Привет Я тестирую Trustsec в своей лаборатории SD Access. Я могу назначить 2 порта на пограничных коммутаторах разным группам, а затем применить политику, которая блокирует пинги, и это работает нормально. Я не аутентифицирую пользователей, поэтому я статически назначаю SGT через DNAC, когда назначаю порты пулу адресов. Однако я также пытаюсь протестировать защиту трафика к внешнему серверу, который находится в моей области общих служб, которая находится в GRT. Чтобы добраться до сервера, мне нужно оставить мой SD Access vrf на L3 handoff и пройти через устройство fusion, где я маршрутизирую утечку. Поэтому я пытаюсь применить политику на моих границах таким образом, чтобы статически назначить IP-адрес с SGT xx с помощью команд cts role-based sgt-map 10.10.10.10 sgt 10 Затем моя матрица ISE блокирует моих клиентов в SGT 5, которые пингуют сервер в SGT 10. Я вижу, что политика попадает на мои границы с помощью show cts role-based permissions Однако трафик к внешнему устройству не блокируется. Возможно ли это сделать, и если да, то что я упускаю? Я хочу применить политику экстрасети, чтобы поделиться INFRA_VN с VN клиента. Это работает, и трафик не должен проходить через Fusion. Однако это не обеспечивает никакой безопасности. Это все или ничего, потому что когда я назначаю INFRA_VN в качестве провайдера, а VN клиента в качестве подписчика, клиент может получить доступ ко всему в моем INFRA_VN. Я хочу иметь возможность фильтровать трафик на границе с помощью политики SGT. Альтернативный вариант — я отправляю трафик клиента через брандмауэр и обратно через GRT, который подключается к INFRA_VN. Это работает, но неэффективно, поскольку трафик выходит за пределы границ фабрики и снова возвращается обратно. Спасибо за любой вклад, Кев.

]]>https://sla247.ru/forum/topic/825/trustsec-и-статические-сопоставленияRSS for NodeFri, 15 May 2026 08:02:55 GMTFri, 13 Feb 2026 20:10:58 GMT60Работает. Когда я увидел раскрывающийся список, я предположил, что он будет заполняться по мере ввода адресов, или когда я ввел адрес и перешел к следующему полю, мой адрес был принят. Однако, как вы сказали, нужно игнорировать раскрывающийся список, а после ввода адреса нажать клавишу «Ввод», и он будет принят. Затем я убедился, что статические сопоставления передаются на мои устройства. Спасибо за ваш вклад.

]]>https://sla247.ru/forum/post/6653https://sla247.ru/forum/post/6653Fri, 13 Feb 2026 20:11:12 GMTКакую версию ISE вы используете? У меня версия 3.0. Рядом с полями «IP-адрес» и «Виртуальные сети» есть раскрывающиеся списки, но в них ничего нет. Когда я пытаюсь ввести значение, оно стирается, как только я перехожу к следующему полю, и, поскольку я не могу заполнить все поля, кнопка «Сохранить» никогда не активируется.

]]>https://sla247.ru/forum/post/6652https://sla247.ru/forum/post/6652Fri, 13 Feb 2026 20:11:11 GMTПривет, Jalejand, Я пытаюсь
направить трафик к внешнему пункту назначения на границе с экстрасетью на Cat9500 с помощью: cts role-based enforcement
cts role-based enforcement vlan-list 1093 (l3 hanoff vlan of infra_vn)
cts sxp enable
cts sxp default password cisco
cts sxp connection peer <ISE-ADDR> source <Loopback0> password default mode local listener Соединение SXP включено, и с помощью команды «show cts role-based sgt-map» я могу видеть все свои статические сопоставления из ISE. Я настроил политику с запретом IP от внутреннего SGT к статическому сопоставлению. Но «show cts role-based permissions» пусто. Я что-то упустил для сценария экстрасети? SDA 2.3.5.5 ISE 3.2p6 IOS-XE 17.9.5 С уважением,

]]>https://sla247.ru/forum/post/6651https://sla247.ru/forum/post/6651Fri, 13 Feb 2026 20:11:10 GMTМогу подтвердить: проблем с сохранением конфигурации нет.

]]>https://sla247.ru/forum/post/6650https://sla247.ru/forum/post/6650Fri, 13 Feb 2026 20:11:09 GMT@KevinR99
Вы добавляете IP-адрес вручную, нет раскрывающегося списка с предварительно заполненными IP-адресами/сетями. Вы можете нажать кнопку «Сохранить» только после добавления как минимум минимальных значений — IP-адреса, SGT и «Отправить в домен SXP». ![RobIngram_0-1694462033831.png] ![RobIngram_1-1694462086488.png]

]]>https://sla247.ru/forum/post/6649https://sla247.ru/forum/post/6649Fri, 13 Feb 2026 20:11:08 GMTкхм... я проверю это в лаборатории и отправлю отзыв

]]>https://sla247.ru/forum/post/6648https://sla247.ru/forum/post/6648Fri, 13 Feb 2026 20:11:07 GMTОн доступен, но поле IP-адреса, похоже, ожидает, что значения будут доступны в раскрывающемся меню. Когда я ввожу IP-адрес, он не принимается, и я не могу нажать кнопку «Сохранить».

]]>https://sla247.ru/forum/post/6647https://sla247.ru/forum/post/6647Fri, 13 Feb 2026 20:11:06 GMTЭто не доступно для вас? ![andydoesntlikeuucp_0-1694431780548.png]

]]>https://sla247.ru/forum/post/6646https://sla247.ru/forum/post/6646Fri, 13 Feb 2026 20:11:05 GMTЯ по-прежнему не могу определить статические сопоставления SGT в ISE. Я надеялся, что смогу определить их там и распространить на свои границы, чтобы они знали, к какому SGT я хочу сопоставить внешние устройства. Затем я смогу использовать это сопоставление в матрице trustsec. Когда я перехожу в Trustsec - IP SGT static mapping , мне предлагается выпадающий список в первой строке рядом с IP-адресом. Как будто ему нужно знать IP-адрес устройства, прежде чем я смогу статически назначить SGT. Я хочу сообщить ISE IP-адрес и SGT, чтобы они были переданы в мой Border через SXP. Кев.

]]>https://sla247.ru/forum/post/6645https://sla247.ru/forum/post/6645Fri, 13 Feb 2026 20:11:04 GMTСм. выше

]]>https://sla247.ru/forum/post/6644https://sla247.ru/forum/post/6644Fri, 13 Feb 2026 20:11:03 GMTЯ посмотрел ISE, который у меня есть в лаборатории SDA. Я бы предпочел использовать его для определения и распространения моих статических сопоставлений. Однако, когда я смотрю в Рабочие центры - TrustSec - Компоненты - Статическое сопоставление IP SGT , я вижу раскрывающийся список рядом с полем IP-адреса, как будто ISE будет заполнять IP-адреса. Поэтому я не могу определить свой внешний IP-адрес фабрики. Существуют ли какие-либо требования к лицензированию или другие требования к ISE, которые позволяют мне настраивать и развертывать статические сопоставления SGT? Спасибо, Кев.

]]>https://sla247.ru/forum/post/6643https://sla247.ru/forum/post/6643Fri, 13 Feb 2026 20:11:02 GMTОтлично, сработало на славу. Спасибо за быстрый ответ, очень признателен. Кев.

]]>https://sla247.ru/forum/post/6642https://sla247.ru/forum/post/6642Fri, 13 Feb 2026 20:11:01 GMTДля сценария без экстрасети (граничный контроль трафика к внешнему пункту назначения) необходимо включить следующие настройки в границе:

1. принудительное применение на основе ролей cts 2) cts role-based enforcement vlan-list (L3 handoff VLAN) 3) cts role-based sgt-map vrf (VRF клиента фабрики) x.x.x.x sgt xxx (это называется статической привязкой и поддерживает VRF; для динамического сопоставления с помощью ISE можно использовать SXP). Для сценария экстрасети:
   измените список vlan, чтобы включить VLAN, используемый для передачи L3 в GRT.
   С уважением

]]>https://sla247.ru/forum/post/6641https://sla247.ru/forum/post/6641Fri, 13 Feb 2026 20:11:00 GMTМоя версия SW — 3.2, но я не думаю, что у вас возникла ошибка с версией 3.0. У меня тоже есть выпадающий список, но я его игнорирую и просто ввожу необходимые значения в редактируемую область базы данных. У вас должен быть тот же результат, что и на изображениях выше.

]]>https://sla247.ru/forum/post/6640https://sla247.ru/forum/post/6640Fri, 13 Feb 2026 20:10:59 GMT