从DNAC在ISE上配置安全组标记
简介
本文档介绍将安全组标记(SGT)从思科DNA迁移到ISE的过程。
先决条件
ISE必须与思科DNA集成。
要求
思科建议了解以下主题:
- 身份服务引擎
- 思科DNA
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 身份服务引擎(ISE)版本3.3
- 思科思科DNA
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
安全组可针对不需要完全网络隔离但仍需要在同一虚拟网络中实施安全策略的应用或业务需求进行有效的分段。
通过将安全组标记(SGT)分配给终端或用户,可以创建逻辑分组以实施策略。
与仅使用虚拟网络的传统分段不同,SGT在单个虚拟网络中提供微分段功能,尤其是在SD-Access环境中。它们允许设备和用户逻辑分离,同时保留在同一网络中。随着SGT技术的不断发展,它将继续为更动态、更灵活的安全策略提供更丰富的情景和意图。
配置
步骤 1:转至Policy > Group-based Access Control > Security groups。单击Start migration,如下所示:
步骤 2:系统将显示一个弹出窗口。单击 Yes。
它显示迁移正在进行中:
步骤 3:单击Create security group并创建要推送到ISE的安全组。
处理后,它会成功显示已添加的安全组。
验证
在ISE中验证NewGuest SGT标记反映在Workcenters > Trustsec > Security Groups下,如下所示:
故障排除
来自ISE的日志分析
已创建安全组标记NewGuest并将其发布到ISE:
2025-06-08 16:45:55,671 INFO [pool-27182-thread-1][[]] cisco.cpm.nsf.impl.SecGroup -:::: — 保存到UPS:新访客
2025-06-08 16:45:55,672 DEBUG [pool-27182-thread-1][[]] cisco.cpm.nsf.impl.SecGroup -:::: — 使用ID 97f12c12-82ae-41c3-a20e-50c56e6bd304创建UPS安全组NewGuest
2025-06-08 16:45:55,673 INFO [pool-27182-thread-1][[]] cisco.cpm.nsf.impl.SecGroup -::::- SGT NewGuest有0个默认SGACL
2025-06-08 16:45:55,673 INFO [pool-27182-thread-1][[]] cisco.cpm.nsf.impl.SecGroup -::::-向SGT NewGuest添加0个SGACL
2025-06-08 16:45:55,675 INFO [pool-27182-thread-1][[]] mnt.dbms.datadirect.impl.DatadirectServiceImpl -::: — 正在执行getStatus - datadirectSettings
2025-06-08 16:45:55,676 INFO [pool-27182-thread-1][[]] mnt.dbms.datadirect.impl.DatadirectServiceImpl -::: — 正在执行getStatus - datadirectSettings
2025-06-08 16:45:55,676 INFO [pool-27182-thread-1][[]] com.cisco.epm.jms.AQMessgeHandler -::: — 发布事件[TxnCommit / commit]和消息类[com.cisco.cpm.deployment.replication.ups.UPSChangeSet]的消息
安全组标记NewGuest已插入ISE数据库:
2025-06-08 16:45:55,678 DEBUG [pool-27182-thread-1][[]] cisco.cpm.nsf.impl.NSFAdminUtil -::: — 主机名kavinise33ppan
2025-06-08 16:45:55,679 DEBUG [pool-27182-thread-1][[]] cisco.cpm.nsf.impl.NSFAdminUtil -::: — 主机名kavinise33ppan
2025-06-08 16:45:55,681 INFO [pool-27182-thread-1][[]] cpm.trustsec.securitygroup.service.SgtNotificationRedirect -:::: — 获取UPS操作的后提交INSERT,INSERT
2025-06-08 16:45:55,681 DEBUG [pool-27182-thread-1][[]] cpm.trustsec.securitygroup.service.SgtNotificationRedirect -::: — 为SGT新访客ID 97f12c12-82ae-41c3-a20e-50c56e6bd304操作INSERT构造NSF通知
2025-06-08 16:45:55,681 INFO [pool-27182-thread-1][[]] acs.nsf.config.trustsec.CTSNotificationsService -:::: — 获取UPS操作的后提交:
2025-06-08 16:45:55,681 INFO [pool-27182-thread-1][[]] acs.nsf.config.trustsec.CTSNotificationsService -::::- [类:SecurityGroupData、操作类型:插入]
在ISE SGT数据库中创建和更新了安全组标记NewGuest:
2025-06-08 16:45:55,685 DEBUG [pool-27182-thread-1][[]] cisco.cpm.nsf.impl.SecGroup -:::: — 结束事务::保存SGT
2025-06-08 16:45:55,685 INFO [pool-27182-thread-1][[]] cisco.cpm.nsf.impl.SecGroup -::::-created SGT :新访客
2025-06-08 16:45:59,238 DEBUG [com.cisco.cpm.prrt.impl.PrRTNotificationHandler@11d54366_DelayedSingle][]] cisco.cpm.prrt.impl.PrRTConfigurator -::::- ProtocolRuntime:配置SecGroup NewGuest:值:18, genId:00,来自SGT范围:假
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
25-Jun-2025
|
初始版本 |
反馈