Cisco Cisco ASA 5580 Adaptive Security Appliance Leaflet

Page of 1214
 
1-30
思科 ASA 系列命令参考,命令
 
 1       same-security-traffic  shape 命令
  security-group-tag value
security-group-tag value
要在
 LOCAL 用户数据库以及 VPN 会话的组策略中配置安全组标记属性,请在组策略配置模式下
使用
 security-group-tag value 命令。要删除安全组标记属性,请使用此命令的 no 形式。
security-group
-tag value sgt
no security-group
-tag value sgt
语法说明
命令默认
此命令的默认形式为
 security-group-tag none,这意味着此属性集中没有安全组标记。
命令模式
下表展示可输入此命令的模式:
命令历史
使用指南
ASA 9.3(1) 版完全支持 VPN 会话的安全组标记。安全组标记 (SGT) 可以分配到使用外部 AAA 服
务器的
 VPN 会话,或通过本地用户数据库配置分配。此标记然后可在第二层以太网上通过 Cisco 
TrustSec 系统传播。安全组标记适用于组策略,当 AAA 服务器无法提供 SGT 时可用于本地用户。
如果在
 AAA 服务器的属性中没有 SGT 可分配到 VPN 用户,ASA 将使用默认组策略中的 SGT。
如果组策略中也没有
 SGT,则会分配标记 0x0。
远程用户连接服务器的常见步骤
1.
用户连接到
 ASA。
2.
ASA 向 ISE 请求 AAA 信息,其中可能包括 SGT。ASA 同时为用户的隧道流量分配 IP 地址。
3.
ASA 使用 AAA 信息进行身份验证和创建隧道。
4.
ASA 使用 AAA 信息中的 SGT 和分配的 IP 地址在第 2 层报头中添加 SGT。
5.
包含
 SGT 的数据包传递到 Cisco TrustSec 网络中的下一个对等设备。
示例
以下示例展示如何为指定的组策略或
 LOCAL 用户名属性集配置 SGT 属性:
ciscoasa(config-group-policy)# security-group-tag value 101 
sgt
指定安全组标记编号。
命令模式
防火墙模式
安全情景
路由
透明
单个
多个
情景
系统
组策略配置
版本
修改
9.3(1)
我们引入了此命令。