CISCO Trustsec ബിൽഡ്സ് സെക്യൂർ
 നെറ്റ്‌വർക്ക് ഉപയോക്തൃ ഗൈഡ്
CISCO Trustsec സുരക്ഷിത നെറ്റ്‌വർക്ക് ഉപയോക്തൃ ഗൈഡ് നിർമ്മിക്കുന്നുവിശ്വസനീയമായ നെറ്റ്‌വർക്ക് ഉപകരണങ്ങളുടെ ഡൊമെയ്‌നുകൾ സ്ഥാപിച്ച് Cisco TrustSec സുരക്ഷിത നെറ്റ്‌വർക്കുകൾ നിർമ്മിക്കുന്നു. ഡൊമെയ്‌നിലെ ഓരോ ഉപകരണവും അതിന്റെ സമപ്രായക്കാർ പ്രാമാണീകരിക്കുന്നു. എൻക്രിപ്ഷൻ, മെസേജ് ഇന്റഗ്രിറ്റി ചെക്ക്, ഡാറ്റാ-പാത്ത് റീപ്ലേ പ്രൊട്ടക്ഷൻ മെക്കാനിസങ്ങൾ എന്നിവയുടെ സംയോജനത്തിലൂടെ ഡൊമെയ്‌നിലെ ഉപകരണങ്ങൾ തമ്മിലുള്ള ലിങ്കുകളെക്കുറിച്ചുള്ള ആശയവിനിമയം സുരക്ഷിതമാണ്.
Cisco TrustSec-നുള്ള നിയന്ത്രണങ്ങൾ
  • ഒരു അസാധുവായ ഉപകരണ ഐഡി വ്യക്തമാക്കുമ്പോൾ, പരിരക്ഷിത ആക്‌സസ് ക്രെഡൻഷ്യൽ (പിഎസി) പ്രൊവിഷനിംഗ് പരാജയപ്പെടുകയും തൂങ്ങിക്കിടക്കുന്ന അവസ്ഥയിൽ തുടരുകയും ചെയ്യും. PAC ക്ലിയർ ചെയ്‌ത് ശരിയായ ഉപകരണ ഐഡിയും പാസ്‌വേഡും കോൺഫിഗർ ചെയ്‌തിട്ടും, PAC ഇപ്പോഴും പരാജയപ്പെടുന്നു.
    ഒരു പരിഹാരമെന്ന നിലയിൽ, സിസ്‌കോ ഐഡന്റിറ്റി സർവീസസ് എഞ്ചിനിൽ (ISE), സപ്രസ് അനോമലസ് ക്ലയന്റുകളെ അൺചെക്ക് ചെയ്യുക
    PAC പ്രവർത്തിക്കുന്നതിന് അഡ്മിനിസ്ട്രേഷൻ> സിസ്റ്റം> ക്രമീകരണങ്ങൾ> പ്രോട്ടോക്കോളുകൾ> റേഡിയസ് മെനുവിലെ ഓപ്ഷൻ.
  • FIPS മോഡിൽ Cisco TrustSec പിന്തുണയ്ക്കുന്നില്ല.
  • സിസ്കോ കാറ്റലിസ്റ്റ് 9500 സീരീസ് സ്വിച്ചുകളുടെ C28X-8C9500D മോഡലിന് മാത്രമേ ഇനിപ്പറയുന്ന നിയന്ത്രണങ്ങൾ ബാധകമാകൂ:
    • Cisco TrustSec മാനുവൽ കോൺഫിഗറേഷൻ പിന്തുണയ്ക്കുന്നില്ല.
    • Cisco TrustSec സെക്യൂരിറ്റി അസോസിയേഷൻ പ്രോട്ടോക്കോൾ (SAP) പ്രവർത്തനത്തെ പിന്തുണയ്ക്കുന്നില്ല.
    • Cisco TrustSec മെറ്റാഡാറ്റ ഹെഡർ എൻക്യാപ്‌സുലേഷൻ പിന്തുണയ്ക്കുന്നില്ല.
ഉള്ളടക്കം മറയ്ക്കുക
1 Cisco TrustSec ആർക്കിടെക്ചറിനെക്കുറിച്ചുള്ള വിവരങ്ങൾ
2 പ്രമാണങ്ങൾ / വിഭവങ്ങൾ
2.1 റഫറൻസുകൾ

Cisco TrustSec ആർക്കിടെക്ചറിനെക്കുറിച്ചുള്ള വിവരങ്ങൾ

Cisco TrustSec സെക്യൂരിറ്റി ആർക്കിടെക്ചർ വിശ്വസനീയമായ നെറ്റ്‌വർക്ക് ഉപകരണങ്ങളുടെ ഡൊമെയ്‌നുകൾ സ്ഥാപിച്ച് സുരക്ഷിത നെറ്റ്‌വർക്കുകൾ നിർമ്മിക്കുന്നു. ഡൊമെയ്‌നിലെ ഓരോ ഉപകരണവും അതിന്റെ സമപ്രായക്കാർ പ്രാമാണീകരിക്കുന്നു. എൻക്രിപ്ഷൻ, മെസേജ് ഇന്റഗ്രിറ്റി ചെക്ക്, ഡാറ്റാ-പാത്ത് റീപ്ലേ പ്രൊട്ടക്ഷൻ മെക്കാനിസങ്ങൾ എന്നിവയുടെ സംയോജനത്തിലൂടെ ഡൊമെയ്‌നിലെ ഉപകരണങ്ങൾ തമ്മിലുള്ള ലിങ്കുകളെക്കുറിച്ചുള്ള ആശയവിനിമയം സുരക്ഷിതമാണ്. Cisco TrustSec നെറ്റ്‌വർക്കിൽ പ്രവേശിക്കുമ്പോൾ, സുരക്ഷാ ഗ്രൂപ്പുകൾ (SGs) പ്രകാരം പാക്കറ്റുകളെ തരംതിരിക്കുന്നതിന് പ്രാമാണീകരണ സമയത്ത് നേടിയ ഉപകരണവും ഉപയോക്തൃ ക്രെഡൻഷ്യലുകളും ഉപയോഗിക്കുന്നു. ഈ പാക്കറ്റ് വർഗ്ഗീകരണം പരിപാലിക്കുന്നത് tagCisco TrustSec നെറ്റ്‌വർക്കിലേക്ക് പ്രവേശിക്കുമ്പോൾ പാക്കറ്റുകൾ ging പാക്കറ്റുകൾ ഡാറ്റാ പാതയിൽ സുരക്ഷയും മറ്റ് നയ മാനദണ്ഡങ്ങളും പ്രയോഗിക്കുന്നതിന് അവ ശരിയായി തിരിച്ചറിയാൻ കഴിയും. ദി tag, സെക്യൂരിറ്റി ഗ്രൂപ്പിനെ വിളിച്ചു tag (SGT), ട്രാഫിക് ഫിൽട്ടർ ചെയ്യുന്നതിന് SGT-യിൽ പ്രവർത്തിക്കാൻ എൻഡ്‌പോയിന്റ് ഉപകരണത്തെ പ്രവർത്തനക്ഷമമാക്കുന്നതിലൂടെ ആക്‌സസ് കൺട്രോൾ നയം നടപ്പിലാക്കാൻ നെറ്റ്‌വർക്കിനെ അനുവദിക്കുന്നു.
നോട്ട് ഐക്കൺCisco TrustSec IEEE 802.1X ലിങ്കുകൾ Cisco IOS XE Denali-ൽ പിന്തുണയ്ക്കുന്ന പ്ലാറ്റ്ഫോമുകളിൽ പിന്തുണയ്ക്കുന്നില്ല
(16.1.x മുതൽ 16.3.x), Cisco IOS XE Everest (16.4.x മുതൽ 16.6.x), Cisco IOS XE Fuji (16.7.x മുതൽ 16.9.x വരെ) റിലീസുകൾ, അതിനാൽ Authenticator മാത്രമേ പിന്തുണയ്ക്കൂ; അപേക്ഷകനെ പിന്തുണയ്ക്കുന്നില്ല.
Cisco TrustSec ആർക്കിടെക്ചർ മൂന്ന് പ്രധാന ഘടകങ്ങൾ ഉൾക്കൊള്ളുന്നു:
  • ആധികാരിക നെറ്റ്‌വർക്കിംഗ് ഇൻഫ്രാസ്ട്രക്ചർ - Cisco TrustSec ഡൊമെയ്‌ൻ ആരംഭിക്കുന്നതിന് ആദ്യ ഉപകരണം (സീഡ് ഉപകരണം എന്ന് വിളിക്കുന്നു) പ്രാമാണീകരണ സെർവർ ഉപയോഗിച്ച് പ്രാമാണീകരിച്ചതിന് ശേഷം, ഡൊമെയ്‌നിലേക്ക് ചേർക്കുന്ന ഓരോ പുതിയ ഉപകരണവും ഇതിനകം തന്നെ ഡൊമെയ്‌നിലുള്ള അതിന്റെ പിയർ ഉപകരണങ്ങൾ വഴി പ്രാമാണീകരിക്കുന്നു. ഡൊമെയ്‌നിന്റെ പ്രാമാണീകരണ സെർവറിന്റെ ഇടനിലക്കാരായി സഹപാഠികൾ പ്രവർത്തിക്കുന്നു. പുതുതായി പ്രാമാണീകരിക്കപ്പെട്ട ഓരോ ഉപകരണത്തെയും പ്രാമാണീകരണ സെർവർ തരംതിരിക്കുകയും അതിന്റെ ഐഡന്റിറ്റി, റോൾ, സെക്യൂരിറ്റി പോസ്ചർ എന്നിവ അടിസ്ഥാനമാക്കി ഒരു സുരക്ഷാ ഗ്രൂപ്പ് നമ്പർ നൽകുകയും ചെയ്യുന്നു.
  • സെക്യൂരിറ്റി ഗ്രൂപ്പ് അധിഷ്‌ഠിത ആക്‌സസ്സ് കൺട്രോൾ—Cisco TrustSec ഡൊമെയ്‌നിലെ ആക്‌സസ് പോളിസികൾ ടോപ്പോളജി-സ്വതന്ത്രമാണ്, നെറ്റ്‌വർക്ക് വിലാസങ്ങളേക്കാൾ ഉറവിടത്തിന്റെയും ലക്ഷ്യസ്ഥാന ഉപകരണങ്ങളുടെയും റോളുകളെ (സെക്യൂരിറ്റി ഗ്രൂപ്പ് നമ്പർ സൂചിപ്പിക്കുന്നത് പോലെ) അടിസ്ഥാനമാക്കിയുള്ളതാണ്. വ്യക്തിഗത പാക്കറ്റുകളാണ് tagഉറവിടത്തിന്റെ സുരക്ഷാ ഗ്രൂപ്പ് നമ്പർ ഉപയോഗിച്ച് ged.
  • സുരക്ഷിത ആശയവിനിമയം-എൻക്രിപ്ഷൻ-കഴിവുള്ള ഹാർഡ്‌വെയർ ഉപയോഗിച്ച്, ഡൊമെയ്‌നിലെ ഉപകരണങ്ങൾ തമ്മിലുള്ള ഓരോ ലിങ്കിലും ആശയവിനിമയം എൻക്രിപ്ഷൻ, സന്ദേശ സമഗ്രത പരിശോധനകൾ, ഡാറ്റ-പാത്ത് റീപ്ലേ പ്രൊട്ടക്ഷൻ മെക്കാനിസങ്ങൾ എന്നിവയുടെ സംയോജനത്തിലൂടെ സുരക്ഷിതമാക്കാം.
ഇനിപ്പറയുന്ന ചിത്രം ഒരു മുൻ കാണിക്കുന്നുampഒരു Cisco TrustSec ഡൊമെയ്‌നിന്റെ le. ഇതിൽ മുൻample, നിരവധി നെറ്റ്‌വർക്കിംഗ് ഉപകരണങ്ങളും ഒരു എൻഡ്‌പോയിന്റ് ഉപകരണവും Cisco TrustSec ഡൊമെയ്‌നിലാണ്. ഒരു എൻഡ്‌പോയിന്റ് ഉപകരണവും ഒരു നെറ്റ്‌വർക്കിംഗ് ഉപകരണവും ഡൊമെയ്‌നിന് പുറത്താണ്, കാരണം അവ Cisco TrustSec-കഴിവുള്ള ഉപകരണങ്ങളല്ലാത്തതിനാലോ അവ ആക്‌സസ് നിരസിച്ചതിനാലോ ആണ്. പ്രാമാണീകരണ സെർവർ Cisco TrustSec ഡൊമെയ്‌നിന് പുറത്തുള്ളതായി കണക്കാക്കുന്നു; ഇത് ഒന്നുകിൽ ഒരു സിസ്‌കോ ഐഡന്റിറ്റീസ് സർവീസ് എഞ്ചിൻ (സിസ്‌കോ ഐഎസ്ഇ), അല്ലെങ്കിൽ സിസ്കോ സെക്യൂർ ആക്‌സസ് കൺട്രോൾ സിസ്റ്റം (സിസ്‌കോ എസിഎസ്) ആണ്.
ചിത്രം 1: Cisco TrustSec നെറ്റ്‌വർക്ക് ഡൊമെയ്ൻ Example
CISCO Trustsec സുരക്ഷിതമായ നെറ്റ്‌വർക്ക് നിർമ്മിക്കുന്നു - ചിത്രം 1
Cisco TrustSec പ്രാമാണീകരണ പ്രക്രിയയിലെ ഓരോ പങ്കാളിയും ഇനിപ്പറയുന്ന റോളുകളിൽ ഒന്നിൽ പ്രവർത്തിക്കുന്നു:
  • അപേക്ഷകൻ - Cisco TrustSec ഡൊമെയ്‌നിലെ ഒരു പിയറുമായി ബന്ധിപ്പിച്ചിട്ടുള്ളതും Cisco TrustSec ഡൊമെയ്‌നിൽ ചേരാൻ ശ്രമിക്കുന്നതുമായ ഒരു അംഗീകൃതമല്ലാത്ത ഉപകരണം.
  • പ്രാമാണീകരണ സെർവർ—അപേക്ഷകന്റെ ഐഡന്റിറ്റി സാധൂകരിക്കുകയും Cisco TrustSec ഡൊമെയ്‌നിലെ സേവനങ്ങളിലേക്കുള്ള അപേക്ഷകന്റെ പ്രവേശനം നിർണ്ണയിക്കുന്ന നയങ്ങൾ നൽകുകയും ചെയ്യുന്ന സെർവർ.
  • ഓതന്റിക്കേറ്റർ—ഇതിനകം തന്നെ Cisco TrustSec ഡൊമെയ്‌നിന്റെ ഭാഗമായ, പ്രാമാണീകരണ സെർവറിന് വേണ്ടി പുതിയ പിയർ സപ്ലിക്കന്റുകളെ പ്രാമാണീകരിക്കാൻ കഴിയുന്ന ഒരു പ്രാമാണീകരണ ഉപകരണം.
ഒരു അപേക്ഷകനും ഓതന്റിക്കേറ്ററും തമ്മിലുള്ള ബന്ധം ആദ്യം വരുമ്പോൾ, ഇനിപ്പറയുന്ന സംഭവങ്ങളുടെ ക്രമം സാധാരണയായി സംഭവിക്കുന്നു:
  1. ആധികാരികത (802.1X)-ഓതന്റിക്കേഷൻ സെർവർ വഴി അപേക്ഷകനെ പ്രാമാണീകരിക്കുന്നു, ഓതന്റിക്കേറ്റർ ഒരു ഇടനിലക്കാരനായി പ്രവർത്തിക്കുന്നു. രണ്ട് സമപ്രായക്കാർ (അപേക്ഷകനും ഓതന്റിക്കേറ്ററും) തമ്മിൽ പരസ്പര പ്രാമാണീകരണം നടത്തുന്നു.
  2. അംഗീകാരം-അപേക്ഷകന്റെ ഐഡന്റിറ്റി വിവരങ്ങളെ അടിസ്ഥാനമാക്കി, ആധികാരികത സെർവർ സുരക്ഷാ ഗ്രൂപ്പ് അസൈൻമെന്റുകളും ACL-കളും പോലെയുള്ള അംഗീകാര നയങ്ങൾ, ലിങ്ക് ചെയ്‌തിരിക്കുന്ന ഓരോ സഹപ്രവർത്തകർക്കും നൽകുന്നു. പ്രാമാണീകരണ സെർവർ ഓരോ പിയറിന്റെയും ഐഡന്റിറ്റി മറ്റൊന്നിന് നൽകുന്നു, കൂടാതെ ഓരോ പിയറും ലിങ്കിന് ഉചിതമായ നയം പ്രയോഗിക്കുന്നു.
  3. സെക്യൂരിറ്റി അസോസിയേഷൻ പ്രോട്ടോക്കോൾ (എസ്എപി) നെഗോഷ്യേഷൻ-ഒരു ലിങ്കിന്റെ ഇരുവശവും എൻക്രിപ്ഷനെ പിന്തുണയ്ക്കുമ്പോൾ, ഒരു സെക്യൂരിറ്റി അസോസിയേഷൻ (എസ്എ) സ്ഥാപിക്കുന്നതിന് ആവശ്യമായ പാരാമീറ്ററുകൾ അപേക്ഷകനും ഓതന്റിക്കേറ്ററും ചർച്ച ചെയ്യുന്നു.
നോട്ട് ഐക്കൺ 100G ഇന്റർഫേസുകളിൽ SAP പിന്തുണയ്ക്കുന്നില്ല. നിങ്ങൾ MACsec കീ ഉടമ്പടി പ്രോട്ടോക്കോൾ ഉപയോഗിക്കാൻ ഞങ്ങൾ ശുപാർശ ചെയ്യുന്നു
100G ഇന്റർഫേസുകളിൽ വിപുലീകൃത പാക്കറ്റ് നമ്പറിംഗ് (XPN) ഉള്ള (MKA).
മൂന്ന് ഘട്ടങ്ങളും പൂർത്തിയാകുമ്പോൾ, ഓതന്റിക്കേറ്റർ ലിങ്കിന്റെ അവസ്ഥയെ അനധികൃത (തടയുന്ന) അവസ്ഥയിൽ നിന്ന് അംഗീകൃത സംസ്ഥാനത്തിലേക്ക് മാറ്റുകയും അപേക്ഷകൻ Cisco TrustSec ഡൊമെയ്‌നിൽ അംഗമാവുകയും ചെയ്യുന്നു.
Cisco TrustSec പ്രവേശനം ഉപയോഗിക്കുന്നു tagസ്കെയിലബിൾ രീതിയിൽ ആക്സസ് കൺട്രോൾ പോളിസി നടപ്പിലാക്കുന്നതിനായി ജിംഗും എഗ്രസ് ഫിൽട്ടറിംഗും. ഡൊമെയ്‌നിലേക്ക് പ്രവേശിക്കുന്ന പാക്കറ്റുകൾ tagഒരു സുരക്ഷാ ഗ്രൂപ്പുമായി ged tag (SGT) ഉറവിട ഉപകരണത്തിന്റെ നിയുക്ത സുരക്ഷാ ഗ്രൂപ്പ് നമ്പർ അടങ്ങിയിരിക്കുന്നു. ഈ പാക്കറ്റ് വർഗ്ഗീകരണം Cisco TrustSec ഡൊമെയ്‌നിലെ ഡാറ്റ പാതയിൽ സുരക്ഷയും മറ്റ് നയ മാനദണ്ഡങ്ങളും പ്രയോഗിക്കുന്നതിന് വേണ്ടി പരിപാലിക്കുന്നു. ഡാറ്റാ പാതയിലെ അവസാന Cisco TrustSec ഉപകരണം, എൻഡ്‌പോയിന്റ് അല്ലെങ്കിൽ നെറ്റ്‌വർക്ക് എഗ്രസ് പോയിന്റ്, Cisco TrustSec ഉറവിട ഉപകരണത്തിന്റെ സുരക്ഷാ ഗ്രൂപ്പിനെയും അന്തിമ Cisco TrustSec ഉപകരണത്തിന്റെ സുരക്ഷാ ഗ്രൂപ്പിനെയും അടിസ്ഥാനമാക്കി ഒരു ആക്‌സസ്സ് നിയന്ത്രണ നയം നടപ്പിലാക്കുന്നു. നെറ്റ്‌വർക്ക് വിലാസങ്ങളെ അടിസ്ഥാനമാക്കിയുള്ള പരമ്പരാഗത ആക്‌സസ് കൺട്രോൾ ലിസ്റ്റുകളിൽ നിന്ന് വ്യത്യസ്തമായി, സെക്യൂരിറ്റി ഗ്രൂപ്പ് ആക്‌സസ് കൺട്രോൾ ലിസ്റ്റുകൾ (SGACLs) എന്ന് വിളിക്കപ്പെടുന്ന റോൾ-ബേസ്ഡ് ആക്‌സസ് കൺട്രോൾ ലിസ്റ്റുകളുടെ (RBACLs) ഒരു രൂപമാണ് Cisco TrustSec ആക്‌സസ് കൺട്രോൾ പോളിസികൾ.
നോട്ട് ഐക്കൺലക്ഷ്യസ്ഥാനത്തേക്കുള്ള പാതയിൽ ഒരു പാക്കറ്റ് നേരിടുന്ന ആദ്യത്തെ Cisco TrustSec-ശേഷിയുള്ള ഉപകരണത്തിലേക്ക് പ്രവേശിക്കുന്ന പാക്കറ്റുകളെ ഇൻഗ്രെസ്സ് സൂചിപ്പിക്കുന്നു, അവസാനത്തെ Cisco TrustSec-ശേഷിയുള്ള ഉപകരണത്തെ പാതയിൽ ഉപേക്ഷിക്കുന്ന പാക്കറ്റുകളെ എക്ഗ്രസ് സൂചിപ്പിക്കുന്നു.
പ്രാമാണീകരണം
Cisco TrustSec ഉം പ്രാമാണീകരണവും
Network Device Admission Control (NDAC) ഉപയോഗിച്ച്, Cisco TrustSec ഒരു ഉപകരണത്തെ നെറ്റ്‌വർക്കിൽ ചേരാൻ അനുവദിക്കുന്നതിന് മുമ്പ് പ്രാമാണീകരിക്കുന്നു. എൻഡിഎസി 802.1എക്സ് ഓതന്റിക്കേഷൻ സഹിതം എക്സ്റ്റൻസിബിൾ ഓതന്റിക്കേഷൻ പ്രോട്ടോക്കോൾ ഫ്ലെക്സിബിൾ ഓതന്റിക്കേഷൻ വഴി സെക്യൂർ ടണൽ (ഇഎപി-ഫാസ്റ്റ്) എക്സ്റ്റൻസിബിൾ ഓതന്റിക്കേഷൻ പ്രോട്ടോക്കോൾ (ഇഎപി) രീതിയായി ഉപയോഗിക്കുന്നു. EAP-FAST സംഭാഷണങ്ങൾ ചങ്ങലകൾ ഉപയോഗിച്ച് EAP-FAST ടണലിനുള്ളിലെ മറ്റ് EAP രീതി എക്സ്ചേഞ്ചുകൾക്കായി നൽകുന്നു. ഇഎപി-ഫാസ്റ്റ് ടണൽ നൽകുന്ന സുരക്ഷയുണ്ടെങ്കിലും, അഡ്‌മിനിസ്‌ട്രേറ്റർമാർക്ക് മൈക്രോസോഫ്റ്റ് ചലഞ്ച് ഹാൻഡ്‌ഷേക്ക് ഓതന്റിക്കേഷൻ പ്രോട്ടോക്കോൾ പതിപ്പ് 2 (MSCHAPv2) പോലുള്ള പരമ്പരാഗത ഉപയോക്തൃ-പ്രാമാണീകരണ രീതികൾ ഉപയോഗിക്കാൻ കഴിയും. EAP-FAST എക്‌സ്‌ചേഞ്ച് സമയത്ത്, ആധികാരികത സെർവർ ഭാവിയിൽ പ്രാമാണീകരണ സെർവറുമായുള്ള സുരക്ഷിത ആശയവിനിമയത്തിനായി ഉപയോഗിക്കുന്നതിന് പങ്കിട്ട കീയും എൻക്രിപ്റ്റ് ചെയ്‌ത ടോക്കണും അടങ്ങുന്ന ഒരു അദ്വിതീയ സംരക്ഷിത ആക്‌സസ് ക്രെഡൻഷ്യൽ (PAC) സൃഷ്‌ടിക്കുകയും അപേക്ഷകന് നൽകുകയും ചെയ്യുന്നു.
Cisco TrustSec-ൽ ഉപയോഗിച്ചിരിക്കുന്ന EAP-FAST ടണലും ആന്തരിക രീതികളും ഇനിപ്പറയുന്ന ചിത്രം കാണിക്കുന്നു.
ചിത്രം 2: Cisco TrustSec പ്രാമാണീകരണം
CISCO Trustsec സുരക്ഷിതമായ നെറ്റ്‌വർക്ക് നിർമ്മിക്കുന്നു - ചിത്രം 2
Cisco TrustSec EAP-ഫാസ്റ്റിലേക്കുള്ള മെച്ചപ്പെടുത്തലുകൾ
Cisco TrustSec-നുള്ള EAP-FAST നടപ്പിലാക്കുന്നതിന് ഇനിപ്പറയുന്ന മെച്ചപ്പെടുത്തലുകൾ ഉണ്ട്:
  • ഓതന്റിക്കേറ്ററിനെ പ്രാമാണീകരിക്കുക - ഓതന്റിക്കേറ്ററിന്റെ ഐഡന്റിറ്റി സുരക്ഷിതമായി നിർണ്ണയിക്കുന്നു, ഓതന്റിക്കേറ്റർ അതിൻറെ പിഎസി ഉപയോഗിക്കണമെന്ന് ആവശ്യപ്പെട്ട്, തനിക്കും പ്രാമാണീകരണ സെർവറിനും ഇടയിലുള്ള പങ്കിട്ട കീ. ഓതന്റിക്കേറ്ററിന് ഉപയോഗിക്കാവുന്ന സാധ്യമായ എല്ലാ IP വിലാസങ്ങൾക്കുമായി പ്രാമാണീകരണ സെർവറിൽ RADIUS പങ്കിട്ട കീകൾ കോൺഫിഗർ ചെയ്യുന്നതിൽ നിന്നും ഈ സവിശേഷത നിങ്ങളെ തടയുന്നു.
  • ഓരോ ഉപകരണത്തെയും അതിന്റെ പിയറിന്റെ ഐഡന്റിറ്റി അറിയിക്കുക - പ്രാമാണീകരണ എക്സ്ചേഞ്ചിന്റെ അവസാനത്തോടെ, ഓതന്റിക്കേഷൻ സെർവർ അപേക്ഷകനെയും ഓതന്റിക്കേറ്ററെയും തിരിച്ചറിഞ്ഞു. ഓതന്റിക്കേഷൻ സെർവർ, ഓതന്റിക്കേറ്ററിന്റെ ഐഡന്റിറ്റിയും, ഓതന്റിക്കേറ്റർ Cisco TrustSec-കഴിവുള്ളതാണോ എന്നതും, പരിരക്ഷിത EAP-FAST ടെർമിനേഷനിൽ അധിക ടൈപ്പ്-ലെങ്ത്ത്-വാല്യൂ പാരാമീറ്ററുകൾ (TLVs) ഉപയോഗിച്ച് അപേക്ഷകനെ അറിയിക്കുന്നു. ആധികാരികത സെർവർ, അപേക്ഷകന്റെ ഐഡന്റിറ്റിയും, അപേക്ഷകൻ Cisco TrustSec-കഴിവുള്ളതാണോ എന്നതും, ആക്‌സസ്-അംഗീകരിക്കൂ എന്ന സന്ദേശത്തിലെ RADIUS ആട്രിബ്യൂട്ടുകൾ ഉപയോഗിച്ച് ഓതന്റിക്കേറ്ററെ അറിയിക്കുന്നു.
    ഓരോ ഉപകരണത്തിനും അതിന്റെ പിയറിന്റെ ഐഡന്റിറ്റി അറിയാവുന്നതിനാൽ, ലിങ്കിൽ പ്രയോഗിക്കേണ്ട നയം നേടുന്നതിന് പ്രാമാണീകരണ സെർവറിലേക്ക് അധിക RADIUS ആക്‌സസ്-അഭ്യർത്ഥനകൾ അയയ്‌ക്കാനാകും.
802.1X റോൾ സെലക്ഷൻ
802.1X-ൽ, ഓതന്റിക്കേറ്ററിന് പ്രാമാണീകരണ സെർവറുമായി IP കണക്റ്റിവിറ്റി ഉണ്ടായിരിക്കണം, കാരണം അത് UDP/IP വഴി RADIUS ഉപയോഗിച്ച് ഓതന്റിക്കേഷൻ എക്സ്ചേഞ്ച് റിലേ ചെയ്യണം. പിസി പോലുള്ള എൻഡ്‌പോയിന്റ് ഉപകരണം ഒരു നെറ്റ്‌വർക്കിലേക്ക് കണക്‌റ്റ് ചെയ്യുമ്പോൾ, അത് ഒരു അപേക്ഷകനായി പ്രവർത്തിക്കണമെന്ന് വ്യക്തമാണ്. എന്നിരുന്നാലും, രണ്ട് നെറ്റ്‌വർക്ക് ഉപകരണങ്ങൾ തമ്മിലുള്ള ഒരു Cisco TrustSec കണക്ഷന്റെ കാര്യത്തിൽ, ഓരോ നെറ്റ്‌വർക്ക് ഉപകരണത്തിന്റെയും 802.1X പങ്ക് മറ്റ് നെറ്റ്‌വർക്ക് ഉപകരണത്തിന് പെട്ടെന്ന് ദൃശ്യമാകണമെന്നില്ല.
അടുത്തുള്ള രണ്ട് സ്വിച്ചുകൾക്കായി ഓതന്റിക്കേറ്ററിന്റെയും സപ്ലിക്കന്റ് റോളുകളുടെയും മാനുവൽ കോൺഫിഗറേഷൻ ആവശ്യപ്പെടുന്നതിനുപകരം, ഏത് സ്വിച്ച് ഓതന്റിക്കേറ്ററായി പ്രവർത്തിക്കുന്നുവെന്നും അപേക്ഷകനായി പ്രവർത്തിക്കുന്നുവെന്നും യാന്ത്രികമായി നിർണ്ണയിക്കാൻ Cisco TrustSec ഒരു റോൾ-സെലക്ഷൻ അൽഗോരിതം പ്രവർത്തിപ്പിക്കുന്നു. റോൾ-സെലക്ഷൻ അൽഗോരിതം ഒരു RADIUS സെർവറിലേക്ക് IP എത്തിച്ചേരാവുന്ന സ്വിച്ചിലേക്ക് ഓതന്റിക്കേറ്റർ റോൾ നൽകുന്നു. രണ്ട് സ്വിച്ചുകളും ഓതന്റിക്കേറ്ററും സപ്ലിക്കന്റ് സ്റ്റേറ്റ് മെഷീനുകളും ആരംഭിക്കുന്നു. ഒരു സ്വിച്ച് അതിന്റെ പിയർക്ക് ഒരു RADIUS സെർവറിലേക്ക് ആക്‌സസ് ഉണ്ടെന്ന് കണ്ടെത്തുമ്പോൾ, അത് അതിന്റെ സ്വന്തം ഓതന്റിക്കേറ്റർ സ്റ്റേറ്റ് മെഷീൻ അവസാനിപ്പിക്കുകയും അപേക്ഷകന്റെ പങ്ക് ഏറ്റെടുക്കുകയും ചെയ്യുന്നു. രണ്ട് സ്വിച്ചുകൾക്കും ഒരു RADIUS സെർവറിലേക്ക് ആക്‌സസ് ഉണ്ടെങ്കിൽ, RADIUS സെർവറിൽ നിന്ന് ഒരു പ്രതികരണം ലഭിക്കുന്ന ആദ്യ സ്വിച്ച് ഓതന്റിക്കേറ്ററും മറ്റേ സ്വിച്ച് അപേക്ഷകനുമാകും.
Cisco TrustSec പ്രാമാണീകരണ സംഗ്രഹം
Cisco TrustSec പ്രാമാണീകരണ പ്രക്രിയയുടെ അവസാനത്തോടെ, പ്രാമാണീകരണ സെർവർ ഇനിപ്പറയുന്ന പ്രവർത്തനങ്ങൾ നടത്തി:
  • അപേക്ഷകന്റെയും ഓതന്റിക്കേറ്ററുടെയും ഐഡന്റിറ്റി പരിശോധിച്ചു.
  • അപേക്ഷകൻ ഒരു എൻഡ്‌പോയിന്റ് ഉപകരണമാണെങ്കിൽ ഉപയോക്താവിനെ പ്രാമാണീകരിച്ചു.
Cisco TrustSec പ്രാമാണീകരണ പ്രക്രിയയുടെ അവസാനം, ഓതന്റിക്കേറ്ററിനും അപേക്ഷകനും ഇനിപ്പറയുന്ന കാര്യങ്ങൾ അറിയാം:
  • ഇനിപ്പറയുന്നവ:
  • പിയറിന്റെ ഉപകരണ ഐഡി
  • പിയറിന്റെ Cisco TrustSec ശേഷി വിവരങ്ങൾ
  • SAP-ന് ഉപയോഗിക്കുന്ന കീ
ഉപകരണ ഐഡന്റിറ്റികൾ
Cisco TrustSec IP വിലാസങ്ങളോ MAC വിലാസങ്ങളോ ഉപകരണ ഐഡന്റിറ്റികളായി ഉപയോഗിക്കുന്നില്ല. പകരം, Cisco TrustSec ഡൊമെയ്‌നിൽ അദ്വിതീയമായി തിരിച്ചറിയാൻ ഓരോ Cisco TrustSec-കഴിവുള്ള സ്വിച്ചിനും നിങ്ങൾ ഒരു പേര് (ഉപകരണ ഐഡി) നൽകുന്നു. ഈ ഉപകരണ ഐഡി ഇനിപ്പറയുന്ന കാര്യങ്ങൾക്കായി ഉപയോഗിക്കുന്നു:
  • അംഗീകാര നയം നോക്കുന്നു
  • പ്രാമാണീകരണ സമയത്ത് ഡാറ്റാബേസുകളിൽ പാസ്‌വേഡുകൾ തിരയുന്നു
ഉപകരണ ക്രെഡൻഷ്യലുകൾ
Cisco TrustSec പാസ്‌വേഡ് അടിസ്ഥാനമാക്കിയുള്ള ക്രെഡൻഷ്യലുകളെ പിന്തുണയ്ക്കുന്നു. Cisco TrustSec പാസ്‌വേഡുകളിലൂടെ അപേക്ഷകരെ പ്രാമാണീകരിക്കുകയും പരസ്പര പ്രാമാണീകരണം നൽകുന്നതിന് MSCHAPv2 ഉപയോഗിക്കുകയും ചെയ്യുന്നു.
EAP-FAST ഫേസ് 0 (പ്രൊവിഷനിംഗ്) എക്‌സ്‌ചേഞ്ച് സമയത്ത് അപേക്ഷകനെ പരസ്‌പരം ആധികാരികമാക്കാൻ പ്രാമാണീകരണ സെർവർ ഈ ക്രെഡൻഷ്യലുകൾ ഉപയോഗിക്കുന്നു, അവിടെ ഒരു PAC അപേക്ഷകനിൽ പ്രൊവിഷൻ ചെയ്‌തിരിക്കുന്നു. PAC കാലഹരണപ്പെടുന്നതുവരെ Cisco TrustSec വീണ്ടും EAP-FAST ഫേസ് 0 എക്‌സ്‌ചേഞ്ച് നടത്തില്ല, മാത്രമല്ല ഭാവിയിലെ ലിങ്ക് ബ്രേക്കപ്പുകൾക്കായി EAP-FAST ഫേസ് 1, ഫേസ് 2 എക്‌സ്‌ചേഞ്ചുകൾ മാത്രമേ നടത്തൂ. EAP-FAST ഫേസ് 1 എക്സ്ചേഞ്ച്, ആധികാരികത സെർവറിനെയും അപേക്ഷകനെയും പരസ്പരം ആധികാരികമാക്കാൻ PAC ഉപയോഗിക്കുന്നു. PAC പ്രൊവിഷനിംഗ് (അല്ലെങ്കിൽ റീപ്രൊവിഷനിംഗ്) ഘട്ടങ്ങളിൽ മാത്രമേ Cisco TrustSec ഉപകരണ ക്രെഡൻഷ്യലുകൾ ഉപയോഗിക്കുന്നത്.
അപേക്ഷകൻ ആദ്യം Cisco TrustSec ഡൊമെയ്‌നിൽ ചേരുമ്പോൾ, ആധികാരികത ഉറപ്പാക്കൽ സെർവർ അപേക്ഷകനെ പ്രാമാണീകരിക്കുകയും PAC ഉപയോഗിച്ച് ഒരു പങ്കിട്ട കീയും എൻക്രിപ്റ്റ് ചെയ്ത ടോക്കണും അപേക്ഷകന് തള്ളുകയും ചെയ്യുന്നു. ഭാവിയിലെ എല്ലാ EAP-FAST ഘട്ടം 0 എക്സ്ചേഞ്ചുകളിലും പരസ്പര പ്രാമാണീകരണത്തിനായി പ്രാമാണീകരണ സെർവറും അപേക്ഷകനും ഈ കീയും ടോക്കണും ഉപയോഗിക്കുന്നു.
ഉപയോക്തൃ ക്രെഡൻഷ്യലുകൾ
എൻഡ്‌പോയിന്റ് ഉപകരണങ്ങൾക്കായി Cisco TrustSec-ന് ഒരു പ്രത്യേക തരം ഉപയോക്തൃ ക്രെഡൻഷ്യൽ ആവശ്യമില്ല. പ്രാമാണീകരണ സെർവർ പിന്തുണയ്‌ക്കുന്ന ഏത് തരത്തിലുള്ള ഉപയോക്തൃ പ്രാമാണീകരണ രീതിയും നിങ്ങൾക്ക് തിരഞ്ഞെടുക്കാനും അനുബന്ധ ക്രെഡൻഷ്യലുകൾ ഉപയോഗിക്കാനും കഴിയും. ഉദാample, Cisco Secure Access Control System (ACS) പതിപ്പ് 5.1 MSCHAPv2, ജനറിക് ടോക്കൺ കാർഡ് (GTC), അല്ലെങ്കിൽ RSA ഒറ്റത്തവണ പാസ്‌വേഡ് (OTP) പിന്തുണയ്ക്കുന്നു.
സെക്യൂരിറ്റി ഗ്രൂപ്പ് അടിസ്ഥാനമാക്കിയുള്ള ആക്സസ് കൺട്രോൾ
ഈ വിഭാഗം സെക്യൂരിറ്റി ഗ്രൂപ്പ് അടിസ്ഥാനത്തിലുള്ള ആക്സസ് കൺട്രോൾ ലിസ്റ്റുകളെ (SGACLs) കുറിച്ചുള്ള വിവരങ്ങൾ നൽകുന്നു.
സുരക്ഷാ ഗ്രൂപ്പുകളും SGT-കളും
ആക്‌സസ്സ് നിയന്ത്രണ നയങ്ങൾ പങ്കിടുന്ന ഉപയോക്താക്കളുടെയും എൻഡ്‌പോയിന്റ് ഉപകരണങ്ങളുടെയും ഉറവിടങ്ങളുടെയും ഒരു ഗ്രൂപ്പിംഗാണ് സുരക്ഷാ ഗ്രൂപ്പ്. Cisco ISE അല്ലെങ്കിൽ Cisco Secure ACS-ലെ അഡ്മിനിസ്ട്രേറ്ററാണ് സുരക്ഷാ ഗ്രൂപ്പുകളെ നിർവചിച്ചിരിക്കുന്നത്. Cisco TrustSec ഡൊമെയ്‌നിലേക്ക് പുതിയ ഉപയോക്താക്കളും ഉപകരണങ്ങളും ചേർക്കപ്പെടുന്നതിനാൽ, പ്രാമാണീകരണ സെർവർ ഈ പുതിയ എന്റിറ്റികളെ ഉചിതമായ സുരക്ഷാ ഗ്രൂപ്പുകളിലേക്ക് നിയോഗിക്കുന്നു. Cisco TrustSec ഓരോ സെക്യൂരിറ്റി ഗ്രൂപ്പിനും ഒരു 16-ബിറ്റ് സെക്യൂരിറ്റി ഗ്രൂപ്പ് നമ്പർ നൽകുന്നു, അതിന്റെ വ്യാപ്തി Cisco TrustSec ഡൊമെയ്‌നിനുള്ളിൽ ആഗോളമാണ്. ഉപകരണത്തിലെ സുരക്ഷാ ഗ്രൂപ്പുകളുടെ എണ്ണം പ്രാമാണീകരിച്ച നെറ്റ്‌വർക്ക് എന്റിറ്റികളുടെ എണ്ണത്തിൽ പരിമിതപ്പെടുത്തിയിരിക്കുന്നു. നിങ്ങൾ സുരക്ഷാ ഗ്രൂപ്പ് നമ്പറുകൾ സ്വമേധയാ കോൺഫിഗർ ചെയ്യേണ്ടതില്ല.
ഒരു ഉപകരണം പ്രാമാണീകരിച്ചുകഴിഞ്ഞാൽ, Cisco TrustSec tags ഒരു സുരക്ഷാ ഗ്രൂപ്പുള്ള ആ ഉപകരണത്തിൽ നിന്ന് ഉത്ഭവിക്കുന്ന ഏതെങ്കിലും പാക്കറ്റ് tag (SGT) ഉപകരണത്തിന്റെ സുരക്ഷാ ഗ്രൂപ്പ് നമ്പർ അടങ്ങിയിരിക്കുന്നു. Cisco TrustSec തലക്കെട്ടിനുള്ളിലെ നെറ്റ്‌വർക്കിലുടനീളം പാക്കറ്റ് ഈ SGT വഹിക്കുന്നു. മുഴുവൻ എന്റർപ്രൈസിനുള്ളിലും ഉറവിടത്തിന്റെ പ്രത്യേകാവകാശങ്ങൾ നിർണ്ണയിക്കുന്ന ഒരൊറ്റ ലേബലാണ് SGT.
കാരണം, SGT-ൽ ഉറവിടത്തിന്റെ സുരക്ഷാ ഗ്രൂപ്പ് അടങ്ങിയിരിക്കുന്നു tag ഉറവിടം SGT എന്ന് പരാമർശിക്കാം. ലക്ഷ്യസ്ഥാന ഉപകരണം ഒരു സുരക്ഷാ ഗ്രൂപ്പിനും (ഡെസ്റ്റിനേഷൻ SG) അസൈൻ ചെയ്‌തിരിക്കുന്നു, അതിനെ ലാളിത്യത്തിനായി ഡെസ്റ്റിനേഷൻ ഗ്രൂപ്പ് എന്ന് വിളിക്കാം. tag (DGT), യഥാർത്ഥ Cisco TrustSec പാക്കറ്റ് ആണെങ്കിലും tag ലക്ഷ്യസ്ഥാന ഉപകരണത്തിന്റെ സുരക്ഷാ ഗ്രൂപ്പ് നമ്പർ അടങ്ങിയിട്ടില്ല.
സുരക്ഷാ ഗ്രൂപ്പ് ACL പിന്തുണ
സെക്യൂരിറ്റി ഗ്രൂപ്പ് ആക്‌സസ് കൺട്രോൾ ലിസ്റ്റുകൾ (SGACLs) എന്നത് സെക്യൂരിറ്റി ഗ്രൂപ്പ് അസൈൻമെന്റുകളെയും ലക്ഷ്യസ്ഥാന ഉറവിടങ്ങളെയും അടിസ്ഥാനമാക്കി ഒരു ഉപയോക്താവ് നടത്തുന്ന പ്രവർത്തനങ്ങൾ നിയന്ത്രിക്കാൻ അഡ്മിനിസ്ട്രേറ്റർക്ക് കഴിയുന്ന ഒരു നയ നിർവ്വഹണമാണ്. Cisco Trustsec ഡൊമെയ്‌നിലെ പോളിസി എൻഫോഴ്‌സ്‌മെന്റിനെ ഒരു അനുമതി മാട്രിക്സ് പ്രതിനിധീകരിക്കുന്നു, ഒരു അക്ഷത്തിൽ ഉറവിട സുരക്ഷാ ഗ്രൂപ്പ് നമ്പറും മറ്റൊരു അക്ഷത്തിൽ ലക്ഷ്യസ്ഥാന സുരക്ഷാ ഗ്രൂപ്പ് നമ്പറും. മാട്രിക്സിലെ ഓരോ സെല്ലിലും ഓർഡർ ചെയ്ത SGACL-കളുടെ ഒരു ലിസ്റ്റ് അടങ്ങിയിരിക്കുന്നു, അത് ഒരു സോഴ്സ് സെക്യൂരിറ്റി ഗ്രൂപ്പിൽ പെട്ടതും ഡെസ്റ്റിനേഷൻ സെക്യൂരിറ്റി ഗ്രൂപ്പിൽ പെട്ട ഒരു ഡെസ്റ്റിനേഷൻ IP ഉള്ളതുമായ ഒരു IP-ൽ നിന്ന് ഉത്ഭവിക്കുന്ന പാക്കറ്റുകളിൽ പ്രയോഗിക്കേണ്ട അനുമതികൾ വ്യക്തമാക്കുന്നു.
സെക്യൂരിറ്റി അസോസിയേഷന്റെയോ സെക്യൂരിറ്റി ഗ്രൂപ്പിനെയോ അടിസ്ഥാനമാക്കിയുള്ള സ്‌റ്റേറ്റ്‌ലെസ് ആക്‌സസ് കൺട്രോൾ മെക്കാനിസം SGACL നൽകുന്നു tag IP വിലാസങ്ങൾക്കും ഫിൽട്ടറുകൾക്കും പകരം മൂല്യം. ഒരു SGACL നയം നൽകുന്നതിന് മൂന്ന് വഴികളുണ്ട്:
  • സ്റ്റാറ്റിക് പോളിസി പ്രൊവിഷനിംഗ്: cts റോൾ അധിഷ്ഠിത അനുമതി എന്ന കമാൻഡ് ഉപയോഗിച്ച് ഉപയോക്താവ് SGACL നയങ്ങൾ നിർവചിക്കുന്നു.
  • ഡൈനാമിക് പോളിസി പ്രൊവിഷനിംഗ്: SGACL പോളിസികളുടെ കോൺഫിഗറേഷൻ പ്രാഥമികമായി Cisco Secure ACS അല്ലെങ്കിൽ Cisco Identity Services Engine-ന്റെ പോളിസി മാനേജ്മെന്റ് ഫംഗ്ഷനിലൂടെയാണ് ചെയ്യേണ്ടത്.
  • അംഗീകാരത്തിന്റെ മാറ്റം (CoA): ISE-യിൽ SGACL നയം പരിഷ്‌ക്കരിക്കുകയും Cisco TrustSec ഉപകരണത്തിലേക്ക് CoA മാറ്റുകയും ചെയ്യുമ്പോൾ അപ്‌ഡേറ്റ് ചെയ്‌ത നയം ഡൗൺലോഡ് ചെയ്യപ്പെടും.

    ഉപകരണ ഡാറ്റാ വിമാനം പോളിസി പ്രൊവൈഡറിൽ (ISE) നിന്ന് CoA പാക്കറ്റുകൾ സ്വീകരിക്കുകയും CoA പാക്കറ്റുകൾക്ക് നയം ബാധകമാക്കുകയും ചെയ്യുന്നു. പാക്കറ്റുകൾ പിന്നീട് ഉപകരണ നിയന്ത്രണ പ്ലെയിനിലേക്ക് കൈമാറുന്നു, അവിടെ ഇൻകമിംഗ് CoA പാക്കറ്റുകൾക്ക് അടുത്ത ലെവൽ പോളിസി എൻഫോഴ്‌സ്‌മെന്റ് നടക്കുന്നു. ലേക്ക് view ഹാർഡ്‌വെയർ, സോഫ്‌റ്റ്‌വെയർ പോളിസി കൗണ്ടർ ഹിറ്റ് വിവരങ്ങൾ, പ്രിവിലേജ്ഡ് എക്‌സെക് മോഡിൽ ഷോ cts റോൾ-ബേസ്ഡ് കൗണ്ടറുകൾ കമാൻഡ് പ്രവർത്തിപ്പിക്കുക.

SGACL നയങ്ങൾ
സെക്യൂരിറ്റി ഗ്രൂപ്പ് ആക്സസ് കൺട്രോൾ ലിസ്റ്റുകൾ (SGACLs) ഉപയോഗിച്ച്, ഉപയോക്താക്കളുടെ സുരക്ഷാ ഗ്രൂപ്പ് അസൈൻമെന്റുകളുടെയും ലക്ഷ്യസ്ഥാന ഉറവിടങ്ങളുടെയും അടിസ്ഥാനത്തിൽ ഉപയോക്താക്കൾക്ക് ചെയ്യാൻ കഴിയുന്ന പ്രവർത്തനങ്ങൾ നിങ്ങൾക്ക് നിയന്ത്രിക്കാനാകും. Cisco TrustSec ഡൊമെയ്‌നിലെ പോളിസി എൻഫോഴ്‌സ്‌മെന്റിനെ ഒരു അനുമതി മാട്രിക്സ് പ്രതിനിധീകരിക്കുന്നു, ഒരു അക്ഷത്തിൽ ഉറവിട സുരക്ഷാ ഗ്രൂപ്പ് നമ്പറുകളും മറ്റൊരു അക്ഷത്തിൽ ലക്ഷ്യസ്ഥാന സുരക്ഷാ ഗ്രൂപ്പ് നമ്പറുകളും. മാട്രിക്സിന്റെ ബോഡിയിലെ ഓരോ സെല്ലിലും SGACL-കളുടെ ഒരു ഓർഡർ ചെയ്ത ലിസ്റ്റ് അടങ്ങിയിരിക്കാം, അത് ഉറവിട സുരക്ഷാ ഗ്രൂപ്പിൽ നിന്ന് ഉത്ഭവിക്കുന്നതും ഡെസ്റ്റിനേഷൻ സെക്യൂരിറ്റി ഗ്രൂപ്പിന് വേണ്ടിയുള്ളതുമായ പാക്കറ്റുകൾക്ക് ബാധകമാക്കേണ്ട അനുമതികൾ വ്യക്തമാക്കുന്നു.
ഇനിപ്പറയുന്ന ചിത്രം ഒരു മുൻ കാണിക്കുന്നുampമൂന്ന് നിർവചിക്കപ്പെട്ട ഉപയോക്തൃ റോളുകളും ഒരു നിർവചിക്കപ്പെട്ട ഡെസ്റ്റിനേഷൻ റിസോഴ്സും ഉള്ള ഒരു ലളിതമായ ഡൊമെയ്‌നിനായുള്ള ഒരു Cisco TrustSec പെർമിഷൻസ് മാട്രിക്‌സിന്റെ le. മൂന്ന് SGACL നയങ്ങൾ ഉപയോക്താവിന്റെ റോളിനെ അടിസ്ഥാനമാക്കി ലക്ഷ്യ സെർവറിലേക്കുള്ള ആക്‌സസ് നിയന്ത്രിക്കുന്നു.
ചിത്രം 3: SGACL പോളിസി മാട്രിക്സ് എക്സിample
CISCO Trustsec സുരക്ഷിതമായ നെറ്റ്‌വർക്ക് നിർമ്മിക്കുന്നു - ചിത്രം 3
സെക്യൂരിറ്റി ഗ്രൂപ്പുകൾക്ക് നെറ്റ്‌വർക്കിനുള്ളിലെ ഉപയോക്താക്കളെയും ഉപകരണങ്ങളെയും നിയോഗിക്കുന്നതിലൂടെയും സുരക്ഷാ ഗ്രൂപ്പുകൾക്കിടയിൽ ആക്‌സസ്സ് നിയന്ത്രണം പ്രയോഗിക്കുന്നതിലൂടെയും, Cisco TrustSec നെറ്റ്‌വർക്കിനുള്ളിൽ റോൾ-ബേസ്ഡ് ടോപ്പോളജി-സ്വതന്ത്ര ആക്‌സസ് നിയന്ത്രണം കൈവരിക്കുന്നു. പരമ്പരാഗത ACL-കളിലെ പോലെ IP വിലാസങ്ങൾക്ക് പകരം ഉപകരണ ഐഡന്റിറ്റിയെ അടിസ്ഥാനമാക്കിയുള്ള ആക്സസ് നിയന്ത്രണ നയങ്ങൾ SGACL-കൾ നിർവചിക്കുന്നതിനാൽ, നെറ്റ്‌വർക്ക് ഉപകരണങ്ങൾക്ക് നെറ്റ്‌വർക്കിലുടനീളം നീങ്ങാനും IP വിലാസങ്ങൾ മാറ്റാനും സ്വാതന്ത്ര്യമുണ്ട്.
റോളുകളും അനുമതികളും അതേപടി നിലനിൽക്കുന്നിടത്തോളം, നെറ്റ്‌വർക്ക് ടോപ്പോളജിയിലെ മാറ്റങ്ങൾ സുരക്ഷാ നയത്തെ മാറ്റില്ല. ഉപകരണത്തിലേക്ക് ഒരു ഉപയോക്താവിനെ ചേർക്കുമ്പോൾ, നിങ്ങൾ ഉപയോക്താവിനെ ഉചിതമായ ഒരു സുരക്ഷാ ഗ്രൂപ്പിലേക്ക് നിയോഗിക്കുകയും ഉപയോക്താവിന് ആ ഗ്രൂപ്പിന്റെ അനുമതികൾ ഉടനടി ലഭിക്കുകയും ചെയ്യും.
നോട്ട് ഐക്കൺSGACL നയങ്ങൾ രണ്ട് ഹോസ്റ്റ് ഉപകരണങ്ങൾക്കിടയിൽ ജനറേറ്റുചെയ്യുന്ന ട്രാഫിക്കിന് ബാധകമാണ്, ഒരു ഉപകരണത്തിൽ നിന്ന് ഒരു എൻഡ് ഹോസ്റ്റ് ഉപകരണത്തിലേക്ക് ജനറേറ്റുചെയ്യുന്ന ട്രാഫിക്കിലേക്കല്ല.
റോൾ അധിഷ്‌ഠിത അനുമതികൾ ഉപയോഗിക്കുന്നത് ACL-കളുടെ വലുപ്പം ഗണ്യമായി കുറയ്ക്കുകയും അവയുടെ പരിപാലനം ലളിതമാക്കുകയും ചെയ്യുന്നു. Cisco TrustSec ഉപയോഗിച്ച്, കോൺഫിഗർ ചെയ്തിട്ടുള്ള ആക്സസ് കൺട്രോൾ എൻട്രികളുടെ (ACE-കൾ) എണ്ണം നിർണ്ണയിക്കുന്നത് നിർദ്ദിഷ്ട അനുമതികളുടെ എണ്ണം അനുസരിച്ചാണ്, ഇത് ഒരു പരമ്പരാഗത IP നെറ്റ്‌വർക്കിനെ അപേക്ഷിച്ച് വളരെ ചെറിയ എണ്ണം ACE-കൾക്ക് കാരണമാകുന്നു. Cisco TrustSec-ലെ SGACL-കളുടെ ഉപയോഗം പരമ്പരാഗത ACL-കളെ അപേക്ഷിച്ച് TCAM ഉറവിടങ്ങളുടെ കൂടുതൽ കാര്യക്ഷമമായ ഉപയോഗത്തിന് കാരണമാകുന്നു. കാറ്റലിസ്റ്റ് 17,500 സീരീസ് സ്വിച്ചുകളിൽ പരമാവധി 9500 SGACL പോളിസികൾ പിന്തുണയ്ക്കുന്നു. കാറ്റലിസ്റ്റ് 9500 ഹൈ പെർഫോമൻസ് സീരീസ് സ്വിച്ചുകളിൽ, പരമാവധി 28,224 SGACL പോളിസികൾ പിന്തുണയ്ക്കുന്നു.
പ്രവേശനം Tagging and Egress Enforcement
Cisco TrustSec പ്രവേശന നിയന്ത്രണം ഇൻഗ്രെസ്സ് ഉപയോഗിച്ച് നടപ്പിലാക്കുന്നു tagഗിംഗ് ആൻഡ് എഗ്രസ് എൻഫോഴ്സ്മെന്റ്. Cisco TrustSec ഡൊമെയ്‌നിലേക്കുള്ള പ്രവേശന പോയിന്റിൽ, ഉറവിടത്തിൽ നിന്നുള്ള ട്രാഫിക് ആണ് tagസോഴ്സ് എന്റിറ്റിയുടെ സെക്യൂരിറ്റി ഗ്രൂപ്പ് നമ്പർ അടങ്ങുന്ന ഒരു SGT ഉപയോഗിച്ച് ged. ഡൊമെയ്‌നിലുടനീളം ട്രാഫിക്കിനൊപ്പം SGT പ്രചരിപ്പിക്കപ്പെടുന്നു. Cisco TrustSec ഡൊമെയ്‌നിന്റെ എഗ്രസ് പോയിന്റിൽ, SGACL പോളിസി മാട്രിക്‌സിൽ നിന്ന് ഏത് ആക്‌സസ് പോളിസിയാണ് പ്രയോഗിക്കേണ്ടതെന്ന് നിർണ്ണയിക്കാൻ ഒരു എക്‌സ് ഉപകരണം ഉറവിട എസ്‌ജിടിയും ലക്ഷ്യസ്ഥാന എന്റിറ്റിയുടെ (ഡെസ്റ്റിനേഷൻ എസ്‌ജി, അല്ലെങ്കിൽ ഡിജിടി) സെക്യൂരിറ്റി ഗ്രൂപ്പ് നമ്പറും ഉപയോഗിക്കുന്നു.
ഒരു Cisco TrustSec ഡൊമെയ്‌നിൽ SGT അസൈൻമെന്റും SGACL എൻഫോഴ്‌സ്‌മെന്റും എങ്ങനെ പ്രവർത്തിക്കുന്നുവെന്ന് ഇനിപ്പറയുന്ന ചിത്രം കാണിക്കുന്നു.
ചിത്രം 4: ഒരു Cisco TrustSec ഡൊമെയ്‌നിലെ SGT, SGACL
CISCO Trustsec സുരക്ഷിതമായ നെറ്റ്‌വർക്ക് നിർമ്മിക്കുന്നു - ചിത്രം 4
  1. ഹോസ്റ്റ് പിസി ഒരു പാക്കറ്റിലേക്ക് കൈമാറുന്നു web സെർവർ. പിസി ആണെങ്കിലും web സെർവർ Cisco TrustSec ഡൊമെയ്‌നിലെ അംഗങ്ങളല്ല, പാക്കറ്റിന്റെ ഡാറ്റ പാതയിൽ Cisco TrustSec ഡൊമെയ്‌ൻ ഉൾപ്പെടുന്നു.
  2. Cisco TrustSec ഇൻഗ്രെസ്സ് ഉപകരണം സെക്യൂരിറ്റി ഗ്രൂപ്പ് നമ്പർ 3-നൊപ്പം ഒരു SGT ചേർക്കാൻ പാക്കറ്റിനെ പരിഷ്ക്കരിക്കുന്നു, ഹോസ്റ്റ് പിസിക്ക് ആധികാരികത സെർവർ നൽകിയ സുരക്ഷാ ഗ്രൂപ്പ് നമ്പർ.
  3. Cisco TrustSec egress ഉപകരണം സോഴ്‌സ് ഗ്രൂപ്പ് 3, ഡെസ്റ്റിനേഷൻ ഗ്രൂപ്പ് 4 എന്നിവയ്‌ക്ക് ബാധകമായ SGACL നയം നടപ്പിലാക്കുന്നു, ഇതിനായി പ്രാമാണീകരണ സെർവർ നൽകിയ സുരക്ഷാ ഗ്രൂപ്പ് നമ്പറാണ്. web സെർവർ.
  4. SGACL പാക്കറ്റ് ഫോർവേഡ് ചെയ്യാൻ അനുവദിക്കുകയാണെങ്കിൽ, Cisco TrustSec എഗ്രസ് സ്വിച്ച് SGT നീക്കം ചെയ്യുന്നതിനായി പാക്കറ്റിനെ പരിഷ്‌ക്കരിക്കുകയും പാക്കറ്റ് ഇതിലേക്ക് കൈമാറുകയും ചെയ്യുന്നു. web സെർവർ.
ഉറവിട സുരക്ഷാ ഗ്രൂപ്പിനെ നിർണ്ണയിക്കുന്നു
Cisco TrustSec ഡൊമെയ്‌നിൽ പ്രവേശിക്കുന്ന ഒരു നെറ്റ്‌വർക്ക് ഉപകരണം Cisco TrustSec ഡൊമെയ്‌നിൽ പ്രവേശിക്കുന്ന പാക്കറ്റിന്റെ SGT നിർണ്ണയിക്കണം, അതുവഴി അതിന് കഴിയും tag ആ SGT ഉള്ള പാക്കറ്റ് അത് Cisco TrustSec ഡൊമെയ്‌നിലേക്ക് കൈമാറുമ്പോൾ. ഒരു എസ്‌ജി‌എ‌സി‌എൽ പ്രയോഗിക്കുന്നതിന് എഗ്രസ് നെറ്റ്‌വർക്ക് ഉപകരണം പാക്കറ്റിന്റെ എസ്ജിടി നിർണ്ണയിക്കണം.
നെറ്റ്‌വർക്ക് ഉപകരണത്തിന് ഇനിപ്പറയുന്ന രീതികളിലൊന്നിൽ ഒരു പാക്കറ്റിനായി SGT നിർണ്ണയിക്കാനാകും:
  • പോളിസി ഏറ്റെടുക്കൽ സമയത്ത് SGT ഉറവിടം നേടുക - Cisco TrustSec പ്രാമാണീകരണ ഘട്ടത്തിന് ശേഷം, ഒരു നെറ്റ്‌വർക്ക് ഉപകരണം പ്രാമാണീകരണ സെർവറിൽ നിന്ന് നയ വിവരങ്ങൾ നേടുന്നു, ഇത് പിയർ ഉപകരണം വിശ്വസനീയമാണോ അല്ലയോ എന്ന് സൂചിപ്പിക്കുന്നു. ഒരു പിയർ ഉപകരണം വിശ്വസനീയമല്ലെങ്കിൽ, പിയർ ഉപകരണത്തിൽ നിന്ന് വരുന്ന എല്ലാ പാക്കറ്റുകളിലും പ്രയോഗിക്കുന്നതിന് പ്രാമാണീകരണ സെർവറിന് ഒരു SGT നൽകാനും കഴിയും.
  • പാക്കറ്റിൽ നിന്ന് ഉറവിടം SGT നേടുക-ഒരു പാക്കറ്റ് ഒരു വിശ്വസ്ത പിയർ ഉപകരണത്തിൽ നിന്നാണ് വരുന്നതെങ്കിൽ, പാക്കറ്റ് SGT വഹിക്കുന്നു. പാക്കറ്റിനായി Cisco TrustSec ഡൊമെയ്‌നിലെ ആദ്യത്തെ നെറ്റ്‌വർക്ക് ഉപകരണമല്ലാത്ത ഒരു നെറ്റ്‌വർക്ക് ഉപകരണത്തിന് ഇത് ബാധകമാണ്.
  • സോഴ്‌സ് ഐഡന്റിറ്റിയെ അടിസ്ഥാനമാക്കി സോഴ്‌സ് എസ്‌ജിടി തിരയുക-ഐഡന്റിറ്റി പോർട്ട് മാപ്പിംഗ് (ഐ‌പി‌എം) ഉപയോഗിച്ച്, ബന്ധിപ്പിച്ച പിയറിന്റെ ഐഡന്റിറ്റിയുമായി നിങ്ങൾക്ക് നേരിട്ട് ലിങ്ക് കോൺഫിഗർ ചെയ്യാൻ കഴിയും. നെറ്റ്‌വർക്ക് ഉപകരണം പ്രാമാണീകരണ സെർവറിൽ നിന്ന് SGT, ട്രസ്റ്റ് സ്റ്റേറ്റ് ഉൾപ്പെടെയുള്ള നയ വിവരങ്ങൾ അഭ്യർത്ഥിക്കുന്നു.
  • സോഴ്‌സ് ഐപി വിലാസത്തെ അടിസ്ഥാനമാക്കി സോഴ്‌സ് എസ്‌ജിടി തിരയുക-ചില സന്ദർഭങ്ങളിൽ, ഒരു പാക്കറ്റിന്റെ സോഴ്‌സ് ഐപി വിലാസത്തെ അടിസ്ഥാനമാക്കി അതിന്റെ എസ്ജിടി തീരുമാനിക്കുന്നതിനുള്ള നയം നിങ്ങൾക്ക് സ്വമേധയാ കോൺഫിഗർ ചെയ്യാം. SGT എക്സ്ചേഞ്ച് പ്രോട്ടോക്കോളിന് (SXP) IP-വിലാസം-ടു-SGT മാപ്പിംഗ് ടേബിളും പോപ്പുലേറ്റ് ചെയ്യാൻ കഴിയും.
ഡെസ്റ്റിനേഷൻ സെക്യൂരിറ്റി ഗ്രൂപ്പ് നിർണ്ണയിക്കുന്നു
ഒരു Cisco TrustSec ഡൊമെയ്‌നിലെ എഗ്രസ് നെറ്റ്‌വർക്ക് ഉപകരണം SGACL പ്രയോഗിക്കുന്നതിനുള്ള ഡെസ്റ്റിനേഷൻ ഗ്രൂപ്പിനെ (DGT) നിർണ്ണയിക്കുന്നു. ഒരു പാക്കറ്റിൽ നിന്ന് ഗ്രൂപ്പ് നമ്പർ നേടുന്നത് ഒഴികെ, ഉറവിട സുരക്ഷാ ഗ്രൂപ്പിനെ നിർണ്ണയിക്കാൻ ഉപയോഗിക്കുന്ന അതേ രീതികൾ ഉപയോഗിച്ച് നെറ്റ്‌വർക്ക് ഉപകരണം പാക്കറ്റിനായുള്ള ലക്ഷ്യ സുരക്ഷാ ഗ്രൂപ്പിനെ നിർണ്ണയിക്കുന്നു. tag. ലക്ഷ്യസ്ഥാന സുരക്ഷാ ഗ്രൂപ്പ് നമ്പർ ഒരു പാക്കറ്റിൽ ഉൾപ്പെടുത്തിയിട്ടില്ല tag.
ചില സാഹചര്യങ്ങളിൽ, ഇൻഗ്രെസ് ഉപകരണങ്ങൾ അല്ലെങ്കിൽ മറ്റ് നോൺ-എഗ്രസ് ഉപകരണങ്ങൾ ഡെസ്റ്റിനേഷൻ ഗ്രൂപ്പ് വിവരങ്ങൾ ലഭ്യമായേക്കാം. അത്തരം സന്ദർഭങ്ങളിൽ, ഈ ഉപകരണങ്ങളിൽ എസ്‌ജി‌എ‌സി‌എൽ പ്രയോഗിച്ചേക്കാം, പകരം എഗ്രെസ് ഉപകരണങ്ങൾ.
റൂട്ടഡ്, സ്വിച്ച്ഡ് ട്രാഫിക്കിൽ SGACL എൻഫോഴ്സ്മെന്റ്
എസ്‌ജി‌എ‌സി‌എൽ എൻഫോഴ്‌സ്‌മെന്റ് ഐപി ട്രാഫിക്കിൽ മാത്രമേ പ്രയോഗിക്കൂ, എന്നാൽ റൂട്ട് ചെയ്തതോ സ്വിച്ചുചെയ്‌തതോ ആയ ട്രാഫിക്കിൽ എൻഫോഴ്‌സ്‌മെന്റ് പ്രയോഗിക്കാൻ കഴിയും.
റൂട്ട് ചെയ്‌ത ട്രാഫിക്കിനായി, എസ്‌ജി‌എ‌സി‌എൽ എൻഫോഴ്‌സ്‌മെന്റ് ഒരു എക്‌സ്‌സ് സ്വിച്ച്, സാധാരണ ഒരു ഡിസ്ട്രിബ്യൂഷൻ സ്വിച്ച് അല്ലെങ്കിൽ ഡെസ്റ്റിനേഷൻ ഹോസ്‌റ്റിലേക്ക് കണക്‌റ്റ് ചെയ്യുന്ന റൂട്ട് ചെയ്‌ത പോർട്ട് ഉള്ള ആക്‌സസ് സ്വിച്ച് ആണ് നടത്തുന്നത്. നിങ്ങൾ ആഗോളതലത്തിൽ SGACL എൻഫോഴ്‌സ്‌മെന്റ് പ്രവർത്തനക്ഷമമാക്കുമ്പോൾ, SVI ഇന്റർഫേസുകൾ ഒഴികെ എല്ലാ ലെയർ 3 ഇന്റർഫേസിലും എൻഫോഴ്‌സ്‌മെന്റ് സ്വയമേവ പ്രവർത്തനക്ഷമമാകും.
സ്വിച്ചുചെയ്‌ത ട്രാഫിക്കിനായി, റൂട്ടിംഗ് ഫംഗ്‌ഷനുകളൊന്നുമില്ലാതെ ഒരൊറ്റ സ്വിച്ചിംഗ് ഡൊമെയ്‌നിനുള്ളിൽ ഒഴുകുന്ന ട്രാഫിക്കിലാണ് SGACL എൻഫോഴ്‌സ്‌മെന്റ് നടത്തുന്നത്. ഒരു മുൻampനേരിട്ട് ബന്ധിപ്പിച്ച രണ്ട് സെർവറുകൾക്കിടയിൽ സെർവർ-ടു-സെർവർ ട്രാഫിക്കിൽ ഒരു ഡാറ്റാ സെന്റർ ആക്‌സസ് സ്വിച്ച് നടത്തുന്ന SGACL എൻഫോഴ്‌സ്‌മെന്റ് ആയിരിക്കും le. ഇതിൽ മുൻample, സെർവർ-ടു-സെർവർ ട്രാഫിക് സാധാരണ മാറും. ഒരു VLAN-നുള്ളിൽ സ്വിച്ചുചെയ്‌ത പാക്കറ്റുകളിലേക്ക് SGACL എൻഫോഴ്‌സ്‌മെന്റ് പ്രയോഗിക്കാം അല്ലെങ്കിൽ ഒരു VLAN-മായി ബന്ധപ്പെട്ട ഒരു SVI-ലേക്ക് ഫോർവേഡ് ചെയ്യാം, എന്നാൽ ഓരോ VLAN-നും എൻഫോഴ്‌സ്‌മെന്റ് വ്യക്തമായി പ്രവർത്തനക്ഷമമാക്കിയിരിക്കണം.
SGACL ലോഗിംഗും ACE സ്ഥിതിവിവരക്കണക്കുകളും
SGACL-ൽ ലോഗിംഗ് പ്രവർത്തനക്ഷമമാക്കുമ്പോൾ, ഉപകരണം ഇനിപ്പറയുന്ന വിവരങ്ങൾ ലോഗ് ചെയ്യുന്നു:
  • ഉറവിട സുരക്ഷാ ഗ്രൂപ്പ് tag (SGT), ലക്ഷ്യസ്ഥാനം SGT
  • SGACL നയത്തിന്റെ പേര്
  • പാക്കറ്റ് പ്രോട്ടോക്കോൾ തരം
  • പാക്കറ്റിൽ നടത്തിയ പ്രവർത്തനം
ലോഗ് ഓപ്‌ഷൻ വ്യക്തിഗത എസിഇകൾക്ക് ബാധകമാണ് കൂടാതെ എസിഇയുമായി പൊരുത്തപ്പെടുന്ന പാക്കറ്റുകൾ ലോഗ് ചെയ്യപ്പെടുന്നതിന് കാരണമാകുന്നു. ലോഗ് കീവേഡ് ഉപയോഗിച്ച് ലോഗ് ചെയ്ത ആദ്യത്തെ പാക്കറ്റ് ഒരു syslog സന്ദേശം സൃഷ്ടിക്കുന്നു. തുടർന്നുള്ള ലോഗ് സന്ദേശങ്ങൾ അഞ്ച് മിനിറ്റ് ഇടവേളകളിൽ ജനറേറ്റ് ചെയ്യുകയും റിപ്പോർട്ട് ചെയ്യുകയും ചെയ്യുന്നു. ലോഗിംഗ്-പ്രാപ്തമാക്കിയ ACE മറ്റൊരു പാക്കറ്റുമായി പൊരുത്തപ്പെടുന്നുവെങ്കിൽ (ലോഗ് സന്ദേശം സൃഷ്ടിച്ച പാക്കറ്റിന് സമാനമായ സ്വഭാവസവിശേഷതകളോടെ), പൊരുത്തപ്പെടുന്ന പാക്കറ്റുകളുടെ എണ്ണം വർദ്ധിപ്പിക്കും (കൗണ്ടറുകൾ) തുടർന്ന് റിപ്പോർട്ടുചെയ്യപ്പെടും.
ലോഗിംഗ് പ്രവർത്തനക്ഷമമാക്കുന്നതിന്, SGACL കോൺഫിഗറേഷനിലെ ACE നിർവചനത്തിന് മുന്നിലുള്ള ലോഗ് കീവേഡ് ഉപയോഗിക്കുക. ഉദാample, ip ലോഗ് അനുവദിക്കുക.
SGACL ലോഗിംഗ് പ്രവർത്തനക്ഷമമാക്കുമ്പോൾ, ഉപകരണത്തിൽ നിന്ന് ക്ലയന്റിലേക്കുള്ള ICMP അഭ്യർത്ഥന സന്ദേശങ്ങൾ ലോഗ് ചെയ്യപ്പെടില്ല.
IPv4, IPv6 പ്രോട്ടോക്കോളുകൾ. എന്നിരുന്നാലും; ക്ലയന്റിൽ നിന്ന് ഉപകരണത്തിലേക്കുള്ള ICMP പ്രതികരണ സന്ദേശങ്ങൾ ലോഗ് ചെയ്‌തു.
ഇനിപ്പറയുന്നത് ഇപ്രകാരമാണ്ample ലോഗ്, ഉറവിടവും ലക്ഷ്യസ്ഥാനവും SGT-കൾ പ്രദർശിപ്പിക്കുന്നു, ACE പൊരുത്തങ്ങൾ (ഒരു പെർമിറ്റിനോ നിരസിക്കുന്ന പ്രവർത്തനത്തിനോ വേണ്ടി), പ്രോട്ടോക്കോൾ, അതായത് TCP, UDP, IGMP, ICMP വിവരങ്ങൾ:
*ജൂൺ 2 08:58:06.489: %C4K_IOSINTF-6-SGACLHIT: list deny_udp_src_port_log-30 നിരസിച്ചു udp 24.0.0.23(100) -> 28.0.0.91(100), SGT8
നിലവിലുള്ള 'ഓരോ സെല്ലിനും' SGACL സ്ഥിതിവിവരക്കണക്കുകൾക്ക് പുറമേ, ഷോ cts റോൾ-ബേസ്ഡ് ഉപയോഗിച്ച് പ്രദർശിപ്പിക്കാൻ കഴിയും
കൗണ്ടറുകൾ കമാൻഡ്, show ip access-list sgacl_name കമാൻഡ് ഉപയോഗിച്ച് നിങ്ങൾക്ക് ACE സ്ഥിതിവിവരക്കണക്കുകളും പ്രദർശിപ്പിക്കാൻ കഴിയും. ഇതിന് അധിക കോൺഫിഗറേഷൻ ആവശ്യമില്ല.
ഇനിപ്പറയുന്ന മുൻampഎസിഇ എണ്ണം പ്രദർശിപ്പിക്കുന്നതിന് ഷോ ഐപി ആക്സസ്-ലിസ്റ്റ് കമാൻഡ് എങ്ങനെ ഉപയോഗിക്കാമെന്ന് le കാണിക്കുന്നു
ഉപകരണം# കാണിക്കുക ip ആക്സസ്-നിയന്ത്രണം deny_udp_src_port_log-30
റോൾ-ബേസ്ഡ് ഐപി ആക്സസ് ലിസ്റ്റ് deny_udp_src_port_log-30 (ഡൗൺലോഡ് ചെയ്തു)
10 നിരസിക്കുക udp src eq 100 ലോഗ് (283 പൊരുത്തങ്ങൾ)
20 പെർമിറ്റ് ഐപി ലോഗ് (50 പൊരുത്തങ്ങൾ)
നോട്ട് ഐക്കൺഇൻകമിംഗ് ട്രാഫിക് സെല്ലുമായി പൊരുത്തപ്പെടുന്നുണ്ടെങ്കിലും സെല്ലിന്റെ SGACL-മായി പൊരുത്തപ്പെടുന്നില്ലെങ്കിൽ, ട്രാഫിക് അനുവദിക്കുകയും സെല്ലിനുള്ള HW-പെർമിറ്റിൽ കൗണ്ടറുകൾ വർദ്ധിപ്പിക്കുകയും ചെയ്യുന്നു.
ഇനിപ്പറയുന്ന മുൻampഒരു സെല്ലിന്റെ SGACL എങ്ങനെ പ്രവർത്തിക്കുന്നുവെന്ന് le കാണിക്കുന്നു:
എസ്‌ജി‌എ‌സി‌എൽ നയം 5 മുതൽ 18 വരെ “നിഷേധി icmp എക്കോ” ഉപയോഗിച്ച് കോൺഫിഗർ ചെയ്‌തിരിക്കുന്നു, കൂടാതെ 5 മുതൽ 18 വരെ ടിസിപി ഹെഡറിനൊപ്പം ഇൻകമിംഗ് ട്രാഫിക് ഉണ്ട്. സെൽ 5 മുതൽ 18 വരെ പൊരുത്തപ്പെടുന്നുവെങ്കിലും ട്രാഫിക് icmp-യുമായി പൊരുത്തപ്പെടുന്നില്ലെങ്കിൽ, ട്രാഫിക് അനുവദിക്കും കൂടാതെ സെല്ലിന്റെ 5 മുതൽ 18 വരെയുള്ള HW-പെർമിറ്റ് കൗണ്ടർ വർദ്ധിപ്പിക്കും.
CISCO Trustsec സുരക്ഷിതമായ നെറ്റ്‌വർക്ക് നിർമ്മിക്കുന്നു - SGACL നയം 5 മുതൽ 18 വരെ “നിരസിക്കുക icmp എക്കോ ഉപയോഗിച്ച് ക്രമീകരിച്ചിരിക്കുന്നു.
VRF-അറിയുന്ന SGACL ലോഗിംഗ്
SGACL സിസ്റ്റം ലോഗുകളിൽ VRF വിവരങ്ങൾ ഉൾപ്പെടും. നിലവിൽ ലോഗിൻ ചെയ്‌തിരിക്കുന്ന ഫീൽഡുകൾക്ക് പുറമേ, ലോഗിംഗ് വിവരങ്ങളിൽ VRF നാമവും ഉൾപ്പെടും. അപ്‌ഡേറ്റ് ചെയ്‌ത ലോഗിംഗ് വിവരങ്ങൾ ചുവടെ കാണിച്ചിരിക്കുന്നതുപോലെ ആയിരിക്കും:
*നവംബർ 15 02:18:52.187: %RBM-6-SGACLHIT_V6: ingress_interface='GigabitEthernet1/0/15′ sgacl_name='IPV6_TCP_DENY' ആക്ഷൻ='നിഷേധിക്കുക' പ്രോട്ടോക്കോൾ'=scpvrcV't't -ip='25::2′ src-port='20'
dest-vrf='CTS-VRF' dest-ip='49::2′ dest-port='30' sgt='200′ dgt='500′ logging_interval_hits='1′
SGACL മോണിറ്റർ മോഡ്
Cisco TrustSec-ന്റെ പ്രീ-ഡിപ്ലോയ്‌മെന്റ് ഘട്ടത്തിൽ, നയങ്ങൾ ഉദ്ദേശിച്ച രീതിയിൽ പ്രവർത്തിക്കുന്നുവെന്ന് ഉറപ്പാക്കാൻ സുരക്ഷാ നയങ്ങൾ നടപ്പിലാക്കാതെ തന്നെ പരിശോധിക്കാൻ ഒരു അഡ്മിനിസ്ട്രേറ്റർ മോണിറ്റർ മോഡ് ഉപയോഗിക്കും. സുരക്ഷാ നയങ്ങൾ ഉദ്ദേശിച്ച രീതിയിൽ പ്രവർത്തിക്കുന്നില്ലെങ്കിൽ, അത് തിരിച്ചറിയുന്നതിന് മോണിറ്റർ മോഡ് സൗകര്യപ്രദമായ ഒരു സംവിധാനം നൽകുകയും SGACL എൻഫോഴ്‌സ്‌മെന്റ് പ്രവർത്തനക്ഷമമാക്കുന്നതിന് മുമ്പ് നയം തിരുത്താനുള്ള അവസരം നൽകുകയും ചെയ്യുന്നു. ഇത് നടപ്പിലാക്കുന്നതിന് മുമ്പ് നയ പ്രവർത്തനങ്ങളുടെ ഫലത്തിന്റെ ദൃശ്യപരത വർദ്ധിപ്പിക്കുന്നതിന് അഡ്മിനിസ്ട്രേറ്റർമാരെ പ്രാപ്‌തമാക്കുന്നു, കൂടാതെ സബ്‌ജക്റ്റ് പോളിസി സുരക്ഷാ ആവശ്യകതകൾ പാലിക്കുന്നുണ്ടെന്ന് സ്ഥിരീകരിക്കുന്നു (ഉപയോക്താക്കൾ ഇല്ലെങ്കിൽ ഉറവിടങ്ങളിലേക്ക് ആക്‌സസ് നിഷേധിക്കപ്പെടും.
അംഗീകൃത).
SGT-DGT ജോടി തലത്തിലാണ് നിരീക്ഷണ ശേഷി നൽകിയിരിക്കുന്നത്. നിങ്ങൾ SGACL മോണിറ്ററിംഗ് മോഡ് സവിശേഷത പ്രവർത്തനക്ഷമമാക്കുമ്പോൾ, നിരസിക്കുന്ന പ്രവർത്തനം ലൈൻ കാർഡുകളിൽ ACL പെർമിറ്റായി നടപ്പിലാക്കുന്നു. SGACL നയം എങ്ങനെ കണക്ഷനുകൾ കൈകാര്യം ചെയ്യുന്നുവെന്ന് പ്രദർശിപ്പിക്കാൻ SGACL കൗണ്ടറുകളും ലോഗിംഗും ഇത് അനുവദിക്കുന്നു. നിരീക്ഷിക്കപ്പെടുന്ന എല്ലാ ട്രാഫിക്കും അനുവദനീയമായതിനാൽ, SGACL മോണിറ്റർ മോഡിൽ ആയിരിക്കുമ്പോൾ SGACL-കൾ കാരണം സേവനത്തിന് തടസ്സമില്ല.
അംഗീകാരവും നയം ഏറ്റെടുക്കലും
ഉപകരണ പ്രാമാണീകരണം അവസാനിച്ചതിന് ശേഷം, അപേക്ഷകനും ഓതന്റിക്കേറ്ററും പ്രാമാണീകരണ സെർവറിൽ നിന്ന് സുരക്ഷാ നയം നേടുന്നു. രണ്ട് സമപ്രായക്കാരും ലിങ്ക് അംഗീകാരം നടത്തുകയും അവരുടെ Cisco TrustSec ഉപകരണ ഐഡികൾ അടിസ്ഥാനമാക്കി പരസ്പരം ലിങ്ക് സുരക്ഷാ നയം നടപ്പിലാക്കുകയും ചെയ്യുന്നു. ലിങ്ക് പ്രാമാണീകരണ രീതി ഒന്നുകിൽ 802.1X അല്ലെങ്കിൽ മാനുവൽ പ്രാമാണീകരണമായി ക്രമീകരിക്കാം. ലിങ്ക് സുരക്ഷ 802.1X ആണെങ്കിൽ, ഓരോ പിയറും പ്രാമാണീകരണ സെർവറിൽ നിന്ന് ലഭിച്ച ഒരു ഉപകരണ ഐഡി ഉപയോഗിക്കുന്നു. ലിങ്ക് സുരക്ഷ മാനുവൽ ആണെങ്കിൽ, നിങ്ങൾ പിയർ ഉപകരണ ഐഡികൾ നൽകണം.
പ്രാമാണീകരണ സെർവർ ഇനിപ്പറയുന്ന നയ ആട്രിബ്യൂട്ടുകൾ നൽകുന്നു:
  • Cisco TrustSec Trust—പാക്കറ്റുകളിൽ SGT ഇടുന്നതിന് പിയർ ഉപകരണം വിശ്വസനീയമാണോ എന്ന് സൂചിപ്പിക്കുന്നു.
  • പിയർ എസ്ജിടി - പിയർ ഉൾപ്പെടുന്ന സുരക്ഷാ ഗ്രൂപ്പിനെ സൂചിപ്പിക്കുന്നു. പിയർ വിശ്വസിക്കുന്നില്ലെങ്കിൽ, പിയറിൽ നിന്ന് ലഭിച്ച എല്ലാ പാക്കറ്റുകളും tagഈ SGT ഉപയോഗിച്ച് ged. ഏതെങ്കിലും SGACL-കൾ പിയർമാരുടെ SGT-യുമായി ബന്ധപ്പെട്ടിട്ടുണ്ടോ എന്ന് ഉപകരണത്തിന് അറിയില്ലെങ്കിൽ, SGACL-കൾ ഡൗൺലോഡ് ചെയ്യുന്നതിനായി ഉപകരണം ആധികാരികത സെർവറിലേക്ക് ഒരു ഫോളോ-അപ്പ് അഭ്യർത്ഥന അയച്ചേക്കാം.
  • ഓതറൈസേഷൻ കാലഹരണപ്പെടുന്ന സമയം - പോളിസി കാലഹരണപ്പെടുന്നതിന് മുമ്പുള്ള സെക്കൻഡുകളുടെ എണ്ണം സൂചിപ്പിക്കുന്നു. ഒരു Cisco TrustSec ഉപകരണം കാലഹരണപ്പെടുന്നതിന് മുമ്പ് അതിന്റെ നയവും അംഗീകാരവും പുതുക്കണം. ഉപകരണത്തിന് പ്രാമാണീകരണവും നയ ഡാറ്റയും കാഷെ ചെയ്യാനും ഡാറ്റ കാലഹരണപ്പെട്ടിട്ടില്ലെങ്കിൽ റീബൂട്ടിന് ശേഷം അത് വീണ്ടും ഉപയോഗിക്കാനും കഴിയും.
നോട്ട് ഐക്കൺ ഓരോ Cisco TrustSec ഉപകരണവും പിയർക്ക് ഉചിതമായ ഒരു നയം ലഭിക്കുന്നതിന് പ്രാമാണീകരണ സെർവറുമായി ബന്ധപ്പെടാൻ കഴിയുന്നില്ലെങ്കിൽ ചില കുറഞ്ഞ ഡിഫോൾട്ട് ആക്‌സസ് നയങ്ങളെ പിന്തുണയ്‌ക്കണം.
NDAC, SAP നെഗോഷ്യേഷൻ പ്രക്രിയ താഴെ കൊടുത്തിരിക്കുന്ന ചിത്രത്തിൽ കാണിച്ചിരിക്കുന്നു
ചിത്രം 5: NDAC, SAP നെഗോഷ്യേഷൻ
CISCO Trustsec സുരക്ഷിതമായ നെറ്റ്‌വർക്ക് നിർമ്മിക്കുന്നു - ചിത്രം 5
പരിസ്ഥിതി ഡാറ്റ ഡൗൺലോഡ്
Cisco TrustSec എൻവയോൺമെന്റ് ഡാറ്റ ഒരു Cisco TrustSec നോഡായി പ്രവർത്തിക്കാൻ ഉപകരണത്തെ സഹായിക്കുന്ന വിവരങ്ങളുടെയോ നയങ്ങളുടെയോ ഒരു ശേഖരമാണ്. ഉപകരണം ആദ്യം ഒരു Cisco TrustSec ഡൊമെയ്‌നിൽ ചേരുമ്പോൾ പ്രാമാണീകരണ സെർവറിൽ നിന്ന് ഉപകരണം പരിസ്ഥിതി ഡാറ്റ നേടുന്നു, എന്നിരുന്നാലും നിങ്ങൾ ഒരു ഉപകരണത്തിലെ ചില ഡാറ്റ സ്വമേധയാ കോൺഫിഗർ ചെയ്‌തേക്കാം. ഉദാample, നിങ്ങൾ ആധികാരികത സെർവർ വിവരങ്ങൾ ഉപയോഗിച്ച് സീഡ് Cisco TrustSec ഉപകരണം കോൺഫിഗർ ചെയ്യണം, അത് പിന്നീട് ആധികാരികത സെർവറിൽ നിന്ന് ഉപകരണം നേടുന്ന സെർവർ ലിസ്റ്റ് വഴി വർദ്ധിപ്പിക്കാൻ കഴിയും.
ഉപകരണം കാലഹരണപ്പെടുന്നതിന് മുമ്പ് Cisco TrustSec പരിസ്ഥിതി ഡാറ്റ പുതുക്കിയിരിക്കണം. ഉപകരണത്തിന് പരിസ്ഥിതി ഡാറ്റ കാഷെ ചെയ്യാനും ഡാറ്റ കാലഹരണപ്പെട്ടിട്ടില്ലെങ്കിൽ റീബൂട്ടിന് ശേഷം അത് വീണ്ടും ഉപയോഗിക്കാനും കഴിയും.
പ്രാമാണീകരണ സെർവറിൽ നിന്ന് ഇനിപ്പറയുന്ന പരിസ്ഥിതി ഡാറ്റ നേടുന്നതിന് ഉപകരണം RADIUS ഉപയോഗിക്കുന്നു:
  • സെർവർ ലിസ്റ്റുകൾ: ഭാവിയിലെ RADIUS അഭ്യർത്ഥനകൾക്കായി ക്ലയന്റിന് ഉപയോഗിക്കാനാകുന്ന സെർവറുകളുടെ ലിസ്റ്റ് (ആധികാരികതയ്ക്കും അംഗീകാരത്തിനും വേണ്ടി). PAC പുതുക്കൽ ഈ സെർവറുകൾ വഴിയാണ് നടക്കുന്നത്.
  • ഡിവൈസ് എസ്ജി: ഉപകരണം തന്നെ ഉൾപ്പെടുന്ന സുരക്ഷാ ഗ്രൂപ്പ്.
  • കാലഹരണപ്പെടൽ കാലഹരണപ്പെടൽ: Cisco TrustSec ഉപകരണം അതിന്റെ പരിസ്ഥിതി ഡാറ്റ എത്ര തവണ പുതുക്കണം എന്നത് നിയന്ത്രിക്കുന്ന ഇടവേള.
റേഡിയസ് റിലേ പ്രവർത്തനം
802.1X പ്രാമാണീകരണ പ്രക്രിയയിൽ Cisco TrustSec ഓതന്റിക്കേറ്ററിന്റെ പങ്ക് വഹിക്കുന്ന ഉപകരണത്തിന് പ്രാമാണീകരണ സെർവറിലേക്ക് IP കണക്റ്റിവിറ്റി ഉണ്ട്, UDP/IP വഴി RADIUS സന്ദേശങ്ങൾ കൈമാറുന്നതിലൂടെ പ്രാമാണീകരണ സെർവറിൽ നിന്ന് നയവും അംഗീകാരവും നേടുന്നതിന് ഉപകരണത്തെ അനുവദിക്കുന്നു. അപേക്ഷകന്റെ ഉപകരണത്തിന് പ്രാമാണീകരണ സെർവറുമായി IP കണക്റ്റിവിറ്റി ഇല്ലായിരിക്കാം. അത്തരം സന്ദർഭങ്ങളിൽ, Cisco TrustSec ഓതന്റിക്കേറ്ററിനെ അപേക്ഷകന്റെ റേഡിയസ് റിലേ ആയി പ്രവർത്തിക്കാൻ അനുവദിക്കുന്നു.
RADIUS സെർവർ IP വിലാസവും UDP പോർട്ടും പൂർണ്ണമായ RADIUS അഭ്യർത്ഥനയും അടങ്ങുന്ന ഒരു പ്രത്യേക EAPOL സന്ദേശം ഓതന്റിക്കേറ്ററിലേക്ക് അപേക്ഷകൻ അയക്കുന്നു. ലഭിച്ച EAPOL സന്ദേശത്തിൽ നിന്ന് ഓതന്റിക്കേറ്റർ RADIUS അഭ്യർത്ഥന എക്‌സ്‌ട്രാക്റ്റ് ചെയ്യുകയും അത് UDP/IP വഴി പ്രാമാണീകരണ സെർവറിലേക്ക് അയയ്ക്കുകയും ചെയ്യുന്നു. പ്രാമാണീകരണ സെർവറിൽ നിന്ന് RADIUS പ്രതികരണം തിരികെ വരുമ്പോൾ, ഓതന്റിക്കേറ്റർ ഒരു EAPOL ഫ്രെയിമിൽ പൊതിഞ്ഞ സന്ദേശം അപേക്ഷകന് കൈമാറുന്നു.
ലിങ്ക് സുരക്ഷ
ഒരു ലിങ്കിന്റെ ഇരുവശവും 802.1AE മീഡിയ ആക്‌സസ് കൺട്രോൾ സെക്യൂരിറ്റി (MACsec) പിന്തുണയ്ക്കുമ്പോൾ, ഒരു സെക്യൂരിറ്റി അസോസിയേഷൻ പ്രോട്ടോക്കോൾ (SAP) നെഗോഷ്യേഷൻ നടത്തപ്പെടുന്നു. ഒരു സൈഫർ സ്യൂട്ട് ചർച്ച ചെയ്യുന്നതിനും സുരക്ഷാ പാരാമീറ്ററുകൾ കൈമാറുന്നതിനും കീകൾ നിയന്ത്രിക്കുന്നതിനുമായി അപേക്ഷകനും ഓതന്റിക്കേറ്ററും തമ്മിൽ ഒരു EAPOL-കീ കൈമാറ്റം സംഭവിക്കുന്നു. മൂന്ന് ജോലികളും വിജയകരമായി പൂർത്തിയാക്കുന്നത് ഒരു സെക്യൂരിറ്റി അസോസിയേഷൻ (എസ്എ) സ്ഥാപിക്കുന്നതിൽ കലാശിക്കുന്നു.
നിങ്ങളുടെ സോഫ്‌റ്റ്‌വെയർ പതിപ്പ്, ക്രിപ്‌റ്റോ ലൈസൻസിംഗ്, ലിങ്ക് ഹാർഡ്‌വെയർ പിന്തുണ എന്നിവയെ ആശ്രയിച്ച്, SAP ചർച്ചയ്ക്ക് ഇനിപ്പറയുന്ന പ്രവർത്തന രീതികളിൽ ഒന്ന് ഉപയോഗിക്കാം:
  • ഗലോയിസ്/കൗണ്ടർ മോഡ് (ജിസിഎം) - പ്രാമാണീകരണവും എൻക്രിപ്ഷനും വ്യക്തമാക്കുന്നു
  • GCM പ്രാമാണീകരണം (GMAC) - പ്രാമാണീകരണം വ്യക്തമാക്കുന്നു, എൻക്രിപ്ഷൻ ഇല്ല
  • എൻക്യാപ്‌സുലേഷൻ ഇല്ല - എൻക്യാപ്‌സുലേഷൻ ഇല്ല (ടെക്‌സ്‌റ്റ് മായ്‌ക്കുക)
  • നൾ-എൻക്യാപ്സുലേഷൻ വ്യക്തമാക്കുന്നു, ആധികാരികതയില്ല, എൻക്രിപ്ഷനില്ല
എൻക്യാപ്‌സുലേഷൻ ഒഴികെയുള്ള എല്ലാ മോഡുകൾക്കും Cisco TrustSec-ശേഷിയുള്ള ഹാർഡ്‌വെയർ ആവശ്യമാണ്.
ലിങ്ക് സുരക്ഷയ്ക്കായി SAP-PMK കോൺഫിഗർ ചെയ്യുന്നു
CISCO Trustsec സുരക്ഷിതമായ നെറ്റ്‌വർക്ക് നിർമ്മിക്കുന്നു - ലിങ്ക് സുരക്ഷയ്ക്കായി SAP-PMK ക്രമീകരിക്കുന്നു
CISCO Trustsec സുരക്ഷിതമായ നെറ്റ്‌വർക്ക് നിർമ്മിക്കുന്നു - ലിങ്ക് സെക്യൂരിറ്റി 2-നായി SAP-PMK കോൺഫിഗർ ചെയ്യുന്നു
ലെഗസി ആക്‌സസ് നെറ്റ്‌വർക്കുകളിലുടനീളമുള്ള SGT പ്രചരണത്തിനായുള്ള SXP
TagSGT-കളുള്ള ജിംഗ് പാക്കറ്റുകൾക്ക് ഹാർഡ്‌വെയർ പിന്തുണ ആവശ്യമാണ്. Cisco TrustSec പ്രാമാണീകരണത്തിൽ പങ്കെടുക്കാൻ കഴിയുമെങ്കിലും ഹാർഡ്‌വെയർ ശേഷി ഇല്ലാത്ത ഉപകരണങ്ങൾ നിങ്ങളുടെ നെറ്റ്‌വർക്കിൽ ഉണ്ടായിരിക്കാം tag കൂടെ പാക്കറ്റുകൾ
എസ്.ജി.ടി. SGT എക്സ്ചേഞ്ച് പ്രോട്ടോക്കോൾ (SXP) ഉപയോഗിക്കുന്നതിലൂടെ, ഈ ഉപകരണങ്ങൾക്ക് Cisco TrustSec-കഴിവുള്ള ഹാർഡ്‌വെയർ ഉള്ള ഒരു Cisco TrustSec പിയർ ഉപകരണത്തിലേക്ക് IP-വിലാസം-ടു-SGT മാപ്പിംഗുകൾ കൈമാറാൻ കഴിയും.

SXP സാധാരണയായി Cisco TrustSec ഡൊമെയ്‌ൻ എഡ്ജിലെ ഇൻഗ്രസ് ആക്‌സസ് ലെയർ ഉപകരണങ്ങൾക്കും Cisco TrustSec ഡൊമെയ്‌നിലെ വിതരണ ലെയർ ഉപകരണങ്ങൾക്കും ഇടയിലാണ് പ്രവർത്തിക്കുന്നത്. ഇൻഗ്രെസ്സ് പാക്കറ്റുകൾക്ക് അനുയോജ്യമായ SGT-കൾ നിർണ്ണയിക്കുന്നതിന്, ആക്സസ് ലെയർ ഉപകരണം ബാഹ്യ ഉറവിട ഉപകരണങ്ങളുടെ Cisco TrustSec പ്രാമാണീകരണം നടത്തുന്നു. ഐപി ഡിവൈസ് ട്രാക്കിംഗും (ഓപ്ഷണലായി) ഡിഎച്ച്സിപി സ്നൂപ്പിംഗും ഉപയോഗിച്ച് ആക്സസ് ലെയർ ഡിവൈസ് സോഴ്സ് ഡിവൈസുകളുടെ ഐപി വിലാസങ്ങൾ പഠിക്കുന്നു, തുടർന്ന് സോഴ്സ് ഡിവൈസുകളുടെ ഐപി വിലാസങ്ങൾ അവയുടെ എസ്ജിടികൾക്കൊപ്പം വിതരണ ഉപകരണങ്ങളിലേക്ക് കൈമാറാൻ എസ്എക്സ്പി ഉപയോഗിക്കുന്നു.
Cisco TrustSec-കഴിവുള്ള ഹാർഡ്‌വെയർ ഉള്ള വിതരണ ഉപകരണങ്ങൾക്ക് ഈ IP-to-SGT മാപ്പിംഗ് വിവരങ്ങൾ ഉപയോഗിക്കാനാകും tag പാക്കറ്റുകൾ ഉചിതമായി SGACL നയങ്ങൾ നടപ്പിലാക്കാൻ.

ചിത്രം 6: SGT വിവരങ്ങൾ പ്രചരിപ്പിക്കുന്നതിനുള്ള SXP പ്രോട്ടോക്കോൾ
CISCO Trustsec സുരക്ഷിതമായ നെറ്റ്‌വർക്ക് നിർമ്മിക്കുന്നു - ചിത്രം 6
Cisco TrustSec ഹാർഡ്‌വെയർ പിന്തുണയില്ലാത്ത ഒരു പിയറിനും Cisco TrustSec ഹാർഡ്‌വെയർ പിന്തുണയുള്ള ഒരു പിയറിനുമിടയിൽ നിങ്ങൾ ഒരു SXP കണക്ഷൻ സ്വമേധയാ കോൺഫിഗർ ചെയ്യണം. SXP കണക്ഷൻ കോൺഫിഗർ ചെയ്യുമ്പോൾ ഇനിപ്പറയുന്ന ജോലികൾ ആവശ്യമാണ്:
  • നിങ്ങൾക്ക് SXP ഡാറ്റ സമഗ്രതയും പ്രാമാണീകരണവും ആവശ്യമാണെങ്കിൽ, രണ്ട് പിയർ ഉപകരണങ്ങളിലും നിങ്ങൾ ഒരേ SXP പാസ്‌വേഡ് കോൺഫിഗർ ചെയ്യണം. നിങ്ങൾക്ക് SXP പാസ്‌വേഡ് ഓരോ പിയർ കണക്ഷനും വ്യക്തമായി അല്ലെങ്കിൽ ഉപകരണത്തിനായി ആഗോളതലത്തിൽ കോൺഫിഗർ ചെയ്യാം. ഒരു SXP പാസ്‌വേഡ് ആവശ്യമില്ലെങ്കിലും, അത് ഉപയോഗിക്കാൻ ഞങ്ങൾ ശുപാർശ ചെയ്യുന്നു.
  • SXP കണക്ഷനിലെ ഓരോ പിയറിനെയും നിങ്ങൾ ഒരു SXP സ്പീക്കർ അല്ലെങ്കിൽ ഒരു SXP ശ്രോതാവായി കോൺഫിഗർ ചെയ്യണം. സ്പീക്കർ ഉപകരണം IP-to-SGT മാപ്പിംഗ് വിവരങ്ങൾ ശ്രോതാക്കളുടെ ഉപകരണത്തിലേക്ക് വിതരണം ചെയ്യുന്നു.
  • ഓരോ പിയർ ബന്ധത്തിനും ഉപയോഗിക്കുന്നതിന് നിങ്ങൾക്ക് ഒരു ഉറവിട IP വിലാസം വ്യക്തമാക്കാൻ കഴിയും അല്ലെങ്കിൽ നിങ്ങൾ ഒരു നിർദ്ദിഷ്ട ഉറവിട IP വിലാസം കോൺഫിഗർ ചെയ്യാത്ത പിയർ കണക്ഷനുകൾക്കായി നിങ്ങൾക്ക് ഒരു സ്ഥിരസ്ഥിതി ഉറവിട IP വിലാസം ക്രമീകരിക്കാം. നിങ്ങൾ ഏതെങ്കിലും ഉറവിട IP വിലാസം വ്യക്തമാക്കിയിട്ടില്ലെങ്കിൽ, പിയറിലേക്കുള്ള കണക്ഷന്റെ ഇന്റർഫേസ് IP വിലാസം ഉപകരണം ഉപയോഗിക്കും.
SXP ഒന്നിലധികം ഹോപ്പുകൾ അനുവദിക്കുന്നു. അതായത്, Cisco TrustSec ഹാർഡ്‌വെയർ പിന്തുണയില്ലാത്ത ഒരു ഉപകരണത്തിന്റെ പിയർക്ക് Cisco TrustSec ഹാർഡ്‌വെയർ പിന്തുണയും ഇല്ലെങ്കിൽ, രണ്ടാമത്തെ പിയർക്ക് ഒരു മൂന്നാം പിയറുമായി SXP കണക്ഷൻ ഉണ്ടായിരിക്കാം, ഒരു ഹാർഡ്‌വെയർ വരെ IP-to-SGT മാപ്പിംഗ് വിവരങ്ങളുടെ പ്രചരണം തുടരും. കഴിവുള്ള സമപ്രായക്കാരിൽ എത്തിച്ചേരുന്നു. ഒരു SXP കണക്ഷനുള്ള ഒരു SXP ശ്രോതാവായി ഒരു ഉപകരണം മറ്റൊരു SXP കണക്ഷനുള്ള ഒരു SXP സ്പീക്കറായി കോൺഫിഗർ ചെയ്യാവുന്നതാണ്.
ഒരു Cisco TrustSec ഉപകരണം അതിന്റെ SXP സമപ്രായക്കാരുമായി TCP Keepalive മെക്കാനിസം ഉപയോഗിച്ച് കണക്റ്റിവിറ്റി നിലനിർത്തുന്നു.
ഒരു പിയർ കണക്ഷൻ സ്ഥാപിക്കുന്നതിനോ പുനഃസ്ഥാപിക്കുന്നതിനോ, കണക്ഷൻ വിജയകരമാകുന്നത് വരെ അല്ലെങ്കിൽ കോൺഫിഗറേഷനിൽ നിന്ന് കണക്ഷൻ നീക്കം ചെയ്യപ്പെടുന്നതുവരെ കോൺഫിഗർ ചെയ്യാവുന്ന റീട്രി പിരീഡ് ഉപയോഗിച്ച് ഉപകരണം ആവർത്തിച്ച് കണക്ഷൻ സജ്ജീകരണത്തിന് ശ്രമിക്കും.
Non-TrustSec മേഖലകൾക്കുള്ള ലെയർ 3 SGT ഗതാഗതം
ഒരു പാക്കറ്റ് Cisco TrustSec ഡൊമെയ്‌നിൽ നിന്ന് ഒരു Non-TrustSec ലക്ഷ്യസ്ഥാനത്തേക്ക് പോകുമ്പോൾ, egress Cisco TrustSec ഉപകരണം പുറത്തെ നെറ്റ്‌വർക്കിലേക്ക് പാക്കറ്റ് കൈമാറുന്നതിന് മുമ്പ് Cisco TrustSec തലക്കെട്ടും SGT-യും നീക്കം ചെയ്യുന്നു. എന്നിരുന്നാലും, ഇനിപ്പറയുന്ന ചിത്രത്തിൽ കാണിച്ചിരിക്കുന്നതുപോലെ, മറ്റൊരു Cisco TrustSec ഡൊമെയ്‌നിലേക്കുള്ള പാതയിലൂടെ പാക്കറ്റ് ഒരു ട്രസ്റ്റ്സെക്കല്ലാത്ത ഡൊമെയ്‌നിലൂടെ കടന്നുപോകുന്നുണ്ടെങ്കിൽ, Cisco TrustSec Layer 3 SGT ട്രാൻസ്‌പോർട്ട് ഫീച്ചർ ഉപയോഗിച്ച് SGT സംരക്ഷിക്കാനാകും. ഈ ഫീച്ചറിൽ, Egress Cisco TrustSec ഉപകരണം, SGT യുടെ ഒരു പകർപ്പ് ഉൾപ്പെടുന്ന ഒരു ESP തലക്കെട്ട് ഉപയോഗിച്ച് പാക്കറ്റിനെ ഉൾക്കൊള്ളുന്നു. എൻക്യാപ്‌സുലേറ്റഡ് പാക്കറ്റ് അടുത്ത Cisco TrustSec ഡൊമെയ്‌നിൽ എത്തുമ്പോൾ, Ingress Cisco TrustSec ഉപകരണം ESP എൻക്യാപ്‌സുലേഷൻ നീക്കം ചെയ്യുകയും അതിന്റെ SGT ഉപയോഗിച്ച് പാക്കറ്റ് പ്രചരിപ്പിക്കുകയും ചെയ്യുന്നു.
ചിത്രം 7: ഒരു നോൺ-ട്രസ്റ്റ്സെക്ക് ഡൊമെയ്ൻ വ്യാപിക്കുന്നു
CISCO Trustsec സുരക്ഷിതമായ നെറ്റ്‌വർക്ക് നിർമ്മിക്കുന്നു - ചിത്രം 7
Cisco TrustSec Layer 3 SGT ട്രാൻസ്‌പോർട്ടിനെ പിന്തുണയ്‌ക്കുന്നതിന്, Cisco TrustSec ഇൻഗ്രെസ് അല്ലെങ്കിൽ എഗ്രസ് ലെയർ 3 ഗേറ്റ്‌വേ ആയി പ്രവർത്തിക്കുന്ന ഏതൊരു ഉപകരണവും വിദൂര Cisco TrustSec ഡൊമെയ്‌നുകളിലെ യോഗ്യമായ സബ്‌നെറ്റുകളും ആ പ്രദേശങ്ങളിലെ ഒഴിവാക്കപ്പെട്ട സബ്‌നെറ്റുകളും ലിസ്റ്റുചെയ്യുന്ന ഒരു ട്രാഫിക് പോളിസി ഡാറ്റാബേസ് നിലനിർത്തണം. Cisco Secure ACS-ൽ നിന്ന് സ്വയമേവ ഡൗൺലോഡ് ചെയ്യാൻ കഴിയുന്നില്ലെങ്കിൽ ഓരോ ഉപകരണത്തിലും നിങ്ങൾക്ക് ഈ ഡാറ്റാബേസ് സ്വമേധയാ കോൺഫിഗർ ചെയ്യാൻ കഴിയും.
ഒരു ഉപകരണത്തിന് ഒരു പോർട്ടിൽ നിന്ന് Layer 3 SGT ട്രാൻസ്‌പോർട്ട് ഡാറ്റ അയയ്‌ക്കാനും മറ്റൊരു പോർട്ടിൽ Layer 3 SGT ട്രാൻസ്‌പോർട്ട് ഡാറ്റ സ്വീകരിക്കാനും കഴിയും, എന്നാൽ ഇൻഗ്രെസ്, എഗ്രസ് പോർട്ടുകൾ രണ്ടും Cisco TrustSec-ശേഷിയുള്ള ഹാർഡ്‌വെയർ ഉണ്ടായിരിക്കണം.
നോട്ട് ഐക്കൺ Cisco TrustSec ലെയർ 3 SGT ട്രാൻസ്‌പോർട്ട് എൻക്യാപ്‌സുലേറ്റഡ് പാക്കറ്റുകൾ എൻക്രിപ്റ്റ് ചെയ്യുന്നില്ല. TrustSec ഇതര ഡൊമെയ്‌നിലൂടെ കടന്നുപോകുന്ന പാക്കറ്റുകൾ പരിരക്ഷിക്കുന്നതിന്, നിങ്ങൾക്ക് IPsec പോലുള്ള മറ്റ് പരിരക്ഷണ രീതികൾ ക്രമീകരിക്കാൻ കഴിയും.
VRF-Aware SXP
വെർച്വൽ റൂട്ടിംഗിന്റെയും ഫോർവേഡിംഗിന്റെയും (VRF) SXP നടപ്പിലാക്കൽ ഒരു പ്രത്യേക VRF-മായി ഒരു SXP കണക്ഷനെ ബന്ധിപ്പിക്കുന്നു. Cisco TrustSec പ്രവർത്തനക്ഷമമാക്കുന്നതിന് മുമ്പ് എല്ലാ VRF-കളും കോൺഫിഗർ ചെയ്‌തിരിക്കുന്ന ലെയർ 2 അല്ലെങ്കിൽ ലെയർ 3 VPN-കൾക്കായി നെറ്റ്‌വർക്ക് ടോപ്പോളജി ശരിയായി ക്രമീകരിച്ചിട്ടുണ്ടെന്ന് അനുമാനിക്കപ്പെടുന്നു.
SXP VRF പിന്തുണ ഇനിപ്പറയുന്ന രീതിയിൽ സംഗ്രഹിക്കാം:
  • ഒരു SXP കണക്ഷൻ മാത്രമേ ഒരു VRF-ലേക്ക് ബന്ധിപ്പിക്കാൻ കഴിയൂ.
  • വ്യത്യസ്‌ത VRF-കൾക്ക് ഓവർലാപ്പുചെയ്യുന്ന SXP പിയർ അല്ലെങ്കിൽ ഉറവിട IP വിലാസങ്ങൾ ഉണ്ടായിരിക്കാം.
  • ഒരു VRF-ൽ പഠിച്ച (ചേർത്തതോ ഇല്ലാതാക്കിയതോ) IP-SGT മാപ്പിംഗുകൾ അതേ VRF ഡൊമെയ്‌നിൽ മാത്രമേ അപ്‌ഡേറ്റ് ചെയ്യാൻ കഴിയൂ.
    SXP കണക്ഷന് മറ്റൊരു VRF-ലേക്ക് ബന്ധിപ്പിക്കുന്ന ഒരു മാപ്പിംഗ് അപ്‌ഡേറ്റ് ചെയ്യാൻ കഴിയില്ല. ഒരു VRF-നായി SXP കണക്ഷൻ പുറത്തുകടക്കുന്നില്ലെങ്കിൽ, ആ VRF-നുള്ള IP-SGT മാപ്പിംഗുകൾ SXP അപ്ഡേറ്റ് ചെയ്യില്ല.
  • ഓരോ VRF-നും ഒന്നിലധികം വിലാസ കുടുംബങ്ങളെ പിന്തുണയ്ക്കുന്നു. അതിനാൽ, ഒരു VRF ഡൊമെയ്‌നിലെ ഒരു SXP കണക്ഷന് IPV4, IPV6 IP-SGT മാപ്പിംഗുകൾ കൈമാറാൻ കഴിയും.
  • ഓരോ VRF-നും കണക്ഷനുകളുടെ എണ്ണത്തിലും IP-SGT മാപ്പിംഗുകളുടെ എണ്ണത്തിലും SXP-ക്ക് പരിമിതികളില്ല.
ലെയർ 2 VRF-Aware SXP, VRF അസൈൻമെന്റ്
VRF മുതൽ ലെയർ 2 വരെയുള്ള VLAN-കളുടെ അസൈൻമെന്റുകൾ cts റോൾ അടിസ്ഥാനമാക്കിയുള്ള l2-vrf vrf-name vlan-list ഗ്ലോബൽ കോൺഫിഗറേഷൻ കമാൻഡ് ഉപയോഗിച്ചാണ് വ്യക്തമാക്കിയിരിക്കുന്നത്. VLAN-ൽ കോൺഫിഗർ ചെയ്‌തിരിക്കുന്ന IP വിലാസമുള്ള സ്വിച്ച് വെർച്വൽ ഇന്റർഫേസ് (SVI) ഇല്ലെങ്കിൽ VLAN-നെ ലെയർ 2 VLAN ആയി കണക്കാക്കുന്നു. VLAN അതിന്റെ SVI-യിൽ ഒരു IP വിലാസം ക്രമീകരിച്ചുകഴിഞ്ഞാൽ, അത് ഒരു ലെയർ 3 VLAN ആയി മാറുന്നു.
cts റോൾ അടിസ്ഥാനമാക്കിയുള്ള l2-vrf കമാൻഡ് കോൺഫിഗർ ചെയ്ത VRF അസൈൻമെന്റുകൾ VLAN ഒരു ലെയർ 2 VLAN ആയി തുടരുന്നിടത്തോളം സജീവമായിരിക്കും. ഒരു VRF അസൈൻമെന്റ് സജീവമായിരിക്കുമ്പോൾ പഠിച്ച IP-SGT ബൈൻഡിംഗുകൾ VRF, IP പ്രോട്ടോക്കോൾ പതിപ്പുമായി ബന്ധപ്പെട്ട ഫോർവേഡിംഗ് ഇൻഫർമേഷൻ ബേസ് (FIB) ടേബിളിലേക്കും ചേർക്കുന്നു. ഒരു VLAN-നായി ഒരു SVI സജീവമാകുകയാണെങ്കിൽ, VRF-ൽ നിന്ന് VLAN അസൈൻമെന്റ് പ്രവർത്തനരഹിതമാവുകയും VLAN-ൽ പഠിച്ച എല്ലാ ബൈൻഡിംഗുകളും SVI-യുടെ VRF-മായി ബന്ധപ്പെട്ട FIB ടേബിളിലേക്ക് മാറ്റുകയും ചെയ്യും.
അസൈൻമെന്റ് പ്രവർത്തനരഹിതമാകുമ്പോൾ പോലും VRF മുതൽ VLAN വരെയുള്ള അസൈൻമെന്റ് നിലനിർത്തും. SVI നീക്കം ചെയ്യുമ്പോൾ അല്ലെങ്കിൽ SVI IP വിലാസം ഡീകോൺഫിഗർ ചെയ്യുമ്പോൾ ഇത് വീണ്ടും സജീവമാക്കുന്നു. വീണ്ടും സജീവമാകുമ്പോൾ, IP-SGT ബൈൻഡിംഗുകൾ SVI-യുടെ VRF-മായി ബന്ധപ്പെട്ട FIB പട്ടികയിൽ നിന്ന് cts റോൾ-ബേസ്ഡ് l2-vrf കമാൻഡ് അസൈൻ ചെയ്‌ത VRF-മായി ബന്ധപ്പെട്ട FIB ടേബിളിലേക്ക് മാറ്റുന്നു.
Cisco TrustSec ഓവർ എന്നതിനായുള്ള ഫീച്ചർ ചരിത്രംview
ഈ മൊഡ്യൂളിൽ വിശദീകരിച്ചിരിക്കുന്ന ഫീച്ചറുകളുടെ റിലീസും അനുബന്ധ വിവരങ്ങളും ഈ പട്ടിക നൽകുന്നു.
ഈ ഫീച്ചറുകൾ അവ അവതരിപ്പിച്ചതിന് ശേഷമുള്ള എല്ലാ റിലീസുകളിലും ലഭ്യമാണ്, മറ്റുവിധത്തിൽ സൂചിപ്പിച്ചിട്ടില്ലെങ്കിൽ.
CISCO Trustsec സുരക്ഷിതമായ നെറ്റ്‌വർക്ക് നിർമ്മിക്കുന്നു - Cisco TrustSec-നുള്ള ഫീച്ചർ ഹിസ്റ്ററി ഓവർview
പ്ലാറ്റ്‌ഫോം, സോഫ്റ്റ്‌വെയർ ഇമേജ് സപ്പോർട്ട് എന്നിവയെ കുറിച്ചുള്ള വിവരങ്ങൾ കണ്ടെത്താൻ സിസ്കോ ഫീച്ചർ നാവിഗേറ്റർ ഉപയോഗിക്കുക. ആക്സസ് ചെയ്യാൻ
സിസ്‌കോ ഫീച്ചർ നാവിഗേറ്റർ, ഇതിലേക്ക് പോകുക http://www.cisco.com/go/cfn.

പ്രമാണങ്ങൾ / വിഭവങ്ങൾ

CISCO Trustsec സുരക്ഷിത നെറ്റ്‌വർക്ക് നിർമ്മിക്കുന്നു [pdf] ഉപയോക്തൃ ഗൈഡ്
Trustsec സുരക്ഷിത നെറ്റ്‌വർക്ക് നിർമ്മിക്കുന്നു, Trustsec, സുരക്ഷിത നെറ്റ്‌വർക്ക് നിർമ്മിക്കുന്നു, സുരക്ഷിത നെറ്റ്‌വർക്ക്, നെറ്റ്‌വർക്ക് നിർമ്മിക്കുന്നു

റഫറൻസുകൾ

ഒരു അഭിപ്രായം ഇടൂ

നിങ്ങളുടെ ഇമെയിൽ വിലാസം പ്രസിദ്ധീകരിക്കില്ല. ആവശ്യമായ ഫീൽഡുകൾ അടയാളപ്പെടുത്തി *