbh an cruinneachadh ESP agus a ’sgaoileadh a’ phacaid leis an SGT aige.
Figear 7: A 'dol thairis air àrainn Neo-TrustSec
Gus taic a thoirt do Cisco TrustSec Layer 3 SGT Transport, feumaidh inneal sam bith a bhios mar gheata inntrigidh no slighe a-steach Cisco TrustSec Layer 3 stòr-dàta poileasaidh trafaic a chumail a bhios a’ liostadh subnets iomchaidh ann an raointean iomallach Cisco TrustSec a bharrachd air fo-lìn dùinte taobh a-staigh nan roinnean sin. Faodaidh tu an stòr-dàta seo a rèiteachadh le làimh air gach inneal mura gabh an luchdachadh sìos gu fèin-ghluasadach bhon Cisco Secure ACS.
Faodaidh inneal dàta Còmhdhail Layer 3 SGT a chuir bho aon phort agus dàta Còmhdhail Layer 3 SGT fhaighinn air port eile, ach feumaidh bathar-cruaidh comasach Cisco TrustSec a bhith aig na puirt a-steach agus a-mach.
Cha bhith Cisco TrustSec a’ cuairteachadh na pacaidean còmhdaichte le Layer 3 SGT Transport. Gus na pacaidean a tha a’ dol thairis air an àrainn neo-TrustSec a dhìon, faodaidh tu dòighean dìon eile a rèiteachadh, leithid IPsec.VRF-Aware SXP
Tha buileachadh SXP de Virtual Routing and Forwarding (VRF) a’ ceangal ceangal SXP ri VRF sònraichte. Thathas a’ gabhail ris gu bheil topology an lìonraidh air a rèiteachadh gu ceart airson Layer 2 no Layer 3 VPNs, leis a h-uile VRF air an rèiteachadh mus cuir iad an comas Cisco TrustSec.
Faodar geàrr-chunntas a dhèanamh air taic SXP VRF mar a leanas:
- Chan fhaod ach aon cheangal SXP a bhith ceangailte ri aon VRF.
- Is dòcha gu bheil seòlaidhean IP co-aoisean no tùsan SXP aig diofar VRF.
- Chan urrainnear mapaichean IP-SGT a chaidh ionnsachadh (air a chur ris no a dhubhadh às) ann an aon VRF ùrachadh ach san aon raon VRF.
Chan urrainn don cheangal SXP mapa ùrachadh a tha ceangailte ri VRF eile. Mura tèid ceangal SXP a-mach airson VRF, cha tèid mapaichean IP-SGT airson an VRF sin ùrachadh le SXP. - Thathas a’ toirt taic do theaghlaichean ioma-sheòlaidh gach VRF. Mar sin, faodaidh aon cheangal SXP ann an raon VRF an dà chuid mapaichean IPV4 agus IPV6 IP-SGT a chuir air adhart.
- Chan eil cuingealachadh sam bith aig SXP air an àireamh de cheanglaichean agus an àireamh de mhapaichean IP-SGT gach VRF.
Sreath 2 VRF-Aware SXP agus VRF Sònrachadh
Tha sònrachaidhean VRF gu Layer 2 VLANs air an sònrachadh leis an àithne rèiteachaidh cruinne l2-vrf vrf-name vlan-list stèidhichte air dreuchd cts. Tha VLAN air a mheas mar VLAN Sreath 2 fhad ‘s nach eil eadar-aghaidh brìgheil suidse (SVI) ann le seòladh IP air a rèiteachadh air an VLAN. Bidh an VLAN gu bhith na VLAN Layer 3 aon uair ‘s gu bheil seòladh IP air a rèiteachadh air an SVI aige.
Tha na sònrachaidhean VRF a tha air an rèiteachadh leis an àithne l2-vrf stèidhichte air dreuchd cts gnìomhach fhad ‘s a tha VLAN fhathast na Layer 2 VLAN. Tha na ceanglaichean IP-SGT a chaidh ionnsachadh fhad ‘s a tha sònrachadh VRF gnìomhach cuideachd air an cur ris a’ chlàr Bunait Fiosrachaidh air adhart (FIB) co-cheangailte ris an VRF agus an dreach protocol IP. Ma thig SVI gu bhith gnìomhach airson VLAN, bidh an obair VRF gu VLAN neo-ghnìomhach agus thèid a h-uile ceangal a chaidh ionnsachadh air an VLAN a ghluasad chun chlàr FIB co-cheangailte ri VRF an SVI.
Tha an sònrachadh VRF gu VLAN air a chumail eadhon nuair a dh’ fhàsas an obair neo-ghnìomhach. Tha e air ath-ghnìomhachadh nuair a thèid an SVI a thoirt air falbh no nuair a thèid an seòladh IP SVI a dhì-dhealbhadh. Nuair a thèid an ath-ghnìomhachadh, thèid na ceanglaichean IP-SGT a ghluasad air ais bhon chlàr FIB co-cheangailte ri VRF an SVI chun chlàr FIB co-cheangailte ris an VRF a chaidh a shònrachadh leis an àithne l2-vrf stèidhichte air dreuchd cts.
Eachdraidh feart airson Cisco TrustSec Overview
Tha an clàr seo a’ toirt seachad fios mu sgaoil agus fiosrachadh co-cheangailte ris na feartan a tha air am mìneachadh sa mhodal seo.
Tha na feartan sin rim faighinn anns a h-uile brath an dèidh an fheadhainn anns an deach an toirt a-steach, mura h-eilear ag ràdh a chaochladh.
Tha na feartan sin rim faighinn anns a h-uile brath an dèidh an fheadhainn anns an deach an toirt a-steach, mura h-eilear ag ràdh a chaochladh.
Cleachd an Cisco Feature Navigator gus fiosrachadh a lorg mu thaic ìomhaigh àrd-ùrlar agus bathar-bog. Gus faighinn a-steach
Cisco Feature Navigator, rachaibh gu http://www.cisco.com/go/cfn.
Cisco Feature Navigator, rachaibh gu http://www.cisco.com/go/cfn.
Sgrìobhainnean/Goireasan
 |
Bidh CISCO Trustsec a’ togail lìonra tèarainte [pdfStiùireadh Cleachdaiche Bidh Trustsec a 'togail lìonra tèarainte, Trustsec, a' togail lìonra tèarainte, lìonra tèarainte, lìonra |