<![CDATA[теги TrustSec SGT и масштабируемые группы]]>Привет всем. Недавно я начал изучать SD-Access, и в моей книге есть следующая информация о плоскости политик (TrustSec). ■
Масштабируемая группа: масштабируемая группа — это группа конечных точек с похожими политиками. Уровень
политик SD-Access назначает каждому конечному устройству (хосту) масштабируемую группу с
помощью тегов TrustSec SGT. Назначение масштабируемой группы может быть статическим для каждого
портового края фабрики или с помощью динамической аутентификации через AAA или RADIUS с использованием Cisco ISE. Одна
и та же масштабируемая группа настраивается на всех портовых краях фабрики и пограничных узлах. Масштабируемые группы
могут быть определены в Cisco DNA Center и/или Cisco ISE и объявляются через
Cisco TrustSec. Что касается масштабируемых групп. Говорится, что это группа конечных точек, которые имеют одинаковые политики, и что группа назначается с помощью тегов. Итак, если я присвою некоторым устройствам тег, например «IT-DEPARTMENT», все ли они будут находиться в одной и той же масштабируемой группе? Могу ли я, с другой стороны, присвоить их разным масштабируемым группам и применять политики, даже если они находятся в одной подсети, без необходимости развертывания VACL, MAC ACL и т. д.? Спасибо.
Дэвид

]]>https://sla247.ru/forum/topic/784/теги-trustsec-sgt-и-масштабируемые-группыRSS for NodeFri, 15 May 2026 14:17:39 GMTFri, 13 Feb 2026 20:09:56 GMT60<![CDATA[Reply to теги TrustSec SGT и масштабируемые группы on Fri, 13 Feb 2026 20:09:57 GMT]]>«
Итак, если я присвою некоторым устройствам тег «IT-DEPARTMENT», все они будут находиться в одной и той же масштабируемой группе?»
Да, они будут находиться в одной и той же SG
. «Могу ли я, с другой стороны, присвоить им разные масштабируемые группы и применять политики, даже если они находятся в одной подсети, без необходимости развертывания VACL, MAC ACL и т. д.?»
Вы можете присвоить конечной точке любую SG по вашему выбору. Но в любой момент конечная точка может принадлежать только одной SG. Вам не нужны VACL/MACL/и т. д., как только вы правильно сопоставите свои намерения по фильтрации с политикой исходящего трафика, где оба SRC и DST SGT должны быть доступны для устройства контроля (исходящий коммутатор|маршрутизатор|FW).

]]>https://sla247.ru/forum/post/6369https://sla247.ru/forum/post/6369Fri, 13 Feb 2026 20:09:57 GMT