CISCO Configuring Security Group Tag Kartoitus
Tuotetiedot
Tuote mahdollistaa suojausryhmän määrittämisen tag (SGT) kartoitus. Tämä ominaisuus sitoo SGT:n kaikkiin tietyn aliverkon isäntäosoitteisiin. Kun tämä kartoitus on otettu käyttöön, Cisco TrustSec asettaa SGT:n kaikille saapuville paketeille, joiden IP-lähdeosoite kuuluu määritettyyn aliverkkoon.
SGT-kartoituksen rajoitukset
Seuraavaa komentoa ei tueta isäntä-IP-määrityksessä: Device(config)#cts role-based sgt-map 0.0.0.0 sgt 1000
Yliview aliverkon ja SGT:n yhdistämisestä
- Aliverkon ja SGT:n yhdistäminen sitoo SGT:n kaikkiin määritetyn aliverkon isäntäosoitteisiin. Cisco TrustSec asettaa SGT:n saapuvalle paketille, kun paketin lähde-IP-osoite kuuluu määritettyyn aliverkkoon. Aliverkko ja SGT määritetään CLI:ssä
cts role-based sgt-map net_address/prefix sgt sgt_numberglobaali konfigurointikomento. Yksi isäntä voidaan myös yhdistää tällä komennolla. - IPv4-verkoissa Security Exchange Protocol (SXP)v3 ja uudemmat versiot voivat vastaanottaa ja jäsentää aliverkon verkko-osoite/etuliitemerkkijonoja SXPv3-vertaisilta. Aiemmat SXP-versiot muuntavat aliverkon etuliitteet isäntäsidoksiksi ennen kuin ne viedään SXP-kuuntelijan vertaisohjelmaan.
- Aliverkkosidokset ovat staattisia, aktiivisia isäntiä ei opita. Niitä voidaan käyttää paikallisesti SGT:n määräämiseen ja SGACL-valvontaan. Paketit tagAliverkon ja SGT:n yhdistämisen avulla voidaan levittää Layer 2 tai Layer 3 Cisco TrustSec -linkkejä.
- IPv6-verkoissa SXPv3 ei voi viedä aliverkkosidoksia SXPv2- tai SXPv1-verkoisiin.
Yliview VLAN-SGT-kartoitus
- VLAN-SGT-kartoitusominaisuus sitoo SGT:n tietyn VLANin paketteihin. Tämä yksinkertaistaa siirtymistä vanhoista Cisco TrustSec -yhteensopiviin verkkoihin.
- VLAN-SGT-sidos on määritetty komennolla
cts role-based sgt-map vlan-listglobaali konfigurointikomento. - Kun VLAN-verkkoon on määritetty yhdyskäytävä, joka on SVI (Switched Virtual Interface) Cisco TrustSec -yhteensopivassa kytkimessä ja IP Device Tracking on käytössä kyseisessä kytkimessä, Cisco TrustSec voi luoda IP-SGT-sidoksen mille tahansa aktiiviselle isännälle. siinä SVI-aliverkkoon yhdistetyssä VLANissa.
- Aktiivisten VLAN-isäntien IP-SGT-sidokset viedään SXP-kuuntelijoihin. Jokaisen yhdistetyn VLANin sidokset lisätään IP-SGT-taulukkoon, joka liittyy VRF:ään, johon VLAN on kartoitettu joko sen SVI:n tai
cts role-based l2-vrfkomento. - VLAN-SGT-sidoksilla on alhaisin prioriteetti kaikista sidosmenetelmistä, ja ne jätetään huomiotta, kun vastaanotetaan sidoksia muista lähteistä, kuten SXP- tai CLI-isäntäkokoonpanoista. Sidontaprioriteetit on lueteltu Sidontalähteen prioriteetit -osiossa.
Tuotteen käyttöohjeet
Aliverkon ja SGT:n yhdistämisen määrittäminen
- Käytä laitteen CLI-liitäntää.
- Siirry konfigurointitilaan käyttämällä
configkomento. - Suorita seuraava komento määrittääksesi aliverkon ja SGT:n yhdistämisen:
cts role-based sgt-map net_address/prefix sgt sgt_number- Korvata
net_address/prefixaliverkon osoitteen ja etuliitepituuden kanssa, jonka haluat yhdistää (esim. 192.168.1.0/24). - Korvata
sgt_numberhalutun suojausryhmän kanssa tag määrä. - Ota määritys käyttöön painamalla Enter.
- Poistu määritystilasta.
VLAN-SGT-kartoituksen määrittäminen
-
- Käytä laitteen CLI-liitäntää.
- Siirry konfigurointitilaan käyttämällä
configkomento. - Suorita seuraava komento määrittääksesi VLAN-SGT-kuvauksen:
cts role-based sgt-map vlan-list- Määritä SGT:ihin yhdistettävät VLAN-verkot.
- Ota määritys käyttöön painamalla Enter.
- Poistu määritystilasta.
Tekniset tiedot
- Tuetut verkot: IPv4, IPv6
- Tuetut protokollat: Security Exchange Protocol (SXP)v3
- Tuetut sidontamenetelmät: Aliverkon ja SGT:n yhdistäminen, VLAN-SGT-kartoitus
Usein kysytyt kysymykset (FAQ)
- K: Voidaanko aliverkkosidoksia viedä SXPv2- tai SXPv1-vertaislaitteille IPv6-verkoissa?
V: Ei, aliverkkosidoksia voidaan viedä vain SXPv3-vertaislaitteille IPv6-verkoissa. - K: Mikä on VLAN-SGT-sidosten prioriteetti?
V: VLAN-SGT-sidoksilla on alhaisin prioriteetti kaikista sidontamenetelmistä, ja ne jätetään huomiotta, kun vastaanotetaan sidoksia muista lähteistä.
Aliverkko suojausryhmään tag (SGT) -kartoitus sitoo SGT:n kaikkiin määritetyn aliverkon isäntäosoitteisiin. Kun tämä kartoitus on otettu käyttöön, Cisco TrustSec asettaa SGT:n kaikille saapuville paketeille, joiden IP-lähdeosoite kuuluu määritettyyn aliverkkoon.
SGT-kartoituksen rajoitukset
Aliverkon ja SGT:n yhdistämisen rajoitukset
- IPv4-aliverkkoa, jossa on /31-etuliite, ei voi laajentaa.
- Aliverkon isäntäosoitteita ei voi sitoa suojausryhmään Tags (SGT)s, kun verkkokartan sidosparametri on pienempi kuin määritettyjen aliverkkojen aliverkon isäntien kokonaismäärä tai kun sidokset ovat 0.
- IPv6-laajennukset ja -lisäykset tapahtuvat vain, kun Security Exchange Protocol (SXP) -kaiuttimessa ja -kuuntelijassa on käytössä SXPv3 tai uudempi versio.
Oletusreitin SGT-kartoituksen rajoitus
- Oletusreitin määritys hyväksytään vain aliverkon /0 kanssa. Vain isäntä-ip:n syöttäminen ilman aliverkkoa /0 näyttää seuraavan viestin:
Tietoja SGT-kartoituksesta
Tämä osio sisältää tietoja SGT-kartoinnista.
Yliview
Yliview aliverkon ja SGT:n yhdistämisestä
Aliverkon ja SGT:n yhdistäminen sitoo SGT:n kaikkiin määritetyn aliverkon isäntäosoitteisiin. Cisco TrustSec asettaa SGT:n saapuvalle paketille, kun paketin lähde-IP-osoite kuuluu määritettyyn aliverkkoon. Aliverkko ja SGT määritetään CLI:ssä cts-roolipohjaisella sgt-map net_address/prefix sgt sgt_number -komennolla. Yksi isäntä voidaan myös yhdistää tällä komennolla. IPv4-verkoissa Security Exchange Protocol (SXP)v3 ja uudemmat versiot voivat vastaanottaa ja jäsentää aliverkon verkko-osoite/etuliitemerkkijonoja SXPv3-vertaisilta. Aiemmat SXP-versiot muuntavat aliverkon etuliitteet isäntäsidoksiksi ennen kuin ne viedään SXP-kuuntelijan vertaisohjelmaan.
esimample, IPv4-aliverkko 192.0.2.0/24 laajennetaan seuraavasti (vain 3 bittiä isäntäosoitteille):
- Isäntäosoitteet 198.0.2.1 - 198.0.2.7—tagged ja levitetty SXP-peerille.
- Verkko- ja lähetysosoitteet 198.0.2.0 ja 198.0.2.8 – ei tagged eikä levitetty.
Jos haluat rajoittaa SXPv3:n viemien aliverkkosidosten määrää, käytä cts sxp -mapping network-map Global Configuration -komentoa. Aliverkkosidokset ovat staattisia, aktiivisia isäntiä ei opita. Niitä voidaan käyttää paikallisesti SGT:n määräämiseen ja SGACL-valvontaan. Paketit tagAliverkon ja SGT:n yhdistämisen avulla voidaan levittää Layer 2 tai Layer 3 Cisco TrustSec -linkkejä. IPv6-verkoissa SXPv3 ei voi viedä aliverkkosidoksia SXPv2- tai SXPv1-verkoisiin.
Yliview VLAN-SGT-kartoitus
VLAN-SGT-kartoitusominaisuus sitoo SGT:n tietyn VLANin paketteihin. Tämä yksinkertaistaa siirtymistä vanhoista Cisco TrustSec -yhteensopiviin verkkoihin seuraavasti:
- Tukee laitteita, jotka eivät ole Cisco TrustSec-yhteensopivia, mutta ovat VLAN-yhteensopivia, kuten vanhat kytkimet, langattomat ohjaimet, tukiasemat, VPN:t jne.
- Tarjoaa taaksepäin yhteensopivuuden topologioille, joissa VLAN ja VLAN ACL segmentoivat verkon, kuten palvelinsegmentointi tietokeskuksissa.
- VLAN-SGT-sidos määritetään cts-roolipohjaisella sgt-map vlan-list -komennolla.
- Kun VLAN-verkkoon on määritetty yhdyskäytävä, joka on SVI (Switched Virtual Interface) Cisco TrustSec -yhteensopivassa kytkimessä ja IP Device Tracking on käytössä kyseisessä kytkimessä, Cisco TrustSec voi luoda IP-SGT-sidoksen mille tahansa aktiiviselle isännälle. siinä SVI-aliverkkoon yhdistetyssä VLANissa.
- Aktiivisten VLAN-isäntien IP-SGT-sidokset viedään SXP-kuuntelijoihin. Kunkin yhdistetyn VLANin sidokset lisätään IP-SGT-taulukkoon, joka liittyy VRF:ään, johon VLAN on yhdistetty joko sen SVI:llä tai cts-roolipohjaisella l2-vrf-komennolla.
- VLAN-SGT-sidoksilla on alhaisin prioriteetti kaikista sidosmenetelmistä, ja ne jätetään huomiotta, kun vastaanotetaan sidoksia muista lähteistä, kuten SXP- tai CLI-isäntäkokoonpanoista. Sidontaprioriteetit on lueteltu Sidontalähteen prioriteetit -osiossa.
Sitovien lähteiden prioriteetit
Cisco TrustSec ratkaisee IP-SGT-sidoslähteiden väliset ristiriidat tiukan prioriteettijärjestelmän avulla. esimample, SGT:tä voidaan soveltaa rajapintaan, jossa on käytäntö {dynaaminen identiteetti vertaisnimi | staattinen sgt tag} Cisco Trustsec Manual interface mode -komento (Identity Port Mapping). Nykyinen ensisijainen täytäntöönpanomääräys alimmasta (1) korkeimpaan (7) on seuraava:
- VLAN: Snooped ARP-paketeista opitut sidokset VLANissa, jossa VLAN-SGT-kartoitus on määritetty.
- CLI: Osoitesidokset määritetty käyttämällä cts-roolipohjaisen sgt-map yleisen määrityskomennon IP-SGT-muotoa.
- SXP: SXP-vertaisilta opitut sidokset.
- IP_ARP: Bindings oppi milloin tagged ARP -paketit vastaanotetaan CTS-yhteensopivalla linkillä.
- PAIKALLINEN: Todennettujen isäntien sidokset, jotka opitaan EPM:n ja laiteseurannan kautta. Tämäntyyppinen sidonta sisältää myös yksittäiset isännät, jotka opitaan ARP-snoopingin kautta L2 [I] PM-konfiguroiduissa porteissa.
- SISÄINEN: Sidos paikallisesti määritettyjen IP-osoitteiden ja laitteen oman SGT:n välillä.
Huom
Jos lähde-IP-osoite vastaa useita aliverkon etuliitteitä eri määritetyillä SGT:illä, pisin etuliite SGT on etusijalla, ellei prioriteetti eroa.
Oletusreitti SGT
- Oletusreitin suojausryhmä Tag (SGT) määrittää SGT-numeron oletusreiteille.
- Oletusreitti on reitti, joka ei vastaa määritettyä reittiä ja on siksi reitti viimeiseen lomakohteeseen. Oletusreittejä käytetään ohjaamaan paketteja, jotka on osoitettu verkkoihin, joita ei ole nimenomaisesti lueteltu reititystaulukossa.
Kuinka määrittää SGT-kartoitus
Tässä osassa kuvataan, kuinka SGT-kartoitus määritetään.
Laitteen SGT määrittäminen manuaalisesti
Normaalissa Cisco TrustSec -toiminnassa todennuspalvelin määrittää laitteelle SGT:n laitteelta lähteville paketeille. Voit määrittää SGT:n manuaalisesti käytettäväksi, jos todennuspalvelin ei ole käytettävissä, mutta todennuspalvelimen määrittämä SGT on etusijalla manuaalisesti määritettyyn SGT:hen nähden.
Voit määrittää SGT:n manuaalisesti laitteessa suorittamalla tämän tehtävän:
Menettely
| Komento or Toiminta | Tarkoitus | |
| Vaihe 1 | ota käyttöön | Ottaa käyttöön etuoikeutetun EXEC-tilan. |
| Exampseuraavat:
Laite# ota käyttöön |
• Anna salasanasi pyydettäessä. | |
| Vaihe 2 | määritä pääte
Exampseuraavat: Laite# määritä pääte |
Siirtyy yleiseen määritystilaan. |
| Vaihe 3 | cts sgt tag
Exampseuraavat: Device(config)# cts sgt 1234 |
Ottaa käyttöön SXP:n Cisco TrustSecille. |
| Vaihe 4 | poistu
Exampseuraavat: Device(config)# poistu |
Poistuu yleisestä määritystilasta ja palaa etuoikeutettuun EXEC-tilaan |
Aliverkon ja SGT:n yhdistämisen määrittäminen
Menettely
| Komento or Toiminta | Tarkoitus | |
| Vaihe 1 | ota käyttöön
Exampseuraavat: Laite# ota käyttöön |
Ottaa käyttöön etuoikeutetun EXEC-tilan.
• Anna salasanasi pyydettäessä. |
| Vaihe 2 | määritä pääte
Exampseuraavat: Laite# määritä pääte |
Siirtyy yleiseen määritystilaan. |
| Vaihe 3 | cts sxp -kartoitus verkkokartta siteet
Exampseuraavat: Device(config)# cts sxp -kartoitus verkkokartta 10000 |
• Määrittää aliverkon SGT-kartoituksen isäntämäärärajoituksen. Sidosargumentti määrittää aliverkon IP-isäntien enimmäismäärän, jotka voidaan sitoa SGT:ihin ja viedä SXP-kuuntelijaan.
• sidokset — (0 - 65,535 0) oletusarvo on XNUMX (laajennuksia ei suoritettu) |
| Vaihe 4 | cts-roolipohjainen sgt-kartta ipv4_osoite/etuliite
Sgt määrä Exampseuraavat: Device(config)# cts-roolipohjainen sgt-map 10.10.10.10/29 sgt 1234 |
(IPv4) Määrittää aliverkon CIDR-merkinnässä.
• Käytä no-muotoa komennon poistamiseen aliverkon ja SGT:n yhdistämisestä. Vaiheessa 2 määritetyn sidosten määrän tulee vastata tai ylittää aliverkon isäntäosoitteiden lukumäärän (pois lukien verkko- ja yleislähetysosoitteet). Avainsana sgt numero määrittää suojauksen |
| ryhmä Tag olla sidottu jokaiseen isäntään
osoite määritetyssä aliverkossa. • ipv4_address – Määrittää IPv4-verkko-osoitteen pisteviivalla desimaalimuodossa. • etuliite—(0 - 30) Määrittää verkko-osoitteen bittien määrän. • Sgt numero—(0–65,535 XNUMX) Määrittää suojausryhmän Tag (SGT) numero. |
||
| Vaihe 5 | cts-roolipohjainen sgt-kartta ipv6_address::etuliite
Sgt määrä Exampseuraavat: Device(config)# cts-roolipohjainen sgt-kartta 2020::/64 sgt 1234 |
(IPv6) Määrittää aliverkon kaksoispisteen heksadesimaalimuodossa. Käytä komennon no-muotoa poistaaksesi aliverkon ja SGT-kartoituksen asetukset.
Vaiheessa 2 määritetyn sidosten määrän tulee vastata tai ylittää aliverkon isäntäosoitteiden määrää (pois lukien verkko- ja yleislähetysosoitteet). Avainsana sgt numero määrittää suojausryhmän Tag olla sidottu jokaiseen isäntäosoitteeseen määritetyssä aliverkossa. • ipv6_address – Määrittää IPv6-verkko-osoitteen kaksoispisteen heksadesimaalimuodossa. • etuliite—(0–128) Määrittää verkko-osoitteen bittien määrän. • Sgt numero—(0–65,535 XNUMX) Määrittää suojausryhmän Tag (SGT) numero. |
| Vaihe 6 | poistu
Exampseuraavat: Device(config)# poistu |
Poistuu yleisestä määritystilasta ja palaa etuoikeutettuun EXEC-tilaan. |
VLAN-SGT-kartoituksen määrittäminen
Tehtäväkulku VLAN-SGT-kartoituksen määrittämiseen Cisco TrustSec -laitteessa.
- Luo VLAN laitteeseen samalla VLAN_ID:llä kuin tulevassa VLANissa.
- Luo SVI laitteen VLAN:lle päätepisteasiakkaiden oletusyhdyskäytäväksi.
- Määritä laite käyttämään SGT:tä VLAN-liikenteeseen.
- Ota IP-laitteen seuranta käyttöön laitteessa.
- Liitä laitteen seurantakäytäntö VLAN-verkkoon.
Huom
Usean kytkimen verkossa SISF-pohjainen laiteseuranta mahdollistaa sidostaulukon merkintöjen jakamisen ominaisuutta käyttävien kytkimien välillä. Tämä olettaa, että sidosmerkinnät luodaan kytkimille, joissa isäntä näkyy pääsyportissa, eikä merkintää luoda isännälle, joka näkyy runkoportin yli. Tämän saavuttamiseksi usean kytkimen asetuksissa suosittelemme, että määrität toisen käytännön ja liität sen runkoporttiin, kuten on kuvattu SISF:n määrittäminen -osiossa Usean kytkimen verkon määrittäminen sitovien merkintöjen luomisen lopettamiseksi runkoportista. -Suojausasetusoppaan luvussa Perustuva laiteseuranta.
- Varmista, että VLAN-SGT-sovitus tapahtuu laitteessa.
Menettely
| Komento or Toiminta | Tarkoitus | |
| Vaihe 1 | ota käyttöön
Exampseuraavat: Laite# ota käyttöön |
Ottaa käyttöön etuoikeutetun EXEC-tilan.
• Anna salasanasi pyydettäessä. |
| Vaihe 2 | määritä pääte
Exampseuraavat: Laite# määritä pääte |
Siirtyy yleiseen määritystilaan. |
| Vaihe 3 | vlan vlan_id
Exampseuraavat: Device(config)# vlan 100 |
Luo VLAN 100:n TrustSec-yhteensopivaan yhdyskäytävälaitteeseen ja siirtyy VLAN:iin
asetustila. |
| Vaihe 4 | [ei] sammutus
Exampseuraavat: Laite(config-vlan)# ei sammutusta |
Varaukset VLAN 100. |
| Vaihe 5 | poistu
Exampseuraavat: Laite(config-vlan)# poistu |
Poistuu VLAN-määritystilasta ja palaa globaaliin määritystilaan. |
| Vaihe 6 | käyttöliittymä tyyppinen aukko/portti
Exampseuraavat: Device(config)# käyttöliittymä vlan 100 |
Määrittää liitännän tyypin ja siirtyy liitännän konfigurointitilaan. |
| Vaihe 7 | ip-osoite paikka/portti
Exampseuraavat: Laite(config-if)# IP-osoite 10.1.1.2 255.0.0.0 |
Konfiguroi kytketyn virtuaaliliittymän (SVI) VLAN 100:lle. |
| Vaihe 8 | [ei ] sammutus
Exampseuraavat: Laite(config-if)# ei sammutusta |
Ottaa käyttöön SVI:n. |
| Vaihe 9 | poistu
Exampseuraavat: Laite(config-if)# poistu |
Poistuu käyttöliittymän määritystilasta ja palaa yleiseen määritystilaan. |
| Vaihe 10 | cts-roolipohjainen sgt-map vlan-list vlan_id Sgt
sgt_number Exampseuraavat: Device(config)# cts roolipohjainen sgt-map vlan-lista 100 sgt 10 |
Määrittää määritetyn SGT:n määritetylle VLAN:lle. |
| Vaihe 11 | laiteseurantakäytäntö politiikan nimi
Exampseuraavat: Device(config)# laiteseurantakäytäntö 1 |
Määrittää käytännön ja siirtyy laiteseurantakäytännön määritystilaan. |
| Vaihe 12 | seuranta käytössä
Exampseuraavat: Laite(config-device-tracking)# seuranta ota käyttöön |
Ohittaa käytäntöattribuutin laitteen seurannan oletusasetukset. |
| Vaihe 13 | poistu
Exampseuraavat: Laite(config-device-tracking)# poistu |
Poistuu laiteseurantakäytännön määritystilasta ja palaa yleiseen määritystilaan. |
| Vaihe 14 | vlan-kokoonpano vlan_id
Exampseuraavat: Device(config)# vlan-kokoonpano 100 |
Määrittää VLAN-verkon, johon laiteseurantakäytäntö liitetään, ja siirtyy VLAN-määritystilaan. |
| Vaihe 15 | laiteseurannan liitekäytäntö politiikan nimi
Exampseuraavat: Laite(config-vlan-config)# laiteseurannan liitteen käytäntökäytäntö1 |
Liittää laitteen seurantakäytännön määritettyyn VLAN-verkkoon. |
| Vaihe 16 | loppu
Exampseuraavat: Laite(config-vlan-config)# loppu |
Poistuu VLAN-määritystilasta ja palaa etuoikeutettuun EXEC-tilaan. |
| Vaihe 17 | näytä cts-roolipohjainen sgt-kartta {ipv4_netaddr
| ipv4_netaddr/etuliite | ipv6_netaddr | ipv6_netaddr/prefix |kaikki [ipv4 |ipv6] |isäntä { ipv4 addr |ipv6_addr } |yhteenveto [ ipv4 |ipv6 ] |
(Valinnainen) Näyttää VLAN-SGT-kartoitukset. |
| Exampseuraavat:
Laite# näytä cts roolipohjainen sgt-map kaikki |
||
| Vaihe 18 | näytä laiteseurantakäytäntö politiikan nimi
Exampseuraavat: Laite# näytä laiteseurantakäytäntökäytäntö1 |
(Valinnainen) Näyttää nykyiset käytäntömääritteet. |
Hardware Keystoren emulointi
Tapauksissa, joissa laitteisto-avainsäilöä ei ole tai se on käyttökelvoton, voit määrittää kytkimen käyttämään avainsäilön ohjelmistoemulointia. Määritä ohjelmiston avainsäilön käyttö suorittamalla tämä tehtävä:
Menettely
| Komento or Toiminta | Tarkoitus | |
| Vaihe 1 | ota käyttöön
Exampseuraavat: Laite# ota käyttöön |
Ottaa käyttöön etuoikeutetun EXEC-tilan.
• Anna salasanasi pyydettäessä. |
| Vaihe 2 | määritä pääte
Exampseuraavat: Laite# määritä pääte |
Siirtyy yleiseen määritystilaan. |
| Vaihe 3 | cts avainsäilön emulointi
Exampseuraavat: Device(config)# cts avainsäilön emulointi |
Määrittää kytkimen käyttämään avainsäilön ohjelmistoemulointia laitteisto-avainsäilön sijaan. |
| Vaihe 4 | poistu
Exampseuraavat: Device(config)# poistu |
Poistuu asetustilasta. |
| Vaihe 5 | näytä avainsäilö
Exampseuraavat: Laite# näytä avainsäilö |
Näyttää avainsäilön tilan ja sisällön. Tallennettuja salaisuuksia ei näytetä. |
Oletusreitin SGT määrittäminen
Ennen kuin aloitat
Varmista, että olet jo luonut oletusreitin laitteelle komennolla ip route 0.0.0.0. Muussa tapauksessa oletusreitti (joka tulee oletusreitin SGT:n mukana) saa tuntemattoman määränpään ja siksi viimeinen keino osoittaa CPU:lle.
Menettely
| Komento or Toiminta | Tarkoitus | |
| Vaihe 1 | ota käyttöön
Exampseuraavat: Laite> ota käyttöön |
Ottaa käyttöön etuoikeutetun EXEC-tilan.
• Anna salasanasi pyydettäessä. |
| Vaihe 2 | määritä pääte
Exampseuraavat: Laite# konfigurointipääte |
Siirtyy yleiseen määritystilaan. |
| Vaihe 3 | cts roolipohjainen sgt-map 0.0.0.0/0 sgt määrä
Exampseuraavat: Device(config)# cts roolipohjainen sgt-map 0.0.0.0/0 sgt 3 |
Määrittää oletusreitin SGT-numeron. Kelvolliset arvot ovat 0 - 65,519 XNUMX.
Huom • The isäntäosoite/aliverkko voi olla joko IPv4-osoite (0.0.0.0/0) tai IPv6-osoite (0:0::/0) • Oletusreitti määritys hyväksytään vain aliverkon kanssa /0. Vain isäntä-ip:n syöttäminen ilman aliverkkoa /0 näyttää seuraavan viestin: Device(config)#cts roolipohjainen sgt-map 0.0.0.0 sgt 1000 Reitin oletusmääritystä ei tueta isäntä-ip:lle |
| Vaihe 4 | poistu
Exampseuraavat: Device(config)# exit |
Poistuu yleisestä määritystilasta. |
SGT-kartoituksen vahvistaminen
Seuraavat osiot osoittavat, kuinka SGT-kartoitus vahvistetaan:
Aliverkon ja SGT:n yhdistämismääritysten tarkistaminen
Jos haluat näyttää aliverkon ja SGT:n yhdistämismääritystiedot, käytä jotakin seuraavista show-komennoista:
| Komento | Tarkoitus |
| näytä cts sxp -yhteydet | Näyttää SXP-kaiutin- ja kuuntelijaliitännät ja niiden toimintatilan. |
| näytä cts sxp sgt-map | Näyttää SXP-kuuntelijoihin vietyjen IP-osoitteen SGT-sidoksiin. |
| näytä running-config | Varmistaa, että aliverkosta SGT:hen -kokoonpanokomennot ovat käynnissä olevissa määrityksissä file. |
Vahvistetaan VLAN-SGT-kartoitus
Voit näyttää VLAN-SGT-määritystiedot käyttämällä seuraavia show-komentoja:
Taulukko 1:
| Komento | Tarkoitus |
| näytä laiteseurantakäytäntö | Näyttää laitteen seurantakäytännön nykyiset käytäntömääritteet. |
| näytä cts-roolipohjainen sgt-kartta | Näyttää IP-osoitteen ja SGT:n väliset sidokset. |
Oletusreitin SGT-määrityksen tarkistaminen
Tarkista oletusreitin SGT-kokoonpano:
laite# näytä roolipohjainen sgt-map kaikki aktiiviset IPv4-SGT-sidostiedot
Kokoonpano esimamples SGT Mappingille
Seuraavat osiot näyttävät kokoonpanon esimampSGT-kartoitus:
Example: Laitteen SGT määrittäminen manuaalisesti
- Laite# konfigurointipääte
- Laite(config)# cts sgt 1234
- Device(config)# exit
Example: Aliverkon ja SGT:n yhdistämisen määritys
Seuraava example näyttää kuinka määrittää IPv4-aliverkon ja SGT:n yhdistäminen SXPv3:a käyttävien laitteiden välillä (Laite1 ja Laite2):
- Määritä SXP-kaiuttimen/kuuntelijan peering laitteiden välillä.
- Laite1# konfigurointipääte
- Device1(config)# cts sxp käytössä
- Device1(config)# cts sxp oletuslähde-ip 1.1.1.1
- Device1(config)# cts sxp oletussalasana 1syzygy1
- Device1(config)# cts sxp yhteyden vertaisversio 2.2.2.2 salasana oletustilan paikallinen kaiutin
- Määritä Device2 Device1:n SXP-kuuntelijaksi.
- Device2(config)# cts sxp käytössä
- Device2(config)# cts sxp oletuslähde-ip 2.2.2.2
- Device2(config)# cts sxp oletussalasana 1syzygy1
- Device2(config)# cts sxp yhteyden vertaisversio 1.1.1.1 salasana oletustilan paikallinen kuuntelija
- Varmista Laitteessa2, että SXP-yhteys toimii:
Device2# näytä cts sxp -yhteydet lyhyt | sisältää 1.1.1.1 1.1.1.1 2.2.2.2 3:22:23:18 (dd:hr:mm:sec) - Määritä laajennettavat aliverkot Laitteessa1.
- Device1(config)# cts sxp mapping network-map 10000
- Device1(config)# cts roolipohjainen sgt-map 10.10.10.0/30 sgt 101
- Device1(config)# cts roolipohjainen sgt-map 11.11.11.0/29 sgt 11111
- Device1(config)# cts roolipohjainen sgt-map 192.168.1.0/28 sgt 65000
- Tarkista Laitteessa 2 aliverkon laajennus SGT:hen laitteesta 1. Aliverkossa 10.10.10.0/30 pitäisi olla kaksi laajennusta, 11.11.11.0/29-aliverkkoon kuusi laajennusta ja 14/192.168.1.0-aliverkkoon 28 laajennusta.
Device2# näytä cts sxp sgt-map short | sisältää 101|11111|65000- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- Tarkista laitteen 1 laajennusten määrä:
Device1# näytä cts sxp sgt-map- IP-SGT-kartoitukset laajennettu:22
- IP-SGT-kartoituksia ei ole
- Tallenna asetukset laitteisiin 1 ja 2 ja poistu yleisestä määritystilasta.
Device1(config)# kopioi running-config startup-config
Device1(config)# exit
Device2(config)# kopioi running-config startup-config
Device2(config)# exit
Exampseuraavat:
VLAN-SGT-kartoituksen konfigurointi yhdelle isännälle pääsylinkin kautta.
Seuraavassa example, yksi isäntä muodostaa yhteyden pääsylaitteen VLAN 100 -verkkoon. TrustSec-laitteen kytketty virtuaalinen liitäntä on oletusyhdyskäytävä VLAN 100 -päätepisteelle (IP-osoite 10.1.1.1). TrustSec-laite asettaa suojausryhmän Tag (SGT) 10 VLAN 100:n paketeissa.
- Luo VLAN 100 pääsylaitteelle.
- access_device# configure terminaali
- access_device(config)# vlan 100
- access_device(config-vlan)# ei sammutusta
- access_device(config-vlan)# exit
- access_device(config)#
- Määritä käyttöliittymä TrustSec-laitteeseen pääsylinkiksi. Päätepisteen määritykset
- pääsyportti on jätetty pois tästä esimample.
- access_device(config)# käyttöliittymä gigabitEthernet 6/3
- access_device(config-if)# kytkinportti
- access_device(config-if)# switchport mode access
- access_device(config-if)# switchport access vlan 100
- Luo VLAN 100 TrustSec-laitteeseen.
- TS_device(config)# vlan 100
- TS_device(config-vlan)# ei sammutusta
- TS_device(config-vlan)# end
- TS_device#
- Luo SVI yhdyskäytäväksi saapuvalle VLAN 100:lle.
- TS_device(config)# käyttöliittymä vlan 100
- TS_device(config-if)# IP-osoite 10.1.1.2 255.0.0.0
- TS_device(config-if)# ei sammutusta
- TS_device(config-if)# end
- TS_device(config)#
- Määritä suojausryhmä Tag (SGT) 10 VLAN 100:n isännille.
- TS_device(config)# cts roolipohjainen sgt-map vlan 100 sgt 10
- Ota IP-laitteen seuranta käyttöön TrustSec-laitteessa. Varmista, että se toimii.
- TS_device(config)# IP-laitteen seuranta
- TS_device# näytä IP-laite, joka seuraa kaikkia
- (Valinnainen) PING oletusyhdyskäytävän päätepisteestä (tässä esimample, isännän IP-osoite 10.1.1.1). Varmista, että SGT 10 on yhdistetty VLAN 100 -isäntään.
Example: Hardware Keystoren emulointi
Tämä example näyttää, kuinka ohjelmiston avainsäilön käyttö määritetään ja tarkistetaan:
Example: Laitteen reitin SGT määrittäminen
- Laite# konfigurointipääte
- Device(config)# cts roolipohjainen sgt-map 0.0.0.0/0 sgt 3
- Device(config)# exit
Ominaisuushistoria suojausryhmälle Tag Kartoitus
- Tämä taulukko sisältää julkaisut ja niihin liittyvät tiedot tässä moduulissa selitetyistä ominaisuuksista.
- Nämä ominaisuudet ovat saatavilla kaikissa julkaisuissa sen jälkeen, kun ne esiteltiin, ellei toisin mainita.
| Vapauta | Ominaisuus | Ominaisuus Tiedot |
| Cisco IOS XE Everest 16.5.1a | Turvallisuusryhmä Tag Kartoitus | Aliverkon ja SGT:n yhdistäminen sitoo SGT:n määritetyn aliverkon kaikkiin isäntäosoitteisiin. Kun tämä kartoitus on otettu käyttöön, Cisco TrustSec asettaa SGT:n kaikille saapuville paketeille, joiden IP-lähdeosoite kuuluu määritettyyn aliverkkoon. |
| Cisco IOS XE Gibraltar 16.11.1 | Oletusreitin SGT-luokitus | Oletusreitti SGT määrittää SGT:n tag numero niille reiteille, jotka eivät vastaa määritettyä reittiä. |
Käytä Cisco Feature Navigator -ohjelmaa löytääksesi tietoja alustan ja ohjelmiston kuvantuesta. Voit käyttää Cisco Feature Navigatoria siirtymällä osoitteeseen http://www.cisco.com/go/cfn.
Asiakirjat / Resurssit
 |
CISCO Configuring Security Group Tag Kartoitus [pdfKäyttöopas Suojausryhmän määrittäminen Tag Kartoitus, konfigurointi, suojausryhmä Tag Kartoitus, ryhmä Tag kartoitus, Tag Kartoitus |
