<![CDATA[пограничный коммутатор Cisco SDA подключен к другому коммутатору]]>В нашей SDA-развертке у нас есть пограничный коммутатор Cisco 9300, который подключен к Stratix 5700. Порт Stratix является портом уровня доступа, и у нас отключены STP BPDU Guard и фильтр. С настроенными на порте политиками ISE мы видим MAC-адреса в ISE, но не можем выполнить ping устройств, подключенных к Stratix, или самого Stratix, и они не отображаются в таблице arp 9300. После отключения политик на порте 9300 мы можем выполнить ping. Есть ли способ принудительно назначить SGT в этой конфигурации, где конечные устройства находятся за другим коммутатором?

]]>https://sla247.ru/forum/topic/800/пограничный-коммутатор-cisco-sda-подключен-к-другому-коммутаторуRSS for NodeFri, 15 May 2026 17:58:35 GMTFri, 13 Feb 2026 20:10:16 GMT60<![CDATA[Reply to пограничный коммутатор Cisco SDA подключен к другому коммутатору on Fri, 13 Feb 2026 20:10:30 GMT]]>Не могли бы вы уточнить:

  1. вы удалили AAA из порта на EdgeNode? Я предполагаю, что вы это сделали, поскольку интерфейс был переведен в режим trunk.
  2. вы назначаете SGT на stratix через AAA с ISE или ...?
]]>https://sla247.ru/forum/post/6477https://sla247.ru/forum/post/6477Fri, 13 Feb 2026 20:10:30 GMT<![CDATA[Reply to пограничный коммутатор Cisco SDA подключен к другому коммутатору on Fri, 13 Feb 2026 20:10:29 GMT]]>Спасибо, порт 9300 — это порт доступа, такой же, как порт Stratix.

]]>https://sla247.ru/forum/post/6476https://sla247.ru/forum/post/6476Fri, 13 Feb 2026 20:10:29 GMT<![CDATA[Reply to пограничный коммутатор Cisco SDA подключен к другому коммутатору on Fri, 13 Feb 2026 20:10:28 GMT]]>Вы не указали, как ваш Stratix подключен к C9300 EN. Предполагая, что это интерфейс доступа (без тегов) в произвольной VLAN, просто следуйте инструкциям
@Torbjørn
: подключите Stratix в качестве конечного хоста пользователя со статическим SGT. В противном случае, если интерфейс является .1q trunk с несколькими VLAN, вы все равно можете создать статические записи IP- или VLAN-to-SGT на EdgeNode с подключенным Stratix.
Удачи!

]]>https://sla247.ru/forum/post/6475https://sla247.ru/forum/post/6475Fri, 13 Feb 2026 20:10:28 GMT<![CDATA[Reply to пограничный коммутатор Cisco SDA подключен к другому коммутатору on Fri, 13 Feb 2026 20:10:27 GMT]]>Действительно, я пропустил это.

]]>https://sla247.ru/forum/post/6474https://sla247.ru/forum/post/6474Fri, 13 Feb 2026 20:10:27 GMT<![CDATA[Reply to пограничный коммутатор Cisco SDA подключен к другому коммутатору on Fri, 13 Feb 2026 20:10:26 GMT]]>Спасибо
@flavio
за предоставленную ссылку на Rockwell. Судя по всему, поддерживается только модель 5800. В настоящее время у нас установлена модель 5700, есть также несколько моделей 5200, но они не планировались к использованию в этом проекте.
Из предоставленного вами документа:
TrustSec поддерживается только на моделях с каталожными номерами 1783-MMS10AR, 1783-MMS10EAR,
1783-MMX8EA, 1783-MMX8TA, 1783-MMX8SA Они соответствуют моделям 5800.

]]>https://sla247.ru/forum/post/6473https://sla247.ru/forum/post/6473Fri, 13 Feb 2026 20:10:26 GMT<![CDATA[Reply to пограничный коммутатор Cisco SDA подключен к другому коммутатору on Fri, 13 Feb 2026 20:10:25 GMT]]>@michael-w Похоже, коммутатор Stratix поддерживает
«Протокол обмена тегами групп безопасности (SXP)». Вы пробовали добавить это устройство в ISE и применить к нему SGT? https://literature.rockwellautomation.com/idc/groups/literature/documents/um/1783-um012_-en-p.pdf https://www.cisco.com/c/en/us/td/docs/solutions/Verticals/CPwE/5-1/Network_Security/DIG/CPwE-5-1-NetworkSecurity-DIG.pdf

]]>https://sla247.ru/forum/post/6472https://sla247.ru/forum/post/6472Fri, 13 Feb 2026 20:10:25 GMT<![CDATA[Reply to пограничный коммутатор Cisco SDA подключен к другому коммутатору on Fri, 13 Feb 2026 20:10:24 GMT]]>Это все еще должно быть возможно, но я не уверен, что DOT1X будет работать с этой настройкой. Но MAB должен работать со стандартной политикой (я бы сказал, что это будет политика PMAP_DefaultWiredDot1xClosedAuth_MAB_1X вместо PMAP_DefaultWiredDot1xClosedAuth_1X_MAB).
Вам необходимо, чтобы MAC-адреса за портом на C9300 были аутентифицированы (с возвратом необходимых SGT в AccessAccept) на ISE надлежащим образом. Если вы все сделаете правильно, подключение должно работать.

]]>https://sla247.ru/forum/post/6471https://sla247.ru/forum/post/6471Fri, 13 Feb 2026 20:10:24 GMT<![CDATA[Reply to пограничный коммутатор Cisco SDA подключен к другому коммутатору on Fri, 13 Feb 2026 20:10:23 GMT]]>Нет, это нужно настроить на switchport. Желательно настроить как статический порт в разделе host onboarding в вашей структуре на Cat-C. Рады помочь! Пожалуйста, отметьте как полезное/решение, если применимо.
Свяжитесь с нами: https://torbjorn.dev

]]>https://sla247.ru/forum/post/6470https://sla247.ru/forum/post/6470Fri, 13 Feb 2026 20:10:23 GMT<![CDATA[Reply to пограничный коммутатор Cisco SDA подключен к другому коммутатору on Fri, 13 Feb 2026 20:10:22 GMT]]>Спасибо,
@Torbjørn
. Я должен был спросить, есть ли способ перенести эту конфигурацию из ISE, вместо того чтобы делать это вручную на пограничном коммутаторе?

]]>https://sla247.ru/forum/post/6469https://sla247.ru/forum/post/6469Fri, 13 Feb 2026 20:10:22 GMT<![CDATA[Reply to пограничный коммутатор Cisco SDA подключен к другому коммутатору on Fri, 13 Feb 2026 20:10:21 GMT]]>В описанной мной конфигурации политика будет применяться к пограничному узлу SDA, как и к любому другому трафику в фабрике. Это не потребует дополнительной настройки ISE, кроме той, которую вы выполняете для политики в фабрике SDA. Рад помочь! Пожалуйста, отметьте как полезное/решение, если применимо.
Свяжитесь с нами: https://torbjorn.dev

]]>https://sla247.ru/forum/post/6468https://sla247.ru/forum/post/6468Fri, 13 Feb 2026 20:10:21 GMT<![CDATA[Reply to пограничный коммутатор Cisco SDA подключен к другому коммутатору on Fri, 13 Feb 2026 20:10:20 GMT]]>Есть ли способ обеспечить это с помощью ISE?

]]>https://sla247.ru/forum/post/6467https://sla247.ru/forum/post/6467Fri, 13 Feb 2026 20:10:20 GMT<![CDATA[Reply to пограничный коммутатор Cisco SDA подключен к другому коммутатору on Fri, 13 Feb 2026 20:10:19 GMT]]>Ответил не в той ветке на этом форуме, все еще жду ответа на вышеуказанный вопрос.

]]>https://sla247.ru/forum/post/6466https://sla247.ru/forum/post/6466Fri, 13 Feb 2026 20:10:19 GMT<![CDATA[Reply to пограничный коммутатор Cisco SDA подключен к другому коммутатору on Fri, 13 Feb 2026 20:10:18 GMT]]>Я хотел бы вернуться к этому вопросу на случай, если у кого-то еще возникнет такая ситуация. Мы пытались минимизировать конфигурацию на стороне Stratix, но изменили порты на магистральные на нашей стороне и на стороне Stratix. Мы сделали нативный VLAN, чтобы он соответствовал VLAN, который мы использовали для нашего VN, и затем смогли применить SGT на основе MAC-адресов устройств за Stratix без ручного применения политики на уровне порта. Мы успешно протестировали применение 2 разных SGT к 2 разным устройствам за Stratix. Конечно, они могут взаимодействовать внутри Stratix, но как только они попадают в порт нашего пограничного коммутатора, к ним применяются отдельные политики SGT.

]]>https://sla247.ru/forum/post/6465https://sla247.ru/forum/post/6465Fri, 13 Feb 2026 20:10:18 GMT<![CDATA[Reply to пограничный коммутатор Cisco SDA подключен к другому коммутатору on Fri, 13 Feb 2026 20:10:17 GMT]]>SGACL оцениваются на выходе на основе тега, установленного на входе. В описанной вами конфигурации нет возможности распространить применение политики на коммутатор Stratix, но вы можете установить статический SGT на порту доступа пограничного узла и использовать его для всех устройств, подключенных к коммутатору Stratix. Рады помочь! Пожалуйста, отметьте как полезное/решение, если применимо.
Свяжитесь с нами: https://torbjorn.dev

]]>https://sla247.ru/forum/post/6464https://sla247.ru/forum/post/6464Fri, 13 Feb 2026 20:10:17 GMT