Configurar tags de grupos de segurança no ISE a partir do DNAC
Introdução
Este documento descreve os procedimentos para migrar tags de grupos de segurança (SGTs) do Cisco DNA para o ISE.
Pré-requisitos
O ISE deve ser integrado ao Cisco DNA.
Requisitos
A Cisco recomenda conhecimento sobre estes tópicos:
- Identity Services Engine
- DNA da Cisco
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- Identity Services Engine (ISE) versão 3.3
- Cisco DNA
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Informações de Apoio
Os grupos de segurança permitem a segmentação eficaz de aplicativos ou necessidades comerciais que não exigem isolamento total da rede, mas ainda exigem a aplicação de políticas de segurança na mesma rede virtual.
Ao atribuir tags de grupos de segurança (SGTs) a endpoints ou usuários, são criados agrupamentos lógicos para aplicar políticas.
Diferentemente da segmentação tradicional com redes virtuais sozinhas, os SGTs fornecem recursos de microssegmentação em uma única rede virtual, especialmente em ambientes de Acesso SD. Eles permitem que dispositivos e usuários sejam separados logicamente enquanto permanecem na mesma rede. À medida que a tecnologia SGT evolui, ela continua a oferecer contexto mais amplo e intenção para políticas de segurança mais dinâmicas e flexíveis.
Configurar
Passo 1: Vá para Política > Controle de acesso baseado em grupo > Grupos de segurança. Clique em Iniciar migração como mostrado:
Passo 2: Um pop-up é exibido. Clique em Sim.
Ele mostra Migração em andamento:
Passo 3: Clique em Criar grupo de segurança e crie o grupo de segurança que você gostaria de enviar para o ISE.
Uma vez processado, ele mostra com êxito o grupo de segurança adicionado.
Verificar
Valide no ISE que a marca NewGuest SGT é refletida em Workcenters > Trustsec > Security Groups como mostrado:
Troubleshooting
Análise de registros do ISE
A marca do grupo de segurança NewGuest foi criada e publicada no ISE:
2025-06-08 16:45:55,671 INFO [pool-27182-thread-1][[]] cisco.cpm.nsf.impl.SecGroup -::::- Salvando no UPS: NovoConvidado
2025-06-08 16:45:55,672 DEBUG [pool-27182-thread-1][[]] cisco.cpm.nsf.impl.SecGroup -::::- Grupo de segurança UPS criado NewGuest com ID 97f12c12-82ae-41c3-a20e-50c56e6bd304
2025-06-08 16:45:55,673 INFO [pool-27182-thread-1][[]] cisco.cpm.nsf.impl.SecGroup -::::- SGT NewGuest tem 0 SGACLs padrão
2025-06-08 16:45:55,673 INFO [pool-27182-thread-1][[]] cisco.cpm.nsf.impl.SecGroup -::::- Adicionando 0 SGACLs a SGT NewGuest
2025-06-08 16:45:55,675 INFO [pool-27182-thread-1][[]] mnt.dbms.datadirect.impl.DatadirectServiceImpl -:::- Executando getStatus - datadirectSettings
2025-06-08 16:45:55,676 INFO [pool-27182-thread-1][[]] mnt.dbms.datadirect.impl.DatadirectServiceImpl -:::- Executando getStatus - datadirectSettings
2025-06-08 16:45:55,676 INFO [pool-27182-thread-1][[]] com.cisco.epm.jms.AQMessgeHandler -::::- Publicando mensagem para evento [TxnCommit / commit] e classe de mensagem[com.cisco.cpm.deployment.replication.ups.UPSChangeSet]
A marca do grupo de segurança NewGuest foi inserida no banco de dados do ISE:
2025-06-08 16:45:55,678 DEBUG [pool-27182-thread-1][[]] cisco.cpm.nsf.impl.NSFAdminUtil -::::- Nome do Host kavinise33ppan
2025-06-08 16:45:55,679 DEBUG [pool-27182-thread-1][[]] cisco.cpm.nsf.impl.NSFAdminUtil -::::- Nome do Host kavinise33ppan
2025-06-08 16:45:55,681 INFO [pool-27182-thread-1][[]] cpm.trustsec.securitygroup.service.SgtNotificationRedirect -::::- Obteve pós-confirmação para ações UPS INSERT,INSERT
2025-06-08 16:45:55,681 DEBUG [pool-27182-thread-1][[]] cpm.trustsec.securitygroup.service.SgtNotificationRedirect -:::- Notificação NSF construída para SGT NewGuest ID 97f12c12-82ae-41c3-a20e-50c56e6bd304 ação INSERIR
2025-06-08 16:45:55,681 INFO [pool-27182-thread-1][[]] acs.nsf.config.trustsec.CTSNotificationsService -::::- Obteve pós-confirmação para ações UPS:
2025-06-08 16:45:55,681 INFO [pool-27182-thread-1][[]] acs.nsf.config.trustsec.CTSNotificationsService -:::- [ Classe: SecurityGroupData, Tipo de ação: INSERIR ]
A marca do grupo de segurança NewGuest foi criada e atualizada no banco de dados ISE SGT:
2025-06-08 16:45:55,685 DEBUG [pool-27182-thread-1][[]] cisco.cpm.nsf.impl.SecGroup -:::- transação final :: salvamento de SGT
2025-06-08 16:45:55,685 INFO [pool-27182-thread-1][[]] cisco.cpm.nsf.impl.SecGroup -::::- SGT criado : NovoConvidado
2025-06-08 16:45:59,238 DEBUG [com.cisco.cpm.prrt.impl.PrRTNotificationHandler@11d54366_DelayedSingle][[]] cisco.cpm.prt.impl.PrRTConfigurator -::::- ProtocolRuntime: Configurando o SecGroup NewGuest: valor: 18, genId: 00, É da faixa SGT: falso
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
25-Jun-2025
|
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)