CISCO Trustsec ਸੁਰੱਖਿਅਤ ਬਣਾਉਂਦਾ ਹੈ
 ਨੈੱਟਵਰਕ ਉਪਭੋਗਤਾ ਗਾਈਡ
CISCO Trustsec ਸੁਰੱਖਿਅਤ ਨੈੱਟਵਰਕ ਉਪਭੋਗਤਾ ਗਾਈਡ ਬਣਾਉਂਦਾ ਹੈCisco TrustSec ਭਰੋਸੇਯੋਗ ਨੈੱਟਵਰਕ ਡਿਵਾਈਸਾਂ ਦੇ ਡੋਮੇਨ ਸਥਾਪਿਤ ਕਰਕੇ ਸੁਰੱਖਿਅਤ ਨੈੱਟਵਰਕ ਬਣਾਉਂਦਾ ਹੈ। ਡੋਮੇਨ ਵਿੱਚ ਹਰੇਕ ਡਿਵਾਈਸ ਨੂੰ ਇਸਦੇ ਸਾਥੀਆਂ ਦੁਆਰਾ ਪ੍ਰਮਾਣਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਡੋਮੇਨ ਵਿੱਚ ਡਿਵਾਈਸਾਂ ਦੇ ਵਿਚਕਾਰ ਲਿੰਕਾਂ 'ਤੇ ਸੰਚਾਰ ਨੂੰ ਏਨਕ੍ਰਿਪਸ਼ਨ, ਸੰਦੇਸ਼ ਦੀ ਇਕਸਾਰਤਾ ਜਾਂਚ, ਅਤੇ ਡੇਟਾ-ਪਾਥ ਰੀਪਲੇ ਸੁਰੱਖਿਆ ਵਿਧੀ ਦੇ ਸੁਮੇਲ ਨਾਲ ਸੁਰੱਖਿਅਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।
Cisco TrustSec ਲਈ ਪਾਬੰਦੀਆਂ
  • ਸੁਰੱਖਿਅਤ ਪਹੁੰਚ ਪ੍ਰਮਾਣ ਪੱਤਰ (PAC) ਪ੍ਰੋਵਿਜ਼ਨਿੰਗ ਫੇਲ੍ਹ ਹੋ ਜਾਂਦੀ ਹੈ ਅਤੇ ਅਯੋਗ ਸਥਿਤੀ ਵਿੱਚ ਰਹਿੰਦੀ ਹੈ, ਜਦੋਂ ਇੱਕ ਅਵੈਧ ਡਿਵਾਈਸ ID ਨਿਰਧਾਰਤ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। PAC ਨੂੰ ਕਲੀਅਰ ਕਰਨ, ਅਤੇ ਸਹੀ ਡਿਵਾਈਸ ID ਅਤੇ ਪਾਸਵਰਡ ਦੀ ਸੰਰਚਨਾ ਕਰਨ ਤੋਂ ਬਾਅਦ ਵੀ, PAC ਅਜੇ ਵੀ ਅਸਫਲ ਹੁੰਦਾ ਹੈ।
    ਇੱਕ ਹੱਲ ਵਜੋਂ, ਸਿਸਕੋ ਆਈਡੈਂਟਿਟੀ ਸਰਵਿਸਿਜ਼ ਇੰਜਣ (ISE) ਵਿੱਚ, ਅਨਿਯਮਤ ਕਲਾਇੰਟਸ ਨੂੰ ਦਬਾਓ ਨੂੰ ਅਨਚੈਕ ਕਰੋ
    PAC ਦੇ ਕੰਮ ਕਰਨ ਲਈ ਪ੍ਰਸ਼ਾਸਨ> ਸਿਸਟਮ> ਸੈਟਿੰਗਾਂ> ਪ੍ਰੋਟੋਕੋਲ> ਰੇਡੀਅਸ ਮੀਨੂ ਵਿੱਚ ਵਿਕਲਪ।
  • Cisco TrustSec FIPS ਮੋਡ ਵਿੱਚ ਸਮਰਥਿਤ ਨਹੀਂ ਹੈ।
  • ਹੇਠਾਂ ਦਿੱਤੀਆਂ ਪਾਬੰਦੀਆਂ ਸਿਰਫ਼ Cisco Catalyst 9500 ਸੀਰੀਜ਼ ਸਵਿੱਚਾਂ ਦੇ C28X-8C9500D ਮਾਡਲ 'ਤੇ ਲਾਗੂ ਹੁੰਦੀਆਂ ਹਨ:
    • Cisco TrustSec ਮੈਨੁਅਲ ਕੌਂਫਿਗਰੇਸ਼ਨ ਸਮਰਥਿਤ ਨਹੀਂ ਹੈ।
    • Cisco TrustSec ਸੁਰੱਖਿਆ ਐਸੋਸੀਏਸ਼ਨ ਪ੍ਰੋਟੋਕੋਲ (SAP) ਕਾਰਜਸ਼ੀਲਤਾ ਸਮਰਥਿਤ ਨਹੀਂ ਹੈ।
    • Cisco TrustSec ਮੈਟਾਡੇਟਾ ਹੈਡਰ ਇਨਕੈਪਸੂਲੇਸ਼ਨ ਸਮਰਥਿਤ ਨਹੀਂ ਹੈ।
ਸਮੱਗਰੀ ਓਹਲੇ
1 Cisco TrustSec ਆਰਕੀਟੈਕਚਰ ਬਾਰੇ ਜਾਣਕਾਰੀ
2 ਦਸਤਾਵੇਜ਼ / ਸਰੋਤ
2.1 ਹਵਾਲੇ

Cisco TrustSec ਆਰਕੀਟੈਕਚਰ ਬਾਰੇ ਜਾਣਕਾਰੀ

Cisco TrustSec ਸੁਰੱਖਿਆ ਆਰਕੀਟੈਕਚਰ ਭਰੋਸੇਯੋਗ ਨੈੱਟਵਰਕ ਡਿਵਾਈਸਾਂ ਦੇ ਡੋਮੇਨ ਸਥਾਪਤ ਕਰਕੇ ਸੁਰੱਖਿਅਤ ਨੈੱਟਵਰਕ ਬਣਾਉਂਦਾ ਹੈ। ਡੋਮੇਨ ਵਿੱਚ ਹਰੇਕ ਡਿਵਾਈਸ ਨੂੰ ਇਸਦੇ ਸਾਥੀਆਂ ਦੁਆਰਾ ਪ੍ਰਮਾਣਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਡੋਮੇਨ ਵਿੱਚ ਡਿਵਾਈਸਾਂ ਦੇ ਵਿਚਕਾਰ ਲਿੰਕਾਂ 'ਤੇ ਸੰਚਾਰ ਨੂੰ ਏਨਕ੍ਰਿਪਸ਼ਨ, ਸੰਦੇਸ਼ ਦੀ ਇਕਸਾਰਤਾ ਜਾਂਚ, ਅਤੇ ਡੇਟਾ-ਪਾਥ ਰੀਪਲੇ ਸੁਰੱਖਿਆ ਵਿਧੀ ਦੇ ਸੁਮੇਲ ਨਾਲ ਸੁਰੱਖਿਅਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। Cisco TrustSec ਸੁਰੱਖਿਆ ਸਮੂਹਾਂ (SGs) ਦੁਆਰਾ ਪੈਕੇਟਾਂ ਨੂੰ ਨੈਟਵਰਕ ਵਿੱਚ ਦਾਖਲ ਹੋਣ ਦੇ ਨਾਲ ਹੀ ਉਹਨਾਂ ਨੂੰ ਸ਼੍ਰੇਣੀਬੱਧ ਕਰਨ ਲਈ ਪ੍ਰਮਾਣਿਕਤਾ ਦੌਰਾਨ ਪ੍ਰਾਪਤ ਕੀਤੇ ਡਿਵਾਈਸ ਅਤੇ ਉਪਭੋਗਤਾ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਇਹ ਪੈਕੇਟ ਵਰਗੀਕਰਣ ਦੁਆਰਾ ਬਣਾਈ ਰੱਖਿਆ ਜਾਂਦਾ ਹੈ tagਪੈਕਟਾਂ ਨੂੰ Cisco TrustSec ਨੈੱਟਵਰਕ ਵਿੱਚ ਪ੍ਰਵੇਸ਼ ਕਰਨ 'ਤੇ ging ਤਾਂ ਜੋ ਡਾਟਾ ਮਾਰਗ ਦੇ ਨਾਲ ਸੁਰੱਖਿਆ ਅਤੇ ਹੋਰ ਨੀਤੀ ਮਾਪਦੰਡਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਦੇ ਉਦੇਸ਼ ਲਈ ਉਹਨਾਂ ਦੀ ਸਹੀ ਪਛਾਣ ਕੀਤੀ ਜਾ ਸਕੇ। ਦ tag, ਸੁਰੱਖਿਆ ਸਮੂਹ ਨੂੰ ਬੁਲਾਇਆ ਜਾਂਦਾ ਹੈ tag (SGT), ਟ੍ਰੈਫਿਕ ਨੂੰ ਫਿਲਟਰ ਕਰਨ ਲਈ SGT 'ਤੇ ਕਾਰਵਾਈ ਕਰਨ ਲਈ ਐਂਡਪੁਆਇੰਟ ਡਿਵਾਈਸ ਨੂੰ ਸਮਰੱਥ ਕਰਕੇ ਨੈੱਟਵਰਕ ਨੂੰ ਐਕਸੈਸ ਕੰਟਰੋਲ ਨੀਤੀ ਨੂੰ ਲਾਗੂ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ।
ਨੋਟ ਆਈਕਨCisco TrustSec IEEE 802.1X ਲਿੰਕ Cisco IOS XE Denali ਵਿੱਚ ਸਮਰਥਿਤ ਪਲੇਟਫਾਰਮਾਂ 'ਤੇ ਸਮਰਥਿਤ ਨਹੀਂ ਹਨ।
(16.1.x ਤੋਂ 16.3.x), Cisco IOS XE Everest (16.4.x ਤੋਂ 16.6.x), ਅਤੇ Cisco IOS XE Fuji (16.7.x ਤੋਂ 16.9.x) ਰਿਲੀਜ਼ ਹੁੰਦੇ ਹਨ, ਅਤੇ ਇਸਲਈ ਸਿਰਫ਼ ਪ੍ਰਮਾਣਕ ਸਮਰਥਿਤ ਹੈ; ਬੇਨਤੀਕਰਤਾ ਸਮਰਥਿਤ ਨਹੀਂ ਹੈ।
Cisco TrustSec ਆਰਕੀਟੈਕਚਰ ਤਿੰਨ ਮੁੱਖ ਭਾਗਾਂ ਨੂੰ ਸ਼ਾਮਲ ਕਰਦਾ ਹੈ:
  • ਪ੍ਰਮਾਣਿਤ ਨੈੱਟਵਰਕਿੰਗ ਬੁਨਿਆਦੀ ਢਾਂਚਾ- ਸਿਸਕੋ ਟਰੱਸਟਸੇਕ ਡੋਮੇਨ ਨੂੰ ਸ਼ੁਰੂ ਕਰਨ ਲਈ ਪਹਿਲੀ ਡਿਵਾਈਸ (ਜਿਸ ਨੂੰ ਸੀਡ ਡਿਵਾਈਸ ਕਿਹਾ ਜਾਂਦਾ ਹੈ) ਪ੍ਰਮਾਣਿਕਤਾ ਸਰਵਰ ਨਾਲ ਪ੍ਰਮਾਣਿਤ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਡੋਮੇਨ ਵਿੱਚ ਸ਼ਾਮਲ ਕੀਤੀ ਗਈ ਹਰ ਨਵੀਂ ਡਿਵਾਈਸ ਡੋਮੇਨ ਦੇ ਅੰਦਰ ਪਹਿਲਾਂ ਤੋਂ ਮੌਜੂਦ ਇਸਦੇ ਪੀਅਰ ਡਿਵਾਈਸਾਂ ਦੁਆਰਾ ਪ੍ਰਮਾਣਿਤ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਸਾਥੀ ਡੋਮੇਨ ਦੇ ਪ੍ਰਮਾਣੀਕਰਨ ਸਰਵਰ ਲਈ ਵਿਚੋਲੇ ਵਜੋਂ ਕੰਮ ਕਰਦੇ ਹਨ। ਹਰੇਕ ਨਵੇਂ-ਪ੍ਰਮਾਣਿਤ ਯੰਤਰ ਨੂੰ ਪ੍ਰਮਾਣਿਕਤਾ ਸਰਵਰ ਦੁਆਰਾ ਸ਼੍ਰੇਣੀਬੱਧ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਅਤੇ ਉਸਦੀ ਪਛਾਣ, ਭੂਮਿਕਾ ਅਤੇ ਸੁਰੱਖਿਆ ਸਥਿਤੀ ਦੇ ਅਧਾਰ ਤੇ ਇੱਕ ਸੁਰੱਖਿਆ ਸਮੂਹ ਨੰਬਰ ਨਿਰਧਾਰਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।
  • ਸੁਰੱਖਿਆ ਸਮੂਹ-ਅਧਾਰਿਤ ਪਹੁੰਚ ਨਿਯੰਤਰਣ — Cisco TrustSec ਡੋਮੇਨ ਦੇ ਅੰਦਰ ਪਹੁੰਚ ਨੀਤੀਆਂ ਟੌਪੋਲੋਜੀ-ਸੁਤੰਤਰ ਹਨ, ਨੈੱਟਵਰਕ ਪਤਿਆਂ ਦੀ ਬਜਾਏ ਸਰੋਤ ਅਤੇ ਮੰਜ਼ਿਲ ਡਿਵਾਈਸਾਂ ਦੀਆਂ ਭੂਮਿਕਾਵਾਂ (ਜਿਵੇਂ ਸੁਰੱਖਿਆ ਸਮੂਹ ਨੰਬਰ ਦੁਆਰਾ ਦਰਸਾਏ ਗਏ) 'ਤੇ ਅਧਾਰਤ ਹਨ। ਵਿਅਕਤੀਗਤ ਪੈਕੇਟ ਹਨ tagਸਰੋਤ ਦੇ ਸੁਰੱਖਿਆ ਸਮੂਹ ਨੰਬਰ ਨਾਲ ged.
  • ਸੁਰੱਖਿਅਤ ਸੰਚਾਰ—ਏਨਕ੍ਰਿਪਸ਼ਨ-ਸਮਰੱਥ ਹਾਰਡਵੇਅਰ ਦੇ ਨਾਲ, ਡੋਮੇਨ ਵਿੱਚ ਡਿਵਾਈਸਾਂ ਵਿਚਕਾਰ ਹਰੇਕ ਲਿੰਕ 'ਤੇ ਸੰਚਾਰ ਨੂੰ ਏਨਕ੍ਰਿਪਸ਼ਨ, ਸੰਦੇਸ਼ ਦੀ ਇਕਸਾਰਤਾ ਜਾਂਚਾਂ, ਅਤੇ ਡੇਟਾ-ਪਾਥ ਰੀਪਲੇ ਸੁਰੱਖਿਆ ਵਿਧੀਆਂ ਦੇ ਸੁਮੇਲ ਨਾਲ ਸੁਰੱਖਿਅਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ।
ਹੇਠ ਦਿੱਤੀ ਤਸਵੀਰ ਇੱਕ ਸਾਬਕਾ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈampਇੱਕ Cisco TrustSec ਡੋਮੇਨ ਦਾ le. ਇਸ ਵਿੱਚ ਸਾਬਕਾample, ਕਈ ਨੈੱਟਵਰਕਿੰਗ ਡਿਵਾਈਸਾਂ ਅਤੇ ਇੱਕ ਐਂਡਪੁਆਇੰਟ ਡਿਵਾਈਸ Cisco TrustSec ਡੋਮੇਨ ਦੇ ਅੰਦਰ ਹਨ। ਇੱਕ ਐਂਡਪੁਆਇੰਟ ਡਿਵਾਈਸ ਅਤੇ ਇੱਕ ਨੈੱਟਵਰਕਿੰਗ ਡਿਵਾਈਸ ਡੋਮੇਨ ਤੋਂ ਬਾਹਰ ਹਨ ਕਿਉਂਕਿ ਉਹ Cisco TrustSec-ਸਮਰੱਥ ਡਿਵਾਈਸ ਨਹੀਂ ਹਨ ਜਾਂ ਉਹਨਾਂ ਨੂੰ ਐਕਸੈਸ ਤੋਂ ਇਨਕਾਰ ਕਰ ਦਿੱਤਾ ਗਿਆ ਹੈ। ਪ੍ਰਮਾਣਿਕਤਾ ਸਰਵਰ ਨੂੰ Cisco TrustSec ਡੋਮੇਨ ਤੋਂ ਬਾਹਰ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ; ਇਹ ਜਾਂ ਤਾਂ ਇੱਕ Cisco Identities Service Engine (Cisco ISE), ਜਾਂ ਇੱਕ Cisco Secure Access Control System (Cisco ACS) ਹੈ।
ਚਿੱਤਰ 1: Cisco TrustSec ਨੈੱਟਵਰਕ ਡੋਮੇਨ ਸਾਬਕਾample
CISCO Trustsec ਸੁਰੱਖਿਅਤ ਨੈੱਟਵਰਕ ਬਣਾਉਂਦਾ ਹੈ - ਚਿੱਤਰ 1
Cisco TrustSec ਪ੍ਰਮਾਣਿਕਤਾ ਪ੍ਰਕਿਰਿਆ ਵਿੱਚ ਹਰੇਕ ਭਾਗੀਦਾਰ ਹੇਠ ਲਿਖੀਆਂ ਭੂਮਿਕਾਵਾਂ ਵਿੱਚੋਂ ਇੱਕ ਵਿੱਚ ਕੰਮ ਕਰਦਾ ਹੈ:
  • ਬਿਨੈਕਾਰ— Cisco TrustSec ਡੋਮੇਨ ਦੇ ਅੰਦਰ ਇੱਕ ਪੀਅਰ ਨਾਲ ਜੁੜਿਆ ਇੱਕ ਅਣ-ਪ੍ਰਮਾਣਿਤ ਯੰਤਰ, ਅਤੇ Cisco TrustSec ਡੋਮੇਨ ਵਿੱਚ ਸ਼ਾਮਲ ਹੋਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰ ਰਿਹਾ ਹੈ।
  • ਪ੍ਰਮਾਣਿਕਤਾ ਸਰਵਰ—ਉਹ ਸਰਵਰ ਜੋ ਬਿਨੈਕਾਰ ਦੀ ਪਛਾਣ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਕਰਦਾ ਹੈ ਅਤੇ ਨੀਤੀਆਂ ਜਾਰੀ ਕਰਦਾ ਹੈ ਜੋ ਸਿਸਕੋ ਟਰੱਸਟਸੇਕ ਡੋਮੇਨ ਦੇ ਅੰਦਰ ਸੇਵਾਵਾਂ ਤੱਕ ਬੇਨਤੀਕਰਤਾ ਦੀ ਪਹੁੰਚ ਨੂੰ ਨਿਰਧਾਰਤ ਕਰਦੇ ਹਨ।
  • ਪ੍ਰਮਾਣਕ—ਇੱਕ ਪ੍ਰਮਾਣਿਤ ਯੰਤਰ ਜੋ ਪਹਿਲਾਂ ਤੋਂ ਹੀ Cisco TrustSec ਡੋਮੇਨ ਦਾ ਹਿੱਸਾ ਹੈ ਅਤੇ ਪ੍ਰਮਾਣਿਕਤਾ ਸਰਵਰ ਦੀ ਤਰਫੋਂ ਨਵੇਂ ਪੀਅਰ ਸਪਲੀਕੈਂਟਸ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਕਰ ਸਕਦਾ ਹੈ।
ਜਦੋਂ ਇੱਕ ਬੇਨਤੀਕਰਤਾ ਅਤੇ ਇੱਕ ਪ੍ਰਮਾਣਿਕਤਾ ਵਿਚਕਾਰ ਸਬੰਧ ਪਹਿਲੀ ਵਾਰ ਸਾਹਮਣੇ ਆਉਂਦਾ ਹੈ, ਤਾਂ ਘਟਨਾਵਾਂ ਦਾ ਹੇਠ ਲਿਖਿਆ ਕ੍ਰਮ ਆਮ ਤੌਰ 'ਤੇ ਵਾਪਰਦਾ ਹੈ:
  1. ਪ੍ਰਮਾਣਿਕਤਾ (802.1X) - ਬੇਨਤੀਕਰਤਾ ਨੂੰ ਪ੍ਰਮਾਣਿਕਤਾ ਸਰਵਰ ਦੁਆਰਾ ਪ੍ਰਮਾਣਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਪ੍ਰਮਾਣਕ ਇੱਕ ਵਿਚੋਲੇ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ। ਆਪਸੀ ਪ੍ਰਮਾਣਿਕਤਾ ਦੋ ਸਾਥੀਆਂ (ਬੇਨਤੀਕਰਤਾ ਅਤੇ ਪ੍ਰਮਾਣਕ) ਵਿਚਕਾਰ ਕੀਤੀ ਜਾਂਦੀ ਹੈ।
  2. ਅਥਾਰਾਈਜ਼ੇਸ਼ਨ—ਬੇਨਤੀਕਰਤਾ ਦੀ ਪਛਾਣ ਜਾਣਕਾਰੀ ਦੇ ਆਧਾਰ 'ਤੇ, ਪ੍ਰਮਾਣਿਕਤਾ ਸਰਵਰ ਪ੍ਰਮਾਣਿਕਤਾ ਨੀਤੀਆਂ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ, ਜਿਵੇਂ ਕਿ ਸੁਰੱਖਿਆ ਗਰੁੱਪ ਅਸਾਈਨਮੈਂਟ ਅਤੇ ACLs, ਹਰੇਕ ਲਿੰਕ ਕੀਤੇ ਸਾਥੀਆਂ ਨੂੰ। ਪ੍ਰਮਾਣਿਕਤਾ ਸਰਵਰ ਹਰੇਕ ਪੀਅਰ ਦੀ ਪਛਾਣ ਦੂਜੇ ਨੂੰ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ, ਅਤੇ ਹਰੇਕ ਪੀਅਰ ਫਿਰ ਲਿੰਕ ਲਈ ਉਚਿਤ ਨੀਤੀ ਲਾਗੂ ਕਰਦਾ ਹੈ।
  3. ਸਕਿਓਰਿਟੀ ਐਸੋਸੀਏਸ਼ਨ ਪ੍ਰੋਟੋਕੋਲ (SAP) ਗੱਲਬਾਤ-ਜਦੋਂ ਕਿਸੇ ਲਿੰਕ ਦੇ ਦੋਵੇਂ ਪਾਸੇ ਏਨਕ੍ਰਿਪਸ਼ਨ ਦਾ ਸਮਰਥਨ ਕਰਦੇ ਹਨ, ਤਾਂ ਬੇਨਤੀਕਰਤਾ ਅਤੇ ਪ੍ਰਮਾਣਕ ਸੁਰੱਖਿਆ ਐਸੋਸੀਏਸ਼ਨ (SA) ਦੀ ਸਥਾਪਨਾ ਲਈ ਲੋੜੀਂਦੇ ਮਾਪਦੰਡਾਂ ਨਾਲ ਗੱਲਬਾਤ ਕਰਦੇ ਹਨ।
ਨੋਟ ਆਈਕਨ SAP 100G ਇੰਟਰਫੇਸਾਂ 'ਤੇ ਸਮਰਥਿਤ ਨਹੀਂ ਹੈ। ਅਸੀਂ ਸਿਫ਼ਾਰਿਸ਼ ਕਰਦੇ ਹਾਂ ਕਿ ਤੁਸੀਂ MACsec ਕੀ ਐਗਰੀਮੈਂਟ ਪ੍ਰੋਟੋਕੋਲ ਦੀ ਵਰਤੋਂ ਕਰੋ
(MKA) 100G ਇੰਟਰਫੇਸਾਂ 'ਤੇ ਵਿਸਤ੍ਰਿਤ ਪੈਕੇਟ ਨੰਬਰਿੰਗ (XPN) ਦੇ ਨਾਲ।
ਜਦੋਂ ਸਾਰੇ ਤਿੰਨ ਪੜਾਅ ਪੂਰੇ ਹੋ ਜਾਂਦੇ ਹਨ, ਤਾਂ ਪ੍ਰਮਾਣੀਕਰਤਾ ਲਿੰਕ ਦੀ ਸਥਿਤੀ ਨੂੰ ਅਣਅਧਿਕਾਰਤ (ਬਲੌਕਿੰਗ) ਸਥਿਤੀ ਤੋਂ ਅਧਿਕਾਰਤ ਸਥਿਤੀ ਵਿੱਚ ਬਦਲ ਦਿੰਦਾ ਹੈ, ਅਤੇ ਬੇਨਤੀਕਰਤਾ Cisco TrustSec ਡੋਮੇਨ ਦਾ ਮੈਂਬਰ ਬਣ ਜਾਂਦਾ ਹੈ।
Cisco TrustSec ਪ੍ਰਵੇਸ਼ ਵਰਤਦਾ ਹੈ tagਐਕਸੈਸ ਕੰਟਰੋਲ ਨੀਤੀ ਨੂੰ ਸਕੇਲੇਬਲ ਤਰੀਕੇ ਨਾਲ ਲਾਗੂ ਕਰਨ ਲਈ ਗਿੰਗ ਅਤੇ ਈਗ੍ਰੇਸ ਫਿਲਟਰਿੰਗ। ਡੋਮੇਨ ਵਿੱਚ ਦਾਖਲ ਹੋਣ ਵਾਲੇ ਪੈਕੇਟ ਹਨ tagਇੱਕ ਸੁਰੱਖਿਆ ਸਮੂਹ ਨਾਲ ged tag (SGT) ਜਿਸ ਵਿੱਚ ਸਰੋਤ ਯੰਤਰ ਦਾ ਨਿਰਧਾਰਤ ਸੁਰੱਖਿਆ ਸਮੂਹ ਨੰਬਰ ਹੁੰਦਾ ਹੈ। ਇਹ ਪੈਕੇਟ ਵਰਗੀਕਰਣ ਸੁਰੱਖਿਆ ਅਤੇ ਹੋਰ ਨੀਤੀ ਮਾਪਦੰਡਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਦੇ ਉਦੇਸ਼ ਲਈ Cisco TrustSec ਡੋਮੇਨ ਦੇ ਅੰਦਰ ਡੇਟਾ ਮਾਰਗ ਦੇ ਨਾਲ ਬਣਾਈ ਰੱਖਿਆ ਜਾਂਦਾ ਹੈ। ਡਾਟਾ ਮਾਰਗ 'ਤੇ ਅੰਤਿਮ Cisco TrustSec ਡਿਵਾਈਸ, ਜਾਂ ਤਾਂ ਐਂਡਪੁਆਇੰਟ ਜਾਂ ਨੈੱਟਵਰਕ ਈਗ੍ਰੇਸ ਪੁਆਇੰਟ, Cisco TrustSec ਸਰੋਤ ਡਿਵਾਈਸ ਦੇ ਸੁਰੱਖਿਆ ਸਮੂਹ ਅਤੇ ਅੰਤਿਮ Cisco TrustSec ਡਿਵਾਈਸ ਦੇ ਸੁਰੱਖਿਆ ਸਮੂਹ ਦੇ ਅਧਾਰ ਤੇ ਇੱਕ ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਨੀਤੀ ਨੂੰ ਲਾਗੂ ਕਰਦਾ ਹੈ। ਨੈੱਟਵਰਕ ਪਤਿਆਂ 'ਤੇ ਆਧਾਰਿਤ ਪਰੰਪਰਾਗਤ ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਸੂਚੀਆਂ ਦੇ ਉਲਟ, Cisco TrustSec ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਨੀਤੀਆਂ ਰੋਲ-ਅਧਾਰਿਤ ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਸੂਚੀਆਂ (RBACLs) ਦਾ ਇੱਕ ਰੂਪ ਹਨ ਜਿਨ੍ਹਾਂ ਨੂੰ ਸੁਰੱਖਿਆ ਗਰੁੱਪ ਐਕਸੈਸ ਕੰਟਰੋਲ ਸੂਚੀਆਂ (SGACLs) ਕਿਹਾ ਜਾਂਦਾ ਹੈ।
ਨੋਟ ਆਈਕਨਇਨਗਰੇਸ ਪਹਿਲੀ ਸਿਸਕੋ ਟਰੱਸਟਸੇਕ-ਸਮਰੱਥ ਡਿਵਾਈਸ ਵਿੱਚ ਦਾਖਲ ਹੋਣ ਵਾਲੇ ਪੈਕੇਟਾਂ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ ਜਿਸਦਾ ਸਾਹਮਣਾ ਇੱਕ ਪੈਕੇਟ ਦੁਆਰਾ ਮੰਜ਼ਿਲ ਦੇ ਰਸਤੇ ਵਿੱਚ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਅਤੇ ਈਗ੍ਰੇਸ ਪੈਕਟਾਂ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ ਜੋ ਆਖਰੀ Cisco TrustSec-ਸਮਰੱਥ ਡਿਵਾਈਸ ਨੂੰ ਰਸਤੇ ਵਿੱਚ ਛੱਡਦੇ ਹਨ।
ਪ੍ਰਮਾਣਿਕਤਾ
Cisco TrustSec ਅਤੇ ਪ੍ਰਮਾਣਿਕਤਾ
ਨੈੱਟਵਰਕ ਡਿਵਾਈਸ ਐਡਮਿਸ਼ਨ ਕੰਟਰੋਲ (NDAC) ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, Cisco TrustSec ਇੱਕ ਡਿਵਾਈਸ ਨੂੰ ਨੈੱਟਵਰਕ ਵਿੱਚ ਸ਼ਾਮਲ ਹੋਣ ਦੀ ਇਜਾਜ਼ਤ ਦੇਣ ਤੋਂ ਪਹਿਲਾਂ ਪ੍ਰਮਾਣਿਤ ਕਰਦਾ ਹੈ। NDAC ਪ੍ਰਮਾਣੀਕਰਨ ਕਰਨ ਲਈ ਐਕਸਟੈਂਸੀਬਲ ਪ੍ਰਮਾਣੀਕਰਨ ਪ੍ਰੋਟੋਕੋਲ (EAP) ਵਿਧੀ ਦੇ ਤੌਰ 'ਤੇ ਸੁਰੱਖਿਅਤ ਸੁਰੰਗ (EAP-FAST) ਦੁਆਰਾ ਐਕਸਟੈਂਸੀਬਲ ਪ੍ਰਮਾਣੀਕਰਨ ਪ੍ਰੋਟੋਕੋਲ ਲਚਕਦਾਰ ਪ੍ਰਮਾਣਿਕਤਾ ਦੇ ਨਾਲ 802.1X ਪ੍ਰਮਾਣੀਕਰਨ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। EAP-FAST ਗੱਲਬਾਤ ਚੇਨ ਦੀ ਵਰਤੋਂ ਕਰਕੇ EAP-FAST ਸੁਰੰਗ ਦੇ ਅੰਦਰ ਹੋਰ EAP ਵਿਧੀ ਐਕਸਚੇਂਜਾਂ ਲਈ ਪ੍ਰਦਾਨ ਕਰਦੀ ਹੈ। ਪ੍ਰਸ਼ਾਸਕ ਰਵਾਇਤੀ ਉਪਭੋਗਤਾ-ਪ੍ਰਮਾਣੀਕਰਨ ਵਿਧੀਆਂ ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦੇ ਹਨ, ਜਿਵੇਂ ਕਿ Microsoft ਚੈਲੇਂਜ ਹੈਂਡਸ਼ੇਕ ਪ੍ਰਮਾਣੀਕਰਨ ਪ੍ਰੋਟੋਕੋਲ ਸੰਸਕਰਣ 2 (MSCHAPv2), ਜਦੋਂ ਕਿ ਅਜੇ ਵੀ EAP-FAST ਸੁਰੰਗ ਦੁਆਰਾ ਸੁਰੱਖਿਆ ਪ੍ਰਦਾਨ ਕੀਤੀ ਗਈ ਹੈ। EAP-FAST ਐਕਸਚੇਂਜ ਦੇ ਦੌਰਾਨ, ਪ੍ਰਮਾਣਿਕਤਾ ਸਰਵਰ ਬੇਨਤੀਕਰਤਾ ਨੂੰ ਇੱਕ ਵਿਲੱਖਣ ਸੁਰੱਖਿਅਤ ਪਹੁੰਚ ਪ੍ਰਮਾਣ ਪੱਤਰ (PAC) ਬਣਾਉਂਦਾ ਹੈ ਅਤੇ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ ਜਿਸ ਵਿੱਚ ਇੱਕ ਸ਼ੇਅਰਡ ਕੁੰਜੀ ਅਤੇ ਇੱਕ ਐਨਕ੍ਰਿਪਟਡ ਟੋਕਨ ਹੁੰਦਾ ਹੈ ਜੋ ਪ੍ਰਮਾਣੀਕਰਨ ਸਰਵਰ ਨਾਲ ਭਵਿੱਖ ਵਿੱਚ ਸੁਰੱਖਿਅਤ ਸੰਚਾਰ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ।
ਹੇਠਾਂ ਦਿੱਤੀ ਤਸਵੀਰ EAP-FAST ਸੁਰੰਗ ਅਤੇ ਅੰਦਰੂਨੀ ਤਰੀਕਿਆਂ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ ਜਿਵੇਂ ਕਿ Cisco TrustSec ਵਿੱਚ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ।
ਚਿੱਤਰ 2: Cisco TrustSec ਪ੍ਰਮਾਣਿਕਤਾ
CISCO Trustsec ਸੁਰੱਖਿਅਤ ਨੈੱਟਵਰਕ ਬਣਾਉਂਦਾ ਹੈ - ਚਿੱਤਰ 2
ਈਏਪੀ-ਫਾਸਟ ਲਈ Cisco TrustSec ਸੁਧਾਰ
Cisco TrustSec ਲਈ EAP-FAST ਨੂੰ ਲਾਗੂ ਕਰਨ ਵਿੱਚ ਹੇਠਾਂ ਦਿੱਤੇ ਸੁਧਾਰ ਹਨ:
  • ਪ੍ਰਮਾਣਿਕਤਾ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਕਰੋ—ਪ੍ਰਮਾਣਕ ਨੂੰ ਆਪਣੇ ਅਤੇ ਪ੍ਰਮਾਣਿਕਤਾ ਸਰਵਰ ਦੇ ਵਿਚਕਾਰ ਸਾਂਝੀ ਕੁੰਜੀ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਆਪਣੇ PAC ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਲੋੜ ਕਰਕੇ ਪ੍ਰਮਾਣਿਕਤਾ ਦੀ ਪਛਾਣ ਨੂੰ ਸੁਰੱਖਿਅਤ ਢੰਗ ਨਾਲ ਨਿਰਧਾਰਤ ਕਰਦਾ ਹੈ। ਇਹ ਵਿਸ਼ੇਸ਼ਤਾ ਤੁਹਾਨੂੰ ਪ੍ਰਮਾਣਿਕਤਾ ਸਰਵਰ 'ਤੇ ਹਰ ਸੰਭਵ IP ਪਤੇ ਲਈ RADIUS ਸਾਂਝੀਆਂ ਕੁੰਜੀਆਂ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਨ ਤੋਂ ਵੀ ਰੋਕਦੀ ਹੈ ਜੋ ਪ੍ਰਮਾਣਕ ਦੁਆਰਾ ਵਰਤੀ ਜਾ ਸਕਦੀ ਹੈ।
  • ਹਰੇਕ ਡਿਵਾਈਸ ਨੂੰ ਇਸਦੇ ਪੀਅਰ ਦੀ ਪਛਾਣ ਬਾਰੇ ਸੂਚਿਤ ਕਰੋ—ਪ੍ਰਮਾਣੀਕਰਨ ਐਕਸਚੇਂਜ ਦੇ ਅੰਤ ਤੱਕ, ਪ੍ਰਮਾਣਿਕਤਾ ਸਰਵਰ ਨੇ ਬੇਨਤੀਕਰਤਾ ਅਤੇ ਪ੍ਰਮਾਣਿਕਤਾ ਦੋਵਾਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ। ਪ੍ਰਮਾਣਿਕਤਾ ਸਰਵਰ ਪ੍ਰਮਾਣਕ ਦੀ ਪਛਾਣ ਦੱਸਦਾ ਹੈ, ਅਤੇ ਕੀ ਪ੍ਰਮਾਣਿਕਤਾ ਸਿਸਕੋ ਟਰੱਸਟਸੇਕ-ਸਮਰੱਥ ਹੈ, ਸੁਰੱਖਿਅਤ EAP-ਫਾਸਟ ਸਮਾਪਤੀ ਵਿੱਚ ਵਾਧੂ ਕਿਸਮ-ਲੰਬਾਈ-ਮੁੱਲ ਪੈਰਾਮੀਟਰਾਂ (TLVs) ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਬੇਨਤੀਕਰਤਾ ਨੂੰ। ਪ੍ਰਮਾਣਿਕਤਾ ਸਰਵਰ ਬੇਨਤੀਕਰਤਾ ਦੀ ਪਛਾਣ ਵੀ ਦੱਸਦਾ ਹੈ, ਅਤੇ ਕੀ ਬੇਨਤੀਕਰਤਾ Cisco TrustSec-ਸਮਰੱਥ ਹੈ, ਪਹੁੰਚ-ਸਵੀਕਾਰ ਸੁਨੇਹੇ ਵਿੱਚ RADIUS ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਪ੍ਰਮਾਣਕ ਨੂੰ।
    ਕਿਉਂਕਿ ਹਰੇਕ ਡਿਵਾਈਸ ਆਪਣੇ ਪੀਅਰ ਦੀ ਪਛਾਣ ਜਾਣਦੀ ਹੈ, ਇਹ ਲਿੰਕ 'ਤੇ ਲਾਗੂ ਕੀਤੀ ਜਾਣ ਵਾਲੀ ਨੀਤੀ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਪ੍ਰਮਾਣਿਕਤਾ ਸਰਵਰ ਨੂੰ ਵਾਧੂ RADIUS ਐਕਸੈਸ-ਬੇਨਤੀਆਂ ਭੇਜ ਸਕਦਾ ਹੈ।
802.1X ਭੂਮਿਕਾ ਚੋਣ
802.1X ਵਿੱਚ, ਪ੍ਰਮਾਣਕ ਕੋਲ ਪ੍ਰਮਾਣਿਕਤਾ ਸਰਵਰ ਦੇ ਨਾਲ IP ਕਨੈਕਟੀਵਿਟੀ ਹੋਣੀ ਚਾਹੀਦੀ ਹੈ ਕਿਉਂਕਿ ਇਸਨੂੰ UDP/IP ਉੱਤੇ RADIUS ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਬੇਨਤੀਕਰਤਾ ਅਤੇ ਪ੍ਰਮਾਣਿਕਤਾ ਵਿਚਕਾਰ ਪ੍ਰਮਾਣਿਕਤਾ ਐਕਸਚੇਂਜ ਨੂੰ ਰੀਲੇਅ ਕਰਨਾ ਹੁੰਦਾ ਹੈ। ਜਦੋਂ ਇੱਕ ਐਂਡਪੁਆਇੰਟ ਡਿਵਾਈਸ, ਜਿਵੇਂ ਕਿ ਇੱਕ PC, ਇੱਕ ਨੈਟਵਰਕ ਨਾਲ ਜੁੜਦਾ ਹੈ, ਤਾਂ ਇਹ ਸਪੱਸ਼ਟ ਹੈ ਕਿ ਇਸਨੂੰ ਇੱਕ ਬੇਨਤੀਕਰਤਾ ਵਜੋਂ ਕੰਮ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ। ਹਾਲਾਂਕਿ, ਦੋ ਨੈਟਵਰਕ ਡਿਵਾਈਸਾਂ ਵਿਚਕਾਰ ਇੱਕ Cisco TrustSec ਕਨੈਕਸ਼ਨ ਦੇ ਮਾਮਲੇ ਵਿੱਚ, ਹਰੇਕ ਨੈਟਵਰਕ ਡਿਵਾਈਸ ਦੀ 802.1X ਭੂਮਿਕਾ ਦੂਜੇ ਨੈਟਵਰਕ ਡਿਵਾਈਸ ਲਈ ਤੁਰੰਤ ਸਪੱਸ਼ਟ ਨਹੀਂ ਹੋ ਸਕਦੀ ਹੈ।
ਦੋ ਨਾਲ ਲੱਗਦੇ ਸਵਿੱਚਾਂ ਲਈ ਪ੍ਰਮਾਣਕ ਅਤੇ ਬੇਨਤੀਕਰਤਾ ਦੀਆਂ ਭੂਮਿਕਾਵਾਂ ਦੀ ਮੈਨੂਅਲ ਕੌਂਫਿਗਰੇਸ਼ਨ ਦੀ ਲੋੜ ਦੀ ਬਜਾਏ, Cisco TrustSec ਇੱਕ ਰੋਲ-ਚੋਣ ਐਲਗੋਰਿਦਮ ਚਲਾਉਂਦਾ ਹੈ ਤਾਂ ਜੋ ਇਹ ਨਿਰਧਾਰਤ ਕੀਤਾ ਜਾ ਸਕੇ ਕਿ ਕਿਹੜਾ ਸਵਿੱਚ ਪ੍ਰਮਾਣਕ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ ਅਤੇ ਕਿਹੜਾ ਬੇਨਤੀਕਰਤਾ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ। ਭੂਮਿਕਾ-ਚੋਣ ਐਲਗੋਰਿਦਮ ਉਸ ਸਵਿੱਚ ਨੂੰ ਪ੍ਰਮਾਣਕ ਭੂਮਿਕਾ ਸੌਂਪਦਾ ਹੈ ਜਿਸਦੀ ਇੱਕ RADIUS ਸਰਵਰ ਤੱਕ IP ਪਹੁੰਚਯੋਗਤਾ ਹੁੰਦੀ ਹੈ। ਦੋਵੇਂ ਸਵਿੱਚ ਪ੍ਰਮਾਣਕ ਅਤੇ ਸਪਲੀਕੈਂਟ ਸਟੇਟ ਮਸ਼ੀਨਾਂ ਦੋਵਾਂ ਨੂੰ ਸ਼ੁਰੂ ਕਰਦੇ ਹਨ। ਜਦੋਂ ਇੱਕ ਸਵਿੱਚ ਪਤਾ ਲਗਾਉਂਦੀ ਹੈ ਕਿ ਇਸਦੇ ਪੀਅਰ ਦੀ ਇੱਕ RADIUS ਸਰਵਰ ਤੱਕ ਪਹੁੰਚ ਹੈ, ਤਾਂ ਇਹ ਆਪਣੀ ਖੁਦ ਦੀ ਪ੍ਰਮਾਣੀਕ ਸਟੇਟ ਮਸ਼ੀਨ ਨੂੰ ਬੰਦ ਕਰ ਦਿੰਦਾ ਹੈ ਅਤੇ ਬੇਨਤੀਕਰਤਾ ਦੀ ਭੂਮਿਕਾ ਨੂੰ ਮੰਨ ਲੈਂਦਾ ਹੈ। ਜੇਕਰ ਦੋਵੇਂ ਸਵਿੱਚਾਂ ਕੋਲ ਇੱਕ RADIUS ਸਰਵਰ ਤੱਕ ਪਹੁੰਚ ਹੈ, ਤਾਂ RADIUS ਸਰਵਰ ਤੋਂ ਜਵਾਬ ਪ੍ਰਾਪਤ ਕਰਨ ਵਾਲਾ ਪਹਿਲਾ ਸਵਿੱਚ ਪ੍ਰਮਾਣਕ ਬਣ ਜਾਂਦਾ ਹੈ ਅਤੇ ਦੂਜਾ ਸਵਿੱਚ ਬੇਨਤੀਕਰਤਾ ਬਣ ਜਾਂਦਾ ਹੈ।
Cisco TrustSec ਪ੍ਰਮਾਣਿਕਤਾ ਸੰਖੇਪ
Cisco TrustSec ਪ੍ਰਮਾਣਿਕਤਾ ਪ੍ਰਕਿਰਿਆ ਦੇ ਅੰਤ ਤੱਕ, ਪ੍ਰਮਾਣਿਕਤਾ ਸਰਵਰ ਨੇ ਹੇਠ ਲਿਖੀਆਂ ਕਾਰਵਾਈਆਂ ਕੀਤੀਆਂ ਹਨ:
  • ਬੇਨਤੀਕਰਤਾ ਅਤੇ ਪ੍ਰਮਾਣਿਕਤਾ ਦੀ ਪਛਾਣ ਦੀ ਪੁਸ਼ਟੀ ਕੀਤੀ।
  • ਜੇਕਰ ਬੇਨਤੀਕਰਤਾ ਇੱਕ ਐਂਡਪੁਆਇੰਟ ਡਿਵਾਈਸ ਹੈ ਤਾਂ ਉਪਭੋਗਤਾ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਕੀਤਾ ਗਿਆ ਹੈ।
Cisco TrustSec ਪ੍ਰਮਾਣਿਕਤਾ ਪ੍ਰਕਿਰਿਆ ਦੇ ਅੰਤ ਵਿੱਚ, ਪ੍ਰਮਾਣਕ ਅਤੇ ਬੇਨਤੀਕਰਤਾ ਦੋਵੇਂ ਹੇਠ ਲਿਖੇ ਜਾਣਦੇ ਹਨ:
  • ਹੇਠ ਲਿਖੇ:
  • ਪੀਅਰ ਦੀ ਡਿਵਾਈਸ ਆਈ.ਡੀ
  • ਪੀਅਰ ਦੀ Cisco TrustSec ਸਮਰੱਥਾ ਜਾਣਕਾਰੀ
  • SAP ਲਈ ਵਰਤੀ ਜਾਂਦੀ ਕੁੰਜੀ
ਜੰਤਰ ਪਛਾਣ
Cisco TrustSec ਡਿਵਾਈਸ ਪਛਾਣਾਂ ਵਜੋਂ IP ਐਡਰੈੱਸ ਜਾਂ MAC ਐਡਰੈੱਸ ਦੀ ਵਰਤੋਂ ਨਹੀਂ ਕਰਦਾ ਹੈ। ਇਸਦੀ ਬਜਾਏ, ਤੁਸੀਂ Cisco TrustSec ਡੋਮੇਨ ਵਿੱਚ ਵਿਲੱਖਣ ਤੌਰ 'ਤੇ ਪਛਾਣ ਕਰਨ ਲਈ ਹਰੇਕ Cisco TrustSec-ਸਮਰੱਥ ਸਵਿੱਚ ਨੂੰ ਇੱਕ ਨਾਮ (ਡਿਵਾਈਸ ID) ਨਿਰਧਾਰਤ ਕਰਦੇ ਹੋ। ਇਸ ਡਿਵਾਈਸ ID ਦੀ ਵਰਤੋਂ ਨਿਮਨਲਿਖਤ ਲਈ ਕੀਤੀ ਜਾਂਦੀ ਹੈ:
  • ਅਧਿਕਾਰ ਨੀਤੀ ਨੂੰ ਵੇਖ ਰਿਹਾ ਹੈ
  • ਪ੍ਰਮਾਣਿਕਤਾ ਦੇ ਦੌਰਾਨ ਡੇਟਾਬੇਸ ਵਿੱਚ ਪਾਸਵਰਡ ਲੱਭ ਰਿਹਾ ਹੈ
ਡਿਵਾਈਸ ਪ੍ਰਮਾਣ ਪੱਤਰ
Cisco TrustSec ਪਾਸਵਰਡ-ਅਧਾਰਿਤ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ। Cisco TrustSec ਬੇਨਤੀਕਾਰਾਂ ਨੂੰ ਪਾਸਵਰਡ ਰਾਹੀਂ ਪ੍ਰਮਾਣਿਤ ਕਰਦਾ ਹੈ ਅਤੇ ਆਪਸੀ ਪ੍ਰਮਾਣਿਕਤਾ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ MSCHAPv2 ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ।
ਪ੍ਰਮਾਣਿਕਤਾ ਸਰਵਰ ਇਹਨਾਂ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਵਰਤੋਂ EAP-FAST ਪੜਾਅ 0 (ਪ੍ਰੋਵੀਜ਼ਨਿੰਗ) ਐਕਸਚੇਂਜ ਦੌਰਾਨ ਬੇਨਤੀਕਰਤਾ ਨੂੰ ਆਪਸੀ ਪ੍ਰਮਾਣਿਤ ਕਰਨ ਲਈ ਕਰਦਾ ਹੈ ਜਿੱਥੇ ਬੇਨਤੀਕਰਤਾ ਵਿੱਚ ਇੱਕ PAC ਦਾ ਪ੍ਰਬੰਧ ਕੀਤਾ ਗਿਆ ਹੈ। Cisco TrustSec PAC ਦੀ ਮਿਆਦ ਪੁੱਗਣ ਤੱਕ EAP-FAST ਪੜਾਅ 0 ਐਕਸਚੇਂਜ ਦੁਬਾਰਾ ਨਹੀਂ ਕਰਦਾ ਹੈ, ਅਤੇ ਭਵਿੱਖ ਦੇ ਲਿੰਕ ਲਿਆਉਣ ਲਈ ਸਿਰਫ EAP-FAST ਪੜਾਅ 1 ਅਤੇ ਪੜਾਅ 2 ਐਕਸਚੇਂਜ ਕਰਦਾ ਹੈ। ਈਏਪੀ-ਫਾਸਟ ਪੜਾਅ 1 ਐਕਸਚੇਂਜ ਪ੍ਰਮਾਣਿਕਤਾ ਸਰਵਰ ਅਤੇ ਬੇਨਤੀਕਰਤਾ ਨੂੰ ਆਪਸੀ ਪ੍ਰਮਾਣਿਤ ਕਰਨ ਲਈ ਪੀਏਸੀ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। Cisco TrustSec ਸਿਰਫ਼ PAC ਪ੍ਰੋਵਿਜ਼ਨਿੰਗ (ਜਾਂ ਰੀਪ੍ਰੋਵਿਜ਼ਨਿੰਗ) ਪੜਾਵਾਂ ਦੌਰਾਨ ਡਿਵਾਈਸ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ।
ਜਦੋਂ ਬੇਨਤੀਕਰਤਾ ਪਹਿਲੀ ਵਾਰ Cisco TrustSec ਡੋਮੇਨ ਨਾਲ ਜੁੜਦਾ ਹੈ, ਤਾਂ ਪ੍ਰਮਾਣਿਕਤਾ ਸਰਵਰ ਬੇਨਤੀਕਰਤਾ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਕਰਦਾ ਹੈ ਅਤੇ PAC ਨਾਲ ਬੇਨਤੀਕਰਤਾ ਨੂੰ ਇੱਕ ਸਾਂਝੀ ਕੁੰਜੀ ਅਤੇ ਏਨਕ੍ਰਿਪਟਡ ਟੋਕਨ ਧੱਕਦਾ ਹੈ। ਪ੍ਰਮਾਣੀਕਰਨ ਸਰਵਰ ਅਤੇ ਬੇਨਤੀਕਰਤਾ ਇਸ ਕੁੰਜੀ ਅਤੇ ਟੋਕਨ ਦੀ ਵਰਤੋਂ ਭਵਿੱਖ ਦੇ ਸਾਰੇ EAP-FAST ਪੜਾਅ 0 ਐਕਸਚੇਂਜਾਂ ਵਿੱਚ ਆਪਸੀ ਪ੍ਰਮਾਣਿਕਤਾ ਲਈ ਕਰਦੇ ਹਨ।
ਉਪਭੋਗਤਾ ਪ੍ਰਮਾਣ ਪੱਤਰ
Cisco TrustSec ਨੂੰ ਐਂਡਪੁਆਇੰਟ ਡਿਵਾਈਸਾਂ ਲਈ ਕਿਸੇ ਖਾਸ ਕਿਸਮ ਦੇ ਉਪਭੋਗਤਾ ਪ੍ਰਮਾਣ ਪੱਤਰ ਦੀ ਲੋੜ ਨਹੀਂ ਹੈ। ਤੁਸੀਂ ਕਿਸੇ ਵੀ ਕਿਸਮ ਦੀ ਉਪਭੋਗਤਾ ਪ੍ਰਮਾਣਿਕਤਾ ਵਿਧੀ ਚੁਣ ਸਕਦੇ ਹੋ ਜੋ ਪ੍ਰਮਾਣੀਕਰਨ ਸਰਵਰ ਦੁਆਰਾ ਸਮਰਥਿਤ ਹੈ, ਅਤੇ ਸੰਬੰਧਿਤ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦੇ ਹੋ। ਸਾਬਕਾ ਲਈample, Cisco Secure Access Control System (ACS) ਵਰਜਨ 5.1 MSCHAPv2, ਜੈਨਰਿਕ ਟੋਕਨ ਕਾਰਡ (GTC), ਜਾਂ RSA ਵਨ-ਟਾਈਮ ਪਾਸਵਰਡ (OTP) ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ।
ਸੁਰੱਖਿਆ ਸਮੂਹ-ਅਧਾਰਿਤ ਪਹੁੰਚ ਨਿਯੰਤਰਣ
ਇਹ ਸੈਕਸ਼ਨ ਸੁਰੱਖਿਆ ਸਮੂਹ-ਅਧਾਰਿਤ ਐਕਸੈਸ ਕੰਟਰੋਲ ਸੂਚੀਆਂ (ਐਸਜੀਏਸੀਐਲ) ਬਾਰੇ ਜਾਣਕਾਰੀ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ।
ਸੁਰੱਖਿਆ ਸਮੂਹ ਅਤੇ ਐਸ.ਜੀ.ਟੀ
ਇੱਕ ਸੁਰੱਖਿਆ ਸਮੂਹ ਉਪਭੋਗਤਾਵਾਂ, ਐਂਡਪੁਆਇੰਟ ਡਿਵਾਈਸਾਂ, ਅਤੇ ਸਰੋਤਾਂ ਦਾ ਇੱਕ ਸਮੂਹ ਹੈ ਜੋ ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਨੀਤੀਆਂ ਨੂੰ ਸਾਂਝਾ ਕਰਦੇ ਹਨ। ਸੁਰੱਖਿਆ ਸਮੂਹਾਂ ਨੂੰ ਪ੍ਰਸ਼ਾਸਕ ਦੁਆਰਾ Cisco ISE ਜਾਂ Cisco Secure ACS ਵਿੱਚ ਪਰਿਭਾਸ਼ਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਜਿਵੇਂ ਕਿ ਨਵੇਂ ਉਪਭੋਗਤਾ ਅਤੇ ਡਿਵਾਈਸਾਂ ਨੂੰ Cisco TrustSec ਡੋਮੇਨ ਵਿੱਚ ਜੋੜਿਆ ਜਾਂਦਾ ਹੈ, ਪ੍ਰਮਾਣਿਕਤਾ ਸਰਵਰ ਇਹਨਾਂ ਨਵੀਆਂ ਸੰਸਥਾਵਾਂ ਨੂੰ ਉਚਿਤ ਸੁਰੱਖਿਆ ਸਮੂਹਾਂ ਨੂੰ ਸੌਂਪਦਾ ਹੈ। Cisco TrustSec ਹਰੇਕ ਸੁਰੱਖਿਆ ਸਮੂਹ ਨੂੰ ਇੱਕ ਵਿਲੱਖਣ 16-ਬਿੱਟ ਸੁਰੱਖਿਆ ਸਮੂਹ ਨੰਬਰ ਨਿਰਧਾਰਤ ਕਰਦਾ ਹੈ ਜਿਸਦਾ ਸਕੋਪ ਇੱਕ Cisco TrustSec ਡੋਮੇਨ ਵਿੱਚ ਗਲੋਬਲ ਹੈ। ਡਿਵਾਈਸ ਵਿੱਚ ਸੁਰੱਖਿਆ ਸਮੂਹਾਂ ਦੀ ਗਿਣਤੀ ਪ੍ਰਮਾਣਿਤ ਨੈੱਟਵਰਕ ਸੰਸਥਾਵਾਂ ਦੀ ਸੰਖਿਆ ਤੱਕ ਸੀਮਿਤ ਹੈ। ਤੁਹਾਨੂੰ ਸੁਰੱਖਿਆ ਸਮੂਹ ਨੰਬਰਾਂ ਨੂੰ ਹੱਥੀਂ ਕੌਂਫਿਗਰ ਕਰਨ ਦੀ ਲੋੜ ਨਹੀਂ ਹੈ।
ਇੱਕ ਵਾਰ ਜਦੋਂ ਇੱਕ ਡਿਵਾਈਸ ਪ੍ਰਮਾਣਿਤ ਹੋ ਜਾਂਦੀ ਹੈ, Cisco TrustSec tags ਕੋਈ ਵੀ ਪੈਕੇਟ ਜੋ ਸੁਰੱਖਿਆ ਸਮੂਹ ਦੇ ਨਾਲ ਉਸ ਡਿਵਾਈਸ ਤੋਂ ਉਤਪੰਨ ਹੁੰਦਾ ਹੈ tag (SGT) ਜਿਸ ਵਿੱਚ ਡਿਵਾਈਸ ਦਾ ਸੁਰੱਖਿਆ ਸਮੂਹ ਨੰਬਰ ਹੁੰਦਾ ਹੈ। ਪੈਕਟ ਇਸ SGT ਨੂੰ Cisco TrustSec ਸਿਰਲੇਖ ਦੇ ਅੰਦਰ ਪੂਰੇ ਨੈੱਟਵਰਕ ਵਿੱਚ ਰੱਖਦਾ ਹੈ। SGT ਇੱਕ ਸਿੰਗਲ ਲੇਬਲ ਹੈ ਜੋ ਪੂਰੇ ਉਦਯੋਗ ਦੇ ਅੰਦਰ ਸਰੋਤ ਦੇ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਨੂੰ ਨਿਰਧਾਰਤ ਕਰਦਾ ਹੈ।
ਕਿਉਂਕਿ SGT ਵਿੱਚ ਸਰੋਤ ਦਾ ਸੁਰੱਖਿਆ ਸਮੂਹ ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ, tag ਨੂੰ ਸ੍ਰੋਤ SGT ਕਿਹਾ ਜਾ ਸਕਦਾ ਹੈ। ਮੰਜ਼ਿਲ ਯੰਤਰ ਨੂੰ ਇੱਕ ਸੁਰੱਖਿਆ ਸਮੂਹ (ਮੰਜ਼ਿਲ SG) ਨੂੰ ਵੀ ਦਿੱਤਾ ਗਿਆ ਹੈ ਜਿਸਨੂੰ ਮੰਜ਼ਿਲ ਸਮੂਹ ਵਜੋਂ ਸਰਲਤਾ ਲਈ ਕਿਹਾ ਜਾ ਸਕਦਾ ਹੈ। tag (DGT), ਹਾਲਾਂਕਿ ਅਸਲ Cisco TrustSec ਪੈਕੇਟ ਹੈ tag ਇਸ ਵਿੱਚ ਮੰਜ਼ਿਲ ਡਿਵਾਈਸ ਦਾ ਸੁਰੱਖਿਆ ਸਮੂਹ ਨੰਬਰ ਨਹੀਂ ਹੈ।
ਸੁਰੱਖਿਆ ਸਮੂਹ ACL ਸਹਾਇਤਾ
ਸੁਰੱਖਿਆ ਸਮੂਹ ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਸੂਚੀਆਂ (ਐੱਸ.ਜੀ.ਏ.ਸੀ.ਐੱਲ.) ਇੱਕ ਨੀਤੀ ਲਾਗੂਕਰਨ ਹੈ ਜਿਸ ਰਾਹੀਂ ਪ੍ਰਬੰਧਕ ਸੁਰੱਖਿਆ ਸਮੂਹ ਅਸਾਈਨਮੈਂਟਾਂ ਅਤੇ ਮੰਜ਼ਿਲ ਸਰੋਤਾਂ ਦੇ ਆਧਾਰ 'ਤੇ ਉਪਭੋਗਤਾ ਦੁਆਰਾ ਕੀਤੇ ਗਏ ਕਾਰਜਾਂ ਨੂੰ ਨਿਯੰਤਰਿਤ ਕਰ ਸਕਦਾ ਹੈ। Cisco Trustsec ਡੋਮੇਨ ਦੇ ਅੰਦਰ ਨੀਤੀ ਲਾਗੂ ਕਰਨ ਨੂੰ ਅਨੁਮਤੀਆਂ ਮੈਟ੍ਰਿਕਸ ਦੁਆਰਾ ਦਰਸਾਇਆ ਜਾਂਦਾ ਹੈ, ਇੱਕ ਧੁਰੇ 'ਤੇ ਸਰੋਤ ਸੁਰੱਖਿਆ ਸਮੂਹ ਨੰਬਰ ਅਤੇ ਦੂਜੇ ਧੁਰੇ 'ਤੇ ਮੰਜ਼ਿਲ ਸੁਰੱਖਿਆ ਸਮੂਹ ਨੰਬਰ ਹੁੰਦਾ ਹੈ। ਮੈਟ੍ਰਿਕਸ ਵਿੱਚ ਹਰੇਕ ਸੈੱਲ ਵਿੱਚ SGACLs ਦੀ ਇੱਕ ਕ੍ਰਮਬੱਧ ਸੂਚੀ ਹੁੰਦੀ ਹੈ, ਜੋ ਉਹਨਾਂ ਅਨੁਮਤੀਆਂ ਨੂੰ ਨਿਸ਼ਚਿਤ ਕਰਦੀ ਹੈ ਜੋ ਇੱਕ ਸਰੋਤ ਸੁਰੱਖਿਆ ਸਮੂਹ ਨਾਲ ਸਬੰਧਤ ਇੱਕ IP ਤੋਂ ਉਤਪੰਨ ਹੋਣ ਵਾਲੇ ਪੈਕੇਟਾਂ 'ਤੇ ਲਾਗੂ ਹੋਣੀਆਂ ਚਾਹੀਦੀਆਂ ਹਨ ਅਤੇ ਇੱਕ ਮੰਜ਼ਿਲ IP ਹੈ ਜੋ ਕਿ ਮੰਜ਼ਿਲ ਸੁਰੱਖਿਆ ਸਮੂਹ ਨਾਲ ਸਬੰਧਤ ਹੈ।
SGACL ਸੁਰੱਖਿਆ ਐਸੋਸੀਏਸ਼ਨ ਜਾਂ ਸੁਰੱਖਿਆ ਸਮੂਹ ਦੇ ਅਧਾਰ 'ਤੇ ਰਾਜ ਰਹਿਤ ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਵਿਧੀ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ tag IP ਪਤਿਆਂ ਅਤੇ ਫਿਲਟਰਾਂ ਦੀ ਬਜਾਏ ਮੁੱਲ। SGACL ਪਾਲਿਸੀ ਦਾ ਪ੍ਰਬੰਧ ਕਰਨ ਦੇ ਤਿੰਨ ਤਰੀਕੇ ਹਨ:
  • ਸਥਿਰ ਨੀਤੀ ਪ੍ਰਬੰਧ: SGACL ਨੀਤੀਆਂ ਨੂੰ ਉਪਭੋਗਤਾ ਦੁਆਰਾ cts ਰੋਲ-ਅਧਾਰਿਤ ਅਨੁਮਤੀ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਪਰਿਭਾਸ਼ਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।
  • ਗਤੀਸ਼ੀਲ ਨੀਤੀ ਪ੍ਰਬੰਧ: SGACL ਨੀਤੀਆਂ ਦੀ ਕੌਂਫਿਗਰੇਸ਼ਨ ਮੁੱਖ ਤੌਰ 'ਤੇ Cisco Secure ACS ਜਾਂ Cisco Identity Services ਇੰਜਣ ਦੇ ਨੀਤੀ ਪ੍ਰਬੰਧਨ ਫੰਕਸ਼ਨ ਦੁਆਰਾ ਕੀਤੀ ਜਾਣੀ ਚਾਹੀਦੀ ਹੈ।
  • ਪ੍ਰਮਾਣਿਕਤਾ ਦੀ ਤਬਦੀਲੀ (CoA): ਅੱਪਡੇਟ ਕੀਤੀ ਨੀਤੀ ਡਾਊਨਲੋਡ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਜਦੋਂ SGACL ਨੀਤੀ ਨੂੰ ISE 'ਤੇ ਸੋਧਿਆ ਜਾਂਦਾ ਹੈ ਅਤੇ CoA ਨੂੰ Cisco TrustSec ਡਿਵਾਈਸ 'ਤੇ ਪੁਸ਼ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।

    ਡਿਵਾਈਸ ਡਾਟਾ ਪਲੇਨ ਪਾਲਿਸੀ ਪ੍ਰਦਾਤਾ (ISE) ਤੋਂ CoA ਪੈਕੇਟ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ ਅਤੇ CoA ਪੈਕੇਟਾਂ 'ਤੇ ਨੀਤੀ ਨੂੰ ਲਾਗੂ ਕਰਦਾ ਹੈ। ਪੈਕੇਟ ਫਿਰ ਡਿਵਾਈਸ ਕੰਟਰੋਲ ਪਲੇਨ 'ਤੇ ਭੇਜੇ ਜਾਂਦੇ ਹਨ ਜਿੱਥੇ ਆਉਣ ਵਾਲੇ CoA ਪੈਕੇਟਾਂ ਲਈ ਨੀਤੀ ਲਾਗੂ ਕਰਨ ਦਾ ਅਗਲਾ ਪੱਧਰ ਹੁੰਦਾ ਹੈ। ਨੂੰ view ਹਾਰਡਵੇਅਰ ਅਤੇ ਸੌਫਟਵੇਅਰ ਨੀਤੀ ਕਾਊਂਟਰ ਹਿੱਟ ਜਾਣਕਾਰੀ, ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪ੍ਰਾਪਤ EXEC ਮੋਡ ਵਿੱਚ ਸ਼ੋਅ cts ਰੋਲ-ਅਧਾਰਿਤ ਕਾਊਂਟਰ ਕਮਾਂਡ ਚਲਾਓ।

SGACL ਨੀਤੀਆਂ
ਸੁਰੱਖਿਆ ਸਮੂਹ ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਸੂਚੀਆਂ (SGACLs) ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, ਤੁਸੀਂ ਉਹਨਾਂ ਓਪਰੇਸ਼ਨਾਂ ਨੂੰ ਨਿਯੰਤਰਿਤ ਕਰ ਸਕਦੇ ਹੋ ਜੋ ਉਪਭੋਗਤਾ ਉਪਭੋਗਤਾਵਾਂ ਅਤੇ ਮੰਜ਼ਿਲ ਸਰੋਤਾਂ ਦੇ ਸੁਰੱਖਿਆ ਸਮੂਹ ਅਸਾਈਨਮੈਂਟ ਦੇ ਅਧਾਰ ਤੇ ਕਰ ਸਕਦੇ ਹਨ। Cisco TrustSec ਡੋਮੇਨ ਦੇ ਅੰਦਰ ਨੀਤੀ ਲਾਗੂਕਰਨ ਨੂੰ ਅਨੁਮਤੀਆਂ ਮੈਟ੍ਰਿਕਸ ਦੁਆਰਾ ਦਰਸਾਇਆ ਜਾਂਦਾ ਹੈ, ਇੱਕ ਧੁਰੇ 'ਤੇ ਸਰੋਤ ਸੁਰੱਖਿਆ ਸਮੂਹ ਨੰਬਰ ਅਤੇ ਦੂਜੇ ਧੁਰੇ 'ਤੇ ਮੰਜ਼ਿਲ ਸੁਰੱਖਿਆ ਸਮੂਹ ਨੰਬਰ ਹੁੰਦੇ ਹਨ। ਮੈਟ੍ਰਿਕਸ ਦੇ ਮੁੱਖ ਭਾਗ ਵਿੱਚ ਹਰੇਕ ਸੈੱਲ ਵਿੱਚ SGACLs ਦੀ ਇੱਕ ਕ੍ਰਮਬੱਧ ਸੂਚੀ ਹੋ ਸਕਦੀ ਹੈ ਜੋ ਉਹਨਾਂ ਅਨੁਮਤੀਆਂ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ ਜੋ ਸਰੋਤ ਸੁਰੱਖਿਆ ਸਮੂਹ ਤੋਂ ਉਤਪੰਨ ਹੋਣ ਵਾਲੇ ਪੈਕੇਟਾਂ 'ਤੇ ਲਾਗੂ ਹੋਣੀਆਂ ਚਾਹੀਦੀਆਂ ਹਨ ਅਤੇ ਮੰਜ਼ਿਲ ਸੁਰੱਖਿਆ ਸਮੂਹ ਲਈ ਨਿਰਧਾਰਤ ਕੀਤੀਆਂ ਜਾਣੀਆਂ ਚਾਹੀਦੀਆਂ ਹਨ।
ਹੇਠ ਦਿੱਤੀ ਤਸਵੀਰ ਇੱਕ ਸਾਬਕਾ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈampਤਿੰਨ ਪਰਿਭਾਸ਼ਿਤ ਉਪਭੋਗਤਾ ਭੂਮਿਕਾਵਾਂ ਅਤੇ ਇੱਕ ਪਰਿਭਾਸ਼ਿਤ ਮੰਜ਼ਿਲ ਸਰੋਤ ਦੇ ਨਾਲ ਇੱਕ ਸਧਾਰਨ ਡੋਮੇਨ ਲਈ ਇੱਕ Cisco TrustSec ਅਨੁਮਤੀਆਂ ਮੈਟ੍ਰਿਕਸ ਦਾ le. ਤਿੰਨ SGACL ਨੀਤੀਆਂ ਉਪਭੋਗਤਾ ਦੀ ਭੂਮਿਕਾ ਦੇ ਅਧਾਰ 'ਤੇ ਮੰਜ਼ਿਲ ਸਰਵਰ ਤੱਕ ਪਹੁੰਚ ਨੂੰ ਨਿਯੰਤਰਿਤ ਕਰਦੀਆਂ ਹਨ।
ਚਿੱਤਰ 3: SGACL ਨੀਤੀ ਮੈਟ੍ਰਿਕਸ ਸਾਬਕਾample
CISCO Trustsec ਸੁਰੱਖਿਅਤ ਨੈੱਟਵਰਕ ਬਣਾਉਂਦਾ ਹੈ - ਚਿੱਤਰ 3
ਨੈਟਵਰਕ ਦੇ ਅੰਦਰ ਉਪਭੋਗਤਾਵਾਂ ਅਤੇ ਡਿਵਾਈਸਾਂ ਨੂੰ ਸੁਰੱਖਿਆ ਸਮੂਹਾਂ ਨੂੰ ਸੌਂਪਣ ਅਤੇ ਸੁਰੱਖਿਆ ਸਮੂਹਾਂ ਵਿਚਕਾਰ ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਨੂੰ ਲਾਗੂ ਕਰਕੇ, Cisco TrustSec ਨੈੱਟਵਰਕ ਦੇ ਅੰਦਰ ਰੋਲ-ਅਧਾਰਿਤ ਟੋਪੋਲੋਜੀ-ਸੁਤੰਤਰ ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ। ਕਿਉਂਕਿ SGACLs ਪਰੰਪਰਾਗਤ ACLs ਵਾਂਗ IP ਪਤਿਆਂ ਦੀ ਬਜਾਏ ਡਿਵਾਈਸ ਪਛਾਣਾਂ ਦੇ ਆਧਾਰ 'ਤੇ ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਨੀਤੀਆਂ ਨੂੰ ਪਰਿਭਾਸ਼ਿਤ ਕਰਦੇ ਹਨ, ਨੈਟਵਰਕ ਡਿਵਾਈਸਾਂ ਪੂਰੇ ਨੈਟਵਰਕ ਵਿੱਚ ਜਾਣ ਅਤੇ IP ਪਤਿਆਂ ਨੂੰ ਬਦਲਣ ਲਈ ਸੁਤੰਤਰ ਹਨ।
ਜਿੰਨਾ ਚਿਰ ਭੂਮਿਕਾਵਾਂ ਅਤੇ ਅਨੁਮਤੀਆਂ ਇੱਕੋ ਜਿਹੀਆਂ ਰਹਿੰਦੀਆਂ ਹਨ, ਨੈੱਟਵਰਕ ਟੌਪੋਲੋਜੀ ਵਿੱਚ ਤਬਦੀਲੀਆਂ ਸੁਰੱਖਿਆ ਨੀਤੀ ਨੂੰ ਨਹੀਂ ਬਦਲਦੀਆਂ। ਜਦੋਂ ਇੱਕ ਉਪਭੋਗਤਾ ਨੂੰ ਡਿਵਾਈਸ ਵਿੱਚ ਜੋੜਿਆ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਤੁਸੀਂ ਉਪਭੋਗਤਾ ਨੂੰ ਇੱਕ ਢੁਕਵੇਂ ਸੁਰੱਖਿਆ ਸਮੂਹ ਨੂੰ ਸੌਂਪ ਦਿੰਦੇ ਹੋ ਅਤੇ ਉਪਭੋਗਤਾ ਨੂੰ ਤੁਰੰਤ ਉਸ ਸਮੂਹ ਦੀਆਂ ਅਨੁਮਤੀਆਂ ਪ੍ਰਾਪਤ ਹੁੰਦੀਆਂ ਹਨ।
ਨੋਟ ਆਈਕਨSGACL ਨੀਤੀਆਂ ਉਸ ਟ੍ਰੈਫਿਕ 'ਤੇ ਲਾਗੂ ਹੁੰਦੀਆਂ ਹਨ ਜੋ ਦੋ ਹੋਸਟ ਡਿਵਾਈਸਾਂ ਵਿਚਕਾਰ ਉਤਪੰਨ ਹੁੰਦੀਆਂ ਹਨ, ਨਾ ਕਿ ਉਸ ਟ੍ਰੈਫਿਕ 'ਤੇ ਜੋ ਕਿਸੇ ਡਿਵਾਈਸ ਤੋਂ ਅੰਤਮ ਹੋਸਟ ਡਿਵਾਈਸ ਤੱਕ ਉਤਪੰਨ ਹੁੰਦੀਆਂ ਹਨ।
ਭੂਮਿਕਾ-ਅਧਾਰਿਤ ਅਨੁਮਤੀਆਂ ਦੀ ਵਰਤੋਂ ਕਰਨਾ ACLs ਦੇ ਆਕਾਰ ਨੂੰ ਬਹੁਤ ਘਟਾਉਂਦਾ ਹੈ ਅਤੇ ਉਹਨਾਂ ਦੇ ਰੱਖ-ਰਖਾਅ ਨੂੰ ਸਰਲ ਬਣਾਉਂਦਾ ਹੈ। Cisco TrustSec ਦੇ ਨਾਲ, ਸੰਰਚਿਤ ਐਕਸੈਸ ਕੰਟਰੋਲ ਐਂਟਰੀਆਂ (ACEs) ਦੀ ਸੰਖਿਆ ਨਿਰਧਾਰਤ ਅਨੁਮਤੀਆਂ ਦੀ ਸੰਖਿਆ ਦੁਆਰਾ ਨਿਰਧਾਰਤ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਨਤੀਜੇ ਵਜੋਂ ਇੱਕ ਪਰੰਪਰਾਗਤ IP ਨੈੱਟਵਰਕ ਦੇ ਮੁਕਾਬਲੇ ACEs ਦੀ ਗਿਣਤੀ ਬਹੁਤ ਘੱਟ ਹੁੰਦੀ ਹੈ। Cisco TrustSec ਵਿੱਚ SGACLs ਦੀ ਵਰਤੋਂ ਦਾ ਨਤੀਜਾ ਆਮ ਤੌਰ 'ਤੇ ਰਵਾਇਤੀ ACLs ਦੇ ਮੁਕਾਬਲੇ TCAM ਸਰੋਤਾਂ ਦੀ ਵਧੇਰੇ ਕੁਸ਼ਲ ਵਰਤੋਂ ਵਿੱਚ ਹੁੰਦਾ ਹੈ। ਕੈਟਾਲਿਸਟ 17,500 ਸੀਰੀਜ਼ ਸਵਿੱਚਾਂ 'ਤੇ ਅਧਿਕਤਮ 9500 SGACL ਨੀਤੀਆਂ ਸਮਰਥਿਤ ਹਨ। ਕੈਟਾਲਿਸਟ 9500 ਹਾਈ ਪਰਫਾਰਮੈਂਸ ਸੀਰੀਜ਼ ਸਵਿੱਚਾਂ 'ਤੇ, ਅਧਿਕਤਮ 28,224 SGACL ਨੀਤੀਆਂ ਸਮਰਥਿਤ ਹਨ।
ਪ੍ਰਵੇਸ਼ Tagging ਅਤੇ Egress ਇਨਫੋਰਸਮੈਂਟ
Cisco TrustSec ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਪ੍ਰਵੇਸ਼ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਲਾਗੂ ਕੀਤਾ ਗਿਆ ਹੈ tagging ਅਤੇ egress ਲਾਗੂਕਰਨ. Cisco TrustSec ਡੋਮੇਨ ਦੇ ਪ੍ਰਵੇਸ਼ ਪੁਆਇੰਟ 'ਤੇ, ਸਰੋਤ ਤੋਂ ਆਵਾਜਾਈ ਹੈ tagਇੱਕ SGT ਨਾਲ ged ਜਿਸ ਵਿੱਚ ਸਰੋਤ ਇਕਾਈ ਦਾ ਸੁਰੱਖਿਆ ਸਮੂਹ ਨੰਬਰ ਹੁੰਦਾ ਹੈ। SGT ਨੂੰ ਪੂਰੇ ਡੋਮੇਨ ਵਿੱਚ ਆਵਾਜਾਈ ਦੇ ਨਾਲ ਪ੍ਰਚਾਰਿਆ ਜਾਂਦਾ ਹੈ। Cisco TrustSec ਡੋਮੇਨ ਦੇ ਈਗ੍ਰੇਸ ਪੁਆਇੰਟ 'ਤੇ, ਇੱਕ ਈਗ੍ਰੇਸ ਡਿਵਾਈਸ ਸਰੋਤ SGT ਅਤੇ ਮੰਜ਼ਿਲ ਇਕਾਈ (ਮੰਜ਼ਿਲ SG, ਜਾਂ DGT) ਦੇ ਸੁਰੱਖਿਆ ਸਮੂਹ ਨੰਬਰ ਦੀ ਵਰਤੋਂ ਇਹ ਨਿਰਧਾਰਤ ਕਰਨ ਲਈ ਕਰਦੀ ਹੈ ਕਿ SGACL ਪਾਲਿਸੀ ਮੈਟ੍ਰਿਕਸ ਤੋਂ ਕਿਹੜੀ ਪਹੁੰਚ ਨੀਤੀ ਨੂੰ ਲਾਗੂ ਕਰਨਾ ਹੈ।
ਹੇਠਾਂ ਦਿੱਤਾ ਚਿੱਤਰ ਦਿਖਾਉਂਦਾ ਹੈ ਕਿ ਕਿਵੇਂ SGT ਅਸਾਈਨਮੈਂਟ ਅਤੇ SGACL ਇਨਫੋਰਸਮੈਂਟ ਇੱਕ Cisco TrustSec ਡੋਮੇਨ ਵਿੱਚ ਕੰਮ ਕਰਦੇ ਹਨ।
ਚਿੱਤਰ 4: ਇੱਕ Cisco TrustSec ਡੋਮੇਨ ਵਿੱਚ SGT ਅਤੇ SGACL
CISCO Trustsec ਸੁਰੱਖਿਅਤ ਨੈੱਟਵਰਕ ਬਣਾਉਂਦਾ ਹੈ - ਚਿੱਤਰ 4
  1. ਹੋਸਟ ਪੀਸੀ ਨੂੰ ਇੱਕ ਪੈਕੇਟ ਪ੍ਰਸਾਰਿਤ ਕਰਦਾ ਹੈ web ਸਰਵਰ ਹਾਲਾਂਕਿ ਪੀਸੀ ਅਤੇ ਦ web ਸਰਵਰ Cisco TrustSec ਡੋਮੇਨ ਦੇ ਮੈਂਬਰ ਨਹੀਂ ਹਨ, ਪੈਕੇਟ ਦੇ ਡੇਟਾ ਮਾਰਗ ਵਿੱਚ Cisco TrustSec ਡੋਮੇਨ ਸ਼ਾਮਲ ਹੈ।
  2. Cisco TrustSec ਇਨਗਰੇਸ ਡਿਵਾਈਸ ਸੁਰੱਖਿਆ ਗਰੁੱਪ ਨੰਬਰ 3 ਦੇ ਨਾਲ ਇੱਕ SGT ਜੋੜਨ ਲਈ ਪੈਕੇਟ ਨੂੰ ਸੋਧਦਾ ਹੈ, ਹੋਸਟ PC ਲਈ ਪ੍ਰਮਾਣਿਕਤਾ ਸਰਵਰ ਦੁਆਰਾ ਨਿਰਧਾਰਤ ਸੁਰੱਖਿਆ ਗਰੁੱਪ ਨੰਬਰ।
  3. Cisco TrustSec egress ਜੰਤਰ SGACL ਨੀਤੀ ਨੂੰ ਲਾਗੂ ਕਰਦਾ ਹੈ ਜੋ ਸਰੋਤ ਸਮੂਹ 3 ਅਤੇ ਮੰਜ਼ਿਲ ਸਮੂਹ 4 'ਤੇ ਲਾਗੂ ਹੁੰਦਾ ਹੈ, ਸੁਰੱਖਿਆ ਸਮੂਹ ਨੰਬਰ ਜੋ ਪ੍ਰਮਾਣੀਕਰਨ ਸਰਵਰ ਦੁਆਰਾ ਨਿਰਧਾਰਤ ਕੀਤਾ ਗਿਆ ਹੈ। web ਸਰਵਰ
  4. ਜੇਕਰ SGACL ਪੈਕੇਟ ਨੂੰ ਅੱਗੇ ਭੇਜਣ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ, ਤਾਂ Cisco TrustSec egress ਸਵਿੱਚ SGT ਨੂੰ ਹਟਾਉਣ ਲਈ ਪੈਕੇਟ ਨੂੰ ਸੋਧਦਾ ਹੈ ਅਤੇ ਪੈਕੇਟ ਨੂੰ ਅੱਗੇ ਭੇਜਦਾ ਹੈ। web ਸਰਵਰ
ਸਰੋਤ ਸੁਰੱਖਿਆ ਸਮੂਹ ਦਾ ਪਤਾ ਲਗਾਉਣਾ
Cisco TrustSec ਡੋਮੇਨ ਦੇ ਦਾਖਲੇ 'ਤੇ ਇੱਕ ਨੈਟਵਰਕ ਡਿਵਾਈਸ ਨੂੰ Cisco TrustSec ਡੋਮੇਨ ਵਿੱਚ ਦਾਖਲ ਹੋਣ ਵਾਲੇ ਪੈਕੇਟ ਦਾ SGT ਨਿਰਧਾਰਤ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ ਤਾਂ ਜੋ ਇਹ tag ਉਸ SGT ਵਾਲਾ ਪੈਕੇਟ ਜਦੋਂ ਇਹ ਇਸਨੂੰ Cisco TrustSec ਡੋਮੇਨ ਵਿੱਚ ਅੱਗੇ ਭੇਜਦਾ ਹੈ। ਐਸਜੀਏਸੀਐਲ ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਈਗ੍ਰੇਸ ਨੈਟਵਰਕ ਡਿਵਾਈਸ ਨੂੰ ਪੈਕੇਟ ਦਾ SGT ਨਿਰਧਾਰਤ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ।
ਨੈੱਟਵਰਕ ਡਿਵਾਈਸ ਹੇਠਾਂ ਦਿੱਤੇ ਤਰੀਕਿਆਂ ਵਿੱਚੋਂ ਇੱਕ ਵਿੱਚ ਇੱਕ ਪੈਕੇਟ ਲਈ SGT ਨਿਰਧਾਰਤ ਕਰ ਸਕਦੀ ਹੈ:
  • ਪਾਲਿਸੀ ਪ੍ਰਾਪਤੀ ਦੌਰਾਨ ਸ੍ਰੋਤ SGT ਪ੍ਰਾਪਤ ਕਰੋ—Cisco TrustSec ਪ੍ਰਮਾਣੀਕਰਨ ਪੜਾਅ ਤੋਂ ਬਾਅਦ, ਇੱਕ ਨੈੱਟਵਰਕ ਡਿਵਾਈਸ ਪ੍ਰਮਾਣੀਕਰਨ ਸਰਵਰ ਤੋਂ ਨੀਤੀ ਜਾਣਕਾਰੀ ਪ੍ਰਾਪਤ ਕਰਦੀ ਹੈ, ਜੋ ਇਹ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ ਪੀਅਰ ਡਿਵਾਈਸ ਭਰੋਸੇਯੋਗ ਹੈ ਜਾਂ ਨਹੀਂ। ਜੇਕਰ ਇੱਕ ਪੀਅਰ ਡਿਵਾਈਸ ਭਰੋਸੇਯੋਗ ਨਹੀਂ ਹੈ, ਤਾਂ ਪ੍ਰਮਾਣਿਕਤਾ ਸਰਵਰ ਪੀਅਰ ਡਿਵਾਈਸ ਤੋਂ ਆਉਣ ਵਾਲੇ ਸਾਰੇ ਪੈਕੇਟਾਂ 'ਤੇ ਲਾਗੂ ਕਰਨ ਲਈ ਇੱਕ SGT ਵੀ ਪ੍ਰਦਾਨ ਕਰ ਸਕਦਾ ਹੈ।
  • ਪੈਕੇਟ ਤੋਂ ਸ੍ਰੋਤ SGT ਪ੍ਰਾਪਤ ਕਰੋ—ਜੇਕਰ ਇੱਕ ਪੈਕੇਟ ਇੱਕ ਭਰੋਸੇਯੋਗ ਪੀਅਰ ਡਿਵਾਈਸ ਤੋਂ ਆਉਂਦਾ ਹੈ, ਤਾਂ ਪੈਕੇਟ ਵਿੱਚ SGT ਹੁੰਦਾ ਹੈ। ਇਹ ਇੱਕ ਨੈਟਵਰਕ ਡਿਵਾਈਸ ਤੇ ਲਾਗੂ ਹੁੰਦਾ ਹੈ ਜੋ ਕਿ ਪੈਕਟ ਲਈ Cisco TrustSec ਡੋਮੇਨ ਵਿੱਚ ਪਹਿਲਾ ਨੈਟਵਰਕ ਡਿਵਾਈਸ ਨਹੀਂ ਹੈ।
  • ਸਰੋਤ ਪਛਾਣ ਦੇ ਆਧਾਰ 'ਤੇ ਸਰੋਤ SGT ਨੂੰ ਦੇਖੋ—ਪਛਾਣ ਪੋਰਟ ਮੈਪਿੰਗ (IPM) ਦੇ ਨਾਲ, ਤੁਸੀਂ ਕਨੈਕਟ ਕੀਤੇ ਪੀਅਰ ਦੀ ਪਛਾਣ ਦੇ ਨਾਲ ਲਿੰਕ ਨੂੰ ਹੱਥੀਂ ਕੌਂਫਿਗਰ ਕਰ ਸਕਦੇ ਹੋ। ਨੈੱਟਵਰਕ ਡਿਵਾਈਸ ਪ੍ਰਮਾਣੀਕਰਨ ਸਰਵਰ ਤੋਂ SGT ਅਤੇ ਟਰੱਸਟ ਸਟੇਟ ਸਮੇਤ ਨੀਤੀ ਜਾਣਕਾਰੀ ਦੀ ਬੇਨਤੀ ਕਰਦੀ ਹੈ।
  • ਸਰੋਤ IP ਪਤੇ ਦੇ ਆਧਾਰ 'ਤੇ ਸਰੋਤ SGT ਨੂੰ ਦੇਖੋ—ਕੁਝ ਮਾਮਲਿਆਂ ਵਿੱਚ, ਤੁਸੀਂ ਇੱਕ ਪੈਕੇਟ ਦੇ SGT ਨੂੰ ਇਸਦੇ ਸਰੋਤ IP ਪਤੇ ਦੇ ਆਧਾਰ 'ਤੇ ਤੈਅ ਕਰਨ ਲਈ ਨੀਤੀ ਨੂੰ ਹੱਥੀਂ ਕੌਂਫਿਗਰ ਕਰ ਸਕਦੇ ਹੋ। SGT ਐਕਸਚੇਂਜ ਪ੍ਰੋਟੋਕੋਲ (SXP) IP-ਐਡਰੈੱਸ-ਟੂ-SGT ਮੈਪਿੰਗ ਟੇਬਲ ਨੂੰ ਵੀ ਤਿਆਰ ਕਰ ਸਕਦਾ ਹੈ।
ਟਿਕਾਣਾ ਸੁਰੱਖਿਆ ਸਮੂਹ ਨਿਰਧਾਰਤ ਕਰਨਾ
ਇੱਕ Cisco TrustSec ਡੋਮੇਨ ਵਿੱਚ egress ਨੈੱਟਵਰਕ ਜੰਤਰ SGACL ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਮੰਜ਼ਿਲ ਸਮੂਹ (DGT) ਨਿਰਧਾਰਤ ਕਰਦਾ ਹੈ। ਨੈੱਟਵਰਕ ਜੰਤਰ ਪੈਕਟ ਤੋਂ ਗਰੁੱਪ ਨੰਬਰ ਪ੍ਰਾਪਤ ਕਰਨ ਦੇ ਅਪਵਾਦ ਦੇ ਨਾਲ, ਸਰੋਤ ਸੁਰੱਖਿਆ ਸਮੂਹ ਨੂੰ ਨਿਰਧਾਰਤ ਕਰਨ ਲਈ ਵਰਤੇ ਜਾਂਦੇ ਤਰੀਕਿਆਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਪੈਕੇਟ ਲਈ ਮੰਜ਼ਿਲ ਸੁਰੱਖਿਆ ਸਮੂਹ ਨੂੰ ਨਿਰਧਾਰਤ ਕਰਦਾ ਹੈ। tag. ਮੰਜ਼ਿਲ ਸੁਰੱਖਿਆ ਸਮੂਹ ਨੰਬਰ ਇੱਕ ਪੈਕੇਟ ਵਿੱਚ ਸ਼ਾਮਲ ਨਹੀਂ ਹੈ tag.
ਕੁਝ ਮਾਮਲਿਆਂ ਵਿੱਚ, ਪ੍ਰਵੇਸ਼ ਜੰਤਰ ਜਾਂ ਹੋਰ ਗੈਰ-ਨਿਕਾਸ ਯੰਤਰਾਂ ਵਿੱਚ ਮੰਜ਼ਿਲ ਸਮੂਹ ਜਾਣਕਾਰੀ ਉਪਲਬਧ ਹੋ ਸਕਦੀ ਹੈ। ਉਹਨਾਂ ਮਾਮਲਿਆਂ ਵਿੱਚ, SGACLs ਨੂੰ ਬਾਹਰ ਕੱਢਣ ਵਾਲੇ ਯੰਤਰਾਂ ਦੀ ਬਜਾਏ ਇਹਨਾਂ ਡਿਵਾਈਸਾਂ ਵਿੱਚ ਲਾਗੂ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ।
ਰੂਟਡ ਅਤੇ ਸਵਿੱਚਡ ਟ੍ਰੈਫਿਕ 'ਤੇ SGACL ਇਨਫੋਰਸਮੈਂਟ
SGACL ਇਨਫੋਰਸਮੈਂਟ ਸਿਰਫ਼ IP ਟ੍ਰੈਫਿਕ 'ਤੇ ਲਾਗੂ ਹੁੰਦਾ ਹੈ, ਪਰ ਇਨਫੋਰਸਮੈਂਟ ਜਾਂ ਤਾਂ ਰੂਟ ਕੀਤੇ ਜਾਂ ਸਵਿਚ ਕੀਤੇ ਟ੍ਰੈਫਿਕ 'ਤੇ ਲਾਗੂ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ।
ਰੂਟ ਕੀਤੇ ਟ੍ਰੈਫਿਕ ਲਈ, ਐਸਜੀਏਸੀਐਲ ਇਨਫੋਰਸਮੈਂਟ ਇੱਕ ਈਗ੍ਰੇਸ ਸਵਿੱਚ ਦੁਆਰਾ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਖਾਸ ਤੌਰ 'ਤੇ ਇੱਕ ਡਿਸਟ੍ਰੀਬਿਊਸ਼ਨ ਸਵਿੱਚ ਜਾਂ ਇੱਕ ਐਕਸੈਸ ਸਵਿੱਚ, ਇੱਕ ਰੂਟਡ ਪੋਰਟ ਦੇ ਨਾਲ ਮੰਜ਼ਿਲ ਹੋਸਟ ਨਾਲ ਜੁੜਦਾ ਹੈ। ਜਦੋਂ ਤੁਸੀਂ ਵਿਸ਼ਵ ਪੱਧਰ 'ਤੇ SGACL ਇਨਫੋਰਸਮੈਂਟ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦੇ ਹੋ, ਤਾਂ SVI ਇੰਟਰਫੇਸ ਨੂੰ ਛੱਡ ਕੇ ਹਰੇਕ ਲੇਅਰ 3 ਇੰਟਰਫੇਸ 'ਤੇ ਇਨਫੋਰਸਮੈਂਟ ਆਪਣੇ ਆਪ ਹੀ ਸਮਰੱਥ ਹੋ ਜਾਂਦੀ ਹੈ।
ਸਵਿੱਚ ਕੀਤੇ ਟ੍ਰੈਫਿਕ ਲਈ, SGACL ਇਨਫੋਰਸਮੈਂਟ ਬਿਨਾਂ ਕਿਸੇ ਰੂਟਿੰਗ ਫੰਕਸ਼ਨ ਦੇ ਇੱਕ ਸਿੰਗਲ ਸਵਿਚਿੰਗ ਡੋਮੇਨ ਦੇ ਅੰਦਰ ਵਹਿ ਰਹੇ ਟ੍ਰੈਫਿਕ 'ਤੇ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਇੱਕ ਸਾਬਕਾampਦੋ ਸਿੱਧੇ ਜੁੜੇ ਸਰਵਰਾਂ ਵਿਚਕਾਰ ਸਰਵਰ-ਟੂ-ਸਰਵਰ ਟ੍ਰੈਫਿਕ 'ਤੇ ਡਾਟਾ ਸੈਂਟਰ ਐਕਸੈਸ ਸਵਿੱਚ ਦੁਆਰਾ SGACL ਲਾਗੂ ਕੀਤਾ ਜਾਵੇਗਾ। ਇਸ ਵਿੱਚ ਸਾਬਕਾampਇਸ ਲਈ, ਸਰਵਰ-ਟੂ-ਸਰਵਰ ਟ੍ਰੈਫਿਕ ਆਮ ਤੌਰ 'ਤੇ ਬਦਲਿਆ ਜਾਵੇਗਾ। SGACL ਇਨਫੋਰਸਮੈਂਟ ਨੂੰ VLAN ਦੇ ਅੰਦਰ ਸਵਿਚ ਕੀਤੇ ਪੈਕੇਟਾਂ 'ਤੇ ਲਾਗੂ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ ਜਾਂ VLAN ਨਾਲ ਸਬੰਧਿਤ SVI ਨੂੰ ਅੱਗੇ ਭੇਜਿਆ ਜਾ ਸਕਦਾ ਹੈ, ਪਰ ਹਰੇਕ VLAN ਲਈ ਲਾਗੂ ਕਰਨਾ ਸਪੱਸ਼ਟ ਤੌਰ 'ਤੇ ਸਮਰੱਥ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ।
SGACL ਲੌਗਿੰਗ ਅਤੇ ACE ਅੰਕੜੇ
ਜਦੋਂ SGACL ਵਿੱਚ ਲੌਗਿੰਗ ਸਮਰੱਥ ਹੁੰਦੀ ਹੈ, ਤਾਂ ਡਿਵਾਈਸ ਹੇਠ ਦਿੱਤੀ ਜਾਣਕਾਰੀ ਨੂੰ ਲੌਗ ਕਰਦੀ ਹੈ:
  • ਸਰੋਤ ਸੁਰੱਖਿਆ ਸਮੂਹ tag (SGT) ਅਤੇ ਮੰਜ਼ਿਲ SGT
  • SGACL ਨੀਤੀ ਦਾ ਨਾਮ
  • ਪੈਕੇਟ ਪ੍ਰੋਟੋਕੋਲ ਦੀ ਕਿਸਮ
  • ਪੈਕੇਟ 'ਤੇ ਕੀਤੀ ਗਈ ਕਾਰਵਾਈ
ਲੌਗ ਵਿਕਲਪ ਵਿਅਕਤੀਗਤ ACEs 'ਤੇ ਲਾਗੂ ਹੁੰਦਾ ਹੈ ਅਤੇ ACE ਨਾਲ ਮੇਲ ਖਾਂਦੇ ਪੈਕੇਟਾਂ ਨੂੰ ਲੌਗ ਕਰਨ ਦਾ ਕਾਰਨ ਬਣਦਾ ਹੈ। ਲੌਗ ਕੀਵਰਡ ਦੁਆਰਾ ਲੌਗ ਕੀਤਾ ਗਿਆ ਪਹਿਲਾ ਪੈਕੇਟ ਇੱਕ syslog ਸੁਨੇਹਾ ਬਣਾਉਂਦਾ ਹੈ। ਬਾਅਦ ਦੇ ਲੌਗ ਸੁਨੇਹੇ ਤਿਆਰ ਕੀਤੇ ਜਾਂਦੇ ਹਨ ਅਤੇ ਪੰਜ-ਮਿੰਟ ਦੇ ਅੰਤਰਾਲਾਂ 'ਤੇ ਰਿਪੋਰਟ ਕੀਤੇ ਜਾਂਦੇ ਹਨ। ਜੇਕਰ ਲੌਗਿੰਗ-ਸਮਰਥਿਤ ACE ਕਿਸੇ ਹੋਰ ਪੈਕੇਟ ਨਾਲ ਮੇਲ ਖਾਂਦਾ ਹੈ (ਪੈਕਟ ਦੇ ਸਮਾਨ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦੇ ਨਾਲ ਜੋ ਲੌਗ ਸੁਨੇਹਾ ਤਿਆਰ ਕਰਦਾ ਹੈ), ਮੇਲ ਖਾਂਦੇ ਪੈਕੇਟਾਂ ਦੀ ਗਿਣਤੀ ਵਧਾਈ ਜਾਂਦੀ ਹੈ (ਕਾਊਂਟਰ) ਅਤੇ ਫਿਰ ਰਿਪੋਰਟ ਕੀਤੀ ਜਾਂਦੀ ਹੈ।
ਲੌਗਿੰਗ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਣ ਲਈ, SGACL ਸੰਰਚਨਾ ਵਿੱਚ ACE ਪਰਿਭਾਸ਼ਾ ਦੇ ਸਾਹਮਣੇ ਲੌਗ ਕੀਵਰਡ ਦੀ ਵਰਤੋਂ ਕਰੋ। ਸਾਬਕਾ ਲਈample, ਪਰਮਿਟ ਆਈਪੀ ਲਾਗ.
ਜਦੋਂ SGACL ਲੌਗਿੰਗ ਸਮਰੱਥ ਹੁੰਦੀ ਹੈ, ਤਾਂ ਡਿਵਾਈਸ ਤੋਂ ਕਲਾਇੰਟ ਨੂੰ ICMP ਬੇਨਤੀ ਸੁਨੇਹੇ ਇਸ ਲਈ ਲੌਗ ਨਹੀਂ ਕੀਤੇ ਜਾਂਦੇ ਹਨ
IPv4 ਅਤੇ IPv6 ਪ੍ਰੋਟੋਕੋਲ। ਹਾਲਾਂਕਿ; ਕਲਾਇੰਟ ਤੋਂ ਡਿਵਾਈਸ ਨੂੰ ICMP ਜਵਾਬ ਸੁਨੇਹੇ ਲੌਗ ਕੀਤੇ ਗਏ ਹਨ।
ਹੇਠ ਲਿਖੇ ਅਨੁਸਾਰ ਹੈample log, ਸਰੋਤ ਅਤੇ ਮੰਜ਼ਿਲ SGTs ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਨਾ, ACE ਮੈਚ (ਪਰਮਿਟ ਜਾਂ ਅਸਵੀਕਾਰ ਕਾਰਵਾਈ ਲਈ), ਅਤੇ ਪ੍ਰੋਟੋਕੋਲ, ਯਾਨੀ TCP, UDP, IGMP, ਅਤੇ ICMP ਜਾਣਕਾਰੀ:
*2 ਜੂਨ 08:58:06.489: %C4K_IOSINTF-6-SGACLHIT: ਸੂਚੀ deny_udp_src_port_log-30 ਨਾਮਨਜ਼ੂਰ udp 24.0.0.23(100) -> 28.0.0.91(100), SGT8G12
ਮੌਜੂਦਾ 'ਪ੍ਰਤੀ ਸੈੱਲ' SGACL ਅੰਕੜਿਆਂ ਤੋਂ ਇਲਾਵਾ, ਜੋ ਕਿ ਸ਼ੋਅ cts ਰੋਲ-ਅਧਾਰਿਤ ਵਰਤ ਕੇ ਪ੍ਰਦਰਸ਼ਿਤ ਕੀਤੇ ਜਾ ਸਕਦੇ ਹਨ।
counters ਕਮਾਂਡ, ਤੁਸੀਂ show ip access-list sgacl_name ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਰਕੇ, ACE ਅੰਕੜੇ ਵੀ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰ ਸਕਦੇ ਹੋ। ਇਸਦੇ ਲਈ ਕੋਈ ਵਾਧੂ ਸੰਰਚਨਾ ਦੀ ਲੋੜ ਨਹੀਂ ਹੈ।
ਹੇਠ ਦਿੱਤੇ ਸਾਬਕਾample ਦਿਖਾਉਂਦਾ ਹੈ ਕਿ ਤੁਸੀਂ ACE ਗਿਣਤੀ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਨ ਲਈ show ip access-list ਕਮਾਂਡ ਦੀ ਵਰਤੋਂ ਕਿਵੇਂ ਕਰ ਸਕਦੇ ਹੋ
ਡਿਵਾਈਸ# ip ਐਕਸੈਸ-ਕੰਟਰੋਲ deny_udp_src_port_log-30 ਦਿਖਾਓ
ਰੋਲ-ਅਧਾਰਿਤ IP ਪਹੁੰਚ ਸੂਚੀ deny_udp_src_port_log-30 (ਡਾਊਨਲੋਡ ਕੀਤੀ ਗਈ)
10 ਇਨਕਾਰ udp src eq 100 ਲੌਗ (283 ਮੈਚ)
20 ਪਰਮਿਟ ਆਈਪੀ ਲੌਗ (50 ਮੈਚ)
ਨੋਟ ਆਈਕਨਜਦੋਂ ਆਉਣ ਵਾਲਾ ਟ੍ਰੈਫਿਕ ਸੈੱਲ ਨਾਲ ਮੇਲ ਖਾਂਦਾ ਹੈ, ਪਰ ਸੈੱਲ ਦੇ SGACL ਨਾਲ ਮੇਲ ਨਹੀਂ ਖਾਂਦਾ, ਤਾਂ ਟ੍ਰੈਫਿਕ ਦੀ ਇਜਾਜ਼ਤ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ ਅਤੇ ਸੈੱਲ ਲਈ HW-ਪਰਮਿਟ ਵਿੱਚ ਕਾਊਂਟਰਾਂ ਨੂੰ ਵਧਾਇਆ ਜਾਂਦਾ ਹੈ।
ਹੇਠ ਦਿੱਤੇ ਸਾਬਕਾample ਦਿਖਾਉਂਦਾ ਹੈ ਕਿ ਸੈੱਲ ਦਾ SGACL ਕਿਵੇਂ ਕੰਮ ਕਰਦਾ ਹੈ:
SGACL ਪਾਲਿਸੀ 5 ਤੋਂ 18 ਤੱਕ “Dny icmp echo” ਨਾਲ ਕੌਂਫਿਗਰ ਕੀਤੀ ਗਈ ਹੈ ਅਤੇ TCP ਸਿਰਲੇਖ ਦੇ ਨਾਲ 5 ਤੋਂ 18 ਤੱਕ ਆਉਣ ਵਾਲਾ ਟ੍ਰੈਫਿਕ ਹੈ। ਜੇਕਰ ਸੈੱਲ 5 ਤੋਂ 18 ਤੱਕ ਮੇਲ ਖਾਂਦਾ ਹੈ ਪਰ ਟ੍ਰੈਫਿਕ icmp ਨਾਲ ਮੇਲ ਨਹੀਂ ਖਾਂਦਾ, ਤਾਂ ਟ੍ਰੈਫਿਕ ਦੀ ਇਜਾਜ਼ਤ ਦਿੱਤੀ ਜਾਵੇਗੀ ਅਤੇ ਸੈੱਲ 5 ਤੋਂ 18 ਦੇ HW-ਪਰਮਿਟ ਕਾਊਂਟਰ ਨੂੰ ਵਧਾਇਆ ਜਾਵੇਗਾ।
CISCO Trustsec Builds Secure Network - SGACL ਪਾਲਿਸੀ ਨੂੰ 5 ਤੋਂ 18 ਤੱਕ ਕਨਫਿਗਰ ਕੀਤਾ ਗਿਆ ਹੈ ਜਿਸ ਵਿੱਚ “nen icmp echo
VRF-ਜਾਣੂ SGACL ਲੌਗਿੰਗ
SGACL ਸਿਸਟਮ ਲੌਗਸ ਵਿੱਚ VRF ਜਾਣਕਾਰੀ ਸ਼ਾਮਲ ਹੋਵੇਗੀ। ਵਰਤਮਾਨ ਵਿੱਚ ਲੌਗ ਕੀਤੇ ਖੇਤਰਾਂ ਤੋਂ ਇਲਾਵਾ, ਲੌਗਿੰਗ ਜਾਣਕਾਰੀ ਵਿੱਚ VRF ਨਾਮ ਸ਼ਾਮਲ ਹੋਵੇਗਾ। ਅੱਪਡੇਟ ਕੀਤੀ ਲੌਗਿੰਗ ਜਾਣਕਾਰੀ ਹੇਠਾਂ ਦਰਸਾਏ ਅਨੁਸਾਰ ਹੋਵੇਗੀ:
*ਨਵੰਬਰ 15 02:18:52.187: %RBM-6-SGACLHIT_V6: ingress_interface='GigabitEthernet1/0/15′ sgacl_name='IPV6_TCP_DENY' ਐਕਸ਼ਨ='Deny' ਪ੍ਰੋਟੋਕੋਲ='tcps-VrcTS-VRCS=' -ip='25::2′ src-port='20'
dest-vrf='CTS-VRF' dest-ip='49::2′ dest-port='30' sgt='200′ dgt='500′ logging_interval_hits='1′
SGACL ਮਾਨੀਟਰ ਮੋਡ
Cisco TrustSec ਦੇ ਪ੍ਰੀ-ਡਿਪਲਾਇਮੈਂਟ ਪੜਾਅ ਦੇ ਦੌਰਾਨ, ਇੱਕ ਪ੍ਰਸ਼ਾਸਕ ਸੁਰੱਖਿਆ ਨੀਤੀਆਂ ਦੀ ਜਾਂਚ ਕਰਨ ਲਈ ਮਾਨੀਟਰ ਮੋਡ ਦੀ ਵਰਤੋਂ ਕਰੇਗਾ, ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਕਿ ਨੀਤੀਆਂ ਇਰਾਦੇ ਅਨੁਸਾਰ ਕੰਮ ਕਰਦੀਆਂ ਹਨ। ਜੇਕਰ ਸੁਰੱਖਿਆ ਨੀਤੀਆਂ ਇਰਾਦੇ ਅਨੁਸਾਰ ਕੰਮ ਨਹੀਂ ਕਰਦੀਆਂ ਹਨ, ਤਾਂ ਮਾਨੀਟਰ ਮੋਡ ਇਸਦੀ ਪਛਾਣ ਕਰਨ ਲਈ ਇੱਕ ਸੁਵਿਧਾਜਨਕ ਵਿਧੀ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ ਅਤੇ SGACL ਲਾਗੂ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਨੀਤੀ ਨੂੰ ਠੀਕ ਕਰਨ ਦਾ ਮੌਕਾ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਇਹ ਪ੍ਰਸ਼ਾਸਕਾਂ ਨੂੰ ਨੀਤੀਗਤ ਕਾਰਵਾਈਆਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਉਹਨਾਂ ਦੇ ਨਤੀਜਿਆਂ ਦੀ ਦਿੱਖ ਨੂੰ ਵਧਾਉਣ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ, ਅਤੇ ਪੁਸ਼ਟੀ ਕਰਦਾ ਹੈ ਕਿ ਵਿਸ਼ਾ ਨੀਤੀ ਸੁਰੱਖਿਆ ਲੋੜਾਂ ਨੂੰ ਪੂਰਾ ਕਰਦੀ ਹੈ (ਸੰਸਾਧਨਾਂ ਤੱਕ ਪਹੁੰਚ ਤੋਂ ਇਨਕਾਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਜੇਕਰ ਉਪਭੋਗਤਾ ਨਹੀਂ ਹਨ
ਅਧਿਕਾਰਤ)
ਨਿਗਰਾਨੀ ਸਮਰੱਥਾ SGT-DGT ਜੋੜਾ ਪੱਧਰ 'ਤੇ ਪ੍ਰਦਾਨ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਜਦੋਂ ਤੁਸੀਂ SGACL ਨਿਗਰਾਨੀ ਮੋਡ ਵਿਸ਼ੇਸ਼ਤਾ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦੇ ਹੋ, ਤਾਂ ਇਨਕਾਰ ਕਰਨ ਵਾਲੀ ਕਾਰਵਾਈ ਲਾਈਨ ਕਾਰਡਾਂ 'ਤੇ ACL ਪਰਮਿਟ ਵਜੋਂ ਲਾਗੂ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਇਹ SGACL ਕਾਊਂਟਰਾਂ ਅਤੇ ਲੌਗਿੰਗ ਨੂੰ ਇਹ ਦਿਖਾਉਣ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ ਕਿ SGACL ਨੀਤੀ ਦੁਆਰਾ ਕਨੈਕਸ਼ਨਾਂ ਨੂੰ ਕਿਵੇਂ ਸੰਭਾਲਿਆ ਜਾਂਦਾ ਹੈ। ਕਿਉਂਕਿ ਸਾਰੇ ਨਿਰੀਖਣ ਕੀਤੇ ਟ੍ਰੈਫਿਕ ਦੀ ਆਗਿਆ ਹੈ, SGACL ਮਾਨੀਟਰ ਮੋਡ ਵਿੱਚ ਹੋਣ ਦੌਰਾਨ SGACLs ਕਾਰਨ ਸੇਵਾ ਵਿੱਚ ਕੋਈ ਵਿਘਨ ਨਹੀਂ ਪੈਂਦਾ ਹੈ।
ਅਧਿਕਾਰ ਅਤੇ ਨੀਤੀ ਪ੍ਰਾਪਤੀ
ਡਿਵਾਈਸ ਪ੍ਰਮਾਣਿਕਤਾ ਖਤਮ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਬੇਨਤੀਕਰਤਾ ਅਤੇ ਪ੍ਰਮਾਣਕ ਦੋਵੇਂ ਪ੍ਰਮਾਣਿਕਤਾ ਸਰਵਰ ਤੋਂ ਸੁਰੱਖਿਆ ਨੀਤੀ ਪ੍ਰਾਪਤ ਕਰਦੇ ਹਨ। ਦੋ ਸਾਥੀ ਫਿਰ ਲਿੰਕ ਪ੍ਰਮਾਣੀਕਰਨ ਕਰਦੇ ਹਨ ਅਤੇ ਉਹਨਾਂ ਦੇ Cisco TrustSec ਡਿਵਾਈਸ IDs ਦੇ ਅਧਾਰ ਤੇ ਇੱਕ ਦੂਜੇ ਦੇ ਵਿਰੁੱਧ ਲਿੰਕ ਸੁਰੱਖਿਆ ਨੀਤੀ ਨੂੰ ਲਾਗੂ ਕਰਦੇ ਹਨ। ਲਿੰਕ ਪ੍ਰਮਾਣਿਕਤਾ ਵਿਧੀ ਨੂੰ ਜਾਂ ਤਾਂ 802.1X ਜਾਂ ਮੈਨੂਅਲ ਪ੍ਰਮਾਣਿਕਤਾ ਵਜੋਂ ਸੰਰਚਿਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ। ਜੇਕਰ ਲਿੰਕ ਸੁਰੱਖਿਆ 802.1X ਹੈ, ਤਾਂ ਹਰੇਕ ਪੀਅਰ ਪ੍ਰਮਾਣੀਕਰਨ ਸਰਵਰ ਤੋਂ ਪ੍ਰਾਪਤ ਇੱਕ ਡਿਵਾਈਸ ID ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਜੇਕਰ ਲਿੰਕ ਸੁਰੱਖਿਆ ਮੈਨੁਅਲ ਹੈ, ਤਾਂ ਤੁਹਾਨੂੰ ਪੀਅਰ ਡਿਵਾਈਸ ਆਈ.ਡੀ. ਨੂੰ ਨਿਰਧਾਰਤ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ।
ਪ੍ਰਮਾਣਿਕਤਾ ਸਰਵਰ ਹੇਠ ਲਿਖੀਆਂ ਨੀਤੀ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਨੂੰ ਵਾਪਸ ਕਰਦਾ ਹੈ:
  • Cisco TrustSec ਟਰੱਸਟ — ਇਹ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ ਕੀ ਪੀਅਰ ਡਿਵਾਈਸ ਨੂੰ ਪੈਕੇਟਾਂ ਵਿੱਚ SGT ਪਾਉਣ ਦੇ ਉਦੇਸ਼ ਲਈ ਭਰੋਸੇਯੋਗ ਕੀਤਾ ਜਾਣਾ ਹੈ।
  • ਪੀਅਰ ਐਸਜੀਟੀ—ਸੁਰੱਖਿਆ ਸਮੂਹ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ ਜਿਸ ਨਾਲ ਪੀਅਰ ਸਬੰਧਤ ਹੈ। ਜੇ ਪੀਅਰ ਭਰੋਸੇਯੋਗ ਨਹੀਂ ਹੈ, ਤਾਂ ਪੀਅਰ ਤੋਂ ਪ੍ਰਾਪਤ ਕੀਤੇ ਸਾਰੇ ਪੈਕੇਟ ਹਨ tagਇਸ SGT ਨਾਲ ged. ਜੇਕਰ ਡਿਵਾਈਸ ਇਹ ਨਹੀਂ ਜਾਣਦੀ ਹੈ ਕਿ ਕੀ ਕੋਈ SGACLs ਪੀਅਰ ਦੇ SGT ਨਾਲ ਜੁੜੇ ਹੋਏ ਹਨ, ਤਾਂ ਡਿਵਾਈਸ SGACLs ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਪ੍ਰਮਾਣੀਕਰਨ ਸਰਵਰ ਨੂੰ ਇੱਕ ਫਾਲੋ-ਅੱਪ ਬੇਨਤੀ ਭੇਜ ਸਕਦੀ ਹੈ।
  • ਅਧਿਕਾਰ ਦੀ ਮਿਆਦ ਪੁੱਗਣ ਦਾ ਸਮਾਂ—ਪਾਲਿਸੀ ਦੀ ਮਿਆਦ ਪੁੱਗਣ ਤੋਂ ਪਹਿਲਾਂ ਸਕਿੰਟਾਂ ਦੀ ਸੰਖਿਆ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ। ਇੱਕ Cisco TrustSec ਡਿਵਾਈਸ ਨੂੰ ਸਮਾਂ ਖਤਮ ਹੋਣ ਤੋਂ ਪਹਿਲਾਂ ਆਪਣੀ ਨੀਤੀ ਅਤੇ ਅਧਿਕਾਰ ਨੂੰ ਤਾਜ਼ਾ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ। ਡਿਵਾਈਸ ਪ੍ਰਮਾਣੀਕਰਨ ਅਤੇ ਪਾਲਿਸੀ ਡੇਟਾ ਨੂੰ ਕੈਸ਼ ਕਰ ਸਕਦੀ ਹੈ ਅਤੇ ਜੇਕਰ ਡੇਟਾ ਦੀ ਮਿਆਦ ਖਤਮ ਨਹੀਂ ਹੋਈ ਹੈ ਤਾਂ ਰੀਬੂਟ ਕਰਨ ਤੋਂ ਬਾਅਦ ਇਸਦੀ ਮੁੜ ਵਰਤੋਂ ਕਰ ਸਕਦੀ ਹੈ।
ਨੋਟ ਆਈਕਨ ਹਰੇਕ Cisco TrustSec ਡਿਵਾਈਸ ਨੂੰ ਕੁਝ ਘੱਟੋ-ਘੱਟ ਡਿਫੌਲਟ ਪਹੁੰਚ ਨੀਤੀ ਦਾ ਸਮਰਥਨ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ ਜੇਕਰ ਇਹ ਪੀਅਰ ਲਈ ਇੱਕ ਉਚਿਤ ਨੀਤੀ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਪ੍ਰਮਾਣੀਕਰਨ ਸਰਵਰ ਨਾਲ ਸੰਪਰਕ ਕਰਨ ਦੇ ਯੋਗ ਨਹੀਂ ਹੈ।
NDAC ਅਤੇ SAP ਗੱਲਬਾਤ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਹੇਠਾਂ ਦਿੱਤੇ ਚਿੱਤਰ ਵਿੱਚ ਦਿਖਾਇਆ ਗਿਆ ਹੈ
ਚਿੱਤਰ 5: NDAC ਅਤੇ SAP ਗੱਲਬਾਤ
CISCO Trustsec ਸੁਰੱਖਿਅਤ ਨੈੱਟਵਰਕ ਬਣਾਉਂਦਾ ਹੈ - ਚਿੱਤਰ 5
ਵਾਤਾਵਰਨ ਡਾਟਾ ਡਾਊਨਲੋਡ ਕਰੋ
Cisco TrustSec ਵਾਤਾਵਰਣ ਡੇਟਾ ਜਾਣਕਾਰੀ ਜਾਂ ਨੀਤੀਆਂ ਦਾ ਇੱਕ ਸੰਗ੍ਰਹਿ ਹੈ ਜੋ ਇੱਕ ਡਿਵਾਈਸ ਨੂੰ Cisco TrustSec ਨੋਡ ਵਜੋਂ ਕੰਮ ਕਰਨ ਵਿੱਚ ਸਹਾਇਤਾ ਕਰਦਾ ਹੈ। ਜਦੋਂ ਡਿਵਾਈਸ ਪਹਿਲੀ ਵਾਰ Cisco TrustSec ਡੋਮੇਨ ਨਾਲ ਜੁੜਦੀ ਹੈ ਤਾਂ ਡਿਵਾਈਸ ਪ੍ਰਮਾਣੀਕਰਨ ਸਰਵਰ ਤੋਂ ਵਾਤਾਵਰਣ ਡੇਟਾ ਪ੍ਰਾਪਤ ਕਰਦੀ ਹੈ, ਹਾਲਾਂਕਿ ਤੁਸੀਂ ਇੱਕ ਡਿਵਾਈਸ ਤੇ ਕੁਝ ਡੇਟਾ ਨੂੰ ਹੱਥੀਂ ਕੌਂਫਿਗਰ ਵੀ ਕਰ ਸਕਦੇ ਹੋ। ਸਾਬਕਾ ਲਈample, ਤੁਹਾਨੂੰ ਪ੍ਰਮਾਣਿਕਤਾ ਸਰਵਰ ਜਾਣਕਾਰੀ ਦੇ ਨਾਲ ਸੀਡ Cisco TrustSec ਡਿਵਾਈਸ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ, ਜਿਸ ਨੂੰ ਬਾਅਦ ਵਿੱਚ ਸਰਵਰ ਸੂਚੀ ਦੁਆਰਾ ਵਧਾਇਆ ਜਾ ਸਕਦਾ ਹੈ ਜੋ ਡਿਵਾਈਸ ਪ੍ਰਮਾਣੀਕਰਨ ਸਰਵਰ ਤੋਂ ਪ੍ਰਾਪਤ ਕਰਦੀ ਹੈ।
ਡਿਵਾਈਸ ਨੂੰ ਇਸਦੀ ਮਿਆਦ ਪੁੱਗਣ ਤੋਂ ਪਹਿਲਾਂ Cisco TrustSec ਵਾਤਾਵਰਣ ਡੇਟਾ ਨੂੰ ਤਾਜ਼ਾ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ। ਡਿਵਾਈਸ ਵਾਤਾਵਰਣ ਡੇਟਾ ਨੂੰ ਵੀ ਕੈਸ਼ ਕਰ ਸਕਦੀ ਹੈ ਅਤੇ ਰੀਬੂਟ ਤੋਂ ਬਾਅਦ ਇਸਦੀ ਮੁੜ ਵਰਤੋਂ ਕਰ ਸਕਦੀ ਹੈ ਜੇਕਰ ਡੇਟਾ ਦੀ ਮਿਆਦ ਖਤਮ ਨਹੀਂ ਹੋਈ ਹੈ.
ਡਿਵਾਈਸ ਪ੍ਰਮਾਣੀਕਰਨ ਸਰਵਰ ਤੋਂ ਹੇਠਾਂ ਦਿੱਤੇ ਵਾਤਾਵਰਣ ਡੇਟਾ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ RADIUS ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ:
  • ਸਰਵਰ ਸੂਚੀਆਂ: ਸਰਵਰਾਂ ਦੀ ਸੂਚੀ ਜੋ ਕਲਾਇੰਟ ਭਵਿੱਖ ਦੀਆਂ RADIUS ਬੇਨਤੀਆਂ (ਪ੍ਰਮਾਣੀਕਰਨ ਅਤੇ ਪ੍ਰਮਾਣੀਕਰਨ ਦੋਵਾਂ ਲਈ) ਲਈ ਵਰਤ ਸਕਦਾ ਹੈ। PAC ਰਿਫਰੈਸ਼ ਇਹਨਾਂ ਸਰਵਰਾਂ ਰਾਹੀਂ ਹੁੰਦਾ ਹੈ।
  • ਡਿਵਾਈਸ SG: ਸੁਰੱਖਿਆ ਸਮੂਹ ਜਿਸ ਨਾਲ ਡਿਵਾਈਸ ਖੁਦ ਸਬੰਧਤ ਹੈ।
  • ਮਿਆਦ ਸਮਾਪਤੀ: ਅੰਤਰਾਲ ਜੋ ਇਹ ਨਿਯੰਤਰਿਤ ਕਰਦਾ ਹੈ ਕਿ Cisco TrustSec ਡਿਵਾਈਸ ਨੂੰ ਕਿੰਨੀ ਵਾਰ ਆਪਣੇ ਵਾਤਾਵਰਣ ਡੇਟਾ ਨੂੰ ਤਾਜ਼ਾ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ।
ਰੇਡੀਅਸ ਰੀਲੇਅ ਕਾਰਜਕੁਸ਼ਲਤਾ
ਡਿਵਾਈਸ ਜੋ 802.1X ਪ੍ਰਮਾਣੀਕਰਨ ਪ੍ਰਕਿਰਿਆ ਵਿੱਚ Cisco TrustSec ਪ੍ਰਮਾਣਕ ਦੀ ਭੂਮਿਕਾ ਨਿਭਾਉਂਦੀ ਹੈ, ਕੋਲ ਪ੍ਰਮਾਣਿਕਤਾ ਸਰਵਰ ਨਾਲ IP ਕਨੈਕਟੀਵਿਟੀ ਹੈ, ਜਿਸ ਨਾਲ ਡਿਵਾਈਸ ਨੂੰ UDP/IP ਉੱਤੇ RADIUS ਸੁਨੇਹਿਆਂ ਦਾ ਆਦਾਨ-ਪ੍ਰਦਾਨ ਕਰਕੇ ਪ੍ਰਮਾਣੀਕਰਨ ਸਰਵਰ ਤੋਂ ਨੀਤੀ ਅਤੇ ਅਧਿਕਾਰ ਪ੍ਰਾਪਤ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਮਿਲਦੀ ਹੈ। ਹੋ ਸਕਦਾ ਹੈ ਕਿ ਬੇਨਤੀਕਰਤਾ ਡਿਵਾਈਸ ਕੋਲ ਪ੍ਰਮਾਣਿਕਤਾ ਸਰਵਰ ਨਾਲ IP ਕਨੈਕਟੀਵਿਟੀ ਨਾ ਹੋਵੇ। ਅਜਿਹੇ ਮਾਮਲਿਆਂ ਵਿੱਚ, Cisco TrustSec ਪ੍ਰਮਾਣਕ ਨੂੰ ਬੇਨਤੀਕਰਤਾ ਲਈ ਇੱਕ RADIUS ਰੀਲੇਅ ਵਜੋਂ ਕੰਮ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ।
ਬੇਨਤੀਕਰਤਾ ਪ੍ਰਮਾਣਕ ਨੂੰ ਇੱਕ ਵਿਸ਼ੇਸ਼ EAPOL ਸੁਨੇਹਾ ਭੇਜਦਾ ਹੈ ਜਿਸ ਵਿੱਚ RADIUS ਸਰਵਰ IP ਪਤਾ ਅਤੇ UDP ਪੋਰਟ ਅਤੇ ਪੂਰੀ RADIUS ਬੇਨਤੀ ਸ਼ਾਮਲ ਹੁੰਦੀ ਹੈ। ਪ੍ਰਮਾਣਕ ਪ੍ਰਾਪਤ ਹੋਏ EAPOL ਸੁਨੇਹੇ ਤੋਂ RADIUS ਬੇਨਤੀ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਦਾ ਹੈ ਅਤੇ ਇਸਨੂੰ UDP/IP ਰਾਹੀਂ ਪ੍ਰਮਾਣਿਕਤਾ ਸਰਵਰ ਨੂੰ ਭੇਜਦਾ ਹੈ। ਜਦੋਂ RADIUS ਜਵਾਬ ਪ੍ਰਮਾਣਿਕਤਾ ਸਰਵਰ ਤੋਂ ਵਾਪਸ ਆਉਂਦਾ ਹੈ, ਤਾਂ ਪ੍ਰਮਾਣਕ ਇੱਕ EAPOL ਫਰੇਮ ਵਿੱਚ ਸ਼ਾਮਲ, ਬੇਨਤੀਕਰਤਾ ਨੂੰ ਸੁਨੇਹਾ ਵਾਪਸ ਭੇਜਦਾ ਹੈ।
ਲਿੰਕ ਸੁਰੱਖਿਆ
ਜਦੋਂ ਲਿੰਕ ਦੇ ਦੋਵੇਂ ਪਾਸੇ 802.1AE ਮੀਡੀਆ ਐਕਸੈਸ ਕੰਟਰੋਲ ਸੁਰੱਖਿਆ (MACsec) ਦਾ ਸਮਰਥਨ ਕਰਦੇ ਹਨ, ਤਾਂ ਇੱਕ ਸੁਰੱਖਿਆ ਐਸੋਸੀਏਸ਼ਨ ਪ੍ਰੋਟੋਕੋਲ (SAP) ਗੱਲਬਾਤ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਇੱਕ EAPOL-ਕੁੰਜੀ ਦਾ ਆਦਾਨ-ਪ੍ਰਦਾਨ ਇੱਕ ਸਿਫਰ ਸੂਟ, ਸੁਰੱਖਿਆ ਮਾਪਦੰਡਾਂ ਦਾ ਆਦਾਨ-ਪ੍ਰਦਾਨ ਕਰਨ, ਅਤੇ ਕੁੰਜੀਆਂ ਦਾ ਪ੍ਰਬੰਧਨ ਕਰਨ ਲਈ ਬੇਨਤੀਕਰਤਾ ਅਤੇ ਪ੍ਰਮਾਣਿਕਤਾ ਵਿਚਕਾਰ ਹੁੰਦਾ ਹੈ। ਸਾਰੇ ਤਿੰਨ ਕਾਰਜਾਂ ਨੂੰ ਸਫਲਤਾਪੂਰਵਕ ਪੂਰਾ ਕਰਨ ਦੇ ਨਤੀਜੇ ਵਜੋਂ ਸੁਰੱਖਿਆ ਐਸੋਸੀਏਸ਼ਨ (SA) ਦੀ ਸਥਾਪਨਾ ਹੁੰਦੀ ਹੈ।
ਤੁਹਾਡੇ ਸੌਫਟਵੇਅਰ ਸੰਸਕਰਣ, ਕ੍ਰਿਪਟੋ ਲਾਇਸੈਂਸਿੰਗ, ਅਤੇ ਲਿੰਕ ਹਾਰਡਵੇਅਰ ਸਮਰਥਨ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹੋਏ, SAP ਗੱਲਬਾਤ ਹੇਠ ਲਿਖੇ ਕਾਰਜਾਂ ਵਿੱਚੋਂ ਇੱਕ ਢੰਗ ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦੀ ਹੈ:
  • ਗੈਲੋਇਸ/ਕਾਊਂਟਰ ਮੋਡ (GCM)-ਪ੍ਰਮਾਣਿਕਤਾ ਅਤੇ ਏਨਕ੍ਰਿਪਸ਼ਨ ਨੂੰ ਨਿਸ਼ਚਿਤ ਕਰਦਾ ਹੈ
  • GCM ਪ੍ਰਮਾਣੀਕਰਨ (GMAC)-ਪ੍ਰਮਾਣਿਕਤਾ ਅਤੇ ਕੋਈ ਇਨਕ੍ਰਿਪਸ਼ਨ ਨਿਸ਼ਚਿਤ ਕਰਦਾ ਹੈ
  • ਕੋਈ ਇਨਕੈਪਸੂਲੇਸ਼ਨ ਨਹੀਂ - ਕੋਈ ਇਨਕੈਪਸੂਲੇਸ਼ਨ ਨਹੀਂ (ਸਪਸ਼ਟ ਟੈਕਸਟ)
  • ਨਲ—ਏਨਕੈਪਸੂਲੇਸ਼ਨ ਨੂੰ ਨਿਸ਼ਚਿਤ ਕਰਦਾ ਹੈ, ਕੋਈ ਪ੍ਰਮਾਣਿਕਤਾ ਨਹੀਂ ਅਤੇ ਕੋਈ ਇਨਕ੍ਰਿਪਸ਼ਨ ਨਹੀਂ
No Encapsulation ਨੂੰ ਛੱਡ ਕੇ ਸਾਰੇ ਮੋਡਾਂ ਨੂੰ Cisco TrustSec-ਸਮਰੱਥ ਹਾਰਡਵੇਅਰ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ।
ਲਿੰਕ ਸੁਰੱਖਿਆ ਲਈ SAP-PMK ਕੌਂਫਿਗਰ ਕਰਨਾ
CISCO Trustsec ਨੇ ਸੁਰੱਖਿਅਤ ਨੈੱਟਵਰਕ ਬਣਾਇਆ - ਲਿੰਕ ਸੁਰੱਖਿਆ ਲਈ SAP-PMK ਦੀ ਸੰਰਚਨਾ
CISCO Trustsec ਸੁਰੱਖਿਅਤ ਨੈੱਟਵਰਕ ਬਣਾਉਂਦਾ ਹੈ - ਲਿੰਕ ਸੁਰੱਖਿਆ 2 ਲਈ SAP-PMK ਦੀ ਸੰਰਚਨਾ
ਪੁਰਾਤਨ ਪਹੁੰਚ ਨੈੱਟਵਰਕਾਂ ਵਿੱਚ SGT ਪ੍ਰਸਾਰ ਲਈ SXP
TagSGTs ਵਾਲੇ ging ਪੈਕੇਟਾਂ ਲਈ ਹਾਰਡਵੇਅਰ ਸਹਾਇਤਾ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ। ਹੋ ਸਕਦਾ ਹੈ ਕਿ ਤੁਹਾਡੇ ਕੋਲ ਤੁਹਾਡੇ ਨੈਟਵਰਕ ਵਿੱਚ ਡਿਵਾਈਸਾਂ ਹੋਣ ਜੋ ਕਿ Cisco TrustSec ਪ੍ਰਮਾਣੀਕਰਨ ਵਿੱਚ ਹਿੱਸਾ ਲੈਣ ਦੇ ਸਮਰੱਥ ਹੋਣ ਦੇ ਦੌਰਾਨ, ਹਾਰਡਵੇਅਰ ਸਮਰੱਥਾ ਦੀ ਘਾਟ ਹੈ tag ਦੇ ਨਾਲ ਪੈਕੇਟ
SGTs. SGT ਐਕਸਚੇਂਜ ਪ੍ਰੋਟੋਕੋਲ (SXP) ਦੀ ਵਰਤੋਂ ਕਰਕੇ, ਇਹ ਯੰਤਰ IP-ਐਡਰੈੱਸ-ਟੂ-SGT ਮੈਪਿੰਗ ਨੂੰ Cisco TrustSec ਪੀਅਰ ਡਿਵਾਈਸ ਨੂੰ ਪਾਸ ਕਰ ਸਕਦੇ ਹਨ ਜਿਸ ਵਿੱਚ Cisco TrustSec-ਸਮਰੱਥ ਹਾਰਡਵੇਅਰ ਹੈ।

SXP ਆਮ ਤੌਰ 'ਤੇ Cisco TrustSec ਡੋਮੇਨ ਕਿਨਾਰੇ ਅਤੇ Cisco TrustSec ਡੋਮੇਨ ਦੇ ਅੰਦਰ ਡਿਸਟ੍ਰੀਬਿਊਸ਼ਨ ਲੇਅਰ ਡਿਵਾਈਸਾਂ 'ਤੇ ਪ੍ਰਵੇਸ਼ ਐਕਸੈਸ ਲੇਅਰ ਡਿਵਾਈਸਾਂ ਵਿਚਕਾਰ ਕੰਮ ਕਰਦਾ ਹੈ। ਐਕਸੈਸ ਲੇਅਰ ਡਿਵਾਈਸ ਇਨਗਰੇਸ ਪੈਕੇਟਾਂ ਲਈ ਢੁਕਵੇਂ SGTs ਨੂੰ ਨਿਰਧਾਰਤ ਕਰਨ ਲਈ ਬਾਹਰੀ ਸਰੋਤ ਡਿਵਾਈਸਾਂ ਦੀ Cisco TrustSec ਪ੍ਰਮਾਣੀਕਰਨ ਕਰਦੀ ਹੈ। ਐਕਸੈਸ ਲੇਅਰ ਡਿਵਾਈਸ IP ਡਿਵਾਈਸ ਟਰੈਕਿੰਗ ਅਤੇ (ਵਿਕਲਪਿਕ ਤੌਰ 'ਤੇ) DHCP ਸਨੂਪਿੰਗ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਸਰੋਤ ਡਿਵਾਈਸਾਂ ਦੇ IP ਐਡਰੈੱਸ ਸਿੱਖਦੀ ਹੈ, ਫਿਰ ਸਰੋਤ ਡਿਵਾਈਸਾਂ ਦੇ IP ਐਡਰੈੱਸ ਨੂੰ ਉਹਨਾਂ ਦੇ SGT ਦੇ ਨਾਲ ਡਿਸਟ੍ਰੀਬਿਊਸ਼ਨ ਡਿਵਾਈਸਾਂ ਨੂੰ ਪਾਸ ਕਰਨ ਲਈ SXP ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ।
Cisco TrustSec-ਸਮਰੱਥ ਹਾਰਡਵੇਅਰ ਵਾਲੇ ਡਿਸਟਰੀਬਿਊਸ਼ਨ ਡਿਵਾਈਸ ਇਸ IP-to-SGT ਮੈਪਿੰਗ ਜਾਣਕਾਰੀ ਦੀ ਵਰਤੋਂ ਕਰਨ ਲਈ ਕਰ ਸਕਦੇ ਹਨ tag ਸਹੀ ਢੰਗ ਨਾਲ ਪੈਕੇਟ ਅਤੇ SGACL ਨੀਤੀਆਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ।

ਚਿੱਤਰ 6: SGT ਜਾਣਕਾਰੀ ਦਾ ਪ੍ਰਚਾਰ ਕਰਨ ਲਈ SXP ਪ੍ਰੋਟੋਕੋਲ
CISCO Trustsec ਸੁਰੱਖਿਅਤ ਨੈੱਟਵਰਕ ਬਣਾਉਂਦਾ ਹੈ - ਚਿੱਤਰ 6
ਤੁਹਾਨੂੰ Cisco TrustSec ਹਾਰਡਵੇਅਰ ਸਮਰਥਨ ਤੋਂ ਬਿਨਾਂ ਇੱਕ ਪੀਅਰ ਅਤੇ Cisco TrustSec ਹਾਰਡਵੇਅਰ ਸਮਰਥਨ ਵਾਲੇ ਇੱਕ ਪੀਅਰ ਵਿਚਕਾਰ ਇੱਕ SXP ਕਨੈਕਸ਼ਨ ਨੂੰ ਦਸਤੀ ਰੂਪ ਵਿੱਚ ਕੌਂਫਿਗਰ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ। SXP ਕਨੈਕਸ਼ਨ ਦੀ ਸੰਰਚਨਾ ਕਰਦੇ ਸਮੇਂ ਹੇਠਾਂ ਦਿੱਤੇ ਕਾਰਜਾਂ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ:
  • ਜੇਕਰ ਤੁਹਾਨੂੰ SXP ਡਾਟਾ ਇਕਸਾਰਤਾ ਅਤੇ ਪ੍ਰਮਾਣੀਕਰਨ ਦੀ ਲੋੜ ਹੈ, ਤਾਂ ਤੁਹਾਨੂੰ ਦੋਵਾਂ ਪੀਅਰ ਡਿਵਾਈਸਾਂ 'ਤੇ ਇੱਕੋ SXP ਪਾਸਵਰਡ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ। ਤੁਸੀਂ SXP ਪਾਸਵਰਡ ਨੂੰ ਜਾਂ ਤਾਂ ਹਰੇਕ ਪੀਅਰ ਕਨੈਕਸ਼ਨ ਲਈ ਜਾਂ ਡਿਵਾਈਸ ਲਈ ਗਲੋਬਲ ਤੌਰ 'ਤੇ ਕੌਂਫਿਗਰ ਕਰ ਸਕਦੇ ਹੋ। ਹਾਲਾਂਕਿ ਇੱਕ SXP ਪਾਸਵਰਡ ਦੀ ਲੋੜ ਨਹੀਂ ਹੈ, ਅਸੀਂ ਇਸਦੀ ਵਰਤੋਂ ਦੀ ਸਿਫ਼ਾਰਿਸ਼ ਕਰਦੇ ਹਾਂ।
  • ਤੁਹਾਨੂੰ SXP ਕਨੈਕਸ਼ਨ 'ਤੇ ਹਰੇਕ ਪੀਅਰ ਨੂੰ SXP ਸਪੀਕਰ ਜਾਂ SXP ਲਿਸਨਰ ਵਜੋਂ ਕੌਂਫਿਗਰ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ। ਸਪੀਕਰ ਡਿਵਾਈਸ ਲਿਸਨਰ ਡਿਵਾਈਸ ਨੂੰ IP-ਤੋਂ-SGT ਮੈਪਿੰਗ ਜਾਣਕਾਰੀ ਵੰਡਦੀ ਹੈ।
  • ਤੁਸੀਂ ਹਰੇਕ ਪੀਅਰ ਰਿਸ਼ਤੇ ਲਈ ਵਰਤਣ ਲਈ ਇੱਕ ਸਰੋਤ IP ਪਤਾ ਨਿਸ਼ਚਿਤ ਕਰ ਸਕਦੇ ਹੋ ਜਾਂ ਤੁਸੀਂ ਪੀਅਰ ਕਨੈਕਸ਼ਨਾਂ ਲਈ ਇੱਕ ਡਿਫੌਲਟ ਸਰੋਤ IP ਐਡਰੈੱਸ ਕੌਂਫਿਗਰ ਕਰ ਸਕਦੇ ਹੋ ਜਿੱਥੇ ਤੁਸੀਂ ਇੱਕ ਖਾਸ ਸਰੋਤ IP ਐਡਰੈੱਸ ਨੂੰ ਕੌਂਫਿਗਰ ਨਹੀਂ ਕੀਤਾ ਹੈ। ਜੇਕਰ ਤੁਸੀਂ ਕੋਈ ਸਰੋਤ IP ਪਤਾ ਨਹੀਂ ਦਿੰਦੇ ਹੋ, ਤਾਂ ਡਿਵਾਈਸ ਪੀਅਰ ਨਾਲ ਕੁਨੈਕਸ਼ਨ ਦੇ ਇੰਟਰਫੇਸ IP ਐਡਰੈੱਸ ਦੀ ਵਰਤੋਂ ਕਰੇਗੀ।
SXP ਮਲਟੀਪਲ ਹੌਪਸ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ। ਭਾਵ, ਜੇਕਰ Cisco TrustSec ਹਾਰਡਵੇਅਰ ਸਮਰਥਨ ਦੀ ਘਾਟ ਵਾਲੇ ਇੱਕ ਡਿਵਾਈਸ ਦੇ ਪੀਅਰ ਵਿੱਚ ਵੀ Cisco TrustSec ਹਾਰਡਵੇਅਰ ਸਮਰਥਨ ਦੀ ਘਾਟ ਹੈ, ਤਾਂ ਦੂਜੇ ਪੀਅਰ ਦਾ ਇੱਕ ਤੀਜੇ ਪੀਅਰ ਨਾਲ ਇੱਕ SXP ਕਨੈਕਸ਼ਨ ਹੋ ਸਕਦਾ ਹੈ, IP-to-SGT ਮੈਪਿੰਗ ਜਾਣਕਾਰੀ ਦੇ ਪ੍ਰਸਾਰ ਨੂੰ ਜਾਰੀ ਰੱਖ ਕੇ ਇੱਕ ਹਾਰਡਵੇਅਰ- ਸਮਰੱਥ ਪੀਅਰ ਤੱਕ ਪਹੁੰਚਿਆ ਹੈ। ਇੱਕ ਡਿਵਾਈਸ ਨੂੰ ਇੱਕ SXP ਕਨੈਕਸ਼ਨ ਲਈ ਇੱਕ SXP ਲਿਸਨਰ ਦੇ ਤੌਰ ਤੇ ਇੱਕ SXP ਸਪੀਕਰ ਦੇ ਤੌਰ ਤੇ ਦੂਜੇ SXP ਕਨੈਕਸ਼ਨ ਲਈ ਕੌਂਫਿਗਰ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ।
ਇੱਕ Cisco TrustSec ਡਿਵਾਈਸ TCP Keepalive ਵਿਧੀ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਆਪਣੇ SXP ਸਾਥੀਆਂ ਨਾਲ ਸੰਪਰਕ ਬਣਾਈ ਰੱਖਦੀ ਹੈ।
ਕਿਸੇ ਪੀਅਰ ਕਨੈਕਸ਼ਨ ਨੂੰ ਸਥਾਪਤ ਕਰਨ ਜਾਂ ਰੀਸਟੋਰ ਕਰਨ ਲਈ, ਜਦੋਂ ਤੱਕ ਕਨੈਕਸ਼ਨ ਸਫਲ ਨਹੀਂ ਹੁੰਦਾ ਜਾਂ ਜਦੋਂ ਤੱਕ ਕਨੈਕਸ਼ਨ ਨੂੰ ਕੌਂਫਿਗਰੇਸ਼ਨ ਤੋਂ ਹਟਾਇਆ ਨਹੀਂ ਜਾਂਦਾ, ਡਿਵਾਈਸ ਇੱਕ ਸੰਰਚਨਾਯੋਗ ਮੁੜ-ਕੋਸ਼ਿਸ਼ ਅਵਧੀ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਵਾਰ-ਵਾਰ ਕਨੈਕਸ਼ਨ ਸੈੱਟਅੱਪ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰੇਗੀ।
ਗੈਰ-ਟਰੱਸਟਸੈਕ ਖੇਤਰਾਂ ਵਿੱਚ ਫੈਲਣ ਲਈ ਲੇਅਰ 3 SGT ਟ੍ਰਾਂਸਪੋਰਟ
ਜਦੋਂ ਇੱਕ ਪੈਕੇਟ ਇੱਕ ਗੈਰ-TrustSec ਮੰਜ਼ਿਲ ਲਈ Cisco TrustSec ਡੋਮੇਨ ਨੂੰ ਛੱਡਦਾ ਹੈ, ਤਾਂ egress Cisco TrustSec ਡਿਵਾਈਸ ਪੈਕਟ ਨੂੰ ਬਾਹਰਲੇ ਨੈਟਵਰਕ ਤੇ ਅੱਗੇ ਭੇਜਣ ਤੋਂ ਪਹਿਲਾਂ Cisco TrustSec ਸਿਰਲੇਖ ਅਤੇ SGT ਨੂੰ ਹਟਾ ਦਿੰਦਾ ਹੈ। ਜੇਕਰ, ਹਾਲਾਂਕਿ, ਪੈਕੇਟ ਸਿਰਫ਼ ਇੱਕ ਗੈਰ-ਟਰੱਸਟਸੇਕ ਡੋਮੇਨ ਨੂੰ ਕਿਸੇ ਹੋਰ Cisco TrustSec ਡੋਮੇਨ ਦੇ ਮਾਰਗ 'ਤੇ ਜਾ ਰਿਹਾ ਹੈ, ਜਿਵੇਂ ਕਿ ਹੇਠਾਂ ਦਿੱਤੀ ਤਸਵੀਰ ਵਿੱਚ ਦਿਖਾਇਆ ਗਿਆ ਹੈ, SGT ਨੂੰ Cisco TrustSec Layer 3 SGT ਟ੍ਰਾਂਸਪੋਰਟ ਵਿਸ਼ੇਸ਼ਤਾ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਸੁਰੱਖਿਅਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ। ਇਸ ਵਿਸ਼ੇਸ਼ਤਾ ਵਿੱਚ, egress Cisco TrustSec ਡਿਵਾਈਸ ਇੱਕ ESP ਸਿਰਲੇਖ ਦੇ ਨਾਲ ਪੈਕੇਟ ਨੂੰ ਸ਼ਾਮਲ ਕਰਦਾ ਹੈ ਜਿਸ ਵਿੱਚ SGT ਦੀ ਇੱਕ ਕਾਪੀ ਸ਼ਾਮਲ ਹੁੰਦੀ ਹੈ। ਜਦੋਂ ਇਨਕੈਪਸੂਲੇਟਡ ਪੈਕੇਟ ਅਗਲੇ ਸਿਸਕੋ ਟਰੱਸਟਸੇਕ ਡੋਮੇਨ 'ਤੇ ਪਹੁੰਚਦਾ ਹੈ, ਤਾਂ ਇਨਗਰੈਸ ਸਿਸਕੋ ਟਰੱਸਟਸੇਕ ਡਿਵਾਈਸ ESP ਇਨਕੈਪਸੂਲੇਸ਼ਨ ਨੂੰ ਹਟਾ ਦਿੰਦਾ ਹੈ ਅਤੇ ਪੈਕੇਟ ਨੂੰ ਇਸਦੇ SGT ਨਾਲ ਪ੍ਰਸਾਰਿਤ ਕਰਦਾ ਹੈ।
ਚਿੱਤਰ 7: ਇੱਕ ਗੈਰ-TrustSec ਡੋਮੇਨ ਨੂੰ ਫੈਲਾਉਣਾ
CISCO Trustsec ਸੁਰੱਖਿਅਤ ਨੈੱਟਵਰਕ ਬਣਾਉਂਦਾ ਹੈ - ਚਿੱਤਰ 7
Cisco TrustSec Layer 3 SGT ਟਰਾਂਸਪੋਰਟ ਦਾ ਸਮਰਥਨ ਕਰਨ ਲਈ, ਕੋਈ ਵੀ ਡਿਵਾਈਸ ਜੋ Cisco TrustSec ਪ੍ਰਵੇਸ਼ ਜਾਂ ਨਿਕਾਸੀ ਲੇਅਰ 3 ਗੇਟਵੇ ਦੇ ਤੌਰ 'ਤੇ ਕੰਮ ਕਰੇਗੀ, ਨੂੰ ਇੱਕ ਟ੍ਰੈਫਿਕ ਨੀਤੀ ਡੇਟਾਬੇਸ ਨੂੰ ਕਾਇਮ ਰੱਖਣਾ ਚਾਹੀਦਾ ਹੈ ਜੋ ਰਿਮੋਟ Cisco TrustSec ਡੋਮੇਨਾਂ ਵਿੱਚ ਯੋਗ ਸਬਨੈੱਟ ਦੇ ਨਾਲ-ਨਾਲ ਉਹਨਾਂ ਖੇਤਰਾਂ ਦੇ ਅੰਦਰ ਕਿਸੇ ਵੀ ਬਾਹਰ ਕੀਤੇ ਸਬਨੈੱਟ ਦੀ ਸੂਚੀ ਦਿੰਦਾ ਹੈ। ਤੁਸੀਂ ਹਰੇਕ ਡਿਵਾਈਸ ਤੇ ਇਸ ਡੇਟਾਬੇਸ ਨੂੰ ਹੱਥੀਂ ਕੌਂਫਿਗਰ ਕਰ ਸਕਦੇ ਹੋ ਜੇਕਰ ਉਹ Cisco Secure ACS ਤੋਂ ਆਪਣੇ ਆਪ ਡਾਊਨਲੋਡ ਨਹੀਂ ਕੀਤੇ ਜਾ ਸਕਦੇ ਹਨ।
ਇੱਕ ਡਿਵਾਈਸ ਇੱਕ ਪੋਰਟ ਤੋਂ ਲੇਅਰ 3 SGT ਟ੍ਰਾਂਸਪੋਰਟ ਡੇਟਾ ਭੇਜ ਸਕਦੀ ਹੈ ਅਤੇ ਦੂਜੀ ਪੋਰਟ ਤੋਂ ਲੇਅਰ 3 SGT ਟ੍ਰਾਂਸਪੋਰਟ ਡੇਟਾ ਪ੍ਰਾਪਤ ਕਰ ਸਕਦੀ ਹੈ, ਪਰ ਇਨਗਰੇਸ ਅਤੇ ਈਗ੍ਰੇਸ ਪੋਰਟ ਦੋਵਾਂ ਵਿੱਚ Cisco TrustSec-ਸਮਰੱਥ ਹਾਰਡਵੇਅਰ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ।
ਨੋਟ ਆਈਕਨ Cisco TrustSec ਲੇਅਰ 3 SGT ਟਰਾਂਸਪੋਰਟ ਇਨਕੈਪਸਲੇਟਡ ਪੈਕੇਟਾਂ ਨੂੰ ਐਨਕ੍ਰਿਪਟ ਨਹੀਂ ਕਰਦਾ ਹੈ। ਗੈਰ-TrustSec ਡੋਮੇਨ ਨੂੰ ਪਾਰ ਕਰਨ ਵਾਲੇ ਪੈਕੇਟਾਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਲਈ, ਤੁਸੀਂ ਹੋਰ ਸੁਰੱਖਿਆ ਤਰੀਕਿਆਂ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰ ਸਕਦੇ ਹੋ, ਜਿਵੇਂ ਕਿ IPsec।
VRF-ਜਾਣੂ SXP
ਵਰਚੁਅਲ ਰੂਟਿੰਗ ਅਤੇ ਫਾਰਵਰਡਿੰਗ (VRF) ਦਾ SXP ਲਾਗੂ ਕਰਨਾ ਇੱਕ SXP ਕਨੈਕਸ਼ਨ ਨੂੰ ਇੱਕ ਖਾਸ VRF ਨਾਲ ਜੋੜਦਾ ਹੈ। ਇਹ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ ਕਿ ਨੈੱਟਵਰਕ ਟੌਪੌਲੋਜੀ ਨੂੰ ਲੇਅਰ 2 ਜਾਂ ਲੇਅਰ 3 VPNs ਲਈ ਸਹੀ ਢੰਗ ਨਾਲ ਸੰਰਚਿਤ ਕੀਤਾ ਗਿਆ ਹੈ, Cisco TrustSec ਨੂੰ ਸਮਰੱਥ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਸਾਰੇ VRFs ਦੇ ਨਾਲ।
SXP VRF ਸਹਾਇਤਾ ਨੂੰ ਹੇਠਾਂ ਦਿੱਤੇ ਅਨੁਸਾਰ ਸੰਖੇਪ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ:
  • ਸਿਰਫ਼ ਇੱਕ SXP ਕੁਨੈਕਸ਼ਨ ਇੱਕ VRF ਨਾਲ ਬੰਨ੍ਹਿਆ ਜਾ ਸਕਦਾ ਹੈ।
  • ਵੱਖ-ਵੱਖ VRF ਵਿੱਚ ਓਵਰਲੈਪਿੰਗ SXP ਪੀਅਰ ਜਾਂ ਸਰੋਤ IP ਪਤੇ ਹੋ ਸਕਦੇ ਹਨ।
  • ਇੱਕ VRF ਵਿੱਚ ਸਿੱਖੀਆਂ (ਜੋੜੀਆਂ ਜਾਂ ਮਿਟਾਈਆਂ ਗਈਆਂ) IP–SGT ਮੈਪਿੰਗਾਂ ਨੂੰ ਸਿਰਫ਼ ਉਸੇ VRF ਡੋਮੇਨ ਵਿੱਚ ਅੱਪਡੇਟ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ।
    SXP ਕਨੈਕਸ਼ਨ ਕਿਸੇ ਵੱਖਰੇ VRF ਨਾਲ ਬੰਨ੍ਹੇ ਮੈਪਿੰਗ ਨੂੰ ਅੱਪਡੇਟ ਨਹੀਂ ਕਰ ਸਕਦਾ ਹੈ। ਜੇਕਰ VRF ਲਈ ਕੋਈ SXP ਕਨੈਕਸ਼ਨ ਬੰਦ ਨਹੀਂ ਹੁੰਦਾ, ਤਾਂ ਉਸ VRF ਲਈ IP–SGT ਮੈਪਿੰਗ SXP ਦੁਆਰਾ ਅੱਪਡੇਟ ਨਹੀਂ ਕੀਤੀਆਂ ਜਾਣਗੀਆਂ।
  • ਪ੍ਰਤੀ VRF ਕਈ ਪਤੇ ਵਾਲੇ ਪਰਿਵਾਰ ਸਮਰਥਿਤ ਹਨ। ਇਸ ਲਈ, ਇੱਕ VRF ਡੋਮੇਨ ਵਿੱਚ ਇੱਕ SXP ਕਨੈਕਸ਼ਨ IPV4 ਅਤੇ IPV6 IP-SGT ਮੈਪਿੰਗ ਦੋਵਾਂ ਨੂੰ ਅੱਗੇ ਭੇਜ ਸਕਦਾ ਹੈ।
  • SXP ਵਿੱਚ ਕੁਨੈਕਸ਼ਨਾਂ ਦੀ ਸੰਖਿਆ ਅਤੇ IP-SGT ਮੈਪਿੰਗ ਪ੍ਰਤੀ VRF ਦੀ ਗਿਣਤੀ 'ਤੇ ਕੋਈ ਸੀਮਾ ਨਹੀਂ ਹੈ।
ਲੇਅਰ 2 VRF-ਜਾਣੂ SXP ਅਤੇ VRF ਅਸਾਈਨਮੈਂਟ
VRF ਤੋਂ ਲੇਅਰ 2 VLANs ਅਸਾਈਨਮੈਂਟਾਂ ਨੂੰ cts ਰੋਲ-ਅਧਾਰਿਤ l2-vrf vrf-name vlan-list ਗਲੋਬਲ ਕੌਂਫਿਗਰੇਸ਼ਨ ਕਮਾਂਡ ਨਾਲ ਨਿਰਧਾਰਤ ਕੀਤਾ ਗਿਆ ਹੈ। ਇੱਕ VLAN ਨੂੰ ਇੱਕ ਲੇਅਰ 2 VLAN ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ ਜਦੋਂ ਤੱਕ VLAN 'ਤੇ ਸੰਰਚਿਤ IP ਐਡਰੈੱਸ ਵਾਲਾ ਕੋਈ ਸਵਿੱਚ ਵਰਚੁਅਲ ਇੰਟਰਫੇਸ (SVI) ਨਹੀਂ ਹੈ। VLAN ਇੱਕ ਲੇਅਰ 3 VLAN ਬਣ ਜਾਂਦਾ ਹੈ ਜਦੋਂ ਇੱਕ IP ਐਡਰੈੱਸ ਇਸਦੇ SVI 'ਤੇ ਕੌਂਫਿਗਰ ਹੋ ਜਾਂਦਾ ਹੈ।
cts ਰੋਲ-ਅਧਾਰਿਤ l2-vrf ਕਮਾਂਡ ਦੁਆਰਾ ਸੰਰਚਿਤ VRF ਅਸਾਈਨਮੈਂਟ ਉਦੋਂ ਤੱਕ ਸਰਗਰਮ ਹਨ ਜਦੋਂ ਤੱਕ ਇੱਕ VLAN ਇੱਕ ਲੇਅਰ 2 VLAN ਰਹਿੰਦਾ ਹੈ। VRF ਅਸਾਈਨਮੈਂਟ ਦੇ ਸਰਗਰਮ ਹੋਣ ਦੌਰਾਨ ਸਿੱਖੀਆਂ ਗਈਆਂ IP–SGT ਬਾਈਡਿੰਗਾਂ ਨੂੰ ਵੀਆਰਐਫ ਅਤੇ IP ਪ੍ਰੋਟੋਕੋਲ ਸੰਸਕਰਣ ਨਾਲ ਸੰਬੰਧਿਤ ਫਾਰਵਰਡਿੰਗ ਇਨਫਰਮੇਸ਼ਨ ਬੇਸ (FIB) ਸਾਰਣੀ ਵਿੱਚ ਜੋੜਿਆ ਜਾਂਦਾ ਹੈ। ਜੇਕਰ ਇੱਕ SVI ਇੱਕ VLAN ਲਈ ਕਿਰਿਆਸ਼ੀਲ ਹੋ ਜਾਂਦਾ ਹੈ, VRF ਤੋਂ VLAN ਅਸਾਈਨਮੈਂਟ ਅਕਿਰਿਆਸ਼ੀਲ ਹੋ ਜਾਂਦੀ ਹੈ ਅਤੇ VLAN 'ਤੇ ਸਿੱਖੀਆਂ ਗਈਆਂ ਸਾਰੀਆਂ ਬਾਈਡਿੰਗਾਂ ਨੂੰ SVI ਦੇ VRF ਨਾਲ ਸਬੰਧਿਤ FIB ਸਾਰਣੀ ਵਿੱਚ ਭੇਜ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ।
VRF ਤੋਂ VLAN ਅਸਾਈਨਮੈਂਟ ਨੂੰ ਬਰਕਰਾਰ ਰੱਖਿਆ ਜਾਂਦਾ ਹੈ ਭਾਵੇਂ ਅਸਾਈਨਮੈਂਟ ਨਾ-ਸਰਗਰਮ ਹੋ ਜਾਂਦੀ ਹੈ। ਜਦੋਂ SVI ਨੂੰ ਹਟਾ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ ਜਾਂ ਜਦੋਂ SVI IP ਐਡਰੈੱਸ ਨੂੰ ਡੀ-ਕਨਫਿਗਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਤਾਂ ਇਹ ਮੁੜ ਕਿਰਿਆਸ਼ੀਲ ਹੁੰਦਾ ਹੈ। ਮੁੜ-ਕਿਰਿਆਸ਼ੀਲ ਹੋਣ 'ਤੇ, IP–SGT ਬਾਈਡਿੰਗ ਨੂੰ SVI ਦੇ VRF ਨਾਲ ਸਬੰਧਿਤ FIB ਟੇਬਲ ਤੋਂ cts ਰੋਲ-ਅਧਾਰਿਤ l2-vrf ਕਮਾਂਡ ਦੁਆਰਾ ਨਿਰਧਾਰਤ VRF ਨਾਲ ਸਬੰਧਿਤ FIB ਸਾਰਣੀ ਵਿੱਚ ਵਾਪਸ ਲਿਜਾਇਆ ਜਾਂਦਾ ਹੈ।
Cisco TrustSec Over ਲਈ ਵਿਸ਼ੇਸ਼ਤਾ ਇਤਿਹਾਸview
ਇਹ ਸਾਰਣੀ ਇਸ ਮੋਡੀਊਲ ਵਿੱਚ ਦੱਸੀਆਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਲਈ ਰਿਲੀਜ਼ ਅਤੇ ਸੰਬੰਧਿਤ ਜਾਣਕਾਰੀ ਪ੍ਰਦਾਨ ਕਰਦੀ ਹੈ।
ਇਹ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਉਸ ਤੋਂ ਬਾਅਦ ਦੇ ਸਾਰੇ ਰੀਲੀਜ਼ਾਂ ਵਿੱਚ ਉਪਲਬਧ ਹਨ ਜਿਸ ਵਿੱਚ ਇਹ ਪੇਸ਼ ਕੀਤੇ ਗਏ ਸਨ, ਜਦੋਂ ਤੱਕ ਕਿ ਹੋਰ ਨੋਟ ਨਾ ਕੀਤਾ ਗਿਆ ਹੋਵੇ।
CISCO Trustsec ਸੁਰੱਖਿਅਤ ਨੈੱਟਵਰਕ ਬਣਾਉਂਦਾ ਹੈ - Cisco TrustSec Over ਲਈ ਵਿਸ਼ੇਸ਼ਤਾ ਇਤਿਹਾਸview
ਪਲੇਟਫਾਰਮ ਅਤੇ ਸਾਫਟਵੇਅਰ ਚਿੱਤਰ ਸਹਾਇਤਾ ਬਾਰੇ ਜਾਣਕਾਰੀ ਲੱਭਣ ਲਈ ਸਿਸਕੋ ਫੀਚਰ ਨੈਵੀਗੇਟਰ ਦੀ ਵਰਤੋਂ ਕਰੋ। ਪਹੁੰਚ ਕਰਨ ਲਈ
ਸਿਸਕੋ ਫੀਚਰ ਨੇਵੀਗੇਟਰ, 'ਤੇ ਜਾਓ http://www.cisco.com/go/cfn.

ਦਸਤਾਵੇਜ਼ / ਸਰੋਤ

CISCO Trustsec ਸੁਰੱਖਿਅਤ ਨੈੱਟਵਰਕ ਬਣਾਉਂਦਾ ਹੈ [pdf] ਯੂਜ਼ਰ ਗਾਈਡ
Trustsec ਸੁਰੱਖਿਅਤ ਨੈੱਟਵਰਕ ਬਣਾਉਂਦਾ ਹੈ, Trustsec, ਸੁਰੱਖਿਅਤ ਨੈੱਟਵਰਕ ਬਣਾਉਂਦਾ ਹੈ, ਸੁਰੱਖਿਅਤ ਨੈੱਟਵਰਕ, ਨੈੱਟਵਰਕ ਬਣਾਉਂਦਾ ਹੈ

ਹਵਾਲੇ

ਇੱਕ ਟਿੱਪਣੀ ਛੱਡੋ

ਤੁਹਾਡਾ ਈਮੇਲ ਪਤਾ ਪ੍ਰਕਾਸ਼ਿਤ ਨਹੀਂ ਕੀਤਾ ਜਾਵੇਗਾ। ਲੋੜੀਂਦੇ ਖੇਤਰਾਂ ਨੂੰ ਚਿੰਨ੍ਹਿਤ ਕੀਤਾ ਗਿਆ ਹੈ *