Здравствуйте, все. Я только начинаю знакомиться с SDN и у меня есть несколько вопросов относительно структуры SD-Access и того, как к ней можно применять политики. Насколько я понимаю, различные политики безопасности в фабрике могут быть настроены статически или динамически с помощью Cisco TrustSec, который, как я полагаю, настраивается на таких платформах, как ISE? Если я правильно понимаю, преимущество TrustSec заключается в том, что мы можем присвоить тег каждому пользователю после его аутентификации и на основе присвоенного тега обрабатывать различные политики безопасности (разрешать/запрещать им доступ к определенным частям сети и т. д.) вместо того, чтобы полагаться на IP-адреса, MAC-адреса и т. д., что проще в управлении, чем традиционный способ применения политик с помощью сегментации ACL/VLAN. Поскольку мы идентифицируем пользователей на основе этих тегов, независимо от того, перемещается ли пользователь где-либо, подключается ли он по беспроводной сети или к другому порту коммутатора, к нему будут применяться те же политики, потому что он был помечен тегом. Как применяется этот тег? Например, как я могу определить, что конкретный пользователь должен быть помечен? Какие параметры я могу использовать для этого? Для меня логично применять его к учетным данным пользователя. Скажем, если кто-то с именем Джон и паролем Cisco присоединяется, к нему должен быть применен тег. Спасибо!
Дэвид

]]>https://sla247.ru/forum/topic/783/как-применяются-теги-cisco-trustsecRSS for NodeFri, 15 May 2026 14:17:35 GMTFri, 13 Feb 2026 20:09:55 GMT60«... что проще...» —
очень спорный вопрос, поскольку, например, для обеспечения масштабируемости и простоты при развертывании на нескольких площадках необходимо либо реализовать распространение IP-адресов в SGT через
SXP (что не так просто, как может показаться на первый взгляд), либо поддерживать статические назначения IP-адресов в SGT на Fabric BN (что, очевидно, не является масштабируемым и простым).
Как применяется этот тег?
В SDA в основном доступны 3 метода для входных коммутаторов, чтобы «привязать» SGT к источнику:
VALN-to-SGT через DNAC UI
статический SGT на порту через DNAC UI
динамический SGT с помощью ISE во время AAA (в конечном итоге коммутатор применяет SGT, полученный от ISE)
. «Например, как определить, что конкретный пользователь должен быть помечен?»
В случае SDA это ISE
. «Какие параметры я могу использовать для этого?»
При статическом подходе вы используете известный VLAN|порт и SGT,
при динамическом вы можете использовать любые свойства сеанса AAA, которые ISE может использовать в своих политиках AuthZ. «Для меня логично применять
его к учетным данным пользователя. Скажем, если кто-то с именем Джон и паролем Cisco присоединяется, к нему должен быть применен тег».
Пароль здесь не имеет никакого смысла. Он нужен только для успешной AuthC/AuthZ на ISE. Затем ISE на основе свойств пользователя может назначить конкретный SGT в случае успешной аутентификации/авторизации.

]]>https://sla247.ru/forum/post/6367https://sla247.ru/forum/post/6367Fri, 13 Feb 2026 20:09:56 GMT