CISCO Konfigurace skupiny zabezpečení Tag Mapování

Informace o produktu

Produkt umožňuje konfiguraci skupiny zabezpečení tag (SGT) mapování. Tato funkce váže SGT ke všem hostitelským adresám zadané podsítě. Jakmile je toto mapování implementováno, Cisco TrustSec vloží SGT na každý příchozí paket, který má zdrojovou IP adresu, která patří do zadané podsítě.

Omezení pro mapování SGT
Následující příkaz není podporován pro konfiguraci IP hostitele: Device(config)#cts role-based sgt-map 0.0.0.0 sgt 1000

Nadview mapování podsítě na SGT

• Mapování podsítě na SGT váže SGT na všechny adresy hostitelů zadané podsítě. Cisco TrustSec uvalí SGT na příchozí paket, když zdrojová IP adresa paketu patří do určené podsítě. Podsíť a SGT jsou specifikovány v CLI s příponoucts role-based sgt-map net_address/prefix sgt sgt_number globální konfigurační příkaz. Pomocí tohoto příkazu lze také namapovat jednoho hostitele.
• V sítích IPv4 může protokol Security Exchange Protocol (SXP)v3 a novější verze přijímat a analyzovat řetězce net_address/prefix podsítě od kolegů SXPv3. Dřívější verze SXP převádějí předponu podsítě na její sadu hostitelských vazeb, než je exportují do naslouchacího serveru SXP.
• Vazby podsítě jsou statické, nedochází k učení aktivních hostitelů. Mohou být použity lokálně pro uložení SGT a vynucení SGACL. Pakety tagmapování subnet-to-SGT lze šířit na vrstvě 2 nebo 3. vrstvě Cisco TrustSec spojení.
• U sítí IPv6 nemůže SXPv3 exportovat vazby podsítě do SXPv2 nebo SXPv1 vrstevníků.

Nadview mapování VLAN na SGT

• Funkce mapování VLAN-to-SGT váže SGT k paketům ze zadané VLAN. To zjednodušuje migraci ze starších sítí na sítě podporující Cisco TrustSec.
• Vazba VLAN-to-SGT se konfiguruje pomocí cts role-based sgt-map vlan-list globální konfigurační příkaz.
• Když je VLAN přiřazena brána, která je přepínaným virtuálním rozhraním (SVI) na přepínači s podporou Cisco TrustSec, a na tomto přepínači je povoleno sledování IP zařízení, může Cisco TrustSec vytvořit vazbu IP-to-SGT pro libovolného aktivního hostitele. na této VLAN mapovaném na podsíť SVI.
• Vazby IP-SGT pro aktivní hostitele VLAN jsou exportovány do posluchačů SXP. Vazby pro každou mapovanou VLAN jsou vloženy do tabulky IP-to-SGT spojené s VRF, na kterou je VLAN mapována buď svým SVI, nebo cts role-based l2-vrf příkaz.
• Vazby VLAN-to-SGT mají nejnižší prioritu ze všech metod vazby a jsou ignorovány, když jsou přijaty vazby z jiných zdrojů, například z konfigurací hostitele SXP nebo CLI. Priority vazeb jsou uvedeny v části Priority zdrojů vazeb.

Návod k použití produktu

Konfigurace mapování podsítě na SGT

1. Přístup k rozhraní CLI zařízení.
2. Vstupte do konfiguračního režimu pomocí config příkaz.
3. Chcete-li nakonfigurovat mapování podsítě na SGT, spusťte následující příkaz:

cts role-based sgt-map net_address/prefix sgt sgt_number

1. Nahradit net_address/prefix s adresou podsítě a délkou předpony, kterou chcete mapovat (např. 192.168.1.0/24).
2. Nahradit sgt_number s požadovanou bezpečnostní skupinou tag číslo.
3. Stiskněte Enter pro použití konfigurace.
4. Ukončete režim konfigurace.

Konfigurace mapování VLAN na SGT

1. 1. Přístup k rozhraní CLI zařízení.
   2. Vstupte do konfiguračního režimu pomocí config příkaz.
   3. Chcete-li nakonfigurovat mapování VLAN na SGT, spusťte následující příkaz:

cts role-based sgt-map vlan-list

1. Zadejte VLAN, které mají být mapovány na SGT.
2. Stiskněte Enter pro použití konfigurace.
3. Ukončete režim konfigurace.

Specifikace

• Podporované sítě: IPv4, IPv6
• Podporované protokoly: Security Exchange Protocol (SXP) v3
• Podporované metody vazby: Mapování podsítě na SGT, mapování VLAN na SGT

Často kladené otázky (FAQ)

• Otázka: Lze exportovat vazby podsítě do SXPv2 nebo SXPv1 peerů v sítích IPv6?
  Odpověď: Ne, vazby podsítě lze exportovat pouze do SXPv3 peerů v sítích IPv6.
• Otázka: Jaká je priorita vazeb VLAN-to-SGT?
  Odpověď: Vazby VLAN na SGT mají nejnižší prioritu ze všech metod vazby a jsou ignorovány, když jsou přijímány vazby z jiných zdrojů.

Podsíť do skupiny zabezpečení tag Mapování (SGT) váže SGT na všechny adresy hostitelů zadané podsítě. Jakmile je toto mapování implementováno, Cisco TrustSec vloží SGT na každý příchozí paket, který má zdrojovou IP adresu, která patří do zadané podsítě.

Omezení pro mapování SGT

Omezení pro mapování subnet-to-SGT

• Podsíť IPv4 s předponou /31 nelze rozšířit.
• Adresy hostitelů podsítě nelze svázat se skupinou zabezpečení Tags (SGT), když je parametr vazeb síťové mapy menší než celkový počet hostitelů podsítě v zadaných podsítích, nebo když jsou vazby 0.
• K rozšíření a šíření IPv6 dochází pouze v případě, že reproduktor a posluchač protokolu Security Exchange Protocol (SXP) používají SXPv3 nebo novější verze.

Omezení pro mapování SGT výchozí trasy

• Výchozí konfigurace trasy je akceptována pouze s podsítí /0. Zadáním pouze adresy IP hostitele bez podsítě /0 se zobrazí následující zpráva:

Informace o mapování SGT

Tato část poskytuje informace o mapování SGT.

Nadview

Nadview mapování podsítě na SGT
Mapování podsítě na SGT váže SGT na všechny adresy hostitelů zadané podsítě. Cisco TrustSec uvalí SGT na příchozí paket, když zdrojová IP adresa paketu patří do určené podsítě. Podsíť a SGT jsou specifikovány v CLI pomocí globálního konfiguračního příkazu sgt-map sgt_síťová_adresa/předpona sgt sgt_number na základě role cts. Pomocí tohoto příkazu lze také namapovat jednoho hostitele. V sítích IPv4 může protokol Security Exchange Protocol (SXP)v3 a novější verze přijímat a analyzovat řetězce net_address/prefix podsítě od kolegů SXPv3. Dřívější verze SXP převedou předponu podsítě na její sadu vazeb hostitele, než je exportují do naslouchacího serveru SXP.

Napřample, podsíť IPv4 192.0.2.0/24 je rozšířena následovně (pouze 3 bity pro adresy hostitelů):

• Hostitelské adresy 198.0.2.1 až 198.0.2.7—tagged a propagován na SXP peer.
• Síťové a vysílací adresy 198.0.2.0 a 198.0.2.8 – ne tagchráněné a nepropagované.

Chcete-li omezit počet vazeb podsítě, které může SXPv3 exportovat, použijte globální konfigurační příkaz cts sxp mapping network-map. Vazby podsítě jsou statické, nedochází k učení aktivních hostitelů. Mohou být použity lokálně pro uložení SGT a vynucení SGACL. Pakety tagmapování subnet-to-SGT lze šířit na vrstvě 2 nebo 3. vrstvě Cisco TrustSec spojení. U sítí IPv6 nemůže SXPv3 exportovat vazby podsítě do SXPv2 nebo SXPv1 vrstevníků.

Nadview mapování VLAN na SGT
Funkce mapování VLAN-to-SGT váže SGT k paketům ze zadané VLAN. To zjednodušuje migraci ze starších sítí na sítě podporující Cisco TrustSec následovně:

• Podporuje zařízení, která nepodporují Cisco TrustSec, ale podporují VLAN, jako jsou starší přepínače, bezdrátové ovladače, přístupové body, VPN atd.
• Poskytuje zpětnou kompatibilitu pro topologie, kde VLAN a VLAN ACL segmentují síť, jako je segmentace serverů v datových centrech.
• Vazba VLAN-to-SGT se konfiguruje pomocí globálního konfiguračního příkazu sgt-map vlan-list na základě role cts.
• Když je VLAN přiřazena brána, která je přepínaným virtuálním rozhraním (SVI) na přepínači s podporou Cisco TrustSec, a na tomto přepínači je povoleno sledování IP zařízení, může Cisco TrustSec vytvořit vazbu IP-to-SGT pro libovolného aktivního hostitele. na této VLAN mapovaném na podsíť SVI.
• Vazby IP-SGT pro aktivní hostitele VLAN jsou exportovány do posluchačů SXP. Vazby pro každou mapovanou VLAN jsou vloženy do tabulky IP-to-SGT spojené s VRF, na kterou je VLAN mapována buď jejím SVI, nebo příkazem l2-vrf založeným na roli cts.
• Vazby VLAN-to-SGT mají nejnižší prioritu ze všech metod vazby a jsou ignorovány, když jsou přijaty vazby z jiných zdrojů, například z konfigurací hostitele SXP nebo CLI. Priority vazeb jsou uvedeny v části Priority zdrojů vazeb.

Závazné priority zdroje

Cisco TrustSec řeší konflikty mezi zdroji vazeb IP-SGT pomocí schématu přísné priority. NapřampSGT lze použít na rozhraní s politikou {dynamická identita peer-name | statický sgt tag} Příkaz ručního režimu rozhraní Cisco Trustsec (Mapování portů identity). Aktuální příkaz k vymáhání přednosti, od nejnižší (1) po nejvyšší (7), je následující:

1. VLAN: Vazby naučené ze snoopovaných paketů ARP ve VLAN, která má nakonfigurované mapování VLAN-SGT.
2. CLI: Vazby adres nakonfigurované pomocí formuláře IP-SGT příkazu globální konfigurace sgt-map založeného na roli cts.
3. SXP: Vazby naučené od kolegů SXP.
4. IP_ARP: Vazby naučil kdy tagged ARP pakety jsou přijímány na lince podporující CTS.
5. MÍSTNÍ: Vazby ověřených hostitelů, které se učí prostřednictvím EPM a sledování zařízení. Tento typ vazby také zahrnuje jednotlivé hostitele, kteří se učí pomocí ARP snooping na L2 [I] PM-konfigurovaných portech.
6. VNITŘNÍ: Vazby mezi lokálně nakonfigurovanými IP adresami a vlastním SGT zařízení.

Poznámka
Pokud zdrojová IP adresa odpovídá více předponám podsítě s různými přiřazenými SGT, pak má přednost nejdelší předpona SGT, pokud se priorita neliší.

Výchozí trasa SGT

• Výchozí skupina zabezpečení trasy Tag (SGT) přiřadí výchozím trasám číslo SGT.
• Výchozí trasa je trasa, která neodpovídá zadané trase, a proto je trasou do cíle poslední instance. Výchozí trasy se používají k nasměrování paketů adresovaných do sítí, které nejsou explicitně uvedeny ve směrovací tabulce.

Jak nakonfigurovat mapování SGT

Tato část popisuje, jak nakonfigurovat mapování SGT.

Manuální konfigurace zařízení SGT
V normálním provozu Cisco TrustSec ověřovací server přiřadí zařízení SGT pro pakety pocházející ze zařízení. Pokud ověřovací server není přístupný, můžete ručně nakonfigurovat SGT, který se má použít, ale SGT přiřazený ověřovacím serverem bude mít přednost před ručně přiřazeným SGT.

Chcete-li ručně nakonfigurovat SGT na zařízení, proveďte tento úkol:

Postup

	Příkaz or Akce	Účel
Krok 1	umožnit	Povolí privilegovaný režim EXEC.

	Exampten: Přístroj# umožnit	• Pokud budete vyzváni, zadejte své heslo.
Krok 2	nakonfigurovat terminál Exampten: Přístroj# nakonfigurovat terminál	Vstoupí do režimu globální konfigurace.
Krok 3	cts sgt tag Exampten: Zařízení(konfigurace)# cts sgt 1234	Povolí SXP pro Cisco TrustSec.
Krok 4	výstup Exampten: Zařízení(konfigurace)# výstup	Ukončí režim globální konfigurace a vrátí se do privilegovaného režimu EXEC

Konfigurace mapování podsítě na SGT

Postup

	Příkaz or Akce	Účel
Krok 1	umožnit Exampten: Přístroj# umožnit	Povolí privilegovaný režim EXEC. • Pokud budete vyzváni, zadejte své heslo.
Krok 2	nakonfigurovat terminál Exampten: Přístroj# nakonfigurovat terminál	Vstoupí do režimu globální konfigurace.
Krok 3	cts sxp mapování network-map vazby Exampten: Zařízení(konfigurace)# cts sxp mapování network-map 10000	•  Konfiguruje omezení počtu hostitelů pro podsíť na mapování SGT. Argument vazby určuje maximální počet hostitelů IP podsítě, které lze svázat s SGT a exportovat do posluchače SXP. •  vazby – (0 až 65,535 0) výchozí hodnota je XNUMX (neprovedena žádná rozšíření)
Krok 4	cts role-based sgt-map ipv4_adresa/prefix sgt číslo Exampten: Zařízení(konfigurace)# cts role-based sgt-map 10.10.10.10/29 sgt 1234	(IPv4) Určuje podsíť v notaci CIDR. •  Ke zrušení konfigurace mapování podsítě na SGT použijte příkaz no. Počet vazeb zadaný v kroku 2 by měl odpovídat počtu hostitelských adres v podsíti (kromě síťových a všesměrových adres) nebo jej převyšovat. Klíčové slovo číslo sgt určuje zabezpečení

		Skupina Tag být vázán na každého hostitele adresu v zadané podsíti. •  ipv4_address – Určuje síťovou adresu IPv4 v desítkovém formátu odděleném tečkami. •  prefix – (0 až 30) Určuje počet bitů v síťové adrese. •  sgt číslo—(0–65,535 XNUMX) Určuje skupinu zabezpečení Tag číslo (SGT).
Krok 5	cts role-based sgt-map ipv6_address::prefix sgt číslo Exampten: Zařízení(konfigurace)# cts role-based sgt-map 2020::/64 sgt 1234	(IPv6) Určuje podsíť v hexadecimálním zápisu s dvojtečkou. Pro zrušení konfigurace mapování podsítě na SGT použijte příkaz no. Počet vazeb zadaný v kroku 2 by měl odpovídat počtu hostitelských adres v podsíti (kromě síťových a všesměrových adres) nebo jej převyšovat. Klíčové slovo číslo sgt určuje skupinu zabezpečení Tag být vázán na každou adresu hostitele v zadané podsíti. •  ipv6_address – Určuje síťovou adresu IPv6 v hexadecimálním zápisu s dvojtečkou. •  prefix – (0 až 128) Určuje počet bitů v síťové adrese. •  sgt číslo—(0–65,535 XNUMX) Určuje skupinu zabezpečení Tag číslo (SGT).
Krok 6	výstup Exampten: Zařízení(konfigurace)# výstup	Ukončí režim globální konfigurace a vrátí se do privilegovaného režimu EXEC.

Konfigurace mapování VLAN na SGT

Tok úloh pro konfiguraci mapování VLAN-SGT na zařízení Cisco TrustSec.

• Vytvořte na zařízení VLAN se stejným VLAN_ID jako příchozí VLAN.
• Vytvořte SVI pro VLAN na zařízení, které bude výchozí bránou pro klienty koncových bodů.
• Nakonfigurujte zařízení tak, aby na provoz VLAN aplikovalo SGT.
• Povolte na zařízení sledování zařízení IP.
• Připojte zásadu sledování zařízení k síti VLAN.

Poznámka
V síti s více přepínači poskytuje sledování zařízení založené na SISF schopnost distribuovat položky tabulky vazeb mezi přepínače, na kterých je tato funkce spuštěna. To předpokládá, že položky vazby jsou vytvořeny na přepínačích, kde se hostitel vyskytuje na přístupovém portu, a není vytvořena žádná položka pro hostitele, který se zobrazuje přes port trunk. Chcete-li toho dosáhnout v nastavení s více přepínači, doporučujeme nakonfigurovat jinou zásadu a připojit ji k portu trunku, jak je popsáno v postupu Konfigurace sítě s více přepínači pro zastavení vytváření vazebných položek z portu kmene v části Konfigurace SISF. - Kapitola Sledování zařízení podle pokynů v příručce Security Configuration Guide.

• Ověřte, že na zařízení dochází k mapování VLAN-to-SGT.

Postup

	Příkaz or Akce	Účel
Krok 1	umožnit Exampten: Přístroj# umožnit	Povolí privilegovaný režim EXEC. • Pokud budete vyzváni, zadejte své heslo.
Krok 2	nakonfigurovat terminál Exampten: Přístroj# nakonfigurovat terminál	Vstoupí do režimu globální konfigurace.
Krok 3	vlan vlan_id Exampten: Zařízení(konfigurace)# vlan 100	Vytvoří VLAN 100 na zařízení brány podporující TrustSec a vstoupí do VLAN konfigurační režim.
Krok 4	[žádný] vypnutí Exampten: Zařízení(config-vlan)# žádné vypnutí	Ustanovení VLAN 100.
Krok 5	výstup Exampten: Zařízení(config-vlan)# výstup	Ukončí režim konfigurace VLAN a vrátí se do režimu globální konfigurace.
Krok 6	rozhraní typ slot/port Exampten: Zařízení(konfigurace)# rozhraní vlan 100	Určuje typ rozhraní a vstupuje do režimu konfigurace rozhraní.
Krok 7	IP adresa slot/port Exampten: Zařízení (config-if)# IP adresa 10.1.1.2 255.0.0.0	Konfiguruje přepínané virtuální rozhraní (SVI) pro VLAN 100.

Krok 8	[žádný ] vypnutí Exampten: Zařízení (config-if)# žádné vypnutí	Aktivuje SVI.
Krok 9	výstup Exampten: Zařízení (config-if)# výstup	Ukončí režim konfigurace rozhraní a vrátí se do režimu globální konfigurace.
Krok 10	cts role-based sgt-map vlan-list vlan_id sgt číslo_sgt Exampten: Zařízení(konfigurace)# cts role-based sgt-map vlan-list 100 sgt 10	Přiřadí zadaný SGT k zadané VLAN.
Krok 11	zásady sledování zařízení policy-name Exampten: Zařízení(konfigurace)# zásady sledování zařízení1	Určuje zásadu a vstupuje do režimu konfigurace zásad sledování zařízení.
Krok 12	povolit sledování Exampten: Zařízení(config-device-tracking)# sledování umožnit	Přepíše výchozí nastavení sledování zařízení pro atribut zásady.
Krok 13	výstup Exampten: Zařízení(config-device-tracking)# výstup	Ukončí režim konfigurace zásad sledování zařízení a vrátí se do režimu globální konfigurace.
Krok 14	konfigurace vlan vlan_id Exampten: Zařízení(konfigurace)# konfigurace vlan 100	Určuje VLAN, ke které bude připojena zásada sledování zařízení, a přejde do režimu konfigurace VLAN.
Krok 15	Zásady připojení sledování zařízení policy-name Exampten: Zařízení(config-vlan-config)# politika připojení sledování zařízení1	Připojí zásadu sledování zařízení k zadané síti VLAN.
Krok 16	konec Exampten: Zařízení(config-vlan-config)# konec	Ukončí režim konfigurace VLAN a vrátí se do privilegovaného režimu EXEC.
Krok 17	zobrazit mapu sgt založenou na rolích cts {ipv4_netaddr | ipv4_netaddr/prefix | ipv6_netaddr | ipv6_netaddr/prefix |vše [ipv4 |ipv6] |hostitel { ipv4 addr |ipv6_addr } |shrnutí [ ipv4 |ipv6 ]	(Volitelné) Zobrazuje mapování VLAN na SGT.

	Exampten: Přístroj# zobrazit sgt mapu založenou na rolích cts vše
Krok 18	zobrazit zásady sledování zařízení policy-name Exampten: Přístroj# zobrazit zásady zásad sledování zařízení1	(Volitelné) Zobrazuje aktuální atributy zásad.

Emulace úložiště hardwarových klíčů

V případech, kdy hardwarové úložiště klíčů není přítomno nebo je nepoužitelné, můžete přepínač nakonfigurovat tak, aby používal softwarovou emulaci úložiště klíčů. Chcete-li nakonfigurovat použití úložiště softwarových klíčů, proveďte tento úkol:

Postup

	Příkaz or Akce	Účel
Krok 1	umožnit Exampten: Přístroj# umožnit	Povolí privilegovaný režim EXEC. • Pokud budete vyzváni, zadejte své heslo.
Krok 2	nakonfigurovat terminál Exampten: Přístroj# nakonfigurovat terminál	Vstoupí do režimu globální konfigurace.
Krok 3	emulovat úložiště klíčů cts Exampten: Zařízení(konfigurace)# emulovat úložiště klíčů cts	Nakonfiguruje přepínač tak, aby místo hardwarového úložiště klíčů používal softwarovou emulaci úložiště klíčů.
Krok 4	výstup Exampten: Zařízení(konfigurace)# výstup	Ukončí režim konfigurace.
Krok 5	zobrazit úložiště klíčů Exampten: Přístroj# zobrazit úložiště klíčů	Zobrazuje stav a obsah úložiště klíčů. Uložená tajemství se nezobrazují.

Konfigurace výchozí trasy SGT

Než začnete
Ujistěte se, že jste již na zařízení vytvořili výchozí trasu pomocí příkazu ip route 0.0.0.0. V opačném případě dostane výchozí trasa (která je součástí výchozí trasy SGT) neznámý cíl, a proto bude cíl poslední záchrany ukazovat na CPU.

Postup

	Příkaz or Akce	Účel
Krok 1	umožnit Exampten: Zařízení> povolit	Povolí privilegovaný režim EXEC. • Pokud budete vyzváni, zadejte své heslo.
Krok 2	nakonfigurovat terminál Exampten: Konfigurační terminál Device#	Vstoupí do režimu globální konfigurace.
Krok 3	cts role-based sgt-map 0.0.0.0/0 sgt číslo Exampten: Device(config)# cts role-based sgt-map 0.0.0.0/0 sgt 3	Určuje číslo SGT pro výchozí trasu. Platné hodnoty jsou od 0 do 65,519 XNUMX. Poznámka                    • The adresa_hostitele/podsíť může být adresa IPv4 (0.0.0.0/0) nebo adresa IPv6 (0:0::/0) •  Výchozí trasa konfigurace je akceptována pouze s podsítí /0. Zadáním pouze adresy IP hostitele bez podsítě /0 se zobrazí následující zpráva: Zařízení(konfigurace)#cts Sgt mapa založená na rolích 0.0.0.0 SGT 1000 Výchozí konfigurace trasy není podporována pro IP hostitele
Krok 4	výstup Exampten: Ukončení Device(config)#	Ukončí režim globální konfigurace.

Ověření mapování SGT

Následující části ukazují, jak ověřit mapování SGT:

Ověření konfigurace mapování subnet-to-SGT
Chcete-li zobrazit informace o konfiguraci mapování podsítě na SGT, použijte jeden z následujících příkazů show:

Příkaz	Účel
zobrazit připojení cts sxp	Zobrazuje připojení reproduktoru a posluchače SXP s jejich provozním stavem.
zobrazit mapu cts sxp sgt	Zobrazuje vazby IP na SGT exportované do posluchačů SXP.
zobrazit running-config	Ověří, že příkazy konfigurace subnet-to-SGT jsou ve spuštěné konfiguraci file.

Ověření mapování VLAN na SGT

Chcete-li zobrazit informace o konfiguraci VLAN-to-SGT, použijte následující příkazy show:

Tabulka 1:

Příkaz	Účel
zobrazit zásady sledování zařízení	Zobrazuje aktuální atributy zásad zásady sledování zařízení.
zobrazit mapu sgt založenou na rolích cts	Zobrazuje vazby IP adresy na SGT.

Ověření výchozí konfigurace SGT trasy

Ověřte konfiguraci výchozí trasy SGT:
device# zobrazit na základě role sgt-mapovat všechny informace o aktivních vazbách IPv4-SGT

Konfigurace Přampsoubory pro mapování SGT

Následující části ukazují konfiguraci napřampsoubory mapování SGT:

Example: Manuální konfigurace zařízení SGT

• Konfigurační terminál Device#
• Device(config)# cts sgt 1234
• Ukončení Device(config)#

Example: Konfigurace pro mapování podsítě na SGT
Následující example ukazuje, jak nakonfigurovat mapování IPv4 Subnet-to-SGT mezi zařízeními se systémem SXPv3 (Zařízení1 a Zařízení2):

1. Nakonfigurujte peering reproduktorů/posluchačů SXP mezi zařízeními.
   • Konfigurace terminálu Device1#
   • Device1(config)# cts sxp povolit
   • Device1(config)# cts sxp výchozí zdrojová-ip 1.1.1.1
   • Device1(config)# cts sxp výchozí heslo 1syzygy1
   • Device1(config)# cts sxp connection peer 2.2.2.2 heslo výchozí režim místní reproduktor
2. Nakonfigurujte Device2 jako SXP listener pro Device1.
   • Device2(config)# cts sxp povolit
   • Device2(config)# cts sxp výchozí zdrojová-ip 2.2.2.2
   • Device2(config)# cts sxp výchozí heslo 1syzygy1
   • Device2(config)# cts sxp připojení peer 1.1.1.1 heslo výchozí režim místní posluchač
3. Na zařízení 2 ověřte, že připojení SXP funguje:
   Device2# zobrazit stručný přehled připojení cts sxp | zahrnout 1.1.1.1 1.1.1.1 2.2.2.2 V 3:22:23:18 (dd:hr:mm:sec)
4. Nakonfigurujte podsítě, které mají být rozšířeny na Device1.
   • Device1(config)# cts sxp mapování network-map 10000
   • Device1(config)# cts role-based sgt-map 10.10.10.0/30 sgt 101
   • Device1(config)# cts role-based sgt-map 11.11.11.0/29 sgt 11111
   • Device1(config)# cts role-based sgt-map 192.168.1.0/28 sgt 65000
5. Na zařízení 2 ověřte rozšíření podsítě na SGT ze zařízení 1. K dispozici by měla být dvě rozšíření pro podsíť 10.10.10.0/30, šest rozšíření pro podsíť 11.11.11.0/29 a 14 rozšíření pro podsíť 192.168.1.0/28.
   Device2# zobrazit cts sxp sgt-map stručný | zahrnout 101|11111|65000
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
6. Ověřte počet rozšíření na zařízení 1:
   Device1# ukazuje cts sxp sgt-mapu
   • Rozšíření mapování IP-SGT:22
   • Neexistují žádná mapování IP-SGT
7. Uložte konfigurace na Device1 a Device2 a ukončete režim globální konfigurace.
   Device1(config)# copy running-config startup-config
   Ukončení Device1(config)#
   Device2(config)# copy running-config startup-config
   Ukončení Device2(config)#

Exampten:
Konfigurace pro mapování VLAN-to-SGT pro jednoho hostitele přes přístupové spojení.

V následujícím example, jeden hostitel se připojuje k VLAN 100 na přístupovém zařízení. Přepínané virtuální rozhraní na zařízení TrustSec je výchozí bránou pro koncový bod VLAN 100 (IP adresa 10.1.1.1). Zařízení TrustSec ukládá Security Group Tag (SGT) 10 na paketech z VLAN 100.

1. Vytvořte VLAN 100 na přístupovém zařízení.
   • access_device# konfigurovat terminál
   • access_device(config)# vlan 100
   • access_device(config-vlan)# žádné vypnutí
   • access_device(config-vlan)# exit
   • access_device(config)#
2. Nakonfigurujte rozhraní k zařízení TrustSec jako přístupový odkaz. Konfigurace pro koncový bod
   1. přístupový port jsou v tomto příkladu vynechányample.
   2. access_device(config)# rozhraní gigabitEthernet 6/3
   3. access_device(config-if)# switchport
   4. access_device(config-if)# přístup do režimu přepínače
   5. access_device(config-if)# switchport access vlan 100
3. Vytvořte VLAN 100 na zařízení TrustSec.
   • TS_device(config)# vlan 100
   • TS_device(config-vlan)# žádné vypnutí
   • TS_device(config-vlan)# end
   • TS_device#
4. Vytvořte SVI jako bránu pro příchozí VLAN 100.
   • TS_device(config)# rozhraní vlan 100
   • TS_device(config-if)# IP adresa 10.1.1.2 255.0.0.0
   • TS_device(config-if)# žádné vypnutí
   • TS_device(config-if)# end
   • TS_device(config)#
5. Přiřadit skupinu zabezpečení Tag (SGT) 10 k hostitelům na VLAN 100.
   • TS_device(config)# cts role-based sgt-map vlan 100 sgt 10
6. Povolte sledování zařízení IP na zařízení TrustSec. Ověřte, že funguje.
   • TS_device(config)# sledování zařízení IP
   • TS_device# zobrazit ip zařízení sledující vše
7. (Volitelné) PING na výchozí bránu z koncového bodu (v tomto příkladuample, IP adresa hostitele 10.1.1.1). Ověřte, že se SGT 10 mapuje na hostitele VLAN 100.
   

Example: Emulace úložiště hardwarových klíčů
Tento example ukazuje, jak nakonfigurovat a ověřit použití softwarového úložiště klíčů:

Example: Konfigurace trasy zařízení SGT

• Konfigurační terminál Device#
• Device(config)# cts role-based sgt-map 0.0.0.0/0 sgt 3
• Ukončení Device(config)#

Historie funkcí pro bezpečnostní skupinu Tag Mapování

• Tato tabulka poskytuje informace o verzi a související informace o funkcích vysvětlených v tomto modulu.
• Tyto funkce jsou dostupné ve všech vydáních po vydání, ve kterém byly představeny, pokud není uvedeno jinak.

Uvolnění	Funkce	Funkce Informace
Cisco IOS XE Everest 16.5.1a	Skupina zabezpečení Tag Mapování	Mapování podsítě na SGT váže SGT na všechny adresy hostitelů zadané podsítě. Jakmile je toto mapování implementováno, Cisco TrustSec vloží SGT na každý příchozí paket, který má zdrojovou IP adresu, která patří do zadané podsítě.
Cisco IOS XE Gibraltar 16.11.1	Klasifikace výchozí trasy SGT	Výchozí trasa SGT přiřadí SGT tag číslo na ty trasy, které neodpovídají zadané trase.

K vyhledání informací o platformě a podpoře bitové kopie softwaru použijte Cisco Feature Navigator. Chcete-li získat přístup k aplikaci Cisco Feature Navigator, přejděte na adresu http://www.cisco.com/go/cfn.

Dokumenty / zdroje

CISCO Konfigurace skupiny zabezpečení Tag Mapování [pdfUživatelská příručka Konfigurace skupiny zabezpečení Tag Mapování, konfigurace, skupina zabezpečení Tag Mapování, Skupina Tag Mapování, Tag Mapování

Reference

• Uživatelská příručka