CISCO Konfigurearje Security Group Tag Mapping
Produkt ynformaasje
It produkt makket it mooglik om te konfigurearjen feiligens groep tag (SGT) mapping. Dizze funksje bynt in SGT oan alle hostadressen fan in spesifisearre subnet. Sadree't dizze mapping is ymplemintearre, Cisco TrustSec oplein de SGT op alle ynkommende pakket dat hat in boarne IP-adres dat heart by de oantsjutte subnet.
Beheinings foar SGT Mapping
It folgjende kommando wurdt net stipe foar host IP-konfiguraasje: Device(config)#cts role-based sgt-map 0.0.0.0 sgt 1000
Oerview fan Subnet-to-SGT Mapping
- Subnet-to-SGT mapping bynt in SGT oan alle host adressen fan in spesifisearre subnet. Cisco TrustSec stelt de SGT op in ynkommende pakket as it boarne-IP-adres fan it pakket heart ta it oantsjutte subnet. It subnet en SGT wurde oantsjutte yn de CLI mei de
cts role-based sgt-map net_address/prefix sgt sgt_numberglobale konfiguraasje kommando. In inkele host kin ek yn kaart brocht wurde mei dit kommando. - Yn IPv4 netwurken kin Security Exchange Protocol (SXP) v3, en mear resinte ferzjes, ûntfange en parse subnet net_address / prefix snaren fan SXPv3 peers. Eardere SXP-ferzjes konvertearje it subnet-foarheaksel yn syn set hostbindingen foardat se eksportearje nei in SXP-harker-peer.
- Subnetbindingen binne statysk, d'r is gjin learen fan aktive hosts. Se kinne lokaal brûkt wurde foar SGT-ymposysje en SGACL-hanthavenjen. Pakketten tagged troch subnet-to-SGT mapping kin wurde propagearre op Laach 2 of Laach 3 Cisco TrustSec keppelings.
- Foar IPv6 netwurken kin SXPv3 net eksportearje subnet bindingen nei SXPv2 of SXPv1 peers.
Oerview fan VLAN-to-SGT Mapping
- De VLAN-to-SGT mapping funksje bynt in SGT oan pakketten fan in spesifisearre VLAN. Dit simplifies de migraasje fan legacy nei Cisco TrustSec-kapabele netwurken.
- De VLAN-to-SGT-bining is konfigureare mei de
cts role-based sgt-map vlan-listglobale konfiguraasje kommando. - As in VLAN wurdt tawiisd in poarte dat is in skeakele firtuele ynterface (SVI) op in Cisco TrustSec-kapabel switch, en IP Device Tracking is ynskeakele op dy switch, dan Cisco TrustSec kin meitsje in IP-nei-SGT bining foar eltse aktive host op dat VLAN yn kaart brocht oan it SVI subnet.
- IP-SGT-bindingen foar de aktive VLAN-hosts wurde eksportearre nei SXP-harkers. De bindingen foar elk yn kaart brocht VLAN wurde ynfoege yn 'e IP-nei-SGT-tabel ferbûn mei de VRF wêrop it VLAN wurdt yn kaart brocht troch itsij syn SVI of troch de
cts role-based l2-vrfbefel. - VLAN-to-SGT-bindingen hawwe de leechste prioriteit fan alle binende metoaden en wurde negearre as bindingen fan oare boarnen wurde ûntfongen, lykas fan SXP- of CLI-hostkonfiguraasjes. Binende prioriteiten wurde neamd yn 'e seksje Binding Source Priorities.
Produkt Usage Ynstruksjes
Subnet-to-SGT Mapping konfigurearje
- Tagong ta de CLI-ynterface fan it apparaat.
- Fier de konfiguraasje modus yn mei de
configbefel. - Fier it folgjende kommando út om subnet-to-SGT-mapping te konfigurearjen:
cts role-based sgt-map net_address/prefix sgt sgt_number- Ferfange
net_address/prefixmei it subnetadres en foarheaksellingte dy't jo yn kaart bringe wolle (bygelyks 192.168.1.0/24). - Ferfange
sgt_numbermei de winske feiligens groep tag nûmer. - Druk op Enter om de konfiguraasje oan te passen.
- Ut de konfiguraasje modus.
VLAN-to-SGT Mapping konfigurearje
-
- Tagong ta de CLI-ynterface fan it apparaat.
- Fier de konfiguraasje modus yn mei de
configbefel. - Fier it folgjende kommando út om VLAN-to-SGT-mapping te konfigurearjen:
cts role-based sgt-map vlan-list- Spesifisearje de VLAN's dy't wurde mapd oan SGT's.
- Druk op Enter om de konfiguraasje oan te passen.
- Ut de konfiguraasje modus.
Spesifikaasjes
- Stipe netwurken: IPv4, IPv6
- Stipe protokollen: Security Exchange Protocol (SXP) v3
- Stipe biningmetoaden: Subnet-nei-SGT-mapping, VLAN-nei-SGT-mapping
Faak stelde fragen (FAQ)
- F: Kin subnetbindingen wurde eksportearre nei SXPv2- of SXPv1-peers yn IPv6-netwurken?
A: Nee, subnet bindingen kinne allinnich wurde eksportearre nei SXPv3 peers yn IPv6 netwurken. - Q: Wat is de prioriteit fan VLAN-to-SGT-bindingen?
A: VLAN-to-SGT-bindingen hawwe de leechste prioriteit ûnder alle binende metoaden en wurde negearre as bindingen fan oare boarnen wurde ûntfongen.
Subnet nei feiligens groep tag (SGT) mapping bynt in SGT oan alle host adressen fan in spesifisearre subnet. Sadree't dizze mapping is ymplemintearre, Cisco TrustSec oplein de SGT op alle ynkommende pakket dat hat in boarne IP-adres dat heart by de oantsjutte subnet.
Beheinings foar SGT Mapping
Beheinings foar Subnet-to-SGT Mapping
- In IPv4-subnetwurk mei in /31-foarheaksel kin net útwreide wurde.
- Subnet-hostadressen kinne net bûn wurde oan Security Group Tags (SGT)'s as de parameter foar netwurkkaartbindingen minder is dan it totale oantal subnethosts yn 'e oantsjutte subnetten, of as de bindingen 0 binne.
- IPv6-útwreidings en fuortplanting komt allinich foar as de sprekker en harker fan Security Exchange Protocol (SXP) SXPv3 of mear resinte ferzjes útfiere.
Beheining foar Standert Route SGT Mapping
- Standert rûtekonfiguraasje wurdt allinich aksepteare mei it subnet /0. It ynfieren fan allinich de host-ip sûnder it subnet / 0 lit it folgjende berjocht sjen:
Ynformaasje oer SGT Mapping
Dizze seksje jout ynformaasje oer SGT mapping.
Oerview
Oerview fan Subnet-to-SGT Mapping
Subnet-to-SGT mapping bynt in SGT oan alle host adressen fan in spesifisearre subnet. Cisco TrustSec stelt de SGT op in ynkommende pakket as it boarne-IP-adres fan it pakket heart ta it oantsjutte subnet. It subnet en SGT wurde spesifisearre yn 'e CLI mei it cts-rol-basearre sgt-map net_address/prefix sgt sgt_number globale konfiguraasjekommando. In inkele host kin ek yn kaart brocht wurde mei dit kommando. Yn IPv4 netwurken kin Security Exchange Protocol (SXP) v3, en mear resinte ferzjes, ûntfange en parse subnet net_address / prefix snaren fan SXPv3 peers. Eardere SXP-ferzjes konvertearje it subnet-foarheaksel yn syn set hostbindingen foardat se eksportearje nei in SXP-harker-peer.
Bygelyksample, it IPv4-subnet 192.0.2.0/24 wurdt as folget útwreide (allinich 3 bits foar hostadressen):
- Hostadressen 198.0.2.1 oant 198.0.2.7—tagged en propagearre nei SXP peer.
- Netwurk- en útstjoeradressen 198.0.2.0 en 198.0.2.8 - net tagged en net propagearre.
Foar in beheine it oantal subnet bindingen SXPv3 kin eksportearje, brûk de cts sxp mapping netwurk-map globale konfiguraasje kommando. Subnetbindingen binne statysk, d'r is gjin learen fan aktive hosts. Se kinne lokaal brûkt wurde foar SGT-ymposysje en SGACL-hanthavenjen. Pakketten tagged troch subnet-to-SGT mapping kin wurde propagearre op Laach 2 of Laach 3 Cisco TrustSec keppelings. Foar IPv6 netwurken kin SXPv3 net eksportearje subnet bindingen nei SXPv2 of SXPv1 peers.
Oerview fan VLAN-to-SGT Mapping
De VLAN-to-SGT mapping funksje bynt in SGT oan pakketten fan in spesifisearre VLAN. Dit ferienfâldiget de migraasje fan legacy nei Cisco TrustSec-kapabele netwurken as folget:
- Unterstützt apparaten dy't net Cisco TrustSec-kapabel binne, mar binne VLAN-kapabel, lykas legacy-skeakels, draadloze controllers, tagongspunten, VPN's, ensfh.
- Biedt efterút kompatibiliteit foar topologyen wêr't VLAN's en VLAN ACL's it netwurk segmentearje, lykas serversegmentaasje yn datasintra.
- De VLAN-to-SGT-ferbining is konfigureare mei it cts-rol-basearre sgt-map vlan-list globale konfiguraasjekommando.
- As in VLAN wurdt tawiisd in poarte dat is in skeakele firtuele ynterface (SVI) op in Cisco TrustSec-kapabel switch, en IP Device Tracking is ynskeakele op dy switch, dan Cisco TrustSec kin meitsje in IP-nei-SGT bining foar eltse aktive host op dat VLAN yn kaart brocht oan it SVI subnet.
- IP-SGT-bindingen foar de aktive VLAN-hosts wurde eksportearre nei SXP-harkers. De bindingen foar elk yn kaart brocht VLAN wurde ynfoege yn 'e IP-nei-SGT-tabel ferbûn mei de VRF wêrop it VLAN wurdt yn kaart brocht troch itsij syn SVI of troch it cts-rol-basearre l2-vrf kommando.
- VLAN-to-SGT-bindingen hawwe de leechste prioriteit fan alle binende metoaden en wurde negearre as bindingen fan oare boarnen wurde ûntfongen, lykas fan SXP- of CLI-hostkonfiguraasjes. Binende prioriteiten wurde neamd yn 'e seksje Binding Source Priorities.
Bining boarne prioriteiten
Cisco TrustSec oplost konflikten tusken IP-SGT binende boarnen mei in strang prioriteit skema. Bygelyksample, in SGT kin tapast wurde op in ynterface mei it belied {dynamyske identiteit peer-namme | statyske sgt tag} Cisco Trustsec Manual ynterface modus kommando (Identiteit Port Mapping). De hjoeddeistige folchoarder foar prioriteit hanthavening, fan leechste (1) oant heechste (7), is as folget:
- VLAN: Bindingen leard út snooped ARP pakketten op in VLAN dat hat VLAN-SGT mapping konfigurearre.
- CLI: Adresbindingen konfigureare mei de IP-SGT-foarm fan it cts-rol-basearre sgt-map globale konfiguraasjekommando.
- SXP: Bindingen leard fan SXP-peers.
- IP_ARP: Bindingen leard wannear tagged ARP-pakketten wurde ûntfongen op in CTS-kapabele keppeling.
- PLEATSLIK: Bindingen fan autentike hosts dy't wurde leard fia EPM en apparaat tracking. Dit type bining omfettet ek yndividuele hosts dy't wurde leard fia ARP-snooping op L2 [I] PM-konfigureare havens.
- INTERNE: Bindingen tusken lokaal ynstelde IP-adressen en de eigen SGT fan it apparaat.
Noat
As it boarne IP-adres oerienkomt mei meardere subnetfoarheaksels mei ferskate tawiisde SGT's, dan hat it langste foarheaksel SGT foarrang, útsein as de prioriteit ferskilt.
Standert Route SGT
- Standert Route Security Group Tag (SGT) jout in SGT nûmer ta standert rûtes.
- Standertrûte is dy rûte dy't net oerienkomt mei in spesifisearre rûte en is dêrom de rûte nei it lêste resortbestimming. Standertrûtes wurde brûkt om pakketten te rjochtsjen dy't rjochte binne oan netwurken dy't net eksplisyt yn 'e routingtabel neamd binne.
Hoe kinne jo SGT Mapping ynstelle
Dizze seksje beskriuwt hoe't jo SGT-mapping konfigurearje.
In apparaat SGT manuell konfigurearje
Yn normale Cisco TrustSec operaasje, jout de autentikaasje tsjinner in SGT oan it apparaat foar pakketten dy't ûntstien út it apparaat. Jo kinne de hân ynstelle in SGT wurde brûkt as de autentikaasje tsjinner is net tagonklik, mar in autentikaasje tsjinner-oanwiisd SGT sil nimme foarrang boppe in hânmjittich-tawiisd SGT.
Om manuell in SGT op it apparaat te konfigurearjen, fier dizze taak út:
Proseduere
| Befel or Aksje | Doel | |
| Stap 1 | ynskeakelje | Aktivearret befoarrjochte EXEC-modus. |
| Example:
Apparaat# ynskeakelje |
• Fier jo wachtwurd yn as frege. | |
| Stap 2 | konfigurearje terminal
Example: Apparaat# konfigurearje terminal |
Giet globale konfiguraasje modus. |
| Stap 3 | cts sgt tag
Example: Apparaat (konfiguraasje) # cts sgt 1234 |
Aktivearret SXP foar Cisco TrustSec. |
| Stap 4 | útgong
Example: Apparaat (konfiguraasje) # útgong |
Ferlaat globale konfiguraasjemodus en giet werom nei befoarrjochte EXEC-modus |
Subnet-to-SGT Mapping konfigurearje
Proseduere
| Befel or Aksje | Doel | |
| Stap 1 | ynskeakelje
Example: Apparaat# ynskeakelje |
Aktivearret befoarrjochte EXEC-modus.
• Fier jo wachtwurd yn as frege. |
| Stap 2 | konfigurearje terminal
Example: Apparaat# konfigurearje terminal |
Giet globale konfiguraasje modus. |
| Stap 3 | cts sxp mapping netwurk-map binings
Example: Apparaat (konfiguraasje) # cts sxp mapping netwurk-map 10000 |
• Konfigurearret de subnet nei SGT Mapping host count beheining. It argumint bindings spesifisearret it maksimum oantal subnet IP hosts dat kin wurde bûn oan SGTs en eksportearre nei de SXP harker.
• bindingen - (0 oant 65,535) standert is 0 (gjin útwreidingen útfierd) |
| Stap 4 | cts rol-basearre sgt-map ipv4_address/prefix
sgt nûmer Example: Apparaat (konfiguraasje) # cts rol-basearre sgt-map 10.10.10.10/29 sgt 1234 |
(IPv4) Spesifiseart in subnet yn CIDR-notaasje.
• Brûk de gjin foarm fan it kommando te unconfigure de Subnet nei SGT mapping. It oantal bindingen spesifisearre yn stap 2 moat oerienkomme mei it oantal hostadressen yn it subnet (útsein netwurk- en útstjoeradressen). It kaaiwurd sgt number spesifisearret de Feiligens |
| Groep Tag oan elke gasthear bûn te wêzen
adres yn it oantsjutte subnet. • ipv4_address—spesifiseart it IPv4 netwurkadres yn stippelde desimaal notaasje. • prefix—(0 oant 30) Spesifiseart it oantal bits yn it netwurkadres. • sgt number—(0–65,535) Spesifiseart de feiligensgroep Tag (SGT) nûmer. |
||
| Stap 5 | cts rol-basearre sgt-map ipv6_adres :: foarheaksel
sgt nûmer Example: Apparaat (konfiguraasje) # cts rol-basearre sgt-map 2020::/64 sgt 1234 |
(IPv6) Spesifiseart in subnet yn hexadesimale notaasje fan kolon. Brûk de gjin foarm fan it kommando om it subnet nei SGT-mapping te dekonfigurearjen.
It oantal bindingen spesifisearre yn stap 2 moat oerienkomme mei it oantal hostadressen yn it subnet (útsein netwurk- en útstjoeradressen). It kaaiwurd sgt number spesifiseart de Feiligensgroep Tag om bûn te wêzen oan elk hostadres yn it oantsjutte subnet. • ipv6_address - Spesifisearret IPv6 netwurk adres yn kolon heksadesimale notaasje. • prefix—(0 to128) Spesifiseart it oantal bits yn it netwurkadres. • sgt number—(0–65,535) Spesifiseart de feiligensgroep Tag (SGT) nûmer. |
| Stap 6 | útgong
Example: Apparaat (konfiguraasje) # útgong |
Ferlaat globale konfiguraasjemodus en giet werom nei befoarrjochte EXEC-modus. |
VLAN-to-SGT Mapping konfigurearje
Taakflow foar it konfigurearjen fan VLAN-SGT-mapping op in Cisco TrustSec-apparaat.
- Meitsje in VLAN op it apparaat mei deselde VLAN_ID fan it ynkommende VLAN.
- Meitsje in SVI foar it VLAN op it apparaat om de standertpoarte te wêzen foar de einpuntkliïnten.
- Konfigurearje it apparaat om in SGT oan te passen op it VLAN-ferkear.
- Ynskeakelje IP-apparaat tracking op it apparaat.
- Heakje in apparaat tracking belied oan in VLAN.
Noat
Yn in multi-switch netwurk jout SISF-basearre apparaat tracking de mooglikheid om te fersprieden binende tabel yngongen tusken switches dy't rinne de funksje. Dit giet derfan út dat binende yngongen wurde makke op de skakelaars dêr't de host ferskynt op in tagong haven, en gjin yngong wurdt makke foar in host dat ferskynt oer in romp haven. Om dit te berikken yn in multi-switch-opset, riede wy oan dat jo in oar belied konfigurearje en it oan 'e trunk-poarte taheakje, lykas beskreaun yn it konfigurearjen fan in multi-switch-netwurk om te stopjen mei it meitsjen fan binende yngongen fan in trunk-poarte proseduere, yn 'e SISF konfigurearje -Based Device Tracking haadstik fan de Feiligens konfiguraasje Guide.
- Kontrolearje dat VLAN-to-SGT-mapping op it apparaat foarkomt.
Proseduere
| Befel or Aksje | Doel | |
| Stap 1 | ynskeakelje
Example: Apparaat# ynskeakelje |
Aktivearret befoarrjochte EXEC-modus.
• Fier jo wachtwurd yn as frege. |
| Stap 2 | konfigurearje terminal
Example: Apparaat# konfigurearje terminal |
Giet globale konfiguraasje modus. |
| Stap 3 | vlan vlan_id
Example: Apparaat (konfiguraasje) # vlan 100 |
Makket VLAN 100 oan op it TrustSec-kapabele gateway-apparaat en komt VLAN yn
konfiguraasjemodus. |
| Stap 4 | [Nee] ofslúte
Example: Apparaat (config-vlan) # gjin shutdown |
Bepalingen VLAN 100. |
| Stap 5 | útgong
Example: Apparaat (config-vlan) # útgong |
Ferlaat VLAN-konfiguraasjemodus en giet werom nei globale konfiguraasjemodus. |
| Stap 6 | ynterface type slot / haven
Example: Apparaat (konfiguraasje) # ynterface vlan 100 |
Spesifisearret de ynterface type en giet ynterface konfiguraasje modus. |
| Stap 7 | ip adres slot / haven
Example: Apparaat (config-if) # * (10.1.1.2) IP Adres (Frysk) 🔍 |
Konfigurearret Switched Virtual Interface (SVI) foar VLAN 100. |
| Stap 8 | [Nee ] ofslúte
Example: Apparaat (config-if) # gjin shutdown |
Aktivearret de SVI. |
| Stap 9 | útgong
Example: Apparaat (config-if) # útgong |
Ferlaat ynterface konfiguraasje modus en giet werom nei globale konfiguraasje modus. |
| Stap 10 | cts rol-basearre sgt-map vlan-list vlan_id sgt
sgt_number Example: Apparaat (konfiguraasje) # cts rol-basearre sgt-map vlan-list 100 sgt 10 |
Jout de oantsjutte SGT oan it oantsjutte VLAN. |
| Stap 11 | apparaat-tracking belied belied-namme
Example: Apparaat (konfiguraasje) # apparaat-tracking belied belied1 |
Spesifisearret it belied en giet de konfiguraasjemodus foar apparaat-tracking yn. |
| Stap 12 | tracking ynskeakelje
Example: Apparaat (config-device-tracking) # tracking ynskeakelje |
Oerskriuwt de standert apparaat tracking ynstellings foar it belied attribút. |
| Stap 13 | útgong
Example: Apparaat (config-device-tracking) # útgong |
Ferlaat apparaat-tracking belied konfiguraasje modus en werom nei globale konfiguraasje modus. |
| Stap 14 | vlan konfiguraasje vlan_id
Example: Apparaat (konfiguraasje) # vlan-konfiguraasje 100 |
Spesifisearret it VLAN dêr't it apparaat tracking belied wurdt taheakke, en giet de VLAN konfiguraasje modus. |
| Stap 15 | apparaat-tracking attach-belied belied-namme
Example: Apparaat (config-vlan-config) # apparaat-tracking attach-belied belied1 |
Hechtet in apparaat tracking belied oan de oantsjutte VLAN. |
| Stap 16 | ein
Example: Apparaat (config-vlan-config) # ein |
Ferlaat VLAN-konfiguraasjemodus en giet werom nei befoarrjochte EXEC-modus. |
| Stap 17 | toan cts rol-basearre sgt-map {ipv4_netaddr
| ipv4_netaddr/prefix | ipv6_netaddr | ipv6_netaddr/prefix |alle [ipv4 |ipv6] |gasthear {ipv4 adr |ipv6_addr } |gearfetting [ ipv4 |ipv6 ] |
(Opsjoneel) Toant de VLAN-nei-SGT-mappings. |
| Example:
Apparaat# toan cts rol-basearre sgt-map alles |
||
| Stap 18 | toan apparaat-tracking belied belied-namme
Example: Apparaat# belied foar apparaat-tracking sjen litte 1 |
(Opsjoneel) Toant de hjoeddeistige beliedsattributen. |
Emulearjen fan de Hardware Keystore
Yn gefallen dêr't in hardware keystore net oanwêzich is of is net te brûken, kinne jo de skeakel ynstelle om in software-emulaasje fan 'e keystore te brûken. Om it gebrûk fan in software keystore te konfigurearjen, fier dizze taak út:
Proseduere
| Befel or Aksje | Doel | |
| Stap 1 | ynskeakelje
Example: Apparaat# ynskeakelje |
Aktivearret befoarrjochte EXEC-modus.
• Fier jo wachtwurd yn as frege. |
| Stap 2 | konfigurearje terminal
Example: Apparaat# konfigurearje terminal |
Giet globale konfiguraasje modus. |
| Stap 3 | cts keystore emulearje
Example: Apparaat (konfiguraasje) # cts keystore emulearje |
Konfigurearret de skeakel om in software-emulaasje fan 'e keystore te brûken ynstee fan de hardware keystore. |
| Stap 4 | útgong
Example: Apparaat (konfiguraasje) # útgong |
Ferlaat konfiguraasje modus. |
| Stap 5 | keystore sjen litte
Example: Apparaat# keystore sjen litte |
Toant de status en ynhâld fan 'e keystore. De opsleine geheimen wurde net werjûn. |
It ynstellen fan Standertrûte SGT
Foardat jo begjinne
Soargje derfoar dat jo al in standertrûte makke hawwe op it apparaat mei it kommando ip route 0.0.0.0. Oars, de standert rûte (dy't komt mei de Standert Route SGT) krijt in ûnbekende bestimming en dêrom sil de lêste resort bestimming wize op CPU.
Proseduere
| Befel or Aksje | Doel | |
| Stap 1 | ynskeakelje
Example: Apparaat> ynskeakelje |
Aktivearret befoarrjochte EXEC-modus.
• Fier jo wachtwurd yn as frege. |
| Stap 2 | konfigurearje terminal
Example: Apparaat # konfigurearje terminal |
Giet globale konfiguraasje modus. |
| Stap 3 | cts rol-basearre sgt-map 0.0.0.0/0 sgt nûmer
Example: Device(config)# cts rol-basearre sgt-map 0.0.0.0/0 sgt 3 |
Spesifisearret it SGT-nûmer foar de standertrûte. Jildige wearden binne fan 0 oant 65,519.
Noat • De host_adres/subnet kin IPv4-adres (0.0.0.0/0) of IPv6-adres (0:0::/0) wêze. • De standert rûte konfiguraasje wurdt akseptearre allinnich mei it subnet /0. It ynfieren fan allinich de host-ip sûnder it subnet / 0 lit it folgjende berjocht sjen: Apparaat (konfiguraasje) #cts rol-basearre sgt-map 0.0.0.0 sgt 1000 Standert rûte konfiguraasje wurdt net stipe foar host ip |
| Stap 4 | útgong
Example: Apparaat (konfiguraasje) # ôfslute |
Ferlaat globale konfiguraasje modus. |
Ferifiearje SGT Mapping
De folgjende seksjes litte sjen hoe't jo SGT-mapping kinne ferifiearje:
Ferifiearje Subnet-to-SGT Mapping konfiguraasje
Om konfiguraasjeynformaasje fan Subnet-to-SGT Mapping wer te jaan, brûk ien fan 'e folgjende showkommando's:
| Befel | Doel |
| lit cts sxp-ferbiningen sjen | Toant de SXP-sprekker- en harkerferbiningen mei har operasjonele status. |
| toan cts sxp sgt-map | Toant de IP nei SGT-bindingen eksportearre nei de SXP-harkers. |
| show running-config | Ferifiearret dat de kommando's foar subnet-nei-SGT-konfiguraasjes binne yn 'e rinnende konfiguraasje file. |
Ferifiearje VLAN-to-SGT Mapping
Om VLAN-to-SGT-konfiguraasjeynformaasje te werjaan, brûk de folgjende showkommando's:
Tabel 1:
| Befel | Doel |
| toan apparaat-tracking belied | Toant de hjoeddeistige beliedsattributen fan it apparaat trackingbelied. |
| toan cts rol-basearre sgt-map | Toant IP-adres-nei-SGT-bindingen. |
Ferifiearje Standert Route SGT konfiguraasje
Ferifiearje de standert rûte SGT-konfiguraasje:
apparaat # toan rol-basearre sgt-map alle aktive IPv4-SGT Bindings ynformaasje
Konfiguraasje Examples foar SGT Mapping
De folgjende seksjes litte konfiguraasje sjen bglamples fan SGT mapping:
Example: It ynstellen fan in apparaat SGT hânmjittich
- Apparaat # konfigurearje terminal
- Apparaat (konfiguraasje) # cts sgt 1234
- Apparaat (konfiguraasje) # ôfslute
Example: Konfiguraasje foar Subnet-to-SGT Mapping
De folgjende eksample lit sjen hoe't jo IPv4 Subnet-to-SGT Mapping konfigurearje tusken apparaten mei SXPv3 (Device1 and Device2):
- Konfigurearje SXP sprekker / harker peering tusken apparaten.
- Device1# terminal konfigurearje
- Device1 (config) # cts sxp ynskeakelje
- Device1(config)# cts sxp standert boarne-ip 1.1.1.1
- Device1 (config) # cts sxp standert wachtwurd 1syzygy1
- Device1 (config) # cts sxp ferbining peer 2.2.2.2 wachtwurd standert modus lokale sprekker
- Konfigurearje Device2 as SXP-harker fan Device1.
- Device2 (config) # cts sxp ynskeakelje
- Device2(config)# cts sxp standert boarne-ip 2.2.2.2
- Device2 (config) # cts sxp standert wachtwurd 1syzygy1
- Device2 (config) # cts sxp ferbining peer 1.1.1.1 wachtwurd standert modus lokale harker
- Kontrolearje op Device2 dat de SXP-ferbining wurket:
Device2# show cts sxp ferbinings koart | befetsje 1.1.1.1 1.1.1.1 2.2.2.2 Op 3:22:23:18 (dd:hr:mm:sek) - Konfigurearje de subnetwurken om útwreide te wurden op Device1.
- Device1(config)# cts sxp mapping netwurk-map 10000
- Device1(config)# cts rol-basearre sgt-map 10.10.10.0/30 sgt 101
- Device1(config)# cts rol-basearre sgt-map 11.11.11.0/29 sgt 11111
- Device1(config)# cts rol-basearre sgt-map 192.168.1.0/28 sgt 65000
- Ferifiearje op Device2 de subnet-nei-SGT-útwreiding fan Device1. D'r moatte twa útwreidingen wêze foar it subnetwurk 10.10.10.0/30, seis útwreidingen foar it subnetwurk 11.11.11.0/29, en 14 útwreidingen foar it subnetwurk 192.168.1.0/28.
Device2# show cts sxp sgt-map brief | befetsje 101|11111|65000- IPv4, SGT: <10.10.10.1 , 101>
- IPv4, SGT: <10.10.10.2 , 101>
- IPv4, SGT: <11.11.11.1 , 11111>
- IPv4, SGT: <11.11.11.2 , 11111>
- IPv4, SGT: <11.11.11.3 , 11111>
- IPv4, SGT: <11.11.11.4 , 11111>
- IPv4, SGT: <11.11.11.5 , 11111>
- IPv4, SGT: <11.11.11.6 , 11111>
- IPv4, SGT: <192.168.1.1 , 65000>
- IPv4, SGT: <192.168.1.2 , 65000>
- IPv4, SGT: <192.168.1.3 , 65000>
- IPv4, SGT: <192.168.1.4 , 65000>
- IPv4, SGT: <192.168.1.5 , 65000>
- IPv4, SGT: <192.168.1.6 , 65000>
- IPv4, SGT: <192.168.1.7 , 65000>
- IPv4, SGT: <192.168.1.8 , 65000>
- IPv4, SGT: <192.168.1.9 , 65000>
- IPv4, SGT: <192.168.1.10 , 65000>
- IPv4, SGT: <192.168.1.11 , 65000>
- IPv4, SGT: <192.168.1.12 , 65000>
- IPv4, SGT: <192.168.1.13 , 65000>
- IPv4, SGT: <192.168.1.14 , 65000>
- Ferifiearje it oantal útwreidingen op Apparaat 1:
Apparaat1# toan cts sxp sgt-map- IP-SGT Mappings útwreide: 22
- D'r binne gjin IP-SGT-mappings
- Bewarje de konfiguraasjes op Device1 en Device2 en gean út de globale konfiguraasjemodus.
Device1(config)# copy running-config startup-config
Device1 (config) # ôfslute
Device2(config)# copy running-config startup-config
Device2 (config) # ôfslute
Example:
Konfiguraasje foar VLAN-nei-SGT-mapping foar in inkele host oer in tagongsferbining.
Yn it folgjende example, in inkele host oanslút op VLAN 100 op in tagong apparaat. In skeakele firtuele ynterface op it TrustSec-apparaat is de standertpoarte foar it VLAN 100-einpunt (IP-adres 10.1.1.1). It TrustSec-apparaat stelt Security Group op Tag (SGT) 10 op pakketten fan VLAN 100.
- Meitsje VLAN 100 op in tagong apparaat.
- access_device# terminal konfigurearje
- access_device (config) # vlan 100
- access_device (config-vlan) # gjin shutdown
- access_device (config-vlan) # ôfslute
- access_device(config)#
- Konfigurearje de ynterface nei it TrustSec-apparaat as tagongskeppeling. Konfiguraasjes foar it einpunt
- tagong haven wurde weilitten yn dizze example.
- access_device (config) # ynterface gigabitEthernet 6/3
- access_device (config-if) # switchport
- access_device (config-if) # tagong ta switchportmodus
- access_device (config-if) # switchport tagong vlan 100
- Meitsje VLAN 100 op it TrustSec-apparaat.
- TS_device(config)# vlan 100
- TS_device (config-vlan) # gjin shutdown
- TS_device(config-vlan) # ein
- TS_apparaat#
- Meitsje in SVI as de poarte foar ynkommende VLAN 100.
- TS_device(config)# ynterface vlan 100
- TS_device(config-if) # IP-adres 10.1.1.2 255.0.0.0
- TS_device (config-if) # gjin shutdown
- TS_device(config-if) # ein
- TS_device(config)#
- Tawize Security Group Tag (SGT) 10 oan hosts op VLAN 100.
- TS_device(config)# cts rol-basearre sgt-map vlan 100 sgt 10
- IP Device Tracking ynskeakelje op it TrustSec-apparaat. Kontrolearje dat it wurket.
- TS_device(config) # ip apparaat tracking
- TS_device# lit ip-apparaat alles sjen litte
- (Opsjoneel) PING de standert gateway fan in einpunt (yn dizze bglample, host IP-adres 10.1.1.1). Ferifiearje dat SGT 10 wurdt yn kaart brocht oan VLAN 100 hosts.
Example: Emulearjen fan de Hardware Keystore
Dizze eksample lit sjen hoe't jo it gebrûk fan in software keystore konfigurearje en ferifiearje:
Example: Konfigurearje Device Route SGT
- Apparaat # konfigurearje terminal
- Device(config)# cts rol-basearre sgt-map 0.0.0.0/0 sgt 3
- Apparaat (konfiguraasje) # ôfslute
Feature Skiednis foar Security Group Tag Mapping
- Dizze tabel jout release en relatearre ynformaasje foar de funksjes útlein yn dizze module.
- Dizze funksjes binne beskikber yn alle releases nei dejinge wêryn se waarden yntrodusearre, útsein as oars oanjûn.
| Release | Eigenskip | Eigenskip Ynformaasje |
| Cisco IOS XE Everest 16.5.1a | Feiligensgroep Tag Mapping | Subnet to SGT mapping bynt in SGT oan alle host adressen fan in spesifisearre subnet. Sadree't dizze mapping is ymplemintearre, Cisco TrustSec oplein de SGT op alle ynkommende pakket dat hat in boarne IP-adres dat heart by de oantsjutte subnet. |
| Cisco IOS XE Gibraltar 16.11.1 | Standert Route SGT Classification | Standert Route SGT jout in SGT tag nûmer oan dy rûtes dy't net oerienkomme mei in spesifisearre rûte. |
Brûk de Cisco Feature Navigator foar in fine ynformaasje oer platfoarm en software image stipe. Om tagong te krijen ta Cisco Feature Navigator, gean nei http://www.cisco.com/go/cfn.
Dokuminten / Resources
 |
CISCO Konfigurearje Security Group Tag Mapping [pdf] Brûkersgids Befeiligingsgroep konfigurearje Tag Mapping, konfiguraasje, feiligensgroep Tag Mapping, Groep Tag Mapping, Tag Mapping |
