Hướng Dẫn Cấu Hình Hỗ Trợ CTS SGACL Trên Router Cisco

HỖ TRỢ CTS SGACL TRÊN ROUTER CISCO LÀ GÌ?

Tính năng hỗ trợ CTS SGACL trên các thiết bị Router Cisco cung cấp cơ chế kiểm soát truy cập không có trạng thái dựa trên giá trị thẻ của security association hoặc security group thay vì địa chỉ IP.

Security group access control lists (SGACL) là một chính sách thực thi thông qua đó quản trị viên có thể kiểm soát các hoạt động do người dùng thực hiện dựa trên các nhóm bảo mật chỉ định và tài nguyên đích. Việc thực thi chính sách trong miền Cisco Trustsec được thể hiện bằng quyền matrix, với số nhóm bảo mật nguồn trên một trục và số nhóm bảo mật đích trên trục kia.

SGACL cung cấp cơ chế kiểm soát truy cập không có trạng thái dựa trên giá trị thẻ của security association hoặc security group thay vì địa chỉ IP và lọc lưu lượng dựa trên class đối sánh. Có ba cách để cung cấp chính sách SGACL:

  • Cung cấp static policy: Chính sách SGACL được xác định bởi người dùng bằng cách sử dụng lệnh cts role-based permission.
  • Cung cấp dynamic policy: Việc cấu hình các chính sách SGACL nên được thực hiện chủ yếu thông qua chức năng quản lý chính sách của Cisco Secure ACS hoặc Cisco Identity Services Engine
  • Thay đổi ủy quyền (CoA): Chính sách cập nhật được tải xuống khi chính sách SGACL được sửa đổi trên ISE và CoA được đẩy tới thiết bị CTS.

CẤU HÌNH HỖ TRỢ CTS SGACL TRÊN ROUTER CISCO

Hướng Dẫn Cấu Hình Hỗ Trợ CTS SGACL Trên Router Cisco
Hướng Dẫn Cấu Hình Hỗ Trợ CTS SGACL Trên Router Cisco

Kích Hoạt Thực Thi Chính Sách SGACL Trên Toàn Hệ Thống

Để bật thực thi chính sách SGACL trên các giao diện được định tuyến hỗ trợ Cisco TrustSec, hãy thực hiện tác vụ này:

enable
configure terminal
cts role-based enforcement

Kích Hoạt Thực Thi Chính Sách SGACL Trên Mỗi Giao Diện

Bạn có thể kích hoạt thực thi SGACL trên toàn hệ thống và vô hiệu hóa trên một giao diện cụ thể bằng lệnh cts role-based enforcement. Việc thực thi SGACL cũng có thể được kích hoạt trên các giao diện cụ thể mà không cần kích hoạt nó trên toàn hệ thống.

enable
configure terminal
interface GigabitEthernet 0/1/1
cts role-based enforcement

Cấu Hình Các Mục IPv6 SGACL Access Control

Một SGACL được xác định tương tự như ACL có tên mở rộng bằng cách sử dụng lệnh sau:

Device(config)#ipv6 access-list role-based sgacl1
IPV6 Role-based Access List Configuration commands:
  default   Set a command to its defaults
  deny      Specify packets to reject
  exit      Exit from access-list configuration mode
  no        Negate a command or set its defaults
  permit    Specify packets to forward
  remark    Access list entry comment
  sequence  Sequence number for this entry

Đính SGACL Vào Permission Matrix Cell

Device(config)#cts role-based permissions from 100 to 200
  WORD  Role-based Access-list name
  ipv4  Protocol Version - IPv4
  ipv6  Protocol Version - IPv6

Lệnh này xác định, thay thế hoặc xóa danh sách các RBACL cho một cặp <SGT, DGT> đã cho. Chính sách này có hiệu lực khi không có chính sách động cho cùng một SGT, DGT. Theo mặc định, bạn chỉ có thể đính kèm RBACL loại IPv4. Để thêm SGACL IPv6, hãy chỉ định rõ ràng IPv6.

Cấu Hình Chính Sách SGACL Theo Cách Thủ Công

Để định cấu hình chính sách SGACL theo cách thủ công, hãy thực hiện các tác vụ sau:

enable
configure terminal
ip access-list role-based allow_webtraff
10 permit tcp dst eq 80
20 permit tcp dst eq 443
cts role-based permissions from 55 to 66 allow_webtraff
end

Làm Mới Chính Sách SGACL Đã Tải Xuống

Để làm mới các chính sách SGACL đã tải xuống, hãy thực hiện tác vụ sau:

enable
cts refresh policy

Hoặc

enable
cts refresh policy sgt 10

Cấu Hình Chế Độ Giám Sát SGACL

Trước khi định cấu hình chế độ màn hình SGACL, hãy đảm bảo rằng Cisco TrustSec được bật.

configure terminal
cts role-based monitor enable
cts role-based monitor permissions from 2 to 3 ipv4
show cts role-based permissions from 2 to 3 ipv4
show cts role-based counters ipv4

Cấu Hình IPv6 SGACL ACE

Device(config)#ipv6 access-list role-based sgacl1
Device(config-ipv6rb-acl)#permit ipv6
Device(config-ipv6rb-acl)#exit
Device(config)#cts role-based permissions from 100 to 200 ipv6 sgacl1

ĐỊA CHỈ PHÂN PHỐI ROUTER CISCO CHÍNH HÃNG GIÁ TỐT NHẤT

ANBINHNET ™ là nhà phân phối Cisco chính hãng, uy tín hàng đầu tại Việt Nam. Đến với chúng tôi, quý khách hàng sẽ nhận được những thông tin chính xác về nguồn gốc xuất xứ, giấy tờ, chứng chỉ, với mức giá Discount theo quy định của Cisco, đặc biệt hơn là hàng luôn sẵn kho số lượng lớn để đáp ứng nhu cầu của khách hàng.

ANBINHNET ™ có văn phòng giao dịch tại 2 thành phố lớn nhất là Hà Nội và Hồ Chí Minh (Sài Gòn), giúp mang lại sự thuận tiện cho khách hàng có nhu cầu mua thiết bị Router Cisco Chính Hãng có thể đến trực tiếp văn phòng của chúng tôi, cũng như rút ngắn thời gian giao hàng các sản phẩm Cisco Router Giá Tốt đến với khách hàng.

Để Nhận Thông Tin Hỗ Trợ Báo Giá Dự Án, Đặt Hàng, Giao Hàng, Bảo Hành, Khuyến Mại, Hỗ Trợ Kỹ Thuật của các sản phẩm Router CiscoHãy Chát Ngay với chúng tôi ở khung bên dưới hoặc gọi điện tới số hotline hỗ trợ 24/7 của ANBINHNET ™. Hoặc quý khách có thể liên hệ tới văn phòng của chúng tôi tại theo thông tin sau:

Địa Chỉ Phân Phối Router Cisco Chính Hãng Giá Tốt Tại Hà Nội

Địa Chỉ Phân Phối Router Cisco Chính Hãng Giá Tốt Tại Sài Gòn

Bài viết liên quan

Nhập Email để nhận ngay báo giá sản phẩm

    • Kết Nối Với Chúng Tôi