CISCO Настройка групы бяспекі Tag Карціраванне
Інфармацыя аб прадукце
Прадукт дазваляе наладжваць групу бяспекі tag (SGT) адлюстраванне. Гэтая функцыя прывязвае SGT да ўсіх адрасоў хастоў вызначанай падсеткі. Пасля таго, як гэта адлюстраванне рэалізавана, Cisco TrustSec накладае SGT на любы ўваходны пакет, які мае зыходны IP-адрас, які належыць да вызначанай падсеткі.
Абмежаванні для адлюстравання SGT
Наступная каманда не падтрымліваецца для канфігурацыі IP хаста: Device(config)#cts role-based sgt-map 0.0.0.0 sgt 1000
Скончанаview Адлюстраванне падсеткі ў SGT
- Супастаўленне падсеткі ў SGT звязвае SGT з усімі адрасамі вузлоў вызначанай падсеткі. Cisco TrustSec накладвае SGT на ўваходны пакет, калі зыходны IP-адрас пакета належыць да вызначанай падсеткі. Падсетка і SGT задаюцца ў CLI з дапамогай
cts role-based sgt-map net_address/prefix sgt sgt_numberкаманда глабальнай канфігурацыі. З дапамогай гэтай каманды таксама можа быць адлюстраваны адзін хост. - У сетках IPv4 пратакол абмену бяспекай (SXP) v3 і больш свежыя версіі могуць атрымліваць і аналізаваць радкі net_address/прэфікса падсеткі ад аднагодкаў SXPv3. Ранейшыя версіі SXP пераўтвараюць прэфікс падсеткі ў свой набор прывязак хаста перад тым, як экспартаваць іх у аднарангавы слухач SXP.
- Прывязкі падсетак статычныя, няма навучання актыўных хастоў. Іх можна выкарыстоўваць лакальна для ўвядзення SGT і выканання SGACL. Пакеты tagged шляхам адлюстравання падсеткі ў SGT можа распаўсюджвацца па спасылках Cisco TrustSec ўзроўню 2 або ўзроўню 3.
- Для сетак IPv6 SXPv3 не можа экспартаваць прывязкі падсеткі да аднагодкаў SXPv2 або SXPv1.
Скончанаview VLAN-to-SGT Mapping
- Функцыя адлюстравання VLAN-SGT прывязвае SGT да пакетаў з вызначанай VLAN. Гэта спрашчае пераход са старых сетак на сеткі з падтрымкай Cisco TrustSec.
- Прывязка VLAN да SGT настроена з дапамогай
cts role-based sgt-map vlan-listкаманда глабальнай канфігурацыі. - Калі VLAN прызначаецца шлюз, які з'яўляецца камутуемым віртуальным інтэрфейсам (SVI) на камутатары з падтрымкай Cisco TrustSec, і на гэтым камутатары ўключана адсочванне IP-прылад, Cisco TrustSec можа стварыць прывязку IP-SGT для любога актыўнага хаста на гэтай VLAN, адлюстраванай у падсетцы SVI.
- Прывязкі IP-SGT для актыўных хастоў VLAN экспартуюцца ў слухачы SXP. Прывязкі для кожнай адлюстраванай VLAN устаўляюцца ў табліцу IP-to-SGT, звязаную з VRF, на якую VLAN адлюстроўваецца альбо яе SVI, альбо праз
cts role-based l2-vrfзагадваць. - Прывязкі VLAN-SGT маюць самы нізкі прыярытэт з усіх метадаў прывязкі і ігнаруюцца пры атрыманні прывязак з іншых крыніц, напрыклад, ад канфігурацый хаста SXP або CLI. Прыярытэты прывязкі пералічаны ў раздзеле Прыярытэты крыніц прывязкі.
Інструкцыя па ўжыванні прадукту
Наладжванне адлюстравання падсеткі ў SGT
- Доступ да інтэрфейсу CLI прылады.
- Увайдзіце ў рэжым канфігурацыі з дапамогай
configзагадваць. - Выканайце наступную каманду, каб наладзіць адлюстраванне падсеткі ў SGT:
cts role-based sgt-map net_address/prefix sgt sgt_number- Замяніць
net_address/prefixз адрасам падсеткі і даўжынёй прэфікса, які вы хочаце адлюстраваць (напрыклад, 192.168.1.0/24). - Замяніць
sgt_numberз патрэбнай групай бяспекі tag лік. - Націсніце Enter, каб прымяніць канфігурацыю.
- Выйдзіце з рэжыму канфігурацыі.
Настройка адлюстравання VLAN-SGT
-
- Доступ да інтэрфейсу CLI прылады.
- Увайдзіце ў рэжым канфігурацыі з дапамогай
configзагадваць. - Выканайце наступную каманду, каб наладзіць адлюстраванне VLAN-SGT:
cts role-based sgt-map vlan-list- Укажыце сеткі VLAN, якія будуць адлюстраваны ў SGT.
- Націсніце Enter, каб прымяніць канфігурацыю.
- Выйдзіце з рэжыму канфігурацыі.
Тэхнічныя характарыстыкі
- Падтрымліваюцца сеткі: IPv4, IPv6
- Пратаколы, якія падтрымліваюцца: Пратакол бяспекі абмену (SXP)v3
- Падтрымліваюцца метады прывязкі: адлюстраванне падсеткі ў SGT, адлюстраванне VLAN у SGT
Часта задаюць пытанні (FAQ)
- Пытанне: ці можна экспартаваць прывязкі да падсетак у вузлы SXPv2 або SXPv1 у сетках IPv6?
A: Не, прывязкі да падсетак можна экспартаваць толькі ў вузлы SXPv3 у сетках IPv6. - Пытанне: Які прыярытэт прывязак VLAN да SGT?
A: Прывязкі VLAN-SGT маюць самы нізкі прыярытэт сярод усіх метадаў прывязкі і ігнаруюцца пры атрыманні прывязак з іншых крыніц.
Падсетка да групы бяспекі tag (SGT) адлюстраванне звязвае SGT з усімі адрасамі вузлоў вызначанай падсеткі. Пасля таго, як гэта адлюстраванне рэалізавана, Cisco TrustSec накладае SGT на любы ўваходны пакет, які мае зыходны IP-адрас, які належыць да вызначанай падсеткі.
Абмежаванні для адлюстравання SGT
Абмежаванні для адлюстравання падсеткі ў SGT
- Падсетка IPv4 з прэфіксам /31 не можа быць пашырана.
- Адрасы вузлоў падсеткі не могуць быць прывязаны да групы бяспекі Tags (SGT), калі параметр прывязкі карты сеткі меншы за агульную колькасць хастоў падсеткі ў вызначаных падсетках або калі прывязка роўная 0.
- Пашырэнне і распаўсюджванне IPv6 адбываецца толькі тады, калі дынамік і слухач пратакола бяспекі абмену (SXP) працуюць пад кіраваннем SXPv3 або больш позніх версій.
Абмежаванне для адлюстравання SGT маршруту па змаўчанні
- Канфігурацыя маршруту па змаўчанні прымаецца толькі з падсеткай /0. Калі ўвесці толькі ip-адрас без падсеткі /0, вы атрымаеце наступнае паведамленне:
Інфармацыя пра SGT Mapping
У гэтым раздзеле змяшчаецца інфармацыя аб адлюстраванні SGT.
Скончанаview
Скончанаview Адлюстраванне падсеткі ў SGT
Супастаўленне падсеткі ў SGT звязвае SGT з усімі адрасамі вузлоў вызначанай падсеткі. Cisco TrustSec накладвае SGT на ўваходны пакет, калі зыходны IP-адрас пакета належыць да вызначанай падсеткі. Падсетка і SGT вызначаюцца ў CLI з дапамогай каманды глабальнай канфігурацыі sgt-map net_address/prefix sgt sgt_number на аснове ролі cts. З дапамогай гэтай каманды таксама можа быць адлюстраваны адзін хост. У сетках IPv4 пратакол абмену бяспекай (SXP) v3 і больш свежыя версіі могуць атрымліваць і аналізаваць радкі net_address/прэфікса падсеткі ад аднагодкаў SXPv3. Ранейшыя версіі SXP пераўтвараюць прэфікс падсеткі ў свой набор прывязак хаста перад тым, як экспартаваць іх у аднарангавы слухач SXP.
Напрыкладample, падсетка IPv4 192.0.2.0/24 пашырана наступным чынам (толькі 3 біта для адрасоў хаста):
- Адрасы хаста ад 198.0.2.1 да 198.0.2.7—taggeded і распаўсюджваецца на аднаго SXP.
- Сеткавыя і шырокавяшчальныя адрасы 198.0.2.0 і 198.0.2.8—не taggeded і не размнажаецца.
Каб абмежаваць колькасць прывязак падсеткі, якія SXPv3 можа экспартаваць, выкарыстоўвайце каманду глабальнай канфігурацыі cts sxp mapping network-map. Прывязкі падсетак статычныя, няма навучання актыўных хастоў. Яны могуць быць выкарыстаны лакальна для накладання SGT і выканання SGACL. Пакеты tagged шляхам адлюстравання падсеткі ў SGT можа распаўсюджвацца па спасылках Cisco TrustSec ўзроўню 2 або ўзроўню 3. Для сетак IPv6 SXPv3 не можа экспартаваць прывязкі падсеткі да аднагодкаў SXPv2 або SXPv1.
Скончанаview VLAN-to-SGT Mapping
Функцыя адлюстравання VLAN-SGT прывязвае SGT да пакетаў з вызначанай VLAN. Гэта спрашчае пераход са старых сетак на сеткі з падтрымкай Cisco TrustSec наступным чынам:
- Падтрымка прылад, якія не падтрымліваюць Cisco TrustSec, але падтрымліваюць VLAN, напрыклад устарэлыя камутатары, бесправадныя кантролеры, кропкі доступу, VPN і г.д.
- Забяспечвае зваротную сумяшчальнасць для тапалогій, дзе VLAN і VLAN ACL сегментуюць сетку, напрыклад, сегментацыя сервераў у цэнтрах апрацоўкі дадзеных.
- Прывязка VLAN да SGT наладжваецца з дапамогай каманды глабальнай канфігурацыі на аснове ролі sgt-map vlan-list cts.
- Калі VLAN прызначаецца шлюз, які з'яўляецца камутуемым віртуальным інтэрфейсам (SVI) на камутатары з падтрымкай Cisco TrustSec, і на гэтым камутатары ўключана адсочванне IP-прылад, Cisco TrustSec можа стварыць прывязку IP-SGT для любога актыўнага хаста на гэтай VLAN, адлюстраванай у падсетцы SVI.
- Прывязкі IP-SGT для актыўных хастоў VLAN экспартуюцца ў слухачы SXP. Прывязкі для кожнай адлюстраванай VLAN устаўляюцца ў табліцу IP-to-SGT, звязаную з VRF, у якую VLAN адлюстроўваецца, з дапамогай SVI або ролевай каманды cts l2-vrf.
- Прывязкі VLAN-SGT маюць самы нізкі прыярытэт з усіх метадаў прывязкі і ігнаруюцца пры атрыманні прывязак з іншых крыніц, напрыклад, ад канфігурацый хаста SXP або CLI. Прыярытэты прывязкі пералічаны ў раздзеле Прыярытэты крыніц прывязкі.
Прывязныя прыярытэты крыніц
Cisco TrustSec вырашае канфлікты паміж крыніцамі прывязкі IP-SGT са строгай схемай прыярытэтаў. Напрыкладample, SGT можа прымяняцца да інтэрфейсу з палітыкай {дынамічная ідэнтыфікацыйная аднарангавая назва | статычны сяржант tag} Каманда рэжыму інтэрфейсу Cisco Trustsec Manual (Identity Port Mapping). Бягучы парадак прымянення прыярытэту, ад самага нізкага (1) да самага высокага (7), наступны:
- VLAN: Прывязкі, атрыманыя з адсочваных ARP-пакетаў у VLAN, у якой наладжана адлюстраванне VLAN-SGT.
- CLI: Прывязкі адрасоў, настроеныя з выкарыстаннем формы IP-SGT каманды глабальнай канфігурацыі sgt-map на аснове ролі cts.
- SXP: Прывязкі, атрыманыя ад аналагаў SXP.
- IP_ARP: Прывязкі даведаліся калі tagПакеты ged ARP прымаюцца па спасылцы, якая падтрымлівае CTS.
- МЯСЦОВЫ: Прывязкі аўтэнтыфікаваных хастоў, якія вывучаюцца праз EPM і адсочванне прылад. Гэты тып прывязкі таксама ўключае асобныя хасты, якія вывучаюцца праз адсочванне ARP на партах L2 [I], сканфігураваных PM.
- УНУТРАНЫ: Прывязкі паміж лакальна сканфігураванымі IP-адрасамі і ўласным SGT прылады.
Заўвага
Калі зыходны IP-адрас супадае з некалькімі прэфіксамі падсеткі з рознымі прызначанымі SGT, то самы доўгі прэфікс SGT мае прыярытэт, калі прыярытэт не адрозніваецца.
Маршрут па змаўчанні SGT
- Стандартная група бяспекі маршруту Tag (SGT) прысвойвае нумар SGT маршрутам па змаўчанні.
- Маршрут па змаўчанні - гэта той маршрут, які не супадае з вызначаным маршрутам і, такім чынам, з'яўляецца маршрутам да апошняга месца прызначэння. Маршруты па змаўчанні выкарыстоўваюцца для накіравання пакетаў, адрасаваных сеткам, якія відавочна не пералічаны ў табліцы маршрутызацыі.
Як наладзіць адлюстраванне SGT
У гэтым раздзеле апісваецца, як наладзіць адлюстраванне SGT.
Налада прылады SGT ўручную
Пры звычайнай працы Cisco TrustSec сервер аўтэнтыфікацыі прызначае прыладзе SGT для пакетаў, якія паходзяць з прылады. Вы можаце ўручную наладзіць SGT для выкарыстання, калі сервер аўтэнтыфікацыі недаступны, але SGT, прызначаны серверам аўтэнтыфікацыі, будзе мець прыярытэт перад SGT, прызначаным уручную.
Каб уручную наладзіць SGT на прыладзе, выканайце наступную задачу:
Працэдура
| Камандаванне or Дзеянне | Прызначэнне | |
| Крок 1 | уключыць | Уключае прывілеяваны рэжым EXEC. |
| Exampль:
прылада № уключыць |
• Калі будзе прапанавана, увядзіце пароль. | |
| Крок 2 | наладзіць тэрмінал
Exampль: прылада № наладзіць тэрмінал |
Пераходзіць у рэжым глабальнай канфігурацыі. |
| Крок 3 | cts сяржант tag
Exampль: Прылада (канфігурацыя) # cts sgt 1234 |
Уключае SXP для Cisco TrustSec. |
| Крок 4 | выхад
Exampль: Прылада (канфігурацыя) # выхад |
Выходзіць з рэжыму глабальнай канфігурацыі і вяртаецца ў прывілеяваны рэжым EXEC |
Наладжванне адлюстравання падсеткі ў SGT
Працэдура
| Камандаванне or Дзеянне | Прызначэнне | |
| Крок 1 | уключыць
Exampль: прылада № уключыць |
Уключае прывілеяваны рэжым EXEC.
• Калі будзе прапанавана, увядзіце пароль. |
| Крок 2 | наладзіць тэрмінал
Exampль: прылада № наладзіць тэрмінал |
Пераходзіць у рэжым глабальнай канфігурацыі. |
| Крок 3 | CTS SXP адлюстраванне сеткавай карты пераплёты
Exampль: Прылада (канфігурацыя) # CTS SXP мапінг network-map 10000 |
• Наладжвае абмежаванне колькасці хастоў падсеткі для супастаўлення SGT. Аргумент прывязак вызначае максімальную колькасць IP-хастоў падсеткі, якія могуць быць прывязаны да SGT і экспартаваны ў слухач SXP.
• прывязкі—(ад 0 да 65,535 0) па змаўчанні XNUMX (расшырэнні не выконваюцца) |
| Крок 4 | cts ролевая карта сержанта ipv4_адрас/прэфікс
сяржант лік Exampль: Прылада (канфігурацыя) # cts ролевая карта сяржанта 10.10.10.10/29 сяржант 1234 |
(IPv4) Вызначае падсетку ў запісе CIDR.
• Выкарыстоўвайце форму каманды no, каб адмяніць канфігурацыю супастаўлення падсеткі ў SGT. Колькасць прывязак, указаная на этапе 2, павінна адпавядаць або перавышаць колькасць адрасоў хаста ў падсетцы (за выключэннем сеткавых і шырокавяшчальных адрасоў). Ключавое слова sgt number вызначае Security |
| Група Tag быць прывязаным да кожнага гаспадара
адрас у названай падсетцы. • ipv4_address—Вызначае сеткавы адрас IPv4 у дзесятковым запісе з кропкамі. • прэфікс—(ад 0 да 30) Вызначае колькасць біт у адрасе сеткі. • сяржант нумар—(0–65,535 XNUMX) Вызначае групу бяспекі Tag (SGT) нумар. |
||
| Крок 5 | cts ролевая карта сержанта ipv6_address::prefix
сяржант лік Exampль: Прылада (канфігурацыя) # cts на аснове роляў Sgt-map 2020::/64 Sgt 1234 |
(IPv6) Вызначае падсетку ў шаснаццатковым выглядзе двукроп'я. Выкарыстоўвайце форму каманды no, каб адмяніць канфігурацыю супастаўлення падсеткі ў SGT.
Колькасць прывязак, указаная на этапе 2, павінна адпавядаць або перавышаць колькасць адрасоў хаста ў падсетцы (за выключэннем сеткавых і шырокавяшчальных адрасоў). Ключавое слова sgt number вызначае групу бяспекі Tag быць прывязаным да кожнага адрасу хаста ў названай падсетцы. • ipv6_address—Вызначае сеткавы адрас IPv6 у шаснаццатковай форме двукроп'я. • прэфікс—(ад 0 да 128) Вызначае колькасць біт у сеткавым адрасе. • сяржант нумар—(0–65,535 XNUMX) Вызначае групу бяспекі Tag (SGT) нумар. |
| Крок 6 | выхад
Exampль: Прылада (канфігурацыя) # выхад |
Выходзіць з рэжыму глабальнай канфігурацыі і вяртаецца ў прывілеяваны рэжым EXEC.. |
Настройка адлюстравання VLAN-SGT
Паток задач для канфігурацыі адлюстравання VLAN-SGT на прыладзе Cisco TrustSec.
- Стварыце VLAN на прыладзе з такім жа VLAN_ID, што і ўваходная VLAN.
- Стварыце SVI для VLAN на прыладзе, якая будзе шлюзам па змаўчанні для кліентаў канчатковай кропкі.
- Наладзьце прыладу для прымянення SGT да трафіку VLAN.
- Уключыце адсочванне IP-прылад на прыладзе.
- Далучыце палітыку адсочвання прылады да VLAN.
Заўвага
У сетцы з некалькімі камутатарамі адсочванне прылад на аснове SISF дае магчымасць размеркаваць запісы табліцы прывязкі паміж камутатарамі, на якіх працуе гэтая функцыя. Гэта прадугледжвае, што запісы прывязкі ствараюцца на камутатарах, дзе хост з'яўляецца на порце доступу, і не ствараецца запіс для хоста, які з'яўляецца праз магістральны порт. Каб дасягнуць гэтага пры ўсталёўцы з некалькімі камутатарамі, мы рэкамендуем вам наладзіць іншую палітыку і далучыць яе да магістральнага порта, як апісана ў працэдуры «Наладжванне сеткі з некалькімі камутатарамі для спынення стварэння запісаў прывязкі з порта магістралі» ў раздзеле «Настройка SISF». -Адсочванне прылад на аснове главы Кіраўніцтва па канфігурацыі бяспекі.
- Пераканайцеся, што на прыладзе адбываецца адлюстраванне VLAN-SGT.
Працэдура
| Камандаванне or Дзеянне | Прызначэнне | |
| Крок 1 | уключыць
Exampль: прылада № уключыць |
Уключае прывілеяваны рэжым EXEC.
• Калі будзе прапанавана, увядзіце пароль. |
| Крок 2 | наладзіць тэрмінал
Exampль: прылада № наладзіць тэрмінал |
Пераходзіць у рэжым глабальнай канфігурацыі. |
| Крок 3 | vlan vlan_id
Exampль: Прылада (канфігурацыя) # vlan 100 |
Стварае VLAN 100 на шлюзе з падтрымкай TrustSec і ўваходзіць у VLAN
рэжым канфігурацыі. |
| Крок 4 | [няма] адключэнне
Exampль: Прылада (config-vlan)# няма адключэння |
Прадастаўленне VLAN 100. |
| Крок 5 | выхад
Exampль: Прылада (config-vlan)# выхад |
Выходзіць з рэжыму канфігурацыі VLAN і вяртаецца ў рэжым глабальнай канфігурацыі. |
| Крок 6 | інтэрфейс тып слот/порт
Exampль: Прылада (канфігурацыя) # інтэрфейс vlan 100 |
Вызначае тып інтэрфейсу і пераходзіць у рэжым канфігурацыі інтэрфейсу. |
| Крок 7 | IP-адрас слот/порт
Exampль: Прылада (канфігурацыя-калі)# IP-адрас 10.1.1.2 255.0.0.0 |
Наладжвае камутаваны віртуальны інтэрфейс (SVI) для VLAN 100. |
| Крок 8 | [няма ] адключэнне
Exampль: Прылада (канфігурацыя-калі)# няма адключэння |
Уключае SVI. |
| Крок 9 | выхад
Exampль: Прылада (канфігурацыя-калі)# выхад |
Выходзіць з рэжыму канфігурацыі інтэрфейсу і вяртаецца ў рэжым глабальнай канфігурацыі. |
| Крок 10 | cts на аснове роляў sgt-map vlan-list vlan_id сяржант
нумар_сержанта Exampль: Прылада (канфігурацыя) # cts на аснове роляў sgt-map vlan-list 100 sgt 10 |
Прызначае ўказаны SGT да ўказанай VLAN. |
| Крок 11 | палітыка адсочвання прылад палітыка-наз
Exampль: Прылада (канфігурацыя) # палітыка адсочвання прылад policy1 |
Вызначае палітыку і пераходзіць у рэжым канфігурацыі палітыкі адсочвання прылады. |
| Крок 12 | уключыць адсочванне
Exampль: Прылада (config-device-tracking)# адсочванне уключыць |
Перавызначае налады адсочвання прылады па змаўчанні для атрыбута палітыкі. |
| Крок 13 | выхад
Exampль: Прылада (config-device-tracking)# выхад |
Выходзіць з рэжыму канфігурацыі палітыкі адсочвання прылады і вяртаецца ў рэжым глабальнай канфігурацыі. |
| Крок 14 | канфігурацыя vlan vlan_id
Exampль: Прылада (канфігурацыя) # Канфігурацыя vlan 100 |
Вызначае VLAN, да якой будзе далучана палітыка адсочвання прылады, і пераходзіць у рэжым канфігурацыі VLAN. |
| Крок 15 | палітыка адсочвання прылад палітыка-наз
Exampль: Прылада (config-vlan-config)# палітыка прымацавання адсочвання прылад1 |
Далучае палітыку адсочвання прылады да вызначанай VLAN. |
| Крок 16 | канец
Exampль: Прылада (config-vlan-config)# канец |
Выходзіць з рэжыму канфігурацыі VLAN і вяртаецца ў прывілеяваны рэжым EXEC. |
| Крок 17 | паказаць CTS-ролевую карту сяржанта {ipv4_netaddr
| ipv4_netaddr/прэфікс | ipv6_netaddr | ipv6_netaddr/прэфікс |усё [ipv4 |ipv6] |гаспадар { IPv4 адрас | IPv6_addr } |рэзюмэ [ ipv4 |ipv6 ] |
(Дадаткова) Адлюстроўвае адлюстраванне VLAN-SGT. |
| Exampль:
прылада № паказаць усю ролевую карту сяржанта cts |
||
| Крок 18 | паказаць палітыку адсочвання прылад палітыка-наз
Exampль: прылада № паказаць палітыку адсочвання прылад policy1 |
(Неабавязкова) Адлюстроўвае бягучыя атрыбуты палітыкі. |
Эмуляцыя апаратнага сховішча ключоў
У выпадках, калі апаратнае сховішча ключоў адсутнічае або непрыдатнае для выкарыстання, вы можаце наладзіць пераключальнік на выкарыстанне праграмнай эмуляцыі сховішча ключоў. Каб наладзіць выкарыстанне праграмнага сховішча ключоў, выканайце наступную задачу:
Працэдура
| Камандаванне or Дзеянне | Прызначэнне | |
| Крок 1 | уключыць
Exampль: прылада № уключыць |
Уключае прывілеяваны рэжым EXEC.
• Калі будзе прапанавана, увядзіце пароль. |
| Крок 2 | наладзіць тэрмінал
Exampль: прылада № наладзіць тэрмінал |
Пераходзіць у рэжым глабальнай канфігурацыі. |
| Крок 3 | эмуляцыя сховішчы ключоў cts
Exampль: Прылада (канфігурацыя) # эмуляцыя сховішчы ключоў cts |
Наладжвае камутатар для выкарыстання праграмнай эмуляцыі сховішча ключоў замест апаратнага сховішча ключоў. |
| Крок 4 | выхад
Exampль: Прылада (канфігурацыя) # выхад |
Выходзіць з рэжыму канфігурацыі. |
| Крок 5 | паказаць сховішча ключоў
Exampль: прылада № паказаць сховішча ключоў |
Адлюстроўвае стан і змесціва сховішча ключоў. Захаваныя сакрэты не адлюстроўваюцца. |
Налада маршруту па змаўчанні SGT
Перш чым пачаць
Пераканайцеся, што вы ўжо стварылі маршрут па змаўчанні на прыладзе з дапамогай каманды ip route 0.0.0.0. У адваротным выпадку маршрут па змаўчанні (які пастаўляецца з маршрутам па змаўчанні SGT) атрымлівае невядомы пункт прызначэння, і таму апошні пункт прызначэння будзе ўказваць на працэсар.
Працэдура
| Камандаванне or Дзеянне | Прызначэнне | |
| Крок 1 | уключыць
Exampль: Прылада> ўключыць |
Уключае прывілеяваны рэжым EXEC.
• Калі будзе прапанавана, увядзіце пароль. |
| Крок 2 | наладзіць тэрмінал
Exampль: Тэрмінал канфігурацыі прылады # |
Пераходзіць у рэжым глабальнай канфігурацыі. |
| Крок 3 | cts ролевая карта сяржанта 0.0.0.0/0 сяржант лік
Exampль: Прылада (канфігурацыя) # cts ролевая карта сяржанта 0.0.0.0/0 сяржант 3 |
Вызначае нумар SGT для маршруту па змаўчанні. Дапушчальныя значэнні ад 0 да 65,519 XNUMX.
Заўвага • адрас_хаста/падсетка можа быць адрасам IPv4 (0.0.0.0/0) або адрасам IPv6 (0:0::/0) • Маршрут па змаўчанні канфігурацыя прымаецца толькі з падсеткай /0. Калі ўвесці толькі ip-адрас без падсеткі /0, вы атрымаеце наступнае паведамленне: Прылада (канфігурацыя) #cts ролевая карта сержанта 0.0.0.0 Sgt 1000 Канфігурацыя маршруту па змаўчанні не падтрымліваецца для IP хаста |
| Крок 4 | выхад
Exampль: Прылада (канфігурацыя) # выхад |
Выхад з рэжыму глабальнай канфігурацыі. |
Праверка адлюстравання SGT
У наступных раздзелах паказана, як праверыць супастаўленне SGT:
Праверка канфігурацыі адлюстравання падсеткі ў SGT
Каб адлюстраваць інфармацыю аб канфігурацыі адлюстравання падсеткі ў SGT, выкарыстоўвайце адну з наступных каманд show:
| Камандаванне | Прызначэнне |
| паказаць злучэнні cts sxp | Адлюстроўвае злучэнні дынаміка і слухача SXP з іх працоўным станам. |
| паказаць cts sxp sgt-map | Адлюстроўвае прывязкі IP да SGT, экспартаваныя ў слухачы SXP. |
| паказаць run-config | Правярае, што каманды канфігурацыі падсетка-SGT знаходзяцца ў запушчанай канфігурацыі file. |
Праверка адлюстравання VLAN-SGT
Каб адлюстраваць інфармацыю аб канфігурацыі VLAN-to-SGT, выкарыстоўвайце наступныя каманды show:
Табліца 1:
| Камандаванне | Прызначэнне |
| паказаць палітыку адсочвання прылад | Адлюстроўвае бягучыя атрыбуты палітыкі адсочвання прылады. |
| паказаць CTS-ролевую карту сяржанта | Адлюстроўвае прывязкі IP-адрас да SGT. |
Праверка канфігурацыі SGT маршруту па змаўчанні
Праверце канфігурацыю маршруту па змаўчанні SGT:
device# паказаць на аснове роляў Sgt-map усю інфармацыю аб актыўных прывязках IPv4-SGT
Канфігурацыя Exampфайлы для SGT Mapping
У наступных раздзелах паказаны канфігурацыі напрampфайлы адлюстравання SGT:
Example: Налада прылады SGT уручную
- Тэрмінал канфігурацыі прылады #
- Прылада (канфігурацыя) # cts sgt 1234
- Прылада (канфігурацыя) # выхад
Example: Канфігурацыя для адлюстравання падсеткі ў SGT
Наступны выпрample паказвае, як наладзіць IPv4 Subnet-to-SGT Mapping паміж прыладамі, на якіх працуе SXPv3 (Device1 і Device2):
- Наладзьце SXP дынамік/слухач пірынгу паміж прыладамі.
- Тэрмінал канфігурацыі Device1#
- Device1(config)# cts sxp enable
- Device1(config)# cts sxp зыходны IP па змаўчанні 1.1.1.1
- Device1(config)# cts sxp стандартны пароль 1syzygy1
- Device1(config)# cts sxp падключэнне аднарангавы 2.2.2.2 пароль рэжым па змаўчанні лакальны дынамік
- Наладзьце Device2 як SXP-праслухоўвальніка Device1.
- Device2(config)# cts sxp enable
- Device2(config)# cts sxp зыходны IP па змаўчанні 2.2.2.2
- Device2(config)# cts sxp стандартны пароль 1syzygy1
- Device2(config)# cts sxp злучэнне аднарангавы 1.1.1.1 пароль рэжым па змаўчанні лакальны слухач
- На Device2 пераканайцеся, што злучэнне SXP працуе:
Device2# паказаць cts sxp злучэнні кароткі | уключыць 1.1.1.1 1.1.1.1 2.2.2.2 У 3:22:23:18 (дд:гадз:хм:сек) - Наладзьце падсеткі для пашырэння на Device1.
- Device1(config)# cts sxp maping network-map 10000
- Device1(config)# cts ролевая карта сяржанта 10.10.10.0/30 сяржант 101
- Device1(config)# cts ролевая карта сяржанта 11.11.11.0/29 сяржант 11111
- Device1(config)# cts ролевая карта сяржанта 192.168.1.0/28 сяржант 65000
- На Device2 праверце пашырэнне падсеткі ў SGT з Device1. Павінна быць два пашырэння для падсеткі 10.10.10.0/30, шэсць пашырэнняў для падсеткі 11.11.11.0/29 і 14 пашырэнняў для падсеткі 192.168.1.0/28.
Device2# паказаць cts sxp sgt-map brief | уключаюць 101|11111|65000- IPv4,SGT: <10.10.10.1, 101>
- IPv4,SGT: <10.10.10.2, 101>
- IPv4,SGT: <11.11.11.1, 11111>
- IPv4,SGT: <11.11.11.2, 11111>
- IPv4,SGT: <11.11.11.3, 11111>
- IPv4,SGT: <11.11.11.4, 11111>
- IPv4,SGT: <11.11.11.5, 11111>
- IPv4,SGT: <11.11.11.6, 11111>
- IPv4,SGT: <192.168.1.1, 65000>
- IPv4,SGT: <192.168.1.2, 65000>
- IPv4,SGT: <192.168.1.3, 65000>
- IPv4,SGT: <192.168.1.4, 65000>
- IPv4,SGT: <192.168.1.5, 65000>
- IPv4,SGT: <192.168.1.6, 65000>
- IPv4,SGT: <192.168.1.7, 65000>
- IPv4,SGT: <192.168.1.8, 65000>
- IPv4,SGT: <192.168.1.9, 65000>
- IPv4,SGT: <192.168.1.10, 65000>
- IPv4,SGT: <192.168.1.11, 65000>
- IPv4,SGT: <192.168.1.12, 65000>
- IPv4,SGT: <192.168.1.13, 65000>
- IPv4,SGT: <192.168.1.14, 65000>
- Праверце колькасць пашырэнняў на Device1:
Device1# паказвае cts sxp sgt-map- Адлюстраванні IP-SGT пашыраны:22
- Адпаведнасці IP-SGT няма
- Захавайце канфігурацыі на Device1 і Device2 і выйдзіце з рэжыму глабальнай канфігурацыі.
Device1(config)# копія run-config startup-config
Device1(config)# выхад
Device2(config)# копія run-config startup-config
Device2(config)# выхад
Exampль:
Канфігурацыя для адлюстравання VLAN-SGT для аднаго хаста праз канал доступу.
У наступным выпрample, адзін хост падключаецца да VLAN 100 на прыладзе доступу. Камутаваны віртуальны інтэрфейс на прыладзе TrustSec з'яўляецца шлюзам па змаўчанні для канчатковай кропкі VLAN 100 (IP-адрас 10.1.1.1). Прылада TrustSec навязвае групу бяспекі Tag (SGT) 10 на пакеты з VLAN 100.
- Стварыце VLAN 100 на прыладзе доступу.
- access_device# тэрмінал канфігурацыі
- access_device(config)# vlan 100
- access_device(config-vlan)# без адключэння
- access_device(config-vlan)# выхад
- access_device(канфігурацыя)#
- Наладзьце інтэрфейс да прылады TrustSec як спасылку доступу. Канфігурацыі для канчатковай кропкі
- порт доступу апушчаны ў гэтым выпадкуampле.
- access_device(config)# інтэрфейс gigabitEthernet 6/3
- access_device(config-if)# switchport
- access_device(config-if)# доступ у рэжыме switchport
- access_device(config-if)# switchport access vlan 100
- Стварыце VLAN 100 на прыладзе TrustSec.
- TS_device (канфігурацыя) # vlan 100
- TS_device(config-vlan)# не адключаецца
- TS_device(config-vlan)# канец
- TS_прылада №
- Стварыце SVI як шлюз для ўваходных VLAN 100.
- TS_device(config)# інтэрфейс vlan 100
- TS_device(config-if)# ip-адрас 10.1.1.2 255.0.0.0
- TS_device(config-if)# без адключэння
- TS_device(config-if)# канец
- TS_device(канфігурацыя)#
- Прызначыць групу бяспекі Tag (SGT) 10 на хасты VLAN 100.
- TS_device(config)# cts на аснове роляў sgt-map vlan 100 sgt 10
- Уключыце адсочванне IP-прылад на прыладзе TrustSec. Пераканайцеся, што ён працуе.
- TS_device(config)# адсочванне IP-прылады
- TS_device# паказвае IP-прыладу, якая адсочвае ўсе
- (Неабавязкова) PING шлюз па змаўчанні з канчатковай кропкі (у гэтым прыкладзеample, IP-адрас хаста 10.1.1.1). Пераканайцеся, што SGT 10 адлюстроўваецца на хастах VLAN 100.
Example: Эмуляцыя апаратнага сховішча ключоў
Гэты былыample паказвае, як наладзіць і праверыць выкарыстанне праграмнага сховішча ключоў:
Example: Настройка маршруту прылады SGT
- Тэрмінал канфігурацыі прылады #
- Прылада (канфігурацыя) # cts ролевая карта сяржанта 0.0.0.0/0 сяржант 3
- Прылада (канфігурацыя) # выхад
Гісторыя функцый для групы бяспекі Tag Карціраванне
- У гэтай табліцы змяшчаецца інфармацыя аб выпуску і адпаведная інфармацыя аб функцыях, якія тлумачацца ў гэтым модулі.
- Гэтыя функцыі даступныя ва ўсіх выпусках пасля таго, у якім яны былі прадстаўлены, калі не пазначана іншае.
| Вызваленне | Асаблівасць | Асаблівасць інфармацыя |
| Cisco IOS XE Everest 16.5.1a | Група бяспекі Tag Карціраванне | Адлюстраванне падсеткі ў SGT звязвае SGT з усімі адрасамі вузлоў вызначанай падсеткі. Пасля таго, як гэта адлюстраванне рэалізавана, Cisco TrustSec накладае SGT на любы ўваходны пакет, які мае зыходны IP-адрас, які належыць да вызначанай падсеткі. |
| Cisco IOS XE Гібралтар 16.11.1 | Стандартная класіфікацыя маршруту SGT | Маршрут па змаўчанні SGT прызначае SGT tag нумар для тых маршрутаў, якія не супадаюць з вызначаным маршрутам. |
Выкарыстоўвайце навігатар функцый Cisco, каб знайсці інфармацыю аб падтрымцы вобразаў платформы і праграмнага забеспячэння. Каб атрымаць доступ да Cisco Feature Navigator, перайдзіце па спасылцы http://www.cisco.com/go/cfn.
Дакументы / Рэсурсы
 |
CISCO Настройка групы бяспекі Tag Карціраванне [pdfКіраўніцтва карыстальніка Настройка групы бяспекі Tag Адлюстраванне, канфігурацыя, група бяспекі Tag Адлюстраванне, група Tag картаграфаванне, Tag Карціраванне |
