作为一个 TrustSec配置

在这个博客文章中,我将覆盖TrustSec的ASA的配置。这是本机ASA代码 - 不是Firepower。我将在后面的博客帖子中分开地过火。 我将乘坐Trustsec,SXP和在这篇文章中编写SGACL的配置。我将主要利用ASDM来使事情变得更轻松,更简单。

我要做的第一件事就是登录ISE并导航到 行政>Network Devices 然后点击 添加 如果您还没有将ASA添加到ISE。如果您有,请选中TrustSec旁边的框,并为TrustSec添加相关信息,例如选中框 使用DEVERSEC的设备ID,输入密码,选中旁边的框 其他TrustSec设备以信任此设备,并检查旁边的框 将配置更改发送给设备:

在PAC信息下,单击 生成Pac. 按钮和弹出窗口会出现。选择长度至少为8个字符的加密密钥并下载它:

点击 提交 完成后。

登录ASA上的ASDM并导航到 配置>Firewall>Identity by TrustSec:

点击 管理 服务器组名称旁边的按钮,将ISE添加为RADIUS服务器:

 

点击 添加 在下面 所选组中的服务器 并添加以下内容:

关闭这个窗口,你会回到 配置>Firewall>Identity by TrustSec 窗户。在“下拉”中,选择您创建的新服务器组:

点击 进口Pac. 并导入您从ISE下载的PAC:

点击 申请 在底部。

 

导航 监测>Properties>Identity by TrustSec>PAC 在ASDM中,您现在应该能够查看PAC信息:

导航 监测>Properties>Identity By TrustSec>Environmental Data 要验证SGT已下载:

 

导航 配置>Device Setup>Interfaces 并选择内部接口的编辑。选中框 启用Cisco Trustsec的安全组标记, 标记带有安全组标记的EGRONER报文,将静态安全组标记分配给所有入口数据包 并选择要使用的标记号码。 

点击 好的 然后 申请 .

做同样的事情 管理层1/1.

导航回来 配置>Firewall>Identity By TrustSec 并检查框 启用S​​GT Exchange协议(SXP)。在“默认源”框中,输入内部接口的IP地址,然后输入用于SXP的默认密码:

 

点击 添加 要将ISE添加为Connection Peer:

点击 申请 等结束了。

在ISE中,导航到 工作中心>TrustSec>SXP 然后点击 添加。   添加ASA:  

 

点击后 保存 ,您应该看到对等状态 :

回到ASDM,导航到 监测>Properties>Identity By TrustSec>SXP Connections 要查看此一侧的已建立连接:

导航 监测>Properties>Identity By TrustSec>IP Mappings 要查看所有IP-SGT映射(如果有的话):

如果您想在SGT上备份的防火墙规则,请导航到 配置>Firewall>Access Rules 然后点击 新的。  在这种情况下,我将创建一个规则,指出黑名单标签不能与任何其他标签通信:

点击 申请。  您还可以为ASDM创建更具体的规则,以阻止某人访问特定的东西以便测试。在这种情况下,我将从ICMP流量划分域管理员到未知标记:

您可以通过以域管理员登录并尝试在Internet上ping某些东西来测试此ACL。它应该被拒绝。