CISCO Configuring Security Group Tag Kartering

Produk inligting

Die produk maak voorsiening vir die opstel van sekuriteitsgroep tag (SGT) kartering. Hierdie kenmerk bind 'n SGT aan alle gasheeradresse van 'n gespesifiseerde subnet. Sodra hierdie kartering geïmplementeer is, lê Cisco TrustSec die SGT op enige inkomende pakkie wat 'n bron-IP-adres het wat aan die gespesifiseerde subnet behoort.

Beperkings vir SGT-kartering
Die volgende opdrag word nie vir gasheer IP-konfigurasie ondersteun nie: Device(config)#cts role-based sgt-map 0.0.0.0 sgt 1000

verbyview van Subnet-na-SGT-kartering

• Subnet-tot-SGT-kartering bind 'n SGT aan alle gasheeradresse van 'n gespesifiseerde subnet. Cisco TrustSec plaas die SGT op 'n inkomende pakkie wanneer die pakkie se bron-IP-adres aan die gespesifiseerde subnet behoort. Die subnet en SGT word in die CLI gespesifiseer met diects role-based sgt-map net_address/prefix sgt sgt_number globale konfigurasie opdrag. 'n Enkele gasheer kan ook met hierdie opdrag gekarteer word.
• In IPv4-netwerke kan Security Exchange Protocol (SXP) v3, en meer onlangse weergawes, subnetnet_adres/voorvoegselstringe van SXPv3-eweknieë ontvang en ontleed. Vroeëre SXP-weergawes omskep die subnet-voorvoegsel in sy stel gasheerbindings voordat dit na 'n SXP-luisteraar-eweknie uitgevoer word.
• Subnetbindings is staties, daar is geen leer van aktiewe gashere nie. Hulle kan plaaslik gebruik word vir SGT-oplegging en SGACL-afdwinging. Pakkies tagged deur subnet-na-SGT-kartering kan op Laag 2 of Laag 3 Cisco TrustSec-skakels gepropageer word.
• Vir IPv6-netwerke kan SXPv3 nie subnetbindings na SXPv2- of SXPv1-eweknieë uitvoer nie.

verbyview van VLAN-na-SGT-kartering

• Die VLAN-na-SGT-kartering-funksie bind 'n SGT aan pakkies vanaf 'n gespesifiseerde VLAN. Dit vereenvoudig die migrasie van nalatenskap na Cisco TrustSec-geskikte netwerke.
• Die VLAN-na-SGT-binding is gekonfigureer met die cts role-based sgt-map vlan-list globale konfigurasie opdrag.
• Wanneer 'n VLAN 'n poort toegewys word wat 'n geskakelde virtuele koppelvlak (SVI) is op 'n Cisco TrustSec-geskikte skakelaar, en IP Device Tracking is geaktiveer op daardie skakelaar, dan kan Cisco TrustSec 'n IP-na-SGT-binding vir enige aktiewe gasheer skep op daardie VLAN wat na die SVI-subnet gekarteer is.
• IP-SGT-bindings vir die aktiewe VLAN-gashere word na SXP-luisteraars uitgevoer. Die bindings vir elke gekarteerde VLAN word ingevoeg in die IP-na-SGT-tabel wat verband hou met die VRF waarna die VLAN gekarteer word deur óf sy SVI óf deur die cts role-based l2-vrf bevel.
• VLAN-na-SGT-bindings het die laagste prioriteit van alle bindingsmetodes en word geïgnoreer wanneer bindings van ander bronne ontvang word, soos vanaf SXP- of CLI-gasheerkonfigurasies. Bindende prioriteite word in die Binding Bron Priorities-afdeling gelys.

Produkgebruiksinstruksies

Stel subnet-na-SGT-kartering op

1. Toegang tot die toestel se CLI-koppelvlak.
2. Voer die konfigurasiemodus in met die config bevel.
3. Voer die volgende opdrag uit om subnet-na-SGT-kartering op te stel:

cts role-based sgt-map net_address/prefix sgt sgt_number

1. Vervang net_address/prefix met die subnetadres en voorvoegsellengte wat jy wil karteer (bv. 192.168.1.0/24).
2. Vervang sgt_number met die gewenste sekuriteitsgroep tag nommer.
3. Druk Enter om die konfigurasie toe te pas.
4. Verlaat die konfigurasiemodus.

Konfigureer VLAN-na-SGT-kartering

1. 1. Toegang tot die toestel se CLI-koppelvlak.
   2. Voer die konfigurasiemodus in met die config bevel.
   3. Voer die volgende opdrag uit om VLAN-na-SGT-kartering op te stel:

cts role-based sgt-map vlan-list

1. Spesifiseer die VLAN's wat na SGT's gekarteer moet word.
2. Druk Enter om die konfigurasie toe te pas.
3. Verlaat die konfigurasiemodus.

Spesifikasies

• Ondersteunde netwerke: IPv4, IPv6
• Ondersteunde protokolle: Sekuriteitsuitruilprotokol (SXP) v3
• Ondersteunde bindingsmetodes: Subnet-na-SGT-kartering, VLAN-na-SGT-kartering

Gereelde Vrae (Gereelde Vrae)

• V: Kan subnetbindings na SXPv2- of SXPv1-eweknieë in IPv6-netwerke uitgevoer word?
  A: Nee, subnetbindings kan slegs na SXPv3-eweknieë in IPv6-netwerke uitgevoer word.
• V: Wat is die prioriteit van VLAN-na-SGT-bindings?
  A: VLAN-na-SGT-bindings het die laagste prioriteit onder alle bindingsmetodes en word geïgnoreer wanneer bindings van ander bronne ontvang word.

Subnet na sekuriteitsgroep tag (SGT)-kartering bind 'n SGT aan alle gasheeradresse van 'n gespesifiseerde subnet. Sodra hierdie kartering geïmplementeer is, lê Cisco TrustSec die SGT op enige inkomende pakkie wat 'n bron-IP-adres het wat aan die gespesifiseerde subnet behoort.

Beperkings vir SGT-kartering

Beperkings vir subnet-na-SGT-kartering

• 'n IPv4-subnetwerk met 'n /31-voorvoegsel kan nie uitgebrei word nie.
• Subnetgasheeradresse kan nie aan Sekuriteitsgroep gebind word nie Tags (SGT)'s wanneer die netwerkkaartbindingsparameter minder is as die totale aantal subnetgashere in die gespesifiseerde subnette, of wanneer die bindings 0 is.
• IPv6 uitbreidings en verspreiding vind slegs plaas wanneer die Security Exchange Protocol (SXP) luidspreker en luisteraar SXPv3 of meer onlangse weergawes gebruik.

Beperking vir verstekroete SGT-kartering

• Verstek roete-konfigurasie word slegs met die subnet /0 aanvaar. Deur slegs die gasheer-ip sonder die subnet /0 in te voer, word die volgende boodskap vertoon:

Inligting oor SGT-kartering

Hierdie afdeling verskaf inligting oor SGT-kartering.

verbyview

verbyview van Subnet-na-SGT-kartering
Subnet-tot-SGT-kartering bind 'n SGT aan alle gasheeradresse van 'n gespesifiseerde subnet. Cisco TrustSec plaas die SGT op 'n inkomende pakkie wanneer die pakkie se bron-IP-adres aan die gespesifiseerde subnet behoort. Die subnet en SGT word in die CLI gespesifiseer met die cts-rolgebaseerde sgt-map net_address/prefix sgt sgt_number globale konfigurasieopdrag. 'n Enkele gasheer kan ook met hierdie opdrag gekarteer word. In IPv4-netwerke kan Security Exchange Protocol (SXP) v3, en meer onlangse weergawes, subnetnet_adres/voorvoegselstringe van SXPv3-eweknieë ontvang en ontleed. Vroeëre SXP-weergawes omskep die subnet-voorvoegsel in sy stel gasheerbindings voordat dit na 'n SXP-luisteraar-eweknie uitgevoer word.

Byvoorbeeldample, die IPv4-subnet 192.0.2.0/24 word soos volg uitgebrei (slegs 3 bisse vir gasheeradresse):

• Gasheeradresse 198.0.2.1 tot 198.0.2.7—tagged en gepropageer na SXP eweknie.
• Netwerk- en uitsaaiadresse 198.0.2.0 en 198.0.2.8—nie tagged en nie gepropageer nie.

Om die aantal subnetbindings wat SXPv3 kan uitvoer te beperk, gebruik die cts sxp mapping netwerk-kaart globale konfigurasie opdrag. Subnetbindings is staties, daar is geen leer van aktiewe gashere nie. Hulle kan plaaslik gebruik word vir SGT-oplegging en SGACL-afdwinging. Pakkies tagged deur subnet-na-SGT-kartering kan op Laag 2 of Laag 3 Cisco TrustSec-skakels gepropageer word. Vir IPv6-netwerke kan SXPv3 nie subnetbindings na SXPv2- of SXPv1-eweknieë uitvoer nie.

verbyview van VLAN-na-SGT-kartering
Die VLAN-na-SGT-kartering-funksie bind 'n SGT aan pakkies vanaf 'n gespesifiseerde VLAN. Dit vereenvoudig die migrasie van nalatenskap na Cisco TrustSec-geskikte netwerke soos volg:

• Ondersteun toestelle wat nie Cisco TrustSec-bevoeg is nie, maar VLAN-geskik is, soos verouderde skakelaars, draadlose beheerders, toegangspunte, VPN's, ens.
• Bied terugwaartse versoenbaarheid vir topologieë waar VLAN's en VLAN ACL's die netwerk segmenteer, soos bedienersegmentering in datasentrums.
• Die VLAN-na-SGT-binding is gekonfigureer met die cts-rolgebaseerde sgt-map vlan-list globale konfigurasieopdrag.
• Wanneer 'n VLAN 'n poort toegewys word wat 'n geskakelde virtuele koppelvlak (SVI) is op 'n Cisco TrustSec-geskikte skakelaar, en IP Device Tracking is geaktiveer op daardie skakelaar, dan kan Cisco TrustSec 'n IP-na-SGT-binding vir enige aktiewe gasheer skep op daardie VLAN wat na die SVI-subnet gekarteer is.
• IP-SGT-bindings vir die aktiewe VLAN-gashere word na SXP-luisteraars uitgevoer. Die bindings vir elke gekarteerde VLAN word ingevoeg in die IP-na-SGT-tabel wat geassosieer word met die VRF waarna die VLAN gekarteer word deur óf sy SVI óf deur die cts-rolgebaseerde l2-vrf-opdrag.
• VLAN-na-SGT-bindings het die laagste prioriteit van alle bindingsmetodes en word geïgnoreer wanneer bindings van ander bronne ontvang word, soos vanaf SXP- of CLI-gasheerkonfigurasies. Bindende prioriteite word in die Binding Bron Priorities-afdeling gelys.

Bindende Bron Prioriteite

Cisco TrustSec los konflikte tussen IP-SGT-bindende bronne op met 'n streng prioriteitskema. Byvoorbeeldample, 'n SGT kan toegepas word op 'n koppelvlak met die beleid {dinamiese identiteit eweknie-naam | statiese sgt tag} Cisco Trustsec Manual koppelvlakmodus-opdrag (Identity Port Mapping). Die huidige prioriteitstoepassingsbevel, van laagste (1) tot hoogste (7), is soos volg:

1. VLAN's: Bindings geleer van gesnoeide ARP-pakkies op 'n VLAN wat VLAN-SGT-kartering opgestel het.
2. CLI: Adresbindings gekonfigureer met behulp van die IP-SGT-vorm van die cts-rolgebaseerde sgt-map globale konfigurasie-opdrag.
3. SXP: Bindings geleer van SXP eweknieë.
4. IP_ARP: Bindings geleer wanneer tagged ARP-pakkies word op 'n CTS-geskikte skakel ontvang.
5. PLAASLIK: Bindings van geverifieerde gashere wat aangeleer word via EPM en toestelopsporing. Hierdie tipe binding sluit ook individuele gashere in wat aangeleer word via ARP-snuffel op L2 [I] PM-gekonfigureerde poorte.
6. INTERNE: Bindings tussen plaaslik gekonfigureerde IP-adresse en die toestel se eie SGT.

Let wel
As die bron-IP-adres ooreenstem met verskeie subnetvoorvoegsels met verskillende toegekende SGT's, dan geniet die langste voorvoegsel SGT voorrang tensy prioriteit verskil.

Verstekroete SGT

• Verstek Roete-sekuriteitsgroep Tag (SGT) ken 'n SGT-nommer aan verstekroetes toe.
• Verstekroete is daardie roete wat nie by 'n gespesifiseerde roete pas nie en dus die roete na die laaste oordbestemming is. Verstekroetes word gebruik om pakkies te rig wat aan netwerke gerig is wat nie eksplisiet in die roeteringtabel gelys is nie.

Hoe om SGT-kartering op te stel

Hierdie afdeling beskryf hoe om SGT-kartering op te stel.

Konfigureer 'n toestel SGT handmatig
In normale Cisco TrustSec-werking, ken die verifikasiebediener 'n SGT aan die toestel toe vir pakkies wat van die toestel afkomstig is. Jy kan 'n SGT met die hand konfigureer om gebruik te word as die stawingbediener nie toeganklik is nie, maar 'n verifikasie-bediener-toegewysde SGT sal voorrang geniet bo 'n hand-toegewysde SGT.

Voer hierdie taak uit om 'n SGT handmatig op die toestel op te stel:

Prosedure

	Bevel or Aksie	Doel
Stap 1	aktiveer	Aktiveer bevoorregte EXEC-modus.

	Example: Toestel# aktiveer	• Voer jou wagwoord in as jy gevra word.
Stap 2	konfigureer terminaal Example: Toestel# konfigureer terminaal	Gaan globale konfigurasiemodus in.
Stap 3	cts sgt tag Example: Toestel(konfigurasie)# sgt 1234	Aktiveer SXP vir Cisco TrustSec.
Stap 4	uitgang Example: Toestel(konfigurasie)# uitgang	Verlaat globale konfigurasiemodus en keer terug na bevoorregte EXEC-modus

Stel subnet-na-SGT-kartering op

Prosedure

	Bevel or Aksie	Doel
Stap 1	aktiveer Example: Toestel# aktiveer	Aktiveer bevoorregte EXEC-modus. • Voer jou wagwoord in as jy gevra word.
Stap 2	konfigureer terminaal Example: Toestel# konfigureer terminaal	Gaan globale konfigurasiemodus in.
Stap 3	cts sxp kartering netwerk-kaart bindings Example: Toestel(konfigurasie)# cts sxp kartering netwerk-kaart 10000	•  Stel die subnet na SGT-kartering gasheertellingbeperking op. Die bindings-argument spesifiseer die maksimum aantal subnet IP-gashere wat aan SGT'e gebind kan word en na die SXP-luisteraar uitgevoer kan word. •  bindings—(0 tot 65,535 0) verstek is XNUMX (geen uitbreidings uitgevoer nie)
Stap 4	cts rolgebaseerde sgt-kaart ipv4_adres/voorvoegsel Sgt nommer Example: Toestel(konfigurasie)# cts rolgebaseerde sgt-kaart 10.10.10.10/29 sgt 1234	(IPv4) Spesifiseer 'n subnet in CIDR-notasie. •  Gebruik die geen-vorm van die opdrag om die subnet-na-SGT-kartering te dekonfigureer. Die aantal bindings wat in Stap 2 gespesifiseer word, moet ooreenstem met of oorskry met die aantal gasheeradresse in die subnet (netwerk- en uitsaaiadresse uitgesluit). Die sgt number sleutelwoord spesifiseer die sekuriteit

		Groep Tag om aan elke gasheer gebonde te wees adres in die gespesifiseerde subnet. •  ipv4_address—Spesifiseer die IPv4-netwerkadres in stippel-desimale notasie. •  voorvoegsel—(0 tot 30) Spesifiseer die aantal bisse in die netwerkadres. •  Sgt nommer—(0–65,535) Spesifiseer die sekuriteitsgroep Tag (SGT) nommer.
Stap 5	cts rolgebaseerde sgt-kaart ipv6_adres::voorvoegsel Sgt nommer Example: Toestel(konfigurasie)# cts rolgebaseerde sgt-kaart 2020::/64 sgt 1234	(IPv6) Spesifiseer 'n subnet in kolon heksadesimale notasie. Gebruik die geen-vorm van die opdrag om die subnet-na-SGT-kartering te dekonfigureer. Die aantal bindings wat in Stap 2 gespesifiseer word, moet ooreenstem met of oorskry met die aantal gasheeradresse in die subnet (netwerk- en uitsaaiadresse uitgesluit). Die sgt number sleutelwoord spesifiseer die Sekuriteitsgroep Tag om aan elke gasheeradres in die gespesifiseerde subnet gebind te wees. •  ipv6_address—Spesifiseer IPv6-netwerkadres in kolon heksadesimale notasie. •  voorvoegsel—(0 tot 128) Spesifiseer die aantal bisse in die netwerkadres. •  Sgt nommer—(0–65,535) Spesifiseer die sekuriteitsgroep Tag (SGT) nommer.
Stap 6	uitgang Example: Toestel(konfigurasie)# uitgang	Verlaat globale konfigurasiemodus en keer terug na bevoorregte EXEC-modus.

Konfigureer VLAN-na-SGT-kartering

Taakvloei vir die opstel van VLAN-SGT-kartering op 'n Cisco TrustSec-toestel.

• Skep 'n VLAN op die toestel met dieselfde VLAN_ID van die inkomende VLAN.
• Skep 'n SVI vir die VLAN op die toestel om die verstekpoort vir die eindpuntkliënte te wees.
• Stel die toestel op om 'n SGT op die VLAN-verkeer toe te pas.
• Aktiveer IP-toestelopsporing op die toestel.
• Heg 'n toestelnasporingsbeleid aan 'n VLAN.

Let wel
In 'n multi-skakelaar netwerk bied SISF-gebaseerde toestelopsporing die vermoë om bindtabelinskrywings tussen skakelaars wat die funksie uitvoer, te versprei. Dit veronderstel dat bindende inskrywings geskep word op die skakelaars waar die gasheer op 'n toegangpoort verskyn, en geen inskrywing word geskep vir 'n gasheer wat oor 'n stampoort verskyn nie. Om dit in 'n multi-skakelaar opstelling te bereik, beveel ons aan dat jy 'n ander beleid konfigureer en dit aan die stampoort koppel, soos beskryf in die Configuring a Multi-Switch Network to Stop Creating Binding Entries from a Trunk Port-prosedure, in die Configuring SISF -Gebaseerde toestelopsporing-hoofstuk van die sekuriteitskonfigurasiegids.

• Verifieer dat VLAN-na-SGT-kartering op die toestel plaasvind.

Prosedure

	Bevel or Aksie	Doel
Stap 1	aktiveer Example: Toestel# aktiveer	Aktiveer bevoorregte EXEC-modus. • Voer jou wagwoord in as jy gevra word.
Stap 2	konfigureer terminaal Example: Toestel# konfigureer terminaal	Gaan globale konfigurasiemodus in.
Stap 3	vlan vlan_id Example: Toestel(konfigurasie)# vlan 100	Skep VLAN 100 op die TrustSec-bekwame poorttoestel en gaan VLAN binne konfigurasiemodus.
Stap 4	[nee] afskakeling Example: Toestel (config-vlan)# geen afsluiting nie	Bepalings VLAN 100.
Stap 5	uitgang Example: Toestel (config-vlan)# uitgang	Verlaat VLAN-konfigurasiemodus en keer terug na globale konfigurasiemodus.
Stap 6	koppelvlak tipe gleuf/poort Example: Toestel(konfigurasie)# koppelvlak vlan 100	Spesifiseer die koppelvlaktipe en gaan koppelvlakkonfigurasiemodus binne.
Stap 7	ip adres gleuf/poort Example: Toestel(config-if)# IP-adres 10.1.1.2 255.0.0.0	Konfigureer Switched Virtual Interface (SVI) vir VLAN 100.

Stap 8	[nee ] afskakeling Example: Toestel(config-if)# geen afsluiting nie	Aktiveer die SVI.
Stap 9	uitgang Example: Toestel(config-if)# uitgang	Verlaat koppelvlakkonfigurasiemodus en keer terug na globale konfigurasiemodus.
Stap 10	cts rol-gebaseerde sgt-map vlan-lys vlan_id Sgt sgt_nommer Example: Toestel(konfigurasie)# cts rolgebaseerde sgt-map vlan-list 100 sgt 10	Ken die gespesifiseerde SGT toe aan die gespesifiseerde VLAN.
Stap 11	toestelnasporingsbeleid polisnaam Example: Toestel(konfigurasie)# toestelnasporingsbeleid1	Spesifiseer die beleid en gaan toestelnasporingbeleidkonfigurasiemodus in.
Stap 12	opsporing in staat stel Example: Toestel(config-device-tracking)# dop aktiveer	Ignoreer die verstek toestelnasporinginstellings vir die beleidkenmerk.
Stap 13	uitgang Example: Toestel(config-device-tracking)# uitgang	Verlaat toestelnasporingbeleid-opstellingmodus en keer terug na globale opstellingmodus.
Stap 14	vlan-konfigurasie vlan_id Example: Toestel(konfigurasie)# vlan-konfigurasie 100	Spesifiseer die VLAN waaraan die toestelnasporingsbeleid gekoppel sal word, en gaan die VLAN-konfigurasiemodus in.
Stap 15	toestel-nasporing aanheg-beleid polisnaam Example: Toestel (config-vlan-config)# toestelnasporing aanhegbeleidbeleid1	Heg 'n toestelopsporingsbeleid aan die gespesifiseerde VLAN.
Stap 16	einde Example: Toestel (config-vlan-config)# einde	Verlaat VLAN-konfigurasiemodus en keer terug na bevoorregte EXEC-modus.
Stap 17	wys cts rolgebaseerde sgt-kaart {ipv4_netaddr | ipv4_netaddr/voorvoegsel | ipv6_netaddr | ipv6_netaddr/voorvoegsel |almal [ipv4 |ipv6] |gasheer { ipv4-adr |ipv6_addr } |opsomming [ ipv4 |ipv6 ]	(Opsioneel) Vertoon die VLAN-na-SGT-afbeeldings.

	Example: Toestel# wys cts rolgebaseerde sgt-map alles
Stap 18	wys toestelnasporingsbeleid polisnaam Example: Toestel# wys toestelnasporingsbeleid1	(Opsioneel) Vertoon die huidige beleidskenmerke.

Die nabootsing van die hardeware-sleutelstoor

In gevalle waar 'n hardeware-sleutelstoor nie teenwoordig is nie of onbruikbaar is, kan u die skakelaar opstel om 'n sagteware-emulasie van die sleutelstoor te gebruik. Om die gebruik van 'n sagteware-sleutelstoor op te stel, voer hierdie taak uit:

Prosedure

	Bevel or Aksie	Doel
Stap 1	aktiveer Example: Toestel# aktiveer	Aktiveer bevoorregte EXEC-modus. • Voer jou wagwoord in as jy gevra word.
Stap 2	konfigureer terminaal Example: Toestel# konfigureer terminaal	Gaan globale konfigurasiemodus in.
Stap 3	cts keystore emuleer Example: Toestel(konfigurasie)# cts keystore emuleer	Stel die skakelaar op om 'n sagteware-emulasie van die sleutelstoor in plaas van die hardeware-sleutelstoor te gebruik.
Stap 4	uitgang Example: Toestel(konfigurasie)# uitgang	Verlaat konfigurasiemodus.
Stap 5	wys sleutelstoor Example: Toestel# wys sleutelstoor	Vertoon die status en inhoud van die sleutelstoor. Die gestoorde geheime word nie vertoon nie.

Stel verstekroete SGT op

Voordat jy begin
Maak seker dat jy reeds 'n verstekroete op die toestel geskep het deur die ip route 0.0.0.0-opdrag te gebruik. Andersins kry die verstekroete (wat saam met die Standaardroete SGT kom) 'n onbekende bestemming en daarom sal die laaste uitwegbestemming na SVE wys.

Prosedure

	Bevel or Aksie	Doel
Stap 1	aktiveer Example: Toestel> aktiveer	Aktiveer bevoorregte EXEC-modus. • Voer jou wagwoord in as jy gevra word.
Stap 2	konfigureer terminaal Example: Toestel# konfigureer terminaal	Gaan globale konfigurasiemodus in.
Stap 3	cts rolgebaseerde sgt-kaart 0.0.0.0/0 sgt nommer Example: Device(config)# cts rolgebaseerde sgt-map 0.0.0.0/0 sgt 3	Spesifiseer die SGT-nommer vir die verstekroete. Geldige waardes is van 0 tot 65,519 XNUMX. Let wel                    • Die gasheeradres/subnet kan óf IPv4-adres (0.0.0.0/0) óf IPv6-adres (0:0::/0) wees. •  Die verstekroete konfigurasie word slegs met die subnet aanvaar /0. Deur slegs die gasheer-ip sonder die subnet /0 in te voer, word die volgende boodskap vertoon: Toestel(konfigurasie)#cts rol-gebaseerde sgt-kaart 0.0.0.0 sgt 1000 Verstekroetekonfigurasie word nie vir gasheer-ip ondersteun nie
Stap 4	uitgang Example: Device(config)# uitgang	Verlaat globale konfigurasiemodus.

Verifieer tans SGT-kartering

Die volgende afdelings wys hoe om SGT-kartering te verifieer:

Verifieer tans subnet-na-SGT-karteringkonfigurasie
Gebruik een van die volgende wys-opdragte om Subnet-to-SGT-kartering-konfigurasie-inligting te vertoon:

Bevel	Doel
wys cts sxp-verbindings	Vertoon die SXP-luidspreker- en luisteraarverbindings met hul operasionele status.
wys cts sxp sgt-kaart	Vertoon die IP na SGT-bindings wat na die SXP-luisteraars uitgevoer is.
wys running-config	Verifieer dat die subnet-na-SGT-konfigurasies-opdragte in die lopende opstelling is file.

Verifieer VLAN-na-SGT-kartering

Om VLAN-na-SGT-konfigurasie-inligting te vertoon, gebruik die volgende show-opdragte:

Tabel 1:

Bevel	Doel
wys toestelnasporingsbeleid	Vertoon die huidige beleidskenmerke van die toestelnasporingsbeleid.
wys cts rolgebaseerde sgt-kaart	Vertoon IP-adres-na-SGT-bindings.

Verifieer verstekroete SGT-konfigurasie

Verifieer die verstekroete SGT-konfigurasie:
toestel# wys rolgebaseerde sgt-map alle aktiewe IPv4-SGT-bindingsinligting

Konfigurasie Bvamples vir SGT Mapping

Die volgende afdelings wys konfigurasie bvamples van SGT-kartering:

Example: Konfigureer 'n toestel SGT handmatig

• Toestel# konfigureer terminaal
• Toestel (config) # cts sgt 1234
• Device(config)# uitgang

Example: Konfigurasie vir subnet-na-SGT-kartering
Die volgende example wys hoe om IPv4-subnet-na-SGT-kartering op te stel tussen toestelle wat SXPv3 (Device1 en Device2) gebruik:

1. Stel SXP-luidspreker/luisteraar-luister tussen toestelle op.
   • Toestel1# stel terminale in
   • Device1(config)# cts sxp aktiveer
   • Device1(config)# cts sxp default source-ip 1.1.1.1
   • Device1(config)# cts sxp verstek wagwoord 1syzygy1
   • Device1(config)# cts sxp-verbinding eweknie 2.2.2.2 wagwoord verstekmodus plaaslike spreker
2. Stel Device2 op as SXP-luisteraar van Device1.
   • Device2(config)# cts sxp aktiveer
   • Device2(config)# cts sxp default source-ip 2.2.2.2
   • Device2(config)# cts sxp verstek wagwoord 1syzygy1
   • Device2(config)# cts sxp-verbinding eweknie 1.1.1.1 wagwoord verstekmodus plaaslike luisteraar
3. Op Device2, verifieer dat die SXP-verbinding werk:
   Toestel2# wys cts sxp-verbindings opdrag | sluit in 1.1.1.1 1.1.1.1 2.2.2.2 Op 3:22:23:18 (dd:hr:mm:sek)
4. Stel die subnetwerke op om uitgebrei te word op Device1.
   • Device1(config)# cts sxp kartering netwerk-kaart 10000
   • Device1(config)# cts rol-gebaseerde sgt-map 10.10.10.0/30 sgt 101
   • Device1(config)# cts rol-gebaseerde sgt-map 11.11.11.0/29 sgt 11111
   • Device1(config)# cts rol-gebaseerde sgt-map 192.168.1.0/28 sgt 65000
5. Op Device2, verifieer die subnet-na-SGT-uitbreiding vanaf Device1. Daar behoort twee uitbreidings vir die 10.10.10.0/30-subnetwerk te wees, ses uitbreidings vir die 11.11.11.0/29-subnetwerk en 14 uitbreidings vir die 192.168.1.0/28-subnetwerk.
   Toestel2# wys cts sxp sgt-kaart opdrag | sluit 101|11111|65000 in
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
6. Verifieer die uitbreidingstelling op Toestel 1:
   Toestel1# wys cts sxp sgt-map
   • IP-SGT Mappings uitgebrei:22
   • Daar is geen IP-SGT-mappings nie
7. Stoor die konfigurasies op Device1 en Device2 en verlaat die globale konfigurasiemodus.
   Device1(config)# copy running-config startup-config
   Device1(config)# uitgang
   Device2(config)# copy running-config startup-config
   Device2(config)# uitgang

Example:
Konfigurasie vir VLAN-na-SGT-kartering vir 'n enkele gasheer oor 'n toegangskakel.

In die volgende example, 'n enkele gasheer koppel aan VLAN 100 op 'n toegangstoestel. 'n Geskakelde virtuele koppelvlak op die TrustSec-toestel is die verstekpoort vir die VLAN 100-eindpunt (IP-adres 10.1.1.1). Die TrustSec-toestel stel Security Group op Tag (SGT) 10 op pakkies vanaf VLAN 100.

1. Skep VLAN 100 op 'n toegangstoestel.
   • access_device# konfigureer terminaal
   • access_device(config)# vlan 100
   • access_device (config-vlan) # geen afsluiting nie
   • access_device (config-vlan) # uitgang
   • access_device(config)#
2. Konfigureer die koppelvlak na die TrustSec-toestel as 'n toegangskakel. Konfigurasies vir die eindpunt
   1. toegangspoort word in hierdie example.
   2. access_device(config)# koppelvlak gigabitEthernet 6/3
   3. access_device(config-if)# skakelpoort
   4. access_device(config-if)# skakelpoortmodustoegang
   5. access_device (config-if) # skakelpoort toegang vlan 100
3. Skep VLAN 100 op die TrustSec-toestel.
   • TS_device(config)# vlan 100
   • TS_device(config-vlan)# geen afsluiting nie
   • TS_device(config-vlan)# end
   • TS_toestel#
4. Skep 'n SVI as die poort vir inkomende VLAN 100.
   • TS_device(config)# koppelvlak vlan 100
   • TS_device(config-if)# ip-adres 10.1.1.2 255.0.0.0
   • TS_device(config-if)# geen afsluiting nie
   • TS_device(config-if)# end
   • TS_device(config)#
5. Wys sekuriteitsgroep toe Tag (SGT) 10 aan gashere op VLAN 100.
   • TS_device(config)# cts rolgebaseerde sgt-map vlan 100 sgt 10
6. Aktiveer IP-toestelopsporing op die TrustSec-toestel. Verifieer dat dit werk.
   • TS_device(config)# ip toestel dop
   • TS_device# wys ip-toestel wat alles dop
7. (Opsioneel) PING die verstekpoort vanaf 'n eindpunt (in hierdie bvample, gasheer IP-adres 10.1.1.1). Verifieer dat SGT 10 na VLAN 100-gashere gekarteer word.
   

Example: Nabootsing van die hardeware-sleutelstoor
Hierdie example wys hoe om die gebruik van 'n sagteware-sleutelstoor op te stel en te verifieer:

Example: Konfigureer toestelroete SGT

• Toestel# konfigureer terminaal
• Device(config)# cts rolgebaseerde sgt-map 0.0.0.0/0 sgt 3
• Device(config)# uitgang

Kenmerkgeskiedenis vir sekuriteitsgroep Tag Kartering

• Hierdie tabel verskaf vrystelling en verwante inligting vir die kenmerke wat in hierdie module verduidelik word.
• Hierdie kenmerke is beskikbaar in al die vrystellings na die een waarin hulle bekendgestel is, tensy anders vermeld.

Loslaat	Kenmerk	Kenmerk Inligting
Cisco IOS XE Everest 16.5.1a	Veiligheidsgroep Tag Kartering	Subnet-na-SGT-kartering bind 'n SGT aan alle gasheeradresse van 'n gespesifiseerde subnet. Sodra hierdie kartering geïmplementeer is, lê Cisco TrustSec die SGT op enige inkomende pakkie wat 'n bron-IP-adres het wat aan die gespesifiseerde subnet behoort.
Cisco IOS XE Gibraltar 16.11.1	Standaardroete SGT-klassifikasie	Verstekroete SGT ken 'n SGT toe tag nommer na daardie roetes wat nie by 'n gespesifiseerde roete pas nie.

Gebruik die Cisco Feature Navigator om inligting oor platform- en sagtewarebeeldondersteuning te vind. Om toegang tot Cisco Feature Navigator te kry, gaan na http://www.cisco.com/go/cfn.

Dokumente / Hulpbronne

CISCO Configuring Security Group Tag Kartering [pdf] Gebruikersgids Stel sekuriteitsgroep op Tag Kartering, konfigurasie, sekuriteitsgroep Tag Kartering, Groep Tag Kartering, Tag Kartering

Verwysings

• Gebruikershandleiding