1、Cisco TrustSec的限制
當指定了無效的設備ID時，受保護的訪問憑據（Protected access credential，PAC）設置將失敗並保持掛起狀態。 即使在清除PAC並配置正確的設備ID和密碼後，PAC仍然會失敗。
作為解決方法，在思科身份服務引擎（ISE）中，取消選中Administration> System> Settings> Protocols> Radius菜單中的“Suppress Anomalous Clients”選項，以使PAC工作。

2、關於Cisco TrustSec架構

Cisco TrustSec安全體系結構通過建立可信網絡設備的域

Cisco TrustSec使用在身份驗證期間獲取的設備和用戶憑據，來分類通過安全組（Security Groups，SG）進入網絡時的數據包。 通過在入口處將數據包標記到Cisco TrustSec網絡來維護此數據包分類，以便在數據路徑中應用安全性和其他策略標準時，可以正確識別它們。

稱為安全組標記（Security Group Tag，SGT）的Tag允許網絡通過終端對SGT進行操作來過濾流量以執行訪問控制策略。

註意：Cisco IOS XE Denali和Everest版本支持的平臺不支持Cisco TrustSec IEEE 802.1X鏈接，因此僅支持Authenticator，而 Supplicant（請求者）不被支持。

Cisco TrustSec架構包含三個關鍵組件：

經過身份驗證的網絡基礎架構——在第一個設備（稱為種子設備）通過身份驗證服務器進行身份驗證以啟動Cisco TrustSec域後，添加到域中的每個新設備都將由域中已有的對等設備進行身份驗證。對等體充當域的認證服務器的中介。每個新認證的設備由認證服務器分類，並根據其身份，角色和安全狀態分配安全組編號。

基於安全組的訪問控制—— Cisco TrustSec域內的訪問策略與拓撲無關，基於源和目標設備的角色（由安全組編號指示）而不是網絡地址。各個數據包使用源的安全組編號進行標記。

安全通信—— 使用具有加密功能的硬件，可以通過加密，消息完整性檢查和數據路徑重放保護機制的組合來保護域中設備之間每條鏈路上的通信。

如下圖展示的是一個Cisco TrustSec域。在這個示例中，有多個網絡設備和一個在域內的終端。另外，還有一個網絡設備和一個終端在域外，因為他們不是支持Cisco TrustSec的設備或者因為他們被拒絕接入。

認證服務器被視作是Cisco TrustSec域外的；它可以是ISE，也可以是ACS。

Cisco TrustSec身份驗證過程中的每個參與者都扮演以下角色之一：

• Supplicant（請求者）——未經身份驗證的設備，連接到Cisco TrustSec域內的對等方，並嘗試加入Cisco TrustSec域。
• Authentication Server（身份驗證服務器）——驗證請求者身份的服務器，並發出確定請求者對Cisco TrustSec域內服務的訪問權限的策略。
• Authenticator（認證者）——已經過身份驗證的設備，它已經是Cisco TrustSec域的一部分，可以代表身份驗證服務器對新的對等請求者進行身份驗證。

當請求者和認證者之間的鏈接首次出現時，通常會發生以下事件序列：
1.認證（802.1X）——請求者由身份驗證服務器進行身份驗證，認證這充當中介。在兩個對等體（請求者和認證者）之間執行相互認證。
2.授權——基於請求者的身份信息，認證服務器向每個鏈接的對等體提供授權策略，例如SG安全組分配和ACL。身份驗證服務器將每個對等方的身份提供給另一方，然後每個對等方為鏈路應用適當的策略。
3.SAP協商——（Security Association Protocol-SAP，安全關聯協議）當鏈路的兩端都支持加密時，請求者和認證者協商必要的參數以建立安全關聯（SA）。

完成上述三個步驟後，認證者會將鏈路狀態從未授權unauthorized（blocking阻塞）狀態更改為authorized授權狀態，並且請求者成為Cisco TrustSec域的成員。

Cisco TrustSec使用入口標記和出口過濾以可擴展的方式實施訪問控制策略。
進入域的數據包標記有安全組標記（SGT），其中包含源設備的已分配安全組編號。 此數據包分類沿Cisco TrustSec域內的數據路徑維護，以便應用安全性和其他策略標準。 數據路徑上的最終Cisco TrustSec設備即終端或網絡出口，根據Cisco TrustSec源設備的安全組和最終Cisco TrustSec設備的安全組實施訪問控制策略。 與基於網絡地址的傳統訪問控制列表不同，Cisco TrustSec訪問控制策略是一種基於角色的訪問控制列表（Role-Based Access Control Lists ，RBACL），稱為安全組訪問控制列表（SGACL）。

註意：Ingress指的是數據包在到達目的地的路基上經過的第一個支持Cisco TrustSec的設備，而egress指在該路徑上數據包離開的最後一個支持Cisco TruckSec的設備。

Cisco TrustSec and Authentication

使用網絡設備準入控制（NDAC），Cisco TrustSec在允許設備加入網絡之前對其進行身份驗證。
NDAC使用結合EAP靈活身份驗證的802.1X認證，通過安全隧道（EAP-FAST）作為可擴展身份驗證協議（EAP）的方式來執行身份驗證。
EAP-FAST對話使用鏈提供EAP-FAST隧道內的其他EAP方法交換。管理員可以使用傳統的用戶身份驗證方法，例如（MSCHAPv2），同時仍具有EAP-FAST隧道提供的安全性。在EAP-FAST交換期間，身份驗證服務器創建並向請求者傳遞唯一的受保護訪問憑證（PAC），其包含共享密鑰（Shared key）和加密令牌（Encrypted Token），以用於將來與身份驗證服務器的安全通信。下圖顯示了Cisco TrustSec中使用的EAP-FAST隧道方式及方法。

Cisco TrustSec（理解）