CISCO Trustsec خوندي جوړوي د شبکې کارونکي لارښود
Cisco TrustSec د باوري شبکې وسیلو د ډومینونو په جوړولو سره خوندي شبکې جوړوي. په ډومین کې هر وسیله د خپلو همکارانو لخوا تصدیق کیږي. په ډومین کې د وسیلو تر مینځ اړیکو باندې اړیکه د کوډ کولو، د پیغام بشپړتیا چک، او د معلوماتو د لارې بیا پیلولو محافظت میکانیزمونو سره خوندي کیږي.د Cisco TrustSec لپاره محدودیتونه
- د خوندي لاسرسي اعتبار (PAC) چمتو کول ناکام کیږي او په ځړول حالت کې پاتې کیږي، کله چې د ناسم وسیله ID مشخص شي. حتی د PAC پاکولو وروسته، او د سم وسیله ID او پټنوم ترتیبولو وروسته، PAC لاهم ناکامه کیږي.
د کار د حل په توګه، د سیسکو پیژندنې خدماتو انجن (ISE) کې، د غیرمعمولي مراجعینو د سپکولو نښه غیر چیک کړئ
د PAC کار کولو لپاره د ادارې> سیسټم> ترتیبات> پروتوکول> ریډیس مینو کې اختیار. - Cisco TrustSec په FIPS حالت کې ملاتړ نه کوي.
- لاندې محدودیتونه یوازې د سیسکو کتلست 9500 لړۍ سویچونو C28X-8C9500D ماډل باندې پلي کیږي:
• د سیسکو ټرسټ سیک لارښود ترتیب نه ملاتړ کیږي.
• د Cisco TrustSec امنیتي اتحادیې پروتوکول (SAP) فعالیت نه ملاتړ کیږي.
• د Cisco TrustSec میټاډاټا سرلیک انکپسول نه ملاتړ کیږي.
د Cisco TrustSec معمارۍ په اړه معلومات
د سیسکو ټرسټ سیک امنیت جوړښت د باوري شبکې وسیلو ډومینونو رامینځته کولو سره خوندي شبکې رامینځته کوي. په ډومین کې هر وسیله د خپلو همکارانو لخوا تصدیق کیږي. په ډومین کې د وسیلو تر مینځ اړیکو باندې اړیکه د کوډ کولو، د پیغام بشپړتیا چک، او د معلوماتو د لارې بیا پیلولو محافظت میکانیزمونو سره خوندي کیږي. Cisco TrustSec هغه وسیله او د کارونکي اسناد کاروي چې د تصدیق کولو پرمهال ترلاسه شوي د امنیت ګروپونو (SGs) لخوا د پاکټونو طبقه بندي کولو لپاره کله چې دوی شبکې ته ننوځي. د دې کڅوړې طبقه بندي د دې لخوا ساتل کیږي tagد سیسکو ټرسټ سیک شبکې ته د ننوتلو لپاره د ging پاکټونه ترڅو دوی د معلوماتو په لاره کې د امنیت او نورو پالیسیو معیارونو پلي کولو هدف لپاره په سمه توګه وپیژندل شي. د tagد امنیتي ډلې په نوم یادیږي tag (SGT)، شبکې ته اجازه ورکوي چې د پای ټکی وسیلې په فعالولو سره د لاسرسي کنټرول پالیسي پلي کړي ترڅو د ترافیک فلټر کولو لپاره SGT باندې عمل وکړي.
د Cisco TrustSec IEEE 802.1X لینکونه په سیسکو IOS XE Denali کې ملاتړ شوي پلیټ فارمونو کې ملاتړ نه کوي(16.1.x تر 16.3.x)، Cisco IOS XE Everest (16.4.x to 16.6.x)، او Cisco IOS XE Fuji (16.7.x تر 16.9.x) خپریږي، او له همدې امله یوازې تصدیق کونکی ملاتړ کیږي؛ غوښتونکی نه ملاتړ کیږي.
د سیسکو ټرسټ سیک جوړښت درې کلیدي برخې لري:
- د تصدیق شوي شبکې زیربنا — وروسته له دې چې لومړۍ وسیله (د تخم وسیله په نوم یادیږي) د سیسکو ټرسټ سیک ډومین پیل کولو لپاره د تصدیق سرور سره تصدیق کوي ، هر نوی وسیله چې په ډومین کې اضافه شوې د هغې د ډومین دننه دمخه د خپلو ملګرو وسیلو لخوا تصدیق کیږي. ملګري د ډومین تصدیق کولو سرور لپاره د منځګړیتوب په توګه کار کوي. هر نوی تصدیق شوی وسیله د تصدیق سرور لخوا طبقه بندي کیږي او د امنیت ګروپ شمیره د هغې د هویت ، رول او امنیت موقعیت پراساس ټاکل کیږي.
- د امنیت ګروپ پر بنسټ د لاسرسي کنټرول — د سیسکو ټرسټ سیک ډومین کې د لاسرسي پالیسي د شبکې پتې پرځای د سرچینې او منزل وسیلو د رولونو (لکه څنګه چې د امنیت ګروپ شمیرې لخوا ښودل شوي) پراساس ټاپولوژي خپلواکه ده. انفرادي کڅوړې دي tagد سرچینې د امنیتي ډلې شمیرې سره ged.
- خوندي اړیکه — د کوډ کولو وړ هارډویر سره ، په ډومین کې د وسیلو ترمینځ په هر لینک کې اړیکه د کوډ کولو ، د پیغام بشپړتیا چکونو ، او د ډیټا لارې بیا پیلولو محافظت میکانیزمونو ترکیب سره خوندي کیدی شي.
لاندې ارقام یو پخوانی ښیېampد Cisco TrustSec ډومین لی. په دې کې پخوانيample، د شبکې ډیری وسایل او د پای ټکی وسیله د سیسکو TrustSec ډومین دننه دي. یو د پای ټکي وسیله او یو د شبکې وسیله د ډومین څخه بهر دي ځکه چې دوی د سیسکو ټرسټ سیک وړ وسیلې ندي یا ځکه چې دوی ته لاسرسی رد شوی. د تصدیق کولو سرور د Cisco TrustSec ډومین څخه بهر ګڼل کیږي؛ دا یا د سیسکو پیژندنې خدماتو انجن (سیسکو ISE) ، یا د سیسکو خوندي لاسرسي کنټرول سیسټم (سیسکو ACS) دی.
شکل 1: د Cisco TrustSec شبکه ډومین Example
د Cisco TrustSec تصدیق کولو پروسې کې هر ګډون کوونکی په لاندې رولونو کې عمل کوي:
- غوښتونکی— یو غیر مستند شوی وسیله چې د سیسکو ټرسټ سیک ډومین کې د ملګري سره وصل دی، او د سیسکو ټرسټ سیک ډومین سره د یوځای کیدو هڅه کوي.
- د تصدیق کولو سرور — هغه سرور چې د غوښتونکي پیژندنه تاییدوي او هغه پالیسۍ خپروي چې د سیسکو ټرسټ سیک ډومین کې خدماتو ته د غوښتونکي لاسرسي ټاکي.
- تصدیق کونکی - یو مستند شوی وسیله چې دمخه د سیسکو ټرسټ سیک ډومین برخه ده او کولی شي د تصدیق سرور په استازیتوب نوي ملګري غوښتونکي تصدیق کړي.
کله چې د غوښتونکي او مستند کونکي ترمنځ اړیکه په لومړي ځل راپورته شي، د پیښو لاندې ترتیب معمولا واقع کیږي:
- تصدیق (802.1X) — غوښتونکی د تصدیق کولو سرور لخوا تصدیق شوی ، او تصدیق کونکی د منځګړی په توګه عمل کوي. متقابل اعتبار د دوو ملګرو (غوښتونکي او تصدیق کونکي) تر مینځ ترسره کیږي.
- اجازه ورکول - د غوښتونکي د پیژندنې معلوماتو پراساس، د تصدیق کولو سرور د تصدیق کولو پالیسي چمتو کوي، لکه د امنیت ګروپ دندې او ACLs، هر یو تړل شوي ملګري ته. د تصدیق کولو سرور بل ته د هر ملګری پیژندنه چمتو کوي، او هر ملګری بیا د لینک لپاره مناسبه پالیسي پلي کوي.
- د امنیت اتحادیې پروتوکول (SAP) خبرې اترې - کله چې د لینک ملاتړ کوډ کولو دواړه خواوې، غوښتونکی او تصدیق کونکی د امنیتي اتحادیې (SA) د جوړولو لپاره اړین پیرامیټرې خبرې کوي.
SAP په 100G انٹرفیسونو کې ملاتړ نه کوي. موږ وړاندیز کوو چې تاسو د MACsec کلیدي تړون پروتوکول وکاروئ(MKA) د 100G انٹرفیسونو کې د پراخه پیکټ شمیرې (XPN) سره.
کله چې ټول درې مرحلې بشپړې شي ، تصدیق کونکی د لینک حالت د غیر مجاز (بندیدو) حالت څخه مجاز حالت ته بدلوي ، او غوښتونکی د سیسکو ټرسټ سیک ډومین غړی کیږي.
د Cisco TrustSec داخلول کاروي tagد لاسرسي کنټرول پالیسي پلي کولو لپاره جینګ او ایګریس فلټر کول په پراخه کچه. ډومین ته د ننوتلو کڅوړې دي tagله یوې امنیتي ډلې سره یوځای شو tag (SGT) د سرچینې وسیله د ټاکل شوي امنیتي ګروپ شمیره لري. د دې کڅوړې طبقه بندي د امنیت او نورو پالیسیو معیارونو پلي کولو لپاره د سیسکو ټرسټ سیک ډومین دننه د ډیټا لارې په اوږدو کې ساتل کیږي. د ډیټا په لاره کې د سیسکو ټرسټ سیک وروستی وسیله ، یا د پای ټکی یا د شبکې وتلو نقطه ، د سیسکو ټرسټسیک سرچینې وسیلې امنیت ګروپ او د وروستي سیسکو ټرسټسیک وسیلې امنیت ګروپ پراساس د لاسرسي کنټرول پالیسي پلي کوي. د شبکې پتې پراساس د دودیز لاسرسي کنټرول لیستونو برخلاف ، د سیسکو ټرسټ سیک لاسرسي کنټرول پالیسۍ د رول پراساس لاسرسي کنټرول لیستونو (RBACLs) یوه بڼه ده چې د امنیت ګروپ لاسرسي کنټرول لیستونو (SGACLs) په نوم یادیږي.
انګریس هغه پاکټونو ته اشاره کوي چې لومړی د سیسکو ټرسټ سیک وړ وسیله ته ننوځي چې منزل ته د هغې په لاره کې د کڅوړې سره مخ شوي او ایګریس هغه پاکټونو ته اشاره کوي چې په لاره کې وروستی سیسکو ټرسټ سیک وړ وسیله پریږدي.تصدیق کول
د سیسکو ټرسټ سیک او تصدیق
د شبکې وسیلې داخلیدو کنټرول (NDAC) په کارولو سره ، سیسکو ټرسټ سیک یو وسیله تصدیق کوي مخکې لدې چې شبکې ته د یوځای کیدو اجازه ورکړي. NDAC د 802.1X تصدیق د توزیع وړ تصدیق پروتوکول سره د انعطاف وړ تصدیق کولو سره د خوندي تونل (EAP-FAST) له لارې د توسع وړ تصدیق پروتوکول (EAP) میتود په توګه د تصدیق ترسره کولو لپاره کاروي. د EAP-FAST خبرې اترې د زنځیرونو په کارولو سره د EAP-FAST تونل دننه د نورو EAP میتود تبادلو لپاره چمتو کوي. مدیران کولی شي د کارونکي تصدیق کولو دودیز میتودونه وکاروي ، لکه د مایکروسافټ ننګونې هینډ شیک تصدیق پروتوکول نسخه 2 (MSCHAPv2) ، پداسې حال کې چې لاهم د EAP-FAST تونل لخوا چمتو شوي امنیت لري. د EAP-FAST تبادلې په جریان کې، د تصدیق سرور غوښتنه کونکي ته یو ځانګړی خوندي لاسرسي سند (PAC) رامینځته کوي او وړاندې کوي چې پکې شریک کیلي او یو کوډ شوی نښه لري ترڅو د تصدیق سرور سره د راتلونکي خوندي اړیکو لپاره وکارول شي.
لاندې ارقام د EAP-FAST تونل او داخلي میتودونه ښیې لکه څنګه چې په سیسکو TrustSec کې کارول کیږي.
شکل 2: د Cisco TrustSec تصدیق
EAP-FAST ته د سیسکو ټرسټ سیک وده
د Cisco TrustSec لپاره د EAP-FAST پلي کول لاندې پرمختګونه لري:
- د تصدیق کونکي تصدیق کول - په خوندي ډول د تصدیق کونکي پیژندنه ټاکي ترڅو تصدیق کونکي ته اړتیا ولري چې خپل PAC وکاروي ترڅو د خپل او تصدیق سرور ترمینځ شریک کیلي ترلاسه کړي. دا خصوصیت تاسو ته د هر احتمالي IP پتې لپاره چې د تصدیق کونکي لخوا کارول کیدی شي د تصدیق کولو سرور کې د RADIUS شریک شوي کیلي تنظیم کولو څخه هم مخنیوی کوي.
- هر وسیلې ته د خپل ملګري د هویت خبر ورکړئ — د تصدیق تبادلې په پای کې ، د تصدیق سرور دواړه غوښتونکی او تصدیق کونکی پیژندلی. د تصدیق کولو سرور د تصدیق کونکي هویت وړاندې کوي ، او ایا تصدیق کونکی د Cisco TrustSec وړ دی ، غوښتونکي ته د خوندي شوي EAP-FAST پای ته رسیدو کې د اضافي ډول - اوږدوالي ارزښت پیرامیټرو (TLVs) په کارولو سره. د تصدیق کولو سرور د غوښتنلیک ورکوونکي هویت هم وړاندې کوي، او ایا غوښتونکی د سیسکو TrustSec وړ دی، تصدیق کونکي ته د لاسرسي - قبول پیغام کې د RADIUS ځانګړتیاو په کارولو سره.
ځکه چې هر وسیله د خپل ملګري پیژندنه پیژني، دا کولی شي اضافي RADIUS Access-Requests د تصدیق سرور ته واستوي ترڅو په لینک کې پلي کیدو پالیسي ترلاسه کړي.
802.1X د رول انتخاب
په 802.1X کې، تصدیق کونکی باید د تصدیق سرور سره IP ارتباط ولري ځکه چې دا باید د UDP/IP څخه د RADIUS په کارولو سره د غوښتونکي او تصدیق کونکي ترمینځ د تصدیق تبادله ریلي کړي. کله چې د پای ټکي وسیله، لکه کمپیوټر، له شبکې سره وصل شي، دا څرګنده ده چې دا باید د غوښتونکي په توګه کار وکړي. په هرصورت ، د دوه شبکې وسیلو ترمینځ د سیسکو ټرسټ سیک اتصال په حالت کې ، د هرې شبکې وسیلې 802.1X رول ممکن د بلې شبکې وسیلې ته سمدستي څرګند نه وي.
د دې پرځای چې د دوه نږدې سویچونو لپاره د تصدیق کونکي او غوښتونکي رولونو لاسي ترتیب ته اړتیا ولري ، سیسکو ټرسټ سیک د رول انتخاب الګوریتم پرمخ وړي ترڅو په اتوماتيک ډول وټاکي چې کوم سویچ د تصدیق کونکي په توګه کار کوي او کوم د غوښتونکي په توګه کار کوي. د رول انتخاب الګوریتم سویچ ته د تصدیق کونکي رول ګماري کوم چې د RADIUS سرور ته د IP لاسرسي وړتیا لري. دواړه سویچونه دواړه د تصدیق کونکي او غوښتونکي ریاست ماشینونه پیل کوي. کله چې یو سویچ معلومه کړي چې د هغې ملګری د RADIUS سرور ته لاس رسی لري، دا خپل د تصدیق کونکي ریاست ماشین پای ته رسوي او د غوښتونکي رول په غاړه اخلي. که دواړه سویچونه د RADIUS سرور ته لاسرسی ولري، لومړی سویچ چې د RADIUS سرور څخه ځواب ترلاسه کوي تصدیق کونکی کیږي او بل سویچ غوښتونکی کیږي.
د سیسکو ټرسټ سیک تصدیق لنډیز
د سیسکو TrustSec تصدیق کولو پروسې په پای کې، د تصدیق سرور لاندې کړنې ترسره کړې:
- د غوښتونکي او تصدیق کونکي هویت تایید کړ.
- د کارونکي تصدیق شوی که چیرې غوښتونکی د پای ټکی وسیله وي.
د Cisco TrustSec تصدیق کولو پروسې په پای کې، تصدیق کونکی او غوښتونکی دواړه لاندې پوهیږي:
- لاندې
- د ملګري د وسیلې ID
- د سیسکو TrustSec وړتیا معلومات د پیر
- کیلي د SAP لپاره کارول کیږي
د وسایلو پیژندنه
د Cisco TrustSec IP پتې یا MAC پتې د وسیلې پیژندنې په توګه نه کاروي. پرځای یې، تاسو هر سیسکو ټرسټ سیک وړ سویچ ته نوم (د وسیله ID) وټاکئ ترڅو دا په سیسکو ټرسټ سیک ډومین کې په ځانګړي ډول وپیژني. دا وسیله ID د لاندې لپاره کارول کیږي:
- د جواز پالیسي په لټه کې دي
- د تصدیق کولو پرمهال په ډیټابیس کې د رمزونو لټون
د وسایلو اعتبار
د سیسکو ټرسټ سیک د پټنوم پراساس اسناد ملاتړ کوي. د Cisco TrustSec غوښتنلیک ورکوونکي د پاسورډونو له لارې تصدیق کوي او د دوه اړخیز تصدیق چمتو کولو لپاره MSCHAPv2 کاروي.
د تصدیق کولو سرور دا اسناد د EAP-FAST مرحلې 0 (وړاندې کولو) تبادلې په جریان کې د غوښتونکي په دوه اړخیزه توګه تصدیق کولو لپاره کاروي چیرې چې په غوښتونکي کې PAC چمتو شوی. د سیسکو ټرسټ سیک د PAC پای ته رسیدو پورې د EAP-FAST مرحله 0 تبادله نه ترسره کوي، او یوازې د راتلونکي لینک راوستلو لپاره د EAP-FAST مرحله 1 او مرحله 2 تبادله ترسره کوي. د EAP-FAST مرحله 1 تبادله د PAC څخه کار اخلي ترڅو د تصدیق کولو سرور او غوښتونکی په دوه اړخیزه توګه تصدیق کړي. د سیسکو ټرسټ سیک د وسیلې اعتبار یوازې د PAC چمتو کولو (یا بیا تنظیم کولو) مرحلو په جریان کې کاروي.
کله چې غوښتونکی لومړی د Cisco TrustSec ډومین سره یوځای شي، د تصدیق کولو سرور غوښتنلیک ورکوونکی تصدیق کوي او د PAC سره غوښتونکي ته یوه شریکه کیلي او کوډ شوی ټوکن فشار ورکوي. د تصدیق کولو سرور او غوښتونکی دا کیلي او نښه د دوه اړخیز تصدیق لپاره په راتلونکي EAP-FAST مرحله 0 تبادلو کې کاروي.
د کارن اعتبار
د سیسکو TrustSec د پای ټکي وسیلو لپاره د ځانګړي ډول کارونکي اعتبار ته اړتیا نلري. تاسو کولی شئ د کارونکي تصدیق کولو هر ډول میتود غوره کړئ چې د تصدیق سرور لخوا ملاتړ کیږي ، او اړوند اسناد وکاروئ. د مثال لپارهample، د سیسکو خوندي لاسرسي کنټرول سیسټم (ACS) نسخه 5.1 د MSCHAPv2 مالتړ کوي، عمومي ټوکن کارت (GTC)، یا RSA یو ځل پټنوم (OTP)
د امنیت ګروپ پر بنسټ د لاسرسي کنټرول
دا برخه د امنیت ګروپ پر بنسټ د لاسرسي کنټرول لیستونو (SGACLs) په اړه معلومات وړاندې کوي.
دا برخه د امنیت ګروپ پر بنسټ د لاسرسي کنټرول لیستونو (SGACLs) په اړه معلومات وړاندې کوي.
امنیتي ډلې او SGTs
د امنیت ډله د کاروونکو، پای ټکي وسیلو، او سرچینو یوه ډله ده چې د لاسرسي کنټرول پالیسۍ شریکوي. امنیتي ګروپونه د سیسکو ISE یا Cisco Secure ACS کې د مدیر لخوا تعریف شوي. لکه څنګه چې د Cisco TrustSec ډومین ته نوي کاروونکي او وسایل اضافه شوي، د تصدیق کولو سرور دا نوې ادارې مناسبو امنیتي ډلو ته سپاري. د Cisco TrustSec هرې امنیتي ډلې ته یو ځانګړی 16-bit امنیتي ګروپ شمیره ورکوي چې ساحه یې د Cisco TrustSec ډومین کې نړیواله ده. په آلې کې د امنیتي ډلو شمیر د تصدیق شوي شبکې ادارو شمیر پورې محدود دی. تاسو اړتیا نلرئ په لاسي ډول د امنیت ګروپ شمیرې تنظیم کړئ.
د امنیت ډله د کاروونکو، پای ټکي وسیلو، او سرچینو یوه ډله ده چې د لاسرسي کنټرول پالیسۍ شریکوي. امنیتي ګروپونه د سیسکو ISE یا Cisco Secure ACS کې د مدیر لخوا تعریف شوي. لکه څنګه چې د Cisco TrustSec ډومین ته نوي کاروونکي او وسایل اضافه شوي، د تصدیق کولو سرور دا نوې ادارې مناسبو امنیتي ډلو ته سپاري. د Cisco TrustSec هرې امنیتي ډلې ته یو ځانګړی 16-bit امنیتي ګروپ شمیره ورکوي چې ساحه یې د Cisco TrustSec ډومین کې نړیواله ده. په آلې کې د امنیتي ډلو شمیر د تصدیق شوي شبکې ادارو شمیر پورې محدود دی. تاسو اړتیا نلرئ په لاسي ډول د امنیت ګروپ شمیرې تنظیم کړئ.
یوځل چې وسیله تصدیق شي ، د سیسکو ټرسټ سیک tags هر هغه پاکټ چې د دې وسیلې څخه د امنیت ډلې سره رامینځته کیږي tag (SGT) چې د وسیلې د امنیت ګروپ شمیره لري. کڅوړه دا SGT په ټوله شبکه کې د سیسکو ټرسټ سیک سرلیک کې لیږدوي. SGT یو واحد لیبل دی چې په ټوله تصدۍ کې د سرچینې امتیازات ټاکي.
ځکه چې SGT د سرچینې امنیتي ډله لري، د tag د سرچینې SGT په توګه راجع کیدی شي. د منزل وسیله هم یوې امنیتي ډلې (منزل SG) ته ګمارل شوې چې د منزل ګروپ په توګه د سادگي لپاره راجع کیدی شي tag (DGT)، که څه هم د ریښتیني سیسکو TrustSec پاکټ tag د منزل وسیلې د امنیت ګروپ شمیره نلري.
د امنیت ګروپ ACL ملاتړ
د امنیت ګروپ د لاسرسي کنټرول لیستونه (SGACLs) د پالیسۍ پلي کول دي چې له لارې یې مدیر کولی شي د کارونکي لخوا ترسره شوي عملیات کنټرول کړي ، د امنیت ګروپ دندې او منزل سرچینې پراساس. د سیسکو ټرسټسیک ډومین کې د پالیسۍ پلي کول د اجازې میټرکس لخوا نمایش کیږي، په یوه محور کې د سرچینې امنیت ګروپ شمیره او په بل محور کې د منزل امنیتي ګروپ شمیره. په میټرکس کې هر حجره د SGACLs یو ترتیب شوی لیست لري، کوم چې هغه اجازې مشخصوي چې باید د هغه پیکټو لپاره پلي شي چې د سرچینې امنیت ګروپ پورې اړه لري او د منزل IP لري چې د منزل امنیت ګروپ پورې اړه لري.
د امنیت ګروپ د لاسرسي کنټرول لیستونه (SGACLs) د پالیسۍ پلي کول دي چې له لارې یې مدیر کولی شي د کارونکي لخوا ترسره شوي عملیات کنټرول کړي ، د امنیت ګروپ دندې او منزل سرچینې پراساس. د سیسکو ټرسټسیک ډومین کې د پالیسۍ پلي کول د اجازې میټرکس لخوا نمایش کیږي، په یوه محور کې د سرچینې امنیت ګروپ شمیره او په بل محور کې د منزل امنیتي ګروپ شمیره. په میټرکس کې هر حجره د SGACLs یو ترتیب شوی لیست لري، کوم چې هغه اجازې مشخصوي چې باید د هغه پیکټو لپاره پلي شي چې د سرچینې امنیت ګروپ پورې اړه لري او د منزل IP لري چې د منزل امنیت ګروپ پورې اړه لري.
SGACL د امنیتي اتحادیې یا امنیتي ګروپ پر بنسټ د بې ریاسته لاسرسي کنټرول میکانیزم چمتو کوي tag د IP پتې او فلټرونو پرځای ارزښت. د SGACL پالیسۍ چمتو کولو لپاره درې لارې شتون لري:
- د جامد پالیسۍ چمتو کول: د SGACL پالیسۍ د کارونکي لخوا تعریف شوي د کمانډ cts رول پراساس اجازې په کارولو سره.
- د متحرک پالیسۍ چمتو کول: د SGACL پالیسیو ترتیب باید په ابتدايي توګه د سیسکو سیکور ACS یا د سیسکو پیژندنې خدماتو انجن د پالیسۍ مدیریت فعالیت له لارې ترسره شي.
- د واک بدلول (CoA): تازه شوې پالیسي ډاونلوډ کیږي کله چې د SGACL پالیسي په ISE کې تعدیل کیږي او CoA د سیسکو ټرسټ سیک وسیلې ته فشار ورکول کیږي.
د وسیلې ډیټا الوتکه د پالیسي چمتو کونکي (ISE) څخه CoA پاکټونه ترلاسه کوي او پالیسي د CoA پاکټونو ته پلي کوي. بیا کڅوړې د وسیلې کنټرول الوتکې ته لیږل کیږي چیرې چې د راتلونکي CoA کڅوړو لپاره د پالیسۍ پلي کولو راتلونکي کچه پیښیږي. ته view د هارډویر او سافټویر پالیسي کاونټر هټ معلومات، د شو cts رول پراساس کاونټر کمانډ په امتیازي EXEC حالت کې پرمخ وړئ.
د SGACL پالیسۍ
د امنیت ګروپ لاسرسي کنټرول لیستونو (SGACLs) په کارولو سره ، تاسو کولی شئ هغه عملیات کنټرول کړئ چې کارونکي یې د کاروونکو او منزل سرچینو د امنیت ګروپ دندې پراساس ترسره کولی شي. د سیسکو ټرسټ سیک ډومین کې د پالیسۍ پلي کول د اجازې میټرکس لخوا نمایش کیږي، په یوه محور کې د سرچینې امنیت ګروپ شمیرې او په بل محور کې د منزل امنیتي ګروپ شمیرې. د میټریکس په بدن کې هر حجره کولی شي د SGACLs ترتیب شوی لیست ولري کوم چې هغه اجازې مشخصوي چې باید د سرچینې امنیت ګروپ څخه رامینځته شوي او د منزل امنیت ګروپ لپاره ټاکل شوي پاکټونو باندې پلي شي.
لاندې ارقام یو پخوانی ښیېampد یو ساده ډومین لپاره د Cisco TrustSec اجازې میټرکس د درې تعریف شوي کاروونکي رولونو او یو ټاکل شوي منزل سرچینې سره. د SGACL درې پالیسۍ د کارونکي رول پراساس د منزل سرور ته لاسرسی کنټرولوي.
شکل 3: د SGACL پالیسي میټریکس Example
امنیتي ډلو ته په شبکه کې د کاروونکو او وسایلو په ټاکلو او د امنیتي ډلو ترمنځ د لاسرسي کنټرول پلي کولو سره، Cisco TrustSec په شبکه کې د رول پر بنسټ ټوپولوژي - خپلواک لاسرسي کنټرول ترلاسه کوي. ځکه چې SGACLs د IP پتې پر ځای د وسیلې پیژندنې پراساس د لاسرسي کنټرول پالیسۍ تعریفوي لکه څنګه چې په دودیز ACLs کې دي ، د شبکې وسیلې په ټوله شبکه کې حرکت کولو او IP پتې بدلولو لپاره وړیا دي.
تر هغه چې رولونه او اجازې ورته پاتې وي، د شبکې ټوپولوژي کې بدلونونه د امنیت پالیسي نه بدلوي. کله چې یو کاروونکي وسیله ته اضافه شي، تاسو په ساده ډول کاروونکي یو مناسب امنیتي ګروپ ته وټاکئ او کاروونکي سمدلاسه د دې ډلې اجازه ترلاسه کوي.
تر هغه چې رولونه او اجازې ورته پاتې وي، د شبکې ټوپولوژي کې بدلونونه د امنیت پالیسي نه بدلوي. کله چې یو کاروونکي وسیله ته اضافه شي، تاسو په ساده ډول کاروونکي یو مناسب امنیتي ګروپ ته وټاکئ او کاروونکي سمدلاسه د دې ډلې اجازه ترلاسه کوي.
د SGACL تګلارې په هغه ټرافیک باندې پلي کیږي چې د دوه کوربه وسیلو تر مینځ رامینځته کیږي ، نه هغه ترافیک ته چې له یوې وسیلې څخه پای کوربه وسیلې ته رامینځته کیږي.د رول پراساس اجازې کارول د ACLs اندازه خورا کموي او د دوی ساتنه اسانه کوي. د Cisco TrustSec سره، د لاسرسي کنټرول ننوتلو شمیره (ACEs) ترتیب شوي د ټاکل شوي اجازو شمیر لخوا ټاکل کیږي، په پایله کې د دودیز IP شبکې په پرتله د ACEs خورا لږ شمیر. په Cisco TrustSec کې د SGACLs کارول معمولا د دودیزو ACLs په پرتله د TCAM سرچینو ډیر اغیزمن کارونې پایله لري. د کټالیست 17,500 لړۍ سویچونو کې د اعظمي حد 9500 SGACL پالیسۍ ملاتړ کیږي. په کتلست 9500 د لوړ فعالیت لړۍ سویچونو کې، د SGACL اعظمي حد 28,224 پالیسۍ ملاتړ کیږي.
ننوتل Tagging او Egress تطبیق
د سیسکو TrustSec لاسرسي کنټرول د ننوتلو په کارولو سره پلي کیږي tagging او egress تطبیق. د Cisco TrustSec ډومین ته د ننوتلو په وخت کې، د سرچینې څخه ترافیک دی tagد SGT سره ged چې د سرچینې ادارې د امنیت ګروپ شمیره لري. SGT په ټول ډومین کې د ټرافیک سره تبلیغ شوی. د سیسکو ټرسټ سیک ډومین د وتلو په نقطه کې، د وتلو وسیله د سرچینې SGT او د منزل ادارې (د منزل SG، یا DGT) د امنیت ګروپ شمیره کاروي ترڅو معلومه کړي چې د SGACL پالیسي میټرکس څخه د لاسرسي پالیسي پلي کیږي.
لاندې ارقام ښیې چې څنګه د SGT دنده او د SGACL پلي کول په سیسکو TrustSec ډومین کې کار کوي.
شکل 4: SGT او SGACL په سیسکو TrustSec ډومین کې
- کوربه کمپیوټر ته یو پاکټ لیږدوي web سرور که څه هم د PC او د web سرور د Cisco TrustSec ډومین غړي ندي، د کڅوړې ډیټا لاره کې د Cisco TrustSec ډومین شامل دي.
- د سیسکو ټرسټ سیک انګریس وسیله پیکټ بدلوي ترڅو د امنیت ګروپ نمبر 3 سره SGT اضافه کړي، د امنیت ګروپ شمیره چې د کوربه کمپیوټر لپاره د تصدیق سرور لخوا ټاکل شوې.
- د سیسکو ټرسټ سیک ایګریس وسیله د SGACL پالیسي پلي کوي چې د سرچینې ګروپ 3 او د منزل ګروپ 4 باندې پلي کیږي، د امنیت ګروپ شمیره چې د تصدیق کولو سرور لخوا ټاکل شوې. web سرور
- که چیرې SGACL پاکټ ته د لیږلو اجازه ورکړي، د سیسکو ټرسټ سیک ایګریس سویچ د SGT د لرې کولو لپاره پاکټ بدلوي او پاکټ ته لیږدوي. web سرور
د سرچینې امنیت ګروپ ټاکل
د سیسکو ټرسټ سیک ډومین ته د ننوتلو پرمهال د شبکې وسیله باید د سیسکو ټرسټ سیک ډومین ته د ننوتلو کڅوړې SGT وټاکي ترڅو دا وکولی شي tag د دې SGT سره پیکټ کله چې دا د سیسکو ټرسټ سیک ډومین ته لیږي. د وتلو شبکې وسیله باید د SGACL پلي کولو لپاره د کڅوړې SGT وټاکي.
د شبکې وسیله کولی شي د لاندې میتودونو څخه په یوه کې د کڅوړې لپاره SGT وټاکي:
- د پالیسۍ استملاک پرمهال د سرچینې SGT ترلاسه کړئ — د Cisco TrustSec تصدیق کولو مرحلې وروسته، د شبکې وسیله د تصدیق کولو سرور څخه د پالیسۍ معلومات ترلاسه کوي، کوم چې دا په ګوته کوي چې آیا د ملګري وسیله باور لري که نه. که چیرې د پیر وسیله باوري نه وي ، نو بیا د تصدیق کولو سرور کولی شي SGT چمتو کړي ترڅو د پیر وسیلې څخه راځي ټولو پاکټونو ته پلي شي.
- د کڅوړې څخه سرچینه SGT ترلاسه کړئ - که چیرې یو کڅوړه د باور وړ ملګري وسیلې څخه راشي ، نو کڅوړه SGT لري. دا د شبکې وسیله باندې تطبیق کیږي چې د سیسکو TrustSec ډومین کې د کڅوړې لپاره لومړی د شبکې وسیله نه ده.
- د سرچینې پیژندنې پراساس د سرچینې SGT وګورئ — د پیژندنې پورټ میپینګ (IPM) سره ، تاسو کولی شئ په لاسي ډول لینک د وصل شوي ملګري پیژندنې سره تنظیم کړئ. د شبکې وسیله د پالیسۍ معلوماتو غوښتنه کوي، په شمول د SGT او باور حالت، د تصدیق سرور څخه.
- سرچینه SGT د سرچینې IP پتې پراساس وګورئ — په ځینو مواردو کې ، تاسو کولی شئ په لاسي ډول پالیسي ترتیب کړئ ترڅو د یوې کڅوړې SGT د هغې سرچینې IP پتې پراساس پریکړه وکړئ. د SGT تبادلې پروتوکول (SXP) کولی شي د IP پته څخه SGT نقشه کولو جدول هم ډک کړي.
د منزل امنیت ګروپ ټاکل
د سیسکو TrustSec ډومین کې د وتلو شبکې وسیله د SGACL پلي کولو لپاره د منزل ګروپ (DGT) ټاکي. د شبکې وسیله د پیکټ لپاره د منزل امنیت ګروپ ټاکي د ورته میتودونو په کارولو سره چې د سرچینې امنیت ګروپ ټاکلو لپاره کارول کیږي، پرته له یوې کڅوړې څخه د ګروپ شمیره ترلاسه کول. tag. د منزل امنیت ګروپ شمیره په کڅوړه کې شامله نه ده tag.
په ځینو مواردو کې، د ننوتلو وسایل یا نور غیر وتلو وسایل ممکن د منزل ګروپ معلومات شتون ولري. په دې قضیو کې، SGACLs کیدای شي په دې وسیلو کې د وتلو وسیلو پرځای پلي شي.
په روډ شوي او بدل شوي ترافیک کې د SGACL پلي کول
د SGACL تطبیق یوازې په IP ټرافیک کې پلي کیږي، مګر پلي کول په روټ شوي یا بدل شوي ترافیک باندې پلي کیدی شي.
د روټ شوي ترافیک لپاره ، د SGACL پلي کول د ایګریس سویچ لخوا ترسره کیږي ، په ځانګړي توګه د توزیع سویچ یا د لاسرسي سویچ د لارې شوي بندر سره چې د منزل کوربه سره وصل وي. کله چې تاسو په نړیواله کچه د SGACL پلي کول فعال کړئ، تطبیق په اتوماتيک ډول د SVI انټرفیسونو پرته په هر پرت 3 انٹرفیس کې فعال کیږي.
د SGACL تطبیق یوازې په IP ټرافیک کې پلي کیږي، مګر پلي کول په روټ شوي یا بدل شوي ترافیک باندې پلي کیدی شي.
د روټ شوي ترافیک لپاره ، د SGACL پلي کول د ایګریس سویچ لخوا ترسره کیږي ، په ځانګړي توګه د توزیع سویچ یا د لاسرسي سویچ د لارې شوي بندر سره چې د منزل کوربه سره وصل وي. کله چې تاسو په نړیواله کچه د SGACL پلي کول فعال کړئ، تطبیق په اتوماتيک ډول د SVI انټرفیسونو پرته په هر پرت 3 انٹرفیس کې فعال کیږي.
د بدل شوي ټرافیک لپاره، د SGACL پلي کول په ټرافیک کې ترسره کیږي پرته له کوم روټینګ فعالیت څخه د یو واحد سویچ کولو ډومین دننه جریان لري. یو پخوانیampدا به د SGACL تطبیق وي چې د دوه مستقیم وصل شوي سرورونو ترمینځ د سرور څخه تر سرور ترافیک باندې د ډیټا سنټر لاسرسي سویچ لخوا ترسره کیږي. په دې کې پخوانيample، د سرور څخه تر سرور ټرافیک به عموما بدل شي. د SGACL تطبیق په VLAN کې بدل شوي پاکټونو باندې پلي کیدی شي یا د VLAN سره تړلي SVI ته لیږل شوي، مګر تطبیق باید د هر VLAN لپاره په ښکاره ډول فعال شي.
د SGACL ننوتل او د ACE احصایې
کله چې په SGACL کې لاګنګ فعال شي، وسیله لاندې معلومات ثبتوي:
- د سرچینې امنیتي ډله tag (SGT) او منزل SGT
- د SGACL پالیسۍ نوم
- د کڅوړې پروتوکول ډول
- هغه عمل چې په کڅوړه کې ترسره کیږي
د لاګ اختیار په انفرادي ACEs باندې تطبیق کیږي او د هغه کڅوړو لامل کیږي چې د ACE سره سمون لري د ننوتلو لپاره. د لوګ کلیدي کلمې لخوا ننوتل شوی لومړی کڅوړه د سیسلاګ پیغام رامینځته کوي. ورپسې لاګ پیغامونه په پنځه دقیقو وقفو کې رامینځته کیږي او راپور ورکول کیږي. که چیرې د لاګنګ فعال شوي ACE د بل پاکټ سره سمون ولري (د هغه پیکټ سره ورته ځانګړتیاو سره چې د لاګ پیغام رامینځته کړي) ، د میچ شوي کڅوړو شمیر ډیریږي (کاونټرونه) او بیا راپور ورکول کیږي.
د ننوتلو وړ کولو لپاره، د SGACL ترتیب کې د ACE تعریف مخې ته د log کلیدي کلمه وکاروئ. د مثال لپارهample، اجازه ip log.
کله چې د SGACL لاګنګ فعال شي، د ICMP غوښتنې پیغامونه د وسیلې څخه پیرودونکي ته د ننوتلو لپاره ندي
IPv4 او IPv6 پروتوکولونه. خو; د ICMP ځواب پیغامونه د پیرودونکي څخه آلې ته ننوتل شوي.
IPv4 او IPv6 پروتوکولونه. خو; د ICMP ځواب پیغامونه د پیرودونکي څخه آلې ته ننوتل شوي.
په لاندې ډول دیample log، د سرچینې او منزل SGTs ښودل، د ACE میچونه (د اجازې یا رد عمل لپاره)، او پروتوکول، د TCP، UDP، IGMP، او ICMP معلومات:
*جون 2 08:58:06.489: %C4K_IOSINTF-6-SGACLHIT: لیست deny_udp_src_port_log-30 رد شوی udp 24.0.0.23(100) -> 28.0.0.91(100)، SGT8 D
د موجوده 'فی حجرې' SGACL احصایو سربیره ، کوم چې د شو cts رول پراساس په کارولو سره ښودل کیدی شي
د counters کمانډ، تاسو کولی شئ د شو ip access-list sgacl_name کمانډ په کارولو سره د ACE احصایې هم ښکاره کړئ. د دې لپاره هیڅ اضافي ترتیب ته اړتیا نشته.
لاندې پخوانيample ښیې چې تاسو څنګه کولی شئ د ACE شمیرې ښودلو لپاره د شو ip لاسرسي لیست کمانډ وکاروئ
د counters کمانډ، تاسو کولی شئ د شو ip access-list sgacl_name کمانډ په کارولو سره د ACE احصایې هم ښکاره کړئ. د دې لپاره هیڅ اضافي ترتیب ته اړتیا نشته.
لاندې پخوانيample ښیې چې تاسو څنګه کولی شئ د ACE شمیرې ښودلو لپاره د شو ip لاسرسي لیست کمانډ وکاروئ
وسیله # د ip لاسرسي کنټرول deny_udp_src_port_log-30 ښیې
د رول پر بنسټ IP لاسرسي لیست deny_udp_src_port_log-30 (ډونلوډ شوی)
10 انکار udp src eq 100 log (283 میچونه)
د 20 اجازه لیک ip log (50 میچونه)
د رول پر بنسټ IP لاسرسي لیست deny_udp_src_port_log-30 (ډونلوډ شوی)
10 انکار udp src eq 100 log (283 میچونه)
د 20 اجازه لیک ip log (50 میچونه)
کله چې راتلونکی ټرافیک د سیل سره سمون خوري، مګر د حجرې SGACL سره سمون نه لري، ټرافیک ته اجازه ورکول کیږي او شمیرونکي د حجرې لپاره HW-Permit کې زیاتیږي.لاندې پخوانيample ښیي چې د حجرې SGACL څنګه کار کوي:
د SGACL پالیسي له 5 څخه تر 18 پورې د "انکار icmp ایکو" سره ترتیب شوې او د TCP سرلیک سره له 5 څخه تر 18 پورې راتلونکی ترافیک شتون لري. که چیرې حجره له 5 څخه تر 18 پورې میچ کوي مګر ترافیک د icmp سره سمون نه لري ، ترافیک ته به اجازه ورکړل شي او د حجرې 5 څخه تر 18 پورې HW-Permit کاونټر به ډیر شي.
د VRF خبرتیا SGACL ننوتل
د SGACL سیسټم لاګونو کې به د VRF معلومات شامل وي. د هغو ساحو سربیره چې اوس مهال ثبت شوي، د ننوتلو معلوماتو کې به د VRF نوم شامل وي. د ننوتلو تازه معلومات به په لاندې ډول ښودل شوي وي:
*نومبر 15 02:18:52.187: %RBM-6-SGACLHIT_V6: ingress_interface='GigabitEthernet1/0/15′ sgacl_name='IPV6_TCP_DENY' عمل = 'انکار' پروتوکول='tcps-VrcsFrfts='tcp' -ip='25::2′ src-port='20'
dest-vrf='CTS-VRF' dest-ip='49::2′ dest-port='30' sgt='200′ dgt='500′ logging_interval_hits='1′
dest-vrf='CTS-VRF' dest-ip='49::2′ dest-port='30' sgt='200′ dgt='500′ logging_interval_hits='1′
د SGACL مانیټر حالت
د سیسکو TrustSec د ګمارنې دمخه مرحلې په جریان کې ، یو مدیر به د امنیت تګلارې ازموینې لپاره د نظارت حالت وکاروي پرته لدې چې دوی پلي کړي ترڅو ډاډ ترلاسه کړي چې پالیسي د هدف سره سم فعالیت کوي. که چیرې امنیتي پالیسي د هدف سره سم کار ونه کړي، د څارنې حالت د دې پیژندلو لپاره یو مناسب میکانیزم چمتو کوي او د SGACL پلي کولو فعالولو دمخه د پالیسۍ سمولو فرصت برابروي. دا مدیرانو ته دا توان ورکوي چې د پالیسي عملونو پایلو ته د لید لید ډیر کړي مخکې لدې چې دوی پلي کړي ، او تایید کړي چې د موضوع پالیسي د امنیت اړتیاوې پوره کوي) سرچینو ته لاسرسی منع دی که چیرې کاروونکي نه وي
مجاز).
د څارنې وړتیا د SGT-DGT جوړه په کچه چمتو کیږي. کله چې تاسو د SGACL څارنې حالت فعال کړئ، د انکار عمل په لاین کارتونو کې د ACL جواز په توګه پلي کیږي. دا د SGACL شمیرونکو او لاګنګ ته اجازه ورکوي چې وښیې چې څنګه اړیکې د SGACL پالیسۍ لخوا اداره کیږي. څرنګه چې ټول څارل شوي ټرافیک ته اجازه ورکړل شوې، د SGACLs له امله د خدماتو هیڅ خنډ شتون نلري پداسې حال کې چې د SGACL مانیټر حالت کې وي.
د سیسکو TrustSec د ګمارنې دمخه مرحلې په جریان کې ، یو مدیر به د امنیت تګلارې ازموینې لپاره د نظارت حالت وکاروي پرته لدې چې دوی پلي کړي ترڅو ډاډ ترلاسه کړي چې پالیسي د هدف سره سم فعالیت کوي. که چیرې امنیتي پالیسي د هدف سره سم کار ونه کړي، د څارنې حالت د دې پیژندلو لپاره یو مناسب میکانیزم چمتو کوي او د SGACL پلي کولو فعالولو دمخه د پالیسۍ سمولو فرصت برابروي. دا مدیرانو ته دا توان ورکوي چې د پالیسي عملونو پایلو ته د لید لید ډیر کړي مخکې لدې چې دوی پلي کړي ، او تایید کړي چې د موضوع پالیسي د امنیت اړتیاوې پوره کوي) سرچینو ته لاسرسی منع دی که چیرې کاروونکي نه وي
مجاز).
د څارنې وړتیا د SGT-DGT جوړه په کچه چمتو کیږي. کله چې تاسو د SGACL څارنې حالت فعال کړئ، د انکار عمل په لاین کارتونو کې د ACL جواز په توګه پلي کیږي. دا د SGACL شمیرونکو او لاګنګ ته اجازه ورکوي چې وښیې چې څنګه اړیکې د SGACL پالیسۍ لخوا اداره کیږي. څرنګه چې ټول څارل شوي ټرافیک ته اجازه ورکړل شوې، د SGACLs له امله د خدماتو هیڅ خنډ شتون نلري پداسې حال کې چې د SGACL مانیټر حالت کې وي.
واک ورکول او د پالیسۍ استملاک
د وسیلې تصدیق پای ته رسیدو وروسته ، غوښتونکی او تصدیق کونکی دواړه د تصدیق سرور څخه امنیت پالیسي ترلاسه کوي. دوه ملګري بیا د لینک جواز ترسره کوي او د دوی د سیسکو ټرسټ سیک وسیلې IDs پراساس د یو بل پروړاندې د لینک امنیت پالیسي پلي کوي. د لینک تصدیق کولو میتود د 802.1X یا لاسي تصدیق په توګه تنظیم کیدی شي. که د لینک امنیت 802.1X وي، هر ملګری د تصدیق کولو سرور څخه ترلاسه شوي وسیله ID کاروي. که د لینک امنیت لارښود وي، نو تاسو باید د پییر وسیلې IDs وټاکئ.
د تصدیق کولو سرور لاندې پالیسۍ ځانګړتیاوې بیرته راګرځوي:
- د سیسکو ټرسټ سیک اعتماد - دا په ګوته کوي چې ایا د پییر وسیله باید په کڅوړو کې د SGT ایښودلو لپاره باور ولري.
- Peer SGT — هغه امنیتي ګروپ په ګوته کوي چې ملګری یې تړاو لري. که ملګري باوري نه وي، د ملګري څخه ترلاسه شوي ټول پاکټونه دي tagد دې SGT سره ged. که چیرې وسیله نه پوهیږي چې ایا کوم SGACLs د ملګري SGT سره تړاو لري ، وسیله ممکن د SGACLs ډاونلوډ کولو لپاره د تصدیق سرور ته د تعقیب غوښتنه واستوي.
- د واک د پای ته رسیدو وخت - د پالیسۍ له پای ته رسیدو دمخه د ثانیو شمیر په ګوته کوي. د سیسکو ټرسټ سیک وسیله باید د وخت پای ته رسیدو دمخه خپله پالیسي او واک تازه کړي. وسیله کولی شي د تصدیق او پالیسۍ ډیټا ذخیره کړي او د ریبوټ وروسته یې بیا وکاروي که چیرې ډاټا پای ته نه وي رسیدلی.
هر Cisco TrustSec وسیله باید د لږ تر لږه ډیفالټ لاسرسي پالیسي ملاتړ وکړي که چیرې دا نشي کولی د تصدیق سرور سره اړیکه ونیسي ترڅو د ملګري لپاره مناسبه پالیسي ترلاسه کړي.د NDAC او SAP د خبرو اترو بهیر په لاندې شکل کې ښودل شوی
شکل 5: د NDAC او SAP خبرې اترې
د چاپیریال ډیټا ډاونلوډ
د Cisco TrustSec چاپیریال ډیټا د معلوماتو یا پالیسیو ټولګه ده چې د وسیلې سره د سیسکو ټرسټ سیک نوډ په توګه کار کولو کې مرسته کوي. وسیله د تصدیق کولو سرور څخه د چاپیریال ډیټا ترلاسه کوي کله چې وسیله لومړی د سیسکو ټرسټ سیک ډومین سره یوځای کیږي ، که څه هم تاسو ممکن په وسیله کې ځینې ډاټا په لاسي ډول تنظیم کړئ. د مثال لپارهample، تاسو باید د تخم سیسکو TrustSec وسیله د تصدیق کولو سرور معلوماتو سره تنظیم کړئ، کوم چې وروسته د سرور لیست لخوا وده کولی شي چې وسیله د تصدیق کولو سرور څخه ترلاسه کوي.
وسیله باید د پای ته رسیدو دمخه د سیسکو ټرسټ سیک چاپیریال ډیټا تازه کړي. وسیله کولی شي د چاپیریال ډیټا هم ذخیره کړي او د ریبوټ وروسته یې بیا وکاروي که چیرې ډاټا پای ته نه وي رسیدلی.
وسیله د تصدیق کولو سرور څخه د لاندې چاپیریال ډیټا ترلاسه کولو لپاره RADIUS کاروي:
- د سرور لیستونه: د سرورونو لیست چې پیرودونکي کولی شي د راتلونکي RADIUS غوښتنو لپاره (دواړه تصدیق او جواز لپاره) وکاروي. د PAC ریفریش د دې سرورونو له لارې پیښیږي.
- د وسیلې SG: د امنیت ګروپ چې وسیله پخپله تړاو لري.
- د ختمیدو وخت: وقفه چې کنټرول کوي څو څو ځله د سیسکو ټرسټ سیک وسیله باید د خپل چاپیریال ډیټا تازه کړي.
د RADIUS ریلي فعالیت
هغه وسیله چې د 802.1X تصدیق کولو پروسې کې د سیسکو ټرسټ سیک تصدیق کونکي رول لوبوي د تصدیق سرور سره IP ارتباط لري ، وسیلې ته اجازه ورکوي چې د UDP/IP په اړه د RADIUS پیغامونو تبادله کولو سره د تصدیق سرور څخه پالیسي او واک ترلاسه کړي. د غوښتونکی وسیله ممکن د تصدیق سرور سره IP ارتباط ونه لري. په داسې حاالتو کې، د Cisco TrustSec تصدیق کونکي ته اجازه ورکوي چې د غوښتونکي لپاره د RADIUS ریل په توګه عمل وکړي.
غوښتونکی یو ځانګړی EAPOL پیغام تصدیق کونکي ته لیږي چې د RADIUS سرور IP پته او UDP پورټ او د RADIUS بشپړ غوښتنه لري. تصدیق کونکی د ترلاسه شوي EAPOL پیغام څخه د RADIUS غوښتنه استخراجوي او د UDP/IP له لارې د تصدیق سرور ته لیږي. کله چې د RADIUS ځواب د تصدیق کولو سرور څخه بیرته راستون شي، تصدیق کونکی پیغام بیرته غوښتونکي ته لیږي، د EAPOL چوکاټ کې پوښل شوی.
د لینک امنیت
کله چې د لینک دواړه خواوې د 802.1AE میډیا لاسرسي کنټرول امنیت (MACsec) ملاتړ کوي ، د امنیت اتحادیې پروتوکول (SAP) خبرې اترې ترسره کیږي. د EAPOL-Key تبادله د غوښتونکي او تصدیق کونکي تر مینځ واقع کیږي ترڅو د سیفر سویټ خبرې اترې وکړي، امنیتي پیرامیټونه تبادله کړي، او کیلي اداره کړي. د ټولو دریو دندو په بریالیتوب سره بشپړیدل د امنیتي اتحادیې (SA) د رامینځته کیدو پایله ده.
ستاسو د سافټویر نسخه پورې اړه لري، د کریپټو جواز ورکول، او د هارډویر لینک مالتړ، د SAP خبرې اترې کولی شي د عملیاتو لاندې طریقو څخه یو وکاروي:
- Galois/Counter Mode (GCM) - تصدیق او کوډ کول مشخص کوي
- د GCM تصدیق (GMAC) - تصدیق مشخص کوي او هیڅ کوډ نلري
- هیڅ انکیپسولیشن نه - هیڅ انکیپسول نه مشخص کوي (واضح متن)
- Null — د کوډ کولو مشخص کول، نه تصدیق او نه کوډ کول
ټول حالتونه پرته له کوم انکپسولیشن څخه د سیسکو ټرسټ سیک وړ هارډویر ته اړتیا لري.
د لینک امنیت لپاره SAP-PMK تنظیم کول
SXP د میراث لاسرسي شبکې کې د SGT تبلیغ لپاره
Tagد SGTs سره د جینګ پاکټونه د هارډویر ملاتړ ته اړتیا لري. تاسو ممکن په خپل شبکه کې داسې وسایل ولرئ چې په داسې حال کې چې د Cisco TrustSec تصدیق کې برخه اخیستلو وړتیا لري، د هارډویر وړتیا نلري tag سره کڅوړې
Tagد SGTs سره د جینګ پاکټونه د هارډویر ملاتړ ته اړتیا لري. تاسو ممکن په خپل شبکه کې داسې وسایل ولرئ چې په داسې حال کې چې د Cisco TrustSec تصدیق کې برخه اخیستلو وړتیا لري، د هارډویر وړتیا نلري tag سره کڅوړې
SGTs. د SGT ایکسچینج پروتوکول (SXP) په کارولو سره، دا وسایل کولی شي IP-address-to-SGT نقشه د Cisco TrustSec peer وسیلې ته انتقال کړي چې د Cisco TrustSec وړ هارډویر لري.
SXP عموما د سیسکو TrustSec ډومین څنډه کې د ننوتلو لاسرسي پرت وسیلو او د Cisco TrustSec ډومین دننه د توزیع پرت وسیلو ترمنځ کار کوي. د لاسرسي پرت وسیله د بهرنۍ سرچینې وسیلو سیسکو TrustSec تصدیق کوي ترڅو د ننوتلو کڅوړو لپاره مناسب SGTs وټاکي. د لاسرسي پرت وسیله د سرچینې وسیلو IP پتې د IP وسیلې تعقیب او (اختیاري) DHCP سنوپ کولو په کارولو سره زده کوي ، بیا SXP کاروي ترڅو د سرچینې وسیلو IP پتې د دوی SGTs سره د توزیع وسیلو ته انتقال کړي.
د سیسکو ټرسټ سیک وړ هارډویر سره د توزیع وسیلې کولی شي دا IP-to-SGT نقشه کولو معلومات وکاروي tag په مناسب ډول بسته بندي کول او د SGACL پالیسیو پلي کول.
شکل 6: د SGT معلوماتو د خپرولو لپاره د SXP پروتوکول
تاسو باید په لاسي ډول د سیسکو ټرسټ سیک هارډویر ملاتړ پرته د پیر او د سیسکو ټرسټ سیک هارډویر ملاتړ سره یو ملګری تر مینځ د SXP اړیکه په لاسي ډول تنظیم کړئ. د SXP اتصال تنظیمولو په وخت کې لاندې کارونو ته اړتیا ده:
- که تاسو د SXP ډیټا بشپړتیا او تصدیق ته اړتیا لرئ ، نو تاسو باید ورته SXP پټنوم په دواړو شریک وسیلو کې تنظیم کړئ. تاسو کولی شئ د SXP پټنوم یا په ښکاره ډول د هر ملګری پیوستون لپاره یا په نړیواله کچه د وسیلې لپاره تنظیم کړئ. که څه هم د SXP پټنوم ته اړتیا نشته، موږ د هغې کارولو وړاندیز کوو.
- تاسو باید د SXP پیوستون کې هر ملګری د SXP سپیکر یا د SXP اوریدونکي په توګه تنظیم کړئ. د سپیکر وسیله د IP-to-SGT نقشه کولو معلومات اوریدونکي وسیله ته توزیع کوي.
- تاسو کولی شئ د هرې ګډې اړیکې لپاره کارولو لپاره د سرچینې IP پته مشخص کړئ یا تاسو کولی شئ د ملګرو اړیکو لپاره د ډیفالټ سرچینې IP پته تنظیم کړئ چیرې چې تاسو د ځانګړي سرچینې IP پته نه ده تنظیم کړې. که تاسو د کومې سرچینې IP پته مشخص نه کړئ، وسیله به د پییر سره د پیوستون د انٹرفیس IP پته وکاروي.
SXP ډیری هپس ته اجازه ورکوي. دا دی، که د یوې وسیلې ملګری چې د سیسکو ټرسټسیک هارډویر ملاتړ نلري هم د سیسکو ټرسټسیک هارډویر ملاتړ نلري ، دوهم ملګری کولی شي د دریم ملګري سره SXP اړیکه ولري ، د IP-to-SGT نقشه کولو معلوماتو تبلیغ ته دوام ورکوي تر هغه چې هارډویر- وړ ملګری ته رسیدلی دی. یو وسیله د یو SXP پیوستون لپاره د SXP اوریدونکي په توګه د بل SXP پیوستون لپاره د SXP سپیکر په توګه تنظیم کیدی شي.
د سیسکو ټرسټ سیک وسیله د TCP ساتلو میکانیزم په کارولو سره د خپلو SXP ملګرو سره اړیکه ساتي.
د پییر اتصال رامینځته کولو یا بحالولو لپاره ، وسیله به په مکرر ډول د تنظیم کولو وړ بیا هڅې مودې په کارولو سره د پیوستون تنظیم کولو هڅه وکړي تر هغه چې پیوستون بریالی وي یا تر هغه چې پیوستون له ترتیب څخه لرې شوی وي.
د پییر اتصال رامینځته کولو یا بحالولو لپاره ، وسیله به په مکرر ډول د تنظیم کولو وړ بیا هڅې مودې په کارولو سره د پیوستون تنظیم کولو هڅه وکړي تر هغه چې پیوستون بریالی وي یا تر هغه چې پیوستون له ترتیب څخه لرې شوی وي.
پرت 3 SGT ټرانسپورټ د غیر باوري سیمو پراخولو لپاره
کله چې یو پاکټ د غیر ټرسټ سیک منزل لپاره د سیسکو ټرسټ سیک ډومین پریږدي، د egress Cisco TrustSec وسیله د سیسکو TrustSec سرلیک او SGT لرې کوي مخکې له دې چې پاکټ بهر شبکې ته ولیږدوي. که چیرې، که څه هم، کڅوړه یوازې د یو غیر ټرسټ سیک ډومین څخه د بل سیسکو TrustSec ډومین په لاره کې تیریږي، لکه څنګه چې په لاندې شکل کې ښودل شوي، SGT د Cisco TrustSec Layer 3 SGT ټرانسپورټ ځانګړتیا په کارولو سره ساتل کیدی شي. په دې خصوصیت کې، د egress Cisco TrustSec وسیله د ESP سرلیک سره کڅوړه پوښي چې د SGT یوه کاپي پکې شامله ده. کله چې تړل شوی پاکټ راتلونکي سیسکو ټرسټ سیک ډومین ته راشي ، د انګریس سیسکو ټرسټ سیک وسیله د ESP انکیپسولیشن لرې کوي او د دې SGT سره پاکټ تبلیغ کوي.
شکل 7: د غیر ټرسټ سیک ډومین پراخه کول
د Cisco TrustSec Layer 3 SGT ټرانسپورټ مالتړ لپاره، هر هغه وسیله چې د Cisco TrustSec داخلې یا Egress Layer 3 ګیټ وے په توګه کار کوي باید د ټرافیک پالیسۍ ډیټابیس وساتي چې په لیرې پرتو سیسکو TrustSec ډومینونو کې د وړ وړ فرعي نیټونو لیست کوي او همدارنګه په دې سیمو کې کوم خارج شوي فرعي نیټونه. تاسو کولی شئ دا ډیټابیس په هر وسیله په لاسي ډول تنظیم کړئ که چیرې دوی د سیسکو سیکور ACS څخه په اتوماتيک ډول ډاونلوډ نشي.
یو وسیله کولی شي له یوه بندر څخه د پرت 3 SGT ټرانسپورټ ډیټا واستوي او په بل بندر کې د پرت 3 SGT ټرانسپورټ ډیټا ترلاسه کړي ، مګر د ننوتلو او وتلو دواړه بندرونه باید د سیسکو ټرسټ سیک وړ هارډویر ولري.
د Cisco TrustSec د Layer 3 SGT ټرانسپورټ انکپسول شوي پاکټونه نه کوډ کوي. د غیر ټرسټ سیک ډومین څخه تیریدونکي پاکټونو ساتلو لپاره ، تاسو کولی شئ د محافظت نورې میتودونه تنظیم کړئ ، لکه IPsec.VRF- خبرتیا SXP
د مجازی روټینګ او فارورډینګ (VRF) د SXP پلي کول د ځانګړي VRF سره د SXP اړیکه وتړي. داسې انګیرل کیږي چې د شبکې ټوپولوژي په سمه توګه د Layer 2 یا Layer 3 VPNs لپاره ترتیب شوې، د ټولو VRFs سره د Cisco TrustSec فعالولو دمخه تنظیم شوي.
د SXP VRF ملاتړ په لاندې ډول لنډیز کیدی شي:
- یوازې یو SXP پیوستون یو VRF ته پابند کیدی شي.
- مختلف VRFs ممکن د SXP پیر یا سرچینې IP پتې سره یوځای کړي.
- په یوه VRF کې د IP-SGT نقشې زده شوي (اضافه یا حذف شوي) یوازې په ورته VRF ډومین کې تازه کیدی شي.
د SXP اتصال نشي کولی د مختلف VRF سره تړلی نقشه تازه کړي. که چیرې د VRF لپاره هیڅ SXP پیوستون نه وځي، د دې VRF لپاره IP – SGT نقشه به د SXP لخوا تازه نشي. - په هر VRF کې د څو پتې کورنۍ ملاتړ کیږي. له همدې امله، په VRF ډومین کې یو SXP اړیکه کولی شي دواړه IPV4 او IPV6 IP-SGT نقشه وړاندې کړي.
- SXP په هر VRF کې د اړیکو شمیر او د IP – SGT نقشه کولو شمیر باندې هیڅ محدودیت نلري.
پرت 2 VRF- خبرتیا SXP او VRF دنده
VRF تر Layer 2 VLANs دندې د cts رول پر بنسټ l2-vrf vrf-name vlan-list Global Configuration قوماندې سره مشخص شوي. A VLAN د لیر 2 VLAN په توګه ګڼل کیږي تر هغه چې په VLAN کې د IP پتې سره د سویچ مجازی انٹرفیس (SVI) نه وي. VLAN یو پرت 3 VLAN کیږي کله چې یو IP پته په SVI کې تنظیم شي.
د VRF دندې د cts رول پراساس l2-vrf کمانډ لخوا تنظیم شوي تر هغه وخته پورې فعال دي چې VLAN د 2 VLAN پرت پاتې وي. د IP-SGT پابندۍ زده شوي پداسې حال کې چې د VRF دنده فعاله وي د VRF او IP پروتوکول نسخې سره تړلې د فارورډینګ معلوماتو بیس (FIB) جدول کې هم اضافه کیږي. که چیرې یو SVI د VLAN لپاره فعال شي، VRF ته VLAN دنده غیر فعاله کیږي او په VLAN کې زده شوي ټول پابندونه د SVI د VRF سره تړلي د FIB میز ته لیږدول کیږي.
VRF ته VLAN دنده ساتل کیږي حتی کله چې دنده غیر فعاله شي. دا بیا فعاله کیږي کله چې SVI لیرې شي یا کله چې د SVI IP پته بې ترتیبه شي. کله چې بیا فعال شي، د IP-SGT پابندونه د FIB جدول څخه د SVI's VRF سره تړلي FIB میز ته لیږدول کیږي چې د VRF سره تړاو لري چې د cts رول پر بنسټ l2-vrf کمانډ لخوا ټاکل شوي.
د Cisco TrustSec Over لپاره د فیچر تاریخview
دا جدول په دې ماډل کې تشریح شوي ځانګړتیاو لپاره خوشې او اړوند معلومات چمتو کوي.
دا ځانګړتیاوې په ټولو خپرونو کې شتون لري وروسته له هغه چې دوی معرفي شوي، پرته لدې چې بل ډول یادونه وشي.
دا ځانګړتیاوې په ټولو خپرونو کې شتون لري وروسته له هغه چې دوی معرفي شوي، پرته لدې چې بل ډول یادونه وشي.
د پلیټ فارم او سافټویر عکس ملاتړ په اړه معلوماتو موندلو لپاره د سیسکو فیچر نیویګیټر وکاروئ. چي لاسرسی ورته وشي
د سیسکو فیچر نیویګیټر ته لاړ شئ http://www.cisco.com/go/cfn.
د سیسکو فیچر نیویګیټر ته لاړ شئ http://www.cisco.com/go/cfn.
اسناد / سرچینې
 |
CISCO Trustsec خوندي شبکه جوړوي [pdf] د کارونکي لارښود Trustsec خوندي شبکه جوړوي، Trustsec، خوندي شبکه جوړوي، خوندي شبکه، شبکه |