CISCO Trustsec byggir öruggt Netnotendahandbók
Cisco TrustSec byggir upp örugg net með því að koma á fót lénum traustra nettækja. Hvert tæki á léninu er auðkennt af jafnöldrum sínum. Samskipti á tenglum milli tækja á léninu eru tryggð með blöndu af dulkóðun, athugun á heiðarleika skilaboða og endurspilunarbúnaði gagnaslóða.Takmarkanir fyrir Cisco TrustSec
- Úthlutun PAC (Protected Access Credential) mistekst og er áfram í hengdu ástandi þegar ógilt auðkenni tækis er tilgreint. Jafnvel eftir að hafa hreinsað PAC og stillt rétt tækisauðkenni og lykilorð, mistekst PAC samt.
Til lausnar, í Cisco Identity Services Engine (ISE), taktu hakið úr bæla óreglulegum viðskiptavinum
valmöguleikann í Stjórnun> Kerfi> Stillingar> Samskiptareglur> Radíus valmyndinni til að PAC virki. - Cisco TrustSec er ekki stutt í FIPS ham.
- Eftirfarandi takmarkanir eiga aðeins við um C9500X-28C8D líkanið af Cisco Catalyst 9500 Series rofa:
• Handvirk stilling Cisco TrustSec er ekki studd.
• Virkni Cisco TrustSec Security Association Protocol (SAP) er ekki studd.
• Cisco TrustSec lýsigagnahaushlíf er ekki studd.
Upplýsingar um Cisco TrustSec arkitektúr
Cisco TrustSec öryggisarkitektúrinn byggir upp örugg net með því að koma á fót lénum traustra nettækja. Hvert tæki á léninu er auðkennt af jafnöldrum sínum. Samskipti á tenglum milli tækja á léninu eru tryggð með blöndu af dulkóðun, athugun á heiðarleika skilaboða og endurspilunarbúnaði gagnaslóða. Cisco TrustSec notar tækið og notendaskilríki sem aflað er við auðkenningu til að flokka pakkana eftir öryggishópum (SGs) þegar þeir fara inn á netið. Þessari pakkaflokkun er viðhaldið af tagpakka sem koma inn á Cisco TrustSec netið þannig að hægt sé að bera kennsl á þá á réttan hátt í þeim tilgangi að beita öryggi og öðrum stefnuviðmiðum á gagnaleiðinni. The tag, kallaður öryggishópurinn tag (SGT), gerir netkerfinu kleift að framfylgja aðgangsstýringarstefnunni með því að gera endapunktatækinu kleift að bregðast við SGT til að sía umferð.
Cisco TrustSec IEEE 802.1X tenglar eru ekki studdir á kerfum sem studdir eru í Cisco IOS XE Denali(16.1.x til 16.3.x), Cisco IOS XE Everest (16.4.x til 16.6.x), og Cisco IOS XE Fuji (16.7.x til 16.9.x) útgáfur, og þess vegna er aðeins Authenticator studd; umsækjandi er ekki studdur.
Cisco TrustSec arkitektúrinn inniheldur þrjá lykilþætti:
- Sannvottuð netkerfi — Eftir að fyrsta tækið (kallað frumtækið) hefur auðkennt með auðkenningarþjóninum til að hefja Cisco TrustSec lénið, er hvert nýtt tæki sem bætt er við lénið auðkennt af jafningjatækjum sem þegar eru innan lénsins. Jafnaldarnir starfa sem milliliðir fyrir auðkenningarþjón lénsins. Hvert nývottað tæki er flokkað af auðkenningarþjóninum og úthlutað öryggishópsnúmeri byggt á auðkenni þess, hlutverki og öryggisstöðu.
- Aðgangsstýring sem byggir á öryggishópum—Aðgangsreglur innan Cisco TrustSec lénsins eru óháðar staðfræði, byggðar á hlutverkum (eins og gefið er til kynna með númeri öryggishóps) uppruna- og ákvörðunartækja frekar en netföngum. Einstakir pakkar eru tagged með öryggishópsnúmeri upprunans.
- Örugg samskipti—Með dulkóðunarhæfum vélbúnaði er hægt að tryggja samskipti á hverjum hlekk á milli tækja á léninu með blöndu af dulkóðun, eftirliti með heiðarleika skilaboða og endurspilunarvarnarbúnaði gagnaslóða.
Eftirfarandi mynd sýnir fyrrverandiample af Cisco TrustSec léni. Í þessu frvample, nokkur nettæki og endapunktstæki eru innan Cisco TrustSec lénsins. Eitt endapunktstæki og eitt nettæki eru utan lénsins vegna þess að þau eru ekki Cisco TrustSec-hæf tæki eða vegna þess að þeim hefur verið neitað um aðgang. Auðkenningarþjónninn er talinn vera utan Cisco TrustSec lénsins; það er annað hvort Cisco Identities Service Engine (Cisco ISE), eða Cisco Secure Access Control System (Cisco ACS).
Mynd 1: Cisco TrustSec Network Domain Example
Hver þátttakandi í Cisco TrustSec auðkenningarferlinu gegnir einu af eftirfarandi hlutverkum:
- Supplicant—Óvottað tæki sem er tengt við jafningja innan Cisco TrustSec lénsins og reynir að tengjast Cisco TrustSec léninu.
- Auðkenningarþjónn—Þjónninn sem staðfestir auðkenni umsækjanda og gefur út stefnur sem ákvarða aðgang beiðninnar að þjónustu innan Cisco TrustSec lénsins.
- Authenticator—Auðvottað tæki sem er nú þegar hluti af Cisco TrustSec léninu og getur auðkennt nýja jafningjabeiðendur fyrir hönd auðkenningarþjónsins.
Þegar tengslin milli biðjandi og auðkenningaraðila koma fyrst upp, gerist venjulega eftirfarandi atburðarrás:
- Auðkenning (802.1X)—Beiðandinn er auðkenndur af auðkenningarþjóninum, þar sem auðkenningarmaðurinn starfar sem milliliður. Gagnkvæm auðkenning er framkvæmd á milli jafningjanna tveggja (beiðandi og auðkenningaraðila).
- Heimild—Byggt á auðkennisupplýsingum umsækjanda, veitir auðkenningarþjónninn heimildarstefnur, svo sem öryggishópaúthlutun og ACL, til hvers tengds jafningja. Auðkenningarþjónninn veitir öðrum auðkenni hvers jafningja og hver jafningi beitir síðan viðeigandi stefnu fyrir tengilinn.
- Samningaviðræður um öryggissamskiptareglur (SAP)—Þegar báðar hliðar hlekks styðja dulkóðun, semja biðjandi og auðkenningaraðili um nauðsynlegar breytur til að stofna öryggissamtök (SA).
SAP er ekki stutt á 100G tengi. Við mælum með því að þú notir MACsec Key Agreement samskiptareglur(MKA) með aukinni pakkanúmerun (XPN) á 100G tengi.
Þegar öllum þremur skrefunum er lokið, breytir auðkenningaraðili stöðu hlekksins úr óviðkomandi (lokandi) ástandi í leyfilegt ástand, og umsækjandinn verður meðlimur Cisco TrustSec lénsins.
Cisco TrustSec notar inngöngu tagsíun og útgöngusíu til að framfylgja aðgangsstýringarstefnu á stigstærðan hátt. Pakkar sem koma inn á lénið eru tagged með öryggishópi tag (SGT) sem inniheldur úthlutað öryggishópsnúmer upprunatækisins. Þessari pakkaflokkun er viðhaldið meðfram gagnaleiðinni innan Cisco TrustSec lénsins í þeim tilgangi að beita öryggi og öðrum stefnuviðmiðum. Loka Cisco TrustSec tækið á gagnaslóðinni, annað hvort endapunktur eða útgöngupunktur nets, framfylgir aðgangsstýringarstefnu sem byggir á öryggishópi Cisco TrustSec upprunatækisins og öryggishópi loka Cisco TrustSec tækisins. Ólíkt hefðbundnum aðgangsstýringarlistum sem byggjast á netföngum eru Cisco TrustSec aðgangsstýringarstefnur eins konar hlutverkatengdir aðgangsstýringarlistar (RBACLs) sem kallast öryggishópaaðgangsstýringarlistar (SGACL).
Ingress vísar til pakka sem fara inn í fyrsta Cisco TrustSec-hæfa tækið sem pakki lendir á leið sinni á áfangastað og egress vísar til pakka sem skilja síðasta Cisco TrustSec-hæfa tækið eftir á leiðinni.Auðkenning
Cisco TrustSec og auðkenning
Með því að nota Network Device Admission Control (NDAC), staðfestir Cisco TrustSec tæki áður en það leyfir því að tengjast netinu. NDAC notar 802.1X auðkenningu með Extensible Authentication Protocol Flexible Authentication via Secure Tunnel (EAP-FAST) sem Extensible Authentication Protocol (EAP) aðferð til að framkvæma auðkenninguna. EAP-FAST samtöl gera ráð fyrir öðrum EAP aðferðaskiptum inni í EAP-FAST göngunum með því að nota keðjur. Stjórnendur geta notað hefðbundnar notendavottunaraðferðir, eins og Microsoft Challenge Handshake Authentication Protocol Version 2 (MSCHAPv2), en hafa samt öryggi sem EAP-FAST göngin veita. Meðan á EAP-FAST skiptin stendur, býr auðkenningarþjónninn til og afhendir umsækjanda einstakt verndað aðgangsskilríki (PAC) sem inniheldur sameiginlegan lykil og dulkóðaðan tákn til að nota fyrir örugg samskipti við auðkenningarþjóninn í framtíðinni.
Eftirfarandi mynd sýnir EAP-FAST göngin og innri aðferðir eins og þær eru notaðar í Cisco TrustSec.
Mynd 2: Cisco TrustSec Authentication
Cisco TrustSec endurbætur á EAP-FAST
Innleiðing EAP-FAST fyrir Cisco TrustSec hefur eftirfarandi endurbætur:
- Sannvotta auðkenningarann—Ákveður auðkenni auðkenningarans á öruggan hátt með því að krefjast þess að auðkenningarinn noti PAC til að fá sameiginlega lykilinn á milli sín og auðkenningarþjónsins. Þessi eiginleiki kemur einnig í veg fyrir að þú stillir RADIUS samnýtta lykla á auðkenningarþjóninum fyrir allar mögulegar IP tölur sem auðkenningarinn getur notað.
- Látið hvert tæki vita af jafningja sínum—Í lok auðkenningarskipta hefur auðkenningarþjónninn borið kennsl á bæði biðjanda og auðkenningaraðila. Auðkenningarþjónninn miðlar auðkenni auðkenningaraðilans, og hvort auðkenningartækið sé Cisco TrustSec-hæft, til biðjanda með því að nota viðbótartegundarlengdargildisbreytur (TLV) í vernduðu EAP-FAST uppsögninni. Auðkenningarþjónninn miðlar einnig auðkenni biðjanda, og hvort biðlarinn sé hæfur fyrir Cisco TrustSec, til auðkenningaraðilans með því að nota RADIUS eiginleika í Access-Accept skilaboðunum.
Vegna þess að hvert tæki veit hver jafningi þess er, getur það sent fleiri RADIUS aðgangsbeiðnir til auðkenningarþjónsins til að fá stefnuna sem á að beita á tengilinn.
802.1X Hlutverkaval
Í 802.1X verður auðkenningarinn að hafa IP-tengingu við auðkenningarþjóninn vegna þess að hann þarf að miðla auðkenningarskiptum milli biðjanda og auðkenningaraðila með því að nota RADIUS yfir UDP/IP. Þegar endapunktur, eins og tölva, tengist neti er augljóst að það ætti að virka sem biðjandi. Hins vegar, ef um er að ræða Cisco TrustSec tengingu milli tveggja nettækja, gæti 802.1X hlutverk hvers netbúnaðar ekki verið strax áberandi fyrir hinu nettækinu.
Í stað þess að krefjast handvirkrar uppsetningar á auðkenningar- og biðlarhlutverkum fyrir tvo samliggjandi rofa, keyrir Cisco TrustSec hlutverkavalsreiknirit til að ákvarða sjálfkrafa hvaða rofi virkar sem auðkenningaraðili og hver virkar sem biðjandi. Hlutverkavalsreikniritið úthlutar auðkenningarhlutverkinu til rofans sem hefur IP-aðgengi á RADIUS netþjón. Báðir rofarnir ræsa bæði auðkenningarvélina og supplicant state vélina. Þegar rofi skynjar að jafningi hans hefur aðgang að RADIUS netþjóni, slítur hann eigin auðkenningarríkisvél og tekur að sér hlutverk biðlara. Ef báðir rofarnir hafa aðgang að RADIUS miðlara, verður fyrsti rofinn sem fær svar frá RADIUS miðlaranum auðkenningaraðili og hinn rofinn verður biðjandi.
Cisco TrustSec Authentication Yfirlit
Við lok Cisco TrustSec auðkenningarferlisins hefur auðkenningarþjónninn framkvæmt eftirfarandi aðgerðir:
- Staðfesti auðkenni biðjanda og auðkennisaðila.
- Staðfesti notandann ef biðjandinn er endapunktstæki.
Í lok Cisco TrustSec auðkenningarferlisins vita bæði auðkenningarmaðurinn og umsækjandinn eftirfarandi:
- eftirfarandi:
- Auðkenni tækis jafningjans
- Cisco TrustSec getu upplýsingar um jafningja
- Lykill notaður fyrir SAP
Auðkenni tækisins
Cisco TrustSec notar ekki IP vistföng eða MAC vistföng sem auðkenni tækisins. Þess í stað úthlutar þú nafni (auðkenni tækis) á hvern Cisco TrustSec-hæfan rofa til að auðkenna hann einstaklega á Cisco TrustSec léninu. Þetta auðkenni tækis er notað fyrir eftirfarandi:
- Er að fletta upp heimildastefnunni
- Að fletta upp lykilorðum í gagnagrunnum við auðkenningu
Skilríki tækis
Cisco TrustSec styður skilríki sem byggir á lykilorði. Cisco TrustSec auðkennir beiðnina með lykilorðum og notar MSCHAPv2 til að veita gagnkvæma auðkenningu.
Auðkenningarþjónninn notar þessi skilríki til að sannvotta gagnkvæmt biðlarann meðan á EAP-FAST fasa 0 (útvegun) skiptingunni stendur þar sem PAC er útvegað í biðlaranum. Cisco TrustSec framkvæmir ekki EAP-FAST fasa 0 skiptin aftur fyrr en PAC rennur út, og framkvæmir aðeins EAP-FAST fasa 1 og fasa 2 skipti fyrir framtíðartengingar. EAP-FAST fasa 1 skiptin notar PAC til að sannvotta auðkenningarþjóninn og biðjanda gagnkvæmt. Cisco TrustSec notar tækisskilríkin aðeins í PAC úthlutun (eða endurúthlutun).
Þegar biðjandinn gengur fyrst inn í Cisco TrustSec lénið, sannvotir auðkenningarþjónninn biðjandann og ýtir sameiginlegum lykli og dulkóðuðu tákni til biðjanda með PAC. Auðkenningarþjónninn og biðlarinn nota þennan lykil og tákn fyrir gagnkvæma auðkenningu í öllum framtíðar EAP-FAST fasa 0 kauphöllum.
Notendaskilríki
Cisco TrustSec krefst ekki sérstakrar tegundar notendaskilríkja fyrir endapunktatæki. Þú getur valið hvaða tegund af auðkenningaraðferð sem er studd af auðkenningarþjóninum og notað samsvarandi skilríki. Til dæmisampLe, Cisco Secure Access Control System (ACS) útgáfa 5.1 styður MSCHAPv2, almennt táknkort (GTC) eða RSA einu sinni lykilorð (OTP)
Öryggishópatengd aðgangsstýring
Þessi hluti veitir upplýsingar um aðgangsstýringarlista fyrir öryggishópa (SGACL).
Þessi hluti veitir upplýsingar um aðgangsstýringarlista fyrir öryggishópa (SGACL).
Öryggishópar og SGT
Öryggishópur er hópur notenda, endapunktatækja og auðlinda sem deila aðgangsstýringarstefnu. Öryggishópar eru skilgreindir af stjórnanda í Cisco ISE eða Cisco Secure ACS. Þar sem nýjum notendum og tækjum er bætt við Cisco TrustSec lénið, úthlutar auðkenningarþjónn þessum nýju aðilum til viðeigandi öryggishópa. Cisco TrustSec úthlutar hverjum öryggishópi einstakt 16-bita öryggishópsnúmer sem er alþjóðlegt innan Cisco TrustSec léns. Fjöldi öryggishópa í tækinu er takmarkaður við fjölda staðfestra neteininga. Þú þarft ekki að stilla öryggishópsnúmer handvirkt.
Öryggishópur er hópur notenda, endapunktatækja og auðlinda sem deila aðgangsstýringarstefnu. Öryggishópar eru skilgreindir af stjórnanda í Cisco ISE eða Cisco Secure ACS. Þar sem nýjum notendum og tækjum er bætt við Cisco TrustSec lénið, úthlutar auðkenningarþjónn þessum nýju aðilum til viðeigandi öryggishópa. Cisco TrustSec úthlutar hverjum öryggishópi einstakt 16-bita öryggishópsnúmer sem er alþjóðlegt innan Cisco TrustSec léns. Fjöldi öryggishópa í tækinu er takmarkaður við fjölda staðfestra neteininga. Þú þarft ekki að stilla öryggishópsnúmer handvirkt.
Þegar tæki hefur verið staðfest, Cisco TrustSec tags hvaða pakki sem kemur frá því tæki með öryggishópi tag (SGT) sem inniheldur öryggishópsnúmer tækisins. Pakkinn ber þennan SGT um netið innan Cisco TrustSec haussins. SGT er eitt merki sem ákvarðar forréttindi upprunans innan fyrirtækisins alls.
Vegna þess að SGT inniheldur öryggishóp upprunans, sem tag má vísa til sem uppspretta SGT. Áfangatækið er einnig úthlutað til öryggishóps (áfangastað SG) sem hægt er að vísa til til einföldunar sem áfangastaðahóps tag (DGT), þó að raunverulegur Cisco TrustSec pakki tag inniheldur ekki öryggishópsnúmer ákvörðunartækisins.
Öryggishópur ACL stuðningur
Öryggishópsaðgangsstýringarlistar (SGACLs) eru framfylgd stefnu þar sem stjórnandinn getur stjórnað aðgerðum sem notandi framkvæmir, byggt á úthlutun öryggishópa og áfangastaðsauðlindum. Framfylgni stefnu innan Cisco Trustsec lénsins er táknuð með heimildafylki, með númer upprunaöryggishóps á öðrum ásnum og númeri öryggishóps áfangastaðar á hinum ásnum. Hver klefi í fylkinu inniheldur raðaða lista yfir SGACL, sem tilgreinir heimildir sem ætti að beita á pakka sem koma frá IP sem tilheyrir upprunaöryggishópi og hefur áfangastað sem tilheyrir áfangaöryggishópnum.
Öryggishópsaðgangsstýringarlistar (SGACLs) eru framfylgd stefnu þar sem stjórnandinn getur stjórnað aðgerðum sem notandi framkvæmir, byggt á úthlutun öryggishópa og áfangastaðsauðlindum. Framfylgni stefnu innan Cisco Trustsec lénsins er táknuð með heimildafylki, með númer upprunaöryggishóps á öðrum ásnum og númeri öryggishóps áfangastaðar á hinum ásnum. Hver klefi í fylkinu inniheldur raðaða lista yfir SGACL, sem tilgreinir heimildir sem ætti að beita á pakka sem koma frá IP sem tilheyrir upprunaöryggishópi og hefur áfangastað sem tilheyrir áfangaöryggishópnum.
SGACL veitir ríkisfangslaus aðgangsstýringarkerfi byggt á öryggissamtökunum eða öryggishópnum tag gildi í stað IP tölur og síur. Það eru þrjár leiðir til að útvega SGACL stefnu:
- Stöðug stefnuútvegun: SGACL reglurnar eru skilgreindar af notandanum með því að nota stjórnina cts hlutverkatengda heimild.
- Kraftmikil stefnuútvegun: Stilling SGACL stefnu ætti fyrst og fremst að fara fram í gegnum stefnustjórnunaraðgerð Cisco Secure ACS eða Cisco Identity Services Engine.
- Breyting á heimild (CoA): Uppfærðu stefnunni er hlaðið niður þegar SGACL stefnunni er breytt á ISE og CoA er ýtt á Cisco TrustSec tækið.
Gagnaplan tækisins tekur á móti CoA pakkanum frá stefnuveitanda (ISE) og beitir stefnunni á CoA pakkana. Pakkarnir eru síðan áframsendir á tækjastýringarplanið þar sem næsta stig stefnuframfylgdar á sér stað fyrir komandi CoA pakka. Til view upplýsingar um vélbúnaðar- og hugbúnaðarstefnu gegn höggi, keyrðu show cts hlutverka-based counters skipunina í forréttinda EXEC ham.
SGACL stefnur
Með því að nota aðgangsstýringarlista fyrir öryggishópa (SGACL) geturðu stjórnað aðgerðum sem notendur geta framkvæmt á grundvelli öryggishópaúthlutana notenda og áfangastaðatilföngum. Framfylgni stefnu innan Cisco TrustSec lénsins er táknuð með heimildafylki, með númerum upprunaöryggishópa á öðrum ásnum og númerum öryggishóps áfangastaðar á hinum ásnum. Hver klefi í meginhluta fylkisins getur innihaldið raðaðan lista yfir SGACL sem tilgreinir heimildirnar sem ætti að beita á pakka sem koma frá upprunaöryggishópnum og eru ætlaðar áfangaöryggishópnum.
Eftirfarandi mynd sýnir fyrrverandiampLeið af Cisco TrustSec heimildafylki fyrir einfalt lén með þremur skilgreindum notendahlutverkum og einni skilgreindri áfangastað. Þrjár SGACL stefnur stjórna aðgangi að áfangaþjóninum út frá hlutverki notandans.
Mynd 3: SGACL stefnufylki Example
Með því að úthluta notendum og tækjum innan netkerfisins á öryggishópa og beita aðgangsstýringu á milli öryggishópanna, nær Cisco TrustSec hlutverkatengdri staðfræðióháðri aðgangsstýringu innan netsins. Vegna þess að SGACL skilgreinir aðgangsstýringarstefnur byggðar á auðkenni tækja í stað IP-tölu eins og í hefðbundnum ACL, er nettækjum frjálst að hreyfa sig um netið og breyta IP-tölum.
Svo lengi sem hlutverkin og heimildirnar eru þær sömu, breyta breytingar á svæðisfræði netkerfisins ekki öryggisstefnunni. Þegar notandi er bætt við tækið úthlutarðu notandanum einfaldlega í viðeigandi öryggishóp og notandinn fær samstundis heimildir þess hóps.
Svo lengi sem hlutverkin og heimildirnar eru þær sömu, breyta breytingar á svæðisfræði netkerfisins ekki öryggisstefnunni. Þegar notandi er bætt við tækið úthlutarðu notandanum einfaldlega í viðeigandi öryggishóp og notandinn fær samstundis heimildir þess hóps.
SGACL reglum er beitt á umferð sem myndast á milli tveggja hýsingartækja, ekki á umferð sem myndast frá tæki til endahýsingartækis.Notkun hlutverkatengdra heimilda dregur verulega úr stærð ACL og einfaldar viðhald þeirra. Með Cisco TrustSec er fjöldi aðgangsstýringarfærslna (ACEs) stilltur ákvarðaður af fjölda tilgreindra heimilda, sem leiðir til mun færri fjölda ACEs en í hefðbundnu IP neti. Notkun SGACL í Cisco TrustSec leiðir venjulega til skilvirkari notkunar á TCAM auðlindum samanborið við hefðbundna ACL. Að hámarki 17,500 SGACL stefnur eru studdar á Catalyst 9500 röð rofa. Á Catalyst 9500 High Performance Series rofunum eru að hámarki 28,224 SGACL stefnur studdar.
Inngangur TagGing og Egress Enforcement
Cisco TrustSec aðgangsstýring er útfærð með því að nota inngöngu tagframfylgd neyslu og útgöngu. Við inngöngustað á Cisco TrustSec lénið er umferð frá upprunanum tagged með SGT sem inniheldur öryggishópsnúmer upprunaeiningarinnar. SGT er dreift með umferð um lénið. Á útgöngupunkti Cisco TrustSec lénsins notar útgöngutæki uppruna SGT og öryggishópsnúmer áfangaeiningarinnar (áfangastaðarins SG, eða DGT) til að ákvarða hvaða aðgangsstefnu á að beita úr SGACL stefnufylki.
Eftirfarandi mynd sýnir hvernig SGT-úthlutunin og SGACL-framkvæmdin starfa á Cisco TrustSec léni.
Mynd 4: SGT og SGACL í Cisco TrustSec léni
- Hýsingartölvan sendir pakka til web miðlara. Þó að PC og web þjónninn er ekki meðlimur Cisco TrustSec lénsins, gagnaslóð pakkans inniheldur Cisco TrustSec lénið.
- Cisco TrustSec innrásartækið breytir pakkanum til að bæta við SGT með öryggishóp númer 3, öryggishópsnúmerinu sem auðkenningarþjónninn úthlutar fyrir gestgjafatölvuna.
- Cisco TrustSec útgöngutæki framfylgir SGACL stefnunni sem á við upprunahóp 3 og áfangahóp 4, öryggishópsnúmerið sem auðkenningarþjónninn úthlutar fyrir web miðlara.
- Ef SGACL leyfir að senda pakkann fram, breytir Cisco TrustSec útgöngurofinn pakkanum til að fjarlægja SGT og sendir pakkann áfram til web miðlara.
Ákvörðun upprunaöryggishópsins
Nettæki sem kemur inn á Cisco TrustSec lén verður að ákvarða SGT pakkans sem fer inn á Cisco TrustSec lénið þannig að það geti tag pakkann með þeim SGT þegar hann sendir hann inn á Cisco TrustSec lénið. Útgöngukerfistækið verður að ákvarða SGT pakkans til að geta beitt SGACL.
Nettækið getur ákvarðað SGT fyrir pakka með einni af eftirfarandi aðferðum:
- Fáðu uppruna-SGT við stefnuöflun—Eftir Cisco TrustSec auðkenningarfasa, sækir nettæki stefnuupplýsingar frá auðkenningarþjóninum, sem gefa til kynna hvort jafningjatækinu sé treyst eða ekki. Ef jafningjatæki er ekki treyst, þá getur auðkenningarþjónninn einnig veitt SGT til að eiga við alla pakka sem koma frá jafningjatækinu.
- Fáðu uppruna SGT úr pakkanum—Ef pakki kemur frá traustu jafningjatæki ber pakkinn SGT. Þetta á við um nettæki sem er ekki fyrsta nettækið í Cisco TrustSec léni fyrir pakkann.
- Flettu upp uppruna SGT byggt á uppruna auðkenni—Með Identity Port Mapping (IPM) geturðu stillt tenginguna handvirkt með auðkenni tengda jafningja. Nettækið biður um stefnuupplýsingar, þar á meðal SGT og trauststöðu, frá auðkenningarþjóninum.
- Flettu upp uppruna SGT byggt á uppruna IP tölu—Í sumum tilfellum geturðu stillt stefnuna handvirkt til að ákveða SGT pakka byggt á uppruna IP tölu hans. SGT Exchange Protocol (SXP) getur einnig fyllt út IP-tölu-til-SGT kortlagningartöfluna.
Ákvörðun öryggishóps áfangastaðar
Útgöngukerfistækið á Cisco TrustSec léni ákvarðar áfangahópinn (DGT) til að beita SGACL. Netbúnaðurinn ákvarðar áfangaöryggishóp fyrir pakkann með því að nota sömu aðferðir og notaðar eru til að ákvarða upprunaöryggishópinn, að undanskildum því að fá hópnúmerið úr pakka tag. Öryggishópsnúmer áfangastaðar er ekki innifalið í pakka tag.
Í sumum tilfellum gætu inngöngutæki eða önnur tæki sem ekki eru útgengin verið með upplýsingar um áfangahóp tiltækar. Í þeim tilvikum gæti SGACL verið beitt í þessum tækjum frekar en útgöngutækjum.
SGACL framfylgd á beina og breyttri umferð
SGACL framfylgd er aðeins beitt á IP umferð, en framfylgd er hægt að beita á annað hvort beina eða skipta umferð.
Fyrir beina umferð er SGACL framfylgd framkvæmd með útgöngurofi, venjulega dreifingarrofa eða aðgangsrofa með beina tengi sem tengist áfangastaðshýslinum. Þegar þú virkjar SGACL framfylgd á heimsvísu er framfylgd sjálfkrafa virkjuð á öllum Layer 3 viðmótum nema SVI tengi.
SGACL framfylgd er aðeins beitt á IP umferð, en framfylgd er hægt að beita á annað hvort beina eða skipta umferð.
Fyrir beina umferð er SGACL framfylgd framkvæmd með útgöngurofi, venjulega dreifingarrofa eða aðgangsrofa með beina tengi sem tengist áfangastaðshýslinum. Þegar þú virkjar SGACL framfylgd á heimsvísu er framfylgd sjálfkrafa virkjuð á öllum Layer 3 viðmótum nema SVI tengi.
Fyrir skipta umferð er SGACL framfylgd framkvæmd á umferð sem flæðir innan eins skiptiléns án nokkurrar leiðaraðgerðar. FyrrverandiampLe væri SGACL framfylgd framkvæmd með gagnaver aðgangsrofi á miðlara-til-miðlara umferð milli tveggja beint tengdra netþjóna. Í þessu frvample, umferð miðlara til netþjóns væri venjulega skipt. Hægt er að beita SGACL framfylgd á pakka sem skipt er um innan VLAN eða framsenda til SVI sem tengist VLAN, en framfylgd verður að vera virkjuð sérstaklega fyrir hvert VLAN.
SGACL skógarhögg og ACE tölfræði
Þegar skráning er virkjuð í SGACL skráir tækið eftirfarandi upplýsingar:
- Upprunaöryggishópurinn tag (SGT) og áfangastað SGT
- Heiti SGACL stefnunnar
- Tegund pakkasamskiptareglur
- Aðgerðin sem framkvæmd var á pakkanum
Notkunarmöguleikinn á við um einstaka ACE og veldur því að pakkar sem passa við ACE eru skráðir. Fyrsti pakkinn sem skráður er af log lykilorðinu býr til syslog skilaboð. Síðari annálsskilaboð eru búin til og tilkynnt með fimm mínútna millibili. Ef skráningarvirkt ACE samsvarar öðrum pakka (með eiginleikum sem eru eins og pakkann sem bjó til logskilaboðin), er fjöldi samsvarandi pakka aukinn (teljarar) og síðan tilkynnt.
Til að virkja skráningu, notaðu log lykilorðið fyrir framan ACE skilgreininguna í SGACL uppsetningunni. Til dæmisample, leyfa ip log.
Þegar SGACL skráning er virkjuð eru ICMP beiðniskilaboð frá tækinu til viðskiptavinarins ekki skráð fyrir
IPv4 og IPv6 samskiptareglur. Hins vegar; ICMP svarskilaboð frá biðlara til tækisins eru skráð.
IPv4 og IPv6 samskiptareglur. Hins vegar; ICMP svarskilaboð frá biðlara til tækisins eru skráð.
Eftirfarandi er eins ogampskrárskrá, sem sýnir uppruna- og áfangastaða-SGT, ACE-samsvörun (til að fá leyfi eða neitun) og samskiptareglur, það er TCP, UDP, IGMP og ICMP upplýsingar:
*2. júní 08:58:06.489: %C4K_IOSINTF-6-SGACLHIT: list deny_udp_src_port_log-30 Neitað udp 24.0.0.23(100) -> 28.0.0.91(100), SGT8 DGT 12
Til viðbótar við núverandi SGACL tölfræði 'per cell', sem hægt er að birta með því að nota hlutverkamiðaða sýningu cts
skipun teljara, þú getur líka sýnt ACE tölfræði, með því að nota skipunina show ip access-list sgacl_name. Engin viðbótarstilling er nauðsynleg fyrir þetta.
Eftirfarandi frvampLe sýnir hvernig þú getur notað skipunina show ip access-list til að sýna ACE-töluna
skipun teljara, þú getur líka sýnt ACE tölfræði, með því að nota skipunina show ip access-list sgacl_name. Engin viðbótarstilling er nauðsynleg fyrir þetta.
Eftirfarandi frvampLe sýnir hvernig þú getur notað skipunina show ip access-list til að sýna ACE-töluna
Tæki # sýna ip aðgangsstýringu deny_udp_src_port_log-30
Hlutverkatengdur IP aðgangslisti deny_udp_src_port_log-30 (niðurhalað)
10 neita udp src eq 100 log (283 samsvörun)
20 leyfi ip log (50 samsvörun)
Hlutverkatengdur IP aðgangslisti deny_udp_src_port_log-30 (niðurhalað)
10 neita udp src eq 100 log (283 samsvörun)
20 leyfi ip log (50 samsvörun)
Þegar komandi umferð passar við reitinn, en passar ekki við SGACL reitsins, er umferðin leyfð og teljararnir eru hækkaðir í HW-leyfinu fyrir reitinn.Eftirfarandi frvampLe sýnir hvernig SGACL frumu virkar:
SGACL stefnan er stillt frá 5 til 18 með „neta icmp echo“ og það er komandi umferð frá 5 til 18 með TCP haus. Ef hólfið samsvarar frá 5 til 18 en umferð passar ekki við icmp, verður umferð leyfð og HW-Permit teljari hólfs 5 til 18 mun hækka.
VRF-meðvituð SGACL skógarhögg
SGACL kerfisskrárnar munu innihalda VRF upplýsingar. Til viðbótar við reitina sem eru skráðir, munu skráningarupplýsingarnar innihalda VRF nafnið. Uppfærðar skráningarupplýsingarnar verða eins og sýnt er hér að neðan:
*15. nóv 02:18:52.187: %RBM-6-SGACLHIT_V6: ingress_interface='GigabitEthernet1/0/15′ sgacl_name='IPV6_TCP_DENY' action='Neita' protocol='tcp' srcs-vrf='' -ip='25::2′ src-port='20'
dest-vrf='CTS-VRF' dest-ip='49::2′ dest-port='30' sgt='200′ dgt='500' logging_interval_hits='1′
dest-vrf='CTS-VRF' dest-ip='49::2′ dest-port='30' sgt='200′ dgt='500' logging_interval_hits='1′
SGACL Monitor Mode
Á fordreifingarfasa Cisco TrustSec mun stjórnandi nota skjástillinguna til að prófa öryggisstefnurnar án þess að framfylgja þeim til að ganga úr skugga um að reglurnar virki eins og til er ætlast. Ef öryggisreglurnar virka ekki eins og til er ætlast veitir eftirlitsstillingin þægilegan búnað til að bera kennsl á það og gefur tækifæri til að leiðrétta stefnuna áður en SGACL framfylgd er virkjuð. Þetta gerir stjórnendum kleift að hafa aukinn sýnileika á niðurstöðum stefnuaðgerða áður en þeir framfylgja henni og staðfesta að efnisstefnan uppfylli öryggiskröfur (aðgangi er meinað að tilföngum ef notendur eru ekki
heimild).
Vöktunargetan er veitt á SGT-DGT parstigi. Þegar þú virkjar SGACL vöktunarhameiginleikann er neitunaraðgerðin útfærð sem ACL leyfi á línukortunum. Þetta gerir SGACL teljara og skráningu kleift að sýna hvernig tengingar eru meðhöndlaðar af SGACL stefnunni. Þar sem öll vöktuð umferð er leyfð er engin röskun á þjónustu vegna SGACLs meðan á SGACL eftirlitsham stendur.
Á fordreifingarfasa Cisco TrustSec mun stjórnandi nota skjástillinguna til að prófa öryggisstefnurnar án þess að framfylgja þeim til að ganga úr skugga um að reglurnar virki eins og til er ætlast. Ef öryggisreglurnar virka ekki eins og til er ætlast veitir eftirlitsstillingin þægilegan búnað til að bera kennsl á það og gefur tækifæri til að leiðrétta stefnuna áður en SGACL framfylgd er virkjuð. Þetta gerir stjórnendum kleift að hafa aukinn sýnileika á niðurstöðum stefnuaðgerða áður en þeir framfylgja henni og staðfesta að efnisstefnan uppfylli öryggiskröfur (aðgangi er meinað að tilföngum ef notendur eru ekki
heimild).
Vöktunargetan er veitt á SGT-DGT parstigi. Þegar þú virkjar SGACL vöktunarhameiginleikann er neitunaraðgerðin útfærð sem ACL leyfi á línukortunum. Þetta gerir SGACL teljara og skráningu kleift að sýna hvernig tengingar eru meðhöndlaðar af SGACL stefnunni. Þar sem öll vöktuð umferð er leyfð er engin röskun á þjónustu vegna SGACLs meðan á SGACL eftirlitsham stendur.
Heimild og stefnuöflun
Eftir að auðkenningu tækis lýkur fá bæði biðjandi og auðkenningaraðili öryggisstefnu frá auðkenningarþjóninum. Jafnaldrarnir tveir framkvæma síðan hlekkjaheimild og framfylgja hlekköryggisstefnunni gagnvart hvor öðrum á grundvelli Cisco TrustSec tækjaauðkenna þeirra. Hægt er að stilla hlekkjaauðkenningaraðferðina sem annað hvort 802.1X eða handvirka auðkenningu. Ef tengiöryggið er 802.1X notar hver jafningi auðkenni tækis sem berast frá auðkenningarþjóninum. Ef tengiöryggið er handvirkt verður þú að úthluta auðkenni jafningjatækja.
Auðkenningarþjónninn skilar eftirfarandi reglueigindum:
- Cisco TrustSec traust—Gefur til kynna hvort jafningjatækinu sé treystandi í þeim tilgangi að setja SGT í pakkana.
- Jafningi SGT—Gefur til kynna öryggishópinn sem jafninginn tilheyrir. Ef jafningjanum er ekki treyst, eru allir pakkar sem berast frá jafningjanum tagged með þessu SGT. Ef tækið veit ekki hvort einhver SGACL tengist SGT jafningja gæti tækið sent eftirfylgnibeiðni til auðkenningarþjónsins um að hlaða niður SGACL.
- Fyrningartími heimildar—Gefur til kynna fjölda sekúndna áður en stefnan rennur út. Cisco TrustSec tæki ætti að endurnýja stefnu sína og heimild áður en það rennur út. Tækið getur geymt auðkenningar- og stefnugögnin í skyndiminni og endurnýtt þau eftir endurræsingu ef gögnin eru ekki útrunnin.
Hvert Cisco TrustSec tæki ætti að styðja einhverja lágmarks sjálfgefna aðgangsstefnu ef það getur ekki haft samband við auðkenningarþjóninn til að fá viðeigandi stefnu fyrir jafningjann.NDAC og SAP samningaferli er sýnt á eftirfarandi mynd
Mynd 5: NDAC og SAP samningaviðræður
Umhverfisgögn niðurhal
Cisco TrustSec-umhverfisgögnin eru safn upplýsinga eða reglna sem aðstoða tæki við að virka sem Cisco TrustSec-hnút. Tækið sækir umhverfisgögnin frá auðkenningarþjóninum þegar tækið tengist fyrst Cisco TrustSec léni, þó þú gætir líka stillt sum gagna á tækinu handvirkt. Til dæmisample, þú verður að stilla fræ Cisco TrustSec tækið með auðkenningarmiðlaraupplýsingunum, sem síðar er hægt að bæta við með netþjónalistanum sem tækið fær frá auðkenningarþjóninum.
Tækið verður að endurnýja Cisco TrustSec umhverfisgögnin áður en þau renna út. Tækið getur einnig vistað umhverfisgögnin og endurnýtt þau eftir endurræsingu ef gögnin eru ekki útrunnin.
Tækið notar RADIUS til að ná í eftirfarandi umhverfisgögn frá auðkenningarþjóninum:
- Server listar: Listi yfir netþjóna sem viðskiptavinurinn getur notað fyrir framtíðar RADIUS beiðnir (bæði fyrir auðkenningu og heimild). PAC endurnýjun á sér stað í gegnum þessa netþjóna.
- Device SG: Öryggishópur sem tækið sjálft tilheyrir.
- Fyrningartími: Tímabil sem stjórnar hversu oft Cisco TrustSec tækið ætti að endurnýja umhverfisgögn sín.
RADIUS Relay virkni
Tækið sem gegnir hlutverki Cisco TrustSec auðkenningar í 802.1X auðkenningarferlinu hefur IP tengingu við auðkenningarþjóninn, sem gerir tækinu kleift að fá stefnu og heimild frá auðkenningarþjóninum með því að skiptast á RADIUS skilaboðum yfir UDP/IP. Tækið sem biður um er hugsanlega ekki með IP-tengingu við auðkenningarþjóninn. Í slíkum tilfellum leyfir Cisco TrustSec auðkenningaraðilanum að virka sem RADIUS gengi fyrir biðjandann.
Beiðandi sendir sérstök EAPOL skilaboð til auðkenningaraðilans sem inniheldur IP tölu RADIUS netþjónsins og UDP tengi og alla RADIUS beiðnina. Auðkenningarmaðurinn dregur út RADIUS beiðnina úr mótteknum EAPOL skilaboðum og sendir þau yfir UDP/IP til auðkenningarþjónsins. Þegar RADIUS svarið kemur til baka frá auðkenningarþjóninum, sendir auðkenningarmaðurinn skilaboðin aftur til biðjanda, hjúpuð í EAPOL ramma.
Tengill öryggi
Þegar báðar hliðar hlekks styðja 802.1AE Media Access Control Security (MACsec), er samið um öryggissamskiptareglur (SAP). EAPOL-lyklaskipti eiga sér stað á milli biðjanda og auðkenningaraðila til að semja um dulmálssvítu, skiptast á öryggisbreytum og stjórna lyklum. Árangursríkt að ljúka öllum þremur verkefnum leiðir til stofnunar öryggisfélags (SA).
Það fer eftir hugbúnaðarútgáfu þinni, dulritunarleyfi og stuðningi við tengibúnað, SAP samningaviðræður geta notað einn af eftirfarandi aðgerðum:
- Galois/Counter Mode (GCM)—Tilgreinir auðkenningu og dulkóðun
- GCM auðkenning (GMAC)—Tilgreinir auðkenningu og engin dulkóðun
- Engin hjúpun—Tilgreinir enga hjúpun (skýr texti)
- Núll—Tilgreinir hjúpun, engin auðkenning og engin dulkóðun
Allar stillingar nema No Encapsulation þurfa Cisco TrustSec-hæfan vélbúnað.
Stillir SAP-PMK fyrir Link Security
SXP fyrir SGT útbreiðslu yfir eldri aðgangsnet
TagGing pakkar með SGT þurfa stuðning við vélbúnað. Þú gætir verið með tæki á netinu þínu sem, þó að þau geti tekið þátt í Cisco TrustSec auðkenningu, skortir vélbúnaðargetu til að tag pakkar með
TagGing pakkar með SGT þurfa stuðning við vélbúnað. Þú gætir verið með tæki á netinu þínu sem, þó að þau geti tekið þátt í Cisco TrustSec auðkenningu, skortir vélbúnaðargetu til að tag pakkar með
SGTs. Með því að nota SGT Exchange Protocol (SXP), geta þessi tæki sent IP-tölu-til-SGT kortlagningu til Cisco TrustSec jafningjatækis sem hefur Cisco TrustSec-hæfan vélbúnað.
SXP starfar venjulega á milli inngönguaðgangslagstækja við Cisco TrustSec lénsbrún og dreifingarlagstækja innan Cisco TrustSec lénsins. Aðgangslagstækið framkvæmir Cisco TrustSec auðkenningu á ytri upprunatækjum til að ákvarða viðeigandi SGT fyrir inngöngupakka. Aðgangslagstækið lærir IP-tölur upprunatækjanna með því að nota IP-tækjarakningu og (valfrjálst) DHCP-snooping, notar síðan SXP til að senda IP-tölur upprunatækjanna ásamt SGT-tækjum þeirra til dreifingartækjanna.
Dreifingartæki með Cisco TrustSec-hæfan vélbúnað geta notað þessar IP-til-SGT kortlagningarupplýsingar til tag pakka á viðeigandi hátt og til að framfylgja SGACL stefnum.
Mynd 6: SXP bókun til að breiða út SGT upplýsingar
Þú verður að stilla SXP tengingu handvirkt á milli jafningja án Cisco TrustSec vélbúnaðarstuðnings og jafningja með Cisco TrustSec vélbúnaðarstuðnings. Eftirfarandi verkefni eru nauðsynleg þegar SXP tengingin er stillt:
- Ef þú þarfnast SXP gagnaheilleika og auðkenningar verður þú að stilla sama SXP lykilorð á báðum jafningjatækjum. Þú getur stillt SXP lykilorðið annað hvort sérstaklega fyrir hverja jafningjatengingu eða á heimsvísu fyrir tækið. Þótt SXP lykilorð sé ekki krafist mælum við með því að það sé notað.
- Þú verður að stilla hvern jafningja á SXP tengingunni sem annað hvort SXP hátalara eða SXP hlustanda. Hátalarartækið dreifir IP-til-SGT kortlagningarupplýsingunum til hlustunartækisins.
- Þú getur tilgreint uppruna-IP-tölu til að nota fyrir hvert jafningjasamband eða þú getur stillt sjálfgefið uppruna-IP-tölu fyrir jafningjatengingar þar sem þú hefur ekki stillt ákveðna uppruna-IP-tölu. Ef þú tilgreinir enga uppruna IP tölu mun tækið nota viðmóts IP tölu tengingarinnar við jafningjann.
SXP leyfir mörg hopp. Það er, ef jafningi tækis sem skortir Cisco TrustSec vélbúnaðarstuðning skortir einnig Cisco TrustSec vélbúnaðarstuðning, getur annar jafningi haft SXP tengingu við þriðja jafningja, haldið áfram útbreiðslu IP-til-SGT kortlagningarupplýsinganna þar til vélbúnaðar- hæfur jafningi er náð. Hægt er að stilla tæki sem SXP hlustanda fyrir eina SXP tengingu sem SXP hátalara fyrir aðra SXP tengingu.
Cisco TrustSec tæki viðheldur tengingu við SXP jafningja sína með því að nota TCP Keepalive vélbúnaðinn.
Til að koma á eða endurheimta jafningjatengingu mun tækið ítrekað reyna að setja upp tengingu með því að stilla aftur tímabil þar til tengingin tekst eða þar til tengingin er fjarlægð úr stillingunum.
Til að koma á eða endurheimta jafningjatengingu mun tækið ítrekað reyna að setja upp tengingu með því að stilla aftur tímabil þar til tengingin tekst eða þar til tengingin er fjarlægð úr stillingunum.
Lag 3 SGT Flutningur sem spannar svæði sem ekki eru TrustSec
Þegar pakki yfirgefur Cisco TrustSec lénið til áfangastaðar sem ekki er TrustSec, fjarlægir útgöngu Cisco TrustSec hausinn og SGT Cisco TrustSec hausinn og SGT áður en hann sendir pakkann áfram á netið utan. Ef pakkinn er hins vegar aðeins að fara yfir lén sem ekki er TrustSec á leiðinni til annars Cisco TrustSec léns, eins og sýnt er á eftirfarandi mynd, er hægt að varðveita SGT með því að nota Cisco TrustSec Layer 3 SGT Transport eiginleikann. Í þessum eiginleika, egress Cisco TrustSec tækið umlykur pakkann með ESP haus sem inniheldur afrit af SGT. Þegar hjúpaði pakkinn kemur á næsta Cisco TrustSec lén fjarlægir inngöngu Cisco TrustSec tækið ESP hjúpið og dreifir pakkanum með SGT þess.
Mynd 7: Nær yfir lén sem ekki er TrustSec
Til að styðja Cisco TrustSec Layer 3 SGT Transport, verður hvert tæki sem virkar sem Cisco TrustSec inn- eða útgöngu Layer 3 gátt að viðhalda umferðarstefnugagnagrunni sem skráir upp gjaldgeng undirnet í fjarlægum Cisco TrustSec lénum sem og öll útilokuð undirnet innan þessara svæða. Þú getur stillt þennan gagnagrunn handvirkt á hverju tæki ef ekki er hægt að hlaða þeim niður sjálfkrafa frá Cisco Secure ACS.
Tæki getur sent Layer 3 SGT Transport gögn frá einni höfn og tekið á móti Layer 3 SGT Transport gögnum á annarri höfn, en bæði inn- og útgangsportar verða að hafa Cisco TrustSec-hæfan vélbúnað.
Cisco TrustSec dulkóðar ekki Layer 3 SGT Transport hjúpuðu pakkana. Til að vernda pakkana sem fara yfir lénið sem ekki er TrustSec geturðu stillt aðrar verndaraðferðir, svo sem IPsec.VRF-Aware SXP
SXP útfærslan á Virtual Routing and Forwarding (VRF) bindur SXP tengingu við ákveðna VRF. Gert er ráð fyrir að staðfræði netkerfisins sé rétt stillt fyrir Layer 2 eða Layer 3 VPN, með öll VRFs stillt áður en Cisco TrustSec er virkjað.
SXP VRF stuðning má draga saman sem hér segir:
- Aðeins er hægt að tengja eina SXP tengingu við einn VRF.
- Mismunandi VRF geta haft SXP jafningja- eða uppruna IP tölur sem skarast.
- IP–SGT kortlagning sem lærð er (bætt við eða eytt) í einu VRF er aðeins hægt að uppfæra á sama VRF léni.
SXP tengingin getur ekki uppfært kortlagningu sem er bundin við annað VRF. Ef engin SXP tenging hættir fyrir VRF, verða IP–SGT kortanir fyrir þann VRF ekki uppfærðar af SXP. - Margar heimilisfangafjölskyldur á hverja VRF eru studdar. Þess vegna getur ein SXP tenging í VRF léni framsent bæði IPV4 og IPV6 IP-SGT kortlagningu.
- SXP hefur engar takmarkanir á fjölda tenginga og fjölda IP–SGT korta á hverja VRF.
Layer 2 VRF-Aware SXP og VRF Assignment
VRF til Layer 2 VLAN úthlutanir eru tilgreindar með cts hlutverkabyggðri l2-vrf vrf-name vlan-list alþjóðlegri stillingarskipun. VLAN er talið Layer 2 VLAN svo framarlega sem það er ekkert skipta sýndarviðmót (SVI) með IP tölu stillt á VLAN. VLAN verður Layer 3 VLAN þegar IP vistfang er stillt á SVI þess.
VRF úthlutunin sem stillt er upp með cts hlutverkatengdri l2-vrf skipuninni eru virk svo lengi sem VLAN er Layer 2 VLAN. IP–SGT bindingunum sem lærðar eru á meðan VRF verkefni er virkt er einnig bætt við töfluna Forwarding Information Base (FIB) sem tengist VRF og IP samskiptaútgáfunni. Ef SVI verður virkt fyrir VLAN verður VRF til VLAN úthlutunin óvirk og allar bindingar sem lærðar eru á VLAN eru færðar í FIB töfluna sem tengist VRF SVI.
VRF til VLAN úthlutun er geymd jafnvel þegar úthlutunin verður óvirk. Það er virkjað aftur þegar SVI er fjarlægt eða þegar SVI IP vistfangið er afstillt. Þegar þær eru virkjaðar aftur eru IP–SGT bindingarnar færðar aftur úr FIB töflunni sem tengist VRF SVI yfir í FIB töfluna sem tengist VRF sem úthlutað er af cts hlutverkabyggðri l2-vrf skipuninni.
Eiginleikasaga fyrir Cisco TrustSec yfirview
Þessi tafla veitir útgáfu og tengdar upplýsingar fyrir þá eiginleika sem útskýrðir eru í þessari einingu.
Þessir eiginleikar eru fáanlegir í öllum útgáfum á eftir þeirri sem þeir voru kynntir í, nema annað sé tekið fram.
Þessir eiginleikar eru fáanlegir í öllum útgáfum á eftir þeirri sem þeir voru kynntir í, nema annað sé tekið fram.
Notaðu Cisco Feature Navigator til að finna upplýsingar um stuðning við vettvang og hugbúnað. Til að fá aðgang
Cisco Feature Navigator, farðu á http://www.cisco.com/go/cfn.
Cisco Feature Navigator, farðu á http://www.cisco.com/go/cfn.
Skjöl / auðlindir
 |
CISCO Trustsec byggir upp öruggt net [pdfNotendahandbók Trustsec byggir upp öruggt net, Trustsec, byggir upp öruggt net, öruggt net, net |