Isi bersembunyi
1 Grup Keamanan Konfigurasi CISCO Tag Pemetaan
2 Informasi Produk
3 Petunjuk Penggunaan Produk
4 Batasan Pemetaan SGT
5 Informasi Tentang Pemetaan SGT
5.1 Lebihview
5.2 Prioritas Sumber yang Mengikat
6 Cara Mengonfigurasi Pemetaan SGT
6.1 Mengonfigurasi Pemetaan Subnet-ke-SGT
6.2 Mengonfigurasi Pemetaan VLAN-ke-SGT
6.3 Meniru Keystore Perangkat Keras
7 Memverifikasi Pemetaan SGT
8 Konfigurasi Examples untuk Pemetaan SGT
9 Riwayat Fitur untuk Grup Keamanan Tag Pemetaan
10 Dokumen / Sumber Daya
10.1 Referensi
11 Posting Terkait

Logo CISCO

Grup Keamanan Konfigurasi CISCO Tag Pemetaan

CISCO-Konfigurasi-Keamanan-Grup-Tag-Pemetaan-produk

Informasi Produk

Produk ini memungkinkan untuk mengonfigurasi grup keamanan tag (SGT) pemetaan. Fitur ini mengikat SGT ke semua alamat host pada subnet tertentu. Setelah pemetaan ini diterapkan, Cisco TrustSec menerapkan SGT pada setiap paket masuk yang memiliki alamat IP sumber milik subnet yang ditentukan.

Batasan Pemetaan SGT
Perintah berikut tidak didukung untuk konfigurasi IP host: Device(config)#cts role-based sgt-map 0.0.0.0 sgt 1000

Lebihview Pemetaan Subnet-ke-SGT

  • Pemetaan subnet-ke-SGT mengikat SGT ke semua alamat host dari subnet tertentu. Cisco TrustSec menerapkan SGT pada paket masuk ketika alamat IP sumber paket tersebut termasuk dalam subnet yang ditentukan. Subnet dan SGT ditentukan di CLI dengancts role-based sgt-map net_address/prefix sgt sgt_number perintah konfigurasi global. Sebuah host tunggal juga dapat dipetakan dengan perintah ini.
  • Di jaringan IPv4, Security Exchange Protocol (SXP)v3, dan versi yang lebih baru, dapat menerima dan mengurai string net_address/prefix subnet dari rekan SXPv3. Versi SXP sebelumnya mengonversi awalan subnet menjadi kumpulan pengikatan host sebelum mengekspornya ke rekan pendengar SXP.
  • Pengikatan subnet bersifat statis, tidak ada pembelajaran dari host aktif. Mereka dapat digunakan secara lokal untuk penerapan SGT dan penegakan SGACL. Paket tagyang dilakukan oleh pemetaan subnet-ke-SGT dapat disebarkan pada tautan Cisco TrustSec Layer 2 atau Layer 3.
  • Untuk jaringan IPv6, SXPv3 tidak dapat mengekspor pengikatan subnet ke rekan SXPv2 atau SXPv1.

Lebihview Pemetaan VLAN-ke-SGT

  • Fitur pemetaan VLAN-ke-SGT mengikat SGT ke paket dari VLAN tertentu. Hal ini menyederhanakan migrasi dari jaringan lama ke jaringan berkemampuan Cisco TrustSec.
  • Pengikatan VLAN-ke-SGT dikonfigurasikan dengan cts role-based sgt-map vlan-list perintah konfigurasi global.
  • Ketika VLAN diberikan sebuah gateway yang merupakan switch virtual interface (SVI) pada switch berkemampuan Cisco TrustSec, dan Pelacakan Perangkat IP diaktifkan pada switch tersebut, maka Cisco TrustSec dapat membuat pengikatan IP-ke-SGT untuk setiap host yang aktif. pada VLAN itu dipetakan ke subnet SVI.
  • Pengikatan IP-SGT untuk host VLAN aktif diekspor ke pendengar SXP. Binding untuk setiap VLAN yang dipetakan dimasukkan ke dalam tabel IP-ke-SGT yang terkait dengan VRF tempat VLAN dipetakan oleh SVI-nya atau oleh cts role-based l2-vrf memerintah.
  • Pengikatan VLAN-ke-SGT memiliki prioritas terendah dari semua metode pengikatan dan diabaikan ketika pengikatan dari sumber lain diterima, seperti dari konfigurasi host SXP atau CLI. Prioritas yang mengikat tercantum di bagian Prioritas Sumber yang Mengikat.

Petunjuk Penggunaan Produk

Mengonfigurasi Pemetaan Subnet-ke-SGT

  1. Akses antarmuka CLI perangkat.
  2. Masuk ke mode konfigurasi menggunakan config memerintah.
  3. Jalankan perintah berikut untuk mengonfigurasi pemetaan subnet-ke-SGT:
cts role-based sgt-map net_address/prefix sgt sgt_number
  1. Mengganti net_address/prefix dengan alamat subnet dan panjang awalan yang ingin Anda petakan (mis., 192.168.1.0/24).
  2. Mengganti sgt_number dengan grup keamanan yang diinginkan tag nomor.
  3. Tekan Enter untuk menerapkan konfigurasi.
  4. Keluar dari mode konfigurasi.

Mengonfigurasi Pemetaan VLAN-ke-SGT

    1. Akses antarmuka CLI perangkat.
    2. Masuk ke mode konfigurasi menggunakan config memerintah.
    3. Jalankan perintah berikut untuk mengonfigurasi pemetaan VLAN-ke-SGT:
cts role-based sgt-map vlan-list
  1. Tentukan VLAN yang akan dipetakan ke SGT.
  2. Tekan Enter untuk menerapkan konfigurasi.
  3. Keluar dari mode konfigurasi.

Spesifikasi

  • Jaringan yang Didukung: IPv4, IPv6
  • Protokol yang Didukung: Protokol Pertukaran Keamanan (SXP)v3
  • Metode Pengikatan yang Didukung: Pemetaan Subnet-ke-SGT, Pemetaan VLAN-ke-SGT

Pertanyaan yang Sering Diajukan (FAQ)

  • T: Apakah pengikatan subnet dapat diekspor ke rekan SXPv2 atau SXPv1 di jaringan IPv6?
    J: Tidak, pengikatan subnet hanya dapat diekspor ke rekan SXPv3 di jaringan IPv6.
  • T: Apa prioritas pengikatan VLAN-ke-SGT?
    J: Pengikatan VLAN-ke-SGT memiliki prioritas terendah di antara semua metode pengikatan dan diabaikan ketika pengikatan dari sumber lain diterima.

Subnet ke grup keamanan tag (SGT) pemetaan mengikat SGT ke semua alamat host dari subnet tertentu. Setelah pemetaan ini diterapkan, Cisco TrustSec menerapkan SGT pada setiap paket masuk yang memiliki alamat IP sumber milik subnet yang ditentukan.

Batasan Pemetaan SGT

Pembatasan Pemetaan Subnet-ke-SGT

  • Subjaringan IPv4 dengan awalan /31 tidak dapat diperluas.
  • Alamat host subnet tidak dapat diikat ke Grup Keamanan Tags (SGT) ketika parameter pengikatan peta jaringan kurang dari jumlah total host subnet di subnet yang ditentukan, atau ketika pengikatannya adalah 0.
  • Perluasan dan propagasi IPv6 hanya terjadi ketika speaker dan pendengar Security Exchange Protocol (SXP) menjalankan SXPv3 atau versi yang lebih baru.

Pembatasan Pemetaan SGT Rute Default

  • Konfigurasi rute default hanya diterima dengan subnet /0. Memasukkan hanya host-ip tanpa subnet /0 akan menampilkan pesan berikut:CISCO-Konfigurasi-Keamanan-Grup-Tag-Pemetaan-gambar- (1)

Informasi Tentang Pemetaan SGT

Bagian ini memberikan informasi tentang pemetaan SGT.

Lebihview

Lebihview Pemetaan Subnet-ke-SGT
Pemetaan subnet-ke-SGT mengikat SGT ke semua alamat host dari subnet tertentu. Cisco TrustSec menerapkan SGT pada paket masuk ketika alamat IP sumber paket tersebut termasuk dalam subnet yang ditentukan. Subnet dan SGT ditentukan di CLI dengan perintah konfigurasi global sgt-map net_address/prefix sgt sgt_number berbasis peran cts. Sebuah host tunggal juga dapat dipetakan dengan perintah ini. Di jaringan IPv4, Security Exchange Protocol (SXP)v3, dan versi yang lebih baru, dapat menerima dan mengurai string net_address/prefix subnet dari rekan SXPv3. Versi SXP sebelumnya mengonversi awalan subnet menjadi kumpulan pengikatan host sebelum mengekspornya ke rekan pendengar SXP.

Misalnyaample, subnet IPv4 192.0.2.0/24 diperluas sebagai berikut (hanya 3 bit untuk alamat host):

  • Alamat host 198.0.2.1 hingga 198.0.2.7—tagged dan disebarkan ke rekan SXP.
  • Alamat jaringan dan siaran 198.0.2.0 dan 198.0.2.8—tidak tagged dan tidak diperbanyak.

Untuk membatasi jumlah pengikatan subnet yang dapat diekspor SXPv3, gunakan perintah konfigurasi global peta jaringan pemetaan cts sxp. Pengikatan subnet bersifat statis, tidak ada pembelajaran dari host aktif. Mereka dapat digunakan secara lokal untuk penerapan SGT dan penegakan SGACL. Paket tagyang dilakukan oleh pemetaan subnet-ke-SGT dapat disebarkan pada tautan Cisco TrustSec Layer 2 atau Layer 3. Untuk jaringan IPv6, SXPv3 tidak dapat mengekspor pengikatan subnet ke rekan SXPv2 atau SXPv1.

Lebihview Pemetaan VLAN-ke-SGT
Fitur pemetaan VLAN-ke-SGT mengikat SGT ke paket dari VLAN tertentu. Hal ini menyederhanakan migrasi dari jaringan lama ke jaringan berkemampuan Cisco TrustSec sebagai berikut:

  • Mendukung perangkat yang tidak berkemampuan Cisco TrustSec tetapi berkemampuan VLAN, seperti switch lama, pengontrol nirkabel, titik akses, VPN, dll.
  • Menyediakan kompatibilitas mundur untuk topologi di mana VLAN dan VLAN ACL mensegmentasi jaringan, seperti segmentasi server di pusat data.
  • Pengikatan VLAN-ke-SGT dikonfigurasikan dengan perintah konfigurasi global sgt-map vlan-list berbasis peran cts.
  • Ketika VLAN diberikan sebuah gateway yang merupakan switch virtual interface (SVI) pada switch berkemampuan Cisco TrustSec, dan Pelacakan Perangkat IP diaktifkan pada switch tersebut, maka Cisco TrustSec dapat membuat pengikatan IP-ke-SGT untuk setiap host yang aktif. pada VLAN itu dipetakan ke subnet SVI.
  • Pengikatan IP-SGT untuk host VLAN aktif diekspor ke pendengar SXP. Binding untuk setiap VLAN yang dipetakan dimasukkan ke dalam tabel IP-ke-SGT yang terkait dengan VRF tempat VLAN dipetakan dengan SVI-nya atau dengan perintah l2-vrf berbasis peran cts.
  • Pengikatan VLAN-ke-SGT memiliki prioritas terendah dari semua metode pengikatan dan diabaikan ketika pengikatan dari sumber lain diterima, seperti dari konfigurasi host SXP atau CLI. Prioritas yang mengikat tercantum di bagian Prioritas Sumber yang Mengikat.
Prioritas Sumber yang Mengikat

Cisco TrustSec menyelesaikan konflik antara sumber pengikatan IP-SGT dengan skema prioritas yang ketat. Misalnyaample, SGT dapat diterapkan ke antarmuka dengan kebijakan {nama rekan identitas dinamis | sersan statis tag} Perintah mode antarmuka Manual Cisco Trustsec (Pemetaan Port Identitas). Urutan penegakan prioritas saat ini, dari terendah (1) hingga tertinggi (7), adalah sebagai berikut:

  1. VLAN: Binding dipelajari dari paket ARP yang diintip pada VLAN yang memiliki konfigurasi pemetaan VLAN-SGT.
  2. KLI: Pengikatan alamat dikonfigurasi menggunakan bentuk IP-SGT dari perintah konfigurasi global sgt-map berbasis peran cts.
  3. SXP: Binding dipelajari dari rekan SXP.
  4. IP_ARP: Binding dipelajari kapan tagPaket ARP yang ditentukan diterima pada tautan berkemampuan CTS.
  5. LOKAL: Pengikatan host terotentikasi yang dipelajari melalui EPM dan pelacakan perangkat. Jenis pengikatan ini juga mencakup host individual yang dipelajari melalui pengintaian ARP pada port yang dikonfigurasi L2 [I] PM.
  6. INTERN: Pengikatan antara alamat IP yang dikonfigurasi secara lokal dan SGT milik perangkat.

Catatan
Jika alamat IP sumber cocok dengan beberapa prefiks subnet dengan SGT berbeda yang ditetapkan, maka prefiks terpanjang SGT akan diutamakan kecuali prioritasnya berbeda.

Rute Default SGT

  • Grup Keamanan Rute Default Tag (SGT) memberikan nomor SGT ke rute default.
  • Rute Default adalah rute yang tidak cocok dengan rute yang ditentukan dan oleh karena itu merupakan rute ke tujuan pilihan terakhir. Rute default digunakan untuk mengarahkan paket yang dialamatkan ke jaringan yang tidak tercantum secara eksplisit dalam tabel routing.

Cara Mengonfigurasi Pemetaan SGT

Bagian ini menjelaskan cara mengonfigurasi pemetaan SGT.

Mengonfigurasi SGT Perangkat Secara Manual
Dalam operasi normal Cisco TrustSec, server otentikasi memberikan SGT ke perangkat untuk paket yang berasal dari perangkat tersebut. Anda dapat mengonfigurasi SGT secara manual untuk digunakan jika server autentikasi tidak dapat diakses, namun SGT yang ditetapkan oleh server autentikasi akan lebih diutamakan daripada SGT yang ditetapkan secara manual.

Untuk mengonfigurasi SGT secara manual pada perangkat, lakukan tugas ini:

Prosedur

  Memerintah or Tindakan Tujuan
Langkah 1 memungkinkan Mengaktifkan mode EXEC istimewa.
  Exampsaya:

Perangkat# memungkinkan

 • Masukkan kata sandi Anda jika diminta.
Langkah 2 konfigurasikan terminal

Exampsaya:

Perangkat# konfigurasikan terminal

 Memasuki mode konfigurasi global.
Langkah 3 cts sersan tag

Exampsaya:

Perangkat(konfigurasi)# cts sersan 1234

 Mengaktifkan SXP untuk Cisco TrustSec.
Langkah 4 KELUAR

Exampsaya:

Perangkat(konfigurasi)# KELUAR

 Keluar dari mode konfigurasi global dan kembali ke mode EXEC istimewa
Mengonfigurasi Pemetaan Subnet-ke-SGT

Prosedur

  Memerintah or Tindakan Tujuan
Langkah 1 memungkinkan

Exampsaya:

Perangkat# memungkinkan

 Mengaktifkan mode EXEC istimewa.

• Masukkan kata sandi Anda jika diminta.
Langkah 2 konfigurasikan terminal

Exampsaya:

Perangkat# konfigurasikan terminal

 Memasuki mode konfigurasi global.
Langkah 3 cts sxp memetakan peta jaringan ikatan

Exampsaya:

Perangkat(konfigurasi)# cts sxp pemetaan jaringan-peta 10000

 •  Mengonfigurasi batasan jumlah host Pemetaan Subnet ke SGT. Argumen binding menentukan jumlah maksimum host IP subnet yang dapat diikat ke SGT dan diekspor ke pendengar SXP.

•  pengikatan—(0 hingga 65,535) defaultnya adalah 0 (tidak ada perluasan yang dilakukan)
Langkah 4 peta sgt berbasis peran cts ipv4_address/awalan

Sersan nomor

Exampsaya:

Perangkat(konfigurasi)# cts sgt-map berbasis peran 10.10.10.10/29 sgt 1234

 (IPv4) Menentukan subnet dalam notasi CIDR.

•  Gunakan perintah tanpa bentuk untuk membatalkan konfigurasi pemetaan Subnet ke SGT. Jumlah pengikatan yang ditentukan pada Langkah 2 harus sesuai atau melebihi jumlah alamat host di subnet (tidak termasuk alamat jaringan dan siaran). Kata kunci nomor sgt menentukan Keamanan
    Kelompok Tag untuk terikat pada setiap host

alamat di subnet yang ditentukan.

•  ipv4_address—Menentukan alamat jaringan IPv4 dalam notasi desimal titik.

•  awalan—(0 hingga 30) Menentukan jumlah bit dalam alamat jaringan.

•  Sersan nomor—(0–65,535) Menentukan Grup Keamanan Tag (SGT).
Langkah 5 peta sgt berbasis peran cts ipv6_address::awalan

Sersan nomor

Exampsaya:

Perangkat(konfigurasi)# peta sgt berbasis peran cts 2020::/64 sgt 1234

 (IPv6) Menentukan subnet dalam notasi heksadesimal titik dua. Gunakan perintah tanpa bentuk untuk membatalkan konfigurasi pemetaan Subnet ke SGT.

Jumlah pengikatan yang ditentukan pada Langkah 2 harus sesuai atau melebihi jumlah alamat host di subnet (tidak termasuk alamat jaringan dan siaran). Kata kunci nomor sgt menentukan Grup Keamanan Tag untuk terikat ke setiap alamat host di subnet yang ditentukan.

•  ipv6_address—Menentukan alamat jaringan IPv6 dalam notasi heksadesimal titik dua.

•  awalan—(0 hingga 128) Menentukan jumlah bit dalam alamat jaringan.

•  Sersan nomor—(0–65,535) Menentukan Grup Keamanan Tag (SGT).
Langkah 6 KELUAR

Exampsaya:

Perangkat(konfigurasi)# KELUAR

 Keluar dari mode konfigurasi global dan kembali ke mode EXEC istimewa..
Mengonfigurasi Pemetaan VLAN-ke-SGT

Alur Tugas untuk Mengonfigurasi Pemetaan VLAN-SGT pada perangkat Cisco TrustSec.

  • Buat VLAN di perangkat dengan VLAN_ID yang sama dengan VLAN masuk.
  • Buat SVI untuk VLAN pada perangkat untuk menjadi gateway default untuk klien titik akhir.
  • Konfigurasikan perangkat untuk menerapkan SGT ke lalu lintas VLAN.
  • Aktifkan pelacakan Perangkat IP pada perangkat.
  • Lampirkan kebijakan pelacakan perangkat ke VLAN.

Catatan
Dalam jaringan multi-switch, pelacakan perangkat berbasis SISF menyediakan kemampuan untuk mendistribusikan entri tabel pengikatan antar switch yang menjalankan fitur tersebut. Hal ini mengasumsikan bahwa entri yang mengikat dibuat pada switch di mana host muncul pada port akses, dan tidak ada entri yang dibuat untuk host yang muncul melalui port trunk. Untuk mencapai hal ini dalam pengaturan multi-switch, kami menyarankan Anda mengonfigurasi kebijakan lain dan melampirkannya ke port trunk, seperti yang dijelaskan dalam prosedur Mengonfigurasi Jaringan Multi-Switch untuk Berhenti Membuat Entri yang Mengikat dari Port Trunk, di Mengonfigurasi SISF -Bab Pelacakan Perangkat Berbasis dari Panduan Konfigurasi Keamanan.

  • Verifikasi bahwa pemetaan VLAN-ke-SGT terjadi pada perangkat.

Prosedur

  Memerintah or Tindakan Tujuan
Langkah 1 memungkinkan

Exampsaya:

Perangkat# memungkinkan

 Mengaktifkan mode EXEC istimewa.

• Masukkan kata sandi Anda jika diminta.
Langkah 2 konfigurasikan terminal

Exampsaya:

Perangkat# konfigurasikan terminal

 Memasuki mode konfigurasi global.
Langkah 3 Bahasa Indonesia: vlan vlan_id

Exampsaya:

Perangkat(konfigurasi)# nomor telepon 100

 Membuat VLAN 100 pada perangkat gateway berkemampuan TrustSec dan memasuki VLAN

mode konfigurasi.
Langkah 4 [TIDAK] penutupan

Exampsaya:

Perangkat(config-vlan)# tidak ada penutupan

 Ketentuan VLAN 100.
Langkah 5 KELUAR

Exampsaya:

Perangkat(config-vlan)# KELUAR

 Keluar dari mode konfigurasi VLAN dan kembali ke mode konfigurasi global.
Langkah 6 antarmuka jenis slot/port

Exampsaya:

Perangkat(konfigurasi)# antarmuka vlan 100

 Menentukan jenis antarmuka dan memasuki mode konfigurasi antarmuka.
Langkah 7 alamat ip celah/pelabuhan

Exampsaya:

Perangkat(config-if)# alamat ip 10.1.1.2 255.0.0.0

 Mengonfigurasi Antarmuka Virtual Teralih (SVI) untuk VLAN 100.
Langkah 8 [TIDAK ] penutupan

Exampsaya:

Perangkat(config-if)# tidak ada penutupan

 Mengaktifkan SVI.
Langkah 9 KELUAR

Exampsaya:

Perangkat(config-if)# KELUAR

 Keluar dari mode konfigurasi antarmuka dan kembali ke mode konfigurasi global.
Langkah 10 daftar vlan sgt-map berbasis peran cts vlan_id Sersan

sgt_number

Exampsaya:

Perangkat(konfigurasi)# cts berbasis peran sgt-map vlan-list 100 sgt 10

 Menetapkan SGT yang ditentukan ke VLAN yang ditentukan.
Langkah 11 kebijakan pelacakan perangkat nama-kebijakan

Exampsaya:

Perangkat(konfigurasi)# kebijakan kebijakan pelacakan perangkat1

 Menentukan kebijakan dan memasuki mode konfigurasi kebijakan pelacakan perangkat.
Langkah 12 pelacakan diaktifkan

Exampsaya:

Perangkat(pelacakan-perangkat-konfigurasi)# pelacakan memungkinkan

 Mengganti pengaturan pelacakan perangkat default untuk atribut kebijakan.
Langkah 13 KELUAR

Exampsaya:

Perangkat(pelacakan-perangkat-konfigurasi)# KELUAR

 Keluar dari mode konfigurasi kebijakan pelacakan perangkat dan kembali ke mode konfigurasi global.
Langkah 14 konfigurasi vlan vlan_id

Exampsaya:

Perangkat(konfigurasi)# konfigurasi vlan 100

 Menentukan VLAN yang akan dilampirkan kebijakan pelacakan perangkat, dan memasuki mode konfigurasi VLAN.
Langkah 15 kebijakan lampiran pelacakan perangkat nama-kebijakan

Exampsaya:

Perangkat(config-vlan-config)#

kebijakan lampiran pelacakan perangkat1

 Melampirkan kebijakan pelacakan perangkat ke VLAN yang ditentukan.
Langkah 16 akhir

Exampsaya:

Perangkat(config-vlan-config)# akhir

 Keluar dari mode konfigurasi VLAN dan kembali ke mode EXEC istimewa.
Langkah 17 tampilkan peta sgt berbasis peran cts {ipv4_netaddr

| ipv4_netaddr/awalan | ipv6_netaddr | ipv6_netaddr/awalan |semua [Bahasa Indonesia: ipv4 |Bahasa Indonesia: ipv6Bahasa Indonesia:tuan rumah { alamat ipv4 |ipv6_addr } |ringkasan [ Bahasa Indonesia: ipv4

|Bahasa Indonesia: ipv6 ]

 (Opsional) Menampilkan pemetaan VLAN-ke-SGT.
  Exampsaya:

Perangkat# tampilkan sgt-map berbasis peran cts semua

  
Langkah 18 tampilkan kebijakan pelacakan perangkat nama-kebijakan

Exampsaya:

Perangkat# tampilkan kebijakan kebijakan pelacakan perangkat1

 (Opsional) Menampilkan atribut kebijakan saat ini.
Meniru Keystore Perangkat Keras

Jika keystore perangkat keras tidak ada atau tidak dapat digunakan, Anda dapat mengonfigurasi sakelar untuk menggunakan emulasi perangkat lunak keystore. Untuk mengonfigurasi penggunaan keystore perangkat lunak, lakukan tugas ini:

Prosedur

  Memerintah or Tindakan Tujuan
Langkah 1 memungkinkan

Exampsaya:

Perangkat# memungkinkan

 Mengaktifkan mode EXEC istimewa.

• Masukkan kata sandi Anda jika diminta.
Langkah 2 konfigurasikan terminal

Exampsaya:

Perangkat# konfigurasikan terminal

 Memasuki mode konfigurasi global.
Langkah 3 cts keystore ditiru

Exampsaya:

Perangkat(konfigurasi)# cts keystore ditiru

 Mengonfigurasi sakelar untuk menggunakan emulasi perangkat lunak pada keystore dan bukan pada keystore perangkat keras.
Langkah 4 KELUAR

Exampsaya:

Perangkat(konfigurasi)# KELUAR

 Keluar dari mode konfigurasi.
Langkah 5 tampilkan penyimpanan kunci

Exampsaya:

Perangkat# tampilkan penyimpanan kunci

 Menampilkan status dan konten keystore. Rahasia yang disimpan tidak ditampilkan.

Mengonfigurasi SGT Rute Default

Sebelum Anda memulai
Pastikan Anda telah membuat rute default pada perangkat menggunakan perintah ip rute 0.0.0.0. Jika tidak, rute default (yang disertakan dengan SGT Rute Default) mendapatkan tujuan yang tidak diketahui dan oleh karena itu tujuan pilihan terakhir akan mengarah ke CPU.

Prosedur

  Memerintah or Tindakan Tujuan
Langkah 1 memungkinkan

Exampsaya:

Perangkat> aktifkan

 Mengaktifkan mode EXEC istimewa.

• Masukkan kata sandi Anda jika diminta.
Langkah 2 konfigurasikan terminal

Exampsaya:

Perangkat# konfigurasikan terminal

 Memasuki mode konfigurasi global.
Langkah 3 cts sgt-map berbasis peran 0.0.0.0/0 sgt nomor

Exampsaya:

Perangkat(konfigurasi)# cts sgt-map berbasis peran 0.0.0.0/0 sgt 3

 Menentukan nomor SGT untuk rute default. Nilai yang valid adalah dari 0 hingga 65,519.

Catatan                    • Itu host_address/subnet dapat berupa alamat IPv4 (0.0.0.0/0) atau alamat IPv6 (0:0::/0)

•  Rute default

konfigurasi hanya diterima dengan subnet /0. Memasukkan hanya host-ip tanpa subnet /0 akan menampilkan pesan berikut:

Perangkat(konfigurasi)#gambar peta sgt berbasis peran

0.0.0.0 sgt 1000 Konfigurasi rute default tidak didukung untuk ip host
Langkah 4 KELUAR

Exampsaya:

Perangkat(konfigurasi)# keluar

 Keluar dari mode konfigurasi global.

Memverifikasi Pemetaan SGT

Bagian berikut menunjukkan cara memverifikasi pemetaan SGT:

Memverifikasi Konfigurasi Pemetaan Subnet-ke-SGT
Untuk menampilkan informasi konfigurasi Pemetaan Subnet-ke-SGT, gunakan salah satu perintah show berikut:

Memerintah Tujuan
tampilkan koneksi cts sxp Menampilkan koneksi speaker dan pendengar SXP dengan status operasionalnya.
tampilkan peta cts sxp sgt Menampilkan pengikatan IP ke SGT yang diekspor ke pendengar SXP.
tampilkan konfigurasi yang sedang berjalan Memverifikasi bahwa perintah konfigurasi subnet-ke-SGT berada dalam konfigurasi yang sedang berjalan file.

Memverifikasi Pemetaan VLAN-ke-SGT

Untuk menampilkan informasi konfigurasi VLAN-ke-SGT, gunakan perintah show berikut:

Tabel 1:

Memerintah Tujuan
tampilkan kebijakan pelacakan perangkat Menampilkan atribut kebijakan saat ini dari kebijakan pelacakan perangkat.
tampilkan peta sgt berbasis peran cts Menampilkan pengikatan alamat IP ke SGT.

Memverifikasi Konfigurasi SGT Rute Default

Verifikasi konfigurasi SGT Rute Default:
perangkat# tampilkan sgt-map berbasis peran semua Informasi Pengikatan IPv4-SGT Aktif

CISCO-Konfigurasi-Keamanan-Grup-Tag-Pemetaan-gambar- (2)

Konfigurasi Examples untuk Pemetaan SGT

Bagian berikut menunjukkan konfigurasi misampfile pemetaan SGT:

Example: Mengonfigurasi SGT Perangkat Secara Manual

  • Perangkat# konfigurasikan terminal
  • Perangkat(konfigurasi)# cts sgt 1234
  • Perangkat(konfigurasi)# keluar

Example: Konfigurasi untuk Pemetaan Subnet-ke-SGT
Berikut ini contohnyaample menunjukkan cara mengonfigurasi Pemetaan Subnet-ke-SGT IPv4 antara perangkat yang menjalankan SXPv3 (Perangkat1 dan Perangkat2):

  1. Konfigurasikan peering speaker/pendengar SXP antar perangkat.
    • Perangkat1# konfigurasikan terminal
    • Perangkat1(konfigurasi)# cts sxp aktifkan
    • Perangkat1(konfigurasi)# cts sxp sumber-ip default 1.1.1.1
    • Perangkat1(konfigurasi)# cts sxp kata sandi default 1syzygy1
    • Perangkat1(konfigurasi)# cts sxp rekan koneksi 2.2.2.2 kata sandi mode default speaker lokal
  2. Konfigurasikan Device2 sebagai pendengar SXP dari Device1.
    • Perangkat2(konfigurasi)# cts sxp aktifkan
    • Perangkat2(konfigurasi)# cts sxp sumber-ip default 2.2.2.2
    • Perangkat2(konfigurasi)# cts sxp kata sandi default 1syzygy1
    • Perangkat2(konfigurasi)# cts sxp rekan koneksi 1.1.1.1 kata sandi mode default pendengar lokal
  3. Di Device2, verifikasi bahwa koneksi SXP beroperasi:
    Perangkat2# tampilkan koneksi singkat cts sxp | termasuk 1.1.1.1 1.1.1.1 2.2.2.2 Pada 3:22:23:18 (hh:jam:mm:dtk)
  4. Konfigurasikan subjaringan yang akan diperluas di Perangkat1.
    • Perangkat1(config)# cts sxp memetakan peta jaringan 10000
    • Perangkat1(konfigurasi)# cts peta sgt berbasis peran 10.10.10.0/30 sgt 101
    • Perangkat1(konfigurasi)# cts peta sgt berbasis peran 11.11.11.0/29 sgt 11111
    • Perangkat1(konfigurasi)# cts peta sgt berbasis peran 192.168.1.0/28 sgt 65000
  5. Di Perangkat2, verifikasi perluasan subnet ke SGT dari Perangkat1. Seharusnya ada dua perluasan untuk subjaringan 10.10.10.0/30, enam perluasan untuk subjaringan 11.11.11.0/29, dan 14 perluasan untuk subjaringan 192.168.1.0/28.
    Perangkat2# tampilkan cts sxp sgt-map singkat | termasuk 101|11111|65000
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
  6. Verifikasi jumlah perluasan pada Perangkat1:
    Perangkat1# tampilkan peta cts sxp sgt
    • Pemetaan IP-SGT diperluas:22
    • Tidak ada Pemetaan IP-SGT
  7. Simpan konfigurasi pada Perangkat1 dan Perangkat2 dan keluar dari mode konfigurasi global.
    Perangkat1(config)# salin berjalan-config startup-config
    Perangkat1(konfigurasi)# keluar
    Perangkat2(config)# salin berjalan-config startup-config
    Perangkat2(konfigurasi)# keluar

Exampsaya:
Konfigurasi Pemetaan VLAN-ke-SGT untuk Host Tunggal Melalui Tautan Akses.

Dalam contoh berikutample, satu host terhubung ke VLAN 100 pada perangkat akses. Antarmuka virtual yang diaktifkan pada perangkat TrustSec adalah gateway default untuk titik akhir VLAN 100 (Alamat IP 10.1.1.1). Perangkat TrustSec menerapkan Grup Keamanan Tag (SGT) 10 pada paket dari VLAN 100.

  1. Buat VLAN 100 pada perangkat akses.
    • access_device# konfigurasikan terminal
    • access_device(konfigurasi)# vlan 100
    • access_device(config-vlan)# tidak ada shutdown
    • access_device(config-vlan)# keluar
    • akses_perangkat(konfigurasi)#
  2. Konfigurasikan antarmuka ke perangkat TrustSec sebagai tautan akses. Konfigurasi untuk titik akhir
    1. port akses dihilangkan dalam contoh iniampsaya.
    2. access_device(config)# antarmuka gigabitEthernet 6/3
    3. access_device(config-if)#switchport
    4. access_device(config-if)# akses mode switchport
    5. access_device(config-if)# akses switchport vlan 100
  3. Buat VLAN 100 pada perangkat TrustSec.
    • TS_perangkat(konfigurasi)# vlan 100
    • TS_device(config-vlan)# tidak ada shutdown
    • TS_device(config-vlan)# akhir
    • TS_perangkat#
  4. Buat SVI sebagai gateway untuk VLAN 100 yang masuk.
    • TS_device(config)# antarmuka vlan 100
    • TS_device(config-if)# alamat ip 10.1.1.2 255.0.0.0
    • TS_device(config-if)# tidak ada shutdown
    • TS_device(config-if)# akhir
    • TS_perangkat(konfigurasi)#
  5. Tetapkan Grup Keamanan Tag (SGT) 10 ke host di VLAN 100.
    • TS_device(config)# cts sgt-map berbasis peran vlan 100 sgt 10
  6. Aktifkan Pelacakan Perangkat IP pada perangkat TrustSec. Pastikan itu beroperasi.
    • TS_device(config)# pelacakan perangkat ip
    • TS_device# tampilkan ip perangkat yang melacak semuaCISCO-Konfigurasi-Keamanan-Grup-Tag-Pemetaan-gambar- (3)
  7. (Opsional) PING gateway default dari titik akhir (dalam contoh iniample, Alamat IP host 10.1.1.1). Verifikasi bahwa SGT 10 sedang dipetakan ke host VLAN 100.
    CISCO-Konfigurasi-Keamanan-Grup-Tag-Pemetaan-gambar- (4)

Example: Meniru Keystore Perangkat Keras
Mantan iniample menunjukkan cara mengkonfigurasi dan memverifikasi penggunaan keystore perangkat lunak:

CISCO-Konfigurasi-Keamanan-Grup-Tag-Pemetaan-gambar- (5)

Example: Mengonfigurasi Rute Perangkat SGT

  • Perangkat# konfigurasikan terminal
  • Perangkat(konfigurasi)# cts sgt-map berbasis peran 0.0.0.0/0 sgt 3
  • Perangkat(konfigurasi)# keluar

Riwayat Fitur untuk Grup Keamanan Tag Pemetaan

  • Tabel ini memberikan rilis dan informasi terkait untuk fitur yang dijelaskan dalam modul ini.
  • Fitur-fitur ini tersedia di semua rilis setelah peluncurannya, kecuali dinyatakan lain.
Melepaskan Fitur Fitur Informasi
Cisco IOS XE Everest 16.5.1a Grup Keamanan Tag Pemetaan Pemetaan subnet ke SGT mengikat SGT ke semua alamat host dari subnet tertentu. Setelah pemetaan ini diterapkan, Cisco TrustSec menerapkan SGT pada setiap paket masuk yang memiliki alamat IP sumber milik subnet yang ditentukan.
Cisco IOS XE Gibraltar 16.11.1 Klasifikasi SGT Rute Default Rute Default SGT menetapkan SGT tag nomor ke rute-rute yang tidak cocok dengan rute yang ditentukan.

Gunakan Cisco Feature Navigator untuk menemukan informasi tentang platform dan dukungan gambar perangkat lunak. Untuk mengakses Cisco Feature Navigator, kunjungi http://www.cisco.com/go/cfn.

Dokumen / Sumber Daya

Grup Keamanan Konfigurasi CISCO Tag Pemetaan [Bahasa Indonesia:] Panduan Pengguna
Mengonfigurasi Grup Keamanan Tag Pemetaan, Konfigurasi, Grup Keamanan Tag Pemetaan, Grup Tag Pemetaan, Tag Pemetaan

Referensi

Posting Terkait

Tinggalkan komentar

Alamat email Anda tidak akan dipublikasikan. Bidang yang wajib diisi ditandai *