Beveiligingsgroeptags configureren op ISE van DNAC

Downloadopties

  • PDF     (750.0 KB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:24 juni 2025
Document-id:223144

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft procedures voor het migreren van Security Group Tags (SGT's) van Cisco DNA naar ISE.

    Voorwaarden

    ISE moet worden geïntegreerd met Cisco DNA.

    Vereisten

    Cisco raadt kennis aan over deze onderwerpen:

    • Identity Services-engine
    • Cisco DNA 

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Identity Services Engine (ISE) versie 3.3 
    • Cisco DNA

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    Beveiligingsgroepen maken effectieve segmentatie mogelijk voor toepassingen of bedrijfsbehoeften waarvoor geen volledige netwerkisolatie nodig is, maar waarvoor wel handhaving van het beveiligingsbeleid binnen hetzelfde virtuele netwerk vereist is.

    Door Security Group Tags (SGT's) toe te wijzen aan eindpunten of gebruikers, worden logische groepen gemaakt om beleid af te dwingen.

    In tegenstelling tot traditionele segmentatie met alleen virtuele netwerken, bieden SGT's microsegmentatiemogelijkheden binnen één virtueel netwerk, vooral in SD-Access-omgevingen. Hiermee kunnen apparaten en gebruikers logisch van elkaar worden gescheiden terwijl ze op hetzelfde netwerk blijven. Naarmate de SGT-technologie evolueert, blijft deze een rijkere context en intentie bieden voor een dynamischer en flexibeler beveiligingsbeleid.

    Configureren

    Stap 1: Ga naar Beleid > Groepsgebaseerd toegangsbeheer > Beveiligingsgroepen. Klik op Migratie starten zoals wordt weergegeven:

    Security Groups

    Stap 2: Er verschijnt een pop-up. Klik op Ja.

    Security Groups Popup

    Hieruit blijkt dat de migratie aan de gang is:

    Migration in Progress

    Security Groups Migration

    Stap 3: Klik op Beveiligingsgroep maken en maak de beveiligingsgroep aan die u naar ISE wilt pushen.

    Create Security Group

    Na verwerking wordt de toegevoegde beveiligingsgroep met succes weergegeven.

    Security Group Successfully Added

    Verifiëren

    Valideer in ISE dat de SGT-tag NewGuest wordt weergegeven onder Workcenters > Trustsec > Beveiligingsgroepen zoals wordt weergegeven:

    Validate ISE

    Probleemoplossing

    Logs-analyse van ISE

    Security Group Tag NewGuest is gemaakt en gepubliceerd aan ISE:

    2025-06-08 16:45:55,671 INFO [pool-27182-thread-1][[[]] cisco.cpm.nsf.impl.SecGroup -::::- Opslaan naar UPS: Nieuwe gast

    2025-06-08 16:45:55,672 DEBUG [pool-27182-thread-1][[]] cisco.cpm.nsf.impl.SecGroup -::- Gemaakt UPS-beveiligingsgroep Nieuwe gast met ID 97f12c12-82ae-41c3-a20e-50c56e6bd304

    2025-06-08 16:45:55,673 INFO [pool-27182-thread-1][[[]] cisco.cpm.nsf.impl.SecGroup -:::- SGT NewGuest heeft 0 standaard SGACL's

    2025-06-08 16:45:55,673 INFO [pool-27182-thread-1][[[]] cisco.cpm.nsf.impl.SecGroup -:::- 0 SGACL's toevoegen aan SGT NewGuest

    2025-06-08 16:45:55,675 INFO [pool-27182-thread-1][[[]] mnt.dbms.datadirect.impl.DatadirectServiceImpl -::: - GetStatus uitvoeren - DataDirectSettings

    2025-06-08 16:45:55,676 INFO [pool-27182-thread-1][[[]] mnt.dbms.datadirect.impl.DatadirectServiceImpl -::: - GetStatus uitvoeren - DataDirectSettings

    2025-06-08 16:45:55,676 INFO [pool-27182-thread-1][[[]] com.cisco.epm.jms.AQMesgeHandler -::: - Bericht publiceren voor evenement [TxnCommit / commit] en berichtklasse[com.cisco.cpm.deployment.replication.ups.UPSChangeSet]

    Security Group Tag NewGuest is ingevoegd in de ISE-database:

    2025-06-08 16:45:55,678 DEBUG [pool-27182-thread-1][[[]] cisco.cpm.nsf.impl.NSFAdminUtil -::: - Hostnaam kavinise33ppan

    2025-06-08 16:45:55,679 DEBUG [pool-27182-thread-1][[[]] cisco.cpm.nsf.impl.NSFAdminUtil -::: - Hostnaam kavinise33ppan

    2025-06-08 16:45:55,681 INFO [pool-27182-thread-1][[[]] cpm.trustsec.securitygroup.service.SgtNotificationRedirect -:::- Heeft post commit voor UPS-acties INSERT, INSERT

    2025-06-08 16:45:55,681 DEBUG [pool-27182-thread-1][[[]] cpm.trustsec.securitygroup.service.SgtNotificationRedirect -:::- Opgebouwde NSF-melding voor SGT NewGuest ID 97f12c12-82ae-41c3-a20e-50c56e6bd304 actie INSERT

    2025-06-08 16:45:55,681 INFO [pool-27182-thread-1][[[]] acs.nsf.config.trustsec.CTSNotificationsService -::: - Heb post vastgelegd voor UPS-acties:

    2025-06-08 16:45:55,681 INFO [pool-27182-thread-1][[[]] acs.nsf.config.trustsec.CTSNotificationsService -:::- [ Klasse: SecurityGroupData, ActionType: INSERT ]

    Security Group Tag NewGuest is gemaakt en bijgewerkt in ISE SGT database:

    2025-06-08 16:45:55,685 DEBUG [pool-27182-thread-1][[[]] cisco.cpm.nsf.impl.SecGroup -:::- eindtransactie: SGT opslaan

    2025-06-08 16:45:55,685 INFO [pool-27182-thread-1][[[]] cisco.cpm.nsf.impl.SecGroup -::::: aangemaakte SGT: Nieuwe gast

    2025-06-08 16:45:59,238 DEBUG [com.cisco.cpm.prrt.impl.PrRTNotificationHandler@11d54366_DelayedSingle][[[]] cisco.cpm.prrt.impl.PrRTConfigurator -:::- ProtocolRuntime: Configureren SecGroup NewGuest: waarde: 18, genId: 00, Uit SGT-bereik: false

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    25-Jun-2025
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Divya Sinha
      technisch adviseur

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten