CISCO Trustsec బిల్డ్స్ సెక్యూర్
 నెట్‌వర్క్ యూజర్ గైడ్
CISCO Trustsec సురక్షిత నెట్‌వర్క్ యూజర్ గైడ్‌ను రూపొందించిందిCisco TrustSec విశ్వసనీయ నెట్‌వర్క్ పరికరాల డొమైన్‌లను ఏర్పాటు చేయడం ద్వారా సురక్షిత నెట్‌వర్క్‌లను నిర్మిస్తుంది. డొమైన్‌లోని ప్రతి పరికరం దాని సహచరులచే ప్రామాణీకరించబడుతుంది. డొమైన్‌లోని పరికరాల మధ్య లింక్‌లపై కమ్యూనికేషన్ ఎన్‌క్రిప్షన్, మెసేజ్ ఇంటెగ్రిటీ చెక్ మరియు డేటా-పాత్ రీప్లే ప్రొటెక్షన్ మెకానిజమ్స్ కలయికతో సురక్షితం.
Cisco TrustSec కోసం పరిమితులు
  • చెల్లని పరికర ID పేర్కొనబడినప్పుడు, రక్షిత యాక్సెస్ క్రెడెన్షియల్ (PAC) ప్రొవిజనింగ్ విఫలమవుతుంది మరియు హంగ్ స్థితిలోనే ఉంటుంది. PACని క్లియర్ చేసిన తర్వాత మరియు సరైన పరికరం ID మరియు పాస్‌వర్డ్‌ను కాన్ఫిగర్ చేసిన తర్వాత కూడా, PAC ఇప్పటికీ విఫలమవుతుంది.
    ప్రత్యామ్నాయంగా, సిస్కో ఐడెంటిటీ సర్వీసెస్ ఇంజిన్ (ISE)లో, సప్రెస్ అనోమలస్ క్లయింట్‌లను ఎంపిక చేయవద్దు
    PAC పని చేయడానికి అడ్మినిస్ట్రేషన్> సిస్టమ్> సెట్టింగ్‌లు> ప్రోటోకాల్స్> వ్యాసార్థం మెనులో ఎంపిక.
  • FIPS మోడ్‌లో Cisco TrustSecకి మద్దతు లేదు.
  • కింది పరిమితులు C9500X-28C8D మోడల్ Cisco Catalyst 9500 సిరీస్ స్విచ్‌లకు మాత్రమే వర్తిస్తాయి:
    • Cisco TrustSec మాన్యువల్ కాన్ఫిగరేషన్‌కు మద్దతు లేదు.
    • Cisco TrustSec సెక్యూరిటీ అసోసియేషన్ ప్రోటోకాల్ (SAP) కార్యాచరణకు మద్దతు లేదు.
    • Cisco TrustSec మెటాడేటా హెడర్ ఎన్‌క్యాప్సులేషన్‌కు మద్దతు లేదు.
కంటెంట్‌లు దాచు
1 Cisco TrustSec ఆర్కిటెక్చర్ గురించి సమాచారం
2 పత్రాలు / వనరులు
2.1 సూచనలు

Cisco TrustSec ఆర్కిటెక్చర్ గురించి సమాచారం

Cisco TrustSec సెక్యూరిటీ ఆర్కిటెక్చర్ విశ్వసనీయ నెట్‌వర్క్ పరికరాల డొమైన్‌లను ఏర్పాటు చేయడం ద్వారా సురక్షిత నెట్‌వర్క్‌లను నిర్మిస్తుంది. డొమైన్‌లోని ప్రతి పరికరం దాని సహచరులచే ప్రామాణీకరించబడుతుంది. డొమైన్‌లోని పరికరాల మధ్య లింక్‌లపై కమ్యూనికేషన్ ఎన్‌క్రిప్షన్, మెసేజ్ ఇంటెగ్రిటీ చెక్ మరియు డేటా-పాత్ రీప్లే ప్రొటెక్షన్ మెకానిజమ్స్ కలయికతో సురక్షితం. Cisco TrustSec నెట్‌వర్క్‌లోకి ప్రవేశించినప్పుడు భద్రతా సమూహాల (SGలు) ద్వారా ప్యాకెట్‌లను వర్గీకరించడానికి ప్రామాణీకరణ సమయంలో పొందిన పరికరం మరియు వినియోగదారు ఆధారాలను ఉపయోగిస్తుంది. ఈ ప్యాకెట్ వర్గీకరణ నిర్వహించబడుతుంది tagసిస్కో ట్రస్ట్‌సెక్ నెట్‌వర్క్‌లోకి ప్రవేశించినప్పుడు ప్యాకెట్లను ging ప్యాకెట్లు డేటా మార్గంలో భద్రత మరియు ఇతర విధాన ప్రమాణాలను వర్తింపజేయడం కోసం సరిగ్గా గుర్తించబడతాయి. ది tag, భద్రతా సమూహాన్ని పిలిచారు tag (SGT), ట్రాఫిక్‌ను ఫిల్టర్ చేయడానికి SGTపై ఎండ్‌పాయింట్ పరికరాన్ని ఎనేబుల్ చేయడం ద్వారా యాక్సెస్ కంట్రోల్ విధానాన్ని అమలు చేయడానికి నెట్‌వర్క్‌ని అనుమతిస్తుంది.
గమనిక చిహ్నంCisco TrustSec IEEE 802.1X లింక్‌లు Cisco IOS XE Denaliలో మద్దతు ఉన్న ప్లాట్‌ఫారమ్‌లలో మద్దతు ఇవ్వవు
(16.1.x నుండి 16.3.x), Cisco IOS XE ఎవరెస్ట్ (16.4.x నుండి 16.6.x), మరియు Cisco IOS XE Fuji (16.7.x నుండి 16.9.x) విడుదలలు, అందుచేత Authenticatorకి మాత్రమే మద్దతు ఉంది; అభ్యర్థికి మద్దతు లేదు.
Cisco TrustSec ఆర్కిటెక్చర్ మూడు కీలక భాగాలను కలిగి ఉంది:
  • ప్రామాణీకరించబడిన నెట్‌వర్కింగ్ ఇన్‌ఫ్రాస్ట్రక్చర్—సిస్కో ట్రస్ట్‌సెక్ డొమైన్‌ను ప్రారంభించడానికి మొదటి పరికరం (సీడ్ పరికరం అని పిలుస్తారు) ప్రమాణీకరణ సర్వర్‌తో ప్రమాణీకరించిన తర్వాత, డొమైన్‌కు జోడించబడిన ప్రతి కొత్త పరికరం ఇప్పటికే డొమైన్‌లో ఉన్న దాని పీర్ పరికరాల ద్వారా ప్రామాణీకరించబడుతుంది. తోటివారు డొమైన్ ప్రమాణీకరణ సర్వర్‌కు మధ్యవర్తులుగా వ్యవహరిస్తారు. కొత్తగా ప్రామాణీకరించబడిన ప్రతి పరికరం ప్రమాణీకరణ సర్వర్ ద్వారా వర్గీకరించబడుతుంది మరియు దాని గుర్తింపు, పాత్ర మరియు భద్రతా భంగిమ ఆధారంగా భద్రతా సమూహ సంఖ్యను కేటాయించబడుతుంది.
  • సెక్యూరిటీ గ్రూప్-ఆధారిత యాక్సెస్ కంట్రోల్—Cisco TrustSec డొమైన్‌లోని యాక్సెస్ విధానాలు టోపోలాజీ-స్వతంత్రంగా ఉంటాయి, నెట్‌వర్క్ చిరునామాలపై కాకుండా మూలం మరియు గమ్యస్థాన పరికరాల పాత్రల (భద్రతా సమూహ సంఖ్య ద్వారా సూచించబడినవి) ఆధారంగా ఉంటాయి. వ్యక్తిగత ప్యాకెట్లు tagమూలం యొక్క భద్రతా సమూహం సంఖ్యతో ged.
  • సురక్షిత కమ్యూనికేషన్—ఎన్‌క్రిప్షన్-సామర్థ్యం గల హార్డ్‌వేర్‌తో, డొమైన్‌లోని పరికరాల మధ్య ప్రతి లింక్‌పై కమ్యూనికేషన్ ఎన్‌క్రిప్షన్, మెసేజ్ ఇంటెగ్రిటీ చెక్‌లు మరియు డేటా-పాత్ రీప్లే ప్రొటెక్షన్ మెకానిజమ్స్ కలయికతో సురక్షితంగా ఉంటుంది.
కింది బొమ్మ మాజీని చూపుతుందిampCisco TrustSec డొమైన్ యొక్క le. ఇందులో మాజీample, అనేక నెట్‌వర్కింగ్ పరికరాలు మరియు ఒక ఎండ్‌పాయింట్ పరికరం Cisco TrustSec డొమైన్‌లో ఉన్నాయి. ఒక ఎండ్‌పాయింట్ పరికరం మరియు ఒక నెట్‌వర్కింగ్ పరికరం డొమైన్ వెలుపల ఉన్నాయి ఎందుకంటే అవి సిస్కో ట్రస్ట్‌సెక్-సామర్థ్యం గల పరికరాలు కావు లేదా వాటికి ప్రాప్యత నిరాకరించబడింది. ధృవీకరణ సర్వర్ Cisco TrustSec డొమైన్ వెలుపల పరిగణించబడుతుంది; ఇది సిస్కో ఐడెంటిటీస్ సర్వీస్ ఇంజిన్ (సిస్కో ISE), లేదా సిస్కో సెక్యూర్ యాక్సెస్ కంట్రోల్ సిస్టమ్ (సిస్కో ACS).
మూర్తి 1: Cisco TrustSec నెట్‌వర్క్ డొమైన్ Example
CISCO Trustsec సురక్షిత నెట్‌వర్క్‌ని నిర్మిస్తుంది - మూర్తి 1
Cisco TrustSec ప్రామాణీకరణ ప్రక్రియలో పాల్గొనే ప్రతి ఒక్కరూ క్రింది పాత్రలలో ఒకదానిలో పని చేస్తారు:
  • అభ్యర్థి—సిస్కో ట్రస్ట్‌సెక్ డొమైన్‌లోని పీర్‌కి కనెక్ట్ చేయబడిన మరియు Cisco TrustSec డొమైన్‌లో చేరడానికి ప్రయత్నిస్తున్న ప్రమాణీకరించని పరికరం.
  • ప్రామాణీకరణ సర్వర్—దరఖాస్తుదారు యొక్క గుర్తింపును ధృవీకరిస్తుంది మరియు Cisco TrustSec డొమైన్‌లోని సేవలకు దరఖాస్తుదారు యొక్క ప్రాప్యతను నిర్ణయించే విధానాలను జారీ చేసే సర్వర్.
  • Authenticator—ఇది ఇప్పటికే Cisco TrustSec డొమైన్‌లో భాగమైన మరియు ప్రమాణీకరణ సర్వర్ తరపున కొత్త పీర్ సప్లికేంట్‌లను ప్రామాణీకరించగల ప్రామాణీకరించబడిన పరికరం.
దరఖాస్తుదారు మరియు ప్రామాణీకరణదారు మధ్య లింక్ మొదట వచ్చినప్పుడు, కింది సంఘటనల క్రమం సాధారణంగా సంభవిస్తుంది:
  1. ప్రామాణీకరణ (802.1X)-ధృవీకరణ సర్వర్ ద్వారా అభ్యర్థిని ప్రమాణీకరించారు, ప్రామాణీకరణదారు మధ్యవర్తిగా వ్యవహరిస్తారు. ఇద్దరు సహచరుల మధ్య పరస్పర ప్రమాణీకరణ జరుగుతుంది (దరఖాస్తుదారు మరియు ప్రామాణీకరణదారు).
  2. ఆథరైజేషన్—దరఖాస్తుదారు యొక్క గుర్తింపు సమాచారం ఆధారంగా, ప్రామాణీకరణ సర్వర్ లింక్ చేయబడిన ప్రతి ఒక్కరికి భద్రతా సమూహ అసైన్‌మెంట్‌లు మరియు ACLల వంటి అధికార విధానాలను అందిస్తుంది. ప్రామాణీకరణ సర్వర్ ప్రతి పీర్ యొక్క గుర్తింపును మరొకరికి అందిస్తుంది మరియు ప్రతి పీర్ లింక్ కోసం తగిన విధానాన్ని వర్తింపజేస్తుంది.
  3. సెక్యూరిటీ అసోసియేషన్ ప్రోటోకాల్ (SAP) నెగోషియేషన్-ఒక లింక్ యొక్క రెండు వైపులా ఎన్‌క్రిప్షన్‌కు మద్దతు ఇచ్చినప్పుడు, అభ్యర్థి మరియు ప్రామాణీకరణదారు సెక్యూరిటీ అసోసియేషన్ (SA)ని స్థాపించడానికి అవసరమైన పారామితులను చర్చిస్తారు.
గమనిక చిహ్నం 100G ఇంటర్‌ఫేస్‌లలో SAPకి మద్దతు లేదు. మీరు MACsec కీ ఒప్పంద ప్రోటోకాల్‌ని ఉపయోగించాలని మేము సిఫార్సు చేస్తున్నాము
(MKA) 100G ఇంటర్‌ఫేస్‌లలో పొడిగించిన ప్యాకెట్ నంబరింగ్ (XPN)తో.
మూడు దశలు పూర్తయినప్పుడు, ప్రామాణీకరణదారు లింక్ స్థితిని అనధికార (బ్లాకింగ్) స్థితి నుండి అధీకృత స్థితికి మారుస్తుంది మరియు అభ్యర్థి Cisco TrustSec డొమైన్‌లో సభ్యుడిగా మారతారు.
Cisco TrustSec ప్రవేశాన్ని ఉపయోగిస్తుంది tagయాక్సెస్ నియంత్రణ విధానాన్ని స్కేలబుల్ పద్ధతిలో అమలు చేయడానికి ging మరియు ఎగ్రెస్ ఫిల్టరింగ్. డొమైన్‌లోకి ప్రవేశించే ప్యాకెట్‌లు tagభద్రతా సమూహంతో ged tag (SGT) సోర్స్ పరికరం యొక్క కేటాయించిన భద్రతా సమూహం సంఖ్యను కలిగి ఉంటుంది. ఈ ప్యాకెట్ వర్గీకరణ భద్రత మరియు ఇతర విధాన ప్రమాణాలను వర్తింపజేయడం కోసం Cisco TrustSec డొమైన్‌లోని డేటా మార్గంలో నిర్వహించబడుతుంది. డేటా మార్గంలో చివరి Cisco TrustSec పరికరం, ఎండ్‌పాయింట్ లేదా నెట్‌వర్క్ ఎగ్రెస్ పాయింట్, Cisco TrustSec సోర్స్ పరికరం యొక్క భద్రతా సమూహం మరియు చివరి Cisco TrustSec పరికరం యొక్క భద్రతా సమూహం ఆధారంగా యాక్సెస్ నియంత్రణ విధానాన్ని అమలు చేస్తుంది. నెట్‌వర్క్ చిరునామాల ఆధారంగా సాంప్రదాయ యాక్సెస్ నియంత్రణ జాబితాల వలె కాకుండా, సిస్కో ట్రస్ట్‌సెక్ యాక్సెస్ నియంత్రణ విధానాలు భద్రతా సమూహ యాక్సెస్ నియంత్రణ జాబితాలు (SGACLలు) అని పిలువబడే రోల్-బేస్డ్ యాక్సెస్ కంట్రోల్ జాబితాల (RBACLలు) యొక్క ఒక రూపం.
గమనిక చిహ్నంఇన్‌గ్రెస్ అనేది గమ్యస్థానానికి వెళ్లే మార్గంలో ప్యాకెట్ ఎదుర్కొన్న మొదటి సిస్కో ట్రస్ట్‌సెక్-సామర్థ్యం గల పరికరంలోకి ప్రవేశించే ప్యాకెట్‌లను సూచిస్తుంది మరియు ఎగ్రెస్ అనేది చివరి సిస్కో ట్రస్ట్‌సెక్-సామర్థ్యం గల పరికరాన్ని మార్గంలో వదిలివేసే ప్యాకెట్‌లను సూచిస్తుంది.
ప్రమాణీకరణ
Cisco TrustSec మరియు ప్రమాణీకరణ
నెట్‌వర్క్ డివైస్ అడ్మిషన్ కంట్రోల్ (NDAC)ని ఉపయోగించి, Cisco TrustSec పరికరాన్ని నెట్‌వర్క్‌లో చేరడానికి అనుమతించే ముందు దానిని ప్రమాణీకరిస్తుంది. NDAC ప్రమాణీకరణను నిర్వహించడానికి ఎక్స్‌టెన్సిబుల్ అథెంటికేషన్ ప్రోటోకాల్ (EAP) పద్ధతిగా సెక్యూర్ టన్నెల్ (EAP-FAST) ద్వారా ఎక్స్‌టెన్సిబుల్ అథెంటికేషన్ ప్రోటోకాల్ ఫ్లెక్సిబుల్ అథెంటికేషన్‌తో 802.1X ప్రమాణీకరణను ఉపయోగిస్తుంది. EAP-FAST సంభాషణలు గొలుసులను ఉపయోగించి EAP-FAST సొరంగం లోపల ఇతర EAP పద్ధతి మార్పిడిని అందిస్తాయి. EAP-FAST టన్నెల్ అందించిన భద్రతను కలిగి ఉన్నప్పటికీ, నిర్వాహకులు Microsoft ఛాలెంజ్ హ్యాండ్‌షేక్ ప్రామాణీకరణ ప్రోటోకాల్ వెర్షన్ 2 (MSCHAPv2) వంటి సాంప్రదాయ వినియోగదారు-ప్రామాణీకరణ పద్ధతులను ఉపయోగించవచ్చు. EAP-FAST మార్పిడి సమయంలో, ధృవీకరణ సర్వర్, ధృవీకరణ సర్వర్‌తో భవిష్యత్తులో సురక్షిత కమ్యూనికేషన్‌ల కోసం ఉపయోగించబడే షేర్డ్ కీ మరియు ఎన్‌క్రిప్టెడ్ టోకెన్‌ను కలిగి ఉన్న ఒక ప్రత్యేకమైన రక్షిత యాక్సెస్ క్రెడెన్షియల్ (PAC)ని సృష్టించి, అభ్యర్థికి అందజేస్తుంది.
కింది బొమ్మ Cisco TrustSecలో ఉపయోగించిన EAP-FAST టన్నెల్ మరియు అంతర్గత పద్ధతులను చూపుతుంది.
మూర్తి 2: Cisco TrustSec ప్రమాణీకరణ
CISCO Trustsec సురక్షిత నెట్‌వర్క్‌ని నిర్మిస్తుంది - మూర్తి 2
Cisco TrustSec EAP-FASTకి మెరుగుదలలు
Cisco TrustSec కోసం EAP-FAST అమలు కింది మెరుగుదలలను కలిగి ఉంది:
  • ప్రామాణీకరణదారుని ప్రామాణీకరించండి-ప్రమాణీకరణదారు దాని PACని తనకు మరియు ప్రామాణీకరణ సర్వర్‌కు మధ్య భాగస్వామ్య కీని పొందేందుకు ప్రామాణీకరణకర్త యొక్క గుర్తింపును సురక్షితంగా నిర్ణయిస్తుంది. ప్రామాణీకరణదారు ద్వారా ఉపయోగించబడే ప్రతి సాధ్యమైన IP చిరునామా కోసం ప్రమాణీకరణ సర్వర్‌లో RADIUS భాగస్వామ్య కీలను కాన్ఫిగర్ చేయకుండా కూడా ఈ ఫీచర్ మిమ్మల్ని నిరోధిస్తుంది.
  • ప్రతి పరికరానికి దాని పీర్ యొక్క గుర్తింపును తెలియజేయండి-ప్రామాణీకరణ మార్పిడి ముగిసే సమయానికి, ప్రామాణీకరణ సర్వర్ దరఖాస్తుదారు మరియు ప్రామాణీకరణదారుని రెండింటినీ గుర్తించింది. రక్షిత EAP-FAST ముగింపులో అదనపు టైప్-లెంగ్త్-వాల్యూ పారామితులను (TLVలు) ఉపయోగించడం ద్వారా ప్రామాణీకరణ సర్వర్ ప్రామాణీకరణదారు యొక్క గుర్తింపును మరియు ప్రామాణీకరణదారు సిస్కో ట్రస్ట్‌సెక్-సామర్థ్యం కలిగి ఉందో లేదో తెలియజేస్తుంది. ప్రామాణీకరణ సర్వర్ అభ్యర్థి యొక్క గుర్తింపును మరియు అభ్యర్థి సిస్కో ట్రస్ట్‌సెక్-సామర్థ్యం కలిగి ఉన్నారా, యాక్సెస్-అంగీకరించు సందేశంలో RADIUS లక్షణాలను ఉపయోగించడం ద్వారా ప్రామాణీకరణదారుకి తెలియజేస్తుంది.
    ప్రతి పరికరానికి దాని పీర్ యొక్క గుర్తింపు తెలుసు కాబట్టి, లింక్‌పై వర్తింపజేయాల్సిన విధానాన్ని పొందేందుకు ఇది ప్రామాణీకరణ సర్వర్‌కు అదనపు RADIUS యాక్సెస్-అభ్యర్థనలను పంపగలదు.
802.1X పాత్ర ఎంపిక
802.1Xలో, Authenticator తప్పనిసరిగా ప్రమాణీకరణ సర్వర్‌తో IP కనెక్టివిటీని కలిగి ఉండాలి ఎందుకంటే ఇది UDP/IP ద్వారా RADIUSని ఉపయోగించి అభ్యర్థి మరియు ప్రమాణీకరణదారు మధ్య ప్రమాణీకరణ మార్పిడిని ప్రసారం చేయాలి. PC వంటి ఎండ్‌పాయింట్ పరికరం నెట్‌వర్క్‌కి కనెక్ట్ అయినప్పుడు, అది ఒక అభ్యర్థిగా పని చేస్తుందని స్పష్టంగా తెలుస్తుంది. అయితే, రెండు నెట్‌వర్క్ పరికరాల మధ్య Cisco TrustSec కనెక్షన్ విషయంలో, ప్రతి నెట్‌వర్క్ పరికరం యొక్క 802.1X పాత్ర ఇతర నెట్‌వర్క్ పరికరానికి వెంటనే స్పష్టంగా కనిపించకపోవచ్చు.
రెండు ప్రక్కనే ఉన్న స్విచ్‌ల కోసం ప్రామాణీకరణదారు మరియు అభ్యర్థి పాత్రల యొక్క మాన్యువల్ కాన్ఫిగరేషన్ అవసరం కాకుండా, సిస్కో ట్రస్ట్‌సెక్ ఏ స్విచ్ ప్రామాణీకరణగా పనిచేస్తుందో మరియు అభ్యర్థిగా ఏది పనిచేస్తుందో స్వయంచాలకంగా నిర్ణయించడానికి రోల్-సెలక్షన్ అల్గారిథమ్‌ను అమలు చేస్తుంది. రోల్-సెలక్షన్ అల్గోరిథం RADIUS సర్వర్‌కు IP చేరుకునే స్విచ్‌కు ప్రామాణీకరణ పాత్రను కేటాయిస్తుంది. రెండు స్విచ్‌లు అథెంటికేటర్ మరియు సప్లికెంట్ స్టేట్ మెషీన్‌లను ప్రారంభిస్తాయి. ఒక స్విచ్ దాని పీర్‌కి RADIUS సర్వర్‌కు యాక్సెస్ ఉందని గుర్తించినప్పుడు, అది దాని స్వంత ప్రామాణీకరణ స్టేట్ మెషీన్‌ను రద్దు చేస్తుంది మరియు అభ్యర్థి పాత్రను స్వీకరిస్తుంది. రెండు స్విచ్‌లు RADIUS సర్వర్‌కు యాక్సెస్ కలిగి ఉంటే, RADIUS సర్వర్ నుండి ప్రతిస్పందనను స్వీకరించే మొదటి స్విచ్ ప్రమాణీకరణదారుగా మారుతుంది మరియు మరొక స్విచ్ అభ్యర్థిగా మారుతుంది.
Cisco TrustSec ప్రమాణీకరణ సారాంశం
Cisco TrustSec ప్రమాణీకరణ ప్రక్రియ ముగిసే సమయానికి, ప్రమాణీకరణ సర్వర్ క్రింది చర్యలను చేసింది:
  • అభ్యర్థి మరియు ప్రామాణీకరణదారు యొక్క గుర్తింపులను ధృవీకరించారు.
  • అభ్యర్థి ఎండ్‌పాయింట్ పరికరం అయితే వినియోగదారుని ప్రామాణీకరించారు.
Cisco TrustSec ప్రామాణీకరణ ప్రక్రియ ముగింపులో, ప్రామాణీకరణదారు మరియు అభ్యర్థికి ఈ క్రింది వాటిని తెలుసు:
  • క్రింది:
  • పీర్ యొక్క పరికరం ID
  • పీర్ యొక్క Cisco TrustSec సామర్థ్య సమాచారం
  • SAP కోసం కీ ఉపయోగించబడుతుంది
పరికర గుర్తింపులు
Cisco TrustSec IP చిరునామాలు లేదా MAC చిరునామాలను పరికర గుర్తింపులుగా ఉపయోగించదు. బదులుగా, మీరు Cisco TrustSec డొమైన్‌లో ప్రత్యేకంగా గుర్తించడానికి ప్రతి Cisco TrustSec-సామర్థ్యం గల స్విచ్‌కి ఒక పేరు (పరికరం ID)ని కేటాయించారు. ఈ పరికర ID కింది వాటి కోసం ఉపయోగించబడుతుంది:
  • అధికార విధానాన్ని వెతుకుతోంది
  • ప్రామాణీకరణ సమయంలో డేటాబేస్‌లలో పాస్‌వర్డ్‌లను వెతుకుతోంది
పరికర ఆధారాలు
Cisco TrustSec పాస్‌వర్డ్ ఆధారిత ఆధారాలకు మద్దతు ఇస్తుంది. Cisco TrustSec పాస్‌వర్డ్‌ల ద్వారా దరఖాస్తుదారులను ప్రమాణీకరిస్తుంది మరియు పరస్పర ప్రమాణీకరణను అందించడానికి MSCHAPv2ని ఉపయోగిస్తుంది.
EAP-FAST ఫేజ్ 0 (ప్రొవిజనింగ్) మార్పిడి సమయంలో అభ్యర్థిని పరస్పరం ప్రామాణీకరించడానికి ప్రమాణీకరణ సర్వర్ ఈ ఆధారాలను ఉపయోగిస్తుంది, ఇక్కడ అభ్యర్థికి PAC అందించబడుతుంది. Cisco TrustSec PAC గడువు ముగిసే వరకు మళ్లీ EAP-FAST ఫేజ్ 0 మార్పిడిని నిర్వహించదు మరియు భవిష్యత్తులో లింక్ బ్రికప్‌ల కోసం EAP-FAST ఫేజ్ 1 మరియు ఫేజ్ 2 ఎక్స్ఛేంజీలను మాత్రమే నిర్వహిస్తుంది. EAP-FAST ఫేజ్ 1 ఎక్స్ఛేంజ్ ప్రామాణీకరణ సర్వర్ మరియు దరఖాస్తుదారుని పరస్పరం ప్రమాణీకరించడానికి PACని ఉపయోగిస్తుంది. Cisco TrustSec PAC ప్రొవిజనింగ్ (లేదా రీప్రొవిజనింగ్) దశల సమయంలో మాత్రమే పరికర ఆధారాలను ఉపయోగిస్తుంది.
అభ్యర్థి మొదట Cisco TrustSec డొమైన్‌లో చేరినప్పుడు, ప్రామాణీకరణ సర్వర్ అభ్యర్థిని ప్రమాణీకరిస్తుంది మరియు PACతో అభ్యర్థికి షేర్డ్ కీ మరియు ఎన్‌క్రిప్టెడ్ టోకెన్‌ను పుష్ చేస్తుంది. అన్ని భవిష్యత్ EAP-FAST ఫేజ్ 0 ఎక్స్ఛేంజీలలో పరస్పర ప్రమాణీకరణ కోసం ప్రమాణీకరణ సర్వర్ మరియు దరఖాస్తుదారు ఈ కీ మరియు టోకెన్‌ను ఉపయోగిస్తారు.
వినియోగదారు ఆధారాలు
సిస్కో ట్రస్ట్‌సెక్‌కి ఎండ్‌పాయింట్ పరికరాల కోసం నిర్దిష్ట రకం వినియోగదారు ఆధారాలు అవసరం లేదు. మీరు ప్రామాణీకరణ సర్వర్ ద్వారా మద్దతు ఇచ్చే ఏ రకమైన వినియోగదారు ప్రమాణీకరణ పద్ధతిని ఎంచుకోవచ్చు మరియు సంబంధిత ఆధారాలను ఉపయోగించవచ్చు. ఉదాహరణకుample, సిస్కో సెక్యూర్ యాక్సెస్ కంట్రోల్ సిస్టమ్ (ACS) వెర్షన్ 5.1 MSCHAPv2, జెనరిక్ టోకెన్ కార్డ్ (GTC) లేదా RSA వన్-టైమ్ పాస్‌వర్డ్ (OTP)కి మద్దతు ఇస్తుంది.
భద్రతా సమూహం-ఆధారిత యాక్సెస్ నియంత్రణ
ఈ విభాగం భద్రతా సమూహం-ఆధారిత యాక్సెస్ నియంత్రణ జాబితాల (SGACLలు) గురించి సమాచారాన్ని అందిస్తుంది.
భద్రతా సమూహాలు మరియు SGTలు
భద్రతా సమూహం అనేది యాక్సెస్ నియంత్రణ విధానాలను భాగస్వామ్యం చేసే వినియోగదారులు, ఎండ్‌పాయింట్ పరికరాలు మరియు వనరుల సమూహం. Cisco ISE లేదా Cisco Secure ACSలో అడ్మినిస్ట్రేటర్ ద్వారా భద్రతా సమూహాలు నిర్వచించబడతాయి. Cisco TrustSec డొమైన్‌కు కొత్త వినియోగదారులు మరియు పరికరాలు జోడించబడినందున, ప్రమాణీకరణ సర్వర్ ఈ కొత్త ఎంటిటీలను తగిన భద్రతా సమూహాలకు కేటాయిస్తుంది. Cisco TrustSec ప్రతి భద్రతా సమూహానికి ఒక ప్రత్యేకమైన 16-బిట్ సెక్యూరిటీ గ్రూప్ నంబర్‌ను కేటాయిస్తుంది, దీని పరిధి Cisco TrustSec డొమైన్‌లో గ్లోబల్‌గా ఉంటుంది. పరికరంలోని భద్రతా సమూహాల సంఖ్య ప్రమాణీకరించబడిన నెట్‌వర్క్ ఎంటిటీల సంఖ్యకు పరిమితం చేయబడింది. మీరు భద్రతా సమూహ సంఖ్యలను మాన్యువల్‌గా కాన్ఫిగర్ చేయవలసిన అవసరం లేదు.
పరికరం ప్రమాణీకరించబడిన తర్వాత, Cisco TrustSec tags భద్రతా సమూహంతో ఆ పరికరం నుండి ఉత్పన్నమయ్యే ఏదైనా ప్యాకెట్ tag (SGT) పరికరం యొక్క భద్రతా సమూహం సంఖ్యను కలిగి ఉంటుంది. ప్యాకెట్ ఈ SGTని Cisco TrustSec హెడర్‌లోని నెట్‌వర్క్ అంతటా కలిగి ఉంటుంది. SGT అనేది మొత్తం ఎంటర్‌ప్రైజ్‌లోని మూలం యొక్క అధికారాలను నిర్ణయించే ఒకే లేబుల్.
SGT మూలం యొక్క భద్రతా సమూహాన్ని కలిగి ఉన్నందున tag మూలం SGTగా సూచించవచ్చు. గమ్యం పరికరం భద్రతా సమూహానికి (గమ్యం SG) కూడా కేటాయించబడుతుంది, దీనిని గమ్యం సమూహంగా సరళత కోసం సూచించవచ్చు tag (DGT), అయితే అసలు సిస్కో ట్రస్ట్‌సెక్ ప్యాకెట్ tag గమ్యస్థాన పరికరం యొక్క భద్రతా సమూహం సంఖ్యను కలిగి ఉండదు.
సెక్యూరిటీ గ్రూప్ ACL మద్దతు
భద్రతా సమూహ యాక్సెస్ నియంత్రణ జాబితాలు (SGACLలు) అనేది భద్రతా సమూహ అసైన్‌మెంట్‌లు మరియు గమ్యస్థాన వనరుల ఆధారంగా వినియోగదారు నిర్వహించే కార్యకలాపాలను నిర్వాహకుడు నియంత్రించగల పాలసీ అమలు. సిస్కో ట్రస్ట్‌సెక్ డొమైన్‌లోని పాలసీ ఎన్‌ఫోర్స్‌మెంట్ అనుమతుల మాతృక ద్వారా ప్రాతినిధ్యం వహిస్తుంది, ఒక అక్షంలో సోర్స్ సెక్యూరిటీ గ్రూప్ నంబర్ మరియు మరో అక్షం మీద గమ్యం సెక్యూరిటీ గ్రూప్ నంబర్ ఉంటుంది. మాతృకలోని ప్రతి సెల్ SGACLల ఆర్డర్ చేసిన జాబితాను కలిగి ఉంటుంది, ఇది మూలాధార భద్రతా సమూహానికి చెందిన మరియు గమ్యస్థాన భద్రతా సమూహానికి చెందిన గమ్యం IPని కలిగి ఉన్న IP నుండి ఉద్భవించే ప్యాకెట్‌లకు వర్తించవలసిన అనుమతులను నిర్దేశిస్తుంది.
SGACL సెక్యూరిటీ అసోసియేషన్ లేదా సెక్యూరిటీ గ్రూప్ ఆధారంగా స్టేట్‌లెస్ యాక్సెస్ కంట్రోల్ మెకానిజంను అందిస్తుంది tag IP చిరునామాలు మరియు ఫిల్టర్‌లకు బదులుగా విలువ. SGACL విధానాన్ని అందించడానికి మూడు మార్గాలు ఉన్నాయి:
  • స్టాటిక్ పాలసీ ప్రొవిజనింగ్: SGACL విధానాలను వినియోగదారు cts రోల్-బేస్డ్ పర్మిషన్ కమాండ్ ఉపయోగించి నిర్వచించారు.
  • డైనమిక్ పాలసీ ప్రొవిజనింగ్: SGACL పాలసీల కాన్ఫిగరేషన్ ప్రాథమికంగా సిస్కో సెక్యూర్ ACS లేదా సిస్కో ఐడెంటిటీ సర్వీసెస్ ఇంజిన్ యొక్క పాలసీ మేనేజ్‌మెంట్ ఫంక్షన్ ద్వారా చేయాలి.
  • ఆథరైజేషన్ మార్పు (CoA): ISEలో SGACL విధానం సవరించబడినప్పుడు మరియు CoA Cisco TrustSec పరికరానికి నెట్టబడినప్పుడు నవీకరించబడిన విధానం డౌన్‌లోడ్ చేయబడుతుంది.

    పరికర డేటా ప్లేన్ పాలసీ ప్రొవైడర్ (ISE) నుండి CoA ప్యాకెట్‌లను అందుకుంటుంది మరియు CoA ప్యాకెట్‌లకు పాలసీని వర్తింపజేస్తుంది. ప్యాకెట్‌లు పరికర నియంత్రణ ప్లేన్‌కు ఫార్వార్డ్ చేయబడతాయి, ఇక్కడ ఇన్‌కమింగ్ CoA ప్యాకెట్‌ల కోసం తదుపరి స్థాయి పాలసీ అమలు జరుగుతుంది. కు view హార్డ్‌వేర్ మరియు సాఫ్ట్‌వేర్ పాలసీ కౌంటర్ సమాచారాన్ని హిట్ చేస్తుంది, ప్రత్యేక EXEC మోడ్‌లో షో cts రోల్-బేస్డ్ కౌంటర్స్ కమాండ్‌ను అమలు చేయండి.

SGACL విధానాలు
భద్రతా సమూహ యాక్సెస్ నియంత్రణ జాబితాలను (SGACLలు) ఉపయోగించి, మీరు వినియోగదారులు మరియు గమ్యస్థాన వనరుల భద్రతా సమూహ కేటాయింపుల ఆధారంగా వినియోగదారులు నిర్వహించగల కార్యకలాపాలను నియంత్రించవచ్చు. Cisco TrustSec డొమైన్‌లోని పాలసీ ఎన్‌ఫోర్స్‌మెంట్ అనుమతుల మాతృక ద్వారా ప్రాతినిధ్యం వహిస్తుంది, ఒక అక్షంలో సోర్స్ సెక్యూరిటీ గ్రూప్ నంబర్‌లు మరియు మరొక అక్షం మీద గమ్య భద్రతా గ్రూప్ నంబర్‌లు ఉంటాయి. మాతృక యొక్క శరీరంలోని ప్రతి సెల్ SGACLల యొక్క ఆర్డర్ చేసిన జాబితాను కలిగి ఉంటుంది, ఇది మూలాధార భద్రతా సమూహం నుండి ఉద్భవించే మరియు గమ్య భద్రతా సమూహానికి ఉద్దేశించిన ప్యాకెట్‌లకు వర్తించవలసిన అనుమతులను నిర్దేశిస్తుంది.
కింది బొమ్మ మాజీని చూపుతుందిampమూడు నిర్వచించబడిన వినియోగదారు పాత్రలు మరియు ఒక నిర్వచించబడిన గమ్య వనరుతో ఒక సాధారణ డొమైన్ కోసం సిస్కో ట్రస్ట్‌సెక్ అనుమతుల మాతృక యొక్క le. మూడు SGACL విధానాలు వినియోగదారు పాత్ర ఆధారంగా గమ్యం సర్వర్‌కు ప్రాప్యతను నియంత్రిస్తాయి.
మూర్తి 3: SGACL పాలసీ మ్యాట్రిక్స్ Example
CISCO Trustsec సురక్షిత నెట్‌వర్క్‌ని నిర్మిస్తుంది - మూర్తి 3
నెట్‌వర్క్‌లోని వినియోగదారులను మరియు పరికరాలను భద్రతా సమూహాలకు కేటాయించడం ద్వారా మరియు భద్రతా సమూహాల మధ్య యాక్సెస్ నియంత్రణను వర్తింపజేయడం ద్వారా, Cisco TrustSec నెట్‌వర్క్‌లో పాత్ర-ఆధారిత టోపోలాజీ-స్వతంత్ర యాక్సెస్ నియంత్రణను సాధిస్తుంది. సాంప్రదాయ ACLలలో వలె IP చిరునామాలకు బదులుగా పరికర గుర్తింపుల ఆధారంగా యాక్సెస్ నియంత్రణ విధానాలను SGACLలు నిర్వచించడం వలన, నెట్‌వర్క్ పరికరాలు నెట్‌వర్క్ అంతటా తరలించడానికి మరియు IP చిరునామాలను మార్చడానికి ఉచితం.
పాత్రలు మరియు అనుమతులు ఒకే విధంగా ఉన్నంత వరకు, నెట్‌వర్క్ టోపోలాజీకి మార్పులు భద్రతా విధానాన్ని మార్చవు. పరికరానికి వినియోగదారుని జోడించినప్పుడు, మీరు వినియోగదారుని తగిన భద్రతా సమూహానికి కేటాయిస్తారు మరియు వినియోగదారు ఆ సమూహం యొక్క అనుమతులను వెంటనే స్వీకరిస్తారు.
గమనిక చిహ్నంSGACL విధానాలు రెండు హోస్ట్ పరికరాల మధ్య జనరేట్ అయ్యే ట్రాఫిక్‌కు వర్తింపజేయబడతాయి, పరికరం నుండి ఎండ్ హోస్ట్ పరికరానికి ఉత్పన్నమయ్యే ట్రాఫిక్‌కు కాదు.
పాత్ర-ఆధారిత అనుమతులను ఉపయోగించడం ACLల పరిమాణాన్ని బాగా తగ్గిస్తుంది మరియు వాటి నిర్వహణను సులభతరం చేస్తుంది. Cisco TrustSecతో, కాన్ఫిగర్ చేయబడిన యాక్సెస్ కంట్రోల్ ఎంట్రీల (ACEలు) సంఖ్య పేర్కొన్న అనుమతుల సంఖ్య ద్వారా నిర్ణయించబడుతుంది, దీని ఫలితంగా సాంప్రదాయ IP నెట్‌వర్క్ కంటే చాలా తక్కువ సంఖ్యలో ACEలు ఉంటాయి. సిస్కో ట్రస్ట్‌సెక్‌లో SGACLల ఉపయోగం సాధారణంగా సాంప్రదాయ ACLలతో పోలిస్తే TCAM వనరులను మరింత సమర్థవంతంగా ఉపయోగించుకుంటుంది. ఉత్ప్రేరకం 17,500 సిరీస్ స్విచ్‌లలో గరిష్టంగా 9500 SGACL విధానాలకు మద్దతు ఉంది. ఉత్ప్రేరక 9500 హై పెర్ఫార్మెన్స్ సిరీస్ స్విచ్‌లలో, గరిష్టంగా 28,224 SGACL విధానాలకు మద్దతు ఉంది.
ప్రవేశము Tagging మరియు ఎగ్రెస్ ఎన్‌ఫోర్స్‌మెంట్
Cisco TrustSec యాక్సెస్ నియంత్రణ ప్రవేశాన్ని ఉపయోగించి అమలు చేయబడుతుంది tagజింగ్ మరియు ఎగ్రెస్ అమలు. Cisco TrustSec డొమైన్‌లోకి ప్రవేశించే ప్రదేశంలో, సోర్స్ నుండి ట్రాఫిక్ ఉంది tagసోర్స్ ఎంటిటీ యొక్క సెక్యూరిటీ గ్రూప్ నంబర్‌ను కలిగి ఉన్న SGTతో ged. SGT డొమైన్ అంతటా ట్రాఫిక్‌తో ప్రచారం చేయబడింది. Cisco TrustSec డొమైన్ యొక్క ఎగ్రెస్ పాయింట్ వద్ద, SGACL పాలసీ మ్యాట్రిక్స్ నుండి ఏ యాక్సెస్ పాలసీని వర్తింపజేయాలో నిర్ణయించడానికి ఒక ఎగ్రెస్ పరికరం మూలాధారం SGTని మరియు డెస్టినేషన్ ఎంటిటీ (గమ్యం SG, లేదా DGT) యొక్క సెక్యూరిటీ గ్రూప్ నంబర్‌ను ఉపయోగిస్తుంది.
Cisco TrustSec డొమైన్‌లో SGT అసైన్‌మెంట్ మరియు SGACL ఎన్‌ఫోర్స్‌మెంట్ ఎలా పనిచేస్తాయో క్రింది బొమ్మ చూపుతుంది.
మూర్తి 4: సిస్కో ట్రస్ట్‌సెక్ డొమైన్‌లో SGT మరియు SGACL
CISCO Trustsec సురక్షిత నెట్‌వర్క్‌ని నిర్మిస్తుంది - మూర్తి 4
  1. హోస్ట్ PC ఒక ప్యాకెట్‌కి ప్రసారం చేస్తుంది web సర్వర్. PC మరియు ది web సర్వర్ Cisco TrustSec డొమైన్‌లో సభ్యులు కాదు, ప్యాకెట్ యొక్క డేటా మార్గంలో Cisco TrustSec డొమైన్ ఉంటుంది.
  2. Cisco TrustSec ప్రవేశ పరికరం భద్రతా సమూహం సంఖ్య 3తో SGTని జోడించడానికి ప్యాకెట్‌ను సవరించింది, ఇది హోస్ట్ PC కోసం ప్రమాణీకరణ సర్వర్ ద్వారా కేటాయించబడిన భద్రతా సమూహం సంఖ్య.
  3. Cisco TrustSec ఎగ్రెస్ పరికరం SGACL విధానాన్ని అమలు చేస్తుంది, ఇది సోర్స్ గ్రూప్ 3 మరియు డెస్టినేషన్ గ్రూప్ 4కి వర్తిస్తుంది, దీని కోసం ప్రమాణీకరణ సర్వర్ కేటాయించిన సెక్యూరిటీ గ్రూప్ నంబర్ web సర్వర్.
  4. SGACL ప్యాకెట్‌ని ఫార్వార్డ్ చేయడానికి అనుమతిస్తే, Cisco TrustSec ఎగ్రెస్ స్విచ్ SGTని తీసివేయడానికి ప్యాకెట్‌ను సవరించి, ప్యాకెట్‌ని ఫార్వార్డ్ చేస్తుంది web సర్వర్.
మూల భద్రతా సమూహాన్ని నిర్ణయించడం
Cisco TrustSec డొమైన్‌లోకి ప్రవేశించే నెట్‌వర్క్ పరికరం తప్పనిసరిగా Cisco TrustSec డొమైన్‌లోకి ప్రవేశించే ప్యాకెట్ యొక్క SGTని గుర్తించాలి, తద్వారా అది చేయగలదు. tag సిస్కో ట్రస్ట్‌సెక్ డొమైన్‌లోకి ఫార్వార్డ్ చేసినప్పుడు ఆ SGTతో ప్యాకెట్. SGACLని వర్తింపజేయడానికి ఎగ్రెస్ నెట్‌వర్క్ పరికరం తప్పనిసరిగా ప్యాకెట్ యొక్క SGTని నిర్ణయించాలి.
నెట్‌వర్క్ పరికరం క్రింది పద్ధతుల్లో ఒకదానిలో ప్యాకెట్ కోసం SGTని నిర్ణయించగలదు:
  • పాలసీ సముపార్జన సమయంలో మూలం SGTని పొందండి—Cisco TrustSec ప్రమాణీకరణ దశ తర్వాత, నెట్‌వర్క్ పరికరం ప్రామాణీకరణ సర్వర్ నుండి పాలసీ సమాచారాన్ని పొందుతుంది, ఇది పీర్ పరికరం విశ్వసించబడిందా లేదా అని సూచిస్తుంది. పీర్ పరికరం విశ్వసించబడకపోతే, పీర్ పరికరం నుండి వచ్చే అన్ని ప్యాకెట్‌లకు వర్తింపజేయడానికి ప్రమాణీకరణ సర్వర్ SGTని కూడా అందించగలదు.
  • ప్యాకెట్ నుండి మూలం SGTని పొందండి-ఒక ప్యాకెట్ విశ్వసనీయ పీర్ పరికరం నుండి వచ్చినట్లయితే, ప్యాకెట్ SGTని కలిగి ఉంటుంది. ప్యాకెట్ కోసం Cisco TrustSec డొమైన్‌లో మొదటి నెట్‌వర్క్ పరికరం కాని నెట్‌వర్క్ పరికరానికి ఇది వర్తిస్తుంది.
  • సోర్స్ ఐడెంటిటీ ఆధారంగా సోర్స్ SGTని చూడండి-ఐడెంటిటీ పోర్ట్ మ్యాపింగ్ (IPM)తో, మీరు కనెక్ట్ చేయబడిన పీర్ యొక్క గుర్తింపుతో లింక్‌ను మాన్యువల్‌గా కాన్ఫిగర్ చేయవచ్చు. నెట్‌వర్క్ పరికరం ప్రమాణీకరణ సర్వర్ నుండి SGT మరియు విశ్వసనీయ స్థితితో సహా విధాన సమాచారాన్ని అభ్యర్థిస్తుంది.
  • సోర్స్ IP చిరునామా ఆధారంగా సోర్స్ SGTని చూడండి-కొన్ని సందర్భాల్లో, మీరు దాని సోర్స్ IP చిరునామా ఆధారంగా ప్యాకెట్ యొక్క SGTని నిర్ణయించడానికి విధానాన్ని మాన్యువల్‌గా కాన్ఫిగర్ చేయవచ్చు. SGT ఎక్స్ఛేంజ్ ప్రోటోకాల్ (SXP) IP-అడ్రస్-టు-SGT మ్యాపింగ్ టేబుల్‌ను కూడా నింపగలదు.
డెస్టినేషన్ సెక్యూరిటీ గ్రూప్‌ని నిర్ణయించడం
Cisco TrustSec డొమైన్‌లోని ఎగ్రెస్ నెట్‌వర్క్ పరికరం SGACLని వర్తింపజేయడానికి గమ్య సమూహాన్ని (DGT) నిర్ణయిస్తుంది. నెట్‌వర్క్ పరికరం ప్యాకెట్ నుండి గ్రూప్ నంబర్‌ను పొందడం మినహా, సోర్స్ సెక్యూరిటీ గ్రూప్‌ను నిర్ణయించడానికి ఉపయోగించే అదే పద్ధతులను ఉపయోగించి ప్యాకెట్ కోసం గమ్య భద్రతా సమూహాన్ని నిర్ణయిస్తుంది tag. గమ్యస్థాన భద్రతా సమూహం సంఖ్య ప్యాకెట్‌లో చేర్చబడలేదు tag.
కొన్ని సందర్భాల్లో, ప్రవేశ పరికరాలు లేదా ఇతర నాన్-ఎగ్రెస్ పరికరాలు గమ్యస్థాన సమూహ సమాచారం అందుబాటులో ఉండవచ్చు. ఆ సందర్భాలలో, ఎగ్రెస్ పరికరాల కంటే SGACLలు ఈ పరికరాలలో వర్తించవచ్చు.
రూటెడ్ మరియు స్విచ్డ్ ట్రాఫిక్‌పై SGACL ఎన్‌ఫోర్స్‌మెంట్
SGACL ఎన్‌ఫోర్స్‌మెంట్ IP ట్రాఫిక్‌పై మాత్రమే వర్తించబడుతుంది, అయితే రూట్ చేయబడిన లేదా మారిన ట్రాఫిక్‌కి ఎన్‌ఫోర్స్‌మెంట్ వర్తించబడుతుంది.
రూట్ చేయబడిన ట్రాఫిక్ కోసం, SGACL ఎన్‌ఫోర్స్‌మెంట్ ఒక ఎగ్రెస్ స్విచ్ ద్వారా నిర్వహించబడుతుంది, సాధారణంగా డిస్ట్రిబ్యూషన్ స్విచ్ లేదా గమ్యస్థాన హోస్ట్‌కి కనెక్ట్ అయ్యే రూటెడ్ పోర్ట్‌తో యాక్సెస్ స్విచ్. మీరు ప్రపంచవ్యాప్తంగా SGACL అమలును ప్రారంభించినప్పుడు, SVI ఇంటర్‌ఫేస్‌లు మినహా ప్రతి లేయర్ 3 ఇంటర్‌ఫేస్‌లో ఎన్‌ఫోర్స్‌మెంట్ స్వయంచాలకంగా ప్రారంభించబడుతుంది.
మారిన ట్రాఫిక్ కోసం, ఏ రూటింగ్ ఫంక్షన్ లేకుండా ఒకే స్విచింగ్ డొమైన్‌లో ప్రవహించే ట్రాఫిక్‌పై SGACL అమలు చేయబడుతుంది. ఒక మాజీample అనేది నేరుగా కనెక్ట్ చేయబడిన రెండు సర్వర్‌ల మధ్య సర్వర్-టు-సర్వర్ ట్రాఫిక్‌పై డేటా సెంటర్ యాక్సెస్ స్విచ్ ద్వారా SGACL అమలు చేయబడుతుంది. ఇందులో మాజీample, సర్వర్-టు-సర్వర్ ట్రాఫిక్ సాధారణంగా మార్చబడుతుంది. VLANలో స్విచ్ చేయబడిన ప్యాకెట్‌లకు SGACL అమలును వర్తింపజేయవచ్చు లేదా VLANతో అనుబంధించబడిన SVIకి ఫార్వార్డ్ చేయవచ్చు, అయితే ప్రతి VLAN కోసం అమలు తప్పనిసరిగా ప్రారంభించబడాలి.
SGACL లాగింగ్ మరియు ACE గణాంకాలు
SGACLలో లాగింగ్ ప్రారంభించబడినప్పుడు, పరికరం క్రింది సమాచారాన్ని లాగ్ చేస్తుంది:
  • మూల భద్రతా సమూహం tag (SGT) మరియు గమ్యం SGT
  • SGACL విధానం పేరు
  • ప్యాకెట్ ప్రోటోకాల్ రకం
  • ప్యాకెట్‌పై చేసిన చర్య
లాగ్ ఎంపిక వ్యక్తిగత ACEలకు వర్తిస్తుంది మరియు ACEకి సరిపోలే ప్యాకెట్‌లు లాగిన్ అయ్యేలా చేస్తుంది. లాగ్ కీవర్డ్ ద్వారా లాగ్ చేయబడిన మొదటి ప్యాకెట్ సిస్లాగ్ సందేశాన్ని ఉత్పత్తి చేస్తుంది. తదుపరి లాగ్ సందేశాలు ఐదు నిమిషాల వ్యవధిలో రూపొందించబడతాయి మరియు నివేదించబడతాయి. లాగింగ్-ప్రారంభించబడిన ACE మరొక ప్యాకెట్‌తో సరిపోలితే (లాగ్ సందేశాన్ని రూపొందించిన ప్యాకెట్‌కు సమానమైన లక్షణాలతో), సరిపోలిన ప్యాకెట్‌ల సంఖ్య పెంచబడుతుంది (కౌంటర్‌లు) ఆపై నివేదించబడుతుంది.
లాగింగ్‌ని ప్రారంభించడానికి, SGACL కాన్ఫిగరేషన్‌లో ACE నిర్వచనం ముందు లాగ్ కీవర్డ్‌ని ఉపయోగించండి. ఉదాహరణకుample, అనుమతి ip లాగ్.
SGACL లాగింగ్ ప్రారంభించబడినప్పుడు, పరికరం నుండి క్లయింట్‌కు ICMP అభ్యర్థన సందేశాలు లాగిన్ చేయబడవు
IPv4 మరియు IPv6 ప్రోటోకాల్‌లు. అయితే; క్లయింట్ నుండి పరికరానికి ICMP ప్రతిస్పందన సందేశాలు లాగ్ చేయబడ్డాయి.
క్రింది విధంగా ఉందిample లాగ్, సోర్స్ మరియు డెస్టినేషన్ SGTలు, ACE మ్యాచ్‌లు (పర్మిట్ లేదా తిరస్కరణ చర్య కోసం) మరియు ప్రోటోకాల్, అంటే TCP, UDP, IGMP మరియు ICMP సమాచారం:
*జూన్ 2 08:58:06.489: %C4K_IOSINTF-6-SGACLHIT: జాబితా deny_udp_src_port_log-30 తిరస్కరించబడింది udp 24.0.0.23(100) -> 28.0.0.91(100), SGTG
ఇప్పటికే ఉన్న 'ప్రతి సెల్' SGACL గణాంకాలతో పాటు, షో cts రోల్-బేస్డ్‌ని ఉపయోగించి ప్రదర్శించవచ్చు
కౌంటర్స్ కమాండ్, మీరు show ip access-list sgacl_name ఆదేశాన్ని ఉపయోగించడం ద్వారా ACE గణాంకాలను కూడా ప్రదర్శించవచ్చు. దీనికి అదనపు కాన్ఫిగరేషన్ అవసరం లేదు.
కింది మాజీampACE గణనను ప్రదర్శించడానికి మీరు show ip యాక్సెస్-లిస్ట్ ఆదేశాన్ని ఎలా ఉపయోగించవచ్చో le చూపిస్తుంది
పరికరం# షో ip యాక్సెస్-నియంత్రణ deny_udp_src_port_log-30
పాత్ర-ఆధారిత IP యాక్సెస్ జాబితా deny_udp_src_port_log-30 (డౌన్‌లోడ్ చేయబడింది)
10 నిరాకరణ udp src eq 100 లాగ్ (283 మ్యాచ్‌లు)
20 అనుమతి ip లాగ్ (50 మ్యాచ్‌లు)
గమనిక చిహ్నంఇన్‌కమింగ్ ట్రాఫిక్ సెల్‌తో సరిపోలినప్పుడు, కానీ సెల్ యొక్క SGACLతో సరిపోలనప్పుడు, ట్రాఫిక్ అనుమతించబడుతుంది మరియు సెల్ కోసం HW-పర్మిట్‌లో కౌంటర్లు పెంచబడతాయి.
కింది మాజీampసెల్ యొక్క SGACL ఎలా పనిచేస్తుందో le చూపిస్తుంది:
SGACL విధానం 5 నుండి 18 వరకు “deny icmp echo”తో కాన్ఫిగర్ చేయబడింది మరియు TCP హెడర్‌తో 5 నుండి 18 వరకు ఇన్‌కమింగ్ ట్రాఫిక్ ఉంది. సెల్ 5 నుండి 18 వరకు సరిపోలినప్పటికీ ట్రాఫిక్ icmpతో సరిపోలకపోతే, ట్రాఫిక్ అనుమతించబడుతుంది మరియు సెల్ 5 నుండి 18 వరకు HW-పర్మిట్ కౌంటర్ పెరుగుతుంది.
CISCO Trustsec సురక్షిత నెట్‌వర్క్‌ని నిర్మిస్తుంది - SGACL విధానం 5 నుండి 18 వరకు “deny icmp echoతో కాన్ఫిగర్ చేయబడింది
VRF-అవగాహన SGACL లాగింగ్
SGACL సిస్టమ్ లాగ్‌లు VRF సమాచారాన్ని కలిగి ఉంటాయి. ప్రస్తుతం లాగిన్ చేసిన ఫీల్డ్‌లతో పాటు, లాగింగ్ సమాచారంలో VRF పేరు ఉంటుంది. నవీకరించబడిన లాగింగ్ సమాచారం క్రింద చూపిన విధంగా ఉంటుంది:
*నవంబర్ 15 02:18:52.187: %RBM-6-SGACLHIT_V6: ingress_interface='GigabitEthernet1/0/15′ sgacl_name='IPV6_TCP_DENY' చర్య='నిరాకరించు' ప్రోటోకాల్'=srcpvrcv't't -ip='25::2′ src-port='20'
dest-vrf='CTS-VRF' dest-ip='49::2′ dest-port='30' sgt='200′ dgt='500′ logging_interval_hits='1′
SGACL మానిటర్ మోడ్
Cisco TrustSec యొక్క ప్రీ-డిప్లాయ్‌మెంట్ దశలో, పాలసీలు ఉద్దేశించిన విధంగానే పని చేస్తున్నాయని నిర్ధారించుకోవడానికి, భద్రతా విధానాలను అమలు చేయకుండానే వాటిని పరీక్షించడానికి నిర్వాహకుడు మానిటర్ మోడ్‌ను ఉపయోగిస్తాడు. భద్రతా విధానాలు ఉద్దేశించిన విధంగా పని చేయకపోతే, మానిటర్ మోడ్ దానిని గుర్తించడానికి అనుకూలమైన యంత్రాంగాన్ని అందిస్తుంది మరియు SGACL అమలును ప్రారంభించే ముందు విధానాన్ని సరిదిద్దడానికి అవకాశాన్ని అందిస్తుంది. ఇది నిర్వాహకులు పాలసీ చర్యలను అమలు చేయడానికి ముందు దాని ఫలితానికి దృశ్యమానతను పెంచడానికి వీలు కల్పిస్తుంది మరియు సబ్జెక్ట్ పాలసీ భద్రతా అవసరాలకు అనుగుణంగా ఉందని నిర్ధారిస్తుంది (వినియోగదారులు లేకపోతే వనరులకు యాక్సెస్ నిరాకరించబడుతుంది
అధికారం).
పర్యవేక్షణ సామర్ధ్యం SGT-DGT జత స్థాయిలో అందించబడుతుంది. మీరు SGACL మానిటరింగ్ మోడ్ ఫీచర్‌ని ఎనేబుల్ చేసినప్పుడు, లైన్ కార్డ్‌లపై ACL పర్మిట్‌గా తిరస్కరించే చర్య అమలు చేయబడుతుంది. SGACL విధానం ద్వారా కనెక్షన్‌లు ఎలా నిర్వహించబడతాయో ప్రదర్శించడానికి SGACL కౌంటర్లు మరియు లాగింగ్‌ను ఇది అనుమతిస్తుంది. పర్యవేక్షించబడే ట్రాఫిక్ అంతా అనుమతించబడినందున, SGACL మానిటర్ మోడ్‌లో ఉన్నప్పుడు SGACLల కారణంగా సేవకు అంతరాయం ఉండదు.
ఆథరైజేషన్ మరియు పాలసీ అక్విజిషన్
పరికర ప్రామాణీకరణ ముగిసిన తర్వాత, దరఖాస్తుదారు మరియు ప్రమాణీకరణదారు ఇద్దరూ ప్రమాణీకరణ సర్వర్ నుండి భద్రతా విధానాన్ని పొందుతారు. ఇద్దరు సహచరులు లింక్ అధికారాన్ని అమలు చేస్తారు మరియు వారి Cisco TrustSec పరికర IDల ఆధారంగా ఒకరికొకరు వ్యతిరేకంగా లింక్ భద్రతా విధానాన్ని అమలు చేస్తారు. లింక్ ప్రమాణీకరణ పద్ధతిని 802.1X లేదా మాన్యువల్ ప్రమాణీకరణగా కాన్ఫిగర్ చేయవచ్చు. లింక్ భద్రత 802.1X అయితే, ప్రతి పీర్ ప్రమాణీకరణ సర్వర్ నుండి అందుకున్న పరికర IDని ఉపయోగిస్తాడు. లింక్ భద్రత మాన్యువల్ అయితే, మీరు తప్పనిసరిగా పీర్ పరికర IDలను కేటాయించాలి.
ప్రమాణీకరణ సర్వర్ క్రింది విధాన లక్షణాలను అందిస్తుంది:
  • సిస్కో ట్రస్ట్‌సెక్ ట్రస్ట్-ప్యాకెట్‌లలో SGTని ఉంచడం కోసం పీర్ పరికరాన్ని విశ్వసించాలా వద్దా అని సూచిస్తుంది.
  • పీర్ SGT - పీర్ చెందిన భద్రతా సమూహాన్ని సూచిస్తుంది. పీర్‌ను విశ్వసించకపోతే, పీర్ నుండి అందుకున్న అన్ని ప్యాకెట్‌లు tagఈ SGT తో ged. ఏదైనా SGACLలు పీర్ యొక్క SGTతో అనుబంధించబడి ఉన్నాయో లేదో పరికరానికి తెలియకపోతే, పరికరం SGACLలను డౌన్‌లోడ్ చేయడానికి ప్రమాణీకరణ సర్వర్‌కు ఫాలో-అప్ అభ్యర్థనను పంపవచ్చు.
  • ఆథరైజేషన్ గడువు ముగిసే సమయం-పాలసీ గడువు ముగియడానికి ఎన్ని సెకన్ల ముందు ఉంటుందో సూచిస్తుంది. Cisco TrustSec పరికరం గడువు ముగిసేలోపు దాని విధానాన్ని మరియు అధికారాన్ని రిఫ్రెష్ చేయాలి. పరికరం ప్రామాణీకరణ మరియు విధాన డేటాను కాష్ చేయగలదు మరియు డేటా గడువు ముగియకపోతే రీబూట్ చేసిన తర్వాత దాన్ని మళ్లీ ఉపయోగించుకోవచ్చు.
గమనిక చిహ్నం ప్రతి Cisco TrustSec పరికరం పీర్ కోసం తగిన పాలసీని పొందడానికి ప్రామాణీకరణ సర్వర్‌ను సంప్రదించలేనట్లయితే కొన్ని కనీస డిఫాల్ట్ యాక్సెస్ పాలసీకి మద్దతు ఇవ్వాలి.
NDAC మరియు SAP సంధి ప్రక్రియ క్రింది చిత్రంలో చూపబడింది
మూర్తి 5: NDAC మరియు SAP నెగోషియేషన్
CISCO Trustsec సురక్షిత నెట్‌వర్క్‌ని నిర్మిస్తుంది - మూర్తి 5
పర్యావరణ డేటా డౌన్‌లోడ్
సిస్కో ట్రస్ట్‌సెక్ ఎన్విరాన్‌మెంట్ డేటా అనేది సిస్కో ట్రస్ట్‌సెక్ నోడ్‌గా పనిచేయడానికి పరికరానికి సహాయపడే సమాచారం లేదా విధానాల సమాహారం. పరికరం మొదట Cisco TrustSec డొమైన్‌లో చేరినప్పుడు, పరికరం ప్రమాణీకరణ సర్వర్ నుండి పర్యావరణ డేటాను పొందుతుంది, అయినప్పటికీ మీరు పరికరంలో కొంత డేటాను మాన్యువల్‌గా కాన్ఫిగర్ చేయవచ్చు. ఉదాహరణకుampఅలాగే, మీరు తప్పనిసరిగా సీడ్ సిస్కో ట్రస్ట్‌సెక్ పరికరాన్ని ప్రమాణీకరణ సర్వర్ సమాచారంతో కాన్ఫిగర్ చేయాలి, ఆ తర్వాత పరికరం ప్రమాణీకరణ సర్వర్ నుండి పొందే సర్వర్ జాబితా ద్వారా పెంచబడుతుంది.
పరికరం గడువు ముగిసేలోపు తప్పనిసరిగా Cisco TrustSec పర్యావరణ డేటాను రిఫ్రెష్ చేయాలి. పరికరం పర్యావరణ డేటాను కాష్ చేయగలదు మరియు డేటా గడువు ముగియకపోతే రీబూట్ చేసిన తర్వాత దాన్ని మళ్లీ ఉపయోగించుకోవచ్చు.
ప్రమాణీకరణ సర్వర్ నుండి కింది పర్యావరణ డేటాను పొందేందుకు పరికరం RADIUSని ఉపయోగిస్తుంది:
  • సర్వర్ జాబితాలు: క్లయింట్ భవిష్యత్తులో RADIUS అభ్యర్థనల కోసం ఉపయోగించగల సర్వర్‌ల జాబితా (ప్రామాణీకరణ మరియు అధికారం రెండింటికీ). PAC రిఫ్రెష్ ఈ సర్వర్ల ద్వారా జరుగుతుంది.
  • పరికరం SG: పరికరానికి చెందిన భద్రతా సమూహం.
  • గడువు సమయం ముగిసింది: Cisco TrustSec పరికరం దాని పర్యావరణ డేటాను ఎంత తరచుగా రిఫ్రెష్ చేయాలో నియంత్రించే విరామం.
RADIUS రిలే కార్యాచరణ
802.1X ప్రమాణీకరణ ప్రక్రియలో Cisco TrustSec ప్రమాణీకరణ పాత్రను పోషించే పరికరం ప్రమాణీకరణ సర్వర్‌కు IP కనెక్టివిటీని కలిగి ఉంది, UDP/IP ద్వారా RADIUS సందేశాలను మార్పిడి చేయడం ద్వారా ప్రమాణీకరణ సర్వర్ నుండి విధానాన్ని మరియు అధికారాన్ని పొందేందుకు పరికరాన్ని అనుమతిస్తుంది. అభ్యర్థి పరికరం ప్రమాణీకరణ సర్వర్‌తో IP కనెక్టివిటీని కలిగి ఉండకపోవచ్చు. అటువంటి సందర్భాలలో, Cisco TrustSec ప్రామాణీకరణదారుని అభ్యర్థికి RADIUS రిలేగా పని చేయడానికి అనుమతిస్తుంది.
అభ్యర్థి RADIUS సర్వర్ IP చిరునామా మరియు UDP పోర్ట్ మరియు పూర్తి RADIUS అభ్యర్థనను కలిగి ఉన్న ప్రామాణీకరణదారుకి ప్రత్యేక EAPOL సందేశాన్ని పంపుతారు. Authenticator అందుకున్న EAPOL సందేశం నుండి RADIUS అభ్యర్థనను సంగ్రహిస్తుంది మరియు UDP/IP ద్వారా ప్రమాణీకరణ సర్వర్‌కు పంపుతుంది. ధృవీకరణ సర్వర్ నుండి RADIUS ప్రతిస్పందన తిరిగి వచ్చినప్పుడు, Authenticator సందేశాన్ని తిరిగి అభ్యర్థికి ఫార్వార్డ్ చేస్తుంది, ఇది EAPOL ఫ్రేమ్‌లో ఉంటుంది.
లింక్ భద్రత
లింక్ యొక్క రెండు వైపులా 802.1AE మీడియా యాక్సెస్ కంట్రోల్ సెక్యూరిటీ (MACsec)కి మద్దతు ఇచ్చినప్పుడు, సెక్యూరిటీ అసోసియేషన్ ప్రోటోకాల్ (SAP) సంధి చేయడం జరుగుతుంది. సైఫర్ సూట్‌ను చర్చించడానికి, భద్రతా పారామితులను మార్పిడి చేయడానికి మరియు కీలను నిర్వహించడానికి అభ్యర్థి మరియు ప్రామాణీకరణదారు మధ్య EAPOL-కీ మార్పిడి జరుగుతుంది. మూడు పనులను విజయవంతంగా పూర్తి చేయడం వలన భద్రతా సంఘం (SA) స్థాపన జరుగుతుంది.
మీ సాఫ్ట్‌వేర్ వెర్షన్, క్రిప్టో లైసెన్సింగ్ మరియు లింక్ హార్డ్‌వేర్ మద్దతుపై ఆధారపడి, SAP సంధి కింది ఆపరేషన్ మోడ్‌లలో ఒకదాన్ని ఉపయోగించవచ్చు:
  • Galois/కౌంటర్ మోడ్ (GCM)-ప్రామాణీకరణ మరియు గుప్తీకరణను నిర్దేశిస్తుంది
  • GCM ప్రమాణీకరణ (GMAC)-ప్రామాణీకరణను నిర్దేశిస్తుంది మరియు గుప్తీకరణ లేదు
  • ఎన్‌క్యాప్సులేషన్ లేదు - ఎన్‌క్యాప్సులేషన్ లేదు (టెక్స్ట్ క్లియర్)
  • శూన్యం- ఎన్‌క్యాప్సులేషన్‌ను నిర్దేశిస్తుంది, ప్రమాణీకరణ లేదు మరియు ఎన్‌క్రిప్షన్ లేదు
నో ఎన్‌క్యాప్సులేషన్ మినహా అన్ని మోడ్‌లకు సిస్కో ట్రస్ట్‌సెక్-సామర్థ్యం గల హార్డ్‌వేర్ అవసరం.
లింక్ భద్రత కోసం SAP-PMKని కాన్ఫిగర్ చేస్తోంది
CISCO Trustsec సురక్షిత నెట్‌వర్క్‌ను రూపొందించింది - లింక్ భద్రత కోసం SAP-PMKని కాన్ఫిగర్ చేస్తోంది
CISCO Trustsec సురక్షిత నెట్‌వర్క్‌ను రూపొందించింది - లింక్ సెక్యూరిటీ 2 కోసం SAP-PMKని కాన్ఫిగర్ చేస్తోంది
లెగసీ యాక్సెస్ నెట్‌వర్క్‌లలో SGT ప్రచారం కోసం SXP
TagSGTలతో కూడిన ging ప్యాకెట్‌లకు హార్డ్‌వేర్ మద్దతు అవసరం. మీరు మీ నెట్‌వర్క్‌లో పరికరాలను కలిగి ఉండవచ్చు, Cisco TrustSec ప్రమాణీకరణలో పాల్గొనగలిగే సామర్థ్యం ఉన్నప్పటికీ, హార్డ్‌వేర్ సామర్థ్యాన్ని కలిగి ఉండకపోవచ్చు tag తో ప్యాకెట్లు
SGTలు. SGT ఎక్స్ఛేంజ్ ప్రోటోకాల్ (SXP)ని ఉపయోగించడం ద్వారా, ఈ పరికరాలు Cisco TrustSec-సామర్థ్యం గల హార్డ్‌వేర్‌ను కలిగి ఉన్న Cisco TrustSec పీర్ పరికరానికి IP-అడ్రస్-టు-SGT మ్యాపింగ్‌లను పంపవచ్చు.

SXP సాధారణంగా Cisco TrustSec డొమైన్ ఎడ్జ్‌లోని ఇన్‌గ్రెస్ యాక్సెస్ లేయర్ పరికరాల మధ్య మరియు Cisco TrustSec డొమైన్‌లోని డిస్ట్రిబ్యూషన్ లేయర్ పరికరాల మధ్య పనిచేస్తుంది. యాక్సెస్ లేయర్ పరికరం ఇన్‌గ్రెస్ ప్యాకెట్‌ల కోసం తగిన SGTలను గుర్తించడానికి బాహ్య మూల పరికరాల యొక్క Cisco TrustSec ప్రమాణీకరణను నిర్వహిస్తుంది. యాక్సెస్ లేయర్ పరికరం IP పరికర ట్రాకింగ్ మరియు (ఐచ్ఛికంగా) DHCP స్నూపింగ్‌ని ఉపయోగించి సోర్స్ పరికరాల యొక్క IP చిరునామాలను నేర్చుకుంటుంది, ఆపై పంపిణీ పరికరాలకు వాటి SGTలతో పాటు సోర్స్ పరికరాల యొక్క IP చిరునామాలను పంపడానికి SXPని ఉపయోగిస్తుంది.
Cisco TrustSec-సామర్థ్యం గల హార్డ్‌వేర్‌తో పంపిణీ పరికరాలు ఈ IP-to-SGT మ్యాపింగ్ సమాచారాన్ని ఉపయోగించవచ్చు tag సముచితంగా ప్యాకెట్లు మరియు SGACL విధానాలను అమలు చేయడానికి.

మూర్తి 6: SGT సమాచారాన్ని ప్రచారం చేయడానికి SXP ప్రోటోకాల్
CISCO Trustsec సురక్షిత నెట్‌వర్క్‌ని నిర్మిస్తుంది - మూర్తి 6
మీరు Cisco TrustSec హార్డ్‌వేర్ మద్దతు లేని పీర్ మరియు Cisco TrustSec హార్డ్‌వేర్ మద్దతుతో పీర్ మధ్య SXP కనెక్షన్‌ని మాన్యువల్‌గా కాన్ఫిగర్ చేయాలి. SXP కనెక్షన్‌ని కాన్ఫిగర్ చేస్తున్నప్పుడు కింది పనులు అవసరం:
  • మీకు SXP డేటా సమగ్రత మరియు ప్రమాణీకరణ అవసరమైతే, మీరు రెండు పీర్ పరికరాలలో ఒకే SXP పాస్‌వర్డ్‌ను కాన్ఫిగర్ చేయాలి. మీరు SXP పాస్‌వర్డ్‌ను ప్రతి పీర్ కనెక్షన్‌కు స్పష్టంగా లేదా పరికరం కోసం ప్రపంచవ్యాప్తంగా కాన్ఫిగర్ చేయవచ్చు. SXP పాస్‌వర్డ్ అవసరం లేనప్పటికీ, దానిని ఉపయోగించమని మేము సిఫార్సు చేస్తున్నాము.
  • మీరు SXP కనెక్షన్‌లోని ప్రతి పీర్‌ని తప్పనిసరిగా SXP స్పీకర్ లేదా SXP లిజనర్‌గా కాన్ఫిగర్ చేయాలి. స్పీకర్ పరికరం IP-to-SGT మ్యాపింగ్ సమాచారాన్ని శ్రోత పరికరానికి పంపిణీ చేస్తుంది.
  • మీరు ప్రతి పీర్ రిలేషన్ షిప్ కోసం ఉపయోగించే సోర్స్ IP చిరునామాను పేర్కొనవచ్చు లేదా మీరు నిర్దిష్ట సోర్స్ IP చిరునామాను కాన్ఫిగర్ చేయని పీర్ కనెక్షన్‌ల కోసం డిఫాల్ట్ సోర్స్ IP చిరునామాను కాన్ఫిగర్ చేయవచ్చు. మీరు ఏదైనా సోర్స్ IP చిరునామాను పేర్కొనకుంటే, పరికరం పీర్‌కు కనెక్షన్ యొక్క ఇంటర్‌ఫేస్ IP చిరునామాను ఉపయోగిస్తుంది.
SXP బహుళ హాప్‌లను అనుమతిస్తుంది. అంటే, సిస్కో ట్రస్ట్‌సెక్ హార్డ్‌వేర్ మద్దతు లేని పరికరం యొక్క పీర్‌కు సిస్కో ట్రస్ట్‌సెక్ హార్డ్‌వేర్ సపోర్ట్ కూడా లేకుంటే, రెండవ పీర్ మూడవ పీర్‌కి ఎస్‌ఎక్స్‌పి కనెక్షన్‌ను కలిగి ఉండవచ్చు, హార్డ్‌వేర్ వరకు IP-టు-SGT మ్యాపింగ్ సమాచారం యొక్క ప్రచారాన్ని కొనసాగించవచ్చు. సమర్థుడైన సహచరుడు చేరుకుంటాడు. ఒక పరికరాన్ని ఒక SXP కనెక్షన్ కోసం SXP లిజనర్‌గా మరొక SXP కనెక్షన్ కోసం SXP స్పీకర్‌గా కాన్ఫిగర్ చేయవచ్చు.
Cisco TrustSec పరికరం TCP కీపాలివ్ మెకానిజంను ఉపయోగించడం ద్వారా దాని SXP పీర్‌లతో కనెక్టివిటీని నిర్వహిస్తుంది.
పీర్ కనెక్షన్‌ని స్థాపించడానికి లేదా పునరుద్ధరించడానికి, కనెక్షన్ విజయవంతం అయ్యే వరకు లేదా కాన్ఫిగరేషన్ నుండి కనెక్షన్ తీసివేయబడే వరకు కాన్ఫిగర్ చేయదగిన పునఃప్రయత్న వ్యవధిని ఉపయోగించి పరికరం కనెక్షన్ సెటప్‌ను పదేపదే ప్రయత్నిస్తుంది.
నాన్-ట్రస్ట్‌సెక్ ప్రాంతాల కోసం లేయర్ 3 SGT రవాణా
ఒక ప్యాకెట్ Cisco TrustSec డొమైన్ నుండి నాన్-ట్రస్ట్‌సెక్ గమ్యస్థానానికి నిష్క్రమించినప్పుడు, ఎగ్రెస్ సిస్కో ట్రస్ట్‌సెక్ పరికరం ప్యాకెట్‌ను బయటి నెట్‌వర్క్‌కు ఫార్వార్డ్ చేయడానికి ముందు సిస్కో ట్రస్ట్‌సెక్ హెడర్ మరియు SGTని తొలగిస్తుంది. అయితే, కింది చిత్రంలో చూపిన విధంగా, ప్యాకెట్ మరొక Cisco TrustSec డొమైన్‌కు వెళ్లే మార్గంలో కేవలం నాన్-ట్రస్ట్‌సెక్ డొమైన్‌ను ప్రయాణిస్తున్నట్లయితే, Cisco TrustSec లేయర్ 3 SGT ట్రాన్స్‌పోర్ట్ ఫీచర్‌ని ఉపయోగించడం ద్వారా SGTని భద్రపరచవచ్చు. ఈ ఫీచర్‌లో, ఎగ్రెస్ Cisco TrustSec పరికరం SGT కాపీని కలిగి ఉన్న ESP హెడర్‌తో ప్యాకెట్‌ను ఎన్‌క్యాప్సులేట్ చేస్తుంది. ఎన్‌క్యాప్సులేటెడ్ ప్యాకెట్ తదుపరి సిస్కో ట్రస్ట్‌సెక్ డొమైన్‌కు వచ్చినప్పుడు, ఇన్‌గ్రెస్ సిస్కో ట్రస్ట్‌సెక్ పరికరం ESP ఎన్‌క్యాప్సులేషన్‌ను తీసివేస్తుంది మరియు దాని SGTతో ప్యాకెట్‌ను ప్రచారం చేస్తుంది.
మూర్తి 7: నాన్-ట్రస్ట్‌సెక్ డొమైన్‌ను విస్తరించడం
CISCO Trustsec సురక్షిత నెట్‌వర్క్‌ని నిర్మిస్తుంది - మూర్తి 7
Cisco TrustSec లేయర్ 3 SGT ట్రాన్స్‌పోర్ట్‌కు మద్దతు ఇవ్వడానికి, సిస్కో ట్రస్ట్‌సెక్ ఇన్‌గ్రెస్ లేదా ఎగ్రెస్ లేయర్ 3 గేట్‌వేగా పనిచేసే ఏదైనా పరికరం తప్పనిసరిగా ట్రాఫిక్ పాలసీ డేటాబేస్‌ను నిర్వహించాలి, అది రిమోట్ సిస్కో ట్రస్ట్‌సెక్ డొమైన్‌లలో అర్హత ఉన్న సబ్‌నెట్‌లను అలాగే ఆ ప్రాంతాల్లోని మినహాయించబడిన సబ్‌నెట్‌లను జాబితా చేస్తుంది. Cisco Secure ACS నుండి స్వయంచాలకంగా డౌన్‌లోడ్ చేయలేకపోతే మీరు ప్రతి పరికరంలో ఈ డేటాబేస్‌ను మాన్యువల్‌గా కాన్ఫిగర్ చేయవచ్చు.
పరికరం ఒక పోర్ట్ నుండి లేయర్ 3 SGT ట్రాన్స్‌పోర్ట్ డేటాను పంపగలదు మరియు మరొక పోర్ట్‌లో లేయర్ 3 SGT ట్రాన్స్‌పోర్ట్ డేటాను అందుకోగలదు, అయితే ఇన్‌గ్రెస్ మరియు ఎగ్రెస్ పోర్ట్‌లు రెండూ తప్పనిసరిగా సిస్కో ట్రస్ట్‌సెక్-సామర్థ్యం గల హార్డ్‌వేర్‌ను కలిగి ఉండాలి.
గమనిక చిహ్నం Cisco TrustSec లేయర్ 3 SGT ట్రాన్స్‌పోర్ట్ ఎన్‌క్యాప్సులేటెడ్ ప్యాకెట్‌లను గుప్తీకరించదు. నాన్-ట్రస్ట్‌సెక్ డొమైన్‌లో ప్రయాణించే ప్యాకెట్‌లను రక్షించడానికి, మీరు IPsec వంటి ఇతర రక్షణ పద్ధతులను కాన్ఫిగర్ చేయవచ్చు.
VRF-అవేర్ SXP
వర్చువల్ రూటింగ్ మరియు ఫార్వార్డింగ్ (VRF) యొక్క SXP అమలు నిర్దిష్ట VRFతో SXP కనెక్షన్‌ని బంధిస్తుంది. Cisco TrustSecని ప్రారంభించే ముందు అన్ని VRFలు కాన్ఫిగర్ చేయబడి, లేయర్ 2 లేదా లేయర్ 3 VPNల కోసం నెట్‌వర్క్ టోపోలాజీ సరిగ్గా కాన్ఫిగర్ చేయబడిందని భావించబడుతుంది.
SXP VRF మద్దతును ఈ క్రింది విధంగా సంగ్రహించవచ్చు:
  • ఒక SXP కనెక్షన్ మాత్రమే ఒక VRFకి కట్టుబడి ఉంటుంది.
  • వేర్వేరు VRFలు అతివ్యాప్తి చెందుతున్న SXP పీర్ లేదా సోర్స్ IP చిరునామాలను కలిగి ఉండవచ్చు.
  • ఒక VRFలో నేర్చుకున్న (జోడించిన లేదా తొలగించబడిన) IP-SGT మ్యాపింగ్‌లు అదే VRF డొమైన్‌లో మాత్రమే నవీకరించబడతాయి.
    SXP కనెక్షన్ వేరొక VRFకి కట్టుబడి ఉన్న మ్యాపింగ్‌ను నవీకరించదు. VRF కోసం SXP కనెక్షన్ నిష్క్రమించకపోతే, ఆ VRF కోసం IP-SGT మ్యాపింగ్‌లు SXP ద్వారా అప్‌డేట్ చేయబడవు.
  • ఒక్కో VRFకి బహుళ చిరునామా కుటుంబాలకు మద్దతు ఉంది. కాబట్టి, VRF డొమైన్‌లోని ఒక SXP కనెక్షన్ IPV4 మరియు IPV6 IP-SGT మ్యాపింగ్‌లు రెండింటినీ ఫార్వార్డ్ చేయగలదు.
  • SXPకి కనెక్షన్‌ల సంఖ్య మరియు VRFకి IP-SGT మ్యాపింగ్‌ల సంఖ్యపై పరిమితి లేదు.
లేయర్ 2 VRF-అవేర్ SXP మరియు VRF అసైన్‌మెంట్
VRF నుండి లేయర్ 2 VLANల అసైన్‌మెంట్‌లు cts రోల్-బేస్డ్ l2-vrf vrf-name vlan-list గ్లోబల్ కాన్ఫిగరేషన్ కమాండ్‌తో పేర్కొనబడ్డాయి. VLANలో కాన్ఫిగర్ చేయబడిన IP చిరునామాతో స్విచ్ వర్చువల్ ఇంటర్‌ఫేస్ (SVI) లేనంత వరకు VLAN అనేది లేయర్ 2 VLANగా పరిగణించబడుతుంది. IP చిరునామా దాని SVIలో కాన్ఫిగర్ చేయబడిన తర్వాత VLAN లేయర్ 3 VLAN అవుతుంది.
VLAN లేయర్ 2 VLANగా ఉన్నంత వరకు cts రోల్-బేస్డ్ l2-vrf కమాండ్ ద్వారా కాన్ఫిగర్ చేయబడిన VRF అసైన్‌మెంట్‌లు సక్రియంగా ఉంటాయి. VRF అసైన్‌మెంట్ సక్రియంగా ఉన్నప్పుడు నేర్చుకున్న IP-SGT బైండింగ్‌లు కూడా VRF మరియు IP ప్రోటోకాల్ వెర్షన్‌తో అనుబంధించబడిన ఫార్వార్డింగ్ ఇన్ఫర్మేషన్ బేస్ (FIB) టేబుల్‌కి జోడించబడతాయి. VLAN కోసం SVI సక్రియం అయినట్లయితే, VRF నుండి VLAN అసైన్‌మెంట్ నిష్క్రియం అవుతుంది మరియు VLANలో నేర్చుకున్న అన్ని బైండింగ్‌లు SVI యొక్క VRFతో అనుబంధించబడిన FIB పట్టికకు తరలించబడతాయి.
అసైన్‌మెంట్ ఇన్‌యాక్టివ్ అయినప్పుడు కూడా VRF నుండి VLAN వరకు అసైన్‌మెంట్ అలాగే ఉంచబడుతుంది. SVI తీసివేయబడినప్పుడు లేదా SVI IP చిరునామా డీకాన్ఫిగర్ చేయబడినప్పుడు ఇది మళ్లీ సక్రియం చేయబడుతుంది. తిరిగి సక్రియం చేయబడినప్పుడు, IP-SGT బైండింగ్‌లు SVI యొక్క VRFతో అనుబంధించబడిన FIB పట్టిక నుండి cts రోల్-బేస్డ్ l2-vrf కమాండ్ ద్వారా కేటాయించబడిన VRFతో అనుబంధించబడిన FIB పట్టికకు తరలించబడతాయి.
Cisco TrustSec కోసం ఫీచర్ హిస్టరీ ఓవర్view
ఈ పట్టిక ఈ మాడ్యూల్‌లో వివరించిన లక్షణాల కోసం విడుదల మరియు సంబంధిత సమాచారాన్ని అందిస్తుంది.
ఈ ఫీచర్‌లు అవి ప్రవేశపెట్టిన తర్వాత విడుదలైన అన్ని విడుదలలలో అందుబాటులో ఉంటాయి, లేకపోతే గుర్తించబడకపోతే.
CISCO Trustsec సురక్షిత నెట్‌వర్క్‌ను రూపొందించింది - Cisco TrustSec ఓవర్ కోసం ఫీచర్ చరిత్రview
ప్లాట్‌ఫారమ్ మరియు సాఫ్ట్‌వేర్ ఇమేజ్ సపోర్ట్ గురించి సమాచారాన్ని కనుగొనడానికి సిస్కో ఫీచర్ నావిగేటర్‌ని ఉపయోగించండి. వినియోగించటానికి
సిస్కో ఫీచర్ నావిగేటర్, వెళ్ళండి http://www.cisco.com/go/cfn.

పత్రాలు / వనరులు

CISCO Trustsec సురక్షిత నెట్‌వర్క్‌ను రూపొందించింది [pdf] యూజర్ గైడ్
ట్రస్ట్‌సెక్ సురక్షిత నెట్‌వర్క్, ట్రస్ట్‌సెక్, సురక్షిత నెట్‌వర్క్, సురక్షిత నెట్‌వర్క్, నెట్‌వర్క్‌ని నిర్మిస్తుంది

సూచనలు

వ్యాఖ్యానించండి

మీ ఇమెయిల్ చిరునామా ప్రచురించబడదు. అవసరమైన ఫీల్డ్‌లు గుర్తించబడ్డాయి *