CISCO Trustsec бехатар месозад
 Дастури корбари шабака
CISCO Trustsec дастури корбарии шабакаи бехатарро месозадCisco TrustSec шабакаҳои бехатарро тавассути таъсиси доменҳои дастгоҳҳои шабакавии боэътимод месозад. Ҳар як дастгоҳи домен аз ҷониби ҳамсолонаш тасдиқ карда мешавад. Алоқа дар робитаҳои байни дастгоҳҳои домен бо маҷмӯи рамзгузорӣ, тафтиши якпорчагии паёмҳо ва механизмҳои муҳофизати такрории маълумот таъмин карда мешавад.
Маҳдудиятҳо барои Cisco TrustSec
  • Таъмини эътимоднокии дастрасии ҳифзшуда (PAC) ноком мешавад ва дар ҳолати овезон боқӣ мемонад, вақте ки ID-и дастгоҳи нодуруст муайян карда мешавад. Ҳатто пас аз тоза кардани PAC ва танзим кардани ID ва пароли дурусти дастгоҳ, PAC то ҳол ноком мешавад.
    Ҳамчун як роҳи ҳал, дар муҳаррики Cisco Identity Services (ISE), Бекор кардани мизоҷҳои ғайриоддӣ қайдро хориҷ кунед.
    имконоти дар Маъмурият> Система> Танзимотҳо> Протоколҳо> Менюи Радиус барои кор кардани PAC.
  • Cisco TrustSec дар реҷаи FIPS дастгирӣ намешавад.
  • Маҳдудиятҳои зерин танҳо ба модели C9500X-28C8D коммутаторҳои Cisco Catalyst 9500 Series татбиқ мешаванд:
    • Конфигуратсияи дастӣ Cisco TrustSec дастгирӣ намешавад.
    • Фаъолияти Протоколи Ассотсиатсияи Амнияти Cisco TrustSec (SAP) дастгирӣ намешавад.
    • Encapsulation сарлавҳаи метадата Cisco TrustSec дастгирӣ намешавад.
Мундариҷа пинҳон
1 Маълумот дар бораи Cisco TrustSec Architecture
2 Ҳуҷҷатҳо / Сарчашмаҳо
2.1 Иқтибосҳо

Маълумот дар бораи Cisco TrustSec Architecture

Меъмории амнияти Cisco TrustSec тавассути таъсиси доменҳои дастгоҳҳои шабакаи боэътимод шабакаҳои бехатарро месозад. Ҳар як дастгоҳи домен аз ҷониби ҳамсолонаш тасдиқ карда мешавад. Алоқа дар робитаҳои байни дастгоҳҳои домен бо маҷмӯи рамзгузорӣ, тафтиши якпорчагии паёмҳо ва механизмҳои муҳофизати такрории маълумот таъмин карда мешавад. Cisco TrustSec дастгоҳ ва маълумоти корбареро, ки ҳангоми тасдиқи аутентификатсия гирифта шудаанд, барои тасниф кардани бастаҳо аз рӯи гурӯҳҳои амниятӣ (SGs) ҳангоми ворид шудан ба шабака истифода мебарад. Ин таснифоти бастаҳо аз ҷониби tagбастаҳо ҳангоми ворид шудан ба шабакаи Cisco TrustSec, то ки онҳо бо мақсади татбиқи амният ва дигар меъёрҳои сиёсат дар роҳи маълумот дуруст муайян карда шаванд. Дар tag, гурӯҳи амниятӣ номида шуд tag (SGT), ба шабака имкон медиҳад, ки сиёсати назорати дастрасиро тавассути имкон додани дастгоҳи ниҳоӣ барои филтр кардани трафик дар SGT амал кунад.
Нишонаи қайдИстинодҳои Cisco TrustSec IEEE 802.1X дар платформаҳое, ки дар Cisco IOS XE Denali дастгирӣ мешаванд, дастгирӣ намешаванд
(16.1.x то 16.3.x), Cisco IOS XE Everest (16.4.x то 16.6.x) ва Cisco IOS XE Fuji (16.7.x то 16.9.x) мебарорад ва аз ин рӯ танҳо Authenticator дастгирӣ мешавад; дархосткунанда дастгирӣ намешавад.
Меъмории Cisco TrustSec се ҷузъи калидиро дар бар мегирад:
  • Инфрасохтори шабакавии тасдиқшуда - Пас аз он ки дастгоҳи аввал (дастгоҳи тухмӣ номида мешавад) бо сервери аутентификатсия барои оғоз кардани домени Cisco TrustSec аутентификатсия карда мешавад, ҳар як дастгоҳи наве, ки ба домен илова карда мешавад, аз ҷониби дастгоҳҳои ҳамсолаш аллакай дар дохили домен тасдиқ карда мешавад. Ҳамсолон ҳамчун миёнарав барои сервери аутентификатсияи домен амал мекунанд. Ҳар як дастгоҳи нав тасдиқшуда аз ҷониби сервери аутентификатсия гурӯҳбандӣ карда мешавад ва дар асоси шахсият, нақш ва ҳолати бехатарии он рақами гурӯҳи амниятӣ таъин карда мешавад.
  • Назорати дастрасӣ ба гурӯҳи амниятӣ - Сиёсати дастрасӣ дар домени Cisco TrustSec аз топология мустақил буда, ба нақшҳои (тавре ки бо рақами гурӯҳи амниятӣ нишон дода шудааст) дастгоҳҳои манбаъ ва таъинот, на ба суроғаҳои шабака асос ёфтааст. Бастаҳои инфиродӣ мебошанд tagбо рақами гурӯҳи амниятии манбаъ.
  • Алоқаи бехатар - Бо сахтафзори дорои рамзгузорӣ, иртибот дар ҳар як пайванди байни дастгоҳҳои домен метавонад бо маҷмӯи рамзгузорӣ, тафтиши якпорчагии паёмҳо ва механизмҳои муҳофизати такрории маълумотҳо таъмин карда шавад.
Дар расми зерин собиқ нишон дода шудаастample аз домени Cisco TrustSec. Дар ин собикample, якчанд дастгоҳҳои шабакавӣ ва дастгоҳи ниҳоӣ дар дохили домени Cisco TrustSec мебошанд. Як дастгоҳи нуқтаи ниҳоӣ ва як дастгоҳи шабакавӣ берун аз доменанд, зеро онҳо дастгоҳҳои бо Cisco TrustSec қобили қабул нестанд ё аз сабаби он ки дастрасӣ ба онҳо рад карда шудааст. Сервери аутентификатсия берун аз домени Cisco TrustSec ҳисобида мешавад; он ё як Engine Service Cisco Identities (Cisco ISE) ё системаи Cisco Secure Control Access (Cisco ACS) мебошад.
Тасвири 1: Домени шабакавии Cisco TrustSec Example
CISCO Trustsec шабакаи бехатарро месозад - Расми 1
Ҳар як иштирокчии раванди аутентификатсияи Cisco TrustSec дар яке аз нақшҳои зерин амал мекунад:
  • Аризакунанда — Дастгоҳи тасдиқнашуда, ки ба ҳамсол дар дохили домени Cisco TrustSec пайваст шудааст ва кӯшиш мекунад, ки ба домени Cisco TrustSec ҳамроҳ шавад.
  • Сервери аутентификатсия — Сервере, ки шахсияти дархосткунандаро тасдиқ мекунад ва сиёсатҳоеро мебарорад, ки дастрасии дархосткунандаро ба хадамот дар дохили домени Cisco TrustSec муайян мекунад.
  • Аутентификатор — Дастгоҳи тасдиқшуда, ки аллакай қисми домени Cisco TrustSec аст ва метавонад дархосткунандагони навро аз номи сервери аутентификатсия тасдиқ кунад.
Вақте ки робитаи байни дархосткунанда ва аутентификатор бори аввал пайдо мешавад, одатан пайдарпайии зерини рӯйдодҳо рух медиҳанд:
  1. Аутентификатсия (802.1X) — Аризакунанда аз ҷониби сервери аутентификатсия тасдиқ карда мешавад ва аутентификатор ҳамчун миёнарав амал мекунад. Аутентификатсияи мутақобила байни ду ҳамсол (дархосткунанда ва аутентификатор) анҷом дода мешавад.
  2. Авторизатсия — Бар асоси маълумоти шахсияти дархосткунанда, сервери аутентификатсия ба ҳар як ҳамсолони алоқаманд сиёсатҳои иҷозатдиҳӣ, аз қабили супоришҳои гурӯҳи амниятӣ ва ACLҳоро пешниҳод мекунад. Сервери аутентификатсия шахсияти ҳар як ҳамсолро ба якдигар таъмин мекунад ва ҳар як ҳамсол пас аз он сиёсати мувофиқро барои истинод татбиқ мекунад.
  3. Музокироти Протоколи Ассотсиатсияи Амният (SAP) — Ҳангоме ки ҳарду ҷониби пайванд рамзкунониро дастгирӣ мекунанд, дархосткунанда ва аутентификатор параметрҳои заруриро барои таъсиси ассотсиатсияи амниятӣ (SA) гуфтушунид мекунанд.
Нишонаи қайд SAP дар интерфейсҳои 100G дастгирӣ намешавад. Мо тавсия медиҳем, ки протоколи созишномаи калидии MACsec -ро истифода баред
(MKA) бо рақамгузории васеи бастаҳо (XPN) дар интерфейсҳои 100G.
Вақте ки ҳар се қадам ба итмом мерасад, аутентификатор ҳолати пайвандро аз ҳолати беиҷозат (бандкунӣ) ба давлати ваколатдор иваз мекунад ва дархосткунанда узви домени Cisco TrustSec мешавад.
Cisco TrustSec вурудро истифода мебарад tagging ва egress филтркунӣ барои татбиқи сиёсати назорати дастрасӣ ба таври васеъшаванда. Бастаҳое, ки ба домен ворид мешаванд tagбо як гурӯҳи амниятӣ tag (SGT) дорои рақами таъиншудаи гурӯҳи амниятии дастгоҳи манбаъ. Ин таснифоти бастаҳо дар роҳи маълумот дар дохили домени Cisco TrustSec бо мақсади татбиқи амният ва дигар меъёрҳои сиёсат нигоҳ дошта мешавад. Дастгоҳи ниҳоии Cisco TrustSec дар роҳи маълумот, ё нуқтаи ниҳоӣ ё нуқтаи баромади шабака, сиёсати назорати дастрасиро дар асоси гурӯҳи амниятии дастгоҳи манбаи Cisco TrustSec ва гурӯҳи амниятии дастгоҳи ниҳоии Cisco TrustSec татбиқ мекунад. Баръакси рӯйхатҳои назорати дастрасии анъанавӣ дар асоси суроғаҳои шабакавӣ, сиёсатҳои назорати дастрасии Cisco TrustSec як шакли рӯйхатҳои назорати дастрасӣ ба нақш (RBACL) мебошанд, ки рӯйхати назорати дастрасии гурӯҳҳои амниятӣ (SGACL) ном доранд.
Нишонаи қайдВуруд ба бастаҳое дахл дорад, ки ба аввалин дастгоҳи дорои қобилияти Cisco TrustSec ворид мешавад, ки бо баста дар роҳи худ ба сӯи таъинот дучор мешавад ва баромадан ба бастаҳое дахл дорад, ки охирин дастгоҳи дорои Cisco TrustSec-ро дар роҳ тарк мекунанд.
Аутентификатсия
Cisco TrustSec ва аутентификатсия
Бо истифода аз назорати қабули дастгоҳи шабакавӣ (NDAC), Cisco TrustSec дастгоҳро пеш аз он ки ба шабака пайваст шавад, тасдиқ мекунад. NDAC аутентификатсияи 802.1X-ро бо протоколи аутентификатсияи васеъшаванда тавассути туннели амн (EAP-FAST) ҳамчун усули Протоколи васеъшавандаи аутентификатсия (EAP) барои иҷрои аутентификатсия истифода мебарад. Сӯҳбатҳои EAP-FAST мубодилаи усулҳои дигари EAP дар дохили нақби EAP-FAST бо истифода аз занҷирҳоро таъмин мекунанд. Маъмурон метавонанд усулҳои анъанавии аутентификатсияи корбарро, аз қабили Microsoft Challenge Handshake Protocol Version 2 (MSCHAPv2) истифода баранд, дар ҳоле ки амният аз ҷониби нақби EAP-FAST таъмин карда мешавад. Ҳангоми мубодилаи EAP-FAST, сервери аутентификатсия маълумотномаи ягонаи дастрасии муҳофизатшаванда (PAC) эҷод мекунад ва ба дархосткунанда мерасонад, ки дорои калиди муштарак ва аломати рамзгузоришуда барои алоқаи ояндаи бехатар бо сервери аутентификатсия истифода мешавад.
Дар расми зерин нақби EAP-FAST ва усулҳои дохилие, ки дар Cisco TrustSec истифода мешаванд, нишон медиҳад.
Тасвири 2: Аутентификатсияи Cisco TrustSec
CISCO Trustsec шабакаи бехатарро месозад - Расми 2
Такмилдиҳии Cisco TrustSec ба EAP-FAST
Татбиқи EAP-FAST барои Cisco TrustSec дорои такмилоти зерин мебошад:
  • Аутентификатсияи аутентификатсия — Ба таври бехатар шахсияти аутентификатсияро тавассути талаб кардани аутентификатор барои истифодаи PAC-и худ барои гирифтани калиди муштарак байни худ ва сервери аутентификатсия муайян мекунад. Ин хусусият инчунин шуморо аз танзим кардани калидҳои муштараки RADIUS дар сервери аутентификатсия барои ҳар як суроғаи IP-и имконпазир, ки аз ҷониби аутентификатор истифода мешавад, пешгирӣ мекунад.
  • Ҳар як дастгоҳро аз шахсияти ҳамсолаш огоҳ кунед — То ба охир расидани мубодилаи аутентификатсия сервери аутентификатсия ҳам дархосткунанда ва ҳам аутентификаторро муайян кард. Сервери аутентификатсия шахсияти аутентификатор ва оё аутентификатор ба Cisco TrustSec қобилият дорад, ба дархосткунанда бо истифода аз параметрҳои иловагии дарозии арзиш (TLVs) дар хотимаи муҳофизатшудаи EAP-FAST интиқол медиҳад. Сервери аутентификатсия инчунин шахсияти дархосткунанда ва қобилияти Cisco TrustSec-ро ба аутентификатор бо истифода аз атрибутҳои RADIUS дар паёми Дастрасӣ-Қабул мерасонад.
    Азбаски ҳар як дастгоҳ шахсияти ҳамсолони худро медонад, он метавонад ба сервери аутентификатсияи дастрасии RADIUS дархостҳои иловагӣ фиристад, то сиёсати дар истиноди татбиқшавандаро ба даст орад.
802.1X Интихоби Нақш
Дар 802.1X, аутентификатор бояд пайвасти IP бо сервери аутентификатсия дошта бошад, зеро он бояд мубодилаи аутентификатсияро байни дархосткунанда ва аутентификатор бо истифода аз RADIUS тавассути UDP/IP интиқол диҳад. Вақте ки дастгоҳи нуқтаи ниҳоӣ, ба монанди компютер, ба шабака пайваст мешавад, маълум аст, ки он бояд ҳамчун дархосткунанда кор кунад. Бо вуҷуди ин, дар сурати пайвасти Cisco TrustSec байни ду дастгоҳи шабакавӣ, нақши 802.1X-и ҳар як дастгоҳи шабакавӣ метавонад ба дастгоҳи дигари шабакавӣ фавран аён набошад.
Ба ҷои талаб кардани конфигуратсияи дастии аутентификатор ва нақшҳои дархосткунанда барои ду коммутатори ҳамсоя, Cisco TrustSec алгоритми интихоби нақшро иҷро мекунад, то ба таври худкор муайян кунад, ки кадом коммутатор ҳамчун аутентификатор ва кадоме ҳамчун дархосткунанда кор мекунад. Алгоритми интихоби нақш нақши аутентификаторро ба коммутате таъин мекунад, ки дастрасии IP ба сервери RADIUS дорад. Ҳарду коммутатор ҳам мошинҳои ҳолати аутентификатор ва дархосткунандаро оғоз мекунанд. Вақте ки коммутатор муайян мекунад, ки ҳамсолонаш ба сервери RADIUS дастрасӣ дорад, он мошини ҳолати аутентификатори худро қатъ мекунад ва нақши дархосткунандаро ба ӯҳда мегирад. Агар ҳарду коммутаторҳо ба сервери RADIUS дастрасӣ дошта бошанд, гузариши аввалине, ки аз сервери RADIUS посух мегирад, аутентификатор ва калиди дигар дархосткунанда мегардад.
Хулосаи тасдиқи Cisco TrustSec
То анҷоми раванди аутентификатсияи Cisco TrustSec сервери аутентификатсия амалҳои зеринро иҷро кард:
  • Шахсияти дархосткунанда ва тасдиқкунанда тасдиқ карда шуд.
  • Корбарро тасдиқ кард, агар дархосткунанда дастгоҳи ниҳоӣ бошад.
Дар охири раванди аутентификатсияи Cisco TrustSec ҳам аутентификатор ва ҳам дархосткунанда чизҳои зеринро медонанд:
  • зерин:
  • ID-и дастгоҳи ҳамсол
  • Маълумот дар бораи қобилияти Cisco TrustSec
  • Калид барои SAP истифода мешавад
Шиносоии дастгоҳ
Cisco TrustSec суроғаҳои IP ё суроғаҳои MAC-ро ҳамчун шахсияти дастгоҳ истифода намебарад. Ба ҷои ин, шумо ба ҳар як коммутатори Cisco TrustSec ном (ID-и дастгоҳ) таъин мекунед, то онро дар домени Cisco TrustSec ба таври беназир муайян кунед. Ин ID дастгоҳ барои зерин истифода мешавад:
  • Ҷустуҷӯи сиёсати иҷозатдиҳӣ
  • Ҷустуҷӯи паролҳо дар пойгоҳи додаҳо ҳангоми аутентификатсия
Маълумотномаҳои дастгоҳ
Cisco TrustSec эътимодномаҳои ба парол асосёфтаро дастгирӣ мекунад. Cisco TrustSec дархосткунандагонро тавассути паролҳо тасдиқ мекунад ва MSCHAPv2-ро барои таъмини аутентификатсияи мутақобила истифода мебарад.
Сервери аутентификатсия ин маълумотро барои тасдиқи мутақобилаи аслӣ будани дархосткунанда дар мубодилаи марҳилаи EAP-FAST 0 (таъминкунӣ) истифода мебарад, ки дар он ҷо PAC дар дархосткунанда таъмин карда мешавад. Cisco TrustSec то ба охир расидани мӯҳлати PAC дубора мубодилаи EAP-FAST 0-ро анҷом намедиҳад ва танҳо мубодилаи EAP-FAST марҳилаи 1 ва марҳилаи 2-ро барои эҷоди пайвандҳои оянда иҷро мекунад. Мубодилаи марҳилаи 1-уми EAP-FAST PAC-ро барои тасдиқи мутақобилаи сервери аутентификатсия ва дархосткунанда истифода мебарад. Cisco TrustSec маълумоти эътимоднокии дастгоҳро танҳо дар давоми қадамҳои таъминоти PAC (ё азнавсозӣ) истифода мебарад.
Вақте ки дархосткунанда бори аввал ба домени Cisco TrustSec пайваст мешавад, сервери аутентификатсия дархосткунандаро тасдиқ мекунад ва калиди муштарак ва аломати рамзгузориро ба дархосткунанда бо PAC тела медиҳад. Сервери аутентификатсия ва дархосткунанда ин калид ва аломатро барои тасдиқи мутақобила дар ҳама мубодилаи ояндаи EAP-FAST марҳилаи 0 истифода мебаранд.
Маълумоти корбар
Cisco TrustSec барои дастгоҳҳои нуқтаи ниҳоӣ навъи мушаххаси корбарро талаб намекунад. Шумо метавонед ҳама гуна усули тасдиқи корбарро, ки аз ҷониби сервери аутентификатсия дастгирӣ карда мешавад, интихоб кунед ва маълумоти мувофиқро истифода баред. Барои мисолample, версияи Cisco Secure Control Control (ACS) версияи 5.1 MSCHAPv2, корти аломати умумӣ (GTC) ё пароли яквақта RSA (OTP) -ро дастгирӣ мекунад.
Назорати дастрасӣ ба гурӯҳи амниятӣ
Ин бахш маълумотро дар бораи рӯйхатҳои назорати дастрасӣ ба гурӯҳи амниятӣ (SGACL) медиҳад.
Гурӯҳҳои амниятӣ ва SGTs
Гурӯҳи амниятӣ як гурӯҳи корбарон, дастгоҳҳои ниҳоӣ ва захираҳое мебошад, ки сиёсатҳои назорати дастрасиро мубодила мекунанд. Гурӯҳҳои амниятӣ аз ҷониби маъмур дар Cisco ISE ё Cisco Secure ACS муайян карда мешаванд. Вақте ки корбарон ва дастгоҳҳои нав ба домени Cisco TrustSec илова карда мешаванд, сервери аутентификатсия ин объектҳои навро ба гурӯҳҳои мувофиқи амният таъин мекунад. Cisco TrustSec ба ҳар як гурӯҳи амниятӣ рақами ягонаи гурӯҳи амниятии 16-битро таъин мекунад, ки доираи он дар дохили домени Cisco TrustSec глобалӣ аст. Шумораи гурӯҳҳои амниятӣ дар дастгоҳ бо шумораи объектҳои шабакавии тасдиқшуда маҳдуд аст. Ба шумо лозим нест, ки рақамҳои гурӯҳи амниятиро дастӣ танзим кунед.
Пас аз тасдиқи дастгоҳ, Cisco TrustSec tags ҳар бастае, ки аз он дастгоҳ бо гурӯҳи амниятӣ сарчашма мегирад tag (SGT), ки рақами гурӯҳи амниятии дастгоҳро дар бар мегирад. Баста ин SGT-ро дар тамоми шабака дар дохили сарлавҳаи Cisco TrustSec мебарад. SGT тамғаи ягонаест, ки имтиёзҳои манбаъро дар тамоми корхона муайян мекунад.
Азбаски SGT гурӯҳи амниятии манбаъро дар бар мегирад tag метавон ҳамчун сарчашмаи SGT номида шавад. Дастгоҳи таъинот инчунин ба гурӯҳи амниятӣ (таъиноти SG) таъин карда мешавад, ки онро барои соддагӣ ҳамчун гурӯҳи таъинот номидан мумкин аст tag (DGT), гарчанде ки бастаи воқеии Cisco TrustSec tag рақами гурӯҳи амниятии дастгоҳи таъинотро дар бар намегирад.
Дастгирии Гурӯҳи Амният ACL
Рӯйхати назорати дастрасии гурӯҳи амниятӣ (SGACLs) як иҷрои сиёсатест, ки тавассути он мудир метавонад амалиёти иҷрокардаи корбарро дар асоси таъиноти гурӯҳи амниятӣ ва захираҳои таъинот назорат кунад. Иҷрои сиёсат дар дохили домени Cisco Trustsec бо матритсаи иҷозатҳо бо рақами гурӯҳи амнияти манбаъ дар як меҳвар ва рақами гурӯҳи амниятии таъинот дар меҳвари дигар муаррифӣ мешавад. Ҳар як чашмаки матритса рӯйхати тартибдодашудаи SGACL-ҳоро дар бар мегирад, ки иҷозатҳоро барои бастаҳое, ки аз IP мансуб ба гурӯҳи амнияти манбаъ ва дорои IP-и таъинот, ки ба гурӯҳи амниятии таъинот тааллуқ доранд, татбиқ карда мешаванд, муайян мекунад.
SGACL механизми назорати дастрасии бидуни шаҳрвандӣ дар асоси ассотсиатсияи амниятӣ ё гурӯҳи амниятро таъмин мекунад tag ба ҷои суроғаҳои IP ва филтрҳо арзиш. Се роҳи таъмини сиёсати SGACL вуҷуд дорад:
  • Таъмини сиёсати статикӣ: Сиёсати SGACL аз ҷониби корбар бо истифода аз фармони cts иҷозати ба нақш асосёфта муайян карда мешавад.
  • Таъмини сиёсати динамикӣ: Танзими сиёсатҳои SGACL бояд пеш аз ҳама тавассути функсияи идоракунии сиёсати Cisco Secure ACS ё Engine Cisco Identity Services анҷом дода шавад.
  • Тағйир додани ваколатҳо (CoA): Сиёсати навшуда ҳангоми тағир додани сиёсати SGACL дар ISE ва CoA ба дастгоҳи Cisco TrustSec интиқол дода мешавад.

    Ҳавопаймои додаҳои дастгоҳ бастаҳои CoA-ро аз провайдери сиёсат (ISE) қабул мекунад ва сиёсатро ба бастаҳои CoA татбиқ мекунад. Пас аз он бастаҳо ба ҳавопаймои идоракунии дастгоҳ фиристода мешаванд, ки дар он сатҳи навбатии татбиқи сиёсат барои бастаҳои CoA ворид карда мешавад. Ба view сиёсати сахтафзор ва нармафзори ҳисобкунак иттилооти зад, иҷро фармони show cts counters ба нақш дар ҳолати имтиёзнок EXEC.

Сиёсати SGACL
Бо истифода аз рӯйхатҳои назорати дастрасии гурӯҳи амниятӣ (SGACL), шумо метавонед амалиётҳоеро, ки корбарон метавонанд дар асоси таъиноти гурӯҳи амниятии корбарон ва захираҳои таъинот иҷро кунанд, назорат кунед. Иҷрои сиёсат дар дохили домени Cisco TrustSec бо матритсаи иҷозатҳо бо рақамҳои гурӯҳи амнияти манбаъ дар як меҳвар ва рақамҳои гурӯҳи амнияти таъинот дар меҳвари дигар муаррифӣ карда мешавад. Ҳар як чашмаки дар бадани матритса метавонад рӯйхати тартибдодашудаи SGACL-ҳоро дар бар гирад, ки иҷозатҳоеро муайян мекунад, ки бояд ба бастаҳое, ки аз гурӯҳи амнияти манбаи сарчашма ва барои гурӯҳи амнияти таъинот таъин шудаанд, татбиқ карда шаванд.
Дар расми зерин собиқ нишон дода шудаастample аз матритсаи иҷозатҳои Cisco TrustSec барои домени оддӣ бо се нақши муайяни корбар ва як манбаи таъиноти таъиншуда. Се сиёсати SGACL дастрасӣ ба сервери таъинотро дар асоси нақши корбар назорат мекунад.
Тасвири 3: Матритсаи сиёсати SGACL Example
CISCO Trustsec шабакаи бехатарро месозад - Расми 3
Бо таъин кардани корбарон ва дастгоҳҳо дар дохили шабака ба гурӯҳҳои амниятӣ ва татбиқи назорати дастрасӣ дар байни гурӯҳҳои амниятӣ, Cisco TrustSec назорати мустақили дастрасиро дар дохили шабака ба нақш дар асоси топология ба даст меорад. Азбаски SGACLҳо сиёсати назорати дастрасиро ба ҷои суроғаҳои IP дар асоси идентификатсияи дастгоҳ муайян мекунанд, мисли дар ACL-ҳои анъанавӣ, дастгоҳҳои шабакавӣ барои ҳаракат дар тамоми шабака ва тағир додани суроғаҳои IP озоданд.
То он даме, ки нақшҳо ва иҷозатҳо бетағйир боқӣ мемонанд, тағирот дар топологияи шабака сиёсати амниятро тағир намедиҳад. Вақте ки корбар ба дастгоҳ илова карда мешавад, шумо танҳо корбарро ба гурӯҳи мувофиқи амният таъин мекунед ва корбар фавран иҷозатҳои ин гурӯҳро мегирад.
Нишонаи қайдСиёсати SGACL ба трафике, ки дар байни ду дастгоҳи мизбон тавлид мешавад, истифода мешавад, на ба трафике, ки аз дастгоҳ ба дастгоҳи мизбони ниҳоӣ тавлид мешавад.
Истифодаи иҷозатҳои ба нақш асосёфта андозаи ACL-ро хеле кам мекунад ва нигоҳдории онҳоро осон мекунад. Бо Cisco TrustSec, шумораи вурудоти назорати дастрасӣ (ACEs) танзимшуда аз рӯи шумораи иҷозатҳои муайяншуда муайян карда мешавад, ки дар натиҷа шумораи хеле ками ACEҳо нисбат ба шабакаи IP анъанавӣ мегардад. Истифодаи SGACL-ҳо дар Cisco TrustSec маъмулан ба истифодаи самараноки захираҳои TCAM дар муқоиса бо ACL-ҳои анъанавӣ оварда мерасонад. Дар Switches Series Catalyst 17,500 ҳадди аксар 9500 сиёсати SGACL дастгирӣ карда мешавад. Дар Калиди Catalyst 9500 High Performance Series, ҳадди аксар 28,224 сиёсати SGACL дастгирӣ карда мешавад.
Дохилшавӣ Tagging ва Egress Continue Reading
Назорати дастрасии Cisco TrustSec бо истифода аз воридшавӣ амалӣ карда мешавад tagиҷрои қонунгузорӣ ва баромадан. Дар нуқтаи воридшавӣ ба домени Cisco TrustSec трафик аз манбаъ аст tagбо SGT дорои рақами гурӯҳи амниятии объекти манбаъ. SGT бо трафик дар домен паҳн карда мешавад. Дар нуқтаи баромади домени Cisco TrustSec, дастгоҳи хуруҷ сарчашмаи SGT ва рақами гурӯҳи амниятии объекти таъинотро (маҳалли SG ё DGT) барои муайян кардани кадом сиёсати дастрасӣ аз матритсаи сиёсати SGACL истифода мебарад.
Дар расми зерин нишон медиҳад, ки чӣ тавр таъиноти SGT ва иҷрои SGACL дар домени Cisco TrustSec кор мекунанд.
Тасвири 4: SGT ва SGACL дар домени Cisco TrustSec
CISCO Trustsec шабакаи бехатарро месозад - Расми 4
  1. Компютери мизбон як бастаро ба web сервер. Гарчанде ки компютер ва web сервер аъзои домени Cisco TrustSec нестанд, роҳи маълумоти баста домени Cisco TrustSec-ро дар бар мегирад.
  2. Дастгоҳи воридшавии Cisco TrustSec бастаро барои илова кардани SGT бо рақами гурӯҳи бехатарии 3, рақами гурӯҳи амниятӣ, ки сервери аутентификатсия барои компютери мизбон таъин кардааст, тағир медиҳад.
  3. Дастгоҳи баромади Cisco TrustSec сиёсати SGACL-ро амалӣ мекунад, ки ба гурӯҳи сарчашма 3 ва гурӯҳи таъинот 4, рақами гурӯҳи амниятие, ки сервери аутентификатсия барои web сервер.
  4. Агар SGACL интиқоли бастаро иҷозат диҳад, гузариши Cisco TrustSec бастаро барои хориҷ кардани SGT тағир медиҳад ва бастаро ба web сервер.
Муайян кардани гурӯҳи амнияти манбаъ
Дастгоҳи шабакавӣ ҳангоми ворид шудан ба домени Cisco TrustSec бояд SGT-и бастаи воридшаванда ба домени Cisco TrustSec-ро муайян кунад, то он метавонад tag баста бо он SGT вақте ки онро ба домени Cisco TrustSec интиқол медиҳад. Дастгоҳи шабакаи баромад бояд SGT-и бастаро барои татбиқи SGACL муайян кунад.
Дастгоҳи шабакавӣ метавонад SGT-ро барои баста бо яке аз усулҳои зерин муайян кунад:
  • Ҳангоми дарёфти сиёсат сарчашмаи SGT-ро ба даст оред — Пас аз марҳилаи аутентификатсияи Cisco TrustSec, дастгоҳи шабакавӣ аз сервери аутентификатсия маълумоти сиёсатро ба даст меорад, ки он нишон медиҳад, ки оё дастгоҳи ҳамсол эътимоднок аст ё не. Агар ба дастгоҳи ҳамсол эътимод надошта бошад, сервери аутентификатсия инчунин метавонад SGT-ро таъмин кунад, то ба ҳама бастаҳои аз дастгоҳи ҳамсол воридшуда татбиқ карда шавад.
  • Сарчашмаи SGT-ро аз баста ба даст оред - Агар баста аз дастгоҳи ҳамсолони боэътимод дастрас бошад, баста SGT-ро мебарад. Ин ба дастгоҳи шабакавӣ дахл дорад, ки аввалин дастгоҳи шабакавӣ дар домени Cisco TrustSec барои баста нест.
  • Сарчашмаи SGT-ро дар асоси идентификатсияи манбаъ ҷустуҷӯ кунед - Бо Харитаи Порти Identity (IPM), шумо метавонед пайвандро бо шахсияти ҳамсол васлшуда дастӣ танзим кунед. Дастгоҳи шабакавӣ аз сервери аутентификатсия маълумоти сиёсат, аз ҷумла SGT ва ҳолати эътимодро талаб мекунад.
  • Сарчашмаи SGT-ро дар асоси суроғаи IP-и манбаъ ҷустуҷӯ кунед - Дар баъзе мавридҳо, шумо метавонед сиёсатро дастӣ танзим кунед, то SGT-и бастаро дар асоси суроғаи IP-и манбаи он муайян кунад. Протоколи мубодилаи SGT (SXP) инчунин метавонад ҷадвали харитасозии IP-суроға ба SGT-ро пур кунад.
Муайян кардани гурӯҳи бехатарии таъинот
Дастгоҳи шабакаи баромад дар домени Cisco TrustSec гурӯҳи таъинотро (DGT) барои татбиқи SGACL муайян мекунад. Дастгоҳи шабакавӣ гурӯҳи амнияти таъиноти бастаро бо истифода аз ҳамон усулҳое, ки барои муайян кардани гурӯҳи амнияти манбаъ истифода мешаванд, ба истиснои гирифтани рақами гурӯҳ аз баста муайян мекунад. tag. Рақами гурӯҳи амниятии таъинот ба баста дохил карда нашудааст tag.
Дар баъзе мавридҳо, дастгоҳҳои воридшавӣ ё дигар дастгоҳҳои хориҷнашаванда метавонанд маълумоти гурӯҳи таъинотӣ дошта бошанд. Дар ин ҳолатҳо, SGACL-ҳо метавонанд дар ин дастгоҳҳо истифода шаванд, на дастгоҳҳои баромад.
Иҷрои SGACL дар трафики масир ва ивазшуда
Иҷрои SGACL танҳо дар трафики IP истифода мешавад, аммо иҷроиш метавонад ба трафики масир ё ивазшуда татбиқ карда шавад.
Барои трафики масир, иҷрои SGACL тавассути коммутатори баромад, маъмулан коммутатори тақсимот ё коммутатори дастрасӣ бо бандари масир, ки ба мизбони таъинот пайваст мешавад, иҷро карда мешавад. Вақте ки шумо иҷрои SGACL-ро дар саросари ҷаҳон фаъол мекунед, иҷроиш ба таври худкор дар ҳар интерфейси қабати 3 ба истиснои интерфейсҳои SVI фаъол мешавад.
Барои трафики ивазшуда, иҷрои SGACL дар трафики дар дохили як домени коммутатсионӣ бе ягон функсияи масир ҷорӣ карда мешавад. Як собиқample иҷрои SGACL хоҳад буд, ки тавассути гузариши дастрасии маркази додаҳо дар трафики сервер ба сервер байни ду сервери мустақим пайваст карда мешавад. Дар ин собикample, трафики сервер ба сервер маъмулан иваз карда мешавад. Иҷрои SGACL метавонад ба бастаҳое, ки дар дохили VLAN иваз карда шудаанд ё ба SVI-и бо VLAN алоқаманд интиқол дода мешаванд, татбиқ карда шавад, аммо иҷроиш бояд барои ҳар як VLAN ба таври возеҳ фаъол карда шавад.
SGACL Logging ва омори ACE
Вақте ки сабти ном дар SGACL фаъол аст, дастгоҳ маълумоти зеринро сабт мекунад:
  • Гурӯҳи амнияти манбаъ tag (SGT) ва макони таъинот SGT
  • Номи сиёсати SGACL
  • Навъи протоколи пакет
  • Амали дар баста иҷрошуда
Варианти сабт ба ACE-ҳои инфиродӣ дахл дорад ва бастаҳоеро, ки ба ACE мувофиқанд, сабт мекунанд. Бастаи аввалине, ки бо калимаи калидии log сабт шудааст, паёми системавиро тавлид мекунад. Паёмҳои сабти минбаъда бо фосилаи панҷ дақиқа тавлид ва гузориш дода мешаванд. Агар ACE-и ба қайдгири фаъол ба бастаи дигар мувофиқат кунад (бо хусусиятҳое, ки ба бастае, ки паёми сабтро тавлид кардааст, шабеҳ аст), шумораи бастаҳои мувофиқ зиёд мешавад (ҳисобкунакҳо) ва сипас гузориш дода мешавад.
Барои фаъол кардани сабт, калимаи калидии сабтро дар назди таърифи ACE дар конфигуратсияи SGACL истифода баред. Барои мисолample, сабти IP иҷозат диҳед.
Вақте ки сабти SGACL фаъол карда мешавад, паёмҳои дархости ICMP аз дастгоҳ ба муштарӣ барои ворид карда намешаванд.
Протоколҳои IPv4 ва IPv6. Аммо; Паёмҳои вокуниши ICMP аз муштарӣ ба дастгоҳ сабт карда мешаванд.
Дар зер чунин астample log, нишон додани SGT-ҳои манбаъ ва таъинот, мувофиқати ACE (барои амали иҷозат додан ё рад кардан) ва протокол, яъне иттилооти TCP, UDP, IGMP ва ICMP:
* июн 2 08:58:06.489: %C4K_IOSINTF-6-SGACLHIT: рӯйхат deny_udp_src_port_log-30 рад карда шуд udp 24.0.0.23(100) -> 28.0.0.91(100), SGT8 DGT12
Илова ба омори мавҷудаи 'ҳар ячейка' SGACL, ки мумкин аст бо истифода аз show cts дар асоси нақш нишон дода шавад.
фармони counters, шумо инчунин метавонед омори ACE-ро бо истифода аз фармони show ip access-list sgacl_name нишон диҳед. Барои ин конфигуратсияи иловагӣ талаб карда намешавад.
Собиқ зеринample нишон медиҳад, ки чӣ тавр шумо метавонед фармони show ip access-list-ро барои нишон додани ҳисоби ACE истифода баред
Дастгоҳ # нишон IP дастрасӣ-control deny_udp_src_port_log-30
Рӯйхати дастрасии IP дар асоси нақш deny_udp_src_port_log-30 (зеркашӣ)
10 рад кардани udp src eq 100 log (283 мувофиқат)
20 иҷозати IP log (50 мувофиқат)
Нишонаи қайдВақте ки трафики воридотӣ ба ячейка мувофиқат мекунад, аммо ба SGACL-и ячейка мувофиқат намекунад, трафик иҷозат дода мешавад ва ҳисобкунакҳо дар HW-Иҷозат барои ячейка зиёд карда мешаванд.
Собиқ зеринample нишон медиҳад, ки чӣ тавр SGACL-и ҳуҷайра кор мекунад:
Сиёсати SGACL аз 5 то 18 бо "deny icmp echo" танзим шудааст ва трафики воридотӣ аз 5 то 18 бо сарлавҳаи TCP мавҷуд аст. Агар ячейка аз 5 то 18 мувофиқат кунад, аммо трафик бо icmp мувофиқат накунад, трафик иҷозат дода мешавад ва ҳисобкунаки HW-Permit аз ячейкаи 5 то 18 афзоиш меёбад.
CISCO Trustsec шабакаи бехатарро месозад - Сиёсати SGACL аз 5 то 18 бо "reny icmp echo" танзим шудааст
Воридшавӣ аз VRF-и SGACL
Журналҳои системаи SGACL маълумоти VRF-ро дар бар мегиранд. Илова ба майдонҳое, ки ҳоло сабт шудаанд, маълумоти сабткунӣ номи VRF-ро дар бар мегирад. Маълумоти навшудаи бақайдгирӣ дар зер нишон дода мешавад:
*15 ноябр 02:18:52.187: %RBM-6-SGACLHIT_V6: ingress_interface='GigabitEthernet1/0/15′ sgacl_name='IPV6_TCP_DENY' амал='Протоколи 'Ркор'='tcp' src-vrRF=s' -ip='25::2′ src-port='20'
dest-vrf='CTS-VRF' dest-ip='49::2′ dest-port='30' sgt='200′ dgt='500′ logging_interval_hits='1′
Ҳолати мониторинги SGACL
Дар марҳилаи пеш аз ҷойгиркунии Cisco TrustSec, мудир барои санҷиши сиёсатҳои амниятӣ бидуни иҷрои онҳо режими мониторро истифода мебарад, то боварӣ ҳосил кунад, ки сиёсатҳо мувофиқи пешбинишуда кор мекунанд. Агар сиёсати амният мувофиқи пешбинишуда кор накунад, ҳолати монитор механизми мувофиқро барои муайян кардани он таъмин мекунад ва имкон медиҳад, ки сиёсатро пеш аз фаъол кардани иҷрои SGACL ислоҳ кунад. Ин ба маъмурон имкон медиҳад, ки натоиҷи амалҳои сиёсатро пеш аз татбиқи он афзоиш диҳанд ва тасдиқ кунанд, ки сиёсати мавзӯъ ба талаботи амният мувофиқат мекунад (дастрасӣ ба захираҳо, агар корбарон
ваколатдор).
Қобилияти мониторинг дар сатҳи ҷуфти SGT-DGT таъмин карда мешавад. Вақте ки шумо хусусияти ҳолати мониторинги SGACL-ро фаъол мекунед, амали радкунӣ ҳамчун иҷозати ACL дар кортҳои хатӣ амалӣ карда мешавад. Ин ба ҳисобкунакҳои SGACL ва сабткунӣ имкон медиҳад, ки чӣ гуна пайвастшавӣ аз ҷониби сиёсати SGACL идора карда шавад. Азбаски ба ҳама трафики назоратшаванда иҷозат дода мешавад, дар ҳолати монитори SGACL бо сабаби SGACLҳо ягон халалдор шудани хидмат вуҷуд надорад.
Иҷозатнома ва ба даст овардани сиёсат
Пас аз ба итмом расидани аутентификатсияи дастгоҳ, ҳам дархосткунанда ва ҳам аутентификатор сиёсати амниятро аз сервери аутентификатсия мегиранд. Пас ду ҳамсол дар асоси ID-ҳои дастгоҳи Cisco TrustSec иҷозати истинодро иҷро мекунанд ва сиёсати амнияти истинодро бар зидди ҳамдигар татбиқ мекунанд. Усули аутентификатсияи истинод метавонад ҳамчун 802.1X ё аутентификатсияи дастӣ танзим карда шавад. Агар амнияти истинод 802.1X бошад, ҳар як ҳамсол ID-и дастгоҳеро, ки аз сервери аутентификатсия гирифта шудааст, истифода мебарад. Агар амнияти истинод дастӣ бошад, шумо бояд ID-ҳои дастгоҳи ҳамсолро таъин кунед.
Сервери аутентификатсия атрибутҳои сиёсати зеринро бармегардонад:
  • Эътимоди Cisco TrustSec - Нишон медиҳад, ки оё ба дастгоҳи ҳамсол бо мақсади гузоштани SGT дар бастаҳо эътимод кардан лозим аст.
  • Peer SGT-Гурӯҳи амниятиеро, ки ҳамсол ба он тааллуқ дорад, нишон медиҳад. Агар ба ҳамсол эътимод надошта бошад, ҳамаи бастаҳои аз ҳамсол гирифташуда мебошанд tagбо ин SGT. Агар дастгоҳ намедонад, ки ягон SGACL бо SGT-и ҳамсол алоқаманд аст ё на, дастгоҳ метавонад дархости пайгириро ба сервери аутентификатсия барои зеркашии SGACL фиристад.
  • Вақти ба итмом расидани мӯҳлати иҷозат - Шумораи сонияҳоро пеш аз ба охир расидани мӯҳлат нишон медиҳад. Дастгоҳи Cisco TrustSec бояд сиёсат ва иҷозати худро пеш аз анҷоми мӯҳлат навсозӣ кунад. Дастгоҳ метавонад маълумоти аутентификатсия ва сиёсатро кэш кунад ва онро пас аз бозоғозӣ дубора истифода барад, агар мӯҳлати он ба охир нарасидааст.
Нишонаи қайд Ҳар як дастгоҳи Cisco TrustSec бояд баъзе сиёсати ҳадди ақали дастрасии пешфарзро дастгирӣ кунад, агар он наметавонад бо сервери аутентификатсия тамос гирад, то сиёсати мувофиқро барои ҳамсол ба даст орад.
Раванди гуфтушуниди NDAC ва SAP дар расми зерин нишон дода шудааст
Тасвири 5: Музокироти NDAC ва SAP
CISCO Trustsec шабакаи бехатарро месозад - Расми 5
Зеркашии маълумот дар бораи муҳити зист
Маълумоти муҳити зисти Cisco TrustSec маҷмӯи маълумот ё сиёсатест, ки ба дастгоҳ ҳамчун гиреҳи Cisco TrustSec кӯмак мекунад. Вақте ки дастгоҳ бори аввал ба домени Cisco TrustSec пайваст мешавад, дастгоҳ маълумоти муҳити зистро аз сервери аутентификатсия ба даст меорад, гарчанде ки шумо инчунин метавонед баъзе маълумотро дар дастгоҳ дастӣ танзим кунед. Барои мисолample, шумо бояд дастгоҳи насли Cisco TrustSec-ро бо маълумоти сервери аутентификатсия танзим кунед, ки онро баъдтар бо рӯйхати сервере, ки дастгоҳ аз сервери аутентификатсия ба даст меорад, зиёд кардан мумкин аст.
Дастгоҳ бояд маълумоти муҳити Cisco TrustSec-ро пеш аз ба охир расидани мӯҳлати он навсозӣ кунад. Дастгоҳ инчунин метавонад маълумоти муҳити зистро кэш кунад ва пас аз бозоғозӣ онро дубора истифода барад, агар мӯҳлати он ба охир нарасидааст.
Дастгоҳ RADIUS-ро барои гирифтани маълумоти зерини муҳити зист аз сервери аутентификатсия истифода мебарад:
  • Рӯйхати серверҳо: Рӯйхати серверҳое, ки муштарӣ метавонад барои дархостҳои ояндаи RADIUS истифода барад (ҳам барои аутентификатсия ва ҳам авторизатсия). Навсозии PAC тавассути ин серверҳо сурат мегирад.
  • Дастгоҳи SG: Гурӯҳи амниятӣ, ки худи дастгоҳ ба он тааллуқ дорад.
  • Вақти тамомшавии мӯҳлат: Фосилае, ки назорат мекунад, ки дастгоҳи Cisco TrustSec то чӣ андоза бояд маълумоти муҳити худро нав кунад.
Функсияи релеи RADIUS
Дастгоҳе, ки дар раванди аутентификатсияи 802.1X нақши аутентификатори Cisco TrustSec-ро мебозад, дорои пайвасти IP ба сервери аутентификатсия мебошад, ки ба дастгоҳ имкон медиҳад, ки сиёсат ва иҷозатро аз сервери аутентификатсия тавассути табодули паёмҳои RADIUS тавассути UDP/IP ба даст орад. Дастгоҳи дархосткунанда метавонад пайвасти IP бо сервери аутентификатсия надошта бошад. Дар чунин ҳолатҳо, Cisco TrustSec ба аутентификатор имкон медиҳад, ки ҳамчун релеи RADIUS барои дархосткунанда амал кунад.
Дархосткунанда ба аутентификатор паёми махсуси EAPOL мефиристад, ки дорои суроғаи IP-сервери RADIUS ва порти UDP ва дархости пурраи RADIUS мебошад. Аутентификатор дархости RADIUS-ро аз паёми қабулшудаи EAPOL хориҷ мекунад ва онро тавассути UDP/IP ба сервери аутентификатсия мефиристад. Вақте ки посухи RADIUS аз сервери аутентификатсия бармегардад, аутентификатор паёмро ба дархосткунанда, ки дар чаҳорчӯбаи EAPOL фаро гирифта шудааст, бармегардонад.
Амнияти пайванд
Вақте ки ҳарду ҷониби истинод 802.1AE Media Access Control Security (MACsec) -ро дастгирӣ мекунад, музокироти протоколи ассотсиатсияи амниятӣ (SAP) анҷом дода мешавад. Мубодилаи EAPOL-Key байни дархосткунанда ва аутентификатор барои гуфтушунид оид ба маҷмӯи рамзҳо, мубодилаи параметрҳои амниятӣ ва идоракунии калидҳо сурат мегирад. Иҷрои бомуваффақияти ҳар се вазифа боиси таъсиси иттиҳодияи амниятӣ (СА) мегардад.
Вобаста аз версияи нармафзори шумо, иҷозатномадиҳии криптографӣ ва дастгирии сахтафзор, музокироти SAP метавонад яке аз усулҳои зерини корро истифода барад:
  • Ҳолати Galois/Counter (GCM) — аутентификатсия ва рамзгузориро муайян мекунад
  • Аутентификатсияи GCM (GMAC) - тасдиқи аутентификатсия ва рамзгузорӣ нест
  • Encapsulation нест - Инкапсуляцияро муайян намекунад (матни равшан)
  • Нул - инкапсуляция, бе аутентификатсия ва рамзгузорӣро муайян мекунад
Ҳама усулҳо ба истиснои Encapsulation сахтафзори Cisco TrustSec-ро талаб мекунанд.
Танзими SAP-PMK барои амнияти Link
CISCO Trustsec шабакаи бехатарро месозад - Танзими SAP-PMK барои амнияти Link
CISCO Trustsec шабакаи бехатарро месозад - Танзими SAP-PMK барои Link Security 2
SXP барои паҳнкунии SGT дар саросари шабакаҳои дастрасии меросӣ
Tagбастаҳои ging бо SGTs дастгирии сахтафзорро талаб мекунад. Шумо шояд дар шабакаи худ дастгоҳҳое дошта бошед, ки дар ҳоле ки қодиранд дар аутентификатсияи Cisco TrustSec иштирок кунанд, қобилияти сахтафзорро барои tag бастаҳо бо
SGTs. Бо истифода аз Протоколи мубодилаи SGT (SXP), ин дастгоҳҳо метавонанд харитасозии IP-суроғаи SGT-ро ба дастгоҳи ҳамсоли Cisco TrustSec, ки дорои сахтафзори Cisco TrustSec-ро дорад, гузаронанд.

SXP маъмулан байни дастгоҳҳои қабати дастрасии воридшавӣ дар канори домени Cisco TrustSec ва дастгоҳҳои қабати тақсимот дар дохили домени Cisco TrustSec кор мекунад. Дастгоҳи қабати дастрасӣ аутентификатсияи Cisco TrustSec-и дастгоҳҳои манбаи берунаро барои муайян кардани SGT-ҳои мувофиқ барои бастаҳои воридшавӣ иҷро мекунад. Дастгоҳи қабати дастрасӣ суроғаҳои IP-и дастгоҳҳои манбаъро бо истифода аз пайгирии дастгоҳи IP ва (ихтиёрӣ) snooping DHCP меомӯзад ва сипас SXP-ро барои интиқоли суроғаҳои IP-и дастгоҳҳои манбаъ дар баробари SGT-ҳои онҳо ба дастгоҳҳои тақсимот истифода мебарад.
Дастгоҳҳои тақсимот бо сахтафзори Cisco TrustSec метавонанд ин иттилооти харитасозии IP-to-SGT-ро истифода баранд. tag бастаҳои мувофиқ ва татбиқи сиёсати SGACL.

Тасвири 6: Протоколи SXP барои паҳн кардани иттилооти SGT
CISCO Trustsec шабакаи бехатарро месозад - Расми 6
Шумо бояд пайвасти SXP-ро байни ҳамсол бидуни дастгирии сахтафзори Cisco TrustSec ва ҳамсол бо дастгирии сахтафзори Cisco TrustSec ба таври дастӣ танзим кунед. Ҳангоми конфигуратсияи пайвасти SXP вазифаҳои зерин лозиманд:
  • Агар шумо тамомияти маълумот ва аутентификатсияи SXP-ро талаб кунед, шумо бояд ҳамон пароли SXP-ро дар ҳарду дастгоҳи ҳамсол танзим кунед. Шумо метавонед пароли SXP-ро барои ҳар як пайвасти ҳамсол ё дар саросари ҷаҳон барои дастгоҳ танзим кунед. Гарчанде ки пароли SXP талаб карда намешавад, мо истифодаи онро тавсия медиҳем.
  • Шумо бояд ҳар як ҳамсолро дар пайвасти SXP ҳамчун сухангӯи SXP ё шунавандаи SXP танзим кунед. Дастгоҳи баландгӯяк маълумоти харитасозии IP-to-SGT-ро ба дастгоҳи шунаванда паҳн мекунад.
  • Шумо метавонед суроғаи IP-и манбаъро барои истифода барои ҳар як муносибати ҳамсолон муайян кунед ё шумо метавонед суроғаи IP-и пешфарзро барои пайвастҳои ҳамсол, ки шумо суроғаи IP-и манбаи мушаххасро танзим накардаед, танзим кунед. Агар шумо ягон суроғаи IP-и манбаъро муайян накунед, дастгоҳ суроғаи IP-и интерфейси пайвастшавӣ ба ҳамсолро истифода мебарад.
SXP имкон медиҳад, ки ҳопҳои сершумор. Яъне, агар ҳамсоле аз дастгоҳе, ки дастгирии сахтафзори Cisco TrustSec надорад, инчунин дастгирии сахтафзори Cisco TrustSec надошта бошад, ҳамсоли дуюм метавонад ба як ҳамсоли сеюм пайвасти SXP дошта бошад ва паҳнкунии иттилооти харитасозии IP-ба-SGT-ро то он даме, ки сахтафзор истифода бурда мешавад, идома диҳад. хамсолони кобилиятнок ба даст оварда шудаанд. Дастгоҳро метавон ҳамчун шунавандаи SXP барои як пайвасти SXP ҳамчун баландгӯяки SXP барои пайвасти дигари SXP танзим кард.
Дастгоҳи Cisco TrustSec бо истифода аз механизми нигоҳдории TCP пайвастро бо ҳамсолони SXP-и худ нигоҳ медорад.
Барои барқарор кардан ё барқарор кардани пайвасти ҳамсол, дастгоҳ такроран кӯшиш мекунад, ки пайвастшавӣ бо истифода аз давраи такрории танзимшаванда то муваффақ шудани пайвастшавӣ ё то он даме, ки пайвастшавӣ аз конфигуратсия хориҷ карда шавад.
Қабати 3 нақлиёти SGT барои минтақаҳои ғайри TrustSec
Вақте ки баста аз домени Cisco TrustSec ба макони таъиноти ғайри TrustSec мебарояд, дастгоҳи баромади Cisco TrustSec пеш аз интиқоли баста ба шабакаи беруна сарлавҳаи Cisco TrustSec ва SGT-ро хориҷ мекунад. Бо вуҷуди ин, агар баста танҳо домени TrustSec-ро дар роҳ ба домени дигари Cisco TrustSec убур кунад, тавре ки дар расми зерин нишон дода шудааст, SGT-ро бо истифода аз хусусияти Cisco TrustSec Layer 3 SGT Transport нигоҳ доштан мумкин аст. Дар ин хусусият, дастгоҳи egress Cisco TrustSec бастаро бо сарлавҳаи ESP фаро мегирад, ки нусхаи SGT-ро дар бар мегирад. Вақте ки бастаи капсулшуда ба домени навбатии Cisco TrustSec мерасад, дастгоҳи воридшавии Cisco TrustSec инкапсуляцияи ESP-ро хориҷ мекунад ва бастаро бо SGT худ паҳн мекунад.
Тасвири 7: Фарогирии домени Non-TrustSec
CISCO Trustsec шабакаи бехатарро месозад - Расми 7
Барои дастгирии Cisco TrustSec Layer 3 SGT Transport, ҳама гуна дастгоҳе, ки ҳамчун дарвозаи воридшавӣ ё баромади Cisco TrustSec Layer 3 амал мекунад, бояд пойгоҳи сиёсати трафикро нигоҳ дорад, ки зершабакаҳои мувофиқро дар доменҳои дурдасти Cisco TrustSec ва инчунин ҳама зершабакаҳои хориҷшуда дар дохили он минтақаҳо номбар мекунад. Шумо метавонед ин махзани маълумотро дар ҳар як дастгоҳ дастӣ танзим кунед, агар онҳо ба таври худкор аз Cisco Secure ACS бор карда нашаванд.
Дастгоҳ метавонад маълумоти Layer 3 SGT Transport аз як порт фиристад ва маълумоти Layer 3 SGT Transport-ро дар бандари дигар бигирад, аммо ҳам портҳои воридотӣ ва ҳам баромад бояд сахтафзори Cisco TrustSec-ро дошта бошанд.
Нишонаи қайд Cisco TrustSec бастаҳои капсулшудаи Layer 3 SGT Transportро рамзгузорӣ намекунад. Барои ҳифзи бастаҳое, ки аз домени ғайри TrustSec мегузаранд, шумо метавонед усулҳои дигари муҳофизатро ба мисли IPsec танзим кунед.
VRF-Огоҳ SXP
Татбиқи SXP масир ва интиқоли виртуалӣ (VRF) пайвасти SXP-ро бо VRF мушаххас мепайвандад. Тахмин меравад, ки топологияи шабака барои VPN-ҳои қабати 2 ё қабати 3 дуруст конфигуратсия шудааст ва ҳамаи VRFҳо пеш аз фаъолсозии Cisco TrustSec танзим карда шудаанд.
Дастгирии SXP VRF-ро метавон ба таври зерин ҷамъбаст кард:
  • Танҳо як пайвасти SXP метавонад ба як VRF пайваст карда шавад.
  • VRF-ҳои гуногун метавонанд суроғаҳои IP-и ҳамсол ё манбаи SXP-ро дошта бошанд.
  • Харитасозии IP–SGT дар як VRF омӯхта (илова ё нест карда шудааст) танҳо дар ҳамон домени VRF навсозӣ мешавад.
    Пайвасти SXP наметавонад харитасозии ба VRF-и дигар пайвастшударо навсозӣ кунад. Агар ягон пайвасти SXP барои VRF набарояд, харитасозии IP–SGT барои ин VRF аз ҷониби SXP нав карда намешавад.
  • Оилаҳои суроғаҳои сершумор барои як VRF дастгирӣ карда мешаванд. Аз ин рӯ, як пайвасти SXP дар домени VRF метавонад ҳам харитасозии IPV4 ва ҳам IPV6 IP-SGT-ро интиқол диҳад.
  • SXP дар шумораи пайвастҳо ва шумораи харитасозии IP-SGT барои як VRF маҳдудият надорад.
Қабати 2 Таъиноти VRF-Oware SXP ва VRF
Супоришҳои VRF ба қабати 2 VLANҳо бо фармони конфигуратсияи глобалии l2-vrf vrf-name vlan-list дар асоси cts муайян карда мешаванд. VLAN ҳамчун VLAN қабати 2 ҳисобида мешавад, то он даме, ки интерфейси виртуалии коммутатсионӣ (SVI) бо суроғаи IP дар VLAN танзим карда нашудааст. Вақте ки суроғаи IP дар SVI-и он конфигуратсия карда мешавад, VLAN ба қабати 3 VLAN табдил меёбад.
Супоришҳои VRF, ки бо фармони l2-vrf дар асоси cts танзим карда шудаанд, то он даме, ки VLAN ҳамчун VLAN қабати 2 боқӣ мемонад, фаъол аст. Пайвастҳои IP-SGT, ки ҳангоми фаъол будани супориши VRF омӯхта шудаанд, инчунин ба ҷадвали интиқоли иттилоот (FIB), ки бо VRF ва версияи протоколи IP алоқаманданд, илова карда мешаванд. Агар SVI барои VLAN фаъол гардад, таъиноти VRF ба VLAN ғайрифаъол мешавад ва ҳама пайвастҳои дар VLAN омӯхташуда ба ҷадвали FIB, ки бо VRF-и SVI алоқаманданд, интиқол дода мешаванд.
Супориши VRF ба VLAN ҳатто ҳангоми ғайрифаъол шудани супориш нигоҳ дошта мешавад. Он вақте ки SVI хориҷ карда мешавад ё ҳангоми танзими суроғаи IP SVI дубора фаъол мешавад. Ҳангоми дубора фаъол кардан, пайвастагиҳои IP-SGT аз ҷадвали FIB, ки бо VRF-и SVI алоқаманд аст, ба ҷадвали FIB, ки бо VRF вобаста аст, ки аз ҷониби cts фармони l2-vrf ба нақш таъин шудааст, баргардонида мешаванд.
Таърихи хусусият барои Cisco TrustSec Overview
Ин ҷадвали нашр ва иттилооти марбут ба хусусиятҳои дар ин модул шарҳ додашударо пешкаш мекунад.
Ин хусусиятҳо дар ҳама нашрияҳое, ки баъд аз он ҷорӣ карда шудаанд, дастрасанд, агар тартиби дигаре қайд нашуда бошад.
CISCO Trustsec шабакаи бехатарро месозад - Таърихи хусусиятҳо барои Cisco TrustSec Overview
Барои дарёфти маълумот дар бораи дастгирии тасвири платформа ва нармафзор аз Cisco Feature Navigator истифода баред. Барои дастрасӣ
Cisco Feature Navigator, равед http://www.cisco.com/go/cfn.

Ҳуҷҷатҳо / Сарчашмаҳо

CISCO Trustsec шабакаи бехатарро месозад [pdf] Дастури корбар
Trustsec шабакаи бехатарро месозад, Trustsec, шабакаи бехатар, шабакаи бехатар, шабакаро месозад

Иқтибосҳо

Назари худро гузоред

Суроғаи почтаи электронии шумо нашр намешавад. Майдонҳои зарурӣ қайд карда шудаанд *