CISCO Trustsec Fausiaina Secure Network User Guide

CISCO Trustsec Fausia Saogalemu
 Feso'ota'iga Tagata Taiala

Cisco TrustSec fausia feso'ota'iga malupuipuia e ala i le fa'atuina o vaega o masini feso'otaiga fa'alagolago. O masini ta'itasi i totonu o le vaega e fa'amaonia e ana tupulaga. Feso'ota'iga i luga o feso'ota'iga i le va o masini i totonu o le fa'alapotopotoga e fa'amautu i se tu'ufa'atasiga o fa'ailoga, siaki le sa'o o fe'au, ma fa'amaumauga-auala toe fa'afo'i le puipuiga.

Tapulaa mo Cisco TrustSec

E le manuia le tu'uina atu o fa'amaoniga avanoa puipuia (PAC) ma tumau pea i le tulaga tautau, pe a fa'ailoa mai se ID masini e le aoga. E tusa lava pe maeʻa ona faʻamama le PAC, ma faʻapipiʻi le ID saʻo o le masini ma le faʻaupuga, e le manuia lava le PAC.
I le avea ai o se fofo, i totonu o le Cisco Identity Services Engine (ISE), aveese le siakiina o le Suppress Anomalous Clients
filifiliga i le Pulega> Faʻatonu> Faʻatonu> Polokalama> Radius menu mo le PAC e galue.

Cisco TrustSec e le lagolagoina i le tulaga FIPS.
O tapula'a nei e na'o le fa'ata'ita'iga C9500X-28C8D o Cisco Catalyst 9500 Series Switches:
• Cisco TrustSec tusi lesona e le lagolagoina.
• Cisco TrustSec Security Association Protocol (SAP) e le lagolagoina.
• Cisco TrustSec metadata encapsulation ulutala e le lagolagoina.

Mataupu lalafi

1 Fa'amatalaga e uiga i Cisco TrustSec Architecture

2 Pepa / Punaoa

2.1 Fa'asinomaga

Fa'amatalaga e uiga i Cisco TrustSec Architecture

O le Cisco TrustSec security architecture e fausia ai fesoʻotaʻiga malupuipuia e ala i le faʻavaeina o vaega o masini fesoʻotaʻiga faatuatuaina. O masini ta'itasi i totonu o le vaega e fa'amaonia e ana tupulaga. Feso'ota'iga i luga o feso'ota'iga i le va o masini i totonu o le fa'alapotopotoga e fa'amautu i se tu'ufa'atasiga o fa'ailoga, siaki le sa'o o fe'au, ma fa'amaumauga-auala toe fa'afo'i le puipuiga. Cisco TrustSec faʻaogaina le masini ma faʻamatalaga faʻaoga na maua i le taimi o le faʻamaonia mo le faʻavasegaina o afifi e vaega saogalemu (SGs) ao latou ulufale atu i le fesoʻotaʻiga. O lenei fa'avasegaga o afifi o lo'o tausia e tagging packets i luga o le ulufale atu i le Cisco TrustSec network ina ia mafai ona iloa lelei mo le faʻamoemoe o le faʻaogaina o le saogalemu ma isi faiga faʻavae i luga o le ala faʻamatalaga. O le tag, ua taʻua o le vaega saogalemu tag (SGT), fa'atagaina le feso'ota'iga e fa'amalosia le faiga fa'atonutonu avanoa e ala i le fa'atagaina o le masini fa'ai'uga e galue i luga o le SGT e fa'amama ai felauaiga.

Cisco TrustSec IEEE 802.1X feso'ota'iga e le lagolagoina i luga o fa'avae lagolago i le Cisco IOS XE Denali
(16.1.x i 16.3.x), Cisco IOS XE Everest (16.4.x i 16.6.x), ma Cisco IOS XE Fuji (16.7.x i 16.9.x) tatalaina, ma o lea e na o le Authenticator e lagolagoina; e le lagolagoina le Talosaga.

O le Cisco TrustSec architecture e aofia ai vaega autu e tolu:

Authenticated networking infrastructure-A maeʻa le masini muamua (ua taʻua o le seed device) faʻamaonia ma le faʻamaoniga faʻamaonia e amata ai le Cisco TrustSec domain, o masini fou taʻitasi e faʻaopoopo i le vaega e faʻamaonia e ana aumea masini ua i totonu o le vaega. E fai a latou tupulaga e fai ma faufautua mo le fa'aumau fa'amaoni a le vaega. O masini fa'ato'a fa'amaonia ta'itasi e fa'avasegaina e le 'au'aunaga fa'amaonia ma tu'uina atu i ai se numera o le kulupu malupuipuia e fa'atatau i lona fa'asinomaga, matafaioi, ma le tulaga saogalemu.
Puipuiga fa'avae fa'avae le fa'atonuga—O faiga fa'avae i totonu o le Cisco TrustSec domain e tuto'atasi-tuto'atasi, e fa'atatau i matafaioi (e pei ona fa'ailoa mai e le numera o vaega o le puipuiga) o mea e maua mai ai ma mea e alu i ai nai lo tuatusi feso'ota'iga. O taga ta'ito'atasi tagfa'atasi ma le numera o le vaega o le puipuiga o le puna.

Feso'ota'iga malu-Fa'atasi ai ma meafaigaluega e mafai ona fa'aigoaina, feso'ota'iga i so'otaga ta'itasi i le va o masini i totonu o le vaega e mafai ona fa'amautu i se tu'ufa'atasiga o fa'amatalaga, siaki le sa'o o fe'au, ma auala e puipuia ai le toe ta'aiga o fa'amaumauga.

O le ata lea o loʻo faʻaalia mai ai le exampo le Cisco TrustSec domain. I lenei exampO lea, e tele masini feso'ota'iga ma se masini fa'ai'uga o lo'o i totonu ole Cisco TrustSec domain. E tasi le mea fa'ai'uga ma le tasi masini feso'ota'iga o lo'o i fafo atu o le vaega ona e le o Cisco TrustSec-masini e mafai pe ona ua teena le avanoa. O le 'au'aunaga fa'amaonia e manatu o lo'o i fafo atu o le Cisco TrustSec domain; o se Cisco Identities Service Engine (Cisco ISE), poʻo se Cisco Secure Access Control System (Cisco ACS).

Ata 1: Cisco TrustSec Network Domain Example

CISCO Trustsec Fausia Fesootaiga Saogalemu - Ata 1

O tagata taʻitoʻatasi i le Cisco TrustSec faʻamaoniga faʻamaonia e galue i se tasi o matafaioi nei:

Talosaga—O se masini e le'i fa'amaonia e feso'ota'i i se tupulaga i totonu o le Cisco TrustSec domain, ma taumafai e auai i le Cisco TrustSec domain.

Fa'amaumauga fa'amaonia-O le 'au'aunaga e fa'amaonia le fa'asinomaga o le tagata talosaga ma tu'uina atu faiga fa'avae e iloa ai le avanoa o le tagata talosaga i auaunaga i totonu o le Cisco TrustSec domain.
Authenticator-O se masini faʻamaonia ua leva ona avea ma vaega o le Cisco TrustSec domain ma e mafai ona faʻamaonia tagata talosaga fou e fai ma sui o le faʻaumau faʻamaonia.

A oʻo mai le fesoʻotaʻiga i le va o se tagata talosaga ma se tagata faʻamaoni, o le faʻasologa o mea tutupu e masani ona tupu:

Authentication (802.1X)—O le tagata talosaga e faʻamaonia e le faʻaumau faʻamaonia, faʻatasi ai ma le faʻamaonia e galue o se tagata faufautua. O le fa'amaoni fa'atasi e fa'atino i le va o tupulaga e to'alua (tagata talosaga ma le fa'amaoni).
Fa'atagaga-E fa'avae i luga o fa'amatalaga e iloagofie ai le tagata talosaga, e tu'uina atu e le 'au'aunaga fa'amaonia faiga fa'atagaga, e pei o tofitofiga vaega o le puipuiga ma ACL, i ta'ito'atasi so'otaga. O lo'o tu'uina atu e le 'au'aunaga fa'amaoni le fa'asinomaga o tupulaga ta'itasi i le isi, ona fa'aogaina lea e tupulaga ta'itasi le faiga fa'avae talafeagai mo le so'otaga.

Fefa'ataua'iga a le Fa'alapotopotoga Puipuiga (SAP)—Pe a fa'amauina itu uma e lua o se feso'ota'iga, e fa'atalanoaina e le tagata talosaga ma le fa'amaoni mea e mana'omia e fa'avae ai se so'otaga saogalemu (SA).

E le lagolagoina le SAP ile 100G feso'ota'iga. Matou te fautua atu e te faʻaogaina le MACsec Key Agreement protocol
(MKA) fa'atasi ai ma fa'asologa o fa'anumera pepa (XPN) i luga o feso'ota'iga 100G.

A maeʻa laasaga uma e tolu, e suia e le tagata faʻamaonia le tulaga o le soʻotaga mai le tulaga le faʻatagaina (poloka) i le setete faʻatagaina, ma avea le tagata talosaga ma sui o le Cisco TrustSec domain.

Cisco TrustSec faʻaaogaina le ulufale tagfa'amama ma fa'amama e fa'amalosia faiga fa'avae fa'atonutonu avanoa i se faiga fa'alautele. O afifi o lo'o ulufale i totonu o le domain o tagfa'atasi ma se vaega saogalemu tag (SGT) o lo'o i ai le numera vaega fa'apolopolo ua tu'uina atu o le masini fa'apogai. O lenei fa'avasegaga o pusa o lo'o tausia i luga o le ala fa'amaumauga i totonu o le Cisco TrustSec domain mo le fa'amoemoe o le fa'aogaina o le puipuiga ma isi faiga fa'avae. O le masini Cisco TrustSec mulimuli i luga o le ala faʻamaumauga, pe o le pito i tua poʻo le faʻaogaina o fesoʻotaʻiga, e faʻamalosia ai se faiga faʻatonutonu avanoa e faʻavae i luga o le vaega saogalemu o le Cisco TrustSec source device ma le vaega saogalemu o le masini Cisco TrustSec mulimuli. E le pei o lisi masani e pulea avanoa e faʻavae i luga o tuatusi fesoʻotaʻiga, Cisco TrustSec faiga faʻatonutonu avanoa o se ituaiga o lisi faʻavae avanoa e faʻavae (RBACLs) e taʻua o le vaega o le puipuiga o le faʻaogaina o lisi o avanoa (SGACLs).

O le Ingress o loʻo faʻatatau i paʻu o loʻo ulufale i totonu o le Cisco TrustSec-mafai masini e faʻafeiloaʻi e se afifi i luga o lona ala i le mea e alu i ai ma o le alu ese e faasino i paʻu o loʻo tuua le Cisco TrustSec-mafai masini i luga o le ala.

Fa'amaoni

Cisco TrustSec ma le Faʻamaoni

I le fa'aogaina o le Network Device Admission Control (NDAC), Cisco TrustSec e fa'amaonia se masini a'o le'i fa'atagaina e fa'atasi i le feso'otaiga. NDAC faʻaaogaina le 802.1X faʻamaonia ma le Extensible Authentication Protocol Flexible Authentication e ala i le Secure Tunnel (EAP-FAST) e pei o le Extensible Authentication Protocol (EAP) auala e faʻatino ai le faʻamaoniga. O talanoaga EAP-FAST e maua ai isi fefa'ataua'iga auala EAP i totonu ole alavai EAP-FAST e fa'aoga ai filifili. E mafai e le pulega ona fa'aogaina metotia fa'amautu fa'atagata fa'apitoa, e pei ole Microsoft Challenge Handshake Authentication Protocol Version 2 (MSCHAPv2), a'o iai pea le puipuiga e saunia e le EAP-FAST tunnel. I le taimi o le fesuiaiga o le EAP-FAST, e fatuina e le server faʻamaonia ma tuʻuina atu i le tagata talosaga se faʻamaoniga tulaga ese puipuia avanoa (PAC) o loʻo i ai se ki faʻasoa ma se faʻailoga faʻailoga e faʻaoga mo fesoʻotaʻiga saogalemu i le lumanaʻi ma le faʻamaumauga faʻamaonia.

O le ata o loʻo i lalo o loʻo faʻaalia ai le EAP-FAST tunnel ma auala i totonu e pei ona faʻaaogaina i Cisco TrustSec.

Ata 2: Cisco TrustSec Authentication

CISCO Trustsec Fausia Fesootaiga Saogalemu - Ata 2

Cisco TrustSec Fa'aleleia ile EAP-FAST

O le faʻatinoga o le EAP-FAST mo Cisco TrustSec o loʻo i ai faʻaleleia atili:

Faʻamaonia le faʻamaonia-Faʻamautu lelei le faʻamatalaga o le faʻamaonia e ala i le manaʻomia o le faʻamaonia e faʻaaoga lana PAC e maua ai le ki faʻasoa i le va o ia ma le faʻaumau faʻamaonia. O lenei vaega e taofia ai oe mai le faʻatulagaina o ki faʻasoa RADIUS i luga o le faʻamaumauga faʻamaonia mo tuatusi IP uma e mafai ona faʻaogaina e le tagata faʻamaonia.

Fa'ailoa i masini ta'itasi le fa'asinomaga o lana tupulaga—E o'o atu i le fa'ai'uga o le fefa'asoa'iga fa'amaoni, ua fa'ailoa e le 'au'aunaga fa'amaoni le tagata talosaga ma le fa'amaoni. O le faʻamaumauga faʻamaonia e faʻaalia ai le faʻamaoniga o le faʻamaonia, ma pe o le faʻamaonia e Cisco TrustSec-mafai, i le tagata talosaga e ala i le faʻaogaina o faʻasologa faʻaopoopo ituaiga-umi-taua (TLVs) i le faʻamutaina o le EAP-FAST puipuia. O lo'o fa'ailoa mai fo'i e le 'au'aunaga fa'amaonia le fa'asinomaga o le tagata talosaga, ma pe o le tagata talosaga o Cisco TrustSec-mafai, i le fa'amaoni e ala i le fa'aogaina o uiga RADIUS i le Access- Accept message.
Talu ai e iloa e masini taʻitasi le faʻamatalaga o lana tupulaga, e mafai ona tuʻuina atu RADIUS Avanoa-Talosaga faʻaopoopo i le faʻamaoniga faʻamaonia e maua ai le faiga faʻavae e faʻaoga i luga o le soʻotaga.

802.1X Filifiliga Matafaioi

I le 802.1X, e tatau i le tagata faʻamaoni ona iai le fesoʻotaʻiga IP ma le faʻaumau faʻamaonia aua e tatau ona faʻasalalau le faʻamatalaga faʻamaonia i le va o le tagata talosaga ma le faʻamaonia e faʻaaoga RADIUS i luga ole UDP / IP. Pe a fesoʻotaʻi se masini faʻaiʻuga, e pei o se PC, i se fesoʻotaiga, e manino lava e tatau ona galue o se tagata talosaga. Ae ui i lea, i le tulaga o se Cisco TrustSec fesoʻotaʻiga i le va o masini fesoʻotaʻiga e lua, o le 802.1X matafaioi o masini fesoʻotaʻiga taʻitasi atonu e le vave faʻaalia i le isi masini fesoʻotaiga.

Nai lo le mana'omia o le fa'atonuga o le fa'amaumauga a le tagata fa'amaoni ma le tagata talosaga mo sui e lua, o lo'o fa'atautaia e Cisco TrustSec se algorithm e filifili ai ma otometi po'o fea sui e fa'amaonia ma o le a le mea e fai ma tagata talosaga. O le algorithm o le filifiliga-filifiliga e tuʻuina atu le matafaioi faʻamaonia i le ki o loʻo i ai le faʻaogaina o le IP ile server RADIUS. O suiga uma e lua e amata uma ai le fa'amaoni ma masini a le malo. Pe a iloa e se ki o loʻo maua e lana tupulaga se 'auʻaunaga RADIUS, e faʻamutaina lana lava masini faʻamaonia faʻamaonia ma faʻaaogaina le matafaioi a le tagata talosaga. Afai e mafai e sui uma e lua ona maua se server RADIUS, o le ki muamua e maua ai se tali mai le server RADIUS e avea ma faʻamaoniga ma o le isi ki e avea ma tagata talosaga.

Cisco TrustSec Authentication Summary

E oʻo atu i le faaiuga o le Cisco TrustSec faʻamaoniga faʻamaonia, ua faia e le faʻaumau faʻamaonia gaioiga nei:

Fa'amaonia le fa'ailoaina o le tagata talosaga ma le fa'amaoni.

Faʻamaonia le tagata faʻaoga pe a fai o le tagata talosaga o se masini faʻaiʻuga.

I le faaiuga o le Cisco TrustSec faʻamaoniga faʻamaoniga, e iloa uma e le tagata faʻamaonia ma le tagata talosaga mea nei:

o lo'o mulimuli mai:

ID masini a le tupulaga
Cisco TrustSec faʻamatalaga gafatia o le tupulaga

Ki fa'aaoga mo le SAP

Fa'asinomaga Meafaigaluega

Cisco TrustSec e le faʻaogaina tuatusi IP poʻo tuatusi MAC e fai ma faʻamatalaga masini. Nai lo lena, e te tuʻuina atu se igoa (ID masini) i suiga taʻitasi Cisco TrustSec e mafai ona faʻailoa tulaga ese i le Cisco TrustSec domain. Ole ID ole masini e fa'aoga mo mea nei:

Su'e le faiga fa'atagaina

Su'e upu fa'amaonia i totonu o fa'amaumauga i le taimi o le fa'amaoni

Fa'ailoga Fa'atonu

Cisco TrustSec e lagolagoina faʻamaoniga faʻavae upu faʻamaonia. Cisco TrustSec faʻamaonia le au talosaga e ala i upu faʻaulu ma faʻaoga MSCHAPv2 e tuʻuina atu faʻamaoniga tutusa.

O lo'o fa'aogaina e le 'au'aunaga fa'amaonia nei fa'amaoniga e fa'amaonia tutusa ai le tagata talosaga i le taimi o le EAP-FAST vaega 0 (provisioning) fa'afesuiaiga lea e tu'uina atu ai se PAC i le tagata talosaga. Cisco TrustSec e le toe faia le EAP-FAST vaega 0 fesuiaiga seia maeʻa le PAC, ma naʻo le faia o le EAP-FAST vaega 1 ma le vaega 2 fefaʻatauaʻiga mo soʻotaga i le lumanaʻi. O le EAP-FAST vaega 1 fa'afesuia'i e fa'aogaina le PAC e fa'amautu fa'amaoni ai le fa'aumau fa'amaoni ma le tagata talosaga. Cisco TrustSec e fa'aaogaina fa'amatalaga o masini i le taimi o la'asaga tu'uina atu (po'o le toe tu'uina) a le PAC.

O le taimi muamua e auai le tagata talosaga i le Cisco TrustSec domain, e faʻamaonia e le server faʻamaonia le tagata talosaga ma tulei se ki faʻasoa ma faʻailoga faʻailoga i le tagata talosaga ma le PAC. E fa'aaoga e le 'au'aunaga fa'amaoni ma le tagata talosaga lenei ki ma fa'ailoga mo le fa'amaoni i le lumana'i EAP-FAST vaega 0 fefa'ataua'iga.

Fa'ailoga Fa'aoga

Cisco TrustSec e le manaʻomia se ituaiga faʻapitoa o faʻamatalaga faʻaoga mo masini faʻaiʻuga. E mafai ona e filifilia soʻo se ituaiga o auala faʻamaonia e faʻaaogaina e lagolagoina e le faʻaumau faʻamaonia, ma faʻaoga faʻamaoniga talafeagai. Mo example, le Cisco Secure Access Control System (ACS) version 5.1 lagolago MSCHAPv2, generic token card (GTC), poʻo le RSA tasi-taimi password (OTP)

Pulea Avanoa Fa'avae i Vaega Saogalemu
O lenei vaega o lo'o tu'uina atu ai fa'amatalaga e uiga i lisi fa'atonutonu avanoa fa'avae fa'avae (SGACLs).

Vaega Puipui ma SGTs
O se vaega saogalemu o se fa'avasegaga o tagata fa'aoga, mea e gata ai, ma punaoa e fefa'asoaa'i faiga fa'atonutonu avanoa. Vaega saogalemu o loʻo faʻamatalaina e le pule ile Cisco ISE poʻo Cisco Secure ACS. A'o fa'aopoopoina tagata fa'aoga fou ma masini i le Cisco TrustSec domain, e tu'uina atu e le 'au'aunaga fa'amaonia nei vaega fou i vaega saogalemu talafeagai. Cisco TrustSec e tuʻuina atu i vaega taʻitasi se puipuiga faʻapitoa 16-bit numera vaega saogalemu o loʻo lautele lona lautele i totonu ole Cisco TrustSec domain. Ole numera ole vaega ole puipuiga ile masini e fa'atapula'aina ile numera o fa'aupuga feso'ota'iga fa'amaonia. E te le tau fetu'una'i ma le lima numera vaega o le puipuiga.

O le taimi lava e faʻamaonia ai se masini, Cisco TrustSec tags so'o se afifi e afua mai i lena masini fa'atasi ai ma se vaega o le puipuiga tag (SGT) o lo'o i ai le numera o vaega o le masini. O lo'o feavea'i e le pepa lenei SGT i le feso'otaiga i totonu ole ulutala Cisco TrustSec. O le SGT o se fa'ailoga e tasi e fuafua ai fa'amanuiaga o le puna i totonu ole atina'e atoa.

Ona o le SGT o loʻo i ai le vaega saogalemu o le punavai, o le tag e mafai ona taʻua o le puna SGT. O le masini e taunuu i ai ua tofia foi i se vaega saogalemu (le taunuuga SG) e mafai ona faasino i ai mo le faigofie e pei o le vaega e taunuu i ai. tag (DGT), e ui lava o le Cisco TrustSec moni pusa tag e le o iai le numera o vaega o le puipuiga o le masini e alu i ai.

Vaega Puipuiga ACL Lagolago
Lisi o fa'atonuga o avanoa vaega (SGACLs) ose faiga fa'avae e mafai ai e le pule ona fa'atonutonu galuega e fa'atino e se tagata fa'aoga, e fa'avae i luga o tofitofiga vaega fa'asaogalemu ma mea e alu i ai. O le fa'amalosia o faiga fa'avae i totonu o le Cisco Trustsec o lo'o fa'atusalia e se fa'atagaga matrix, fa'atasi ai ma le numera o le fa'aupuga o le puipuiga i luga o le tasi itu ma le numera o le vaega o le saogalemu i le isi itu. O sela ta'itasi i le matrix o lo'o i ai se lisi fa'atonuina o SGACLs, lea e fa'amaoti mai ai fa'atagaga e tatau ona fa'aoga i pepa e afua mai i se IP o lo'o iai i se vaega fa'apogai fa'apogai ma i ai se IP taunu'u e a'afia i le vaega o le saogalemu.

O le SGACL e tu'uina atu ai le fa'atonuga o le fa'atonuina o avanoa e fa'avae i luga o le so'otaga saogalemu po'o le vaega o le puipuiga tag tau nai lo tuatusi IP ma filiga. E tolu auala e saunia ai se faiga fa'avae SGACL:

Tulaga o faiga fa'avae: O faiga fa'avae SGACL e fa'amalamalamaina e le tagata fa'aaoga le fa'atagaga cts fa'avae.

Fuafuaga faʻavae faʻavae: Faʻatonuga o faiga faʻavae SGACL e tatau ona faia muamua e ala i le pulega o faiga faʻavae a le Cisco Secure ACS poʻo le Cisco Identity Services Engine.
Suiga o le Faʻatagaina (CoA): O le faʻafouina o faiga faʻavae e sii mai pe a suia le SGACL policy i luga o le ISE ma CoA e tuleia i le Cisco TrustSec masini.
E maua e le va'alele fa'amaumauga a le masini ia pusa CoA mai le kamupani e tu'uina atu faiga fa'avae (ISE) ma fa'aoga le faiga fa'avae i pepa CoA. Ona tu'uina atu lea o afifi i le va'alele fa'atonutonu masini lea e tupu ai le isi la'asaga o le fa'amalosia o faiga fa'avae mo pepa o le CoA o lo'o sau. I view le fa'atonuga fa'atatau i mea tau masini ma polokalama fa'akomepiuta, fa'agasolo le fa'aaliga cts fa'atonu fa'atatau i fa'atonuga fa'atatau i le tulaga fa'apitoa EXEC.

Faiga Fa'avae a le SGACL

I le fa'aaogaina o lisi o fa'atonuga o avanoa vaega (SGACLs), e mafai ona e pulea fa'agaioiga e mafai e tagata fa'aoga ona fa'atino e fa'atatau i tofitofiga vaega o tagata fa'aoga ma mea e alu i ai. O le fa'amalosia o faiga fa'avae i totonu o le Cisco TrustSec domain o lo'o fa'atusalia e se fa'atagaga matrix, fa'atasi ai ma numera o fa'apogai mo puipuiga i luga o le tasi itu ma numera o fa'ailoga saogalemu i le isi itu. O sela ta'itasi i totonu o le tino o le matrix e mafai ona i ai se lisi fa'atonuina o SGACLs e fa'amaoti mai ai fa'atagaga e tatau ona fa'aoga i pepa e afua mai i le vaega o le puipuiga ma fa'amoemoe mo le vaega o le saogalemu.

O le ata lea o loʻo faʻaalia mai ai le example o se Cisco TrustSec fa'atagaga matrix mo se vaega faigofie ma tolu matafaioi fa'aoga fa'aoga ma le tasi fa'amatalaga fa'asinomaga punaoa. E tolu faiga fa'avae SGACL e pulea le avanoa i le 'au'aunaga e fa'atatau i le matafaioi a le tagata fa'aoga.

Ata 3: SGACL Policy Matrix Example

CISCO Trustsec Fausia Fesootaiga Saogalemu - Ata 3

E ala i le tuʻuina atu o tagata faʻaoga ma masini i totonu o le fesoʻotaʻiga i vaega saogalemu ma le faʻaogaina o le faʻaogaina o avanoa i le va o vaega saogalemu, Cisco TrustSec e ausia le faʻavaeina o le topology-tutoatasi le pulea o avanoa i totonu o le fesoʻotaʻiga. Ona o le SGACL o loʻo faʻamalamalamaina faiga faʻatonutonu avanoa e faʻavae i luga o faʻamatalaga o masini nai lo tuatusi IP e pei o ACL masani, o masini fesoʻotaʻiga e saoloto e feʻaveaʻi i luga ole fesoʻotaʻiga ma suia tuatusi IP.
O le a lava le umi e tumau ai matafaioi ma faʻatagaga, o suiga ile topology o fesoʻotaʻiga e le suia ai le puipuiga malu. A faʻaopoopoina se tagata faʻaoga i le masini, naʻo lou tuʻuina atu o le tagata faʻaoga i se vaega saogalemu talafeagai ma maua loa e le tagata faʻaoga faʻatagaga a lena vaega.

O faiga fa'avae a le SGACL o lo'o fa'aogaina i fefa'ataua'iga o lo'o fa'atupuina i le va o masini talimalo e lua, ae le o fefa'ataua'iga e fa'atupu mai se masini i se masini fa'ai'u.

O le fa'aaogaina o fa'atagaga e fa'atatau i matafaioi e matua fa'aitiitia ai le tele o ACL ma fa'afaigofie ai lo latou tausiga. Faatasi ai ma Cisco TrustSec, o le numera o faʻatonuga faʻatonuga (ACEs) faʻatulagaina e fuafua i le numera o faʻatagaga ua faʻamaonia, e maua ai se numera laʻititi o ACEs nai lo se fesoʻotaʻiga IP masani. O le fa'aogaina o SGACL i Cisco TrustSec e masani lava ona maua ai le fa'aogaina lelei o punaoa TCAM pe a fa'atusatusa i ACL masani. Ole maualuga ole 17,500 SGACL o lo'o lagolagoina ile Catalyst 9500 Series Switches. I luga ole Catalyst 9500 High Performance Series Switches, ole maualuga ole 28,224 SGACL policy e lagolagoina.

Ulufale Tagging and Egress Enforcement

Cisco TrustSec pulega avanoa e faʻaaogaina e faʻaaoga ai le ulufale tagfa'amalosia o le alu ese. I le mea e ulufale atu ai i le Cisco TrustSec domain, felauaiga mai le punavai o tagfa'atasi ma se SGT o lo'o iai le numera o le vaega fa'apolopolo a le fa'alapotopotoga fa'apogai. O le SGT o lo'o fa'asalalauina fa'atasi ma femalagaiga i luga ole laiga. I le itu e alu ese ai o le Cisco TrustSec domain, e faʻaaogaina e se masini e alu ese ai le puna SGT ma le numera o le vaega o le puipuiga o le faʻalapotopotoga (le SG, poʻo le DGT) e fuafua ai po o fea faiga faʻavae e faʻaoga mai le SGACL policy matrix.

O le ata o lo'o i lalo o lo'o fa'aalia ai pe fa'afefea ona fa'agaoioi le tofiga SGT ma le SGACL fa'amalosia i totonu ole Cisco TrustSec domain.

Ata 4: SGT ma le SGACL ile Cisco TrustSec Domain

CISCO Trustsec Fausia Fesootaiga Saogalemu - Ata 4

O le PC talimalo e tuʻuina atu se afifi i le web server. E ui o le PC ma le web 'au'aunaga e le o ni sui o le Cisco TrustSec domain, o le ala fa'amatalaga o le afifi e aofia ai le Cisco TrustSec domain.

O le Cisco TrustSec ingress device e faʻaleleia ai le afifi e faʻaopoopo ai se SGT ma le numera kulupu saogalemu 3, le numera o le vaega o le puipuiga ua tofia e le faʻaumau faʻamaonia mo le PC talimalo.
O le Cisco TrustSec egress device e fa'amalosia ai le SGACL policy e fa'atatau i le puna kulupu 3 ma le fa'ai'uga kulupu 4, le numera o le kulupu fa'amautu e tofia e le fa'amaumauga fa'amaonia mo le web server.

Afai e faatagaina e le SGACL le afifi e lafo atu, o le Cisco TrustSec egress switch e suia le pepa e aveese ai le SGT ma lafo atu le pepa i le web server.

Fuaina o le Vaega Puipuiga Punaoa

O se masini feso'ota'iga i totonu o le Cisco TrustSec domain e tatau ona fuafua le SGT o le pepa o lo'o ulufale i le Cisco TrustSec domain ina ia mafai ai. tag le pusa ma lena SGT pe a tuʻuina atu i totonu o le Cisco TrustSec domain. E tatau i le masini feso'ota'iga alu i fafo ona fuafua le SGT o le pepa ina ia fa'aoga ai se SGACL.

E mafai e le masini feso'ota'iga ona iloa le SGT mo se afifi i se tasi o metotia nei:

Maua le puna SGT i le taimi o le mauaina o faiga faʻavae-A maeʻa le Cisco TrustSec faʻamaoniga faʻamaonia, e maua e se masini fesoʻotaʻiga faʻamatalaga faiga faʻavae mai le faʻamaumauga faʻamaonia, lea e faʻaalia ai pe faʻatuatuaina le masini a le tupulaga pe leai. Afai e le fa'atuatuaina se masini a tupulaga, e mafai fo'i e le 'au'aunaga fa'amaonia ona tu'uina atu se SGT e fa'aoga i pepa uma e sau mai le masini a le tupulaga.

Aumai le puna SGT mai le taga—Afai e sau se afifi mai se masini a tupulaga faatuatuaina, e ave e le taga le SGT. E fa'aoga lea i se masini feso'ota'iga e le'o le masini feso'ota'iga muamua ile Cisco TrustSec domain mo le afifi.
Su'e le puna SGT e fa'atatau i le fa'asinomaga fa'apogai—Fa'atasi ai ma le Identity Port Mapping (IPM), e mafai ona e fa'atulagaina ma le lima le feso'ota'iga ma le fa'asinomaga o le tupulaga feso'ota'i. E talosagaina e le masini fesoʻotaʻiga faʻamatalaga faiga faʻavae, e aofia ai le SGT ma le tulaga faʻalagolago, mai le faʻaumau faʻamaonia.
Su'e le puna SGT e fa'atatau i le tuatusi IP puna—I nisi tulaga, e mafai ona e fa'atulagaina ma le lima le faiga fa'avae e filifili ai le SGT o se afifi e fa'atatau i lona tuatusi IP puna. E mafai fo'i e le SGT Exchange Protocol (SXP) ona fa'atumu le laulau fa'afanua IP-address-to-SGT.

Fuafuaina o le Vaega o le Puipuiga

O le masini feso'ota'iga e alu i fafo i totonu o le Cisco TrustSec domain e fuafua le vaega e taunuu i ai (DGT) mo le fa'aogaina o le SGACL. O le masini feso'ota'iga e fuafua le vaega o le saogalemu mo le afifi e fa'aaoga ai metotia tutusa e fa'aaoga mo le fuafuaina o le vaega o le puipuiga, se'i vagana ai le mauaina o le numera vaega mai se afifi. tag. E le o iai le numera o le vaega o le saogalemu i le nofoaga i totonu o se pusa tag.

I nisi tulaga, e mafai ona iai fa'amatalaga kulupu o lo'o maua mai i totonu o masini po'o isi masini e le alu i fafo. I na tulaga, e mafai ona faʻaoga SGACL i nei masini nai lo masini e alu ese.

Fa'amalosia ole SGACL ile Auala ma Feso'ota'iga
O le fa'amalosia o le SGACL e fa'aoga na'o luga ole IP fe'avea'i, ae fa'amalosia e mafai ona fa'aoga ile ta'avale pe fesuia'i feoaiga.
Mo fela'ua'iga fe'avea'i, o le fa'amalosia o le SGACL e fa'atino e se ki e alu i fafo, e masani lava o se ki fa'asoa po'o se ki fa'aoga fa'atasi ai ma se uafu ta'avale e feso'ota'i atu i le nofoaga o lo'o i ai. A e fa'atagaina le fa'amalosia o le SGACL i le lalolagi atoa, e otometi lava le fa'amalosia o le fa'amalosia i luga ole Layer 3 fa'aoga se'i vagana ai feso'ota'iga SVI.

Mo fela'ua'iga fe'avea'i, e fa'atino le fa'amalosia o le SGACL i luga o ta'avale o lo'o tafe i totonu o se fa'aoga e tasi e aunoa ma se galuega fa'atonutonu. O se exampo le a fa'amalosia le SGACL e fa'atinoina e se fa'amatalaga avanoa fa'afeso'ota'i i luga o fe'avea'iga o feso'ota'iga i le va o sapalai e lua. I lenei example, o le felauaiga o le server-to-server e masani lava ona sui. E mafai ona fa'aoga le fa'amalosia o le SGACL i afifi ua fesuia'i i totonu o le VLAN po'o le tu'uina atu i se SVI e feso'ota'i ma se VLAN, ae tatau ona fa'aagaaga fa'amalosi mo VLAN ta'itasi.

SGACL Logging ma ACE Fuainumera

A fa'agaoioi le logging i le SGACL, e fa'amauina e le masini fa'amatalaga nei:

Le vaega fa'apogai puipuia tag (SGT) ma le taunuuga SGT
Ole igoa ole SGACL
Le ituaiga o fa'asalalauga fa'asalalau
Le gaioiga na faia i luga o le pusa

O le filifiliga o le log e fa'aoga i ACE ta'itasi ma mafua ai ona fa'amauina pepa e fetaui ma le ACE. O le pepa muamua o loʻo faʻapipiʻiina e le log keyword e maua ai se feʻau syslog. O fe'au fa'amaufa'ailoga mulimuli e fa'atupuina ma lipotia i va'aiga lima minute. Afai e fetaui le ACE e mafai ona ta'oto i le isi pepa (e iai uiga e tutusa ma le pepa na fa'atupuina ai le fe'au ogalaau), e fa'aopoopo le numera o pepa fa'atusa (counters) ona lipotia lea.

Ina ia mafai ona fa'aigoaina, fa'aoga le upu fa'amaufa'ailoga i luma ole fa'auigaina ole ACE ile fa'atulagaina ole SGACL. Mo example, faataga ip log.

A fa'agaoioia SGACL logging, ICMP Talosaga fe'au mai le masini i le tagata o tausia e le o saini mo
IPv4 ma IPv6 protocols. Peitai; O fe'au tali a le ICMP mai le kalani i le masini o lo'o fa'amauina.

O mea nei e pei oample ogalaau, faʻaalia le puna ma le mea e alu i ai SGTs, ACE matches (mo se pemita poʻo se faʻafitiga gaioiga), ma le faʻasalalauga, o lona uiga, TCP, UDP, IGMP, ma faʻamatalaga ICMP:

*Iun 2 08:58:06.489: %C4K_IOSINTF-6-SGACLHIT: lisi deny_udp_src_port_log-30 Te'ena udp 24.0.0.23(100) -> 28.0.0.91(100), SGT8 DGT

E fa'aopoopo i le 'per cell' SGACL statistics o iai, lea e mafai ona fa'aalia i le fa'aogaina o le fa'aaliga cts fa'avae
counters command, e mafai foi ona e fa'aali fuainumera ACE, e ala i le fa'aogaina o le fa'aaliga ip access-list sgacl_name command. Leai se fa'aopoopo fa'aopoopo e mana'omia mo lea.
O le exampLe fa'aalia pe fa'apefea ona e fa'aogaina le fa'aaliga ip access-list command e fa'aalia ai le numera ACE

Masini# fa'aali ip access-control deny_udp_src_port_log-30
Lisi fa'aoga IP fa'avae fa'avae deny_udp_src_port_log-30 (sii mai)
10 faafitia le udp src eq 100 log (283 matches)
20 faataga ip log (50 matches)

A fetaui le felauaiga o lo'o o'o mai ma le sela, ae le fetaui ma le SGACL o le sela, e fa'ataga le ta'avale ma fa'aopoopo fa'atau i le HW-Pemita mo le sela.

O le exampLe faʻaalia pe faʻafefea ona galue le SGACL o se sela:

O le SGACL faiga fa'avae ua fa'atulagaina mai le 5 i le 18 fa'atasi ai ma le "teena icmp echo" ma o lo'o i ai felauaiga mai le 5 i le 18 fa'atasi ai ma le ulutala TCP. Afai e fetaui le sela mai le 5 i le 18 ae e le fetaui le fe'avea'i ma le icmp, o le a fa'atagaina le ta'avale ma fa'aopoopoina le fata HW-Pemita o le sela 5 i le 18.

CISCO Trustsec Fausia Feso'ota'iga Saogalemu - O le SGACL faiga fa'avae ua fa'atulaga mai le 5 i le 18 fa'atasi ai ma le "teena icmp echo

VRF-malamalama SGACL Logging

O fa'amaumauga a le SGACL o le a aofia ai fa'amatalaga VRF. I le faaopoopo atu i fanua o loʻo faʻapipiʻiina nei, o faʻamatalaga faʻamaumauga o le a aofia ai le igoa VRF. O fa'amatalaga fa'afou fa'amaumauga o le a fa'aalia i lalo:

*Nov 15 02:18:52.187:%RBM-6-SGACLHIT_V6: ingress_interface='GigabitEthernet1/0/15′ sgacl_name='IPV6_TCP_DENY' action='Deny' protocol='tcp' src-vrf='CTS -ip='25::2′ src-port='20'
dest-vrf='CTS-VRF' dest-ip='49::2′ dest-port='30' sgt='200′ dgt='500′ logging_interval_hits='1′

SGACL Mataitu Faiga
I le taimi muamua o le faʻapipiʻiina o Cisco TrustSec, o le a faʻaogaina e le pule le faiga mataʻituina e faʻataʻitaʻi ai faiga faʻavae saogalemu e aunoa ma le faʻamalosia ia mautinoa o loʻo faʻaogaina faiga faʻavae e pei ona faʻamoemoeina. Afai e le faʻaogaina faiga faʻavae mo le puipuiga e pei ona faʻamoemoeina, o le mataʻituina o le auala e maua ai se auala talafeagai mo le faʻamaoniaina o lena mea ma maua ai se avanoa e faʻasaʻo ai le faiga faʻavae aʻo leʻi faʻatagaina le faʻamalosia o le SGACL. O lenei mea e mafai ai e le au pulega ona faʻateleina le vaʻaia i le taunuʻuga o faiga faʻavae aʻo leʻi faʻamalosia, ma faʻamaonia o le mataupu faavae o loʻo fetaui ma manaʻoga mo le puipuiga (e le maua le avanoa i punaoa pe a le faʻaogaina e tagata faʻaoga.
faatagaina).
O lo'o tu'uina atu le agava'a mata'ituina ile tulaga fa'alua SGT-DGT. A e fa'atagaina le SGACL mata'ituina tulaga, o le fa'afitiga fa'atino e fa'atinoina o se pemita ACL i luga o kata laina. Ole mea lea e mafai ai e le SGACL counters ma le logging e fa'aalia ai le fa'aogaina o feso'ota'iga e le SGACL policy. Talu ai o lo'o fa'atagaina uma feoaiga, e leai se fa'alavelave o le tautua ona o SGACL a'o iai i le SGACL mata'itū.

Fa'atagaga ma Faiga Fa'avae

A maeʻa le faʻamaoniga o masini, e maua uma e le tagata talosaga ma le faʻamaoni le faiga faʻavae saogalemu mai le faʻaumau faʻamaonia. Ona faia lea e le au paaga e toʻalua le faʻatagaina o fesoʻotaʻiga ma faʻamalosia le faiga faʻavae mo le puipuiga o le tasi i le isi e faʻavae i luga o latou ID masini Cisco TrustSec. O le fesoʻotaʻiga faʻamaonia auala e mafai ona faʻatulagaina e pei o le 802.1X poʻo le faʻamaoniga tusi. Afai o le so'otaga saogalemu o le 802.1X, e fa'aaoga e tupulaga ta'itasi se ID masini na maua mai le fa'aumau fa'amaonia. Afai o le so'otaga saogalemu o le tusi lesona, e tatau ona e tu'uina atu ID masini a tupulaga.

E toe fa'afo'i e le 'au'aunaga fa'amaoni uiga o faiga fa'avae nei:

Cisco TrustSec fa'alagolago—Fa'ailoa mai pe tatau ona fa'atuatuaina le masini a tupulaga mo le fa'amoemoe e tu'u le SGT i totonu o fa'aputu.
Peer SGT—Ta'u mai le vaega saogalemu lea e iai le tupulaga. Afai e le talitonuina le tupulaga, o pepa uma e maua mai le tupulaga e tagfa'atasi ma lenei SGT. Afai e le iloa e le masini pe o so'o se SGACL e feso'ota'i ma le SGT a le tupulaga, e mafai e le masini ona tu'uina atu se talosaga tulitatao i le server fa'amaoni e la'u mai ai SGACLs.
Taimi e muta ai le fa'atagaina—Fa'ailoa le numera o sekone a'o le'i muta le faiga fa'avae. O se masini Cisco TrustSec e tatau ona toe faʻafouina lana faiga faʻavae ma le faʻatagaina aʻo leʻi uma. E mafai e le masini ona teu le fa'amaoniga ma fa'amaumauga o faiga fa'avae ma toe fa'aaoga pe a uma le toe fa'afouina pe a le fa'amutaina fa'amaumauga.

O masini Cisco TrustSec ta'itasi e tatau ona lagolagoina ni faiga fa'avae la'ititi e le mafai ona maua pe a le mafai ona fa'afeso'ota'i le 'au'aunaga fa'amaonia e maua ai se faiga fa'avae talafeagai mo le tupulaga.

O le faagasologa o feutagaiga a le NDAC ma le SAP o loʻo faʻaalia i le ata o loʻo i lalo

Ata 5: Fa'atalanoaga a le NDAC ma le SAP

CISCO Trustsec Fausia Fesootaiga Saogalemu - Ata 5

Si'osi'omaga Fa'amaumauga La'uina

O le Cisco TrustSec environment data o se aofaʻiga o faʻamatalaga poʻo faiga faʻavae e fesoasoani i se masini e galue o se Cisco TrustSec node. E maua e le masini fa'amaumauga o le si'osi'omaga mai le fa'amaumau fa'amaoni pe a fa'atasi muamua le masini ile Cisco TrustSec domain, e ui e mafai fo'i ona e fa'atulagaina ma le lima nisi o fa'amatalaga i luga o se masini. Mo example, e tatau ona e configure le fatu Cisco TrustSec masini ma le faamatalaga server faamaoniga, lea e mafai mulimuli ane augmented e le lisi server lea e maua e le masini mai le server faamaoniga.

E tatau i le masini ona toe faafou le Cisco TrustSec environment data ae le'i muta. E mafai fo'i e le masini fa'apipi'i fa'amaumauga o le si'osi'omaga ma toe fa'aoga pe a uma le toe fa'afouina pe afai e le'i mae'a fa'amaumauga.

E fa'aogaina e le masini le RADIUS e maua ai fa'amaumauga o le si'osi'omaga nei mai le fa'aumau fa'amaoni:

Lisi o fa'aumau: Lisi o 'au'aunaga e mafai e le kalani ona fa'aoga mo talosaga a le RADIUS i le lumana'i (mo le fa'amaoni ma le fa'atagaina). O le fa'afouina o le PAC e tupu i nei 'au'aunaga.
Device SG: Vaega saogalemu lea e iai le masini.
Taimi mae'a: Vaeluaga e pulea ai le tele o taimi e tatau ai i le Cisco TrustSec masini ona toe faʻafouina faʻamaumauga o le siosiomaga.

RADIUS Relay Functionality

O le masini o loʻo faʻatinoina le matafaioi a le Cisco TrustSec authenticator i le 802.1X authentication process o loʻo i ai le fesoʻotaʻiga IP i le faʻaumau faʻamaonia, faʻatagaina le masini e maua ai le faiga faʻavae ma le faʻatagaina mai le faʻamaoniga faʻamaonia e ala i le fesuiaʻiina o feʻau RADIUS i luga ole UDP / IP. Atonu e leai se feso'ota'iga IP ma le 'au'aunaga fa'amaonia. I ia tulaga, Cisco TrustSec faʻatagaina le faʻamaonia e galue o se RADIUS relay mo le tagata talosaga.

E tuʻuina atu e le tagata talosaga se feʻau faʻapitoa EAPOL i le tagata faʻamaonia o loʻo i ai le tuatusi IP server RADIUS ma le UDP port ma le talosaga atoa a le RADIUS. O le authenticator e aveese mai le talosaga a le RADIUS mai le fe'au EAPOL na maua ma auina atu i luga ole UDP/IP ile fa'aumau fa'amaonia. A toe fo'i mai le tali a le RADIUS mai le 'au'aunaga fa'amaoni, e tu'uina atu e le tagata fa'amaoni le fe'au i tua i le tagata talosaga, o lo'o fa'apipi'iina i se fa'avaa EAPOL.

So'oga Puipuiga

Pe a lagolagoina e itu uma e lua o le so'otaga le 802.1AE Media Access Control Security (MACsec), e fa'atino se feutagaiga fa'atasi a le puipuiga (SAP). E faia se fesuiaiga o le EAPOL-Key i le va o le tagata talosaga ma le tagata faʻamaoni e faʻatalanoaina se suʻega cipher, fesuiai faʻamaufaʻailoga saogalemu, ma pulea ki. O le fa'amae'aina lelei o galuega uma e tolu e i'u ai i le fa'atuina o se fa'apotopotoga fa'alepuipui (SA).

Fa'alagolago i lau fa'apolokalame, laisene crypto, ma feso'ota'iga feso'ota'iga lagolago, e mafai e feutaga'iga SAP ona fa'aogaina se tasi o faiga fa'atino nei:

Galois/Counter Mode (GCM)—Fa'ailoa le fa'amaoni ma le fa'ailoga
GCM fa'amaoni (GMAC)—Fa'amaoti le fa'amaoni ma leai se fa'ailoga
Leai se Encapsulation—Ta'u mai e leai se fa'apipi'i (tusi manino)
Null—Fa'ailoa fa'amaufa'ailoga, leai se fa'amaoniga ma leai se fa'ailoga

O auala uma sei vagana ai Leai se Encapsulation e manaʻomia ai meafaigaluega e mafai ona gafatia e Cisco TrustSec.

Fa'atonu SAP-PMK mo So'oga Puipuiga

SXP mo SGT Fa'asalalauina i luga ole Legacy Access Networks
Tagging packets ma SGTs mana'omia le lagolago meafaigaluega. Atonu e iai ni au masini i lau feso'otaiga, e ui ina mafai ona auai i le Cisco TrustSec fa'amaoni, e leai se mea e mafai ona fa'aogaina. tag afifi ma

SGTs. I le fa'aogaina o le SGT Exchange Protocol (SXP), e mafai e nei masini ona pasi atu fa'afanua IP-address-to-SGT i se Cisco TrustSec peer device o lo'o iai Cisco TrustSec-capable hardware.

SXP e masani ona fa'agaoioia i le va o masini fa'apipi'i avanoa i le pito o le Cisco TrustSec ma le tufatufaina atu o masini i totonu o le Cisco TrustSec domain. O le masini faʻapipiʻi avanoa e faʻatino Cisco TrustSec faʻamaoniga o masini punaʻoa fafo e fuafua ai SGT talafeagai mo pepa ulufale. O le masini faʻapipiʻi avanoa e aʻoaʻoina ai tuatusi IP o mea faʻapipiʻi e faʻaaoga ai le suʻeina o masini IP ma (filifiliga) DHCP snooping, ona faʻaaogaina lea o le SXP e pasi ai tuatusi IP o mea faʻapipiʻi faʻatasi ma a latou SGT i masini tufatufa.
O masini fa'asoa fa'atasi ma Cisco TrustSec-mafai meafaigaluega e mafai ona fa'aogaina lenei fa'amatalaga fa'afanua IP-i-SGT i tag afifi ma ia fa'amalosia faiga fa'avae SGACL.

Ata 6: SXP Protocol e Fa'asalalau Fa'amatalaga SGT

CISCO Trustsec Fausia Fesootaiga Saogalemu - Ata 6

E tatau ona e fa'atulagaina ma le lima se feso'ota'iga SXP i le va o se aumea e aunoa ma le Cisco TrustSec hardware lagolago ma se tupulaga e iai le Cisco TrustSec hardware support. O galuega nei e mana'omia pe a fa'atulagaina le feso'ota'iga SXP:

Afai e te manaʻomia le faʻamaoni ma le faʻamaoni o faʻamaumauga a le SXP, e tatau ona e faʻapipiʻi le upu faʻaupuga tutusa SXP i masini uma e lua. E mafai ona e fetuutuunai le upu faataga SXP pe manino mo soʻotaga taʻitasi taʻitoʻatasi poʻo le lalolagi atoa mo le masini. E ui lava e le manaʻomia se SXP password, matou te fautuaina lona faʻaogaina.
E tatau ona e fa'atulagaina aumea ta'itasi ile feso'ota'iga SXP e fai ma failauga SXP po'o se fa'alogologo SXP. O le masini failauga e tufatufaina atu faʻamatalaga faʻafanua IP-i-SGT i le masini faʻalogo.

E mafai ona e faʻamaoti se tuatusi IP puna e faʻaoga mo soʻotaga taʻitasi taʻitoʻatasi poʻo e mafai ona e faʻapipiʻi se tuatusi IP faʻapogai le aoga mo fesoʻotaʻiga a tupulaga e te leʻi faʻapipiʻiina se tuatusi IP faʻapitoa. Afai e te le faʻamaonia soʻo se tuatusi IP puna, o le a faʻaogaina e le masini le tuatusi IP faʻaoga o le fesoʻotaʻiga i le tupulaga.

SXP fa'ataga le tele o hops. O lona uiga, afai o le tupulaga o se masini e leai se Cisco TrustSec lagolago meafaigaluega e leai foi Cisco TrustSec meafaigaluega lagolago, e mafai e le tupulaga lona lua ona maua se SXP sootaga i se isi tupulaga lona tolu, faʻaauauina le faʻasalalauina o faʻamatalaga faʻafanua IP-i-SGT seia oʻo i se meafaigaluega- ua ausia le aumea agavaa. E mafai ona fa'atulagaina se masini e fai ma fa'alogo SXP mo le tasi feso'ota'iga SXP o se failauga SXP mo se isi feso'ota'iga SXP.

O se masini Cisco TrustSec e fa'atumauina le feso'ota'iga ma ana uo SXP e ala i le fa'aogaina o le TCP keepalive mechanism.
Ina ia faʻatuina pe toe faʻafoʻisia se fesoʻotaʻiga a tupulaga, o le a taumafai pea le masini i le seti fesoʻotaʻiga e faʻaaoga ai se vaitaimi toe faʻataʻitaʻiina seia oʻo ina manuia le fesoʻotaʻiga poʻo seʻia aveese le fesoʻotaʻiga mai le faʻatulagaga.

Layer 3 SGT Transport mo le Spanning Non-TrustSec Regions

Pe a tuua e se pepa le Cisco TrustSec domain mo se nofoaga e le o TrustSec, o le egress Cisco TrustSec masini e aveese le Cisco TrustSec ulutala ma le SGT aʻo leʻi tuʻuina atu le pepa i le fesoʻotaʻiga i fafo. Afai, peitaʻi, o le pusa o loʻo na o le sopoia o se vaega e le o TrustSec i luga o le ala i se isi Cisco TrustSec domain, e pei ona faʻaalia i le ata o loʻo i lalo, e mafai ona faʻasaoina le SGT e ala i le faʻaogaina o le Cisco TrustSec Layer 3 SGT Transport feature. I lenei vaega, o le egress Cisco TrustSec masini faʻapipiʻi le afifi ma se ulutala ESP e aofia ai se kopi o le SGT. A oʻo mai le pusa faʻapipiʻi i le isi Cisco TrustSec domain, e aveese e le Cisco TrustSec masini le ESP encapsulation ma faʻasalalau le afifi ma lona SGT.

Ata 7: Fa'asa'oina se vaega e le-TrustSec

CISCO Trustsec Fausia Fesootaiga Saogalemu - Ata 7

Ina ia lagolagoina Cisco TrustSec Layer 3 SGT Transport, soʻo se masini e galue o se Cisco TrustSec ingress poʻo le egress Layer 3 gateway e tatau ona tausia se faʻamaumauga o faiga faʻavae o fefaʻatauaiga e lisi ai subnets agavaa i totonu ole Cisco TrustSec domains faʻapea foʻi ma soʻo se subnets e le aofia i totonu o na itulagi. E mafai ona e fa'atulagaina ma le lima lenei fa'amaumauga i masini ta'itasi pe a le mafai ona otometi ona siiina mai le Cisco Secure ACS.

E mafai e se masini ona auina atu le Layer 3 SGT Transport data mai le tasi uafu ma maua le Layer 3 SGT Transport data i luga o se isi uafu, ae o le ulufale ma le alu i fafo e tatau ona i ai Cisco TrustSec-mafai meafaigaluega.

Cisco TrustSec e le fa'ailogaina le Layer 3 SGT Transport encapsulated packets. Ina ia puipuia pepa o loʻo sopoia le non-TrustSec domain, e mafai ona e faʻatulagaina isi auala puipuia, pei ole IPsec.

VRF-Aware SXP

O le faʻatinoga o le SXP o le Virtual Routing and Forwarding (VRF) e fusifusia ai se fesoʻotaʻiga SXP ma se VRF faʻapitoa. O loʻo faʻapea o loʻo faʻapipiʻiina saʻo le topology fesoʻotaʻiga mo Layer 2 poʻo Layer 3 VPNs, faʻatasi ai ma VRF uma na faʻapipiʻiina aʻo leʻi mafaia Cisco TrustSec.

SXP VRF lagolago e mafai ona aoteleina e faapea:

E na'o le tasi le feso'ota'iga SXP e mafai ona fusia i le VRF e tasi.
VRF ese'ese atonu o lo'o i ai fa'atasi SXP peer po'o tuatusi IP puna.

O fa'afanua IP-SGT na a'oa'oina (fa'aopoopo pe tape) i le VRF e tasi e mafai ona fa'afouina na'o le VRF lava e tasi.
Le feso'ota'iga SXP e le mafai ona fa'afouina se fa'afanua o lo'o fa'amauina i se VRF ese. Afai e leai se feso'ota'iga SXP e alu ese mo se VRF, o fa'afanua IP-SGT mo lena VRF e le toe fa'afouina e SXP.
Ole tele ole tuatusi aiga ile VRF e lagolagoina. O lea la, e tasi le feso'ota'iga SXP i totonu ole VRF e mafai ona tu'uina atu fa'afanua IPV4 ma IPV6 IP-SGT.
SXP e leai se tapula'a i le numera o feso'ota'iga ma le numera o fa'afanua IP-SGT ile VRF.

Layer 2 VRF-Aware SXP ma VRF Tofiga

VRF i Layer 2 VLANs tofitofiga o loʻo faʻamaonia ma le cts role-based l2-vrf vrf-name vlan-list global configuration command. O le VLAN e ta'ua o le Layer 2 VLAN pe a leai se suiga o feso'ota'iga virtual (SVI) fa'atasi ai ma se tuatusi IP ua fa'atulaga ile VLAN. O le VLAN e avea ma Layer 3 VLAN pe a faʻapipiʻi se tuatusi IP ile SVI.

O tofitofiga VRF na fa'atulagaina e le cts role-based l2-vrf command o lo'o galue pea pe a tumau le VLAN i le Layer 2 VLAN. O fa'amauga IP-SGT na a'oa'oina a'o fa'agaoioi se VRF o lo'o fa'aopoopoina fo'i i le laulau Fa'asalalau Fa'amatalaga (FIB) e feso'ota'i ma le VRF ma le IP protocol version. Afai e malosi se SVI mo se VLAN, o le VRF i le VLAN o le tofiga o le a le mafai ma o fusi uma e aʻoaʻoina i luga o le VLAN o loʻo siitia i le laulau FIB e fesoʻotaʻi ma le VRF a le SVI.

O le VRF i le VLAN tofiga e fa'atumauina e tusa lava pe ua le toaga le tofiga. E toe faʻafouina pe a aveese le SVI poʻo le taimi e faʻafefe ai le tuatusi IP SVI. Pe a toe fa'agaoioia, e toe fa'afo'i fa'atasi le IP-SGT mai le laulau FIB e feso'ota'i ma le VRF a le SVI i le laulau FIB e feso'ota'i ma le VRF ua tofia e le cts role-based l2-vrf command.

Tala fa'asolopito mo Cisco TrustSec Overview

O lenei laulau o lo'o tu'uina atu ai fa'amatalaga ma fa'amatalaga e feso'ota'i mo vaega o lo'o fa'amatalaina i lenei module.
O lo'o avanoa nei fa'aaliga i fa'asalalauga uma mulimuli ane i le fa'aaliga na fa'ailoa mai ai, se'i vaganā ua fa'ailoa mai.

Fa'aoga le Cisco Feature Navigator e su'e ai fa'amatalaga e uiga i fa'avae ma ata fa'akomepiuta lagolago. Ina ia maua
Cisco Feature Navigator, alu i http://www.cisco.com/go/cfn.

Pepa / Punaoa

CISCO Trustsec Fausia Fesootaiga Saogalemu [pdf] Taiala mo Tagata Fa'aoga
Trustsec Fausia Feso'ota'iga Saogalemu, Trustsec, Fausia Feso'ota'iga Saogalemu, Feso'ota'iga Saogalemu, Feso'ota'iga

Fa'asinomaga

Tusi Taiala

Fa'amatalaga e uiga i Cisco TrustSec Architecture

Pepa / Punaoa

Fa'asinomaga

Tuu se faamatalaga

Fa'aleaogaina le tali