CISCO Trustsec Hujenga Salama
 Mwongozo wa Watumiaji wa Mtandao
CISCO Trustsec Huunda Mwongozo Salama wa Mtumiaji wa MtandaoCisco TrustSec huunda mitandao salama kwa kuanzisha vikoa vya vifaa vya mtandao vinavyoaminika. Kila kifaa katika kikoa kinathibitishwa na programu zingine. Mawasiliano kwenye viungo kati ya vifaa kwenye kikoa hulindwa kwa mchanganyiko wa usimbaji fiche, ukaguzi wa uadilifu wa ujumbe, na mbinu za ulinzi za uchezaji upya wa njia ya data.
Vizuizi vya Cisco TrustSec
  • Utoaji wa kitambulisho cha Ufikiaji Uliolindwa (PAC) umeshindwa na unasalia katika hali ya kuning'inia, kitambulisho batili cha kifaa kinapobainishwa. Hata baada ya kufuta PAC, na kusanidi kitambulisho sahihi cha kifaa na nenosiri, PAC bado haitafaulu.
    Kama suluhu, katika Injini ya Huduma za Kitambulisho cha Cisco (ISE), ondoa uteuzi wa Kukandamiza Wateja Wasiokuwa wa kawaida.
    chaguo katika Utawala> Mfumo> Mipangilio> Itifaki> Menyu ya Radius ili PAC ifanye kazi.
  • Cisco TrustSec haitumiki katika hali ya FIPS.
  • Vikwazo vifuatavyo vinatumika tu kwa muundo wa C9500X-28C8D wa Swichi za Mfululizo wa Cisco Catalyst 9500:
    • Usanidi wa mwongozo wa Cisco TrustSec hautumiki.
    • Utendaji wa Itifaki ya Chama cha Usalama cha Cisco TrustSec (SAP) hautumiki.
    • Usimbaji wa kichwa cha metadata wa Cisco TrustSec hautumiki.
Yaliyomo kujificha
1 Habari Kuhusu Usanifu wa Cisco TrustSec
2 Nyaraka / Rasilimali
2.1 Marejeleo

Habari Kuhusu Usanifu wa Cisco TrustSec

Usanifu wa usalama wa Cisco TrustSec huunda mitandao salama kwa kuanzisha vikoa vya vifaa vya mtandao vinavyoaminika. Kila kifaa katika kikoa kinathibitishwa na programu zingine. Mawasiliano kwenye viungo kati ya vifaa kwenye kikoa hulindwa kwa mchanganyiko wa usimbaji fiche, ukaguzi wa uadilifu wa ujumbe, na mbinu za ulinzi za uchezaji upya wa njia ya data. Cisco TrustSec hutumia kifaa na vitambulisho vya mtumiaji vilivyopatikana wakati wa uthibitishaji kwa kuainisha pakiti na vikundi vya usalama (SGs) wanapoingia kwenye mtandao. Uainishaji huu wa pakiti unadumishwa na tagpakiti zinapoingia kwenye mtandao wa Cisco TrustSec ili ziweze kutambuliwa ipasavyo kwa madhumuni ya kutumia usalama na vigezo vingine vya sera kwenye njia ya data. The tag, kinachoitwa kikundi cha usalama tag (SGT), huruhusu mtandao kutekeleza sera ya udhibiti wa ufikiaji kwa kuwezesha kifaa cha mwisho kutenda kulingana na SGT ili kuchuja trafiki.
Aikoni ya dokezoViungo vya Cisco TrustSec IEEE 802.1X havitumiki kwenye mifumo inayotumika katika Cisco IOS XE Denali
(16.1.x hadi 16.3.x), Cisco IOS XE Everest (16.4.x hadi 16.6.x), na Cisco IOS XE Fuji (16.7.x hadi 16.9.x) matoleo, na hivyo ni Kithibitishaji pekee kinachotumika; Mwombaji hajaungwa mkono.
Usanifu wa Cisco TrustSec unajumuisha vipengele vitatu muhimu:
  • Miundombinu ya mtandao iliyoidhinishwa—Baada ya kifaa cha kwanza (kinachoitwa kifaa cha mbegu) kuthibitisha na seva ya uthibitishaji ili kuanzisha kikoa cha Cisco TrustSec, kila kifaa kipya kinachoongezwa kwenye kikoa kinathibitishwa na vifaa vyake rika vilivyo ndani ya kikoa. Wenzake hufanya kama wapatanishi wa seva ya uthibitishaji ya kikoa. Kila kifaa kipya kilichoidhinishwa kimeainishwa na seva ya uthibitishaji na kupewa nambari ya kikundi cha usalama kulingana na utambulisho wake, jukumu na mkao wa usalama.
  • Udhibiti wa ufikiaji wa kikundi cha usalama—Sera za ufikiaji ndani ya kikoa cha Cisco TrustSec hazitegemei topolojia, kulingana na majukumu (kama inavyoonyeshwa na nambari ya kikundi cha usalama) ya vifaa vya chanzo na lengwa badala ya anwani za mtandao. Pakiti za mtu binafsi ni tagiliyounganishwa na nambari ya kikundi cha usalama cha chanzo.
  • Mawasiliano salama—Kwa maunzi yenye uwezo wa kusimba, mawasiliano kwenye kila kiungo kati ya vifaa kwenye kikoa yanaweza kulindwa kwa mchanganyiko wa usimbaji fiche, ukaguzi wa uadilifu wa ujumbe na mbinu za ulinzi za uchezaji upya wa data.
Takwimu ifuatayo inaonyesha wa zamaniample ya kikoa cha Cisco TrustSec. Katika hii exampna, vifaa kadhaa vya mtandao na kifaa cha mwisho viko ndani ya kikoa cha Cisco TrustSec. Kifaa kimoja cha mwisho na kifaa kimoja cha mtandao viko nje ya kikoa kwa sababu si vifaa vinavyoweza kutumia Cisco TrustSec au kwa sababu vimekataliwa kuzifikia. Seva ya uthibitishaji inachukuliwa kuwa nje ya kikoa cha Cisco TrustSec; ama ni Injini ya Huduma ya Vitambulisho vya Cisco (Cisco ISE), au Mfumo wa Kudhibiti Ufikiaji Salama wa Cisco (Cisco ACS).
Kielelezo cha 1: Kikoa cha Mtandao cha Cisco TrustSec Example
CISCO Trustsec Hujenga Mtandao Salama - Kielelezo 1
Kila mshiriki katika mchakato wa uthibitishaji wa Cisco TrustSec hutenda katika mojawapo ya majukumu yafuatayo:
  • Mwombaji—Kifaa ambacho hakijaidhinishwa kilichounganishwa na programu rika ndani ya kikoa cha Cisco TrustSec, na kujaribu kujiunga na kikoa cha Cisco TrustSec.
  • Seva ya uthibitishaji—Seva inayoidhinisha utambulisho wa mtumaji maombi na kutoa sera zinazoamua ufikiaji wa mwombaji kwa huduma ndani ya kikoa cha Cisco TrustSec.
  • Kithibitishaji—Kifaa kilichoidhinishwa ambacho tayari ni sehemu ya kikoa cha Cisco TrustSec na kinaweza kuthibitisha waombaji wapya wa programu zingine kwa niaba ya seva ya uthibitishaji.
Wakati kiungo kati ya mwombaji na kithibitishaji kinapotokea, mlolongo ufuatao wa matukio kwa kawaida hutokea:
  1. Uthibitishaji (802.1X)—Mwombaji anaidhinishwa na seva ya uthibitishaji, huku kithibitishaji kikifanya kazi kama mpatanishi. Uthibitishaji wa pande zote unafanywa kati ya wenzao wawili (mwombaji na mthibitishaji).
  2. Uidhinishaji—Kulingana na maelezo ya utambulisho wa mtumaji maombi, seva ya uthibitishaji hutoa sera za uidhinishaji, kama vile kazi za vikundi vya usalama na ACL, kwa kila programu rika iliyounganishwa. Seva ya uthibitishaji hutoa utambulisho wa kila programu rika kwa mwingine, na kila programu rika itatumia sera inayofaa kwa kiungo.
  3. Majadiliano ya Itifaki ya Chama cha Usalama (SAP)—Wakati pande zote mbili za usimbaji fiche wa kiungo, mwombaji na mthibitishaji hujadiliana kuhusu vigezo muhimu ili kuanzisha chama cha usalama (SA).
Aikoni ya dokezo SAP haitumiki kwenye violesura vya 100G. Tunapendekeza utumie itifaki ya Makubaliano ya Ufunguo wa MACsec
(MKA) iliyo na nambari za pakiti zilizopanuliwa (XPN) kwenye violesura vya 100G.
Wakati hatua zote tatu zimekamilika, uthibitishaji hubadilisha hali ya kiungo kutoka kwa hali isiyoidhinishwa (kuzuia) hadi hali iliyoidhinishwa, na mwombaji anakuwa mwanachama wa kikoa cha Cisco TrustSec.
Cisco TrustSec hutumia ingress tagkuchuja na kuchuja ili kutekeleza sera ya udhibiti wa ufikiaji kwa njia inayoweza kupunguzwa. Pakiti zinazoingia kwenye kikoa ni tagkuunganishwa na kikundi cha usalama tag (SGT) iliyo na nambari ya kikundi cha usalama iliyokabidhiwa ya kifaa chanzo. Uainishaji huu wa pakiti hudumishwa kando ya njia ya data ndani ya kikoa cha Cisco TrustSec kwa madhumuni ya kutumia usalama na vigezo vingine vya sera. Kifaa cha mwisho cha Cisco TrustSec kwenye njia ya data, ama sehemu ya mwisho au sehemu ya mtandao, hutekeleza sera ya udhibiti wa ufikiaji kulingana na kikundi cha usalama cha kifaa chanzo cha Cisco TrustSec na kikundi cha usalama cha kifaa cha mwisho cha Cisco TrustSec. Tofauti na orodha za jadi za udhibiti wa ufikiaji kulingana na anwani za mtandao, sera za udhibiti wa ufikiaji wa Cisco TrustSec ni aina ya orodha za udhibiti wa ufikiaji kulingana na jukumu (RBACLs) zinazoitwa orodha za udhibiti wa ufikiaji wa kikundi cha usalama (SGACLs).
Aikoni ya dokezoIngress inarejelea pakiti zinazoingia kwenye kifaa cha kwanza chenye uwezo wa Cisco TrustSec kilichokumbana na pakiti kwenye njia yake kuelekea lengwa na egress inarejelea pakiti zinazoacha kifaa cha mwisho chenye uwezo wa Cisco TrustSec kwenye njia.
Uthibitishaji
Cisco TrustSec na Uthibitishaji
Kwa kutumia Network Device Admission Control (NDAC), Cisco TrustSec huthibitisha kifaa kabla ya kukiruhusu kijiunge na mtandao. NDAC hutumia uthibitishaji wa 802.1X kwa Uthibitishaji Uliopanuka wa Itifaki ya Uthibitishaji Unaobadilika kupitia Njia Salama (EAP-FAST) kama mbinu ya Itifaki ya Uthibitishaji Inayoongezwa (EAP) ili kutekeleza uthibitishaji. Mazungumzo ya EAP-FAST hutoa ubadilishanaji wa mbinu nyingine za EAP ndani ya handaki ya EAP-FAST kwa kutumia minyororo. Wasimamizi wanaweza kutumia mbinu za kitamaduni za uthibitishaji wa mtumiaji, kama vile Toleo la 2 la Itifaki ya Uthibitishaji wa Microsoft Challenge Handshake (MSCHAPv2), huku wakiwa na usalama unaotolewa na kichuguu cha EAP-FAST. Wakati wa ubadilishanaji wa EAP-FAST, seva ya uthibitishaji huunda na kuwasilisha kwa mwombaji kitambulisho cha kipekee cha ufikiaji kilicholindwa (PAC) ambacho kina ufunguo ulioshirikiwa na tokeni iliyosimbwa itakayotumika kwa mawasiliano salama ya siku zijazo na seva ya uthibitishaji.
Kielelezo kifuatacho kinaonyesha njia ya EAP-FAST na mbinu za ndani kama zinavyotumika katika Cisco TrustSec.
Kielelezo cha 2: Uthibitishaji wa Cisco TrustSec
CISCO Trustsec Hujenga Mtandao Salama - Kielelezo 2
Maboresho ya Cisco TrustSec kwa EAP-FAST
Utekelezaji wa EAP-FAST kwa Cisco TrustSec una nyongeza zifuatazo:
  • Thibitisha kithibitishaji—Hubainisha kwa usalama utambulisho wa kithibitishaji kwa kuhitaji kithibitishaji kutumia PAC yake kupata ufunguo ulioshirikiwa kati yake na seva ya uthibitishaji. Kipengele hiki pia hukuzuia kusanidi funguo zilizoshirikiwa za RADIUS kwenye seva ya uthibitishaji kwa kila anwani ya IP iwezekanayo inayoweza kutumiwa na kithibitishaji.
  • Arifu kila kifaa kuhusu utambulisho wa rika lake—Kufikia mwisho wa ubadilishanaji wa uthibitishaji, seva ya uthibitishaji imetambua mwombaji na kithibitishaji. Seva ya uthibitishaji huwasilisha utambulisho wa kithibitishaji, na kama kithibitishaji kina uwezo wa Cisco TrustSec, kwa mwombaji kwa kutumia vigezo vya ziada vya thamani ya aina ya aina (TLVs) katika usitishaji wa EAP-FAST uliolindwa. Seva ya uthibitishaji pia huwasilisha utambulisho wa mwombaji, na kama mwombaji ana uwezo wa Cisco TrustSec, kwa uthibitishaji kwa kutumia sifa za RADIUS katika ujumbe wa Kufikia- Kubali.
    Kwa sababu kila kifaa kinajua utambulisho wa programu zingine, kinaweza kutuma Maombi ya ziada ya Ufikiaji wa RADIUS kwa seva ya uthibitishaji ili kupata sera ya kutumika kwenye kiungo.
Uteuzi wa Wajibu wa 802.1X
Katika 802.1X, kithibitishaji lazima kiwe na muunganisho wa IP na seva ya uthibitishaji kwa sababu lazima ipeleke ubadilishanaji wa uthibitishaji kati ya mwombaji na kithibitishaji kwa kutumia RADIUS juu ya UDP/IP. Wakati kifaa cha mwisho, kama vile Kompyuta, kinapounganishwa kwenye mtandao, ni dhahiri kwamba kinapaswa kufanya kazi kama mwombaji. Hata hivyo, katika kesi ya muunganisho wa Cisco TrustSec kati ya vifaa viwili vya mtandao, jukumu la 802.1X la kila kifaa cha mtandao huenda lisionekane mara moja kwa kifaa kingine cha mtandao.
Badala ya kuhitaji usanidi wa mwongozo wa majukumu ya kithibitishaji na mwombaji kwa swichi mbili zilizo karibu, Cisco TrustSec huendesha algoriti ya uteuzi-jukumu ili kubainisha kiotomatiki ni swichi gani inayofanya kazi kama kithibitishaji na ni ipi inafanya kazi kama mwombaji. Kanuni ya uteuzi wa jukumu hukabidhi jukumu la uthibitishaji kwa swichi ambayo ina uwezo wa kufikia IP kwa seva ya RADIUS. Swichi zote mbili huanza mashine za hali ya kithibitishaji na mwombaji. Swichi inapotambua kuwa programu rika yake ina ufikiaji wa seva ya RADIUS, husitisha mashine yake ya hali ya uthibitishaji na kuchukua jukumu la mwombaji. Ikiwa swichi zote mbili zinaweza kufikia seva ya RADIUS, swichi ya kwanza ya kupokea jibu kutoka kwa seva ya RADIUS inakuwa kithibitishaji na swichi nyingine inakuwa mwombaji.
Muhtasari wa Uthibitishaji wa Cisco TrustSec
Kufikia mwisho wa mchakato wa uthibitishaji wa Cisco TrustSec, seva ya uthibitishaji imefanya vitendo vifuatavyo:
  • Ilithibitisha utambulisho wa mwombaji na mthibitishaji.
  • Imethibitisha mtumiaji ikiwa mwombaji ni kifaa cha mwisho.
Mwishoni mwa mchakato wa uthibitishaji wa Cisco TrustSec, mthibitishaji na mwombaji wanajua yafuatayo:
  • zifuatazo:
  • Kitambulisho cha kifaa cha programu rika
  • Maelezo ya uwezo wa Cisco TrustSec ya rika
  • Kitufe kinatumika kwa SAP
Vitambulisho vya Kifaa
Cisco TrustSec haitumii anwani za IP au anwani za MAC kama vitambulisho vya kifaa. Badala yake, unapeana jina (Kitambulisho cha kifaa) kwa kila swichi yenye uwezo wa Cisco TrustSec ili kuitambulisha kipekee katika kikoa cha Cisco TrustSec. Kitambulisho hiki cha kifaa kinatumika kwa yafuatayo:
  • Inatafuta sera ya uidhinishaji
  • Kutafuta manenosiri katika hifadhidata wakati wa uthibitishaji
Kitambulisho cha Kifaa
Cisco TrustSec inasaidia vitambulisho vinavyotegemea nenosiri. Cisco TrustSec inathibitisha waombaji kupitia nywila na hutumia MSCHAPv2 kutoa uthibitishaji wa pande zote.
Seva ya uthibitishaji hutumia vitambulisho hivi ili kuthibitisha mwombaji wakati wa kubadilishana EAP-FAST awamu ya 0 (utoaji) ambapo PAC hutolewa kwa mwombaji. Cisco TrustSec haitekelezi tena ubadilishaji wa awamu ya 0 ya EAP-FAST hadi PAC itakapoisha, na hufanya ubadilishanaji wa EAP-FAST wa awamu ya 1 na awamu ya 2 pekee kwa ubadilishanaji wa viungo vya siku zijazo. Mabadilishano ya awamu ya 1 ya EAP-FAST hutumia PAC ili kuthibitisha kwa pande zote seva ya uthibitishaji na mwombaji. Cisco TrustSec hutumia vitambulisho vya kifaa pekee wakati wa hatua za utoaji (au urekebishaji) za PAC.
Wakati mwombaji anajiunga kwa mara ya kwanza na kikoa cha Cisco TrustSec, seva ya uthibitishaji huthibitisha mwombaji na kusukuma ufunguo ulioshirikiwa na tokeni iliyosimbwa kwa mwombaji kwa PAC. Seva ya uthibitishaji na mwombaji hutumia ufunguo na tokeni hii kwa uthibitishaji wa pande zote katika ubadilishanaji wote wa awamu ya 0 wa EAP-FAST.
Hati za Mtumiaji
Cisco TrustSec haihitaji aina mahususi ya kitambulisho cha mtumiaji kwa vifaa vya mwisho. Unaweza kuchagua aina yoyote ya mbinu ya uthibitishaji wa mtumiaji ambayo inatumika na seva ya uthibitishaji, na utumie vitambulisho vinavyolingana. Kwa mfanoample, toleo la 5.1 la Cisco Secure Access Control System (ACS) linaauni MSCHAPv2, kadi ya tokeni ya jumla (GTC), au nenosiri la mara moja la RSA (OTP)
Udhibiti wa Ufikiaji wa Kikundi cha Usalama
Sehemu hii hutoa maelezo kuhusu orodha za udhibiti wa ufikiaji wa kikundi cha usalama (SGACLs).
Vikundi vya Usalama na SGTs
Kikundi cha usalama ni kikundi cha watumiaji, vifaa vya mwisho na rasilimali zinazoshiriki sera za udhibiti wa ufikiaji. Vikundi vya usalama vinafafanuliwa na msimamizi katika Cisco ISE au Cisco Secure ACS. Watumiaji wapya na vifaa vinavyoongezwa kwenye kikoa cha Cisco TrustSec, seva ya uthibitishaji hugawa huluki hizi mpya kwa vikundi vinavyofaa vya usalama. Cisco TrustSec hukabidhi kwa kila kikundi cha usalama nambari ya kipekee ya kikundi cha usalama cha biti 16 ambacho upeo wake ni wa kimataifa ndani ya kikoa cha Cisco TrustSec. Idadi ya vikundi vya usalama kwenye kifaa ni mdogo kwa idadi ya huluki za mtandao zilizothibitishwa. Sio lazima kusanidi nambari za kikundi cha usalama mwenyewe.
Mara kifaa kinapothibitishwa, Cisco TrustSec tags pakiti yoyote ambayo inatoka kwa kifaa hicho na kikundi cha usalama tag (SGT) ambayo ina nambari ya kikundi cha usalama cha kifaa. Kifurushi hubeba SGT hii katika mtandao wote ndani ya kichwa cha Cisco TrustSec. SGT ni lebo moja ambayo huamua upendeleo wa chanzo ndani ya biashara nzima.
Kwa sababu SGT ina kikundi cha usalama cha chanzo, the tag inaweza kujulikana kama chanzo cha SGT. Kifaa lengwa pia kimepewa kikundi cha usalama (leo SG) ambacho kinaweza kurejelewa kwa urahisi kama kikundi lengwa. tag (DGT), ingawa pakiti halisi ya Cisco TrustSec tag haina nambari ya kikundi cha usalama ya kifaa lengwa.
Usaidizi wa ACL wa Kikundi cha Usalama
Orodha za udhibiti wa ufikiaji wa vikundi vya usalama (SGACLs) ni utekelezaji wa sera ambapo msimamizi anaweza kudhibiti shughuli zinazofanywa na mtumiaji, kulingana na kazi za kikundi cha usalama na rasilimali za lengwa. Utekelezaji wa sera ndani ya kikoa cha Cisco Trustsec unawakilishwa na mkusanyiko wa ruhusa, na nambari ya kikundi cha usalama cha chanzo kwenye mhimili mmoja na nambari ya kikundi cha usalama lengwa kwenye mhimili mwingine. Kila kisanduku kwenye mkusanyiko kina orodha iliyoagizwa ya SGACL, ambayo inabainisha ruhusa ambazo zinapaswa kutumika kwa pakiti zinazotoka kwa IP ya kikundi cha usalama cha chanzo na kuwa na IP lengwa ambalo ni la kikundi cha usalama lengwa.
SGACL hutoa utaratibu wa udhibiti wa ufikiaji usio na uraia kulingana na chama cha usalama au kikundi cha usalama tag thamani badala ya anwani za IP na vichungi. Kuna njia tatu za kutoa sera ya SGACL:
  • Utoaji wa sera tuli: Sera za SGACL hufafanuliwa na mtumiaji kwa kutumia amri cts ruhusa kulingana na jukumu.
  • Utoaji wa sera mahiri: Usanidi wa sera za SGACL unapaswa kufanywa hasa kupitia utendakazi wa usimamizi wa sera wa Cisco Secure ACS au Cisco Identity Services Engine.
  • Mabadiliko ya Uidhinishaji (CoA): Sera iliyosasishwa hupakuliwa wakati sera ya SGACL inarekebishwa kwenye ISE na CoA inasukumwa kwenye kifaa cha Cisco TrustSec.

    Ndege ya data ya kifaa hupokea pakiti za CoA kutoka kwa mtoa huduma wa sera (ISE) na kutumia sera hiyo kwenye pakiti za CoA. Kisha pakiti hizo hutumwa kwa ndege ya kudhibiti kifaa ambapo ngazi inayofuata ya utekelezaji wa sera hufanyika kwa pakiti za CoA zinazoingia. Kwa view habari ya kikabiliana na sera ya maunzi na programu, endesha amri ya kaunta zenye msingi wa jukumu la cts katika hali ya upendeleo ya EXEC.

Sera za SGACL
Kwa kutumia orodha za udhibiti wa ufikiaji wa kikundi cha usalama (SGACLs), unaweza kudhibiti shughuli ambazo watumiaji wanaweza kufanya kulingana na kazi za kikundi cha usalama za watumiaji na rasilimali za kulengwa. Utekelezaji wa sera ndani ya kikoa cha Cisco TrustSec unawakilishwa na mkusanyiko wa ruhusa, na nambari za vikundi vya usalama vya chanzo kwenye mhimili mmoja na nambari za kikundi cha usalama lengwa kwenye mhimili mwingine. Kila seli kwenye mwili wa matrix inaweza kuwa na orodha iliyoagizwa ya SGACL ambayo inabainisha ruhusa ambazo zinapaswa kutumika kwa pakiti zinazotoka kwa kikundi cha usalama cha chanzo na zinazolengwa kwa ajili ya kikundi cha usalama lengwa.
Takwimu ifuatayo inaonyesha wa zamaniample ya matrix ya ruhusa ya Cisco TrustSec kwa kikoa rahisi kilicho na majukumu matatu yaliyobainishwa ya mtumiaji na rasilimali moja iliyobainishwa. Sera tatu za SGACL hudhibiti ufikiaji wa seva lengwa kulingana na jukumu la mtumiaji.
Kielelezo cha 3: Matrix ya Sera ya SGACL Example
CISCO Trustsec Hujenga Mtandao Salama - Kielelezo 3
Kwa kukabidhi watumiaji na vifaa vilivyo ndani ya mtandao kwa vikundi vya usalama na kutumia udhibiti wa ufikiaji kati ya vikundi vya usalama, Cisco TrustSec inafanikisha udhibiti wa ufikiaji unaotegemea dhima-msingi wa topolojia ndani ya mtandao. Kwa sababu SGACLs hufafanua sera za udhibiti wa ufikiaji kulingana na vitambulisho vya kifaa badala ya anwani za IP kama ilivyo kwa ACL za kawaida, vifaa vya mtandao haviruhusiwi kuzunguka mtandaoni na kubadilisha anwani za IP.
Maadamu majukumu na ruhusa zinabaki sawa, mabadiliko ya topolojia ya mtandao hayabadilishi sera ya usalama. Mtumiaji anapoongezwa kwenye kifaa, unamkabidhi tu mtumiaji kwa kikundi kinachofaa cha usalama na mtumiaji hupokea vibali vya kikundi hicho mara moja.
Aikoni ya dokezoSera za SGACL zinatumika kwa trafiki inayozalishwa kati ya vifaa viwili vya seva pangishi, si kwa trafiki inayozalishwa kutoka kwa kifaa hadi kifaa cha seva pangishi.
Kutumia ruhusa kulingana na jukumu hupunguza sana ukubwa wa ACL na kurahisisha udumishaji wao. Kwa Cisco TrustSec, idadi ya maingizo ya udhibiti wa ufikiaji (ACEs) yaliyosanidiwa hubainishwa na idadi ya ruhusa iliyobainishwa, na kusababisha idadi ndogo zaidi ya ACE kuliko mtandao wa kawaida wa IP. Matumizi ya SGACL katika Cisco TrustSec kwa kawaida husababisha matumizi bora zaidi ya rasilimali za TCAM ikilinganishwa na ACL za jadi. Sera zisizozidi 17,500 za SGACL zinaweza kutumika kwenye Swichi za Mfululizo wa Catalyst 9500. Kwenye Swichi za Mfululizo wa Utendaji wa Juu wa Catalyst 9500, kiwango cha juu cha sera 28,224 za SGACL kinaweza kutumika.
Ingress Tagging na Egress Utekelezaji
Udhibiti wa ufikiaji wa Cisco TrustSec unatekelezwa kwa kutumia ingress tagging na egress utekelezaji. Katika hatua ya kuingia kwa kikoa cha Cisco TrustSec, trafiki kutoka kwa chanzo iko taginayotumiwa na SGT iliyo na nambari ya kikundi cha usalama cha huluki chanzo. SGT inaenezwa na trafiki katika kikoa. Katika hatua ya kutokea kwa kikoa cha Cisco TrustSec, kifaa cha egress hutumia chanzo cha SGT na nambari ya kikundi cha usalama cha huluki lengwa (lengwa la SG, au DGT) ili kubainisha sera ya ufikiaji itakayotumika kutoka kwa mkusanyiko wa sera ya SGACL.
Kielelezo kifuatacho kinaonyesha jinsi kazi ya SGT na utekelezaji wa SGACL unavyofanya kazi katika kikoa cha Cisco TrustSec.
Kielelezo cha 4: SGT na SGACL katika Kikoa cha Cisco TrustSec
CISCO Trustsec Hujenga Mtandao Salama - Kielelezo 4
  1. Kompyuta mwenyeji hupeleka pakiti kwa web seva. Ingawa PC na web seva sio washiriki wa kikoa cha Cisco TrustSec, njia ya data ya pakiti inajumuisha kikoa cha Cisco TrustSec.
  2. Kifaa cha ingress cha Cisco TrustSec hurekebisha pakiti ili kuongeza SGT yenye nambari ya kikundi cha usalama 3, nambari ya kikundi cha usalama kilichotolewa na seva ya uthibitishaji kwa Kompyuta mwenyeji.
  3. Kifaa cha Cisco TrustSec egress hutekeleza sera ya SGACL ambayo inatumika kwa kikundi cha chanzo cha 3 na kikundi lengwa cha 4, nambari ya kikundi cha usalama kilichotolewa na seva ya uthibitishaji kwa web seva.
  4. Ikiwa SGACL itaruhusu pakiti kusambazwa, swichi ya Cisco TrustSec egress itarekebisha pakiti ili kuondoa SGT na kupeleka mbele pakiti kwa web seva.
Kuamua Kikundi cha Usalama cha Chanzo
Kifaa cha mtandao kwenye ingress ya kikoa cha Cisco TrustSec lazima kibaini SGT ya pakiti inayoingia kwenye kikoa cha Cisco TrustSec ili kiweze. tag pakiti iliyo na SGT hiyo inapoipeleka mbele kwenye kikoa cha Cisco TrustSec. Kifaa cha mtandao wa egress lazima kibainishe SGT ya pakiti ili kutumia SGACL.
Kifaa cha mtandao kinaweza kuamua SGT kwa pakiti katika mojawapo ya mbinu zifuatazo:
  • Pata chanzo cha SGT wakati wa upataji wa sera—Baada ya awamu ya uthibitishaji wa Cisco TrustSec, kifaa cha mtandao hupata maelezo ya sera kutoka kwa seva ya uthibitishaji, ambayo huonyesha kama kifaa kingine kinaaminika au la. Ikiwa kifaa cha programu zingine hakiaminiki, basi seva ya uthibitishaji inaweza pia kutoa SGT ya kutumia kwa pakiti zote zinazotoka kwenye kifaa cha programu zingine.
  • Pata chanzo cha SGT kutoka kwa pakiti—Ikiwa pakiti inatoka kwa kifaa rika kinachoaminika, pakiti hiyo hubeba SGT. Hii inatumika kwa kifaa cha mtandao ambacho si kifaa cha kwanza cha mtandao katika kikoa cha Cisco TrustSec kwa pakiti.
  • Tafuta chanzo cha SGT kulingana na utambulisho wa chanzo—With Identity Port Mapping (IPM), unaweza kusanidi kiungo ukitumia utambulisho wa programu rika iliyounganishwa. Kifaa cha mtandao huomba maelezo ya sera, ikijumuisha SGT na hali ya uaminifu, kutoka kwa seva ya uthibitishaji.
  • Tafuta chanzo cha SGT kulingana na anwani ya IP ya chanzo—Katika hali nyingine, unaweza kusanidi sera wewe mwenyewe ili kuamua SGT ya pakiti kulingana na anwani yake ya IP ya chanzo. SGT Exchange Protocol (SXP) pia inaweza kujaza jedwali la ramani ya IP-anwani-kwa-SGT.
Kuamua Kikundi cha Usalama Lengwa
Kifaa cha mtandao cha egress katika kikoa cha Cisco TrustSec huamua kikundi lengwa (DGT) cha kutumia SGACL. Kifaa cha mtandao huamua kikundi cha usalama cha pakiti kwa kutumia mbinu zile zile zinazotumika kubainisha kikundi cha usalama cha chanzo, isipokuwa kupata nambari ya kikundi kutoka kwa pakiti. tag. Nambari ya kikundi cha usalama lengwa haijajumuishwa kwenye pakiti tag.
Katika baadhi ya matukio, vifaa vya ingress au vifaa vingine visivyotoka vinaweza kuwa na maelezo ya kikundi lengwa yanayopatikana. Katika hali hizo, SGACL zinaweza kutumika katika vifaa hivi badala ya vifaa vya egress.
Utekelezaji wa SGACL kwenye Trafiki Iliyopitishwa na Kubadilishwa
Utekelezaji wa SGACL unatumika tu kwenye trafiki ya IP, lakini utekelezaji unaweza kutumika kwa trafiki inayopitika au iliyobadilishwa.
Kwa trafiki iliyopitiwa, utekelezaji wa SGACL unafanywa na swichi ya egress, kwa kawaida swichi ya usambazaji au swichi ya ufikiaji yenye mlango unaopitisha unaounganisha kwa seva pangishi lengwa. Unapowasha utekelezaji wa SGACL duniani kote, utekelezaji huwashwa kiotomatiki kwenye kila kiolesura cha Tabaka la 3 isipokuwa violesura vya SVI.
Kwa trafiki iliyobadilishwa, utekelezaji wa SGACL unatekelezwa kwa trafiki inayopita ndani ya kikoa kimoja cha kubadili bila utendakazi wowote wa kuelekeza. Examphii itakuwa utekelezaji wa SGACL unaotekelezwa na swichi ya ufikiaji wa kituo cha data kwenye trafiki ya seva hadi seva kati ya seva mbili zilizounganishwa moja kwa moja. Katika hii exampna, trafiki ya seva hadi seva kwa kawaida inaweza kubadilishwa. Utekelezaji wa SGACL unaweza kutumika kwa pakiti zilizowashwa ndani ya VLAN au kutumwa kwa SVI inayohusishwa na VLAN, lakini utekelezaji lazima uwezeshwe kwa uwazi kwa kila VLAN.
Uwekaji Magogo wa SGACL na Takwimu za ACE
Wakati kuingia kumewezeshwa katika SGACL, kifaa huweka taarifa zifuatazo:
  • Kikundi cha usalama cha chanzo tag (SGT) na marudio ya SGT
  • Jina la sera ya SGACL
  • Aina ya itifaki ya pakiti
  • Kitendo kilichofanywa kwenye pakiti
Chaguo la kumbukumbu hutumika kwa ACE binafsi na husababisha pakiti zinazolingana na ACE kuandikishwa. Pakiti ya kwanza iliyoingia na neno kuu la logi hutoa ujumbe wa syslog. Ujumbe wa kumbukumbu unaofuata hutolewa na kuripotiwa kwa vipindi vya dakika tano. Ikiwa ACE iliyowezeshwa kuingia inalingana na pakiti nyingine (yenye sifa zinazofanana na pakiti iliyotoa ujumbe wa kumbukumbu), idadi ya pakiti zinazolingana huongezwa (kaunta) na kisha kuripotiwa.
Ili kuwezesha kuingia, tumia nenomsingi la kumbukumbu mbele ya ufafanuzi wa ACE katika usanidi wa SGACL. Kwa mfanoample, ruhusu logi ya ip.
Wakati kuingia kwa SGACL kumewashwa, ujumbe wa Ombi la ICMP kutoka kwa kifaa hadi kwa mteja haujaingia
IPv4 na IPv6 itifaki. Hata hivyo; Ujumbe wa Majibu wa ICMP kutoka kwa mteja hadi kwa kifaa umeingia.
Ifuatayo ni kamaample log, inayoonyesha SGT za chanzo na lengwa, mechi za ACE (kwa kibali au kunyimwa hatua), na itifaki, ambayo ni, TCP, UDP, IGMP, na taarifa ya ICMP:
*Jun 2 08:58:06.489: %C4K_IOSINTF-6-SGACHIT: list deny_udp_src_port_log-30 Imekataliwa udp 24.0.0.23(100) -> 28.0.0.91(100), SGT8 DGT
Kwa kuongeza takwimu zilizopo za 'per cell' za SGACL, ambazo zinaweza kuonyeshwa kwa kutumia dhima ya show cts.
counters amri, unaweza pia kuonyesha takwimu za ACE, kwa kutumia amri ya sgacl_name ya orodha ya ufikiaji wa ip. Hakuna usanidi wa ziada unaohitajika kwa hili.
Ex ifuatayoample inaonyesha jinsi unavyoweza kutumia amri ya orodha ya ufikiaji ya ip kuonyesha hesabu ya ACE
Kifaa# kinaonyesha udhibiti wa ufikiaji wa ip deny_udp_src_port_log-30
Orodha ya ufikiaji wa IP yenye msingi wa jukumu deny_udp_src_port_log-30 (imepakuliwa)
10 wanakataa udp src eq logi 100 (mechi 283)
logi 20 za kibali cha ip (mechi 50)
Aikoni ya dokezoWakati trafiki inayoingia inalingana na seli, lakini hailingani na SGACL ya seli, trafiki inaruhusiwa na vihesabio huongezwa kwenye Kibali cha HW cha kisanduku.
Ex ifuatayoample inaonyesha jinsi SGACL ya seli inavyofanya kazi:
Sera ya SGACL imesanidiwa kutoka 5 hadi 18 kwa "kataa mwangwi wa icmp" na kuna trafiki inayoingia kutoka 5 hadi 18 yenye kichwa cha TCP. Ikiwa kisanduku kinalingana na 5 hadi 18 lakini trafiki hailingani na icmp, trafiki itaruhusiwa na kaunta ya Ruhusa ya HW ya kisanduku 5 hadi 18 itaongezwa.
CISCO Trustsec Hujenga Mtandao Salama - Sera ya SGACL imesanidiwa kutoka 5 hadi 18 na "kataa mwangwi wa icmp
Uwekaji Magogo wa SGACL unaofahamu VRF
Kumbukumbu za mfumo wa SGACL zitajumuisha taarifa za VRF. Mbali na sehemu ambazo zimeingia kwa sasa, taarifa ya ukataji miti itajumuisha jina la VRF. Taarifa iliyosasishwa ya ukataji miti itakuwa kama inavyoonyeshwa hapa chini:
*Nov 15 02:18:52.187: %RBM-6-SGACHIT_V6: ingress_interface='GigabitEthernet1/0/15′ sgacl_name='IPV6_TCP_DENY' action='Kataa' itifaki='tcp' src-vrf='src-vrf='s -ip='25::2′ src-bandari='20'
dest-vrf=’CTS-VRF’ dest-ip=’49::2′ des-port=’30’ sgt=’200′ dgt=’500′ logging_interval_hits=’1′
Njia ya Ufuatiliaji ya SGACL
Wakati wa awamu ya awali ya utumaji wa Cisco TrustSec, msimamizi atatumia modi ya ufuatiliaji ili kujaribu sera za usalama bila kuzitekeleza ili kuhakikisha kuwa sera zinafanya kazi jinsi inavyokusudiwa. Ikiwa sera za usalama hazifanyi kazi inavyokusudiwa, modi ya ufuatiliaji hutoa mbinu rahisi ya kutambua hilo na hutoa fursa ya kurekebisha sera kabla ya kuwezesha utekelezaji wa SGACL. Hii inawawezesha wasimamizi kuwa na mwonekano zaidi wa matokeo ya hatua za sera kabla ya kuitekeleza, na kuthibitisha kuwa sera ya somo inakidhi mahitaji ya usalama (ufikiaji hautakataliwa kwa rasilimali ikiwa watumiaji hawafanyi hivyo.
iliyoidhinishwa).
Uwezo wa ufuatiliaji umetolewa katika kiwango cha jozi cha SGT-DGT. Unapowasha kipengele cha modi ya ufuatiliaji ya SGACL, kitendo cha kukataa kinatekelezwa kama kibali cha ACL kwenye kadi za laini. Hii inaruhusu kaunta za SGACL na uwekaji kumbukumbu kuonyesha jinsi miunganisho inavyoshughulikiwa na sera ya SGACL. Kwa kuwa trafiki yote inayofuatiliwa inaruhusiwa, hakuna usumbufu wa huduma kutokana na SGACL ukiwa katika modi ya ufuatiliaji wa SGACL.
Uidhinishaji na Upataji wa Sera
Baada ya uthibitishaji wa kifaa kuisha, mwombaji na kithibitishaji hupata sera ya usalama kutoka kwa seva ya uthibitishaji. Vijana hawa wawili kisha kutekeleza uidhinishaji wa kiungo na kutekeleza sera ya usalama ya viungo dhidi ya kila mmoja kulingana na Vitambulisho vyao vya kifaa vya Cisco TrustSec. Mbinu ya uthibitishaji wa kiungo inaweza kusanidiwa kama 802.1X au uthibitishaji wa mwongozo. Ikiwa usalama wa kiungo ni 802.1X, kila programu rika hutumia kitambulisho cha kifaa kilichopokelewa kutoka kwa seva ya uthibitishaji. Ikiwa usalama wa kiungo ni wa mtu binafsi, ni lazima ukabidhi vitambulisho vya kifaa rika.
Seva ya uthibitishaji hurejesha sifa zifuatazo za sera:
  • Cisco TrustSec trust—Inaonyesha kama kifaa rika kinaweza kuaminiwa kwa madhumuni ya kuweka SGT kwenye pakiti.
  • SGT Rika—Inaonyesha kundi la usalama ambalo rika linapatikana. Ikiwa rika haaminiki, pakiti zote zilizopokelewa kutoka kwa rika ni tagna SGT hii. Ikiwa kifaa hakijui ikiwa SGACL zozote zinahusishwa na SGT ya programu zingine, kifaa kinaweza kutuma ombi la ufuatiliaji kwa seva ya uthibitishaji ili kupakua SGACL.
  • Muda wa mwisho wa idhini—Huonyesha idadi ya sekunde kabla ya sera kuisha. Kifaa cha Cisco TrustSec kinapaswa kuonyesha upya sera na uidhinishaji wake kabla hakijaisha. Kifaa kinaweza kuweka akiba ya uthibitishaji na data ya sera na kuitumia tena baada ya kuwasha upya ikiwa data haijaisha muda wake.
Aikoni ya dokezo Kila kifaa cha Cisco TrustSec kinafaa kuauni sera ndogo ya ufikiaji chaguomsingi ikiwa hakiwezi kuwasiliana na seva ya uthibitishaji ili kupata sera inayofaa kwa programu rika.
Mchakato wa mazungumzo ya NDAC na SAP umeonyeshwa kwenye kielelezo kifuatacho
Kielelezo cha 5: Majadiliano ya NDAC na SAP
CISCO Trustsec Hujenga Mtandao Salama - Kielelezo 5
Upakuaji wa Data ya Mazingira
Data ya mazingira ya Cisco TrustSec ni mkusanyiko wa maelezo au sera zinazosaidia kifaa kufanya kazi kama nodi ya Cisco TrustSec. Kifaa hupata data ya mazingira kutoka kwa seva ya uthibitishaji wakati kifaa kinapojiunga na kikoa cha Cisco TrustSec, ingawa unaweza pia kusanidi mwenyewe baadhi ya data kwenye kifaa. Kwa mfanoampna, lazima usanidi kifaa cha mbegu cha Cisco TrustSec na maelezo ya seva ya uthibitishaji, ambayo yanaweza kuongezwa baadaye na orodha ya seva ambayo kifaa hupata kutoka kwa seva ya uthibitishaji.
Ni lazima kifaa kionyesha upya data ya mazingira ya Cisco TrustSec kabla ya muda wake kuisha. Kifaa pia kinaweza kuweka akiba ya data ya mazingira na kuitumia tena baada ya kuwasha upya ikiwa data haijaisha muda wake.
Kifaa kinatumia RADIUS kupata data ifuatayo ya mazingira kutoka kwa seva ya uthibitishaji:
  • Orodha za seva: Orodha ya seva ambazo mteja anaweza kutumia kwa maombi ya baadaye ya RADIUS (kwa uthibitishaji na uidhinishaji). Kuonyesha upya PAC hufanyika kupitia seva hizi.
  • Kifaa SG: Kikundi cha usalama ambacho kifaa chenyewe ni mali.
  • Muda umekwisha: Muda unaodhibiti ni mara ngapi kifaa cha Cisco TrustSec kinapaswa kuonyesha upya data yake ya mazingira.
Utendaji wa Usambazaji wa RADIUS
Kifaa kinachotekeleza jukumu la uthibitishaji wa Cisco TrustSec katika mchakato wa uthibitishaji wa 802.1X kina muunganisho wa IP kwenye seva ya uthibitishaji, kikiruhusu kifaa kupata sera na uidhinishaji kutoka kwa seva ya uthibitishaji kwa kubadilishana ujumbe wa RADIUS kupitia UDP/IP. Huenda kifaa kinachoomba hakina muunganisho wa IP na seva ya uthibitishaji. Katika hali kama hizi, Cisco TrustSec inaruhusu kithibitishaji kufanya kazi kama upeanaji wa RADIUS kwa mwombaji.
Mwombaji hutuma ujumbe maalum wa EAPOL kwa kithibitishaji ambacho kina anwani ya IP ya seva ya RADIUS na bandari ya UDP na ombi kamili la RADIUS. Kithibitishaji hutoa ombi la RADIUS kutoka kwa ujumbe uliopokewa wa EAPOL na kuutuma kupitia UDP/IP hadi kwenye seva ya uthibitishaji. Wakati jibu la RADIUS linaporudi kutoka kwa seva ya uthibitishaji, kithibitishaji hupeleka ujumbe kwa mwombaji, uliowekwa ndani ya fremu ya EAPOL.
Usalama wa Kiungo
Wakati pande zote mbili za kiungo zinaunga mkono 802.1AE Media Access Control Security (MACsec), mazungumzo ya itifaki ya chama cha usalama (SAP) yanafanywa. Ubadilishanaji wa Ufunguo wa EAPOL hutokea kati ya mwombaji na kithibitishaji ili kujadiliana na suti ya siri, kubadilishana vigezo vya usalama, na kudhibiti funguo. Kukamilika kwa mafanikio kwa kazi zote tatu kunasababisha kuanzishwa kwa chama cha usalama (SA).
Kulingana na toleo lako la programu, utoaji leseni ya crypto, na usaidizi wa maunzi ya kiungo, mazungumzo ya SAP yanaweza kutumia mojawapo ya njia zifuatazo za uendeshaji:
  • Hali ya Galois/Counter (GCM)—Hubainisha uthibitishaji na usimbaji fiche
  • Uthibitishaji wa GCM (GMAC)—Hubainisha uthibitishaji na hakuna usimbaji fiche
  • Hakuna Usimbaji-Hubainisha hakuna usimbaji (maandishi wazi)
  • Null—Hubainisha usimbaji, hakuna uthibitishaji na hakuna usimbaji fiche
Njia zote isipokuwa No Encapsulation zinahitaji maunzi yenye uwezo wa Cisco TrustSec.
Inasanidi SAP-PMK kwa Usalama wa Kiungo
CISCO Trustsec Inaunda Mtandao Salama - Inasanidi SAP-PMK kwa Usalama wa Kiungo
CISCO Trustsec Inaunda Mtandao Salama - Inasanidi SAP-PMK kwa Usalama wa Kiungo 2
SXP ya Uenezi wa SGT Katika Mitandao Yote ya Ufikiaji wa Urithi
Tagpakiti za ging zilizo na SGT zinahitaji usaidizi wa maunzi. Unaweza kuwa na vifaa kwenye mtandao wako ambavyo, ingawa vina uwezo wa kushiriki katika uthibitishaji wa Cisco TrustSec, vinakosa uwezo wa maunzi tag pakiti na
SGTs. Kwa kutumia Itifaki ya Kubadilishana ya SGT (SXP), vifaa hivi vinaweza kupitisha mipangilio ya IP-anwani-kwa-SGT kwenye kifaa cha rika cha Cisco TrustSec ambacho kina maunzi yanayoweza kutumia Cisco TrustSec.

SXP kwa kawaida hufanya kazi kati ya vifaa vya safu ya ufikiaji kwenye ukingo wa kikoa cha Cisco TrustSec na vifaa vya safu ya usambazaji ndani ya kikoa cha Cisco TrustSec. Kifaa cha safu ya ufikiaji hutekeleza uthibitishaji wa Cisco TrustSec wa vifaa vya chanzo cha nje ili kubaini SGT zinazofaa kwa pakiti zinazoingia. Kifaa cha safu ya ufikiaji hujifunza anwani za IP za vifaa chanzo kwa kutumia ufuatiliaji wa kifaa cha IP na (hiari) kuchungulia kwa DHCP, kisha hutumia SXP kupitisha anwani za IP za vifaa chanzo pamoja na SGT zake kwenye vifaa vya usambazaji.
Vifaa vya usambazaji vilivyo na maunzi yenye uwezo wa Cisco TrustSec vinaweza kutumia maelezo haya ya ramani ya IP-to-SGT tag pakiti ipasavyo na kutekeleza sera za SGACL.

Kielelezo cha 6: Itifaki ya SXP ya Kueneza Taarifa za SGT
CISCO Trustsec Hujenga Mtandao Salama - Kielelezo 6
Lazima usanidi mwenyewe muunganisho wa SXP kati ya programu rika bila usaidizi wa maunzi wa Cisco TrustSec na programu rika iliyo na usaidizi wa maunzi wa Cisco TrustSec. Kazi zifuatazo zinahitajika wakati wa kusanidi muunganisho wa SXP:
  • Ikiwa unahitaji uadilifu na uthibitishaji wa data ya SXP, lazima usanidi nenosiri sawa la SXP kwenye vifaa vyote viwili. Unaweza kusanidi nenosiri la SXP kwa uwazi kwa kila muunganisho wa programu zingine au kimataifa kwa kifaa. Ingawa nenosiri la SXP halihitajiki, tunapendekeza matumizi yake.
  • Ni lazima usanidi kila programu rika kwenye muunganisho wa SXP kama spika ya SXP au kisikilizaji cha SXP. Kifaa cha spika husambaza maelezo ya ramani ya IP-to-SGT kwa kifaa cha msikilizaji.
  • Unaweza kubainisha anwani ya IP ya chanzo ya kutumia kwa kila uhusiano wa programu rika au unaweza kusanidi anwani ya IP ya chanzo chaguo-msingi kwa miunganisho ya programu zingine ambapo hujasanidi anwani mahususi ya chanzo cha IP. Ikiwa hutataja anwani yoyote ya IP ya chanzo, kifaa kitatumia anwani ya IP ya interface ya uunganisho kwa rika.
SXP inaruhusu humle nyingi. Hiyo ni, ikiwa rika la kifaa kisicho na usaidizi wa vifaa vya Cisco TrustSec pia haina usaidizi wa vifaa vya Cisco TrustSec, rika la pili linaweza kuwa na muunganisho wa SXP kwa rika la tatu, kuendelea kueneza habari ya ramani ya IP-to-SGT hadi vifaa- mwenzi mwenye uwezo anafikiwa. Kifaa kinaweza kusanidiwa kama kisikilizaji cha SXP kwa muunganisho mmoja wa SXP kama spika ya SXP kwa muunganisho mwingine wa SXP.
Kifaa cha Cisco TrustSec hudumisha muunganisho na zana zake za SXP kwa kutumia utaratibu wa kuweka hai wa TCP.
Ili kuanzisha au kurejesha muunganisho wa programu zingine, kifaa kitajaribu kusanidi muunganisho mara kwa mara kwa kutumia kipindi cha kujaribu tena kinachoweza kusanidiwa hadi muunganisho ufanikiwe au hadi muunganisho utolewe kwenye usanidi.
Usafiri wa Tabaka 3 wa SGT kwa Mikoa Isiyo ya TrustSec
Pakiti inapoondoka kwenye kikoa cha Cisco TrustSec kwa lengwa lisilo la TrustSec, kifaa kinachotoka cha Cisco TrustSec huondoa kichwa cha Cisco TrustSec na SGT kabla ya kusambaza pakiti kwa mtandao wa nje. Ikiwa, hata hivyo, pakiti inapitia tu kikoa kisicho cha TrustSec kwenye njia ya kwenda kwenye kikoa kingine cha Cisco TrustSec, kama inavyoonyeshwa kwenye mchoro ufuatao, SGT inaweza kuhifadhiwa kwa kutumia kipengele cha Usafiri cha Cisco TrustSec Layer 3 SGT. Katika kipengele hiki, kifaa cha egress Cisco TrustSec hujumuisha pakiti kwa kichwa cha ESP ambacho kinajumuisha nakala ya SGT. Wakati pakiti iliyoambatanishwa inafika kwenye kikoa kinachofuata cha Cisco TrustSec, kifaa cha Cisco TrustSec huondoa usimbaji wa ESP na kueneza pakiti kwa SGT yake.
Kielelezo cha 7: Inajumuisha kikoa cha Non-TrustSec
CISCO Trustsec Hujenga Mtandao Salama - Kielelezo 7
Ili kutumia Cisco TrustSec Layer 3 SGT Transport, kifaa chochote kitakachofanya kazi kama lango la Cisco TrustSec au kuingia kwenye Tabaka 3 lazima kidumishe hifadhidata ya sera ya trafiki inayoorodhesha subnet zinazostahiki katika vikoa vya mbali vya Cisco TrustSec pamoja na nyavu zozote zisizojumuishwa ndani ya maeneo hayo. Unaweza kusanidi hifadhidata hii mwenyewe kwenye kila kifaa ikiwa haiwezi kupakuliwa kiotomatiki kutoka kwa Cisco Secure ACS.
Kifaa kinaweza kutuma data ya Layer 3 SGT Transport kutoka lango moja na kupokea data ya Layer 3 SGT Transport kwenye mlango mwingine, lakini milango ya kuingia na kutoka lazima iwe na maunzi ya Cisco TrustSec.
Aikoni ya dokezo Cisco TrustSec haisimbi kwa njia fiche pakiti za Usafirishaji za Tabaka 3 za SGT. Ili kulinda pakiti zinazopitia kikoa kisicho cha TrustSec, unaweza kusanidi mbinu zingine za ulinzi, kama vile IPsec.
VRF-Aware SXP
Utekelezaji wa SXP wa Usambazaji na Usambazaji Mtandaoni (VRF) hufunga muunganisho wa SXP na VRF mahususi. Inachukuliwa kuwa topolojia ya mtandao imesanidiwa ipasavyo kwa Tabaka 2 au Tabaka 3 za VPN, na VRF zote zimesanidiwa kabla ya kuwezesha Cisco TrustSec.
Msaada wa SXP VRF unaweza kufupishwa kama ifuatavyo:
  • Muunganisho mmoja pekee wa SXP unaweza kuunganishwa kwa VRF moja.
  • VRF tofauti zinaweza kuwa na anwani za IP zinazopishana za SXP au chanzo.
  • Mipangilio ya IP-SGT iliyojifunza (kuongezwa au kufutwa) katika VRF moja inaweza kusasishwa tu katika kikoa sawa cha VRF.
    Muunganisho wa SXP hauwezi kusasisha ramani iliyofungamana na VRF tofauti. Ikiwa hakuna muunganisho wa SXP unaoondoka kwa VRF, mipangilio ya IP-SGT ya VRF hiyo haitasasishwa na SXP.
  • Familia nyingi za anwani kwa kila VRF zinaweza kutumika. Kwa hivyo, muunganisho mmoja wa SXP katika kikoa cha VRF unaweza kusambaza ramani za IPV4 na IPV6 IP-SGT.
  • SXP haina kikomo kwa idadi ya miunganisho na idadi ya upangaji wa IP-SGT kwa kila VRF.
Tabaka la 2 la VRF-Aware SXP na Mgawo wa VRF
Kazi za VRF hadi Tabaka 2 za VLAN zimebainishwa na amri ya usanidi ya kimataifa ya cts l2-vrf vrf-name vlan-list. VLAN inachukuliwa kuwa VLAN ya Tabaka 2 mradi tu hakuna kiolesura cha kubadili mtandaoni (SVI) kilicho na anwani ya IP iliyosanidiwa kwenye VLAN. VLAN inakuwa Tabaka 3 VLAN mara tu anwani ya IP inaposanidiwa kwenye SVI yake.
Kazi za VRF zilizosanidiwa na cts role-based l2-vrf amri ni amilifu mradi tu VLAN ibaki kuwa VLAN ya Tabaka 2. Vifungo vya IP-SGT vilivyojifunza wakati kazi ya VRF inatumika pia huongezwa kwenye jedwali la Msingi wa Taarifa ya Usambazaji (FIB) inayohusishwa na VRF na toleo la itifaki ya IP. Iwapo SVI itatumika kwa VLAN, ugawaji wa VRF hadi VLAN unakuwa hautumiki na vifungo vyote vinavyojifunza kwenye VLAN vinahamishwa hadi kwenye jedwali la FIB linalohusishwa na VRF ya SVI.
Mgawo wa VRF hadi VLAN hubakizwa hata kazi inapoacha kutumika. Inawashwa tena wakati SVI imeondolewa au wakati anwani ya IP ya SVI imebadilishwa. Inapowashwa tena, vifungo vya IP-SGT vinarudishwa nyuma kutoka kwa jedwali la FIB linalohusishwa na VRF ya SVI hadi jedwali la FIB linalohusishwa na VRF iliyopewa na amri ya cts-based l2-vrf.
Historia ya kipengele kwa Cisco TrustSec Zaidiview
Jedwali hili linatoa taarifa na taarifa zinazohusiana kwa vipengele vilivyoelezwa katika moduli hii.
Vipengele hivi vinapatikana katika matoleo yote baada ya yale waliyotambulishwa, isipokuwa kama ifahamike vinginevyo.
CISCO Trustsec Huunda Mtandao Salama - Historia ya Kipengele kwa Cisco TrustSec Zaidiview
Tumia Kirambazaji cha Kipengele cha Cisco ili kupata taarifa kuhusu usaidizi wa picha ya jukwaa na programu. Ili kufikia
Cisco Feature Navigator, nenda kwa http://www.cisco.com/go/cfn.

Nyaraka / Rasilimali

CISCO Trustsec Hujenga Mtandao Salama [pdf] Mwongozo wa Mtumiaji
Trustsec Hujenga Mtandao Salama, Trustsec, Hujenga Mtandao Salama, Mtandao Salama, Mtandao

Marejeleo

Acha maoni

Barua pepe yako haitachapishwa. Sehemu zinazohitajika zimetiwa alama *