<![CDATA[SDA || VN и диапазон IP не распространяются на ISE]]>Привет всем! Честно говоря, у меня небольшая заминка, и я удивлен, что нет простого способа найти документацию, в которой об этом упоминается (или я просто не знаю), но у меня проблема с VN, который я создал и к которому привязал SGT, он не передается в ISE. DNA
2
.3.3.7
ISE 3.2 p4 VN создается в разделе Provision > SD-ACCESS>Virtual Networks
SGT создается в разделе Policy > Group based access control > Security Groups
SGT сопоставляется с IP-пулом и VN в разделе Provision > Fabric > Host Onboarding > Virtual networks > IP pool added and SGT assigned. Теперь этот процесс, похоже, изменился со временем, так как ранее в версиях 1.3 вы сопоставляли SGT непосредственно с VN в вкладке Policy, поэтому я предполагаю, что я мог что-то упустить. У меня нет ничего, что могло бы послужить ориентиром для понимания того, как проходит этот процесс, но я предполагаю, что когда это сопоставление выполняется на DNA (а DNA является средством управления trustsec между DNAC и ISE), DNA должно передавать это сопоставление в ISE. Таким образом, в Workspaces > Trustsec > Component > Security Groups, когда я нажимаю на SGT, должно появиться окно, в котором будут отображаться SGT, VN и пул IP-адресов, к которым сопоставлен этот SGT. Возможно, это даже должно отображаться на странице IP SGT Static Mapping. Но этого нет. Однако SGT предоставляются в ISE при создании, поэтому интеграция ISE и DNA должна работать нормально. Я что-то упустил, или это действительно должно быть предоставлено, и тот факт, что этого нет, означает, что я должен открыть заявку в TAC? Заранее спасибо!

]]>https://sla247.ru/forum/topic/864/sda-vn-и-диапазон-ip-не-распространяются-на-iseRSS for NodeFri, 15 May 2026 04:13:22 GMTFri, 13 Feb 2026 20:11:52 GMT60<![CDATA[Reply to SDA || VN и диапазон IP не распространяются на ISE on Fri, 13 Feb 2026 20:11:54 GMT]]>Насколько я знаю, DNAC не передает ISE сопоставление SGT-IP_subnet. Я слышал, что ISE может публиковать сопоставление SGT-IP_subnet в PxGrid «через SXP-topic». Кроме того, ISE имеет вызовы через свой API, позволяющие вызывающему заполнять компонент TrustSec ISE «IP SGT static mapping» целевыми данными. Не понимаю, почему DNAC не использует это.

]]>https://sla247.ru/forum/post/6863https://sla247.ru/forum/post/6863Fri, 13 Feb 2026 20:11:54 GMT<![CDATA[Reply to SDA || VN и диапазон IP не распространяются на ISE on Fri, 13 Feb 2026 20:11:53 GMT]]>Привет! Я нашел проблему. «
Когда
Cisco DNA Center
2.3.3 или более поздней версии интегрирован с
Cisco ISE
3.2 или более поздней версии, группы безопасности не связаны с виртуальными сетями, и поле
«Виртуальные сети
» не отображается для этих версий. Однако, если вы используете
Cisco ISE
3.1 или более раннюю версию, отображаются сведения о группе безопасности и связи с виртуальной сетью». Я знал, что это было там изначально.
![:face_with_tears_of_joy:]
. Я прочитал это руководство, когда искал ответ, но, должно быть, пропустил эту заметку. Источник:
https://www.cisco.com/c/en/us/td/docs/cloud-systems-management/network-automation-and-management/dna-center/2-3-7/user_guide/b_cisco_dna_center_ug_2_3_7/m_configure-group-based-access-control-policies-and-analytics.html Итак, теперь все, что вам нужно, это добавить VN и SGT при настройке профиля авторизации, и все.

]]>https://sla247.ru/forum/post/6862https://sla247.ru/forum/post/6862Fri, 13 Feb 2026 20:11:53 GMT