CISCO Trustsec Kọ Itọsọna Olumulo Nẹtiwọọki to ni aabo

CISCO Trustsec Kọ Secure
 Itọsọna olumulo nẹtiwọki

Cisco TrustSec n kọ awọn nẹtiwọọki to ni aabo nipasẹ iṣeto awọn ibugbe ti awọn ẹrọ nẹtiwọọki igbẹkẹle. Ẹrọ kọọkan ti o wa ni agbegbe jẹ ijẹrisi nipasẹ awọn ẹlẹgbẹ rẹ. Ibaraẹnisọrọ lori awọn ọna asopọ laarin awọn ẹrọ inu agbegbe ti wa ni ifipamo pẹlu apapo fifi ẹnọ kọ nkan, ṣayẹwo iduroṣinṣin ifiranṣẹ, ati awọn ọna aabo ipa-ọna data.

Awọn ihamọ fun Cisco TrustSec

Ipese iwọle ti o ni aabo (PAC) kuna o si wa ni ipo ti a fikọ, nigbati ID ẹrọ ti ko tọ ti ni pato. Paapaa lẹhin imukuro PAC, ati atunto ID ẹrọ to pe ati ọrọ igbaniwọle, PAC tun kuna.
Gẹgẹbi iṣẹ-ṣiṣe, ni Sisiko Identity Services Engine (ISE), ṣii Ṣiṣayẹwo Awọn alabara Anomalous Suppress
aṣayan ni Isakoso> Eto> Eto> Ilana> Akojọ Radius fun PAC lati ṣiṣẹ.

Cisco TrustSec ko ni atilẹyin ni ipo FIPS.
Awọn ihamọ wọnyi wulo nikan fun awoṣe C9500X-28C8D ti Sisiko ayase 9500 Series Yipada:
• Cisco TrustSec afọwọṣe iṣeto ni ko ni atilẹyin.
• Cisco TrustSec Security Association Protocol (SAP) iṣẹ ko ni atilẹyin.
• Sisiko TrustSec metadata akọsori ifipamo ko ni atilẹyin.

Awọn akoonu tọju

1 Alaye Nipa Cisco TrustSec Architecture

2 Awọn iwe aṣẹ / Awọn orisun

2.1 Awọn itọkasi

Alaye Nipa Cisco TrustSec Architecture

Sisiko TrustSec aabo faaji kọ awọn nẹtiwọọki to ni aabo nipasẹ iṣeto awọn ibugbe ti awọn ẹrọ nẹtiwọọki ti o ni igbẹkẹle. Ẹrọ kọọkan ti o wa ni agbegbe jẹ ijẹrisi nipasẹ awọn ẹlẹgbẹ rẹ. Ibaraẹnisọrọ lori awọn ọna asopọ laarin awọn ẹrọ inu agbegbe ti wa ni ifipamo pẹlu apapo fifi ẹnọ kọ nkan, ṣayẹwo iduroṣinṣin ifiranṣẹ, ati awọn ọna aabo ipa-ọna data. Cisco TrustSec nlo ẹrọ ati awọn iwe-ẹri olumulo ti o gba lakoko ijẹrisi fun tito awọn apo-iwe nipasẹ awọn ẹgbẹ aabo (SGs) bi wọn ṣe nwọle nẹtiwọọki. Yi soso classification ti wa ni itọju rẹ nipa tagging awọn apo-iwe lori ingress si Sisiko TrustSec nẹtiwọki ki nwọn ki o le wa ni dada daradara fun awọn idi ti a lilo aabo ati awọn miiran ilana imulo pẹlú awọn ọna data. Awọn tag, ti a npe ni ẹgbẹ aabo tag (SGT), ngbanilaaye nẹtiwọọki lati fi ipa mu ilana iṣakoso iwọle nipa ṣiṣe ẹrọ ipari lati ṣiṣẹ lori SGT lati ṣe àlẹmọ ijabọ.

Awọn ọna asopọ Cisco TrustSec IEEE 802.1X ko ni atilẹyin lori awọn iru ẹrọ ti o ni atilẹyin ni Sisiko IOS XE Denali
(16.1.x to 16.3.x), Cisco IOS XE Everest (16.4.x to 16.6.x), ati Cisco IOS XE Fuji (16.7.x to 16.9.x) tu, ati ki o nibi nikan Authenticator ni atilẹyin; Olubẹwẹ naa ko ni atilẹyin.

Sisiko TrustSec faaji ṣafikun awọn paati bọtini mẹta:

Awọn amayederun nẹtiwọki ti o ni idaniloju-Lẹhin ti ẹrọ akọkọ (ti a npe ni ẹrọ irugbin) jẹri pẹlu olupin ijẹrisi lati bẹrẹ aaye Sisiko TrustSec, ẹrọ titun kọọkan ti a fi kun si aaye naa jẹ ifọwọsi nipasẹ awọn ẹrọ ẹlẹgbẹ rẹ tẹlẹ laarin agbegbe naa. Awọn ẹlẹgbẹ ṣiṣẹ bi awọn agbedemeji fun olupin ìfàṣẹsí ìkápá naa. Ohun elo tuntun-ifọwọsi kọọkan jẹ tito lẹtọ nipasẹ olupin ìfàṣẹsí ati yàn nọmba ẹgbẹ aabo kan ti o da lori idanimọ rẹ, ipa, ati iduro aabo.
Iṣakoso iraye si orisun ẹgbẹ-aabo-Awọn eto imulo wiwọle laarin agbegbe Sisiko TrustSec jẹ ominira topology, da lori awọn ipa (gẹgẹbi a ti tọka nipasẹ nọmba ẹgbẹ aabo) ti orisun ati awọn ẹrọ ibi-ajo ju awọn adirẹsi nẹtiwọki lọ. Awọn apo-iwe kọọkan jẹ tagged pẹlu nọmba ẹgbẹ aabo ti orisun.

Ibaraẹnisọrọ to ni aabo-Pẹlu ohun elo fifi ẹnọ kọ nkan, ibaraẹnisọrọ lori ọna asopọ kọọkan laarin awọn ẹrọ inu agbegbe le ni ifipamo pẹlu apapo fifi ẹnọ kọ nkan, awọn sọwedowo iduroṣinṣin ifiranṣẹ, ati awọn ọna aabo ipa-ọna data.

Nọmba atẹle naa fihan iṣaajuample ti Cisco TrustSec-ašẹ. Ninu example, orisirisi awọn Nẹtiwọki ẹrọ ati awọn ẹya endpoint ẹrọ ni o wa inu awọn Sisiko TrustSec domain. Ẹrọ ipari kan ati ẹrọ netiwọki kan wa ni ita aaye nitori wọn kii ṣe awọn ẹrọ ti o lagbara Sisiko TrustSec tabi nitori wọn ti kọ iwọle. Olupin ìfàṣẹsí ni a gba pe o wa ni ita ti agbegbe Sisiko TrustSec; o jẹ boya Cisco Identities Service Engine (Cisco ISE), tabi Cisco Secure Access Control System (Cisco ACS).

olusin 1: Cisco TrustSec Network Domain Example

CISCO Trustsec Kọ Nẹtiwọọki Aabo - eeya 1

Olukuluku alabaṣe ninu ilana ijẹrisi Sisiko TrustSec ṣiṣẹ ni ọkan ninu awọn ipa wọnyi:

Olubẹwẹ-Ẹrọ ti ko ni ijẹrisi ti a ti sopọ si ẹlẹgbẹ kan laarin agbegbe Sisiko TrustSec, ati igbiyanju lati darapọ mọ agbegbe Sisiko TrustSec.

Olupin ijẹrisi-Olupin ti o fọwọsi idanimọ ti olubẹwẹ ti o sọ awọn eto imulo ti o pinnu iraye si awọn iṣẹ ti olubẹwẹ si awọn iṣẹ laarin agbegbe Sisiko TrustSec.
Aṣeju-Ẹrọ ti o jẹri ti o ti jẹ apakan ti agbegbe Sisiko TrustSec ati pe o le ṣe ijẹrisi awọn olubẹwẹ ẹlẹgbẹ tuntun fun aṣoju olupin naa.

Nigbati ọna asopọ laarin alabẹbẹ ati oniwadi ba kọkọ wa soke, lẹsẹsẹ awọn iṣẹlẹ ti n waye nigbagbogbo:

Ijeri (802.1X) — Olubẹwẹ naa jẹ ifọwọsi nipasẹ olupin ìfàṣẹsí, pẹlu afọwọsi ti n ṣiṣẹ bi agbedemeji. Ijeri ti ara ẹni ni a ṣe laarin awọn ẹlẹgbẹ meji (olubẹwẹ ati olujeri).
Aṣẹ-Da lori alaye idanimọ ti olubẹwẹ, olupin ijẹrisi n pese awọn eto imulo aṣẹ, gẹgẹbi awọn iṣẹ iyansilẹ ẹgbẹ aabo ati awọn ACL, si ọkọọkan awọn ẹlẹgbẹ ti o sopọ mọ. Olupin ijẹrisi n pese idanimọ ti ẹlẹgbẹ kọọkan si ekeji, ati pe ẹlẹgbẹ kọọkan lẹhinna lo eto imulo ti o yẹ fun ọna asopọ naa.

Idunadura Ẹgbẹ Aabo (SAP) - Nigbati awọn ẹgbẹ mejeeji ti ọna asopọ ṣe atilẹyin fifi ẹnọ kọ nkan, olubẹwẹ ati oludaniloju duna awọn aye pataki lati fi idi ẹgbẹ aabo kan (SA).

SAP ko ni atilẹyin lori awọn atọkun 100G. A ṣeduro pe ki o lo Ilana Adehun Bọtini MACsec
(MKA) pẹlu nọmba soso ti o gbooro sii (XPN) lori awọn atọkun 100G.

Nigbati gbogbo awọn igbesẹ mẹta ba ti pari, olutọtọ naa yipada ipo ọna asopọ lati ipo laigba aṣẹ (idinamọ) si ipo ti a fun ni aṣẹ, ati olubẹwẹ naa di ọmọ ẹgbẹ ti aaye Sisiko TrustSec.

Cisco TrustSec nlo ingress tagging ati sisẹ egress lati fi ipa mu ilana iṣakoso wiwọle ni ọna iwọn. Awọn apo-iwe ti nwọle si agbegbe jẹ tagged pẹlu ẹgbẹ aabo kan tag (SGT) ti o ni nọmba ẹgbẹ aabo ti a sọtọ ti ẹrọ orisun. Iyasọtọ apo-iwe yii jẹ itọju ni ọna data laarin aaye Sisiko TrustSec fun idi aabo ati awọn ilana imulo miiran. Ẹrọ Cisco TrustSec ti o kẹhin lori ọna data, boya aaye ipari tabi aaye egress nẹtiwọọki, ṣe imudara eto imulo iṣakoso wiwọle ti o da lori ẹgbẹ aabo ti ẹrọ orisun Sisiko TrustSec ati ẹgbẹ aabo ti ẹrọ Cisco TrustSec ikẹhin. Ko dabi awọn atokọ iṣakoso iwọle ti aṣa ti o da lori awọn adirẹsi nẹtiwọki, awọn eto imulo iṣakoso wiwọle Sisiko TrustSec jẹ fọọmu ti awọn atokọ iṣakoso wiwọle ti o da lori ipa (RBACLs) ti a pe ni awọn atokọ iṣakoso wiwọle ẹgbẹ aabo (SGACLs).

Ingress ntokasi si awọn apo-iwe ti nwọ awọn akọkọ Cisco TrustSec-agbara ẹrọ konge nipa a soso lori awọn oniwe-ona si awọn nlo ati egress ntokasi si awọn apo-iwe ti nlọ kẹhin Cisco TrustSec-agbara ẹrọ lori ona.

Ijeri

Cisco TrustSec ati Ijeri

Lilo Iṣakoso Gbigbawọle Ẹrọ Nẹtiwọọki (NDAC), Cisco TrustSec jẹri ẹrọ kan ṣaaju gbigba laaye lati darapọ mọ nẹtiwọọki naa. NDAC nlo ifitonileti 802.1X pẹlu Ilana Ijeri Ijeri Ijeri Rọ nipasẹ Tunnel Secure (EAP-FAST) gẹgẹbi ọna Ilana Ijeri Ijeri (EAP) lati ṣe ijẹrisi naa. Awọn ibaraẹnisọrọ EAP-FAST pese fun awọn ọna paṣipaarọ EAP miiran inu eefin EAP-FAST nipa lilo awọn ẹwọn. Awọn alabojuto le lo awọn ọna ijẹrisi olumulo-ibile, gẹgẹbi Microsoft Ipenija Handshake Ijeri Protocol Version 2 (MSCHAPv2), lakoko ti o tun ni aabo ti a pese nipasẹ eefin EAP-FAST. Lakoko paṣipaarọ EAP-FAST, olupin ìfàṣẹsí ṣẹda ati jiṣẹ si olubẹwẹ ni iwe-ẹri iwọle aabo alailẹgbẹ kan (PAC) ti o ni bọtini pinpin ati ami ifipamo lati ṣee lo fun awọn ibaraẹnisọrọ to ni aabo ọjọ iwaju pẹlu olupin ìfàṣẹsí.

Nọmba ti o tẹle n ṣe afihan eefin EAP-FAST ati awọn ọna inu bi a ṣe lo ninu Sisiko TrustSec.

olusin 2: Cisco TrustSec Ijeri

CISCO Trustsec Kọ Nẹtiwọọki Aabo - eeya 2

Cisco TrustSec Awọn ilọsiwaju si EAP-FAST

Imuse ti EAP-FAST fun Sisiko TrustSec ni awọn imudara wọnyi:

Jẹri olujeri naa—Ni aabo ṣe ipinnu idanimọ ti olujeri nipa bibeere oludaniloju lati lo PAC rẹ lati gba bọtini pinpin laarin ararẹ ati olupin ijẹrisi naa. Ẹya yii tun ṣe idiwọ fun ọ lati tunto awọn bọtini pinpin RADIUS lori olupin ìfàṣẹsí fun gbogbo adiresi IP ti o ṣeeṣe ti o le ṣee lo nipasẹ olujeri.

Fi leti ẹrọ kọọkan ti idanimọ ti ẹlẹgbẹ rẹ-Nipa opin ti paṣipaaro ìfàṣẹsí, olupin ìfàṣẹsí ti ṣe idanimọ mejeeji olubẹwẹ ati olujeri. Olupin ifitonileti naa n ṣalaye idanimọ ti oludaniloju, ati boya oluṣeto jẹ Sisiko TrustSec-agbara, si olubẹwẹ nipa lilo awọn afikun iru-ipari iye-iye (TLVs) ni aabo EAP-FAST ifopinsi. Olupin ijẹrisi naa tun ṣe afihan idanimọ ti olubẹwẹ, ati boya olubẹwẹ naa jẹ Sisiko TrustSec-agbara, si oluṣeto nipa lilo awọn eroja RADIUS ni Wiwọle-Gba ifiranṣẹ.
Nitoripe ẹrọ kọọkan mọ idanimọ ti ẹlẹgbẹ rẹ, o le fi afikun Awọn ibeere Wiwọle RADIUS ranṣẹ si olupin ijẹrisi lati gba eto imulo lati lo lori ọna asopọ.

802.1X ipa Yiyan

Ni 802.1X, oludaniloju gbọdọ ni Asopọmọra IP pẹlu olupin ijẹrisi nitori pe o ni lati yi paṣipaarọ ifitonileti laarin olubẹwẹ ati ijẹrisi nipa lilo RADIUS lori UDP/IP. Nigbati ẹrọ ipari kan, gẹgẹbi PC kan, sopọ si nẹtiwọki kan, o han gbangba pe o yẹ ki o ṣiṣẹ bi olubẹwẹ. Sibẹsibẹ, ninu ọran ti Sisiko TrustSec asopọ laarin awọn ẹrọ nẹtiwọọki meji, ipa 802.1X ti ẹrọ nẹtiwọọki kọọkan le ma han lẹsẹkẹsẹ si ẹrọ nẹtiwọọki miiran.

Dipo ti o nilo iṣeto ni afọwọṣe ti oludaniloju ati awọn ipa alabẹwẹ fun awọn iyipada isunmọ meji, Sisiko TrustSec n ṣiṣẹ algorithm yiyan ipa kan lati pinnu laifọwọyi iru awọn iṣẹ iyipada bi olujeri ati eyiti o ṣiṣẹ bi olubẹwẹ. Alugoridimu ipa-aṣayan ṣe ipinnu ipa oludaniloju si iyipada ti o ni arọwọto IP si olupin RADIUS kan. Mejeeji awọn yipada bẹrẹ mejeeji olujeri ati awọn ẹrọ ipinlẹ alabẹbẹ. Nigbati iyipada kan ba rii pe ẹlẹgbẹ rẹ ni iwọle si olupin RADIUS, o fopin si ẹrọ ipinlẹ ti o jẹri tirẹ ati gba ipa ti olubẹwẹ. Ti awọn iyipada mejeeji ba ni iwọle si olupin RADIUS kan, iyipada akọkọ lati gba esi lati ọdọ olupin RADIUS di oludaniloju ati iyipada miiran di olubẹwẹ.

Cisco TrustSec Ijeri Lakotan

Ni ipari ilana ijẹrisi Sisiko TrustSec, olupin ijẹrisi ti ṣe awọn iṣe wọnyi:

Ṣe idaniloju awọn idamọ ti olubẹwẹ ati oludaniloju.

Ti jẹri olumulo ti olubẹwẹ jẹ ẹrọ ipari.

Ni ipari ilana ijẹrisi Sisiko TrustSec, mejeeji ti o jẹri ati olubẹwẹ mọ atẹle naa:

atẹle:

ID ẹrọ ti ẹlẹgbẹ
Cisco TrustSec alaye agbara ti ẹlẹgbẹ

Bọtini ti a lo fun SAP

Awọn Idanimọ ẹrọ

Cisco TrustSec ko lo adiresi IP tabi adiresi MAC bi idamo ẹrọ. Dipo, o fi orukọ kan (ID ẹrọ) si iyipada kọọkan ti Sisiko TrustSec lati ṣe idanimọ rẹ ni iyasọtọ ni agbegbe Sisiko TrustSec. ID ẹrọ yii jẹ lilo fun atẹle naa:

Wiwa soke eto imulo aṣẹ

Wiwa awọn ọrọ igbaniwọle ninu awọn apoti isura infomesonu lakoko ijẹrisi

Awọn iwe-ẹri ẹrọ

Cisco TrustSec ṣe atilẹyin awọn iwe-ẹri orisun ọrọ igbaniwọle. Cisco TrustSec jẹri awọn olubẹwẹ nipasẹ awọn ọrọ igbaniwọle o si nlo MSCHAPv2 lati pese ijẹrisi ara ẹni.

Olupin ìfàṣẹsí naa nlo awọn iwe-ẹri wọnyi lati jẹri olubẹwẹ ni ifarabalẹ ni akoko EAP-FAST alakoso 0 (ipese) paṣipaarọ nibiti a ti pese PAC kan ninu olubẹwẹ. Cisco TrustSec ko tun ṣe paṣipaarọ EAP-FAST alakoso 0 lẹẹkansi titi ti PAC yoo fi pari, ati pe o ṣe ipele EAP-FAST 1 nikan ati awọn paṣipaarọ alakoso 2 fun awọn ọna asopọ ọna asopọ iwaju. Paṣipaarọ EAP-FAST alakoso 1 nlo PAC lati ṣe ijẹrisi olupin ìfàṣẹsí ati olubẹwẹ naa. Cisco TrustSec nlo awọn iwe-ẹri ẹrọ nikan lakoko ipese PAC (tabi atunṣe).

Nigbati olubẹwẹ kọkọ darapọ mọ agbegbe Sisiko TrustSec, olupin ijẹrisi naa jẹri olubẹwẹ ati titari bọtini pinpin ati ami ifipamo si olubẹwẹ pẹlu PAC. Olupin ìfàṣẹsí ati olubẹbẹ naa lo bọtini yii ati àmi fun ìfàṣẹsí ara-ẹni ni gbogbo awọn paṣipaarọ EAP-FAST iwaju 0.

Awọn iwe-ẹri olumulo

Cisco TrustSec ko nilo iru iwe-ẹri olumulo kan pato fun awọn ẹrọ ipari. O le yan iru eyikeyi ọna ìfàṣẹsí olumulo ti o ni atilẹyin nipasẹ olupin ìfàṣẹsí, ki o si lo awọn iwe-ẹri ti o baamu. Fun example, Sisiko Secure Access Control System (ACS) version 5.1 ṣe atilẹyin MSCHAPv2, jeneriki kaadi àmi (GTC), tabi RSA ọkan-akoko ọrọigbaniwọle (OTP)

Iṣakoso-orisun wiwọle Ẹgbẹ Aabo
Abala yii n pese alaye nipa awọn atokọ iṣakoso wiwọle orisun-aabo (SGACLs).

Awọn ẹgbẹ Aabo ati awọn SGT
Ẹgbẹ aabo jẹ akojọpọ awọn olumulo, awọn ẹrọ ipari, ati awọn orisun ti o pin awọn ilana iṣakoso iwọle. Awọn ẹgbẹ aabo jẹ asọye nipasẹ olutọju ni Sisiko ISE tabi Cisco Secure ACS. Bi awọn olumulo titun ati awọn ẹrọ ti wa ni afikun si Sisiko TrustSec domain, olupin ìfàṣẹsí fi awọn nkan tuntun wọnyi si awọn ẹgbẹ aabo ti o yẹ. Cisco TrustSec n fun ẹgbẹ aabo kọọkan nọmba ẹgbẹ aabo 16-bit alailẹgbẹ ti opin rẹ jẹ agbaye laarin agbegbe Sisiko TrustSec kan. Nọmba awọn ẹgbẹ aabo ninu ẹrọ naa ni opin si nọmba awọn nkan nẹtiwọọki ti o jẹri. O ko ni lati tunto awọn nọmba ẹgbẹ aabo pẹlu ọwọ.

Ni kete ti ẹrọ ba ti jẹri, Cisco TrustSec tags eyikeyi apo-iwe ti o bẹrẹ lati ẹrọ yẹn pẹlu ẹgbẹ aabo kan tag (SGT) ti o ni awọn aabo ẹgbẹ nọmba ti awọn ẹrọ. Paketi naa gbe SGT yii jakejado nẹtiwọọki laarin akọsori Sisiko TrustSec. SGT jẹ aami kan ti o pinnu awọn anfani ti orisun laarin gbogbo ile-iṣẹ.

Nitori SGT ni awọn ẹgbẹ aabo ti awọn orisun, awọn tag le ti wa ni tọka si bi SGT orisun. Ẹrọ irin ajo naa tun jẹ ipin si ẹgbẹ aabo kan (SG opin irin ajo) ti o le tọka si fun ayedero bi ẹgbẹ irin ajo. tag (DGT), biotilejepe awọn gangan Cisco TrustSec soso tag ko ni nọmba ẹgbẹ aabo ti ẹrọ ti nlo.

Aabo Ẹgbẹ ACL Support
Awọn atokọ iṣakoso wiwọle ẹgbẹ aabo (SGACLs) jẹ imuse imulo nipasẹ eyiti oludari le ṣakoso awọn iṣẹ ṣiṣe nipasẹ olumulo kan, da lori awọn iṣẹ iyansilẹ ẹgbẹ aabo ati awọn orisun opin irin ajo. Imudaniloju eto imulo laarin agbegbe Sisiko Trustsec jẹ aṣoju nipasẹ matrix awọn igbanilaaye, pẹlu nọmba ẹgbẹ aabo orisun lori ipo kan ati nọmba ẹgbẹ aabo opin irin ajo lori ipo miiran. Ẹnu kọọkan ninu matrix ni atokọ ti paṣẹ ti SGACLs, eyiti o ṣalaye awọn igbanilaaye ti o yẹ ki o lo si awọn apo-iwe ti o wa lati IP ti o jẹ ti ẹgbẹ aabo orisun ati nini IP opin irin ajo ti o jẹ ti ẹgbẹ aabo opin irin ajo.

SGACL n pese ẹrọ iṣakoso iraye si aini ipinlẹ ti o da lori ẹgbẹ aabo tabi ẹgbẹ aabo tag iye dipo ti IP adirẹsi ati Ajọ. Awọn ọna mẹta lo wa lati pese eto imulo SGACL kan:

Ipese eto imulo aimi: Awọn ilana SGACL jẹ asọye nipasẹ olumulo nipa lilo aṣẹ cts igbanilaaye ti o da lori ipa.

Ipese eto imulo ti o ni agbara: Iṣeto ni awọn eto imulo SGACL yẹ ki o ṣee ṣe ni akọkọ nipasẹ iṣẹ iṣakoso eto imulo ti Sisiko Secure ACS tabi Sisiko Identity Services Engine.
Iyipada ti aṣẹ (CoA): Ilana imudojuiwọn ti wa ni igbasilẹ nigbati eto imulo SGACL ti yipada lori ISE ati titari CoA si ẹrọ Sisiko TrustSec.
Ọkọ ofurufu data ẹrọ gba awọn apo-iwe CoA lati ọdọ olupese eto imulo (ISE) ati lo eto imulo si awọn apo-iwe CoA. Awọn apo-iwe lẹhinna ni a firanṣẹ siwaju si ọkọ ofurufu iṣakoso ẹrọ nibiti ipele atẹle ti imuse imulo yoo ṣẹlẹ fun awọn apo-iwe CoA ti nwọle. Si view hardware ati software imulo counter lu alaye, ṣiṣe awọn show cts ipa-orisun awọn ounka pipaṣẹ ni anfani EXEC mode.

SGACL imulo

Lilo awọn atokọ iṣakoso wiwọle ẹgbẹ aabo (SGACLs), o le ṣakoso awọn iṣẹ ṣiṣe ti awọn olumulo le ṣe da lori awọn iṣẹ iyansilẹ ẹgbẹ aabo ti awọn olumulo ati awọn orisun opin irin ajo. Imudaniloju eto imulo laarin agbegbe Sisiko TrustSec jẹ aṣoju nipasẹ matrix igbanilaaye, pẹlu awọn nọmba ẹgbẹ aabo orisun lori ipo kan ati awọn nọmba ẹgbẹ aabo opin irin ajo lori ipo keji. Ẹyin kọọkan ninu ara matrix le ni atokọ ti a paṣẹ fun awọn SGACLs eyiti o ṣalaye awọn igbanilaaye ti o yẹ ki o lo si awọn apo-iwe ti o wa lati ẹgbẹ aabo orisun ati ti pinnu fun ẹgbẹ aabo opin irin ajo.

Nọmba atẹle naa fihan iṣaajuample ti Sisiko TrustSec awọn igbanilaaye matrix fun kan ti o rọrun ašẹ pẹlu mẹta telẹ olumulo ipa ati ọkan telẹ nlo awọn oluşewadi. Awọn ilana SGACL mẹta n ṣakoso iraye si olupin ibi-ajo ti o da lori ipa ti olumulo.

olusin 3: SGACL Afihan Matrix Example

CISCO Trustsec Kọ Nẹtiwọọki Aabo - eeya 3

Nipa yiyan awọn olumulo ati awọn ẹrọ laarin nẹtiwọọki si awọn ẹgbẹ aabo ati lilo iṣakoso iwọle laarin awọn ẹgbẹ aabo, Cisco TrustSec ṣaṣeyọri ipa-orisun topology-iṣakoso iwọle ominira laarin nẹtiwọọki. Nitoripe awọn SGACL ṣe asọye awọn ilana iṣakoso wiwọle ti o da lori awọn idanimọ ẹrọ dipo awọn adirẹsi IP bi ninu awọn ACL ti aṣa, awọn ẹrọ nẹtiwọọki ni ominira lati gbe jakejado nẹtiwọọki ati yi awọn adirẹsi IP pada.
Niwọn igba ti awọn ipa ati awọn igbanilaaye wa kanna, awọn iyipada si topology nẹtiwọki ko yi eto imulo aabo pada. Nigbati olumulo kan ba ṣafikun si ẹrọ naa, o kan fi olumulo ranṣẹ si ẹgbẹ aabo ti o yẹ ati pe olumulo naa gba awọn igbanilaaye ti ẹgbẹ naa lẹsẹkẹsẹ.

Awọn ilana SGACL ni a lo si ijabọ ti o ti ipilẹṣẹ laarin awọn ẹrọ agbalejo meji, kii ṣe si ijabọ ti o ti ipilẹṣẹ lati ẹrọ kan si ohun elo agbalejo opin.

Lilo awọn igbanilaaye ti o da lori ipa dinku iwọn awọn ACL pupọ ati mu ki itọju wọn rọrun. Pẹlu Sisiko TrustSec, nọmba awọn titẹ sii iṣakoso iwọle (ACEs) ti iṣeto ni ipinnu nipasẹ nọmba awọn igbanilaaye ti a ṣalaye, ti o mu abajade nọmba ACE ti o kere pupọ ju ti nẹtiwọọki IP ibile kan. Lilo awọn SGACLs ni Sisiko TrustSec ni igbagbogbo awọn abajade ni lilo daradara diẹ sii ti awọn orisun TCAM ni akawe pẹlu awọn ACL ti aṣa. O pọju awọn eto imulo SGACL 17,500 ni atilẹyin lori Awọn Yipada Jara Catalyst 9500. Lori Awọn Yipada Iṣe-iṣẹ giga ti Catalyst 9500, iwọn ti o pọju 28,224 SGACL ni atilẹyin.

Ibẹrẹ Tagging ati Imudaniloju Egress

Cisco TrustSec Iṣakoso wiwọle ti wa ni imuse nipa lilo ingress tagging ati egress agbofinro. Ni aaye ingress si Cisco TrustSec domain, ijabọ lati orisun jẹ tagged pẹlu SGT ti o ni nọmba ẹgbẹ aabo ti nkan orisun. SGT ti wa ni ikede pẹlu ijabọ kọja agbegbe naa. Ni aaye egress ti Sisiko TrustSec ašẹ, ohun elo egress nlo orisun SGT ati nọmba ẹgbẹ aabo ti nkan ti o nlo (SG opin si, tabi DGT) lati pinnu iru ilana iwọle lati lo lati inu matrix eto imulo SGACL.

Nọmba ti o tẹle yii fihan bi iṣẹ iyansilẹ SGT ati imuse SGACL ṣe nṣiṣẹ ni agbegbe Sisiko TrustSec.

olusin 4: SGT ati SGACL ni Cisco TrustSec Domain

CISCO Trustsec Kọ Nẹtiwọọki Aabo - eeya 4

Awọn ogun PC ndari a soso si awọn web olupin. Biotilejepe awọn PC ati awọn web olupin kii ṣe ọmọ ẹgbẹ ti agbegbe Sisiko TrustSec, ọna data ti apo-iwe pẹlu agbegbe Sisiko TrustSec.

Ẹrọ ingress Cisco TrustSec ṣe atunṣe apo-iwe naa lati ṣafikun SGT pẹlu nọmba ẹgbẹ aabo 3, nọmba ẹgbẹ aabo ti a sọtọ nipasẹ olupin ijẹrisi fun PC agbalejo.
Ẹrọ Sisiko TrustSec egress n fi agbara mu ilana SGACL ti o kan si ẹgbẹ orisun 3 ati ẹgbẹ irin ajo 4, nọmba ẹgbẹ aabo ti a yàn nipasẹ olupin ijẹrisi fun web olupin.

Ti SGACL ba gba apo-iwe naa laaye lati firanṣẹ siwaju, Sisiko TrustSec egress yipada yipada apo-iwe naa lati yọ SGT kuro ki o fi soso naa siwaju si web olupin.

Ṣiṣe ipinnu Ẹgbẹ Aabo Orisun

Ẹrọ nẹtiwọọki kan ti o wa ni ifilọlẹ ti agbegbe Sisiko TrustSec gbọdọ pinnu SGT ti apo-iwe ti nwọle agbegbe Sisiko TrustSec ki o le tag soso pẹlu SGT yẹn nigba ti o ba dari rẹ sinu agbegbe Sisiko TrustSec. Ẹrọ nẹtiwọọki egress gbọdọ pinnu SGT ti apo-iwe naa lati le lo SGACL kan.

Ẹrọ nẹtiwọọki le pinnu SGT fun soso ni ọkan ninu awọn ọna atẹle:

Gba orisun SGT lakoko imudani eto imulo-Lẹhin ipo ijẹrisi Cisco TrustSec, ẹrọ nẹtiwọọki kan gba alaye eto imulo lati ọdọ olupin ijẹrisi, eyiti o tọka boya ẹrọ ẹlẹgbẹ jẹ igbẹkẹle tabi rara. Ti ẹrọ ẹlẹgbẹ ko ba ni igbẹkẹle, lẹhinna olupin ijẹrisi tun le pese SGT kan lati kan si gbogbo awọn apo-iwe ti o nbọ lati ẹrọ ẹlẹgbẹ.

Gba orisun SGT lati inu apo-Ti apo kan ba wa lati ẹrọ ẹlẹgbẹ ti o gbẹkẹle, apo naa gbe SGT naa. Eyi kan ẹrọ nẹtiwọọki kan ti kii ṣe ẹrọ nẹtiwọọki akọkọ ni agbegbe Sisiko TrustSec fun soso naa.
Wa orisun SGT ti o da lori idanimọ orisun-Pẹlu Identity Port Mapping (IPM), o le ṣe atunto ọna asopọ pẹlu ọwọ pẹlu idanimọ ti ẹlẹgbẹ ti o sopọ. Ẹrọ nẹtiwọọki n beere alaye eto imulo, pẹlu SGT ati ipo igbẹkẹle, lati ọdọ olupin ijẹrisi.
Wa orisun SGT ti o da lori adiresi IP orisun — Ni awọn igba miiran, o le tunto eto imulo pẹlu ọwọ lati pinnu SGT ti apo kan ti o da lori adiresi IP orisun rẹ. Ilana Iyipada SGT (SXP) tun le ṣe agbejade tabili aworan aworan IP-adirẹsi-SGT.

Ṣiṣe ipinnu Ẹgbẹ Aabo Nlo

Ẹrọ nẹtiwọọki egress ni aaye Sisiko TrustSec ṣe ipinnu ẹgbẹ opin irin ajo (DGT) fun lilo SGACL. Ẹrọ nẹtiwọọki n ṣe ipinnu ẹgbẹ aabo opin irin ajo fun apo naa ni lilo awọn ọna kanna ti a lo fun ṣiṣe ipinnu ẹgbẹ aabo orisun, ayafi ti gbigba nọmba ẹgbẹ lati apo-iwe kan. tag. Nọmba ẹgbẹ aabo ti nlo ko si ninu apo-iwe kan tag.

Ni awọn igba miiran, awọn ẹrọ ingress tabi awọn ẹrọ miiran ti kii jade le ni alaye ẹgbẹ opin irin ajo wa. Ni awọn ọran wọnyẹn, awọn SGACL le ṣee lo ninu awọn ẹrọ wọnyi ju awọn ẹrọ egress lọ.

Imudaniloju SGACL lori Ipa ọna ati Yipada
Imudaniloju SGACL ni a lo lori ijabọ IP nikan, ṣugbọn imuṣeduro le ṣee lo si boya ipa-ọna tabi ijabọ iyipada.
Fun ijabọ ipalọlọ, imuṣiṣẹ SGACL jẹ ṣiṣe nipasẹ iyipada egress kan, ni igbagbogbo iyipada pinpin tabi iyipada iwọle pẹlu ibudo ipa ọna asopọ si agbalejo ibi-ajo. Nigbati o ba mu imuṣiṣẹ SGACL ṣiṣẹ ni agbaye, imuṣiṣẹ ṣiṣẹ laifọwọyi lori gbogbo wiwo Layer 3 ayafi awọn atọkun SVI.

Fun ijabọ iyipada, imuṣiṣẹ SGACL ni a ṣe lori ijabọ ti nṣan laarin agbegbe iyipada kan laisi iṣẹ ipa-ọna eyikeyi. Ohun example jẹ imuse SGACL ti a ṣe nipasẹ iyipada iwọle ile-iṣẹ data lori ijabọ olupin si olupin laarin awọn olupin meji ti o sopọ taara. Ninu exampNitorina, ijabọ olupin-si-olupin yoo maa yipada nigbagbogbo. A le lo imuṣiṣẹ SGACL si awọn apo-iwe ti o yipada laarin VLAN tabi firanṣẹ si SVI ti o ni nkan ṣe pẹlu VLAN, ṣugbọn imuṣiṣẹ gbọdọ ṣiṣẹ ni gbangba fun VLAN kọọkan.

SGACL wíwọlé ati ACE Statistics

Nigbati o ba ṣiṣẹ wọle ni SGACL, ẹrọ naa ṣe igbasilẹ alaye wọnyi:

Ẹgbẹ aabo orisun tag (SGT) ati ibi SGT
Orukọ eto imulo SGACL
Awọn soso bèèrè iru
Iṣe ti a ṣe lori apo

Aṣayan log naa kan si awọn ACE kọọkan ati pe o fa awọn apo-iwe ti o baamu ACE lati wọle. Paketi akọkọ ti o wọle nipasẹ ọrọ-ọrọ log ṣe ipilẹṣẹ ifiranṣẹ syslog kan. Awọn ifiranšẹ log atẹle jẹ ipilẹṣẹ ati royin ni awọn aaye arin iṣẹju marun. Ti o ba jẹ pe ACE ti o ṣiṣẹ gedu baamu pẹlu apo-iwe miiran (pẹlu awọn abuda ti o jọra si apo-iwe ti o ṣe ipilẹṣẹ ifiranṣẹ log), nọmba awọn idii ti o baamu ti pọ si (awọn onka) ati lẹhinna royin.

Lati mu gedu ṣiṣẹ, lo ọrọ-ọrọ log ni iwaju asọye ACE ni iṣeto SGACL. Fun example, laye ip log.

Nigbati SGACL wíwọlé ti ṣiṣẹ, Awọn ifiranšẹ Ibere ICMP lati ẹrọ si onibara ko ni ibuwolu wọle fun
IPv4 ati IPv6 Ilana. Sibẹsibẹ; Awọn ifiranṣẹ Idahun ICMP lati ọdọ alabara si ẹrọ naa ti wọle.

Awọn wọnyi ni biample log, iṣafihan orisun ati opin SGTs, awọn ibaamu ACE (fun iyọọda tabi sẹ igbese), ati ilana naa, iyẹn ni, TCP, UDP, IGMP, ati alaye ICMP:

* Jun 2 08: 58: 06.489:% C4K_IOSINTF-6-SGACLHIT: akojọ deny_udp_src_port_log-30 sẹ udp 24.0.0.23 (100) -> 28.0.0.91 (100), SGT8 DGT 12.

Ni afikun si awọn iṣiro SGACL 'fun sẹẹli' ti o wa tẹlẹ, eyiti o le ṣe afihan nipa lilo ipa-orisun ifihan cts
aṣẹ counters, o tun le ṣafihan awọn iṣiro ACE, nipa lilo aṣẹ ip wiwọle-akojọ sgacl_name show. Ko si afikun iṣeto ni ti a beere fun eyi.
Awọn wọnyi example fihan bi o ṣe le lo aṣẹ atokọ wiwọle ip show lati ṣafihan kika ACE

Ẹrọ # ṣe afihan iwọle-iṣakoso deny_udp_src_port_log-30
Atokọ wiwọle IP ti o da lori ipa deny_udp_src_port_log-30 (ṣe igbasilẹ)
10 kọ udp src eq 100 log (awọn ibaamu 283)
20 igbasilẹ ip log (awọn ibaamu 50)

Nigba ti o ti nwọle ijabọ ibaamu awọn sẹẹli, ṣugbọn ko ni ko baramu awọn SGACL ti awọn sẹẹli, awọn ijabọ ti wa ni laaye ati awọn ounka ti wa ni afikun ni HW-Igbalaaye fun awọn sẹẹli.

Awọn wọnyi example fihan bi SGACL ti sẹẹli ṣe n ṣiṣẹ:

Eto imulo SGACL jẹ tunto lati 5 si 18 pẹlu “sẹ icmp echo” ati pe ijabọ ti nwọle lati 5 si 18 pẹlu akọsori TCP. Ti sẹẹli ba baamu lati 5 si 18 ṣugbọn ijabọ ko baramu pẹlu icmp, ijabọ yoo gba laaye ati pe HW-Permit counter ti sẹẹli 5 si 18 yoo pọsi.

CISCO Trustsec Kọ Nẹtiwọọki Aabo - Eto imulo SGACL jẹ tunto lati 5 si 18 pẹlu “sẹ icmp iwoyi

VRF-mọ SGACL wíwọlé

Awọn igbasilẹ eto SGACL yoo pẹlu alaye VRF. Ni afikun si awọn aaye ti o wọle lọwọlọwọ, alaye gedu yoo pẹlu orukọ VRF. Alaye gedu imudojuiwọn yoo jẹ bi a ṣe han ni isalẹ:

* Oṣu kọkanla 15 02: 18: 52.187:% RBM-6-SGACLHIT_V6: ingress_interface = 'GigabitEthernet1/0/15' sgacl_name = 'IPV6_TCP_DENY' igbese = 'Kọ' Ilana ='tcp' srcSrc-srcV' -ip = '25 :: 2' src-ibudo = '20'
dest-vrf=’CTS-VRF’ dest-ip=’49::2′ dest-port=’30’sgt=’200′ dgt=’500′ logging_interval_hits=’1′

Ipo Atẹle SGACL
Lakoko ipele iṣaju iṣaju ti Sisiko TrustSec, oluṣakoso yoo lo ipo atẹle lati ṣe idanwo awọn eto imulo aabo lai fi ipa mu wọn lati rii daju pe awọn eto imulo ṣiṣẹ bi a ti pinnu. Ti awọn eto imulo aabo ko ba ṣiṣẹ bi a ti pinnu, ipo atẹle n pese ẹrọ irọrun fun idamo iyẹn ati pese aye lati ṣe atunṣe eto imulo ṣaaju ṣiṣe imuṣiṣẹ SGACL. Eyi n gba awọn alakoso lọwọ lati ni iwoye ti o pọ si abajade ti awọn iṣe imulo ṣaaju ki wọn fi ipa mu, ati jẹrisi pe eto imulo koko-ọrọ pade awọn ibeere aabo (iwọle ti kọ si awọn orisun ti awọn olumulo ko ba jẹ
fun ni aṣẹ).
Agbara ibojuwo ti pese ni ipele bata SGT-DGT. Nigbati o ba mu ẹya ipo ibojuwo SGACL ṣiṣẹ, iṣẹ sẹ ni imuse bi iyọọda ACL lori awọn kaadi laini. Eyi ngbanilaaye awọn iṣiro SGACL ati gedu lati ṣafihan bi awọn asopọ ṣe n ṣakoso nipasẹ eto imulo SGACL. Niwọn igba ti gbogbo ijabọ abojuto ti gba laaye, ko si idalọwọduro iṣẹ nitori awọn SGACL lakoko ti o wa ni ipo atẹle SGACL.

Aṣẹ ati Afihan Akomora

Lẹhin ti ìfàṣẹsí ẹrọ ba pari, mejeeji olubẹwẹ ati oludaniloju gba eto imulo aabo lati ọdọ olupin ìfàṣẹsí. Awọn ẹlẹgbẹ meji lẹhinna ṣe aṣẹ ọna asopọ ati fi ipa mu ilana aabo ọna asopọ si ara wọn ti o da lori awọn ID ẹrọ Cisco TrustSec wọn. Ọna asopọ ọna asopọ le tunto bi boya 802.1X tabi ijẹrisi afọwọṣe. Ti aabo ọna asopọ jẹ 802.1X, ẹlẹgbẹ kọọkan lo ID ẹrọ ti a gba lati ọdọ olupin ijẹrisi. Ti aabo ọna asopọ jẹ afọwọṣe, o gbọdọ fi awọn ID ẹrọ ẹlẹgbẹ.

Olupin ijẹrisi naa da awọn abuda eto imulo wọnyi pada:

Igbẹkẹle Cisco TrustSec- Tọkasi boya ẹrọ ẹlẹgbẹ ni lati ni igbẹkẹle fun idi ti fifi SGT sinu awọn apo-iwe.
Ẹlẹgbẹ SGT-tọkasi aabo ẹgbẹ si eyi ti ẹlẹgbẹ je ti. Ti ẹlẹgbẹ ko ba ni igbẹkẹle, gbogbo awọn apo-iwe ti o gba lati ọdọ ẹlẹgbẹ jẹ tagged pẹlu yi SGT. Ti ẹrọ naa ko ba mọ boya eyikeyi SGACLs ni nkan ṣe pẹlu SGT ẹlẹgbẹ, ẹrọ naa le fi ibeere atẹle ranṣẹ si olupin ijẹrisi lati ṣe igbasilẹ awọn SGACLs.
Akoko ipari-aṣẹ-tọkasi nọmba awọn iṣẹju-aaya ṣaaju ki eto imulo dopin. Ẹrọ Sisiko TrustSec yẹ ki o sọ eto imulo ati aṣẹ rẹ sọ di akoko to jade. Ẹrọ naa le kaṣe ijẹrisi ati data eto imulo ati tun lo lẹhin atunbere ti data ko ba ti pari.

Ẹrọ Sisiko TrustSec kọọkan yẹ ki o ṣe atilẹyin ilana iwọle aiyipada diẹ diẹ ti ko ba ni anfani lati kan si olupin ijẹrisi lati gba eto imulo ti o yẹ fun ẹlẹgbẹ.

Ilana idunadura NDAC ati SAP han ni nọmba atẹle

Ṣe nọmba 5: NDAC ati SAP Idunadura

CISCO Trustsec Kọ Nẹtiwọọki Aabo - eeya 5

Ayika Data Download

Awọn data ayika Sisiko TrustSec jẹ akojọpọ alaye tabi awọn eto imulo ti o ṣe iranlọwọ fun ẹrọ kan lati ṣiṣẹ bi ipade Sisiko TrustSec. Ẹrọ naa gba data agbegbe lati ọdọ olupin ijẹrisi nigbati ẹrọ naa kọkọ darapọ mọ agbegbe Sisiko TrustSec, botilẹjẹpe o tun le tunto diẹ ninu awọn data lori ẹrọ kan pẹlu ọwọ. Fun example, o gbọdọ tunto awọn irugbin Cisco TrustSec ẹrọ pẹlu ìfàṣẹsí olupin alaye, eyi ti o le nigbamii ti wa ni afikun nipa awọn olupin akojọ ti awọn ẹrọ gba lati awọn ìfàṣẹsí server.

Ẹrọ naa gbọdọ sọ data agbegbe Sisiko TrustSec sọ ṣaaju ki o to pari. Ẹrọ naa tun le kaṣe data ayika ki o tun lo lẹhin atunbere ti data ko ba ti pari.

Ẹrọ naa nlo RADIUS lati gba data ayika atẹle lati ọdọ olupin ìfàṣẹsí:

Awọn atokọ olupin: Akojọ awọn olupin ti alabara le lo fun awọn ibeere RADIUS iwaju (fun ijẹrisi mejeeji ati aṣẹ). Imudara PAC waye nipasẹ awọn olupin wọnyi.
Ẹrọ SG: Ẹgbẹ aabo eyiti ẹrọ funrararẹ jẹ.
Akoko ipari: Aarin ti o ṣakoso iye igba ti ẹrọ Sisiko TrustSec yẹ ki o sọ data agbegbe rẹ sọtun.

RADIUS Relay Iṣẹ

Ẹrọ ti o ṣe ipa ti Sisiko TrustSec afọwọsi ni ilana ijẹrisi 802.1X ni IP Asopọmọra si olupin ifitonileti, gbigba ẹrọ laaye lati gba eto imulo ati aṣẹ lati ọdọ olupin ijẹrisi nipasẹ paarọ awọn ifiranṣẹ RADIUS lori UDP/IP. Ẹrọ alabẹbẹ le ma ni asopọ IP pẹlu olupin ìfàṣẹsí. Ni iru awọn iṣẹlẹ bẹẹ, Sisiko TrustSec ngbanilaaye oludaniloju lati ṣiṣẹ bi iṣipopada RADIUS fun alabẹbẹ naa.

Olubẹwẹ naa fi ifiranṣẹ EAPOL pataki kan ranṣẹ si olutọtọ ti o ni adiresi IP olupin RADIUS ati ibudo UDP ati ibeere RADIUS pipe. Oludaniloju ṣe jade ibeere RADIUS lati ifiranṣẹ EAPOL ti o gba ati firanṣẹ lori UDP/IP si olupin ijẹrisi naa. Nigbati idahun RADIUS ba pada lati olupin ifitonileti, olutọtọ naa dari ifiranṣẹ naa pada si olubẹwẹ, ti a fi sinu fireemu EAPOL kan.

Aabo ọna asopọ

Nigbati awọn ẹgbẹ mejeeji ti ọna asopọ ṣe atilẹyin 802.1AE Media Access Iṣakoso Aabo (MACsec), idunadura kan ti a ti ṣe ilana ẹgbẹ aabo (SAP). Paṣipaarọ EAPOL-Kọtini waye laarin olubẹwẹ ati oludaniloju lati ṣe dunadura suite cipher kan, awọn aye aabo paṣipaarọ, ati ṣakoso awọn bọtini. Ipari aṣeyọri ti gbogbo awọn iṣẹ-ṣiṣe mẹta jẹ abajade ni idasile ẹgbẹ aabo kan (SA).

Ti o da lori ẹya sọfitiwia rẹ, iwe-aṣẹ crypto, ati atilẹyin ohun elo ọna asopọ, idunadura SAP le lo ọkan ninu awọn ọna ṣiṣe atẹle:

Ipo Galois/Counter (GCM) — Ṣetọ ìfàṣẹsí ati ìsekóòdù
GCM ìfàṣẹsí (GMAC) — Ṣetọ ìfàṣẹsí ko si si ìsekóòdù
Ko si Ipilẹṣẹ—Ko sọ asọye kan pato (ọrọ ko o)
Null-Ntọka fifi ẹnọ kọ nkan, ko si ìfàṣẹsí ko si si ìsekóòdù

Gbogbo awọn ipo ayafi Ko si Encapsulation nilo ohun elo Cisco TrustSec ti o lagbara.

Ṣiṣeto SAP-PMK fun Aabo Ọna asopọ

SXP fun SGT Soju Kọja Legacy Access Networks
TagAwọn apo-iwe ging pẹlu SGT nilo atilẹyin ohun elo. O le ni awọn ẹrọ inu nẹtiwọọki rẹ ti, lakoko ti o lagbara lati kopa ninu ijẹrisi Cisco TrustSec, ko ni agbara ohun elo lati tag awọn apo-iwe pẹlu

Awọn SGT. Nipa lilo SGT Exchange Protocol (SXP), awọn ẹrọ wọnyi le ṣe awọn maapu IP-adirẹsi-si-SGT si ẹrọ ẹlẹgbẹ Sisiko TrustSec ti o ni ohun elo Cisco TrustSec-agbara.

SXP n ṣiṣẹ nigbagbogbo laarin awọn ẹrọ Layer wiwọle ingress ni eti agbegbe Sisiko TrustSec ati awọn ẹrọ Layer pinpin laarin agbegbe Sisiko TrustSec. Wiwọle Layer ẹrọ ṣe Cisco TrustSec ìfàṣẹsí ti ita orisun awọn ẹrọ lati mọ awọn ti o yẹ SGTs fun ingress awọn apo-iwe. Ohun elo Layer wiwọle kọ awọn adirẹsi IP ti awọn ẹrọ orisun nipa lilo ipasẹ ẹrọ IP ati (iyan) snooping DHCP, lẹhinna lo SXP lati kọja awọn adirẹsi IP ti awọn ẹrọ orisun pẹlu awọn SGT wọn si awọn ẹrọ pinpin.
Awọn ẹrọ pinpin pẹlu Sisiko TrustSec-agbara hardware le lo IP-to-SGT alaye aworan agbaye si tag awọn apo-iwe ni deede ati lati fi ipa mu awọn ilana SGACL.

olusin 6: SXP Protocol to elesin SGT Alaye

CISCO Trustsec Kọ Nẹtiwọọki Aabo - eeya 6

O gbọdọ fi ọwọ tunto asopọ SXP laarin ẹlẹgbẹ laisi atilẹyin ohun elo Sisiko TrustSec ati ẹlẹgbẹ kan pẹlu atilẹyin ohun elo Cisco TrustSec. Awọn iṣẹ ṣiṣe atẹle ni a nilo nigbati o ba tunto asopọ SXP:

Ti o ba nilo iduroṣinṣin data SXP ati ijẹrisi, o gbọdọ tunto ọrọ igbaniwọle SXP kanna lori awọn ẹrọ ẹlẹgbẹ mejeeji. O le tunto ọrọ igbaniwọle SXP boya ni gbangba fun asopọ ẹlẹgbẹ kọọkan tabi ni agbaye fun ẹrọ naa. Botilẹjẹpe ọrọ igbaniwọle SXP ko nilo, a ṣeduro lilo rẹ.
O gbọdọ tunto kọọkan ẹlẹgbẹ lori SXP asopọ bi boya SXP agbọrọsọ tabi awọn ẹya SXP olutẹtisi. Ẹrọ agbohunsoke n pin awọn alaye maapu IP-to-SGT si ẹrọ olutẹtisi.

O le pato adiresi IP orisun kan lati lo fun ibatan ẹlẹgbẹ kọọkan tabi o le tunto adiresi IP orisun aiyipada fun awọn asopọ ẹlẹgbẹ nibiti o ko ti tunto adiresi IP orisun kan pato. Ti o ko ba pato adirẹsi IP orisun eyikeyi, ẹrọ naa yoo lo adiresi IP wiwo ti asopọ si ẹlẹgbẹ.

SXP faye gba ọpọ hops. Iyẹn ni, ti o ba jẹ pe ẹlẹgbẹ ti ẹrọ ti ko ni atilẹyin ohun elo Cisco TrustSec tun ko ni atilẹyin ohun elo Cisco TrustSec, ẹlẹgbẹ keji le ni asopọ SXP kan si ẹlẹgbẹ kẹta, tẹsiwaju itankale alaye aworan aworan IP-si-SGT titi di hardware- elegbe ti o lagbara ti de. A le tunto ẹrọ kan bi olutẹtisi SXP fun asopọ SXP kan bi agbọrọsọ SXP fun asopọ SXP miiran.

Ẹrọ Sisiko TrustSec n ṣetọju isopọmọ pẹlu awọn ẹlẹgbẹ SXP rẹ nipa lilo ẹrọ itọju TCP.
Lati fi idi tabi mu pada asopọ ẹlẹgbẹ pada, ẹrọ naa yoo gbiyanju leralera iṣeto asopọ ni lilo akoko atunto atunto titi asopọ yoo fi ṣaṣeyọri tabi titi asopọ yoo fi yọkuro lati iṣeto.

Layer 3 SGT Transport fun leta ti Non-TrustSec awọn ẹkun ni

Nigbati soso kan ba lọ kuro ni aaye Sisiko TrustSec fun opin irin ajo ti kii ṣe TrustSec, ẹrọ Cisco TrustSec egress yoo yọ akọsori Sisiko TrustSec ati SGT kuro ṣaaju fifiranṣẹ apo-iwe naa si nẹtiwọọki ita. Ti o ba jẹ pe, sibẹsibẹ, soso naa n rin kiri ni agbegbe ti kii ṣe TrustSec ni ọna si agbegbe Sisiko TrustSec miiran, bi o ṣe han ninu nọmba atẹle, SGT le ṣe itọju nipasẹ lilo ẹya Cisco TrustSec Layer 3 SGT Transport. Ni ẹya ara ẹrọ yi, egress Cisco TrustSec ẹrọ encapsulates awọn soso pẹlu ohun ESP akọsori ti o ba pẹlu a daakọ ti SGT. Nigba ti o ti encapsulated soso de si tókàn Sisiko TrustSec ašẹ, awọn ingress Cisco TrustSec ẹrọ yọ awọn ESP encapsulation ati elesin awọn soso pẹlu awọn oniwe-SGT.

Nọmba 7: Lilọ kiri agbegbe ti kii-TrustSec

CISCO Trustsec Kọ Nẹtiwọọki Aabo - eeya 7

Lati ṣe atilẹyin Cisco TrustSec Layer 3 SGT Transport, eyikeyi ẹrọ ti yoo ṣiṣẹ bi Sisiko TrustSec ingress tabi ẹnu-ọna Layer 3 egress gbọdọ ṣetọju ibi ipamọ data eto imulo ijabọ ti o ṣe atokọ awọn subnets ti o yẹ ni awọn ibugbe Sisiko TrustSec latọna jijin bi daradara bi eyikeyi awọn subnets ti a yọkuro laarin awọn agbegbe wọnyẹn. O le tunto aaye data yii pẹlu ọwọ lori ẹrọ kọọkan ti wọn ko ba le ṣe igbasilẹ laifọwọyi lati Sisiko Secure ACS.

A ẹrọ le fi Layer 3 SGT Transport data lati ọkan ibudo ati ki o gba Layer 3 SGT Transport data lori miiran ibudo, ṣugbọn awọn mejeeji ingress ati egress ebute oko gbọdọ ni Cisco TrustSec-agbara hardware.

Cisco TrustSec ko ni encrypt awọn apo-iwe ti Layer 3 SGT Transport encapsulated. Lati daabobo awọn apo-iwe ti n lọ kiri agbegbe ti kii ṣe TrustSec, o le tunto awọn ọna aabo miiran, gẹgẹbi IPsec.

VRF-Oye SXP

SXP imuse ti Foju afisona ati Ndari (VRF) dè SXP asopọ pẹlu kan pato VRF. A ro pe topology netiwọki ti wa ni tunto ni deede fun Layer 2 tabi Layer 3 VPNs, pẹlu gbogbo awọn VRF ti a tunto ṣaaju ṣiṣe Cisco TrustSec.

Atilẹyin SXP VRF le ṣe akopọ bi atẹle:

Nikan SXP asopọ le ti wa ni owun si ọkan VRF.
Awọn VRF oriṣiriṣi le ni agbekọja ẹlẹgbẹ SXP tabi awọn adirẹsi IP orisun.

Awọn maapu IP-SGT ti a kọ (fikun tabi paarẹ) ni VRF kan le ṣe imudojuiwọn nikan ni agbegbe VRF kanna.
Asopọ SXP ko le ṣe imudojuiwọn aworan agbaye ti a dè si VRF ti o yatọ. Ti ko ba si asopọ SXP ti o jade fun VRF kan, awọn aworan aworan IP–SGT fun VRF yẹn kii yoo ni imudojuiwọn nipasẹ SXP.
Awọn idile adirẹsi pupọ fun VRF ni atilẹyin. Nitorinaa, asopọ SXP kan ni aaye VRF kan le firanṣẹ siwaju mejeeji IPV4 ati awọn aworan aworan IP-SGT IPV6.
SXP ko ni aropin lori nọmba awọn asopọ ati nọmba ti awọn aworan aworan IP–SGT fun VRF.

Layer 2 VRF-Aware SXP ati VRF iyansilẹ

VRF to Layer 2 VLANs iyansilẹ ti wa ni pato pẹlu awọn cts ipa-orisun l2-vrf vrf-orukọ vlan-akojọ agbaye iṣeto ni pipaṣẹ. A ka VLAN kan Layer 2 VLAN niwọn igba ti ko si ni wiwo foju yipada (SVI) pẹlu adiresi IP ti o tunto lori VLAN. VLAN di Layer 3 VLAN ni kete ti a tunto adiresi IP kan lori SVI rẹ.

Awọn iṣẹ iyansilẹ VRF ti a tunto nipasẹ aṣẹ-orisun ipa cts l2-vrf n ṣiṣẹ niwọn igba ti VLAN ba wa Layer 2 VLAN. Awọn abuda IP–SGT ti a kọ lakoko ti iṣẹ iyansilẹ VRF kan n ṣiṣẹ ni a tun ṣafikun si tabili Ipilẹ Alaye Ndari (FIB) ti o ni nkan ṣe pẹlu VRF ati ẹya Ilana IP. Ti SVI kan ba ṣiṣẹ fun VLAN kan, iṣẹ iyansilẹ VRF si VLAN di aiṣiṣẹ ati gbogbo awọn ìde ti a kọ lori VLAN ni a gbe lọ si tabili FIB ti o ni nkan ṣe pẹlu VRF SVI.

Iṣẹ iyansilẹ VRF si VLAN wa ni idaduro paapaa nigba ti iṣẹ iyansilẹ di aiṣiṣẹ. O tun mu ṣiṣẹ nigbati SVI ti yọ kuro tabi nigbati o ba tunto adiresi IP SVI. Nigbati o ba tun mu ṣiṣẹ, awọn ifunmọ IP-SGT ni a gbe pada lati tabili FIB ti o ni nkan ṣe pẹlu SVI's VRF si tabili FIB ti o ni nkan ṣe pẹlu VRF ti a yàn nipasẹ aṣẹ-orisun ipa cts l2-vrf.

Itan ẹya fun Cisco TrustSec Loriview

Tabili yii pese itusilẹ ati alaye ti o jọmọ fun awọn ẹya ti a ṣalaye ninu module yii.
Awọn ẹya wọnyi wa ni gbogbo awọn idasilẹ ti o tẹle si eyi ti a ṣe wọn sinu, ayafi ti a ṣe akiyesi bibẹẹkọ.

Lo Sisiko Ẹya Navigator lati wa alaye nipa iru ẹrọ ati atilẹyin aworan sọfitiwia. Lati wọle si
Cisco Ẹya Navigator, lọ si http://www.cisco.com/go/cfn.

Awọn iwe aṣẹ / Awọn orisun

CISCO Trustsec Kọ Secure Network [pdf] Itọsọna olumulo
Trustsec Kọ Nẹtiwọọki Aabo, Trustsec, Ṣiṣe Nẹtiwọọki Aabo, Nẹtiwọọki to ni aabo, Nẹtiwọọki

Awọn itọkasi

Itọsọna olumulo

Alaye Nipa Cisco TrustSec Architecture

Awọn iwe aṣẹ / Awọn orisun

Awọn itọkasi

Fi ọrọìwòye

Fagilee esi