Как применяются теги Cisco TrustSec?
-
Здравствуйте, все. Я только начинаю знакомиться с SDN и у меня есть несколько вопросов относительно структуры SD-Access и того, как к ней можно применять политики. Насколько я понимаю, различные политики безопасности в фабрике могут быть настроены статически или динамически с помощью Cisco TrustSec, который, как я полагаю, настраивается на таких платформах, как ISE? Если я правильно понимаю, преимущество TrustSec заключается в том, что мы можем присвоить тег каждому пользователю после его аутентификации и на основе присвоенного тега обрабатывать различные политики безопасности (разрешать/запрещать им доступ к определенным частям сети и т. д.) вместо того, чтобы полагаться на IP-адреса, MAC-адреса и т. д., что проще в управлении, чем традиционный способ применения политик с помощью сегментации ACL/VLAN. Поскольку мы идентифицируем пользователей на основе этих тегов, независимо от того, перемещается ли пользователь где-либо, подключается ли он по беспроводной сети или к другому порту коммутатора, к нему будут применяться те же политики, потому что он был помечен тегом. Как применяется этот тег? Например, как я могу определить, что конкретный пользователь должен быть помечен? Какие параметры я могу использовать для этого? Для меня логично применять его к учетным данным пользователя. Скажем, если кто-то с именем Джон и паролем Cisco присоединяется, к нему должен быть применен тег. Спасибо!
Дэвид -
«... что проще...» —
очень спорный вопрос, поскольку, например, для обеспечения масштабируемости и простоты при развертывании на нескольких площадках необходимо либо реализовать распространение IP-адресов в SGT через
SXP (что не так просто, как может показаться на первый взгляд), либо поддерживать статические назначения IP-адресов в SGT на Fabric BN (что, очевидно, не является масштабируемым и простым).
Как применяется этот тег?
В SDA в основном доступны 3 метода для входных коммутаторов, чтобы «привязать» SGT к источнику:
VALN-to-SGT через DNAC UI
статический SGT на порту через DNAC UI
динамический SGT с помощью ISE во время AAA (в конечном итоге коммутатор применяет SGT, полученный от ISE)
. «Например, как определить, что конкретный пользователь должен быть помечен?»
В случае SDA это ISE
. «Какие параметры я могу использовать для этого?»
При статическом подходе вы используете известный VLAN|порт и SGT,
при динамическом вы можете использовать любые свойства сеанса AAA, которые ISE может использовать в своих политиках AuthZ. «Для меня логично применять
его к учетным данным пользователя. Скажем, если кто-то с именем Джон и паролем Cisco присоединяется, к нему должен быть применен тег».
Пароль здесь не имеет никакого смысла. Он нужен только для успешной AuthC/AuthZ на ISE. Затем ISE на основе свойств пользователя может назначить конкретный SGT в случае успешной аутентификации/авторизации.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти