Cisco Cisco ASA 5580 Adaptive Security Appliance 产品宣传页

思科 ASA 系列命令参考，S 命令

第 1 章      same-security-traffic 至 shape 命令

要向安全对象组添加安全组以用于

 Cisco TrustSec，请在对象组安全配置模式下使用 

 命令。要删除安全组，请使用此命令的 no 形式。

 {tag sgt# | name sg_name}

 {tag sgt# | name sg_name}

语法说明

命令默认

没有默认行为或值。

命令模式

下表展示可输入此命令的模式：

命令历史

使用指南

例如，您可以通过在扩展

 ACL 中包含组来创建用于支持 Cisco TrustSec 的功能的安全组对象组，

该组然后又可用于访问规则。

与

 Cisco TrustSec 集成时，ASA 将从 ISE 下载安全组信息。ISE 用作身份存储库，向用户身份映

射提供

 Cisco TrustSec 标记，向服务器资源映射提供 Cisco TrustSec 标记。在 ISE 上集中调配和管

理安全组访问列表。

但是，

ASA 可能有未在全局定义的本地化网络资源，需要具有本地化安全策略的本地安全组。本

地安全组可能包含下载自

 ISE 的嵌套安全组。ASA 将合并本地和中心安全组。

要在

 ASA 上创建本地安全组，需创建本地安全对象组。本地安全对象组可以包含一个或多个嵌

套的安全对象组或安全

 ID 或安全组名称。用户还可以创建 ASA 上不存在的新安全 ID 或安全组

名称。

您可以使用在

 ASA 上创建的安全对象组来控制对网络资源的访问。您可以将安全对象组用作访

问组或服务策略的一部分。

 sgt#

将安全组对象指定为内联标记。为

 Tag 安全类型输入 1-65533 的数字。

SGT 通过 IEEE 802.1X 身份验证、网络身份验证或 MAC 身份验证旁路 
(MAB) 由 ISE 分配到设备。安全组名称创建于 ISE 上，为安全组提供便
于用户使用的名称。该安全组表将

 SGT 映射到安全组名称。

 sg_name

将安全组对象指定为命名对象。为

 Name 安全类型输入区分大小写的 32 

字节字符串。

 可以包含任何字符，包括 [a-z]、[A-Z]、[0-9]、

[!@#$%^&()-_{}.]。

命令模式

防火墙模式

安全情景

路由

透明

单个

多个

情景

系统

对象组安全配置

是

是

是

是

—

版本

修改

9.0(1)

我们引入了此命令。