Cisco TrustSec(理解)
1、Cisco TrustSec的限制
當指定了無效的設備ID時,受保護的訪問憑據(Protected access credential,PAC)設置將失敗并保持掛起狀態。 即使在清除PAC并配置正確的設備ID和密碼后,PAC仍然會失敗。
作為解決方法,在思科身份服務引擎(ISE)中,取消選中Administration> System> Settings> Protocols> Radius菜單中的“Suppress Anomalous Clients”選項,以使PAC工作。
?
2、關于Cisco TrustSec架構
Cisco TrustSec安全體系結構通過建立可信網絡設備的域來構建安全網絡。 域中的每個設備都由其Peer進行身份驗證。 通過加密,消息完整性檢查和數據路徑重放保護機制的組合來保護域中設備之間的鏈路上的通信。
Cisco TrustSec使用在身份驗證期間獲取的設備和用戶憑據,來分類通過安全組(Security Groups,SG)進入網絡時的數據包。 通過在入口處將數據包標記到Cisco TrustSec網絡來維護此數據包分類,以便在數據路徑中應用安全性和其他策略標準時,可以正確識別它們。
稱為安全組標記(Security Group Tag,SGT)的Tag允許網絡通過終端對SGT進行操作來過濾流量以執行訪問控制策略。
注意:Cisco IOS XE Denali和Everest版本支持的平臺不支持Cisco TrustSec IEEE 802.1X鏈接,因此僅支持Authenticator,而 Supplicant(請求者)不被支持。
?
Cisco TrustSec架構包含三個關鍵組件:
經過身份驗證的網絡基礎架構——在第一個設備(稱為種子設備)通過身份驗證服務器進行身份驗證以啟動Cisco TrustSec域后,添加到域中的每個新設備都將由域中已有的對等設備進行身份驗證。對等體充當域的認證服務器的中介。每個新認證的設備由認證服務器分類,并根據其身份,角色和安全狀態分配安全組編號。
基于安全組的訪問控制—— Cisco TrustSec域內的訪問策略與拓撲無關,基于源和目標設備的角色(由安全組編號指示)而不是網絡地址。各個數據包使用源的安全組編號進行標記。
安全通信—— 使用具有加密功能的硬件,可以通過加密,消息完整性檢查和數據路徑重放保護機制的組合來保護域中設備之間每條鏈路上的通信。
?
如下圖展示的是一個Cisco TrustSec域。在這個示例中,有多個網絡設備和一個在域內的終端。另外,還有一個網絡設備和一個終端在域外,因為他們不是支持Cisco TrustSec的設備或者因為他們被拒絕接入。
認證服務器被視作是Cisco TrustSec域外的;它可以是ISE,也可以是ACS。
Cisco TrustSec身份驗證過程中的每個參與者都扮演以下角色之一:
- Supplicant(請求者)——未經身份驗證的設備,連接到Cisco TrustSec域內的對等方,并嘗試加入Cisco TrustSec域。
- Authentication Server(身份驗證服務器)——驗證請求者身份的服務器,并發出確定請求者對Cisco TrustSec域內服務的訪問權限的策略。
- Authenticator(認證者)——已經過身份驗證的設備,它已經是Cisco TrustSec域的一部分,可以代表身份驗證服務器對新的對等請求者進行身份驗證。
當請求者和認證者之間的鏈接首次出現時,通常會發生以下事件序列:
1.認證(802.1X)——請求者由身份驗證服務器進行身份驗證,認證這充當中介。在兩個對等體(請求者和認證者)之間執行相互認證。
2.授權——基于請求者的身份信息,認證服務器向每個鏈接的對等體提供授權策略,例如SG安全組分配和ACL。身份驗證服務器將每個對等方的身份提供給另一方,然后每個對等方為鏈路應用適當的策略。
3.SAP協商——(Security Association Protocol-SAP,安全關聯協議)當鏈路的兩端都支持加密時,請求者和認證者協商必要的參數以建立安全關聯(SA)。
完成上述三個步驟后,認證者會將鏈路狀態從未授權unauthorized(blocking阻塞)狀態更改為authorized授權狀態,并且請求者成為Cisco TrustSec域的成員。
?
Cisco TrustSec使用入口標記和出口過濾以可擴展的方式實施訪問控制策略。
進入域的數據包標記有安全組標記(SGT),其中包含源設備的已分配安全組編號。 此數據包分類沿Cisco TrustSec域內的數據路徑維護,以便應用安全性和其他策略標準。 數據路徑上的最終Cisco TrustSec設備即終端或網絡出口,根據Cisco TrustSec源設備的安全組和最終Cisco TrustSec設備的安全組實施訪問控制策略。 與基于網絡地址的傳統訪問控制列表不同,Cisco TrustSec訪問控制策略是一種基于角色的訪問控制列表(Role-Based Access Control Lists ,RBACL),稱為安全組訪問控制列表(SGACL)。
注意:Ingress指的是數據包在到達目的地的路基上經過的第一個支持Cisco TrustSec的設備,而egress指在該路徑上數據包離開的最后一個支持Cisco TruckSec的設備。
3、Cisco TrustSec and Authentication
使用網絡設備準入控制(NDAC),Cisco TrustSec在允許設備加入網絡之前對其進行身份驗證。
NDAC使用結合EAP靈活身份驗證的802.1X認證,通過安全隧道(EAP-FAST)作為可擴展身份驗證協議(EAP)的方式來執行身份驗證。
EAP-FAST對話使用鏈提供EAP-FAST隧道內的其他EAP方法交換。管理員可以使用傳統的用戶身份驗證方法,例如(MSCHAPv2),同時仍具有EAP-FAST隧道提供的安全性。在EAP-FAST交換期間,身份驗證服務器創建并向請求者傳遞唯一的受保護訪問憑證(PAC),其包含共享密鑰(Shared key)和加密令牌(Encrypted Token),以用于將來與身份驗證服務器的安全通信。下圖顯示了Cisco TrustSec中使用的EAP-FAST隧道方式及方法。
?本部分包括以下主題:
???? EAP-FAST的Cisco TrustSec增強功能
???? 802.1X角色選擇
???? Cisco TrustSec身份驗證摘要
1、EAP-FAST的Cisco TrustSec增強功能
Cisco TrustSec的EAP-FAST實施具有以下增強功能:
?
- 驗證認證者——通過要求認證者使用其PAC來派生自身和認證服務器之間的共享密鑰,安全地確認認證者的身份。這個特性還可以防止你在認證服務器上為認證者上的每個可能的IP地址配置RADIUS共享密鑰。
- 告知每個設備其對等體的身份——在認證交互結束時,認證服務器已經識別出請求者和認證者。認證服務器通過在受保護的EAP-FAST終端中使用附加的類型 - 長度 - 值參數(TLV),向請求者傳送認證者的身份,以及認證者是否具有Cisco TrustSec能力。驗證服務器還通過使用Access-Accept消息中的RADIUS屬性向認證者傳達請求者的身份以及請求者是否具有Cisco TrustSec能力。由于每個設備都知道其對等體的身份,因此它可以向身份驗證服務器發送其他RADIUS Access-Requests,以獲取要應用于該鏈路的策略。
2、802.1X角色選舉
在802.1X中,認證者必須與身份驗證服務器建立IP連接,因為它必須使用RADIUS over UDP / IP在請求者和認證服務器之間中繼身份驗證信息。當終端(例如PC)連接到網絡時,顯然它應該充當請求者。但是,對于兩個網絡設備之間的Cisco TrustSec連接,每個網絡設備的802.1X角色可能不會立即顯示給其他網絡設備。
Cisco TrustSec不需要手動配置兩個相鄰交換機的驗證者角色和請求者角色,而是運行角色選擇算法,以自動確定哪個交換機作為驗證者運行,哪個作為請求者。角色選擇算法將認證者角色分配給具有到RADIUS服務器的IP可達性的交換機。兩臺交換機都啟動認證者和請求者狀態機。當交換機檢測到其對等方有權訪問RADIUS服務器時,它會終止自己的認證者狀態機并承擔請求方的角色。如果兩臺交換機都可以訪問RADIUS服務器,則先從RADIUS服務器接收到響應的交換機將成為認證者,另一臺交換機將成為請求者。
3、Cisco TrustSec身份驗證摘要
在Cisco TrustSec身份驗證過程結束時,身份認證服務器已執行以下操作:
- 驗證了請求者和身份驗證者的身份。????
- 如果請求者是端點設備,則對用戶進行身份驗證。
在Cisco TrustSec身份驗證過程結束時,認證者和請求者都知道以下內容:
- 對等體的設備ID????
- 對等方的Cisco TrustSec功能信息
- 用于SAP的密鑰
設備身份(Device Identities)
Cisco TrustSec不使用IP地址或MAC地址作為設備標識。 而是為每個支持Cisco TrustSec的交換機分配一個名稱(設備ID),以便在Cisco TrustSec域中唯一地標識它。 此設備ID用于以下內容:
???? 查找授權政策
???? 在身份驗證期間查找數據庫中的密碼
設備憑據(Device Credentials)
Cisco TrustSec支持基于密碼的憑據。 Cisco TrustSec通過密碼對請求者進行身份驗證,并使用MSCHAPv2提供相互身份驗證。
身份驗證服務器使用這些憑據在EAP-FAST階段0(provisioning)交換期間相互驗證請求者,其中在請求者中配置PAC。在Trust到期之前,Cisco TrustSec不會再次執行EAP-FAST階段0交換,而僅
執行EAP-FAST階段1和階段2交換以用于將來的鏈路啟動。 EAP-FAST階段1交換使用PAC來相互驗證認證服務器和請求者。 Cisco TrustSec僅在PAC配置(或重新配置)步驟期間使用設備憑據。
當請求者首次加入Cisco TrustSec域時,身份驗證服務器會對請求者進行身份驗證,并使用PAC將shared key共享密鑰和encrypted token加密令牌推送給請求者。在將來的所有EAP-FAST階段0交換中,
認證服務器和請求者使用該密鑰和令牌進行相互認證。
用戶憑據(User Credentials)
Cisco TrustSec不需要終端設備的特定類型的用戶憑據。
可以選擇身份驗證服務器支持的任何類型的用戶身份驗證方法,并使用相應的憑據。 例如,思科安全訪問控制系統(ACS)版本5.1支持MSCHAPv2,通用令牌卡(generic token card,GTC)或RSA一次性密碼
(one-time password,OTP)。
?
4、基于安全組的訪問控制(Security Group-Based Access Control)
這部分涉及如下幾個要點:
安全組和SGT
SGACL策略
入口標記和出口操作
確定源安全組
確定目標安全組
SGACL對路由和交換流量的操作
SGACL記錄和ACE統計
SGACL監控模式
4.1 安全組和SGT
安全組是共享訪問控制策略的用戶,端點設備和資源的分組。安全組由Cisco ISE或Cisco Secure ACS中的管理員定義。隨著新用戶和設備添加到Cisco TrustSec域,身份驗證服務器會將這些新實體分配給適當的
安全組。 Cisco TrustSec為每個安全組分配一個唯一的16位安全組編號,其范圍在Cisco TrustSec域中是全局的。交換機中的安全組數量僅限于經過身份驗證的網絡實體的數量。您不必手動配置安全組編號。
設備通過身份驗證后,Cisco TrustSec會使用包含設備安全組編號的安全組標記(SGT)標記源自該設備的任何數據包。數據包在Cisco TrustSec標頭內的整個網絡中攜帶此SGT。 SGT是一個單一標簽,用于確定
整個企業中源的特權。
因為SGT包含源的安全組,所以標簽可以稱為源SGT。盡管實際的Cisco TrustSec數據包標記不包含目標設備的安全組編號,但目標設備也會分配給安全組(目標SG),為了簡單起見,可以將其稱為目標組
標記(DGT)。
4.2 SGACL策略
使用安全組訪問控制列表(SGACL),您可以根據用戶和目標資源的安全組分配來控制用戶可以執行的操作。 Cisco TrustSec域內的策略實施由權限矩陣表示,其中一個軸上的源安全組編號和另一個軸上的目標
安全組編號。 矩陣體內的每個單元格都可以包含SGACL的有序列表,該列表指定應該應用于源自源安全組并發往目標安全組的數據包的權限。
下圖顯示了具有三個已定義用戶角色和一個已定義目標資源的簡單域的Cisco TrustSec權限矩陣示例。 三個SGACL策略根據用戶的角色控制對目標服務器的訪問。
通過將網絡中的用戶和設備分配給安全組并在安全組之間應用訪問控制,Cisco TrustSec可在網絡中實現基于角色的獨立于拓撲的訪問控制。 由于SGACL基于設備標識而不是傳統ACL中的IP地址來定義訪問控制策略,因此網絡設備可以在整個網絡中自由移動并更改IP地址。 只要角色和權限保持不變,對網絡拓撲的更改不會更改安全策略。 將用戶添加到交換機后,只需將用戶分配到適當的安全組,用戶即可立即獲得該組的權限。
注意:SGACL策略應用于在兩個主機設備之間生成的流量,而不應用于從交換機到終端主機設備生成的流量。
使用基于角色的權限可以大大減少ACL的大小并簡化其維護。 使用Cisco TrustSec,配置的訪問控制條目(ACE)數量由指定的權限數決定,從而導致ACE數量遠少于傳統IP網絡。 與傳統ACL相比,在Cisco TrustSec中使用SGACL通常可以更有效地使用TCAM資源。
4.3入口標記和出口執行
Cisco TrustSec訪問控制使用入口標記和出口實施來實現。 在Cisco TrustSec域的入口點,來自源的流量標記有包含源實體的安全組編號的SGT。 SGT隨著域中的流量一起傳播。 在Cisco TrustSec域的出口點,出口設備使用源SGT和目標實體的安全組編號(目標SG或DGT)來確定要從SGACL策略矩陣應用哪個訪問策略。
下圖顯示了SGT分配和SGACL執行如何在Cisco TrustSec域中運行。
?
步驟1:主機PC將數據包發送到Web服務器。 雖然PC和Web服務器不是Cisco TrustSec域的成員,但數據包的數據路徑包括Cisco TrustSec域。
步驟2:Cisco TrustSec入口交換機修改數據包以添加安全組編號為3的SGT,安全組編號為驗證服務器為主機PC分配的安全組編號。
步驟3:Cisco TrustSec出口交換機實施適用于源組3和目標組4的SGACL策略,即由身份驗證服務器為Web服務器分配的安全組編號。
步驟4:如果SGACL允許轉發數據包,Cisco TrustSec出口交換機會修改數據包以刪除SGT并將數據包轉發到Web服務器。
4.4 網絡設備可以使用以下方法之一確定數據包的SGT:
????策略獲取期間獲取源SGT - 在Cisco TrustSec身份驗證階段之后,網絡設備從身份驗證服務器獲取策略信息,該信息指示對等設備是否可信。如果對等設備不受信任,則認證服務器還可以提供SGT以應用于來自對等設備的所有分組。
????從數據包中獲取源SGT - 如果數據包來自可信對等設備,則數據包攜帶SGT。這適用于不是Cisco TrustSec域中第一個用于數據包的網絡設備的網絡設備。
????根據源標識查找源SGT - 使用標識端口映射(IPM),您可以手動配置具有已連接對等方標識的鏈接。網絡設備從認證服務器請求策略信息,包括SGT和信任狀態。
????根據源IP地址查找源SGT - 在某些情況下,您可以手動配置策略,以根據其源IP地址確定數據包的SGT。 SGT交換協議(SXP)還可以填充IP地址到SGT映射表。
4.5 確定目標安全組
Cisco TrustSec域中的出口網絡設備確定用于應用SGACL的目標組(DGT)。 網絡設備使用與確定源安全組相同的方法確定數據包的目標安全組,但從數據包標簽獲取組編號除外。 目標安全組編號不包含在數據包標記中。
在某些情況下,入口設備或其他非出口設備可能具有目的地組信息。 在這些情況下,SGACL可能應用于這些設備而不是出口設備。
SGACL對路由和交換流量的執行
4.6 SGACL執行僅適用于IP流量,但可以將執行應用于路由或交換流量。
對于路由流量,SGACL實施由出口交換機執行,通常是分配交換機或具有連接到目標主機的路由端口的接入交換機。全局啟用SGACL實施時,除SVI接口外,每個第3層接口都會自動啟用執行。
對于交換流量,SGACL實施是在單個交換域內流動的流量上執行的,沒有任何路由功能。一個例子是由兩個直接連接的服務器之間的服務器到服務器流量上的數據中心訪問交換機實施的SGACL強制執行。在此示例中,通常會切換服務器到服務器的流量。 SGACL實施可以應用于在VLAN內交換的數據包或轉發到與VLAN關聯的SVI,但必須為每個VLAN明確啟用實施。
4.7 SGACL記錄和ACE統計
注意:適用于Catalyst 4500-E系列交換機,Catalyst 4500-X系列交換機,Catalyst 4900M,Catalyst 4948E和Catalyst 4948E-F系列交換機。
在SGACL中啟用日志記錄時,交換機會記錄以下信息:
???? 源安全組標記(SGT)和目標SGT
???? SGACL策略名稱
???? 包協議類型
???? 對數據包執行的操作
log選項適用于單個ACE,并導致記錄與ACE匹配的數據包。 log關鍵字記錄的第一個數據包生成系統日志消息。 生成后續日志消息并以五分鐘為間隔進行報告。 如果啟用日志記錄的ACE與另一個數據包匹配(其特征與生成日志消息的數據包相同),則會增加匹配數據包的數量(計數器),然后進行報告。
要啟用日志記錄,請在SGACL配置中使用ACE定義前面的log關鍵字。 例如,“permit ip log”。
以下是示例日志,顯示源和目標SGT,ACE匹配(用于許可或拒絕操作)以及協議,即TCP,UDP,IGMP和ICMP信息:
?*Jun 2 08:58:06.489: %C4K_IOSINTF-6-SGACLHIT: list deny_udp_src_port_log-30 Denied udp 24.0.0.23(100) -> 28.0.0.91(100), SGT8 DGT 12
?除了可以使用show cts role-based counters命令顯示的現有“每個單元格”SGACL統計信息之外,還可以使用show ip access-list sgacl_name命令顯示ACE統計信息。 此處無需其他配置。
以下示例顯示如何使用show ip access-list命令顯示ACE計數:
Switch # show ip access-control deny_udp_src_port_log-30
Role-based IP access list deny_udp_src_port_log-30 (downloaded)
10 deny udp src eq 100 log (283 matches)
20 permit ip log (50 matches)
?
支持VRF的SGACL記錄
SGACL系統日志將包含VRF信息。 除了當前記錄的字段外,日志記錄信息還包括VRF名稱。 更新的日志記錄信息如下所示:
*Nov 15 02:18:52.187: %RBM-6-SGACLHIT_V6: ingress_interface='GigabitEthernet1/0/15' sgacl_name='IPV6_TCP_DENY' action='Deny' protocol='tcp' src-vrf='CTS-VRF' src-ip='25::2' src-port='20' dest-vrf='CTS-VRF' dest-ip='49::2' dest-port='30' sgt='200' dgt='500' logging_interval_hits='1'
4.8 SGACL監控模式
在Cisco TrustSec的預部署階段,管理員將使用監控模式測試安全策略,而不執行這些策略以確保策略按預期運行。如果安全策略未按預期運行,則監視器模式提供了一種方便的機制來識別該策略,并提供在啟用SGACL實施之前更正策略的機會。這使管理員可以在執行策略操作之前提高對策略操作結果的可見性,并確認主題策略滿足安全要求(如果未授權用戶,則拒絕訪問資源)。
監控能力在“SGT-DGT對”級別提供。啟用S??GACL監控模式功能時,拒絕操作將作為線路卡上的ACL許可證實施。這允許SGACL計數器和日志記錄顯示SGACL策略如何處理連接。由于允許所有受監控的流量,因此在SGACL監控模式下,SGACL不會中斷服務。
?
5、授權和策略獲取
設備認證結束后,請求者和認證者都從認證服務器獲取安全策略。然后,兩個對等方執行鏈接授權,并根據其Cisco TrustSec設備ID相互強制實施鏈路安全策略。鏈路驗證方法可以配置為802.1X或手動驗證。如果鏈路安全性為802.1X,則每個對等方使用從身份驗證服務器接收的設備ID。如果鏈接安全性是手動的,則必須分配對等設備ID。
身份驗證服務器返回以下策略屬性:
- Cisco TrustSec信任—— 指示是否為了將SGT放入數據包而信任對等設備。????
- 對等SGT——表示對等方所屬的安全組。如果對等體不受信任,則從對等??體接收的所有分組都用該SGT標記。如果設備不知道是否有任何SGACL與對等方的SGT相關聯,則設備可以向認證服務器發送后續請求以下載SGACL。
- 授權到期時間——表示策略到期前的秒數。 Cisco TrustSec設備應在超時之前刷新其策略和授權。如果數據尚未過期,設備可以緩存身份驗證和策略數據,并在重新啟動后重新使用它。在Cisco IOS版本12.2(33)SXI中,僅緩存策略數據和環境數據。
提示:每個Cisco TrustSec設備都應支持一些最小的默認訪問策略,以防它無法聯系身份驗證服務器以獲取對等方的適當策略。
NDAC和SAP協商過程如下所示:
6、環境數據下載
Cisco TrustSec環境數據是一組信息或策略,可幫助設備充當Cisco TrustSec節點。設備首次加入Cisco TrustSec域時,設備從身份驗證服務器獲取環境數據,但您也可以手動配置設備上的某些數據。例如,您必須使用身份驗證服務器信息配置種子Cisco TrustSec設備,該信息稍后可以通過設備從身份驗證服務器獲取的服務器列表進行擴充。
設備必須在到期之前刷新Cisco TrustSec環境數據。如果數據尚未過期,設備還可以緩存環境數據并在重新啟動后重復使用。
設備使用RADIUS從身份驗證服務器獲取以下環境數據:
????服務器列表 - 客戶端可用于未來RADIUS請求的服務器列表(用于身份驗證和授權)。
????設備本身所屬的設備SG-Security組。
????到期超時 - 控制Cisco TrustSec設備刷新其環境數據的頻率的間隔。
7、RADIUS中繼功能
在802.1X身份驗證過程中扮演Cisco TrustSec身份驗證者角色的交換機具有到身份驗證服務器的IP連接,允許交換機通過UDP / IP交換RADIUS消息從身份驗證服務器獲取策略和授權。 請求方設備可能沒有與身份驗證服務器的IP連接。 在這種情況下,Cisco TrustSec允許認證者充當請求者的RADIUS中繼。
請求者向包含RADIUS服務器IP地址和UDP端口以及完整RADIUS請求的認證者發送特殊的EAPOL消息。認證者從收到的EAPOL消息中提取RADIUS請求,并通過UDP / IP將其發送到驗證服務器。 當RADIUS響應從認證服務器返回時,認證者將消息轉發回請求者,封裝在EAPOL幀中。
8、鏈接安全
當鏈路的兩端都支持802.1AE媒體訪問控制安全性(MACsec)時,執行安全關聯協議(SAP)協商。在請求者和驗證者之間進行EAPOL-Key交換以協商密碼套件,交換安全參數和管理密鑰。成功完成所有三項任務將導致建立安全協商(SA)。
根據您的軟件版本,加密許可和鏈接硬件支持,SAP協商可以使用以下操作模式之一:
????Galois / Counter Mode(GCM) - 指定認證和加密
????GCM身份驗證(GMAC) - 指定身份驗證而不加密
????無封裝 - 指定無封裝(明文)
????Null-指定封裝,無驗證和無加密
除No Encapsulation之外的所有模式都需要支持Cisco TrustSec的硬件。
對于Cisco Catalyst 6500系列交換機,Cisco IOS版本12.2(50)SY及更高版本,Cisco TrustSec使用AES-128 GCM和GMAC,符合IEEE 802.1AE標準。
?
9、在Cisco TrustSec網絡中使用Cisco TrustSec無法使用的設備和網絡
SXP用于跨傳統接入網絡的SGT傳播
使用SGT標記數據包需要硬件支持。您的網絡中可能有設備雖然能夠參與Cisco TrustSec身份驗證,但缺少使用SGT標記數據包的硬件功能。通過使用SGT交換協議(SGT Exchange Protocol,SXP),這些設備可以將IP地址到SGT映射傳遞到具有Cisco TrustSec功能硬件的Cisco TrustSec對等設備。
SXP通常在Cisco TrustSec域邊緣的入口接入層設備和Cisco TrustSec域內的分布層設備之間運行。接入層設備對外部源設備執行Cisco TrustSec身份驗證,以確定入口數據包的相應SGT。接入層設備使用IP設備跟蹤和(可選地)DHCP偵聽來學習源設備的IP地址,然后使用SXP將源設備的IP地址連同其SGT一起傳遞到分發交換機。具有Cisco TrustSec功能的硬件的分布交換機可以使用此IP到SGT映射信息來適當地標記數據包并實施SGACL策略。
您必須在沒有Cisco TrustSec硬件支持的對等方和具有Cisco TrustSec硬件支持的對等方之間手動配置SXP連接。配置SXP連接時,需要執行以下任務:
如果需要SXP數據完整性和身份驗證,則必須在兩個對等設備上配置相同的SXP密碼。您可以為每個對等連接明確配置SXP密碼,也可以為設備全局配置SXP密碼。雖然不需要SXP密碼,但我們建議使用它。
必須將SXP連接上的每個對等體配置為SXP Speaker或SXP Listener。Speaker設備將IP到SGT映射信息分發給Listener設備。
可以指定用于每個對等關系的源IP地址,也可以為尚未配置特定源IP地址的對等連接配置默認源IP地址。如果未指定任何源IP地址,則設備將使用與對等方的連接的接口IP地址。
SXP允許多跳。也就是說,如果缺少Cisco TrustSec硬件支持的設備的對等方也缺乏Cisco TrustSec硬件支持,則第二對等方可以與第三對等方建立SXP連接,繼續傳播IP到SGT映射信息,直到硬件為止——有能力的對等體可達。可以將設備配置為一個SXP連接的SXP Listener,同時作為另一個SXP連接的SXP Speaker。
Cisco TrustSec設備使用TCP keepalive機制維護與其SXP對等體的連接。要建立或恢復對等連接,設備將使用可配置的重試周期重復嘗試連接設置,直到連接成功或直到從配置中刪除連接。
10、跨越非TrustSec區域的第3層SGT傳輸
當數據包離開Cisco TrustSec域以用于非TrustSec目標時,出口Cisco TrustSec設備會在將數據包轉發到外部網絡之前刪除Cisco TrustSec標頭和SGT。 但是,如果數據包僅在通往另一個Cisco TrustSec域的路徑上遍歷非TrustSec域,如下圖所示,則可以使用Cisco TrustSec第3層SGT傳輸功能保留SGT。 在此功能中,出口Cisco TrustSec設備使用包含SGT副本的ESP標頭封裝數據包。 當封裝的數據包到達下一個Cisco TrustSec域時,入口Cisco TrustSec設備將刪除ESP封裝并使用其SGT傳播數據包。
要支持Cisco TrustSec第3層SGT傳輸,任何充當Cisco TrustSec入口或出口第3層網關的設備都必須維護一個流量策略數據庫,該數據庫列出遠程Cisco TrustSec域中符合條件的子網以及這些區域內的任何排除子網。 如果無法從Cisco Secure ACS自動下載,則可以在每臺設備上手動配置此數據庫。
設備可以從一個端口發送第3層SGT傳輸數據,并在另一個端口上接收第3層SGT傳輸數據,但是入口和出口端口都必須具有支持Cisco TrustSec的硬件。
注意:Cisco TrustSec不會加密第3層SGT傳輸封裝的數據包。 要保護遍歷非TrustSec域的數據包,可以配置其他保護方法,例如IPsec。
11、適用于Cisco TrustSec無法切換模塊的Cisco TrustSec反射器
Cisco TrustSec域中的Catalyst 6500系列交換機可能包含以下任何類型的交換模塊:
????支持Cisco TrustSec的硬件支持SGT的插入和傳播。
????Cisco TrustSec-aware-Hardware不支持SGT的插入和傳播,但硬件可以執行查找以確定數據包的源和目標SGT。
????Cisco TrustSec-incapable-Hardware不支持SGT的插入和傳播,也無法通過硬件查找來確定SGT。
如果您的交換機包含支持Cisco TrustSec的管理引擎,則可以使用Cisco TrustSec反射器功能來容納同一交換機中的傳統Cisco TrustSec無交換模塊。 Cisco TrustSec反射器在Cisco IOS版本12.2(50)SY及更高版本中可用,它使用SPAN將來自Cisco TrustSec無法切換模塊的流量反映到管理引擎以進行SGT分配和插入。
Cisco TrustSec反射器支持兩種互斥模式,即入口和出口。默認為純模式,其中未啟用任何反射器。 Cisco TrustSec入口反射器配置在面向分布交換機的接入交換機上,而Cisco TrustSec出口反射器配置在分布交換機上。
支持的TrustSec反射器硬件
有關Cisco TrustSec反射器功能和支持的硬件列表的進一步討論,請參閱以下URL中的文檔“ Cisco Catalyst 6500 Series with Supervisor Engine 2T: Enabling Cisco TrustSec with Investment Protection”:
https://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps708/white_paper_c11-658388.html
入口反射器
Cisco TrustSec入口反射器在接入交換機上實現,其中Cisco TrustSec無法切換模塊位于Cisco TrustSec域邊緣,而支持Cisco TrustSec的管理引擎上行鏈路端口連接到支持Cisco TrustSec的分布交換機。
在接受Cisco TrustSec入口反射器配置之前,必須滿足以下條件:
???? 管理引擎必須支持Cisco TrustSec。
???? 任何不支持Cisco TrustSec的DFC都必須關閉。
???? 不得在交換機上配置Cisco TrustSec出口反射器。
???? 在禁用Cisco TrustSec入口反射器之前,必須斷開Cisco TrustSec無法切換模塊的電源。
出口反射器
Cisco TrustSec出口反射器在具有第3層上行鏈路的分布交換機上實現,其中不支持Cisco TrustSec的交換模塊面向接入交換機。 Cisco TrustSec出口反射器僅在第3層上行鏈路上受支持,在第2層接口,SVI,子接口或隧道上不受支持,并且不受NAT流量支持。
在接受Cisco TrustSec出口反射器配置之前,必須滿足以下條件:
???? 管理引擎或DFC交換模塊必須支持Cisco TrustSec。
???? 不得在管理引擎上行鏈路端口或支持Cisco TrustSec的DFC交換模塊上的非路由接口上啟用Cisco TrustSec。
???? 在禁用Cisco TrustSec出口反射器之前,必須從Cisco TrustSec無法切換模塊斷開電源。
???? 不得在交換機上配置Cisco TrustSec入口反射器。
12、VRF-Aware SXP
虛擬路由和轉發(VRF)的SXP實現將SXP連接與特定VRF綁定。 假設已為第2層或第3層VPN正確配置網絡拓撲,并在啟用Cisco TrustSec之前配置了所有VRF。
SXP VRF支持可歸納如下:
???? 只能將一個SXP連接綁定到一個VRF。
???? 不同的VRF可能具有重疊的SXP對等體或源IP地址。
???? 在一個VRF中學習(添加或刪除)的IP-SGT映射只能在同一個VRF域中更新。 SXP連接無法更新綁定到其他VRF的映射。 如果沒有為VRF退出SXP連接,則SXP將不會更新該VRF的IP-SGT映射。
???? 支持每個VRF多個地址系列。 因此,VRF域中的一個SXP連接可以轉發IPV4和IPV6 IP-SGT映射。
???? SXP對每個VRF的連接數和IP-SGT映射數沒有限制。
第2層VRF-Aware SXP和VRF分配
使用“cts role-based l2-vrf vrf-name vlan-list ”全局配置命令指定VRF到第2層VLAN分配。只要沒有在VLAN上配置IP地址的交換機虛擬接口(SVI),VLAN就被視為第2層VLAN。一旦在其SVI上配置了IP地址,VLAN就成為第3層VLAN。
只要VLAN仍為第2層VLAN,由 cts role-based l2-vrf 命令配置的VRF分配就是活動的。在VRF分配處于活動狀態時學習的IP-SGT綁定也被添加到與VRF和IP協議版本相關聯的轉發信息庫(FIB)表中。如果SVI對VLAN變為活動狀態,
則VRF到VLAN的分配將變為非活動狀態,并且在VLAN上學習的所有綁定都將移動到與SVI的VRF關聯的FIB表。
即使分配變為非活動狀態,也會保留VRF到VLAN分配。當刪除SVI或取消配置SVI IP地址時,它會重新激活。重新激活時,IP-SGT綁定從與SVI的VRF關聯的FIB表移回到與基于 cts role-based l2-vrf命令分配的VRF關聯的FIB表。
?
原文參考:
https://www.cisco.com/c/en/us/td/docs/switches/lan/trustsec/configuration/guide/trustsec/arch_over.html
?
轉載于:https://www.cnblogs.com/MomentsLee/p/10089970.html
總結
以上是生活随笔為你收集整理的Cisco TrustSec(理解)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: python (六)函数
- 下一篇: 51Nod.1766.树上最远点对(树的