安全策略需要如影随形

那么可否设计出一种“如影随形”的智能网络访问控制管理方式呢?为此，思科在新的Catalyst 6500 Sup 2T管理引擎及6900系列线卡上新增设了通过ASIC实现的SGT(安全组标签)与SGACL(安全组访问控制列表)功能。

要想实现“如影随形”的访问控制，最简捷的方式就是通过交换机ASIC芯片为用户的流量打上标记，并在后续的转发控制中依据该标记来执行动作，思科把这种安全标记称为SGT。这样无论用户是从外网，还是从内网的不同区域进行访问均可以迅速对用户身份进行判断并标记对应的流量，再依据相应管理权限进行管理，对应的安全管理策略称为SGACL。SGT和SGACL的灵活应用能改变当前基于IP地址的传统ACL复杂部署方式，用户不再需要在每台交换机上依据源目的地址等元素进行大量的ACL手工配置，而是通过思科ISE(身份服务引擎)根据用户身份验证来实现SGT/SGACL的动态绑定和下发，极大简化了安全管理部署，结合ISE的丰富特性，更能真正实现任何时间，任何地点，任何设备的无边界网络智能安全管理目标。

当Sup 2T及6900线卡开启SGT和SGACL功能后，凭借其基于ASIC的强大处理能力，可以依据用户、接入点、接入设备类型等规则设计自动的为用户流量打上相应的安全组标签。安全组标签十分小巧，仅需要4个字节的长度，并且完全在硬件层面处理完成，因此在网络数据转发过程中，几乎不会对数据转输性能造成影响。

在实际验证测试中，我们通过不同的路由地址发出标有不同SGT标记的数据报文，并对这些数据报文通过SGACL进行统计分析。测试结果表明，6500在开启SGACL后，数据包丢包率为“0”，使能SGT/SGACL之后没有影响正常业务转发性能。并且可以及时准确的对SGT标记源目标进行分析并按SGACL的规则进行归类。(摘录SGT命令行显示如下：)

CNW.6506.S2T.VSS#sho cts role sgt-map all

Active IP-SGT Bindings Information

IP Address SGT Source

============================================

12.12.12.12 1212 INTERNAL

12.45.0.0/24 1245 CLI

12.45.0.254 1212 INTERNAL

12.49.0.0/24 1249 CLI

12.49.0.254 1212 INTERNAL

100.1.1.1 1212 INTERNAL

IP-SGT Active Bindings Summary

============================================

Total number of CLI bindings = 2

Total number of INTERNAL bindings = 4

Total number of active bindings = 6

为用户的数据流进行SGT标记只是基础，我们还需要为不同SGT的用户进行不同的访问权限管理。在这里就需要应用到Sup 2T及6900线卡的SGACL功能了。SGACL功能把普通ACL和用户SGT关联起来，可依据SGT对用户访问请求进行有效的安全策略管理。我们通过SGACL的管理容量表了解到其可以支持至少32000条SGACL的策略管理。