El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo habilitar el modelo allow-list (Default Deny IP) de TrustSec en el acceso definido por software (SDA). Este documento incluye varias tecnologías y componentes que incluyen Identity Services Engine (ISE), Digital Network Architecture Center (DNAC) y Switches (Borde y Borde).
Hay dos modelos Trustsec disponibles:
Cisco recomienda que tenga conocimiento sobre estos temas:
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Estos son los pasos para habilitar el modelo Allow-List (Default Deny IP):
De forma predeterminada, la Security Group Tag (SGT) desconocida se configura para la autorización de dispositivos de red. Cambiar a SGT de dispositivo TrustSec proporciona más visibilidad y ayuda a crear SGACL específica para el tráfico iniciado por el switch.
Vaya a Centros de trabajo > TrustSec > Política Trustsec > Autorización de dispositivo de red y cámbielo a Trustsec_Devices desde Desconocido
Interface tengigabitethernet 1/0/1 no cts role-based enforcement
Nota: Esto se puede hacer con el uso de una plantilla de rango en DNAC para simplificar. De lo contrario, para cada switch, es necesario hacerlo manualmente durante el aprovisionamiento. El siguiente fragmento de código muestra cómo hacerlo a través de una plantilla DNAC.
interface range $uplink1 no cts role-based enforcement
Para obtener más información sobre las plantillas DNAC, consulte esta URL para el documento.
La idea es que la asignación IP-SGT local esté disponible en los switches incluso si todo ISE deja de funcionar. Esto garantiza que Underlay esté activo y que la conectividad con los recursos críticos esté intacta
El primer paso es Enlazar servicios críticos a una SGT (ex - Basic_Network_Services/1000). Algunos de estos servicios incluyen:
Ejemplo:
cts role-based sgt-map <ISE/DNAC Subnet> sgt 1000 cts role-based sgt-map sgt 2 cts role-based sgt-map <Wireless OTT Infra> sgt 1000 cts role-based sgt-map <Underlay OTT AP Subnet> sgt 2 cts role-based sgt-map <Monitoring Tool IP> sgt 1000 cts role-based sgt-map vrf CORP_VN <Voice Gateway and CUCM Subnet> sgt 1000
Una asignación SGT no es útil hasta que se crea una SGACL relevante usando la SGT y, por lo tanto, nuestro siguiente paso sería crear una SGACL que actúe como reserva local en caso de que los nodos ISE se desactiven (cuando los servicios ISE están inactivos, el túnel SXP se desactiva y, por lo tanto, las SGACL y la asignación IP SGT no se descargan dinámicamente).
Esta configuración se envía a todos los nodos Edge y de borde.
Contrato/ACL basada en roles de reserva:
ip access-list role-based FALLBACK permit ip
Dispositivos TrustSec para dispositivos TrustSec:
cts role-based permissions from 2 to 2 FALLBACK
Sobre SGACL Garantizar la comunicación dentro de los switches de fabric y las IP subyacentes
Dispositivos TrustSec a SGT 1000:
cts role-based permissions from 2 to 1000 FALLBACK
Sobre SGACL Garantizar la comunicación de los switches y puntos de acceso a ISE, DNAC, WLC y herramientas de monitoreo
SGT 1000 a dispositivos TrustSec:
cts role-based permissions from 1000 to 2 FALLBACK
Por encima de SGACL Garantizar la comunicación de los puntos de acceso a ISE, DNAC, WLC y las herramientas de supervisión a los switches
El requisito es denegar la mayor parte del tráfico en la red y permitir en menor medida. A continuación, se necesitan menos políticas si utiliza la negación predeterminada con reglas de permiso explícitas.
Navegue hasta Centros de Trabajo > Trustsec > Política TrustSec > Matriz > Predeterminado y cámbielo a Denegar todo en la regla de captura final.
Nota: Esta imagen representa (todas las columnas están en rojo de forma predeterminada), se ha activado Denegar predeterminado y sólo se puede permitir el tráfico selectivo después de la creación de SGACL.
En el entorno de SDA, la nueva SGT sólo se debe crear desde la GUI de DNAC, ya que hay numerosos casos de corrupción en la base de datos debido a la discordancia de la base de datos de SGT en ISE/DNAC.
Para crear SGT, inicie sesión en DNAC > Policy > Group-Based Access Control > Scalable Groups > Add Groups, una página Redirige a ISE Scalable Group, haga clic en Add, introduzca el nombre SGT y guárdelo.
La misma SGT se refleja en DNAC a través de la integración PxGrid. Este es el mismo procedimiento para toda creación futura de SGT.
En el entorno SDA, la nueva SGT sólo se debe crear a partir de la GUI de DNAC.
Policy Name: Domain_Users_Access Contract : Permit Enable Policy :√ Enable Bi-Directional :√ Source SGT : Domain Users (Drag from Available Security Group) Destination SGT: Domain_Users, Basic_Network_Services, DC_Subnet, Unknown (Drag from Available Security Group) Policy Name: RFC_Access Contract : RFC_Access (This Contract contains limited ports) Enable Policy :√ Enable Bi-Directional :√ Source SGT : Domain Users (Drag from Available Security Group) Destination SGT: RFC1918 (Drag from Available Security Group)
Para crear un Contrato, inicie sesión en DNAC y navegue hasta Política > Contratos > Agregar Contratos > Agregar protocolo necesario y luego haga clic en Guardar.
Para crear un contrato, inicie sesión en DNAC y navegue hasta Policy > Group-Based Access Control > Group-Based-Access-Policies > Add Policies > Create policy (con la información dada) ahora haga clic en Save y luego en Deploy.
Una vez que SGACL/Contract se configura desde DNAC, se refleja automáticamente en ISE. a continuación se muestra un ejemplo de vista de matriz de una dirección para un sgt.
La matriz SGACL, como se muestra en la imagen siguiente, es una vista de ejemplo para el modelo Allow-list (Default Deny).
Para verificar los switches SGT recibidos por ISE, ejecute este comando: show cts environment-data
Para verificar la aplicación en la interfaz de link ascendente, ejecute estos comandos:
Para verificar mapeos IP-SGT configurados localmente, ejecute este comando: sh cts role-based sgt-map all
Para verificar FALLBACK SGACL, ejecute este comando: sh cts role-based permit
Nota: La SGACL impulsada por ISE tiene prioridad sobre la SGACL local.
Para verificar el modelo Allow-list (Default Deny), ejecute este comando: sh cts role-based permit
Para verificar la SGACL descargada de ISE, ejecute este comando: sh cts role-based permit
Para verificar la SGACL descargada de ISE, ejecute este comando: show access-list <ACL/Contract Name>
Para verificar los resultados de la política SGACL, ejecute este comando: Show cts role-based counter
En caso de que ambos nodos ISE estén inactivos, se elimina la asignación de IP a SGT recibida por ISE y todas las DGT se etiquetan como desconocidas, y todas las sesiones de usuario que existen se detienen después de 5-6 minutos.
Nota: Este problema sólo se aplica cuando el acceso SGACL (sgt (xxxx) -> desconocido (0) se limita a DHCP, DNS y puerto de proxy web.
Solución:
Ahora, si ambos nodos ise se desactivan, SGACL indica—>resultados desconocidos y la sesión existente está intacta.
La conversión de la extensión a IP ocurrió en el SIP y la comunicación de voz real ocurre a través de RTP entre IP y IP. CUCM y Gateway de voz se agregaron a DGT_Voice.
Solución:
DNAC aprovisiona el switch con VLAN crítica para datos y, según la configuración, todas las nuevas conexiones durante la interrupción de ISE obtienen VLAN crítica y SGT 3999. La política Denegación predeterminada en trustsec restringe la nueva conexión para acceder a cualquier recurso de red.
Solución:
Empuje SGACL para SGT crítico en todos los switches de borde y extremo mediante la plantilla DNAC
cts role-based permissions from 0 to 3999 FALLBACK cts role-based permissions from 3999 to 0 FALLBACK
Estos comandos se agregan a la sección de configuración.
Nota: Todos los comandos se pueden combinar en una única plantilla y se pueden enviar durante el aprovisionamiento.
Una vez que la máquina se encuentra en una VLAN crítica debido a la caída de los nodos ISE, hay una caída de paquetes cada 3-4 minutos (se observan 10 caídas como máximo) para todos los terminales en la VLAN crítica.
Observaciones: Los contadores de autenticación aumentan cuando los servidores están MUERTOS. Los clientes intentan autenticarse con PSN cuando los servidores se marcaron DEAD.
Solución:
Lo ideal es que no haya ninguna solicitud de autenticación de un terminal si los nodos PSN ISE están inactivos.
Presione este comando en el servidor RADIUS con DNAC:
nombre de usuario de la prueba automática auto-test-on
Con este comando en el switch, envía mensajes de autenticación de prueba periódicos al servidor RADIUS. Busca una respuesta RADIUS del servidor. No es necesario un mensaje de éxito: basta con una autenticación fallida porque muestra que el servidor está vivo.
Plantilla final de DNAC:
interface range $uplink1 no cts role-based enforcement ! . cts role-based sgt-map <ISE Primary IP> sgt 1102 cts role-based sgt-map <Underlay Subnet> sgt 2 cts role-based sgt-map <Wireless OTT Subnet>sgt 1102 cts role-based sgt-map <DNAC IP> sgt 1102 cts role-based sgt-map <SXP Subnet> sgt 2 cts role-based sgt-map <Network Monitoring Tool IP> sgt 1102 cts role-based sgt-map vrf CORP_VN <Voice Gateway Subnet> sgt 1102 ! ip access-list role-based FALLBACK permit ip ! cts role-based permissions from 2 to 1102 FALLBACK cts role-based permissions from 1102 to 2 FALLBACK cts role-based permissions from 2 to 2 FALLBACK cts role-based permissions from 0 to 3999 FALLBACK cts role-based permissions from 3999 to 0 FALLBACK
Nota: Todas las interfaces de link ascendente en los nodos de borde se configuran sin aplicación y se supone que el link ascendente se conecta solamente con el nodo de borde. En los nodos de borde, las interfaces de enlace ascendente hacia los nodos de borde necesitan configurarse sin aplicación y eso debe hacerse manualmente.