Mga sulod itago
1 CISCO Configuring Security Group Tag Pagmapa
2 Impormasyon sa Produkto
3 Mga Instruksyon sa Paggamit sa Produkto
4 Mga pagdili para sa SGT Mapping
5 Impormasyon Mahitungod sa SGT Mapping
5.1 Tapos naview
5.2 Mga Priyoridad sa Tinubdan sa Pagbugkos
6 Unsaon Pag-configure ang SGT Mapping
6.1 Pag-configure sa Subnet-to-SGT Mapping
6.2 Pag-configure sa VLAN-to-SGT Mapping
6.3 Pagsundog sa Hardware Keystore
7 Pag-verify sa SGT Mapping
8 Configuration Examples para sa SGT Mapping
9 Feature History para sa Security Group Tag Pagmapa
10 Mga Dokumento / Mga Kapanguhaan
10.1 Mga pakisayran
11 May Kalabutan nga mga Post

CISCO-logo

CISCO Configuring Security Group Tag Pagmapa

CISCO-Configuring-Security-Group-Tag-Mapa-produkto

Impormasyon sa Produkto

Gitugotan sa produkto ang pag-configure sa grupo sa seguridad tag (SGT) mapping. Kini nga bahin nagbugkos sa usa ka SGT sa tanan nga mga adres sa host sa usa ka piho nga subnet. Kung mapatuman na kini nga mapping, ang Cisco TrustSec nagpahamtang sa SGT sa bisan unsang umaabot nga pakete nga adunay gigikanan nga IP address nga iya sa piho nga subnet.

Mga pagdili para sa SGT Mapping
Ang mosunod nga sugo wala gisuportahan alang sa host IP configuration: Device(config)#cts role-based sgt-map 0.0.0.0 sgt 1000

Tapos naview sa Subnet-to-SGT Mapping

  • Subnet-to-SGT mapping nagbugkos sa usa ka SGT sa tanan nga mga adres sa host sa usa ka piho nga subnet. Gipahamtang sa Cisco TrustSec ang SGT sa umaabot nga pakete kung ang gigikanan nga IP address sa packet iya sa piho nga subnet. Ang subnet ug SGT gipiho sa CLI nga adunaycts role-based sgt-map net_address/prefix sgt sgt_number global configuration command. Ang usa ka host mahimo usab nga mapa sa kini nga mando.
  • Sa IPv4 networks, Security Exchange Protocol (SXP)v3, ug mas bag-o nga mga bersyon, makadawat ug maka-parse sa subnet net_address/prefix strings gikan sa SXPv3 mga kaedad. Ang naunang mga bersyon sa SXP nag-convert sa subnet prefix ngadto sa set sa host bindings sa dili pa kini i-eksport ngadto sa usa ka SXP listener peer.
  • Ang mga pagbugkos sa subnet static, wala’y pagkat-on sa mga aktibo nga host. Mahimo kining gamiton sa lokal para sa pagpahamtang sa SGT ug pagpatuman sa SGACL. Mga pakete tagged pinaagi sa subnet-to-SGT mapping mahimong ipakaylap sa Layer 2 o Layer 3 Cisco TrustSec links.
  • Para sa mga IPv6 network, ang SXPv3 dili maka-export sa mga subnet binding sa SXPv2 o SXPv1 nga mga kaedad.

Tapos naview sa VLAN-to-SGT Mapping

  • Ang VLAN-to-SGT mapping feature nagbugkos sa usa ka SGT sa mga packet gikan sa usa ka piho nga VLAN. Gipasayon ​​niini ang paglalin gikan sa kabilin ngadto sa mga network nga makahimo sa Cisco TrustSec.
  • Ang VLAN-to-SGT nga pagbugkos gi-configure sa cts role-based sgt-map vlan-list global configuration command.
  • Sa diha nga ang usa ka VLAN gi-assign sa usa ka ganghaan nga usa ka switched virtual interface (SVI) sa usa ka Cisco TrustSec-capable switch, ug ang IP Device Tracking gipagana sa switch, nan ang Cisco TrustSec makahimo sa usa ka IP-to-SGT binding alang sa bisan unsa nga aktibo nga host. sa maong VLAN nga gimapa sa SVI subnet.
  • Ang mga binding sa IP-SGT alang sa aktibo nga mga host sa VLAN gi-eksport sa mga tigpaminaw sa SXP. Ang mga bindings alang sa matag mapa nga VLAN gisal-ut ngadto sa IP-to-SGT nga lamesa nga nalangkit sa VRF diin ang VLAN gimapa sa SVI niini o sa cts role-based l2-vrf sugo.
  • Ang VLAN-to-SGT bindings adunay pinakaubos nga priority sa tanang binding method ug dili tagdon kung ang bindings gikan sa ubang tinubdan nadawat, sama sa SXP o CLI host configurations. Ang nagbugkos nga mga prayoridad gilista sa Binding Source Priorities nga seksyon.

Mga Instruksyon sa Paggamit sa Produkto

Pag-configure sa Subnet-to-SGT Mapping

  1. I-access ang CLI interface sa device.
  2. Pagsulod sa configuration mode gamit ang config sugo.
  3. Ipatuman ang mosunod nga sugo aron ma-configure ang subnet-to-SGT mapping:
cts role-based sgt-map net_address/prefix sgt sgt_number
  1. Ilisan net_address/prefix uban sa subnet nga adres ug prefix nga gitas-on nga gusto nimong mapa (pananglitan, 192.168.1.0/24).
  2. Ilisan sgt_number uban sa gusto nga grupo sa seguridad tag numero.
  3. Pindota ang Enter aron magamit ang configuration.
  4. Gawas sa configuration mode.

Pag-configure sa VLAN-to-SGT Mapping

    1. I-access ang CLI interface sa device.
    2. Pagsulod sa configuration mode gamit ang config sugo.
    3. Ipatuman ang mosunod nga sugo aron ma-configure ang VLAN-to-SGT mapping:
cts role-based sgt-map vlan-list
  1. Ipiho ang mga VLAN nga imapa sa mga SGT.
  2. Pindota ang Enter aron magamit ang configuration.
  3. Gawas sa configuration mode.

Mga detalye

  • Gisuportahan nga mga Network: IPv4, IPv6
  • Gisuportahan nga mga Protocol: Security Exchange Protocol (SXP) v3
  • Gisuportahan nga mga Pamaagi sa Pagbugkos: Subnet-to-SGT Mapping, VLAN-to-SGT Mapping

Kanunay nga Gipangutana nga mga Pangutana (FAQ)

  • P: Mahimo bang ma-eksport ang mga subnet binding sa SXPv2 o SXPv1 nga mga kaedad sa IPv6 network?
    A: Dili, ang mga subnet binding ma-export lang sa SXPv3 peers sa IPv6 networks.
  • P: Unsa ang prayoridad sa VLAN-to-SGT bindings?
    A: Ang mga binding sa VLAN-to-SGT adunay pinakaubos nga prayoridad sa tanang mga pamaagi sa pagbugkos ug dili tagdon kung ang mga pagbugkos gikan sa ubang mga tinubdan madawat.

Subnet sa grupo sa seguridad tag (SGT) mapping nagbugkos sa usa ka SGT sa tanan nga mga adres sa host sa usa ka piho nga subnet. Kung mapatuman na kini nga mapping, ang Cisco TrustSec nagpahamtang sa SGT sa bisan unsang umaabot nga pakete nga adunay gigikanan nga IP address nga iya sa piho nga subnet.

Mga pagdili para sa SGT Mapping

Mga Pagdili para sa Subnet-to-SGT Mapping

  • Ang IPv4 subnetwork nga adunay prefix nga /31 dili mapalapad.
  • Ang mga adres sa subnet host dili mahigot sa Security Group Tags (SGT)s kon ang network-map bindings parameter mas ubos kay sa kinatibuk-ang gidaghanon sa subnet hosts sa espesipikong mga subnet, o kon ang bindings 0.
  • Ang mga pagpalapad ug pagpalapad sa IPv6 mahitabo lang kung ang mamumulong ug tigpaminaw sa Security Exchange Protocol (SXP) nagpadagan sa SXPv3 o mas bag-ong mga bersyon.

Pagdili alang sa Default nga Ruta SGT Mapping

  • Ang default nga configuration sa ruta gidawat lamang sa subnet /0. Ang pagsulod lamang sa host-ip nga wala ang subnet / 0 nagpakita sa mosunod nga mensahe:CISCO-Configuring-Security-Group-Tag-Pagmapa-fig- (1)

Impormasyon Mahitungod sa SGT Mapping

Kini nga seksyon naghatag impormasyon bahin sa SGT mapping.

Tapos naview

Tapos naview sa Subnet-to-SGT Mapping
Subnet-to-SGT mapping nagbugkos sa usa ka SGT sa tanan nga mga adres sa host sa usa ka piho nga subnet. Gipahamtang sa Cisco TrustSec ang SGT sa umaabot nga pakete kung ang gigikanan nga IP address sa packet iya sa piho nga subnet. Ang subnet ug SGT gipiho sa CLI nga adunay cts role-based sgt-map net_address/prefix sgt sgt_number global configuration command. Ang usa ka host mahimo usab nga mapa sa kini nga mando. Sa IPv4 networks, Security Exchange Protocol (SXP)v3, ug mas bag-o nga mga bersyon, makadawat ug maka-parse sa subnet net_address/prefix strings gikan sa SXPv3 mga kaedad. Ang naunang mga bersyon sa SXP nag-convert sa subnet prefix ngadto sa set sa host bindings sa dili pa kini i-eksport ngadto sa usa ka SXP listener peer.

Kay exampUg, ang IPv4 subnet 192.0.2.0/24 gipalapdan sama sa mosunod (3 bits lamang alang sa mga adres sa host):

  • Ang mga adres sa host 198.0.2.1 hangtod 198.0.2.7—tagged ug gipakaylap sa SXP peer.
  • Mga adres sa network ug broadcast 198.0.2.0 ug 198.0.2.8—dili tagged ug dili gipakaylap.

Aron limitahan ang gidaghanon sa mga subnet binding nga ma-export sa SXPv3, gamita ang cts sxp mapping network-map global configuration command. Ang mga pagbugkos sa subnet static, wala’y pagkat-on sa mga aktibo nga host. Mahimo kining gamiton sa lokal para sa pagpahamtang sa SGT ug pagpatuman sa SGACL. Mga pakete tagged pinaagi sa subnet-to-SGT mapping mahimong ipakaylap sa Layer 2 o Layer 3 Cisco TrustSec links. Para sa mga IPv6 network, ang SXPv3 dili maka-export sa mga subnet binding sa SXPv2 o SXPv1 nga mga kaedad.

Tapos naview sa VLAN-to-SGT Mapping
Ang VLAN-to-SGT mapping feature nagbugkos sa usa ka SGT sa mga packet gikan sa usa ka piho nga VLAN. Gipasayon ​​niini ang paglalin gikan sa kabilin ngadto sa mga network nga makahimo sa Cisco TrustSec sama sa mosunod:

  • Nagsuporta sa mga device nga dili Cisco TrustSec-capable apan VLAN-capable, sama sa, legacy switch, wireless controllers, access point, VPNs, etc.
  • Naghatag ug backward compatibility para sa mga topologies diin ang VLAN ug VLAN ACLs nagbahin sa network, sama sa, server segmentation sa data centers.
  • Ang VLAN-to-SGT binding gi-configure gamit ang cts role-based sgt-map vlan-list global configuration command.
  • Sa diha nga ang usa ka VLAN gi-assign sa usa ka ganghaan nga usa ka switched virtual interface (SVI) sa usa ka Cisco TrustSec-capable switch, ug ang IP Device Tracking gipagana sa switch, nan ang Cisco TrustSec makahimo sa usa ka IP-to-SGT binding alang sa bisan unsa nga aktibo nga host. sa maong VLAN nga gimapa sa SVI subnet.
  • Ang mga binding sa IP-SGT alang sa aktibo nga mga host sa VLAN gi-eksport sa mga tigpaminaw sa SXP. Ang mga binding para sa matag mapa nga VLAN gisal-ot sa IP-to-SGT nga lamesa nga may kalabutan sa VRF diin ang VLAN gimapa sa SVI niini o sa cts role-based l2-vrf command.
  • Ang VLAN-to-SGT bindings adunay pinakaubos nga priority sa tanang binding method ug dili tagdon kung ang bindings gikan sa ubang tinubdan nadawat, sama sa SXP o CLI host configurations. Ang nagbugkos nga mga prayoridad gilista sa Binding Source Priorities nga seksyon.
Mga Priyoridad sa Tinubdan sa Pagbugkos

Gisulbad sa Cisco TrustSec ang mga panagbangi sa mga tinubdan nga nagbugkos sa IP-SGT nga adunay estrikto nga laraw sa prayoridad. Kay example, ang usa ka SGT mahimong magamit sa usa ka interface nga adunay polisiya {dynamic identity peer-name | static kaayo tag} Cisco Trustsec Manual interface mode command (Identity Port Mapping). Ang kasamtangang priority enforcement order, gikan sa pinakaubos (1) ngadto sa pinakataas (7), mao ang mosunod:

  1. VLAN: Nakat-unan ang mga binding gikan sa mga snooped ARP packet sa usa ka VLAN nga adunay VLAN-SGT mapping nga na-configure.
  2. CLI: Ang mga binding sa address gi-configure gamit ang IP-SGT nga porma sa cts role-based sgt-map global configuration command.
  3. SXP: Nakat-unan ang mga binding gikan sa mga kaedad sa SXP.
  4. IP_ARP: Ang mga binding nakakat-on kanus-a tagged ARP packets madawat sa usa ka CTS-capable link.
  5. LOKAL: Ang mga pagbugkos sa gipamatud-an nga mga host nga nahibal-an pinaagi sa EPM ug pagsubay sa aparato. Kini nga matang sa pagbugkos naglakip usab sa indibidwal nga mga host nga nakat-unan pinaagi sa ARP snooping sa L2 [I] PM-configured ports.
  6. INTERNAL: Mga pagbugkos tali sa lokal nga gi-configure nga mga IP address ug sa kaugalingon nga SGT sa aparato.

Nota
Kung ang gigikanan nga IP address motakdo sa daghang subnet prefix nga adunay lain-laing gi-assign nga SGTs, nan ang pinakataas nga prefix nga SGT mag-una gawas kung ang prayoridad lahi.

Default nga Ruta SGT

  • Default nga Route Security Group Tag (SGT) naghatag ug SGT nga numero sa mga default nga rota.
  • Ang Default nga Ruta mao ang rota nga dili motakdo sa usa ka espesipikong ruta ug busa mao ang ruta paingon sa kataposang destinasyon nga destinasyon. Ang mga default nga ruta gigamit sa pagdirekta sa mga pakete nga gitumong sa mga network nga dili klaro nga gilista sa routing table.

Unsaon Pag-configure ang SGT Mapping

Kini nga seksyon naghulagway kung unsaon pag-configure ang SGT mapping.

Pag-configure sa usa ka Device SGT Manwal
Sa normal nga operasyon sa Cisco TrustSec, ang server sa panghimatuud naghatag usa ka SGT sa aparato alang sa mga pakete nga naggikan sa aparato. Mahimo nimo nga mano-mano ang pag-configure sa usa ka SGT nga gamiton kung ang server sa pag-authenticate dili ma-access, apan ang usa ka SGT nga gi-assign sa server sa authentication ang mag-una kaysa usa ka SGT nga gi-assign nga mano-mano.

Aron manwal nga ma-configure ang SGT sa device, buhata kini nga buluhaton:

Pamaagi

  Sugo or Aksyon Katuyoan
Lakang 1 makahimo Makapahimo sa pribilihiyo nga EXEC mode.
  Example:

Device# makahimo

 • Pagsulod sa imong password kon giaghat.
Lakang 2 i-configure ang terminal

Example:

Device# i-configure ang terminal

 Misulod sa global configuration mode.
Lakang 3 cts kaayo tag

Example:

Device(config)# cts kaayo 1234

 Makapahimo sa SXP para sa Cisco TrustSec.
Lakang 4 paggawas

Example:

Device(config)# paggawas

 Mogawas sa global configuration mode ug mobalik sa privileged EXEC mode
Pag-configure sa Subnet-to-SGT Mapping

Pamaagi

  Sugo or Aksyon Katuyoan
Lakang 1 makahimo

Example:

Device# makahimo

 Makapahimo sa pribilihiyo nga EXEC mode.

• Pagsulod sa imong password kon giaghat.
Lakang 2 i-configure ang terminal

Example:

Device# i-configure ang terminal

 Misulod sa global configuration mode.
Lakang 3 cts sxp mapping network-map mga pagbugkos

Example:

Device(config)# cts sxp mapping network-map 10000

 •  Gi-configure ang Subnet ngadto sa SGT Mapping host count constraint. Ang argumento sa pagbugkos nagtino sa kinatas-ang gidaghanon sa mga subnet IP host nga mahimong igapos sa mga SGT ug i-eksport sa tigpaminaw sa SXP.

•  mga binding—(0 ngadto sa 65,535) default mao ang 0 (walay pagpalapad nga gihimo)
Lakang 4 cts role-based sgt-map ipv4_address/prefix

sgt numero

Example:

Device(config)# cts nga gibase sa papel nga sgt-mapa 10.10.10.10/29 sgt 1234

 (IPv4) Nagtino sa usa ka subnet sa CIDR notation.

•  Gamita ang walay porma sa command aron ma-unconfigure ang Subnet ngadto sa SGT mapping. Ang gidaghanon sa mga binding nga gipiho sa Lakang 2 kinahanglan nga motakdo o molapas sa gidaghanon sa mga adres sa host sa subnet (walay labot ang mga adres sa network ug broadcast). Ang sgt number nga keyword nagtino sa Seguridad
    Grupo Tag nga igapos sa matag panon

adres sa gipiho nga subnet.

•  ipv4_address—Ipiho ang IPv4 network address sa dotted decimal notation.

•  prefix—(0 ngadto sa 30) Gipiho ang gidaghanon sa mga bit sa adres sa network.

•  sgt numero—(0–65,535) Nagtino sa Security Group Tag (SGT) nga numero.
Lakang 5 cts role-based sgt-map ipv6_address::prefix

sgt numero

Example:

Device(config)# cts role-based sgt-map 2020::/64 sgt 1234

 (IPv6) Nagtino sa usa ka subnet sa colon hexadecimal notation. Gamita ang walay porma sa sugo aron ma-unconfigure ang Subnet ngadto sa SGT mapping.

Ang gidaghanon sa mga binding nga gipiho sa Lakang 2 kinahanglan nga motakdo o molapas sa gidaghanon sa mga adres sa host sa subnet (walay labot ang mga adres sa network ug broadcast). Ang sgt number nga keyword nagtino sa Security Group Tag nga igapos sa matag adres sa host sa gipiho nga subnet.

•  ipv6_address—Ipiho ang IPv6 network address sa colon hexadecimal notation.

•  prefix—(0 to128) Nagtino sa gidaghanon sa mga bits sa adres sa network.

•  sgt numero—(0–65,535) Nagtino sa Security Group Tag (SGT) nga numero.
Lakang 6 paggawas

Example:

Device(config)# paggawas

 Mogawas sa global configuration mode ug mobalik sa privileged EXEC mode..
Pag-configure sa VLAN-to-SGT Mapping

Task Flow para sa Pag-configure sa VLAN-SGT Mapping sa Cisco TrustSec device.

  • Paghimo usa ka VLAN sa aparato nga adunay parehas nga VLAN_ID sa umaabot nga VLAN.
  • Paghimo og SVI alang sa VLAN sa device aron mahimong default gateway alang sa endpoint nga mga kliyente.
  • I-configure ang device aron magamit ang SGT sa trapiko sa VLAN.
  • I-enable ang pagsubay sa IP Device sa device.
  • Ilakip ang polisiya sa pagsubay sa device ngadto sa usa ka VLAN.

Nota
Sa usa ka multi-switch network, ang SISF-based device tracking naghatag ug kapabilidad sa pag-apod-apod sa mga binding table entries tali sa mga switch nga nagpadagan sa feature. Nagtuo kini nga ang mga nagbugkos nga mga entry gihimo sa mga switch diin ang host makita sa usa ka access port, ug walay entry nga gihimo alang sa usa ka host nga makita sa ibabaw sa usa ka trunk port. Aron makab-ot kini sa usa ka multi-switch setup, among girekomendar nga imong i-configure ang laing polisiya ug i-attach kini sa trunk port, sama sa gihulagway sa Configuring a Multi-Switch Network to Stop Creating Binding Entries gikan sa Trunk Port procedure, sa Configuring SISF -Based Device Tracking kapitulo sa Security Configuration Guide.

  • Tinoa nga ang VLAN-to-SGT mapping mahitabo sa device.

Pamaagi

  Sugo or Aksyon Katuyoan
Lakang 1 makahimo

Example:

Device# makahimo

 Makapahimo sa pribilihiyo nga EXEC mode.

• Pagsulod sa imong password kon giaghat.
Lakang 2 i-configure ang terminal

Example:

Device# i-configure ang terminal

 Misulod sa global configuration mode.
Lakang 3 vlan vlan_id

Example:

Device(config)# vlan 100

 Naghimo og VLAN 100 sa TrustSec-capable gateway device ug mosulod sa VLAN

mode sa pag-configure.
Lakang 4 [dili] pagsira

Example:

Device(config-vlan)# walay shutdown

 Mga Probisyon VLAN 100.
Lakang 5 paggawas

Example:

Device(config-vlan)# paggawas

 Mogawas sa VLAN configuration mode ug mobalik sa global configuration mode.
Lakang 6 interface type nga slot/port

Example:

Device(config)# interface vlan 100

 Gipiho ang tipo sa interface ug mosulod sa mode sa pagsumpo sa interface.
Lakang 7 ip address puwang/port

Example:

Device(config-if)# ip address 10.1.1.2 255.0.0.0

 Gi-configure ang Switched Virtual Interface (SVI) para sa VLAN 100.
Lakang 8 [dili ] pagsira

Example:

Device(config-if)# walay shutdown

 Makapahimo sa SVI.
Lakang 9 paggawas

Example:

Device(config-if)# paggawas

 Mogawas sa interface configuration mode ug mobalik sa global configuration mode.
Lakang 10 cts role-based sgt-map vlan-list vlan_id sgt

sgt_number

Example:

Device(config)# cts role-based sgt-map vlan-list 100 sgt 10

 I-assign ang espesipikong SGT sa espesipikong VLAN.
Lakang 11 polisiya sa pagsubay sa device ngalan sa palisiya

Example:

Device(config)# polisiya sa pagsubay sa device1

 Gipiho ang palisiya ug gisulod ang mode sa pagsumpo sa palisiya sa pagsubay sa aparato.
Lakang 12 makahimo sa pagsubay

Example:

Device(config-device-tracking)# pagsubay makahimo

 Gi-override ang default device tracking settings para sa policy attribute.
Lakang 13 paggawas

Example:

Device(config-device-tracking)# paggawas

 Mogawas sa device-tracking policy configuration mode ug mobalik sa global configuration mode.
Lakang 14 configuration sa vlan vlan_id

Example:

Device(config)# vlan configuration 100

 Gipiho ang VLAN diin ang polisiya sa pagsubay sa device ilakip, ug mosulod sa VLAN configuration mode.
Lakang 15 attach-policy sa pagsubay sa device ngalan sa palisiya

Example:

Device(config-vlan-config)#

polisiya sa attach-policy sa device-tracking 1

 Naglakip sa polisiya sa pagsubay sa device ngadto sa espesipikong VLAN.
Lakang 16 katapusan

Example:

Device(config-vlan-config)# katapusan

 Mogawas sa VLAN configuration mode ug mobalik sa privileged EXEC mode.
Lakang 17 ipakita cts role-based sgt-map {ipv4_netaddr

| ipv4_netaddr/prefix | ipv6_netaddr | ipv6_netaddr/prefix |tanan [ipv4 |ipv6] |host { ipv4 addr |ipv6_addr } |summary [ ipv4

|ipv6 ]

 (Opsyonal) Nagpakita sa VLAN-to-SGT mappings.
  Example:

Device# ipakita cts role-based sgt-map tanan

  
Lakang 18 ipakita ang palisiya sa pagsubay sa aparato ngalan sa palisiya

Example:

Device# ipakita ang polisiya sa pagsubay sa device1

 (Opsyonal) Nagpakita sa kasamtangan nga mga kinaiya sa palisiya.
Pagsundog sa Hardware Keystore

Sa mga kaso diin ang usa ka hardware keystore wala o dili magamit, mahimo nimong i-configure ang switch aron magamit ang usa ka software emulation sa keystore. Aron ma-configure ang paggamit sa usa ka software keystore, buhata kini nga buluhaton:

Pamaagi

  Sugo or Aksyon Katuyoan
Lakang 1 makahimo

Example:

Device# makahimo

 Makapahimo sa pribilihiyo nga EXEC mode.

• Pagsulod sa imong password kon giaghat.
Lakang 2 i-configure ang terminal

Example:

Device# i-configure ang terminal

 Misulod sa global configuration mode.
Lakang 3 cts keystore emulate

Example:

Device(config)# cts keystore emulate

 Gi-configure ang switch aron magamit ang usa ka software emulation sa keystore imbes sa hardware keystore.
Lakang 4 paggawas

Example:

Device(config)# paggawas

 Migawas sa configuration mode.
Lakang 5 ipakita ang keystore

Example:

Device# ipakita ang keystore

 Nagpakita sa kahimtang ug mga sulod sa keystore. Ang gitipigan nga mga sekreto wala gipakita.

Pag-configure sa Default nga Ruta SGT

Sa dili ka pa magsugod
Siguroha nga nakahimo ka na og default nga rota sa device gamit ang ip route 0.0.0.0 command. Kung dili, ang default nga ruta (nga moabut uban ang Default nga Ruta SGT) makakuha usa ka wala mailhi nga destinasyon ug busa ang katapusan nga destinasyon nga destinasyon magpunting sa CPU.

Pamaagi

  Sugo or Aksyon Katuyoan
Lakang 1 makahimo

Example:

Device> pagana

 Makapahimo sa pribilihiyo nga EXEC mode.

• Pagsulod sa imong password kon giaghat.
Lakang 2 i-configure ang terminal

Example:

Device # i-configure ang terminal

 Misulod sa global configuration mode.
Lakang 3 cts nga gibase sa papel nga sgt-mapa 0.0.0.0/0 sgt numero

Example:

Device(config)# cts role-based sgt-map 0.0.0.0/0 sgt 3

 Gipiho ang numero sa SGT alang sa default nga ruta. Ang balido nga mga kantidad gikan sa 0 hangtod 65,519.

Nota                    • Ang host_address/subnet mahimong IPv4 address (0.0.0.0/0) o IPv6 address (0:0::/0)

•  Ang default nga ruta

ang configuration gidawat lamang sa subnet /0. Ang pagsulod lamang sa host-ip nga wala ang subnet / 0 nagpakita sa mosunod nga mensahe:

Device(config)#cts gibase sa papel nga sgt-mapa

0.0.0.0 kaayo 1000 Ang default nga configuration sa ruta wala gisuportahan para sa host ip
Lakang 4 paggawas

Example:

Device(config)# exit

 Migawas sa global configuration mode.

Pag-verify sa SGT Mapping

Ang mosunod nga mga seksyon nagpakita kon unsaon pag-verify sa SGT mapping:

Pag-verify sa Subnet-to-SGT Mapping Configuration
Aron ipakita ang impormasyon sa pagsumpo sa Subnet-to-SGT Mapping, gamita ang usa sa mosunod nga mga command command:

Sugo Katuyoan
ipakita cts sxp koneksyon Nagpakita sa mga koneksyon sa SXP speaker ug tigpaminaw sa ilang kahimtang sa operasyon.
ipakita cts sxp sgt-mapa Nagpakita sa IP ngadto sa SGT bindings nga gi-eksport sa mga tigpaminaw sa SXP.
ipakita ang running-config Pagmatuod nga ang subnet-to-SGT configurations commands anaa sa running configuration file.

Pag-verify sa VLAN-to-SGT Mapping

Para ipakita ang impormasyon sa configuration sa VLAN-to-SGT, gamita ang mosunod nga mga show commands:

Talaan 1:

Sugo Katuyoan
ipakita ang palisiya sa pagsubay sa aparato Nagpakita sa kasamtangang mga kinaiya sa polisiya sa polisiya sa pagsubay sa device.
ipakita cts role-based sgt-map Nagpakita sa IP address-sa-SGT bindings.

Pag-verify sa Default nga Ruta SGT Configuration

I-verify ang Default Route SGT configuration:
device# ipakita ang role-based nga sgt-mapa sa tanang Aktibo nga IPv4-SGT Bindings Information

CISCO-Configuring-Security-Group-Tag-Pagmapa-fig- (2)

Configuration Examples para sa SGT Mapping

Ang mosunod nga mga seksyon nagpakita sa configuration exampgamay sa SGT mapping:

Example: Pag-configure sa usa ka Device SGT Manwal

  • Device # i-configure ang terminal
  • Device(config)# cts sgt 1234
  • Device(config)# exit

Example: Configuration para sa Subnet-to-SGT Mapping
Ang mosunod nga exampGipakita niini kung unsaon pag-configure ang IPv4 Subnet-to-SGT Mapping tali sa mga device nga nagdagan sa SXPv3 (Device1 ug Device2):

  1. I-configure ang SXP nga mamumulong / tigpaminaw nga nagtan-aw tali sa mga himan.
    • Device1# i-configure ang terminal
    • Device1(config)# cts sxp enable
    • Device1(config)# cts sxp default source-ip 1.1.1.1
    • Device1(config)# cts sxp default password 1syzygy1
    • Device1(config)# cts sxp connection peer 2.2.2.2 password default mode local speaker
  2. I-configure ang Device2 isip tigpaminaw sa SXP sa Device1.
    • Device2(config)# cts sxp enable
    • Device2(config)# cts sxp default source-ip 2.2.2.2
    • Device2(config)# cts sxp default password 1syzygy1
    • Device2(config)# cts sxp connection peer 1.1.1.1 password default mode local listener
  3. Sa Device2, pamatud-i nga ang koneksyon sa SXP naglihok:
    Device2# ipakita cts sxp koneksyon mubo | naglakip sa 1.1.1.1 1.1.1.1 2.2.2.2 Sa 3:22:23:18 (dd:hr:mm:sec)
  4. I-configure ang mga subnetwork nga mapalapad sa Device1.
    • Device1(config)# cts sxp mapping network-map 10000
    • Device1(config)# cts nga gibase sa papel nga sgt-map 10.10.10.0/30 sgt 101
    • Device1(config)# cts nga gibase sa papel nga sgt-map 11.11.11.0/29 sgt 11111
    • Device1(config)# cts nga gibase sa papel nga sgt-map 192.168.1.0/28 sgt 65000
  5. Sa Device2, susiha ang subnet-to-SGT nga pagpalapad gikan sa Device1. Kinahanglan adunay duha ka pagpalapad para sa 10.10.10.0/30 subnetwork, unom ka pagpalapad para sa 11.11.11.0/29 subnetwork, ug 14 ka pagpalapad para sa 192.168.1.0/28 subnetwork.
    Device2# ipakita cts sxp sgt-mapa mubo | naglakip sa 101|11111|65000
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
  6. I-verify ang ihap sa pagpalapad sa Device1:
    Device1# ipakita cts sxp sgt-mapa
    • IP-SGT Mappings gipalapdan:22
    • Walay IP-SGT Mappings
  7. I-save ang mga configuration sa Device1 ug Device2 ug pagawas sa global configuration mode.
    Device1(config)# copy running-config startup-config
    Device1(config)# exit
    Device2(config)# copy running-config startup-config
    Device2(config)# exit

Example:
Configuration para sa VLAN-to-SGT Mapping para sa Usa ka Host Labaw sa Access Link.

Sa mosunod nga example, usa ka host nagkonektar sa VLAN 100 sa usa ka access device. Ang gibalhin nga virtual interface sa TrustSec device mao ang default gateway para sa VLAN 100 endpoint (IP Address 10.1.1.1). Ang TrustSec device nagpahamtang sa Security Group Tag (SGT) 10 sa mga pakete gikan sa VLAN 100.

  1. Paghimo og VLAN 100 sa usa ka access device.
    • access_device# i-configure ang terminal
    • access_device(config)# vlan 100
    • access_device(config-vlan)# walay shutdown
    • access_device(config-vlan)# exit
    • access_device(config)#
  2. I-configure ang interface sa TrustSec device isip access link. Mga pag-configure alang sa katapusan nga punto
    1. Ang access port wala iapil niini nga example.
    2. access_device(config)# interface gigabitEthernet 6/3
    3. access_device(config-if)# switchport
    4. access_device(config-if)# switchport mode access
    5. access_device(config-if)# switchport access vlan 100
  3. Paghimo og VLAN 100 sa TrustSec device.
    • TS_device(config)# vlan 100
    • TS_device(config-vlan)# walay shutdown
    • TS_device(config-vlan)# katapusan
    • TS_device#
  4. Paghimo og SVI isip ganghaan alang sa umaabot nga VLAN 100.
    • TS_device(config)# interface vlan 100
    • TS_device(config-if)# ip address 10.1.1.2 255.0.0.0
    • TS_device(config-if)# walay shutdown
    • TS_device(config-if)# katapusan
    • TS_device(config)#
  5. Itudlo ang Security Group Tag (SGT) 10 ngadto sa mga host sa VLAN 100.
    • TS_device(config)# cts role-based sgt-map vlan 100 sgt 10
  6. I-enable ang IP Device Tracking sa TrustSec device. Tinoa nga kini naglihok.
    • TS_device(config)# ip device tracking
    • TS_device# ipakita ip device pagsubay sa tananCISCO-Configuring-Security-Group-Tag-Pagmapa-fig- (3)
  7. (Opsyonal) PING ang default gateway gikan sa usa ka endpoint (niining example, host IP Address 10.1.1.1). Tinoa nga ang SGT 10 gimapa sa VLAN 100 nga mga host.
    CISCO-Configuring-Security-Group-Tag-Pagmapa-fig- (4)

Example: Pagsundog sa Hardware Keystore
Kini nga exampGipakita sa le kung giunsa pag-configure ug pag-verify ang paggamit sa usa ka keystore sa software:

CISCO-Configuring-Security-Group-Tag-Pagmapa-fig- (5)

Example: Pag-configure sa Ruta sa Device SGT

  • Device # i-configure ang terminal
  • Device(config)# cts role-based sgt-map 0.0.0.0/0 sgt 3
  • Device(config)# exit

Feature History para sa Security Group Tag Pagmapa

  • Kini nga talaan naghatag ug pagpagawas ug may kalabutan nga impormasyon alang sa mga bahin nga gipatin-aw niini nga module.
  • Kini nga mga bahin magamit sa tanan nga mga pagpagawas pagkahuman sa usa nga gipaila niini, gawas kung gipahibalo kung dili.
Ipagawas Feature Feature Impormasyon
Cisco IOS XE Everest 16.5.1a Grupo sa Seguridad Tag Pagmapa Subnet ngadto sa SGT mapping nagbugkos sa usa ka SGT sa tanang mga adres sa host sa usa ka piho nga subnet. Kung mapatuman na kini nga mapping, ang Cisco TrustSec nagpahamtang sa SGT sa bisan unsang umaabot nga pakete nga adunay gigikanan nga IP address nga iya sa piho nga subnet.
Cisco IOS XE Gibraltar 16.11.1 Default nga Ruta SGT Klasipikasyon Ang Default nga Ruta SGT naghatag ug SGT tag numero sa mga ruta nga dili motakdo sa usa ka piho nga ruta.

Gamita ang Cisco Feature Navigator sa pagpangita og impormasyon bahin sa platform ug software image support. Aron ma-access ang Cisco Feature Navigator, adto sa http://www.cisco.com/go/cfn.

Mga Dokumento / Mga Kapanguhaan

CISCO Configuring Security Group Tag Pagmapa [pdf] Giya sa Gumagamit
Pag-configure sa Security Group Tag Pagmapa, Pag-configure, Grupo sa Seguridad Tag Mapa, Grupo Tag Mapa, Tag Pagmapa

Mga pakisayran

May Kalabutan nga mga Post

Pagbilin ug komento

Ang imong email address dili mamantala. Ang gikinahanglan nga mga natad gimarkahan *