CISCO Trustsec ສ້າງຄູ່ມືຜູ້ໃຊ້ເຄືອຂ່າຍທີ່ປອດໄພ

CISCO Trustsec ສ້າງຄວາມປອດໄພ
 ຄູ່ມືຜູ້ໃຊ້ເຄືອຂ່າຍ

Cisco TrustSec ສ້າງເຄືອຂ່າຍທີ່ປອດໄພໂດຍການຕັ້ງໂດເມນຂອງອຸປະກອນເຄືອຂ່າຍທີ່ເຊື່ອຖືໄດ້. ແຕ່ລະອຸປະກອນໃນໂດເມນແມ່ນໄດ້ຮັບການຢັ້ງຢືນໂດຍເພື່ອນມິດຂອງຕົນ. ການສື່ສານກ່ຽວກັບການເຊື່ອມຕໍ່ລະຫວ່າງອຸປະກອນໃນໂດເມນແມ່ນຮັບປະກັນດ້ວຍການປະສົມປະສານຂອງການເຂົ້າລະຫັດ, ການກວດສອບຄວາມສົມບູນຂອງຂໍ້ຄວາມ, ແລະກົນໄກການປ້ອງກັນການຫຼິ້ນຄືນຂໍ້ມູນເສັ້ນທາງ.

ຂໍ້ຈໍາກັດສໍາລັບ Cisco TrustSec

ການສະໜອງຂໍ້ມູນຮັບຮອງການເຂົ້າເຖິງທີ່ມີການປົກປ້ອງ (PAC) ລົ້ມເຫລວ ແລະຍັງຄົງຢູ່ໃນສະຖານະທີ່ຄ້າງໄວ້, ເມື່ອລະບຸ ID ອຸປະກອນທີ່ບໍ່ຖືກຕ້ອງ. ເຖິງແມ່ນວ່າຫຼັງຈາກການລ້າງ PAC, ແລະການຕັ້ງຄ່າ ID ອຸປະກອນທີ່ຖືກຕ້ອງແລະລະຫັດຜ່ານ, PAC ຍັງລົ້ມເຫລວ.
ເປັນການແກ້ໄຂບັນຫາ, ໃນ Cisco Identity Services Engine (ISE), ຍົກເລີກການເລືອກ Suppress Anomalous Clients
ທາງເລືອກໃນ Administration> System> Settings> Protocols> Radius menu ສໍາລັບ PAC ເຮັດວຽກ.

Cisco TrustSec ບໍ່ຮອງຮັບໃນໂໝດ FIPS.
ຂໍ້ຈໍາກັດຕໍ່ໄປນີ້ແມ່ນໃຊ້ໄດ້ກັບຕົວແບບ C9500X-28C8D ຂອງ Cisco Catalyst 9500 Series Switches:
• ບໍ່ຮອງຮັບການຕັ້ງຄ່າຄູ່ມື Cisco TrustSec.
• ຟັງຊັນ Cisco TrustSec Security Association Protocol (SAP) ບໍ່ຮອງຮັບ.
• ການຫຸ້ມຫໍ່ຫົວເມຕາເດຕາຂອງ Cisco TrustSec ບໍ່ຮອງຮັບ.

ເນື້ອໃນ ເຊື່ອງ

1 ຂໍ້ມູນກ່ຽວກັບສະຖາປັດຕະຍະກໍາ Cisco TrustSec

2 ເອກະສານ / ຊັບພະຍາກອນ

2.1 ເອກະສານອ້າງອີງ

ຂໍ້ມູນກ່ຽວກັບສະຖາປັດຕະຍະກໍາ Cisco TrustSec

ສະຖາປັດຕະຍະກຳຄວາມປອດໄພ Cisco TrustSec ສ້າງເຄືອຂ່າຍທີ່ປອດໄພໂດຍການຕັ້ງໂດເມນຂອງອຸປະກອນເຄືອຂ່າຍທີ່ເຊື່ອຖືໄດ້. ແຕ່ລະອຸປະກອນໃນໂດເມນແມ່ນໄດ້ຮັບການຢັ້ງຢືນໂດຍເພື່ອນມິດຂອງຕົນ. ການສື່ສານກ່ຽວກັບການເຊື່ອມຕໍ່ລະຫວ່າງອຸປະກອນໃນໂດເມນແມ່ນຮັບປະກັນດ້ວຍການປະສົມປະສານຂອງການເຂົ້າລະຫັດ, ການກວດສອບຄວາມສົມບູນຂອງຂໍ້ຄວາມ, ແລະກົນໄກການປ້ອງກັນການຫຼິ້ນຄືນຂໍ້ມູນເສັ້ນທາງ. Cisco TrustSec ໃຊ້ອຸປະກອນ ແລະຂໍ້ມູນປະຈຳຕົວຜູ້ໃຊ້ທີ່ໄດ້ມາໃນລະຫວ່າງການກວດສອບຄວາມຖືກຕ້ອງເພື່ອຈັດປະເພດແພັກເກັດໂດຍກຸ່ມຄວາມປອດໄພ (SGs) ເມື່ອພວກເຂົາເຂົ້າສູ່ເຄືອຂ່າຍ. ການຈັດປະເພດແພັກເກັດນີ້ຖືກຮັກສາໄວ້ໂດຍ tagging packets ໃນ ingress ກັບເຄືອຂ່າຍ Cisco TrustSec ເພື່ອໃຫ້ພວກເຂົາສາມາດຖືກກໍານົດຢ່າງຖືກຕ້ອງສໍາລັບຈຸດປະສົງຂອງການນໍາໃຊ້ຄວາມປອດໄພແລະເງື່ອນໄຂນະໂຍບາຍອື່ນໆຕາມເສັ້ນທາງຂໍ້ມູນ. ໄດ້ tag, ເອີ້ນວ່າກຸ່ມຄວາມປອດໄພ tag (SGT), ອະນຸຍາດໃຫ້ເຄືອຂ່າຍບັງຄັບໃຊ້ນະໂຍບາຍການຄວບຄຸມການເຂົ້າເຖິງໂດຍການເປີດໃຊ້ອຸປະກອນຈຸດສິ້ນສຸດເພື່ອປະຕິບັດກັບ SGT ເພື່ອກັ່ນຕອງການຈະລາຈອນ.

ລິ້ງ Cisco TrustSec IEEE 802.1X ບໍ່ຮອງຮັບໃນເວທີທີ່ຮອງຮັບໃນ Cisco IOS XE Denali
(16.1.x ຫາ 16.3.x), Cisco IOS XE Everest (16.4.x ຫາ 16.6.x), ແລະ Cisco IOS XE Fuji (16.7.x ຫາ 16.9.x) ອອກມາ, ແລະເພາະສະນັ້ນ ຮອງຮັບພຽງແຕ່ Authenticator; ບໍ່ຮອງຮັບຜູ້ຍື່ນສະເໜີ.

ສະຖາປັດຕະຍະກໍາ Cisco TrustSec ປະກອບມີສາມອົງປະກອບທີ່ສໍາຄັນ:

ພື້ນຖານໂຄງລ່າງເຄືອຂ່າຍທີ່ມີການກວດສອບຄວາມຖືກຕ້ອງ-ຫຼັງຈາກອຸປະກອນທໍາອິດ (ເອີ້ນວ່າອຸປະກອນແກ່ນ) ກວດສອບຄວາມຖືກຕ້ອງກັບເຊີບເວີການພິສູດຢືນຢັນເພື່ອເລີ່ມຕົ້ນໂດເມນ Cisco TrustSec, ແຕ່ລະອຸປະກອນໃຫມ່ທີ່ເພີ່ມໃສ່ໂດເມນແມ່ນໄດ້ຮັບການພິສູດຢືນຢັນໂດຍອຸປະກອນເພື່ອນມິດຂອງຕົນຢູ່ໃນໂດເມນ. ມິດສະຫາຍເຮັດໜ້າທີ່ເປັນຕົວກາງຂອງເຊີບເວີການກວດສອບຄວາມຖືກຕ້ອງຂອງໂດເມນ. ແຕ່ລະອຸປະກອນທີ່ຜ່ານການພິສູດຢືນຢັນໃໝ່ຖືກຈັດປະເພດໂດຍເຊີບເວີການກວດສອບຄວາມຖືກຕ້ອງ ແລະມອບໝາຍໝາຍເລກກຸ່ມຄວາມປອດໄພໂດຍອີງໃສ່ຕົວຕົນ, ບົດບາດ ແລະທ່າທາງຄວາມປອດໄພຂອງມັນ.
ການຄວບຄຸມການເຂົ້າເຖິງທີ່ອີງໃສ່ກຸ່ມຄວາມປອດໄພ—ນະໂຍບາຍການເຂົ້າເຖິງພາຍໃນໂດເມນ Cisco TrustSec ແມ່ນຂຶ້ນກັບ topology-independent, ອີງຕາມບົດບາດ (ຕາມທີ່ລະບຸໄວ້ໂດຍໝາຍເລກກຸ່ມຄວາມປອດໄພ) ຂອງອຸປະກອນຕົ້ນທາງ ແລະປາຍທາງ ແທນທີ່ຈະຢູ່ໃນທີ່ຢູ່ເຄືອຂ່າຍ. ແພັກເກັດສ່ວນບຸກຄົນແມ່ນ tagged ກັບຈໍານວນກຸ່ມຄວາມປອດໄພຂອງແຫຼ່ງ.

ການສື່ສານທີ່ປອດໄພ—ດ້ວຍຮາດແວທີ່ສາມາດເຂົ້າລະຫັດລັບ, ການສື່ສານໃນແຕ່ລະເຊື່ອມຕໍ່ລະຫວ່າງອຸປະກອນໃນໂດເມນສາມາດຮັບປະກັນໄດ້ດ້ວຍການເຂົ້າລະຫັດລັບ, ການກວດສອບຄວາມສົມບູນຂອງຂໍ້ຄວາມ, ແລະກົນໄກປ້ອງກັນການຫຼິ້ນຄືນຂໍ້ມູນ.

ຕົວເລກຕໍ່ໄປນີ້ສະແດງໃຫ້ເຫັນ example ຂອງໂດເມນ Cisco TrustSec. ໃນນີ້ exampດັ່ງນັ້ນ, ອຸປະກອນເຄືອຂ່າຍຫຼາຍອັນ ແລະອຸປະກອນຈຸດສິ້ນສຸດຢູ່ໃນໂດເມນ Cisco TrustSec. ອຸປະກອນ endpoint ຫນຶ່ງແລະອຸປະກອນເຄືອຂ່າຍຫນຶ່ງແມ່ນຢູ່ນອກໂດເມນເພາະວ່າພວກເຂົາບໍ່ແມ່ນອຸປະກອນທີ່ມີຄວາມສາມາດ Cisco TrustSec ຫຼືຍ້ອນວ່າພວກເຂົາຖືກປະຕິເສດການເຂົ້າເຖິງ. ເຊີບເວີການກວດສອບຄວາມຖືກຕ້ອງແມ່ນຖືວ່າຢູ່ນອກໂດເມນ Cisco TrustSec; ມັນແມ່ນ Cisco Identities Service Engine (Cisco ISE), ຫຼື Cisco Secure Access Control System (Cisco ACS).

ຮູບທີ 1: Cisco TrustSec Network Domain Example

CISCO Trustsec ສ້າງເຄືອຂ່າຍທີ່ປອດໄພ - ຮູບ 1

ຜູ້ເຂົ້າຮ່ວມແຕ່ລະຄົນໃນຂະບວນການກວດສອບຄວາມຖືກຕ້ອງຂອງ Cisco TrustSec ປະຕິບັດໜ້າທີ່ອັນໜຶ່ງຕໍ່ໄປນີ້:

Supplicant—ເປັນອຸປະກອນທີ່ບໍ່ໄດ້ຮັບການຢັ້ງຢືນທີ່ເຊື່ອມຕໍ່ກັບໝູ່ເພື່ອນພາຍໃນໂດເມນ Cisco TrustSec, ແລະພະຍາຍາມເຂົ້າຮ່ວມໂດເມນ Cisco TrustSec.

ເຊີບເວີການກວດສອບຄວາມຖືກຕ້ອງ—ເຊີບເວີທີ່ກວດສອບຕົວຕົນຂອງຜູ້ສະໜອງ ແລະອອກນະໂຍບາຍທີ່ກຳນົດການເຂົ້າເຖິງການບໍລິການຂອງຜູ້ສະໜອງພາຍໃນໂດເມນ Cisco TrustSec.
Authenticator—ອຸປະກອນທີ່ຜ່ານການຮັບຮອງຄວາມຖືກຕ້ອງແລ້ວເຊິ່ງເປັນສ່ວນໜຶ່ງຂອງໂດເມນ Cisco TrustSec ແລະສາມາດພິສູດຢືນຢັນຕົວຕົນໃໝ່ໃນນາມຂອງເຊີບເວີການພິສູດຢືນຢັນໄດ້.

ເມື່ອການເຊື່ອມໂຍງລະຫວ່າງຜູ້ສະຫນອງແລະຜູ້ກວດສອບຄວາມຖືກຕ້ອງເກີດຂື້ນຄັ້ງທໍາອິດ, ລໍາດັບເຫດການຕໍ່ໄປນີ້ມັກຈະເກີດຂື້ນ:

ການຮັບຮອງຄວາມຖືກຕ້ອງ (802.1X)—ຜູ້ສະໜອງແມ່ນໄດ້ຮັບການພິສູດຢືນຢັນໂດຍເຊີບເວີການພິສູດຢືນຢັນ, ໂດຍມີຕົວພິສູດຢືນຢັນເຮັດໜ້າທີ່ເປັນຕົວກາງ. ການພິສູດຢືນຢັນເຊິ່ງກັນແລະກັນແມ່ນປະຕິບັດລະຫວ່າງສອງຄົນ (ຜູ້ສົ່ງຕໍ່ ແລະຜູ້ພິສູດຢືນຢັນ).
ການອະນຸຍາດ - ອີງຕາມຂໍ້ມູນຕົວຕົນຂອງຜູ້ສະໜອງ, ເຊີບເວີການພິສູດຢືນຢັນໃຫ້ນະໂຍບາຍການອະນຸຍາດ, ເຊັ່ນ: ການມອບໝາຍກຸ່ມຄວາມປອດໄພ ແລະ ACLs, ໃຫ້ກັບແຕ່ລະຄົນທີ່ເຊື່ອມໂຍງ. ເຊີບເວີການພິສູດຢືນຢັນໃຫ້ຕົວຕົນຂອງແຕ່ລະເພື່ອນມິດກັບຄົນອື່ນ, ແລະແຕ່ລະເພື່ອນມິດຫຼັງຈາກນັ້ນນໍາໃຊ້ນະໂຍບາຍທີ່ເຫມາະສົມສໍາລັບການເຊື່ອມຕໍ່.

ການເຈລະຈາຕໍ່ລອງຂອງສະມາຄົມຄວາມປອດໄພ (SAP)—ເມື່ອທັງສອງຝ່າຍຂອງການເຊື່ອມຕໍ່ສະຫນັບສະຫນູນການເຂົ້າລະຫັດ, ຜູ້ສະຫນອງແລະຜູ້ກວດສອບໄດ້ເຈລະຈາຕົວກໍານົດການທີ່ຈໍາເປັນເພື່ອສ້າງຕັ້ງສະມາຄົມຄວາມປອດໄພ (SA).

SAP ບໍ່ຮອງຮັບໃນສ່ວນຕິດຕໍ່ 100G. ພວກເຮົາແນະນໍາໃຫ້ທ່ານໃຊ້ MACsec Key Agreement protocol
(MKA) ທີ່ມີເລກແພັກເກັດຂະຫຍາຍ (XPN) ໃນອິນເຕີເຟດ 100G.

ເມື່ອທັງສາມຂັ້ນຕອນສໍາເລັດແລ້ວ, ຜູ້ກວດສອບຄວາມຖືກຕ້ອງຈະປ່ຽນສະຖານະຂອງການເຊື່ອມຕໍ່ຈາກສະຖານະທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດ (ບລັອກ) ໄປສູ່ສະຖານະທີ່ໄດ້ຮັບອະນຸຍາດ, ແລະຜູ້ຮ້ອງຂໍກາຍເປັນສະມາຊິກຂອງໂດເມນ Cisco TrustSec.

Cisco TrustSec ໃຊ້ ingress tagging ແລະ egress ການກັ່ນຕອງເພື່ອບັງຄັບໃຊ້ນະໂຍບາຍການຄວບຄຸມການເຂົ້າເຖິງໃນລັກສະນະທີ່ສາມາດຂະຫຍາຍໄດ້. Packets ເຂົ້າໄປໃນໂດເມນແມ່ນ tagຮ່ວມກັບກຸ່ມຮັກສາຄວາມປອດໄພ tag (SGT) ປະກອບມີໝາຍເລກກຸ່ມຄວາມປອດໄພຂອງອຸປະກອນທີ່ມາ. ການຈັດປະເພດແພັກເກັດນີ້ຖືກຮັກສາໄວ້ຕາມເສັ້ນທາງຂໍ້ມູນພາຍໃນໂດເມນ Cisco TrustSec ເພື່ອຈຸດປະສົງການນຳໃຊ້ຄວາມປອດໄພ ແລະເງື່ອນໄຂນະໂຍບາຍອື່ນໆ. ອຸປະກອນ Cisco TrustSec ສຸດທ້າຍຢູ່ໃນເສັ້ນທາງຂໍ້ມູນ, ບໍ່ວ່າຈະເປັນຈຸດສິ້ນສຸດຫຼືຈຸດ egress ເຄືອຂ່າຍ, ບັງຄັບໃຊ້ນະໂຍບາຍການຄວບຄຸມການເຂົ້າເຖິງໂດຍອີງໃສ່ກຸ່ມຄວາມປອດໄພຂອງອຸປະກອນແຫຼ່ງ Cisco TrustSec ແລະກຸ່ມຄວາມປອດໄພຂອງອຸປະກອນ Cisco TrustSec ສຸດທ້າຍ. ບໍ່ເຫມືອນກັບລາຍຊື່ການຄວບຄຸມການເຂົ້າເຖິງແບບດັ້ງເດີມໂດຍອີງໃສ່ທີ່ຢູ່ເຄືອຂ່າຍ, ນະໂຍບາຍການຄວບຄຸມການເຂົ້າເຖິງ Cisco TrustSec ແມ່ນຮູບແບບຂອງລາຍຊື່ການຄວບຄຸມການເຂົ້າເຖິງທີ່ອີງໃສ່ບົດບາດ (RBACLs) ທີ່ເອີ້ນວ່າລາຍຊື່ການຄວບຄຸມການເຂົ້າເຖິງກຸ່ມຄວາມປອດໄພ (SGACLs).

Ingress ຫມາຍເຖິງແພັກເກັດທີ່ເຂົ້າໄປໃນອຸປະກອນ Cisco TrustSec ທໍາອິດທີ່ພົບໂດຍແພັກເກັດທີ່ຢູ່ໃນເສັ້ນທາງຂອງມັນໄປຫາຈຸດຫມາຍປາຍທາງແລະ egress ຫມາຍເຖິງແພັກເກັດທີ່ປ່ອຍອຸປະກອນ Cisco TrustSec ສຸດທ້າຍຢູ່ໃນເສັ້ນທາງ.

ການຢືນຢັນ

Cisco TrustSec ແລະການກວດສອບຄວາມຖືກຕ້ອງ

ການໃຊ້ Network Device Admission Control (NDAC), Cisco TrustSec ພິສູດຢືນຢັນອຸປະກອນກ່ອນທີ່ຈະອະນຸຍາດໃຫ້ມັນເຂົ້າຮ່ວມເຄືອຂ່າຍ. NDAC ໃຊ້ການຮັບຮອງຄວາມຖືກຕ້ອງ 802.1X ດ້ວຍ Extensible Authentication Protocol ການກວດສອບຄວາມຖືກຕ້ອງແບບຍືດຫຍຸ່ນຜ່ານ Secure Tunnel (EAP-FAST) ເປັນວິທີການ Extensible Authentication Protocol (EAP) ເພື່ອດໍາເນີນການກວດສອບຄວາມຖືກຕ້ອງ. ການສົນທະນາ EAP-FAST ສະຫນອງການແລກປ່ຽນວິທີການ EAP ອື່ນໆພາຍໃນອຸໂມງ EAP-FAST ໂດຍໃຊ້ຕ່ອງໂສ້. ຜູ້ເບິ່ງແຍງລະບົບສາມາດໃຊ້ວິທີການກວດສອບຜູ້ໃຊ້ແບບດັ້ງເດີມເຊັ່ນ: Microsoft Challenge Handshake Authentication Protocol Version 2 (MSCHAPv2), ໃນຂະນະທີ່ຍັງມີຄວາມປອດໄພທີ່ສະໜອງໃຫ້ໂດຍອຸໂມງ EAP-FAST. ໃນລະຫວ່າງການແລກປ່ຽນ EAP-FAST, ເຊີບເວີການພິສູດຢືນຢັນຈະສ້າງ ແລະສົ່ງໃຫ້ຜູ້ສະໜອງໃບຢັ້ງຢືນການເຂົ້າເຖິງທີ່ມີການປົກປ້ອງສະເພາະ (PAC) ທີ່ມີລະຫັດທີ່ໃຊ້ຮ່ວມກັນ ແລະໂທເຄັນທີ່ເຂົ້າລະຫັດໄວ້ເພື່ອໃຊ້ສໍາລັບການສື່ສານທີ່ປອດໄພໃນອະນາຄົດກັບເຊີບເວີການພິສູດຢືນຢັນ.

ຕົວເລກຕໍ່ໄປນີ້ສະແດງໃຫ້ເຫັນອຸໂມງ EAP-FAST ແລະວິທີການພາຍໃນທີ່ໃຊ້ໃນ Cisco TrustSec.

ຮູບທີ 2: Cisco TrustSec Authentication

CISCO Trustsec ສ້າງເຄືອຂ່າຍທີ່ປອດໄພ - ຮູບ 2

Cisco TrustSec ປັບປຸງ EAP-FAST

ການປະຕິບັດ EAP-FAST ສໍາລັບ Cisco TrustSec ມີການປັບປຸງດັ່ງຕໍ່ໄປນີ້:

ກວດສອບຄວາມຖືກຕ້ອງຂອງຕົວພິສູດຢືນຢັນ—ກໍານົດຕົວຕົນຂອງຕົວພິສູດຢືນຢັນຢ່າງປອດໄພໂດຍການຮຽກຮ້ອງໃຫ້ຜູ້ພິສູດຢືນຢັນໃຊ້ PAC ຂອງມັນເພື່ອເອົາລະຫັດທີ່ໃຊ້ຮ່ວມກັນລະຫວ່າງຕົວມັນເອງກັບເຊີບເວີການພິສູດຢືນຢັນ. ຄຸນສົມບັດນີ້ຍັງປ້ອງກັນທ່ານຈາກການຕັ້ງຄ່າກະແຈທີ່ໃຊ້ຮ່ວມກັນ RADIUS ຢູ່ໃນເຊີບເວີການພິສູດຢືນຢັນສໍາລັບທຸກທີ່ຢູ່ IP ທີ່ເປັນໄປໄດ້ທີ່ສາມາດໃຊ້ໂດຍຜູ້ກວດສອບຄວາມຖືກຕ້ອງ.

ແຈ້ງບອກແຕ່ລະອຸປະກອນຂອງຕົວຕົນຂອງເພື່ອນມິດຂອງຕົນ—ໃນຕອນທ້າຍຂອງການແລກປ່ຽນການພິສູດຢືນຢັນ, ເຊີບເວີການພິສູດຢືນຢັນໄດ້ລະບຸທັງຜູ້ສະໜອງ ແລະຜູ້ພິສູດຢືນຢັນ. ເຊີບເວີການພິສູດຢືນຢັນຈະບົ່ງບອກຕົວຕົນຂອງຕົວພິສູດຢືນຢັນ, ແລະວ່າຕົວພິສູດຢືນຢັນແມ່ນ Cisco TrustSec-capable, ຕໍ່ກັບຜູ້ຮ້ອງຂໍໂດຍການໃຊ້ຕົວກໍານົດຄ່າປະເພດ-ຄວາມຍາວ-ມູນຄ່າເພີ່ມເຕີມ (TLVs) ໃນການຢຸດ EAP-FAST ທີ່ມີການປ້ອງກັນ. ເຊີບເວີການກວດສອບຄວາມຖືກຕ້ອງຍັງບົ່ງບອກຕົວຕົນຂອງຜູ້ສະໜອງ, ແລະບໍ່ວ່າຜູ້ສະໜອງແມ່ນ Cisco TrustSec-capable, ຕໍ່ກັບຜູ້ກວດສອບຄວາມຖືກຕ້ອງໂດຍໃຊ້ຄຸນລັກສະນະ RADIUS ໃນຂໍ້ຄວາມເຂົ້າເຖິງ.
ເນື່ອງຈາກວ່າແຕ່ລະອຸປະກອນຮູ້ຕົວຕົນຂອງເພື່ອນມິດຂອງຕົນ, ມັນສາມາດສົ່ງ RADIUS Access-Requests ເພີ່ມເຕີມໄປຫາເຊີບເວີການກວດສອບຄວາມຖືກຕ້ອງເພື່ອໃຫ້ໄດ້ນະໂຍບາຍທີ່ຈະນໍາໃຊ້ໃນການເຊື່ອມຕໍ່.

802.1X ການເລືອກບົດບາດ

ໃນ 802.1X, authenticator ຕ້ອງມີການເຊື່ອມຕໍ່ IP ກັບເຄື່ອງແມ່ຂ່າຍຂອງການກວດສອບຄວາມຖືກຕ້ອງເພາະວ່າມັນຕ້ອງ relay ການແລກປ່ຽນການພິສູດຢືນຢັນລະຫວ່າງ supplicant ແລະ authenticator ໂດຍໃຊ້ RADIUS ຜ່ານ UDP/IP. ເມື່ອອຸປະກອນ endpoint, ເຊັ່ນ PC, ເຊື່ອມຕໍ່ກັບເຄືອຂ່າຍ, ມັນຈະແຈ້ງວ່າມັນຄວນຈະເຮັດຫນ້າທີ່ເປັນ supplicant. ຢ່າງໃດກໍ່ຕາມ, ໃນກໍລະນີຂອງການເຊື່ອມຕໍ່ Cisco TrustSec ລະຫວ່າງສອງອຸປະກອນເຄືອຂ່າຍ, ບົດບາດ 802.1X ຂອງແຕ່ລະອຸປະກອນເຄືອຂ່າຍອາດຈະບໍ່ປາກົດໃຫ້ເຫັນໃນທັນທີກັບອຸປະກອນເຄືອຂ່າຍອື່ນ.

ແທນທີ່ຈະຮຽກຮ້ອງໃຫ້ມີການຕັ້ງຄ່າຄູ່ມືຂອງຕົວພິສູດຢືນຢັນ ແລະບົດບາດຂອງຕົວຊີ້ຂາດສຳລັບສອງສະວິດທີ່ຢູ່ຕິດກັນ, Cisco TrustSec ແລ່ນລະບົບການເລືອກບົດບາດເພື່ອກຳນົດອັດຕະໂນມັດວ່າສະວິດໃດເຮັດໜ້າທີ່ເປັນຕົວຢືນຢັນ ແລະອັນໃດເຮັດໜ້າທີ່ເປັນຜູ້ສະໜອງ. ຂັ້ນຕອນການເລືອກບົດບາດມອບໝາຍບົດບາດຕົວພິສູດຢືນຢັນໃຫ້ກັບສະວິດທີ່ມີການເຂົ້າເຖິງ IP ໃຫ້ກັບເຊີບເວີ RADIUS. ທັງສອງສະຫຼັບເລີ່ມທັງເຄື່ອງພິສູດຢືນຢັນ ແລະເຄື່ອງຂອງລັດທີ່ສະໜອງໃຫ້. ເມື່ອສະວິດກວດພົບວ່າມິດສະຫາຍຂອງມັນມີການເຂົ້າເຖິງເຊີບເວີ RADIUS, ມັນຈະຢຸດເຄື່ອງຂອງລັດຕົວຢືນຢັນຕົວຕົນຂອງຕົນເອງ ແລະສົມມຸດບົດບາດຂອງຜູ້ສະໜອງ. ຖ້າສະຫຼັບທັງສອງມີການເຂົ້າເຖິງເຊີບເວີ RADIUS, ສະຫຼັບທຳອິດທີ່ຈະໄດ້ຮັບການຕອບສະໜອງຈາກເຊີບເວີ RADIUS ຈະກາຍເປັນຕົວຢືນຢັນ ແລະສະວິດອື່ນຈະກາຍເປັນຜູ້ສະໜອງ.

Cisco TrustSec Authentication Summary

ໃນຕອນທ້າຍຂອງຂະບວນການກວດສອບຄວາມຖືກຕ້ອງ Cisco TrustSec, ເຄື່ອງແມ່ຂ່າຍການພິສູດຢືນຢັນໄດ້ດໍາເນີນການດັ່ງຕໍ່ໄປນີ້:

ຢັ້ງຢືນຕົວຕົນຂອງຜູ້ສະໜອງ ແລະຜູ້ຢັ້ງຢືນ.

ຢືນຢັນຜູ້ໃຊ້ຖ້າຜູ້ສະໜອງແມ່ນອຸປະກອນປາຍທາງ.

ໃນຕອນທ້າຍຂອງຂະບວນການກວດສອບຄວາມຖືກຕ້ອງຂອງ Cisco TrustSec, ທັງຜູ້ພິສູດຢືນຢັນ ແລະຜູ້ສະໜອງຮູ້ສິ່ງຕໍ່ໄປນີ້:

ຕໍ່ໄປນີ້:

ID ອຸປະກອນຂອງຄູ່
ຂໍ້ມູນຄວາມສາມາດຂອງ Cisco TrustSec ຂອງມິດສະຫາຍ

ກະແຈທີ່ໃຊ້ສໍາລັບ SAP

ຕົວຕົນຂອງອຸປະກອນ

Cisco TrustSec ບໍ່ໃຊ້ທີ່ຢູ່ IP ຫຼືທີ່ຢູ່ MAC ເປັນຕົວຕົນຂອງອຸປະກອນ. ແທນທີ່ຈະ, ທ່ານກໍານົດຊື່ (ID ອຸປະກອນ) ໃຫ້ກັບແຕ່ລະສະຫຼັບ Cisco TrustSec-capable ເພື່ອກໍານົດມັນເປັນເອກະລັກໃນໂດເມນ Cisco TrustSec. ID ອຸປະກອນນີ້ຖືກໃຊ້ສຳລັບສິ່ງຕໍ່ໄປນີ້:

ຊອກຫານະໂຍບາຍການອະນຸຍາດ

ຊອກຫາລະຫັດຜ່ານໃນຖານຂໍ້ມູນໃນລະຫວ່າງການພິສູດຢືນຢັນ

ຂໍ້ມູນປະຈໍາຕົວອຸປະກອນ

Cisco TrustSec ສະຫນັບສະຫນູນຂໍ້ມູນປະຈໍາຕົວໂດຍອີງໃສ່ລະຫັດຜ່ານ. Cisco TrustSec ພິສູດຢືນຢັນຜູ້ສະໜອງຜ່ານລະຫັດຜ່ານ ແລະໃຊ້ MSCHAPv2 ເພື່ອສະໜອງການພິສູດຢືນຢັນເຊິ່ງກັນແລະກັນ.

ເຊີບເວີການພິສູດຢືນຢັນໃຊ້ຂໍ້ມູນປະຈຳຕົວເຫຼົ່ານີ້ເພື່ອພິສູດຢືນຢັນຕົວຕົນຂອງຜູ່ສະໜອງໃຫ້ເຊິ່ງກັນແລະກັນໃນລະຫວ່າງໄລຍະ EAP-FAST 0 (ການສະໜອງ) ການແລກປ່ຽນທີ່ PAC ສະໜອງໃຫ້ຢູ່ໃນຜູ້ສະໜອງ. Cisco TrustSec ບໍ່ປະຕິບັດການແລກປ່ຽນ EAP-FAST ໄລຍະ 0 ອີກເທື່ອຫນຶ່ງຈົນກ່ວາ PAC ຈະຫມົດອາຍຸ, ແລະພຽງແຕ່ປະຕິບັດການແລກປ່ຽນ EAP-FAST ໄລຍະ 1 ແລະໄລຍະ 2 ສໍາລັບການນໍາເອົາການເຊື່ອມຕໍ່ໃນອະນາຄົດ. ການແລກປ່ຽນ EAP-FAST ໄລຍະ 1 ໃຊ້ PAC ເພື່ອກວດສອບຄວາມຖືກຕ້ອງເຊິ່ງກັນແລະກັນກັບເຊີບເວີການກວດສອບຄວາມຖືກຕ້ອງແລະຜູ້ສະຫນອງ. Cisco TrustSec ໃຊ້ຂໍ້ມູນປະຈຳຕົວຂອງອຸປະກອນພຽງແຕ່ໃນລະຫວ່າງຂັ້ນຕອນການສະໜອງ PAC (ຫຼືການດັດແກ້) ຄືນໃໝ່.

ເມື່ອຜູ້ຮ້ອງຂໍເຂົ້າຮ່ວມໂດເມນ Cisco TrustSec ທໍາອິດ, ເຊີບເວີການກວດສອບຄວາມຖືກຕ້ອງຈະຢືນຢັນຜູ້ສະໜອງ ແລະຊຸກດັນລະຫັດທີ່ແບ່ງປັນ ແລະເຂົ້າລະຫັດ token ໄປຫາຜູ້ສະໜອງກັບ PAC. ເຊີບເວີການພິສູດຢືນຢັນ ແລະຜູ້ສະໜອງໃຊ້ລະຫັດ ແລະໂທເຄັນນີ້ເພື່ອການພິສູດຢືນຢັນເຊິ່ງກັນແລະກັນໃນທຸກການແລກປ່ຽນ EAP-FAST ໄລຍະ 0 ໃນອະນາຄົດ.

ຂໍ້ມູນປະຈໍາຕົວຜູ້ໃຊ້

Cisco TrustSec ບໍ່ຕ້ອງການປະເພດສະເພາະຂອງຂໍ້ມູນປະຈໍາຕົວຂອງຜູ້ໃຊ້ສໍາລັບອຸປະກອນ endpoint. ທ່ານສາມາດເລືອກເອົາທຸກປະເພດຂອງວິທີການກວດສອບຜູ້ໃຊ້ທີ່ສະຫນັບສະຫນູນໂດຍເຄື່ອງແມ່ຂ່າຍຂອງການກວດສອບ, ແລະນໍາໃຊ້ໃບຢັ້ງຢືນທີ່ສອດຄ້ອງກັນ. ຕົວຢ່າງampດັ່ງນັ້ນ, Cisco Secure Access Control System (ACS) ເວີຊັ່ນ 5.1 ຮອງຮັບ MSCHAPv2, generic token card (GTC), ຫຼື RSA one-time password (OTP)

ການຄວບຄຸມການເຂົ້າເຖິງທີ່ອີງໃສ່ກຸ່ມຄວາມປອດໄພ
ພາກນີ້ໃຫ້ຂໍ້ມູນກ່ຽວກັບລາຍຊື່ການຄວບຄຸມການເຂົ້າເຖິງກຸ່ມຄວາມປອດໄພ (SGACLs).

ກຸ່ມຄວາມປອດໄພ ແລະ SGTs
ກຸ່ມຄວາມປອດໄພແມ່ນກຸ່ມຜູ້ໃຊ້, ອຸປະກອນປາຍທາງ ແລະຊັບພະຍາກອນທີ່ແບ່ງປັນນະໂຍບາຍການຄວບຄຸມການເຂົ້າເຖິງ. ກຸ່ມຄວາມປອດໄພຖືກກໍານົດໂດຍຜູ້ບໍລິຫານໃນ Cisco ISE ຫຼື Cisco Secure ACS. ເນື່ອງຈາກຜູ້ໃຊ້ ແລະອຸປະກອນໃໝ່ຖືກເພີ່ມໃສ່ໂດເມນ Cisco TrustSec, ເຊີບເວີການພິສູດຢືນຢັນຈະມອບໝາຍໜ່ວຍງານໃໝ່ເຫຼົ່ານີ້ໃຫ້ກັບກຸ່ມຄວາມປອດໄພທີ່ເໝາະສົມ. Cisco TrustSec ມອບໝາຍໃຫ້ແຕ່ລະກຸ່ມຄວາມປອດໄພເປັນໝາຍເລກກຸ່ມຄວາມປອດໄພ 16-bit ທີ່ເປັນເອກະລັກ ທີ່ມີຂອບເຂດທົ່ວໂລກພາຍໃນໂດເມນ Cisco TrustSec. ຈໍານວນຂອງກຸ່ມຄວາມປອດໄພໃນອຸປະກອນແມ່ນຈໍາກັດຈໍານວນຂອງຫນ່ວຍງານເຄືອຂ່າຍທີ່ຮັບຮອງໄດ້. ທ່ານບໍ່ ຈຳ ເປັນຕ້ອງ ກຳ ນົດຕົວເລກກຸ່ມຄວາມປອດໄພດ້ວຍຕົນເອງ.

ເມື່ອອຸປະກອນໄດ້ຮັບການຢືນຢັນແລ້ວ, Cisco TrustSec tags ແພັກເກັດທີ່ມາຈາກອຸປະກອນນັ້ນກັບກຸ່ມຄວາມປອດໄພ tag (SGT) ທີ່ປະກອບດ້ວຍໝາຍເລກກຸ່ມຄວາມປອດໄພຂອງອຸປະກອນ. ຊຸດບັນຈຸ SGT ນີ້ໃນທົ່ວເຄືອຂ່າຍພາຍໃນສ່ວນຫົວ Cisco TrustSec. SGT ແມ່ນປ້າຍຊື່ດຽວທີ່ກໍານົດສິດທິພິເສດຂອງແຫຼ່ງພາຍໃນວິສາຫະກິດທັງຫມົດ.

ເນື່ອງຈາກວ່າ SGT ປະກອບດ້ວຍກຸ່ມຄວາມປອດໄພຂອງແຫຼ່ງ, ໄດ້ tag ສາມາດເອີ້ນວ່າ SGT ແຫຼ່ງ. ອຸປະກອນປາຍທາງຍັງຖືກມອບຫມາຍໃຫ້ກຸ່ມຄວາມປອດໄພ (SG ຈຸດຫມາຍປາຍທາງ) ທີ່ສາມາດອ້າງອີງເຖິງຄວາມງ່າຍດາຍເປັນກຸ່ມປາຍທາງ. tag (DGT), ເຖິງແມ່ນວ່າແພັກເກັດ Cisco TrustSec ຕົວຈິງ tag ບໍ່ມີໝາຍເລກກຸ່ມຄວາມປອດໄພຂອງອຸປະກອນປາຍທາງ.

ສະຫນັບສະຫນູນກຸ່ມຄວາມປອດໄພ ACL
ລາຍຊື່ການຄວບຄຸມການເຂົ້າເຖິງກຸ່ມຄວາມປອດໄພ (SGACLs) ແມ່ນການບັງຄັບໃຊ້ນະໂຍບາຍໂດຍຜ່ານທີ່ຜູ້ບໍລິຫານສາມາດຄວບຄຸມການດໍາເນີນການໂດຍຜູ້ໃຊ້, ອີງຕາມການມອບຫມາຍກຸ່ມຄວາມປອດໄພແລະຊັບພະຍາກອນປາຍທາງ. ການບັງຄັບໃຊ້ນະໂຍບາຍພາຍໃນໂດເມນ Cisco Trustsec ແມ່ນສະແດງໂດຍຕາຕະລາງການອະນຸຍາດ, ໂດຍມີໝາຍເລກກຸ່ມຄວາມປອດໄພແຫຼ່ງຢູ່ໃນແກນໜຶ່ງ ແລະໝາຍເລກກຸ່ມຄວາມປອດໄພປາຍທາງຢູ່ໃນແກນອື່ນ. ແຕ່ລະເຊລໃນເມທຣິກມີລາຍຊື່ SGACLs ທີ່ສັ່ງ, ເຊິ່ງລະບຸການອະນຸຍາດທີ່ຄວນໃຊ້ກັບແພັກເກັດທີ່ມາຈາກ IP ທີ່ເປັນຂອງກຸ່ມຄວາມປອດໄພແຫຼ່ງ ແລະ ມີ IP ປາຍທາງທີ່ເປັນຂອງກຸ່ມຄວາມປອດໄພປາຍທາງ.

SGACL ສະຫນອງກົນໄກການຄວບຄຸມການເຂົ້າເຖິງທີ່ບໍ່ມີລັດໂດຍອີງໃສ່ສະມາຄົມຄວາມປອດໄພຫຼືກຸ່ມຄວາມປອດໄພ tag ຄ່າແທນທີ່ຢູ່ IP ແລະຕົວກອງ. ມີສາມວິທີໃນການສະຫນອງນະໂຍບາຍ SGACL:

ການສະຫນອງນະໂຍບາຍຄົງທີ່: ນະໂຍບາຍ SGACL ຖືກກໍານົດໂດຍຜູ້ໃຊ້ໂດຍໃຊ້ຄໍາສັ່ງ cts ການອະນຸຍາດໂດຍອີງໃສ່ບົດບາດ.

ການຈັດຫານະໂຍບາຍແບບໄດນາມິກ: ການຕັ້ງຄ່ານະໂຍບາຍ SGACL ຄວນຈະເຮັດເປັນຕົ້ນຕໍຜ່ານຫນ້າທີ່ການຈັດການນະໂຍບາຍຂອງ Cisco Secure ACS ຫຼື Cisco Identity Services Engine.
ການປ່ຽນແປງການອະນຸຍາດ (CoA): ນະໂຍບາຍສະບັບປັບປຸງຖືກດາວໂຫຼດເມື່ອນະໂຍບາຍ SGACL ໄດ້ຖືກດັດແກ້ໃນ ISE ແລະ CoA ຈະຖືກຊຸກດັນໃຫ້ອຸປະກອນ Cisco TrustSec.
ຍົນຂໍ້ມູນອຸປະກອນໄດ້ຮັບແພັກເກັດ CoA ຈາກຜູ້ໃຫ້ບໍລິການນະໂຍບາຍ (ISE) ແລະນຳໃຊ້ນະໂຍບາຍກັບແພັກເກັດ CoA. ແພັກເກັດຖືກສົ່ງຕໍ່ໄປຫາຍົນຄວບຄຸມອຸປະກອນທີ່ລະດັບຕໍ່ໄປຂອງການບັງຄັບໃຊ້ນະໂຍບາຍຈະເກີດຂຶ້ນສໍາລັບແພັກເກັດ CoA ທີ່ເຂົ້າມາ. ເຖິງ view ຂໍ້ມູນການໂຕ້ຕອບນະໂຍບາຍຮາດແວແລະຊອບແວ, ດໍາເນີນການສະແດງໃຫ້ເຫັນ cts ຄໍາສັ່ງ counters ຕາມຕໍາແຫນ່ງໃນຮູບແບບ EXEC ສິດທິພິເສດ.

ນະໂຍບາຍ SGACL

ການນໍາໃຊ້ລາຍຊື່ການຄວບຄຸມການເຂົ້າເຖິງກຸ່ມຄວາມປອດໄພ (SGACLs), ທ່ານສາມາດຄວບຄຸມການດໍາເນີນງານທີ່ຜູ້ໃຊ້ສາມາດປະຕິບັດໄດ້ໂດຍອີງໃສ່ການມອບຫມາຍກຸ່ມຄວາມປອດໄພຂອງຜູ້ໃຊ້ແລະຊັບພະຍາກອນປາຍທາງ. ການບັງຄັບໃຊ້ນະໂຍບາຍພາຍໃນໂດເມນ Cisco TrustSec ແມ່ນສະແດງໂດຍຕາຕະລາງການອະນຸຍາດ, ໂດຍມີໝາຍເລກກຸ່ມຄວາມປອດໄພແຫຼ່ງຢູ່ໃນແກນໜຶ່ງ ແລະໝາຍເລກກຸ່ມຄວາມປອດໄພປາຍທາງຢູ່ໃນແກນອື່ນ. ແຕ່ລະເຊລຢູ່ໃນຮ່າງກາຍຂອງມາຕຣິກເບື້ອງສາມາດມີລາຍຊື່ SGACLs ທີ່ສັ່ງໄວ້ເຊິ່ງລະບຸການອະນຸຍາດທີ່ຄວນໃຊ້ກັບແພັກເກັດທີ່ມາຈາກກຸ່ມຄວາມປອດໄພແຫຼ່ງ ແລະກໍານົດສໍາລັບກຸ່ມຄວາມປອດໄພປາຍທາງ.

ຕົວເລກຕໍ່ໄປນີ້ສະແດງໃຫ້ເຫັນ example ຂອງ Matrix ການອະນຸຍາດ Cisco TrustSec ສໍາລັບໂດເມນທີ່ງ່າຍດາຍທີ່ມີສາມບົດບາດຂອງຜູ້ໃຊ້ທີ່ກໍານົດໄວ້ແລະຫນຶ່ງຊັບພະຍາກອນປາຍທາງທີ່ກໍານົດໄວ້. ສາມນະໂຍບາຍ SGACL ຄວບຄຸມການເຂົ້າເຖິງເຄື່ອງແມ່ຂ່າຍປາຍທາງໂດຍອີງໃສ່ບົດບາດຂອງຜູ້ໃຊ້.

ຮູບທີ 3: SGACL Policy Matrix Example

CISCO Trustsec ສ້າງເຄືອຂ່າຍທີ່ປອດໄພ - ຮູບ 3

ໂດຍການມອບໝາຍຜູ້ໃຊ້ ແລະອຸປະກອນພາຍໃນເຄືອຂ່າຍໃຫ້ກັບກຸ່ມຄວາມປອດໄພ ແລະນຳໃຊ້ການຄວບຄຸມການເຂົ້າເຖິງລະຫວ່າງກຸ່ມຄວາມປອດໄພ, Cisco TrustSec ບັນລຸການຄວບຄຸມການເຂົ້າເຖິງແບບເອກະລາດຂອງ topology-based ໃນເຄືອຂ່າຍ. ເນື່ອງຈາກວ່າ SGACLs ກໍານົດນະໂຍບາຍການຄວບຄຸມການເຂົ້າເຖິງໂດຍອີງໃສ່ການລະບຸຕົວຕົນຂອງອຸປະກອນແທນທີ່ຈະເປັນທີ່ຢູ່ IP ຄືກັບ ACLs ແບບດັ້ງເດີມ, ອຸປະກອນເຄືອຂ່າຍແມ່ນບໍ່ເສຍຄ່າໃນການເຄື່ອນຍ້າຍໃນທົ່ວເຄືອຂ່າຍແລະປ່ຽນທີ່ຢູ່ IP.
ຕາບໃດທີ່ບົດບາດ ແລະສິດອະນຸຍາດຍັງຄົງຢູ່ຄືເກົ່າ, ການປ່ຽນແປງຂອງ topology ເຄືອຂ່າຍບໍ່ປ່ຽນແປງນະໂຍບາຍຄວາມປອດໄພ. ເມື່ອຜູ້ໃຊ້ຖືກເພີ່ມເຂົ້າໃນອຸປະກອນ, ທ່ານພຽງແຕ່ກໍາຫນົດຜູ້ໃຊ້ໃຫ້ກັບກຸ່ມຄວາມປອດໄພທີ່ເຫມາະສົມແລະຜູ້ໃຊ້ທັນທີໄດ້ຮັບການອະນຸຍາດຈາກກຸ່ມນັ້ນ.

ນະໂຍບາຍ SGACL ຖືກນໍາໃຊ້ກັບການຈະລາຈອນທີ່ສ້າງຂຶ້ນລະຫວ່າງສອງອຸປະກອນໂຮດ, ບໍ່ແມ່ນການຈາລະຈອນທີ່ຜະລິດຈາກອຸປະກອນໄປຫາອຸປະກອນໂຮດສຸດທ້າຍ.

ການນໍາໃຊ້ການອະນຸຍາດໂດຍອີງໃສ່ພາລະບົດບາດຫຼຸດລົງຢ່າງຫຼວງຫຼາຍຂອງຂະຫນາດຂອງ ACLs ແລະເຮັດໃຫ້ການບໍາລຸງຮັກສາຂອງເຂົາເຈົ້າງ່າຍຂຶ້ນ. ດ້ວຍ Cisco TrustSec, ຈໍານວນລາຍການຄວບຄຸມການເຂົ້າເຖິງ (ACEs) ທີ່ຖືກຕັ້ງຄ່າແມ່ນຖືກກໍານົດໂດຍຈໍານວນການອະນຸຍາດທີ່ລະບຸໄວ້, ສົ່ງຜົນໃຫ້ມີຈໍານວນ ACEs ຫນ້ອຍກວ່າໃນເຄືອຂ່າຍ IP ແບບດັ້ງເດີມ. ການນໍາໃຊ້ SGACLs ໃນ Cisco TrustSec ໂດຍປົກກະຕິເຮັດໃຫ້ການນໍາໃຊ້ຊັບພະຍາກອນ TCAM ມີປະສິດທິພາບຫຼາຍຂຶ້ນເມື່ອທຽບກັບ ACLs ແບບດັ້ງເດີມ. ສູງສຸດ 17,500 ນະໂຍບາຍ SGACL ໄດ້ຮັບການສະຫນັບສະຫນູນຢູ່ໃນ Catalyst 9500 Series Switches. ໃນຕົວປ່ຽນຊຸດປະສິດທິພາບສູງ Catalyst 9500, ສູງສຸດ 28,224 ນະໂຍບາຍ SGACL ໄດ້ຮັບການສະຫນັບສະຫນູນ.

ຂາເຂົ້າ Tagການບັງຄັບໃຊ້ ging ແລະ Egress

ການຄວບຄຸມການເຂົ້າເຖິງ Cisco TrustSec ຖືກປະຕິບັດໂດຍໃຊ້ ingress tagການບັງຄັບໃຊ້ ging ແລະ egress. ໃນຈຸດ ingress ໄປຫາໂດເມນ Cisco TrustSec, ການຈະລາຈອນຈາກແຫຼ່ງແມ່ນ tagged ກັບ SGT ທີ່ມີຈໍານວນກຸ່ມຄວາມປອດໄພຂອງຫນ່ວຍງານແຫຼ່ງ. SGT ໄດ້ຖືກຂະຫຍາຍພັນດ້ວຍການຈະລາຈອນໃນທົ່ວໂດເມນ. ຢູ່ທີ່ຈຸດ egress ຂອງໂດເມນ Cisco TrustSec, ອຸປະກອນ egress ໃຊ້ SGT ແຫຼ່ງທີ່ມາ ແລະໝາຍເລກກຸ່ມຄວາມປອດໄພຂອງຫົວໜ່ວຍປາຍທາງ (ປາຍທາງ SG, ຫຼື DGT) ເພື່ອກໍານົດນະໂຍບາຍການເຂົ້າເຖິງທີ່ຈະນໍາໃຊ້ຈາກ matrix ນະໂຍບາຍ SGACL.

ຕົວເລກຕໍ່ໄປນີ້ສະແດງໃຫ້ເຫັນວິທີການມອບຫມາຍ SGT ແລະການບັງຄັບໃຊ້ SGACL ດໍາເນີນການຢູ່ໃນໂດເມນ Cisco TrustSec.

ຮູບທີ 4: SGT ແລະ SGACL ໃນ Cisco TrustSec Domain

CISCO Trustsec ສ້າງເຄືອຂ່າຍທີ່ປອດໄພ - ຮູບ 4

PC ເຈົ້າພາບສົ່ງແພັກເກັດໄປຫາ web ເຊີບເວີ. ເຖິງແມ່ນວ່າ PC ແລະ web ເຊີບເວີບໍ່ແມ່ນສະມາຊິກຂອງໂດເມນ Cisco TrustSec, ເສັ້ນທາງຂໍ້ມູນຂອງແພັກເກັດປະກອບມີໂດເມນ Cisco TrustSec.

ອຸປະກອນ ingress Cisco TrustSec ປັບປຸງແພັກເກັດເພື່ອເພີ່ມ SGT ທີ່ມີກຸ່ມຄວາມປອດໄພໝາຍເລກ 3, ໝາຍເລກກຸ່ມຄວາມປອດໄພທີ່ຖືກມອບໝາຍໂດຍເຊີບເວີການກວດສອບຄວາມຖືກຕ້ອງສຳລັບໂຮດຄອມພິວເຕີ.
ອຸປະກອນ egress Cisco TrustSec ບັງຄັບໃຊ້ນະໂຍບາຍ SGACL ທີ່ນຳໃຊ້ກັບກຸ່ມແຫຼ່ງທີ່ມາ 3 ແລະກຸ່ມປາຍທາງ 4, ໝາຍເລກກຸ່ມຄວາມປອດໄພທີ່ຖືກມອບໝາຍໂດຍເຊີບເວີການກວດສອບຄວາມຖືກຕ້ອງຂອງ web ເຊີບເວີ.

ຖ້າ SGACL ອະນຸຍາດໃຫ້ສົ່ງຕໍ່ແພັກເກັດ, Cisco TrustSec egress switch ດັດແປງແພັກເກັດເພື່ອເອົາ SGT ແລະສົ່ງຕໍ່ແພັກເກັດໄປຫາ. web ເຊີບເວີ.

ການກໍານົດກຸ່ມຄວາມປອດໄພແຫຼ່ງ

ອຸປະກອນເຄືອຂ່າຍຢູ່ທາງເຂົ້າຂອງໂດເມນ Cisco TrustSec ຕ້ອງກຳນົດ SGT ຂອງແພັກເກັດທີ່ເຂົ້າມາໃນໂດເມນ Cisco TrustSec ເພື່ອໃຫ້ມັນສາມາດ tag ແພັກເກັດທີ່ມີ SGT ນັ້ນເມື່ອມັນສົ່ງມັນເຂົ້າໄປໃນໂດເມນ Cisco TrustSec. ອຸປະກອນເຄືອຂ່າຍ egress ຕ້ອງກໍານົດ SGT ຂອງແພັກເກັດເພື່ອນໍາໃຊ້ SGACL.

ອຸປະກອນເຄືອຂ່າຍສາມາດກໍານົດ SGT ສໍາລັບແພັກເກັດໃນຫນຶ່ງໃນວິທີການດັ່ງຕໍ່ໄປນີ້:

ຮັບເອົາແຫຼ່ງ SGT ໃນລະຫວ່າງການໄດ້ມານະໂຍບາຍ—ຫຼັງຈາກໄລຍະການກວດສອບຄວາມຖືກຕ້ອງຂອງ Cisco TrustSec, ອຸປະກອນເຄືອຂ່າຍໄດ້ຮັບຂໍ້ມູນນະໂຍບາຍຈາກເຊີບເວີການພິສູດຢືນຢັນ, ເຊິ່ງຊີ້ບອກວ່າອຸປະກອນຄູ່ນັ້ນເຊື່ອຖືໄດ້ຫຼືບໍ່. ຖ້າອຸປະກອນເພື່ອນມິດບໍ່ເຊື່ອຖືໄດ້, ເຊີບເວີການພິສູດຢືນຢັນຍັງສາມາດໃຫ້ SGT ເພື່ອນຳໃຊ້ກັບແພັກເກັດທັງໝົດທີ່ມາຈາກອຸປະກອນເພື່ອນ.

ເອົາແຫຼ່ງທີ່ມາ SGT ຈາກແພັກເກັດ—ຖ້າແພັກເກັດມາຈາກອຸປະກອນທີ່ເຊື່ອຖືໄດ້, ແພັກເກັດຈະຖື SGT. ນີ້ໃຊ້ກັບອຸປະກອນເຄືອຂ່າຍທີ່ບໍ່ແມ່ນອຸປະກອນເຄືອຂ່າຍທໍາອິດໃນໂດເມນ Cisco TrustSec ສໍາລັບແພັກເກັດ.
ຊອກຫາແຫຼ່ງ SGT ໂດຍອີງໃສ່ຕົວຕົນຂອງແຫຼ່ງ - ດ້ວຍ Identity Port Mapping (IPM), ທ່ານສາມາດປັບຄ່າການເຊື່ອມຕໍ່ດ້ວຍຕົນເອງດ້ວຍຕົວຕົນຂອງເພື່ອນທີ່ເຊື່ອມຕໍ່. ອຸປະກອນເຄືອຂ່າຍຮ້ອງຂໍຂໍ້ມູນນະໂຍບາຍ, ລວມທັງ SGT ແລະສະຖານະຄວາມໄວ້ວາງໃຈ, ຈາກເຄື່ອງແມ່ຂ່າຍການພິສູດຢືນຢັນ.
ຊອກຫາແຫຼ່ງ SGT ໂດຍອີງໃສ່ທີ່ຢູ່ IP ແຫຼ່ງ - ໃນບາງກໍລະນີ, ທ່ານສາມາດຕັ້ງຄ່ານະໂຍບາຍດ້ວຍຕົນເອງເພື່ອຕັດສິນໃຈ SGT ຂອງແພັກເກັດໂດຍອີງໃສ່ທີ່ຢູ່ IP ຂອງມັນ. SGT Exchange Protocol (SXP) ຍັງສາມາດສ້າງຕາຕະລາງການສ້າງແຜນທີ່ IP-address-to-SGT.

ການກໍານົດກຸ່ມຄວາມປອດໄພປາຍທາງ

ອຸປະກອນເຄືອຂ່າຍ egress ໃນໂດເມນ Cisco TrustSec ກໍານົດກຸ່ມປາຍທາງ (DGT) ສໍາລັບການນໍາໃຊ້ SGACL. ອຸປະກອນເຄືອຂ່າຍກໍານົດກຸ່ມຄວາມປອດໄພປາຍທາງສໍາລັບແພັກເກັດໂດຍໃຊ້ວິທີການດຽວກັນທີ່ໃຊ້ສໍາລັບການກໍານົດກຸ່ມຄວາມປອດໄພຂອງແຫຼ່ງ, ຍົກເວັ້ນການໄດ້ຮັບຈໍານວນກຸ່ມຈາກແພັກເກັດ. tag. ໝາຍເລກກຸ່ມຄວາມປອດໄພປາຍທາງບໍ່ໄດ້ລວມຢູ່ໃນແພັກເກັດ tag.

ໃນບາງກໍລະນີ, ອຸປະກອນ ingress ຫຼືອຸປະກອນທີ່ບໍ່ແມ່ນ egress ອື່ນໆອາດຈະມີຂໍ້ມູນກຸ່ມປາຍທາງທີ່ມີຢູ່. ໃນກໍລະນີດັ່ງກ່າວ, SGACLs ອາດຈະຖືກນໍາໃຊ້ໃນອຸປະກອນເຫຼົ່ານີ້ແທນທີ່ຈະເປັນອຸປະກອນ egress.

ການບັງຄັບໃຊ້ SGACL ໃນເສັ້ນທາງ ແລະປ່ຽນເສັ້ນທາງ
ການບັງຄັບໃຊ້ SGACL ແມ່ນໃຊ້ໃນການຈະລາຈອນ IP ເທົ່ານັ້ນ, ແຕ່ການບັງຄັບໃຊ້ສາມາດຖືກນໍາໃຊ້ກັບການຈະລາຈອນທີ່ປ່ຽນເສັ້ນທາງຫຼືປ່ຽນ.
ສໍາລັບເສັ້ນທາງການສັນຈອນ, ການບັງຄັບໃຊ້ SGACL ແມ່ນປະຕິບັດໂດຍສະວິດ egress, ໂດຍປົກກະຕິສະວິດການແຈກຢາຍຫຼືສະຫຼັບການເຂົ້າເຖິງທີ່ມີພອດເສັ້ນທາງທີ່ເຊື່ອມຕໍ່ກັບເຈົ້າພາບປາຍທາງ. ເມື່ອທ່ານເປີດໃຊ້ການບັງຄັບໃຊ້ SGACL ທົ່ວໂລກ, ການບັງຄັບໃຊ້ຈະຖືກເປີດໃຊ້ໂດຍອັດຕະໂນມັດໃນທຸກຊັ້ນຂໍ້ມູນ 3 ຍົກເວັ້ນການໂຕ້ຕອບ SVI.

ສໍາລັບການສະຫຼັບການຈະລາຈອນ, ການບັງຄັບໃຊ້ SGACL ແມ່ນດໍາເນີນຢູ່ໃນການຈະລາຈອນທີ່ໄຫຼຢູ່ພາຍໃນໂດເມນສະຫຼັບດຽວໂດຍບໍ່ມີຫນ້າທີ່ກໍານົດເສັ້ນທາງໃດໆ. ອະດີດample ຈະເປັນການບັງຄັບໃຊ້ SGACL ປະຕິບັດໂດຍສະຫຼັບການເຂົ້າເຖິງສູນຂໍ້ມູນໃນການເຂົ້າຊົມເຊີບເວີຫາເຊີບເວີລະຫວ່າງສອງເຊີບເວີທີ່ເຊື່ອມຕໍ່ໂດຍກົງ. ໃນນີ້ exampດັ່ງນັ້ນ, ການຈາລະຈອນຂອງເຊີບເວີກັບເຄື່ອງແມ່ຂ່າຍມັກຈະຖືກປ່ຽນ. ການບັງຄັບໃຊ້ SGACL ສາມາດໃຊ້ກັບແພັກເກັດທີ່ປ່ຽນພາຍໃນ VLAN ຫຼືສົ່ງຕໍ່ໄປຫາ SVI ທີ່ກ່ຽວຂ້ອງກັບ VLAN, ແຕ່ການບັງຄັບຕ້ອງຖືກເປີດໃຊ້ຢ່າງຈະແຈ້ງສໍາລັບແຕ່ລະ VLAN.

ບັນທຶກ SGACL ແລະສະຖິຕິ ACE

ເມື່ອເປີດໃຊ້ການບັນທຶກໃນ SGACL, ອຸປະກອນຈະບັນທຶກຂໍ້ມູນຕໍ່ໄປນີ້:

ກຸ່ມຄວາມປອດໄພແຫຼ່ງ tag (SGT) ແລະປາຍທາງ SGT
ຊື່ນະໂຍບາຍ SGACL
ປະເພດໂປຣໂຕຄໍແພັກເກັດ
ການປະຕິບັດໄດ້ຖືກປະຕິບັດຢູ່ໃນຊຸດ

ຕົວເລືອກບັນທຶກນຳໃຊ້ກັບ ACEs ແຕ່ລະອັນ ແລະເຮັດໃຫ້ແພັກເກັດທີ່ກົງກັບ ACE ທີ່ຈະຖືກບັນທຶກ. ແພັກເກັດທໍາອິດທີ່ບັນທຶກໂດຍຄໍາຫລັກບັນທຶກສ້າງຂໍ້ຄວາມ syslog. ຂໍ້ຄວາມບັນທຶກຕໍ່ມາແມ່ນໄດ້ຮັບການສ້າງແລະລາຍງານໃນໄລຍະຫ້ານາທີ. ຖ້າ ACE ທີ່ເປີດໃຊ້ງານບັນທຶກກົງກັບແພັກເກັດອື່ນ (ມີລັກສະນະດຽວກັນກັບແພັກເກັດທີ່ສ້າງຂໍ້ຄວາມບັນທຶກ), ຈໍານວນແພັກເກັດທີ່ຈັບຄູ່ຈະຖືກເພີ່ມຂຶ້ນ (ຕົວນັບ) ແລະຫຼັງຈາກນັ້ນລາຍງານ.

ເພື່ອເປີດໃຊ້ການບັນທຶກ, ໃຊ້ຄໍາສໍາຄັນບັນທຶກຢູ່ທາງຫນ້າຂອງຄໍານິຍາມ ACE ໃນການຕັ້ງຄ່າ SGACL. ຕົວຢ່າງample, ອະນຸຍາດໃຫ້ບັນທຶກ ip.

ເມື່ອບັນທຶກ SGACL ຖືກເປີດໃຊ້, ICMP ຮ້ອງຂໍຂໍ້ຄວາມຈາກອຸປະກອນໄປຫາລູກຄ້າບໍ່ໄດ້ເຂົ້າສູ່ລະບົບ
ໂປຣໂຕຄໍ IPv4 ແລະ IPv6. ແນວໃດກໍ່ຕາມ; ICMP ຂໍ້ຄວາມຕອບສະຫນອງຈາກລູກຄ້າໄປຫາອຸປະກອນໄດ້ຖືກບັນທຶກ.

ຕໍ່ໄປນີ້ແມ່ນເປັນample log, ສະແດງ SGTs ແຫຼ່ງແລະປາຍທາງ, ACE matches (ສໍາລັບການອະນຸຍາດຫຼືປະຕິເສດການປະຕິບັດ), ແລະ protocol, ນັ້ນແມ່ນ, TCP, UDP, IGMP, ແລະຂໍ້ມູນ ICMP:

*2 ມິຖຸນາ 08:58:06.489: %C4K_IOSINTF-6-SGACLHIT: ລາຍຊື່ deny_udp_src_port_log-30 ປະຕິເສດ udp 24.0.0.23(100) -> 28.0.0.91(100), SGT8 DGT

ນອກເຫນືອໄປຈາກສະຖິຕິ SGACL 'ຕໍ່ເຊນ' ທີ່ມີຢູ່, ເຊິ່ງສາມາດສະແດງໄດ້ໂດຍໃຊ້ການສະແດງ cts ໂດຍອີງໃສ່ບົດບາດ
ຄໍາສັ່ງ counters, ທ່ານຍັງສາມາດສະແດງສະຖິຕິ ACE, ໂດຍໃຊ້ຄໍາສັ່ງ show ip access-list sgacl_name. ບໍ່ຈໍາເປັນຕ້ອງມີການຕັ້ງຄ່າເພີ່ມເຕີມສໍາລັບການນີ້.
ຕໍ່ໄປນີ້ example ສະແດງໃຫ້ເຫັນວິທີທີ່ທ່ານສາມາດນໍາໃຊ້ຄໍາສັ່ງ show ip access-list ເພື່ອສະແດງການນັບ ACE

ອຸປະກອນ# ສະແດງ ip access-control deny_udp_src_port_log-30
ລາຍຊື່ການເຂົ້າເຖິງ IP ທີ່ອີງໃສ່ບົດບາດ deny_udp_src_port_log-30 (ດາວໂຫຼດແລ້ວ)
10 ປະຕິເສດ udp src eq 100 log (283 ກົງກັນ)
20 ໃບອະນຸຍາດ ip log (50 matches)

ເມື່ອການຈະລາຈອນຂາເຂົ້າກົງກັບເຊນ, ແຕ່ບໍ່ກົງກັບ SGACL ຂອງເຊນ, ການຈະລາຈອນໄດ້ຖືກອະນຸຍາດແລະຕົວນັບຈະຖືກເພີ່ມເຂົ້າໃນ HW-Permit ສໍາລັບເຊນ.

ຕໍ່ໄປນີ້ example ສະແດງໃຫ້ເຫັນວ່າ SGACL ຂອງເຊລເຮັດວຽກແນວໃດ:

ນະໂຍບາຍ SGACL ຖືກຕັ້ງຄ່າຈາກ 5 ຫາ 18 ດ້ວຍ "ປະຕິເສດ icmp echo" ແລະມີການຈະລາຈອນຂາເຂົ້າຈາກ 5 ຫາ 18 ດ້ວຍຫົວ TCP. ຖ້າຕາລາງກົງກັນຈາກ 5 ຫາ 18 ແຕ່ການຈະລາຈອນບໍ່ກົງກັບ icmp, ການຈະລາຈອນຈະຖືກອະນຸຍາດແລະ HW-Permit counter ຂອງເຊນ 5 ຫາ 18 ຈະໄດ້ຮັບການເພີ່ມຂຶ້ນ.

CISCO Trustsec ສ້າງເຄືອຂ່າຍທີ່ປອດໄພ - ນະໂຍບາຍ SGACL ຖືກຕັ້ງຄ່າຈາກ 5 ຫາ 18 ດ້ວຍ "ປະຕິເສດ icmp echo

ການບັນທຶກ SGACL ທີ່ຮູ້ຈັກ VRF

ບັນທຶກລະບົບ SGACL ຈະປະກອບມີຂໍ້ມູນ VRF. ນອກເຫນືອຈາກຊ່ອງຂໍ້ມູນທີ່ຖືກບັນທຶກໃນປັດຈຸບັນ, ຂໍ້ມູນບັນທຶກຈະປະກອບມີຊື່ VRF. ຂໍ້ມູນບັນທຶກການປັບປຸງຈະເປັນດັ່ງລຸ່ມນີ້:

*15 ພະຈິກ 02:18:52.187: %RBM-6-SGACLHIT_V6: ingress_interface='GigabitEthernet1/0/15′ sgacl_name='IPV6_TCP_DENY' action='Deny' protocol='tcp' src-vrf' -ip='25::2′ src-port='20'
dest-vrf='CTS-VRF' dest-ip='49::2′ dest-port='30' sgt='200′ dgt='500′ logging_interval_hits='1′

ໂໝດ SGACL Monitor
ໃນລະຫວ່າງໄລຍະເບື້ອງຕົ້ນຂອງ Cisco TrustSec, ຜູ້ເບິ່ງແຍງລະບົບຈະໃຊ້ໂຫມດຕິດຕາມກວດກາເພື່ອທົດສອບນະໂຍບາຍຄວາມປອດໄພໂດຍບໍ່ມີການບັງຄັບໃຊ້ເພື່ອໃຫ້ແນ່ໃຈວ່ານະໂຍບາຍເຮັດວຽກຕາມຈຸດປະສົງ. ຖ້ານະໂຍບາຍຄວາມປອດໄພບໍ່ເຮັດວຽກຕາມທີ່ຕັ້ງໄວ້, ໂຫມດຕິດຕາມກວດກາສະຫນອງກົນໄກທີ່ສະດວກສໍາລັບການກໍານົດສິ່ງນັ້ນແລະໃຫ້ໂອກາດທີ່ຈະແກ້ໄຂນະໂຍບາຍກ່ອນທີ່ຈະເປີດໃຊ້ການບັງຄັບໃຊ້ SGACL. ອັນນີ້ເຮັດໃຫ້ຜູ້ບໍລິຫານສາມາດເບິ່ງເຫັນຜົນຂອງການປະຕິບັດນະໂຍບາຍໄດ້ເພີ່ມຂຶ້ນ ກ່ອນທີ່ເຂົາເຈົ້າຈະບັງຄັບໃຊ້ມັນ, ແລະຢືນຢັນວ່ານະໂຍບາຍວິຊາດັ່ງກ່າວກົງກັບຄວາມຕ້ອງການດ້ານຄວາມປອດໄພ (ການເຂົ້າເຖິງຈະຖືກປະຕິເສດກັບຊັບພະຍາກອນຖ້າຜູ້ໃຊ້ບໍ່ໄດ້
ອະນຸຍາດ).
ຄວາມສາມາດໃນການຕິດຕາມແມ່ນສະຫນອງໃຫ້ຢູ່ໃນລະດັບຄູ່ SGT-DGT. ເມື່ອທ່ານເປີດໃຊ້ຄຸນສົມບັດການຕິດຕາມກວດກາ SGACL, ການປະຕິບັດການປະຕິເສດຈະຖືກປະຕິບັດເປັນໃບອະນຸຍາດ ACL ໃນບັດເສັ້ນ. ອັນນີ້ອະນຸຍາດໃຫ້ເຄື່ອງນັບ ແລະບັນທຶກ SGACL ສະແດງວິທີການເຊື່ອມຕໍ່ຖືກຈັດການໂດຍນະໂຍບາຍ SGACL. ເນື່ອງຈາກການຈາລະຈອນທີ່ຕິດຕາມທັງຫມົດໄດ້ຖືກອະນຸຍາດ, ບໍ່ມີການລົບກວນການບໍລິການເນື່ອງຈາກ SGACLs ໃນຂະນະທີ່ຢູ່ໃນໂຫມດ SGACL ຕິດຕາມກວດກາ.

ການອະນຸຍາດ ແລະ ນະໂຍບາຍທີ່ໄດ້ມາ

ຫຼັງຈາກການກວດສອບອຸປະກອນສິ້ນສຸດລົງ, ທັງຜູ້ສະຫນອງໃຫ້ແລະຜູ້ກວດສອບໄດ້ຮັບນະໂຍບາຍຄວາມປອດໄພຈາກເຊີບເວີການກວດສອບ. ທັງສອງຄົນຫຼັງຈາກນັ້ນປະຕິບັດການອະນຸຍາດການເຊື່ອມໂຍງແລະບັງຄັບໃຊ້ນະໂຍບາຍຄວາມປອດໄພຂອງການເຊື່ອມຕໍ່ຕໍ່ກັນແລະກັນໂດຍອີງໃສ່ລະຫັດອຸປະກອນ Cisco TrustSec ຂອງພວກເຂົາ. ວິທີການກວດສອບການເຊື່ອມຕໍ່ສາມາດຖືກຕັ້ງຄ່າເປັນ 802.1X ຫຼືການພິສູດຢືນຢັນດ້ວຍມື. ຖ້າຄວາມປອດໄພຂອງການເຊື່ອມຕໍ່ແມ່ນ 802.1X, ແຕ່ລະຄົນໃຊ້ ID ອຸປະກອນທີ່ໄດ້ຮັບຈາກເຄື່ອງແມ່ຂ່າຍການພິສູດຢືນຢັນ. ຖ້າຄວາມປອດໄພຂອງການເຊື່ອມຕໍ່ແມ່ນຄູ່ມື, ທ່ານຕ້ອງມອບຫມາຍ IDs ອຸປະກອນ peer.

ເຊີບເວີການພິສູດຢືນຢັນຈະສົ່ງຄືນຄຸນລັກສະນະນະໂຍບາຍຕໍ່ໄປນີ້:

ຄວາມໄວ້ວາງໃຈຂອງ Cisco TrustSec—ຊີ້ບອກວ່າອຸປະກອນທີ່ເຮັດເປັນໝູ່ຄູ່ຄວນເຊື່ອຖືໄດ້ຫຼືບໍ່ ເພື່ອຈຸດປະສົງຂອງການວາງ SGT ໃນແພັກເກັດ.
Peer SGT—ຊີ້ບອກກຸ່ມຄວາມປອດໄພທີ່ໝູ່ຮ່ວມ. ຖ້າມິດສະຫາຍບໍ່ເຊື່ອຖື, ທຸກແພັກເກັດທີ່ໄດ້ຮັບຈາກເພື່ອນມິດແມ່ນ tagged ກັບ SGT ນີ້. ຖ້າອຸປະກອນບໍ່ຮູ້ວ່າ SGACLs ໃດກ່ຽວຂ້ອງກັບ SGT ຂອງເພື່ອນ, ອຸປະກອນອາດຈະສົ່ງຄໍາຮ້ອງຂໍການຕິດຕາມໄປຫາເຄື່ອງແມ່ຂ່າຍການພິສູດຢືນຢັນເພື່ອດາວໂຫລດ SGACLs.
ເວລາໝົດອາຍຸການອະນຸຍາດ—ຊີ້ບອກຈຳນວນວິນາທີກ່ອນທີ່ນະໂຍບາຍຈະໝົດອາຍຸ. ອຸປະກອນ Cisco TrustSec ຄວນໂຫຼດຂໍ້ມູນນະໂຍບາຍ ແລະສິດອະນຸຍາດຄືນໃໝ່ກ່ອນທີ່ມັນຈະໝົດເວລາ. ອຸປະກອນສາມາດເກັບຂໍ້ມູນການພິສູດຢືນຢັນ ແລະນະໂຍບາຍ ແລະໃຊ້ມັນຄືນໃໝ່ຫຼັງຈາກປິດເປີດໃໝ່ ຖ້າຂໍ້ມູນບໍ່ໝົດອາຍຸ.

ແຕ່ລະອຸປະກອນ Cisco TrustSec ຄວນສະຫນັບສະຫນູນນະໂຍບາຍການເຂົ້າເຖິງໃນຕອນຕົ້ນຫນ້ອຍທີ່ສຸດໃນກໍລະນີທີ່ມັນບໍ່ສາມາດຕິດຕໍ່ກັບເຄື່ອງແມ່ຂ່າຍຂອງການກວດສອບຄວາມຖືກຕ້ອງເພື່ອໃຫ້ໄດ້ນະໂຍບາຍທີ່ເຫມາະສົມສໍາລັບ peer.

ຂະບວນການເຈລະຈາ NDAC ແລະ SAP ແມ່ນສະແດງຢູ່ໃນຮູບຕໍ່ໄປນີ້

ຮູບທີ 5: ການເຈລະຈາ NDAC ແລະ SAP

CISCO Trustsec ສ້າງເຄືອຂ່າຍທີ່ປອດໄພ - ຮູບ 5

ດາວໂຫລດຂໍ້ມູນສິ່ງແວດລ້ອມ

ຂໍ້ມູນສະພາບແວດລ້ອມ Cisco TrustSec ແມ່ນການເກັບກໍາຂໍ້ມູນ ຫຼືນະໂຍບາຍທີ່ຊ່ວຍໃຫ້ອຸປະກອນເຮັດວຽກເປັນໂຫນດ Cisco TrustSec. ອຸປະກອນໄດ້ຮັບຂໍ້ມູນສະພາບແວດລ້ອມຈາກເຊີບເວີການພິສູດຢືນຢັນເມື່ອອຸປະກອນເຂົ້າຮ່ວມໂດເມນ Cisco TrustSec ທໍາອິດ, ເຖິງແມ່ນວ່າທ່ານອາດຈະກໍານົດບາງຂໍ້ມູນໃນອຸປະກອນດ້ວຍຕົນເອງ. ຕົວຢ່າງampດັ່ງນັ້ນ, ທ່ານຕ້ອງປັບຄ່າອຸປະກອນ Cisco TrustSec ແກ່ນດ້ວຍຂໍ້ມູນເຊີບເວີການພິສູດຢືນຢັນ, ເຊິ່ງຕໍ່ມາສາມາດເພີ່ມໄດ້ໂດຍລາຍຊື່ເຊີບເວີທີ່ອຸປະກອນໄດ້ມາຈາກເຊີບເວີການກວດສອບຄວາມຖືກຕ້ອງ.

ອຸປະກອນຈະຕ້ອງໂຫຼດຂໍ້ມູນສະພາບແວດລ້ອມ Cisco TrustSec ຄືນໃໝ່ກ່ອນທີ່ມັນຈະໝົດອາຍຸ. ອຸປະກອນຍັງສາມາດ cache ຂໍ້ມູນສະພາບແວດລ້ອມແລະໃຊ້ມັນໃຫມ່ຫຼັງຈາກ reboot ຖ້າຂໍ້ມູນບໍ່ຫມົດອາຍຸ.

ອຸປະກອນໃຊ້ RADIUS ເພື່ອຮັບເອົາຂໍ້ມູນສະພາບແວດລ້ອມຕໍ່ໄປນີ້ຈາກເຊີບເວີການພິສູດຢືນຢັນ:

ລາຍຊື່ເຊີບເວີ: ລາຍຊື່ເຊີບເວີທີ່ລູກຄ້າສາມາດໃຊ້ສໍາລັບການຮ້ອງຂໍ RADIUS ໃນອະນາຄົດ (ສໍາລັບທັງການກວດສອບແລະການອະນຸຍາດ). ການໂຫຼດຫນ້າຈໍຄືນ PAC ເກີດຂຶ້ນຜ່ານເຄື່ອງແມ່ຂ່າຍເຫຼົ່ານີ້.
ອຸປະກອນ SG: ກຸ່ມຄວາມປອດໄພທີ່ອຸປະກອນເອງເປັນຂອງ.
ໝົດເວລາໝົດອາຍຸ: ໄລຍະຫ່າງທີ່ຄວບຄຸມວ່າອຸປະກອນ Cisco TrustSec ຄວນໂຫຼດຂໍ້ມູນສະພາບແວດລ້ອມຂອງມັນຄືນໃໝ່ເລື້ອຍໆສໍ່າໃດ.

ຟັງຊັນ RADIUS Relay

ອຸປະກອນທີ່ມີບົດບາດຂອງ Cisco TrustSec authenticator ໃນຂະບວນການກວດສອບຄວາມຖືກຕ້ອງ 802.1X ມີການເຊື່ອມຕໍ່ IP ກັບເຊີບເວີການພິສູດຢືນຢັນ, ອະນຸຍາດໃຫ້ອຸປະກອນໄດ້ຮັບນະໂຍບາຍແລະການອະນຸຍາດຈາກເຊີບເວີການກວດສອບຄວາມຖືກຕ້ອງໂດຍການແລກປ່ຽນຂໍ້ຄວາມ RADIUS ຜ່ານ UDP/IP. ອຸປະກອນທີ່ສະໜອງໃຫ້ອາດຈະບໍ່ມີການເຊື່ອມຕໍ່ IP ກັບເຊີບເວີການພິສູດຢືນຢັນ. ໃນກໍລະນີດັ່ງກ່າວ, Cisco TrustSec ອະນຸຍາດໃຫ້ authenticator ເຮັດຫນ້າທີ່ເປັນ RADIUS relay ສໍາລັບ supplicant.

ຜູ້ຮ້ອງຂໍສົ່ງຂໍ້ຄວາມ EAPOL ພິເສດໄປຫາຜູ້ພິສູດຢືນຢັນທີ່ມີທີ່ຢູ່ IP ຂອງເຊີບເວີ RADIUS ແລະພອດ UDP ແລະການຮ້ອງຂໍ RADIUS ຄົບຖ້ວນ. Authenticator ສະກັດຄຳຮ້ອງຂໍ RADIUS ຈາກຂໍ້ຄວາມ EAPOL ທີ່ໄດ້ຮັບ ແລະສົ່ງຜ່ານ UDP/IP ໄປຫາເຊີບເວີການພິສູດຢືນຢັນ. ເມື່ອການຕອບສະໜອງ RADIUS ກັບຄືນມາຈາກເຊີບເວີການກວດສອບຄວາມຖືກຕ້ອງ, ຜູ້ກວດສອບຄວາມຖືກຕ້ອງສົ່ງຂໍ້ຄວາມກັບຄືນໄປຫາຜູ້ສະໜອງ, ຫຸ້ມຫໍ່ຢູ່ໃນກອບ EAPOL.

ການເຊື່ອມຕໍ່ຄວາມປອດໄພ

ເມື່ອທັງສອງດ້ານຂອງການເຊື່ອມຕໍ່ສະຫນັບສະຫນູນ 802.1AE Media Access Control Security (MACsec), ການເຈລະຈາສັນຍາສະມາຄົມຄວາມປອດໄພ (SAP) ໄດ້ຖືກປະຕິບັດ. ການແລກປ່ຽນ EAPOL-Key ເກີດຂຶ້ນລະຫວ່າງຜູ້ສະຫນອງແລະຜູ້ກວດສອບເພື່ອເຈລະຈາຊຸດລະຫັດລັບ, ການແລກປ່ຽນຕົວກໍານົດຄວາມປອດໄພ, ແລະຈັດການກະແຈ. ຜົນສຳເລັດຂອງວຽກງານທັງ XNUMX ດ້ານ ສົ່ງຜົນໃຫ້ສ້າງຕັ້ງສະມາຄົມປ້ອງກັນຄວາມສະຫງົບ (ສສຊ).

ອີງຕາມການສະບັບຊອບແວຂອງທ່ານ, ໃບອະນຸຍາດ crypto, ແລະການເຊື່ອມຕໍ່ສະຫນັບສະຫນູນຮາດແວ, ການເຈລະຈາ SAP ສາມາດນໍາໃຊ້ຫນຶ່ງໃນວິທີການດັ່ງຕໍ່ໄປນີ້:

Galois/Counter Mode (GCM)—ລະບຸການພິສູດຢືນຢັນ ແລະເຂົ້າລະຫັດ
GCM authentication (GMAC)—ລະບຸການພິສູດຢືນຢັນ ແລະບໍ່ມີການເຂົ້າລະຫັດ
No Encapsulation—ລະບຸບໍ່ມີການຫຸ້ມຫໍ່ (ຂໍ້ຄວາມຈະແຈ້ງ)
Null—ລະບຸການຫຸ້ມຫໍ່, ບໍ່ມີການພິສູດຢືນຢັນ ແລະບໍ່ມີການເຂົ້າລະຫັດ

ໂໝດທັງໝົດຍົກເວັ້ນ No Encapsulation ຕ້ອງການຮາດແວ Cisco TrustSec.

ການຕັ້ງຄ່າ SAP-PMK ສໍາລັບຄວາມປອດໄພຂອງການເຊື່ອມຕໍ່

CISCO Trustsec ສ້າງເຄືອຂ່າຍທີ່ປອດໄພ - ການຕັ້ງຄ່າ SAP-PMK ສໍາລັບການເຊື່ອມຕໍ່ຄວາມປອດໄພ

CISCO Trustsec ສ້າງເຄືອຂ່າຍທີ່ປອດໄພ - ການຕັ້ງຄ່າ SAP-PMK ສໍາລັບການເຊື່ອມຕໍ່ຄວາມປອດໄພ 2

SXP ສໍາລັບການຂະຫຍາຍພັນ SGT ໃນທົ່ວເຄືອຂ່າຍການເຂົ້າເຖິງມໍລະດົກ
Tagging packets ກັບ SGTs ຮຽກຮ້ອງໃຫ້ມີການສະຫນັບສະຫນູນຮາດແວ. ທ່ານອາດຈະມີອຸປະກອນຢູ່ໃນເຄືອຂ່າຍຂອງທ່ານທີ່, ໃນຂະນະທີ່ມີຄວາມສາມາດເຂົ້າຮ່ວມໃນການກວດສອບຄວາມຖືກຕ້ອງຂອງ Cisco TrustSec, ຂາດຄວາມສາມາດຂອງຮາດແວທີ່ຈະ tag ແພັກເກັດທີ່ມີ

SGTs. ໂດຍການນຳໃຊ້ SGT Exchange Protocol (SXP), ອຸປະກອນເຫຼົ່ານີ້ສາມາດສົ່ງຜ່ານແຜນທີ່ IP-address-to-SGT ໄປຫາອຸປະກອນເພື່ອນ Cisco TrustSec ທີ່ມີຮາດແວທີ່ມີຄວາມສາມາດ Cisco TrustSec.

ໂດຍປົກກະຕິ SXP ເຮັດວຽກລະຫວ່າງອຸປະກອນຊັ້ນເຂົ້າຂາເຂົ້າຢູ່ທີ່ຂອບໂດເມນ Cisco TrustSec ແລະອຸປະກອນຊັ້ນການແຈກຢາຍພາຍໃນໂດເມນ Cisco TrustSec. ອຸປະກອນຊັ້ນການເຂົ້າເຖິງດໍາເນີນການກວດສອບຄວາມຖືກຕ້ອງຂອງ Cisco TrustSec ຂອງອຸປະກອນແຫຼ່ງພາຍນອກເພື່ອກໍານົດ SGTs ທີ່ເຫມາະສົມສໍາລັບການຫຸ້ມຫໍ່ ingress. ອຸປະກອນຊັ້ນການເຂົ້າເຖິງຈະຮຽນຮູ້ທີ່ຢູ່ IP ຂອງອຸປະກອນແຫຼ່ງທີ່ມາໂດຍໃຊ້ການຕິດຕາມອຸປະກອນ IP ແລະ (ທາງເລືອກ) DHCP snooping, ຫຼັງຈາກນັ້ນໃຊ້ SXP ເພື່ອຖ່າຍທອດທີ່ຢູ່ IP ຂອງອຸປະກອນແຫຼ່ງພ້ອມກັບ SGTs ຂອງພວກເຂົາໄປຫາອຸປະກອນແຈກຢາຍ.
ອຸປະກອນການແຈກຢາຍທີ່ມີຮາດແວທີ່ມີຄວາມສາມາດ Cisco TrustSec ສາມາດໃຊ້ຂໍ້ມູນແຜນທີ່ IP-to-SGT ນີ້ເພື່ອ tag packets ທີ່ເຫມາະສົມແລະເພື່ອບັງຄັບໃຊ້ນະໂຍບາຍ SGACL.

ຮູບທີ 6: SXP Protocol ເພື່ອເຜີຍແຜ່ຂໍ້ມູນ SGT

CISCO Trustsec ສ້າງເຄືອຂ່າຍທີ່ປອດໄພ - ຮູບ 6

ທ່ານຕ້ອງກຳນົດຄ່າການເຊື່ອມຕໍ່ SXP ດ້ວຍຕົນເອງລະຫວ່າງໝູ່ເພື່ອນທີ່ບໍ່ມີການຮອງຮັບຮາດແວ Cisco TrustSec ແລະ ໝູ່ເພື່ອນທີ່ຮອງຮັບຮາດແວ Cisco TrustSec. ວຽກງານຕໍ່ໄປນີ້ແມ່ນຕ້ອງການເມື່ອຕັ້ງຄ່າການເຊື່ອມຕໍ່ SXP:

ຖ້າທ່ານຕ້ອງການຄວາມສົມບູນຂອງຂໍ້ມູນ SXP ແລະການພິສູດຢືນຢັນ, ທ່ານຕ້ອງຕັ້ງຄ່າລະຫັດຜ່ານ SXP ດຽວກັນຢູ່ໃນອຸປະກອນທັງສອງ. ທ່ານສາມາດຕັ້ງຄ່າລະຫັດຜ່ານ SXP ຢ່າງຊັດເຈນສໍາລັບແຕ່ລະການເຊື່ອມຕໍ່ peer ຫຼືທົ່ວໂລກສໍາລັບອຸປະກອນ. ເຖິງແມ່ນວ່າລະຫັດຜ່ານ SXP ແມ່ນບໍ່ຈໍາເປັນ, ພວກເຮົາແນະນໍາໃຫ້ໃຊ້ມັນ.
ທ່ານຕ້ອງກຳນົດຄ່າແຕ່ລະຄົນໃນການເຊື່ອມຕໍ່ SXP ເປັນລຳໂພງ SXP ຫຼືຜູ້ຟັງ SXP. ອຸປະກອນລຳໂພງແຈກຢາຍຂໍ້ມູນແຜນທີ່ IP-to-SGT ໃຫ້ກັບອຸປະກອນຜູ້ຟັງ.

ທ່ານສາມາດລະບຸທີ່ຢູ່ IP ແຫຼ່ງທີ່ຈະໃຊ້ສໍາລັບແຕ່ລະຄວາມສໍາພັນຂອງເພື່ອນມິດຫຼືທ່ານສາມາດກໍານົດທີ່ຢູ່ IP ຕົ້ນສະບັບຕົ້ນສະບັບສໍາລັບການເຊື່ອມຕໍ່ peer ທີ່ທ່ານບໍ່ໄດ້ກໍານົດທີ່ຢູ່ IP ແຫຼ່ງສະເພາະ. ຖ້າຫາກວ່າທ່ານບໍ່ໄດ້ລະບຸທີ່ຢູ່ IP ແຫຼ່ງໃດຫນຶ່ງ, ອຸປະກອນຈະນໍາໃຊ້ທີ່ຢູ່ IP ຂອງການເຊື່ອມຕໍ່ກັບເພື່ອນຮ່ວມງານ.

SXP ອະນຸຍາດໃຫ້ hops ຫຼາຍ. ນັ້ນແມ່ນ, ຖ້າເພື່ອນມິດຂອງອຸປະກອນທີ່ຂາດການສະຫນັບສະຫນູນຮາດແວ Cisco TrustSec ຍັງຂາດການສະຫນັບສະຫນູນຮາດແວ Cisco TrustSec, ຄູ່ທີ່ສອງສາມາດເຊື່ອມຕໍ່ SXP ກັບເພື່ອນທີ່ສາມ, ສືບຕໍ່ການຂະຫຍາຍຂໍ້ມູນແຜນທີ່ IP-to-SGT ຈົນກ່ວາຮາດແວ- ມິດສະຫາຍທີ່ມີຄວາມສາມາດບັນລຸໄດ້. ອຸປະກອນສາມາດຖືກຕັ້ງຄ່າເປັນ SXP listener ສໍາລັບການເຊື່ອມຕໍ່ SXP ຫນຶ່ງເປັນລໍາໂພງ SXP ສໍາລັບການເຊື່ອມຕໍ່ SXP ອື່ນ.

ອຸປະກອນ Cisco TrustSec ຮັກສາການເຊື່ອມຕໍ່ກັບເພື່ອນຮ່ວມ SXP ຂອງຕົນໂດຍໃຊ້ກົນໄກການເກັບຮັກສາ TCP.
ເພື່ອສ້າງ ຫຼືຟື້ນຟູການເຊື່ອມຕໍ່ແບບມິດສະຫາຍ, ອຸປະກອນຈະພະຍາຍາມຕັ້ງຄ່າການເຊື່ອມຕໍ່ອີກຄັ້ງໂດຍໃຊ້ໄລຍະເວລາການພະຍາຍາມຄືນໃໝ່ທີ່ສາມາດກຳນົດໄດ້ຈົນກວ່າການເຊື່ອມຕໍ່ຈະສຳເລັດ ຫຼືຈົນກວ່າການເຊື່ອມຕໍ່ຈະຖືກລຶບອອກຈາກການຕັ້ງຄ່າ.

ຊັ້ນ 3 SGT ການຂົນສົ່ງສໍາລັບການຂະຫຍາຍພາກພື້ນທີ່ບໍ່ແມ່ນຄວາມໄວ້ວາງໃຈ

ເມື່ອແພັກເກັດອອກຈາກໂດເມນ Cisco TrustSec ສໍາລັບປາຍທາງທີ່ບໍ່ແມ່ນ TrustSec, ອຸປະກອນ Cisco TrustSec egress ເອົາສ່ວນຫົວຂອງ Cisco TrustSec ແລະ SGT ກ່ອນທີ່ຈະສົ່ງຕໍ່ແພັກເກັດໄປຍັງເຄືອຂ່າຍພາຍນອກ. ຢ່າງໃດກໍຕາມ, ຖ້າແພັກເກັດພຽງແຕ່ຂ້າມໂດເມນທີ່ບໍ່ແມ່ນ TrustSec ໃນເສັ້ນທາງໄປຫາໂດເມນ Cisco TrustSec ອື່ນ, ດັ່ງທີ່ສະແດງຢູ່ໃນຮູບຕໍ່ໄປນີ້, SGT ສາມາດຖືກຮັກສາໄວ້ໂດຍໃຊ້ຄຸນສົມບັດ Cisco TrustSec Layer 3 SGT Transport. ໃນຄຸນສົມບັດນີ້, ອຸປະກອນ Cisco TrustSec egress ຫຸ້ມຫໍ່ແພັກເກັດດ້ວຍຫົວ ESP ທີ່ປະກອບມີສໍາເນົາຂອງ SGT. ເມື່ອແພັກເກັດທີ່ຖືກຫຸ້ມຫໍ່ມາຮອດໂດເມນ Cisco TrustSec ຕໍ່ໄປ, ອຸປະກອນ Cisco TrustSec ຂາເຂົ້າຈະເອົາ ESP encapsulation ແລະຂະຫຍາຍແພັກເກັດດ້ວຍ SGT ຂອງມັນ.

ຮູບທີ 7: ການຂະຫຍາຍໂດເມນທີ່ບໍ່ແມ່ນ TrustSec

CISCO Trustsec ສ້າງເຄືອຂ່າຍທີ່ປອດໄພ - ຮູບ 7

ເພື່ອຮອງຮັບ Cisco TrustSec Layer 3 SGT Transport, ອຸປະກອນໃດໆກໍຕາມທີ່ຈະເຮັດໜ້າທີ່ເປັນປະຕູ Cisco TrustSec ingress ຫຼື egress Layer 3 ຈະຕ້ອງຮັກສາຖານຂໍ້ມູນນະໂຍບາຍການຈະລາຈອນທີ່ລາຍຊື່ subnets ທີ່ມີສິດຢູ່ໃນໂດເມນ Cisco TrustSec ຫ່າງໄກສອກຫຼີກເຊັ່ນດຽວກັນກັບ subnets ທີ່ຖືກຍົກເວັ້ນພາຍໃນພາກພື້ນເຫຼົ່ານັ້ນ. ທ່ານສາມາດຕັ້ງຄ່າຖານຂໍ້ມູນນີ້ດ້ວຍຕົນເອງໃນແຕ່ລະອຸປະກອນ ຖ້າພວກມັນບໍ່ສາມາດດາວໂຫຼດໄດ້ໂດຍອັດຕະໂນມັດຈາກ Cisco Secure ACS.

ອຸປະກອນສາມາດສົ່ງຂໍ້ມູນ Layer 3 SGT Transport ຈາກພອດໜຶ່ງ ແລະຮັບຂໍ້ມູນ Layer 3 SGT Transport ໃນພອດອື່ນ, ແຕ່ທັງຜອດຂາເຂົ້າ ແລະ ຂາອອກຕ້ອງມີຮາດແວ Cisco TrustSec-capable.

Cisco TrustSec ບໍ່ໄດ້ເຂົ້າລະຫັດແພັກເກັດຫຸ້ມຫໍ່ Layer 3 SGT Transport. ເພື່ອປົກປ້ອງແພັກເກັດທີ່ຂ້າມໂດເມນທີ່ບໍ່ແມ່ນ TrustSec, ທ່ານສາມາດຕັ້ງຄ່າວິທີການປ້ອງກັນອື່ນໆ, ເຊັ່ນ: IPsec.

VRF-Aware SXP

ການປະຕິບັດ SXP ຂອງ Virtual Routing and Forwarding (VRF) ຜູກມັດການເຊື່ອມຕໍ່ SXP ກັບ VRF ສະເພາະ. ມັນສົມມຸດວ່າ topology ເຄືອຂ່າຍຖືກຕັ້ງຄ່າຢ່າງຖືກຕ້ອງສໍາລັບ Layer 2 ຫຼື Layer 3 VPNs, ດ້ວຍ VRFs ທັງຫມົດທີ່ຖືກຕັ້ງຄ່າກ່ອນທີ່ຈະເປີດໃຊ້ Cisco TrustSec.

ສະຫນັບສະຫນູນ SXP VRF ສາມາດສະຫຼຸບໄດ້ດັ່ງຕໍ່ໄປນີ້:

ມີພຽງແຕ່ການເຊື່ອມຕໍ່ SXP ຫນຶ່ງສາມາດຜູກມັດກັບ VRF ຫນຶ່ງ.
VRFs ທີ່ແຕກຕ່າງກັນອາດມີການທັບຊ້ອນກັນ SXP peer ຫຼືທີ່ຢູ່ IP ແຫຼ່ງ.

ການສ້າງແຜນທີ່ IP–SGT ທີ່ຮຽນຮູ້ (ເພີ່ມ ຫຼືລຶບ) ໃນ VRF ດຽວສາມາດຖືກປັບປຸງໄດ້ໃນໂດເມນ VRF ດຽວກັນເທົ່ານັ້ນ.
ການເຊື່ອມຕໍ່ SXP ບໍ່ສາມາດອັບເດດແຜນທີ່ທີ່ຜູກມັດກັບ VRF ອື່ນໄດ້. ຖ້າບໍ່ມີການເຊື່ອມຕໍ່ SXP ອອກຈາກ VRF, ການສ້າງແຜນທີ່ IP–SGT ສໍາລັບ VRF ນັ້ນຈະບໍ່ຖືກປັບປຸງໂດຍ SXP.
ຫຼາຍຄອບຄົວທີ່ຢູ່ຕໍ່ VRF ໄດ້ຮັບການສະຫນັບສະຫນູນ. ດັ່ງນັ້ນ, ການເຊື່ອມຕໍ່ SXP ຫນຶ່ງໃນໂດເມນ VRF ສາມາດສົ່ງຕໍ່ທັງແຜນທີ່ IPV4 ແລະ IPV6 IP-SGT.
SXP ບໍ່ມີຂໍ້ຈໍາກັດກ່ຽວກັບຈໍານວນການເຊື່ອມຕໍ່ແລະຈໍານວນຂອງການສ້າງແຜນທີ່ IP-SGT ຕໍ່ VRF.

Layer 2 VRF-Aware SXP ແລະ VRF Assignment

ການມອບໝາຍ VRF ເຖິງ Layer 2 VLANs ແມ່ນລະບຸດ້ວຍຄຳສັ່ງ cts role-based l2-vrf vrf-name vlan-list global configuration command. VLAN ຖືກຖືວ່າເປັນ Layer 2 VLAN ຕາບໃດທີ່ບໍ່ມີການປ່ຽນການໂຕ້ຕອບ virtual (SVI) ທີ່ມີທີ່ຢູ່ IP ທີ່ຖືກຕັ້ງຄ່າຢູ່ໃນ VLAN. VLAN ກາຍເປັນ Layer 3 VLAN ເມື່ອທີ່ຢູ່ IP ຖືກຕັ້ງຄ່າໃນ SVI ຂອງມັນ.

ການມອບໝາຍ VRF ທີ່ກຳນົດຄ່າໂດຍຄຳສັ່ງ cts l2-vrf ທີ່ອີງໃສ່ບົດບາດແມ່ນໃຊ້ໄດ້ຕາບໃດທີ່ VLAN ຍັງຄົງເປັນ Layer 2 VLAN. ການຜູກມັດ IP-SGT ທີ່ໄດ້ຮຽນຮູ້ໃນຂະນະທີ່ການມອບໝາຍ VRF ເຮັດວຽກແມ່ນຍັງຖືກເພີ່ມໃສ່ຕາຕະລາງ Forwarding Information Base (FIB) ທີ່ກ່ຽວຂ້ອງກັບ VRF ແລະສະບັບ IP protocol. ຖ້າ SVI ກາຍເປັນການເຄື່ອນໄຫວສໍາລັບ VLAN, ການມອບຫມາຍ VRF ກັບ VLAN ຈະກາຍເປັນ inactive ແລະການຜູກມັດທັງຫມົດທີ່ຮຽນຮູ້ໃນ VLAN ໄດ້ຖືກຍ້າຍໄປຕາຕະລາງ FIB ທີ່ກ່ຽວຂ້ອງກັບ VRF ຂອງ SVI.

ການມອບໝາຍ VRF ຫາ VLAN ຈະຖືກຮັກສາໄວ້ເຖິງແມ່ນວ່າເມື່ອການມອບໝາຍຈະບໍ່ມີການເຄື່ອນໄຫວກໍຕາມ. ມັນຖືກເປີດໃຊ້ຄືນເມື່ອ SVI ຖືກລຶບອອກຫຼືເມື່ອທີ່ຢູ່ IP ຂອງ SVI ຖືກຕັ້ງ. ເມື່ອເປີດໃຊ້ຄືນໃຫມ່, ການຜູກມັດ IP-SGT ຈະຖືກຍ້າຍກັບຄືນຈາກຕາຕະລາງ FIB ທີ່ກ່ຽວຂ້ອງກັບ VRF ຂອງ SVI ໄປຫາຕາຕະລາງ FIB ທີ່ກ່ຽວຂ້ອງກັບ VRF ທີ່ຖືກມອບຫມາຍໂດຍຄໍາສັ່ງ cts ອີງໃສ່ບົດບາດ l2-vrf.

ປະຫວັດຄຸນສົມບັດສໍາລັບ Cisco TrustSec ຫຼາຍກວ່າview

ຕາຕະລາງນີ້ສະຫນອງການປ່ອຍແລະຂໍ້ມູນທີ່ກ່ຽວຂ້ອງສໍາລັບລັກສະນະທີ່ອະທິບາຍຢູ່ໃນໂມດູນນີ້.
ຄຸນສົມບັດເຫຼົ່ານີ້ມີຢູ່ໃນທຸກລຸ້ນທີ່ຕິດຕາມມາກັບອັນທີ່ເຂົາເຈົ້າໄດ້ຖືກນຳມາໃຊ້, ເວັ້ນເສຍແຕ່ຈະລະບຸໄວ້ເປັນຢ່າງອື່ນ.

ໃຊ້ Cisco Feature Navigator ເພື່ອຊອກຫາຂໍ້ມູນກ່ຽວກັບການຮອງຮັບຮູບພາບຂອງເວທີ ແລະຊອບແວ. ການເຂົ້າເຖິງ
Cisco Feature Navigator, ໄປທີ່ http://www.cisco.com/go/cfn.

ເອກະສານ / ຊັບພະຍາກອນ

CISCO Trustsec ສ້າງເຄືອຂ່າຍທີ່ປອດໄພ [pdf] ຄູ່ມືຜູ້ໃຊ້
Trustsec ສ້າງເຄືອຂ່າຍທີ່ປອດໄພ, Trustsec, ສ້າງເຄືອຂ່າຍທີ່ປອດໄພ, ເຄືອຂ່າຍທີ່ປອດໄພ, ເຄືອຂ່າຍ

ເອກະສານອ້າງອີງ

ຄູ່ມືຜູ້ໃຊ້

ຂໍ້ມູນກ່ຽວກັບສະຖາປັດຕະຍະກໍາ Cisco TrustSec

ເອກະສານ / ຊັບພະຍາກອນ

ເອກະສານອ້າງອີງ

ອອກຄໍາເຫັນ

ຍົກເລີກການຕອບ