作为一个 信任安全 组态

在此博客文章中,我将介绍TrustSec的ASA配置。这适用于本机ASA代码-不适用于Firepower。在以后的博客文章中,我将分别介绍Firepower。 我将在本文中介绍TrustSec,SXP的配置,并为ASA编写SGACL。我将主要利用ASDM使事情变得更加容易和简单。

我要做的第一件事是登录ISE并导航到 行政>Network Devices 然后点击 如果您尚未将ASA添加到ISE。如果有,请选中TrustSec旁边的框,然后添加TrustSec的相关信息,例如选中 对TrustSec使用设备ID,输入密码,选中旁边的框 其他信任该设备的TrustSec设备,然后选中旁边的框 将配置更改发送到设备:

在PAC信息下,单击 产生PAC 按钮,将弹出一个窗口。选择长度至少为8个字符的加密密钥并下载:

请点击 提交 完成时。

登录到ASA上的ASDM并导航到 组态>Firewall>Identity by 信任安全:

点击 管理 服务器组名称旁边的按钮,然后将ISE添加为RADIUS服务器:

 

请点击 选定组中的服务器 并添加以下内容:

关闭此窗口,您将返回到 组态>Firewall>Identity by 信任安全 窗口。在下拉列表中,选择您创建的新服务器组:

点击 进口PAC 并导入您从ISE下载的PAC:

请点击 应用 在底部。

 

导航 监控方式>Properties>Identity by 信任安全>PAC 在ASDM中,您现在应该可以查看PAC信息:

导航 监控方式>Properties>Identity By 信任安全>Environmental Data 验证SGT已下载:

 

导航 组态>Device Setup>Interfaces 并选择内部界面的编辑。选中复选框 为Cisco 信任安全启用安全组标记, 使用安全组标签标记出口数据包,为所有入口数据包分配静态安全组标签 并选择要使用的标签号。 

请点击 然后 应用 .

为...做同样的事情 管理1/1.

导航回 组态>Firewall>Identity By 信任安全 并选中复选框 启用S​​GT交换协议(SXP)。在“默认源”框中,输入内部接口的IP地址,然后输入用于SXP的默认密码:

 

请点击 将ISE添加为连接对等方:

请点击 应用 等结束了。

在ISE中,导航至 工作中心>TrustSec>SXP 然后点击 加。  添加ASA:  

 

点击后 ,您应该看到对等状态为 :

返回ASDM,导航至 监控方式>Properties>Identity By 信任安全>SXP Connections 在这边也可以查看已建立的连接:

导航 监控方式>Properties>Identity By 信任安全>IP Mappings 查看所有IP-SGT映射(如果有):

如果您想创建基于SGT的防火墙规则,请导航至 组态>Firewall>Access Rules 然后点击 新。  在这种情况下,我将创建一条规则,规定黑名单标签不能与任何人或任何其他标签进行通信:

请点击 应用。  您还可以为ASDM创建更特定的规则,以阻止某人访问特定的内容以进行测试。在这种情况下,我将阻止域管理员从ICMP流量到未知标签:

您可以通过以域管理员身份登录并尝试ping通Internet来测试此ACL。应该予以拒绝。