CISCO Конфигуриране на група за сигурност Tag Картографиране

Информация за продукта

Продуктът позволява конфигуриране на група за сигурност tag (SGT) картографиране. Тази функция свързва SGT с всички хост адреси на определена подмрежа. След като това съпоставяне бъде внедрено, Cisco TrustSec налага SGT на всеки входящ пакет, който има IP адрес на източник, който принадлежи към определената подмрежа.

Ограничения за картографиране на SGT
Следната команда не се поддържа за IP конфигурация на хост: Device(config)#cts role-based sgt-map 0.0.0.0 sgt 1000

крайview на съпоставяне на подмрежа към SGT

• Съпоставянето на подмрежа към SGT свързва SGT с всички хост адреси на определена подмрежа. Cisco TrustSec налага SGT на входящ пакет, когато IP адресът на източника на пакета принадлежи към определената подмрежа. Подмрежата и SGT са посочени в CLI сcts role-based sgt-map net_address/prefix sgt sgt_number команда за глобална конфигурация. Единичен хост може също да бъде картографиран с тази команда.
• В IPv4 мрежи протоколът за обмен на сигурност (SXP)v3 и по-нови версии могат да получават и анализират низове от net_address/префикс на подмрежата от партньори на SXPv3. По-ранните версии на SXP преобразуват префикса на подмрежата в неговия набор от обвързвания на хоста, преди да ги експортират към партньорски слушател на SXP.
• Подмрежовите обвързвания са статични, няма обучение за активни хостове. Те могат да се използват локално за налагане на SGT и прилагане на SGACL. Пакети tagged от подмрежа към SGT съпоставяне може да се разпространи по Layer 2 или Layer 3 Cisco TrustSec връзки.
• За IPv6 мрежи SXPv3 не може да експортира подмрежови свързвания към SXPv2 или SXPv1 партньори.

крайview на съпоставяне на VLAN към SGT

• Функцията за съпоставяне на VLAN към SGT свързва SGT с пакети от определена VLAN. Това опростява миграцията от наследени към поддържащи Cisco TrustSec мрежи.
• Свързването VLAN към SGT е конфигурирано с cts role-based sgt-map vlan-list команда за глобална конфигурация.
• Когато на VLAN е присвоен шлюз, който е превключван виртуален интерфейс (SVI) на превключвател, поддържащ Cisco TrustSec, и проследяването на IP устройства е активирано на този превключвател, тогава Cisco TrustSec може да създаде обвързване IP към SGT за всеки активен хост на този VLAN, картографиран към SVI подмрежата.
• IP-SGT свързванията за активните VLAN хостове се експортират към SXP слушатели. Обвързванията за всяка картографирана VLAN се вмъкват в таблицата IP към SGT, свързана с VRF, към която VLAN е картографирана или от нейния SVI, или от cts role-based l2-vrf команда.
• Обвързванията VLAN към SGT имат най-нисък приоритет от всички методи на обвързване и се игнорират, когато се получават обвързвания от други източници, като например от SXP или CLI хост конфигурации. Приоритетите на обвързване са изброени в раздела Приоритети на обвързващия източник.

Инструкции за употреба на продукта

Конфигуриране на съпоставяне от подмрежа към SGT

1. Достъп до CLI интерфейса на устройството.
2. Влезте в режим на конфигуриране, като използвате config команда.
3. Изпълнете следната команда, за да конфигурирате съпоставяне на подмрежа към SGT:

cts role-based sgt-map net_address/prefix sgt sgt_number

1. Сменете net_address/prefix с подмрежовия адрес и дължината на префикса, които искате да картографирате (напр. 192.168.1.0/24).
2. Сменете sgt_number с желаната група за сигурност tag номер.
3. Натиснете Enter, за да приложите конфигурацията.
4. Излезте от режима на конфигурация.

Конфигуриране на съпоставяне на VLAN към SGT

1. 1. Достъп до CLI интерфейса на устройството.
   2. Влезте в режим на конфигуриране, като използвате config команда.
   3. Изпълнете следната команда, за да конфигурирате съпоставяне на VLAN към SGT:

cts role-based sgt-map vlan-list

1. Посочете VLAN, които да бъдат нанесени към SGT.
2. Натиснете Enter, за да приложите конфигурацията.
3. Излезте от режима на конфигурация.

Спецификации

• Поддържани мрежи: IPv4, IPv6
• Поддържани протоколи: Протокол за обмен на сигурност (SXP)v3
• Поддържани методи на свързване: картографиране на подмрежа към SGT, картографиране на VLAN към SGT

Често задавани въпроси (FAQ)

• Въпрос: Могат ли подмрежовите обвързвания да бъдат експортирани към SXPv2 или SXPv1 партньори в IPv6 мрежи?
  О: Не, подмрежовите обвързвания могат да се експортират само към SXPv3 партньори в IPv6 мрежи.
• Въпрос: Какъв е приоритетът на обвързванията VLAN към SGT?
  О: Обвързванията VLAN към SGT имат най-нисък приоритет сред всички методи на обвързване и се игнорират, когато се получават обвързвания от други източници.

Подмрежа към група за сигурност tag (SGT) картографирането обвързва SGT към всички хост адреси на определена подмрежа. След като това съпоставяне бъде внедрено, Cisco TrustSec налага SGT на всеки входящ пакет, който има IP адрес на източник, който принадлежи към определената подмрежа.

Ограничения за картографиране на SGT

Ограничения за картографиране от подмрежа към SGT

• IPv4 подмрежа с префикс /31 не може да бъде разширена.
• Адресите на подмрежови хостове не могат да бъдат обвързани с групата за сигурност Tags (SGT), когато параметърът за свързване на мрежова карта е по-малък от общия брой хостове на подмрежи в указаните подмрежи или когато свързванията са 0.
• IPv6 разширенията и разпространението се случват само когато говорителят и слушателят на протокола за обмен на сигурност (SXP) работят с SXPv3 или по-нови версии.

Ограничение за SGT картографиране на маршрут по подразбиране

• Конфигурацията на маршрут по подразбиране се приема само с подмрежа /0. Въвеждането само на host-ip без subnet /0 показва следното съобщение:

Информация за SGT Mapping

Този раздел предоставя информация за картографирането на SGT.

крайview

крайview на съпоставяне на подмрежа към SGT
Съпоставянето на подмрежа към SGT свързва SGT с всички хост адреси на определена подмрежа. Cisco TrustSec налага SGT на входящ пакет, когато IP адресът на източника на пакета принадлежи към определената подмрежа. Подмрежата и SGT са посочени в CLI с cts роля-базирана команда за глобална конфигурация sgt-map net_address/prefix sgt sgt_number. Единичен хост може също да бъде картографиран с тази команда. В IPv4 мрежи протоколът за обмен на сигурност (SXP)v3 и по-нови версии могат да получават и анализират низове от net_address/префикс на подмрежата от партньори на SXPv3. По-ранните версии на SXP преобразуват префикса на подмрежата в неговия набор от обвързвания на хоста, преди да ги експортират към партньорски слушател на SXP.

Напримерample, IPv4 подмрежата 192.0.2.0/24 се разширява, както следва (само 3 бита за хост адреси):

• Адреси на хостове 198.0.2.1 до 198.0.2.7—tagged и разпространен до SXP peer.
• Мрежови и излъчвани адреси 198.0.2.0 и 198.0.2.8—не tagged и не се размножава.

За да ограничите броя на подмрежовите обвързвания, които SXPv3 може да експортира, използвайте командата за глобална конфигурация cts sxp mapping network-map. Подмрежовите обвързвания са статични, няма обучение за активни хостове. Те могат да се използват локално за налагане на SGT и прилагане на SGACL. Пакети tagged от подмрежа към SGT съпоставяне може да се разпространи по Layer 2 или Layer 3 Cisco TrustSec връзки. За IPv6 мрежи SXPv3 не може да експортира подмрежови свързвания към SXPv2 или SXPv1 партньори.

крайview на съпоставяне на VLAN към SGT
Функцията за съпоставяне на VLAN към SGT свързва SGT с пакети от определена VLAN. Това опростява миграцията от наследени мрежи към поддържащи Cisco TrustSec мрежи, както следва:

• Поддържа устройства, които не поддържат Cisco TrustSec, но поддържат VLAN, като наследени комутатори, безжични контролери, точки за достъп, VPN и др.
• Осигурява обратна съвместимост за топологии, където VLAN и VLAN ACL сегментират мрежата, като например сегментиране на сървъри в центрове за данни.
• Свързването VLAN към SGT е конфигурирано с cts роля-базирана команда за глобална конфигурация sgt-map vlan-list.
• Когато на VLAN е присвоен шлюз, който е превключван виртуален интерфейс (SVI) на превключвател, поддържащ Cisco TrustSec, и проследяването на IP устройства е активирано на този превключвател, тогава Cisco TrustSec може да създаде обвързване IP към SGT за всеки активен хост на този VLAN, картографиран към SVI подмрежата.
• IP-SGT свързванията за активните VLAN хостове се експортират към SXP слушатели. Обвързванията за всяка нанесена VLAN се вмъкват в таблицата IP към SGT, свързана с VRF, към която VLAN е нанесена или от нейния SVI, или от cts ролевата команда l2-vrf.
• Обвързванията VLAN към SGT имат най-нисък приоритет от всички методи на обвързване и се игнорират, когато се получават обвързвания от други източници, като например от SXP или CLI хост конфигурации. Приоритетите на обвързване са изброени в раздела Приоритети на обвързващия източник.

Обвързващи приоритети на източника

Cisco TrustSec разрешава конфликти между източниците на свързване на IP-SGT със стриктна приоритетна схема. Напримерample, SGT може да се приложи към интерфейс с правилото {динамично име на партньорска идентичност | статичен сержант tag} Команда за режим на ръчен интерфейс на Cisco Trustsec (Identity Port Mapping). Текущият приоритетен ред за изпълнение, от най-нисък (1) до най-висок (7), е както следва:

1. VLAN: Обвързвания, научени от подслушвани ARP пакети във VLAN, която има конфигурирано съпоставяне на VLAN-SGT.
2. CLI: Обвързвания на адреси, конфигурирани с помощта на формата IP-SGT на cts ролевата команда за глобална конфигурация sgt-map.
3. SXP: Обвързвания, научени от партньори на SXP.
4. IP_ARP: Обвързвания, научени кога tagged ARP пакетите се получават по CTS-съвместима връзка.
5. МЕСТЕН: Обвързвания на удостоверени хостове, които се научават чрез EPM и проследяване на устройства. Този тип обвързване включва също отделни хостове, които се научават чрез ARP подслушване на L2 [I] PM-конфигурирани портове.
6. ВЪТРЕШНО: Връзки между локално конфигурирани IP адреси и собствения SGT на устройството.

Забележка
Ако IP адресът на източника съвпада с множество подмрежови префикси с различни присвоени SGT, тогава най-дългият префикс SGT има предимство, освен ако приоритетът не е различен.

Маршрут по подразбиране SGT

• Група за сигурност на маршрута по подразбиране Tag (SGT) присвоява SGT номер на маршрути по подразбиране.
• Маршрутът по подразбиране е този маршрут, който не съответства на определен маршрут и следователно е маршрутът до крайната дестинация. Маршрутите по подразбиране се използват за насочване на пакети, адресирани до мрежи, които не са изрично изброени в таблицата за маршрутизиране.

Как да конфигурирате SGT картографиране

Този раздел описва как да конфигурирате SGT картографиране.

Ръчно конфигуриране на устройство SGT
При нормална работа на Cisco TrustSec сървърът за удостоверяване присвоява SGT на устройството за пакети, произхождащи от устройството. Можете ръчно да конфигурирате SGT, който да се използва, ако сървърът за удостоверяване не е достъпен, но зададен от сървъра за удостоверяване SGT ще има предимство пред ръчно зададен SGT.

За да конфигурирате ръчно SGT на устройството, изпълнете тази задача:

Процедура

	командване or Действие	Цел
Стъпка 1	активирайте	Активира привилегирован режим EXEC.

	Exampле: Устройство # активирайте	• Въведете паролата си, ако бъдете подканени.
Стъпка 2	конфигуриране на терминал Exampле: Устройство # конфигуриране на терминал	Влиза в режим на глобална конфигурация.
Стъпка 3	cts сержант tag Exampле: Устройство (конфигурация) # cts sgt 1234	Активира SXP за Cisco TrustSec.
Стъпка 4	изход Exampле: Устройство (конфигурация) # изход	Излиза от режима на глобална конфигурация и се връща към привилегирован режим EXEC

Конфигуриране на съпоставяне от подмрежа към SGT

Процедура

	командване or Действие	Цел
Стъпка 1	активирайте Exampле: Устройство # активирайте	Активира привилегирован режим EXEC. • Въведете паролата си, ако бъдете подканени.
Стъпка 2	конфигуриране на терминал Exampле: Устройство # конфигуриране на терминал	Влиза в режим на глобална конфигурация.
Стъпка 3	cts sxp картографиране мрежова карта подвързии Exampле: Устройство (конфигурация) # cts sxp картографиране мрежова карта 10000	•  Конфигурира ограничението за броя на хостовете на подмрежата към SGT Mapping. Аргументът за обвързване указва максималния брой подмрежови IP хостове, които могат да бъдат обвързани към SGT и експортирани към SXP слушателя. •  свързвания—(0 до 65,535 0) по подразбиране е XNUMX (не се извършват разширения)
Стъпка 4	cts базирана на роли sgt-map ipv4_адрес/префикс сержант номер Exampле: Устройство (конфигурация) # cts базирана на роли sgt-map 10.10.10.10/29 sgt 1234	(IPv4) Указва подмрежа в CIDR нотация. •  Използвайте формата no на командата, за да деконфигурирате съпоставянето на подмрежата към SGT. Броят на обвързванията, посочени в Стъпка 2, трябва да съвпада или да надвишава броя на хост адресите в подмрежата (с изключение на мрежовите и излъчваните адреси). Ключовата дума sgt number указва сигурността

		Група Tag да бъде обвързан с всеки хост адрес в посочената подмрежа. •  ipv4_address—Определя IPv4 мрежовия адрес в десетичен запис с точки. •  префикс—(0 до 30) Указва броя на битовете в мрежовия адрес. •  сержант номер—(0–65,535 XNUMX) Указва групата за сигурност Tag (SGT) номер.
Стъпка 5	cts базирана на роли sgt-map ipv6_address::префикс сержант номер Exampле: Устройство (конфигурация) # cts базирана на роли sgt-map 2020::/64 sgt 1234	(IPv6) Указва подмрежа в шестнадесетична нотация с двоеточие. Използвайте формата no на командата, за да деконфигурирате съпоставянето на Subnet към SGT. Броят на обвързванията, посочени в Стъпка 2, трябва да съвпада или да надвишава броя на хост адресите в подмрежата (с изключение на мрежовите и излъчваните адреси). Ключовата дума sgt number указва групата за сигурност Tag да бъде обвързан с всеки хост адрес в указаната подмрежа. •  ipv6_address—Определя IPv6 мрежов адрес в шестнадесетична нотация с двоеточие. •  префикс—(0 до 128) Указва броя на битовете в мрежовия адрес. •  сержант номер—(0–65,535 XNUMX) Указва групата за сигурност Tag (SGT) номер.
Стъпка 6	изход Exampле: Устройство (конфигурация) # изход	Излиза от режима на глобална конфигурация и се връща към привилегирован режим EXEC.

Конфигуриране на съпоставяне на VLAN към SGT

Поток на задачите за конфигуриране на VLAN-SGT Mapping на устройство Cisco TrustSec.

• Създайте VLAN на устройството със същия VLAN_ID на входящата VLAN.
• Създайте SVI за VLAN на устройството, за да бъде шлюзът по подразбиране за крайните клиенти.
• Конфигурирайте устройството да прилага SGT към VLAN трафика.
• Активирайте проследяването на IP устройство на устройството.
• Прикрепете политика за проследяване на устройство към VLAN.

Забележка
В мрежа с множество превключватели проследяването на устройства, базирано на SISF, предоставя възможност за разпределяне на записи в обвързваща таблица между превключватели, изпълняващи функцията. Това предполага, че се създават обвързващи записи на комутаторите, където хостът се появява на порт за достъп, и не се създава запис за хост, който се появява през магистрален порт. За да постигнете това при настройка с множество превключватели, ви препоръчваме да конфигурирате друга политика и да я прикачите към магистралния порт, както е описано в процедурата Конфигуриране на мрежа с множество превключватели за спиране на създаването на обвързващи записи от магистрален порт в Конфигуриране на SISF -Базирана глава за проследяване на устройства от Ръководството за конфигуриране на сигурността.

• Уверете се, че картографирането на VLAN към SGT се извършва на устройството.

Процедура

	командване or Действие	Цел
Стъпка 1	активирайте Exampле: Устройство # активирайте	Активира привилегирован режим EXEC. • Въведете паролата си, ако бъдете подканени.
Стъпка 2	конфигуриране на терминал Exampле: Устройство # конфигуриране на терминал	Влиза в режим на глобална конфигурация.
Стъпка 3	vlan vlan_id Exampле: Устройство (конфигурация) # vlan 100	Създава VLAN 100 на поддържащото TrustSec шлюз устройство и влиза във VLAN режим на конфигуриране.
Стъпка 4	[не] изключване Exampле: Устройство (config-vlan) # няма изключване	Осигурява VLAN 100.
Стъпка 5	изход Exampле: Устройство (config-vlan) # изход	Излиза от режима на конфигуриране на VLAN и се връща в режим на глобална конфигурация.
Стъпка 6	интерфейс тип слот/порт Exampле: Устройство (конфигурация) # интерфейс vlan 100	Указва типа интерфейс и влиза в режим на конфигуриране на интерфейса.
Стъпка 7	ip адрес слот/порт Exampле: Устройство (config-if)# IP адрес 10.1.1.2 255.0.0.0	Конфигурира Switched Virtual Interface (SVI) за VLAN 100.

Стъпка 8	[не ] изключване Exampле: Устройство (config-if)# няма изключване	Активира SVI.
Стъпка 9	изход Exampле: Устройство (config-if)# изход	Излиза от режима на конфигуриране на интерфейса и се връща в режим на глобална конфигурация.
Стъпка 10	cts базиран на роли sgt-map vlan-list vlan_id сержант sgt_номер Exampле: Устройство (конфигурация) # cts базиран на роли sgt-map vlan-list 100 sgt 10	Присвоява посочения SGT към указаната VLAN.
Стъпка 11	политика за проследяване на устройства име на политика Exampле: Устройство (конфигурация) # правила за проследяване на устройства policy1	Указва правилата и влиза в режим на конфигуриране на правила за проследяване на устройства.
Стъпка 12	активиране на проследяване Exampле: Устройство (config-device-tracking)# проследяване активирайте	Заменя настройките за проследяване на устройството по подразбиране за атрибута на правилата.
Стъпка 13	изход Exampле: Устройство (config-device-tracking)# изход	Излиза от режима на конфигуриране на правила за проследяване на устройство и се връща в режим на глобална конфигурация.
Стъпка 14	vlan конфигурация vlan_id Exampле: Устройство (конфигурация) # vlan конфигурация 100	Указва VLAN, към която ще бъде прикрепена политиката за проследяване на устройството, и влиза в режим на конфигуриране на VLAN.
Стъпка 15	прикрепена политика за проследяване на устройства име на политика Exampле: Устройство (config-vlan-config)# политика за прикачване на проследяване на устройства1	Прикрепя политика за проследяване на устройство към посочената VLAN.
Стъпка 16	край Exampле: Устройство (config-vlan-config)# край	Излиза от режима на конфигуриране на VLAN и се връща към привилегирован режим EXEC.
Стъпка 17	показване на cts базирана на роли sgt-map {ipv4_netaddr | ipv4_netaddr/префикс | ipv6_netaddr | ipv6_netaddr/префикс |всички [ipv4 |ipv6] |домакин {ipv4 адрес |ipv6_адрес} |резюме [ ipv4 |ipv6 ]	(По избор) Показва съпоставянията VLAN към SGT.

	Exampле: Устройство # покажи cts базирана на роли Sgt-map всички
Стъпка 18	показване на правила за проследяване на устройства име на политика Exampле: Устройство # показване на правила за проследяване на устройства policy1	(По избор) Показва текущите атрибути на правилата.

Емулиране на хардуерното хранилище за ключове

В случаите, когато хардуерно хранилище за ключове не присъства или е неизползваемо, можете да конфигурирате превключвателя да използва софтуерна емулация на хранилището за ключове. За да конфигурирате използването на софтуерно хранилище за ключове, изпълнете тази задача:

Процедура

	командване or Действие	Цел
Стъпка 1	активирайте Exampле: Устройство # активирайте	Активира привилегирован режим EXEC. • Въведете паролата си, ако бъдете подканени.
Стъпка 2	конфигуриране на терминал Exampле: Устройство # конфигуриране на терминал	Влиза в режим на глобална конфигурация.
Стъпка 3	cts емулация на хранилище за ключове Exampле: Устройство (конфигурация) # cts емулация на хранилище за ключове	Конфигурира превключвателя да използва софтуерна емулация на хранилището за ключове вместо хардуерното хранилище за ключове.
Стъпка 4	изход Exampле: Устройство (конфигурация) # изход	Излиза от режима на конфигуриране.
Стъпка 5	покажи хранилището за ключове Exampле: Устройство # покажи хранилището за ключове	Показва състоянието и съдържанието на хранилището за ключове. Съхранените тайни не се показват.

Конфигуриране на маршрут по подразбиране SGT

Преди да започнете
Уверете се, че вече сте създали маршрут по подразбиране на устройството с помощта на командата ip route 0.0.0.0. В противен случай маршрутът по подразбиране (който идва с маршрута по подразбиране SGT) получава неизвестна дестинация и следователно крайната дестинация ще сочи към CPU.

Процедура

	командване or Действие	Цел
Стъпка 1	активирайте Exampле: Устройство> активиране	Активира привилегирован режим EXEC. • Въведете паролата си, ако бъдете подканени.
Стъпка 2	конфигуриране на терминал Exampле: Терминал за конфигуриране на устройство #	Влиза в режим на глобална конфигурация.
Стъпка 3	cts базирана на роли sgt-map 0.0.0.0/0 sgt номер Exampле: Устройство (конфигурация) # cts базирана на роли sgt-map 0.0.0.0/0 sgt 3	Указва SGT номера за маршрута по подразбиране. Валидни стойности са от 0 до 65,519 XNUMX. Забележка                    • The хост_адрес/подмрежа може да бъде IPv4 адрес (0.0.0.0/0) или IPv6 адрес (0:0::/0) •  Маршрутът по подразбиране конфигурацията се приема само с подмрежата /0. Въвеждането само на host-ip без subnet /0 показва следното съобщение: Устройство (конфигурация) #cts ролева Sgt-карта 0.0.0.0 sgt 1000 Конфигурацията на маршрута по подразбиране не се поддържа за IP на хоста
Стъпка 4	изход Exampле: Device(config)# изход	Излиза от режима на глобална конфигурация.

Проверка на картографирането на SGT

Следните раздели показват как да проверите съпоставянето на SGT:

Проверка на конфигурацията за съпоставяне на подмрежа към SGT
За да покажете информация за конфигурацията на съпоставяне на подмрежа към SGT, използвайте една от следните команди за показване:

командване	Цел
показване на cts sxp връзки	Показва връзките на SXP високоговорител и слушател с тяхното работно състояние.
покажи cts sxp sgt-map	Показва обвързванията на IP към SGT, експортирани към SXP слушателите.
покажи текуща конфигурация	Проверява дали командите за конфигурации от подмрежа към SGT са в текущата конфигурация file.

Проверка на картографирането на VLAN към SGT

За да покажете конфигурационна информация от VLAN към SGT, използвайте следните команди за показване:

Таблица 1:

командване	Цел
показване на правила за проследяване на устройства	Показва текущите атрибути на политиката на политиката за проследяване на устройството.
показване на cts базирана на роли sgt-map	Показва връзките IP адрес към SGT.

Проверка на SGT конфигурацията на маршрута по подразбиране

Проверете конфигурацията на маршрута по подразбиране SGT:
device# показва базирана на роли sgt-map цялата информация за активни IPv4-SGT свързвания

Конфигурация Прampфайлове за SGT картографиране

Следващите раздели показват конфигурация напрampфайлове от SGT картографиране:

Example: Ръчно конфигуриране на устройство SGT

• Терминал за конфигуриране на устройство #
• Устройство (конфигурация) # cts sgt 1234
• Device(config)# изход

Example: Конфигурация за съпоставяне на подмрежа към SGT
Следният примерample показва как да конфигурирате IPv4 Subnet-to-SGT Mapping между устройства, изпълняващи SXPv3 (Device1 и Device2):

1. Конфигуриране на SXP говорител/слушател надничане между устройствата.
   • Терминал за конфигуриране на Device1#
   • Device1(config)# cts sxp активиране
   • Device1(config)# cts sxp източник-ip по подразбиране 1.1.1.1
   • Device1(config)# cts sxp парола по подразбиране 1syzygy1
   • Device1(config)# cts sxp връзка peer 2.2.2.2 парола режим по подразбиране локален високоговорител
2. Конфигурирайте Device2 като SXP слушател на Device1.
   • Device2(config)# cts sxp активиране
   • Device2(config)# cts sxp източник-ip по подразбиране 2.2.2.2
   • Device2(config)# cts sxp парола по подразбиране 1syzygy1
   • Device2(config)# cts sxp връзка peer 1.1.1.1 парола режим по подразбиране локален слушател
3. На Device2 проверете дали SXP връзката работи:
   Device2# показва cts sxp връзки кратко | включва 1.1.1.1 1.1.1.1 2.2.2.2 В 3:22:23:18 (dd:hr:mm:sec)
4. Конфигурирайте подмрежите, които да бъдат разширени на Device1.
   • Device1(config)# cts sxp mapping network-map 10000
   • Device1(config)# cts базирана на роли sgt-map 10.10.10.0/30 sgt 101
   • Device1(config)# cts базирана на роли sgt-map 11.11.11.0/29 sgt 11111
   • Device1(config)# cts базирана на роли sgt-map 192.168.1.0/28 sgt 65000
5. На Device2 проверете разширението подмрежа към SGT от Device1. Трябва да има две разширения за подмрежата 10.10.10.0/30, шест разширения за подмрежата 11.11.11.0/29 и 14 разширения за подмрежата 192.168.1.0/28.
   Device2# показване на cts sxp sgt-map brief | включват 101|11111|65000
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
6. Проверете броя на разширенията на Устройство1:
   Device1# показва cts sxp sgt-map
   • Разширени съпоставяния на IP-SGT:22
   • Няма съпоставяния на IP-SGT
7. Запазете конфигурациите на Устройство1 и Устройство2 и излезте от режима на глобална конфигурация.
   Device1(config)# копиране на run-config startup-config
   Device1(config)# изход
   Device2(config)# копиране на run-config startup-config
   Device2(config)# изход

Exampле:
Конфигурация за съпоставяне на VLAN към SGT за единичен хост през връзка за достъп.

В следното изхample, единичен хост се свързва към VLAN 100 на устройство за достъп. Превключен виртуален интерфейс на устройството TrustSec е шлюзът по подразбиране за крайната точка на VLAN 100 (IP адрес 10.1.1.1). Устройството TrustSec налага група за сигурност Tag (SGT) 10 на пакети от VLAN 100.

1. Създайте VLAN 100 на устройство за достъп.
   • access_device# конфигуриране на терминал
   • access_device(config)# vlan 100
   • access_device(config-vlan)# без изключване
   • access_device(config-vlan)# изход
   • access_device(config)#
2. Конфигурирайте интерфейса към устройството TrustSec като връзка за достъп. Конфигурации за крайната точка
   1. порт за достъп са пропуснати в този примерampле.
   2. access_device(config)# интерфейс gigabitEthernet 6/3
   3. access_device(config-if)# switchport
   4. access_device(config-if)# достъп до режим на switchport
   5. access_device(config-if)# switchport достъп vlan 100
3. Създайте VLAN 100 на устройството TrustSec.
   • TS_device(config)# vlan 100
   • TS_device(config-vlan)# няма изключване
   • TS_device(config-vlan)# край
   • TS_устройство#
4. Създайте SVI като шлюз за входящ VLAN 100.
   • TS_device(config)# интерфейс vlan 100
   • TS_device(config-if)# IP адрес 10.1.1.2 255.0.0.0
   • TS_device(config-if)# няма изключване
   • TS_device(config-if)# край
   • TS_device(config)#
5. Задайте група за сигурност Tag (SGT) 10 към хостове на VLAN 100.
   • TS_device(config)# cts ролеви sgt-map vlan 100 sgt 10
6. Активирайте проследяването на IP устройство на устройството TrustSec. Проверете дали работи.
   • TS_device(config)# ip проследяване на устройство
   • TS_device# показва ip устройство, проследяващо всички
7. (По избор) PING шлюза по подразбиране от крайна точка (в този примерample, IP адрес на хост 10.1.1.1). Проверете дали SGT 10 е картографиран към VLAN 100 хостове.
   

Example: Емулиране на хардуерното хранилище за ключове
Този бившample показва как да конфигурирате и проверите използването на софтуерно хранилище за ключове:

Example: Конфигуриране на Device Route SGT

• Терминал за конфигуриране на устройство #
• Устройство (конфигурация) # cts базирана на роли sgt-map 0.0.0.0/0 sgt 3
• Device(config)# изход

История на функциите за група за сигурност Tag Картографиране

• Тази таблица предоставя версия и свързана информация за функциите, обяснени в този модул.
• Тези функции са налични във всички версии след тази, в която са въведени, освен ако не е отбелязано друго.

Освобождаване	Характеристика	Характеристика Информация
Cisco IOS XE Everest 16.5.1a	Група за сигурност Tag Картографиране	Съпоставянето на подмрежа към SGT свързва SGT с всички хост адреси на определена подмрежа. След като това съпоставяне бъде внедрено, Cisco TrustSec налага SGT на всеки входящ пакет, който има IP адрес на източник, който принадлежи към определената подмрежа.
Cisco IOS XE Гибралтар 16.11.1	SGT класификация на маршрута по подразбиране	Маршрутът по подразбиране SGT присвоява SGT tag номер към онези маршрути, които не съответстват на определен маршрут.

Използвайте Cisco Feature Navigator, за да намерите информация относно поддръжката на платформа и софтуерен образ. За достъп до Cisco Feature Navigator отидете на http://www.cisco.com/go/cfn.

Документи / Ресурси

CISCO Конфигуриране на група за сигурност Tag Картографиране [pdf] Ръководство за потребителя Конфигуриране на група за сигурност Tag Картографиране, конфигуриране, група за сигурност Tag Картографиране, група Tag картографиране, Tag Картографиране

Референции

• Ръководство за потребителя