CISCO Trustsec सुरक्षित बनाता है
 नेटवर्क उपयोगकर्ता गाइड
CISCO ट्रस्टसेक ने सुरक्षित नेटवर्क उपयोगकर्ता गाइड बनायासिस्को ट्रस्टसेक विश्वसनीय नेटवर्क उपकरणों के डोमेन स्थापित करके सुरक्षित नेटवर्क बनाता है। डोमेन में प्रत्येक डिवाइस को उसके साथियों द्वारा प्रमाणित किया जाता है। डोमेन में उपकरणों के बीच लिंक पर संचार एन्क्रिप्शन, संदेश अखंडता जांच और डेटा-पथ रीप्ले सुरक्षा तंत्र के संयोजन से सुरक्षित है।
सिस्को ट्रस्टसेक के लिए प्रतिबंध
  • जब कोई अमान्य डिवाइस आईडी निर्दिष्ट किया जाता है, तो संरक्षित एक्सेस क्रेडेंशियल (पीएसी) प्रावधान विफल हो जाता है और हैंग स्थिति में रहता है। पीएसी साफ़ करने और सही डिवाइस आईडी और पासवर्ड कॉन्फ़िगर करने के बाद भी, पीएसी अभी भी विफल रहता है।
    वैकल्पिक समाधान के रूप में, सिस्को आइडेंटिटी सर्विसेज इंजन (आईएसई) में, असामान्य ग्राहकों को दबाएं को अनचेक करें
    पीएसी के काम करने के लिए प्रशासन> सिस्टम> सेटिंग्स> प्रोटोकॉल> रेडियस मेनू में विकल्प।
  • सिस्को ट्रस्टसेक FIPS मोड में समर्थित नहीं है।
  • निम्नलिखित प्रतिबंध केवल सिस्को उत्प्रेरक 9500 सीरीज स्विच के C28X-8C9500D मॉडल पर लागू हैं:
    • सिस्को ट्रस्टसेक मैनुअल कॉन्फ़िगरेशन समर्थित नहीं है।
    • सिस्को ट्रस्टसेक सिक्योरिटी एसोसिएशन प्रोटोकॉल (एसएपी) कार्यक्षमता समर्थित नहीं है।
    • सिस्को ट्रस्टसेक मेटाडेटा हेडर एनकैप्सुलेशन समर्थित नहीं है।
अंतर्वस्तु छिपाना
1 सिस्को ट्रस्टसेक आर्किटेक्चर के बारे में जानकारी
2 दस्तावेज़ / संसाधन
2.1 संदर्भ

सिस्को ट्रस्टसेक आर्किटेक्चर के बारे में जानकारी

सिस्को ट्रस्टसेक सुरक्षा आर्किटेक्चर विश्वसनीय नेटवर्क उपकरणों के डोमेन स्थापित करके सुरक्षित नेटवर्क बनाता है। डोमेन में प्रत्येक डिवाइस को उसके साथियों द्वारा प्रमाणित किया जाता है। डोमेन में उपकरणों के बीच लिंक पर संचार एन्क्रिप्शन, संदेश अखंडता जांच और डेटा-पथ रीप्ले सुरक्षा तंत्र के संयोजन से सुरक्षित है। सिस्को ट्रस्टसेक नेटवर्क में प्रवेश करते ही सुरक्षा समूहों (एसजी) द्वारा पैकेट को वर्गीकृत करने के लिए प्रमाणीकरण के दौरान प्राप्त डिवाइस और उपयोगकर्ता क्रेडेंशियल का उपयोग करता है। इस पैकेट वर्गीकरण को बनाए रखा जाता है tagसिस्को ट्रस्टसेक नेटवर्क में प्रवेश पर पैकेटों को गिंग करना ताकि डेटा पथ पर सुरक्षा और अन्य नीति मानदंडों को लागू करने के उद्देश्य से उन्हें ठीक से पहचाना जा सके। tag, जिसे सुरक्षा समूह कहा जाता है tag (एसजीटी), नेटवर्क को ट्रैफ़िक को फ़िल्टर करने के लिए एसजीटी पर कार्य करने के लिए एंडपॉइंट डिवाइस को सक्षम करके एक्सेस कंट्रोल नीति लागू करने की अनुमति देता है।
नोट आइकनसिस्को ट्रस्टसेक IEEE 802.1X लिंक सिस्को IOS XE डेनाली में समर्थित प्लेटफ़ॉर्म पर समर्थित नहीं हैं
(16.1.x से 16.3.x), सिस्को IOS XE एवरेस्ट (16.4.x से 16.6.x), और सिस्को IOS XE फ़ूजी (16.7.x से 16.9.x) रिलीज़, और इसलिए केवल प्रमाणक समर्थित है; निवेदक समर्थित नहीं है.
सिस्को ट्रस्टसेक आर्किटेक्चर में तीन प्रमुख घटक शामिल हैं:
  • प्रमाणित नेटवर्किंग अवसंरचना- सिस्को ट्रस्टसेक डोमेन शुरू करने के लिए प्रमाणीकरण सर्वर के साथ पहले डिवाइस (जिसे सीड डिवाइस कहा जाता है) को प्रमाणित करने के बाद, डोमेन में जोड़े गए प्रत्येक नए डिवाइस को पहले से ही डोमेन के भीतर उसके सहकर्मी उपकरणों द्वारा प्रमाणित किया जाता है। सहकर्मी डोमेन के प्रमाणीकरण सर्वर के लिए मध्यस्थ के रूप में कार्य करते हैं। प्रत्येक नव-प्रमाणीकृत डिवाइस को प्रमाणीकरण सर्वर द्वारा वर्गीकृत किया जाता है और उसकी पहचान, भूमिका और सुरक्षा स्थिति के आधार पर एक सुरक्षा समूह संख्या सौंपी जाती है।
  • सुरक्षा समूह-आधारित अभिगम नियंत्रण - सिस्को ट्रस्टसेक डोमेन के भीतर पहुंच नीतियां टोपोलॉजी-स्वतंत्र हैं, जो नेटवर्क पते के बजाय स्रोत और गंतव्य उपकरणों की भूमिकाओं (जैसा कि सुरक्षा समूह संख्या द्वारा इंगित किया गया है) पर आधारित हैं। व्यक्तिगत पैकेट हैं tagस्रोत की सुरक्षा समूह संख्या के साथ जोड़ा गया।
  • सुरक्षित संचार-एन्क्रिप्शन-सक्षम हार्डवेयर के साथ, डोमेन में उपकरणों के बीच प्रत्येक लिंक पर संचार को एन्क्रिप्शन, संदेश अखंडता जांच और डेटा-पथ रीप्ले सुरक्षा तंत्र के संयोजन से सुरक्षित किया जा सकता है।
निम्नलिखित आंकड़ा एक पूर्व दिखाता हैampसिस्को ट्रस्टसेक डोमेन का ले। इस पूर्व मेंampले, कई नेटवर्किंग डिवाइस और एक एंडपॉइंट डिवाइस सिस्को ट्रस्टसेक डोमेन के अंदर हैं। एक एंडपॉइंट डिवाइस और एक नेटवर्किंग डिवाइस डोमेन से बाहर हैं क्योंकि वे सिस्को ट्रस्टसेक-सक्षम डिवाइस नहीं हैं या क्योंकि उन्हें एक्सेस देने से इनकार कर दिया गया है। प्रमाणीकरण सर्वर को सिस्को ट्रस्टसेक डोमेन के बाहर माना जाता है; यह या तो सिस्को आइडेंटिटीज सर्विस इंजन (सिस्को आईएसई) है, या सिस्को सिक्योर एक्सेस कंट्रोल सिस्टम (सिस्को एसीएस) है।
चित्र 1: सिस्को ट्रस्टसेक नेटवर्क डोमेन एक्सample
सिस्को ट्रस्टसेक ने सुरक्षित नेटवर्क बनाया - चित्र 1
सिस्को ट्रस्टसेक प्रमाणीकरण प्रक्रिया में प्रत्येक भागीदार निम्नलिखित भूमिकाओं में से एक में कार्य करता है:
  • निवेदक-सिस्को ट्रस्टसेक डोमेन के भीतर एक सहकर्मी से जुड़ा एक अप्रमाणित उपकरण, और सिस्को ट्रस्टसेक डोमेन में शामिल होने का प्रयास कर रहा है।
  • प्रमाणीकरण सर्वर—वह सर्वर जो आवेदक की पहचान को मान्य करता है और ऐसी नीतियां जारी करता है जो सिस्को ट्रस्टसेक डोमेन के भीतर सेवाओं तक आवेदक की पहुंच निर्धारित करती हैं।
  • प्रमाणक-एक प्रमाणित उपकरण जो पहले से ही सिस्को ट्रस्टसेक डोमेन का हिस्सा है और प्रमाणीकरण सर्वर की ओर से नए सहकर्मी आवेदकों को प्रमाणित कर सकता है।
जब किसी निवेदक और प्रमाणक के बीच संबंध पहली बार सामने आता है, तो घटनाओं का निम्नलिखित क्रम आम तौर पर घटित होता है:
  1. प्रमाणीकरण (802.1एक्स)—आवेदक को प्रमाणीकरण सर्वर द्वारा प्रमाणित किया जाता है, प्रमाणक एक मध्यस्थ के रूप में कार्य करता है। पारस्परिक प्रमाणीकरण दो साथियों (प्रार्थनाकर्ता और प्रमाणक) के बीच किया जाता है।
  2. प्राधिकरण-आवेदक की पहचान की जानकारी के आधार पर, प्रमाणीकरण सर्वर प्रत्येक लिंक किए गए साथियों को सुरक्षा समूह असाइनमेंट और एसीएल जैसी प्राधिकरण नीतियां प्रदान करता है। प्रमाणीकरण सर्वर प्रत्येक सहकर्मी की पहचान दूसरे को प्रदान करता है, और फिर प्रत्येक सहकर्मी लिंक के लिए उचित नीति लागू करता है।
  3. सुरक्षा एसोसिएशन प्रोटोकॉल (एसएपी) बातचीत-जब किसी लिंक के दोनों पक्ष एन्क्रिप्शन का समर्थन करते हैं, तो निवेदक और प्रमाणक सुरक्षा एसोसिएशन (एसए) स्थापित करने के लिए आवश्यक मापदंडों पर बातचीत करते हैं।
नोट आइकन SAP 100G इंटरफ़ेस पर समर्थित नहीं है. हम अनुशंसा करते हैं कि आप MACsec कुंजी अनुबंध प्रोटोकॉल का उपयोग करें
(एमकेए) 100जी इंटरफेस पर विस्तारित पैकेट नंबरिंग (एक्सपीएन) के साथ।
जब सभी तीन चरण पूरे हो जाते हैं, तो प्रमाणक लिंक की स्थिति को अनधिकृत (अवरुद्ध) स्थिति से अधिकृत स्थिति में बदल देता है, और आवेदक सिस्को ट्रस्टसेक डोमेन का सदस्य बन जाता है।
सिस्को ट्रस्टसेक इनग्रेस का उपयोग करता है tagस्केलेबल तरीके से पहुंच नियंत्रण नीति को लागू करने के लिए गिंग और ईग्रेस फ़िल्टरिंग। डोमेन में प्रवेश करने वाले पैकेट हैं tagएक सुरक्षा समूह के साथ गठजोड़ किया गया tag (एसजीटी) जिसमें स्रोत डिवाइस का निर्दिष्ट सुरक्षा समूह नंबर शामिल है। सुरक्षा और अन्य नीति मानदंडों को लागू करने के उद्देश्य से यह पैकेट वर्गीकरण सिस्को ट्रस्टसेक डोमेन के भीतर डेटा पथ के साथ बनाए रखा जाता है। डेटा पथ पर अंतिम सिस्को ट्रस्टसेक डिवाइस, या तो समापन बिंदु या नेटवर्क निकास बिंदु, सिस्को ट्रस्टसेक स्रोत डिवाइस के सुरक्षा समूह और अंतिम सिस्को ट्रस्टसेक डिवाइस के सुरक्षा समूह के आधार पर एक एक्सेस नियंत्रण नीति लागू करता है। नेटवर्क पते पर आधारित पारंपरिक एक्सेस कंट्रोल सूचियों के विपरीत, सिस्को ट्रस्टसेक एक्सेस कंट्रोल नीतियां भूमिका-आधारित एक्सेस कंट्रोल सूचियों (आरबीएसीएल) का एक रूप हैं जिन्हें सुरक्षा समूह एक्सेस कंट्रोल लिस्ट्स (एसजीएसीएल) कहा जाता है।
नोट आइकनइनग्रेस उन पैकेटों को संदर्भित करता है जो पहले सिस्को ट्रस्टसेक-सक्षम डिवाइस में प्रवेश करते हैं जो एक पैकेट को गंतव्य के रास्ते पर मिलता है और इग्रेस उस पैकेट को संदर्भित करता है जो पथ पर अंतिम सिस्को ट्रस्टसेक-सक्षम डिवाइस को छोड़ता है।
प्रमाणीकरण
सिस्को ट्रस्टसेक और प्रमाणीकरण
नेटवर्क डिवाइस एडमिशन कंट्रोल (एनडीएसी) का उपयोग करते हुए, सिस्को ट्रस्टसेक किसी डिवाइस को नेटवर्क में शामिल होने की अनुमति देने से पहले प्रमाणित करता है। एनडीएसी प्रमाणीकरण करने के लिए एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल (ईएपी) विधि के रूप में सिक्योर टनल (ईएपी-फास्ट) के माध्यम से एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल फ्लेक्सिबल ऑथेंटिकेशन के साथ 802.1X प्रमाणीकरण का उपयोग करता है। ईएपी-फास्ट वार्तालाप चेन का उपयोग करके ईएपी-फास्ट सुरंग के अंदर अन्य ईएपी विधि एक्सचेंजों के लिए प्रदान करते हैं। प्रशासक पारंपरिक उपयोगकर्ता-प्रमाणीकरण विधियों का उपयोग कर सकते हैं, जैसे कि Microsoft चैलेंज हैंडशेक प्रमाणीकरण प्रोटोकॉल संस्करण 2 (MSCHAPv2), जबकि अभी भी EAP-FAST सुरंग द्वारा सुरक्षा प्रदान की गई है। ईएपी-फास्ट एक्सचेंज के दौरान, प्रमाणीकरण सर्वर आवेदक को एक अद्वितीय संरक्षित एक्सेस क्रेडेंशियल (पीएसी) बनाता है और वितरित करता है जिसमें प्रमाणीकरण सर्वर के साथ भविष्य में सुरक्षित संचार के लिए उपयोग की जाने वाली एक साझा कुंजी और एक एन्क्रिप्टेड टोकन होता है।
निम्नलिखित चित्र EAP-FAST सुरंग और आंतरिक तरीकों को दिखाता है जैसा कि सिस्को ट्रस्टसेक में उपयोग किया जाता है।
चित्र 2: सिस्को ट्रस्टसेक प्रमाणीकरण
सिस्को ट्रस्टसेक ने सुरक्षित नेटवर्क बनाया - चित्र 2
सिस्को ट्रस्टसेक का ईएपी-फास्ट में संवर्द्धन
सिस्को ट्रस्टसेक के लिए ईएपी-फास्ट के कार्यान्वयन में निम्नलिखित संवर्द्धन हैं:
  • प्रमाणक को प्रमाणित करें - प्रमाणक को अपने और प्रमाणीकरण सर्वर के बीच साझा कुंजी प्राप्त करने के लिए अपने पीएसी का उपयोग करने की आवश्यकता के द्वारा प्रमाणक की पहचान को सुरक्षित रूप से निर्धारित करता है। यह सुविधा आपको प्रमाणीकरण सर्वर पर प्रत्येक संभावित आईपी पते के लिए RADIUS साझा कुंजी को कॉन्फ़िगर करने से भी रोकती है जिसका उपयोग प्रमाणीकरणकर्ता द्वारा किया जा सकता है।
  • प्रत्येक डिवाइस को उसके सहकर्मी की पहचान के बारे में सूचित करें—प्रमाणीकरण आदान-प्रदान के अंत तक, प्रमाणीकरण सर्वर ने आवेदक और प्रमाणक दोनों की पहचान कर ली है। प्रमाणीकरण सर्वर संरक्षित ईएपी-फास्ट समाप्ति में अतिरिक्त प्रकार-लंबाई-मूल्य पैरामीटर (टीएलवी) का उपयोग करके आवेदक को प्रमाणक की पहचान बताता है, और प्रमाणक सिस्को ट्रस्टसेक-सक्षम है या नहीं। प्रमाणीकरण सर्वर एक्सेस-स्वीकार संदेश में RADIUS विशेषताओं का उपयोग करके आवेदक की पहचान भी बताता है, और यह भी बताता है कि आवेदक सिस्को ट्रस्टसेक-सक्षम है या नहीं।
    क्योंकि प्रत्येक डिवाइस अपने सहकर्मी की पहचान जानता है, यह लिंक पर लागू होने वाली नीति प्राप्त करने के लिए प्रमाणीकरण सर्वर को अतिरिक्त RADIUS एक्सेस-अनुरोध भेज सकता है।
802.1X भूमिका चयन
802.1X में, प्रमाणक के पास प्रमाणीकरण सर्वर के साथ आईपी कनेक्टिविटी होनी चाहिए क्योंकि उसे यूडीपी/आईपी पर RADIUS का उपयोग करके आवेदक और प्रमाणक के बीच प्रमाणीकरण विनिमय को रिले करना होता है। जब एक एंडपॉइंट डिवाइस, जैसे कि पीसी, किसी नेटवर्क से जुड़ता है, तो यह स्पष्ट है कि इसे एक निवेदक के रूप में कार्य करना चाहिए। हालाँकि, दो नेटवर्क उपकरणों के बीच सिस्को ट्रस्टसेक कनेक्शन के मामले में, प्रत्येक नेटवर्क डिवाइस की 802.1X भूमिका अन्य नेटवर्क डिवाइस के लिए तुरंत स्पष्ट नहीं हो सकती है।
दो आसन्न स्विचों के लिए प्रमाणक और निवेदक भूमिकाओं की मैन्युअल कॉन्फ़िगरेशन की आवश्यकता के बजाय, सिस्को ट्रस्टसेक स्वचालित रूप से यह निर्धारित करने के लिए एक भूमिका-चयन एल्गोरिदम चलाता है कि कौन सा स्विच प्रमाणीकरणकर्ता के रूप में कार्य करता है और कौन सा निवेदक के रूप में कार्य करता है। भूमिका-चयन एल्गोरिथ्म उस स्विच को प्रमाणक भूमिका प्रदान करता है जिसमें RADIUS सर्वर पर IP पहुंच क्षमता होती है। दोनों स्विच प्रमाणक और निवेदक दोनों राज्य मशीनों को प्रारंभ करते हैं। जब एक स्विच को पता चलता है कि उसके सहकर्मी के पास RADIUS सर्वर तक पहुंच है, तो वह अपनी स्वयं की प्रमाणक स्थिति मशीन को समाप्त कर देता है और निवेदक की भूमिका ग्रहण कर लेता है। यदि दोनों स्विचों के पास RADIUS सर्वर तक पहुंच है, तो RADIUS सर्वर से प्रतिक्रिया प्राप्त करने वाला पहला स्विच प्रमाणक बन जाता है और दूसरा स्विच निवेदक बन जाता है।
सिस्को ट्रस्टसेक प्रमाणीकरण सारांश
सिस्को ट्रस्टसेक प्रमाणीकरण प्रक्रिया के अंत तक, प्रमाणीकरण सर्वर ने निम्नलिखित क्रियाएं की हैं:
  • निवेदक और प्रमाणक की पहचान सत्यापित की गई।
  • यदि आवेदक एक एंडपॉइंट डिवाइस है तो उपयोगकर्ता को प्रमाणित किया जाता है।
सिस्को ट्रस्टसेक प्रमाणीकरण प्रक्रिया के अंत में, प्रमाणक और आवेदक दोनों निम्नलिखित जानते हैं:
  • अगले:
  • सहकर्मी की डिवाइस आईडी
  • सहकर्मी की सिस्को ट्रस्टसेक क्षमता की जानकारी
  • SAP के लिए उपयोग की जाने वाली कुंजी
डिवाइस पहचान
सिस्को ट्रस्टसेक डिवाइस पहचान के रूप में आईपी पते या मैक पते का उपयोग नहीं करता है। इसके बजाय, आप प्रत्येक सिस्को ट्रस्टसेक-सक्षम स्विच को सिस्को ट्रस्टसेक डोमेन में विशिष्ट रूप से पहचानने के लिए एक नाम (डिवाइस आईडी) निर्दिष्ट करते हैं। इस डिवाइस आईडी का उपयोग निम्नलिखित के लिए किया जाता है:
  • प्राधिकरण नीति को देख रहे हैं
  • प्रमाणीकरण के दौरान डेटाबेस में पासवर्ड खोजना
डिवाइस क्रेडेंशियल
सिस्को ट्रस्टसेक पासवर्ड-आधारित क्रेडेंशियल का समर्थन करता है। सिस्को ट्रस्टसेक आवेदकों को पासवर्ड के माध्यम से प्रमाणित करता है और पारस्परिक प्रमाणीकरण प्रदान करने के लिए MSCHAPv2 का उपयोग करता है।
प्रमाणीकरण सर्वर ईएपी-फास्ट चरण 0 (प्रावधान) एक्सचेंज के दौरान आवेदक को पारस्परिक रूप से प्रमाणित करने के लिए इन क्रेडेंशियल्स का उपयोग करता है जहां आवेदक में एक पीएसी का प्रावधान किया जाता है। सिस्को ट्रस्टसेक पीएसी समाप्त होने तक ईएपी-फास्ट चरण 0 एक्सचेंज दोबारा नहीं करता है, और भविष्य में लिंक लाने के लिए केवल ईएपी-फास्ट चरण 1 और चरण 2 एक्सचेंज करता है। ईएपी-फास्ट चरण 1 एक्सचेंज प्रमाणीकरण सर्वर और आवेदक को पारस्परिक रूप से प्रमाणित करने के लिए पीएसी का उपयोग करता है। सिस्को ट्रस्टसेक केवल पीएसी प्रावधान (या पुन: प्रावधान) चरणों के दौरान डिवाइस क्रेडेंशियल का उपयोग करता है।
जब आवेदक पहली बार सिस्को ट्रस्टसेक डोमेन से जुड़ता है, तो प्रमाणीकरण सर्वर आवेदक को प्रमाणित करता है और पीएसी के साथ आवेदक को एक साझा कुंजी और एन्क्रिप्टेड टोकन भेजता है। प्रमाणीकरण सर्वर और निवेदक भविष्य के सभी ईएपी-फास्ट चरण 0 एक्सचेंजों में पारस्परिक प्रमाणीकरण के लिए इस कुंजी और टोकन का उपयोग करते हैं।
उपयोगकर्ता के प्रमाण - पत्र
सिस्को ट्रस्टसेक को एंडपॉइंट डिवाइस के लिए किसी विशिष्ट प्रकार के उपयोगकर्ता क्रेडेंशियल की आवश्यकता नहीं है। आप किसी भी प्रकार की उपयोगकर्ता प्रमाणीकरण विधि चुन सकते हैं जो प्रमाणीकरण सर्वर द्वारा समर्थित है, और संबंधित क्रेडेंशियल का उपयोग कर सकते हैं। पूर्व के लिएampले, सिस्को सिक्योर एक्सेस कंट्रोल सिस्टम (ACS) संस्करण 5.1 MSCHAPv2, जेनेरिक टोकन कार्ड (GTC), या RSA वन-टाइम पासवर्ड (OTP) का समर्थन करता है।
सुरक्षा समूह-आधारित अभिगम नियंत्रण
यह अनुभाग सुरक्षा समूह-आधारित अभिगम नियंत्रण सूचियों (एसजीएसीएल) के बारे में जानकारी प्रदान करता है।
सुरक्षा समूह और एसजीटी
एक सुरक्षा समूह उपयोगकर्ताओं, समापन बिंदु उपकरणों और संसाधनों का एक समूह है जो पहुंच नियंत्रण नीतियों को साझा करता है। सुरक्षा समूहों को सिस्को आईएसई या सिस्को सिक्योर एसीएस में प्रशासक द्वारा परिभाषित किया गया है। जैसे ही सिस्को ट्रस्टसेक डोमेन में नए उपयोगकर्ता और डिवाइस जोड़े जाते हैं, प्रमाणीकरण सर्वर इन नई इकाइयों को उपयुक्त सुरक्षा समूहों को सौंप देता है। सिस्को ट्रस्टसेक प्रत्येक सुरक्षा समूह को एक अद्वितीय 16-बिट सुरक्षा समूह नंबर प्रदान करता है जिसका दायरा सिस्को ट्रस्टसेक डोमेन के भीतर वैश्विक है। डिवाइस में सुरक्षा समूहों की संख्या प्रमाणित नेटवर्क इकाइयों की संख्या तक सीमित है। आपको सुरक्षा समूह संख्याओं को मैन्युअल रूप से कॉन्फ़िगर करने की आवश्यकता नहीं है।
एक बार डिवाइस प्रमाणित हो जाने पर, सिस्को ट्रस्टसेक tags कोई भी पैकेट जो सुरक्षा समूह के साथ उस उपकरण से उत्पन्न होता है tag (एसजीटी) जिसमें डिवाइस का सुरक्षा समूह नंबर होता है। पैकेट इस एसजीटी को सिस्को ट्रस्टसेक हेडर के भीतर पूरे नेटवर्क में ले जाता है। एसजीटी एक एकल लेबल है जो संपूर्ण उद्यम के भीतर स्रोत के विशेषाधिकारों को निर्धारित करता है।
क्योंकि SGT में स्रोत का सुरक्षा समूह शामिल है tag स्रोत एसजीटी के रूप में संदर्भित किया जा सकता है। गंतव्य डिवाइस को एक सुरक्षा समूह (गंतव्य एसजी) को भी सौंपा गया है जिसे सरलता के लिए गंतव्य समूह के रूप में संदर्भित किया जा सकता है tag (डीजीटी), हालांकि वास्तविक सिस्को ट्रस्टसेक पैकेट tag इसमें गंतव्य डिवाइस का सुरक्षा समूह नंबर शामिल नहीं है।
सुरक्षा समूह एसीएल समर्थन
सुरक्षा समूह अभिगम नियंत्रण सूची (एसजीएसीएल) एक नीति प्रवर्तन है जिसके माध्यम से प्रशासक सुरक्षा समूह असाइनमेंट और गंतव्य संसाधनों के आधार पर किसी उपयोगकर्ता द्वारा किए गए संचालन को नियंत्रित कर सकता है। सिस्को ट्रस्टसेक डोमेन के भीतर नीति प्रवर्तन को एक अनुमति मैट्रिक्स द्वारा दर्शाया जाता है, जिसमें एक अक्ष पर स्रोत सुरक्षा समूह संख्या और दूसरे अक्ष पर गंतव्य सुरक्षा समूह संख्या होती है। मैट्रिक्स में प्रत्येक सेल में एसजीएसीएल की एक क्रमबद्ध सूची होती है, जो उन अनुमतियों को निर्दिष्ट करती है जिन्हें स्रोत सुरक्षा समूह से संबंधित आईपी से उत्पन्न होने वाले पैकेट पर लागू किया जाना चाहिए और गंतव्य आईपी जो गंतव्य सुरक्षा समूह से संबंधित है।
एसजीएसीएल सुरक्षा संघ या सुरक्षा समूह के आधार पर स्टेटलेस एक्सेस कंट्रोल तंत्र प्रदान करता है tag आईपी ​​​​पते और फ़िल्टर के बजाय मूल्य। SGACL पॉलिसी का प्रावधान करने के तीन तरीके हैं:
  • स्थैतिक नीति प्रावधान: एसजीएसीएल नीतियों को उपयोगकर्ता द्वारा कमांड सीटीएस रोल-आधारित अनुमति का उपयोग करके परिभाषित किया जाता है।
  • गतिशील नीति प्रावधान: एसजीएसीएल नीतियों का विन्यास मुख्य रूप से सिस्को सिक्योर एसीएस या सिस्को आइडेंटिटी सर्विसेज इंजन के नीति प्रबंधन फ़ंक्शन के माध्यम से किया जाना चाहिए।
  • प्राधिकरण में परिवर्तन (सीओए): अद्यतन नीति तब डाउनलोड होती है जब एसजीएसीएल नीति को आईएसई पर संशोधित किया जाता है और सीओए को सिस्को ट्रस्टसेक डिवाइस पर धकेल दिया जाता है।

    डिवाइस डेटा प्लेन पॉलिसी प्रदाता (आईएसई) से सीओए पैकेट प्राप्त करता है और सीओए पैकेट पर पॉलिसी लागू करता है। फिर पैकेटों को डिवाइस नियंत्रण विमान में भेज दिया जाता है जहां आने वाले सीओए पैकेटों के लिए नीति प्रवर्तन का अगला स्तर होता है। को view हार्डवेयर और सॉफ्टवेयर नीति काउंटर हिट जानकारी, विशेषाधिकार प्राप्त EXEC मोड में शो सीटीएस रोल-आधारित काउंटर कमांड चलाएं।

एसजीएसीएल नीतियां
सुरक्षा समूह पहुंच नियंत्रण सूचियों (एसजीएसीएल) का उपयोग करके, आप उन परिचालनों को नियंत्रित कर सकते हैं जो उपयोगकर्ता उपयोगकर्ताओं और गंतव्य संसाधनों के सुरक्षा समूह असाइनमेंट के आधार पर कर सकते हैं। सिस्को ट्रस्टसेक डोमेन के भीतर नीति प्रवर्तन को एक अनुमति मैट्रिक्स द्वारा दर्शाया जाता है, जिसमें एक अक्ष पर स्रोत सुरक्षा समूह संख्याएं और दूसरे अक्ष पर गंतव्य सुरक्षा समूह संख्याएं होती हैं। मैट्रिक्स के मुख्य भाग में प्रत्येक सेल में SGACLs की एक क्रमबद्ध सूची हो सकती है जो उन अनुमतियों को निर्दिष्ट करती है जिन्हें स्रोत सुरक्षा समूह से उत्पन्न होने वाले पैकेटों पर लागू किया जाना चाहिए और गंतव्य सुरक्षा समूह के लिए नियत किया जाना चाहिए।
निम्नलिखित आंकड़ा एक पूर्व दिखाता हैampतीन परिभाषित उपयोगकर्ता भूमिकाओं और एक परिभाषित गंतव्य संसाधन के साथ एक साधारण डोमेन के लिए सिस्को ट्रस्टसेक अनुमति मैट्रिक्स का ले। तीन एसजीएसीएल नीतियां उपयोगकर्ता की भूमिका के आधार पर गंतव्य सर्वर तक पहुंच को नियंत्रित करती हैं।
चित्र 3: एसजीएसीएल पॉलिसी मैट्रिक्स एक्सample
सिस्को ट्रस्टसेक ने सुरक्षित नेटवर्क बनाया - चित्र 3
नेटवर्क के भीतर उपयोगकर्ताओं और उपकरणों को सुरक्षा समूहों को सौंपकर और सुरक्षा समूहों के बीच पहुंच नियंत्रण लागू करके, सिस्को ट्रस्टसेक नेटवर्क के भीतर भूमिका-आधारित टोपोलॉजी-स्वतंत्र पहुंच नियंत्रण प्राप्त करता है। क्योंकि एसजीएसीएल पारंपरिक एसीएल की तरह आईपी पते के बजाय डिवाइस पहचान के आधार पर पहुंच नियंत्रण नीतियों को परिभाषित करते हैं, नेटवर्क डिवाइस पूरे नेटवर्क में स्थानांतरित होने और आईपी पते बदलने के लिए स्वतंत्र हैं।
जब तक भूमिकाएँ और अनुमतियाँ समान रहती हैं, नेटवर्क टोपोलॉजी में परिवर्तन से सुरक्षा नीति नहीं बदलती। जब किसी उपयोगकर्ता को डिवाइस में जोड़ा जाता है, तो आप बस उपयोगकर्ता को एक उपयुक्त सुरक्षा समूह को सौंप देते हैं और उपयोगकर्ता को तुरंत उस समूह की अनुमतियाँ प्राप्त हो जाती हैं।
नोट आइकनSGACL नीतियां दो होस्ट डिवाइसों के बीच उत्पन्न होने वाले ट्रैफ़िक पर लागू होती हैं, न कि उस ट्रैफ़िक पर जो एक डिवाइस से अंतिम होस्ट डिवाइस तक उत्पन्न होता है।
भूमिका-आधारित अनुमतियों का उपयोग करने से ACL का आकार बहुत कम हो जाता है और उनका रखरखाव सरल हो जाता है। सिस्को ट्रस्टसेक के साथ, कॉन्फ़िगर की गई एक्सेस कंट्रोल प्रविष्टियों (एसीई) की संख्या निर्दिष्ट अनुमतियों की संख्या से निर्धारित होती है, जिसके परिणामस्वरूप पारंपरिक आईपी नेटवर्क की तुलना में एसीई की संख्या बहुत कम होती है। सिस्को ट्रस्टसेक में एसजीएसीएल के उपयोग से आमतौर पर पारंपरिक एसीएल की तुलना में टीसीएएम संसाधनों का अधिक कुशल उपयोग होता है। कैटलिस्ट 17,500 सीरीज स्विच पर अधिकतम 9500 एसजीएसीएल नीतियां समर्थित हैं। उत्प्रेरक 9500 उच्च प्रदर्शन श्रृंखला स्विच पर, अधिकतम 28,224 SGACL नीतियां समर्थित हैं।
प्रवेश Tagगिंग और निकास प्रवर्तन
सिस्को ट्रस्टसेक एक्सेस कंट्रोल इनग्रेस का उपयोग करके कार्यान्वित किया जाता है tagगिंग और निकास प्रवर्तन। सिस्को ट्रस्टसेक डोमेन के प्रवेश बिंदु पर, स्रोत से ट्रैफ़िक है tagस्रोत इकाई की सुरक्षा समूह संख्या वाले एसजीटी के साथ जोड़ा गया। SGT को पूरे डोमेन में ट्रैफ़िक के साथ प्रचारित किया जाता है। सिस्को ट्रस्टसेक डोमेन के निकास बिंदु पर, एक निकास डिवाइस स्रोत एसजीटी और गंतव्य इकाई (गंतव्य एसजी, या डीजीटी) के सुरक्षा समूह संख्या का उपयोग करता है ताकि यह निर्धारित किया जा सके कि एसजीएसीएल नीति मैट्रिक्स से कौन सी एक्सेस नीति लागू की जाए।
निम्नलिखित आंकड़ा दिखाता है कि सिस्को ट्रस्टसेक डोमेन में एसजीटी असाइनमेंट और एसजीएसीएल प्रवर्तन कैसे संचालित होते हैं।
चित्र 4: सिस्को ट्रस्टसेक डोमेन में एसजीटी और एसजीएसीएल
सिस्को ट्रस्टसेक ने सुरक्षित नेटवर्क बनाया - चित्र 4
  1. होस्ट पीसी एक पैकेट को भेजता है web सर्वर. हालाँकि पीसी और web सर्वर सिस्को ट्रस्टसेक डोमेन के सदस्य नहीं हैं, पैकेट के डेटा पथ में सिस्को ट्रस्टसेक डोमेन शामिल है।
  2. सिस्को ट्रस्टसेक इंग्रेस डिवाइस सुरक्षा समूह संख्या 3 के साथ एक एसजीटी जोड़ने के लिए पैकेट को संशोधित करता है, होस्ट पीसी के लिए प्रमाणीकरण सर्वर द्वारा निर्दिष्ट सुरक्षा समूह संख्या।
  3. सिस्को ट्रस्टसेक इग्रेशन डिवाइस एसजीएसीएल नीति को लागू करता है जो स्रोत समूह 3 और गंतव्य समूह 4 पर लागू होता है, प्रमाणीकरण सर्वर द्वारा निर्दिष्ट सुरक्षा समूह संख्या web सर्वर.
  4. यदि एसजीएसीएल पैकेट को अग्रेषित करने की अनुमति देता है, तो सिस्को ट्रस्टसेक इग्रेशन स्विच एसजीटी को हटाने के लिए पैकेट को संशोधित करता है और पैकेट को अग्रेषित करता है web सर्वर.
स्रोत सुरक्षा समूह का निर्धारण
सिस्को ट्रस्टसेक डोमेन के प्रवेश पर एक नेटवर्क डिवाइस को सिस्को ट्रस्टसेक डोमेन में प्रवेश करने वाले पैकेट का एसजीटी निर्धारित करना होगा ताकि वह कर सके tag उस एसजीटी के साथ पैकेट जब वह इसे सिस्को ट्रस्टसेक डोमेन में अग्रेषित करता है। एसजीएसीएल लागू करने के लिए ईग्रेस नेटवर्क डिवाइस को पैकेट का एसजीटी निर्धारित करना होगा।
नेटवर्क डिवाइस निम्नलिखित तरीकों में से किसी एक में पैकेट के लिए एसजीटी निर्धारित कर सकता है:
  • नीति अधिग्रहण के दौरान स्रोत एसजीटी प्राप्त करें - सिस्को ट्रस्टसेक प्रमाणीकरण चरण के बाद, एक नेटवर्क डिवाइस प्रमाणीकरण सर्वर से नीति जानकारी प्राप्त करता है, जो इंगित करता है कि सहकर्मी डिवाइस विश्वसनीय है या नहीं। यदि किसी पीयर डिवाइस पर भरोसा नहीं किया जाता है, तो प्रमाणीकरण सर्वर पीयर डिवाइस से आने वाले सभी पैकेटों पर लागू करने के लिए एक एसजीटी भी प्रदान कर सकता है।
  • पैकेट से स्रोत SGT प्राप्त करें—यदि कोई पैकेट किसी विश्वसनीय सहकर्मी डिवाइस से आता है, तो पैकेट में SGT होता है। यह उस नेटवर्क डिवाइस पर लागू होता है जो पैकेट के लिए सिस्को ट्रस्टसेक डोमेन में पहला नेटवर्क डिवाइस नहीं है।
  • स्रोत पहचान के आधार पर स्रोत एसजीटी को देखें—आइडेंटिटी पोर्ट मैपिंग (आईपीएम) के साथ, आप कनेक्टेड पीयर की पहचान के साथ लिंक को मैन्युअल रूप से कॉन्फ़िगर कर सकते हैं। नेटवर्क डिवाइस प्रमाणीकरण सर्वर से एसजीटी और ट्रस्ट स्थिति सहित नीति जानकारी का अनुरोध करता है।
  • स्रोत आईपी पते के आधार पर स्रोत एसजीटी को देखें—कुछ मामलों में, आप किसी पैकेट के स्रोत आईपी पते के आधार पर उसका एसजीटी तय करने के लिए नीति को मैन्युअल रूप से कॉन्फ़िगर कर सकते हैं। एसजीटी एक्सचेंज प्रोटोकॉल (एसएक्सपी) आईपी-एड्रेस-टू-एसजीटी मैपिंग टेबल को भी पॉप्युलेट कर सकता है।
गंतव्य सुरक्षा समूह का निर्धारण
सिस्को ट्रस्टसेक डोमेन में इग्रेशन नेटवर्क डिवाइस एसजीएसीएल लागू करने के लिए गंतव्य समूह (डीजीटी) निर्धारित करता है। नेटवर्क डिवाइस पैकेट से समूह संख्या प्राप्त करने के अपवाद के साथ, स्रोत सुरक्षा समूह को निर्धारित करने के लिए उपयोग की जाने वाली समान विधियों का उपयोग करके पैकेट के लिए गंतव्य सुरक्षा समूह निर्धारित करता है। tag. गंतव्य सुरक्षा समूह संख्या पैकेट में शामिल नहीं है tag.
कुछ मामलों में, प्रवेश उपकरणों या अन्य गैर-निकास उपकरणों में गंतव्य समूह की जानकारी उपलब्ध हो सकती है। उन मामलों में, इन उपकरणों में एसजीएसीएल को निकास उपकरणों के बजाय लागू किया जा सकता है।
रूट किए गए और स्विच किए गए ट्रैफ़िक पर SGACL प्रवर्तन
एसजीएसीएल प्रवर्तन केवल आईपी ट्रैफ़िक पर लागू किया जाता है, लेकिन प्रवर्तन को रूट किए गए या स्विच किए गए ट्रैफ़िक पर लागू किया जा सकता है।
रूट किए गए ट्रैफ़िक के लिए, SGACL प्रवर्तन एक निकास स्विच द्वारा किया जाता है, आमतौर पर एक वितरण स्विच या गंतव्य होस्ट से कनेक्ट होने वाले रूटेड पोर्ट के साथ एक एक्सेस स्विच। जब आप वैश्विक स्तर पर एसजीएसीएल प्रवर्तन को सक्षम करते हैं, तो एसवीआई इंटरफेस को छोड़कर प्रत्येक लेयर 3 इंटरफेस पर प्रवर्तन स्वचालित रूप से सक्षम हो जाता है।
स्विच किए गए ट्रैफ़िक के लिए, SGACL प्रवर्तन किसी भी रूटिंग फ़ंक्शन के बिना एकल स्विचिंग डोमेन के भीतर बहने वाले ट्रैफ़िक पर किया जाता है। एक भूतपूर्वampले दो सीधे जुड़े सर्वरों के बीच सर्वर-टू-सर्वर ट्रैफ़िक पर डेटा सेंटर एक्सेस स्विच द्वारा निष्पादित एसजीएसीएल प्रवर्तन होगा। इस पूर्व मेंampले, सर्वर-टू-सर्वर ट्रैफ़िक आमतौर पर स्विच किया जाएगा। एसजीएसीएल प्रवर्तन को वीएलएएन के भीतर स्विच किए गए पैकेटों पर लागू किया जा सकता है या वीएलएएन से जुड़े एसवीआई को अग्रेषित किया जा सकता है, लेकिन प्रत्येक वीएलएएन के लिए प्रवर्तन को स्पष्ट रूप से सक्षम किया जाना चाहिए।
एसजीएसीएल लॉगिंग और एसीई सांख्यिकी
जब SGACL में लॉगिंग सक्षम होती है, तो डिवाइस निम्नलिखित जानकारी लॉग करता है:
  • स्रोत सुरक्षा समूह tag (एसजीटी) और गंतव्य एसजीटी
  • SGACL नीति का नाम
  • पैकेट प्रोटोकॉल प्रकार
  • पैकेट पर की गई कार्रवाई
लॉग विकल्प अलग-अलग ACE पर लागू होता है और ACE से मेल खाने वाले पैकेट को लॉग करने का कारण बनता है। लॉग कीवर्ड द्वारा लॉग किया गया पहला पैकेट एक syslog संदेश उत्पन्न करता है। इसके बाद के लॉग संदेश पांच मिनट के अंतराल पर उत्पन्न और रिपोर्ट किए जाते हैं। यदि लॉगिंग-सक्षम एसीई किसी अन्य पैकेट से मेल खाता है (लॉग संदेश उत्पन्न करने वाले पैकेट के समान विशेषताओं के साथ), तो मिलान किए गए पैकेट की संख्या बढ़ जाती है (काउंटर) और फिर रिपोर्ट की जाती है।
लॉगिंग सक्षम करने के लिए, SGACL कॉन्फ़िगरेशन में ACE परिभाषा के सामने लॉग कीवर्ड का उपयोग करें। पूर्व के लिएampले, आईपी लॉग की अनुमति दें।
जब SGACL लॉगिंग सक्षम होती है, तो डिवाइस से क्लाइंट के लिए ICMP अनुरोध संदेश लॉग नहीं होते हैं
IPv4 और IPv6 प्रोटोकॉल. तथापि; क्लाइंट से डिवाइस पर ICMP रिस्पांस संदेश लॉग किए जाते हैं।
निम्नलिखित इस प्रकार हैampले लॉग, स्रोत और गंतव्य एसजीटी, एसीई मिलान (परमिट या अस्वीकार कार्रवाई के लिए), और प्रोटोकॉल, यानी टीसीपी, यूडीपी, आईजीएमपी और आईसीएमपी जानकारी प्रदर्शित करता है:
*जून 2 08:58:06.489: %C4K_IOSINTF-6-SGACLHIT: सूची Deny_udp_src_port_log-30 अस्वीकृत udp 24.0.0.23(100) -> 28.0.0.91(100), SGT8 DGT 12
मौजूदा 'प्रति सेल' एसजीएसीएल आंकड़ों के अलावा, जिसे शो सीटीएस रोल-आधारित का उपयोग करके प्रदर्शित किया जा सकता है
काउंटर कमांड, आप शो आईपी एक्सेस-लिस्ट sgacl_name कमांड का उपयोग करके एसीई आंकड़े भी प्रदर्शित कर सकते हैं। इसके लिए किसी अतिरिक्त कॉन्फ़िगरेशन की आवश्यकता नहीं है.
निम्नलिखित पूर्वampले दिखाता है कि आप एसीई गिनती प्रदर्शित करने के लिए शो आईपी एक्सेस-लिस्ट कमांड का उपयोग कैसे कर सकते हैं
डिवाइस# आईपी एक्सेस-कंट्रोल Deny_udp_src_port_log-30 दिखाएं
भूमिका-आधारित आईपी एक्सेस सूची Deny_udp_src_port_log-30 (डाउनलोड किया गया)
10 इनकार यूडीपी एसआरसी ईक्यू 100 लॉग (283 मैच)
20 परमिट आईपी लॉग (50 मिलान)
नोट आइकनजब आने वाला ट्रैफ़िक सेल से मेल खाता है, लेकिन सेल के SGACL से मेल नहीं खाता है, तो ट्रैफ़िक की अनुमति दी जाती है और सेल के लिए HW-परमिट में काउंटर बढ़ा दिए जाते हैं।
निम्नलिखित पूर्वampयह दिखाता है कि सेल का SGACL कैसे काम करता है:
SGACL नीति को "deny icmp echo" के साथ 5 से 18 तक कॉन्फ़िगर किया गया है और TCP हेडर के साथ 5 से 18 तक इनकमिंग ट्रैफ़िक है। यदि सेल 5 से 18 तक मेल खाता है लेकिन ट्रैफिक आईसीएमपी से मेल नहीं खाता है, तो ट्रैफिक की अनुमति दी जाएगी और सेल 5 से 18 तक के एचडब्ल्यू-परमिट काउंटर में वृद्धि होगी।
CISCO Trustsec सुरक्षित नेटवर्क बनाता है - SGACL नीति 5 से 18 तक "deny icmp echo" के साथ कॉन्फ़िगर की गई है
वीआरएफ-जागरूक एसजीएसीएल लॉगिंग
एसजीएसीएल सिस्टम लॉग में वीआरएफ जानकारी शामिल होगी। वर्तमान में लॉग किए गए फ़ील्ड के अलावा, लॉगिंग जानकारी में वीआरएफ नाम शामिल होगा। अद्यतन लॉगिंग जानकारी नीचे दिखाए अनुसार होगी:
*15 नवंबर 02:18:52.187: %RBM-6-SGACLHIT_V6: ingress_interface='GigabitEthernet1/0/15′ sgacl_name='IPV6_TCP_DENY' Action='Deny' प्रोटोकॉल='tcp' src-vrf='CTS-VRF' src -ip='25::2′ src-port='20'
dest-vrf='CTS-VRF' dest-ip='49::2′ dest-port='30' sgt='200′ dgt='500′ logging_interval_hits='1′
एसजीएसीएल मॉनिटर मोड
सिस्को ट्रस्टसेक के पूर्व-तैनाती चरण के दौरान, एक प्रशासक सुरक्षा नीतियों का परीक्षण करने के लिए मॉनिटर मोड का उपयोग करेगा, यह सुनिश्चित करने के लिए कि नीतियां इच्छित तरीके से कार्य करती हैं। यदि सुरक्षा नीतियां अपेक्षा के अनुरूप काम नहीं करती हैं, तो मॉनिटर मोड इसकी पहचान करने के लिए एक सुविधाजनक तंत्र प्रदान करता है और एसजीएसीएल प्रवर्तन को सक्षम करने से पहले नीति को सही करने का अवसर प्रदान करता है। यह प्रशासकों को नीति क्रियाकलापों को लागू करने से पहले उनके परिणाम की दृश्यता बढ़ाने में सक्षम बनाता है, और पुष्टि करता है कि विषय नीति सुरक्षा आवश्यकताओं को पूरा करती है (यदि उपयोगकर्ता ऐसा नहीं करते हैं तो संसाधनों तक पहुंच से इनकार कर दिया जाता है)
अधिकार दिया गया)।
निगरानी क्षमता एसजीटी-डीजीटी जोड़ी स्तर पर प्रदान की जाती है। जब आप एसजीएसीएल मॉनिटरिंग मोड सुविधा को सक्षम करते हैं, तो इनकार कार्रवाई लाइन कार्ड पर एसीएल परमिट के रूप में लागू की जाती है। यह एसजीएसीएल काउंटरों और लॉगिंग को यह प्रदर्शित करने की अनुमति देता है कि एसजीएसीएल नीति द्वारा कनेक्शन कैसे प्रबंधित किए जाते हैं। चूँकि सभी मॉनिटर किए गए ट्रैफ़िक की अनुमति है, SGACL मॉनिटर मोड में रहते हुए SGACL के कारण सेवा में कोई व्यवधान नहीं होता है।
प्राधिकरण और नीति अधिग्रहण
डिवाइस प्रमाणीकरण समाप्त होने के बाद, आवेदक और प्रमाणक दोनों प्रमाणीकरण सर्वर से सुरक्षा नीति प्राप्त करते हैं। फिर दोनों सहकर्मी लिंक प्राधिकरण करते हैं और अपने सिस्को ट्रस्टसेक डिवाइस आईडी के आधार पर एक दूसरे के खिलाफ लिंक सुरक्षा नीति लागू करते हैं। लिंक प्रमाणीकरण विधि को 802.1X या मैन्युअल प्रमाणीकरण के रूप में कॉन्फ़िगर किया जा सकता है। यदि लिंक सुरक्षा 802.1X है, तो प्रत्येक सहकर्मी प्रमाणीकरण सर्वर से प्राप्त डिवाइस आईडी का उपयोग करता है। यदि लिंक सुरक्षा मैन्युअल है, तो आपको पीयर डिवाइस आईडी निर्दिष्ट करनी होगी।
प्रमाणीकरण सर्वर निम्नलिखित नीति विशेषताएँ लौटाता है:
  • सिस्को ट्रस्टसेक ट्रस्ट-इंगित करता है कि पैकेट में एसजीटी डालने के उद्देश्य से सहकर्मी डिवाइस पर भरोसा किया जाना है या नहीं।
  • पीयर एसजीटी—उस सुरक्षा समूह को इंगित करता है जिससे पीयर संबंधित है। यदि सहकर्मी पर भरोसा नहीं है, तो सहकर्मी से प्राप्त सभी पैकेट पर भरोसा नहीं किया जाता है tagइस एसजीटी के साथ जीईडी। यदि डिवाइस को पता नहीं है कि कोई एसजीएसीएल सहकर्मी के एसजीटी से जुड़ा है या नहीं, तो डिवाइस एसजीएसीएल डाउनलोड करने के लिए प्रमाणीकरण सर्वर को अनुवर्ती अनुरोध भेज सकता है।
  • प्राधिकरण समाप्ति समय-पॉलिसी समाप्त होने से पहले सेकंड की संख्या को इंगित करता है। सिस्को ट्रस्टसेक डिवाइस को समय समाप्त होने से पहले अपनी नीति और प्राधिकरण को ताज़ा करना चाहिए। डिवाइस प्रमाणीकरण और नीति डेटा को कैश कर सकता है और यदि डेटा समाप्त नहीं हुआ है तो रीबूट के बाद इसका पुन: उपयोग कर सकता है।
नोट आइकन प्रत्येक सिस्को ट्रस्टसेक डिवाइस को कुछ न्यूनतम डिफ़ॉल्ट एक्सेस नीति का समर्थन करना चाहिए, यदि वह सहकर्मी के लिए उचित नीति प्राप्त करने के लिए प्रमाणीकरण सर्वर से संपर्क करने में सक्षम नहीं है।
एनडीएसी और एसएपी वार्ता प्रक्रिया को निम्नलिखित चित्र में दिखाया गया है
चित्र 5: एनडीएसी और एसएपी बातचीत
सिस्को ट्रस्टसेक ने सुरक्षित नेटवर्क बनाया - चित्र 5
पर्यावरण डेटा डाउनलोड
सिस्को ट्रस्टसेक पर्यावरण डेटा जानकारी या नीतियों का एक संग्रह है जो एक डिवाइस को सिस्को ट्रस्टसेक नोड के रूप में कार्य करने में सहायता करता है। जब डिवाइस पहली बार सिस्को ट्रस्टसेक डोमेन से जुड़ता है तो डिवाइस प्रमाणीकरण सर्वर से पर्यावरण डेटा प्राप्त करता है, हालांकि आप डिवाइस पर कुछ डेटा को मैन्युअल रूप से कॉन्फ़िगर भी कर सकते हैं। पूर्व के लिएampले, आपको प्रमाणीकरण सर्वर जानकारी के साथ बीज सिस्को ट्रस्टसेक डिवाइस को कॉन्फ़िगर करना होगा, जिसे बाद में सर्वर सूची द्वारा संवर्धित किया जा सकता है जिसे डिवाइस प्रमाणीकरण सर्वर से प्राप्त करता है।
डिवाइस को सिस्को ट्रस्टसेक पर्यावरण डेटा समाप्त होने से पहले ताज़ा करना होगा। डिवाइस पर्यावरण डेटा को कैश भी कर सकता है और यदि डेटा समाप्त नहीं हुआ है तो रिबूट के बाद इसका पुन: उपयोग कर सकता है।
प्रमाणीकरण सर्वर से निम्नलिखित पर्यावरण डेटा प्राप्त करने के लिए डिवाइस RADIUS का उपयोग करता है:
  • सर्वर सूचियाँ: उन सर्वरों की सूची जिनका उपयोग क्लाइंट भविष्य के RADIUS अनुरोधों (प्रमाणीकरण और प्राधिकरण दोनों के लिए) के लिए कर सकता है। PAC रिफ्रेश इन सर्वर के माध्यम से होता है।
  • डिवाइस एसजी: सुरक्षा समूह जिससे डिवाइस स्वयं संबंधित है।
  • समाप्ति समयबाह्य: अंतराल जो नियंत्रित करता है कि सिस्को ट्रस्टसेक डिवाइस को कितनी बार अपने पर्यावरण डेटा को ताज़ा करना चाहिए।
त्रिज्या रिले कार्यक्षमता
802.1X प्रमाणीकरण प्रक्रिया में सिस्को ट्रस्टसेक प्रमाणक की भूमिका निभाने वाले डिवाइस में प्रमाणीकरण सर्वर से आईपी कनेक्टिविटी होती है, जो डिवाइस को UDP/IP पर RADIUS संदेशों का आदान-प्रदान करके प्रमाणीकरण सर्वर से नीति और प्राधिकरण प्राप्त करने की अनुमति देती है। आवेदक डिवाइस में प्रमाणीकरण सर्वर के साथ आईपी कनेक्टिविटी नहीं हो सकती है। ऐसे मामलों में, सिस्को ट्रस्टसेक प्रमाणक को आवेदक के लिए RADIUS रिले के रूप में कार्य करने की अनुमति देता है।
आवेदक प्रमाणक को एक विशेष EAPOL संदेश भेजता है जिसमें RADIUS सर्वर IP पता और UDP पोर्ट और संपूर्ण RADIUS अनुरोध शामिल होता है। प्रमाणक प्राप्त EAPOL संदेश से RADIUS अनुरोध निकालता है और इसे UDP/IP पर प्रमाणीकरण सर्वर पर भेजता है। जब RADIUS प्रतिक्रिया प्रमाणीकरण सर्वर से लौटती है, तो प्रमाणक संदेश को EAPOL फ्रेम में संपुटित करके आवेदक को वापस भेज देता है।
लिंक सुरक्षा
जब किसी लिंक के दोनों पक्ष 802.1AE मीडिया एक्सेस कंट्रोल सिक्योरिटी (MACsec) का समर्थन करते हैं, तो एक सुरक्षा एसोसिएशन प्रोटोकॉल (SAP) बातचीत की जाती है। सिफर सूट पर बातचीत करने, सुरक्षा मापदंडों का आदान-प्रदान करने और कुंजियों को प्रबंधित करने के लिए आवेदक और प्रमाणक के बीच एक EAPOL-कुंजी विनिमय होता है। तीनों कार्यों के सफलतापूर्वक पूरा होने पर एक सुरक्षा संघ (एसए) की स्थापना होती है।
आपके सॉफ़्टवेयर संस्करण, क्रिप्टो लाइसेंसिंग और लिंक हार्डवेयर समर्थन के आधार पर, SAP बातचीत संचालन के निम्नलिखित तरीकों में से एक का उपयोग कर सकती है:
  • गैलोइस/काउंटर मोड (जीसीएम)-प्रमाणीकरण और एन्क्रिप्शन निर्दिष्ट करता है
  • जीसीएम प्रमाणीकरण (जीएमएसी) - प्रमाणीकरण निर्दिष्ट करता है और कोई एन्क्रिप्शन नहीं
  • कोई एनकैप्सुलेशन नहीं—कोई एनकैप्सुलेशन निर्दिष्ट नहीं करता (पाठ साफ़ करें)
  • शून्य—एनकैप्सुलेशन, कोई प्रमाणीकरण और कोई एन्क्रिप्शन निर्दिष्ट नहीं करता है
नो एनकैप्सुलेशन को छोड़कर सभी मोड के लिए सिस्को ट्रस्टसेक-सक्षम हार्डवेयर की आवश्यकता होती है।
लिंक सुरक्षा के लिए SAP-PMK को कॉन्फ़िगर करना
CISCO ट्रस्टसेक सुरक्षित नेटवर्क बनाता है - लिंक सुरक्षा के लिए SAP-PMK को कॉन्फ़िगर करना
CISCO ट्रस्टसेक सुरक्षित नेटवर्क बनाता है - लिंक सुरक्षा 2 के लिए SAP-PMK को कॉन्फ़िगर करना
लीगेसी एक्सेस नेटवर्क में एसजीटी प्रसार के लिए एसएक्सपी
Tagएसजीटी के साथ पैकेट बनाने के लिए हार्डवेयर समर्थन की आवश्यकता होती है। आपके नेटवर्क में ऐसे उपकरण हो सकते हैं जो सिस्को ट्रस्टसेक प्रमाणीकरण में भाग लेने में सक्षम हैं, लेकिन उनमें हार्डवेयर क्षमता का अभाव है tag के साथ पैकेट
एसजीटी. एसजीटी एक्सचेंज प्रोटोकॉल (एसएक्सपी) का उपयोग करके, ये डिवाइस आईपी-एड्रेस-टू-एसजीटी मैपिंग को सिस्को ट्रस्टसेक पीयर डिवाइस में पास कर सकते हैं जिसमें सिस्को ट्रस्टसेक-सक्षम हार्डवेयर है।

एसएक्सपी आम तौर पर सिस्को ट्रस्टसेक डोमेन किनारे पर इनग्रेस एक्सेस लेयर डिवाइस और सिस्को ट्रस्टसेक डोमेन के भीतर वितरण परत डिवाइस के बीच काम करता है। एक्सेस लेयर डिवाइस प्रवेश पैकेट के लिए उपयुक्त एसजीटी निर्धारित करने के लिए बाहरी स्रोत उपकरणों का सिस्को ट्रस्टसेक प्रमाणीकरण करता है। एक्सेस लेयर डिवाइस आईपी डिवाइस ट्रैकिंग और (वैकल्पिक रूप से) डीएचसीपी स्नूपिंग का उपयोग करके स्रोत डिवाइस के आईपी पते को सीखता है, फिर वितरण डिवाइसों को उनके एसजीटी के साथ स्रोत डिवाइस के आईपी पते को पास करने के लिए एसएक्सपी का उपयोग करता है।
सिस्को ट्रस्टसेक-सक्षम हार्डवेयर वाले वितरण उपकरण इस आईपी-टू-एसजीटी मैपिंग जानकारी का उपयोग कर सकते हैं tag पैकेट उचित रूप से और SGACL नीतियों को लागू करने के लिए।

चित्र 6: एसजीटी सूचना को प्रसारित करने के लिए एसएक्सपी प्रोटोकॉल
सिस्को ट्रस्टसेक ने सुरक्षित नेटवर्क बनाया - चित्र 6
आपको सिस्को ट्रस्टसेक हार्डवेयर समर्थन के बिना एक सहकर्मी और सिस्को ट्रस्टसेक हार्डवेयर समर्थन वाले एक सहकर्मी के बीच एक एसएक्सपी कनेक्शन को मैन्युअल रूप से कॉन्फ़िगर करना होगा। SXP कनेक्शन को कॉन्फ़िगर करते समय निम्नलिखित कार्यों की आवश्यकता होती है:
  • यदि आपको एसएक्सपी डेटा अखंडता और प्रमाणीकरण की आवश्यकता है, तो आपको दोनों सहकर्मी उपकरणों पर एक ही एसएक्सपी पासवर्ड कॉन्फ़िगर करना होगा। आप एसएक्सपी पासवर्ड को या तो प्रत्येक पीयर कनेक्शन के लिए स्पष्ट रूप से या डिवाइस के लिए विश्व स्तर पर कॉन्फ़िगर कर सकते हैं। हालाँकि SXP पासवर्ड की आवश्यकता नहीं है, हम इसके उपयोग की अनुशंसा करते हैं।
  • आपको एसएक्सपी कनेक्शन पर प्रत्येक सहकर्मी को एसएक्सपी स्पीकर या एसएक्सपी श्रोता के रूप में कॉन्फ़िगर करना होगा। स्पीकर डिवाइस श्रोता डिवाइस को आईपी-टू-एसजीटी मैपिंग जानकारी वितरित करता है।
  • आप प्रत्येक सहकर्मी संबंध के लिए उपयोग करने के लिए एक स्रोत आईपी पता निर्दिष्ट कर सकते हैं या आप सहकर्मी कनेक्शन के लिए एक डिफ़ॉल्ट स्रोत आईपी पता कॉन्फ़िगर कर सकते हैं जहां आपने एक विशिष्ट स्रोत आईपी पता कॉन्फ़िगर नहीं किया है। यदि आप कोई स्रोत आईपी पता निर्दिष्ट नहीं करते हैं, तो डिवाइस पीयर से कनेक्शन के इंटरफ़ेस आईपी पते का उपयोग करेगा।
एसएक्सपी एकाधिक हॉप्स की अनुमति देता है। अर्थात्, यदि सिस्को ट्रस्टसेक हार्डवेयर समर्थन की कमी वाले डिवाइस के सहकर्मी में भी सिस्को ट्रस्टसेक हार्डवेयर समर्थन का अभाव है, तो दूसरे सहकर्मी के पास तीसरे सहकर्मी के लिए एक एसएक्सपी कनेक्शन हो सकता है, जो हार्डवेयर तक आईपी-टू-एसजीटी मैपिंग जानकारी के प्रसार को जारी रखता है- सक्षम सहकर्मी तक पहुंच गया है. एक डिवाइस को एक एसएक्सपी कनेक्शन के लिए एसएक्सपी श्रोता के रूप में और दूसरे एसएक्सपी कनेक्शन के लिए एसएक्सपी स्पीकर के रूप में कॉन्फ़िगर किया जा सकता है।
एक सिस्को ट्रस्टसेक डिवाइस टीसीपी कीपलाइव तंत्र का उपयोग करके अपने एसएक्सपी साथियों के साथ कनेक्टिविटी बनाए रखता है।
किसी सहकर्मी कनेक्शन को स्थापित करने या पुनर्स्थापित करने के लिए, डिवाइस बार-बार कॉन्फ़िगर करने योग्य पुनः प्रयास अवधि का उपयोग करके कनेक्शन सेटअप का प्रयास करेगा जब तक कि कनेक्शन सफल न हो जाए या जब तक कनेक्शन कॉन्फ़िगरेशन से हटा न दिया जाए।
गैर-ट्रस्टसेक क्षेत्रों में विस्तार के लिए परत 3 एसजीटी परिवहन
जब कोई पैकेट सिस्को ट्रस्टसेक डोमेन को गैर-ट्रस्टसेक गंतव्य के लिए छोड़ता है, तो बाहरी नेटवर्क पर पैकेट को अग्रेषित करने से पहले सिस्को ट्रस्टसेक डिवाइस सिस्को ट्रस्टसेक हेडर और एसजीटी को हटा देता है। यदि, हालांकि, पैकेट केवल किसी अन्य सिस्को ट्रस्टसेक डोमेन के पथ पर एक गैर-ट्रस्टसेक डोमेन को पार कर रहा है, जैसा कि निम्नलिखित आंकड़े में दिखाया गया है, एसजीटी को सिस्को ट्रस्टसेक लेयर 3 एसजीटी ट्रांसपोर्ट सुविधा का उपयोग करके संरक्षित किया जा सकता है। इस सुविधा में, इग्रेस सिस्को ट्रस्टसेक डिवाइस पैकेट को ईएसपी हेडर के साथ इनकैप्सुलेट करता है जिसमें एसजीटी की एक प्रति शामिल होती है। जब इनकैप्सुलेटेड पैकेट अगले सिस्को ट्रस्टसेक डोमेन पर आता है, तो प्रवेश सिस्को ट्रस्टसेक डिवाइस ईएसपी एनकैप्सुलेशन को हटा देता है और पैकेट को अपने एसजीटी के साथ प्रचारित करता है।
चित्र 7: एक गैर-ट्रस्टसेक डोमेन का विस्तार
सिस्को ट्रस्टसेक ने सुरक्षित नेटवर्क बनाया - चित्र 7
सिस्को ट्रस्टसेक लेयर 3 एसजीटी ट्रांसपोर्ट का समर्थन करने के लिए, कोई भी उपकरण जो सिस्को ट्रस्टसेक प्रवेश या निकास लेयर 3 गेटवे के रूप में कार्य करेगा, उसे एक ट्रैफ़िक नीति डेटाबेस बनाए रखना होगा जो दूरस्थ सिस्को ट्रस्टसेक डोमेन में योग्य सबनेट के साथ-साथ उन क्षेत्रों के भीतर किसी भी बहिष्कृत सबनेट को सूचीबद्ध करता है। आप इस डेटाबेस को प्रत्येक डिवाइस पर मैन्युअल रूप से कॉन्फ़िगर कर सकते हैं यदि उन्हें सिस्को सिक्योर एसीएस से स्वचालित रूप से डाउनलोड नहीं किया जा सकता है।
एक डिवाइस एक पोर्ट से लेयर 3 एसजीटी ट्रांसपोर्ट डेटा भेज सकता है और दूसरे पोर्ट पर लेयर 3 एसजीटी ट्रांसपोर्ट डेटा प्राप्त कर सकता है, लेकिन प्रवेश और निकास दोनों पोर्ट में सिस्को ट्रस्टसेक-सक्षम हार्डवेयर होना चाहिए।
नोट आइकन सिस्को ट्रस्टसेक लेयर 3 एसजीटी ट्रांसपोर्ट एनकैप्सुलेटेड पैकेट को एन्क्रिप्ट नहीं करता है। गैर-ट्रस्टसेक डोमेन को पार करने वाले पैकेटों की सुरक्षा के लिए, आप अन्य सुरक्षा विधियों, जैसे कि IPsec, को कॉन्फ़िगर कर सकते हैं।
वीआरएफ-अवेयर एसएक्सपी
वर्चुअल रूटिंग और फ़ॉरवर्डिंग (वीआरएफ) का एसएक्सपी कार्यान्वयन एक एसएक्सपी कनेक्शन को एक विशिष्ट वीआरएफ के साथ बांधता है। यह माना जाता है कि नेटवर्क टोपोलॉजी को लेयर 2 या लेयर 3 वीपीएन के लिए सही ढंग से कॉन्फ़िगर किया गया है, सिस्को ट्रस्टसेक को सक्षम करने से पहले सभी वीआरएफ कॉन्फ़िगर किए गए हैं।
एसएक्सपी वीआरएफ समर्थन को इस प्रकार संक्षेप में प्रस्तुत किया जा सकता है:
  • केवल एक एसएक्सपी कनेक्शन को एक वीआरएफ से जोड़ा जा सकता है।
  • विभिन्न वीआरएफ में ओवरलैपिंग एसएक्सपी पीयर या स्रोत आईपी पते हो सकते हैं।
  • एक वीआरएफ में सीखी गई (जोड़ी या हटाई गई) आईपी-एसजीटी मैपिंग को केवल उसी वीआरएफ डोमेन में अपडेट किया जा सकता है।
    एसएक्सपी कनेक्शन किसी भिन्न वीआरएफ से जुड़ी मैपिंग को अपडेट नहीं कर सकता है। यदि कोई एसएक्सपी कनेक्शन वीआरएफ के लिए बाहर नहीं निकलता है, तो उस वीआरएफ के लिए आईपी-एसजीटी मैपिंग एसएक्सपी द्वारा अपडेट नहीं की जाएगी।
  • प्रति वीआरएफ एकाधिक पता परिवारों का समर्थन करता है। इसलिए, वीआरएफ डोमेन में एक एसएक्सपी कनेक्शन आईपीवी4 और आईपीवी6 आईपी-एसजीटी मैपिंग दोनों को अग्रेषित कर सकता है।
  • एसएक्सपी के पास प्रति वीआरएफ कनेक्शनों की संख्या और आईपी-एसजीटी मैपिंग की संख्या पर कोई सीमा नहीं है।
परत 2 वीआरएफ-अवेयर एसएक्सपी और वीआरएफ असाइनमेंट
वीआरएफ से लेयर 2 वीएलएएन असाइनमेंट सीटीएस रोल-आधारित एल2-वीआरएफ वीआरएफ-नाम वीएलएएन-लिस्ट ग्लोबल कॉन्फ़िगरेशन कमांड के साथ निर्दिष्ट किए जाते हैं। एक वीएलएएन को लेयर 2 वीएलएएन माना जाता है जब तक कि वीएलएएन पर कॉन्फ़िगर किए गए आईपी पते के साथ कोई स्विच वर्चुअल इंटरफ़ेस (एसवीआई) नहीं है। एक बार एक आईपी एड्रेस अपने एसवीआई पर कॉन्फ़िगर हो जाने पर वीएलएएन एक परत 3 वीएलएएन बन जाता है।
सीटीएस रोल-आधारित एल2-वीआरएफ कमांड द्वारा कॉन्फ़िगर किए गए वीआरएफ असाइनमेंट तब तक सक्रिय रहते हैं जब तक वीएलएएन लेयर 2 वीएलएएन बना रहता है। वीआरएफ असाइनमेंट सक्रिय होने पर सीखी गई आईपी-एसजीटी बाइंडिंग को वीआरएफ और आईपी प्रोटोकॉल संस्करण से जुड़े फॉरवर्डिंग इंफॉर्मेशन बेस (एफआईबी) तालिका में भी जोड़ा जाता है। यदि एक एसवीआई वीएलएएन के लिए सक्रिय हो जाता है, तो वीआरएफ से वीएलएएन असाइनमेंट निष्क्रिय हो जाता है और वीएलएएन पर सीखी गई सभी बाइंडिंग एसवीआई के वीआरएफ से जुड़े एफआईबी टेबल में स्थानांतरित हो जाती हैं।
वीआरएफ से वीएलएएन असाइनमेंट तब भी बरकरार रहता है जब असाइनमेंट निष्क्रिय हो जाता है। जब एसवीआई हटा दिया जाता है या जब एसवीआई आईपी पता डीकॉन्फिगर हो जाता है तो यह पुनः सक्रिय हो जाता है। पुन: सक्रिय होने पर, आईपी-एसजीटी बाइंडिंग को एसवीआई के वीआरएफ से जुड़ी एफआईबी तालिका से सीटीएस रोल-आधारित एल2-वीआरएफ कमांड द्वारा निर्दिष्ट वीआरएफ से जुड़ी एफआईबी तालिका में वापस ले जाया जाता है।
सिस्को ट्रस्टसेक ओवर के लिए फ़ीचर इतिहासview
यह तालिका इस मॉड्यूल में बताई गई सुविधाओं के लिए रिलीज़ और संबंधित जानकारी प्रदान करती है।
जब तक अन्यथा उल्लेख न किया गया हो, ये सुविधाएँ उनके प्रस्तुत किए जाने के बाद के सभी रिलीज़ों में उपलब्ध हैं।
सिस्को ट्रस्टसेक ने सुरक्षित नेटवर्क बनाया - सिस्को ट्रस्टसेक ओवर के लिए फीचर इतिहासview
प्लेटफ़ॉर्म और सॉफ़्टवेयर छवि समर्थन के बारे में जानकारी प्राप्त करने के लिए सिस्को फ़ीचर नेविगेटर का उपयोग करें। उपयोग करने के लिए
सिस्को फ़ीचर नेविगेटर, पर जाएँ http://www.cisco.com/go/cfn.

दस्तावेज़ / संसाधन

सिस्को ट्रस्टसेक ने सुरक्षित नेटवर्क बनाया [पीडीएफ] उपयोगकर्ता गाइड
ट्रस्टसेक सुरक्षित नेटवर्क बनाता है, ट्रस्टसेक सुरक्षित नेटवर्क बनाता है, सुरक्षित नेटवर्क बनाता है, नेटवर्क बनाता है

संदर्भ

एक टिप्पणी छोड़ें

आपकी ईमेल आईडी प्रकाशित नहीं की जाएगी। आवश्यक फ़ील्ड चिह्नित हैं *