0
Функции безопасностиинфраструктурногооборудования CiscoИлья Озарнов,Системный инженер Ciscoiozarnov@cisco.com
Содержание•   Введение•   Фундаментальные механизмы защиты на уровне 2      – Port Security, DHCP Snopping, DARP Inspectio...
Введение
Cisco SecureX         Distributed      Threat           Application        Virtualization      Workforce & BYOD   Defense ...
Фундаментальные механизмы защиты науровне 2
Нормальное функционирование CAM таблицы (1/2) MAC    Port A      1 B      2                             Port 2 C      3   ...
Нормальное функционирование CAM таблицы (2/2) MAC    Port A      1 B      2                                 Port 2 C      ...
Переполнение таблицы CAMMAC     Port               Assumes CAM Table Now FullY       3Z       3C       3                  ...
Предотвращение переполнения таблицы MAC адресов Решение •  Port security предотвращае атаки MAC flooding, защищает порт и ...
Настройка Port Security•   Настройка максимального количества MAC адресов на порт на VLAN•   Restrict позволяет узнать, чт...
Атаки на протокол Spanning Tree Protocol• Attacker sends superior BPDU messages to become root bridge   Now, The attacker ...
Получение предсказуемого поведения Spanning Tree•   Разместить Root там, где он должен быть•   Root должен оставаться на с...
…или использование протоколов L3•    Проще в эксплуатации, т.к. только 1     control plane – протоколы     маршрутизации• ...
Attacking HSRP - Denial of Service and man-in-the-middle•   Active Attack. The attacker sends fake HSRP packets with maxim...
Attacking HSRP – Countermeasures•   Attack tools exist, like yersinia and hsrp, a part of Phenoelit IRPAS (Internetwork Ro...
Атака на DHCP: отказ в обслуживании  •   Gobbler/DHCPx пытаются получить адреса из всего адресного пространства  •   Атака...
Противодействие атаке DHCP Starvation Attack с помощью Port  Security             КлиентGobbler                           ...
Противодействие атакам на DHCP      DHCP Snooping                                                                         ...
Атака ARP Spoofing•    Атакующий модифицирует таблицы ARP•    Весь трафик идет через атакующего                           ...
Противодействие ARP атакам   Dynamic ARP Inspection                                                         Использует та...
Противодействие спуфингу    IP Source Guard                                                        Использует таблицу    ...
Встроенные функции безопасности коммутаторов Catalyst          IP Source Guard                                    ip dhcp ...
Защита L2 в сетях IPv6
IPv6 Address Resolution – comparing with IPv4 ARP •   Creates neighbor cache entry, resolving IPv6 address into MAC addres...
Attacking IPv6 Address Resolution  •   Attacker can claim victims IPv6 address.             A                             ...
IPv6 Address GLEAN „Gleaning” means extracting addresses from NA, ND and DHCP messages.                                  ...
IPv6 Router Discovery Find default/first-hop routers Discover on-link prefixes => which destinations are neighbors      ...
Attacking IPv6 Router Discovery•   Attacker tricks victim into accepting him as default router•   Based on rogue Router Ad...
IPv6 RA-Guard – Securing Router Discovery   A                                                                    C        ...
IPv6 Stateless Address Auto-Configuration (SLAAC) •      Stateless, based on prefix information delivered in Router Advert...
BRKSEC-3003 Advanced IPv6 First-Hop SecurityFeatures in IPv6 First-Hop Security•   Switches do/will integrate a set of mon...
TrustSec. Обзор
Архитектура TrustSec. Контроль доступа на уровне сетиКлиентские                                                           ...
Архитектура Cisco TrustSec. Сервисы           ПОЛИТИКА БЕЗОПАСНОСТИ   Идентификация и Аутентификация                      ...
Абсолютный контроль  TrustSec: авторизация и  реализация политик                                                          ...
TrustSec Solution Review                                                                                                  ...
Ingress Access Control                                        •   Can I create / manage the new VLANs or IP Address scope?...
TrustSec. Использование метокбезопасности Security Group Tags
Применение Политик ISE  Контроль доступа на основе групп безопасности – Технология  меток безопасности                    ...
Применение SGT и SGACL             Уникальная метка 16 bit (65K) присваивается каждой роли Security    Представляет прив...
Формат кадра SGT                                      Аутентифицировано                                                   ...
Традиционное управление доступом    Пользователь (источник)   Серверы (узлы назначения)     Управление доступом S1 — D1   ...
Как SGACL упрощает управление доступом    Пользователь    Группа безопасности                  Группа безопасности   Серве...
Эффективность SGACL в эксплуатации•   Предположим, что в текущей технологии межсетевого экрана мы не указываем    конкретн...
Эффективность SGACL в эксплуатации (2)•   Предположим, что в текущей технологии межсетевого экрана мы не указываем    конк...
Role to SGT Binding and SGACL – Egress Policy Rules      Source Security Group        Destination Security Group          ...
How To Create SGT Policy – Egress Table               Destination                     SGT     Source                  Publ...
SGACL Flow - Step 1: Policy Definition                                                        Step 1   SGT policy definiti...
SGACL Flow - Step 2: SGT Assignment Classification                                                                     Ste...
SGACL Flow Step 3: SGACL Policy Provisioning                                                              Step 3      ISE ...
SGACL Flow - Step 4: SGACL Enforcement (1)                                                                                ...
SGACL Flow - Step 5: SGACL Enforcement (2)                                                                               S...
Network Device Admission Control    NDAC                Network Device Admission Control (NDAC)                 provides ...
Things to know about NDAC•   NDAC was developed as part of TrustSec and is Cisco proprietary but in large part based on 80...
TrustSec Domain EstablishmentDevice Authentication (1)                                                  NDAC validates pee...
TrustSec Domain Establishment Device Authentication (2)                                                                   ...
NDAC Completion                  CTS7K-CORE                                                                            CTS...
Confidentiality and Integrity 802.1AE based Encryption•   * NIST Special Publication 800-38D (http://csrc.nist.gov/publica...
TrustSecШифрование MACSec                                                                        Finance Admin            ...
TrustSec 2.0  Обеспечение сквозного шифрования из конца в конец                                Guest User             Data...
802.1AE (MacSec) Tagging  TrustSec Frame Format                                              Authenticated                ...
Hop-by-Hop Encryption via IEEE802.1AE•     “Bump-in-the-wire” model              -Packets are encrypted on egress         ...
Migration Protocol – SGT eXchange Protocol (SXP)•   SXP is used to exchange IP-to-SGT bindings between TrustSec hardware (...
IP-SGT Binding Exchange with SXP                                                                                          ...
SGT Exchange Protocol (SXP) Details•   Uses TCP for transport protocol•   TCP port 64999 for connection initiation•   Use ...
Reference SlideSXP Flow        IP Src: 10.1.3.2        Dst: 10.1.3.1        TCP Src Port: 16277 Dst Port: 64999        Fla...
SXP Connection Types   Single-Hop SXP                                 SXP                   Speaker                       ...
WLC - SGT Assignment and Learning•   SXP is enabled on WLC and TCP connection is established with Peer Switch•   Wireless ...
SGTs with Monitor Mode                                                                                                    ...
Policy for Today’s Business Requirement    Identity              Other                 Access    Information           Con...
SGA with LocationPrivacy Requirements – Require Proper Location                                                           ...
SGT Assignment - Classification    Campus/Mobile endpoints          Every endpoint that touches TrustSec domain is classi...
SGT Assignment – Access Layer Classification                       Cat2K   Cat3K   Cat4K   Cat6K   ISR   WLC   NotesDynami...
SGT Migration Strategy - VLAN-SGT* Assignment User 1 – HR Admin                                            3rd Party or Le...
SGT Migration Strategy - VLAN-SGT* Assignment User 2 – HR User                                              3rd Party or L...
 Обзор новых функций безопасности в инфраструктурном оборудовании Cisco.
 Обзор новых функций безопасности в инфраструктурном оборудовании Cisco.
 Обзор новых функций безопасности в инфраструктурном оборудовании Cisco.
 Обзор новых функций безопасности в инфраструктурном оборудовании Cisco.
 Обзор новых функций безопасности в инфраструктурном оборудовании Cisco.
 Обзор новых функций безопасности в инфраструктурном оборудовании Cisco.
Upcoming SlideShare
Loading in...5
×

Обзор новых функций безопасности в инфраструктурном оборудовании Cisco.

896

Published on

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
896
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
33
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Transcript of " Обзор новых функций безопасности в инфраструктурном оборудовании Cisco. "

  1. 1. Функции безопасностиинфраструктурногооборудования CiscoИлья Озарнов,Системный инженер Ciscoiozarnov@cisco.com
  2. 2. Содержание• Введение• Фундаментальные механизмы защиты на уровне 2 – Port Security, DHCP Snopping, DARP Inspection, IP source guard и др.• Защита L2 в сетях IPv6• TrustSec
  3. 3. Введение
  4. 4. Cisco SecureX Distributed Threat Application Virtualization Workforce & BYOD Defense Visibility & Control & Cloud Защищенный Защищенный Авторизованное Защита сетевого переход к универсальный использование периметра облачным доступ контента вычислениям Исследование угроз Контекстная политика Сеть Сервисы Соответствие
  5. 5. Фундаментальные механизмы защиты науровне 2
  6. 6. Нормальное функционирование CAM таблицы (1/2) MAC Port A 1 B 2 Port 2 C 3 MAC B Port 1MAC A Port 3 A Is on Port 1 Learn: B Is on Port 2 MAC C
  7. 7. Нормальное функционирование CAM таблицы (2/2) MAC Port A 1 B 2 Port 2 C 3 MAC B Traffic A  B Port 1MAC A Port 3 B Is on Port 2 Does Not See Traffic to B MAC C
  8. 8. Переполнение таблицы CAMMAC Port Assumes CAM Table Now FullY 3Z 3C 3 Port 2 Y Is on Port 3 MAC B Traffic A  B Port 1MAC A Port 3 Z Is on Port 3 MAC C I Can See Traffic to B
  9. 9. Предотвращение переполнения таблицы MAC адресов Решение • Port security предотвращае атаки MAC flooding, защищает порт и отсылает сообщение SNMP Port Security ограничивает количество MAC адресов на интерфейсе 00:0e:00:aa:aa:aa 00:0e:00:bb:bb:bb Только 1 MAC адрес разрешен на порту:137,000 ShutdownBogus MACs
  10. 10. Настройка Port Security• Настройка максимального количества MAC адресов на порт на VLAN• Restrict позволяет узнать, что что-то произошло с помощью SNMP сообщения (config-if)# switchport port-security switchport port-security maximum 1 vlan voice switchport port-security maximum 1 vlan access switchport port-security violation restrict switchport port-security aging time 2 switchport port-security aging type inactivity snmp-server enable traps port-security trap-rate 5
  11. 11. Атаки на протокол Spanning Tree Protocol• Attacker sends superior BPDU messages to become root bridge Now, The attacker then sees frames he shouldn’t. MITM, DoS, all possible Any attack is very sensitive to the original topology, trunking, Коммутаторы доступа PVST Root Root Blocked Although STP takes link speed into consideration, it is always done from the perspective of the root bridge; Taking a 10Gbps backbone to half-duplex 10Mbps was verified X Requires attacker is dual homed to two different switches (with a hub, it can be done with just one interface on the attacking host ) Root
  12. 12. Получение предсказуемого поведения Spanning Tree• Разместить Root там, где он должен быть• Root должен оставаться на своем месте – Root Guard Loopguard – Loop Guard – UplinkFast STP Root – UDLD• На порты доступа должен поступать только пользовательский трафик Si Si – BPDU Guard Rootguard – Root Guard – PortFast Loopguard – port-security UplinkFast BPDU Guard или Rootguard PortFast
  13. 13. …или использование протоколов L3• Проще в эксплуатации, т.к. только 1 control plane – протоколы маршрутизации• Проще дизайн – отсутствие FHRP, Si Si STP, Trunk, VTP и т.д.• Балансировка нагрузки• Лучшее время сходимости Layer 3 Layer 2 BPDU Guard или Rootguard PortFast
  14. 14. Attacking HSRP - Denial of Service and man-in-the-middle• Active Attack. The attacker sends fake HSRP packets with maximum priority of 255 and a proper clear-text password.• Attacker claims the Active Virtual Router role and becomes the Default Gateway for hosts in a given VLAN.• Attacker drops the traffic, effectively creating a DoS condition or becomes man-in-the-middle.• Countermeasure: use HSRP strong authentication Internet HSRP group 1 10.10.10.254 00-00-0c07-ac-01
  15. 15. Attacking HSRP – Countermeasures• Attack tools exist, like yersinia and hsrp, a part of Phenoelit IRPAS (Internetwork Routing Protocol Attack Suite).• Typical use:• The most important countermeasure is MD5 HMAC Strong Authentication combined with key rollover (accept lifetime and send lifetime). ~# hsrp –d 224.0.0.2 –v 10.10.10.254 –a cisco –g 1 –i eth0 –S 10.10.10.17 (config)# key chain hsrp1 key 1 key-string 54321098452103ab (config-if)# standby 1 ip 10.10.10.254 standby 1 priority 110 standby 1 preempt standby 1 authentication md5 key-chain hsrp1
  16. 16. Атака на DHCP: отказ в обслуживании • Gobbler/DHCPx пытаются получить адреса из всего адресного пространства • Атака типа Отказ в обслуживании на DHCP сервер КлиентGobbler Сервер DHCP DHCP Discovery (Broadcast) x (Size of Scope) DHCP Offer (Unicast) x (Size of DHCPScope) DHCP Request (Broadcast) x (Size of Scope) DHCP Ack (Unicast) x (Size of Scope)
  17. 17. Противодействие атаке DHCP Starvation Attack с помощью Port Security КлиентGobbler Сервер DHCP • Gobbler использует новый MAC адрес для запроса нового IP у (config-if)# DHCP сервера switchport port-security switchport port-security maximum 1 • Необходимо ограничить switchport port-security violation restrict количество MAC адресов switchport port-security aging time 2 на порт switchport port-security aging type inactivity • Атакующий не сможет получить больше IP адресов, чем разрешено MAC адресов
  18. 18. Противодействие атакам на DHCP DHCP Snooping DHCP сервер Клиент DHCP Snooping Включен Untrusted Trusted Untrusted Санкционированные Атакующий, DHCP ответы имитирующий DHCP сервер Несанкционированные DHCP ответы DHCP Snooping Binding Table sh ip dhcp snooping binding MacAddress IpAddress Lease(sec) Type VLAN Interface ------------------ --------------- ---------- ------------- ---- -------------------- 00:03:47:B5:9F:AD 10.120.4.10 193185 dhcp-snooping 4 FastEthernet3/18• Таблица строится на на основе прослушивания ответов DHCP сервера клиенту• Записи остаются в таблице на время выдачи адреса
  19. 19. Атака ARP Spoofing• Атакующий модифицирует таблицы ARP• Весь трафик идет через атакующего Адресу 10.1.1.2 соответствует 10.1.1.1 MAC C MAC A ARP 10.1.1.1Адресу 10.1.1.2соответствует ARP 10.1.1.2: Адресу MAC C 10.1.1.1 соответствует MAC C 10.1.1.3 MAC C 10.1.1.2 MAC B Адресу 10.1.1.1 соотв MAC C
  20. 20. Противодействие ARP атакам Dynamic ARP Inspection  Использует таблицу 10.1.1.1 DHCP snooping MAC A  Динамическая проверкаARP к 10.1.1.1 Запись ARP (Dynamic ARPговорит, что Не соответствующие присутствует в10.1.1.2 имеет Нет! таблице ARP пакеты таблице? Включены: inspection)MAC C отбрасываются DHCP Snooping, Если пакет не соответствует Dynamic ARP записи в таблице, он Inspection отбрасывается 10.1.1.3 MAC C 10.1.1.2 ARP 10.1.1.2: Адресу MAC B 10.1.1.1 соответствует MAC C
  21. 21. Противодействие спуфингу IP Source Guard  Использует таблицу 10.1.1.1 DHCP snooping MAC A Запись  IP source guardТрафик с Не соответствующие Нет! присутствует в Работает как dynamic таблице пакеты Включены:IP 10.1.1.3 таблице? ARP inspection, но отбрасываются DHCP Snooping,Mac B проверяет все пакеты, Dynamic ARP не только ARP Inspection, IP Source Guard 10.1.1.3 MAC C 10.1.1.2 Трафик с IP MAC B 10.1.1.2 Mac C Трафик с IP 10.1.1.2 Mac B
  22. 22. Встроенные функции безопасности коммутаторов Catalyst IP Source Guard ip dhcp snooping ip dhcp snooping vlan 2-10 Dynamic ARP Inspection ip arp inspection vlan 2-10 ! DHCP Snooping interface fa3/1 Port Security switchport port-security switchport port-security max 3 switchport port-security violation restrict• Port security предотвращает switchport port-security aging time 2 атаки переполнения MAC таблицы switchport port-security aging type inactivity• DHCP snooping предотвращает использование ip arp inspection limit rate 100 несанкционированных DHCP ip dhcp snooping limit rate 100 серверов !• Dynamic ARP Inspection защищает работу ARP, Interface gigabit1/1 используя таблицу DHCP ip dhcp snooping trust snooping• IP source guard предотвращает ip arp inspection trust спуфинг адресов
  23. 23. Защита L2 в сетях IPv6
  24. 24. IPv6 Address Resolution – comparing with IPv4 ARP • Creates neighbor cache entry, resolving IPv6 address into MAC address. • Messages: Neighbor Solicitation (NS), Neighbor Advertisement (NA) A B CICMP type = 135 (Neighbor Solicitation)Src = A NSDst = Solicited-node multicast address of BData = BOption = link-layer address of A ICMP type = 136 (Neighbor Advertisement)Query = what is B’s link-layer address? Src = one B’s IF address NA Dst = A Data = B Option = link-layer address of B A and B can now exchange packets on this link
  25. 25. Attacking IPv6 Address Resolution • Attacker can claim victims IPv6 address. A B CDst = Solicited-node multicast address of BQuery = what is B’s link-layer address? NS Src = B or any C’s IF address NA Dst = A Data = B Option = link-layer address of CCountermeasures: Static Cache Entries, Address GLEAN, SeND (CGA), Address-Watch.
  26. 26. IPv6 Address GLEAN „Gleaning” means extracting addresses from NA, ND and DHCP messages. Binding table DHCP- IPv6 MAC VLAN IF serverH1 H2 H3 A1 MACH1 100 P1 A21 MACH2 100 P2 A22 MACH2 100 P2 NS [IP source=A1, LLA=MACH1] A3 MACH3 100 P3 REQUEST [XID, SMAC = MACH2] REPLY[XID, IPA21, IPA22] data [IP source=A3, SMAC=MACH3] DAD NS [IP source=UNSPEC, target = A3] DHCP LEASEQUERY NA [IP source=A1, LLA=MACH3] DHCP LEASEQUERY_REPLY
  27. 27. IPv6 Router Discovery Find default/first-hop routers Discover on-link prefixes => which destinations are neighbors Messages: Router Advertisements (RA), Router Solicitations (RS) B A InternetICMP Type = 133 (Router Solicitation) RSSrc = UNSPEC (or Host link-local address)Dst = All-routers multicast address (FF02::2)Query = please send RA ICMP Type = 134 (Router Advertisement) RA Src = Router link-local address Dst = All-nodes multicast address (FF02::1) Data = router lifetime, retranstime, autoconfig flag Option = Prefix, lifetime Use B as default gateway
  28. 28. Attacking IPv6 Router Discovery• Attacker tricks victim into accepting him as default router• Based on rogue Router Advertisements• The most frequent threat by non-malicious user B A C Internet RA Src = B’s link-local address Dst = All-nodes Data = router lifetime=0 Src = C’s link-local address RA Dst = All-nodes Data = router lifetime, autoconfig flag Options = subnet prefix, slla Node A sending off-link traffic to C
  29. 29. IPv6 RA-Guard – Securing Router Discovery A C RA “I am the default gateway” Verification Router Advertisement Option: succeeded? prefix(s) Forward RASwitch selectively accepts or rejects RAs based on various criteria –ACL (configuration) based, learning-based or challenge (SeND) based.Hosts see only allowed RAs, and RAs with allowed content.More countermeasures: static routing, SeND, VLAN segmentation, PACL.
  30. 30. IPv6 Stateless Address Auto-Configuration (SLAAC) • Stateless, based on prefix information delivered in Router Advertisements. • Messages: Router Advertisements, Router Solicitations B A Internet ICMP Type = 133 (Router Solicitation) RS Src = UNSPEC (or Host link-local address) Dst = All-routers multicast address (FF02::2) Query = please send RA ICMP Type = 134 (Router Advertisement) RA Src = Router link-local address Dst = All-nodes multicast address (FF02::1) Data = router lifetime, retranstime, autoconfig flag Computes Options = Prefix X,Y,Z, lifetime X::x, Y::y, Z::z and DADs them NS Source traffic with X::x, Y::y, Z::z
  31. 31. BRKSEC-3003 Advanced IPv6 First-Hop SecurityFeatures in IPv6 First-Hop Security• Switches do/will integrate a set of monitoring, inspection and guard features for a variety of security-centric purposes: 1. RA-guard 2. NDP address glean/inspection 3. Address watch/ownership enforcement 4. Device Tracking 5. Address GLEAN (NDP + DHCP + data) 6. DHCP-guard 7. DAD/Resolution proxy 8. Source-guard (SAVI) 9. Destination-guard 10. DHCP L2 relay• Feature set and platform availability have been staged into phases.
  32. 32. TrustSec. Обзор
  33. 33. Архитектура TrustSec. Контроль доступа на уровне сетиКлиентские ЦОД иустройства приложения Идентификация Контроль доступа Контроль доступа Cisco Infrastructure Политики доступа Динамический контекст КОРПОРАТИВНАЯ СЕТЬ Управление Сервисы Безопасность
  34. 34. Архитектура Cisco TrustSec. Сервисы ПОЛИТИКА БЕЗОПАСНОСТИ Идентификация и Аутентификация Контекст: “Кто” и Что находится в моей сети? 802.1X, Web Authentication, MAC-адреса, Профилирование Куда cмогут Авторизация и Контроль доступа иметь доступ пользователи/уст Security Group Identity ройства? VLAN DACL Access Firewall Защищены ли сетевые Целостность данных и конфиденциальность коммуникации? MACSec (802.1AE)
  35. 35. Абсолютный контроль TrustSec: авторизация и реализация политик Инновации Cisco Динамические или Доступ для групп Сети VLANименованные ACL-списки безопасности Сотрудник Любой IP- адрес Устранение проблем Подрядчик Сотрудники Гость Доступ для групп безопасности VLAN 3 VLAN 4 — SXP, SGT, SGACL, SGFW• Меньше перебоев в работе • Не требует управления • Упрощение управления оконечного устройства (не ACL-списками на портах ACL-списками требуется смена IP-адреса) коммутатора • Единообразная• Повышение удобства для • Предпочтительный выбор реализация политик пользователей для изоляции путей независимо от топологии • Детализированное управление доступом Гибкие механизмы реализации политик в вашей инфраструктуре Широкий диапазон доступных клиенту вариантов доступа
  36. 36. TrustSec Solution Review Identity Services Engine (ISE) Guest Service to provide full guest access management with Web Authentication Flexible Authentication Methods Scalable / Flexible Policy & (802.1X, MAB, Web Auth in any order) Authentication Server supporting Guest Services RBAC Printer MAB Profiling/Posture Services 802.1X RADIUS Employee Catalyst Web Auth Switch ISE Various Authorization Methods (VLAN, Downloadable ACL, URL Redirect, etc) Guest Authentication Services Cisco IOS © intelligence to provide phased Profiling System to perform automatic device deployment mode for 802.1X (Monitor Mode, profiling for unattended device or any type of Low Impact Mode, High Security Mode) network attached device 36
  37. 37. Ingress Access Control • Can I create / manage the new VLANs or IP Address scope? VLAN • How to address DHCP refresh? Assignment • How do I manage ACL on VLAN interface?802.1X/MAB/Web Auth ACL • Who’s going to maintain ACLs? Download • What if my destination IP addresses are changed? • Does my switch have enough TCAM to handle all request?  Detailed design before deployment is required, otherwise…  Not so flexible for changes required by today’s business  Access control project ends up with redesigning whole 37 network
  38. 38. TrustSec. Использование метокбезопасности Security Group Tags
  39. 39. Применение Политик ISE Контроль доступа на основе групп безопасности – Технология меток безопасности SGT = 100 I’m a contractor My group is HR Finance (SGT=4) HR (SGT=10) 802.1X/MAB/Web Auth SGACL Contactor & HR SGT = 100Security Group Based Access Control • ISE связывает метки (SGT) по результатам идентификации пользователей • Авторизационная политика ISE отправляет метки SGT к сетевому устройству на входе • Авторизационная политика ISE отправляет метки правила (SGACL) к сетевому устройству на выходе • Так как ACL применяется ближе к защищаемому ресурсу SGACL предназначен для гранулированного доступа
  40. 40. Применение SGT и SGACL  Уникальная метка 16 bit (65K) присваивается каждой роли Security  Представляет привилегии пользователя, устройства или Group Tag субъекта  Тегирование на входе в домен TrustSec  Фильтрация по меткам (SGACL) на выходе из домена TrustSec (обычно в ЦОДе)  Правила без IP-адресов (IP адрес привязан к метке) SGACL SG  Политика (ACL) is распределяется от центрального сервера политик (ACS) или настраивается локально на устройстве TrustSec Преимущества  Обеспечивает политики независимые от топологии  Гибкие и масштабируемые политики основанные на роли пользователя  Централизованное управление политиками для динамического внедрения правил  Исходящая фильтрация ведет к уменьшению нагрузки на TCAM
  41. 41. Формат кадра SGT Аутентифицировано Зашифровано DMAC SMAC Заголовок 802.1AE 802.1Q CMD ETYPE Полезная нагрузка ICV CRC CMD EtherType Версия Длина Тип опции SGT Значение Другие опции CMD SGT Метаданные Cisco. Поле кадра Ethernet• Заголовок 802.1AE CMD ICV — служебные данные L2 802.1AE + TrustSec• Кадр всегда маркируется на входном порте устройства с поддержкой SGT• Процесс маркировки предшествует другим сервисам уровня L2, например QoS• Отсутствует влияние на MTU/фрагментацию IP• Влияние на MTU кадра L2: ~ 40 байтов = меньше чем кадр Baby giant (~1600 байтов с MTU 1552 байта)
  42. 42. Традиционное управление доступом Пользователь (источник) Серверы (узлы назначения) Управление доступом S1 — D1 Руководители S1 D1 permit tcp S1 D1 eq https (10.10.24.13) Продажи permit tcp S1 D1 eq 8081 S2 D2 permit tcp S1 D1 eq 445 (10.10.28.12) deny ip S1 D1 D3 Отч. кадровой службы Кадры Запись управления S3 D4 доступом (ACE) (10.10.36.10) Число ACE растет по мере роста числа D5 разрешений ИТ-администраторы Финансов S4 ая служба (10.10.135.10) D6• (число источников) * (число узлов назначения) * число разрешений = число ACE• Число источников (S1~S4) * число узлов назначения (S1~S6) * число разрешений (4) = 96 ACE для S1~4• Растущее количество ACE ведет к расходованию ресурсов в точке реализации политик• Администратор сети явным образом управляет каждой связью «IP источника — IP назначения»
  43. 43. Как SGACL упрощает управление доступом Пользователь Группа безопасности Группа безопасности Серверы (источник) (узел назначения) S1 D1 Рук-во A (10 SGT) D2 Сервер S2 продаж Рук-во B (500 SGT) (20 SGT) D3 S3 Сервер D4 Отчеты кадров кадров (600 SGT) (30 SGT) D5 S4 ИТ-админ. Сервер финансов D6 (40 SGT) (700 SGT)• Администратор сети управляет каждой связью «группа источника — группа назначения»• Это отделяет топологию сети от политик и снижает количество правил политик, которые администратор должен поддерживать• Сеть автоматизирует привязку пользователей / серверов к группам
  44. 44. Эффективность SGACL в эксплуатации• Предположим, что в текущей технологии межсетевого экрана мы не указываем конкретный источник (источник = Any (любой))• 400 пользователей имеют доступ к 30 сетевым ресурсам с 4 разрешениями каждый С традиционным ACL-списком на межсетевом экране Любой (ист.) * 30 (назнач.) * 4 разрешения = 120 записей ACE Традиционный ACL-список на интерфейсе VLAN маршрутизатора или межсетевого экрана — для группы-источника используются диапазоны адресов подсети 4 VLAN (ист.) * 30 (назнач.) * 4 разрешения = 480 записей ACE На каждый IP-адрес источника на порте с загружаемым ACL-списком (на порте коммутатора) 1 группа (ист.) * 30 (назнач.) * 4 разрешения = 120 записей ACE С использованием SGACL 4 SGT (ист.) * 3 SGT (назнач.) * 4 разрешения = 48 записей ACE
  45. 45. Эффективность SGACL в эксплуатации (2)• Предположим, что в текущей технологии межсетевого экрана мы не указываем конкретный источник (источник = Any (любой))• 400 пользователей имеют доступ к 300 сетевым ресурсам с 4 разрешениями каждый С традиционным ACL-списком на межсетевом экране Любой (ист.) * 300 (назнач.) * 4 разрешения = 1200 записей ACE Традиционный ACL-список на интерфейсе VLAN маршрутизатора или межсетевого экрана — для группы-источника используются диапазоны адресов подсети 4 VLAN (ист.) * 300 (назнач.) * 4 разрешения = 4800 записей ACE На каждый IP-адрес источника на порте с загружаемым ACL-списком (на порте коммутатора) 1 группа (ист.) * 300 (назнач.) * 4 разрешения = 1200 записей ACE С использованием SGACL 4 SGT (ист.) * 3 SGT (назнач.) * 4 разрешения = 48 записей ACE
  46. 46. Role to SGT Binding and SGACL – Egress Policy Rules Source Security Group Destination Security Group SGACLS (Dec/Hex) (Dec/Hex) Contractor (10/A) Server A (111/6F) Permit All Contractor (10/A) Server B (222/DE) Deny All Server C (333/14D) Contractor (10/A) Deny All HR (30/1E) Server A (111/6F) Deny All HR (30/1E) Server B (222/DE) SGACL-D HR (30/1E) Server C (333/14D) Permit All permit tcp src dst eq 1433 #remark destination SQL permit permit tcp src eq 1433 dst #remark source SQL permit  All SGTs are mapped to SGACL using Egress Policy permit tcp src dst eq 80 Rules # web permit permit tcp src dst eq 443  Content of SGACL and whole matrix entries are # secure web permit provisioned to TrustSec capable devices deny all 46
  47. 47. How To Create SGT Policy – Egress Table Destination SGT Source Public Portal Internal Portal ACME Portal HR Server SGT (SGT 8) (SGT 9) (SGT 5) (SGT 6) Web WebIT Maintenance ACL Web No Access File Share HR User (SGT 4) permit tcp dst eq 443 permit tcp dst eq 80 Webpermit tcp Webeq 22 dst permit tcp dst eq 3389 SSHpermit tcp SSHeq 135 SSH dst RDP RDPpermit tcp RDPeq 136 dst Full Access permit tcp dst eq 137 File Share File Share File Share permit tcp dst eq 138 IT Admin (SGT 7) permit tcp des eq 139 deny ip 4
  48. 48. SGACL Flow - Step 1: Policy Definition Step 1 SGT policy definition on ISE User A User C  ISE is configured for its policy and all endpoints need to be mapped to SGT in policy Campus Access TrustSec Enabled Network AD User Role SGT User A Contractor 10 User B Finance 20 Data Center User C HR 30 ISE Server Role IP SGT Server A Server B Server C Directory HTTP Server Server Group A 10.1.100.111 111 Service File Server Server Group B 10.1.100.222 222 SQL Server Server Group C 10.1.200.3 333 48
  49. 49. SGACL Flow - Step 2: SGT Assignment Classification Step 2 SGTs are assigned to role and bound to IP User A User C address  With 802.1X / MAB / Web Authentication, SGTs are assigned in an authorization policy via RADIUS  Access devices snoops ARP and / or DHCP for 802.1X / MAB / Web Auth Campus Access authenticated MAC Address, then bind assigned SGT to snooped IP Address  For Servers IP addresses are bound to SGT statically on access switch or dynamically looked up on ISE using IPM feature TrustSec Enabled Network AD User Role SGT User A Contractor 10 User B Finance 20 Data Center User C HR 30 30 10 ISE Server Role IP SGT Server A Server B Server C Directory HTTP Server Server Group A 10.1.100.111 111 Service File Server Server Group B 10.1.100.222 222 SQL Server Server Group C 10.1.200.3 333 333 222 111 49
  50. 50. SGACL Flow Step 3: SGACL Policy Provisioning Step 3 ISE provisions Egress Policy (SGT Matrix) to User A User C TrustSec capable Device  Each TrustSec capable device downloads policy from ISE 10 30 Campus Access TrustSec Enabled Network SRC DST Server A (111) Server B (222) Server C (333) User A (10) Permit all Deny all Deny all User B (20) SGACL-B SGACL-C Deny all Data Center User C (30) Deny all Permit all SGACL-D SGACL SGACL ISE SGACL-D permit tcp src dst eq 1433 #remark destination SQL permit Server A Server B Server C Directory permit tcp src eq 1433 dst Service #remark source SQL permit 111 222 333 permit tcp src dst eq 80 # web permit permit tcp src dst eq 443 # secure web permit deny all 50
  51. 51. SGACL Flow - Step 4: SGACL Enforcement (1) Step 4 Now TrustSec network is ready to enforce the User A User C policy  User’s traffic is tagged at ingress of TrustSec domain 10 30  SGT is carried when packet traverses within domain Campus Access  At egress port, TrustSec device looks up local policy Packets are tagged with SGT at ingress interface and drops packet if needed TrustSec Enabled Network SRC DST Server A (111) Server B (222) Server C (333) SGACL Applied User A (10) Permit all Deny all Deny all SGT10 to SGT111 Permit all User B (20) SGACL-B SGACL-C Deny all Data Center User C (30) Deny all Permit all SGACL-D Untagged Traffic CMD Tagged Traffic ISE Server A Server B Server C Directory Service 111 222 333 51
  52. 52. SGACL Flow - Step 5: SGACL Enforcement (2) Step 5 SGACL allows topology independent access User A User C control  Even another user accesses on same VLAN as previous 10 30 example, his traffic is tagged differently  If traffic is destined to restricted resources, packet will be Campus Access Packets are tagged with SGT at dropped at egress port of TrustSec domain ingress interface SRC DST Server A (111) Server B (222) Server C (333) TrustSec Enabled Network User A (10) Permit all Deny all Deny all SGACL-D is applied User B (20) SGACL-B SGACL-C Deny all SQL = OK SMB = NO User C (30) Deny all Permit all SGACL-D Data Center SGACL-D permit tcp src dst eq 1433 #remark destination SQL permit ISE permit tcp src eq 1433 dst #remark source SQL permit permit tcp src dst eq 80 Server A Server B Server C Directory # web permit Service permit tcp src dst eq 443 111 222 333 # secure web permit SQL traffic deny all SMB traffic SGACL 52
  53. 53. Network Device Admission Control NDAC  Network Device Admission Control (NDAC) provides strong mutual authentication (EAP-FAST) to form trusted domain  Only SGT from trusted peer is honored  Authentication leads to Security Association Protocol (SAP) to negotiate keys and cipher suite for encryption automatically (mechanism Customer Benefits defined in 802.11i)  Mitigate rogue network devices, establish trusted network fabric to ensure SGT integrity and its privilege  802.1X-2010/MKA will replace SAP for switch  Automatic key and cipher suite negotiation for strong 802.1AE based encryption to switch encryption in the future  Trusted device acquires trust and policies from ISE server 53
  54. 54. Things to know about NDAC• NDAC was developed as part of TrustSec and is Cisco proprietary but in large part based on 802.1X. NDAC does not require hardware support but optionally may leverage a hardware credential store.• SAP is Cisco proprietary and based on the key exchange mechanism defined in 802.11i. 802.1X-2010/MKA will succeed and replace SAP in future Cisco products for switch to switch authentication.• Interoperability with other 802.1AE devices becomes more broadly available once 802.1X-2010 is supported by Cisco. Manual keying is supported in the interim 5
  55. 55. TrustSec Domain EstablishmentDevice Authentication (1) NDAC validates peer identity before peer  The first the circle of Trust! becomes device to communicate with ISE is called TrustSec Seed Device  NDAC uses EAP- FAST/MSCHAPv2 for EAP-FAST over authentication RADIUS Authorization  Credential (including PAC) is ISE Seed Device (PAC, Env Data, Policy) ISE stored in hardware key store 55
  56. 56. TrustSec Domain Establishment Device Authentication (2) As device connects to its peer, TrustSec domain expands its border of trust  If the device does not have information to connect to ISE, the device is called non-Seed Device  When next device connects to device, Role determination process occurs per link basis, and both Authenticator and Supplicant role are determined. Authenticator Supplicant  First peer to gain ISE server connectivity wins authenticator Supplicant role. Once authenticator role is determined, the device Non-Seed Device terminates supplicant role by itself. 802.1X NDAC  In case of tie, lower MAC address wins Non-Seed Device 802.1X NDAC Supplicant 802.1X NDAC Seed Device ISE ISE Seed Device Authenticator 56
  57. 57. NDAC Completion CTS7K-CORE CTS7K-DS 10.1.50.1 10.1.50.1CTS7K-CORE# show cts interface ethernet 1/15 CTS7K-DC# show cts interface ethernet 1/3CTS Information for Interface Ethernet1/15: CTS Information for Interface Ethernet1/3: CTS is enabled, mode: CTS_MODE_DOT1X CTS is enabled, mode: CTS_MODE_DOT1X IFC state: CTS_IFC_ST_CTS_OPEN_STATE IFC state: CTS_IFC_ST_CTS_OPEN_STATE Authentication Status: CTS_AUTHC_SUCCESS Authentication Status: CTS_AUTHC_SUCCESS Peer Identity: CTS7K-DC Peer Identity: CTS7K-CORE Peer is: CTS Capable Peer is: CTS Capable 802.1X role: CTS_ROLE_SUP 802.1X role: CTS_ROLE_AUTH Last Re-Authentication: Last Re-Authentication: Authorization Status: CTS_AUTHZ_SUCCESS Authorization Status: CTS_AUTHZ_SUCCESS PEER SGT: 2 PEER SGT: 2 Peer SGT assignment: Trusted Peer SGT assignment: TrustedSAP Status: CTS_SAP_SUCCESS SAP Status: CTS_SAP_SUCCESS Configured pairwise ciphers: GCM_ENCRYPT Configured pairwise ciphers: GCM_ENCRYPT Replay protection: Enabled Replay protection: Enabled Replay protection mode: Strict Replay protection mode: Strict Selected cipher: GCM_ENCRYPT Selected cipher: GCM_ENCRYPT Current receive SPI: sci:18bad853520000 an:2 Current receive SPI: sci:18bad853460000 an:2 Current transmit SPI: sci:18bad853460000 an:2 Current transmit SPI: sci:18bad853520000 an:2 57
  58. 58. Confidentiality and Integrity 802.1AE based Encryption• * NIST Special Publication 800-38D (http://csrc.nist.gov/publications/nistpubs/800-38D/SP-800-38D.pdf) • TrustSec provides Layer 2 hop-by-hop encryption and integrity, based on IEEE 802.1AE standard 802.1AE • 128bit AES-GCM (Galois/Counter Mode) – NIST Approved * • Line rate Encryption / Decryption for both 10GbE/1GbE interface • Replay Protection of each and every frame • 802.1AE encryption to protect CMD field (SGT value) Customer Benefits  Protects against man-in-the-middle attacks (snooping, tampering, replay)  Standards based frame format and algorithm (AES-GCM)  802.1X-2010/MKA addition supports per-device security associations in shared media environments (e.g. PC vs. IP Phone) to provide secured communication  Network service amenable hop-by-hop approach compared to end-to-end approach (e.g. Microsoft Domain Isolation/virtualization) 58
  59. 59. TrustSecШифрование MACSec Finance Admin = Must Encrypt ISE 1.0 MACSec in Action Authentication Finance Admin Successful! &^*RTW#(*J^*&*sd#J$%UJ&( &^*RTW#(*J^*&*sd#J$%UJ&( AnyConnect 802.1X 3.0 Cat3750X Catalyst 6500 or Nexus 7000Уже сейчас поддерживается:•Шифрование MACSec в DC между Nexus 7000•Шифрование пользовательских интерфейсов от AnyConnect кCatalyst 3KX (MKA)TrustSec 2.0 добавляет:•Шифрование коммутатор-коммутатор: Catalyst 3K-X, 6500, Nexus7000•Шифрование использует SAP, а не MKA для генерации ключей
  60. 60. TrustSec 2.0 Обеспечение сквозного шифрования из конца в конец Guest User Data sent in clear Authenticated User Encrypt Decrypt 802.1X &^*RTW#(*J^*&*sd#J$%UJ&( &^*RTW#(*J^*&*sd#J$%UJWD&( Supplicant with MACSec MACSec Capable Devices (New Switch-to-Switch Encryption) MACSec Link Cisco Catalyst 3KX Cisco Catalyst 6K (SUP-2T) Cisco Catalyst 4K• 1G – на • Шифрование между •Шифрование между существующих коммутаторами коммутаторами портах • SUP 2T модуль •4500E : Sup7-E• 10G – требуется аплинки и 47xx новый сервис- линейные карты (FCS модуль 3KX 2H CY11)
  61. 61. 802.1AE (MacSec) Tagging TrustSec Frame Format Authenticated Encrypted DMAC SMAC 802.1AE Header 802.1Q CMD ETYPE PAYLOAD ICV CRC 0x88e5 MISEec EtherType TCI/AN SL Packet Number SCI (optional) MISEec Tag Format 61
  62. 62. Hop-by-Hop Encryption via IEEE802.1AE• “Bump-in-the-wire” model -Packets are encrypted on egress -Packets are decrypted on ingress -Packets are in the clear in the device• Allows the network to continue to perform all the packet inspection features currently used Decrypt at Encrypt at Ingress Egress everything in clear 01101001010001001 01101001010001001 128bit AES GCM Encryption 128bit AES GCM Encryption 128bit AES GCM Encryption01001010001001001000101001001110101 011010010001100010010010001010010011101010 01101001000110001001001000 ASIC 62
  63. 63. Migration Protocol – SGT eXchange Protocol (SXP)• SXP is used to exchange IP-to-SGT bindings between TrustSec hardware (tagging/enforcement) capable and software only devices.• SXP communicates the IP-to-SGT binding “out of band” of the IP packet• SXP accelerates deployment of SGTs – Allows classification at the access edge without hardware upgrade – Allows communication from access edge to enforcement device• Supported on: Catalyst 6500, 4500/4900, 3750, 3560, 2960S*, Nexus 7000/5500 switches, Wireless LAN Controller, ISRG2 and ASR1K – Not all switches can perform all the SXP functions due to underlying hardware restrictions – ASR, Catalyst 6500 Sup2T, Nexus 7000 only can take IP/SGT and then tag egress traffic or enforce policy * - August/Sept. release of IOS 6
  64. 64. IP-SGT Binding Exchange with SXP TCP-based SXP is established between Non-TrustSec User A User C capable and TrustSec-Capable devices  User is assigned to SGT 10 30  Switch binds endpoint IP address and assigned SGT Non TrustSec Switch builds binding  Switch uses SXP to send binding table to TrustSec capable device table capable device  TrustSec capable device tags packet based on source IP address when packet appears on forwarding table SXP SXP SXP IP-SGT Binding Table Packets are tagged with SGT based on TrustSec source IP Address capable device IP Address SGT Interface 10.1.10.1 10 Gig 2/10 Data Center 10.1.30.4 30 Gig 2/11 ISE User A User C Server A Server B Server C Directory Untagged Traffic Untagged Traffic Service CMD Tagged Traffic CMD Tagged Traffic 111 222 333 Once SGT is tagged, then SGACL can be applied 64
  65. 65. SGT Exchange Protocol (SXP) Details• Uses TCP for transport protocol• TCP port 64999 for connection initiation• Use MD5 for authentication and integrity check• Two roles: Speaker (initiator) and Listener (receiver)• Communication is unidirectional 6
  66. 66. Reference SlideSXP Flow IP Src: 10.1.3.2 Dst: 10.1.3.1 TCP Src Port: 16277 Dst Port: 64999 Flags: 0x02 (SYN) IP Src: 10.1.3.1 Dst: 10.1.3.2 TCP Src Port: 64999 Dst Port: 16277 Flags: 0x12 (SYN, ACK) IP Src: 10.1.3.2 Dst: 10.1.3.1 TCP Src Port: 16277 Dst Port: 64999 Flags: 0x10 (ACK) TCP SYN Speaker Listener TCP SYN-ACK TCP ACK CTS6K CTS7K 10.1.3.2 10.1.3.1 ISE 1.1 10.1.10.100 (SGT6) SXP OPEN IP Src: 10.1.3.2 Dst: 10.1.3.1 TCP Src Port: 16277 Dst Port: 64999 Flags: 0x10 ( ACK) SXP OPEN_RESP SXP Type: Open Version: 1 SXP UPDATE Device ID: CTS6K IP Src: 10.1.3.1 Dst: 10.1.3.2 TCP Src Port: 64999 Dst Port: 16277 Flags: 0x18 (PSH, ACK) SXP Type: Open_Resp Version: 1 Device ID: CTS7K IP Src: 10.1.3.2 Dst: 10.1.3.1 TCP Src Port: 16277 Dst Port: 64999 Flags: 0x10 (ACK) SXP Type: Update Update Type: Install IP Address: 10.1.10.100 SGT: 6 6
  67. 67. SXP Connection Types Single-Hop SXP SXP Speaker Listener Non-TrustSec Domain ISE TrustSec Enabled SW TrustSec Capable HW Multi-Hop SXP SXP SXP Speaker Listener Speaker Listener ISE TrustSec TrustSec TrustSec Capable HW Enabled SW Enabled SW Speaker SXP TrustSec Enabled SW 67
  68. 68. WLC - SGT Assignment and Learning• SXP is enabled on WLC and TCP connection is established with Peer Switch• Wireless Client is 802.1x authenticated; SGT assignment is provided as VSA from ISE.• WLC knows the IP address and SGT for Client and updates with Peer SGT capable switch.• WLC will Delete Binding message with Peer whenever client is de-authenticated.• Bulk Update: SXP-enabled WLC will push IP-SGT bindings for all associated clients to Peers Sales SXP Capable WLC 802.1x authenticated 1 SXP Capable Access-Accept w/ SGT VSA Switch 2 DHCP Discover Request / Response 3 SGT IP Address 10 10 10.1.100.3 Update IP-SGT Binding via SXP 4 6
  69. 69. SGTs with Monitor Mode Egress Enforcement  Security Group ACL HR Server Campus ACME Server Network Users, Catalyst® Switches Endpoints Nexus® 7000/Cat (3K/4K/6K) 6K AUTH=OK ACME Server Monitor Mode SGT= HR User (10) authentication port-control auto ISE HR Server ACME Server authentication open SRC DST dot1x pae authenticator (111) (222) ACME Deny all Permit all User(8) HR User Permit all Permit all (10) Unknown (0) Deny all Deny all 1. User connects to network 2. Monitor mode allows traffic from endpoint before authentication 3. Authentication is performed and results are logged by ISE 4. Traffic traverse to Data Center and hits SGACL at egress enforcement point 5. Only permitted traffic path (source SGT to destination SGT) is allowed 69
  70. 70. Policy for Today’s Business Requirement Identity Other Access Information Conditions Privilege Identity: Consultant Network Administrator Time and Date Human Resources + Identity: Finance Full-Time Employee Location Marketing Identity: Guest Guest Access Type Deny Access 70
  71. 71. SGA with LocationPrivacy Requirements – Require Proper Location Egress Enforcement  Security Group ACL Nexus® 7000/Cat 6K HR Server Campus X ACME Server Network HR User Catalyst® Switches not in proper (3K/4K/6K) locale AUTH=OK ACME Server SGT=HR Off Site (8) ISE HR Server ACME Server SRC DST Unknown (111) (222) HR Off Site (8) Deny all Permit all Permit all HR User (10) Permit all Permit all Permit all Guest (30) Deny all Deny all Permit all 1. User connects to network 2. Pre-Auth ACL only allows selective service before authentication 3. Authentication is performed and results are logged by ISE. dACL is downloaded along with SGT 4. Traffic traverse to Data Center and hits SGACL at egress enforcement point 5. Traffic Denied Due to improper location of HR User 71
  72. 72. SGT Assignment - Classification Campus/Mobile endpoints  Every endpoint that touches TrustSec domain is classified with SGT  SGT can be sent to switch via RADIUS authorization after: • via 802.1X Authentication Full integration with • via MAC Authentication Bypass Cisco Identity • via Web Authentication Bypass Solution and ISE • Or Static IP-to-SGT binding on SW Just like VLAN Assignment or dACL, we assign SGT in authorization process Data Center / Servers  Every server that touches TrustSec domain is classified with SGT  SGT is usually assigned to those servers: • via Manual IP-to-SGT binding on TrustSec device IP-to- • via ID-to-Port Mapping ID-to- • VLAN – SGT* • Subnet – SGT** * Catalyst 3K-X and Sup2T ** Sup2T only 7
  73. 73. SGT Assignment – Access Layer Classification Cat2K Cat3K Cat4K Cat6K ISR WLC NotesDynamic 802.1X X X X X X X MAB X X X X X X Web Auth X X X X X XStatic Port X X - X - - Definition Layer 2 X X - X - - Dynamic Identity to query to ISE Port for SGT based Mapping “identity on port” VLAN/SGT - X* - X - - 3K-X only for CY12 Subnet/SGT - - - X - - Via Sup2T Layer 3 - - - X - - Based on Identity to routes Port learned from Mapping port via dynamic routing 7
  74. 74. SGT Migration Strategy - VLAN-SGT* Assignment User 1 – HR Admin 3rd Party or Legacy Switches/Aps Trunk Connection VLAN 10 -> HR-User: SGT (10/000A) VLAN 11 -> HR-Admin: SGT (11/000B) 802.1X RADIUS ISE 1.1 HR Admin MAC:0050.56BC.14AE Cat6500/Sup2T Access-Accept MAC Address Port VLAN Port Open! 0050.56BC.14AE G0/0 11 ARP /DHCP Request / Response 11.11.11.11/32 IP Device Tracking (ARP/DHCP inspection) MAC Address Port SGT IP Address NX7010 0050.56BC.14AE Fa2/1 11/000B 11.11.11.11 SXP Binding Table Cat6503 Tagging SRC: 11.11.11.11 SGT (11/000B) 11.11.11.11 * - There are limits of the number of VLANs supported per platform 7
  75. 75. SGT Migration Strategy - VLAN-SGT* Assignment User 2 – HR User 3rd Party or Legacy Switches/APs Trunk Connection VLAN 10 -> HR-User: SGT (10/000A) VLAN 11-> HR-Admin: SGT (11/000B) 802.1X RADIUS ISE 1.1 HR User MAC:0070.56BC.237B Cat6500/Sup2T Access-Accept MAC Address Port VLAN Port Open! 0070.56BC.237B G0/0 10 ARP /DHCP Request / Response 10.1.10.100/32 IP Device Tracking (ARP/DHCP inspection) MAC Address Port SGT IP Address NX7010 0070.56BC.237B Fa2/1 10/000B 10.1.10.100 SXP Binding Table Cat6503 Tagging SRC: 10.1.10.100 SGT (10/000A) 10.1.10.100 * - There are limits of the number of VLANs supported 7
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×