Kontni kache
1 CISCO Konfigirasyon Gwoup Sekirite Tag Katografik
2 Enfòmasyon sou pwodwi
3 Enstriksyon Itilizasyon Pwodwi
4 Restriksyon pou SGT Mapping
5 Enfòmasyon sou kat SGT
5.1 Plis paseview
5.2 Priyorite Sous Obligatwa
6 Ki jan yo konfigirasyon kat SGT
6.1 Konfigirasyon kat subnet-a-SGT
6.2 Konfigirasyon kat VLAN-a-SGT
6.3 Emulation Keystore pyès ki nan konpitè
7 Verifye kat SGT
8 Konfigirasyon Egzamples pou SGT Mapping
9 Istwa Karakteristik pou Gwoup Sekirite Tag Katografik
10 Dokiman / Resous
10.1 Referans
11 Post ki gen rapò

CISCO-logo

CISCO Konfigirasyon Gwoup Sekirite Tag Katografik

CISCO-Konfigirasyon-Gwoup-Sekirite-Tag-Mapping-pwodwi

Enfòmasyon sou pwodwi

Pwodwi a pèmèt pou konfigirasyon gwoup sekirite tag (SGT) kat. Karakteristik sa a mare yon SGT a tout adrès lame nan yon subnet espesifye. Yon fwa ke kat sa a aplike, Cisco TrustSec enpoze SGT a sou nenpòt pake fèk ap rantre ki gen yon adrès IP sous ki fè pati subnet espesifye a.

Restriksyon pou SGT Mapping
Kòmandman sa a pa sipòte pou konfigirasyon IP lame: Device(config)#cts role-based sgt-map 0.0.0.0 sgt 1000

Plis paseview nan Subnet-a-SGT Katografik

  • Kat subnet-a-SGT mare yon SGT a tout adrès lame nan yon subnet espesifye. Cisco TrustSec enpoze SGT a sou yon pake fèk ap rantre lè adrès IP sous pake a fè pati subnet espesifye a. Sou-rezo a ak SGT yo espesifye nan CLI a akcts role-based sgt-map net_address/prefix sgt sgt_number lòd konfigirasyon mondyal la. Yon sèl lame kapab tou trase ak kòmandman sa a.
  • Nan rezo IPv4, Pwotokòl Echanj Sekirite (SXP) v3, ak vèsyon ki pi resan yo, ka resevwa ak analize subnet net_address/prefix fisèl soti nan kanmarad SXPv3. Vèsyon SXP anvan yo konvèti prefiks subrezo a nan seri lyezon lame li yo anvan yo ekspòte yo nan yon konpayon koute SXP.
  • Liaisons sous-rés sont statique, pa gen aprantisaj hôtes aktif. Yo ka itilize lokalman pou enpozisyon SGT ak ranfòsman SGACL. Pakè tagged by subnet-to-SGT kat ka pwopaje sou Kouch 2 oswa Kouch 3 lyen Cisco TrustSec.
  • Pou rezo IPv6, SXPv3 pa ka ekspòte lyezon sous-rezo nan SXPv2 oswa SXPv1 parèy yo.

Plis paseview nan kat VLAN-a-SGT

  • Karakteristik kat VLAN-a-SGT la mare yon SGT ak pake ki soti nan yon VLAN espesifye. Sa a senplifye migrasyon an soti nan eritaj nan rezo Cisco TrustSec-kapab.
  • Liaison VLAN-a-SGT configuré ak a cts role-based sgt-map vlan-list lòd konfigirasyon mondyal la.
  • Lè yo asiyen yon VLAN yon pòtay ki se yon koòdone vityèl switching (SVI) sou yon switch Cisco TrustSec-kapab, epi IP Device Tracking pèmèt sou switch sa a, Lè sa a, Cisco TrustSec ka kreye yon obligatwa IP-a-SGT pou nenpòt ki lame aktif. sou VLAN sa ki trase sou subnet SVI la.
  • Liaison IP-SGT pou hôtes VLAN aktif yo ekspòte pou koute SXP. Liaison yo pou chak VLAN ki trase yo mete nan tablo IP-a-SGT ki asosye ak VRF VLAN yo trase a swa pa SVI li oswa pa la. cts role-based l2-vrf kòmandman.
  • Liaison VLAN-a-SGT gen priyorite ki pi ba nan tout metòd obligatwa epi yo inyore lè yo resevwa atachman ki soti nan lòt sous, tankou nan konfigirasyon lame SXP oswa CLI. Priyorite Obligatwa yo ki nan lis nan seksyon Priyorite Sous Obligatwa.

Enstriksyon Itilizasyon Pwodwi

Konfigirasyon kat subnet-a-SGT

  1. Aksè koòdone CLI aparèy la.
  2. Antre nan mòd konfigirasyon lè l sèvi avèk config kòmandman.
  3. Egzekite lòd sa a pou konfigirasyon kat subnet-a-SGT:
cts role-based sgt-map net_address/prefix sgt sgt_number
  1. Ranplase net_address/prefix ak adrès sous-rezo a ak longè prefiks ou vle kat (egzanp, 192.168.1.0/24).
  2. Ranplase sgt_number ak gwoup sekirite vle a tag nimewo.
  3. Peze Antre pou aplike konfigirasyon an.
  4. Sòti mòd konfigirasyon an.

Konfigirasyon kat VLAN-a-SGT

    1. Aksè koòdone CLI aparèy la.
    2. Antre nan mòd konfigirasyon lè l sèvi avèk config kòmandman.
    3. Egzekite lòd sa a pou konfigirasyon kat VLAN-a-SGT:
cts role-based sgt-map vlan-list
  1. Espesifye VLAN yo dwe trase nan SGT yo.
  2. Peze Antre pou aplike konfigirasyon an.
  3. Sòti mòd konfigirasyon an.

Espesifikasyon

  • Rezo sipòte: IPv4, IPv6
  • Pwotokòl Sipòte: Pwotokòl Echanj Sekirite (SXP) v3
  • Metòd obligatwa ki sipòte: kat subnet-a-SGT, kat VLAN-a-SGT

Kesyon yo poze souvan (FAQ)

  • K: Èske yo ka ekspòte lyen sou-rezo nan SXPv2 oswa SXPv1 kanmarad nan rezo IPv6?
    A: Non, yo ka ekspòte lyen sou-rezo sèlman nan kamarad SXPv3 nan rezo IPv6.
  • K: Ki priyorite VLAN-a-SGT Liaisons?
    A: Liaison VLAN-a-SGT gen priyorite ki pi ba pami tout metòd obligatwa epi yo inyore lè yo resevwa atachman ki soti nan lòt sous.

Sou-rezo nan gwoup sekirite tag kat (SGT) mare yon SGT a tout adrès lame nan yon subnet espesifye. Yon fwa ke kat sa a aplike, Cisco TrustSec enpoze SGT a sou nenpòt pake fèk ap rantre ki gen yon adrès IP sous ki fè pati subnet espesifye a.

Restriksyon pou SGT Mapping

Restriksyon pou kat Subnet-to-SGT

  • Yon sous-rezo IPv4 ak yon prefiks /31 pa ka elaji.
  • Adrès lame sou-rezo pa ka mare nan Gwoup Sekirite Tags (SGT) yo lè paramèt rezo-kat jeyografik la se mwens pase kantite total lame subnet nan subnet yo espesifye, oswa lè koneksyon yo se 0.
  • Agrandisman IPv6 ak pwopagasyon fèt sèlman lè oratè ak moun k ap koute Pwotokòl Echanj Sekirite (SXP) yo ap kouri SXPv3 oswa vèsyon ki pi resan yo.

Restriksyon pou Kat Default Route SGT

  • Yo aksepte konfigirasyon wout default sèlman ak sous-rezo /0. Si w antre sèlman host-ip la san yo pa subnet /0 a montre mesaj sa a:CISCO-Konfigirasyon-Gwoup-Sekirite-Tag-Mapping-fig- (1)

Enfòmasyon sou kat SGT

Seksyon sa a bay enfòmasyon sou kat SGT.

Plis paseview

Plis paseview nan Subnet-a-SGT Katografik
Kat subnet-a-SGT mare yon SGT a tout adrès lame nan yon subnet espesifye. Cisco TrustSec enpoze SGT a sou yon pake fèk ap rantre lè adrès IP sous pake a fè pati subnet espesifye a. Sourezo a ak SGT yo espesifye nan CLI a ak cts wòl ki baze sou sgt-map net_address/prefix sgt sgt_number global configuration command. Yon sèl lame kapab tou trase ak kòmandman sa a. Nan rezo IPv4, Pwotokòl Echanj Sekirite (SXP) v3, ak vèsyon ki pi resan yo, ka resevwa ak analize subnet net_address/prefix fisèl soti nan kanmarad SXPv3. Vèsyon SXP anvan yo konvèti prefiks subrezo a nan seri lyezon lame li yo anvan yo ekspòte yo nan yon konpayon koute SXP.

Pou egzanpample, subnet IPv4 192.0.2.0/24 a elaji jan sa a (sèlman 3 Bits pou adrès lame):

  • Lame adrès 198.0.2.1 rive 198.0.2.7—tagged ak pwopaje nan kanmarad SXP.
  • Rezo ak adrès emisyon 198.0.2.0 ak 198.0.2.8—pa tagged epi yo pa pwopaje.

Pou limite kantite lyezon subnet SXPv3 ka ekspòte, sèvi ak kòmandman konfigirasyon mondyal cts sxp mapping rezo-map. Liaisons sous-rés sont statique, pa gen aprantisaj hôtes aktif. Yo ka itilize lokalman pou enpozisyon SGT ak ranfòsman SGACL. Pake tagged by subnet-to-SGT kat ka pwopaje sou Kouch 2 oswa Kouch 3 lyen Cisco TrustSec. Pou rezo IPv6, SXPv3 pa ka ekspòte lyezon sous-rezo nan SXPv2 oswa SXPv1 parèy yo.

Plis paseview nan kat VLAN-a-SGT
Karakteristik kat VLAN-a-SGT la mare yon SGT ak pake ki soti nan yon VLAN espesifye. Sa a senplifye migrasyon an soti nan eritaj nan rezo Cisco TrustSec-kapab jan sa a:

  • Sipòte aparèy ki pa Cisco TrustSec-kapab men ki VLAN-kapab, tankou, switch eritaj, contrôleur san fil, pwen aksè, VPN, elatriye.
  • Bay konpatibilite bak pou topoloji kote VLAN ak VLAN ACL segman rezo a, tankou, segmantasyon sèvè nan sant done yo.
  • Liaison VLAN-a-SGT configuré ak cts wòl ki baze sou sgt-map vlan-list konfigirasyon mondyal lòd.
  • Lè yo asiyen yon VLAN yon pòtay ki se yon koòdone vityèl switching (SVI) sou yon switch Cisco TrustSec-kapab, epi IP Device Tracking pèmèt sou switch sa a, Lè sa a, Cisco TrustSec ka kreye yon obligatwa IP-a-SGT pou nenpòt ki lame aktif. sou VLAN sa ki trase sou subnet SVI la.
  • Liaison IP-SGT pou hôtes VLAN aktif yo ekspòte pou koute SXP. Liaisons pou chak VLAN mapées sont rantre nan tab IP-a-SGT ki asosye ak VRF VLAN ki trase pou swa pa SVI li ou pa kòmand cts l2-vrf ki baze sou wòl.
  • Liaison VLAN-a-SGT gen priyorite ki pi ba nan tout metòd obligatwa epi yo inyore lè yo resevwa atachman ki soti nan lòt sous, tankou nan konfigirasyon lame SXP oswa CLI. Priyorite Obligatwa yo ki nan lis nan seksyon Priyorite Sous Obligatwa.
Priyorite Sous Obligatwa

Cisco TrustSec rezoud konfli nan mitan sous obligatwa IP-SGT ak yon konplo priyorite strik. Pou egzanpample, yon SGT ka aplike nan yon koòdone ak politik la {dinamik idantite non kanmarad | sèjan estatik tag} Cisco Trustsec Manyèl koòdone mòd kòmand (Identity Port Mapping). Lòd ranfòsman priyorite aktyèl la, soti nan pi ba (1) rive nan pi wo (7), se jan sa a:

  1. VLAN: Liaisons te aprann nan snooped ARP pakè sou yon VLAN ki gen VLAN-SGT kat configuré.
  2. CLI: Liaisons adrès configuré itilize IP-SGT fòm cts wòl ki baze sou sgt-map konfigirasyon mondyal kòmand.
  3. SXP: Liaisons te aprann nan men SXP kanmarad.
  4. IP_ARP: Liaisons te aprann lè tagpakè ged ARP yo resevwa sou yon lyen ki kapab CTS.
  5. LOCAL: Liaison de hôtes otantifye ki te aprann atravè EPM ak aparèy swiv. Kalite obligatwa sa a gen ladan tou hôtes endividyèl ke yo aprann atravè ARP snooping sou pò L2 [I] PM-konfiguré.
  6. ENTÈN: Liaison ant adrès IP konfigirasyon lokalman ak pwòp SGT aparèy la.

Remak
Si adrès IP sous la matche ak plizyè prefiks sous-rezo ak diferan SGT asiyen, Lè sa a, pi long prefiks SGT la pran priyorite sof si priyorite diferan.

Default Route SGT

  • Gwoup Sekirite Route Default Tag (SGT) bay yon nimewo SGT nan wout default yo.
  • Wout Default se wout sa a ki pa matche ak yon wout espesifye e se poutèt sa se wout la nan destinasyon an dènye rekou. Wout default yo itilize pou dirije pake ki adrese rezo ki pa endike klèman nan tablo routage.

Ki jan yo konfigirasyon kat SGT

Seksyon sa a dekri kijan pou konfigirasyon kat SGT.

Konfigirasyon yon aparèy SGT manyèlman
Nan operasyon nòmal Cisco TrustSec, sèvè otantifikasyon an bay yon SGT nan aparèy la pou pake ki soti nan aparèy la. Ou ka manyèlman konfigirasyon yon SGT yo dwe itilize si sèvè otantifikasyon an pa aksesib, men yon SGT sèvè otantifikasyon plase ap pran priyorite sou yon SGT manyèlman plase.

Pou konfigirasyon manyèlman yon SGT sou aparèy la, fè travay sa a:

Pwosedi

  Kòmandman or Aksyon Objektif
Etap 1 pèmèt Pèmèt mòd EXEC privilejye.
  Example:

Aparèy # pèmèt

 • Antre modpas ou si yo mande w.
Etap 2 konfigirasyon tèminal

Example:

Aparèy # konfigirasyon tèminal

 Antre nan mòd konfigirasyon mondyal la.
Etap 3 cts sèjan tag

Example:

Aparèy (konfigirasyon) # cts sgt 1234

 Pèmèt SXP pou Cisco TrustSec.
Etap 4 sòti

Example:

Aparèy (konfigirasyon) # sòti

 Sòti mòd konfigirasyon mondyal epi retounen nan mòd EXEC privilejye
Konfigirasyon kat subnet-a-SGT

Pwosedi

  Kòmandman or Aksyon Objektif
Etap 1 pèmèt

Example:

Aparèy # pèmèt

 Pèmèt mòd EXEC privilejye.

• Antre modpas ou si yo mande w.
Etap 2 konfigirasyon tèminal

Example:

Aparèy # konfigirasyon tèminal

 Antre nan mòd konfigirasyon mondyal la.
Etap 3 cts sxp kat jeyografik rezo-kat Liaisons

Example:

Aparèy (konfigirasyon) # cts sxp kat jeyografik rezo-map 10000

 •  Konfigure kontrent kont lame sou Subnet a SGT Mapping. Agiman binding yo espesifye kantite maksimòm lame IP subnet ki ka mare nan SGT yo epi ekspòte nan koute SXP la.

•  Liaisons—(0 a 65,535) default se 0 (pa gen okenn ekspansyon fèt)
Etap 4 cts sgt-kat ki baze sou wòl adrès_ipv4/prefiks

sèjan nimewo

Example:

Aparèy (konfigirasyon) # cts sgt-map ki baze sou wòl 10.10.10.10/29 sgt 1234

 (IPv4) Espesifye yon subnet nan notasyon CIDR.

•  Sèvi ak fòm no kòmand la pou dekonfigirasyon kat Subnet a SGT. Kantite lyezon ki espesifye nan Etap 2 ta dwe matche oswa depase kantite adrès lame ki nan subrezo a (eksepte adrès rezo ak emisyon). Mo kle nimewo sgt la presize Sekirite a
    Gwoup Tag yo dwe mare nan chak lame

adrès nan subnet espesifye a.

•  ipv4_address — Espesifye adrès rezo IPv4 la nan notasyon desimal ki gen pwenti.

•  prefiks—(0 a 30) Espesifye kantite bit nan adrès rezo a.

•  sèjan nimewo—(0–65,535) Espesifye Gwoup Sekirite a Tag (SGT) nimewo.
Etap 5 cts sgt-kat ki baze sou wòl adrès_ipv6::prefiks

sèjan nimewo

Example:

Aparèy (konfigirasyon) # cts sgt-map ki baze sou wòl 2020::/64 sgt 1234

 (IPv6) Espesifye yon sous-rezo nan notasyon ekzadesimal kolon. Sèvi ak non fòm kòmandman an pou dekonfigure Subnet a kat SGT.

Kantite lyezon ki espesifye nan Etap 2 ta dwe matche oswa depase kantite adrès lame ki nan subrezo a (eksepte adrès rezo ak emisyon). Mo kle nimewo sgt la presize Gwoup Sekirite a Tag yo dwe mare nan chak adrès lame nan subnet espesifye a.

•  ipv6_address — Espesifye adrès rezo IPv6 nan notasyon ekzadesimal kolon.

•  prefiks—(0 a 128) Espesifye kantite bit nan adrès rezo a.

•  sèjan nimewo—(0–65,535) Espesifye Gwoup Sekirite a Tag (SGT) nimewo.
Etap 6 sòti

Example:

Aparèy (konfigirasyon) # sòti

 Sòti mòd konfigirasyon mondyal epi retounen nan mòd EXEC privilejye.
Konfigirasyon kat VLAN-a-SGT

Koule travay pou konfigirasyon kat VLAN-SGT sou yon aparèy Cisco TrustSec.

  • Kreye yon VLAN sou aparèy la ak menm VLAN_ID VLAN kap vini an.
  • Kreye yon SVI pou VLAN sou aparèy la kòm pòtay default pou kliyan pwen final yo.
  • Konfigure aparèy la pou aplike yon SGT nan trafik VLAN la.
  • Pèmèt swiv aparèy IP sou aparèy la.
  • Tache yon règleman pou swiv aparèy nan yon VLAN.

Remak
Nan yon rezo milti-switch, swiv aparèy ki baze sou SISF bay kapasite pou distribye antre tab obligatwa ant switch ki kouri fonksyon an. Sa a sipoze ke antre obligatwa yo kreye sou switch yo kote lame a parèt sou yon pò aksè, epi pa gen okenn antre kreye pou yon lame ki parèt sou yon pò kòf. Pou reyalize sa nan yon konfigirasyon milti-switch, nou rekòmande pou w konfigirasyon yon lòt politik epi tache li nan pò kòf la, jan sa dekri nan Konfigirasyon yon rezo milti-switch pou sispann kreye antre obligatwa apati yon pò trunk pwosedi a, nan Konfigirasyon SISF. -Baze chapit Suivi Aparèy nan Gid Konfigirasyon Sekirite a.

  • Verifye ke kat VLAN-a-SGT rive sou aparèy la.

Pwosedi

  Kòmandman or Aksyon Objektif
Etap 1 pèmèt

Example:

Aparèy # pèmèt

 Pèmèt mòd EXEC privilejye.

• Antre modpas ou si yo mande w.
Etap 2 konfigirasyon tèminal

Example:

Aparèy # konfigirasyon tèminal

 Antre nan mòd konfigirasyon mondyal la.
Etap 3 vlan vlan_id

Example:

Aparèy (konfigirasyon) # vlan 100

 Kreye VLAN 100 sou aparèy pòtay TrustSec-kapab epi antre nan VLAN

mòd konfigirasyon.
Etap 4 [non] fèmen

Example:

Aparèy (config-vlan) # pa gen fèmen

 Dispozisyon VLAN 100.
Etap 5 sòti

Example:

Aparèy (config-vlan) # sòti

 Sòti mòd konfigirasyon VLAN epi retounen nan mòd konfigirasyon global.
Etap 6 koòdone kalite plas/pò

Example:

Aparèy (konfigirasyon) # koòdone vlan 100

 Espesifye kalite koòdone ak antre nan mòd konfigirasyon koòdone.
Etap 7 adrès ip plas/pò

Example:

Aparèy (konfigirasyon-si) # adrès ip 10.1.1.2 255.0.0.0

 Konfigure Switched Virtual Interface (SVI) pou VLAN 100.
Etap 8 [non ] fèmen

Example:

Aparèy (konfigirasyon-si) # pa gen fèmen

 Pèmèt SVI la.
Etap 9 sòti

Example:

Aparèy (konfigirasyon-si) # sòti

 Sòti mòd konfigirasyon koòdone epi retounen nan mòd konfigirasyon mondyal la.
Etap 10 cts wòl ki baze sou sgt-map vlan-list vlan_id sèjan

nimewo_sgt

Example:

Aparèy (konfigirasyon) # cts wòl ki baze sou sgt-map vlan-list 100 sgt 10

 Bay SGT espesifye nan VLAN espesifye a.
Etap 11 règleman aparèy-swiv politik-non

Example:

Aparèy (konfigirasyon) # politik pou swiv aparèy 1

 Espesifye politik la epi antre nan mòd konfigirasyon politik swiv aparèy.
Etap 12 swiv pèmèt

Example:

Aparèy (konfigirasyon-aparèy-swiv) # swiv pèmèt

 Ranplase paramèt swiv aparèy defo pou atribi politik la.
Etap 13 sòti

Example:

Aparèy (konfigirasyon-aparèy-swiv) # sòti

 Soti nan mòd konfigirasyon politik pou swiv aparèy epi li retounen nan mòd konfigirasyon mondyal la.
Etap 14 konfigirasyon vlan vlan_id

Example:

Aparèy (konfigirasyon) # vlan konfigirasyon 100

 Espesifye VLAN a ki pral tache règleman an swiv aparèy, epi antre nan mòd nan konfigirasyon VLAN.
Etap 15 aparèy-swiv atache-politik politik-non

Example:

Aparèy (config-vlan-config) #

aparèy-swiv atache-politik politik1

 Tache yon règleman pou swiv aparèy nan VLAN espesifye a.
Etap 16 fini

Example:

Aparèy (config-vlan-config) # fini

 Sòti mòd konfigirasyon VLAN epi retounen nan mòd EXEC privilejye.
Etap 17 montre cts sgt-kat ki baze sou wòl {ipv4_netaddr

| ipv4_netaddr/prefix | ipv6_netaddr | ipv6_netaddr/prefiks |tout [ipv4 |ipv6] |lame { ipv4 adr |ipv6_addr } |rezime [ ipv4

|ipv6 ]

 (Si ou vle) Montre kat VLAN-a-SGT yo.
  Example:

Aparèy # montre cts wòl ki baze sou sgt-map tout

  
Etap 18 montre règleman aparèy-swiv politik-non

Example:

Aparèy # montre politik politik pou swiv aparèy1

 (Si ou vle) Montre atribi politik aktyèl yo.
Emulation Keystore pyès ki nan konpitè

Nan ka kote yon magazen kenkayri pa prezan oswa ki pa ka itilize, ou ka configured switch la pou itilize yon imitasyon lojisyèl nan magazen an. Pou konfigirasyon itilizasyon yon keystore lojisyèl, fè travay sa a:

Pwosedi

  Kòmandman or Aksyon Objektif
Etap 1 pèmèt

Example:

Aparèy # pèmèt

 Pèmèt mòd EXEC privilejye.

• Antre modpas ou si yo mande w.
Etap 2 konfigirasyon tèminal

Example:

Aparèy # konfigirasyon tèminal

 Antre nan mòd konfigirasyon mondyal la.
Etap 3 cts keystore imite

Example:

Aparèy (konfigirasyon) # cts keystore imite

 Konfigure switch la pou sèvi ak yon emulation lojisyèl nan keystore a olye pou yo keystore pyès ki nan konpitè.
Etap 4 sòti

Example:

Aparèy (konfigirasyon) # sòti

 Sòti mòd konfigirasyon.
Etap 5 montre keystore

Example:

Aparèy # montre keystore

 Montre estati a ak sa ki nan keystore la. Sekrè ki estoke yo pa parèt.

Konfigirasyon Default Route SGT

Anvan ou kòmanse
Asire w ke ou te deja kreye yon wout default sou aparèy la lè l sèvi avèk IP route 0.0.0.0 kòmand. Sinon, wout default la (ki vini ak Default Route SGT la) vin yon destinasyon enkoni ak Se poutèt sa destinasyon an dènye rekou pral lonje dwèt sou CPU.

Pwosedi

  Kòmandman or Aksyon Objektif
Etap 1 pèmèt

Example:

Aparèy> pèmèt

 Pèmèt mòd EXEC privilejye.

• Antre modpas ou si yo mande w.
Etap 2 konfigirasyon tèminal

Example:

Aparèy # konfigirasyon tèminal

 Antre nan mòd konfigirasyon mondyal la.
Etap 3 cts wòl ki baze sou sgt-map 0.0.0.0/0 sgt nimewo

Example:

Aparèy (config) # cts ki baze sou wòl sgt-map 0.0.0.0/0 sgt 3

 Espesifye nimewo SGT pou wout default la. Valè valab yo soti nan 0 a 65,519.

Remak                    • La adrès_lame/sous-rezo ka swa adrès IPv4 (0.0.0.0/0) oswa adrès IPv6 (0:0::/0)

•  Wout default la

konfigirasyon yo aksepte sèlman ak subnet la /0. Si w antre sèlman host-ip la san yo pa subnet /0 a montre mesaj sa a:

Aparèy (konfigirasyon) #cts sgt-kat ki baze sou wòl

0.0.0.0 sgt 1000 Konfigirasyon wout default pa sipòte pou ip lame
Etap 4 sòti

Example:

Aparèy (konfigirasyon) # sòti

 Sòti mòd konfigirasyon mondyal la.

Verifye kat SGT

Seksyon sa yo montre kijan pou verifye kat SGT:

Verifye konfigirasyon kat subnet-a-SGT
Pou montre enfòmasyon sou konfigirasyon Subnet-to-SGT Mapping, sèvi ak youn nan kòmandman montre sa yo:

Kòmandman Objektif
montre koneksyon cts sxp Montre koneksyon oratè SXP ak moun k ap koute ak estati operasyonèl yo.
montre cts sxp sgt-map Montre IP a SGT obligatwa ekspòte nan oditè SXP yo.
montre running-config Verifye ke kòmandman konfigirasyon subnet-a-SGT yo nan konfigirasyon an kouri file.

Verifye kat VLAN-a-SGT

Pou montre enfòmasyon konfigirasyon VLAN-a-SGT, sèvi ak kòmandman montre sa yo:

Tablo 1:

Kòmandman Objektif
montre règleman aparèy-swiv Montre atribi politik aktyèl yo nan politik swiv aparèy la.
montre cts sgt-kat ki baze sou wòl Montre IP adrès-a-SGT obligatwa.

Verifikasyon Default Route SGT Configuration

Verifye konfigirasyon Default Route SGT la:
aparèy # montre sgt-map ki baze sou wòl tout enfòmasyon aktif IPv4-SGT Bindings

CISCO-Konfigirasyon-Gwoup-Sekirite-Tag-Mapping-fig- (2)

Konfigirasyon Egzamples pou SGT Mapping

Seksyon sa yo montre konfigirasyon egzanpampti nan kat SGT:

Example: Konfigirasyon yon aparèy SGT manyèlman

  • Aparèy # konfigirasyon tèminal
  • Aparèy (konfigirasyon) # cts sgt 1234
  • Aparèy (konfigirasyon) # sòti

Example: Konfigirasyon pou kat Subnet-to-SGT
Egzanp sa aampli montre ki jan yo konfigirasyon IPv4 Subnet-a-SGT kat ant aparèy ki kouri SXPv3 (Aparèy1 ak Aparèy2):

  1. Konfigure SXP oratè/koutè peering ant aparèy yo.
    • Aparèy1 # konfigirasyon tèminal
    • Aparèy1 (config) # cts sxp pèmèt
    • Aparèy1 (config) # cts sxp default sous-ip 1.1.1.1
    • Aparèy1 (config) # cts sxp modpas default 1syzygy1
    • Aparèy1 (config) # cts sxp koneksyon kanmarad 2.2.2.2 modpas default mòd lokal oratè
  2. Konfigure Aparèy2 kòm koute SXP nan Aparèy1.
    • Aparèy2 (config) # cts sxp pèmèt
    • Aparèy2 (config) # cts sxp default sous-ip 2.2.2.2
    • Aparèy2 (config) # cts sxp modpas default 1syzygy1
    • Aparèy2 (config) # cts sxp koneksyon kanmarad 1.1.1.1 modpas default mòd lokal koute
  3. Sou Device2, verifye si koneksyon SXP a ap fonksyone:
    Aparèy2 # montre cts sxp koneksyon brèf | enkli 1.1.1.1 1.1.1.1 2.2.2.2 Sou 3:22:23:18 (jj:hr:mm:sec)
  4. Konfigure sou-rezo yo dwe elaji sou Aparèy1.
    • Aparèy1 (config) # cts sxp kat jeyografik rezo-map 10000
    • Aparèy1 (config) # cts sgt-map ki baze sou wòl 10.10.10.0/30 sgt 101
    • Aparèy1 (config) # cts sgt-map ki baze sou wòl 11.11.11.0/29 sgt 11111
    • Aparèy1 (config) # cts sgt-map ki baze sou wòl 192.168.1.0/28 sgt 65000
  5. Sou Device2, verifye ekspansyon subnet-a-SGT soti nan Device1. Ta dwe gen de ekspansyon pou sou-rezo 10.10.10.0/30, sis agrandisman pou sou-rezo 11.11.11.0/29, ak 14 agrandisman pou sou-rezo 192.168.1.0/28.
    Aparèy2# montre cts sxp sgt-map brèf | enkli 101|11111|65000
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
  6. Verifye konte ekspansyon sou Aparèy 1:
    Aparèy1 # montre cts sxp sgt-map
    • IP-SGT Mappings elaji:22
    • Pa gen kat IP-SGT
  7. Sove konfigirasyon yo sou Device1 ak Device2 epi sòti nan mòd konfigirasyon mondyal la.
    Aparèy1 (config) # kopi kouri-konfig démarrage-config
    Aparèy1(config)# sòti
    Aparèy2 (config) # kopi kouri-konfig démarrage-config
    Aparèy2(config)# sòti

Example:
Konfigirasyon pou kat VLAN-a-SGT pou yon sèl lame sou yon lyen aksè.

Nan egzanp sa aample, yon sèl lame konekte ak VLAN 100 sou yon aparèy aksè. Yon koòdone vityèl chanje sou aparèy TrustSec la se pòtay default pou pwen final VLAN 100 la (Adrès IP 10.1.1.1). Aparèy TrustSec la enpoze Gwoup Sekirite Tag (SGT) 10 sou pake ki soti nan VLAN 100.

  1. Kreye VLAN 100 sou yon aparèy aksè.
    • access_device# konfigirasyon tèminal
    • access_device (config) # vlan 100
    • access_device(config-vlan)# pa gen fèmen
    • access_device(config-vlan)# sòti
    • access_device (konfigirasyon) #
  2. Konfigure koòdone nan aparèy TrustSec la kòm yon lyen aksè. Konfigirasyon pou pwen final la
    1. pò aksè yo omisyon nan ansyen sa aample.
    2. access_device(config)# koòdone gigabitEthernet 6/3
    3. access_device(config-if)# switchport
    4. access_device(config-if)# switchport mòd aksè
    5. access_device(config-if)# switchport access vlan 100
  3. Kreye VLAN 100 sou aparèy TrustSec la.
    • TS_device (config) # vlan 100
    • TS_device(config-vlan)# pa gen fèmen
    • TS_device (config-vlan) # fen
    • TS_device#
  4. Kreye yon SVI kòm pòtay pou VLAN 100 fèk ap rantre.
    • TS_device(config)# koòdone vlan 100
    • TS_device(config-if)# adrès ip 10.1.1.2 255.0.0.0
    • TS_device(config-if)# pa gen fèmen
    • TS_device(config-if)# fen
    • TS_device (konfigirasyon) #
  5. Bay gwoup sekirite Tag (SGT) 10 pou hôtes sou VLAN 100.
    • TS_device(config)# cts ki baze sou wòl sgt-map vlan 100 sgt 10
  6. Pèmèt IP Device Tracking sou aparèy TrustSec la. Verifye ke li ap fonksyone.
    • TS_device(config)# Suivi aparèy ip
    • TS_device# montre aparèy ip swiv toutCISCO-Konfigirasyon-Gwoup-Sekirite-Tag-Mapping-fig- (3)
  7. (Si ou vle) PING pòtay default la soti nan yon pwen final (nan egzanp sa aample, lame adrès IP 10.1.1.1). Verifye ke SGT 10 ap trase sou lame VLAN 100.
    CISCO-Konfigirasyon-Gwoup-Sekirite-Tag-Mapping-fig- (4)

Example: Emulation Keystore pyès ki nan konpitè
Ansyen sa aample montre kijan pou konfigirasyon ak verifye itilizasyon yon keystore lojisyèl:

CISCO-Konfigirasyon-Gwoup-Sekirite-Tag-Mapping-fig- (5)

Example: Konfigirasyon Aparèy Route SGT

  • Aparèy # konfigirasyon tèminal
  • Aparèy (config) # cts ki baze sou wòl sgt-map 0.0.0.0/0 sgt 3
  • Aparèy (konfigirasyon) # sòti

Istwa Karakteristik pou Gwoup Sekirite Tag Katografik

  • Tablo sa a bay lage ak enfòmasyon ki gen rapò ak karakteristik yo eksplike nan modil sa a.
  • Karakteristik sa yo disponib nan tout degaje yo apre youn nan yo te prezante a, sof si te note otreman.
Lage Karakteristik Karakteristik Enfòmasyon
Cisco IOS XE Everest 16.5.1a Gwoup Sekirite Sosyal Tag Katografik Subnet pou kat SGT mare yon SGT a tout adrès lame nan yon subnet espesifye. Yon fwa ke kat sa a aplike, Cisco TrustSec enpoze SGT a sou nenpòt pake fèk ap rantre ki gen yon adrès IP sous ki fè pati subnet espesifye a.
Cisco IOS XE Gibraltar 16.11.1 Default Route SGT Klasifikasyon Default Route SGT bay yon SGT tag nimewo nan wout sa yo ki pa matche ak yon wout espesifye.

Sèvi ak Cisco Feature Navigator pou jwenn enfòmasyon sou platfòm ak sipò imaj lojisyèl. Pou jwenn aksè nan Cisco Feature Navigator, ale nan http://www.cisco.com/go/cfn.

Dokiman / Resous

CISCO Konfigirasyon Gwoup Sekirite Tag Katografik [pdfGid Itilizatè
Konfigirasyon Gwoup Sekirite Tag Kat, Konfigirasyon, Gwoup Sekirite Tag Kat, Gwoup Tag Katografik, Tag Katografik

Referans

Post ki gen rapò

Kite yon kòmantè

Adrès imel ou p ap pibliye. Jaden obligatwa yo make *