Trustsec:研究SGT绑定,优先级和SXP

在此视频中,我们将通过讨论完成一些不同的IP到SGT绑定,如何配置各种静态绑定,网络访问设备如何区分不同的SGT绑定类型优先级以及为什么来进一步深入研究Trustsec。 SXP非常重要。

该视频的注释:

  • 不同的SGT分类选项:

    • 动态–通常在连接时由ISE分配,作为授权策略的一部分

      • 最佳SGT分配类型

      • 重要说明:确保已打开交换机上的IP设备跟踪

      • 伊势使用cisco-av-pair = cts:security-group-tag通过RADIUS交付标签

      • 要查看绑定,可以使用 全部显示cts基于角色的sgt-map 命令以获取更多详细信息

    • 静态–通常对尚未转换为将ISE用于AAA的服务器,基于拓扑的策略或棕场站点执行。最好与不定期更改IP地址的主机一起使用。

      • 静态标签可以通过以下方式分配:

        • IP地址

        • 子网路

        • 虚拟局域网

        • 二层接口

        • 三层接口

        • 以上任何内容均在各自独立的VRF中

        • 在ISE中静态定义并通过SXP推出

  • 绑定如何完成?

    • 虚拟局域网 –在配置了静态sgt映射的VLAN上侦听的ARP数据包

      • 命令: cts基于角色的sgt-map vlan 虚拟局域网号 sgt 号码

    • IP地址–从命令行进行静态配置

      • 命令: cts基于角色的sgt-map IP地址 sgt 号码

    • 子网–可以为静态分配定义整个子网

      • 命令: cts基于角色的sgt-map 子网掩码 sgt 号码

    • 第3层接口-由于FIB条目具有通过该接口的路径而添加的绑定

      • 命令:
        接口g1 / 0/1
        cts基于角色的sgt-map sgt
        号码

    • 第2层接口–可以使用以下命令静态配置

      • 命令:
        接口g1 / 0/1
        sgt手册
        策略静态sgt
        号码

    • SXP –绑定是通过SXP对等体学习的

    • IP_ARP –通过标记在支持CTS的链路上接收到的ARP数据包获得的绑定

    • 本地–这是用于动态SGT分配。通过IP设备跟踪来学习已认证主机的绑定。此类绑定包括通过第3层端口上的ARP侦听获悉的主机

  • 如果设备配置了静态冲突,会发生什么?&端点的动态映射?那它得到什么标签呢?

    • 有一个SGT分类绑定源优先级-操作顺序:

      • 内部–在本地配置的IP地址和网络设备自己的SGT之间

      • 本地–通过EPM和设备跟踪了解的经过身份验证的主机。还包括通过第2层ARP侦听获悉的主机

      • IP_ARP –收到标记ARP数据包时学习的绑定

      • SXP –来自SXP对等方的绑定

      • 第3层接口-从FIB添加的绑定

      • CLI中配置的静态IP地址或子网绑定

      • 配置了VLAN sgt映射后,从监听的ARP数据包获悉的VLAN绑定

  • SGT传播:

    • 内联传播:

      • 标记在硬件中完成

      • 需要具有Trustsec功能的设备

      • 标签继续传递到网络路径中的下一个设备

      • 当数据包到达执行点时,该执行点将标记与SG策略进行比较,并决定如何处理它

      • 需要注意的一件事:Trustsec与我们以前执行ACL的方式相反,在ACL中,我们在最靠近源而不是目标的位置进行了阻塞。

      • 由于它使用了未使用的第2层空间,因此它实际上不会对帧大小产生很大的影响-最多约40个字节。由于它只是第2层,因此不需要更改第3层设备的IP MTU。

      • 如果路径中的交换机或设备不了解SGT,除非您先剥离SGT,否则它们会掉落框架

      • 那么,我们如何使我们的SGT在不具备Trustsec功能的设备或第3层边界上工作呢? SXP!

    • SXP

      • 控制平面协议–将IP到经过身份验证的主机的SGT映射传递到网络中的不同点

      • 默认情况下为TCP 64999

      • SXP的两个角色:

        • 演讲者(发起人)

        • 侦听器(接收者)

      • 某些开关可以同时扮演两个角色

      • 伊势也可以作为演讲者和听众进行交流