CISCO Trustsec محفوظ ٺاهي ٿو
 نيٽ ورڪ استعمال ڪندڙ ھدايت
CISCO Trustsec محفوظ نيٽورڪ صارف گائيڊ ٺاهي ٿوCisco TrustSec قابل اعتماد نيٽ ورڪ ڊوائيسز جي ڊومينز قائم ڪندي محفوظ نيٽ ورڪ ٺاهي ٿو. ڊومين ۾ هر ڊوائيس ان جي ساٿين طرفان تصديق ٿيل آهي. ڊومين ۾ ڊوائيسز جي وچ ۾ لنڪس تي ڪميونيڪيشن انڪريپشن، پيغام جي سالميت جي چڪاس، ۽ ڊيٽا-پاٿ ريپلي تحفظ ميڪانيزم جي ميلاپ سان محفوظ ڪئي وئي آهي.
Cisco TrustSec لاءِ پابنديون
  • محفوظ رسائي جي سند (PAC) جي فراهمي ناڪام ٿئي ٿي ۽ ھنگ واري حالت ۾ رھي ٿي، جڏھن ھڪ غلط ڊيوائس ID بيان ڪيو ويو آھي. جيتوڻيڪ PAC کي صاف ڪرڻ کان پوء، ۽ صحيح ڊوائيس ID ۽ پاسورڊ ترتيب ڏيڻ کان پوء، PAC اڃا تائين ناڪام ٿي.
    ڪم ڪار جي طور تي، سسڪو سڃاڻپ سروسز انجڻ (ISE) ۾، غير چيڪ ڪريو غير معمولي ڪلائنٽ کي دٻايو
    انتظاميه> سسٽم> سيٽنگون> پروٽوڪول> ريڊيس مينيو ۾ PAC ڪم ڪرڻ لاء اختيار.
  • Cisco TrustSec FIPS موڊ ۾ سپورٽ نه آهي.
  • هيٺيون پابنديون صرف C9500X-28C8D ماڊل تي لاڳو ٿين ٿيون Cisco Catalyst 9500 Series Switches:
    • Cisco TrustSec دستي ٺاھ جوڙ کي سپورٽ نه آھي.
    • Cisco TrustSec سيڪيورٽي ايسوسيئيشن پروٽوڪول (SAP) ڪارڪردگي سپورٽ نه آهي.
    • Cisco TrustSec metadata header encapsulation سپورٽ نه آهي.
مواد لڪائڻ
1 Cisco TrustSec آرڪيٽيڪچر بابت ڄاڻ
2 دستاويز / وسيلا
2.1 حوالو

Cisco TrustSec آرڪيٽيڪچر بابت ڄاڻ

Cisco TrustSec سيڪيورٽي آرڪيٽيڪچر قابل اعتماد نيٽ ورڪ ڊوائيسز جي ڊومينز قائم ڪندي محفوظ نيٽ ورڪ ٺاهي ٿو. ڊومين ۾ هر ڊوائيس ان جي ساٿين طرفان تصديق ٿيل آهي. ڊومين ۾ ڊوائيسز جي وچ ۾ لنڪس تي ڪميونيڪيشن انڪريپشن، پيغام جي سالميت جي چڪاس، ۽ ڊيٽا-پاٿ ريپلي تحفظ ميڪانيزم جي ميلاپ سان محفوظ ڪئي وئي آهي. Cisco TrustSec استعمال ڪري ٿو ڊيوائس ۽ صارف جي سندون جيڪي تصديق دوران حاصل ڪيون ويون آھن سيڪيورٽي گروپن (SGs) پاران پيڪن کي درجه بندي ڪرڻ لاءِ جيئن اھي نيٽ ورڪ ۾ داخل ٿين. هن پيڪٽ جي درجه بندي برقرار رکي ٿي tagging pakets on ingress on Cisco TrustSec نيٽ ورڪ ته جيئن اهي ڊيٽا جي رستي تي سيڪيورٽي ۽ ٻين پاليسي جي معيار کي لاڳو ڪرڻ جي مقصد لاءِ صحيح سڃاڻپ ڪري سگھجن. جي tag، سڏيو ويندو سيڪيورٽي گروپ tag (SGT)، نيٽ ورڪ کي اجازت ڏئي ٿو رسائي ڪنٽرول پاليسي کي لاڳو ڪرڻ لاءِ آخري پوائنٽ ڊيوائس کي فعال ڪندي SGT تي عمل ڪرڻ لاءِ ٽرئفڪ کي فلٽر ڪرڻ لاءِ.
نوٽ آئڪنCisco TrustSec IEEE 802.1X لنڪس سپورٽ نه آهن پليٽ فارمن تي سِسکو IOS XE Denali
(16.1.x کان 16.3.x)، Cisco IOS XE Everest (16.4.x کان 16.6.x)، ۽ Cisco IOS XE Fuji (16.7.x کان 16.9.x) رليز ڪري ٿو، ۽ ان ڪري صرف تصديق ڪندڙ کي سپورٽ آهي؛ درخواست ڪندڙ جي حمايت نه ڪئي وئي آهي.
Cisco TrustSec فن تعمير ٽن اهم حصن کي شامل ڪري ٿو:
  • تصديق ٿيل نيٽ ورڪنگ انفراسٽرڪچر- پهرين ڊيوائس کان پوءِ (جنهن کي سيڊ ڊيوائس سڏيو ويندو آهي) تصديق ڪندڙ سرور سان تصديق ڪري ٿو Cisco TrustSec ڊومين کي شروع ڪرڻ لاءِ، ڊومين ۾ شامل ڪيل هر نئين ڊيوائس جي تصديق ڪئي وئي آهي اڳ ۾ ئي ڊومين جي اندر موجود ان جي پيرن ڊوائيسز ذريعي. ڀائيوار ڊومين جي تصديق ڪندڙ سرور لاء وچولي طور ڪم ڪن ٿا. هر نئين تصديق ٿيل ڊيوائس کي تصديق ڪندڙ سرور طرفان درجه بندي ڪيو ويو آهي ۽ ان جي سڃاڻپ، ڪردار، ۽ سيڪيورٽي پوزيشن جي بنياد تي هڪ سيڪيورٽي گروپ نمبر مقرر ڪيو ويو آهي.
  • سيڪيورٽي گروپ جي بنياد تي رسائي ڪنٽرول- رسائي پاليسيون Cisco TrustSec ڊومين اندر ٽوپولوجي-آزاد آهن، ڪردارن جي بنياد تي (جيئن ته سيڪيورٽي گروپ نمبر پاران اشارو ڪيو ويو آهي) ذريعن ۽ منزلن جي ڊوائيسز جي نيٽ ورڪ پتي جي بدران. انفرادي پيڪيجز آهن tagذريعن جي سيڪيورٽي گروپ نمبر سان ged.
  • محفوظ ڪميونيڪيشن- انڪريپشن-قابل هارڊويئر سان، ڊومين ۾ ڊوائيسز جي وچ ۾ هر ڪڙي تي رابطي کي محفوظ ڪري سگهجي ٿو انڪريشن جي ميلاپ سان، پيغام جي سالميت جي چڪاس، ۽ ڊيٽا-پاٿ ريپلي تحفظ ميڪانيزم.
ھي figure ڏنل انگ اکر ڏيکاري ٿو ھڪڙو سابقampهڪ Cisco TrustSec ڊومين جي le. هن ۾ اڳوڻيampلي، ڪيترائي نيٽ ورڪنگ ڊوائيسز ۽ هڪ آخري پوائنٽ ڊيوائس سسڪو ٽرسٽ سيڪ ڊومين جي اندر آهن. هڪ آخري پوائنٽ ڊيوائس ۽ هڪ نيٽ ورڪنگ ڊيوائس ڊومين کان ٻاهر آهن ڇو ته اهي Cisco TrustSec-قابل ڊوائيسز نه آهن يا ڇاڪاڻ ته انهن کي رسائي کان انڪار ڪيو ويو آهي. تصديق ڪندڙ سرور کي سسڪو ٽرسٽ سيڪ ڊومين کان ٻاهر سمجهيو ويندو آهي؛ اهو يا ته هڪ Cisco Identities سروس انجڻ (Cisco ISE)، يا هڪ Cisco Secure Access Control System (Cisco ACS) آهي.
شڪل 1: Cisco TrustSec نيٽورڪ ڊومين Example
CISCO Trustsec محفوظ نيٽ ورڪ ٺاهي ٿو - شڪل 1
Cisco TrustSec جي تصديق واري عمل ۾ هر حصو وٺندڙ هيٺين ڪردارن مان هڪ ۾ ڪم ڪري ٿو:
  • درخواست ڪندڙ- هڪ غير تصديق ٿيل ڊوائيس Cisco TrustSec ڊومين ۾ هڪ پير سان ڳنڍيل آهي، ۽ Cisco TrustSec ڊومين ۾ شامل ٿيڻ جي ڪوشش ڪري رهيو آهي.
  • تصديق ڪندڙ سرور- اهو سرور جيڪو درخواست ڪندڙ جي سڃاڻپ جي تصديق ڪري ٿو ۽ پاليسين کي جاري ڪري ٿو جيڪو سسڪو ٽرسٽ سيڪ ڊومين جي اندر خدمتن تائين درخواست ڪندڙ جي رسائي کي طئي ڪري ٿو.
  • تصديق ڪندڙ- هڪ تصديق ٿيل ڊيوائس جيڪو اڳ ۾ ئي Cisco TrustSec ڊومين جو حصو آهي ۽ تصديق ڪري سگهي ٿو نئين پير صاحب جي درخواست ڪندڙن جي تصديق ڪندڙ سرور جي طرفان.
جڏهن هڪ درخواست ڪندڙ ۽ هڪ تصديق ڪندڙ جي وچ ۾ ڳنڍيل پهريون ڀيرو اچي ٿو، واقعن جو هيٺيان سلسلو عام طور تي ٿئي ٿو:
  1. تصديق (802.1X) - درخواست ڪندڙ جي تصديق ڪئي وئي آهي تصديق ڪندڙ سرور طرفان، تصديق ڪندڙ هڪ وچولي طور ڪم ڪري رهيو آهي. باهمي تصديق ٻن ساٿين (درخواست ڪندڙ ۽ تصديق ڪندڙ) جي وچ ۾ ڪئي ويندي آهي.
  2. اختيار ڏيڻ- درخواست ڪندڙ جي سڃاڻپ جي معلومات جي بنياد تي، تصديق ڪندڙ سرور اجازت ڏيڻ جي پاليسين مهيا ڪري ٿو، جهڙوڪ سيڪيورٽي گروپ اسائنمنٽس ۽ ACLs، ڳنڍيل ساٿين مان هر هڪ کي. تصديق ڪندڙ سرور هر پير جي سڃاڻپ ٻئي کي فراهم ڪري ٿو، ۽ هر پير صاحب پوءِ لنڪ لاءِ مناسب پاليسي لاڳو ڪري ٿو.
  3. سيڪيورٽي ايسوسيئيشن پروٽوڪول (SAP) ڳالهين-جڏهن هڪ لنڪ جي ٻنهي پاسن کان انڪرپشن جي حمايت ڪن ٿا، درخواست ڪندڙ ۽ تصديق ڪندڙ هڪ سيڪيورٽي ايسوسيئيشن (SA) قائم ڪرڻ لاء ضروري معيارن تي ڳالهين ڪندا آهن.
نوٽ آئڪن SAP 100G انٽرفيس تي سپورٽ ناهي. اسان سفارش ڪريون ٿا ته توھان استعمال ڪريو MACsec Key Agreement Protocol
(MKA) وڌايل پيڪٽ نمبرنگ سان (XPN) 100G انٽرفيس تي.
جڏهن سڀئي ٽي مرحلا مڪمل ٿي وڃن ٿا، تصديق ڪندڙ لنڪ جي حالت کي غير مجاز (بلاڪنگ) رياست کان بااختيار رياست ۾ تبديل ڪري ٿو، ۽ درخواست ڪندڙ Cisco TrustSec ڊومين جو ميمبر بڻجي ٿو.
Cisco TrustSec ingress استعمال ڪري ٿو tagگنگ ۽ ايگريس فلٽرنگ رسائي ڪنٽرول پاليسي کي اسپيبلبل انداز ۾ لاڳو ڪرڻ لاءِ. ڊومين ۾ داخل ٿيندڙ پيڪيٽ آهن tagسيڪيورٽي گروپ سان گڏ tag (SGT) جنهن ۾ ماخذ ڊوائيس جو تفويض سيڪيورٽي گروپ نمبر شامل آهي. هي پيڪٽ جي درجه بندي حفاظتي ۽ ٻين پاليسين جي معيار کي لاڳو ڪرڻ جي مقصد لاءِ سسڪو ٽرسٽ سيڪ ڊومين جي اندر ڊيٽا جي رستي تي رکيل آهي. آخري Cisco TrustSec ڊوائيس ڊيٽا جي رستي تي، يا ته آخري پوائنٽ يا نيٽ ورڪ ايگريس پوائنٽ، سسڪو ٽرسٽ سيڪ سورس ڊيوائس جي سيڪيورٽي گروپ ۽ فائنل سسڪو ٽرسٽ سيڪ ڊيوائس جي سيڪيورٽي گروپ جي بنياد تي رسائي ڪنٽرول پاليسي لاڳو ڪري ٿي. نيٽ ورڪ پتي تي ٻڌل روايتي رسائي ڪنٽرول لسٽن جي برعڪس، Cisco TrustSec رسائي ڪنٽرول پاليسيون ڪردار تي ٻڌل رسائي ڪنٽرول لسٽن جو هڪ روپ آهن (RBACLs) جنهن کي سيڪيورٽي گروپ رسائي ڪنٽرول لسٽون (SGACLs) سڏيو ويندو آهي.
نوٽ آئڪنIngress ان پئڪيٽ ڏانهن اشارو ڪري ٿو جيڪو پهرين Cisco TrustSec-قابل ڊوائيس ۾ داخل ٿئي ٿو جيڪو هڪ پيڪٽ طرفان ان جي منزل ڏانهن رستي تي پيش ڪيو ويو آهي ۽ ايگريس ان پيڪٽس ڏانهن اشارو ڪري ٿو جيڪو آخري Cisco TrustSec-قابل ڊوائيس رستي تي ڇڏي ٿو.
تصديق
Cisco TrustSec ۽ تصديق
نيٽ ورڪ ڊيوائس ايڊميشن ڪنٽرول (NDAC) استعمال ڪندي، Cisco TrustSec هڪ ڊوائيس کي نيٽ ورڪ ۾ شامل ٿيڻ جي اجازت ڏيڻ کان پهريان تصديق ڪري ٿو. NDAC استعمال ڪري ٿو 802.1X جي تصديق سان Extensible Authentication Protocol Flexible Authentication through Secure Tunnel (EAP-FAST) Extensible Authentication Protocol (EAP) طريقي سان تصديق ڪرڻ لاءِ. EAP-FAST گفتگو ٻين EAP طريقن جي تبادلي لاءِ مهيا ڪري ٿي EAP-FAST سرنگ اندر زنجير استعمال ڪندي. منتظمين استعمال ڪري سگھن ٿا روايتي صارف جي تصديق جا طريقا، جهڙوڪ Microsoft Challenge Handshake Authentication Protocol Version 2 (MSCHAPv2)، جڏهن ته اڃا تائين EAP-FAST سرنگ پاران مهيا ڪيل سيڪيورٽي موجود آهي. EAP-FAST مٽا سٽا جي دوران، تصديق ڪندڙ سرور درخواست ڪندڙ کي هڪ منفرد محفوظ رسائي سند (PAC) ٺاهي ۽ پهچائي ٿو جنهن ۾ هڪ شيئر ڪيل ڪي ۽ هڪ انڪريپٽ ٿيل ٽوڪن شامل آهي جيڪو تصديق ڪندڙ سرور سان مستقبل جي محفوظ رابطن لاءِ استعمال ڪيو وڃي ٿو.
هيٺ ڏنل انگ اکر ڏيکاري ٿو EAP-FAST سرنگ ۽ اندروني طريقا جيئن سسڪو TrustSec ۾ استعمال ٿيل آهن.
شڪل 2: Cisco TrustSec جي تصديق
CISCO Trustsec محفوظ نيٽ ورڪ ٺاهي ٿو - شڪل 2
Cisco TrustSec EAP-FAST ۾ واڌارو
Cisco TrustSec لاءِ EAP-FAST لاڳو ڪرڻ ۾ ھيٺيون واڌايون آھن:
  • تصديق ڪندڙ جي تصديق ڪريو- محفوظ طور تي تصديق ڪندڙ جي سڃاڻپ کي طئي ڪري ٿو تصديق ڪندڙ کي ان جي PAC استعمال ڪرڻ لاءِ استعمال ڪرڻ لاءِ پاڻ ۽ تصديق ڪندڙ سرور جي وچ ۾ شيئر ڪيل ڪي. هي خصوصيت توهان کي هر ممڪن IP پتي لاءِ تصديق ڪندڙ سرور تي RADIUS شيئر ڪيل ڪيز ترتيب ڏيڻ کان به روڪي ٿي جيڪا تصديق ڪندڙ طرفان استعمال ڪري سگهجي ٿي.
  • هر ڊوائيس کي ان جي پير جي سڃاڻپ جي اطلاع ڏيو- تصديق جي مٽا سٽا جي آخر تائين، تصديق ڪندڙ سرور ٻنهي درخواست ڪندڙ ۽ تصديق ڪندڙ جي سڃاڻپ ڪئي آهي. تصديق ڪندڙ سرور تصديق ڪندڙ جي سڃاڻپ کي پهچائي ٿو، ۽ ڇا تصديق ڪندڙ Cisco TrustSec-قابل آهي، درخواست ڪندڙ کي اضافي قسم-لمبائي-ويل پيرا ميٽرز (TLVs) استعمال ڪندي محفوظ ٿيل EAP-FAST ختم ٿيڻ ۾. تصديق ڪندڙ سرور پڻ درخواست ڪندڙ جي سڃاڻپ کي پهچائي ٿو، ۽ ڇا درخواست ڪندڙ Cisco TrustSec- قابل آهي، تصديق ڪندڙ کي رسائي- قبول پيغام ۾ RADIUS خاصيتون استعمال ڪندي.
    ڇاڪاڻ ته هر ڊوائيس پنهنجي پير جي سڃاڻپ کي ڄاڻي ٿو، اهو اضافي RADIUS رسائي-درخواستون موڪلي سگهي ٿو تصديق ڪندڙ سرور ڏانهن پاليسي حاصل ڪرڻ لاءِ لنڪ تي لاڳو ٿيڻ لاءِ.
802.1X ڪردار جي چونڊ
802.1X ۾، تصديق ڪندڙ کي تصديق ڪندڙ سرور سان IP ڪنيڪشن هجڻ گهرجي ڇو ته ان کي UDP/IP مٿان RADIUS استعمال ڪندي درخواست ڪندڙ ۽ تصديق ڪندڙ جي وچ ۾ تصديق جي مٽاسٽا کي رلي ڪرڻو پوندو. جڏهن هڪ آخري پوائنٽ ڊيوائس، جهڙوڪ هڪ PC، هڪ نيٽ ورڪ سان ڳنڍيندو آهي، اهو ظاهر آهي ته اهو هڪ درخواست ڪندڙ طور ڪم ڪرڻ گهرجي. جڏهن ته، ٻن نيٽ ورڪ ڊوائيسز جي وچ ۾ هڪ Cisco TrustSec ڪنيڪشن جي صورت ۾، هر نيٽ ورڪ ڊوائيس جو 802.1X ڪردار شايد ٻئي نيٽ ورڪ ڊوائيس تي فوري طور تي ظاهر نه ٿئي.
ٻن ويجهن سوئچز لاءِ تصديق ڪندڙ ۽ درخواست ڪندڙ ڪردارن جي دستي ترتيب جي ضرورت جي بدران، Cisco TrustSec هڪ رول-اليڪشن الگورٿم هلائي ٿو خودڪار طريقي سان اهو طئي ڪرڻ لاءِ ته ڪهڙو سوئچ ڪم ڪري ٿو تصديق ڪندڙ طور ۽ ڪهڙو ڪم ڪري ٿو درخواست ڪندڙ جي طور تي. ڪردار جي چونڊ الورورٿم تصديق ڪندڙ ڪردار کي ان سوئچ کي تفويض ڪري ٿو جيڪو RADIUS سرور تائين IP پهچ جي صلاحيت رکي ٿو. ٻئي سوئچز ٻئي تصديق ڪندڙ ۽ درخواست ڪندڙ رياستي مشينن کي شروع ڪن ٿا. جڏهن هڪ سوئچ معلوم ڪري ٿو ته ان جي پير صاحب کي RADIUS سرور تائين رسائي آهي، اهو پنهنجي تصديق ڪندڙ رياستي مشين کي ختم ڪري ٿو ۽ درخواست ڪندڙ جو ڪردار فرض ڪري ٿو. جيڪڏهن ٻنهي سوئچز وٽ RADIUS سرور تائين رسائي آهي، RADIUS سرور کان جواب حاصل ڪرڻ لاءِ پهريون سوئچ تصديق ڪندڙ بڻجي ويندو آهي ۽ ٻيو سوئچ درخواست ڪندڙ بڻجي ويندو آهي.
Cisco TrustSec تصديق جو خلاصو
Cisco TrustSec جي تصديق جي عمل جي آخر تائين، تصديق ڪندڙ سرور ھيٺين عملن کي انجام ڏنو آھي:
  • درخواست ڪندڙ ۽ تصديق ڪندڙ جي سڃاڻپ جي تصديق ڪئي وئي.
  • صارف جي تصديق ڪئي وئي جيڪڏهن درخواست ڪندڙ هڪ آخري پوائنٽ ڊيوائس آهي.
Cisco TrustSec جي تصديق جي عمل جي آخر ۾، تصديق ڪندڙ ۽ درخواست ڪندڙ ٻئي ڄاڻن ٿا:
  • هيٺين:
  • پير صاحب جي ڊوائس ID
  • Cisco TrustSec جي قابليت جي معلومات پير صاحب جي
  • SAP لاءِ استعمال ڪيل ڪي
ڊوائيس جي سڃاڻپ
Cisco TrustSec IP پتي يا MAC پتي کي ڊوائيس جي سڃاڻپ طور استعمال نٿو ڪري. ان جي بدران، توهان هر Cisco TrustSec-قابل سوئچ کي هڪ نالو (ڊوائيس ID) تفويض ڪريو ٿا ته ان کي سسڪو TrustSec ڊومين ۾ منفرد طور سڃاڻڻ لاءِ. هن ڊوائيس جي ID هيٺين لاء استعمال ڪيو ويندو آهي:
  • اختيار ڪرڻ واري پاليسي کي ڳولي رهيو آهي
  • تصديق جي دوران ڊيٽابيس ۾ پاسورڊ ڳولڻ
ڊوائيس سندون
Cisco TrustSec پاسورڊ تي ٻڌل سندن کي سپورٽ ڪري ٿو. Cisco TrustSec درخواست ڏيندڙن کي پاسورڊ ذريعي تصديق ڪري ٿو ۽ MSCHAPv2 استعمال ڪري ٿو گڏيل تصديق مهيا ڪرڻ لاءِ.
تصديق ڪندڙ سرور انهن سندن کي EAP-FAST مرحلي 0 (روزي ڏيڻ) جي مٽا سٽا دوران درخواست ڪندڙ جي باضابطه تصديق ڪرڻ لاءِ استعمال ڪري ٿو جتي درخواست ڪندڙ ۾ PAC جو بندوبست ڪيو ويو آهي. Cisco TrustSec PAC جي ختم ٿيڻ تائين EAP-FAST مرحلو 0 مٽا سٽا نه ڪندو آهي، ۽ صرف EAP-FAST مرحلو 1 ۽ مرحلو 2 مٽاسٽا ڪندو آهي مستقبل جي لنڪ آڻڻ لاءِ. EAP-FAST مرحلو 1 ايڪسچينج PAC استعمال ڪري ٿو باضابطه طور تي تصديق ڪندڙ سرور ۽ درخواست ڪندڙ جي تصديق ڪرڻ لاءِ. Cisco TrustSec صرف PAC جي فراهمي (يا بحالي) مرحلن دوران ڊوائيس جي سند استعمال ڪري ٿو.
جڏهن درخواست ڪندڙ پهريون ڀيرو Cisco TrustSec ڊومين ۾ شامل ٿئي ٿو، تصديق ڪندڙ سرور درخواست ڪندڙ جي تصديق ڪري ٿو ۽ PAC سان درخواست ڪندڙ کي هڪ شيئر ڪيل ڪي ۽ انڪريپٽ ٿيل ٽوڪن کي دٻائي ٿو. تصديق ڪندڙ سرور ۽ درخواست ڪندڙ هن ڪيئي ۽ ٽوڪن کي استعمال ڪن ٿا گڏيل تصديق لاءِ مستقبل جي EAP-FAST مرحلي 0 ايڪسچينجز ۾.
استعمال ڪندڙ سندون
Cisco TrustSec آخري پوائنٽ ڊوائيسز لاء صارف جي سند جي مخصوص قسم جي ضرورت ناهي. توھان چونڊي سگھوٿا ڪنھن به قسم جي استعمال ڪندڙ جي تصديق جو طريقو جيڪو تصديق ڪندڙ سرور جي مدد سان آھي، ۽ لاڳاپيل سندون استعمال ڪريو. مثال لاءِample، Cisco Secure Access Control System (ACS) ورجن 5.1 سپورٽ ڪري ٿو MSCHAPv2، عام ٽوڪن ڪارڊ (GTC)، يا RSA ون ٽائم پاسورڊ (OTP)
سيڪيورٽي گروپ جي بنياد تي رسائي ڪنٽرول
هي سيڪشن سيڪيورٽي گروپ جي بنياد تي رسائي ڪنٽرول لسٽن (SGACLs) بابت معلومات مهيا ڪري ٿو.
سيڪيورٽي گروپ ۽ SGTs
هڪ سيڪيورٽي گروپ استعمال ڪندڙن، آخري پوائنٽ ڊوائيسز، ۽ وسيلن جو هڪ گروپ آهي جيڪو رسائي ڪنٽرول پاليسين کي حصيداري ڪري ٿو. سيڪيورٽي گروپن جي وضاحت ڪئي وئي آهي منتظم طرفان سسڪو ISE يا Cisco Secure ACS ۾. جيئن سسڪو ٽرسٽ سيڪ ڊومين ۾ نوان استعمال ڪندڙ ۽ ڊوائيس شامل ڪيا ويا آهن، تصديق ڪندڙ سرور انهن نون ادارن کي مناسب سيڪيورٽي گروپن کي تفويض ڪري ٿو. Cisco TrustSec هر سيڪيورٽي گروپ کي هڪ منفرد 16-bit سيڪيورٽي گروپ نمبر تفويض ڪري ٿو جنهن جو دائرو هڪ Cisco TrustSec ڊومين ۾ عالمي آهي. ڊوائيس ۾ سيڪيورٽي گروپن جو تعداد تصديق ٿيل نيٽ ورڪ ادارن جي تعداد تائين محدود آهي. توهان کي دستي طور تي سيڪيورٽي گروپ نمبرن کي ترتيب ڏيڻ جي ضرورت ناهي.
هڪ دفعو هڪ ڊوائيس تصديق ڪئي وئي آهي، Cisco TrustSec tags ڪو به پيڪيٽ جيڪو انهي ڊوائيس مان نڪرندو آهي سيڪيورٽي گروپ سان tag (SGT) جنهن ۾ ڊوائيس جو سيڪيورٽي گروپ نمبر شامل آهي. پيڪيٽ هن SGT کي سڄي نيٽ ورڪ ۾ Cisco TrustSec هيڊر ۾ کڻندو آهي. SGT هڪ واحد ليبل آهي جيڪو پوري اداري جي اندر ذريعن جي استحقاق کي طئي ڪري ٿو.
ڇاڪاڻ ته SGT تي مشتمل آهي سيڪيورٽي گروپ جو ذريعو، جي tag ذريعو SGT طور حوالو ڪري سگهجي ٿو. منزل ڊيوائس پڻ هڪ سيڪيورٽي گروپ (منزل SG) کي مقرر ڪيو ويو آهي جنهن کي سادگي لاءِ حوالو ڪري سگهجي ٿو جيئن منزل گروپ tag (DGT)، جيتوڻيڪ اصل Cisco TrustSec packet tag منزل جي ڊوائس جو سيڪيورٽي گروپ نمبر شامل نه آهي.
سيڪيورٽي گروپ ACL سپورٽ
سيڪيورٽي گروپ رسائي ڪنٽرول لسٽون (SGACLs) هڪ پاليسي لاڳو ڪندڙ آهي جنهن جي ذريعي منتظم هڪ صارف پاران ڪيل آپريشن کي ڪنٽرول ڪري سگهي ٿو، سيڪيورٽي گروپ جي تفويض ۽ منزل جي وسيلن جي بنياد تي. Cisco Trustsec ڊومين جي اندر پاليسي لاڳو ڪندڙ اجازتن جي ميٽرڪس جي نمائندگي ڪئي وئي آهي، هڪ محور تي ذريعو سيڪيورٽي گروپ نمبر ۽ ٻئي محور تي منزل سيڪيورٽي گروپ نمبر. ميٽرڪس ۾ هر سيل ۾ SGACLs جي ترتيب ڏنل فهرست شامل آهي، جيڪا اجازتون بيان ڪري ٿي جيڪي پيڪٽس تي لاڳو ٿيڻ گهرجن جيڪي هڪ IP مان نڪرندڙ هڪ سورس سيڪيورٽي گروپ سان تعلق رکن ٿيون ۽ هڪ منزل IP آهي جنهن جو تعلق منزل سيڪيورٽي گروپ سان آهي.
SGACL سيڪيورٽي ايسوسيئيشن يا سيڪيورٽي گروپ جي بنياد تي بي رياست رسائي ڪنٽرول ميڪانيزم مهيا ڪري ٿو tag IP پتي ۽ فلٽر جي بدران قدر. SGACL پاليسي مهيا ڪرڻ جا ٽي طريقا آهن:
  • جامد پاليسي جي فراهمي: SGACL پاليسين جي وضاحت ڪئي وئي آهي صارف طرفان حڪم استعمال ڪندي cts ڪردار جي بنياد تي اجازت.
  • متحرڪ پاليسي جي فراهمي: SGACL پاليسين جي ترتيب کي بنيادي طور تي سسڪو سيڪيور ACS يا Cisco Identity Services Engine جي پاليسي مئنيجمينٽ فنڪشن ذريعي ڪيو وڃي.
  • اختيار جي تبديلي (CoA): اپڊيٽ ڪيل پاليسي ڊائون لوڊ ڪئي ويندي آهي جڏهن SGACL پاليسي ISE تي تبديل ڪئي ويندي آهي ۽ CoA کي Cisco TrustSec ڊوائيس ڏانهن ڌڪيو ويندو آهي.

    ڊوائيس ڊيٽا جهاز پاليسي فراهم ڪندڙ (ISE) کان CoA پيڪٽس وصول ڪري ٿو ۽ CoA پيڪٽس تي پاليسي لاڳو ڪري ٿو. پيڪٽس پوءِ ڊوائيس ڪنٽرول جهاز ڏانهن موڪليا ويندا آهن جتي ايندڙ سطح تي پاليسي لاڳو ٿئي ٿي ايندڙ ايندڙ CoA پيڪٽس لاءِ. جي طرف view هارڊويئر ۽ سافٽ ويئر پاليسي ڪاؤنٽر هٽ انفارميشن، شو سي ٽي ايس رول بيسڊ ڪائونٽر ڪمانڊ کي امتيازي EXEC موڊ ۾ هلايو.

SGACL پاليسيون
سيڪيورٽي گروپ جي رسائي ڪنٽرول لسٽن (SGACLs) کي استعمال ڪندي، توھان انھن عملن کي ڪنٽرول ڪري سگھو ٿا جيڪي صارف ڪري سگھن ٿا استعمال ڪندڙن جي سيڪيورٽي گروپ جي تفويض ۽ منزلن جي وسيلن جي بنياد تي. Cisco TrustSec ڊومين جي اندر پاليسي لاڳو ڪندڙ اجازتن جي ميٽرڪس جي نمائندگي ڪئي وئي آهي، هڪ محور تي ماخذ سيڪيورٽي گروپ نمبر ۽ ٻئي محور تي منزل سيڪيورٽي گروپ نمبر. ميٽرڪس جي جسم ۾ هر سيل ۾ SGACLs جي هڪ ترتيب ڏنل فهرست شامل ٿي سگھي ٿي جيڪا اجازتن کي بيان ڪري ٿي جيڪا پيڪيٽس تي لاڳو ٿيڻ گهرجي جيڪا ماخذ سيڪيورٽي گروپ مان نڪرندي ۽ منزل جي سيڪيورٽي گروپ لاءِ مقرر ڪئي وئي آهي.
ھي figure ڏنل انگ اکر ڏيکاري ٿو ھڪڙو سابقampهڪ سادي ڊومين لاءِ Cisco TrustSec اجازتن جي ميٽرڪس جو ٽي بيان ڪيل صارف ڪردار ۽ هڪ مقرر ڪيل منزل جو وسيلو. ٽي SGACL پاليسيون صارف جي ڪردار جي بنياد تي منزل سرور تائين رسائي کي ڪنٽرول ڪن ٿيون.
شڪل 3: SGACL پاليسي ميٽرڪس Example
CISCO Trustsec محفوظ نيٽ ورڪ ٺاهي ٿو - شڪل 3
نيٽ ورڪ ۾ صارفين ۽ ڊوائيسز کي سيڪيورٽي گروپن کي تفويض ڪرڻ ۽ سيڪيورٽي گروپن جي وچ ۾ رسائي ڪنٽرول لاڳو ڪرڻ سان، Cisco TrustSec نيٽ ورڪ ۾ ڪردار جي بنياد تي ٽوپولاجي-آزاد رسائي ڪنٽرول حاصل ڪري ٿو. ڇاڪاڻ ته SGACLs ڊيوائس جي سڃاڻپ جي بنياد تي رسائي ڪنٽرول پاليسين جو تعين ڪن ٿا IP پتي جي بدران روايتي ACLs ۾، نيٽ ورڪ ڊوائيسز آزاد آهن سڄي نيٽ ورڪ ۾ منتقل ڪرڻ ۽ IP پتي کي تبديل ڪرڻ لاء.
جيستائين ڪردار ۽ اجازتون ساڳيون رهنديون آهن، نيٽ ورڪ ٽوپولوجي ۾ تبديليون سيڪيورٽي پاليسي کي تبديل نه ڪندا آهن. جڏهن هڪ صارف کي ڊوائيس ۾ شامل ڪيو ويو آهي، توهان صرف صارف کي هڪ مناسب سيڪيورٽي گروپ ڏانهن تفويض ڪيو ۽ صارف کي فوري طور تي ان گروپ جي اجازت حاصل ڪري ٿي.
نوٽ آئڪنSGACL پاليسيون ٽريفڪ تي لاڳو ٿين ٿيون جيڪي ٻن ھوسٽ ڊيوائسز جي وچ ۾ پيدا ٿين ٿيون، نه ان ٽريفڪ تي جيڪي ٺاھيل آھن ڊيوائس کان آخري ھوسٽ ڊيوائس ڏانھن.
ڪردار جي بنياد تي اجازتن کي استعمال ڪندي ACLs جي سائيز کي گھٽائي ٿو ۽ انهن جي سار سنڀال کي آسان بڻائي ٿو. Cisco TrustSec سان، ترتيب ڏنل رسائي ڪنٽرول داخلن جو تعداد (ACEs) مقرر ڪيل اجازتن جي تعداد سان طئي ڪيو ويندو آهي، جنهن جي نتيجي ۾ روايتي IP نيٽ ورڪ جي ڀيٽ ۾ ACEs جو تمام ننڍڙو تعداد. Cisco TrustSec ۾ SGACLs جو استعمال عام طور تي روايتي ACLs جي مقابلي ۾ TCAM وسيلن جي وڌيڪ موثر استعمال جي نتيجي ۾. وڌ ۾ وڌ 17,500 SGACL پاليسيون Catalyst 9500 Series Switches تي سپورٽ ڪن ٿيون. Catalyst 9500 هاء پرفارمنس سيريز سوئچز تي، وڌ ۾ وڌ 28,224 SGACL پاليسين جي حمايت ڪئي وئي آهي.
داخل ٿيڻ Tagگنگ ۽ ايگريس نافذ ڪرڻ
Cisco TrustSec رسائي ڪنٽرول لاڳو ڪيو ويو آهي داخل استعمال ڪندي tagging and egress enforcement. Cisco TrustSec ڊومين ۾ داخل ٿيڻ واري نقطي تي، ذريعن کان ٽرئفڪ آهي tagهڪ SGT سان ged جنهن ۾ ماخذ اداري جو سيڪيورٽي گروپ نمبر شامل آهي. SGT سڄي ڊومين ۾ ٽرئفڪ سان پروپيگنڊا ڪئي وئي آهي. Cisco TrustSec ڊومين جي ايگريس پوائنٽ تي، هڪ ايگريس ڊيوائس استعمال ڪري ٿو ماخذ SGT ۽ سيڪيورٽي گروپ نمبر منزل جي اداري (منزل SG، يا DGT) اهو طئي ڪرڻ لاءِ ته SGACL پاليسي ميٽرڪس مان ڪهڙي رسائي واري پاليسي لاڳو ڪئي وڃي.
هيٺ ڏنل انگ اکر ڏيکاري ٿو ته ڪيئن SGT تفويض ۽ SGACL لاڳو ڪندڙ هڪ Cisco TrustSec ڊومين ۾ ڪم ڪن ٿا.
شڪل 4: SGT ۽ SGACL هڪ Cisco TrustSec ڊومين ۾
CISCO Trustsec محفوظ نيٽ ورڪ ٺاهي ٿو - شڪل 4
  1. ميزبان پي سي کي هڪ پيڪٽ منتقل ڪري ٿو web سرور جيتوڻيڪ پي سي ۽ web سرور Cisco TrustSec ڊومين جا ميمبر نه آهن، پيٽ جي ڊيٽا جي رستي ۾ Cisco TrustSec ڊومين شامل آهن.
  2. Cisco TrustSec ingress ڊوائيس حفاظتي گروپ نمبر 3 سان گڏ SGT کي شامل ڪرڻ لاءِ پيڪٽ کي تبديل ڪري ٿو، ميزبان پي سي لاءِ تصديق ڪندڙ سرور پاران مقرر ڪيل سيڪيورٽي گروپ نمبر.
  3. Cisco TrustSec egress ڊوائيس SGACL پاليسي کي لاڳو ڪري ٿو جيڪو ماخذ گروپ 3 ۽ منزل گروپ 4 تي لاڳو ٿئي ٿو، سيڪيورٽي گروپ نمبر جيڪو تصديق ڪندڙ سرور طرفان مقرر ڪيل آهي. web سرور
  4. جيڪڏهن SGACL پيڪٽ کي اڳتي وڌڻ جي اجازت ڏئي ٿو، Cisco TrustSec egress سوئچ SGT کي هٽائڻ لاءِ پيڪٽ کي تبديل ڪري ٿو ۽ پيڪٽ کي اڳتي وڌائي ٿو web سرور
ماخذ سيڪيورٽي گروپ جو تعين ڪرڻ
سسڪو ٽرسٽ سيڪ ڊومين جي داخل ٿيڻ تي هڪ نيٽ ورڪ ڊيوائس لازمي طور تي سسڪو ٽرسٽ سيڪ ڊومين ۾ داخل ٿيندڙ پيڪيٽ جي SGT کي طئي ڪرڻ گهرجي ته جيئن اهو ڪري سگهي tag پيڪٽ ان SGT سان گڏ جڏهن اهو ان کي اڳتي ڪري ٿو Cisco TrustSec ڊومين ۾. Egress نيٽ ورڪ ڊيوائس کي SGACL لاڳو ڪرڻ لاءِ پيڪٽ جي SGT جو تعين ڪرڻ گهرجي.
نيٽ ورڪ ڊيوائس ھيٺ ڏنل طريقن مان ھڪڙي پيڪٽ لاءِ SGT جو تعين ڪري سگھي ٿو:
  • پاليسي جي حصول دوران SGT جو ذريعو حاصل ڪريو- Cisco TrustSec جي تصديق واري مرحلي کان پوء، هڪ نيٽ ورڪ ڊيوائس تصديق ڪندڙ سرور کان پاليسي جي معلومات حاصل ڪري ٿي، جيڪو ظاهر ڪري ٿو ته پير ڊوائيس قابل اعتماد آهي يا نه. جيڪڏهن هڪ پير ڊوائيس قابل اعتبار نه آهي، ته تصديق ڪندڙ سرور پڻ هڪ SGT مهيا ڪري سگهي ٿو جيڪو پير ڊوائيس کان ايندڙ سڀني پيڪن تي لاڳو ٿئي ٿو.
  • پيڪٽ مان ماخذ SGT حاصل ڪريو- جيڪڏھن ھڪڙو پيڪٽ ھڪڙي قابل اعتماد پير ڊوائيس مان اچي ٿو، پيڪٽ SGT کڻندو آھي. اهو هڪ نيٽ ورڪ ڊيوائس تي لاڳو ٿئي ٿو جيڪو پيڪيٽ لاءِ Cisco TrustSec ڊومين ۾ پهريون نيٽ ورڪ ڊيوائس ناهي.
  • ماخذ جي سڃاڻپ جي بنياد تي سرچ SGT کي ڏسو- Identity Port Mapping (IPM) سان، توھان دستي طور تي جوڙيل پير جي سڃاڻپ سان لنڪ ترتيب ڏئي سگھو ٿا. نيٽ ورڪ ڊوائيس پاليسي جي معلومات جي درخواست ڪري ٿو، بشمول SGT ۽ اعتماد واري حالت، تصديق ڪندڙ سرور کان.
  • ماخذ IP پتي جي بنياد تي سورس SGT کي ڏسو- ڪجھ ڪيسن ۾، توھان دستي طور تي پاليسي کي ترتيب ڏئي سگھو ٿا ھڪڙي پيڪٽ جي SGT جو فيصلو ان جي ماخذ IP پتي جي بنياد تي. SGT ايڪسچينج پروٽوڪول (SXP) پڻ IP-address-to-SGT ميپنگ ٽيبل کي آباد ڪري سگھي ٿو.
منزل سيڪيورٽي گروپ جو تعين ڪرڻ
سسڪو ٽرسٽ سيڪ ڊومين ۾ ايگريس نيٽ ورڪ ڊيوائس SGACL لاڳو ڪرڻ لاءِ منزل گروپ (DGT) جو تعين ڪري ٿو. نيٽ ورڪ ڊيوائس پيڪٽ لاءِ منزل واري سيڪيورٽي گروپ جو تعين ڪندو آهي ساڳيون طريقا استعمال ڪندي ماخذ سيڪيورٽي گروپ جي تعين ڪرڻ لاءِ، سواءِ هڪ پيڪيٽ مان گروپ نمبر حاصل ڪرڻ جي. tag. منزل سيڪيورٽي گروپ نمبر هڪ پيڪٽ ۾ شامل نه آهي tag.
ڪجهه حالتن ۾، داخل ٿيل ڊوائيسز يا ٻيون غير نڪرڻ واري ڊوائيسز کي شايد منزل گروپ جي معلومات دستياب هجي. انهن حالتن ۾، SGACLs شايد انهن ڊوائيسز ۾ لاڳو ٿي سگھن ٿيون بلڪه ايگريس ڊوائيسز جي ڀيٽ ۾.
روٽ ٿيل ۽ سوئچ ٿيل ٽرئفڪ تي SGACL نافذ ڪرڻ
SGACL انفورسمينٽ صرف IP ٽريفڪ تي لاڳو ٿئي ٿو، پر لاڳو ٿي سگھي ٿو يا ته روٽ ٿيل يا سوئچ ٿيل ٽرئفڪ تي.
روٽ ٿيل ٽريفڪ لاءِ، SGACL انفورسمينٽ ايگريس سوئچ ذريعي ڪيو ويندو آهي، عام طور تي ڊسٽريبيوشن سوئچ يا هڪ رسي سوئچ ذريعي روٽ ٿيل پورٽ سان جيڪو منزل ميزبان سان ڳنڍيندو آهي. جڏهن توهان عالمي سطح تي SGACL انفورسمينٽ کي چالو ڪندا آهيو، هر پرت 3 انٽرفيس تي ايس وي آئي انٽرفيس کان سواءِ انفورسمينٽ پاڻمرادو فعال ٿي ويندي آهي.
سوئچ ٿيل ٽريفڪ لاءِ، SGACL انفورسمينٽ ڪنهن به روٽنگ فنڪشن کان سواءِ هڪ واحد سوئچنگ ڊومين ۾ وهندڙ ٽرئفڪ تي ڪئي ويندي آهي. هڪ سابقampاهو هوندو SGACL لاڳو ڪندڙ ڊيٽا سينٽر جي رسائي سوئچ ذريعي سرور کان سرور ٽرئفڪ تي ٻن سڌو ڳنڍيل سرورن جي وچ ۾. هن ۾ اڳوڻيampلي، سرور کان سرور ٽرئفڪ کي عام طور تي تبديل ڪيو ويندو. SGACL انفورسمينٽ لاڳو ٿي سگھي ٿو پيڪٽن تي جيڪو ھڪ VLAN جي اندر تبديل ٿيل آھي يا ھڪ VLAN سان جڙيل SVI ڏانھن موڪليو ويو آھي، پر لاڳو ٿيڻ لازمي آھي واضح طور تي ھر VLAN لاءِ.
SGACL لاگنگ ۽ اي سي جي شماريات
جڏهن لاگنگ SGACL ۾ فعال ٿئي ٿي، ڊوائيس هيٺين معلومات کي لاگ ان ڪري ٿو:
  • ذريعو سيڪيورٽي گروپ tag (SGT) ۽ منزل SGT
  • SGACL پاليسي جو نالو
  • پيڪيٽ پروٽوڪول جو قسم
  • پيٽ تي ڪيل عمل
لاگ آپشن انفرادي ACEs تي لاڳو ٿئي ٿو ۽ پيڪٽس جو سبب بڻجن ٿا جيڪي لاگ ان ٿيڻ لاءِ ACE سان ملن ٿا. لاگ لفظ طرفان لاگ ان ٿيل پهريون پيڪٽ هڪ syslog پيغام ٺاهي ٿو. بعد ۾ لاگ پيغام ٺاهيا ويندا آهن ۽ پنجن منٽن جي وقفن تي رپورٽ ڪيا ويندا آهن. جيڪڏهن لاگنگ-فعال ٿيل ACE ٻئي پيڪٽ سان ملندو آهي (خاصيتون انهي پيڪٽ سان هڪجهڙائي سان جيڪي لاگ پيغام ٺاهي رهيا آهن)، ملندڙ پيڪٽس جو تعداد وڌايو ويندو آهي (ڪائونٽر) ۽ پوءِ ٻڌايو ويندو آهي.
لاگنگ کي فعال ڪرڻ لاءِ، لاگ لفظ استعمال ڪريو ACE تعريف جي سامهون SGACL ترتيب ۾. مثال لاءِample، اجازت ip log.
جڏهن SGACL لاگنگ کي فعال ڪيو ويندو آهي، ICMP درخواست پيغامن جي ڊوائيس کان ڪلائنٽ لاء لاگ ان نه هوندا آهن
IPv4 ۽ IPv6 پروٽوڪول. بهرحال؛ ICMP جوابي پيغام ڪلائنٽ کان ڊوائيس تائين لاگ ان ٿيل آهن.
هيٺ ڏنل آهي جيئنample log، ڏيکاريندڙ ذريعو ۽ منزل SGTs، ACE ميچز (پرمٽ يا رد عمل لاءِ)، ۽ پروٽوڪول، يعني TCP، UDP، IGMP، ۽ ICMP معلومات:
*جون 2 08:58:06.489: %C4K_IOSINTF-6-SGACLHIT: فهرست deny_udp_src_port_log-30 رد ٿيل udp 24.0.0.23(100) -> 28.0.0.91(100)، SGT8D12
موجوده 'في سيل' SGACL جي انگن اکرن کان علاوه، جيڪو ڏيکاري سگهجي ٿو استعمال ڪندي ڏيکاريو cts ڪردار جي بنياد تي
ڳڻپيوڪر ڪمانڊ، توهان پڻ ڏيکاري سگهو ٿا ACE انگ اکر، استعمال ڪندي ip access-list sgacl_name ڪمانڊ. ان لاءِ ڪا به اضافي تشڪيل جي ضرورت نه آهي.
هيٺيون سابقample ڏيکاري ٿو ته توهان ڪيئن استعمال ڪري سگهو ٿا show ip access-list command to display ACE ڳڻپ
ڊوائيس # ڏيکاريو ip access-control deny_udp_src_port_log-30
ڪردار جي بنياد تي IP رسائي لسٽ deny_udp_src_port_log-30 (ڊائون لوڊ ٿيل)
10 رد ڪريو udp src eq 100 لاگ (283 ميچز)
20 پرمٽ آئي پي لاگ (50 ميچز)
نوٽ آئڪنجڏهن ايندڙ ٽرئفڪ سيل سان ملي ٿي، پر سيل جي SGACL سان نه ملندي آهي، ٽرئفڪ جي اجازت ڏني ويندي آهي ۽ سيل جي HW-Permit ۾ ڳڻپيندڙن کي وڌايو ويندو آهي.
هيٺيون سابقampلي ڏيکاري ٿو ته سيل جو SGACL ڪيئن ڪم ڪري ٿو:
SGACL پاليسي 5 کان 18 تائين ترتيب ڏني وئي آهي "انڪار icmp ايڪو" سان ۽ 5 کان 18 تائين ايندڙ ٽرئفڪ آهي TCP هيڊر سان. جيڪڏهن سيل 5 کان 18 تائين ملندو آهي پر ٽرئفڪ icmp سان نه ملندي آهي، ٽرئفڪ جي اجازت ڏني ويندي ۽ سيل 5 کان 18 جي ​​HW-Permit ڪائونٽر کي وڌايو ويندو.
CISCO Trustsec سيڪيور نيٽورڪ ٺاهي ٿو - SGACL پاليسي 5 کان 18 تائين ترتيب ڏني وئي آهي "انڪار ڪريو icmp گونج
VRF-خبردار SGACL لاگنگ
SGACL سسٽم لاگز ۾ VRF معلومات شامل هوندي. اضافي طور تي فيلڊ جيڪي هن وقت لاگ ان ٿيل آهن، لاگنگ معلومات شامل هوندي VRF جو نالو. اپڊيٽ ٿيل لاگنگ معلومات هيٺ ڏنل ڏيکاريل هوندي:
*نومبر 15 02:18:52.187: %RBM-6-SGACLHIT_V6: ingress_interface='GigabitEthernet1/0/15′ sgacl_name='IPV6_TCP_DENY' ايڪشن='انڪار' پروٽوڪول='tcps-VrcTS='tcps-Rfrf -ip='25::2′ src-port='20'
dest-vrf='CTS-VRF' dest-ip='49::2′ dest-port='30' sgt='200′ dgt='500′ logging_interval_hits='1′
SGACL مانيٽر موڊ
Cisco TrustSec جي اڳڀرائي واري مرحلي دوران، هڪ منتظم حفاظتي پاليسين کي جانچڻ لاءِ مانيٽر موڊ استعمال ڪندو ان کي لاڳو ڪرڻ کان سواءِ ان کي يقيني بڻائڻ لاءِ ته پاليسيون ارادي مطابق ڪم ڪن ٿيون. جيڪڏهن حفاظتي پاليسيون ارادي مطابق ڪم نه ٿيون ڪن، مانيٽر موڊ ان کي سڃاڻڻ لاءِ هڪ آسان ميکانيزم مهيا ڪري ٿو ۽ SGACL نافذ ڪرڻ کان اڳ پاليسي کي درست ڪرڻ جو موقعو فراهم ڪري ٿو. هي منتظمين کي قابل بنائي ٿو ته اهي پاليسي جي عملن جي نتيجن جي نمائش کي وڌائڻ کان اڳ اهي ان کي لاڳو ڪن، ۽ تصديق ڪن ٿا ته موضوع پاليسي حفاظتي گهرجن کي پورو ڪري ٿي (رسيس تائين رسائي رد ڪئي وئي آهي جيڪڏهن استعمال ڪندڙ نه آهن.
مجاز).
نگراني جي صلاحيت SGT-DGT جوڙي جي سطح تي مهيا ڪئي وئي آهي. جڏهن توهان SGACL مانيٽرنگ موڊ جي خصوصيت کي فعال ڪريو ٿا، رد عمل لاڳو ڪيو ويندو آهي ACL پرمٽ طور لائن ڪارڊن تي. اهو SGACL ڳڻپيندڙن ۽ لاگنگ کي ڏيکاري ٿو ته ڪئين ڪنيڪشن SGACL پاليسي جي ذريعي سنڀاليا ويندا آهن. جيئن ته سڀني مانيٽر ٿيل ٽريفڪ جي اجازت آهي، SGACL مانيٽر موڊ ۾ رهڻ دوران SGACLs جي ڪري سروس ۾ ڪا به رڪاوٽ نه آهي.
اختيار ۽ پاليسي جو حصول
ڊوائيس جي تصديق ختم ٿيڻ کان پوء، ٻئي درخواست ڪندڙ ۽ تصديق ڪندڙ تصديق ڪندڙ سرور کان سيڪيورٽي پاليسي حاصل ڪن ٿا. ٻه ساٿي وري لنڪ جي اختيار کي انجام ڏين ٿا ۽ هڪ ٻئي جي خلاف لنڪ سيڪيورٽي پاليسي لاڳو ڪن ٿا انهن جي Cisco TrustSec ڊوائيس IDs جي بنياد تي. لنڪ جي تصديق جو طريقو ترتيب ڏئي سگھجي ٿو يا ته 802.1X يا دستي جي تصديق. جيڪڏهن لنڪ سيڪيورٽي 802.1X آهي، هر پير صاحب تصديق ڪندڙ سرور مان حاصل ڪيل ڊيوائس ID استعمال ڪري ٿو. جيڪڏهن لنڪ سيڪيورٽي مينوئل آهي، توهان کي پير صاحب جي ڊيوائس IDs کي تفويض ڪرڻ گهرجي.
تصديق ڪندڙ سرور ھيٺ ڏنل پاليسي خاصيتون واپس ڏئي ٿو:
  • Cisco TrustSec ڀروسو- اشارو ڪري ٿو ته ڇا پيئر ڊيوائس تي ڀروسو ڪيو وڃي ٿو SGT کي پيڪن ۾ رکڻ جي مقصد لاءِ.
  • Peer SGT- اشارو ڪري ٿو سيڪيورٽي گروپ جنهن سان پير صاحب تعلق رکي ٿو. جيڪڏهن پير صاحب تي ڀروسو نه آهي، ته پير صاحب کان مليل سڀ پيڪيٽ آهن tagهن SGT سان ged. جيڪڏهن ڊوائيس کي خبر ناهي ته ڪنهن به SGACLs پير جي SGT سان لاڳاپيل آهن، ڊوائيس شايد SGACLs کي ڊائون لوڊ ڪرڻ لاء تصديق ڪندڙ سرور ڏانهن هڪ پيروي اپ درخواست موڪلي سگهي ٿي.
  • اختيار ڏيڻ جي ختم ٿيڻ جو وقت - پاليسي جي ختم ٿيڻ کان اڳ سيڪنڊن جو تعداد ڏيکاري ٿو. هڪ Cisco TrustSec ڊوائيس ان جي پاليسي ۽ اختيار کي تازو ڪرڻ گهرجي ان کان اڳ ختم ٿيڻ کان اڳ. ڊوائيس تصديق ۽ پاليسي ڊيٽا کي ڪيش ڪري سگهي ٿو ۽ ان کي ريبوٽ کان پوء ٻيهر استعمال ڪري سگھي ٿو جيڪڏهن ڊيٽا ختم نه ڪئي وئي آهي.
نوٽ آئڪن هر Cisco TrustSec ڊيوائس کي ڪجهه گهٽ ۾ گهٽ ڊفالٽ رسائي پاليسي جي حمايت ڪرڻ گهرجي ان صورت ۾ اها تصديق ڪندڙ سرور سان رابطو ڪرڻ جي قابل ناهي ته جيئن پير صاحب لاءِ مناسب پاليسي حاصل ڪري سگهجي.
NDAC ۽ SAP ڳالهين جو عمل هيٺ ڏنل شڪل ۾ ڏيکاريو ويو آهي
شڪل 5: NDAC ۽ SAP ڳالهين
CISCO Trustsec محفوظ نيٽ ورڪ ٺاهي ٿو - شڪل 5
ماحولياتي ڊيٽا ڊائون لوڊ
Cisco TrustSec ماحولياتي ڊيٽا معلومات يا پاليسين جو هڪ مجموعو آهي جيڪو هڪ ڊوائيس کي سسڪو ٽرسٽ سيڪ نوڊ طور ڪم ڪرڻ ۾ مدد ڪري ٿو. ڊوائيس ماحولياتي ڊيٽا کي تصديق ڪندڙ سرور کان حاصل ڪري ٿو جڏهن ڊوائيس پهريون ڀيرو هڪ Cisco TrustSec ڊومين ۾ شامل ٿئي ٿي، جيتوڻيڪ توهان شايد دستي طور تي ڪجهه ڊيٽا کي ڊوائيس تي ترتيب ڏئي سگھو ٿا. مثال لاءِampلي، توهان کي لازمي طور تي سيڊ سيسڪو ٽرسٽ سيڪ ڊيوائس کي تصديق ڪرڻ واري سرور جي معلومات سان ترتيب ڏيڻ گهرجي، جيڪو بعد ۾ سرور لسٽ طرفان وڌايو وڃي ٿو جيڪو ڊوائيس تصديق ڪندڙ سرور کان حاصل ڪري ٿو.
ڊوائيس کي ختم ٿيڻ کان اڳ Cisco TrustSec ماحول واري ڊيٽا کي تازو ڪرڻ گهرجي. ڊوائيس پڻ ماحول جي ڊيٽا کي ڪيش ڪري سگهي ٿو ۽ ريبوٽ کان پوء ان کي ٻيهر استعمال ڪري سگھي ٿو جيڪڏهن ڊيٽا ختم نه ڪئي وئي آهي.
ڊوائيس استعمال ڪري ٿو RADIUS تصديق ڪندڙ سرور کان هيٺين ماحول جي ڊيٽا حاصل ڪرڻ لاءِ:
  • سرور لسٽون: سرورز جي فهرست جيڪي ڪلائنٽ استعمال ڪري سگھن ٿا مستقبل جي RADIUS درخواستن لاءِ (ٻنهي جي تصديق ۽ اختيار لاءِ). PAC ريفريش انهن سرورن ذريعي ٿئي ٿي.
  • ڊيوائس SG: سيڪيورٽي گروپ جنهن ۾ ڊوائيس پاڻ تعلق رکي ٿي.
  • ختم ٿيڻ جو وقت ختم ٿيڻ: وقفو جيڪو ڪنٽرول ڪري ٿو ڪيترا ڀيرا Cisco TrustSec ڊوائيس ان جي ماحول جي ڊيٽا کي تازو ڪرڻ گهرجي.
RADIUS ريل جي ڪارڪردگي
اهو ڊوائيس جيڪو 802.1X جي تصديق واري عمل ۾ Cisco TrustSec تصديق ڪندڙ جو ڪردار ادا ڪري ٿو، ان جي تصديق سرور سان IP ڪنيڪشن آهي، ڊوائيس کي UDP/IP تي RADIUS پيغامن جي تبادلي سان تصديق ڪندڙ سرور کان پاليسي ۽ اختيار حاصل ڪرڻ جي اجازت ڏئي ٿي. درخواست ڪندڙ ڊيوائس کي شايد تصديق ڪندڙ سرور سان IP ڪنيڪشن نه هجي. اهڙين حالتن ۾، Cisco TrustSec تصديق ڪندڙ کي اجازت ڏئي ٿو ته درخواست ڪندڙ لاءِ RADIUS رلي طور ڪم ڪري.
درخواست ڪندڙ هڪ خاص EAPOL پيغام موڪلي ٿو تصديق ڪندڙ ڏانهن جنهن ۾ RADIUS سرور IP پتو ۽ UDP پورٽ ۽ مڪمل RADIUS درخواست شامل آهي. تصديق ڪندڙ وصول ٿيل EAPOL پيغام مان RADIUS درخواست ڪڍي ٿو ۽ ان کي UDP/IP تي تصديق ڪندڙ سرور ڏانهن موڪلي ٿو. جڏهن RADIUS جواب تصديق ڪندڙ سرور کان واپس اچي ٿو، تصديق ڪندڙ پيغام کي واپس درخواست ڪندڙ ڏانهن موڪلي ٿو، EAPOL فريم ۾ ڍڪيل.
لنڪ سيڪيورٽي
جڏهن هڪ لنڪ جي ٻنهي پاسن کي سپورٽ 802.1AE ميڊيا رسائي ڪنٽرول سيڪيورٽي (MACsec)، هڪ سيڪيورٽي ايسوسيئيشن پروٽوڪول (SAP) ڳالهين تي عمل ڪيو ويندو آهي. هڪ EAPOL-ڪي جي مٽاسٽا درخواست ڪندڙ ۽ تصديق ڪندڙ جي وچ ۾ ٿيندي آهي هڪ سيفر سوٽ ڳالهين لاءِ، سيڪيورٽي پيٽرولر مٽائڻ، ۽ ڪنجيون منظم ڪرڻ. سڀني ٽن ڪمن جي ڪامياب مڪمل ٿيڻ جي نتيجي ۾ سيڪيورٽي ايسوسيئيشن (SA) جي قيام جي نتيجي ۾.
توهان جي سافٽ ويئر ورزن تي منحصر ڪري، crypto لائسنسنگ، ۽ لنڪ هارڊويئر سپورٽ، SAP ڳالهين هيٺ ڏنل طريقن مان هڪ استعمال ڪري سگهي ٿي:
  • Galois / Counter Mode (GCM) - وضاحت ڪري ٿو تصديق ۽ انڪرپشن
  • GCM تصديق (GMAC) - وضاحت ڪري ٿو تصديق ۽ ڪو به انڪرپشن ناهي
  • ڪو به انڪپسوليشن- بيان نٿو ڪري ڪو به انڪپسوليشن (صاف متن)
  • Null- وضاحت ڪري ٿو encapsulation، ڪا به تصديق نه آهي ۽ نه انڪوشن
سڀ موڊ سواءِ Encapsulation کان سواءِ Cisco TrustSec-قابل هارڊويئر جي ضرورت آهي.
لنڪ سيڪيورٽي لاءِ SAP-PMK ترتيب ڏيڻ
CISCO Trustsec محفوظ نيٽ ورڪ ٺاهي ٿو - لنڪ سيڪيورٽي لاءِ SAP-PMK ترتيب ڏيڻ
CISCO Trustsec سيڪيور نيٽورڪ ٺاهي ٿو - لنڪ سيڪيورٽي 2 لاءِ SAP-PMK ترتيب ڏيڻ
SGT پروپيگيشن لاءِ SXP Across Legacy Access Networks
TagSGTs سان گڏ ging packets کي هارڊويئر سپورٽ جي ضرورت آهي. توھان وٽ شايد توھان جي نيٽ ورڪ ۾ ڊوائيسز آھن جيڪي، سسڪو TrustSec جي تصديق ۾ حصو وٺڻ جي قابل، هارڊويئر جي صلاحيت جي کوٽ tag سان پيڪيجز
SGTs. SGT ايڪسچينج پروٽوڪول (SXP) استعمال ڪندي، اهي ڊوائيس IP-address-to-SGT ميپنگ کي سسڪو TrustSec پيئر ڊيوائس ڏانهن منتقل ڪري سگھن ٿا جنهن ۾ Cisco TrustSec-قابل هارڊويئر آهي.

SXP عام طور تي سسڪو TrustSec ڊومين جي ايج تي داخل ٿيندڙ رسائي پرت ڊوائيسز ۽ Cisco TrustSec ڊومين جي اندر تقسيم پرت ڊوائيسز جي وچ ۾ هلندي آهي. رسائي پرت ڊيوائس سسڪو ٽرسٽ سيڪ جي تصديق ڪري ٿي خارجي ذريعن جي ڊوائيسز جي داخل ٿيڻ لاءِ مناسب SGTs جو تعين ڪرڻ لاءِ. رسائي پرت ڊوائيس IP ڊيوائس ٽريڪنگ ۽ (اختياري طور تي) DHCP سنوپنگ استعمال ڪندي سورس ڊوائيسز جا IP ايڊريس سکي ٿي، پوءِ SXP استعمال ڪري ٿو ماخذ ڊوائيسز جي IP پتي کي منتقل ڪرڻ لاءِ انهن جي SGTs سان گڏ تقسيم ڊوائيسز ڏانهن.
Distribution devices with Cisco TrustSec-قابل هارڊويئر هن IP-to-SGT ميپنگ معلومات کي استعمال ڪري سگھن ٿا tag مناسب طور تي پيڪيٽس ۽ SGACL پاليسين کي لاڳو ڪرڻ لاء.

شڪل 6: SXP پروٽوڪول SGT معلومات جي تبليغ لاءِ
CISCO Trustsec محفوظ نيٽ ورڪ ٺاهي ٿو - شڪل 6
توهان کي لازمي طور تي هڪ SXP ڪنيڪشن کي ترتيب ڏيڻ گهرجي هڪ پير جي وچ ۾ بغير Cisco TrustSec هارڊويئر سپورٽ ۽ هڪ پير جي وچ ۾ Cisco TrustSec هارڊويئر سپورٽ سان. SXP ڪنيڪشن کي ترتيب ڏيڻ وقت هيٺين ڪمن جي ضرورت پوندي:
  • جيڪڏهن توهان کي SXP ڊيٽا جي سالميت ۽ تصديق جي ضرورت آهي، توهان کي لازمي طور تي ساڳيو SXP پاسورڊ ٻنهي پيرن جي ڊوائيسز تي ترتيب ڏيڻ گهرجي. توهان SXP پاسورڊ ترتيب ڏئي سگهو ٿا يا ته واضح طور تي هر پير ڪنيڪشن لاءِ يا عالمي سطح تي ڊوائيس لاءِ. جيتوڻيڪ هڪ SXP پاسورڊ گهربل ناهي، اسان ان جي استعمال جي صلاح ڏيو ٿا.
  • توهان کي لازمي طور تي SXP ڪنيڪشن تي هر پيئر کي SXP اسپيڪر يا SXP ٻڌندڙ جي طور تي ترتيب ڏيڻ گهرجي. اسپيڪر ڊيوائس IP-to-SGT ميپنگ جي معلومات ٻڌندڙ ڊوائيس تي ورهائي ٿو.
  • توھان وضاحت ڪري سگھو ٿا ھڪڙو ماخذ IP پتو استعمال ڪرڻ لاءِ ھر پير رشتي لاءِ يا توھان ٺاھي سگھوٿا ھڪڙو ڊفالٽ ماخذ IP پتو پير صاحب جي ڪنيڪشن لاءِ جتي توھان ڪو خاص ماخذ IP پتو ترتيب نه ڏنو آھي. جيڪڏهن توهان ڪنهن به ماخذ جي IP پتي جي وضاحت نه ڪندا آهيو، ڊوائيس استعمال ڪندو انٽرفيس IP پتي جي ڪنيڪشن جو.
SXP ڪيترن ئي هپس جي اجازت ڏئي ٿو. اهو آهي، جيڪڏهن ڪنهن ڊوائيس جو پيئر جنهن ۾ Cisco TrustSec هارڊويئر سپورٽ جي کوٽ آهي، ان ۾ پڻ Cisco TrustSec هارڊويئر سپورٽ نه آهي، ٻئي پير کي ٽئين پير سان SXP ڪنيڪشن حاصل ڪري سگھي ٿو، IP-to-SGT ميپنگ معلومات جي پروپيگيشن کي جاري رکندي جيستائين هارڊويئر- قابل پير صاحب پهچي ويو آهي. هڪ ڊيوائس هڪ SXP ڪنيڪشن لاءِ SXP ٻڌندڙ جي طور تي ترتيب ڏئي سگهجي ٿي جيئن هڪ SXP اسپيڪر ٻئي SXP ڪنيڪشن لاءِ.
هڪ Cisco TrustSec ڊوائيس TCP Keepalive ميڪانيزم استعمال ڪندي پنهنجي SXP ساٿين سان رابطي کي برقرار رکي ٿو.
پيئر ڪنيڪشن قائم ڪرڻ يا بحال ڪرڻ لاءِ، ڊوائيس بار بار ڪوشش ڪندو ڪنيڪشن سيٽ اپ کي ترتيب ڏيڻ واري ٻيهر ڪوشش جي مدت کي استعمال ڪندي جيستائين ڪنيڪشن ڪامياب نه ٿئي يا جيستائين ڪنيڪشن کي ترتيب مان هٽايو وڃي.
پرت 3 SGT ٽرانسپورٽ اسپننگ غير ٽرسٽ سيڪ علائقن لاءِ
جڏهن هڪ پيڪٽ هڪ غير TrustSec منزل لاءِ Cisco TrustSec ڊومين کي ڇڏي ٿو، egress Cisco TrustSec ڊوائيس سسڪو TrustSec هيڊر ۽ SGT کي هٽائي ٿو پيڪيٽ کي ٻاهرئين نيٽ ورڪ ڏانهن اڳتي وڌڻ کان اڳ. جيڪڏهن، بهرحال، پيڪٽ صرف هڪ غير TrustSec ڊومين کي رستي تي ٻئي Cisco TrustSec ڊومين ڏانهن منتقل ڪري رهيو آهي، جيئن هيٺ ڏنل شڪل ۾ ڏيکاريل آهي، SGT کي محفوظ ڪري سگهجي ٿو Cisco TrustSec Layer 3 SGT ٽرانسپورٽ خصوصيت استعمال ڪندي. ھن خصوصيت ۾، Egress Cisco TrustSec ڊوائيس ھڪڙو پيڪٽ کي ESP ھيڊر سان گڏ ڪري ٿو جنھن ۾ SGT جي ڪاپي شامل آھي. جڏهن encapsulated packet اچي ٿو ايندڙ Cisco TrustSec ڊومين تي، Ingress Cisco TrustSec ڊوائيس ESP encapsulation کي هٽائي ٿو ۽ پيڪٽ کي ان جي SGT سان پروپيگيٽ ڪري ٿو.
شڪل 7: هڪ غير TrustSec ڊومين کي ڦهلائڻ
CISCO Trustsec محفوظ نيٽ ورڪ ٺاهي ٿو - شڪل 7
Cisco TrustSec Layer 3 SGT ٽرانسپورٽ کي سپورٽ ڪرڻ لاءِ، ڪو به ڊيوائس جيڪو ڪم ڪندو هڪ Cisco TrustSec ingress يا egress Layer 3 gateway کي لازمي طور تي ٽريفڪ پاليسي ڊيٽابيس کي برقرار رکڻو پوندو جيڪو remote Cisco TrustSec ڊومينز ۾ اهل سبنيٽس ۽ انهي سان گڏ انهن علائقن ۾ ڪنهن به خارج ٿيل سبنيٽس کي لسٽ ڪري ٿو. توهان هن ڊيٽابيس کي دستي طور تي هر ڊوائيس تي ترتيب ڏئي سگهو ٿا جيڪڏهن اهي خودڪار طريقي سان ڊائون لوڊ نٿا ٿي سگهن سسکو سيڪيور ACS کان.
هڪ ڊيوائس هڪ بندرگاهه کان Layer 3 SGT ٽرانسپورٽ ڊيٽا موڪلي سگهي ٿي ۽ ٻئي بندرگاهه تي Layer 3 SGT ٽرانسپورٽ ڊيٽا وصول ڪري سگهي ٿي، پر ٻنهي داخل ٿيڻ ۽ نڪرڻ واري بندرگاهن کي سسڪو ٽرسٽ سيڪ-قابل هارڊويئر هجڻ گهرجي.
نوٽ آئڪن Cisco TrustSec Layer 3 SGT Transport encapsulated packets encript نٿو ڪري. غير TrustSec ڊومين کي ڇڪڻ واري پيڪيٽس کي بچائڻ لاء، توهان ٻين تحفظ جي طريقن کي ترتيب ڏئي سگهو ٿا، جهڙوڪ IPsec.
VRF-Aware SXP
ورچوئل روٽنگ ۽ فارورڊنگ (VRF) جو SXP لاڳو ڪرڻ هڪ SXP ڪنيڪشن کي مخصوص VRF سان ڳنڍي ٿو. اهو فرض ڪيو ويو آهي ته نيٽ ورڪ ٽوپولوجي کي صحيح طور تي ترتيب ڏنل آهي Layer 2 يا Layer 3 VPNs لاءِ، سڀني VRFs سان ترتيب ڏنل Cisco TrustSec کي فعال ڪرڻ کان اڳ.
SXP VRF سپورٽ جو خلاصو هن ريت ڪري سگهجي ٿو:
  • صرف هڪ SXP ڪنيڪشن هڪ VRF سان پابند ٿي سگهي ٿو.
  • مختلف VRFs شايد اوورليپ ڪري سگھن ٿيون SXP پير صاحب يا ماخذ IP پتي.
  • هڪ VRF ۾ سيکاريل IP-SGT ميپنگ (شامل يا ختم ٿيل) صرف ساڳئي VRF ڊومين ۾ تازه ڪاري ڪري سگهجي ٿو.
    SXP ڪنيڪشن هڪ مختلف VRF جي پابند ميپنگ کي اپڊيٽ نٿو ڪري سگهي. جيڪڏهن ڪو به SXP ڪنيڪشن VRF لاءِ نه نڪرندو آهي، IP–SGT ميپنگ ان VRF لاءِ SXP پاران اپڊيٽ نه ٿينديون.
  • گھڻن ايڊريس فيملي في وي آر ايف جي سپورٽ ڪئي وئي آھي. تنهن ڪري، هڪ VRF ڊومين ۾ هڪ SXP ڪنيڪشن ٻنهي IPV4 ۽ IPV6 IP-SGT ميپنگ کي اڳتي وڌائي سگھي ٿو.
  • SXP ۾ ڪنيڪشن جي تعداد ۽ IP-SGT نقشن جي تعداد تي ڪا به حد ناهي في VRF.
پرت 2 VRF-Aware SXP ۽ VRF اسائنمينٽ
VRF to Layer 2 VLANs اسائنمنٽس cts رول تي ٻڌل l2-vrf vrf-name vlan-list Global configuration command سان بيان ڪيل آھن. هڪ VLAN هڪ پرت 2 VLAN سمجهي ويندي آهي جيستائين VLAN تي ترتيب ڏنل IP پتي سان ڪو سوئچ ورچوئل انٽرفيس (SVI) نه آهي. VLAN هڪ پرت 3 VLAN بڻجي ويندو آهي جڏهن هڪ IP پتو ان جي SVI تي ترتيب ڏنل آهي.
cts رول تي ٻڌل l2-vrf ڪمانڊ پاران ترتيب ڏنل VRF تفويض فعال آهن جيستائين هڪ VLAN رهي ٿو هڪ پرت 2 VLAN. IP-SGT بائنڊنگز سکيا جڏهن هڪ VRF اسائنمينٽ فعال آهي پڻ شامل ڪيو ويو آهي فارورڊنگ انفارميشن بيس (FIB) جدول سان جڙيل VRF ۽ IP پروٽوڪول ورزن سان. جيڪڏهن هڪ SVI هڪ VLAN لاءِ سرگرم ٿي وڃي ٿو، VRF کان VLAN تفويض غير فعال ٿي وڃي ٿي ۽ VLAN تي سکيل سموريون پابنديون SVI جي VRF سان لاڳاپيل FIB ٽيبل تي منتقل ٿي وڃن ٿيون.
VRF کي VLAN تفويض برقرار رکيو ويندو آهي جيتوڻيڪ جڏهن تفويض غير فعال ٿي وڃي ٿي. اهو ٻيهر چالو ڪيو ويندو آهي جڏهن SVI هٽايو ويندو آهي يا جڏهن SVI IP پتي کي ترتيب ڏنو ويندو آهي. جڏهن ٻيهر چالو ڪيو ويو، IP-SGT بائننگ واپس منتقل ڪيا ويا آهن FIB ٽيبل تان SVI جي VRF سان لاڳاپيل FIB ٽيبل ڏانهن VRF سان لاڳاپيل cts ڪردار جي بنياد تي l2-vrf ڪمانڊ طرفان مقرر ڪيل.
فيچر جي تاريخ Cisco TrustSec Over لاءِview
ھي جدول ھن ماڊل ۾ بيان ڪيل خاصيتن لاءِ جاري ۽ لاڳاپيل معلومات مهيا ڪري ٿو.
اهي خاصيتون موجود آهن سڀني رليزز ۾ ان کان پوءِ جنهن ۾ اهي متعارف ڪرايا ويا هئا، جيستائين ٻي صورت ۾ نوٽ ڪيو وڃي.
CISCO Trustsec سيڪيور نيٽورڪ ٺاهي ٿو - سسڪو ٽرسٽ سيڪ اوور لاءِ خصوصيت جي تاريخview
استعمال ڪريو Cisco فيچر نيويگيٽر پليٽ فارم ۽ سافٽ ويئر تصويري سپورٽ بابت معلومات ڳولڻ لاءِ. پهچڻ
سسڪو فيچر نيويگيٽر، ڏانھن وڃو http://www.cisco.com/go/cfn.

دستاويز / وسيلا

CISCO Trustsec محفوظ نيٽورڪ ٺاهي ٿو [pdf] استعمال ڪندڙ ھدايت
Trustsec محفوظ نيٽورڪ ٺاهي ٿو، Trustsec، محفوظ نيٽورڪ ٺاهي ٿو، محفوظ نيٽورڪ، نيٽورڪ

حوالو

تبصرو ڇڏي ڏيو

توهان جو اي ميل پتو شايع نه ڪيو ويندو. گهربل فيلڊ نشان لڳل آهن *