CISCO Trustsec e Haha Sireletsehile
 Tataiso ea Mosebelisi ea Marang-rang
CISCO Trustsec e Haha Tataiso e Sireletsehileng ea Mosebelisi oa Marang-rangCisco TrustSec e haha ​​​​marang-rang a sireletsehileng ka ho theha libaka tsa lisebelisoa tsa marang-rang tse tšeptjoang. Sesebelisoa se seng le se seng se sebakeng sa marang-rang se netefalitsoe ke lithaka tsa sona. Puisano pakeng tsa lisebelisoa tse sebakeng sa marang-rang e sirelelitsoe ka mokhoa oa ho kopanya, ho hlahloba botšepehi ba molaetsa, le mekhoa ea ts'ireletso ea ho bapala hape ka data.
Lithibelo bakeng sa Cisco TrustSec
  • Tokisetso ea litokomane tse sirelelitsoeng (PAC) e hlolehile 'me e ntse e le boemong bo sa tsitsang, ha ID e fosahetseng ea sesebelisoa e hlahisoa. Le kamora ho hlakola PAC, le ho hlophisa ID le password e nepahetseng ea sesebelisoa, PAC e ntse e hloleha.
    Joalo ka mokhoa oa ho sebetsa, ho Cisco Identity Services Engine (ISE), u se ke oa hlahloba Suppress Anomalous Clients.
    khetho ho Tsamaiso> Sistimi> Litlhophiso> Litsamaiso> Menyu ea Radius hore PAC e sebetse.
  • Cisco TrustSec ha e tšehetsoe ka mokhoa oa FIPS.
  • Lithibelo tse latelang li sebetsa feela ho mofuta oa C9500X-28C8D oa Cisco Catalyst 9500 Series Switches:
    • Cisco TrustSec manual configuration ha e tšehetsoe.
    • Tshebetso ya Cisco TrustSec Security Association Protocol (SAP) ha e ya tshehetswa.
    • Cisco TrustSec metadata header encapsulation ha e tšehetsoe.
Litaba pata
1 Boitsebiso ka Cisco TrustSec Architecture
2 Litokomane / Lisebelisoa
2.1 Litšupiso

Boitsebiso ka Cisco TrustSec Architecture

Setsi sa ts'ireletso sa Cisco TrustSec se haha ​​​​marang-rang a sireletsehileng ka ho theha libaka tsa lisebelisoa tsa marang-rang tse tšeptjoang. Sesebelisoa se seng le se seng se sebakeng sa marang-rang se netefalitsoe ke lithaka tsa sona. Puisano pakeng tsa lisebelisoa tse sebakeng sa marang-rang e sirelelitsoe ka mokhoa oa ho kopanya, ho hlahloba botšepehi ba molaetsa, le mekhoa ea ts'ireletso ea ho bapala hape ka data. Cisco TrustSec e sebelisa lisebelisoa le lintlha tsa mosebelisi tse fumanoeng nakong ea netefatso bakeng sa ho khetholla lipakete ka lihlopha tsa ts'ireletso (SGs) ha li kena marang-rang. Sehlopha sena sa pakete se hlokomeloa ke tagging lipakete ka ingress ho Cisco TrustSec netweke e le hore li ka tsejoa hantle ka morero oa ho sebelisa ts'ireletso le mekhoa e meng ea pholisi tseleng ea data. The tag, e bitsoang sehlopha sa tšireletso tag (SGT), e lumella marang-rang ho sebelisa leano la taolo ea phihlello ka ho etsa hore sesebelisoa sa pheletso se sebetse ho SGT ho sefa sephethephethe.
Letšoao la hlokomelaLihokelo tsa Cisco TrustSec IEEE 802.1X ha li tšehetsoe ho li-platform tse tšehetsoeng ho Cisco IOS XE Denali
(16.1.x ho 16.3.x), Cisco IOS XE Everest (16.4.x ho 16.6.x), le Cisco IOS XE Fuji (16.7.x ho 16.9.x) li lokolloa, 'me ka hona ke Authenticator feela e tšehetsoeng; Mokopi ha a tšehetsoe.
Moralo oa Cisco TrustSec o kenyelletsa likarolo tse tharo tsa bohlokoa:
  • E netefalitsoeng ea lisebelisoa tsa marang-rang-Ka mor'a hore sesebelisoa sa pele (se bitsoang sesebelisoa sa peo) se netefatse ka seva sa netefatso ho qala sebaka sa Cisco TrustSec, sesebelisoa se seng le se seng se secha se kenyellelitsoeng sebakeng sa marang-rang se netefalitsoe ke lisebelisoa tsa lithaka tse seng li ntse li le ka har'a domain. Lithaka li sebetsa joalo ka libatli tsa sebaka sa marang-rang sa netefatso. Sesebelisoa se seng le se seng se sa tsoa netefatsoa se arotsoe ka seva sa netefatso mme se abeloa nomoro ea sehlopha sa ts'ireletso ho ipapisitse le boitsebiso ba sona, karolo le boemo ba ts'ireletso.
  • Taolo ea phihlello e thehiloeng ho sehlopha sa ts'ireletso-Maano a phihlello ka har'a sebaka sa Cisco TrustSec ha a itšetlehe ka thuto ea maemo a holimo, a ipapisitse le mesebetsi (joalokaha e bonts'itsoe ke nomoro ea sehlopha sa ts'ireletso) ea lisebelisoa tsa mohloli le moo li eang ho fapana le liaterese tsa marang-rang. Lipakete tsa motho ka mong li tagged le nomoro ea sehlopha sa tšireletso ea mohloli.
  • Puisano e sireletsehileng-Ka hardware e khonang ho boloka boitsebiso, puisano ho sehokelo se seng le se seng pakeng tsa lisebelisoa tse sebakeng sa marang-rang e ka sireletsoa ka ho kopanngoa ha encryption, ho hlahloba botšepehi ba molaetsa, le mekhoa ea ts'ireletso ea mokhoa oa ho khutlisa data.
Setšoantšo se latelang se bontša motho oa mehlengampsebakeng sa Cisco TrustSec. Ho sena mohlalaample, lisebelisoa tse 'maloa tsa marang-rang le sesebelisoa sa ho qetela li ka har'a sebaka sa Cisco TrustSec. Sesebelisoa se le seng sa pheletso le sesebelisoa se le seng sa marang-rang se kantle ho sebaka sa marang-rang hobane ha se lisebelisoa tse khonang ho Cisco TrustSec kapa hobane li hanetsoe ho fihlella. Seva ea netefatso e nkuoa e le kantle ho sebaka sa Cisco TrustSec; mohlomong ke Cisco Identities Service Engine (Cisco ISE), kapa Cisco Secure Access Control System (Cisco ACS).
Setšoantšo sa 1: Cisco TrustSec Network Domain Example
CISCO Trustsec e Haha Marang-rang a Sireletsehileng - Setšoantšo sa 1
E mong le e mong ea nkang karolo ts'ebetsong ea netefatso ea Cisco TrustSec o sebetsa ho e 'ngoe ea likarolo tse latelang:
  • Mokopi - Sesebelisoa se sa netefatsoang se hokahaneng le thaka ka har'a sebaka sa Cisco TrustSec, mme se leka ho kenela sebaka sa Cisco TrustSec.
  • Seva ea netefatso-Seva e netefatsang boitsebiso ba mokopi le ho fana ka maano a khethollang phihlello ea mokopi ho lits'ebeletso ka har'a sebaka sa Cisco TrustSec.
  • Authenticator - Sesebelisoa se netefalitsoeng se seng se le karolo ea sebaka sa Cisco TrustSec mme se ka netefatsa bakopi ba bacha ba lithaka molemong oa seva sa netefatso.
Ha sehokelo pakeng tsa mokopi le moithui oa nnete se qala ho hlaha, tatellano e latelang ea liketsahalo hangata e etsahala:
  1. Netefatso (802.1X) - Mokopi o netefalitsoe ke seva sa netefatso, 'me mohatisi o sebetsa joalo ka mokena-lipakeng. Ho netefatsoa ka kopanelo ho etsoa lipakeng tsa lithaka tse peli (mokopi le mofokisi).
  2. Authorization - Ho ipapisitsoe le tlhaiso-leseling ea mokopi, seva ea netefatso e fana ka maano a tumello, joalo ka likabelo tsa sehlopha sa ts'ireletso le li-ACL, ho e mong le e mong oa lithaka tse hokahantsoeng. Seva ea netefatso e fana ka boitsebiso ba thaka e 'ngoe le e' ngoe, 'me thaka e' ngoe le e 'ngoe e sebelisa leano le nepahetseng bakeng sa sehokelo.
  3. Puisano ea Ts'ireletso ea Mokhatlo oa Ts'ireletso (SAP) - Ha mahlakore ka bobeli a khokahanyo e tšehetsang khokahanyo, mokopi le moikaketsi ba buisana ka lintlha tse hlokahalang ho theha mokhatlo oa tšireletso (SA).
Letšoao la hlokomela SAP ha e tšehetsoe ho li-interface tsa 100G. Re khothaletsa hore o sebelise protocol ea MACsec Key Agreement
(MKA) e nang le palo e atolositsoeng ea lipakete (XPN) ho li-interface tsa 100G.
Ha mehato eohle e meraro e phethiloe, authenticator e fetola boemo ba sehokelo ho tloha naheng e sa lumelloeng (e thibelang) ho ea naheng e lumelletsoeng, 'me mokopi e ba setho sa sebaka sa Cisco TrustSec.
Cisco TrustSec e sebelisa ingress tagho sefa le ho tsoa ho kenya ts'ebetsong leano la taolo ea phihlello ka mokhoa o qhekellang. Lipakete tse kenang domain name li taghred le sehlopha sa tshireletso tag (SGT) e nang le nomoro ea sehlopha sa ts'ireletso e abetsoeng ea sesebelisoa sa mohloli. Sehlopha sena sa pakete se bolokiloe tseleng ea data ka har'a sebaka sa Cisco TrustSec ka sepheo sa ho sebelisa ts'ireletso le mekhoa e meng ea leano. Sesebelisoa sa ho qetela sa Cisco TrustSec tseleng ea data, ebang ke qetellong kapa sebaka sa marang-rang sa marang-rang, se tiisa leano la taolo ea phihlello e thehiloeng ho sehlopha sa ts'ireletso sa sesebelisoa sa mohloli oa Cisco TrustSec le sehlopha sa ts'ireletso sa sesebelisoa sa ho qetela sa Cisco TrustSec. Ho fapana le manane a tloaelehileng a taolo ea phihlello a ipapisitseng le liaterese tsa marang-rang, maano a taolo ea phihlello ea Cisco TrustSec ke mofuta oa manane a taolo ea phihlello a thehiloeng ho karolo (RBACLs) a bitsoang manane a taolo ea phihlello ea sehlopha sa tšireletso (SGACLs).
Letšoao la hlokomelaIngress e bua ka lipakete tse kenang mochine oa pele oa Cisco TrustSec-e khonang ho kopana le pakete tseleng ea ho ea moo e eang teng 'me egress e bua ka lipakete tse tlohelang sesebelisoa sa ho qetela sa Cisco TrustSec tseleng.
Netefatso
Cisco TrustSec le netefatso
U sebelisa Network Device Admission Control (NDAC), Cisco TrustSec e netefatsa sesebelisoa pele e se lumella ho kena marang-rang. NDAC e sebelisa netefatso ea 802.1X ka Extensible Authentication Protocol Flexible Authentible via Secure Tunnel (EAP-FAST) e le mokhoa oa Extensible Authentication Protocol (EAP) ho etsa bonnete. Lipuisano tsa EAP-FAST li fana ka phapanyetsano ea mekhoa e meng ea EAP ka har'a kotopo ea EAP-FAST e sebelisang liketane. Batsamaisi ba ka sebelisa mekhoa ea khale ea netefatso ea basebelisi, joalo ka Microsoft Challenge Handshake Authentication Protocol Version 2 (MSCHAPv2), ha ba ntse ba e-na le tšireletso e fanoeng ke kotopo ea EAP-FAST. Nakong ea phapanyetsano ea EAP-FAST, seva sa netefatso se theha le ho fa mokopi lengolo le ikhethileng le sirelelitsoeng la phihlello (PAC) le nang le senotlolo se arolelanoang le lets'oao le patiloeng le tla sebelisoa bakeng sa puisano e sireletsehileng ea nako e tlang le seva sa netefatso.
Palo e latelang e bonts'a kotopo ea EAP-FAST le mekhoa ea kahare joalo ka ha e sebelisoa ho Cisco TrustSec.
Setšoantšo sa 2: Tiiso ea Cisco TrustSec
CISCO Trustsec e Haha Marang-rang a Sireletsehileng - Setšoantšo sa 2
Lintlafatso tsa Cisco TrustSec ho EAP-FAST
Ts'ebetsong ea EAP-FAST bakeng sa Cisco TrustSec e na le lintlafatso tse latelang:
  • Netefatsa mohatisi—E netefatsa boitsebiso ba mohatisi ka polokeho ka ho batla hore mohatisi a sebelise PAC ea eona ho hlahisa senotlolo se arolelanoang lipakeng tsa eona le seva sa netefatso. Karolo ena e boetse e u thibela ho hlophisa linotlolo tsa RADIUS tse arolelanoang ho seva sa netefatso bakeng sa aterese e 'ngoe le e' ngoe e ka khonehang ea IP e ka sebelisoang ke mohatisi.
  • Tsebisa sesebediswa se seng le se seng ka boitsebiso ba thaka ya sona—Qetellong ya phapanyetsano ya netefatso, seva ya netefatso e se e supile mokopi le mohatisi. Seva ea netefatso e fana ka boitsebiso ba motho ea netefatsang, le hore na moemeli o na le Cisco TrustSec-e khonang, ho mokopi ka ho sebelisa mefuta e meng ea boleng ba boleng ba mofuta (TLVs) sebakeng se sirelelitsoeng sa EAP-FAST. Seva ea netefatso e boetse e fetisa boitsebiso ba mokopi, le hore na mokopi o na le Cisco TrustSec-ea khona, ho ea netefalitseng ka ho sebelisa litšoaneleho tsa RADIUS ho Access- Amohela molaetsa.
    Hobane sesebelisoa se seng le se seng se tseba boitsebahatso ba lithaka tsa sona, se ka romella RADIUS Access-Likopo tse eketsehileng ho seva sa netefatso ho fumana leano le tla sebelisoa sehokelong.
802.1X Khetho ea Karolo
Ho 802.1X, mohatisi o tlameha ho ba le khokahanyo ea IP le seva sa netefatso hobane e tlameha ho fetisetsa phapanyetsano ea netefatso lipakeng tsa mokopi le mohatisi ho sebelisa RADIUS ho feta UDP/IP. Ha sesebelisoa sa ho qetela, joalo ka PC, se hokahana le marang-rang, ho hlakile hore se lokela ho sebetsa joalo ka mokopi. Leha ho le joalo, tabeng ea khokahanyo ea Cisco TrustSec pakeng tsa lisebelisoa tse peli tsa marang-rang, karolo ea 802.1X ea mochine o mong le o mong oa marang-rang e ka 'na ea se ke ea bonahala hang-hang ho sesebelisoa se seng sa marang-rang.
Sebakeng sa ho hloka tlhophiso ea matsoho ea likarolo tsa netefatso le mokopi bakeng sa li-switches tse peli tse haufi, Cisco TrustSec e tsamaisa algorithm ea khetho ea karolo ho tseba ka bo eona hore na ke switch efe e sebetsang e le netefatso le hore na ke efe e sebetsang joalo ka mokopi. Algorithm ea khetho ea karolo e fana ka karolo ea netefatso ho sesebelisoa se nang le phihlello ea IP ho seva sa RADIUS. Li-switches ka bobeli li qala mochini oa netefatso le oa mokopi oa mmuso. Ha sesebelisoa se lemoha hore thaka ea sona e na le phihlello ho seva sa RADIUS, e emisa mochini oa eona oa netefatso mme e nka karolo ea mokopi. Haeba li-switches ka bobeli li na le monyetla oa ho fumana seva sa RADIUS, sesebelisoa sa pele sa ho fumana karabo ho tsoa ho seva sa RADIUS se fetoha se netefatsang 'me se seng se fetoha mokopi.
Kakaretso ea Tiiso ea Cisco TrustSec
Qetellong ea ts'ebetso ea netefatso ea Cisco TrustSec, seva sa netefatso se entse liketso tse latelang:
  • E netefalitse boitsebiso ba motho ea entseng kopo le ea netefatsang.
  • E netefalitsoe ke mosebelisi haeba mokopi e le sesebelisoa sa ho qetela.
Qetellong ea ts'ebetso ea netefatso ea Cisco TrustSec, 'muelli le mokopi ba tseba tse latelang:
  • tse latelang:
  • ID ea sesebelisoa ea thaka
  • Boitsebiso ba bokhoni ba Cisco TrustSec ba lithaka
  • Senotlolo se sebelisetsoa SAP
Boitsebiso ba Sesebediswa
Cisco TrustSec ha e sebelise liaterese tsa IP kapa liaterese tsa MAC joalo ka boitsebiso ba sesebelisoa. Sebakeng seo, o fana ka lebitso (ID ea sesebelisoa) ho switch e 'ngoe le e' ngoe ea Cisco TrustSec ho e tsebahatsa ka mokhoa o ikhethileng sebakeng sa Cisco TrustSec. ID ea sesebelisoa sena e sebelisetsoa tse latelang:
  • Ho sheba leano la tumello
  • Ho sheba li-password ho li-database nakong ea netefatso
Lintlha tsa Sesebediswa
Cisco TrustSec e tšehetsa lintlha tse thehiloeng ho password. Cisco TrustSec e netefatsa bakopi ka li-password mme e sebelisa MSCHAPv2 ho fana ka netefatso e tšoanang.
Seva ea netefatso e sebelisa lintlha tsena ho netefatsa mokopi nakong ea phapanyetsano ea EAP-FAST phase 0 (provisioning) moo PAC e fanoang ho mokopi. Cisco TrustSec ha e etse phapanyetsano ea EAP-FAST 0 hape ho fihlela PAC e felloa ke nako, 'me e etsa feela EAP-FAST phase 1 le phase 2 exchanges bakeng sa li-link tsa nakong e tlang. Phapanyetsano ea karolo ea 1 ea EAP-FAST e sebelisa PAC ho netefatsa seva sa netefatso le mokopi. Cisco TrustSec e sebelisa lintlha tsa sesebelisoa feela nakong ea mehato ea PAC ea ho fana (kapa ea ho lokisa bocha).
Ha mokopi a qala ho kenella sebakeng sa Cisco TrustSec, seva sa netefatso se netefatsa mokopi mme se sutumelletsa senotlolo se arolelanoang le tokeneng e patiloeng ho mokopi le PAC. Seva ea netefatso le mokopi ba sebelisa senotlolo sena le lets'oao bakeng sa netefatso e tšoanang nakong e tlang ea EAP-FAST phase 0 phapanyetsano.
Lintlha tsa mosebelisi
Cisco TrustSec ha e hloke mofuta o itseng oa boitsebiso ba mosebedisi bakeng sa lisebelisoa tsa ho qetela. U ka khetha mofuta ofe kapa ofe oa mokhoa oa netefatso oa mosebelisi o tšehetsoang ke seva sa netefatso, 'me u sebelise lintlha tse tsamaellanang. Bakeng sa mohlalaample, Cisco Secure Access Control System (ACS) version 5.1 e tšehetsa MSCHAPv2, generic token card (GTC), kapa RSA ea nako e le 'ngoe password (OTP)
Taolo ea phihlello e thehiloeng ho sehlopha sa Tšireletso
Karolo ena e fana ka leseli mabapi le manane a taolo ea phihlello a thehiloeng ho sehlopha sa ts'ireletso (SGACLs).
Lihlopha tsa Tšireletso le SGTs
Sehlopha sa ts'ireletso ke sehlopha sa basebelisi, lisebelisoa tsa ho qetela, le lisebelisoa tse arolelanang maano a taolo ea phihlello. Lihlopha tsa tšireletso li hlalosoa ke molaoli ho Cisco ISE kapa Cisco Secure ACS. Ha basebelisi ba bacha le lisebelisoa li eketsoa sebakeng sa Cisco TrustSec, seva sa netefatso se abela mekhatlo ena e mecha ho lihlopha tse nepahetseng tsa ts'ireletso. Cisco TrustSec e abela sehlopha se seng le se seng sa ts'ireletso nomoro ea sehlopha sa ts'ireletso ea 16-bit eo boholo ba eona e leng lefats'e ka bophara sebakeng sa Cisco TrustSec. Palo ea lihlopha tsa ts'ireletso sesebelisoa e lekanyelitsoe ho palo ea mekhatlo e netefalitsoeng ea marang-rang. Ha ho hlokahale hore u iketsetse linomoro tsa sehlopha sa tšireletso.
Hang ha sesebelisoa se netefalitsoe, Cisco TrustSec tags pakete efe kapa efe e tsoang sesebelisoa seo se nang le sehlopha sa ts'ireletso tag (SGT) e nang le nomoro ea sehlopha sa ts'ireletso ea sesebelisoa. Pakete e na le SGT ena ho pholletsa le marang-rang ka har'a sehlooho sa Cisco TrustSec. SGT ke leibole e le 'ngoe e khethollang litokelo tsa mohloli ka har'a khoebo eohle.
Hobane SGT e na le sehlopha sa ts'ireletso sa mohloli, the tag e ka bitsoa mohloli oa SGT. Sesebelisoa sa sebaka se boetse se abetsoe sehlopha sa ts'ireletso (sebaka sa SG) se ka boleloang ka mokhoa o bonolo joalo ka sehlopha sa sebaka seo u eang ho sona. tag (DGT), leha e le pakete ea 'nete ea Cisco TrustSec tag ha e na nomoro ea sehlopha sa ts'ireletso ea sesebelisoa seo u eang ho sona.
Tšireletso ea Sehlopha sa Tšireletso ea ACL
Manane a taolo ea phihlello ea sehlopha sa ts'ireletso (SGACLs) ke ts'ebetso ea leano eo ka eona molaoli a ka laolang ts'ebetso e etsoang ke mosebelisi, ho ipapisitsoe le likabelo tsa sehlopha sa ts'ireletso le lisebelisoa tsa moo ho eang. Ts'ebetso ea maano ka har'a sebaka sa Cisco Trustsec e emeloa ke matrix a tumello, e nang le nomoro ea sehlopha sa ts'ireletso ea mohloli ho axis e le 'ngoe le nomoro ea sehlopha sa ts'ireletso sebakeng se seng. Sele e 'ngoe le e 'ngoe ka har'a matrix e na le lethathamo le laetsoeng la li-SGACL, le hlalosang litumello tse lokelang ho sebelisoa ho lipakete tse tsoang ho IP ea sehlopha sa ts'ireletso ea mohloli le IP ea moo e eang teng eo e leng karolo ea sehlopha sa ts'ireletso ea sebaka seo u eang ho sona.
SGACL e fana ka mokhoa oa ho laola phihlello o sa sebetseng o ipapisitse le mokhatlo oa ts'ireletso kapa sehlopha sa ts'ireletso tag boleng sebakeng sa liaterese tsa IP le li-filters. Ho na le mekhoa e meraro ea ho fana ka leano la SGACL:
  • Ho fana ka leano le tsitsitseng: Melaoana ea SGACL e hlalosoa ke mosebelisi ea sebelisang tumello ea cts e thehiloeng ho karolo.
  • Ho fana ka leano le matla: Litlhophiso tsa maano a SGACL li lokela ho etsoa haholo-holo ka tšebetso ea taolo ea leano la Cisco Secure ACS kapa Cisco Identity Services Engine.
  • Phetoho ea tumello (CoA): Leano le ntlafalitsoeng le kopitsoa ha pholisi ea SGACL e fetotsoe ho ISE 'me CoA e sutumelletsoa ho sesebelisoa sa Cisco TrustSec.

    Sefofane sa data sa lisebelisoa se fumana lipakete tsa CoA ho mofani oa pholisi (ISE) mme se sebelisa leano ho lipakete tsa CoA. Lipakete li fetisetsoa sefofaneng sa taolo ea lisebelisoa moo boemo bo latelang ba ts'ebetso ea leano bo etsahalang bakeng sa lipakete tsa CoA tse tlang. Ho view tlhahisoleseling e otlang ea hardware le software, tsamaisa taelo ea show cts role-based counters ka mokhoa o khethehileng oa EXEC.

Maano a SGACL
Ka ho sebelisa manane a taolo ea phihlello ea sehlopha sa ts'ireletso (SGACLs), o ka laola lits'ebetso tseo basebelisi ba ka li etsang ho latela likabelo tsa sehlopha sa ts'ireletso tsa basebelisi le lisebelisoa tsa moo ho eang. Ts'ebetso ea leano ka har'a sebaka sa Cisco TrustSec e emeloa ke tumello ea matrix, e nang le linomoro tsa sehlopha sa ts'ireletso ea mohloli sebakeng se le seng le linomoro tsa sehlopha sa ts'ireletso sebakeng se seng. Sele e 'ngoe le e 'ngoe 'meleng oa matrix e ka ba le lethathamo le laetsoeng la SGACL le hlalosang litumello tse lokelang ho sebelisoa ho lipakete tse tsoang ho sehlopha sa ts'ireletso ea mohloli le tse lebisitsoeng ho sehlopha sa ts'ireletso ea moo e eang.
Setšoantšo se latelang se bontša motho oa mehlengample ea matrix a tumello ea Cisco TrustSec bakeng sa sebaka se bonolo se nang le likarolo tse tharo tse hlalositsoeng tsa mosebelisi le sesebelisoa se le seng se hlalositsoeng. Melaoana e meraro ea SGACL e laola phihlello ea seva ea moo e eang ho latela karolo ea mosebelisi.
Setšoantšo sa 3: SGACL Policy Matrix Example
CISCO Trustsec e Haha Marang-rang a Sireletsehileng - Setšoantšo sa 3
Ka ho abela basebelisi le lisebelisoa ka har'a marang-rang ho lihlopha tsa ts'ireletso le ho sebelisa taolo ea phihlello lipakeng tsa lihlopha tsa ts'ireletso, Cisco TrustSec e fihlella taolo ea phihlello e ikemetseng e thehiloeng ho topology ka har'a marang-rang. Hobane li-SGACL li hlalosa maano a taolo ea phihlello a ipapisitseng le boitsebiso ba sesebelisoa ho fapana le liaterese tsa IP joalo ka li-ACL tsa setso, lisebelisoa tsa marang-rang li lokolohile ho tsamaea marang-rang le ho fetola liaterese tsa IP.
Hafeela mesebetsi le litumello li ntse li tšoana, liphetoho ho topology ea marang-rang ha li fetole leano la ts'ireletso. Ha mosebelisi a kenyelletsoa sesebelisoa, o abela mosebelisi ho sehlopha se nepahetseng sa ts'ireletso mme mosebelisi hang-hang o fumana tumello ea sehlopha seo.
Letšoao la hlokomelaMelao ea SGACL e sebelisoa ho sephethephethe se hlahisoang pakeng tsa lisebelisoa tse peli tse amohelang batho, eseng ho sephethephethe se hlahisoang ho tloha sesebelisoa ho ea ho sesebelisoa sa ho qetela.
Ho sebelisa litumello tse thehiloeng ho karolo ho fokotsa boholo ba li-ACL le ho nolofatsa tlhokomelo ea tsona. Ka Cisco TrustSec, palo ea lits'ebetso tsa taolo ea phihlello (ACEs) e hlophisitsoeng e khethoa ke palo ea tumello e boletsoeng, e bakang palo e nyane haholo ea li-ACE ho feta netweke ea setso ea IP. Tšebeliso ea li-SGACL ho Cisco TrustSec hangata e fella ka tšebeliso e nepahetseng haholoanyane ea lisebelisoa tsa TCAM ha li bapisoa le li-ACL tsa setso. Boholo ba maano a SGACL a 17,500 a tšehetsoa ho Catalyst 9500 Series Switches. Ho Catalyst 9500 High Performance Series Switches, ho na le maano a mangata a 28,224 a SGACL a tšehetsoeng.
Ingress Tagging le Egress Enforcement
Taolo ea phihlello ea Cisco TrustSec e sebelisoa ho sebelisoa ingress tagts'ebetso ea ho tsofala le ho tsoa. Sebakeng sa ho kena sebakeng sa Cisco TrustSec, sephethephethe se tsoang mohloling ke tage nang le SGT e nang le nomoro ea sehlopha sa ts'ireletso sa mohloli. SGT e phatlalalitsoe ka sephethephethe ho pholletsa le sebaka seo. Sebakeng sa egress ea sebaka sa Cisco TrustSec, sesebelisoa sa egress se sebelisa mohloli oa SGT le nomoro ea sehlopha sa tšireletso ea sebaka seo u eang ho sona (sebaka sa SG, kapa DGT) ho fumana hore na ke pholisi efe ea phihlello e ka sebelisoang ho tsoa ho leano la pholisi ea SGACL.
Palo e latelang e bontša kamoo mosebetsi oa SGT le ts'ebetsong ea SGACL li sebetsang sebakeng sa Cisco TrustSec.
Setšoantšo sa 4: SGT le SGACL sebakeng sa Cisco TrustSec Domain
CISCO Trustsec e Haha Marang-rang a Sireletsehileng - Setšoantšo sa 4
  1. PC e amohelang e fetisetsa pakete ho web seva. Le hoja PC le lisebelisoa tsa web seva ha se litho tsa sebaka sa Cisco TrustSec, tsela ea data ea pakete e kenyelletsa sebaka sa Cisco TrustSec.
  2. Sesebelisoa sa Cisco TrustSec ingress se fetola pakete ho eketsa SGT ka nomoro ea sehlopha sa ts'ireletso 3, nomoro ea sehlopha sa ts'ireletso e fanoeng ke seva sa netefatso bakeng sa PC e amohelang.
  3. Sesebelisoa sa Cisco TrustSec egress se tiisa leano la SGACL le sebetsang ho sehlopha sa 3 sa mohloli le sehlopha sa 4, nomoro ea sehlopha sa tšireletso e abetsoeng ke seva sa netefatso bakeng sa web seva.
  4. Haeba SGACL e lumella pakete hore e fetisetsoe, Cisco TrustSec egress switch e fetola pakete ho tlosa SGT ebe e fetisetsa pakete ho web seva.
Ho khetholla Sehlopha sa Tšireletso ea Mohloli
Sesebelisoa sa marang-rang se kenang sebakeng sa Cisco TrustSec se tlameha ho khetholla SGT ea pakete e kenang sebakeng sa Cisco TrustSec e le hore e ka khona. tag pakete e nang le SGT eo ha e e fetisetsa sebakeng sa Cisco TrustSec. Sesebelisoa sa marang-rang sa egress se tlameha ho tseba hore na SGT ea pakete ke efe ho sebelisa SGACL.
Sesebelisoa sa marang-rang se ka khetholla SGT bakeng sa pakete ka e 'ngoe ea mekhoa e latelang:
  • Fumana mohloli oa SGT nakong ea ho fumana pholisi-Ka mor'a mohato oa tiiso oa Cisco TrustSec, sesebelisoa sa marang-rang se fumana boitsebiso ba pholisi ho tswa ho seva sa netefatso, se bontšang hore na mochine oa lithaka o tšeptjoa kapa che. Haeba sesebelisoa sa lithaka se sa tšeptjoe, joale seva sa netefatso se ka fana ka SGT ho sebetsa lipaketeng tsohle tse tsoang sesebelisoa sa lithaka.
  • Fumana mohloli oa SGT ho tsoa paketeng-Haeba pakete e tsoa sesebelisoa se tšepahalang sa lithaka, pakete e na le SGT. Sena se sebetsa ho sesebelisoa sa marang-rang seo e seng sesebelisoa sa pele sa marang-rang sebakeng sa Cisco TrustSec bakeng sa pakete.
  • Sheba mohloli oa SGT o ipapisitse le boitsebiso ba mohloli—With Identity Port Mapping (IPM), u ka khona ho lokisa sehokelo ka boitsebahatso ba lithaka tse hokahaneng. Sesebelisoa sa marang-rang se kopa lintlha tsa pholisi, ho kenyeletsoa SGT le boemo ba tšepo, ho tsoa ho seva sa netefatso.
  • Sheba mohloli oa SGT o ipapisitse le aterese ea IP ea mohloli-Maemong a mang, u ka hlophisa leano ka bowena ho etsa qeto ea SGT ea pakete ho latela aterese ea IP ea mohloli. SGT Exchange Protocol (SXP) e ka boela ea tlatsa tafole ea 'mapa ea IP-aterese-to-SGT.
Ho khetha Sehlopha sa Tšireletso ea Sebaka
Sesebelisoa sa marang-rang sa egress sebakeng sa Cisco TrustSec se khetholla sehlopha sa sebaka (DGT) bakeng sa ho sebelisa SGACL. Sesebelisoa sa marang-rang se etsa qeto ea sehlopha sa tšireletso bakeng sa pakete se sebelisa mekhoa e tšoanang e sebelisoang ho khetholla sehlopha sa tšireletso ea mohloli, ntle le ho fumana nomoro ea sehlopha ho tsoa paketeng. tag. Nomoro ea sehlopha sa tšireletso ha e ea kenyeletsoa paketeng tag.
Maemong a mang, lisebelisoa tsa ingress kapa lisebelisoa tse ling tse sa sebetseng li ka ba le tlhaiso-leseling ea sehlopha e fumanehang. Maemong ao, li-SGACL li ka sebelisoa lisebelisoa tsena ho fapana le lisebelisoa tsa egress.
Ts'ebetsong ea SGACL ho Sephethephethe se Tsamaisitsoeng le se Fetotsoeng
Ts'ebetso ea SGACL e sebelisoa feela ho sephethephethe sa IP, empa ts'ebetso e ka sebelisoa ho sephethephethe se tsamaisoang kapa se fetotsoeng.
Bakeng sa sephethephethe se tsamaeang ka tsela, ts'ebetso ea SGACL e etsoa ke egress switch, hangata phepelo ea phepelo kapa sesebelisoa sa phihlello se nang le boema-kepe bo tsamaisanang le boema-kepe bo hokelang moamoheli oa sebaka seo leeto le eang ho sona. Ha o etsa hore SGACL e sebetse lefatšeng ka bophara, ts'ebetso e etsoa ka bo eona ho sehokelo se seng le se seng sa Layer 3 ntle le likhokahano tsa SVI.
Bakeng sa sephethephethe se fetotsoeng, ts'ebetso ea SGACL e etsoa ho sephethephethe se phallang ka har'a sebaka se le seng sa switching ntle le ts'ebetso ea ho tsamaisa. Exampe tla ba ts'ebetso ea SGACL e etsoang ke sesebelisoa sa phihlello ea setsi sa data ho sephethephethe sa seva-ho-server lipakeng tsa li-server tse peli tse hokahaneng ka kotloloho. Ho sena mohlalaampLeha ho le joalo, sephethephethe sa seva-to-server hangata se ne se tla fetoloa. Ts'ebetso ea SGACL e ka sebelisoa ho lipakete tse fetotsoeng ka har'a VLAN kapa tsa fetisetsoa ho SVI e amanang le VLAN, empa ts'ebetso e tlameha ho etsoa ka mokhoa o hlakileng bakeng sa VLAN ka 'ngoe.
SGACL Logging le ACE Statistics
Ha ho rengoa ha lifate ho nolofalitsoe ho SGACL, sesebelisoa se boloka lintlha tse latelang:
  • Sehlopha sa tšireletso ea mohloli tag (SGT) le sebaka sa SGT
  • Lebitso la leano la SGACL
  • Mofuta oa pakete ea protocol
  • Ketso e entsoeng ka pakete
Khetho ea log e sebetsa ho li-ACE ka bomong mme e etsa hore liphutheloana tse ts'oanang le ACE li kenngoe. Pakete ea pele e kentsoeng ke senotlolo sa log e hlahisa molaetsa oa syslog. Melaetsa e latelang ea li-log e hlahisoa 'me e tlalehoa ka nako ea metsotso e mehlano. Haeba ACE e lumelletsoeng ho rema lifate e ts'oana le pakete e 'ngoe (e nang le litšobotsi tse ts'oanang le pakete e hlahisitseng molaetsa oa log), palo ea lipakete tse tsamaellanang e ea eketseha (libali) ebe e tlaleha.
Ho nolofalletsa ho rema lifate, sebelisa lentsoe la sehlooho la log ka pel'a tlhaloso ea ACE ho tlhophiso ea SGACL. Bakeng sa mohlalaample, lumella ip log.
Ha ho rengoa ha SGACL ho nolofalitsoe, melaetsa ea Kopo ea ICMP ho tsoa ho sesebelisoa ho ea ho moreki ha e etsoe
IPv4 le IPv6 protocol. Leha ho le joalo; Melaetsa ea Karabelo ea ICMP ho tsoa ho moreki ho ea sesebelisoa e kentsoe.
E latelang ke joalo kaample log, e bonts'ang li-SGT tsa mohloli le moo ho eang teng, lipapali tsa ACE (bakeng sa tumello kapa ketso ea ho hana), le protocol, ke hore, TCP, UDP, IGMP, le ICMP tlhahisoleseling:
*Jun 2 08:58:06.489: %C4K_IOSINTF-6-SGACHIT: lenane la deny_udp_src_port_log-30 Hanne udp 24.0.0.23(100) -> 28.0.0.91(100), SGT8 DGT
Ntle le lipalo-palo tse teng tsa 'per cell' tsa SGACL, tse ka hlahisoang ho sebelisoa show cts role-based
counters command, o ka boela oa bontša lipalo-palo tsa ACE, ka ho sebelisa taelo ea show ip access-list sgacl_name. Ha ho tlhophiso e eketsehileng e hlokahalang bakeng sa sena.
E latelang exampe bonts'a hore na u ka sebelisa taelo ea lenane la phihlello ea ip joang ho bonts'a palo ea ACE
Sesebelisoa # se bonts'a taolo ea phihlello ea ip deny_udp_src_port_log-30
Lenane la phihlello ea IP le ipapisitseng le karolo deny_udp_src_port_log-30 (e jarollotsoe)
10 hana udp src eq 100 log (lipapali tse 283)
20 tumello ea ip log (lipapali tse 50)
Letšoao la hlokomelaHa sephethephethe se tlang se bapa le sele, empa se sa tshwane le SGACL ya sele, sephethephethe se a dumellwa mme dibadi di a eketswa ho HW-Permit bakeng sa sele.
E latelang exampe bontša kamoo SGACL ea sele e sebetsang kateng:
Leano la SGACL le hlophisitsoe ho tloha ho 5 ho isa ho 18 ka "deny icmp echo" mme ho na le sephethephethe se kenang ho tloha 5 ho ea ho 18 ka sehlooho sa TCP. Haeba sele e ts'oana ho tloha ho 5 ho isa ho 18 empa sephethephethe se sa tsamaisane le icmp, sephethephethe se tla lumelloa mme HW-Permit counter ea sele 5 ho isa ho 18 e tla eketseha.
CISCO Trustsec E Haha Marang-rang a Sireletsehileng - Leano la SGACL le hlophisitsoe ho tloha ho 5 ho isa ho 18 ka "deny icmp echo
Ho rengoa ha lifate tsa SGACL ka VRF
Lintlha tsa tsamaiso ea SGACL li tla kenyelletsa lintlha tsa VRF. Ntle le masimo a kentsoeng hajoale, tlhaiso-leseling ea ho rema lifate e tla kenyelletsa lebitso la VRF. Lintlha tse nchafalitsoeng tsa ho rema lifate li tla ba tse bontšitsoeng ka tlase:
*Nov 15 02:18:52.187: %RBM-6-SGACLHIT_V6: ingress_interface='GigabitEthernet1/0/15′ sgacl_name='IPV6_TCP_DENY' action='Latola' protocol='tcp' src-vrf=' CTS -ip='25::2′ src-port='20'
dest-vrf='CTS-VRF' dest-ip='49::2′ dest-port='30' sgt='200′ dgt='500′ logging_interval_hits='1′
Mokhoa oa ho shebella oa SGACL
Nakong ea mohato oa pele oa ho romelloa ha Cisco TrustSec, molaoli o tla sebelisa mokhoa oa ho beha leihlo ho lekola maano a ts'ireletso ntle le ho a qobella ho etsa bonnete ba hore maano a sebetsa joalo ka ha a reriloe. Haeba melaoana ea ts'ireletso e sa sebetse ka mokhoa o reriloeng, mokhoa oa ho beha leihlo o fana ka mokhoa o bonolo oa ho tseba seo 'me o fana ka monyetla oa ho lokisa pholisi pele e lumella ts'ebetsong ea SGACL. Sena se nolofalletsa batsamaisi hore ba be le ponahalo e eketsehileng ho sephetho sa liketso tsa pholisi pele ba e sebelisa, le ho netefatsa hore leano la sehlooho le finyella litlhoko tsa ts'ireletso (ho fihlella ho haneloa ho mehloli haeba basebelisi ba sa e sebelise.
dumelletsoe).
Bokhoni ba ho beha leihlo bo fanoe boemong ba bobeli ba SGT-DGT. Ha o nolofalletsa sebopeho sa mokhoa oa ho beha leihlo SGACL, ketso ea ho hana e kengoa ts'ebetsong joalo ka tumello ea ACL likareteng tsa mohala. Sena se lumella li-counters tsa SGACL le ho rema lifate ho bontša kamoo likhokahano li sebetsoang ke leano la SGACL. Kaha sephethephethe sohle se shebisitsoeng se lumelletsoe, ha ho na tšitiso ea litšebeletso ka lebaka la SGACL ha u ntse u le ka har'a mokhoa oa SGACL.
Tumello le Phano ea Leano
Kamora hore netefatso ya sesebediswa e fele, mokopi le netefatso ba fumana leano la tshireletso ho seva sa netefatso. Lithaka tsena tse peli li etsa tumello ea khokahano le ho tiisa leano la ts'ireletso khahlanong le e mong ho latela li-ID tsa sesebelisoa sa Cisco TrustSec. Mokhoa oa netefatso ea sehokelo o ka hlophisoa joalo ka 802.1X kapa netefatso ea letsoho. Haeba tšireletso ea lihokelo e le 802.1X, thaka e 'ngoe le e 'ngoe e sebelisa ID ea sesebelisoa e amohetsoeng ho tsoa ho seva sa netefatso. Haeba ts'ireletso ea lihokelo e le ka letsoho, o tlameha ho fana ka li-ID tsa lisebelisoa tsa lithaka.
Seva ea netefatso e khutlisa litšobotsi tse latelang tsa leano:
  • Cisco TrustSec trust-E bontša hore na sesebelisoa sa lithaka se lokela ho tšeptjoa ka morero oa ho kenya SGT ka lipaketeng.
  • Peer SGT-E bonts'a sehlopha sa ts'ireletso seo thaka e leng ho sona. Haeba thaka e sa tšepahale, lipakete tsohle tse amoheloang ho tsoa ho lithaka li tagka SGT ena. Haeba sesebelisoa se sa tsebe hore na SGACLs efe kapa efe e amahanngoa le SGT ea lithaka, sesebelisoa se ka romella kopo ea ho latela ho setsi sa netefatso ho khoasolla li-SGACL.
  • Nako ea ho felloa ke nako ea tumello—E bontša palo ea metsotsoana pele pholisi e felloa ke nako. Sesebelisoa sa Cisco TrustSec se lokela ho nchafatsa leano le tumello pele se fela. Sesebelisoa se ka boloka data ea netefatso le pholisi 'me sa e sebelisa hape ka mor'a ho qala bocha haeba data e so felloe ke nako.
Letšoao la hlokomela Sesebelisoa se seng le se seng sa Cisco TrustSec se lokela ho ts'ehetsa leano le fokolang la phihlello haeba se sa khone ho ikopanya le seva sa netefatso ho fumana leano le nepahetseng bakeng sa lithaka.
Mokhoa oa lipuisano oa NDAC le SAP o bontšoa setšoantšong se latelang
Setšoantšo sa 5: Puisano ea NDAC le SAP
CISCO Trustsec e Haha Marang-rang a Sireletsehileng - Setšoantšo sa 5
Environment Data Download
Lintlha tsa tikoloho ea Cisco TrustSec ke pokello ea tlhahisoleseling kapa maano a thusang sesebelisoa ho sebetsa joalo ka node ea Cisco TrustSec. Sesebelisoa se fumana data ea tikoloho ho tsoa ho seva sa netefatso ha sesebelisoa se qala ho kenella sebakeng sa Cisco TrustSec, le hoja u ka boela ua lokisa boitsebiso bo bong ka mochine. Bakeng sa mohlalaample, o tlameha ho lokisa sesebelisoa sa Cisco TrustSec se nang le tlhaiso-leseling ea seva, eo hamorao e ka eketsoang ke lenane la seva leo sesebelisoa se se fumanang ho tsoa ho seva sa netefatso.
Sesebelisoa se tlameha ho khatholla data ea tikoloho ea Cisco TrustSec pele e felloa ke nako. Sesebelisoa se ka boela sa boloka data ea tikoloho 'me sa e sebelisa hape ka mor'a ho qala hape haeba data e e-s'o fele.
Sesebelisoa se sebelisa RADIUS ho fumana lintlha tse latelang tsa tikoloho ho tsoa ho seva sa netefatso:
  • Manane a li-server: Lethathamo la li-server tseo moreki a ka li sebelisang bakeng sa likopo tsa RADIUS tsa nako e tlang (bakeng sa netefatso le tumello). Ho nchafatsoa ha PAC ho etsahala ka li-server tsena.
  • Sesebelisoa sa SG: Sehlopha sa tšireletso seo sesebelisoa ka bosona se leng ho sona.
  • Nako ea ho felloa ke nako: Nako e laolang hore na sesebelisoa sa Cisco TrustSec se lokela ho hlasimolla data ea tikoloho hangata hakae.
RADIUS Relay tshebetso
Sesebelisoa se phethang karolo ea Cisco TrustSec e netefatsang ts'ebetsong ea 802.1X e na le khokahanyo ea IP ho seva sa netefatso, e lumellang sesebelisoa ho fumana pholisi le tumello ho tswa ho seva sa netefatso ka ho fapanyetsana melaetsa ea RADIUS ka UDP / IP. Sesebelisoa sa kopo se kanna sa se be le khokahano ea IP le seva sa netefatso. Maemong a joalo, Cisco TrustSec e lumella netefatso ho sebetsa joalo ka RADIUS relay bakeng sa mokopi.
Mokopi o romela molaetsa o khethehileng oa EAPOL ho tichere e nang le aterese ea IP ea seva sa RADIUS le boema-kepe ba UDP le kopo e felletseng ea RADIUS. Authenticator e ntša kopo ea RADIUS ho tsoa molaetsa o amoheloang oa EAPOL ebe o e romela ka UDP/IP ho seva sa netefatso. Ha karabo ea RADIUS e khutla ho tsoa ho seva sa netefatso, mohatisi o fetisetsa molaetsa ho mokopi, o kentsoeng ka foreimi ea EAPOL.
Link Security
Ha mahlakore ka bobeli a sehokelo a tšehetsa 802.1AE Media Access Control Security (MACsec), ho etsoa puisano ea protocol ea mokhatlo oa tšireletso (SAP). Phapanyetsano ea EAPOL-Key e etsahala lipakeng tsa mokopi le netefatso ho buisana ka cipher suite, phapanyetsano ea ts'ireletso, le ho laola linotlolo. Ho phetheloa ka katleho ha mesebetsi eohle e meraro ho fella ka ho theoa ha mokhatlo oa tšireletso (SA).
Ho latela mofuta oa software ea hau, laesense ea crypto, le tšehetso ea li-hardware tsa khokahano, puisano ea SAP e ka sebelisa e 'ngoe ea mekhoa e latelang ea ts'ebetso:
  • Galois/Counter Mode (GCM) - E totobatsa netefatso le encryption
  • GCM authentication (GMAC) - E totobatsa netefatso mme ha e na encryption
  • Ha ho Encapsulation-Ha e hlalose ha ho na encapsulation (mongolo o hlakileng)
  • Null - E hlalosa encapsulation, ha e na netefatso ebile ha e na encryption
Mefuta eohle ntle le No Encapsulation e hloka Cisco TrustSec-caable hardware.
Ho lokisa SAP-PMK bakeng sa Link Security
CISCO Trustsec E Haha Marang-rang a Sireletsehileng - Ho Lokisa SAP-PMK bakeng sa Tšireletso ea Khokahanyo
CISCO Trustsec e Haha Marang-rang a Sireletsehileng - E lokisa SAP-PMK bakeng sa Khokahano ea Tšireletso 2
SXP bakeng sa Phatlalatso ea SGT Ho pholletsa le Marang-rang a Phihlello ea Lefa
Taglipakete tse nang le SGT li hloka tšehetso ea Hardware. U kanna ua ba le lisebelisoa marang-rang a hau tseo, leha li khona ho nka karolo ho netefatso ea Cisco TrustSec, ha li na bokhoni ba ho li sebelisa. tag lipakete tse nang le
SGTs. Ka ho sebelisa SGT Exchange Protocol (SXP), lisebelisoa tsena li ka fetisa limmapa tsa IP-aterese-to-SGT ho sesebelisoa sa lithaka sa Cisco TrustSec se nang le lisebelisoa tsa Cisco TrustSec tse khonang.

SXP ka tloaelo e sebetsa lipakeng tsa lisebelisoa tse kenang ka har'a sebaka sa marang-rang sa Cisco TrustSec le lisebelisoa tsa kabo ka har'a sebaka sa Cisco TrustSec. Sesebelisoa sa marang-rang sa phihlello se etsa netefatso ea Cisco TrustSec ea lisebelisoa tsa mohloli oa kantle ho fumana li-SGT tse nepahetseng bakeng sa lipakete tsa ingress. Sesebelisoa sa marang-rang sa ho fihlella se ithuta liaterese tsa IP tsa lisebelisoa tsa mohloli ho sebelisa IP device tracking le (ka boikhethelo) DHCP snooping, ebe se sebelisa SXP ho fetisa liaterese tsa IP tsa lisebelisoa tsa mohloli hammoho le SGT ea bona ho lisebelisoa tsa ho aba.
Lisebelisoa tsa kabo ka Cisco TrustSec-caable hardware li ka sebelisa lintlha tsena tsa 'mapa oa IP-to-SGT ho tag liphutheloana ka nepo le ho tiisa maano a SGACL.

Setšoantšo sa 6: Protocol ea SXP ea ho Phatlalatsa Boitsebiso ba SGT
CISCO Trustsec e Haha Marang-rang a Sireletsehileng - Setšoantšo sa 6
U tlameha ho iketsetsa khokahano ea SXP pakeng tsa thaka ntle le ts'ehetso ea lisebelisoa tsa Cisco TrustSec le thaka e nang le tšehetso ea Cisco TrustSec hardware. Mesebetsi e latelang ea hlokahala ha o lokisa khokahano ea SXP:
  • Haeba o hloka botšepehi le netefatso ea data ea SXP, o tlameha ho lokisa password e tšoanang ea SXP lisebelisoa tse peli tsa lithaka. U ka hlophisa phasewete ea SXP ka mokhoa o hlakileng bakeng sa khokahano e 'ngoe le e' ngoe ea lithaka kapa lefatšeng ka bophara bakeng sa sesebelisoa. Leha password ea SXP e sa hlokehe, re khothaletsa tšebeliso ea eona.
  • U tlameha ho hlophisa thaka e 'ngoe le e' ngoe khokahanyong ea SXP joalo ka sebui sa SXP kapa momameli oa SXP. Sesebelisoa sa sebui se fana ka tlhahisoleseding ea 'mapa ea IP-to-SGT ho sesebelisoa sa bamameli.
  • U ka hlakisa aterese ea IP eo u ka e sebelisang bakeng sa kamano e 'ngoe le e 'ngoe ea lithaka kapa u ka etsa aterese ea kamehla ea IP bakeng sa likhokahano tsa lithaka moo u sa lokisetsang aterese e itseng ea mohloli oa IP. Haeba u sa hlalose aterese efe kapa efe ea IP ea mohloli, sesebelisoa se tla sebelisa aterese ea IP ea khokahano ho thaka.
SXP e lumella hop tse ngata. Ke hore, haeba thaka ea sesebelisoa e haelloang ke Cisco TrustSec ea tšehetso ea hardware e boetse e haelloa ke tšehetso ea Cisco TrustSec hardware, thaka ea bobeli e ka ba le khokahanyo ea SXP ho thaka ea boraro, e tsoela pele ho phatlalatsoa ha boitsebiso ba 'mapa ba IP-to-SGT ho fihlela hardware- thaka e nang le bokhoni e fihleloa. Sesebelisoa se ka hlophisoa e le momameli oa SXP bakeng sa khokahano e le 'ngoe ea SXP e le sebui sa SXP bakeng sa khokahano e' ngoe ea SXP.
Sesebelisoa sa Cisco TrustSec se boloka khokahanyo le lithaka tsa sona tsa SXP ka ho sebelisa mochine oa TCP keepalive.
Ho theha kapa ho tsosolosa khokahanyo ea lithaka, sesebelisoa se tla leka khafetsa ho seta ho sebelisa nako e ka lokisoang ho leka hape ho fihlela khokahanyo e atleha kapa ho fihlela khokahanyo e tlosoa ho tlhophiso.
Layer 3 SGT Transport for Spanning Non-TrustSec
Ha pakete e tloha sebakeng sa Cisco TrustSec bakeng sa sebaka seo e seng sa TrustSec, sesebelisoa sa egress Cisco TrustSec se tlosa sehlooho sa Cisco TrustSec le SGT pele se fetisetsa pakete ho marang-rang a ka ntle. Leha ho le joalo, sephutheloana se mpa se haola le sebaka se seng sa TrustSec tseleng e eang sebakeng se seng sa Cisco TrustSec, joalo ka ha ho bonts'itsoe setšoantšong se latelang, SGT e ka bolokoa ka ho sebelisa tšobotsi ea Cisco TrustSec Layer 3 SGT Transport. Karolong ena, sesebelisoa sa egress Cisco TrustSec se kenyelletsa pakete ka hlooho ea ESP e kenyelletsang kopi ea SGT. Ha pakete e kentsoeng e fihla sebakeng se latelang sa Cisco TrustSec, sesebelisoa sa ingress Cisco TrustSec se tlosa encapsulation ea ESP le ho phatlalatsa pakete ka SGT ea eona.
Setšoantšo sa 7: Ho akaretsa sebaka sa Non-TrustSec
CISCO Trustsec e Haha Marang-rang a Sireletsehileng - Setšoantšo sa 7
Ho ts'ehetsa Cisco TrustSec Layer 3 SGT Transport, sesebelisoa leha e le sefe se tla sebetsa e le Cisco TrustSec ingress kapa egress Layer 3 gateway se tlameha ho boloka polokelo ea leano la sephethephethe le thathamisang li-subnet tse loketseng libakeng tse hole tsa Cisco TrustSec hammoho le li-subnet tse sa kenyellelitsoeng ka har'a libaka tseo. U ka hlophisa database ena ka letsoho sesebelisoa se seng le se seng haeba se ke ke sa kopitsoa ka bo eona ho Cisco Secure ACS.
Sesebelisoa se ka romella lintlha tsa Layer 3 SGT Transport ho tsoa boema-kepe bo le bong 'me sa amohela lintlha tsa Layer 3 SGT Transport boema-kepeng bo bong, empa likou tse peli tse kenang le tse kenang li tlameha ho ba le lisebelisoa tsa Cisco TrustSec tse khonang.
Letšoao la hlokomela Cisco TrustSec ha e kenyelle lipakete tse kentsoeng tsa Layer 3 SGT Transport. Ho sireletsa lipakete tse tšelang sebaka sa non-TrustSec, o ka hlophisa mekhoa e meng ea ts'ireletso, joalo ka IPsec.
VRF-Aware SXP
Ts'ebetsong ea SXP ea Virtual Routing and Forwarding (VRF) e tlama khokahano ea SXP le VRF e itseng. Ho nahanoa hore topology ea marang-rang e hlophisitsoe ka nepo bakeng sa Layer 2 kapa Layer 3 VPNs, 'me li-VRF tsohle li hlophisitsoe pele li nolofalletsa Cisco TrustSec.
Ts'ehetso ea SXP VRF e ka akaretsoa ka tsela e latelang:
  • Khokahano e le 'ngoe feela ea SXP e ka tlangoa ho VRF e le' ngoe.
  • Li-VRF tse fapaneng li kanna tsa ba le lithaka tsa SXP kapa liaterese tsa IP tsa mohloli.
  • Limmapa tsa IP-SGT tse ithutoang (tse kentsoeng kapa tsa hlakoloa) ho VRF e le 'ngoe li ka ntlafatsoa sebakeng se le seng feela sa VRF.
    Khokahano ea SXP ha e khone ho nchafatsa 'mapa o tlamahantsoeng ho VRF e fapaneng. Haeba ho se khokahanyo ea SXP e tsoang bakeng sa VRF, 'mapa oa IP-SGT bakeng sa VRF eo e ke ke ea ntlafatsoa ke SXP.
  • Malapa a liaterese tse ngata ka VRF a tšehetsoa. Ka hona, khokahano e le 'ngoe ea SXP sebakeng sa VRF e ka fetisa limmapa tsa IPV4 le IPV6 IP-SGT ka bobeli.
  • SXP ha e na moeli ho palo ea likhokahano le palo ea limmapa tsa IP-SGT ka VRF ka 'ngoe.
Layer 2 VRF-Aware SXP le VRF Kabelo
Likabelo tsa VRF to Layer 2 VLANs li hlalositsoe ka cts role-based l2-vrf vrf-name vlan-list global configuration command. VLAN e nkoa e le Layer 2 VLAN ha feela ho se na switch virtual interface (SVI) e nang le aterese ea IP e hlophisitsoeng ho VLAN. VLAN e fetoha Layer 3 VLAN hang ha aterese ea IP e lokiselitsoe ho SVI ea eona.
Likabelo tsa VRF tse hlophisitsoeng ke cts role-based l2-vrf command li sebetsa ha feela VLAN e ntse e le Layer 2 VLAN. Litlamo tsa IP-SGT tse ithutiloeng ha kabelo ea VRF e ntse e sebetsa li boetse li eketsoa tafoleng ea Forwarding Information Base (FIB) e amanang le VRF le mofuta oa protocol oa IP. Haeba SVI e qala ho sebetsa bakeng sa VLAN, kabelo ea VRF ho VLAN ha e sebetse 'me litlamo tsohle tse ithutoang ho VLAN li fetisetsoa tafoleng ea FIB e amanang le VRF ea SVI.
Mosebetsi oa VRF ho VLAN oa bolokoa le ha mosebetsi o se o sa sebetse. E tsosolosoa ha SVI e tlosoa kapa ha aterese ea IP ea SVI e sa sebelisoe. Ha e tsosolositsoe, likhokahano tsa IP-SGT li khutlisetsoa morao tafoleng ea FIB e amanang le VRF ea SVI ho ea tafoleng ea FIB e amanang le VRF e fanoeng ke taelo ea cts role-based l2-vrf.
Feature History bakeng sa Cisco TrustSec Overview
Tafole ena e fana ka lintlha tsa tokollo le tse amanang le likarolo tse hlalositsoeng mojulung ona.
Likarolo tsena li fumaneha likhatisong tsohle tse latelang tseo li hlahisitsoeng ho tsona, ntle le haeba ho boletsoe ka tsela e 'ngoe.
CISCO Trustsec e Haha Marang-rang a Sireletsehileng - Histori ea Feature bakeng sa Cisco TrustSec Overview
Sebelisa Cisco Feature Navigator ho fumana leseli mabapi le tšehetso ea setšoantšo sa sethala le software. Ho fihlella
Cisco Feature Navigator, e ea ho http://www.cisco.com/go/cfn.

Litokomane / Lisebelisoa

CISCO Trustsec e Haha Marang-rang a Sireletsehileng [pdf] Bukana ea Mosebelisi
Trustsec e Haha Marang-rang a Sireletsehileng, Trustsec, e Haha Marang-rang a Sireletsehileng, Marang-rang a Sireletsehileng, Marang-rang

Litšupiso

Tlohela maikutlo

Aterese ea hau ea lengolo-tsoibila e ke ke ea phatlalatsoa. Libaka tse hlokahalang li tšoailoe *