使用TrustSec机制保护网络安全

使用TrustSec机制保护网络安全■ 河南许红军

这里为了便于说明，使用ASA 9.6防火墙实现TruseSec安全控制。在本例中，存在ASA1和ASA2两台防火墙，ASA1的Inside接口和ASA2的Outside接口连接在一起。在ASA1上执行“hostname Firewall1”、“”、“interfce Management0/0”、“nameif GLFW”、

“securtiy-level 100”、

“ip address 10.1.1.1 255.255.255.0”、“no shutdown”、

“username admin password yyyyyy p r i v i l e g e15”、“a a a a u t h e n t i c a t i o n s s h c o n s o l e L O C A L”、“a a a a u t h e n t i c a t i o n h t t p conso le LOCAL”、“http

server enable”、“http

0.0.0.0 0.0.0.0 GLFW”、

“ssh 0.0.0.0 0.0.0.0

GLFW”、

“ssh timeout 60”等

指令创建网管口，便于进行

管理。

其中的“xxx”表示名

称，

“yyy”表示具体的密

码。在ASA2上执行同样的

配置，也为其配置网管接

口，所不同的是其名称是

不一样的。在ASA1上执

行“config t”、“inter g

0/0”、“nameif Outside”、

“s e c u r i t y-l e v e l0”、

“ip address 69.123.1.10

255.255.255.0”、“n o

shutdown”命令，配置G0/0

接口IP地址，其连接的是外

部网络。

执行“inter g0/1”、

“n a m e i f I n s i d e”、

“security-level 100”、气泡包装膜

“ip address 200.160.10.1差分滤波器

255.255.255.0”、“n o

shutdown”命令，配置G0/1

接口IP地址，其连接的是

内部网络。在ASA2上对

G0/0和G0/1接口进行配

置，具体参数与上述基本

相同，所不同的是G0/0接

口IP为200.160.10.2。对

于G0/1接口来说，IP为

192.168.1.10。因为ASA1

的G0/1接口和ASA2的G0/0

接口相互连接，即ASA1内部

网络和ASA1的外部网络连

接在一起，所以要设置路由

信息。

执行“route inside 0

编者按：TrustSec其实是一个比较庞大的安全解决方案，我们熟悉的Dot1X只是其中一种安全技术而已。TrustSec是嵌入到思科的所有设备（如交换机、路由器、WLC、安全设备等）中，在二层或三层中进行安全访问控制。例如，在数据中心中可以通过手工操作或动态授权方式，为设备或用户分配对

应的SGT（安全组标签）。当其通过数据中心交换机时，交换机就可以基于上述SGT执行访问控制操作，即允许哪个SGT可以通过，哪个SGT禁止通行等。

配置简单实验环境

登

录

到ISE 管

理

界面，在工具栏上点击“A d m i n i s t r a t i o n ”

→

“Network Device Groups”项，在左侧列表中选择“Groups”→“All Device Types”项，在右侧点击“Add”

按钮，输入NDG 网络设备组名称（如“NDGGrp1”）和描述信息，点击“Submit”提交修改。

在工具栏上点击“A d m i n i s t r a t i o n ”

→

“Network Devices”项，在打开窗口中点击“Add”

按钮，输入网络设备名称（如“A S A 1”），在“I P Address”栏中输入其IP （如“200.160.10.1”），在“Device Type”列表中选择“NDGGrp1”项，将其放置到上述NDG 组中。

创建网络设备组

0 200.160.10.2”、“access-list out permit ip any any”、“access-group out in in outside”命令，分别设置默认网关，并放行所有流量。在ASA2上执

行“route outside 0 0 200.160.10.1”、“access-list out permit ip any any”、“access-group out in in outs

ide”命令，让两者可以互联互通。在

ASA1的G0/1接口上连接了PC1，IP 为 69.123.1.30。在ASA2的G0/1上连接了PC2和ISE 设备，其IP 分别为192.168.1.16和192.168.1.200。

选

择“R A D I U S

Authentiation Settings”项，在“*Share Secret”栏中输入密码，用于RADIUS 认

证。

选

择“Advanced

TrustSec Settings”项，在“Device Anthentication Settings”栏中选择“Use Device ID for TrustSec identification”项，激活TrustSec 认证功能。在“Device Id”栏中显示上述输入的网络设备名称，在“*Password”栏中输入密码，

该密码必须进行配置，其实对于TrustSec 来说，最重要的是需要使用到Device Id 参数。因为在配置PAC 时需要使用该参数，所谓PAC，其实是思科私有的安全技术，等同于证书认证。在这里ISE 需要为ASA1发放一个PAC，这样当ASA1在联系ISE 时，就可以使用该PAC 进行认证。

点

击“Generate PAC”

按钮，在打开窗口中的“*Identiry”栏中显示PAC 的名称，在“*Encryptuion

Key”栏中输入密码，点击“Generate PAC”按钮，创建该PAC。在工具栏上点

击“Administration”

→“Network Devices”项，在打开窗口中点击“Add”按钮，输入网络设备名称（例如“ASA2”），输入其IP（例如“192.168.1.10”），之后按照上述方法将其放置到“NDGGrp1”组中，激活TrustSec 认证，并为ASA2创建PAC 证书。点击“Submit”按钮执行提交操作。

激活TrustSec 认证功能

得到PAC 文件后，需要将其保存到上述防火墙中。为便于传输文件，可以登录到Cisco ASDM-IDM Launcher 控制台，将ASA1和ASA2的管理地址添加进来。点击菜单“Tools”→“File Management”项，在打开界面中点击“File Transfer”按钮，在弹出菜单中选择“Between Local PC and Flash”项，将“asa1.pac”文件传输到ASA1防火墙中。

按照同样的方法，在左侧的“Device List”列表打包流水线

中选择ASA2的管理IP，将“asa2.pac”的文件传送到ASA2中。利用这种传输方法，实现起来比TFTP 快捷。在ASA1和ASA2上分别上执行“show flash:”命令，可以看到已经得到了所需的PAC 文件。在ASA1上执行“cts import-pac flash:/ASA1.pac password xxx”命令，来导入PAC 证书，其中的“xxx”为对应的密码。

执

破真空阀行“aaa-server ISE

protocol radius”、“aaa-s e r v e r I S E (i n ) h o s t

192.168.1.200”命令，将ISE 设备作为3A 服务器，并指定ISE 的内网中的IP。执行“key xxx”、“exit”命令，设置Raduis 密码。执行“cts server-group ISE”命令，让TrusSec 也去ISE 设备。执行“cs refresh environmentdata”、“cts environment-data”命令，来刷新和显示环境数据。如果刷新成功，说明已可以和ISE 通过TruseSec 进行通讯。在ASA2上执行同样操作，所不同的是PAC 文件名称不同。

为ASA 配置PAC 认证文件

当某个网络设备（例如交换机、路由器等）配置了DOT1X 后，当用户通过认证获取了IP 后，ISE 会将其和特定的SGT 进行映射。当映射关系建立后，需要使用SXP 协议将该关系告诉其他的设备。当然，也可以采取逐跳的方

在工具栏上点击“WorkCenter”→“TrustSec” →“SXP”项，在打开窗口

法，将对应的IP 打上TAG，将其传递给其他的设备。但是，支持SGT 标签的设备很少，使用起来很不方便。

所以在实际中，主要是使用SXP 协议来传送IP 和SGT 标签的映射关系的。在本例中，主要在ISE 和ASA 之间，

中点击“Add”按钮，输入名称（例如“ASA1”），在“IP Address”栏中输入地址，

以及两个ASA 之间建立SXP 连接。在ISE 管理界面工具栏上点击“Admiistration”→ “Deployment”项，在列表中选择该ISE 设备名称，在其属性窗口中选择“Enable SXP Service”项，点击“Save”按钮激活SXP 服务。

例如“200.160.10.1”。在“Peer Role”列表中选择“LISTENER”项，表示ASA 只

在ISE 中激活SXP 服务

浮油收集器

建立SGT 和IP 的映射关系

在本例中因为流量需要从ASA1穿越ASA2，所以在ASA2上需要放行ASA1的SXP 流量。在ASA2上执行“config t”、“access-list bypass_sxp extended permit tcp 200.160.10.1 host 192.168.1.200 eq 64999”、“a c c e s s -l i s t b y p a s s _s x p e x t e n d e d permit tcp 192.168.1.200 host 200.160.10.1 eq 64999”命令，创建扩展的ACL，允许ASA1的Inside 接口和ISE 之间传送SXP 流量，TCP 64999为SXP 协议端口，执行“tcp-map sxp-bypass-t c p -m a o ”、“t c p -o p t i o n r a n g e 19 19 a l l o w ”、“class-map sxp-bypass-class-map”、“match access-list bypass_sxp”命令，放过TCP Option 19选项，因为在该选项中保存了密码等信息。执行“policy-map global_policy”、“class sxp-bypass-class-map”、“set connection random-sequence-number disable”、“set connection advanced-options sxp-bypass-class-map”、“exit”、“exit”命令，禁用随机序列号扰乱。

在ASA 上执行“config

t”、“cts sxp enable”、“cts sxp default password xxx”，“cts sxp default source-ip 200.160.10.1”、“cts sxp connection peer 192.168.1.200 password d e f a u l t m o d e p e e r speaker”命令，激活SXP 服务，设置默认密码，这里为“xxx”，设置SXP 源IP 地址，将ISE 设置为Speaker 角。

对应的，在ASA2上执

木材烘干

行“config t”、“cts

sxp enable”、“cts sxp default password xxx”、“cts sxp default source-ip 192.168.1.10”、“cts

在ASA 上配置SXP 协议

是接收信息。在“Connected PSNs”列表中选择本ISE 设备名称，在“Password Type”列表中选择“CUSTOM”项，在“Password”栏中输入密码。在“Version”列表中选择“V3”项，点击“Save”按钮保存配置信息。

按照同样的方法将ASA2也添加进来。在上述工具栏上点击“Components”项，在左侧选择“Security Groups”项，在右侧显示默认

的SGT 标签。点击“Add”按钮，输入名称（如“SGTAG1”），选择对应的图标表，输入描述信息，在“Security Group Tag”栏中显示其自动指派的TAG 值（例如“16/0010”等），点击“Submit”按钮，创建该SGT 标签。

在左侧选择“IP SGT Static Mapping”项，在右侧点击“Add”按钮，在列表中选择“IP address(es)”项，输入映射的IP（例如

“200.160.10.1”，即ASA1的Inside 接口地址），选择“Map to SGT individually”项，在“SGT*”列表中选择上述“SGTAG1”的标签，在“Send to SXP Domain”列表中选择“default”项，在“Depoly to devices”列

表中选择上述“NDGGrp1”设备组，表示将该IP 和SGT 的映射信息传送给该组中的所有设备，点击“Save”按钮，可以手动创建对应的映射关系。

有了SGT 映射关系，就可以执行访问控制操作了。例如在ASA2上执行“object-group security SGTkongzh”、“security-group tag 16”、“exit”、“access-list out

在接口上如果没有设置SGT 控制功能，那么当数据包发来后，如果没有打上TAG，则按照IP 和SGT 的映射关系处理，如果数据包带有TAG 就会被丢弃。之后在双方的对应接口上都激活SGT 处理功能，才可以正常处理数据包。

例如在ASA1上执行“config t”、“inter g0/1”、“cts manual”、“end”命令，就可以发送带有Tag 的包。对应的，在ASA2上执行“config t”、“inter g0/0”、cts manual”、“end”命令，在ASA2的OutSide 接口上也

line 1 deny icmp object-group-security SGTkongzh any any”命令，针对编号为16的SGT 标签进行控制，禁止其使用ICMP 协议进行探测。这里的“SGTkongzh”为

可以发送带有Tag 的包。这样双方就可以正常处理带有TAG 的数据包。如果一方没有配置，是无法正常通讯的。

此外，还可根据需要指定发送的TAG 编号。例如在ASA1上执行“config t”、“inter g0/1”、“cts manual”、“policy static sgt 500 trusted”命令，可从该接口发送带有TAG 标号为500的数据包。对应的，在ASA2的G0/0接口下也执行该命令。注意，如果不带“trusted”参数，则从上述接口发出的数据包全部打上TAG 为500的

具体的名称。因为与其对应的IP 为ASA1的Inside 接口地址，这样，在ASA1上就无法针对192.168.1.0/24等网段进行PING 探测。这就实现了针对目标SGT 流量的控制。

标签。带上该参数表示如果数据包带有TAG 则保持不变。如果不带TAG，则打上TAG 为600的标记。

当然，只有ASA 防火墙、Nexues7K 等少量设备支持此方式为数据包打上TAG。如果不在接口下配置，也可以在全局模式下配置映射关系。

例如在ASA1的G0/1接口下连接一台PC，IP 为69.123.1.30，在ASA1的全局模式下执行“cts role-nase

d sgt-map 69.123.1.30 sgt 16”命令，也可为该IP 和指定的TAG 之间建立映射关系。

实现TruseSec 访问控制功能

传递TAG 标签的方式

s x p c o n n e c t i o n p e e r 192.168.1.200 s o u r c e 192.168.1.10 password d e f a u l t m o d e p e e r speaker”命令，实现与上述

相同的功能，所不同的是SXP 的源地址为ASA2的Inside 接口IP。在ASA1和ASA2上分别执行“show cts sxp connections”命令，在返回

信息中的“Conn status”栏中如果显示“On”，说明配置是没有问题的。分别执行“show cts sxp sgt-map”命令，显示SGT 映射关系。

本文发布于:2024-09-21 17:43:35，感谢您对本站的认可！

本文链接：https://www.17tex.com/tex/2/116211.html

上一篇：6 OP27在上位机管理系统改造中的应用

下一篇：【天文资料】Stellarium控制NEQ6赤道仪

标签：命令按钮点击配置

留言与评论（共有 0 条评论）