SDA || VN и диапазон IP не распространяются на ISE
-
Привет всем! Честно говоря, у меня небольшая заминка, и я удивлен, что нет простого способа найти документацию, в которой об этом упоминается (или я просто не знаю), но у меня проблема с VN, который я создал и к которому привязал SGT, он не передается в ISE. DNA
2
.3.3.7
ISE 3.2 p4 VN создается в разделе Provision > SD-ACCESS>Virtual Networks
SGT создается в разделе Policy > Group based access control > Security Groups
SGT сопоставляется с IP-пулом и VN в разделе Provision > Fabric > Host Onboarding > Virtual networks > IP pool added and SGT assigned. Теперь этот процесс, похоже, изменился со временем, так как ранее в версиях 1.3 вы сопоставляли SGT непосредственно с VN в вкладке Policy, поэтому я предполагаю, что я мог что-то упустить. У меня нет ничего, что могло бы послужить ориентиром для понимания того, как проходит этот процесс, но я предполагаю, что когда это сопоставление выполняется на DNA (а DNA является средством управления trustsec между DNAC и ISE), DNA должно передавать это сопоставление в ISE. Таким образом, в Workspaces > Trustsec > Component > Security Groups, когда я нажимаю на SGT, должно появиться окно, в котором будут отображаться SGT, VN и пул IP-адресов, к которым сопоставлен этот SGT. Возможно, это даже должно отображаться на странице IP SGT Static Mapping. Но этого нет. Однако SGT предоставляются в ISE при создании, поэтому интеграция ISE и DNA должна работать нормально. Я что-то упустил, или это действительно должно быть предоставлено, и тот факт, что этого нет, означает, что я должен открыть заявку в TAC? Заранее спасибо! -
Привет! Я нашел проблему. «
Когда
Cisco DNA Center
2.3.3 или более поздней версии интегрирован с
Cisco ISE
3.2 или более поздней версии, группы безопасности не связаны с виртуальными сетями, и поле
«Виртуальные сети
» не отображается для этих версий. Однако, если вы используете
Cisco ISE
3.1 или более раннюю версию, отображаются сведения о группе безопасности и связи с виртуальной сетью». Я знал, что это было там изначально.
![:face_with_tears_of_joy:]
. Я прочитал это руководство, когда искал ответ, но, должно быть, пропустил эту заметку. Источник:
https://www.cisco.com/c/en/us/td/docs/cloud-systems-management/network-automation-and-management/dna-center/2-3-7/user_guide/b_cisco_dna_center_ug_2_3_7/m_configure-group-based-access-control-policies-and-analytics.html Итак, теперь все, что вам нужно, это добавить VN и SGT при настройке профиля авторизации, и все.
-
Насколько я знаю, DNAC не передает ISE сопоставление SGT-IP_subnet. Я слышал, что ISE может публиковать сопоставление SGT-IP_subnet в PxGrid «через SXP-topic». Кроме того, ISE имеет вызовы через свой API, позволяющие вызывающему заполнять компонент TrustSec ISE «IP SGT static mapping» целевыми данными. Не понимаю, почему DNAC не использует это.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти