CISCO Trustsec បង្កើតសុវត្ថិភាព មគ្គុទ្ទេសក៍អ្នកប្រើប្រាស់បណ្តាញ
Cisco TrustSec បង្កើតបណ្តាញសុវត្ថិភាពដោយបង្កើតដែននៃឧបករណ៍បណ្តាញដែលអាចទុកចិត្តបាន។ ឧបករណ៍នីមួយៗនៅក្នុងដែនត្រូវបានផ្ទៀងផ្ទាត់ដោយមិត្តភក្ដិរបស់វា។ ការប្រាស្រ័យទាក់ទងនៅលើតំណភ្ជាប់រវាងឧបករណ៍នៅក្នុងដែនត្រូវបានធានាដោយការរួមបញ្ចូលគ្នានៃការអ៊ិនគ្រីប ការត្រួតពិនិត្យភាពត្រឹមត្រូវនៃសារ និងយន្តការការពារការចាក់ឡើងវិញនៃផ្លូវទិន្នន័យ។ការរឹតបន្តឹងសម្រាប់ Cisco TrustSec
- ការផ្តល់ព័ត៌មានបញ្ជាក់ការចូលប្រើដែលត្រូវបានការពារ (PAC) បរាជ័យ ហើយនៅតែស្ថិតក្នុងស្ថានភាពព្យួរ នៅពេលដែលលេខសម្គាល់ឧបករណ៍មិនត្រឹមត្រូវត្រូវបានបញ្ជាក់។ ទោះបីជាបន្ទាប់ពីសម្អាត PAC និងកំណត់រចនាសម្ព័ន្ធលេខសម្គាល់ឧបករណ៍ត្រឹមត្រូវ និងពាក្យសម្ងាត់ក៏ដោយ PAC នៅតែបរាជ័យ។
ជាដំណោះស្រាយមួយ នៅក្នុង Cisco Identity Services Engine (ISE) សូមដោះធីក Suppress Anomalous Clients
ជម្រើសនៅក្នុងរដ្ឋបាល> ប្រព័ន្ធ> ការកំណត់> ពិធីការ> ម៉ឺនុយកាំសម្រាប់ PAC ដំណើរការ។ - Cisco TrustSec មិនត្រូវបានគាំទ្រនៅក្នុងរបៀប FIPS ទេ។
- ការរឹតបន្តឹងខាងក្រោមអាចអនុវត្តបានតែចំពោះម៉ូដែល C9500X-28C8D នៃ Cisco Catalyst 9500 Series Switches៖
• ការកំណត់រចនាសម្ព័ន្ធដោយដៃ Cisco TrustSec មិនត្រូវបានគាំទ្រទេ។
• មុខងារ Cisco TrustSec Security Association Protocol (SAP) មិនត្រូវបានគាំទ្រទេ។
• Cisco TrustSec metadata header encapsulation មិនត្រូវបានគាំទ្រទេ។
ព័ត៌មានអំពីស្ថាបត្យកម្ម Cisco TrustSec
ស្ថាបត្យកម្មសុវត្ថិភាព Cisco TrustSec បង្កើតបណ្តាញសុវត្ថិភាពដោយបង្កើតដែននៃឧបករណ៍បណ្តាញដែលអាចទុកចិត្តបាន។ ឧបករណ៍នីមួយៗនៅក្នុងដែនត្រូវបានផ្ទៀងផ្ទាត់ដោយមិត្តភក្ដិរបស់វា។ ការប្រាស្រ័យទាក់ទងនៅលើតំណភ្ជាប់រវាងឧបករណ៍នៅក្នុងដែនត្រូវបានធានាដោយការរួមបញ្ចូលគ្នានៃការអ៊ិនគ្រីប ការត្រួតពិនិត្យភាពត្រឹមត្រូវនៃសារ និងយន្តការការពារការចាក់ឡើងវិញនៃផ្លូវទិន្នន័យ។ Cisco TrustSec ប្រើប្រាស់ឧបករណ៍ និងព័ត៌មានសម្គាល់អ្នកប្រើប្រាស់ដែលទទួលបានក្នុងអំឡុងពេលផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវសម្រាប់ចាត់ថ្នាក់កញ្ចប់ព័ត៌មានដោយក្រុមសុវត្ថិភាព (SGs) នៅពេលពួកគេចូលទៅក្នុងបណ្តាញ។ ការចាត់ថ្នាក់កញ្ចប់ព័ត៌មាននេះត្រូវបានរក្សាទុកដោយ tagging packets នៅលើ ingress ទៅកាន់បណ្តាញ Cisco TrustSec ដូច្នេះពួកគេអាចត្រូវបានកំណត់អត្តសញ្ញាណយ៉ាងត្រឹមត្រូវសម្រាប់គោលបំណងនៃការអនុវត្តសុវត្ថិភាព និងលក្ខណៈវិនិច្ឆ័យគោលនយោបាយផ្សេងទៀតតាមបណ្តោយផ្លូវទិន្នន័យ។ នេះ។ tagដែលហៅថាក្រុមសន្តិសុខ tag (SGT) អនុញ្ញាតឱ្យបណ្តាញអនុវត្តគោលការណ៍គ្រប់គ្រងការចូលដំណើរការដោយបើកឱ្យឧបករណ៍ចំណុចបញ្ចប់ធ្វើសកម្មភាពលើ SGT ដើម្បីត្រងចរាចរ។
តំណភ្ជាប់ Cisco TrustSec IEEE 802.1X មិនត្រូវបានគាំទ្រនៅលើវេទិកាដែលគាំទ្រនៅក្នុង Cisco IOS XE Denali(16.1.x ដល់ 16.3.x), Cisco IOS XE Everest (16.4.x ដល់ 16.6.x) និង Cisco IOS XE Fuji (16.7.x ដល់ 16.9.x) ចេញហើយ ដូច្នេះមានតែ Authenticator ប៉ុណ្ណោះដែលត្រូវបានគាំទ្រ។ អ្នកស្នើសុំមិនត្រូវបានគាំទ្រទេ។
ស្ថាបត្យកម្ម Cisco TrustSec រួមបញ្ចូលនូវសមាសធាតុសំខាន់ៗចំនួនបី៖
- ហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញដែលបានផ្ទៀងផ្ទាត់ - បន្ទាប់ពីឧបករណ៍ទីមួយ (ហៅថាឧបករណ៍គ្រាប់ពូជ) ផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវជាមួយម៉ាស៊ីនមេផ្ទៀងផ្ទាត់ដើម្បីចាប់ផ្តើមដែន Cisco TrustSec ឧបករណ៍ថ្មីនីមួយៗដែលបានបន្ថែមទៅដែនត្រូវបានផ្ទៀងផ្ទាត់ដោយឧបករណ៍ដូចគ្នារបស់វានៅក្នុងដែនរួចហើយ។ មិត្តភ័ក្តិដើរតួនាទីជាអន្តរការីសម្រាប់ម៉ាស៊ីនមេផ្ទៀងផ្ទាត់ដែន។ ឧបករណ៍ដែលបានផ្ទៀងផ្ទាត់ថ្មីនីមួយៗត្រូវបានចាត់ថ្នាក់ដោយម៉ាស៊ីនមេការផ្ទៀងផ្ទាត់ ហើយបានកំណត់លេខក្រុមសុវត្ថិភាពដោយផ្អែកលើអត្តសញ្ញាណ តួនាទី និងឥរិយាបថសុវត្ថិភាពរបស់វា។
- ការគ្រប់គ្រងការចូលប្រើប្រាស់ដោយផ្អែកលើក្រុមសុវត្ថិភាព—គោលការណ៍ចូលប្រើនៅក្នុងដែន Cisco TrustSec គឺឯករាជ្យលើផ្នែក topology ដោយផ្អែកលើតួនាទី (ដូចដែលបានបង្ហាញដោយលេខក្រុមសុវត្ថិភាព) នៃឧបករណ៍ប្រភព និងទិសដៅ ជាជាងនៅលើអាសយដ្ឋានបណ្តាញ។ កញ្ចប់បុគ្គលគឺ tagged ជាមួយលេខក្រុមសុវត្ថិភាពនៃប្រភព។
- ការទំនាក់ទំនងប្រកបដោយសុវត្ថិភាព—ជាមួយនឹងផ្នែករឹងដែលមានសមត្ថភាពអ៊ិនគ្រីប ការទំនាក់ទំនងនៅលើតំណភ្ជាប់នីមួយៗរវាងឧបករណ៍នៅក្នុងដែនអាចត្រូវបានធានាដោយការរួមបញ្ចូលគ្នានៃការអ៊ិនគ្រីប ការត្រួតពិនិត្យភាពត្រឹមត្រូវនៃសារ និងយន្តការការពារការចាក់សារឡើងវិញនៃទិន្នន័យ។
តួលេខខាងក្រោមបង្ហាញពីអតីតample នៃដែន Cisco TrustSec ។ នៅក្នុងនេះ អតីតampដូច្នេះ ឧបករណ៍បណ្តាញជាច្រើន និងឧបករណ៍ចុងមួយស្ថិតនៅក្នុងដែន Cisco TrustSec ។ ឧបករណ៍បញ្ចប់មួយ និងឧបករណ៍បណ្តាញមួយគឺនៅក្រៅដែន ដោយសារតែពួកគេមិនមែនជាឧបករណ៍ដែលមានសមត្ថភាព Cisco TrustSec ឬដោយសារតែពួកគេត្រូវបានបដិសេធមិនចូលប្រើប្រាស់។ ម៉ាស៊ីនមេការផ្ទៀងផ្ទាត់ត្រូវបានចាត់ទុកថានៅក្រៅដែន Cisco TrustSec ។ វាជា Cisco Identities Service Engine (Cisco ISE) ឬ Cisco Secure Access Control System (Cisco ACS)។
រូបភាពទី 1៖ Cisco TrustSec Network Domain Example
អ្នកចូលរួមម្នាក់ៗនៅក្នុងដំណើរការផ្ទៀងផ្ទាត់ Cisco TrustSec ធ្វើសកម្មភាពក្នុងតួនាទីមួយដូចខាងក្រោម៖
- Supplicant—ជាឧបករណ៍ដែលមិនបានផ្ទៀងផ្ទាត់បានភ្ជាប់ទៅមិត្តភក្ដិនៅក្នុងដែន Cisco TrustSec និងព្យាយាមចូលរួមជាមួយដែន Cisco TrustSec។
- ម៉ាស៊ីនមេការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ—ម៉ាស៊ីនមេដែលផ្តល់សុពលភាពអត្តសញ្ញាណរបស់អ្នកផ្គត់ផ្គង់ និងចេញគោលការណ៍ដែលកំណត់ការចូលប្រើប្រាស់សេវាកម្មរបស់អ្នកផ្គត់ផ្គង់នៅក្នុងដែន Cisco TrustSec ។
- Authenticator—ឧបករណ៍ដែលបានផ្ទៀងផ្ទាត់ដែលជាផ្នែកមួយនៃដែន Cisco TrustSec រួចហើយ ហើយអាចផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវអ្នកផ្គត់ផ្គង់ពីមិត្តភ័ក្តិថ្មីក្នុងនាមម៉ាស៊ីនមេផ្ទៀងផ្ទាត់។
នៅពេលដែលតំណភ្ជាប់រវាងអ្នកស្នើសុំនិងអ្នកផ្ទៀងផ្ទាត់ដំបូងកើតឡើង លំដាប់នៃព្រឹត្តិការណ៍ខាងក្រោមជាធម្មតាកើតឡើង៖
- ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ (802.1X) - អ្នកផ្គត់ផ្គង់ត្រូវបានផ្ទៀងផ្ទាត់ដោយម៉ាស៊ីនមេផ្ទៀងផ្ទាត់ ដោយអ្នកផ្ទៀងផ្ទាត់ដើរតួជាអន្តរការី។ ការផ្ទៀងផ្ទាត់គ្នាទៅវិញទៅមកត្រូវបានអនុវត្តរវាងមិត្តភក្ដិទាំងពីរ (អ្នកស្នើសុំនិងអ្នកផ្ទៀងផ្ទាត់)។
- ការអនុញ្ញាត - ផ្អែកលើព័ត៌មានអត្តសញ្ញាណរបស់អ្នកផ្គត់ផ្គង់ ម៉ាស៊ីនមេការផ្ទៀងផ្ទាត់ផ្តល់នូវគោលការណ៍អនុញ្ញាត ដូចជាការចាត់តាំងក្រុមសុវត្ថិភាព និង ACLs ដល់មិត្តភ័ក្តិដែលបានភ្ជាប់នីមួយៗ។ ម៉ាស៊ីនមេផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវផ្តល់អត្តសញ្ញាណរបស់មិត្តភ័ក្តិគ្នាទៅវិញទៅមក ហើយអ្នកផ្សេងគ្នាបន្ទាប់មកអនុវត្តគោលការណ៍សមរម្យសម្រាប់តំណ។
- ការចរចាលើពិធីសារសមាគមសន្តិសុខ (SAP)—នៅពេលដែលភាគីទាំងពីរនៃតំណភ្ជាប់គាំទ្រការអ៊ិនគ្រីប អ្នកផ្គត់ផ្គង់ និងអ្នកផ្ទៀងផ្ទាត់ធ្វើការចរចាអំពីប៉ារ៉ាម៉ែត្រចាំបាច់ដើម្បីបង្កើតសមាគមសន្តិសុខ (SA)។
SAP មិនត្រូវបានគាំទ្រនៅលើចំណុចប្រទាក់ 100G ទេ។ យើងណែនាំអ្នកឱ្យប្រើពិធីការកិច្ចព្រមព្រៀងគន្លឹះ MACsec(MKA) ជាមួយនឹងលេខកញ្ចប់បន្ថែម (XPN) នៅលើចំណុចប្រទាក់ 100G ។
នៅពេលដែលជំហានទាំងបីត្រូវបានបញ្ចប់ អ្នកផ្ទៀងផ្ទាត់បានផ្លាស់ប្តូរស្ថានភាពនៃតំណភ្ជាប់ពីស្ថានភាពដែលគ្មានការអនុញ្ញាត (ទប់ស្កាត់) ទៅជារដ្ឋដែលមានការអនុញ្ញាត ហើយអ្នកស្នើសុំក្លាយជាសមាជិកនៃដែន Cisco TrustSec ។
Cisco TrustSec ប្រើ ingress tagការច្រោះ ging និង egress ដើម្បីអនុវត្តគោលការណ៍គ្រប់គ្រងការចូលប្រើក្នុងលក្ខណៈដែលអាចធ្វើមាត្រដ្ឋានបាន។ កញ្ចប់បញ្ចូលដែនគឺ tagរួមជាមួយនឹងក្រុមសន្តិសុខ tag (SGT) ដែលមានលេខក្រុមសុវត្ថិភាពដែលបានកំណត់នៃឧបករណ៍ប្រភព។ ការចាត់ថ្នាក់កញ្ចប់ព័ត៌មាននេះត្រូវបានរក្សាទុកនៅតាមបណ្តោយផ្លូវទិន្នន័យនៅក្នុងដែន Cisco TrustSec សម្រាប់គោលបំណងនៃការអនុវត្តសុវត្ថិភាព និងលក្ខណៈវិនិច្ឆ័យគោលនយោបាយផ្សេងទៀត។ ឧបករណ៍ Cisco TrustSec ចុងក្រោយនៅលើផ្លូវទិន្នន័យ ទាំង endpoint ឬ network egress point អនុវត្តគោលការណ៍គ្រប់គ្រងការចូលប្រើដោយផ្អែកលើក្រុមសុវត្ថិភាពនៃឧបករណ៍ប្រភព Cisco TrustSec និងក្រុមសុវត្ថិភាពនៃឧបករណ៍ Cisco TrustSec ចុងក្រោយ។ មិនដូចបញ្ជីត្រួតពិនិត្យការចូលប្រើបែបប្រពៃណីដែលមានមូលដ្ឋានលើអាសយដ្ឋានបណ្តាញ គោលការណ៍គ្រប់គ្រងការចូលប្រើ Cisco TrustSec គឺជាទម្រង់នៃបញ្ជីត្រួតពិនិត្យការចូលប្រើតាមតួនាទី (RBACLs) ដែលហៅថា បញ្ជីត្រួតពិនិត្យការចូលប្រើក្រុមសុវត្ថិភាព (SGACLs)។
Ingress សំដៅលើកញ្ចប់ព័ត៌មានដែលចូលទៅក្នុងឧបករណ៍ដែលមានសមត្ថភាព Cisco TrustSec ដំបូងដែលជួបប្រទះដោយកញ្ចប់ព័ត៌មាននៅលើផ្លូវរបស់វាទៅកាន់គោលដៅ ហើយ egress សំដៅលើកញ្ចប់ព័ត៌មានដែលទុកឧបករណ៍ Cisco TrustSec ចុងក្រោយនៅលើផ្លូវ។ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ
Cisco TrustSec និងការផ្ទៀងផ្ទាត់
ដោយប្រើប្រាស់ Network Device Admission Control (NDAC) Cisco TrustSec ផ្ទៀងផ្ទាត់ឧបករណ៍ មុនពេលអនុញ្ញាតឱ្យវាចូលរួមបណ្តាញ។ NDAC ប្រើប្រាស់ការផ្ទៀងផ្ទាត់ 802.1X ជាមួយនឹងពិធីការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវដែលអាចបត់បែនបានតាមរយៈផ្លូវរូងក្រោមដីដែលមានសុវត្ថិភាព (EAP-FAST) ជាវិធីសាស្ត្រ Extensible Authentication Protocol (EAP) ដើម្បីអនុវត្តការផ្ទៀងផ្ទាត់។ ការសន្ទនា EAP-FAST ផ្តល់សម្រាប់ការផ្លាស់ប្តូរវិធីសាស្ត្រ EAP ផ្សេងទៀតនៅក្នុងផ្លូវរូងក្រោមដី EAP-FAST ដោយប្រើខ្សែសង្វាក់។ អ្នកគ្រប់គ្រងអាចប្រើវិធីសាស្ត្រផ្ទៀងផ្ទាត់អ្នកប្រើប្រាស់តាមបែបប្រពៃណី ដូចជា Microsoft Challenge Handshake Authentication Protocol Version 2 (MSCHAPv2) ខណៈពេលដែលនៅតែមានសុវត្ថិភាពដែលផ្តល់ដោយផ្លូវរូងក្រោមដី EAP-FAST។ ក្នុងអំឡុងពេលនៃការផ្លាស់ប្តូរ EAP-FAST ម៉ាស៊ីនមេផ្ទៀងផ្ទាត់នឹងបង្កើត និងផ្តល់ជូនអ្នកផ្គត់ផ្គង់នូវលិខិតសម្គាល់ការចូលប្រើដែលមានការការពារតែមួយគត់ (PAC) ដែលមានកូនសោដែលបានចែករំលែក និងនិមិត្តសញ្ញាដែលបានអ៊ិនគ្រីបដែលត្រូវប្រើសម្រាប់ការទំនាក់ទំនងប្រកបដោយសុវត្ថិភាពនាពេលអនាគតជាមួយម៉ាស៊ីនមេផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ។
តួរលេខខាងក្រោមបង្ហាញពីផ្លូវរូងក្រោមដី EAP-FAST និងវិធីសាស្ត្រខាងក្នុង ដូចដែលបានប្រើនៅក្នុង Cisco TrustSec។
រូបភាពទី 2៖ ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវរបស់ Cisco TrustSec
Cisco TrustSec ធ្វើឱ្យប្រសើរឡើងដល់ EAP-FAST
ការអនុវត្ត EAP-FAST សម្រាប់ Cisco TrustSec មានការកែលម្អដូចខាងក្រោម៖
- ផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ - កំណត់អត្តសញ្ញាណរបស់អ្នកផ្ទៀងផ្ទាត់ដោយសុវត្ថិភាពដោយតម្រូវឱ្យអ្នកផ្ទៀងផ្ទាត់ប្រើ PAC របស់ខ្លួនដើម្បីទទួលបានសោដែលបានចែករំលែករវាងខ្លួនវាផ្ទាល់ និងម៉ាស៊ីនមេផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ។ លក្ខណៈពិសេសនេះក៏ការពារអ្នកពីការកំណត់រចនាសម្ព័ន្ធសោដែលបានចែករំលែក RADIUS នៅលើម៉ាស៊ីនមេផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវសម្រាប់រាល់អាសយដ្ឋាន IP ដែលអាចធ្វើទៅបានដែលអាចប្រើបានដោយអ្នកផ្ទៀងផ្ទាត់។
- ជូនដំណឹងដល់ឧបករណ៍នីមួយៗអំពីអត្តសញ្ញាណរបស់មិត្តភ័ក្តិរបស់វា—នៅចុងបញ្ចប់នៃការផ្លាស់ប្តូរការផ្ទៀងផ្ទាត់ នោះម៉ាស៊ីនមេផ្ទៀងផ្ទាត់បានកំណត់អត្តសញ្ញាណទាំងអ្នកផ្គត់ផ្គង់ និងអ្នកផ្ទៀងផ្ទាត់។ ម៉ាស៊ីនមេការផ្ទៀងផ្ទាត់បង្ហាញអត្តសញ្ញាណរបស់អ្នកផ្ទៀងផ្ទាត់ ហើយថាតើកម្មវិធីផ្ទៀងផ្ទាត់គឺ Cisco TrustSec-capable ទៅកាន់អ្នកផ្គត់ផ្គង់ដោយប្រើប៉ារ៉ាម៉ែត្រប្រភេទ-ប្រវែង-តម្លៃបន្ថែម (TLVs) នៅក្នុងការបញ្ចប់ EAP-FAST ដែលបានការពារ។ ម៉ាស៊ីនមេការផ្ទៀងផ្ទាត់ក៏បង្ហាញអត្តសញ្ញាណរបស់អ្នកផ្គត់ផ្គង់ដែរ ហើយថាតើអ្នកផ្គត់ផ្គង់នោះមាន Cisco TrustSec-capable ឬអត់ ទៅកាន់អ្នកផ្ទៀងផ្ទាត់ដោយប្រើគុណលក្ខណៈ RADIUS នៅក្នុងសារ Access-Accept ។
ដោយសារតែឧបករណ៍នីមួយៗដឹងពីអត្តសញ្ញាណរបស់មិត្តភ័ក្តិរបស់វា វាអាចផ្ញើសំណើចូលប្រើ RADIUS បន្ថែមទៅកាន់ម៉ាស៊ីនមេផ្ទៀងផ្ទាត់ ដើម្បីទទួលបានគោលការណ៍ដែលត្រូវអនុវត្តនៅលើតំណ។
ការជ្រើសរើសតួនាទី 802.1X
នៅក្នុង 802.1X អ្នកផ្ទៀងផ្ទាត់ត្រូវតែមានការតភ្ជាប់ IP ជាមួយម៉ាស៊ីនមេផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវព្រោះវាត្រូវបញ្ជូនការផ្លាស់ប្តូរការផ្ទៀងផ្ទាត់រវាងអ្នកផ្គត់ផ្គង់និងអ្នកផ្ទៀងផ្ទាត់ដោយប្រើ RADIUS លើ UDP/IP ។ នៅពេលដែលឧបករណ៍ endpoint ដូចជា PC ភ្ជាប់ទៅបណ្តាញ វាច្បាស់ណាស់ថាវាគួរតែមានមុខងារជាអ្នកផ្គត់ផ្គង់។ ទោះយ៉ាងណាក៏ដោយ នៅក្នុងករណីនៃការតភ្ជាប់ Cisco TrustSec រវាងឧបករណ៍បណ្តាញពីរ តួនាទី 802.1X នៃឧបករណ៍បណ្តាញនីមួយៗអាចនឹងមិនបង្ហាញឱ្យឃើញភ្លាមៗចំពោះឧបករណ៍បណ្តាញផ្សេងទៀតនោះទេ។
ជំនួសឱ្យការទាមទារការកំណត់រចនាសម្ព័ន្ធដោយដៃរបស់អ្នកផ្ទៀងផ្ទាត់ និងតួនាទីអ្នកផ្គត់ផ្គង់សម្រាប់កុងតាក់ពីរដែលនៅជាប់គ្នា Cisco TrustSec ដំណើរការក្បួនដោះស្រាយការជ្រើសរើសតួនាទីដើម្បីកំណត់ដោយស្វ័យប្រវត្តិនូវមុខងារប្តូរណាមួយជាអ្នកផ្ទៀងផ្ទាត់ និងមុខងារណាជាអ្នកផ្គត់ផ្គង់។ ក្បួនដោះស្រាយការជ្រើសរើសតួនាទីផ្តល់តួនាទីអ្នកផ្ទៀងផ្ទាត់ទៅកុងតាក់ដែលមានលទ្ធភាពទៅដល់ IP ទៅម៉ាស៊ីនមេ RADIUS ។ កុងតាក់ទាំងពីរចាប់ផ្តើមទាំងម៉ាស៊ីនផ្ទៀងផ្ទាត់ និងម៉ាស៊ីនរដ្ឋផ្គត់ផ្គង់។ នៅពេលដែលកុងតាក់រកឃើញថាមិត្តភ័ក្តិរបស់វាមានសិទ្ធិចូលប្រើម៉ាស៊ីនមេ RADIUS វាបិទម៉ាស៊ីនរដ្ឋផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវរបស់ខ្លួន ហើយសន្មត់តួនាទីរបស់អ្នកផ្គត់ផ្គង់។ ប្រសិនបើកុងតាក់ទាំងពីរមានសិទ្ធិចូលប្រើម៉ាស៊ីនមេ RADIUS កុងតាក់ដំបូងដើម្បីទទួលបានការឆ្លើយតបពីម៉ាស៊ីនមេ RADIUS ក្លាយជាអ្នកផ្ទៀងផ្ទាត់ ហើយកុងតាក់មួយទៀតក្លាយជាអ្នកផ្គត់ផ្គង់។
សង្ខេបការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវរបស់ Cisco TrustSec
នៅចុងបញ្ចប់នៃដំណើរការផ្ទៀងផ្ទាត់ Cisco TrustSec ម៉ាស៊ីនមេការផ្ទៀងផ្ទាត់បានអនុវត្តសកម្មភាពដូចខាងក្រោម៖
- បានផ្ទៀងផ្ទាត់អត្តសញ្ញាណរបស់អ្នកស្នើសុំនិងអ្នកផ្ទៀងផ្ទាត់។
- បានផ្ទៀងផ្ទាត់អ្នកប្រើប្រាស់ ប្រសិនបើអ្នកផ្គត់ផ្គង់គឺជាឧបករណ៍បញ្ចប់។
នៅចុងបញ្ចប់នៃដំណើរការផ្ទៀងផ្ទាត់ Cisco TrustSec ទាំងអ្នកផ្ទៀងផ្ទាត់ និងអ្នកផ្គត់ផ្គង់ដឹងដូចខាងក្រោម៖
- ខាងក្រោម៖
- លេខសម្គាល់ឧបករណ៍របស់មិត្តភក្ដិ
- ព័ត៌មានអំពីសមត្ថភាពរបស់ Cisco TrustSec របស់ដៃគូ
- គ្រាប់ចុចប្រើសម្រាប់ SAP
អត្តសញ្ញាណឧបករណ៍
Cisco TrustSec មិនប្រើអាសយដ្ឋាន IP ឬអាសយដ្ឋាន MAC ជាអត្តសញ្ញាណឧបករណ៍ទេ។ ជំនួសមកវិញ អ្នកផ្តល់ឈ្មោះ (លេខសម្គាល់ឧបករណ៍) ទៅកាន់កុងតាក់ដែលមានសមត្ថភាព Cisco TrustSec នីមួយៗ ដើម្បីកំណត់អត្តសញ្ញាណវាដោយឡែកនៅក្នុងដែន Cisco TrustSec ។ លេខសម្គាល់ឧបករណ៍នេះត្រូវបានប្រើសម្រាប់ដូចខាងក្រោម៖
- កំពុងរកមើលគោលការណ៍អនុញ្ញាត
- រកមើលពាក្យសម្ងាត់នៅក្នុងមូលដ្ឋានទិន្នន័យកំឡុងពេលផ្ទៀងផ្ទាត់
លិខិតសម្គាល់ឧបករណ៍
Cisco TrustSec គាំទ្រព័ត៌មានសម្ងាត់ផ្អែកលើពាក្យសម្ងាត់។ Cisco TrustSec ផ្ទៀងផ្ទាត់អ្នកផ្គត់ផ្គង់តាមរយៈពាក្យសម្ងាត់ និងប្រើប្រាស់ MSCHAPv2 ដើម្បីផ្តល់ការផ្ទៀងផ្ទាត់គ្នាទៅវិញទៅមក។
ម៉ាស៊ីនមេការផ្ទៀងផ្ទាត់ប្រើប្រាស់ព័ត៌មានបញ្ជាក់អត្តសញ្ញាណទាំងនេះដើម្បីផ្ទៀងផ្ទាត់ទៅវិញទៅមកអ្នកផ្គត់ផ្គង់ក្នុងអំឡុងពេលការផ្លាស់ប្តូរ EAP-FAST ដំណាក់កាលទី 0 (ការផ្តល់) ដែល PAC ត្រូវបានផ្តល់នៅក្នុងអ្នកផ្គត់ផ្គង់។ Cisco TrustSec មិនអនុវត្តការផ្លាស់ប្តូរ EAP-FAST ដំណាក់កាល 0 ម្តងទៀតទេ រហូតដល់ PAC ផុតកំណត់ ហើយអនុវត្តតែការផ្លាស់ប្តូរ EAP-FAST ដំណាក់កាលទី 1 និងដំណាក់កាលទី 2 សម្រាប់ការនាំយកតំណនាពេលអនាគត។ ការផ្លាស់ប្តូរ EAP-FAST ដំណាក់កាលទី 1 ប្រើប្រាស់ PAC ដើម្បីផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវទៅវិញទៅមកនៃម៉ាស៊ីនមេផ្ទៀងផ្ទាត់ និងអ្នកផ្គត់ផ្គង់។ Cisco TrustSec ប្រើព័ត៌មានសម្គាល់ឧបករណ៍តែក្នុងកំឡុងពេលការផ្តល់ PAC (ឬការរៀបចំឡើងវិញ) ជំហាន។
នៅពេលដែលអ្នកសុំទានចូលរួមជាលើកដំបូង Cisco TrustSec domain server authentication server authenticates the supplicant and push key shared and encrypted token to supplicant with the PAC. ម៉ាស៊ីនមេផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ និងអ្នកផ្គត់ផ្គង់ប្រើសោ និងសញ្ញាសម្ងាត់នេះសម្រាប់ការផ្ទៀងផ្ទាត់គ្នាទៅវិញទៅមកនៅក្នុងការផ្លាស់ប្តូរ EAP-FAST ដំណាក់កាល 0 នាពេលអនាគតទាំងអស់។
អត្តសញ្ញាណអ្នកប្រើប្រាស់
Cisco TrustSec មិនតម្រូវឱ្យមានប្រភេទជាក់លាក់នៃអត្តសញ្ញាណអ្នកប្រើប្រាស់សម្រាប់ឧបករណ៍បញ្ចប់នោះទេ។ អ្នកអាចជ្រើសរើសវិធីសាស្រ្តផ្ទៀងផ្ទាត់អ្នកប្រើប្រាស់ប្រភេទណាមួយ ដែលត្រូវបានគាំទ្រដោយម៉ាស៊ីនមេការផ្ទៀងផ្ទាត់ ហើយប្រើលិខិតសម្គាល់ដែលត្រូវគ្នា។ សម្រាប់អតីតampដូច្នេះ ប្រព័ន្ធគ្រប់គ្រងការចូលប្រើសុវត្ថិភាព Cisco (ACS) កំណែ 5.1 គាំទ្រ MSCHAPv2 កាតនិមិត្តសញ្ញាទូទៅ (GTC) ឬ RSA ពាក្យសម្ងាត់តែម្តង (OTP)
ការគ្រប់គ្រងការចូលប្រើផ្អែកលើក្រុមសុវត្ថិភាព
ផ្នែកនេះផ្តល់ព័ត៌មានអំពីបញ្ជីត្រួតពិនិត្យការចូលប្រើប្រាស់ផ្អែកលើក្រុមសុវត្ថិភាព (SGACLs)។
ផ្នែកនេះផ្តល់ព័ត៌មានអំពីបញ្ជីត្រួតពិនិត្យការចូលប្រើប្រាស់ផ្អែកលើក្រុមសុវត្ថិភាព (SGACLs)។
ក្រុមសន្តិសុខ និង SGTs
ក្រុមសុវត្ថិភាពគឺជាក្រុមនៃអ្នកប្រើប្រាស់ ឧបករណ៍បញ្ចប់ និងធនធានដែលចែករំលែកគោលការណ៍គ្រប់គ្រងការចូលប្រើប្រាស់។ ក្រុមសុវត្ថិភាពត្រូវបានកំណត់ដោយអ្នកគ្រប់គ្រងនៅក្នុង Cisco ISE ឬ Cisco Secure ACS ។ នៅពេលដែលអ្នកប្រើប្រាស់ និងឧបករណ៍ថ្មីត្រូវបានបន្ថែមទៅដែន Cisco TrustSec នោះម៉ាស៊ីនមេការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវកំណត់អង្គភាពថ្មីទាំងនេះទៅក្រុមសុវត្ថិភាពសមស្រប។ Cisco TrustSec ផ្តល់អោយក្រុមសន្តិសុខនីមួយៗនូវលេខក្រុមសុវត្ថិភាព 16-bit តែមួយគត់ដែលវិសាលភាពគឺសកលនៅក្នុងដែន Cisco TrustSec ។ ចំនួនក្រុមសុវត្ថិភាពនៅក្នុងឧបករណ៍ត្រូវបានកំណត់ចំពោះចំនួនអង្គភាពបណ្តាញដែលបានផ្ទៀងផ្ទាត់។ អ្នកមិនចាំបាច់កំណត់លេខក្រុមសុវត្ថិភាពដោយដៃទេ។
ក្រុមសុវត្ថិភាពគឺជាក្រុមនៃអ្នកប្រើប្រាស់ ឧបករណ៍បញ្ចប់ និងធនធានដែលចែករំលែកគោលការណ៍គ្រប់គ្រងការចូលប្រើប្រាស់។ ក្រុមសុវត្ថិភាពត្រូវបានកំណត់ដោយអ្នកគ្រប់គ្រងនៅក្នុង Cisco ISE ឬ Cisco Secure ACS ។ នៅពេលដែលអ្នកប្រើប្រាស់ និងឧបករណ៍ថ្មីត្រូវបានបន្ថែមទៅដែន Cisco TrustSec នោះម៉ាស៊ីនមេការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវកំណត់អង្គភាពថ្មីទាំងនេះទៅក្រុមសុវត្ថិភាពសមស្រប។ Cisco TrustSec ផ្តល់អោយក្រុមសន្តិសុខនីមួយៗនូវលេខក្រុមសុវត្ថិភាព 16-bit តែមួយគត់ដែលវិសាលភាពគឺសកលនៅក្នុងដែន Cisco TrustSec ។ ចំនួនក្រុមសុវត្ថិភាពនៅក្នុងឧបករណ៍ត្រូវបានកំណត់ចំពោះចំនួនអង្គភាពបណ្តាញដែលបានផ្ទៀងផ្ទាត់។ អ្នកមិនចាំបាច់កំណត់លេខក្រុមសុវត្ថិភាពដោយដៃទេ។
នៅពេលដែលឧបករណ៍មួយត្រូវបានផ្ទៀងផ្ទាត់ Cisco TrustSec tags កញ្ចប់ព័ត៌មានណាមួយដែលមានប្រភពមកពីឧបករណ៍នោះជាមួយក្រុមសុវត្ថិភាព tag (SGT) ដែលមានលេខក្រុមសុវត្ថិភាពរបស់ឧបករណ៍។ កញ្ចប់ព័ត៌មានផ្ទុក SGT នេះពេញបណ្តាញនៅក្នុងបឋមកថា Cisco TrustSec ។ SGT គឺជាស្លាកតែមួយដែលកំណត់សិទ្ធិនៃប្រភពនៅក្នុងសហគ្រាសទាំងមូល។
ដោយសារតែ SGT មានក្រុមសុវត្ថិភាពនៃប្រភព tag អាចត្រូវបានគេហៅថាប្រភព SGT ។ ឧបករណ៍គោលដៅក៏ត្រូវបានចាត់ឱ្យទៅក្រុមសុវត្ថិភាព (គោលដៅ SG) ដែលអាចត្រូវបានគេសំដៅទៅសម្រាប់ភាពសាមញ្ញជាក្រុមគោលដៅ។ tag (DGT) ទោះបីជាកញ្ចប់ព័ត៌មាន Cisco TrustSec ពិតប្រាកដក៏ដោយ។ tag មិនមានលេខក្រុមសុវត្ថិភាពនៃឧបករណ៍គោលដៅទេ។
ក្រុមសន្តិសុខ ACL គាំទ្រ
បញ្ជីត្រួតពិនិត្យការចូលប្រើក្រុមសុវត្ថិភាព (SGACLs) គឺជាការអនុវត្តគោលការណ៍ដែលអ្នកគ្រប់គ្រងអាចគ្រប់គ្រងប្រតិបត្តិការដែលធ្វើឡើងដោយអ្នកប្រើប្រាស់ ដោយផ្អែកលើការចាត់តាំងក្រុមសុវត្ថិភាព និងធនធានគោលដៅ។ ការអនុវត្តគោលនយោបាយនៅក្នុងដែន Cisco Trustsec ត្រូវបានតំណាងដោយម៉ាទ្រីសអនុញ្ញាត ដោយមានលេខក្រុមសុវត្ថិភាពប្រភពនៅលើអ័ក្សមួយ និងលេខក្រុមសុវត្ថិភាពគោលដៅនៅលើអ័ក្សផ្សេងទៀត។ ក្រឡានីមួយៗក្នុងម៉ាទ្រីសមានបញ្ជីលំដាប់នៃ SGACLs ដែលបញ្ជាក់ការអនុញ្ញាតដែលគួរត្រូវបានអនុវត្តចំពោះកញ្ចប់ព័ត៌មានដែលមានប្រភពមកពី IP ដែលជាកម្មសិទ្ធិរបស់ក្រុមសុវត្ថិភាពប្រភព និងមាន IP គោលដៅដែលជាកម្មសិទ្ធិរបស់ក្រុមសុវត្ថិភាពគោលដៅ។
បញ្ជីត្រួតពិនិត្យការចូលប្រើក្រុមសុវត្ថិភាព (SGACLs) គឺជាការអនុវត្តគោលការណ៍ដែលអ្នកគ្រប់គ្រងអាចគ្រប់គ្រងប្រតិបត្តិការដែលធ្វើឡើងដោយអ្នកប្រើប្រាស់ ដោយផ្អែកលើការចាត់តាំងក្រុមសុវត្ថិភាព និងធនធានគោលដៅ។ ការអនុវត្តគោលនយោបាយនៅក្នុងដែន Cisco Trustsec ត្រូវបានតំណាងដោយម៉ាទ្រីសអនុញ្ញាត ដោយមានលេខក្រុមសុវត្ថិភាពប្រភពនៅលើអ័ក្សមួយ និងលេខក្រុមសុវត្ថិភាពគោលដៅនៅលើអ័ក្សផ្សេងទៀត។ ក្រឡានីមួយៗក្នុងម៉ាទ្រីសមានបញ្ជីលំដាប់នៃ SGACLs ដែលបញ្ជាក់ការអនុញ្ញាតដែលគួរត្រូវបានអនុវត្តចំពោះកញ្ចប់ព័ត៌មានដែលមានប្រភពមកពី IP ដែលជាកម្មសិទ្ធិរបស់ក្រុមសុវត្ថិភាពប្រភព និងមាន IP គោលដៅដែលជាកម្មសិទ្ធិរបស់ក្រុមសុវត្ថិភាពគោលដៅ។
SGACL ផ្តល់យន្តការគ្រប់គ្រងការចូលប្រើដោយគ្មានរដ្ឋដោយផ្អែកលើសមាគមសន្តិសុខ ឬក្រុមសន្តិសុខ tag តម្លៃជំនួសឱ្យអាសយដ្ឋាន IP និងតម្រង។ មានវិធីបីយ៉ាងក្នុងការផ្តល់គោលការណ៍ SGACL៖
- ការផ្តល់គោលការណ៍ឋិតិវន្ត៖ គោលការណ៍ SGACL ត្រូវបានកំណត់ដោយអ្នកប្រើប្រាស់ដោយប្រើពាក្យបញ្ជា cts ការអនុញ្ញាតផ្អែកលើតួនាទី។
- ការផ្តល់គោលការណ៍ថាមវន្ត៖ ការកំណត់រចនាសម្ព័ន្ធនៃគោលនយោបាយ SGACL គួរតែត្រូវបានធ្វើឡើងជាចម្បងតាមរយៈមុខងារគ្រប់គ្រងគោលនយោបាយរបស់ Cisco Secure ACS ឬ Cisco Identity Services Engine ។
- ការផ្លាស់ប្តូរការអនុញ្ញាត (CoA)៖ គោលការណ៍ដែលបានធ្វើបច្ចុប្បន្នភាពត្រូវបានទាញយកនៅពេលដែលគោលការណ៍ SGACL ត្រូវបានកែប្រែនៅលើ ISE ហើយ CoA ត្រូវបានរុញទៅឧបករណ៍ Cisco TrustSec ។
យន្តហោះទិន្នន័យឧបករណ៍ទទួលបានកញ្ចប់ព័ត៌មាន CoA ពីអ្នកផ្តល់គោលការណ៍ (ISE) ហើយអនុវត្តគោលការណ៍នេះទៅកញ្ចប់ព័ត៌មាន CoA ។ បន្ទាប់មកកញ្ចប់ព័ត៌មានត្រូវបានបញ្ជូនទៅយន្តហោះគ្រប់គ្រងឧបករណ៍ ដែលកម្រិតបន្ទាប់នៃការអនុវត្តគោលនយោបាយកើតឡើងសម្រាប់កញ្ចប់ព័ត៌មាន CoA ចូល។ ទៅ view បញ្ជរគោលនយោបាយផ្នែករឹង និងសូហ្វវែរវាយលុកព័ត៌មាន ដំណើរការបង្ហាញពាក្យបញ្ជាបញ្ជរផ្អែកលើតួនាទី cts នៅក្នុងរបៀប EXEC ដែលមានសិទ្ធិ។
គោលនយោបាយ SGACL
ដោយប្រើបញ្ជីត្រួតពិនិត្យការចូលប្រើក្រុមសុវត្ថិភាព (SGACLs) អ្នកអាចគ្រប់គ្រងប្រតិបត្តិការដែលអ្នកប្រើប្រាស់អាចអនុវត្តដោយផ្អែកលើការចាត់តាំងក្រុមសុវត្ថិភាពរបស់អ្នកប្រើប្រាស់ និងធនធានគោលដៅ។ ការអនុវត្តគោលនយោបាយនៅក្នុងដែន Cisco TrustSec ត្រូវបានតំណាងដោយម៉ាទ្រីសអនុញ្ញាត ដោយមានលេខក្រុមសុវត្ថិភាពប្រភពនៅលើអ័ក្សមួយ និងលេខក្រុមសុវត្ថិភាពគោលដៅនៅលើអ័ក្សផ្សេងទៀត។ ក្រឡានីមួយៗនៅក្នុងតួនៃម៉ាទ្រីសអាចមានបញ្ជីលំដាប់នៃ SGACLs ដែលបញ្ជាក់ការអនុញ្ញាតដែលគួរត្រូវបានអនុវត្តចំពោះកញ្ចប់ព័ត៌មានដែលមានប្រភពមកពីក្រុមសុវត្ថិភាពប្រភព និងកំណត់សម្រាប់ក្រុមសុវត្ថិភាពគោលដៅ។
តួលេខខាងក្រោមបង្ហាញពីអតីតample នៃម៉ាទ្រីសអនុញ្ញាត Cisco TrustSec សម្រាប់ដែនសាមញ្ញមួយដែលមានតួនាទីអ្នកប្រើប្រាស់ដែលបានកំណត់ចំនួនបី និងធនធានគោលដៅដែលបានកំណត់មួយ។ គោលការណ៍បី SGACL គ្រប់គ្រងការចូលទៅកាន់ម៉ាស៊ីនមេគោលដៅដោយផ្អែកលើតួនាទីរបស់អ្នកប្រើ។
រូបភាពទី 3៖ SGACL Policy Matrix Example
តាមរយៈការចាត់តាំងអ្នកប្រើប្រាស់ និងឧបករណ៍នៅក្នុងបណ្តាញទៅក្រុមសុវត្ថិភាព និងអនុវត្តការគ្រប់គ្រងការចូលប្រើរវាងក្រុមសុវត្ថិភាព Cisco TrustSec សម្រេចបាននូវការគ្រប់គ្រងការចូលប្រើដោយឯករាជ្យតាមតូប៉ូឡូញ-ផ្អែកលើតួនាទីនៅក្នុងបណ្តាញ។ ដោយសារតែ SGACLs កំណត់គោលការណ៍គ្រប់គ្រងការចូលប្រើដោយផ្អែកលើអត្តសញ្ញាណឧបករណ៍ជំនួសឱ្យអាសយដ្ឋាន IP ដូចនៅក្នុង ACLs ប្រពៃណី ឧបករណ៍បណ្តាញមានសេរីភាពក្នុងការផ្លាស់ទីពេញបណ្តាញ និងផ្លាស់ប្តូរអាសយដ្ឋាន IP ។
ដរាបណាតួនាទី និងការអនុញ្ញាតនៅតែដដែល ការផ្លាស់ប្តូរទៅបណ្តាញ topology មិនផ្លាស់ប្តូរគោលការណ៍សុវត្ថិភាពទេ។ នៅពេលដែលអ្នកប្រើប្រាស់ត្រូវបានបន្ថែមទៅឧបករណ៍ អ្នកគ្រាន់តែកំណត់អ្នកប្រើប្រាស់ទៅក្រុមសុវត្ថិភាពសមស្រប ហើយអ្នកប្រើប្រាស់នឹងទទួលបានការអនុញ្ញាតពីក្រុមនោះភ្លាមៗ។
ដរាបណាតួនាទី និងការអនុញ្ញាតនៅតែដដែល ការផ្លាស់ប្តូរទៅបណ្តាញ topology មិនផ្លាស់ប្តូរគោលការណ៍សុវត្ថិភាពទេ។ នៅពេលដែលអ្នកប្រើប្រាស់ត្រូវបានបន្ថែមទៅឧបករណ៍ អ្នកគ្រាន់តែកំណត់អ្នកប្រើប្រាស់ទៅក្រុមសុវត្ថិភាពសមស្រប ហើយអ្នកប្រើប្រាស់នឹងទទួលបានការអនុញ្ញាតពីក្រុមនោះភ្លាមៗ។
គោលការណ៍ SGACL ត្រូវបានអនុវត្តចំពោះចរាចរណ៍ដែលត្រូវបានបង្កើតរវាងឧបករណ៍ម៉ាស៊ីនពីរ មិនមែនចំពោះចរាចរណ៍ដែលត្រូវបានបង្កើតពីឧបករណ៍មួយទៅឧបករណ៍ម៉ាស៊ីនបញ្ចប់នោះទេ។ការប្រើប្រាស់ការអនុញ្ញាតផ្អែកលើតួនាទីកាត់បន្ថយទំហំនៃ ACLs យ៉ាងខ្លាំង និងសម្រួលដល់ការថែទាំរបស់ពួកគេ។ ជាមួយនឹង Cisco TrustSec ចំនួននៃធាតុគ្រប់គ្រងការចូលដំណើរការ (ACEs) ដែលកំណត់រចនាសម្ព័ន្ធត្រូវបានកំណត់ដោយចំនួនការអនុញ្ញាតដែលបានបញ្ជាក់ ដែលបណ្តាលឱ្យមានចំនួន ACEs តិចជាងនៅក្នុងបណ្តាញ IP ប្រពៃណី។ ការប្រើប្រាស់ SGACLs នៅក្នុង Cisco TrustSec ជាធម្មតានាំឱ្យការប្រើប្រាស់ធនធាន TCAM កាន់តែមានប្រសិទ្ធភាពបើធៀបនឹង ACLs ប្រពៃណី។ គោលនយោបាយ SGACL អតិបរមា 17,500 ត្រូវបានគាំទ្រនៅលើ Catalyst 9500 Series Switches ។ នៅលើកុងតាក់ស៊េរីដំណើរការខ្ពស់ Catalyst 9500 គោលការណ៍អតិបរមា 28,224 SGACL ត្រូវបានគាំទ្រ។
ចូល Tagការអនុវត្ត ging និង Egress
ការគ្រប់គ្រងការចូលប្រើ Cisco TrustSec ត្រូវបានអនុវត្តដោយប្រើ ingress tagការអនុវត្ត ging និង egress ។ នៅចំណុចបញ្ចូលទៅកាន់ដែន Cisco TrustSec ចរាចរណ៍ពីប្រភពគឺ tagged ជាមួយ SGT ដែលមានលេខក្រុមសុវត្ថិភាពនៃអង្គភាពប្រភព។ SGT ត្រូវបានផ្សព្វផ្សាយជាមួយនឹងចរាចរណ៍ឆ្លងកាត់ដែន។ នៅចំណុចចេញចូលនៃដែន Cisco TrustSec ឧបករណ៍ egress ប្រើប្រភព SGT និងលេខក្រុមសុវត្ថិភាពនៃអង្គភាពគោលដៅ (គោលដៅ SG ឬ DGT) ដើម្បីកំណត់គោលការណ៍ចូលប្រើដែលត្រូវអនុវត្តពីម៉ាទ្រីសគោលនយោបាយ SGACL ។
តួលេខខាងក្រោមបង្ហាញពីរបៀបដែលការចាត់តាំង SGT និងការអនុវត្ត SGACL ដំណើរការនៅក្នុងដែន Cisco TrustSec ។
រូបភាពទី 4៖ SGT និង SGACL នៅក្នុង Cisco TrustSec Domain
- ម៉ាស៊ីនកុំព្យូទ័របញ្ជូនកញ្ចប់ព័ត៌មានទៅកុំព្យូទ័រ web ម៉ាស៊ីនមេ។ ទោះបីជាកុំព្យូទ័រនិង web ម៉ាស៊ីនមេមិនមែនជាសមាជិកនៃដែន Cisco TrustSec ទេ ផ្លូវទិន្នន័យនៃកញ្ចប់ព័ត៌មានរួមមានដែន Cisco TrustSec ។
- ឧបករណ៍បញ្ចូល Cisco TrustSec កែប្រែកញ្ចប់ព័ត៌មានដើម្បីបន្ថែម SGT ជាមួយនឹងក្រុមសុវត្ថិភាពលេខ 3 ដែលជាលេខក្រុមសុវត្ថិភាពដែលផ្តល់ដោយម៉ាស៊ីនមេផ្ទៀងផ្ទាត់សម្រាប់ម៉ាស៊ីនកុំព្យូទ័រ។
- ឧបករណ៍ egress Cisco TrustSec អនុវត្តគោលការណ៍ SGACL ដែលអនុវត្តចំពោះក្រុមប្រភព 3 និងក្រុមគោលដៅ 4 ដែលជាលេខក្រុមសុវត្ថិភាពដែលបានកំណត់ដោយម៉ាស៊ីនមេផ្ទៀងផ្ទាត់សម្រាប់ web ម៉ាស៊ីនមេ។
- ប្រសិនបើ SGACL អនុញ្ញាតឱ្យកញ្ចប់ព័ត៌មានត្រូវបានបញ្ជូនបន្ត កុងតាក់ Cisco TrustSec egress កែប្រែកញ្ចប់ព័ត៌មានដើម្បីយក SGT ហើយបញ្ជូនកញ្ចប់ព័ត៌មានទៅ web ម៉ាស៊ីនមេ។
ការកំណត់ក្រុមសុវត្ថិភាពប្រភព
ឧបករណ៍បណ្តាញនៅច្រកចូលនៃដែន Cisco TrustSec ត្រូវតែកំណត់ SGT នៃកញ្ចប់ព័ត៌មានដែលចូលក្នុងដែន Cisco TrustSec ដូច្នេះវាអាច tag កញ្ចប់ព័ត៌មានជាមួយ SGT នៅពេលវាបញ្ជូនវាទៅក្នុងដែន Cisco TrustSec ។ ឧបករណ៍បណ្តាញ egress ត្រូវតែកំណត់ SGT នៃកញ្ចប់ព័ត៌មាន ដើម្បីអនុវត្ត SGACL ។
ឧបករណ៍បណ្តាញអាចកំណត់ SGT សម្រាប់កញ្ចប់ព័ត៌មានក្នុងវិធីមួយក្នុងចំណោមវិធីខាងក្រោម៖
- ទទួលបានប្រភព SGT កំឡុងពេលទទួលបានគោលការណ៍—បន្ទាប់ពីដំណាក់កាលផ្ទៀងផ្ទាត់ Cisco TrustSec ឧបករណ៍បណ្តាញមួយទទួលបានព័ត៌មានគោលនយោបាយពីម៉ាស៊ីនមេផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ ដែលបង្ហាញថាឧបករណ៍ដែលដូចគ្នានេះទុកចិត្តឬអត់។ ប្រសិនបើឧបករណ៍ដូចគ្នាមិនត្រូវបានជឿទុកចិត្ត នោះម៉ាស៊ីនមេការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវក៏អាចផ្តល់ SGT ដើម្បីអនុវត្តចំពោះកញ្ចប់ព័ត៌មានទាំងអស់ដែលមកពីឧបករណ៍ដូចគ្នានេះ។
- ទទួលបានប្រភព SGT ពីកញ្ចប់ព័ត៌មាន—ប្រសិនបើកញ្ចប់ព័ត៌មានមកពីឧបករណ៍ដែលទុកចិត្តបាន នោះកញ្ចប់ព័ត៌មាននោះផ្ទុក SGT ។ វាអនុវត្តចំពោះឧបករណ៍បណ្តាញដែលមិនមែនជាឧបករណ៍បណ្តាញដំបូងនៅក្នុងដែន Cisco TrustSec សម្រាប់កញ្ចប់ព័ត៌មាន។
- រកមើលប្រភព SGT ដោយផ្អែកលើអត្តសញ្ញាណប្រភព — ជាមួយ Identity Port Mapping (IPM) អ្នកអាចកំណត់រចនាសម្ព័ន្ធតំណភ្ជាប់ដោយដៃជាមួយនឹងអត្តសញ្ញាណរបស់មិត្តភក្ដិដែលបានតភ្ជាប់។ ឧបករណ៍បណ្តាញស្នើសុំព័ត៌មានគោលនយោបាយ រួមទាំង SGT និងស្ថានភាពទុកចិត្ត ពីម៉ាស៊ីនមេការផ្ទៀងផ្ទាត់។
- រកមើលប្រភព SGT ដោយផ្អែកលើអាសយដ្ឋាន IP ប្រភព—ក្នុងករណីខ្លះ អ្នកអាចកំណត់រចនាសម្ព័ន្ធគោលការណ៍ដោយដៃដើម្បីសម្រេច SGT នៃកញ្ចប់ព័ត៌មានដោយផ្អែកលើអាសយដ្ឋាន IP ប្រភពរបស់វា។ SGT Exchange Protocol (SXP) ក៏អាចបញ្ចូលតារាងផែនទី IP-address-to-SGT ផងដែរ។
ការកំណត់ក្រុមសុវត្ថិភាពគោលដៅ
ឧបករណ៍បណ្តាញ egress នៅក្នុងដែន Cisco TrustSec កំណត់ក្រុមគោលដៅ (DGT) សម្រាប់អនុវត្ត SGACL ។ ឧបករណ៍បណ្តាញកំណត់ក្រុមសុវត្ថិភាពគោលដៅសម្រាប់កញ្ចប់ព័ត៌មានដោយប្រើវិធីសាស្ត្រដូចគ្នាដែលប្រើសម្រាប់កំណត់ក្រុមសុវត្ថិភាពប្រភព ដោយលើកលែងតែការទទួលបានលេខក្រុមពីកញ្ចប់ព័ត៌មាន។ tag. លេខក្រុមសុវត្ថិភាពគោលដៅមិនត្រូវបានបញ្ចូលក្នុងកញ្ចប់ព័ត៌មានទេ។ tag.
ក្នុងករណីខ្លះ ឧបករណ៍ចូល ឬឧបករណ៍មិនចូលផ្សេងទៀតអាចមានព័ត៌មានក្រុមគោលដៅ។ នៅក្នុងករណីទាំងនោះ SGACLs អាចត្រូវបានអនុវត្តនៅក្នុងឧបករណ៍ទាំងនេះជាជាងឧបករណ៍ egress ។
ការអនុវត្ត SGACL លើចរាចរណ៍ដែលបានកំណត់ និងប្តូរ
ការអនុវត្ត SGACL ត្រូវបានអនុវត្តតែលើចរាចរណ៍ IP ប៉ុណ្ណោះ ប៉ុន្តែការអនុវត្តអាចត្រូវបានអនុវត្តចំពោះចរាចរណ៍ដែលបានបញ្ជូន ឬប្តូរ។
សម្រាប់ចរាចរណ៍ដែលបានបញ្ជូន ការអនុវត្ត SGACL ត្រូវបានអនុវត្តដោយកុងតាក់ egress ជាធម្មតា កុងតាក់ចែកចាយ ឬកុងតាក់ចូលប្រើដែលមានច្រកផ្លូវតភ្ជាប់ទៅម៉ាស៊ីនគោលដៅ។ នៅពេលអ្នកបើកការអនុវត្ត SGACL ជាសកល ការអនុវត្តត្រូវបានបើកដោយស្វ័យប្រវត្តិនៅលើគ្រប់ចំណុចប្រទាក់ស្រទាប់ 3 លើកលែងតែចំណុចប្រទាក់ SVI ។
ការអនុវត្ត SGACL ត្រូវបានអនុវត្តតែលើចរាចរណ៍ IP ប៉ុណ្ណោះ ប៉ុន្តែការអនុវត្តអាចត្រូវបានអនុវត្តចំពោះចរាចរណ៍ដែលបានបញ្ជូន ឬប្តូរ។
សម្រាប់ចរាចរណ៍ដែលបានបញ្ជូន ការអនុវត្ត SGACL ត្រូវបានអនុវត្តដោយកុងតាក់ egress ជាធម្មតា កុងតាក់ចែកចាយ ឬកុងតាក់ចូលប្រើដែលមានច្រកផ្លូវតភ្ជាប់ទៅម៉ាស៊ីនគោលដៅ។ នៅពេលអ្នកបើកការអនុវត្ត SGACL ជាសកល ការអនុវត្តត្រូវបានបើកដោយស្វ័យប្រវត្តិនៅលើគ្រប់ចំណុចប្រទាក់ស្រទាប់ 3 លើកលែងតែចំណុចប្រទាក់ SVI ។
សម្រាប់ចរាចរណ៍ដែលបានប្តូរ ការអនុវត្ត SGACL ត្រូវបានអនុវត្តលើចរាចរដែលហូរក្នុងដែនប្តូរតែមួយដោយគ្មានមុខងារកំណត់ផ្លូវ។ អតីតample នឹងជាការអនុវត្ត SGACL ដែលធ្វើឡើងដោយកុងតាក់ចូលដំណើរការមជ្ឈមណ្ឌលទិន្នន័យនៅលើចរាចរពីម៉ាស៊ីនមេទៅម៉ាស៊ីនមេរវាងម៉ាស៊ីនមេពីរដែលភ្ជាប់ដោយផ្ទាល់។ នៅក្នុងនេះ អតីតampដូច្នេះ ចរាចរពីម៉ាស៊ីនមេទៅម៉ាស៊ីនមេជាធម្មតានឹងត្រូវបានប្តូរ។ ការអនុវត្ត SGACL អាចត្រូវបានអនុវត្តចំពោះកញ្ចប់ព័ត៌មានដែលបានប្តូរនៅក្នុង VLAN ឬបញ្ជូនបន្តទៅ SVI ដែលភ្ជាប់ជាមួយ VLAN ប៉ុន្តែការអនុវត្តត្រូវតែត្រូវបានបើកយ៉ាងជាក់លាក់សម្រាប់ VLAN នីមួយៗ។
ការកត់ត្រា SGACL និង ACE Statistics
នៅពេលដែលការកត់ត្រាត្រូវបានបើកនៅក្នុង SGACL ឧបករណ៍កត់ត្រាព័ត៌មានខាងក្រោម៖
- ក្រុមសន្តិសុខប្រភព tag (SGT) និងទិសដៅ SGT
- ឈ្មោះគោលនយោបាយ SGACL
- ប្រភេទពិធីការកញ្ចប់ព័ត៌មាន
- សកម្មភាពត្រូវបានអនុវត្តនៅលើកញ្ចប់
ជម្រើសកំណត់ហេតុអនុវត្តចំពោះ ACEs នីមួយៗ និងបណ្តាលឱ្យកញ្ចប់ព័ត៌មានដែលត្រូវគ្នានឹង ACE ដែលត្រូវកត់ត្រា។ កញ្ចប់ទីមួយដែលបានកត់ត្រាដោយពាក្យគន្លឹះកំណត់ហេតុបង្កើតសារ syslog ។ សារកំណត់ហេតុជាបន្តបន្ទាប់ត្រូវបានបង្កើត និងរាយការណ៍នៅចន្លោះពេលប្រាំនាទី។ ប្រសិនបើ ACE ដែលបានបើកការកត់ត្រាត្រូវគ្នានឹងកញ្ចប់ព័ត៌មានផ្សេងទៀត (ដែលមានលក្ខណៈដូចគ្នាបេះបិទទៅនឹងកញ្ចប់ព័ត៌មានដែលបង្កើតសារកំណត់ហេតុ) ចំនួននៃកញ្ចប់ព័ត៌មានដែលត្រូវគ្នាត្រូវបានបង្កើន (រាប់) ហើយបន្ទាប់មករាយការណ៍។
ដើម្បីបើកការកត់ត្រា សូមប្រើពាក្យគន្លឹះកំណត់ហេតុនៅពីមុខនិយមន័យ ACE ក្នុងការកំណត់រចនាសម្ព័ន្ធ SGACL ។ សម្រាប់អតីតample, អនុញ្ញាត ip log ។
នៅពេលដែលការកត់ត្រា SGACL ត្រូវបានបើក ICMP ស្នើសុំសារពីឧបករណ៍ទៅអតិថិជនមិនត្រូវបានកត់ត្រាទេ។
ពិធីការ IPv4 និង IPv6 ។ ទោះយ៉ាងណាក៏ដោយ; សារឆ្លើយតប ICMP ពីម៉ាស៊ីនភ្ញៀវទៅឧបករណ៍ត្រូវបានកត់ត្រាទុក។
ពិធីការ IPv4 និង IPv6 ។ ទោះយ៉ាងណាក៏ដោយ; សារឆ្លើយតប ICMP ពីម៉ាស៊ីនភ្ញៀវទៅឧបករណ៍ត្រូវបានកត់ត្រាទុក។
ខាងក្រោមនេះគឺដូចample log ការបង្ហាញប្រភព និងទិសដៅ SGTs ការផ្គូផ្គង ACE (សម្រាប់ការអនុញ្ញាត ឬបដិសេធសកម្មភាព) និងពិធីការ នោះគឺ TCP, UDP, IGMP និងព័ត៌មាន ICMP៖
*ថ្ងៃទី 2 ខែមិថុនា ម៉ោង 08:58:06.489៖ %C4K_IOSINTF-6-SGACLHIT៖ បញ្ជី deny_udp_src_port_log-30 បានបដិសេធ udp 24.0.0.23(100) -> 28.0.0.91(100), SGT8 DGT
បន្ថែមពីលើស្ថិតិ 'ក្នុងមួយកោសិកា' SGACL ដែលមានស្រាប់ ដែលអាចត្រូវបានបង្ហាញដោយប្រើការបង្ហាញ cts ផ្អែកលើតួនាទី
ពាក្យបញ្ជា counters អ្នកក៏អាចបង្ហាញស្ថិតិ ACE ដោយប្រើពាក្យបញ្ជា show ip access-list sgacl_name ។ មិនចាំបាច់មានការកំណត់បន្ថែមសម្រាប់ការនេះទេ។
ខាងក្រោមនេះ example បង្ហាញពីរបៀបដែលអ្នកអាចប្រើពាក្យបញ្ជា show ip access-list ដើម្បីបង្ហាញចំនួន ACE
ពាក្យបញ្ជា counters អ្នកក៏អាចបង្ហាញស្ថិតិ ACE ដោយប្រើពាក្យបញ្ជា show ip access-list sgacl_name ។ មិនចាំបាច់មានការកំណត់បន្ថែមសម្រាប់ការនេះទេ។
ខាងក្រោមនេះ example បង្ហាញពីរបៀបដែលអ្នកអាចប្រើពាក្យបញ្ជា show ip access-list ដើម្បីបង្ហាញចំនួន ACE
ឧបករណ៍# បង្ហាញ ip access-control deny_udp_src_port_log-30
បញ្ជីការចូលប្រើ IP ផ្អែកលើតួនាទី deny_udp_src_port_log-30 (ទាញយក)
10 បដិសេធ udp src eq 100 log (283 ប្រកួត)
កំណត់ហេតុ ip អនុញ្ញាត 20 (50 ប្រកួត)
បញ្ជីការចូលប្រើ IP ផ្អែកលើតួនាទី deny_udp_src_port_log-30 (ទាញយក)
10 បដិសេធ udp src eq 100 log (283 ប្រកួត)
កំណត់ហេតុ ip អនុញ្ញាត 20 (50 ប្រកួត)
នៅពេលចរាចរចូលត្រូវគ្នានឹងក្រឡា ប៉ុន្តែមិនត្រូវគ្នានឹង SGACL នៃក្រឡា ចរាចរណ៍ត្រូវបានអនុញ្ញាត ហើយបញ្ជរត្រូវបានបង្កើននៅក្នុង HW-Permit សម្រាប់ក្រឡា។ខាងក្រោមនេះ example បង្ហាញពីរបៀបដែល SGACL នៃកោសិកាធ្វើការ៖
គោលការណ៍ SGACL ត្រូវបានកំណត់រចនាសម្ព័ន្ធពី 5 ដល់ 18 ជាមួយនឹង "បដិសេធ icmp echo" ហើយមានចរាចរចូលពី 5 ដល់ 18 ជាមួយនឹងបឋមកថា TCP ។ ប្រសិនបើក្រឡាត្រូវគ្នាពី 5 ដល់ 18 ប៉ុន្តែចរាចរណ៍មិនត្រូវគ្នាជាមួយ icmp នោះចរាចរណ៍នឹងត្រូវបានអនុញ្ញាត ហើយ HW-Permit counter នៃក្រឡា 5 ដល់ 18 នឹងត្រូវបានបង្កើន។
ការកត់ត្រា SGACL ដែលដឹង VRF
កំណត់ហេតុប្រព័ន្ធ SGACL នឹងរួមបញ្ចូលព័ត៌មាន VRF ។ បន្ថែមពីលើវាលដែលត្រូវបានកត់ត្រាបច្ចុប្បន្ន ព័ត៌មាននៃការកត់ត្រានឹងរួមបញ្ចូលឈ្មោះ VRF ។ ព័ត៌មាននៃការកត់ត្រាដែលបានធ្វើបច្ចុប្បន្នភាពនឹងមានដូចបង្ហាញខាងក្រោម៖
*ថ្ងៃទី 15 ខែវិច្ឆិកា ម៉ោង 02:18:52.187៖ %RBM-6-SGACLHIT_V6: ingress_interface='GigabitEthernet1/0/15′ sgacl_name='IPV6_TCP_DENY' action='បដិសេធ' ពិធីការ='tcp' src-vrf' -ip='25::2' src-port='20'
dest-vrf='CTS-VRF' dest-ip='49::2' dest-port='30' sgt='200′ dgt='500′ logging_interval_hits='1′
dest-vrf='CTS-VRF' dest-ip='49::2' dest-port='30' sgt='200′ dgt='500′ logging_interval_hits='1′
របៀបត្រួតពិនិត្យ SGACL
ក្នុងអំឡុងពេលនៃដំណាក់កាលដាក់ឱ្យប្រើប្រាស់មុន Cisco TrustSec អ្នកគ្រប់គ្រងនឹងប្រើរបៀបម៉ូនីទ័រ ដើម្បីសាកល្បងគោលការណ៍សុវត្ថិភាពដោយមិនបង្ខំពួកវា ដើម្បីប្រាកដថាគោលការណ៍ដំណើរការដូចបំណង។ ប្រសិនបើគោលការណ៍សុវត្ថិភាពមិនដំណើរការដូចបំណងទេ នោះរបៀបម៉ូនីទ័រផ្តល់នូវយន្តការដ៏ងាយស្រួលមួយសម្រាប់កំណត់អត្តសញ្ញាណនោះ និងផ្តល់ឱកាសដើម្បីកែតម្រូវគោលការណ៍មុនពេលបើកការអនុវត្ត SGACL ។ នេះអនុញ្ញាតឱ្យអ្នកគ្រប់គ្រងបង្កើនលទ្ធភាពមើលឃើញលទ្ធផលនៃសកម្មភាពគោលនយោបាយ មុនពេលពួកគេអនុវត្តវា ហើយបញ្ជាក់ថាគោលការណ៍ប្រធានបទត្រូវនឹងតម្រូវការសុវត្ថិភាព (ការចូលប្រើត្រូវបានបដិសេធចំពោះធនធាន ប្រសិនបើអ្នកប្រើមិនមាន
ត្រូវបានអនុញ្ញាត) ។
សមត្ថភាពត្រួតពិនិត្យត្រូវបានផ្តល់ជូននៅកម្រិតគូ SGT-DGT ។ នៅពេលអ្នកបើកមុខងាររបៀបត្រួតពិនិត្យ SGACL សកម្មភាពបដិសេធត្រូវបានអនុវត្តជាការអនុញ្ញាត ACL នៅលើកាតបន្ទាត់។ នេះអនុញ្ញាតឱ្យការរាប់ និងការកត់ត្រា SGACL បង្ហាញពីរបៀបដែលការតភ្ជាប់ត្រូវបានគ្រប់គ្រងដោយគោលការណ៍ SGACL ។ ដោយសារចរាចរណ៍ដែលបានត្រួតពិនិត្យទាំងអស់ត្រូវបានអនុញ្ញាត វាមិនមានការរអាក់រអួលនៃសេវាកម្មដោយសារតែ SGACLs ខណៈពេលដែលនៅក្នុងរបៀបម៉ូនីទ័រ SGACL ។
ក្នុងអំឡុងពេលនៃដំណាក់កាលដាក់ឱ្យប្រើប្រាស់មុន Cisco TrustSec អ្នកគ្រប់គ្រងនឹងប្រើរបៀបម៉ូនីទ័រ ដើម្បីសាកល្បងគោលការណ៍សុវត្ថិភាពដោយមិនបង្ខំពួកវា ដើម្បីប្រាកដថាគោលការណ៍ដំណើរការដូចបំណង។ ប្រសិនបើគោលការណ៍សុវត្ថិភាពមិនដំណើរការដូចបំណងទេ នោះរបៀបម៉ូនីទ័រផ្តល់នូវយន្តការដ៏ងាយស្រួលមួយសម្រាប់កំណត់អត្តសញ្ញាណនោះ និងផ្តល់ឱកាសដើម្បីកែតម្រូវគោលការណ៍មុនពេលបើកការអនុវត្ត SGACL ។ នេះអនុញ្ញាតឱ្យអ្នកគ្រប់គ្រងបង្កើនលទ្ធភាពមើលឃើញលទ្ធផលនៃសកម្មភាពគោលនយោបាយ មុនពេលពួកគេអនុវត្តវា ហើយបញ្ជាក់ថាគោលការណ៍ប្រធានបទត្រូវនឹងតម្រូវការសុវត្ថិភាព (ការចូលប្រើត្រូវបានបដិសេធចំពោះធនធាន ប្រសិនបើអ្នកប្រើមិនមាន
ត្រូវបានអនុញ្ញាត) ។
សមត្ថភាពត្រួតពិនិត្យត្រូវបានផ្តល់ជូននៅកម្រិតគូ SGT-DGT ។ នៅពេលអ្នកបើកមុខងាររបៀបត្រួតពិនិត្យ SGACL សកម្មភាពបដិសេធត្រូវបានអនុវត្តជាការអនុញ្ញាត ACL នៅលើកាតបន្ទាត់។ នេះអនុញ្ញាតឱ្យការរាប់ និងការកត់ត្រា SGACL បង្ហាញពីរបៀបដែលការតភ្ជាប់ត្រូវបានគ្រប់គ្រងដោយគោលការណ៍ SGACL ។ ដោយសារចរាចរណ៍ដែលបានត្រួតពិនិត្យទាំងអស់ត្រូវបានអនុញ្ញាត វាមិនមានការរអាក់រអួលនៃសេវាកម្មដោយសារតែ SGACLs ខណៈពេលដែលនៅក្នុងរបៀបម៉ូនីទ័រ SGACL ។
ការអនុញ្ញាត និងការទទួលបានគោលនយោបាយ
បន្ទាប់ពីបញ្ចប់ការផ្ទៀងផ្ទាត់ឧបករណ៍ ទាំងអ្នកផ្គត់ផ្គង់ និងអ្នកផ្ទៀងផ្ទាត់ទទួលបានគោលការណ៍សុវត្ថិភាពពីម៉ាស៊ីនមេផ្ទៀងផ្ទាត់។ បន្ទាប់មក មិត្តភ័ក្តិទាំងពីរអនុវត្តការអនុញ្ញាតតំណភ្ជាប់ និងអនុវត្តគោលការណ៍សុវត្ថិភាពតំណប្រឆាំងនឹងគ្នាទៅវិញទៅមកដោយផ្អែកលើលេខសម្គាល់ឧបករណ៍ Cisco TrustSec របស់ពួកគេ។ វិធីសាស្ត្រផ្ទៀងផ្ទាត់តំណភ្ជាប់អាចត្រូវបានកំណត់រចនាសម្ព័ន្ធជា 802.1X ឬការផ្ទៀងផ្ទាត់ដោយដៃ។ ប្រសិនបើសុវត្ថិភាពនៃតំណភ្ជាប់គឺ 802.1X នោះ មិត្តភ័ក្តិនីមួយៗប្រើលេខសម្គាល់ឧបករណ៍ដែលទទួលបានពីម៉ាស៊ីនមេផ្ទៀងផ្ទាត់។ ប្រសិនបើសុវត្ថិភាពតំណគឺដោយដៃ អ្នកត្រូវតែកំណត់លេខសម្គាល់ឧបករណ៍ដែលដូចគ្នាបេះបិទ។
ម៉ាស៊ីនមេការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវត្រឡប់គុណលក្ខណៈគោលការណ៍ខាងក្រោម៖
- ការជឿទុកចិត្តរបស់ Cisco TrustSec- បង្ហាញថាតើឧបករណ៍ដែលដូចគ្នានឹងត្រូវបានជឿទុកចិត្តសម្រាប់គោលបំណងនៃការដាក់ SGT នៅក្នុងកញ្ចប់។
- Peer SGT- បង្ហាញក្រុមសុវត្ថិភាពដែលមិត្តភក្ដិជាកម្មសិទ្ធិ។ ប្រសិនបើមិត្តភ័ក្តិមិនគួរឱ្យទុកចិត្ត កញ្ចប់ព័ត៌មានទាំងអស់ដែលទទួលបានពីមិត្តភក្ដិគឺ tagភ្ជាប់ជាមួយ SGT នេះ។ ប្រសិនបើឧបករណ៍មិនដឹងថា SGACLs ណាមួយត្រូវបានភ្ជាប់ជាមួយ SGT របស់មិត្តភក្ដិទេនោះ ឧបករណ៍អាចផ្ញើសំណើបន្តទៅម៉ាស៊ីនមេផ្ទៀងផ្ទាត់ដើម្បីទាញយក SGACLs ។
- ពេលវេលាផុតកំណត់នៃការអនុញ្ញាត- បង្ហាញពីចំនួនវិនាទីមុនពេលគោលការណ៍ផុតកំណត់។ ឧបករណ៍ Cisco TrustSec គួរតែធ្វើឱ្យគោលការណ៍ និងការអនុញ្ញាតរបស់វាឡើងវិញ មុនពេលវាអស់សុពលភាព។ ឧបករណ៍អាចរក្សាទុកការផ្ទៀងផ្ទាត់ និងទិន្នន័យគោលការណ៍ ហើយប្រើវាឡើងវិញបន្ទាប់ពីការចាប់ផ្ដើមឡើងវិញ ប្រសិនបើទិន្នន័យមិនទាន់ផុតកំណត់។
ឧបករណ៍ Cisco TrustSec នីមួយៗគួរតែគាំទ្រគោលការណ៍ចូលប្រើលំនាំដើមតិចតួចបំផុត ក្នុងករណីដែលវាមិនអាចទាក់ទងម៉ាស៊ីនមេផ្ទៀងផ្ទាត់ ដើម្បីទទួលបានគោលការណ៍សមរម្យសម្រាប់មិត្តភក្ដិ។ដំណើរការចរចា NDAC និង SAP ត្រូវបានបង្ហាញក្នុងរូបខាងក្រោម
រូបភាពទី 5៖ ការចរចា NDAC និង SAP
ទាញយកទិន្នន័យបរិស្ថាន
ទិន្នន័យបរិស្ថាន Cisco TrustSec គឺជាបណ្តុំនៃព័ត៌មាន ឬគោលការណ៍ដែលជួយឧបករណ៍ឱ្យដំណើរការជាថ្នាំង Cisco TrustSec ។ ឧបករណ៍ទទួលបានទិន្នន័យបរិស្ថានពីម៉ាស៊ីនមេផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ នៅពេលដែលឧបករណ៍នេះចូលរួមជាមួយដែន Cisco TrustSec ជាលើកដំបូង ទោះបីជាអ្នកក៏អាចកំណត់រចនាសម្ព័ន្ធទិន្នន័យមួយចំនួននៅលើឧបករណ៍ដោយដៃក៏ដោយ។ សម្រាប់អតីតampដូច្នេះ អ្នកត្រូវតែកំណត់រចនាសម្ព័ន្ធឧបករណ៍ Cisco TrustSec គ្រាប់ពូជជាមួយនឹងព័ត៌មានម៉ាស៊ីនមេការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ ដែលក្រោយមកអាចត្រូវបានបន្ថែមដោយបញ្ជីម៉ាស៊ីនមេដែលឧបករណ៍ទទួលបានពីម៉ាស៊ីនមេផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ។
ឧបករណ៍ត្រូវតែផ្ទុកទិន្នន័យបរិស្ថាន Cisco TrustSec ឡើងវិញ មុនពេលវាផុតកំណត់។ ឧបករណ៍ក៏អាចរក្សាទុកទិន្នន័យបរិស្ថាន ហើយប្រើវាឡើងវិញបន្ទាប់ពីការចាប់ផ្ដើមឡើងវិញ ប្រសិនបើទិន្នន័យមិនទាន់ផុតកំណត់។
ឧបករណ៍ប្រើប្រាស់ RADIUS ដើម្បីទទួលបានទិន្នន័យបរិស្ថានខាងក្រោមពីម៉ាស៊ីនមេផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ៖
- បញ្ជីម៉ាស៊ីនមេ៖ បញ្ជីម៉ាស៊ីនមេដែលអតិថិជនអាចប្រើសម្រាប់សំណើ RADIUS នាពេលអនាគត (សម្រាប់ទាំងការផ្ទៀងផ្ទាត់ និងការអនុញ្ញាត)។ ការធ្វើឱ្យស្រស់ PAC កើតឡើងតាមរយៈម៉ាស៊ីនមេទាំងនេះ។
- ឧបករណ៍ SG៖ ក្រុមសុវត្ថិភាពដែលឧបករណ៍ខ្លួនវាផ្ទាល់។
- អស់ពេលផុតកំណត់៖ ចន្លោះពេលដែលគ្រប់គ្រងថាតើញឹកញាប់ប៉ុណ្ណាដែលឧបករណ៍ Cisco TrustSec គួរតែផ្ទុកទិន្នន័យបរិស្ថានឡើងវិញ។
មុខងារបញ្ជូនត RADIUS
ឧបករណ៍ដែលដើរតួនាទីជាអ្នកផ្ទៀងផ្ទាត់ Cisco TrustSec ក្នុងដំណើរការផ្ទៀងផ្ទាត់ 802.1X មានការតភ្ជាប់ IP ទៅកាន់ម៉ាស៊ីនមេផ្ទៀងផ្ទាត់ ដែលអនុញ្ញាតឱ្យឧបករណ៍ទទួលបានគោលការណ៍ និងការអនុញ្ញាតពីម៉ាស៊ីនមេផ្ទៀងផ្ទាត់ដោយការផ្លាស់ប្តូរសារ RADIUS តាមរយៈ UDP/IP ។ ឧបករណ៍ដែលផ្គត់ផ្គង់អាចមិនមានការតភ្ជាប់ IP ជាមួយម៉ាស៊ីនមេផ្ទៀងផ្ទាត់។ ក្នុងករណីបែបនេះ Cisco TrustSec អនុញ្ញាតឱ្យអ្នកផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវដើរតួជាអ្នកបញ្ជូនត RADIUS សម្រាប់អ្នកផ្គត់ផ្គង់។
អ្នកស្នើសុំផ្ញើសារ EAPOL ពិសេសទៅកាន់អ្នកផ្ទៀងផ្ទាត់ដែលមានអាសយដ្ឋាន IP របស់ម៉ាស៊ីនមេ RADIUS និងច្រក UDP និងសំណើ RADIUS ពេញលេញ។ កម្មវិធីផ្ទៀងផ្ទាត់ដកសំណើ RADIUS ពីសារ EAPOL ដែលទទួលបាន ហើយផ្ញើវាតាម UDP/IP ទៅម៉ាស៊ីនមេផ្ទៀងផ្ទាត់។ នៅពេលដែលការឆ្លើយតប RADIUS ត្រឡប់ពីម៉ាស៊ីនមេផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ អ្នកផ្ទៀងផ្ទាត់បញ្ជូនសារត្រឡប់ទៅអ្នកផ្គត់ផ្គង់វិញ ដោយបង្កប់ក្នុងស៊ុម EAPOL ។
សុវត្ថិភាពភ្ជាប់
នៅពេលដែលភាគីទាំងពីរនៃតំណភ្ជាប់គាំទ្រ 802.1AE Media Access Control Security (MACsec) ការចរចារពិធីការសមាគមសន្តិសុខ (SAP) ត្រូវបានអនុវត្ត។ ការដោះដូរ EAPOL-Key កើតឡើងរវាងអ្នកផ្គត់ផ្គង់ និងអ្នកផ្ទៀងផ្ទាត់ ដើម្បីចរចារឈុត cipher ផ្លាស់ប្តូរប៉ារ៉ាម៉ែត្រសុវត្ថិភាព និងគ្រប់គ្រងសោ។ ការបំពេញកិច្ចការទាំងបីដោយជោគជ័យនាំឱ្យមានការបង្កើតសមាគមសន្តិសុខ (SA)។
អាស្រ័យលើកំណែកម្មវិធីរបស់អ្នក ការផ្តល់អាជ្ញាប័ណ្ណគ្រីបតូ និងភ្ជាប់ការគាំទ្រផ្នែករឹង ការចរចា SAP អាចប្រើរបៀបមួយនៃប្រតិបត្តិការដូចខាងក្រោម៖
- Galois/Counter Mode (GCM)—បញ្ជាក់ការផ្ទៀងផ្ទាត់ និងការអ៊ិនគ្រីប
- ការផ្ទៀងផ្ទាត់ GCM (GMAC) - បញ្ជាក់ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ និងគ្មានការអ៊ិនគ្រីប
- គ្មានការវេចខ្ចប់ - បញ្ជាក់គ្មានការវេចខ្ចប់ (អត្ថបទច្បាស់លាស់)
- ទុកជាមោឃៈ-បញ្ជាក់ការបិទបាំង គ្មានការផ្ទៀងផ្ទាត់ និងគ្មានការអ៊ិនគ្រីប
របៀបទាំងអស់ លើកលែងតែ No Encapsulation ទាមទារផ្នែករឹងដែលមានសមត្ថភាព Cisco TrustSec ។
ការកំណត់រចនាសម្ព័ន្ធ SAP-PMK សម្រាប់សុវត្ថិភាពតំណ
SXP សម្រាប់ SGT Propagation ឆ្លងកាត់បណ្តាញចូលប្រើប្រាស់កេរ្តិ៍ដំណែល
Tagging packets ជាមួយ SGTs ទាមទារការគាំទ្រផ្នែករឹង។ អ្នកប្រហែលជាមានឧបករណ៍នៅក្នុងបណ្តាញរបស់អ្នក ដែលខណៈពេលដែលមានសមត្ថភាពចូលរួមក្នុងការផ្ទៀងផ្ទាត់ Cisco TrustSec ខ្វះសមត្ថភាពផ្នែករឹងដើម្បី tag កញ្ចប់ជាមួយ
Tagging packets ជាមួយ SGTs ទាមទារការគាំទ្រផ្នែករឹង។ អ្នកប្រហែលជាមានឧបករណ៍នៅក្នុងបណ្តាញរបស់អ្នក ដែលខណៈពេលដែលមានសមត្ថភាពចូលរួមក្នុងការផ្ទៀងផ្ទាត់ Cisco TrustSec ខ្វះសមត្ថភាពផ្នែករឹងដើម្បី tag កញ្ចប់ជាមួយ
SGTs ។ ដោយប្រើ SGT Exchange Protocol (SXP) ឧបករណ៍ទាំងនេះអាចឆ្លងកាត់ការគូសវាស IP-address-to-SGT ទៅឧបករណ៍ Cisco TrustSec ដែលមានផ្នែករឹងដែលមានសមត្ថភាព Cisco TrustSec ។
SXP ជាធម្មតាដំណើរការរវាងឧបករណ៍ស្រទាប់ចូលដំណើរការនៅគែមដែន Cisco TrustSec និងឧបករណ៍ស្រទាប់ចែកចាយនៅក្នុងដែន Cisco TrustSec ។ ឧបករណ៍ស្រទាប់ចូលដំណើរការដំណើរការការផ្ទៀងផ្ទាត់ Cisco TrustSec នៃឧបករណ៍ប្រភពខាងក្រៅដើម្បីកំណត់ SGTs សមរម្យសម្រាប់កញ្ចប់ព័ត៌មានចូល។ ឧបករណ៍ស្រទាប់ចូលដំណើរការរៀនអាសយដ្ឋាន IP នៃឧបករណ៍ប្រភពដោយប្រើការតាមដានឧបករណ៍ IP និង (ជាជម្រើស) ការផ្អាក DHCP បន្ទាប់មកប្រើ SXP ដើម្បីបញ្ជូនអាសយដ្ឋាន IP នៃឧបករណ៍ប្រភព រួមជាមួយនឹង SGTs របស់ពួកគេទៅកាន់ឧបករណ៍ចែកចាយ។
ឧបករណ៍ចែកចាយដែលមានផ្នែករឹងដែលមានសមត្ថភាព Cisco TrustSec អាចប្រើព័ត៌មានផែនទី IP-to-SGT នេះដើម្បី tag កញ្ចប់ព័ត៌មានឱ្យបានត្រឹមត្រូវ និងអនុវត្តគោលនយោបាយ SGACL ។
រូបភាពទី 6៖ ពិធីសារ SXP ដើម្បីផ្សព្វផ្សាយព័ត៌មាន SGT
អ្នកត្រូវតែកំណត់រចនាសម្ព័ន្ធការតភ្ជាប់ SXP ដោយដៃរវាងមិត្តភក្ដិដែលមិនមានការគាំទ្រផ្នែករឹងរបស់ Cisco TrustSec និងដៃគូដែលមានការគាំទ្រផ្នែករឹង Cisco TrustSec ។ ភារកិច្ចខាងក្រោមត្រូវបានទាមទារនៅពេលកំណត់រចនាសម្ព័ន្ធការតភ្ជាប់ SXP៖
- ប្រសិនបើអ្នកទាមទារភាពត្រឹមត្រូវនៃទិន្នន័យ SXP និងការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ អ្នកត្រូវតែកំណត់រចនាសម្ព័ន្ធពាក្យសម្ងាត់ SXP ដូចគ្នានៅលើឧបករណ៍ដូចគ្នាទាំងពីរ។ អ្នកអាចកំណត់រចនាសម្ព័ន្ធពាក្យសម្ងាត់ SXP យ៉ាងច្បាស់សម្រាប់ការតភ្ជាប់មិត្តភ័ក្តិនីមួយៗ ឬជាសកលសម្រាប់ឧបករណ៍។ ទោះបីជាមិនទាមទារពាក្យសម្ងាត់ SXP ក៏ដោយ យើងសូមណែនាំអោយប្រើវា។
- អ្នកត្រូវតែកំណត់រចនាសម្ព័ន្ធមិត្តភ័ក្តិនីមួយៗនៅលើការតភ្ជាប់ SXP ជាឧបករណ៍បំពងសំឡេង SXP ឬអ្នកស្តាប់ SXP ។ ឧបករណ៍បំពងសម្លេងចែកចាយព័ត៌មានផែនទី IP-to-SGT ទៅឧបករណ៍ស្តាប់។
- អ្នកអាចបញ្ជាក់អាសយដ្ឋាន IP ប្រភពដែលត្រូវប្រើសម្រាប់ទំនាក់ទំនងមិត្តភ័ក្តិនីមួយៗ ឬអ្នកអាចកំណត់រចនាសម្ព័ន្ធអាសយដ្ឋាន IP ប្រភពលំនាំដើមសម្រាប់ការតភ្ជាប់មិត្តភ័ក្តិដែលអ្នកមិនបានកំណត់រចនាសម្ព័ន្ធអាសយដ្ឋាន IP ប្រភពជាក់លាក់មួយ។ ប្រសិនបើអ្នកមិនបញ្ជាក់អាសយដ្ឋាន IP ប្រភពណាមួយទេ ឧបករណ៍នឹងប្រើអាសយដ្ឋាន IP ចំណុចប្រទាក់នៃការតភ្ជាប់ទៅមិត្តភក្ដិ។
SXP អនុញ្ញាតឱ្យលោតច្រើន។ នោះគឺជា ប្រសិនបើឧបករណ៍ដូចគ្នាខ្វះការគាំទ្រផ្នែករឹងរបស់ Cisco TrustSec ក៏ខ្វះការគាំទ្រផ្នែករឹងរបស់ Cisco TrustSec ដែរ មិត្តភ័ក្តិទីពីរអាចមានការតភ្ជាប់ SXP ទៅឧបករណ៍ទីបី ដោយបន្តការផ្សព្វផ្សាយព័ត៌មានផែនទី IP-to-SGT រហូតដល់ផ្នែករឹង- មិត្តភ័ក្តិដែលមានសមត្ថភាពត្រូវបានឈានដល់។ ឧបករណ៍អាចត្រូវបានកំណត់រចនាសម្ព័ន្ធជាអ្នកស្តាប់ SXP សម្រាប់ការតភ្ជាប់ SXP មួយជាឧបករណ៍បំពងសំឡេង SXP សម្រាប់ការតភ្ជាប់ SXP ផ្សេងទៀត។
ឧបករណ៍ Cisco TrustSec រក្សាការតភ្ជាប់ជាមួយដៃគូ SXP របស់វាដោយប្រើយន្តការរក្សា TCP ។
ដើម្បីបង្កើត ឬស្ដារការតភ្ជាប់មិត្តភ័ក្តិ ឧបករណ៍នឹងព្យាយាមដំឡើងការតភ្ជាប់ម្តងហើយម្តងទៀត ដោយប្រើរយៈពេលព្យាយាមឡើងវិញដែលអាចកំណត់បាន រហូតទាល់តែការតភ្ជាប់បានជោគជ័យ ឬរហូតដល់ការតភ្ជាប់ត្រូវបានដកចេញពីការកំណត់រចនាសម្ព័ន្ធ។
ដើម្បីបង្កើត ឬស្ដារការតភ្ជាប់មិត្តភ័ក្តិ ឧបករណ៍នឹងព្យាយាមដំឡើងការតភ្ជាប់ម្តងហើយម្តងទៀត ដោយប្រើរយៈពេលព្យាយាមឡើងវិញដែលអាចកំណត់បាន រហូតទាល់តែការតភ្ជាប់បានជោគជ័យ ឬរហូតដល់ការតភ្ជាប់ត្រូវបានដកចេញពីការកំណត់រចនាសម្ព័ន្ធ។
ស្រទាប់ទី 3 ការដឹកជញ្ជូន SGT សម្រាប់តំបន់ដែលមិនមែនជា TrustSec
នៅពេលដែលកញ្ចប់ព័ត៌មានចាកចេញពីដែន Cisco TrustSec សម្រាប់គោលដៅដែលមិនមែនជា TrustSec ឧបករណ៍ Cisco TrustSec ចេញយកបឋមកថា Cisco TrustSec និង SGT មុនពេលបញ្ជូនកញ្ចប់ព័ត៌មានទៅបណ្តាញខាងក្រៅ។ ទោះជាយ៉ាងណាក៏ដោយ ប្រសិនបើកញ្ចប់ព័ត៌មានគ្រាន់តែឆ្លងកាត់ដែនដែលមិនមែនជា TrustSec នៅលើផ្លូវទៅកាន់ដែន Cisco TrustSec មួយផ្សេងទៀត ដូចដែលបានបង្ហាញក្នុងរូបភាពខាងក្រោម នោះ SGT អាចត្រូវបានរក្សាទុកដោយប្រើមុខងារ Cisco TrustSec Layer 3 SGT Transport ។ នៅក្នុងលក្ខណៈពិសេសនេះ ឧបករណ៍ egress Cisco TrustSec បញ្ចូលកញ្ចប់ព័ត៌មានជាមួយនឹងបឋមកថា ESP ដែលរួមបញ្ចូលច្បាប់ចម្លងនៃ SGT ។ នៅពេលដែលកញ្ចប់ព័ត៌មានដែលបានរុំព័ទ្ធមកដល់ដែន Cisco TrustSec បន្ទាប់ ឧបករណ៍ Cisco TrustSec ចូលនឹងដក ESP encapsulation ហើយផ្សព្វផ្សាយកញ្ចប់ព័ត៌មានជាមួយ SGT របស់វា។
រូបភាពទី 7៖ ពង្រីកដែន Non-TrustSec
ដើម្បីគាំទ្រ Cisco TrustSec Layer 3 SGT Transport ឧបករណ៍ណាមួយដែលនឹងដើរតួជាច្រកចូល Cisco TrustSec ឬច្រកចេញចូលស្រទាប់ 3 ត្រូវតែរក្សាមូលដ្ឋានទិន្នន័យគោលនយោបាយចរាចរណ៍ដែលរាយបញ្ជីបណ្តាញរងដែលមានសិទ្ធិនៅក្នុងដែន Cisco TrustSec ពីចម្ងាយ ក៏ដូចជាបណ្តាញរងដែលមិនរាប់បញ្ចូលនៅក្នុងតំបន់ទាំងនោះ។ អ្នកអាចកំណត់រចនាសម្ព័ន្ធមូលដ្ឋានទិន្នន័យនេះដោយដៃនៅលើឧបករណ៍នីមួយៗ ប្រសិនបើពួកវាមិនអាចទាញយកដោយស្វ័យប្រវត្តិពី Cisco Secure ACS ។
ឧបករណ៍អាចផ្ញើទិន្នន័យ Layer 3 SGT Transport ពីច្រកមួយ និងទទួលទិន្នន័យ Layer 3 SGT Transport នៅលើច្រកផ្សេងទៀត ប៉ុន្តែទាំងច្រកចូល និងច្រកចេញត្រូវតែមានផ្នែករឹងដែលមានសមត្ថភាព Cisco TrustSec ។
Cisco TrustSec មិនអ៊ិនគ្រីបកញ្ចប់ព័ត៌មាន Layer 3 SGT Transport ទេ។ ដើម្បីការពារកញ្ចប់ព័ត៌មានដែលឆ្លងកាត់ដែនដែលមិនមែនជា TrustSec អ្នកអាចកំណត់រចនាសម្ព័ន្ធវិធីសាស្ត្រការពារផ្សេងទៀតដូចជា IPsec ជាដើម។VRF-Aware SXP
ការអនុវត្ត SXP នៃ Virtual Routing and Forwarding (VRF) ភ្ជាប់ការតភ្ជាប់ SXP ជាមួយ VRF ជាក់លាក់មួយ។ វាត្រូវបានសន្មត់ថាបណ្តាញ topology ត្រូវបានកំណត់យ៉ាងត្រឹមត្រូវសម្រាប់ Layer 2 ឬ Layer 3 VPNs ជាមួយនឹង VRFs ទាំងអស់ដែលបានកំណត់រចនាសម្ព័ន្ធ មុនពេលបើក Cisco TrustSec ។
ការគាំទ្រ SXP VRF អាចត្រូវបានសង្ខេបដូចខាងក្រោម:
- ការតភ្ជាប់ SXP តែមួយអាចភ្ជាប់ជាមួយ VRF មួយ។
- VRFs ផ្សេងគ្នាអាចមានការត្រួតស៊ីគ្នា SXP peer ឬអាសយដ្ឋាន IP ប្រភព។
- ការគូសផែនទី IP-SGT ដែលបានរៀន (បន្ថែម ឬលុប) នៅក្នុង VRF មួយអាចត្រូវបានធ្វើបច្ចុប្បន្នភាពតែនៅក្នុងដែន VRF តែមួយប៉ុណ្ណោះ។
ការភ្ជាប់ SXP មិនអាចធ្វើបច្ចុប្បន្នភាពការគូសវាសដែលភ្ជាប់ទៅនឹង VRF ផ្សេងបានទេ។ ប្រសិនបើគ្មានការតភ្ជាប់ SXP សម្រាប់ VRF ទេ ការគូសផែនទី IP-SGT សម្រាប់ VRF នោះនឹងមិនត្រូវបានធ្វើបច្ចុប្បន្នភាពដោយ SXP ទេ។ - គ្រួសារអាសយដ្ឋានច្រើនក្នុងមួយ VRF ត្រូវបានគាំទ្រ។ ដូច្នេះ ការភ្ជាប់ SXP មួយនៅក្នុងដែន VRF អាចបញ្ជូនបន្តទាំងការគូសវាស IPV4 និង IPV6 IP-SGT ។
- SXP មិនមានដែនកំណត់លើចំនួននៃការតភ្ជាប់ និងចំនួននៃការគូសផែនទី IP-SGT ក្នុងមួយ VRF នោះទេ។
ស្រទាប់ទី 2 VRF-Aware SXP និង VRF Assignment
ការចាត់តាំង VRF ដល់ Layer 2 VLANs ត្រូវបានបញ្ជាក់ជាមួយនឹងពាក្យបញ្ជាកំណត់រចនាសម្ព័ន្ធសកល cts l2-vrf vrf-name vlan-list ។ VLAN ត្រូវបានចាត់ទុកថាជា Layer 2 VLAN ដរាបណាមិនមាន switch virtual interface (SVI) ជាមួយនឹងអាសយដ្ឋាន IP ដែលបានកំណត់នៅលើ VLAN ។ VLAN ក្លាយជា Layer 3 VLAN នៅពេលដែលអាសយដ្ឋាន IP ត្រូវបានកំណត់រចនាសម្ព័ន្ធនៅលើ SVI របស់វា។
កិច្ចការ VRF ដែលកំណត់រចនាសម្ព័ន្ធដោយពាក្យបញ្ជា l2-vrf ផ្អែកលើតួនាទី cts គឺសកម្មដរាបណា VLAN នៅតែជា Layer 2 VLAN ។ ការចង IP-SGT ដែលបានរៀនខណៈពេលដែលកិច្ចការ VRF សកម្មក៏ត្រូវបានបន្ថែមទៅក្នុងតារាង Forwarding Information Base (FIB) ដែលភ្ជាប់ជាមួយ VRF និងកំណែពិធីការ IP ផងដែរ។ ប្រសិនបើ SVI ក្លាយជាសកម្មសម្រាប់ VLAN កិច្ចការ VRF ទៅ VLAN ក្លាយជាអសកម្ម ហើយការចងទាំងអស់ដែលបានរៀននៅលើ VLAN ត្រូវបានផ្លាស់ទីទៅតារាង FIB ដែលភ្ជាប់ជាមួយ VRF របស់ SVI ។
ការចាត់តាំង VRF ទៅ VLAN ត្រូវបានរក្សាទុក ទោះបីជាកិច្ចការនោះអសកម្មក៏ដោយ។ វាត្រូវបានដំណើរការឡើងវិញនៅពេលដែល SVI ត្រូវបានដកចេញ ឬនៅពេលដែលអាសយដ្ឋាន IP SVI ត្រូវបានកំណត់រចនាសម្ព័ន្ធ។ នៅពេលដំណើរការឡើងវិញ ការចង IP-SGT ត្រូវបានផ្លាស់ទីត្រឡប់មកវិញពីតារាង FIB ដែលភ្ជាប់ជាមួយ VRF របស់ SVI ទៅតារាង FIB ដែលភ្ជាប់ជាមួយ VRF ដែលផ្តល់ដោយពាក្យបញ្ជា l2-vrf ផ្អែកលើតួនាទី cts ។
ប្រវត្តិលក្ខណៈពិសេសសម្រាប់ Cisco TrustSec ចប់view
តារាងនេះផ្តល់នូវការចេញផ្សាយ និងព័ត៌មានពាក់ព័ន្ធសម្រាប់លក្ខណៈពិសេសដែលបានពន្យល់នៅក្នុងម៉ូឌុលនេះ។
លក្ខណៈពិសេសទាំងនេះមាននៅក្នុងការចេញផ្សាយទាំងអស់ជាបន្តបន្ទាប់ដែលពួកគេត្រូវបានណែនាំនៅក្នុង លើកលែងតែមានការកត់សម្គាល់ផ្សេងទៀត។
លក្ខណៈពិសេសទាំងនេះមាននៅក្នុងការចេញផ្សាយទាំងអស់ជាបន្តបន្ទាប់ដែលពួកគេត្រូវបានណែនាំនៅក្នុង លើកលែងតែមានការកត់សម្គាល់ផ្សេងទៀត។
ប្រើ Cisco Feature Navigator ដើម្បីស្វែងរកព័ត៌មានអំពីការគាំទ្ររូបភាពនៃវេទិកា និងកម្មវិធី។ ដើម្បីចូលប្រើ
Cisco Feature Navigator សូមចូលទៅកាន់ http://www.cisco.com/go/cfn.
Cisco Feature Navigator សូមចូលទៅកាន់ http://www.cisco.com/go/cfn.
ឯកសារ/ធនធាន
 |
CISCO Trustsec បង្កើតបណ្តាញសុវត្ថិភាព [pdf] ការណែនាំអ្នកប្រើប្រាស់ Trustsec បង្កើតបណ្តាញសុវត្ថិភាព Trustsec បង្កើតបណ្តាញសុវត្ថិភាព បណ្តាញសុវត្ថិភាព បណ្តាញ |