CISCO configurando el grupo de seguridad Tag Cartografía

Información del producto

El producto permite configurar el grupo de seguridad. tag (SGT) mapeo. Esta característica vincula un SGT a todas las direcciones de host de una subred específica. Una vez implementada esta asignación, Cisco TrustSec impone el SGT a cualquier paquete entrante que tenga una dirección IP de origen que pertenezca a la subred especificada.

Restricciones para el mapeo SGT
El siguiente comando no es compatible con la configuración de IP del host: Device(config)#cts role-based sgt-map 0.0.0.0 sgt 1000

Encimaview del mapeo de subred a SGT

• La asignación de subred a SGT vincula un SGT a todas las direcciones de host de una subred especificada. Cisco TrustSec impone el SGT en un paquete entrante cuando la dirección IP de origen del paquete pertenece a la subred especificada. La subred y SGT se especifican en la CLI con elcts role-based sgt-map net_address/prefix sgt sgt_number Comando de configuración global. También se puede asignar un solo host con este comando.
• En redes IPv4, el Protocolo de intercambio de seguridad (SXP) v3 y versiones más recientes pueden recibir y analizar cadenas de prefijo/dirección de red de subred de pares SXPv3. Las versiones anteriores de SXP convierten el prefijo de subred en su conjunto de enlaces de host antes de exportarlos a un interlocutor de escucha SXP.
• Los enlaces de subred son estáticos, no hay aprendizaje de hosts activos. Se pueden utilizar localmente para la imposición de SGT y el cumplimiento de SGACL. Paquetes tagLa información generada por el mapeo de subred a SGT se puede propagar en enlaces Cisco TrustSec de capa 2 o 3.
• Para redes IPv6, SXPv3 no puede exportar enlaces de subred a pares SXPv2 o SXPv1.

Encimaview del mapeo de VLAN a SGT

• La función de mapeo de VLAN a SGT vincula un SGT a paquetes de una VLAN específica. Esto simplifica la migración de redes heredadas a redes compatibles con Cisco TrustSec.
• El enlace VLAN a SGT se configura con el cts role-based sgt-map vlan-list Comando de configuración global.
• Cuando a una VLAN se le asigna una puerta de enlace que es una interfaz virtual conmutada (SVI) en un conmutador compatible con Cisco TrustSec y el seguimiento de dispositivos IP está habilitado en ese conmutador, entonces Cisco TrustSec puede crear un enlace de IP a SGT para cualquier host activo. en esa VLAN asignada a la subred SVI.
• Los enlaces IP-SGT para los hosts VLAN activos se exportan a los oyentes SXP. Los enlaces para cada VLAN asignada se insertan en la tabla IP a SGT asociada con el VRF al que la VLAN está asignada por su SVI o por el cts role-based l2-vrf dominio.
• Los enlaces de VLAN a SGT tienen la prioridad más baja de todos los métodos de enlace y se ignoran cuando se reciben enlaces de otras fuentes, como las configuraciones de host SXP o CLI. Las prioridades de enlace se enumeran en la sección Prioridades de origen de enlace.

Instrucciones de uso del producto

Configuración de la asignación de subred a SGT

1. Acceda a la interfaz CLI del dispositivo.
2. Ingrese al modo de configuración usando el config dominio.
3. Ejecute el siguiente comando para configurar la asignación de subred a SGT:

cts role-based sgt-map net_address/prefix sgt sgt_number

1. Reemplazar net_address/prefix con la dirección de subred y la longitud del prefijo que desea asignar (por ejemplo, 192.168.1.0/24).
2. Reemplazar sgt_number con el grupo de seguridad deseado tag número.
3. Presione Enter para aplicar la configuración.
4. Salga del modo de configuración.

Configuración de la asignación de VLAN a SGT

1. 1. Acceda a la interfaz CLI del dispositivo.
   2. Ingrese al modo de configuración usando el config dominio.
   3. Ejecute el siguiente comando para configurar la asignación de VLAN a SGT:

cts role-based sgt-map vlan-list

1. Especifique las VLAN que se asignarán a los SGT.
2. Presione Enter para aplicar la configuración.
3. Salga del modo de configuración.

Presupuesto

• Redes compatibles: IPv4, IPv6
• Protocolos admitidos: Protocolo de intercambio de seguridad (SXP) v3
• Métodos de enlace admitidos: mapeo de subred a SGT, mapeo de VLAN a SGT

Preguntas frecuentes (FAQ)

• P: ¿Se pueden exportar enlaces de subred a pares SXPv2 o SXPv1 en redes IPv6?
  R: No, los enlaces de subred solo se pueden exportar a pares SXPv3 en redes IPv6.
• P: ¿Cuál es la prioridad de los enlaces de VLAN a SGT?
  R: Los enlaces de VLAN a SGT tienen la prioridad más baja entre todos los métodos de enlace y se ignoran cuando se reciben enlaces de otras fuentes.

Subred al grupo de seguridad tag (SGT) vincula un SGT a todas las direcciones de host de una subred especificada. Una vez implementada esta asignación, Cisco TrustSec impone el SGT a cualquier paquete entrante que tenga una dirección IP de origen que pertenezca a la subred especificada.

Restricciones para el mapeo SGT

Restricciones para el mapeo de subred a SGT

• Una subred IPv4 con prefijo /31 no se puede expandir.
• Las direcciones de host de subred no se pueden vincular al grupo de seguridad Tags (SGT) cuando el parámetro de enlaces del mapa de red es menor que el número total de hosts de subred en las subredes especificadas, o cuando los enlaces son 0.
• Las expansiones y propagación de IPv6 solo ocurren cuando el hablante y el oyente del Protocolo de intercambio de seguridad (SXP) ejecutan SXPv3 o versiones más recientes.

Restricción para el mapeo SGT de ruta predeterminada

• La configuración de ruta predeterminada se acepta solo con la subred /0. Al ingresar solo la IP del host sin la subred /0, se muestra el siguiente mensaje:

Información sobre el mapeo SGT

Esta sección proporciona información sobre el mapeo SGT.

Encimaview

Encimaview del mapeo de subred a SGT
La asignación de subred a SGT vincula un SGT a todas las direcciones de host de una subred especificada. Cisco TrustSec impone el SGT en un paquete entrante cuando la dirección IP de origen del paquete pertenece a la subred especificada. La subred y SGT se especifican en la CLI con el comando de configuración global cts sgt-map net_address/prefix sgt sgt_number basado en roles. También se puede asignar un solo host con este comando. En redes IPv4, el Protocolo de intercambio de seguridad (SXP) v3 y versiones más recientes pueden recibir y analizar cadenas de prefijo/dirección de red de subred de pares SXPv3. Las versiones anteriores de SXP convierten el prefijo de subred en su conjunto de enlaces de host antes de exportarlos a un interlocutor de escucha SXP.

Por ejemploamparchivo, la subred IPv4 192.0.2.0/24 se expande de la siguiente manera (solo 3 bits para direcciones de host):

• Direcciones de host 198.0.2.1 a 198.0.2.7—tagged y propagado al par SXP.
• Direcciones de red y transmisión 198.0.2.0 y 198.0.2.8 (no tagged y no propagado.

Para limitar la cantidad de enlaces de subred que SXPv3 puede exportar, use el comando de configuración global cts sxpmapping network-map. Los enlaces de subred son estáticos, no hay aprendizaje de hosts activos. Se pueden utilizar localmente para la imposición de SGT y el cumplimiento de SGACL. Paquetes tagLa información generada por el mapeo de subred a SGT se puede propagar en enlaces Cisco TrustSec de capa 2 o 3. Para redes IPv6, SXPv3 no puede exportar enlaces de subred a pares SXPv2 o SXPv1.

Encimaview del mapeo de VLAN a SGT
La función de mapeo de VLAN a SGT vincula un SGT a paquetes de una VLAN específica. Esto simplifica la migración de redes heredadas a redes compatibles con Cisco TrustSec de la siguiente manera:

• Admite dispositivos que no son compatibles con Cisco TrustSec pero sí con VLAN, como conmutadores heredados, controladores inalámbricos, puntos de acceso, VPN, etc.
• Proporciona compatibilidad con versiones anteriores para topologías en las que las VLAN y las ACL de VLAN segmentan la red, como la segmentación de servidores en centros de datos.
• El enlace de VLAN a SGT se configura con el comando de configuración global cts role-based sgt-map vlan-list.
• Cuando a una VLAN se le asigna una puerta de enlace que es una interfaz virtual conmutada (SVI) en un conmutador compatible con Cisco TrustSec y el seguimiento de dispositivos IP está habilitado en ese conmutador, entonces Cisco TrustSec puede crear un enlace de IP a SGT para cualquier host activo. en esa VLAN asignada a la subred SVI.
• Los enlaces IP-SGT para los hosts VLAN activos se exportan a los oyentes SXP. Los enlaces para cada VLAN asignada se insertan en la tabla IP a SGT asociada con el VRF al que está asignada la VLAN mediante su SVI o mediante el comando l2-vrf basado en roles cts.
• Los enlaces de VLAN a SGT tienen la prioridad más baja de todos los métodos de enlace y se ignoran cuando se reciben enlaces de otras fuentes, como las configuraciones de host SXP o CLI. Las prioridades de enlace se enumeran en la sección Prioridades de origen de enlace.

Prioridades de origen vinculantes

Cisco TrustSec resuelve conflictos entre fuentes de enlace IP-SGT con un esquema de prioridad estricto. por ejemploamparchivo, se puede aplicar un SGT a una interfaz con la política {identidad dinámica nombre-par | sargento estático tag} Comando del modo de interfaz manual de Cisco Trustsec (asignación de puertos de identidad). El orden de ejecución prioritario actual, de menor (1) a mayor (7), es el siguiente:

1. VLAN: Enlaces aprendidos de paquetes ARP espiados en una VLAN que tiene configurada la asignación VLAN-SGT.
2. CLI: Enlaces de direcciones configurados utilizando la forma IP-SGT del comando de configuración global sgt-map basado en roles cts.
3. SXP: Enlaces aprendidos de pares SXP.
4. IP_ARP: Enlaces aprendidos cuando tagLos paquetes ARP ged se reciben en un enlace compatible con CTS.
5. LOCAL: Enlaces de hosts autenticados que se aprenden mediante EPM y seguimiento de dispositivos. Este tipo de enlace también incluye hosts individuales que se aprenden mediante el espionaje ARP en puertos configurados L2 [I] PM.
6. INTERNO: Enlaces entre direcciones IP configuradas localmente y el propio SGT del dispositivo.

Nota
Si la dirección IP de origen coincide con varios prefijos de subred con diferentes SGT asignados, entonces el prefijo SGT más largo tiene prioridad a menos que la prioridad difiera.

Ruta predeterminada SGT

• Grupo de seguridad de ruta predeterminada Tag (SGT) asigna un número SGT a las rutas predeterminadas.
• La ruta predeterminada es aquella ruta que no coincide con una ruta especificada y, por lo tanto, es la ruta al destino de último recurso. Las rutas predeterminadas se utilizan para dirigir paquetes dirigidos a redes que no figuran explícitamente en la tabla de enrutamiento.

Cómo configurar el mapeo SGT

Esta sección describe cómo configurar el mapeo SGT.

Configurar un dispositivo SGT manualmente
En el funcionamiento normal de Cisco TrustSec, el servidor de autenticación asigna un SGT al dispositivo para los paquetes que se originan en el dispositivo. Puede configurar manualmente un SGT para utilizarlo si no se puede acceder al servidor de autenticación, pero un SGT asignado por el servidor de autenticación tendrá prioridad sobre un SGT asignado manualmente.

Para configurar manualmente un SGT en el dispositivo, realice esta tarea:

Procedimiento

	Dominio or Acción	Objetivo
Paso 1	permitir	Habilita el modo EXEC privilegiado.

	Exampen: Dispositivo# permitir	• Ingrese su contraseña si se le solicita.
Paso 2	configurar terminal Exampen: Dispositivo# configurar terminal	Ingresa al modo de configuración global.
Paso 3	sargento de cts tag Exampen: Dispositivo (configuración)# sargento cts 1234	Habilita SXP para Cisco TrustSec.
Paso 4	salida Exampen: Dispositivo (configuración)# salida	Sale del modo de configuración global y regresa al modo EXEC privilegiado

Configuración de la asignación de subred a SGT

Procedimiento

	Dominio or Acción	Objetivo
Paso 1	permitir Exampen: Dispositivo# permitir	Habilita el modo EXEC privilegiado. • Ingrese su contraseña si se le solicita.
Paso 2	configurar terminal Exampen: Dispositivo# configurar terminal	Ingresa al modo de configuración global.
Paso 3	cts sxp mapeo mapa-de-red fijaciones Exampen: Dispositivo (configuración)# cts sxp mapeo mapa de red 10000	• Configura la subred para la restricción de recuento de hosts de mapeo SGT. El argumento de enlaces especifica la cantidad máxima de hosts IP de subred que se pueden vincular a SGT y exportar al oyente SXP. • enlaces: (0 a 65,535) el valor predeterminado es 0 (no se realizan expansiones)
Paso 4	cts mapa sargento basado en roles dirección_ipv4/prefijo sargento número Exampen: Dispositivo (configuración)# cts sargento-map basado en roles 10.10.10.10/29 sargento 1234	(IPv4) Especifica una subred en notación CIDR. • Utilice la forma no del comando para desconfigurar la asignación de subred a SGT. La cantidad de enlaces especificados en el Paso 2 debe coincidir o exceder la cantidad de direcciones de host en la subred (excluidas las direcciones de red y de transmisión). La palabra clave número sargento especifica la seguridad

		Grupo Tag estar vinculado a cada anfitrión dirección en la subred especificada. • ipv4_address: especifica la dirección de red IPv4 en notación decimal con puntos. • prefijo: (0 a 30) Especifica el número de bits en la dirección de red. •  sargento número—(0–65,535) Especifica el grupo de seguridad Tag (SGT) número.
Paso 5	cts mapa sargento basado en roles dirección_ipv6::prefijo sargento número Exampen: Dispositivo (configuración)# cts sgt-map basado en roles 2020::/64 sgt 1234	(IPv6) Especifica una subred en notación hexadecimal con dos puntos. Utilice la forma no del comando para desconfigurar la asignación de subred a SGT. La cantidad de enlaces especificados en el Paso 2 debe coincidir o exceder la cantidad de direcciones de host en la subred (excluidas las direcciones de red y de transmisión). La palabra clave número sargento especifica el grupo de seguridad. Tag para estar vinculado a cada dirección de host en la subred especificada. • ipv6_address: especifica la dirección de red IPv6 en notación hexadecimal con dos puntos. • prefijo: (0 a 128) Especifica el número de bits en la dirección de red. •  sargento número—(0–65,535) Especifica el grupo de seguridad Tag (SGT) número.
Paso 6	salida Exampen: Dispositivo (configuración)# salida	Sale del modo de configuración global y regresa al modo EXEC privilegiado.

Configuración de la asignación de VLAN a SGT

Flujo de tareas para configurar la asignación VLAN-SGT en un dispositivo Cisco TrustSec.

• Cree una VLAN en el dispositivo con el mismo VLAN_ID de la VLAN entrante.
• Cree un SVI para que la VLAN en el dispositivo sea la puerta de enlace predeterminada para los clientes finales.
• Configure el dispositivo para aplicar un SGT al tráfico VLAN.
• Habilite el seguimiento de dispositivos IP en el dispositivo.
• Adjunte una política de seguimiento de dispositivos a una VLAN.

Nota
En una red de múltiples conmutadores, el seguimiento de dispositivos basado en SISF proporciona la capacidad de distribuir entradas de tablas vinculantes entre conmutadores que ejecutan la función. Esto supone que se crean entradas vinculantes en los conmutadores donde el host aparece en un puerto de acceso y no se crea ninguna entrada para un host que aparece en un puerto troncal. Para lograr esto en una configuración de múltiples conmutadores, le recomendamos que configure otra política y la conecte al puerto troncal, como se describe en el procedimiento Configuración de una red de múltiples conmutadores para dejar de crear entradas vinculantes desde un puerto troncal, en Configuración de SISF. -Capítulo de seguimiento de dispositivos basado en la Guía de configuración de seguridad.

• Verifique que se produzca la asignación de VLAN a SGT en el dispositivo.

Procedimiento

	Dominio or Acción	Objetivo
Paso 1	permitir Exampen: Dispositivo# permitir	Habilita el modo EXEC privilegiado. • Ingrese su contraseña si se le solicita.
Paso 2	configurar terminal Exampen: Dispositivo# configurar terminal	Ingresa al modo de configuración global.
Paso 3	VLAN vlan_id Exampen: Dispositivo (configuración)# VLAN 100	Crea VLAN 100 en el dispositivo de puerta de enlace compatible con TrustSec e ingresa a VLAN modo de configuración.
Paso 4	[No] cerrar Exampen: Dispositivo (config-vlan) # Sin apagado	Aprovisiona VLAN 100.
Paso 5	salida Exampen: Dispositivo (config-vlan) # salida	Sale del modo de configuración de VLAN y regresa al modo de configuración global.
Paso 6	interfaz tipo ranura/puerto Exampen: Dispositivo (configuración)# Interfaz VLAN 100	Especifica el tipo de interfaz y entra en el modo de configuración de interfaz.
Paso 7	dirección IP ranura/puerto Exampen: Dispositivo (config-if)# dirección ip 10.1.1.2 255.0.0.0	Configura la interfaz virtual conmutada (SVI) para VLAN 100.

Paso 8	[No ] cerrar Exampen: Dispositivo (config-if)# Sin apagado	Habilita el SVI.
Paso 9	salida Exampen: Dispositivo (config-if)# salida	Sale del modo de configuración de interfaz y regresa al modo de configuración global.
Paso 10	cts lista-vlan de mapa de sargento basado en roles vlan_id sargento número_sargento Exampen: Dispositivo (configuración)# cts basado en roles sgt-map vlan-list 100 sgt 10	Asigna el SGT especificado a la VLAN especificada.
Paso 11	política de seguimiento de dispositivos Nombre de directiva Exampen: Dispositivo (configuración)# política de seguimiento de dispositivos política1	Especifica la política e ingresa al modo de configuración de la política de seguimiento de dispositivos.
Paso 12	habilitar el seguimiento Exampen: Dispositivo (config-device-tracking)# seguimiento permitir	Anula la configuración de seguimiento de dispositivos predeterminada para el atributo de política.
Paso 13	salida Exampen: Dispositivo (config-device-tracking)# salida	Sale del modo de configuración de la política de seguimiento de dispositivos y regresa al modo de configuración global.
Paso 14	configuración vlan vlan_id Exampen: Dispositivo (configuración)# configuración vlan 100	Especifica la VLAN a la que se adjuntará la política de seguimiento del dispositivo y accede al modo de configuración de VLAN.
Paso 15	política-de-adjunción-de-seguimiento-de-dispositivos Nombre de directiva Exampen: Dispositivo (config-vlan-config)# política de adjuntar seguimiento de dispositivos política1	Adjunta una política de seguimiento de dispositivos a la VLAN especificada.
Paso 16	fin Exampen: Dispositivo (config-vlan-config)# fin	Sale del modo de configuración de VLAN y regresa al modo EXEC privilegiado.
Paso 17	mostrar mapa de sargento basado en roles de cts {ipv4_netaddr | ipv4_netaddr/prefijo | ipv6_netaddr | ipv6_netaddr/prefijo |todo [IPv4 |IPv6] |anfitrión {dirección ipv4 |dirección_ipv6} |resumen [ IPv4 |IPv6 ]	(Opcional) Muestra las asignaciones de VLAN a SGT.

	Exampen: Dispositivo# mostrar todo el mapa de sargento basado en roles de cts
Paso 18	mostrar política de seguimiento de dispositivos Nombre de directiva Exampen: Dispositivo# mostrar política de seguimiento de dispositivos política1	(Opcional) Muestra los atributos de la política actual.

Emulación del almacén de claves de hardware

En los casos en los que no haya un almacén de claves de hardware o no se pueda utilizar, puede configurar el conmutador para utilizar una emulación de software del almacén de claves. Para configurar el uso de un almacén de claves de software, realice esta tarea:

Procedimiento

	Dominio or Acción	Objetivo
Paso 1	permitir Exampen: Dispositivo# permitir	Habilita el modo EXEC privilegiado. • Ingrese su contraseña si se le solicita.
Paso 2	configurar terminal Exampen: Dispositivo# configurar terminal	Ingresa al modo de configuración global.
Paso 3	emular el almacén de claves cts Exampen: Dispositivo (configuración)# emular el almacén de claves cts	Configura el conmutador para utilizar una emulación de software del almacén de claves en lugar del almacén de claves de hardware.
Paso 4	salida Exampen: Dispositivo (configuración)# salida	Sale del modo de configuración.
Paso 5	mostrar almacén de claves Exampen: Dispositivo# mostrar almacén de claves	Muestra el estado y el contenido del almacén de claves. Los secretos almacenados no se muestran.

Configuración de la ruta predeterminada SGT

Antes de empezar
Asegúrese de haber creado una ruta predeterminada en el dispositivo usando el comando ip route 0.0.0.0. De lo contrario, la ruta predeterminada (que viene con la ruta predeterminada SGT) obtiene un destino desconocido y, por lo tanto, el destino de último recurso apuntará a la CPU.

Procedimiento

	Dominio or Acción	Objetivo
Paso 1	permitir Exampen: Dispositivo> habilitar	Habilita el modo EXEC privilegiado. • Ingrese su contraseña si se le solicita.
Paso 2	configurar terminal Exampen: Dispositivo# configurar terminal	Ingresa al modo de configuración global.
Paso 3	cts sargento-map basado en roles 0.0.0.0/0 sargento número Exampen: Dispositivo (config) # cts sgt-map basado en roles 0.0.0.0/0 sgt 3	Especifica el número SGT para la ruta predeterminada. Los valores válidos son de 0 a 65,519. Nota                    • El dirección_host/subred puede ser una dirección IPv4 (0.0.0.0/0) o una dirección IPv6 (0:0::/0) • La ruta predeterminada La configuración se acepta sólo con la subred. /0. Al ingresar solo la IP del host sin la subred /0, se muestra el siguiente mensaje: Dispositivo (configuración)#cts mapa de sargento basado en roles 0.0.0.0 sargento 1000 La configuración de ruta predeterminada no es compatible con la IP del host
Paso 4	salida Exampen: Dispositivo(config)# salir	Sale del modo de configuración global.

Verificación del mapeo SGT

Las siguientes secciones muestran cómo verificar el mapeo SGT:

Verificación de la configuración de asignación de subred a SGT
Para mostrar información de configuración de asignación de subred a SGT, utilice uno de los siguientes comandos show:

Dominio	Objetivo
mostrar conexiones cts sxp	Muestra las conexiones del altavoz y del oyente SXP con su estado operativo.
mostrar cts sxp sargento-mapa	Muestra los enlaces de IP a SGT exportados a los oyentes SXP.
mostrar configuración en ejecución	Verifica que los comandos de configuración de subred a SGT estén en la configuración en ejecución file.

Verificación de la asignación de VLAN a SGT

Para mostrar información de configuración de VLAN a SGT, utilice los siguientes comandos show:

Tabla 1:

Dominio	Objetivo
mostrar política de seguimiento de dispositivos	Muestra los atributos de política actuales de la política de seguimiento de dispositivos.
mostrar mapa de sargento basado en roles de cts	Muestra enlaces de dirección IP a SGT.

Verificación de la configuración de SGT de ruta predeterminada

Verifique la configuración de ruta predeterminada SGT:
n.° de dispositivo muestra el mapa sgt basado en roles toda la información de enlaces IPv4-SGT activos

Configuración ExampArchivos para mapeo SGT

Las siguientes secciones muestran la configuración examparchivos de mapeo SGT:

ExampArchivo: Configuración manual de un dispositivo SGT

• Dispositivo# configurar terminal
• Dispositivo (config) # cts sargento 1234
• Dispositivo(config)# salir

Examparchivo: Configuración para el mapeo de subred a SGT
El siguiente ejemploampEl archivo muestra cómo configurar el mapeo de subred IPv4 a SGT entre dispositivos que ejecutan SXPv3 (Dispositivo1 y Dispositivo2):

1. Configure el emparejamiento de altavoz/oyente SXP entre dispositivos.
   • Dispositivo1# configurar terminal
   • Dispositivo1(config)# cts sxp habilitado
   • Dispositivo1(config)# cts sxp fuente-ip predeterminada 1.1.1.1
   • Dispositivo1(config)# contraseña predeterminada de cts sxp 1syzygy1
   • Dispositivo1(config)# cts sxp conexión peer 2.2.2.2 contraseña modo predeterminado altavoz local
2. Configure el Dispositivo2 como escucha SXP del Dispositivo1.
   • Dispositivo2(config)# cts sxp habilitado
   • Dispositivo2(config)# cts sxp fuente-ip predeterminada 2.2.2.2
   • Dispositivo2(config)# contraseña predeterminada de cts sxp 1syzygy1
   • Device2(config)# cts sxp conexión peer 1.1.1.1 contraseña modo predeterminado escucha local
3. En Dispositivo2, verifique que la conexión SXP esté funcionando:
   Device2# muestra el resumen de conexiones cts sxp | incluir 1.1.1.1 1.1.1.1 2.2.2.2 El 3:22:23:18 (dd:hr:mm:seg)
4. Configure las subredes que se expandirán en el Dispositivo1.
   • Dispositivo1(config)# cts sxp mapeo de red-mapa 10000
   • Dispositivo1(config)# cts sgt-map basado en roles 10.10.10.0/30 sgt 101
   • Dispositivo1(config)# cts sgt-map basado en roles 11.11.11.0/29 sgt 11111
   • Dispositivo1(config)# cts sgt-map basado en roles 192.168.1.0/28 sgt 65000
5. En el Dispositivo2, verifique la expansión de subred a SGT desde el Dispositivo1. Debería haber dos expansiones para la subred 10.10.10.0/30, seis expansiones para la subred 11.11.11.0/29 y 14 expansiones para la subred 192.168.1.0/28.
   Device2# muestra el resumen de cts sxp sgt-map | incluir 101|11111|65000
   • IPv4, SGT: <10.10.10.1, 101>
   • IPv4, SGT: <10.10.10.2, 101>
   • IPv4, SGT: <11.11.11.1, 11111>
   • IPv4, SGT: <11.11.11.2, 11111>
   • IPv4, SGT: <11.11.11.3, 11111>
   • IPv4, SGT: <11.11.11.4, 11111>
   • IPv4, SGT: <11.11.11.5, 11111>
   • IPv4, SGT: <11.11.11.6, 11111>
   • IPv4, SGT: <192.168.1.1, 65000>
   • IPv4, SGT: <192.168.1.2, 65000>
   • IPv4, SGT: <192.168.1.3, 65000>
   • IPv4, SGT: <192.168.1.4, 65000>
   • IPv4, SGT: <192.168.1.5, 65000>
   • IPv4, SGT: <192.168.1.6, 65000>
   • IPv4, SGT: <192.168.1.7, 65000>
   • IPv4, SGT: <192.168.1.8, 65000>
   • IPv4, SGT: <192.168.1.9, 65000>
   • IPv4, SGT: <192.168.1.10, 65000>
   • IPv4, SGT: <192.168.1.11, 65000>
   • IPv4, SGT: <192.168.1.12, 65000>
   • IPv4, SGT: <192.168.1.13, 65000>
   • IPv4, SGT: <192.168.1.14, 65000>
6. Verifique el recuento de expansión en el Dispositivo1:
   Dispositivo1# mostrar cts sxp sgt-map
   • Mapeos IP-SGT ampliados:22
   • No hay asignaciones IP-SGT
7. Guarde las configuraciones en Dispositivo1 y Dispositivo2 y salga del modo de configuración global.
   Dispositivo1(config)# copiar configuración en ejecución configuración de inicio
   Dispositivo1(config)# salir
   Dispositivo2(config)# copiar configuración en ejecución configuración de inicio
   Dispositivo2(config)# salir

Exampen:
Configuración para la asignación de VLAN a SGT para un único host a través de un enlace de acceso.

En el siguiente ejemploampPor ejemplo, un único host se conecta a la VLAN 100 en un dispositivo de acceso. Una interfaz virtual conmutada en el dispositivo TrustSec es la puerta de enlace predeterminada para el punto final VLAN 100 (dirección IP 10.1.1.1). El dispositivo TrustSec impone el Grupo de Seguridad Tag (SGT) 10 en paquetes de VLAN 100.

1. Cree VLAN 100 en un dispositivo de acceso.
   • access_device# configurar terminal
   • dispositivo_acceso(config)#vlan 100
   • access_device(config-vlan)# sin apagado
   • dispositivo_acceso(config-vlan)# salir
   • dispositivo_acceso(config)#
2. Configure la interfaz del dispositivo TrustSec como enlace de acceso. Configuraciones para el punto final
   1. El puerto de acceso se omite en este ejemplo.ampel.
   2. access_device(config)# interfaz gigabitEthernet 6/3
   3. access_device(config-if)# puerto de conmutación
   4. access_device(config-if)# acceso al modo switchport
   5. access_device(config-if)# acceso al puerto de conmutación vlan 100
3. Cree la VLAN 100 en el dispositivo TrustSec.
   • TS_device(config)#vlan100
   • TS_device(config-vlan)# sin apagado
   • TS_device(config-vlan)# fin
   • TS_dispositivo#
4. Cree un SVI como puerta de enlace para la VLAN 100 entrante.
   • TS_device(config)# interfaz vlan 100
   • TS_device(config-if)# dirección IP 10.1.1.2 255.0.0.0
   • TS_device(config-if)# sin apagado
   • TS_device(config-if)# fin
   • TS_dispositivo(config)#
5. Asignar grupo de seguridad Tag (SGT) 10 a hosts en VLAN 100.
   • TS_device(config)# cts sgt-map vlan 100 sgt 10 basado en roles
6. Habilite el seguimiento de dispositivos IP en el dispositivo TrustSec. Verifique que esté funcionando.
   • TS_device(config)# seguimiento de dispositivo IP
   • TS_device# muestra el seguimiento de todos los dispositivos IP
7. (Opcional) Haga PING a la puerta de enlace predeterminada desde un punto final (en este ejemploamparchivo, dirección IP del host 10.1.1.1). Verifique que SGT 10 esté asignado a los hosts VLAN 100.
   

Examparchivo: Emulación del almacén de claves de hardware
Este exampEl archivo muestra cómo configurar y verificar el uso de un almacén de claves de software:

ExampArchivo: Configuración de la ruta del dispositivo SGT

• Dispositivo# configurar terminal
• Dispositivo (config) # cts sgt-map basado en roles 0.0.0.0/0 sgt 3
• Dispositivo(config)# salir

Historial de funciones para el grupo de seguridad Tag Cartografía

• Esta tabla proporciona la versión y la información relacionada para las funciones explicadas en este módulo.
• Estas funciones están disponibles en todas las versiones posteriores a aquella en la que se introdujeron, a menos que se indique lo contrario.

Liberar	Característica	Característica Información
Cisco IOS XE Everest 16.5.1a	Grupo de seguridad Tag Cartografía	La asignación de subred a SGT vincula un SGT a todas las direcciones de host de una subred especificada. Una vez implementada esta asignación, Cisco TrustSec impone el SGT a cualquier paquete entrante que tenga una dirección IP de origen que pertenezca a la subred especificada.
Cisco IOS XE Gibraltar 16.11.1	Clasificación SGT de ruta predeterminada	La ruta predeterminada SGT asigna un SGT tag número a aquellas rutas que no coinciden con una ruta especificada.

Utilice Cisco Feature Navigator para encontrar información sobre la compatibilidad con imágenes de software y plataformas. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn.

Documentos / Recursos

CISCO configurando el grupo de seguridad Tag Cartografía [pdf] Guía del usuario Configurar el grupo de seguridad Tag Mapeo, configuración, grupo de seguridad Tag Mapeo, Grupo Tag Cartografía, Tag Cartografía

Referencias

• Manual de usuario