本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。
思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。
本檔案介紹如何在軟體定義存取(SDA)中啟用TrustSec的允許清單(預設拒絕IP)模式。 本文涉及多個技術和元件,包括身分識別服務引擎(ISE)、數位網路架構中心(DNAC)和交換器(邊界和邊緣)。
有兩種可用的Trustsec模型:
思科建議您瞭解以下主題:
本文中的資訊係根據以下軟體和硬體版本:
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
以下是啟用允許清單模式(預設拒絕IP)的步驟:
預設情況下,為網路裝置授權配置了未知的安全組標籤(SGT)。將其更改為TrustSec裝置SGT可提供更多可視性,並有助於建立特定於交換機發起流量的SGACL。
導航到工作中心> TrustSec > Trustsec Policy > Network Device Authorization,然後將其從Unknown更改為Trustsec_Devices
Interface tengigabitethernet 1/0/1 no cts role-based enforcement
附註:為簡單起見,可以使用DNAC中的範圍模板來完成此操作。否則,對於每台交換機,在調配過程中都需要手動完成。以下代碼段顯示如何通過DNAC模板進行操作。
interface range $uplink1 no cts role-based enforcement
有關DNAC模板的詳細資訊,請參閱文檔的此URL。
其理念是即使所有ISE都關閉,本地IP-SGT對映也可在交換機上使用。這可以確保Underlay已建立,並且與關鍵資源的連線完好
第一步是將關鍵服務繫結到SGT(例如 — Basic_Network_Services/1000)。 這些服務包括:
範例:
cts role-based sgt-map <ISE/DNAC Subnet> sgt 1000 cts role-based sgt-map sgt 2 cts role-based sgt-map <Wireless OTT Infra> sgt 1000 cts role-based sgt-map <Underlay OTT AP Subnet> sgt 2 cts role-based sgt-map <Monitoring Tool IP> sgt 1000 cts role-based sgt-map vrf CORP_VN <Voice Gateway and CUCM Subnet> sgt 1000
SGT對映只有在使用SGT建立相關SGACL之後才有用,因此我們的下一步是建立一個在ISE節點關閉時充當本地回退的SGACL(當ISE服務關閉時,SXP隧道關閉,因此SGACL和IP SGT對映不會動態下載)。
此配置將推送到所有邊緣和邊界節點。
回退基於角色的ACL/合約:
ip access-list role-based FALLBACK permit ip
TrustSec裝置到TrustSec裝置:
cts role-based permissions from 2 to 2 FALLBACK
高於SGACL確保交換矩陣交換機和底層IP之間的通訊
TrustSec裝置至SGT 1000:
cts role-based permissions from 2 to 1000 FALLBACK
Above SGACL確保交換機和存取點與ISE、DNAC、WLC和監控工具的通訊
SGT 1000到TrustSec裝置:
cts role-based permissions from 1000 to 2 FALLBACK
Above SGACL確保從接入點到ISE、DNAC、WLC和監控工具到交換機的通訊
要求是拒絕網路中的大部分流量,並允許較小的範圍。如果對顯式允許規則使用預設的deny,則需要的策略會更少。
導航到工作中心(Work Centers)> Trustsec > TrustSec Policy > Matrix > Default,然後在最終捕獲規則中將其更改為Deny All。
附註:此映像表示(預設情況下,所有列都顯示為紅色)、已啟用預設拒絕,且建立SGACL後只能允許選擇性流量。
在SDA環境中,只能從DNAC GUI建立新的SGT,因為由於ISE/DNAC中的SGT資料庫不匹配,資料庫損壞的情況很多。
若要建立SGT,請登入到DNAC > Policy > Group-Based Access Control > Scalable Groups > Add Groups,頁面將您重定向到ISE Scalable Group,按一下Add,輸入SGT名稱並儲存。
同樣的SGT通過PxGrid整合反映在DNAC中。對於所有未來SGT的建立而言,此過程相同。
在SDA環境中,只能從DNAC GUI建立新的SGT。
Policy Name: Domain_Users_Access Contract : Permit Enable Policy :√ Enable Bi-Directional :√ Source SGT : Domain Users (Drag from Available Security Group) Destination SGT: Domain_Users, Basic_Network_Services, DC_Subnet, Unknown (Drag from Available Security Group) Policy Name: RFC_Access Contract : RFC_Access (This Contract contains limited ports) Enable Policy :√ Enable Bi-Directional :√ Source SGT : Domain Users (Drag from Available Security Group) Destination SGT: RFC1918 (Drag from Available Security Group)
若要建立Contract,請登入DNAC,然後導覽至Policy > Contracts > Add Contracts > Add required protocol,然後按一下Save。
要建立合約,請登入到DNAC,然後導航到Policy > Group-Based Access-Policies > Add Policies > Create policy(包含給定資訊),現在按一下Save,然後Deploy。
從DNAC配置SGACL/Contract後,它會在ISE中自動反射。下面是單向matrx檢視的示例。
SGACL矩陣(如下圖所示)是允許清單(預設拒絕)模型的示例檢視。
要驗證ISE接收的交換機SGT,請運行以下命令:show cts environmental-data
若要驗證上行鏈路介面上的強制實施,請運行以下命令:
若要驗證本地配置的IP-SGT對映,請運行以下命令:sh cts role-based sgt-map all
若要驗證回退SGACL,請運行以下命令:sh cts role-based permission
附註:ISE推送的SGACL的優先順序高於本地SGACL。
若要驗證允許清單(預設拒絕)模型,請運行以下命令:sh cts role-based permission
若要驗證從ISE下載的SGACL,請運行以下命令:sh cts role-based permission
若要驗證從ISE下載的SGACL,請運行以下命令:show access-list <ACL/Contract Name>
若要驗證SGACL策略命中,請運行以下命令:Show cts role-based counter
如果兩個ISE節點都關閉,ISE接收的IP到SGT對映將被刪除,所有DGT都標籤為未知,所有存在的使用者會話將在5-6分鐘後停止。
附註:只有當sgt(xxxx)-> unknown(0)SGACL訪問僅限於DHCP、DNS和Web代理埠時,此問題才適用。
解決方案:
現在,如果兩個ise節點都關閉,則SGACL sgt—>未知命中,且存在的會話將保持不變。
在SIP上進行IP轉換擴展,在IP到IP之間通過RTP進行實際語音通訊。CUCM和語音網關已新增到DGT_Voice。
解決方案:
DNAC為資料調配具有關鍵VLAN的交換機,根據配置,在ISE中斷期間所有新連線都將獲得關鍵VLAN和SGT 3999。Trustsec中的預設拒絕策略限制新連線訪問任何網路資源。
解決方案:
使用DNAC模板為所有邊緣和邊界交換機上的關鍵SGT推送SGACL
cts role-based permissions from 0 to 3999 FALLBACK cts role-based permissions from 3999 to 0 FALLBACK
這些命令將新增到配置部分。
附註:所有命令可以合併到一個模板中,並在調配過程中推送。
由於ISE節點關閉,電腦進入關鍵VLAN後,對於關鍵VLAN中的所有端點,每3-4分鐘會出現一次資料包丟棄(觀察到10個最大丟包)。
意見:當伺服器為DEAD時,身份驗證計數器增加。當伺服器被標籤為DEAD時,客戶端嘗試使用PSN進行身份驗證。
解決方案/解決方法:
理想情況下,如果ISE PSN節點關閉,則不應從終端發出任何身份驗證請求。
將此命令推入具有DNAC的radius伺服器下:
automate-tester username auto-test probe-on
透過交換器中的此命令,它會定期向RADIUS伺服器傳送測試驗證訊息。它從伺服器查詢RADIUS響應。不需要顯示成功消息 — 身份驗證失敗就足夠了,因為它顯示伺服器處於活動狀態。
DNAC最終模板:
interface range $uplink1 no cts role-based enforcement ! . cts role-based sgt-map <ISE Primary IP> sgt 1102 cts role-based sgt-map <Underlay Subnet> sgt 2 cts role-based sgt-map <Wireless OTT Subnet>sgt 1102 cts role-based sgt-map <DNAC IP> sgt 1102 cts role-based sgt-map <SXP Subnet> sgt 2 cts role-based sgt-map <Network Monitoring Tool IP> sgt 1102 cts role-based sgt-map vrf CORP_VN <Voice Gateway Subnet> sgt 1102 ! ip access-list role-based FALLBACK permit ip ! cts role-based permissions from 2 to 1102 FALLBACK cts role-based permissions from 1102 to 2 FALLBACK cts role-based permissions from 2 to 2 FALLBACK cts role-based permissions from 0 to 3999 FALLBACK cts role-based permissions from 3999 to 0 FALLBACK
附註:邊緣節點中的所有上行鏈路介面都未強制配置,並且假設上行鏈路僅連線到邊界節點。在Border節點上,通向邊緣節點的上行鏈路介面需要配置,無需強制執行,並且必須手動完成。