Inleiding
Dit document beschrijft procedures voor het migreren van Security Group Tags (SGT's) van Cisco DNA naar ISE.
Voorwaarden
ISE moet worden geïntegreerd met Cisco DNA.
Vereisten
Cisco raadt kennis aan over deze onderwerpen:
- Identity Services-engine
- Cisco DNA
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Identity Services Engine (ISE) versie 3.3
- Cisco DNA
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Beveiligingsgroepen maken effectieve segmentatie mogelijk voor toepassingen of bedrijfsbehoeften waarvoor geen volledige netwerkisolatie nodig is, maar waarvoor wel handhaving van het beveiligingsbeleid binnen hetzelfde virtuele netwerk vereist is.
Door Security Group Tags (SGT's) toe te wijzen aan eindpunten of gebruikers, worden logische groepen gemaakt om beleid af te dwingen.
In tegenstelling tot traditionele segmentatie met alleen virtuele netwerken, bieden SGT's microsegmentatiemogelijkheden binnen één virtueel netwerk, vooral in SD-Access-omgevingen. Hiermee kunnen apparaten en gebruikers logisch van elkaar worden gescheiden terwijl ze op hetzelfde netwerk blijven. Naarmate de SGT-technologie evolueert, blijft deze een rijkere context en intentie bieden voor een dynamischer en flexibeler beveiligingsbeleid.
Configureren
Stap 1: Ga naar Beleid > Groepsgebaseerd toegangsbeheer > Beveiligingsgroepen. Klik op Migratie starten zoals wordt weergegeven:

Stap 2: Er verschijnt een pop-up. Klik op Ja.

Hieruit blijkt dat de migratie aan de gang is:


Stap 3: Klik op Beveiligingsgroep maken en maak de beveiligingsgroep aan die u naar ISE wilt pushen.

Na verwerking wordt de toegevoegde beveiligingsgroep met succes weergegeven.

Verifiëren
Valideer in ISE dat de SGT-tag NewGuest wordt weergegeven onder Workcenters > Trustsec > Beveiligingsgroepen zoals wordt weergegeven:

Probleemoplossing
Logs-analyse van ISE
Security Group Tag NewGuest is gemaakt en gepubliceerd aan ISE:
2025-06-08 16:45:55,671 INFO [pool-27182-thread-1][[[]] cisco.cpm.nsf.impl.SecGroup -::::- Opslaan naar UPS: Nieuwe gast
2025-06-08 16:45:55,672 DEBUG [pool-27182-thread-1][[]] cisco.cpm.nsf.impl.SecGroup -::- Gemaakt UPS-beveiligingsgroep Nieuwe gast met ID 97f12c12-82ae-41c3-a20e-50c56e6bd304
2025-06-08 16:45:55,673 INFO [pool-27182-thread-1][[[]] cisco.cpm.nsf.impl.SecGroup -:::- SGT NewGuest heeft 0 standaard SGACL's
2025-06-08 16:45:55,673 INFO [pool-27182-thread-1][[[]] cisco.cpm.nsf.impl.SecGroup -:::- 0 SGACL's toevoegen aan SGT NewGuest
2025-06-08 16:45:55,675 INFO [pool-27182-thread-1][[[]] mnt.dbms.datadirect.impl.DatadirectServiceImpl -::: - GetStatus uitvoeren - DataDirectSettings
2025-06-08 16:45:55,676 INFO [pool-27182-thread-1][[[]] mnt.dbms.datadirect.impl.DatadirectServiceImpl -::: - GetStatus uitvoeren - DataDirectSettings
2025-06-08 16:45:55,676 INFO [pool-27182-thread-1][[[]] com.cisco.epm.jms.AQMesgeHandler -::: - Bericht publiceren voor evenement [TxnCommit / commit] en berichtklasse[com.cisco.cpm.deployment.replication.ups.UPSChangeSet]
Security Group Tag NewGuest is ingevoegd in de ISE-database:
2025-06-08 16:45:55,678 DEBUG [pool-27182-thread-1][[[]] cisco.cpm.nsf.impl.NSFAdminUtil -::: - Hostnaam kavinise33ppan
2025-06-08 16:45:55,679 DEBUG [pool-27182-thread-1][[[]] cisco.cpm.nsf.impl.NSFAdminUtil -::: - Hostnaam kavinise33ppan
2025-06-08 16:45:55,681 INFO [pool-27182-thread-1][[[]] cpm.trustsec.securitygroup.service.SgtNotificationRedirect -:::- Heeft post commit voor UPS-acties INSERT, INSERT
2025-06-08 16:45:55,681 DEBUG [pool-27182-thread-1][[[]] cpm.trustsec.securitygroup.service.SgtNotificationRedirect -:::- Opgebouwde NSF-melding voor SGT NewGuest ID 97f12c12-82ae-41c3-a20e-50c56e6bd304 actie INSERT
2025-06-08 16:45:55,681 INFO [pool-27182-thread-1][[[]] acs.nsf.config.trustsec.CTSNotificationsService -::: - Heb post vastgelegd voor UPS-acties:
2025-06-08 16:45:55,681 INFO [pool-27182-thread-1][[[]] acs.nsf.config.trustsec.CTSNotificationsService -:::- [ Klasse: SecurityGroupData, ActionType: INSERT ]
Security Group Tag NewGuest is gemaakt en bijgewerkt in ISE SGT database:
2025-06-08 16:45:55,685 DEBUG [pool-27182-thread-1][[[]] cisco.cpm.nsf.impl.SecGroup -:::- eindtransactie: SGT opslaan
2025-06-08 16:45:55,685 INFO [pool-27182-thread-1][[[]] cisco.cpm.nsf.impl.SecGroup -::::: aangemaakte SGT: Nieuwe gast
2025-06-08 16:45:59,238 DEBUG [com.cisco.cpm.prrt.impl.PrRTNotificationHandler@11d54366_DelayedSingle][[[]] cisco.cpm.prrt.impl.PrRTConfigurator -:::- ProtocolRuntime: Configureren SecGroup NewGuest: waarde: 18, genId: 00, Uit SGT-bereik: false