Περιεχόμενα κρύβω
1 CISCO Configuring Security Group Tag Χαρτογράφηση
2 Πληροφορίες προϊόντος
3 Οδηγίες χρήσης προϊόντος
4 Περιορισμοί για τη χαρτογράφηση SGT
5 Πληροφορίες για το SGT Mapping
5.1 Υπερview
5.2 Δεσμευτικές προτεραιότητες πηγής
6 Πώς να ρυθμίσετε τις παραμέτρους της αντιστοίχισης SGT
6.1 Διαμόρφωση αντιστοίχισης υποδικτύου σε SGT
6.2 Διαμόρφωση αντιστοίχισης VLAN-to-SGT
6.3 Εξομοίωση του Hardware Keystore
7 Επαλήθευση χαρτογράφησης SGT
8 Διαμόρφωση Πχamples for SGT Mapping
9 Ιστορικό λειτουργιών για την ομάδα ασφαλείας Tag Χαρτογράφηση
10 Έγγραφα / Πόροι
10.1 Αναφορές
11 Σχετικές αναρτήσεις

CISCO-λογότυπο

CISCO Configuring Security Group Tag Χαρτογράφηση

CISCO-Configuring-Security-Group-Tag-Χαρτογράφηση-προϊόν

Πληροφορίες προϊόντος

Το προϊόν επιτρέπει τη διαμόρφωση ομάδας ασφαλείας tag (SGT) χαρτογράφηση. Αυτή η δυνατότητα δεσμεύει ένα SGT σε όλες τις διευθύνσεις κεντρικού υπολογιστή ενός καθορισμένου υποδικτύου. Μόλις υλοποιηθεί αυτή η αντιστοίχιση, το Cisco TrustSec επιβάλλει το SGT σε οποιοδήποτε εισερχόμενο πακέτο που έχει μια διεύθυνση IP προέλευσης που ανήκει στο καθορισμένο υποδίκτυο.

Περιορισμοί για τη χαρτογράφηση SGT
Η ακόλουθη εντολή δεν υποστηρίζεται για τη διαμόρφωση IP του κεντρικού υπολογιστή: Device(config)#cts role-based sgt-map 0.0.0.0 sgt 1000

Υπερview Αντιστοίχιση υποδικτύου σε SGT

  • Η αντιστοίχιση υποδικτύου σε SGT δεσμεύει ένα SGT σε όλες τις διευθύνσεις κεντρικού υπολογιστή ενός καθορισμένου υποδικτύου. Το Cisco TrustSec επιβάλλει το SGT σε ένα εισερχόμενο πακέτο όταν η διεύθυνση IP προέλευσης του πακέτου ανήκει στο καθορισμένο υποδίκτυο. Το υποδίκτυο και το SGT καθορίζονται στο CLI με τοcts role-based sgt-map net_address/prefix sgt sgt_number καθολική εντολή διαμόρφωσης. Ένας μεμονωμένος κεντρικός υπολογιστής μπορεί επίσης να αντιστοιχιστεί με αυτήν την εντολή.
  • Στα δίκτυα IPv4, το Πρωτόκολλο ανταλλαγής ασφαλείας (SXP)v3, και οι πιο πρόσφατες εκδόσεις, μπορούν να λαμβάνουν και να αναλύουν συμβολοσειρές net_address/προθέματος υποδικτύου από ομότιμους SXPv3. Προηγούμενες εκδόσεις SXP μετατρέπουν το πρόθεμα υποδικτύου στο σύνολο των συνδέσεων κεντρικού υπολογιστή του πριν από την εξαγωγή τους σε έναν ομότιμο ακροατή SXP.
  • Οι δεσμεύσεις υποδικτύου είναι στατικές, δεν υπάρχει εκμάθηση ενεργών κεντρικών υπολογιστών. Μπορούν να χρησιμοποιηθούν τοπικά για επιβολή SGT και επιβολή SGACL. Πακέτα tagΗ αντιστοίχιση από υποδίκτυο σε SGT μπορεί να διαδοθεί σε συνδέσμους Cisco TrustSec Layer 2 ή Layer 3.
  • Για δίκτυα IPv6, το SXPv3 δεν μπορεί να εξάγει δεσμεύσεις υποδικτύου σε ομοτίμους SXPv2 ή SXPv1.

Υπερview της χαρτογράφησης VLAN-to-SGT

  • Η δυνατότητα αντιστοίχισης VLAN-to-SGT συνδέει ένα SGT σε πακέτα από ένα καθορισμένο VLAN. Αυτό απλοποιεί τη μετεγκατάσταση από παλαιού τύπου σε δίκτυα με δυνατότητα Cisco TrustSec.
  • Η σύνδεση VLAN-to-SGT έχει ρυθμιστεί με το cts role-based sgt-map vlan-list καθολική εντολή διαμόρφωσης.
  • Όταν σε ένα VLAN έχει εκχωρηθεί μια πύλη που είναι μια εικονική διεπαφή μεταγωγής (SVI) σε έναν μεταγωγέα με δυνατότητα Cisco TrustSec και η παρακολούθηση συσκευής IP είναι ενεργοποιημένη σε αυτόν τον διακόπτη, τότε το Cisco TrustSec μπορεί να δημιουργήσει μια σύνδεση IP-to-SGT για οποιονδήποτε ενεργό κεντρικό υπολογιστή σε αυτό το VLAN αντιστοιχισμένο στο υποδίκτυο SVI.
  • Οι συνδέσεις IP-SGT για τους ενεργούς κεντρικούς υπολογιστές VLAN εξάγονται σε ακροατές SXP. Οι δεσμεύσεις για κάθε αντιστοιχισμένο VLAN εισάγονται στον πίνακα IP-to-SGT που σχετίζεται με το VRF στο οποίο αντιστοιχίζεται το VLAN είτε από το SVI του είτε από το cts role-based l2-vrf εντολή.
  • Οι δεσμεύσεις VLAN-to-SGT έχουν τη χαμηλότερη προτεραιότητα από όλες τις μεθόδους σύνδεσης και αγνοούνται όταν λαμβάνονται δεσμεύσεις από άλλες πηγές, όπως από διαμορφώσεις κεντρικού υπολογιστή SXP ή CLI. Οι προτεραιότητες δέσμευσης παρατίθενται στην ενότητα Προτεραιότητες πηγής δέσμευσης.

Οδηγίες χρήσης προϊόντος

Διαμόρφωση αντιστοίχισης υποδικτύου σε SGT

  1. Πρόσβαση στη διεπαφή CLI της συσκευής.
  2. Εισαγάγετε τη λειτουργία διαμόρφωσης χρησιμοποιώντας το config εντολή.
  3. Εκτελέστε την ακόλουθη εντολή για να διαμορφώσετε την αντιστοίχιση υποδικτύου σε SGT:
cts role-based sgt-map net_address/prefix sgt sgt_number
  1. Αντικαθιστώ net_address/prefix με τη διεύθυνση υποδικτύου και το μήκος του προθέματος που θέλετε να αντιστοιχίσετε (π.χ. 192.168.1.0/24).
  2. Αντικαθιστώ sgt_number με την επιθυμητή ομάδα ασφαλείας tag αριθμός.
  3. Πατήστε Enter για να εφαρμόσετε τη διαμόρφωση.
  4. Έξοδος από τη λειτουργία διαμόρφωσης.

Διαμόρφωση αντιστοίχισης VLAN-to-SGT

    1. Πρόσβαση στη διεπαφή CLI της συσκευής.
    2. Εισαγάγετε τη λειτουργία διαμόρφωσης χρησιμοποιώντας το config εντολή.
    3. Εκτελέστε την ακόλουθη εντολή για να ρυθμίσετε την αντιστοίχιση VLAN-to-SGT:
cts role-based sgt-map vlan-list
  1. Καθορίστε τα VLAN που θα αντιστοιχιστούν σε SGT.
  2. Πατήστε Enter για να εφαρμόσετε τη διαμόρφωση.
  3. Έξοδος από τη λειτουργία διαμόρφωσης.

Προδιαγραφές

  • Υποστηριζόμενα δίκτυα: IPv4, IPv6
  • Υποστηριζόμενα πρωτόκολλα: Πρωτόκολλο ανταλλαγής ασφαλείας (SXP) v3
  • Υποστηριζόμενες μέθοδοι σύνδεσης: Αντιστοίχιση υποδικτύου σε SGT, Αντιστοίχιση VLAN σε SGT

Συχνές Ερωτήσεις (FAQ)

  • Ε: Μπορούν να εξαχθούν δεσμεύσεις υποδικτύου σε ομότιμους SXPv2 ή SXPv1 σε δίκτυα IPv6;
    Α: Όχι, οι δεσμεύσεις υποδικτύου μπορούν να εξαχθούν μόνο σε ομοτίμους SXPv3 σε δίκτυα IPv6.
  • Ε: Ποια είναι η προτεραιότητα των συνδέσεων VLAN-to-SGT;
    A: Οι δεσμεύσεις VLAN-to-SGT έχουν τη χαμηλότερη προτεραιότητα μεταξύ όλων των μεθόδων σύνδεσης και αγνοούνται όταν λαμβάνονται δεσμεύσεις από άλλες πηγές.

Υποδίκτυο στην ομάδα ασφαλείας tag Η αντιστοίχιση (SGT) συνδέει ένα SGT σε όλες τις διευθύνσεις κεντρικού υπολογιστή ενός καθορισμένου υποδικτύου. Μόλις υλοποιηθεί αυτή η αντιστοίχιση, το Cisco TrustSec επιβάλλει το SGT σε οποιοδήποτε εισερχόμενο πακέτο που έχει μια διεύθυνση IP προέλευσης που ανήκει στο καθορισμένο υποδίκτυο.

Περιορισμοί για τη χαρτογράφηση SGT

Περιορισμοί για αντιστοίχιση υποδικτύου σε SGT

  • Δεν είναι δυνατή η επέκταση ενός υποδικτύου IPv4 με πρόθεμα /31.
  • Οι διευθύνσεις κεντρικού υπολογιστή υποδικτύου δεν μπορούν να συνδεθούν με την ομάδα ασφαλείας Tags (SGT) όταν η παράμετρος συνδέσεων χαρτών δικτύου είναι μικρότερη από τον συνολικό αριθμό κεντρικών υπολογιστών υποδικτύου στα καθορισμένα υποδίκτυα ή όταν οι δεσμεύσεις είναι 0.
  • Οι επεκτάσεις και η διάδοση IPv6 πραγματοποιούνται μόνο όταν το ηχείο και ο ακροατής του Πρωτοκόλλου Security Exchange (SXP) εκτελούν SXPv3 ή πιο πρόσφατες εκδόσεις.

Περιορισμός για την προεπιλεγμένη χαρτογράφηση SGT διαδρομής

  • Η προεπιλεγμένη διαμόρφωση διαδρομής γίνεται αποδεκτή μόνο με το υποδίκτυο /0. Εισάγοντας μόνο το host-ip χωρίς το υποδίκτυο /0 εμφανίζεται το ακόλουθο μήνυμα:CISCO-Configuring-Security-Group-Tag-Χαρτογράφηση-εικ- (1)

Πληροφορίες για το SGT Mapping

Αυτή η ενότητα παρέχει πληροφορίες σχετικά με τη χαρτογράφηση SGT.

Υπερview

Υπερview Αντιστοίχιση υποδικτύου σε SGT
Η αντιστοίχιση υποδικτύου σε SGT δεσμεύει ένα SGT σε όλες τις διευθύνσεις κεντρικού υπολογιστή ενός καθορισμένου υποδικτύου. Το Cisco TrustSec επιβάλλει το SGT σε ένα εισερχόμενο πακέτο όταν η διεύθυνση IP προέλευσης του πακέτου ανήκει στο καθορισμένο υποδίκτυο. Το υποδίκτυο και το SGT καθορίζονται στο CLI με την εντολή καθολικής διαμόρφωσης παραμέτρων sgt-map net_address/prefix sgt sgt_number βάσει ρόλων. Ένας μεμονωμένος κεντρικός υπολογιστής μπορεί επίσης να αντιστοιχιστεί με αυτήν την εντολή. Στα δίκτυα IPv4, το Πρωτόκολλο ανταλλαγής ασφαλείας (SXP)v3, και οι πιο πρόσφατες εκδόσεις, μπορούν να λαμβάνουν και να αναλύουν συμβολοσειρές net_address/προθέματος υποδικτύου από ομότιμους SXPv3. Προηγούμενες εκδόσεις SXP μετατρέπουν το πρόθεμα υποδικτύου στο σύνολο των συνδέσεων κεντρικού υπολογιστή του πριν από την εξαγωγή τους σε έναν ομότιμο ακροατή SXP.

Για π.χample, το υποδίκτυο IPv4 192.0.2.0/24 επεκτείνεται ως εξής (μόνο 3 bit για διευθύνσεις κεντρικού υπολογιστή):

  • Διευθύνσεις κεντρικού υπολογιστή 198.0.2.1 έως 198.0.2.7—tagged και διαδόθηκε σε SXP peer.
  • Διευθύνσεις δικτύου και εκπομπής 198.0.2.0 και 198.0.2.8 — όχι tagged και δεν πολλαπλασιάζονται.

Για να περιορίσετε τον αριθμό των συνδέσεων υποδικτύου που μπορεί να εξαγάγει το SXPv3, χρησιμοποιήστε την εντολή cts sxp mapping network-map global configuration. Οι δεσμεύσεις υποδικτύου είναι στατικές, δεν υπάρχει εκμάθηση ενεργών κεντρικών υπολογιστών. Μπορούν να χρησιμοποιηθούν τοπικά για επιβολή SGT και επιβολή SGACL. Πακέτα tagΗ αντιστοίχιση από υποδίκτυο σε SGT μπορεί να διαδοθεί σε συνδέσμους Cisco TrustSec Layer 2 ή Layer 3. Για δίκτυα IPv6, το SXPv3 δεν μπορεί να εξάγει δεσμεύσεις υποδικτύου σε ομοτίμους SXPv2 ή SXPv1.

Υπερview της χαρτογράφησης VLAN-to-SGT
Η δυνατότητα αντιστοίχισης VLAN-to-SGT συνδέει ένα SGT σε πακέτα από ένα καθορισμένο VLAN. Αυτό απλοποιεί τη μετεγκατάσταση από παλαιού τύπου σε δίκτυα με δυνατότητα Cisco TrustSec ως εξής:

  • Υποστηρίζει συσκευές που δεν διαθέτουν Cisco TrustSec αλλά διαθέτουν VLAN, όπως διακόπτες παλαιού τύπου, ασύρματους ελεγκτές, σημεία πρόσβασης, VPN κ.λπ.
  • Παρέχει συμβατότητα προς τα πίσω για τοπολογίες όπου VLAN και VLAN ACL τμηματοποιούν το δίκτυο, όπως τμηματοποίηση διακομιστή σε κέντρα δεδομένων.
  • Η σύνδεση VLAN-to-SGT διαμορφώνεται με την εντολή καθολικής διαμόρφωσης sgt-map vlan-list βασισμένη σε ρόλους cts.
  • Όταν σε ένα VLAN έχει εκχωρηθεί μια πύλη που είναι μια εικονική διεπαφή μεταγωγής (SVI) σε έναν μεταγωγέα με δυνατότητα Cisco TrustSec και η παρακολούθηση συσκευής IP είναι ενεργοποιημένη σε αυτόν τον διακόπτη, τότε το Cisco TrustSec μπορεί να δημιουργήσει μια σύνδεση IP-to-SGT για οποιονδήποτε ενεργό κεντρικό υπολογιστή σε αυτό το VLAN αντιστοιχισμένο στο υποδίκτυο SVI.
  • Οι συνδέσεις IP-SGT για τους ενεργούς κεντρικούς υπολογιστές VLAN εξάγονται σε ακροατές SXP. Οι δεσμεύσεις για κάθε αντιστοιχισμένο VLAN εισάγονται στον πίνακα IP-to-SGT που σχετίζεται με το VRF στο οποίο αντιστοιχίζεται το VLAN είτε από το SVI του είτε από την εντολή cts l2-vrf που βασίζεται σε ρόλους.
  • Οι δεσμεύσεις VLAN-to-SGT έχουν τη χαμηλότερη προτεραιότητα από όλες τις μεθόδους σύνδεσης και αγνοούνται όταν λαμβάνονται δεσμεύσεις από άλλες πηγές, όπως από διαμορφώσεις κεντρικού υπολογιστή SXP ή CLI. Οι προτεραιότητες δέσμευσης παρατίθενται στην ενότητα Προτεραιότητες πηγής δέσμευσης.
Δεσμευτικές προτεραιότητες πηγής

Το Cisco TrustSec επιλύει διενέξεις μεταξύ πηγών σύνδεσης IP-SGT με αυστηρό σχήμα προτεραιότητας. Για π.χample, ένα SGT μπορεί να εφαρμοστεί σε μια διεπαφή με την πολιτική {dynamic ID peer-name | στατικό άρ tag} Εντολή χειροκίνητης λειτουργίας διεπαφής Cisco Trustsec (Χαρτογράφηση θύρας ταυτότητας). Το τρέχον εκτελεστικό ένταλμα προτεραιότητας, από το χαμηλότερο (1) στο υψηλότερο (7), έχει ως εξής:

  1. VLAN: Δεσμεύσεις που μαθαίνονται από πακέτα ARP που έχουν υποβληθεί σε κατασκοπεία σε ένα VLAN που έχει διαμορφωμένη αντιστοίχιση VLAN-SGT.
  2. CLI: Οι δεσμεύσεις διευθύνσεων διαμορφώθηκαν χρησιμοποιώντας τη φόρμα IP-SGT της εντολής καθολικής διαμόρφωσης sgt-map που βασίζεται σε ρόλους cts.
  3. SXP: Δεσμεύσεις που μάθαμε από συνομηλίκους SXP.
  4. IP_ARP: Δεσμοί έμαθε πότε tagΤα πακέτα Ged ARP λαμβάνονται σε μια σύνδεση με δυνατότητα CTS.
  5. ΤΟΠΙΚΟΣ: Δεσμεύσεις πιστοποιημένων κεντρικών υπολογιστών που μαθαίνονται μέσω EPM και παρακολούθησης συσκευής. Αυτός ο τύπος δέσμευσης περιλαμβάνει επίσης μεμονωμένους κεντρικούς υπολογιστές που μαθαίνονται μέσω παρακολούθησης ARP σε θύρες ρυθμισμένες PM L2 [I].
  6. ΕΣΩΤΕΡΙΚΟΣ: Συνδέσεις μεταξύ τοπικά διαμορφωμένων διευθύνσεων IP και του SGT της συσκευής.

Σημείωμα
Εάν η διεύθυνση IP προέλευσης ταιριάζει με πολλά προθέματα υποδικτύου με διαφορετικά εκχωρημένα SGT, τότε το μεγαλύτερο πρόθεμα SGT έχει προτεραιότητα, εκτός εάν διαφέρει η προτεραιότητα.

Προεπιλεγμένη διαδρομή SGT

  • Προεπιλεγμένη ομάδα ασφαλείας διαδρομής Tag (SGT) εκχωρεί έναν αριθμό SGT στις προεπιλεγμένες διαδρομές.
  • Προεπιλεγμένη διαδρομή είναι εκείνη η διαδρομή που δεν ταιριάζει με μια καθορισμένη διαδρομή και επομένως είναι η διαδρομή προς τον τελικό προορισμό. Οι προεπιλεγμένες διαδρομές χρησιμοποιούνται για να κατευθύνουν πακέτα που απευθύνονται σε δίκτυα που δεν αναφέρονται ρητά στον πίνακα δρομολόγησης.

Πώς να ρυθμίσετε τις παραμέτρους της αντιστοίχισης SGT

Αυτή η ενότητα περιγράφει τον τρόπο διαμόρφωσης της αντιστοίχισης SGT.

Μη αυτόματη διαμόρφωση μιας συσκευής SGT
Στην κανονική λειτουργία Cisco TrustSec, ο διακομιστής ελέγχου ταυτότητας εκχωρεί ένα SGT στη συσκευή για πακέτα που προέρχονται από τη συσκευή. Μπορείτε να διαμορφώσετε με μη αυτόματο τρόπο έναν SGT ώστε να χρησιμοποιείται εάν ο διακομιστής ελέγχου ταυτότητας δεν είναι προσβάσιμος, αλλά ένας SGT που εκχωρείται από διακομιστή ελέγχου ταυτότητας θα έχει προτεραιότητα έναντι ενός SGT που έχει εκχωρηθεί με μη αυτόματο τρόπο.

Για να διαμορφώσετε με μη αυτόματο τρόπο ένα SGT στη συσκευή, εκτελέστε αυτήν την εργασία:

Διαδικασία

  Εντολή or Δράση Σκοπός
Βήμα 1 καθιστώ ικανό Ενεργοποιεί την προνομιακή λειτουργία EXEC.
  Example:

Συσκευή# καθιστώ ικανό

 • Εισαγάγετε τον κωδικό πρόσβασής σας εάν σας ζητηθεί.
Βήμα 2 διαμόρφωση τερματικού

Example:

Συσκευή# διαμόρφωση τερματικού

 Εισέρχεται σε λειτουργία καθολικής διαμόρφωσης.
Βήμα 3 cts sgt tag

Example:

Συσκευή(config)# cts sgt 1234

 Ενεργοποιεί το SXP για Cisco TrustSec.
Βήμα 4 έξοδος

Example:

Συσκευή(config)# έξοδος

 Έξοδος από τη λειτουργία καθολικής διαμόρφωσης και επιστρέφει στην προνομιακή λειτουργία EXEC
Διαμόρφωση αντιστοίχισης υποδικτύου σε SGT

Διαδικασία

  Εντολή or Δράση Σκοπός
Βήμα 1 καθιστώ ικανό

Example:

Συσκευή# καθιστώ ικανό

 Ενεργοποιεί την προνομιακή λειτουργία EXEC.

• Εισαγάγετε τον κωδικό πρόσβασής σας εάν σας ζητηθεί.
Βήμα 2 διαμόρφωση τερματικού

Example:

Συσκευή# διαμόρφωση τερματικού

 Εισέρχεται σε λειτουργία καθολικής διαμόρφωσης.
Βήμα 3 cts sxp χαρτογράφηση δικτύου-χάρτης δεσίματα

Example:

Συσκευή(config)# cts sxp χαρτογράφηση δικτύου-χάρτης 10000

 • Διαμορφώνει τον περιορισμό του υποδικτύου σε αντιστοίχιση SGT πλήθους κεντρικού υπολογιστή. Το όρισμα bindings καθορίζει τον μέγιστο αριθμό κεντρικών υπολογιστών IP υποδικτύου που μπορούν να συνδεθούν σε SGT και να εξαχθούν στον ακροατή SXP.

• δεσμεύσεις—(0 έως 65,535) η προεπιλογή είναι 0 (δεν πραγματοποιήθηκαν επεκτάσεις)
Βήμα 4 cts sgt-map που βασίζεται σε ρόλους ipv4_address/πρόθεμα

sgt αριθμός

Example:

Συσκευή(config)# cts βασισμένος σε ρόλους sgt-map 10.10.10.10/29 sgt 1234

 (IPv4) Καθορίζει ένα υποδίκτυο με συμβολισμό CIDR.

• Χρησιμοποιήστε τη μορφή no της εντολής για να καταργήσετε τις παραμέτρους της αντιστοίχισης Subnet to SGT. Ο αριθμός των συνδέσεων που καθορίζεται στο Βήμα 2 θα πρέπει να αντιστοιχεί ή να υπερβαίνει τον αριθμό των διευθύνσεων κεντρικού υπολογιστή στο υποδίκτυο (εξαιρουμένων των διευθύνσεων δικτύου και εκπομπής). Η λέξη-κλειδί αριθμός sgt καθορίζει την ασφάλεια
    Ομάδα Tag να είναι δεσμευμένη σε κάθε οικοδεσπότη

διεύθυνση στο καθορισμένο υποδίκτυο.

• ipv4_address—Καθορίζει τη διεύθυνση δικτύου IPv4 με διακεκομμένη δεκαδική σημείωση.

• πρόθεμα—(0 έως 30) Καθορίζει τον αριθμό των bit στη διεύθυνση δικτύου.

•  sgt αριθμός—(0–65,535) Καθορίζει την ομάδα ασφαλείας Tag (SGT) αριθμός.
Βήμα 5 cts sgt-map που βασίζεται σε ρόλους ipv6_address::πρόθεμα

sgt αριθμός

Example:

Συσκευή(config)# cts βασισμένο σε ρόλους sgt-map 2020::/64 sgt 1234

 (IPv6) Καθορίζει ένα υποδίκτυο με δεκαεξαδικό συμβολισμό άνω και κάτω τελείας. Χρησιμοποιήστε τη μορφή no της εντολής για να καταργήσετε τις παραμέτρους της αντιστοίχισης Subnet to SGT.

Ο αριθμός των συνδέσεων που καθορίζεται στο Βήμα 2 θα πρέπει να αντιστοιχεί ή να υπερβαίνει τον αριθμό των διευθύνσεων κεντρικού υπολογιστή στο υποδίκτυο (εξαιρουμένων των διευθύνσεων δικτύου και εκπομπής). Η λέξη-κλειδί αριθμού sgt καθορίζει την ομάδα ασφαλείας Tag να δεσμευτεί σε κάθε διεύθυνση κεντρικού υπολογιστή στο καθορισμένο υποδίκτυο.

• ipv6_address—Καθορίζει τη διεύθυνση δικτύου IPv6 με δεκαεξαδικό συμβολισμό άνω και κάτω τελείας.

• πρόθεμα—(0 έως 128) Καθορίζει τον αριθμό των bit στη διεύθυνση δικτύου.

•  sgt αριθμός—(0–65,535) Καθορίζει την ομάδα ασφαλείας Tag (SGT) αριθμός.
Βήμα 6 έξοδος

Example:

Συσκευή(config)# έξοδος

 Έξοδος από τη λειτουργία καθολικής διαμόρφωσης και επιστρέφει στην προνομιακή λειτουργία EXEC..
Διαμόρφωση αντιστοίχισης VLAN-to-SGT

Ροή εργασιών για τη ρύθμιση παραμέτρων αντιστοίχισης VLAN-SGT σε μια συσκευή Cisco TrustSec.

  • Δημιουργήστε ένα VLAN στη συσκευή με το ίδιο VLAN_ID του εισερχόμενου VLAN.
  • Δημιουργήστε ένα SVI για το VLAN στη συσκευή που θα είναι η προεπιλεγμένη πύλη για τους πελάτες τελικού σημείου.
  • Διαμορφώστε τη συσκευή ώστε να εφαρμόζει ένα SGT στην κίνηση VLAN.
  • Ενεργοποιήστε την παρακολούθηση συσκευής IP στη συσκευή.
  • Επισυνάψτε μια πολιτική παρακολούθησης συσκευής σε ένα VLAN.

Σημείωμα
Σε ένα δίκτυο πολλαπλών διακοπτών, η παρακολούθηση συσκευής που βασίζεται σε SISF παρέχει τη δυνατότητα διανομής καταχωρήσεων δεσμευτικού πίνακα μεταξύ διακοπτών που εκτελούν τη λειτουργία. Αυτό προϋποθέτει ότι δημιουργούνται δεσμευτικές καταχωρήσεις στους διακόπτες όπου ο κεντρικός υπολογιστής εμφανίζεται σε μια θύρα πρόσβασης και δεν δημιουργείται καταχώρηση για έναν κεντρικό υπολογιστή που εμφανίζεται σε μια θύρα κορμού. Για να το επιτύχετε αυτό σε μια ρύθμιση πολλαπλών διακοπτών, σας συνιστούμε να διαμορφώσετε μια άλλη πολιτική και να την επισυνάψετε στη θύρα κορμού, όπως περιγράφεται στην ενότητα Ρύθμιση παραμέτρων δικτύου πολλαπλών διακοπτών για διακοπή δημιουργίας εισαγωγών σύνδεσης από μια θύρα κορμού, στη διαδικασία Διαμόρφωση SISF -Κεφάλαιο Βασισμένη Παρακολούθηση Συσκευών του Οδηγού Διαμόρφωσης Ασφαλείας.

  • Βεβαιωθείτε ότι η αντιστοίχιση VLAN-to-SGT εμφανίζεται στη συσκευή.

Διαδικασία

  Εντολή or Δράση Σκοπός
Βήμα 1 καθιστώ ικανό

Example:

Συσκευή# καθιστώ ικανό

 Ενεργοποιεί την προνομιακή λειτουργία EXEC.

• Εισαγάγετε τον κωδικό πρόσβασής σας εάν σας ζητηθεί.
Βήμα 2 διαμόρφωση τερματικού

Example:

Συσκευή# διαμόρφωση τερματικού

 Εισέρχεται σε λειτουργία καθολικής διαμόρφωσης.
Βήμα 3 vlan vlan_id

Example:

Συσκευή(config)# vlan 100

 Δημιουργεί VLAN 100 στη συσκευή πύλης με δυνατότητα TrustSec και εισέρχεται στο VLAN

λειτουργία διαμόρφωσης.
Βήμα 4 [Όχι] κλείσιμο

Example:

Συσκευή(config-vlan)# χωρίς διακοπή λειτουργίας

 Προβλέψεις VLAN 100.
Βήμα 5 έξοδος

Example:

Συσκευή(config-vlan)# έξοδος

 Έξοδος από τη λειτουργία διαμόρφωσης VLAN και επιστρέφει στη λειτουργία καθολικής διαμόρφωσης.
Βήμα 6 διεπαφή τύπου υποδοχή/θύρα

Example:

Συσκευή(config)# διεπαφή vlan 100

 Καθορίζει τον τύπο διεπαφής και εισέρχεται στη λειτουργία διαμόρφωσης διεπαφής.
Βήμα 7 διεύθυνση ip υποδοχή/θύρα

Example:

Συσκευή(config-if)# διεύθυνση IP 10.1.1.2 255.0.0.0

 Ρυθμίζει την εναλλαγή εικονικής διεπαφής (SVI) για VLAN 100.
Βήμα 8 [Όχι ] κλείσιμο

Example:

Συσκευή(config-if)# χωρίς διακοπή λειτουργίας

 Ενεργοποιεί το SVI.
Βήμα 9 έξοδος

Example:

Συσκευή(config-if)# έξοδος

 Έξοδος από τη λειτουργία διαμόρφωσης διεπαφής και επιστρέφει στη λειτουργία καθολικής διαμόρφωσης.
Βήμα 10 cts sgt-map vlan-list βασισμένο σε ρόλους vlan_id sgt

sgt_number

Example:

Συσκευή(config)# cts βασισμένο σε ρόλους sgt-map vlan-list 100 sgt 10

 Εκχωρεί το καθορισμένο SGT στο καθορισμένο VLAN.
Βήμα 11 πολιτική παρακολούθησης συσκευών πολιτική-όνομα

Example:

Συσκευή(config)# πολιτική παρακολούθησης συσκευών 1

 Καθορίζει την πολιτική και εισέρχεται στη λειτουργία διαμόρφωσης πολιτικής παρακολούθησης συσκευών.
Βήμα 12 ενεργοποίηση παρακολούθησης

Example:

Συσκευή (config-device-tracking)# παρακολούθησης καθιστώ ικανό

 Αντικαθιστά τις προεπιλεγμένες ρυθμίσεις παρακολούθησης συσκευής για το χαρακτηριστικό πολιτικής.
Βήμα 13 έξοδος

Example:

Συσκευή (config-device-tracking)# έξοδος

 Έξοδος από τη λειτουργία διαμόρφωσης πολιτικής παρακολούθησης συσκευών και επιστρέφει στη λειτουργία καθολικής διαμόρφωσης.
Βήμα 14 διαμόρφωση vlan vlan_id

Example:

Συσκευή(config)# vlan configuration 100

 Καθορίζει το VLAN στο οποίο θα επισυναφθεί η πολιτική παρακολούθησης συσκευής και εισέρχεται στη λειτουργία διαμόρφωσης VLAN.
Βήμα 15 πολιτική επισύναψης συσκευής πολιτική-όνομα

Example:

Συσκευή(config-vlan-config)#

πολιτική επισύναψης συσκευής παρακολούθησης συσκευής1

 Επισυνάπτει μια πολιτική παρακολούθησης συσκευής στο καθορισμένο VLAN.
Βήμα 16 τέλος

Example:

Συσκευή(config-vlan-config)# τέλος

 Έξοδος από τη λειτουργία διαμόρφωσης VLAN και επιστρέφει στην προνομιακή λειτουργία EXEC.
Βήμα 17 Εμφάνιση χάρτη sgt που βασίζεται σε ρόλους cts {ipv4_netaddr

| ipv4_netaddr/πρόθεμα | ipv6_netaddr | ipv6_netaddr/πρόθεμα |όλοι [ipv4 |ipv6] |πλήθος { ipv4 addr |ipv6_addr } |περίληψη [ ipv4

|ipv6 ]

 (Προαιρετικό) Εμφανίζει τις αντιστοιχίσεις VLAN-to-SGT.
  Example:

Συσκευή# Εμφάνιση cts βάσει ρόλων sgt-map όλων

  
Βήμα 18 εμφάνιση πολιτικής παρακολούθησης συσκευών πολιτική-όνομα

Example:

Συσκευή# εμφάνιση πολιτικής πολιτικής παρακολούθησης συσκευών1

 (Προαιρετικό) Εμφανίζει τα τρέχοντα χαρακτηριστικά πολιτικής.
Εξομοίωση του Hardware Keystore

Σε περιπτώσεις όπου δεν υπάρχει χώρος αποθήκευσης κλειδιών υλικού ή δεν μπορεί να χρησιμοποιηθεί, μπορείτε να διαμορφώσετε το διακόπτη ώστε να χρησιμοποιεί μια εξομοίωση λογισμικού του χώρου αποθήκευσης κλειδιών. Για να ρυθμίσετε τη χρήση ενός χώρου αποθήκευσης κλειδιών λογισμικού, εκτελέστε αυτήν την εργασία:

Διαδικασία

  Εντολή or Δράση Σκοπός
Βήμα 1 καθιστώ ικανό

Example:

Συσκευή# καθιστώ ικανό

 Ενεργοποιεί την προνομιακή λειτουργία EXEC.

• Εισαγάγετε τον κωδικό πρόσβασής σας εάν σας ζητηθεί.
Βήμα 2 διαμόρφωση τερματικού

Example:

Συσκευή# διαμόρφωση τερματικού

 Εισέρχεται σε λειτουργία καθολικής διαμόρφωσης.
Βήμα 3 cts keystore εξομοίωση

Example:

Συσκευή(config)# cts keystore εξομοίωση

 Ρυθμίζει το διακόπτη ώστε να χρησιμοποιεί μια εξομοίωση λογισμικού του χώρου αποθήκευσης κλειδιών αντί του χώρου αποθήκευσης κλειδιών υλικού.
Βήμα 4 έξοδος

Example:

Συσκευή(config)# έξοδος

 Έξοδος από τη λειτουργία διαμόρφωσης.
Βήμα 5 εμφάνιση κλειδοθήκης

Example:

Συσκευή# εμφάνιση κλειδοθήκης

 Εμφανίζει την κατάσταση και τα περιεχόμενα του χώρου αποθήκευσης κλειδιών. Τα αποθηκευμένα μυστικά δεν εμφανίζονται.

Διαμόρφωση προεπιλεγμένης διαδρομής SGT

Πριν ξεκινήσετε
Βεβαιωθείτε ότι έχετε ήδη δημιουργήσει μια προεπιλεγμένη διαδρομή στη συσκευή χρησιμοποιώντας την εντολή ip route 0.0.0.0. Διαφορετικά, η προεπιλεγμένη διαδρομή (η οποία συνοδεύεται από την Προεπιλεγμένη διαδρομή SGT) λαμβάνει έναν άγνωστο προορισμό και επομένως ο προορισμός της τελευταίας λύσης θα δείχνει τη CPU.

Διαδικασία

  Εντολή or Δράση Σκοπός
Βήμα 1 καθιστώ ικανό

Example:

Συσκευή> ενεργοποίηση

 Ενεργοποιεί την προνομιακή λειτουργία EXEC.

• Εισαγάγετε τον κωδικό πρόσβασής σας εάν σας ζητηθεί.
Βήμα 2 διαμόρφωση τερματικού

Example:

Τερματικό διαμόρφωσης συσκευής#

 Εισέρχεται σε λειτουργία καθολικής διαμόρφωσης.
Βήμα 3 cts βασισμένος σε ρόλους sgt-map 0.0.0.0/0 sgt αριθμός

Example:

Device(config)# cts sgt-map 0.0.0.0/0 sgt 3

 Καθορίζει τον αριθμό SGT για την προεπιλεγμένη διαδρομή. Οι έγκυρες τιμές είναι από 0 έως 65,519.

Σημείωμα                    • Το host_address/subnet μπορεί να είναι είτε διεύθυνση IPv4 (0.0.0.0/0) είτε διεύθυνση IPv6 (0:0::/0)

• Η προεπιλεγμένη διαδρομή

Η διαμόρφωση γίνεται αποδεκτή μόνο με το υποδίκτυο /0. Εισάγοντας μόνο το host-ip χωρίς το υποδίκτυο /0 εμφανίζεται το ακόλουθο μήνυμα:

Συσκευή(config)#cts sgt-map που βασίζεται σε ρόλους

0.0.0.0 sgt 1000 Η προεπιλεγμένη διαμόρφωση διαδρομής δεν υποστηρίζεται για ip κεντρικού υπολογιστή
Βήμα 4 έξοδος

Example:

Device(config)# έξοδος

 Έξοδος από τη λειτουργία καθολικής διαμόρφωσης.

Επαλήθευση χαρτογράφησης SGT

Οι ακόλουθες ενότητες δείχνουν τον τρόπο επαλήθευσης της αντιστοίχισης SGT:

Επαλήθευση διαμόρφωσης αντιστοίχισης υποδικτύου σε SGT
Για να εμφανίσετε πληροφορίες διαμόρφωσης αντιστοίχισης Subnet-to-SGT, χρησιμοποιήστε μία από τις ακόλουθες εντολές εμφάνισης:

Εντολή Σκοπός
εμφάνιση συνδέσεων cts sxp Εμφανίζει τις συνδέσεις ηχείων SXP και ακροατή με την κατάσταση λειτουργίας τους.
εμφάνιση cts sxp sgt-map Εμφανίζει τις συνδέσεις IP σε SGT που έχουν εξαχθεί στους ακροατές SXP.
εμφάνιση λειτουργίας-config Επαληθεύει ότι οι εντολές διαμορφώσεων subnet-to-SGT βρίσκονται στη διαμόρφωση που εκτελείται file.

Επαλήθευση αντιστοίχισης VLAN-to-SGT

Για να εμφανίσετε πληροφορίες διαμόρφωσης VLAN-to-SGT, χρησιμοποιήστε τις ακόλουθες εντολές εμφάνισης:

Πίνακας 1:

Εντολή Σκοπός
εμφάνιση πολιτικής παρακολούθησης συσκευών Εμφανίζει τα τρέχοντα χαρακτηριστικά πολιτικής της πολιτικής παρακολούθησης συσκευής.
Εμφάνιση χάρτη sgt που βασίζεται σε ρόλους cts Εμφανίζει δεσμεύσεις διεύθυνσης IP σε SGT.

Επαλήθευση της προεπιλεγμένης διαμόρφωσης SGT διαδρομής

Επαληθεύστε την προεπιλεγμένη διαμόρφωση SGT διαδρομής:
συσκευή# εμφάνιση sgt-map βάσει ρόλων όλων των πληροφοριών ενεργών συνδέσεων IPv4-SGT

CISCO-Configuring-Security-Group-Tag-Χαρτογράφηση-εικ- (2)

Διαμόρφωση Πχamples for SGT Mapping

Οι ακόλουθες ενότητες δείχνουν τη διαμόρφωση π.χampτα στοιχεία της χαρτογράφησης SGT:

Example: Μη αυτόματη διαμόρφωση μιας συσκευής SGT

  • Τερματικό διαμόρφωσης συσκευής#
  • Συσκευή(config)# cts sgt 1234
  • Device(config)# έξοδος

Example: Διαμόρφωση για Αντιστοίχιση Subnet-to-SGT
Οι παρακάτω π.χampΤο le δείχνει πώς να ρυθμίσετε το IPv4 Subnet-to-SGT Mapping μεταξύ συσκευών που εκτελούν SXPv3 (Device1 και Device2):

  1. Ρυθμίστε τις παραμέτρους της ομιλίας ηχείων/ακροατών SXP μεταξύ συσκευών.
    • Τερματικό διαμόρφωσης Device1#
    • Device1(config)# cts sxp enable
    • Device1(config)# cts sxp προεπιλεγμένη πηγή-ip 1.1.1.1
    • Device1(config)# cts sxp προεπιλεγμένος κωδικός πρόσβασης 1syzygy1
    • Device1(config)# cts sxp σύνδεση peer 2.2.2.2 κωδικός πρόσβασης προεπιλεγμένη λειτουργία τοπικό ηχείο
  2. Ρυθμίστε το Device2 ως ακροατή SXP του Device1.
    • Device2(config)# cts sxp enable
    • Device2(config)# cts sxp προεπιλεγμένη πηγή-ip 2.2.2.2
    • Device2(config)# cts sxp προεπιλεγμένος κωδικός πρόσβασης 1syzygy1
    • Device2(config)# cts sxp σύνδεση peer 1.1.1.1 κωδικός πρόσβασης προεπιλεγμένη λειτουργία τοπικής ακρόασης
  3. Στη Συσκευή 2, βεβαιωθείτε ότι η σύνδεση SXP λειτουργεί:
    Συσκευή2# εμφάνιση σύντομη σύνδεσης cts sxp | περιλαμβάνει 1.1.1.1 1.1.1.1 2.2.2.2 Στις 3:22:23:18 (ηη:ώρα:μλ:δευτ.)
  4. Διαμορφώστε τα υποδίκτυα που θα επεκταθούν στη Συσκευή1.
    • Device1(config)# cts sxp αντιστοίχιση δικτύου-χάρτης 10000
    • Device1(config)# cts sgt-map που βασίζεται σε ρόλους 10.10.10.0/30 sgt 101
    • Device1(config)# cts sgt-map που βασίζεται σε ρόλους 11.11.11.0/29 sgt 11111
    • Device1(config)# cts sgt-map που βασίζεται σε ρόλους 192.168.1.0/28 sgt 65000
  5. Στη Συσκευή2, επαληθεύστε την επέκταση υποδικτύου σε SGT από τη Συσκευή1. Θα πρέπει να υπάρχουν δύο επεκτάσεις για το υποδίκτυο 10.10.10.0/30, έξι επεκτάσεις για το υποδίκτυο 11.11.11.0/29 και 14 επεκτάσεις για το υποδίκτυο 192.168.1.0/28.
    Συσκευή2# εμφάνιση cts sxp sgt-map brief | περιλαμβάνει 101|11111|65000
    • IPv4,SGT: <10.10.10.1, 101>
    • IPv4,SGT: <10.10.10.2, 101>
    • IPv4,SGT: <11.11.11.1, 11111>
    • IPv4,SGT: <11.11.11.2, 11111>
    • IPv4,SGT: <11.11.11.3, 11111>
    • IPv4,SGT: <11.11.11.4, 11111>
    • IPv4,SGT: <11.11.11.5, 11111>
    • IPv4,SGT: <11.11.11.6, 11111>
    • IPv4,SGT: <192.168.1.1, 65000>
    • IPv4,SGT: <192.168.1.2, 65000>
    • IPv4,SGT: <192.168.1.3, 65000>
    • IPv4,SGT: <192.168.1.4, 65000>
    • IPv4,SGT: <192.168.1.5, 65000>
    • IPv4,SGT: <192.168.1.6, 65000>
    • IPv4,SGT: <192.168.1.7, 65000>
    • IPv4,SGT: <192.168.1.8, 65000>
    • IPv4,SGT: <192.168.1.9, 65000>
    • IPv4,SGT: <192.168.1.10, 65000>
    • IPv4,SGT: <192.168.1.11, 65000>
    • IPv4,SGT: <192.168.1.12, 65000>
    • IPv4,SGT: <192.168.1.13, 65000>
    • IPv4,SGT: <192.168.1.14, 65000>
  6. Επαληθεύστε τον αριθμό επεκτάσεων στη Συσκευή 1:
    Συσκευή1# εμφάνιση cts sxp sgt-map
    • Οι αντιστοιχίσεις IP-SGT επεκτάθηκαν:22
    • Δεν υπάρχουν αντιστοιχίσεις IP-SGT
  7. Αποθηκεύστε τις διαμορφώσεις στη Συσκευή1 και Συσκευή2 και βγείτε από τη λειτουργία καθολικής διαμόρφωσης.
    Device1(config)# copy running-config startup-config
    Device1(config)# έξοδος
    Device2(config)# copy running-config startup-config
    Device2(config)# έξοδος

Example:
Διαμόρφωση για αντιστοίχιση VLAN-to-SGT για έναν μοναδικό κεντρικό υπολογιστή μέσω συνδέσμου πρόσβασης.

Στο παρακάτω π.χample, ένας μεμονωμένος κεντρικός υπολογιστής συνδέεται στο VLAN 100 σε μια συσκευή πρόσβασης. Μια εναλλαγή εικονικής διεπαφής στη συσκευή TrustSec είναι η προεπιλεγμένη πύλη για το τελικό σημείο VLAN 100 (Διεύθυνση IP 10.1.1.1). Η συσκευή TrustSec επιβάλλει την Ομάδα Ασφαλείας Tag (SGT) 10 σε πακέτα από το VLAN 100.

  1. Δημιουργήστε VLAN 100 σε μια συσκευή πρόσβασης.
    • τερματικό διαμόρφωσης access_device#
    • access_device(config)# vlan 100
    • access_device(config-vlan)# χωρίς τερματισμό
    • access_device(config-vlan)# έξοδος
    • access_device(config)#
  2. Διαμορφώστε τη διεπαφή στη συσκευή TrustSec ως σύνδεσμο πρόσβασης. Διαμορφώσεις για το τελικό σημείο
    1. θύρα πρόσβασης παραλείπονται σε αυτό το π.χample.
    2. access_device(config)# διεπαφή gigabitEthernet 6/3
    3. access_device(config-if)# switchport
    4. access_device(config-if)# πρόσβαση σε λειτουργία θύρας μεταγωγής
    5. access_device(config-if)# switchport access vlan 100
  3. Δημιουργήστε VLAN 100 στη συσκευή TrustSec.
    • TS_device(config)# vlan 100
    • TS_device(config-vlan)# χωρίς τερματισμό
    • TS_device(config-vlan)# τέλος
    • TS_συσκευή#
  4. Δημιουργήστε ένα SVI ως πύλη για το εισερχόμενο VLAN 100.
    • TS_device(config)# διεπαφή vlan 100
    • TS_device(config-if)# διεύθυνση IP 10.1.1.2 255.0.0.0
    • TS_device(config-if)# χωρίς τερματισμό
    • TS_device(config-if)# τέλος
    • TS_device(config)#
  5. Εκχώρηση ομάδας ασφαλείας Tag (SGT) 10 σε κεντρικούς υπολογιστές στο VLAN 100.
    • TS_device(config)# cts sgt-map vlan 100 sgt 10
  6. Ενεργοποιήστε την παρακολούθηση συσκευής IP στη συσκευή TrustSec. Βεβαιωθείτε ότι λειτουργεί.
    • TS_device(config)# παρακολούθηση συσκευής IP
    • Το TS_device# εμφανίζει τη συσκευή IP που παρακολουθεί όλαCISCO-Configuring-Security-Group-Tag-Χαρτογράφηση-εικ- (3)
  7. (Προαιρετικό) PING της προεπιλεγμένης πύλης από ένα τελικό σημείο (σε αυτό το π.χample, διεύθυνση IP κεντρικού υπολογιστή 10.1.1.1). Βεβαιωθείτε ότι το SGT 10 αντιστοιχίζεται σε κεντρικούς υπολογιστές VLAN 100.
    CISCO-Configuring-Security-Group-Tag-Χαρτογράφηση-εικ- (4)

Example: Εξομοίωση του Hardware Keystore
Αυτό το πρώηνampΤο le δείχνει πώς να ρυθμίσετε και να επαληθεύσετε τη χρήση ενός χώρου αποθήκευσης κλειδιών λογισμικού:

CISCO-Configuring-Security-Group-Tag-Χαρτογράφηση-εικ- (5)

Example: Διαμόρφωση δρομολόγησης συσκευής SGT

  • Τερματικό διαμόρφωσης συσκευής#
  • Device(config)# cts sgt-map 0.0.0.0/0 sgt 3
  • Device(config)# έξοδος

Ιστορικό λειτουργιών για την ομάδα ασφαλείας Tag Χαρτογράφηση

  • Αυτός ο πίνακας παρέχει πληροφορίες έκδοσης και σχετικές πληροφορίες για τις δυνατότητες που εξηγούνται σε αυτήν την ενότητα.
  • Αυτές οι δυνατότητες είναι διαθέσιμες σε όλες τις εκδόσεις μετά από αυτήν στην οποία εισήχθησαν, εκτός αν αναφέρεται διαφορετικά.
Ελευθέρωση Χαρακτηριστικό Χαρακτηριστικό Πληροφορίες
Cisco IOS XE Everest 16.5.1a Ομάδα ασφαλείας Tag Χαρτογράφηση Η αντιστοίχιση υποδικτύου σε SGT δεσμεύει ένα SGT σε όλες τις διευθύνσεις κεντρικού υπολογιστή ενός καθορισμένου υποδικτύου. Μόλις υλοποιηθεί αυτή η αντιστοίχιση, το Cisco TrustSec επιβάλλει το SGT σε οποιοδήποτε εισερχόμενο πακέτο που έχει μια διεύθυνση IP προέλευσης που ανήκει στο καθορισμένο υποδίκτυο.
Cisco IOS XE Gibraltar 16.11.1 Προεπιλεγμένη ταξινόμηση διαδρομής SGT Η προεπιλεγμένη διαδρομή SGT εκχωρεί ένα SGT tag αριθμός σε εκείνες τις διαδρομές που δεν ταιριάζουν με μια καθορισμένη διαδρομή.

Χρησιμοποιήστε το Cisco Feature Navigator για να βρείτε πληροφορίες σχετικά με την υποστήριξη εικόνων πλατφόρμας και λογισμικού. Για πρόσβαση στο Cisco Feature Navigator, μεταβείτε στο http://www.cisco.com/go/cfn.

Έγγραφα / Πόροι

CISCO Configuring Security Group Tag Χαρτογράφηση [pdf] Οδηγός χρήστη
Διαμόρφωση ομάδας ασφαλείας Tag Χαρτογράφηση, Διαμόρφωση, Ομάδα Ασφαλείας Tag Χαρτογράφηση, Ομάδα Tag Χαρτογράφηση, Tag Χαρτογράφηση

Αναφορές

Σχετικές αναρτήσεις

Αφήστε ένα σχόλιο

Η διεύθυνση email σας δεν θα δημοσιευτεί. Τα υποχρεωτικά πεδία επισημαίνονται *