In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument wird beschrieben, wie das allow-list-Modell (Standard Deny IP) von TrustSec in Software Defined Access (SDA) aktiviert wird. Dieses Dokument enthält mehrere Technologien und Komponenten, darunter Identity Services Engine (ISE), Digital Network Architecture Center (DNAC) und Switches (Border and Edge).
Es stehen zwei TrustSec-Modelle zur Verfügung:
Cisco empfiehlt, über Kenntnisse in folgenden Bereichen zu verfügen:
Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Dies sind die Schritte zum Aktivieren des Zulassungslistenmodells (Standard-IP-Adresse verweigern):
Standardmäßig ist die unbekannte Security Group Tag (SGT) für die Autorisierung von Netzwerkgeräten konfiguriert. Die Änderung auf TrustSec-Geräte-SGT bietet mehr Transparenz und hilft bei der Erstellung von SGACLs speziell für Switch-initiierten Datenverkehr.
Navigieren Sie zu Work Centers > TrustSec > TrustSec Policy > Network Device Authorization (Arbeitscenter > TrustSec > TrustSec-Richtlinie > Netzwerkgeräteautorisierung), und ändern Sie sie dann in TrustSec_Devices (Vertrauenswürdige Geräte) von Unknown
Interface tengigabitethernet 1/0/1 no cts role-based enforcement
Hinweis: Dies kann durch Verwendung einer Bereichsvorlage in DNAC erfolgen, um die Komplexität zu erhöhen. Andernfalls muss der Switch bei der Bereitstellung manuell konfiguriert werden. Der folgende Ausschnitt zeigt, wie dies über eine DNAC-Vorlage geschieht.
interface range $uplink1 no cts role-based enforcement
Weitere Informationen zu DNAC-Vorlagen finden Sie in diesem Dokument.
Es wird empfohlen, die lokale IP-SGT-Zuordnung auf den Switches bereitzustellen, selbst wenn die gesamte ISE ausfällt. So wird Underlay aktiviert und die Verbindung zu den kritischen Ressourcen bleibt erhalten.
Der erste Schritt besteht darin, kritische Services an ein SGT zu binden (ex - Basic_Network_Services/1000). Zu diesen Services gehören:
Beispiel:
cts role-based sgt-map <ISE/DNAC Subnet> sgt 1000 cts role-based sgt-map sgt 2 cts role-based sgt-map <Wireless OTT Infra> sgt 1000 cts role-based sgt-map <Underlay OTT AP Subnet> sgt 2 cts role-based sgt-map <Monitoring Tool IP> sgt 1000 cts role-based sgt-map vrf CORP_VN <Voice Gateway and CUCM Subnet> sgt 1000
Eine SGT-Zuordnung ist erst dann von Nutzen, wenn eine relevante SGACL mit dem SGT erstellt wurde. Im nächsten Schritt wird daher eine SGACL erstellt, die als lokaler Fallback fungiert, wenn ISE-Knoten ausfallen (wenn ISE-Dienste ausfallen, der SXP-Tunnel ausfällt und somit SGACLs und die IP-SGT-Zuordnung nicht dynamisch heruntergeladen wird).
Diese Konfiguration wird an alle Edge- und Randknoten übertragen.
Rollenbasierte Fallback-ACL/Vertrag:
ip access-list role-based FALLBACK permit ip
TrustSec-Geräte für TrustSec-Geräte:
cts role-based permissions from 2 to 2 FALLBACK
Über SGACL Sicherstellen der Kommunikation innerhalb von Fabric-Switches und untergeordneten IPs
TrustSec-Geräte für SGT 1000:
cts role-based permissions from 2 to 1000 FALLBACK
Über SGACL Sicherstellen der Kommunikation von Switches und Access Points zur ISE, DNAC, WLC und Überwachungstools
SGT 1000 zu TrustSec-Geräten:
cts role-based permissions from 1000 to 2 FALLBACK
Über SGACL Sicherstellen der Kommunikation von Access Points zur ISE, DNAC, WLC und Überwachungstools zu Switches
Die Anforderung besteht darin, den Großteil des Datenverkehrs im Netzwerk zu verweigern und einen geringeren Umfang zuzulassen. Wenn Sie die Standardeinstellung "Ablehnen" mit expliziten Genehmigungsregeln verwenden, sind weniger Richtlinien erforderlich.
Navigieren Sie zu Work Center > TrustSec > TrustSec Policy > Matrix > Default und ändern Sie sie in Deny All in final catch Rule (Alle verweigern).
Hinweis: Dieses Bild stellt dar (Alle Spalten sind standardmäßig rot), die Standardeinstellung "Verweigern" wurde aktiviert und nur selektiver Datenverkehr kann nach der Erstellung der SGACL zugelassen werden.
In der SDA-Umgebung sollte ein neues SGT nur über die DNAC-GUI erstellt werden, da es aufgrund der Nichtübereinstimmung der SGT-Datenbank in ISE/DNAC zahlreiche Fälle von Datenbankbeschädigung gibt.
Um ein SGT zu erstellen, melden Sie sich bei DNAC > Policy > Group-Based Access Control > Scalable Groups > Add Groups, eine Seite leitet Sie zur ISE Scalable Group um, klicken Sie auf Hinzufügen, geben Sie den SGT-Namen ein und speichern Sie ihn.
Dasselbe SGT spiegelt sich in DNAC durch PxGrid-Integration wider. Dies ist das gleiche Verfahren für alle zukünftigen SGT-Erstellung.
In der SDA-Umgebung sollte ein neues SGT nur über die DNAC-GUI erstellt werden.
Policy Name: Domain_Users_Access Contract : Permit Enable Policy :√ Enable Bi-Directional :√ Source SGT : Domain Users (Drag from Available Security Group) Destination SGT: Domain_Users, Basic_Network_Services, DC_Subnet, Unknown (Drag from Available Security Group) Policy Name: RFC_Access Contract : RFC_Access (This Contract contains limited ports) Enable Policy :√ Enable Bi-Directional :√ Source SGT : Domain Users (Drag from Available Security Group) Destination SGT: RFC1918 (Drag from Available Security Group)
Um einen Vertrag zu erstellen, melden Sie sich bei DNAC an und navigieren Sie zu Richtlinien > Verträge > Verträge hinzufügen > Erforderliches Protokoll hinzufügen und klicken Sie dann auf Speichern.
Um einen Vertrag zu erstellen, melden Sie sich bei DNAC an und navigieren Sie zu Policy > Group-Based Access Control > Group-Based-Access-Policies > Add Policies > Create policy (Policy > Group-Based Access Control > Group-Based-Access-Policies > Add Policies > Create policy (mit den angegebenen Informationen). Klicken Sie jetzt auf Save und Deploy.
Sobald SGACL/Contract von DNAC konfiguriert wurde, wird es automatisch in ISE wiedergegeben. unten sehen Sie ein Beispiel für eine unidirektionale Matrx-Ansicht für einen Sgt.
Die SGACL-Matrix, wie in der Abbildung unten gezeigt, ist eine Beispielansicht für das Modell der Zulassungsliste (Standard-Verweigern).
Führen Sie den folgenden Befehl aus, um die von der ISE empfangenen Switches SGT zu überprüfen: Umgebungsdaten anzeigen
Führen Sie folgende Befehle aus, um die Durchsetzung auf der Uplink-Schnittstelle zu überprüfen:
Um lokal konfigurierte IP-SGT-Zuordnungen zu überprüfen, führen Sie den folgenden Befehl aus: sh cts role-based sgt-map all
Führen Sie zum Überprüfen von FALLBACK SGACL den folgenden Befehl aus: sh cts role-based permit
Hinweis: Die von der ISE bereitgestellte SGACL hat eine Priorität vor der lokalen SGACL.
Führen Sie den folgenden Befehl aus, um das Allow-list-Modell (Default Deny) zu überprüfen: sh cts role-based permit
Führen Sie zum Überprüfen der von der ISE heruntergeladenen SGACL den folgenden Befehl aus: sh cts role-based permit
Führen Sie zum Überprüfen der von der ISE heruntergeladenen SGACL den folgenden Befehl aus: show access-list <ACL/Vertragsname>
Führen Sie zum Überprüfen von SGACL-Richtlinienzugriffen den folgenden Befehl aus: Rollenbasierter Zähler anzeigen
Wenn beide ISE-Knoten ausgefallen sind, wird die von der ISE empfangene IP-zu-SGT-Zuordnung entfernt, alle DGTs werden als unbekannt gekennzeichnet, und alle vorhandenen Benutzersitzungen werden nach 5-6 Minuten beendet.
Hinweis: Dieses Problem tritt nur auf, wenn der Zugriff auf sgt (xxxx) -> unbekannte (0) SGACL auf DHCP-, DNS- und Webproxy-Port beschränkt ist.
Lösung:
Wenn nun beide ise-Knoten ausfallen, werden SGACL sgt—>unbekannte Treffer und die existierende Sitzung intakt.
Die Umwandlung von Erweiterung auf IP erfolgte auf SIP, und die eigentliche Sprachkommunikation erfolgt über RTP zwischen IP und IP. CUCM und Voice Gateway wurden DGT_Voice hinzugefügt.
Lösung:
DNAC stellt einen Switch mit einem kritischen VLAN für Daten bereit. Gemäß der Konfiguration erhalten alle neuen Verbindungen bei ISE-Ausfall ein kritisches VLAN und ein SGT 3999. Die Standardrichtlinie 'Verweigern in TrustSec' schränkt die neue Verbindung für den Zugriff auf Netzwerkressourcen ein.
Lösung:
Push SGACL for Critical SGT on All Edge and Border Switches using DNAC Template
cts role-based permissions from 0 to 3999 FALLBACK cts role-based permissions from 3999 to 0 FALLBACK
Diese Befehle werden dem Konfigurationsabschnitt hinzugefügt.
Hinweis: Alle Befehle können in einer einzelnen Vorlage zusammengefasst und bei der Bereitstellung gedrückt werden.
Wenn sich der Computer aufgrund von ISE-Knoten im kritischen VLAN befindet, wird alle 3 bis 4 Minuten ein Paketverlust (maximal 10 Verwerfungen) für alle Endpunkte im kritischen VLAN festgestellt.
Beobachtungen: Die Anzahl der Authentifizierungszähler erhöht sich, wenn Server DEAD sind. Clients versuchen, sich mit PSN zu authentifizieren, wenn die Server als DEAD markiert wurden.
Lösung/Problemumgehung:
Im Idealfall sollte es keine Authentifizierungsanfrage von einem Endpunkt geben, wenn ISE-PSN-Knoten ausgefallen sind.
Drücken Sie diesen Befehl unter Radius-Server mit DNAC:
automatische Testerkennung für Benutzernamen
Mit diesem Befehl im Switch werden regelmäßig Testauthentifizierungsmeldungen an den RADIUS-Server gesendet. Er sucht vom Server nach einer RADIUS-Antwort. Eine Erfolgsmeldung ist nicht erforderlich - eine fehlgeschlagene Authentifizierung reicht aus, weil sie zeigt, dass der Server aktiv ist.
DNAC-abschließende Vorlage:
interface range $uplink1 no cts role-based enforcement ! . cts role-based sgt-map <ISE Primary IP> sgt 1102 cts role-based sgt-map <Underlay Subnet> sgt 2 cts role-based sgt-map <Wireless OTT Subnet>sgt 1102 cts role-based sgt-map <DNAC IP> sgt 1102 cts role-based sgt-map <SXP Subnet> sgt 2 cts role-based sgt-map <Network Monitoring Tool IP> sgt 1102 cts role-based sgt-map vrf CORP_VN <Voice Gateway Subnet> sgt 1102 ! ip access-list role-based FALLBACK permit ip ! cts role-based permissions from 2 to 1102 FALLBACK cts role-based permissions from 1102 to 2 FALLBACK cts role-based permissions from 2 to 2 FALLBACK cts role-based permissions from 0 to 3999 FALLBACK cts role-based permissions from 3999 to 0 FALLBACK
Hinweis: Alle Uplink-Schnittstellen in Edge-Knoten werden ohne Durchsetzung konfiguriert. Es wird davon ausgegangen, dass der Uplink nur mit dem Grenzknoten verbunden ist. Bei Grenzknoten müssen Uplink-Schnittstellen zu Edge-Knoten ohne Durchsetzung konfiguriert werden. Dies muss manuell erfolgen.