通過DNAC在ISE上配置安全組標籤

下載選項

  • PDF     (850.5 KB)
    在多種裝置上使用 Adobe Reader 檢視
已更新: 2025 年 6 月 24 日
文件 ID:223144

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本檔案介紹將安全組標籤(SGT)從思科DNA遷移到ISE的程式。

    必要條件

    ISE必須與思科DNA整合。

    需求

    思科建議瞭解以下主題:

    • 身分識別服務引擎
    • 思科DNA 

    採用元件

    本文中的資訊係根據以下軟體和硬體版本:

    • 身分識別服務引擎 (ISE) 3.3 版 
    • 思科DNA

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

    背景資訊

    安全組可針對不需要完全網路隔離但仍要求在同一虛擬網路中實施安全策略的應用或業務需求進行有效的分段。

    通過將安全組標籤(SGT)分配給終端或使用者,可建立邏輯分組以實施策略。

    與僅使用虛擬網路的傳統分段不同,SGT在單個虛擬網路內提供微分段功能,尤其是在SD-Access環境中。它們允許裝置和使用者進行邏輯分離,同時保留在同一網路上。隨著SGT技術的不斷發展,它將繼續提供更豐富的情景和意圖,以實現更動態、更靈活的安全策略。

    設定

    步驟 1:轉到Policy > Group-based Access Control > Security groups。按一下Start migration,如下所示:

    Security Groups

    步驟 2:系統會顯示一個彈出視窗。按一下「Yes」。

    Security Groups Popup

    它顯示遷移正在進行中:

    Migration in Progress

    Security Groups Migration

    步驟 3:按一下Create security group並建立要推送到ISE的安全組。

    Create Security Group

    處理後,它會成功顯示新增的安全組。

    Security Group Successfully Added

    驗證

    在ISE中驗證NewGuest SGT標籤是否反映在Workcenters > Trustsec > Security Groups下,如下所示:

    Validate ISE

    疑難排解

    ISE日誌分析

    已建立安全組標籤NewGuest並將其發佈到ISE:

    2025-06-08 16:45:55,671 INFO [pool-27182-thread-1][[]] cisco.cpm.nsf.impl.SecGroup -:::: — 正在儲存到UPS:新訪客

    2025-06-08 16:45:55,672 DEBUG [pool-27182-thread-1][[]] cisco.cpm.nsf.impl.SecGroup -:::: — 使用ID 97f12c12-82ae-41c3-a20e-50c56e6bd304建立UPS安全組NewGuest

    2025-06-08 16:45:55,673 INFO [pool-27182-thread-1][[]] cisco.cpm.nsf.impl.SecGroup -::::- SGT NewGuest具有0個預設SGACL

    2025-06-08 16:45:55,673 INFO [pool-27182-thread-1][[]] cisco.cpm.nsf.impl.SecGroup -::::-向SGT NewGuest新增0 SGACL

    2025-06-08 16:45:55,675 INFO [pool-27182-thread-1][[]] mnt.dbms.datadirect.impl.DatadirectServiceImpl -::: — 正在執行getStatus - datadirectSettings

    2025-06-08 16:45:55,676 INFO [pool-27182-thread-1][[]] mnt.dbms.datadirect.impl.DatadirectServiceImpl -::: — 正在執行getStatus - datadirectSettings

    2025-06-08 16:45:55,676 INFO [pool-27182-thread-1][[]] com.cisco.epm.jms.AQMessgeHandler -:::: — 發佈事件[TxnCommit / commit]和消息類[com.cisco.cpm.deployment.replication.ups.UPSChangeSet]的消息

    安全組標籤NewGuest已插入ISE資料庫:

    2025-06-08 16:45:55,678 DEBUG [pool-27182-thread-1][[]] cisco.cpm.nsf.impl.NSFAdminUtil -:::: — 主機名kavinise33ppan

    2025-06-08 16:45:55,679 DEBUG [pool-27182-thread-1][[]] cisco.cpm.nsf.impl.NSFAdminUtil -:::: — 主機名kavinise33ppan

    2025-06-08 16:45:55,681 INFO [pool-27182-thread-1][[]] cpm.trustsec.securitygroup.service.SgtNotificationRedirect -:::::-Got post commit for UPS actions插入,插入

    2025-06-08 16:45:55,681 DEBUG [pool-27182-thread-1][[]] cpm.trustsec.securitygroup.service.SgtNotificationRedirect -:::: — 為SGT NewGuest ID 97f12c12-82ae-41c3-a20e-50c56e6bd304操作插入

    2025-06-08 16:45:55,681 INFO [pool-27182-thread-1][[]] acs.nsf.config.trustsec.CTSNotificationsService -:::: — 獲取UPS操作的後提交項:

    2025-06-08 16:45:55,681 INFO [pool-27182-thread-1][[]] acs.nsf.config.trustsec.CTSNotificationsService -::::- [類:SecurityGroupData、ActionType:插入]

    在ISE SGT資料庫中建立和更新了安全組標籤NewGuest:

    2025-06-08 16:45:55,685 DEBUG [pool-27182-thread-1][[]] cisco.cpm.nsf.impl.SecGroup -:::: — 結束事務::儲存SGT

    2025-06-08 16:45:55,685 INFO [pool-27182-thread-1][[]] cisco.cpm.nsf.impl.SecGroup -:::: — 創建SGT :新訪客

    2025-06-08 16:45:59,238 DEBUG [com.cisco.cpm.prrt.impl.PrRTNotificationHandler@11d54366_DelayedSingle][]] cisco.cpm.prrt.impl.PrRTConfigurator -::::- ProtocolRuntime:配置SecGroup NewGuest:值:18, genId:00,來自SGT範圍:

    修訂記錄

    修訂 發佈日期 意見
    1.0
    25-Jun-2025
    初始版本
    TAC Authored

    由思科工程師貢獻

    • 達薇亞·辛哈
      技術諮詢工程師

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品