Технология TrustSec и управление сетевым доступом · PDF file10/1/2010 · Управление ключами на основе протокола

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential 1 STG-Router-Security

Технология TrustSec и управление сетевым доступом

Владимир Илибман Технический консультант

© 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential STG-Router-Security 2

О чем будем говорить

 Технологии управления сетевым доступом

 Обзор решения TrustSec  Процесс внедрения TrustSec  Практические сценарии


Технологии управления сетевым доступом


Контроль сетевого доступа. Современные вызовы.

Кто?

Что ?

Где ?

Как ?

Размытие традиционных границ сети. Доступ осуществляется из любой точки

Распространение разных типов сетевых устройств, включая специализированные платформы

Идентификация пользователей и обеспечение гранулированного динамического доступа к ресурсам

Разработка и применение политик доступа, согласованных между собой


Как осуществлятеся процесс контроля сетевого доступа

 Обеспечивают путь для Идентификации того, кто получает доступ в сеть Определения как осуществляется доступ Идентификации местоположения, откуда данный пользователь пытается осуществить доступ Определения политик доступа (авторизация)

 Основываясь на этой информации, осуществляется Предоставление доступа в сеть Определение границ доступа Определение уровня предоставляемого сервиса Журналирование использования ресурсов


Обзор решения Cisco для осуществления идентификации и сетевого контроля

NAC Profiler Система AAA Cisco Secure ACS

Catalyst Switch

802.1X

MAB

Directory Server

NAC Guest Server

Web Auth

RADIUS

Гость

Сотрудник

Printer

Гибкие политики на основе RBAC

Система управления всем циклом гостевого доступ с веб-аутентификацией

Гибкие механизмы аутентификации (802.1X, MAB, Web Auth in any order)

Различные методы авторизации(VLAN, Downloadable ACL,

URL Redirect, etc)

Система автоматического профилирования любых подключенных сетевых

устройств (камеры, принтеры …)

Разные варианты внедрения 802.1X (Monitor Mode, Low

Impact Mode, High Security Mode)


Вызовы традиционных подходов для контроля доступа на входе в сеть

•  Управление большим числом VLAN и пулами адресов? •  Как поступать с обновлением адреса при смене VLAN

(DHCP)? •  Как управлять множеством ACL на VLAN-интерфейсах? •  Влияние на сетевую топологию?

•  Кто будет обновлять ACLs? •  Что происходит если меняются IP-адреса ресурсов?

•  Имеет ли коммутатор достаточно ресурсов TCAM для обработки списков доступа?

  Применение традиционных методов контроля имеет ряд проблем

  Требуется детальный дизайн

  Не масштабируются так гибко, как хочет бизнес

  Внедрение контроля доступа заканчивается редизайном существующей сети

802.1X/MAB/Web Auth

Назначение VLAN

Загрузка ACL


Эволюция технологий контроля сетевого доступа

Контроль на основе сетевых адресов   ACL, VACL, PACL, PBACL и.т.д.

Network Admission Control (NAC)   Проверка соответствия конечных устройств требованиям политики безопасности (патчи, обновления… )

Контроль на основе идентификации   Гибкие механизмы идентификации:

802.1x, MAB, WebAuth, FlexAuth   Разнообразные опции контроля :

dACL, Присвоение VLAN, URL redirect, QoS…

  Интеграция профилирования и сервисов гостевого доступа

Cisco TrustSec


Cisco TrustSec Обзор решения


Cisco TrustSec

 TrustSec - зонтичное решение для увеличения безопасности кампусной сети и датацентра, основанное на строгой идентификации пользователей, хостов и сетевых устройств

 TrustSec обеспечивает управление доступом вне зависимости от сетевой топологии путем классификации трафика на основе ролей

 TrustSec обеспечивает конфиденциальность и целостность данных путем установления доверенных отношений и шифрованием канала между сетевыми устройствами


Ключевые функции TrustSec   Контроль доступа на основе ролей без привязки к сетевой топологии

  Масштабируемое тегирование фреймов с помощью Security Group Tag (SGT)

  Централизованное управление политиками фильтрация Source Group ACL (SGACL)

  Шифрование основанное на стандарте IEEE802.1AE (AES-GCM 128-Bit)

  Шифрование на втором уровне OSI на скорости канала

  Управление ключами на основе протокола SAP (802.11i), ожидание стандартизации 802.1X-REV

  Аутентификация конечных устройств с помощью 802.1X, MAB, Web Auth

  Контроль доступа на основе 802.1X создает доверенный домен TrustSec

  Только доверенные устройства могут присваивать Security Group TAG

Security Group Based Access Control

Конфиденциальность и целостность

Доверенная сетевая среда


Контроль доступа на основе меток безопасности

  Контроль доступа на основе меток безопасности позволяет

  Сохранить текущий логический дизайн на уровне доступа

  Изменять/применять политики для соблюдения актуальных бизнес требований

  Распределять политики из централизованного сервера управления

SGACL 802.1X/MAB/Web Auth

Финансы (SGT=4)

HR (SGT=10)

Я контрактник Моя группа - HR

Контрактник & HR

SGT = 100

SGT = 100


Контроль доступа на основе меток безопасности

  Уникальной роли присваиваются уникальные метки длиной 16 бит (65K)

  Представляют привилегии пользователя, устройства или ресурса

  Присвоение меток на входе в домен TrustSec

SGACL SG

SecurityGroup

Tag

  Фильтрация (SGACL) на выходе (egress) внутри домена TrustSec

  Не требуется знания IP-адресов для фильтрации (IP-адрес привязан к метке SGT)

  Политика (ACL) распределяется из централизованного сервера политик (ACS) или настраивается локально на устройстве TrustSec

  Политики не зависят от топологии

  Гибкие и масштабируемые политики на основе роли пользователя

  Централизованное управление политиками для динамического присвоения правил

  Исходящая фильтрация уменьшает влияние ресурсы коммутатора (TCAM)

Преимущества


Формат фрейма второго уровня с меткой SGT

  это дополнение L2 802.1AE + TrustSec (=~40bytes)

  Присвоение меток происходит до других L2 сервисов (таких как QoS)

  Пространство меток SGT управляется на сервере политик (ACS 5.x)

  Нет влияния на IP MTU/фрагментацию.

Обычный кадр Ethernet

Cisco Meta Data

Зашифровано Аутентифицировано

Layer 2 SGT фрейм и формат мета данных (Cisco Meta Data)


Традиционный список контроля доступа Пользователи (Source)

S1

•  Sources x Destinations x Permissions = ACEs •  Source (S1) * Destination (S1~S6) * Permission (4) = 24 ACEs для S1 •  Source (S1~S4) * Destination (S1~S6) * Permission (4) = 96 ACEs для S1~4 •  Увеличение числа ACEs приводит к потреблению ресурсов в точке применения политики

D1

D2

D3

D4

D5

D6

S2

S3

S4

Сервера (Destination)

permit tcp S1 D1 eq https permit tcp S1 D1 eq smtp permit tcp S1 D1 eq sqlnet deny ip　S1 D1

Sales

HR

Finance

Managers

IT Admins

HR Rep

S1 to D1 Access Control

Access Control Entries (ACEs) увеличивается по мере увеличения числа

полномочий


Как SGACL упрощает контроль доступа

Пользователи

S1

•  (число Source SG) * (число Dest SG) * Permissions = число ACEs •  SGT 10 * Dest SGTs (3) * Permission (4) = 12 ACEs для MGMT A SGT •  SRC SGTs (4) * DST SGTs (3) * Permission (4) = 48 ACEs

D1

D2

D3

D4

D5

D6

S2

S3

S4

Сервера Security Group

(Source)

MGMT A (SGT 10)

HR Rep (SGT 30)

IT Admins (SGT 40)

Security Group (Destination)

Sales SRV (SGT 500)

HR SRV (SGT 600)

Finance SRV (SGT 700)

MGMT B (SGT 20)

SGACL


Эффективность SGACL в реальных условиях

Пользователи Сервера Security Group (Source)

MGMT A (SGT10)

HR Rep (SGT30)

IT Admins (SGT40)

Security Group (Destination)

Sales SRV (SGT400)

HR SRV (SGT500)

Finance SRV (SGT600)

MGMT B (SGT20)

SGACL 10 сетевых ресурсов

10 сетевых ресурсов

10 сетевых ресурсов

x 100

x 100

x 100

x 100


Эффективность SGACL в реальных условиях   400 пользователей получают доступ к 30 сетевым ресурсам с 4 типами полномочий для каждого ресурса Традиционный ACL на FW без фильтрации источника

Any (src) * 30 (dst) * 4 permission = 120 ACEs

Традиционный ACL на интерфейсе VLAN – используя фильтрацию по подсетям источника трафика

4 VLANs (src) * 30 (dst) * 4 permission = 480 ACEs

С технологией SGACL 4 SGT (src) * 3 SGT (dst) * 4 permission = 48 ACEs

Фильтрация на порту с помощью Downloadable ACL

1 Group (src) * 30 (dst) * 4 permission = 120 ACEs

400 (src) * 30 (dst) * 4 permission = 48 000 ACEs

Традиционный ACL на FW с фильтрацией по источнику


Привязка роли к метке SGT и SGACL

SRC\ DST SRVSGT 111 SRVSGT 222 SRVSGT 333

User SGT 10 Permit all Deny all Deny all

User SGT 20 SGACL-B SGACL-C Deny all

User SGT 30 Deny all

#remark destination SQL permit permit tcpsrcdsteq 1433 #remark source SQL permit permit tcpsrceq 1433 # web permit permit tcpsrcdsteq 80 # secure web permit permit tcpsrcdsteq 443 deny all

SGACL D

ACS SGACL Policy


Политика SGACL на ACS

1

2

3


Процесс создания SGACL Шаг 1: Распространение политики SGT

ACS5.x

Server C Server B Server A Directory Service

Campus Access

Data Center

TrustSec Enabled Network

User A User C

Шаг 1

AD User Role SGT

User A Contractor 10

User B Finance 20

User C HR 30

ACS распространяет политику SGT

Server Role IP SGT

HTTP Server Server Group A 10.1.100.111 111

File Server Server Group B 10.1.100.222 222

SQL Server Server Group C 10.1.200.3 333

  ACS настраивается для присвоения меток. Все роли конечных устройств должны быть привязаны к меткам

User to Role Mapping

Server to Role Mapping


Процесс создания SGACL Шаг 2: Назначение SGT

ACS5.x


Campus Access

Data Center


User A User C

111 222 333

Шаг 2

AD User Role SGT

User A Contractor 10

User B Finance 20

User C HR 30

SGTs присваиваются по ролям и привязываются к IP адресам

Server Role IP SGT HTTP Server Server Group A 10.1.100.111 111

File Server Server Group B 10.1.100.222 222

SQL Server Server Group C 10.1.200.3 333

  По результатам авторизации 802.1X / MAB / Web Authentication, SGTs присваиваются авторизационной политикой ACS через протокол RADIUS

  Устройства доступа прослушивают ARP и / или DHCP для аутентифицированных MAC адресов, связывая SGT и IP-адреса устройств

  Для серверов IP-адреса привязываются к меткам SGT статично на коммутаторе или динамически на ACS

802.1X / MAB / Web Auth

30 10


Процесс создания SGACL Step 3: Применение политики SGACL

ACS5.x


Campus Access

Data Center


User A User C

111 222 333

Шаг 3 ACS применяет Egress Policy (Матрица SGT) к устройствам с поддержкой TrustSec

  Каждое устройство с поддержкой TrustSec загружает политику с сервера ACS

30 10

SRC\ DST Server A (111) Server B (222) Server C (333)

User A (10) Permit all Deny all Deny all

User B (20) SGACL-B SGACL-C Deny all

User C (30) Deny all SGACL-D Permit all

SGACL-D

permit tcpsrcdsteq 1433 #remark destination SQL permit permit tcpsrceq 1433 dst #remark source SQL permit permit tcpsrcdsteq 80 # web permit permit tcpsrcdsteq 443 # secure web permit deny all

SGACL SGACL SGACL


Процесс создания SGACL Шаг 4: Применение политики SGACL

ACS5.x


Campus Access

Data Center


User A User C

111 222 333

Шаг 4 SGACL позволяет осуществлять контроль доступа без привязки к топологии

30 10

SRC\ DST Server A (111) Server B (222) Server C (333)

User A (10) Permit all Deny all Deny all

User B (20) SGACL-B SGACL-C Deny all

User C (30) Deny all Permit all SGACL-D

SGACL-D

permit tcpsrcdsteq 1433 #remark destination SQL permit permit tcpsrceq 1433 dst #remark source SQL permit permit tcpsrcdsteq 80 # web permit permit tcpsrcdsteq 443 # secure web permit deny all

Web traffic SQL traffic

SGACL

  Пользовательский трафик маркируется на входе в TrustSec домен

  SGT сохраняется при перемещении пакета внутри домена

  На исходящем порту устройство TrustSec проверяет локальную политику и отбрасывает пакет если это необходимо


Конфиденциальность и целостность Шифрование на основе 802.1AE

  * NIST Special Publication 800-38D (http://csrc.nist.gov/publications/nistpubs/800-38D/SP-800-38D.pdf)

802.1AE

  TrustSec обеспечивает Layer 2 шифрование между устройствами и целостность фреймов, основываясь на IEEE 802.1AE стандарте (MACSec)

  128bit AES-GCM (Galois/Counter Mode) – утвержден NIST *

  Шифрование/дешифрование на скорости канала для интерфейсов 10GbE/1GbE

  Защита от повторной пересылки пакетов

  802.1AE шифрование для защиты полей CMD (таг SGT)

  Защита от атак man-in-the-middle (подслушивание, модификация, повторная пересылка) для всего Ethernet-трафика

  Стандартизированный формат и алгоритм (AES-GCM)   Расширение 802.1X-REV/MKA поддерживает независимые Security

Associations для разных устройств на одном порту (e.g. PC и IP Phone)

  Совместимость с сетевыми сервисами (такими как QoS и VLAN) в отличии от шифрования end-to-end

Преимущества


802.1AE заголовки (MACSec)

MACSec Tag Format

TrustSec Frame Format

Зашифровано Аутентифицировано

0x88e5


Шифрование Hop-by-Hop с помощью IEEE802.1AE

  Модель “Bump-in-the-wire” (шифрование на канале) Пакеты шифруются на выходе Пакеты дешифруются на входе Пакеты обрабатываются устройством в исходном виде

  Позволяет сети продолжать выполнять

все текущие инспекции пакетов

128bit AES GCM Encryption 128bit AES GCM Encryption 128bit AES GCM Encryption

0110100100011000100100100010100100111010101 01101001000110001001001000 01001010001001001000101001001110101

everything in clear 011010010100010010 011010010100010010

ASIC

Decrypt at Ingress

Encrypt at Egress


TrustSec основывается на ДОВЕРИИ между устройствами “Trust”  Любой участник домена TrustSec должен установить доверенные отношения с соседом по сети

 Только метки SGT принятые от доверенного соседа принимаются во внимание

 SGT от недоверенного устройства помечаются как “Unknown”, специальная метка SGT со значением 0

 Процесс аутентификации конечных устройств называется “Endpoint Admission Control” (к примеру присвоение SGT через 802.1X)

 Процесс аутентификации сетевых устройств называется “Network Device Admission Control” или сокращенно NDAC


Взаимодействие устройств в домене   Network Device Admission Control (NDAC) обеспечивает строгую взаимную аутентификацию (EAP-FAST) для формирования доверенного домена

  NDAC не требует аппаратной поддержки, но может использовать аппаратное хранилище идент. информации.

  Security Association Protocol (SAP) используется для автоматического согласования ключей, так как это определено в стандарте 802.11i

  IEEE 802.1X-2010 MACsec Key Agreement (MKA) переопределяет управление ключами и заменит SAP

  Аутентификация и управление политиками обеспечивается сервером ACS

NDAC


NDAC аутентификация / SAP

TrustSec Enabled Network Supplicant

Device

ACS 5.0

Role Determination

EAPOL (EAP-FAST)

Authenticator Device

RADIUS

Policy Policy Acquisition

Key Establishment

On-Going Key Refresh SAP

EAP-FAST Tunnel

Device Authentication

EAP-FAST Tunnel Tear Down


Cisco TrustSec Процесс внедрения


Процесс перехода на TrustSec

 Что будет с сетевыми устройствами, которые не поддерживают аппаратно TrustSec?

  Каким образом присваивать SGTs в разнах точках распределенной сети ?

  Какие практические сценарии покрывает TrustSec

  Каким образом связать TrustSec с внедрением сервисов идентификации?

  Каким образом мониторить применение TrustSec?

  Какие платформы поддерживают TrustSec?


Поддержка существующих платформ с помощью протокола SXP  Маркирование SGT требует аппаратной поддержки

(ASIC)  Устройства без аппаратной поддержки могут получать атрибуты SGT от ACS для аутентифицированных пользователей или устройства и передавать связку IP-to-SGT к устройствам с поддержкой TrustSec SGACL для маркирования и фильтрации

 SGT eXchange Protocol (SXP) используется для обмена записями IP-to-SGT между устройствами с аппаратной поддержкой TrustSec и остальными устройствами

 На текущий момент Catalyst 6500, 4500/4900, 3750, 3560 и Nexus 7000 поддерживают SXP

 SXP ускоряет поддержку SGACL не требуя аппаратного обновления сети


Обмен “связок” IP-SGT с помощью SXP

ACS5.x


Data Center

User A User C

111 222 333

  Пользователь привязывается к SGT на коммутаторе доступа

  Коммутатор связывает IP-адрес устройства и присвоенную метку SGT

  Коммутатор использует протокол SXP для отправления таблиц связей на устройство с аппаратной поддержкой TrustSec

  Устройство с TrustSec маркирует пакеты основываясь на IP-адресах источника

30 10

CMD Tagged Traffic Untagged Traffic

Non TrustSec capable device

TrustSec capable device

SXP SXP

SXP IP-SGT Binding Table IP Address SGT Interface

10.1.10.1 10 Gig 2/10

10.1.30.4 30 Gig 2/11

CMD Tagged Traffic Untagged Traffic

User A User C


Назначение SGT – кампусная сеть

•  после 802.1X аутентификаци

•  после MAC Authentication Bypass

•  после Web Authentication Bypass

•  Или путем статического связывания IP-to-SGT на коммутаторе

Пользовательские устройства или мобильные устройства

  Каждое устройство которое подключается к домену классифицируется с помощью SGT

  SGT отправляются к коммутатору в процессе авторизации по протоколу RADIUS :

Полная интеграция с

Cisco IBNS

Точно также как присвоение VLAN или

dACL


Пример политики назначения SGT

 Типовая авторизационная политика 802.1X на Cisco ACS для назначения меток Security Group индивидуальным ролям


Пример назначение SGT - кампус

  Как SGT динамически присваивается к роли

802.1X

Cat6503 HR Admin

ACS5.0

RADIUS

802.1X User Authentication AuthOK!

HRAdmin:SGT(6/0006)Access-Accept with VSA

MAC:0050.56BC.14AE

PortOpen!

DHCP Request / Response

DHCP Snooping / ARP Snooping

10.1.10.100/24

MACAddress Port SGT

0050.56BC.14AE Fa2/12 6/0006

MACAddress Port SGT IPAddress

0050.56BC.14AE Fa2/1 6/0006 10.1.10.100SXP Binding Table

NX7010

Cat6503 SRC: 10.1.10.100 10.1.200.100 SGT(6/0006)

Tagging


Назначение SGT – ЦОД / серверы  Каждый сервер который подключается к домену

TrustSec классифицируется с помощью SGT

 SGT обычно присваивается серверам:

 В ЦОД большинство компаний выбирают статическое присвоение устройствам меток SGT

 Причина использование систем типа vMotion и отсутствие 802.1X на серверах


Матрица поддержки компонент TrustSec на разных платформах Платформа Доступные

функции OS версия Замечания

Nexus 7000 series Switch SGACL, 802.1AE + SAP, NDAC, SXP, IPM, EAC

Cisco NX-OS® 4.2.2. Advanced Service Package license is required

Mandatory as enforcement point

Catalyst 6500E Switch (Supervisor 32, 720, 720-VSS)

NDAC (No SAP), SXP, EAC

Cisco IOS® 12.2 (33) SXI3 or later release. IP Base w/ K9 image required

Campus access / distribution switch, DC access switch

Catalyst 49xx switches SXP, EAC Cisco IOS® 12.2 (53) SG or later release. IP Base w/ K9 image required.

Optional as an DC access switch

Catalyst 4500 Switch (Supervisor 6L-E or 6-E)

SXP, EAC Cisco IOS® 12.2 (53) SG or later release. IP Base w/ K9 image required.

Optional as Campus access switch

Catalyst 3750-X, 3560-X SXP, EAC, 802.1AE, 802.1x-REV

IP Base , IP Services IOS with k9 image

Catalyst 3760(E) / 3750(E) Switches

SXP, EAC Cisco IOS® 12.2 (53) SE or later release. IP Base w/ K9 image required.

Optional as Campus access switch

Catalyst Blade Module 3x00 Switches

SXP, EAC Cisco IOS® 12.2 (53) SE or later release. IP Base w/ K9 image required.

Optional as DC access switch

Cisco EtherSwitch service module for ISR Routers

SXP, EAC Cisco IOS® 12.2 (53) SE or later release. IP Basew/ K9 image required.

Optional as Branch access

Cisco Secure ACS Centralized Policy Management for TrustSec / NDAC + EAC Authentication Server

ACS Version 5.1 with TrustSec license required. CSACS1120 appliance or ESX Server 3.5 or 4.0 is supported

Mandatory as main policy server

Справочная информация


802.1AE (MACSec) и 802.1X-REV (MKA) на уровне доступа

Catalyst 3750x

AAA

MACSec Key Exchange

Secured Session

•  На уровне доступа поддержка шифрования MACSec (802.1AE) появилась в 3750x, 3560x

•  Аппаратная поддержка MACsec существует в новых сетевых картах Intel

•  Программная поддержка MACSec и 802.1X-Rev предполагается в следующей версии сапликанта Cisco (CSSC) и в клиенте AnyConnect

Non-MACSec enabled

Campus Network


Cisco TrustSec Практические сценарии на сегодня


ISR w/ EtherSwitch

Сценарий 1: Использование в кампусной сети

Nexus 7010

Cat6500 Cat4500

ACS5.1 SQL Server WEB Server File Server

Cat6500

Directory Service

Cat35750/E

Campus Access

Data Center

SGT Assignment via 802.1X, MAB, Web Auth

SGACL Enforcement

Cat4500

SXP

Branch Access

SRC \ DST Server A (111) Server B (222)

User A (10) Permit all SGACL-B

User B (20) Deny all SGACL-C

111 222

20 10

TrustSec покрывает кампусную сеть и ЦОД

  Поддержка контроля доступа в кампусную сеть

  Клиентские SGT присваиваются через 802.1X, MAB или Web-аутентификацию

  Серверные SGT присваиваются статически или через IPM

  Таблица IP-to-SGT передается между коммутаторами доступа кампуса и коммутаторами ЦОД с поддержкой TrustSec

Сценарий 1


ISR w/ EtherSwitch or standalone switch

Сценарий 2: Использование в сети филиала

Nexus 7010

Cat6500 Cat4500


Cat6500

Directory Service

Cat35750/E

Campus Access

Data Center

SGT Assignment via 802.1X, MAB, Web Auth

SGACL Enforcement

Cat4500

SXP

Branch Access

SRC \ DST Server A (111) Server B (222)

User A (10) Permit all SGACL-B

User B (20) Deny all SGACL-C

111 222

20

  Поддержка контроля доступа в сеть филиала

  Клиентские SGT присваиваются через 802.1X, MAB или Web-аутентификацию

  Серверные SGT присваиваются статически или через IPM

  Таблица IP-to-SGT передается между коммутаторами доступа филиала и коммутаторами ЦОД с поддержкой TrustSec

Сценарий 2

TrustSec используется в локальной сети филиала


ISR w/ EtherSwitch or standalone switch

Сценарий 3: Применение внутри ЦОД

Nexus 7010

Cat6500 Cat4500


Cat6500

Directory Service

Cat35750/E

Campus Access

Data Center

SGT Assignment via IPM or statically

SGACL Enforcement

Cat4500

Branch Access

SRC \ DST Server A (111)

Server B (222)

Server C (333)

Server A (111) --- SGACL-A Permit all

Serer B (222) Permit all --- SGACL-B

Server C (333) Deny all Deny all ---

111 222

  Маркирование трафика серверов подключенных к Nexus 7000

  На серверных коммутаторах доступа без Trustsec статическая привязка IP адресов к SGT или IPM

  Сервера подключенные к одному коммутатору доступа могут сегментироваться с помощью технологии Private VLAN

Сценарий 3

TrustSec используется в ЦОД для сегментации трафика

333

SXP


Шифрование каналов между ЦОД с помощью 802.1AE

 TrustSec шифрует канал между ЦОД для обеспечения безопасного бэкапирования и отказоустойчивости

 Технология 802.1AE может использоваться для шифрования трафика точка-точка при следующих условиях

10Gbps или 1Gbps линки между коммутаторами Nexus 7000s если оба Nexus 7Ks подключены к темной оптике или пассивным повторителям (L2-фреймы не изменяются )

Использование EoMPLS Pseudowire для инкапсуляции кадров 802.1AE между двумя ЦОД


Пример топологии 802.1AE поверх EoMPLS

N7K-1

N7K-2

N7K-3

N7K-4

ASR-3

ASR-4

ASR-1

ASR-2

EoMPLS Capable Device

EoMPLS Capable Device

EoMPLS Psuedowires vPC vPC

802.1AE Frame

Data Center A Data Center B


Cisco TrustSec Итого


ACL

802.1x

Device Posture

Appliance (In-band,

Out-of-band)

802.1X 802.1X-REV

MAC authentication

bypass WebAuth

ПОЛИТИКА

Security Group Tagging

Device Profiling

VLAN

MACSec IP Telephony Integration

Guest Access

Cisco Архитектура Cisco TrustSec


Выводы  TrustSec представляет следующую ступеньку технологий контроля сетевого доступа, обеспечения целостности и конфиденциальности внутри кампусных сетей и ЦОД

 Для начала использования TrustSec необходим тщательный анализ используемых платформ

 Для кампусных сетей начните внедрение TrustSec с применения идентификационных сервисов


Documents

Технология TrustSec и управление сетевым доступом · PDF file10/1/2010 · Управление ключами на основе протокола