تكوين نشر وضع علامات SD-WAN لرقيب TrustSec

خيارات التنزيل

  • PDF     (728.9 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (542.9 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (423.6 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:١٦ يناير ٢٠٢٥
معرّف المستند:222694

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة


    يصف هذا المستند طريقة نشر علامات تمييز مجموعة الأمان (SGT) المضمنة في الشبكات واسعة النطاق (SD-WAN) المعرفة بواسطة البرنامج.

    المتطلبات الأساسية

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • شبكة منطقة واسعة معرفة ببرنامج Cisco Catalyst (SD-WAN)
    • قناة الوصول المعرفة عن طريق البرامج (SD-ACCESS) الليفية
    • محرك خدمة التحديد (ISE) من Cisco

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى:

    • Cisco IOS® XE Catalyst SD-WAN Edges، الإصدار 17.9.5a
    • Cisco Catalyst SD-WAN Manager، الإصدار 20.12.4.

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية

    تكامل Cisco TrustSec

    يتم دعم نشر الرقيب مع تكامل Cisco TrustSec بواسطة Cisco IOS® XE Catalyst SD-WAN الإصدار 17.3.1a. تمكن هذه الميزة أجهزة Cisco IOS® XE Catalyst SD-WAN edge لنشر علامات مجموعة الأمان (SGT) المضمنة التي يتم إنشاؤها بواسطة محولات Cisco TrustSec التي تم تمكينها في الفروع إلى أجهزة الحافة الأخرى في شبكة Cisco Catalyst SD-WAN. بينما تقوم محولات Cisco TrustSec التي تم تمكينها بالتصنيف والتنفيذ على الفروع، يحمل جهاز Cisco IOS® XE Catalyst SD-WAN علامات التمييز المضمنة عبر الأجهزة الطرفية. 

    المفاهيم الأساسية ل Cisco TrustSec:

    • الرقيب بينينجز: عند الارتباط بين بروتوكول الإنترنت (IP) والرقيب، تكون جميع الروابط أكثر شيوعا ويتم تكوينها وتعلمها مباشرة من نظام الإدخال والإخراج (ISE) من Cisco.
    • انتشار الرقيب: يتم إستخدام طرق النشر لنشر هذه الرقيب بين نقلات الشبكة
    • سياسات SGTACLs: مجموعة من القواعد التي تحدد امتيازات مصدر حركة مرور داخل شبكة موثوق بها.
    • تطبيق الرقيب: حيث يتم تطبيق السياسات بناء على سياسة الرقيب.

    أساليب نشر الرقيب

    طرق نشر الرقيب هي:

    • وضع علامات على الخط الداخلي لنشر الرقيب.
    • بروتوكول تبادل علامات مجموعة أمان انتشار الرقيب (SXP)

    نشر الرقيب مع وضع العلامات داخل السطر

    باستخدام وضع العلامات داخل الشبكة، يتم إستخدام إطار إيثرنت خاص لنشر هذه الرقيب بين نقلات الشبكة. بالنسبة لنشر العلامات عبر الإنترنت، يجب تزويد الفروع بمحولات Cisco TrustSec التي تم تمكينها والتي يمكنها معالجة وضع علامات SGT داخل السطر (أجهزة Cisco TrustSec).

    مثال:

    • يتم تزويد الفرع 1 والفرع 2 بمحولات Cisco TrustSec التي تم تمكين المحولات منها، وهذه الفروع متصلة بأجهزة Cisco IOS XE Catalyst SD-WAN.
    • يعد محول Cisco TrustSec الموجود في الفروع بمثابة أداء للروابط والنشر والتنفيذ.
    • يقوم محول Cisco TrustSec في الفرع 1 بعلامات تمييز مدرجة للرقيب في إطار Ethernet CMD تجاه موجه الحافة 1.
    • يقوم موجه Edge 1 بعد ذلك بإلغاء تضمين إطار CMD، واستخراج الرقيب، ونشره عبر أنفاق Cisco Catalyst SD-WAN IPSec أو GRE.
    • يستخرج موجه Edge 2 على Cisco Catalyst SD-WAN الرقيب من Cisco Catalyst SD-WAN، ويولد إطار Ethernet CMD، وينسخ ما يتم إستلامه من قبل الرقيب.
    • يفحص محول Cisco TrustSec على الفرع 2 الرقيب، وينظر إليه مقابل رقيب الوجهة لتحديد ما إذا كان يجب السماح بحركة المرور أو رفضها (العرض). 

    SGT field carried inside the packet going across the Cisco Catalyst SD-WAN packet and eight bytes of data is added to itيحمل الرقيب فيلد داخل الحزمة التي تنتقل عبر حزمة Cisco Catalyst SD-WAN وتتم إضافة ثمانية بايت إضافية من البيانات إليها.

    تمكين نشر تضمين علامات الرقيب في أنفاق SD-WAN IPsec

    Network Diagram for SGT Inline Tagging Propagation in SD-WAN IPSEC tunnelsمخطط الشبكة لنشر علامات Sgt Inline في أنفاق IPsec لشبكة SD-WAN

    الخطوة 1. تمكين نشر تضمين علامات الرقيب في واجهة نفق النقل (WAN)

    • لتمكين نشر تضمين علامات الرقباء المضمنة من خلال أنفاق SD-WAN IPSec، يجب تمكين النشر فقط في نفق SD-WAN.
    • سجل الدخول إلى واجهة المستخدم الرسومية Cisco Catalyst SD-WAN Manager.
    • انتقل إلى التكوين > قوالب > قالب الميزة > إيثرنت واجهة VPN (VPN0) من Cisco > انقر فوق النفق.

    Tunnel sectionمقطع النفق

    • حدد نشر CTS Sgt Deployment > تحديد تشغيل

    Tunnel configurationتكوين النفق

    CLI أمر مكافئ:

    interface Tunnel0
    ip unnumbered GigabitEthernet0/0/0
    no ip redirects
    ipv6 unnumbered GigabitEthernet0/0/0
    no ipv6 redirects
    cts manual
    tunnel source GigabitEthernet0/0/0
    tunnel mode sdwan

    ملاحظة: بدءا من الإصدار 20.6 / 17.6.1، يتم تعطيل نشر الرقيب (وضع العلامات داخل السطر) بشكل افتراضي على أنفاق SD-WAN.

    ملاحظة: عندما يتم تمكين نشر CTS Sgt، فإنها تتسبب في رفرفة الواجهة مؤقتا.

    ملاحظة: عند تمكين نشر CTS Sgt في واجهة شبكة WAN المادية، قد يؤدي ذلك إلى حدوث مشاكل في الاتصال مثل عمليات إسقاط الحزم إذا لم تكن الخطوة التالية قادرة على إزالة تغليف إطار CMD الذي يتضمن الرقيب.

    الخطوة 2. تمكين نشر تضمين علامات الرقيب على واجهة الخدمات (LAN)

    • انتقل إلى التكوين > قوالب > قالب الجهاز > Service VPN
    • التعرف على قوالب ميزة واجهات شبكة LAN للواجهة المادية والواجهات الفرعية > إيثرنت واجهة شبكة VPN من Cisco (Service VPN)

    Cisco VPN Interface Feature Template (LAN)قالب ميزة واجهة شبكة VPN (LAN) من Cisco

    • انتقل إلى قالب ميزة إيثرنت لواجهة VPN (خدمة VPN) من Cisco، انقر فوق TrustSec

    TrustSec sectionقسم TrustSec

    • حدد تمكين نشر الرقيب > تحديد في
    • تعريف النشر > تحديد في

    TrustSec configurationتكوين TrustSec

    CLI أمر مكافئ:

    interface GigabitEthernet0/0/3 <<< Physical Interface
    vrf forwarding 4001
    no ip address
    no ip redirects
    ip mtu 1500
    load-interval 30
    negotiation auto
    cts manual
    arp timeout 1200

    interface GigabitEthernet0/0/3.3 <<< Sub-Interface
    encapsulation dot1Q 3
    vrf forwarding 4001
    ip address 192.168.253.2 255.255.255.252
    no ip redirects
    ip mtu 1500
    cts manual
    policy static sgt 999 trusted
    arp timeout 1200

    ملاحظة: على جهاز Cisco IOS® XE Catalyst SD-WAN، يجب تمكين Cisco TrustSec على الواجهة المادية وعلى جميع الواجهات الفرعية.

    ملاحظة: يركز هذا المختبر فقط على نطاق انتشار الرقيب، ويتم إستخدام الرقيب Bindings والرقيب Enforcement في شبكة البنية الخاصة بالوصول إلى المحول (SD).

    التحقق من الصحة

    قم بتشغيل الأمرshow cts interface لعرض معلومات Cisco TrustSec للواجهات.

    واجهة نفق SD-WAN.

    #show cts interface Tunnel0 
    Global Dot1x feature is Disabled
    Interface Tunnel0:
        CTS is enabled, mode:    MANUAL
        IFC state:               OPEN
        Interface Active for      1d22h
        Authentication Status:   NOT APPLICABLE
            Peer identity:       "unknown"
            Peer's advertised capabilities: ""
        Authorization Status:    NOT APPLICABLE
        SAP Status:              NOT APPLICABLE
        Propagate SGT:           Enabled

    واجهة شبكة LAN لخدمة SD-WAN.

    #show cts interface GigabitEthernet0/0/3.3
    Global Dot1x feature is Disabled
    Interface GigabitEthernet0/0/3.3:
        CTS is enabled, mode:    MANUAL
        IFC state:               OPEN
        Interface Active for      6d14h
        Authentication Status:   NOT APPLICABLE
          Peer identity:       "unknown"
          Peer's advertised capabilities: ""
    Authorization Status:    SUCCEEDED
    Peer SGT:            999
    Peer SGT assignment: Trusted
    SAP Status:              NOT APPLICABLE
    Propagate SGT:           Enabled

    تكوين واجهة FIA الفرعية في شبكة LAN للخدمة

    للتعرف على الرقيب المسؤول عن الحزم، يمكنه التحقق من خلال FIA Trace.

    قم بتكوين حالة تتبع FIA على واجهة شبكة LAN (GigabitEthernet0/0/3) حيث يتم تمكين نشر تضمين علامات SGT الداخلية.

    clear platform condition all
    debug platform packet-trace packet 2048 fia-trace data-size 2048 
    debug platform condition interface GigabitEthernet0/0/3.3 both

    قم بتشغيل الأمر debug platform condition start لبدء تتبع FIA.

    قم بتشغيل الأمر debug platform condition stop لإيقاف تتبع FIA.

    قم بتشغيل الأمرshow platform packet-trace summaryلعرض حزم تتبع FIA.

    #show platform packet-trace summ
    Pkt   Input       Output                  State Reason
    0     Gi0/0/3.3   internal0/0/rp:0        PUNT  3 (Layer2 control and legacy) 
    1     Gi0/0/3.3   internal0/0/rp:0        PUNT  55 (For-us control)
    2     Gi0/0/3.3   Gi0/0/0                 FWD
    3     Gi0/0/3.3   Gi0/0/0                 FWD
    4     Gi0/0/3.3   Gi0/0/0                 FWD
    5     Gi0/0/3.3   Gi0/0/0                 FWD
    6     Gi0/0/3.3   Gi0/0/0                 FWD
    7     Gi0/0/3.3   Gi0/0/0                 FWD

    قم بتشغيل الأمر show platform packet-trace packet decode  لفك ترميز حزمة.

    في الحزمة، حدد سمة: إعادة توجيه SDWAN

    #show platform  packet-trace packet 2 decode
    Packet: 2           CBUG ID: 254
    Summary
      Input     : GigabitEthernet0/0/3.3
      Output    : GigabitEthernet0/0/0
      State     : FWD

    !... Output is suppressed

    Feature: SDWAN Forwarding
        SDWAN adj OCE:
        Output       : GigabitEthernet0/0/0
        Hash Value   : 0x2c
        Encap        : ipsec
        SLA          : 0
        SDWAN VPN    : 4001
        SDWAN Proto  : MDATA
        Out Label    : 1003
        Local Color  : bronze
        Remote Color : gold
        FTM Tun ID   : 2

    !... Output is suppressed

        MDATA ver    :  0x2
        MDATA next proto  : IPV4(0x1)
        MDATA  num    : 1
        MDATA type     : SGT_TYPE(0x1)
        MDATA SGT    : 5             <<<< Packet incoming with SGT 5 and forwarded by Edge router

    معلومات ذات صلة

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    2.0
    16-Jan-2025
    الإصدار الأولي
    1.0
    15-Jan-2025
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Daniel Maldonado Villasis
      Technical Consulting Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات