CISCO stillingaröryggishópur Tag Kortlagning

Upplýsingar um vöru

Varan gerir kleift að stilla öryggishóp tag (SGT) kortlagningu. Þessi eiginleiki bindur SGT við öll hýsilföng tiltekins undirnets. Þegar þessi kortlagning hefur verið innleidd, leggur Cisco TrustSec SGT á hvaða komandi pakka sem hefur uppruna IP tölu sem tilheyrir tilgreindu undirneti.

Takmarkanir fyrir SGT kortlagningu
Eftirfarandi skipun er ekki studd fyrir IP stillingar hýsils: Device(config)#cts role-based sgt-map 0.0.0.0 sgt 1000

Yfirview af Subnet-to-SGT kortlagningu

• Subnet-to-SGT kortlagning bindur SGT við öll hýsilföng tiltekins undirnets. Cisco TrustSec leggur SGT á komandi pakka þegar uppruna IP vistfang pakkans tilheyrir tilgreindu undirneti. Undirnetið og SGT eru tilgreind í CLI meðcts role-based sgt-map net_address/prefix sgt sgt_number alþjóðleg stillingarskipun. Einnig er hægt að kortleggja einn gestgjafa með þessari skipun.
• Í IPv4 netkerfum getur Security Exchange Protocol (SXP)v3, og nýrri útgáfur, tekið á móti og flokkað undirnet net_address/prefix strengi frá SXPv3 jafningjum. Fyrri SXP útgáfur breyta undirnetsforskeytinu í sett af hýsilbindingum áður en þær eru fluttar út til SXP hlustanda jafningja.
• Undirnetsbindingar eru kyrrstæðar, það er ekkert nám á virkum vélum. Þeir geta verið notaðir á staðnum fyrir SGT álagningu og SGACL framfylgd. Pakkar tagged með undirneti-til-SGT kortlagningu er hægt að dreifa á Layer 2 eða Layer 3 Cisco TrustSec tengla.
• Fyrir IPv6 net, getur SXPv3 ekki flutt út undirnetsbindingar til SXPv2 eða SXPv1 jafningja.

Yfirview af VLAN-til-SGT kortlagningu

• VLAN-til-SGT kortlagningareiginleikinn bindur SGT við pakka frá tilteknu VLAN. Þetta einfaldar flutninginn frá eldri til Cisco TrustSec-hæfra neta.
• VLAN-til-SGT bindingin er stillt með cts role-based sgt-map vlan-list alþjóðleg stillingarskipun.
• Þegar VLAN er úthlutað gátt sem er rofið sýndarviðmót (SVI) á Cisco TrustSec-hæfum rofa og IP-tækjaraking er virkjuð á þeim rofa, þá getur Cisco TrustSec búið til IP-til-SGT-bindingu fyrir hvaða virka gestgjafa sem er á því VLAN varpað á SVI undirnetið.
• IP-SGT bindingar fyrir virka VLAN vélar eru fluttar út til SXP hlustenda. Bindingarnar fyrir hvert kortlagt VLAN eru settar inn í IP-til-SGT töfluna sem tengist VRF sem VLAN er varpað á annað hvort af SVI þess eða af cts role-based l2-vrf skipun.
• VLAN-til-SGT bindingar hafa lægsta forgang allra bindingsaðferða og eru hunsaðar þegar bindingar frá öðrum aðilum berast, eins og frá SXP eða CLI hýsilstillingum. Bindandi forgangsröðun er skráð í hlutanum Binding Source Priorities.

Notkunarleiðbeiningar fyrir vöru

Stilla undirnet-til-SGT kortlagningu

1. Fáðu aðgang að CLI tengi tækisins.
2. Farðu í stillingarhaminn með því að nota config skipun.
3. Framkvæmdu eftirfarandi skipun til að stilla undirnet-til-SGT kortlagningu:

cts role-based sgt-map net_address/prefix sgt sgt_number

1. Skipta um net_address/prefix með undirnetfanginu og forskeytslengdinni sem þú vilt kortleggja (t.d. 192.168.1.0/24).
2. Skipta um sgt_number með viðkomandi öryggishóp tag númer.
3. Ýttu á Enter til að nota stillinguna.
4. Farðu úr stillingarstillingu.

Stilla VLAN-til-SGT kortlagningu

1. 1. Fáðu aðgang að CLI tengi tækisins.
   2. Farðu í stillingarhaminn með því að nota config skipun.
   3. Framkvæmdu eftirfarandi skipun til að stilla VLAN-til-SGT kortlagningu:

cts role-based sgt-map vlan-list

1. Tilgreindu VLAN sem á að kortleggja á SGT.
2. Ýttu á Enter til að nota stillinguna.
3. Farðu úr stillingarstillingu.

Tæknilýsing

• Stuðningur netkerfi: IPv4, IPv6
• Studdar samskiptareglur: Security Exchange Protocol (SXP) v3
• Stuðlar bindiaðferðir: Subnet-to-SGT kortlagning, VLAN-to-SGT kortlagning

Algengar spurningar (algengar spurningar)

• Sp.: Er hægt að flytja út undirnetbindingar til SXPv2 eða SXPv1 jafningja í IPv6 netkerfum?
  A: Nei, aðeins er hægt að flytja undirnetbindingar út til SXPv3 jafningja í IPv6 netkerfum.
• Sp.: Hver er forgangur VLAN-til-SGT-bindinga?
  A: VLAN-til-SGT bindingar hafa lægsta forgang meðal allra bindingsaðferða og eru hunsaðar þegar bindingar frá öðrum aðilum berast.

Undirnet í öryggishóp tag (SGT) kortlagning bindur SGT við öll hýsilföng tiltekins undirnets. Þegar þessi kortlagning hefur verið innleidd, leggur Cisco TrustSec SGT á hvaða komandi pakka sem hefur uppruna IP tölu sem tilheyrir tilgreindu undirneti.

Takmarkanir fyrir SGT kortlagningu

Takmarkanir fyrir kortlagningu undirnets til SGT

• Ekki er hægt að stækka IPv4 undirnet með /31 forskeytinu.
• Ekki er hægt að binda undirnethýsilföng við öryggishóp Tags (SGT)s þegar færibreytan netkortsbindinga er minni en heildarfjöldi undirnetshýsla í tilgreindum undirnetum, eða þegar bindingarnar eru 0.
• IPv6 stækkun og útbreiðsla á sér aðeins stað þegar Security Exchange Protocol (SXP) hátalarinn og hlustandi keyra SXPv3 eða nýlegri útgáfur.

Takmörkun fyrir sjálfgefna leið SGT kortlagningu

• Sjálfgefin leiðarstilling er aðeins samþykkt með undirnetinu /0. Ef aðeins hýsingar-ip er slegið inn án undirnetsins /0 birtast eftirfarandi skilaboð:

Upplýsingar um SGT kortlagningu

Þessi hluti veitir upplýsingar um SGT kortlagningu.

Yfirview

Yfirview af Subnet-to-SGT kortlagningu
Subnet-to-SGT kortlagning bindur SGT við öll hýsilföng tiltekins undirnets. Cisco TrustSec leggur SGT á komandi pakka þegar uppruna IP vistfang pakkans tilheyrir tilgreindu undirneti. Undirnetið og SGT eru tilgreind í CLI með cts hlutverkabundinni sgt-map net_address/prefix sgt sgt_number alþjóðlegri stillingarskipun. Einnig er hægt að kortleggja einn gestgjafa með þessari skipun. Í IPv4 netkerfum getur Security Exchange Protocol (SXP)v3, og nýrri útgáfur, tekið á móti og flokkað undirnet net_address/prefix strengi frá SXPv3 jafningjum. Fyrri SXP útgáfur breyta undirnetsforskeytinu í sett af hýsilbindingum áður en þær eru fluttar út til SXP hlustanda jafningja.

Til dæmisample, IPv4 undirnetið 192.0.2.0/24 er stækkað sem hér segir (aðeins 3 bitar fyrir vistföng hýsils):

• Heimilisföng 198.0.2.1 til 198.0.2.7—tagged og dreift til SXP jafningja.
• Netföng og netföng 198.0.2.0 og 198.0.2.8—ekki tagged og ekki fjölgað.

Til að takmarka fjölda undirnetsbindinga sem SXPv3 getur flutt út, notaðu cts sxp mapping net-kort alþjóðlega stillingarskipunina. Undirnetsbindingar eru kyrrstæðar, það er ekkert nám á virkum vélum. Þeir geta verið notaðir á staðnum fyrir SGT álagningu og SGACL framfylgd. Pakkar tagged með undirneti-til-SGT kortlagningu er hægt að dreifa á Layer 2 eða Layer 3 Cisco TrustSec tengla. Fyrir IPv6 net, getur SXPv3 ekki flutt út undirnetsbindingar til SXPv2 eða SXPv1 jafningja.

Yfirview af VLAN-til-SGT kortlagningu
VLAN-til-SGT kortlagningareiginleikinn bindur SGT við pakka frá tilteknu VLAN. Þetta einfaldar flutninginn frá eldri til Cisco TrustSec-hæfra neta sem hér segir:

• Styður tæki sem eru ekki með Cisco TrustSec-hæf en eru VLAN-hæf, svo sem eldri rofa, þráðlausa stýringar, aðgangsstaði, VPN, osfrv.
• Veitir afturábak samhæfni fyrir staðfræði þar sem VLAN og VLAN ACL skipta netkerfinu, svo sem skiptingu miðlara í gagnaverum.
• VLAN-til-SGT bindingin er stillt með cts hlutverkatengdri sgt-map vlan-list alþjóðlegri stillingarskipun.
• Þegar VLAN er úthlutað gátt sem er rofið sýndarviðmót (SVI) á Cisco TrustSec-hæfum rofa og IP-tækjaraking er virkjuð á þeim rofa, þá getur Cisco TrustSec búið til IP-til-SGT-bindingu fyrir hvaða virka gestgjafa sem er á því VLAN varpað á SVI undirnetið.
• IP-SGT bindingar fyrir virka VLAN vélar eru fluttar út til SXP hlustenda. Bindingarnar fyrir hvert kortlagt VLAN eru settar inn í IP-til-SGT töfluna sem tengist VRF sem VLAN er varpað til með annað hvort SVI þess eða með cts hlutverkabyggðri l2-vrf skipuninni.
• VLAN-til-SGT bindingar hafa lægsta forgang allra bindingsaðferða og eru hunsaðar þegar bindingar frá öðrum aðilum berast, eins og frá SXP eða CLI hýsilstillingum. Bindandi forgangsröðun er skráð í hlutanum Binding Source Priorities.

Forgangsröðun bindandi heimildar

Cisco TrustSec leysir árekstra milli IP-SGT bindandi heimilda með ströngu forgangskerfi. Til dæmisample, SGT má nota á viðmót með stefnunni {dynamic identity peer-name | kyrrstæður sgt tag} Cisco Trustsec Manual interface mode skipun (Idenity Port Mapping). Núverandi forgangsframkvæmdarúrskurður, frá lægsta (1) til hæsta (7), er sem hér segir:

1. VLAN: Bindingar lærðar af snookuðum ARP pökkum á VLAN sem hefur VLAN-SGT kortlagningu stillt.
2. CLI: Heimilisfangsbindingar stilltar með IP-SGT formi cts hlutverkabundinnar sgt-map alþjóðlegrar stillingarskipunar.
3. SXP: Bindingar lærðar af jafnöldrum SXP.
4. IP_ARP: Bindingum lært þegar tagged ARP pakkar eru mótteknir á CTS-hæfum hlekk.
5. STAÐBÆR: Bindingar auðkenndra gestgjafa sem lærast með EPM og tækjarakningu. Þessi tegund af bindingu felur einnig í sér einstaka véla sem eru lærðir í gegnum ARP snooping á L2 [I] PM-stilltum höfnum.
6. INNRI: Binding á milli staðbundinna IP vistfanga og eigin SGT tækisins.

Athugið
Ef uppruna-IP vistfangið passar við mörg undirnetsforskeyti með mismunandi úthlutuðum SGT, þá hefur lengsta forskeyti SGT forgang nema forgangur sé mismunandi.

Sjálfgefin leið SGT

• Sjálfgefin leið öryggishópur Tag (SGT) úthlutar SGT númeri til sjálfgefna leiða.
• Sjálfgefin leið er sú leið sem passar ekki við tiltekna leið og er því leiðin á síðasta úrræði. Sjálfgefnar leiðir eru notaðar til að beina pökkum sem beint er að netum sem ekki eru sérstaklega skráð í leiðartöflunni.

Hvernig á að stilla SGT kortlagningu

Þessi hluti lýsir því hvernig á að stilla SGT kortlagningu.

Stilla tæki SGT handvirkt
Í venjulegri Cisco TrustSec-aðgerð úthlutar auðkenningarþjónninn SGT til tækisins fyrir pakka sem koma frá tækinu. Þú getur handvirkt stillt SGT til að nota ef auðkenningarþjónninn er ekki aðgengilegur, en auðkenningarmiðlara úthlutað SGT mun hafa forgang yfir handvirkt úthlutað SGT.

Til að stilla SGT handvirkt á tækinu skaltu framkvæma þetta verkefni:

Málsmeðferð

	Skipun or Aðgerð	Tilgangur
Skref 1	virkja	Virkjar forréttinda EXEC ham.

	Example: Tæki# virkja	•  Sláðu inn lykilorðið þitt ef beðið er um það.
Skref 2	stilla flugstöðina Example: Tæki# stilla flugstöðina	Fer í alþjóðlega stillingarham.
Skref 3	cts sgt tag Example: Tæki(stilling)# cts sgt 1234	Virkjar SXP fyrir Cisco TrustSec.
Skref 4	hætta Example: Tæki(stilling)# hætta	Lokar alþjóðlegri stillingarstillingu og fer aftur í forréttinda EXEC ham

Stilla undirnet-til-SGT kortlagningu

Málsmeðferð

	Skipun or Aðgerð	Tilgangur
Skref 1	virkja Example: Tæki# virkja	Virkjar forréttinda EXEC ham. •  Sláðu inn lykilorðið þitt ef beðið er um það.
Skref 2	stilla flugstöðina Example: Tæki# stilla flugstöðina	Fer í alþjóðlega stillingarham.
Skref 3	cts sxp kortlagning netkort bindingar Example: Tæki(stilling)# cts sxp kortlagning netkort 10000	•  Stillir undirnet til SGT kortlagningar fjölda hýsils. Bindingarröksemdin tilgreinir hámarksfjölda undirnets IP-hýsinga sem hægt er að binda við SGT og flytja út til SXP hlustanda. •  bindingar—(0 til 65,535) sjálfgefið er 0 (engar stækkanir framkvæmdar)
Skref 4	cts hlutverkabundið sgt-kort ipv4_address/forskeyti sgt númer Example: Tæki(stilling)# cts hlutverkamiðað sgt-kort 10.10.10.10/29 sgt 1234	(IPv4) Tilgreinir undirnet í CIDR merkingu. •  Notaðu no form skipunarinnar til að afstilla Subnet to SGT kortlagningu. Fjöldi bindinga sem tilgreindur er í skrefi 2 ætti að passa við eða fara yfir fjölda hýsingarfönga í undirnetinu (að undanskildum netföngum og útvarpsföngum). Leitarorðið sgt number tilgreinir öryggið

		Hópur Tag að vera bundinn hverjum gestgjafa heimilisfang í tilgreindu undirneti. •  ipv4_address—Tilgreinir IPv4 netfangið með punktum með aukastaf. •  forskeyti—(0 til 30) Tilgreinir fjölda bita í netfanginu. •  sgt númer—(0–65,535) Tilgreinir öryggishópinn Tag (SGT) númer.
Skref 5	cts hlutverkabundið sgt-kort ipv6_address::forskeyti sgt númer Example: Tæki(stilling)# cts hlutverkamiðað sgt-kort 2020::/64 sgt 1234	(IPv6) Tilgreinir undirnet í sextánda ristli. Notaðu ekkert form skipunarinnar til að afstilla undirnetið í SGT kortlagningu. Fjöldi bindinga sem tilgreindur er í skrefi 2 ætti að passa við eða fara yfir fjölda hýsingarfönga í undirnetinu (að undanskildum netföngum og útvarpsföngum). Leitarorðið sgt number tilgreinir öryggishópinn Tag að vera bundið við hvert netfang hýsils í tilgreindu undirneti. •  ipv6_address—Tilgreinir IPv6 netvistfang í sextánda ristli. •  forskeyti—(0 til128) Tilgreinir fjölda bita í netfanginu. •  sgt númer—(0–65,535) Tilgreinir öryggishópinn Tag (SGT) númer.
Skref 6	hætta Example: Tæki(stilling)# hætta	Lokar alþjóðlegri stillingarstillingu og fer aftur í forréttinda EXEC ham.

Stilla VLAN-til-SGT kortlagningu

Verkflæði til að stilla VLAN-SGT kortlagningu á Cisco TrustSec tæki.

• Búðu til VLAN á tækinu með sama VLAN_ID og komandi VLAN.
• Búðu til SVI fyrir VLAN á tækinu til að vera sjálfgefin gátt fyrir endapunktabiðlara.
• Stilltu tækið til að nota SGT á VLAN umferðina.
• Virkjaðu mælingar á IP-tækjum á tækinu.
• Tengdu tækjarakningarstefnu við VLAN.

Athugið
Í fjölrofakerfi veitir SISF-undirstaða tækjarakningu getu til að dreifa bindandi töflufærslum á milli rofa sem keyra eiginleikann. Þetta gerir ráð fyrir að bindandi færslur séu búnar til á rofanum þar sem hýsilinn birtist á aðgangsporti og engin færsla er búin til fyrir hýsil sem birtist yfir stofntengi. Til að ná þessu í fjölrofa uppsetningu, mælum við með því að þú stillir aðra stefnu og tengir hana við stofntengi, eins og lýst er í Stilling fjölskiptanets til að hætta að búa til bindandi færslur úr stofntengi, í Stilling SISF -Based Device Tracking kafla í öryggisstillingarhandbókinni.

• Staðfestu að VLAN-til-SGT kortlagning eigi sér stað á tækinu.

Málsmeðferð

	Skipun or Aðgerð	Tilgangur
Skref 1	virkja Example: Tæki# virkja	Virkjar forréttinda EXEC ham. •  Sláðu inn lykilorðið þitt ef beðið er um það.
Skref 2	stilla flugstöðina Example: Tæki# stilla flugstöðina	Fer í alþjóðlega stillingarham.
Skref 3	vlan vlan_id Example: Tæki(stilling)# vlan 100	Býr til VLAN 100 á TrustSec-hæfa gáttartækinu og fer inn í VLAN stillingarhamur.
Skref 4	[nei] lokun Example: Tæki(config-vlan)# engin lokun	Ákvæði VLAN 100.
Skref 5	hætta Example: Tæki(config-vlan)# hætta	Lokar VLAN stillingarham og fer aftur í alþjóðlega stillingarham.
Skref 6	viðmót tegund rauf / port Example: Tæki(stilling)# viðmót vlan 100	Tilgreinir gerð viðmótsins og fer í stillingarstillingu viðmóts.
Skref 7	ip tölu rauf/höfn Example: Tæki(config-if)# IP-tala 10.1.1.2 255.0.0.0	Stillir Switched Virtual Interface (SVI) fyrir VLAN 100.

Skref 8	[nei ] lokun Example: Tæki(config-if)# engin lokun	Virkjar SVI.
Skref 9	hætta Example: Tæki(config-if)# hætta	Lokar stillingarstillingu viðmóts og fer aftur í alþjóðlega stillingarham.
Skref 10	cts hlutverkabyggður sgt-map vlan-listi vlan_id sgt sgt_númer Example: Tæki(stilling)# cts hlutverkabundið sgt-map vlan-list 100 sgt 10	Úthlutar tilgreindu SGT við tilgreint VLAN.
Skref 11	tækjarakningarstefnu stefnu-nafn Example: Tæki(stilling)# stefna um rakningu tækja1	Tilgreinir stefnuna og fer í stillingarstillingar fyrir tækjarakningarstefnu.
Skref 12	mælingar virkja Example: Tæki(config-device-tracking)# mælingar virkja	Hnekkir sjálfgefnum tækjarakningarstillingum fyrir reglueiginleikann.
Skref 13	hætta Example: Tæki(config-device-tracking)# hætta	Lokar stillingarstillingu tækjarakningarstefnu og fer aftur í alþjóðlega stillingarham.
Skref 14	vlan stillingar vlan_id Example: Tæki(stilling)# vlan stillingar 100	Tilgreinir VLAN sem tækjarakningarstefnan verður tengd við og fer í VLAN stillingarham.
Skref 15	viðhengisstefnu fyrir tækjarakningu stefnu-nafn Example: Tæki (config-vlan-config)# viðhengisstefna tækjarakningar1	Hengir tækjarakningarstefnu við tilgreint VLAN.
Skref 16	enda Example: Tæki (config-vlan-config)# enda	Lokar VLAN stillingarham og fer aftur í forréttinda EXEC ham.
Skref 17	sýna cts hlutverkamiðað sgt-kort {ipv4_netaddr | ipv4_netaddr/forskeyti | ipv6_netaddr | ipv6_netaddr/forskeyti |allt [ipv4 |ipv6] |gestgjafi { ipv4 adr |ipv6_addr } |samantekt [ ipv4 |ipv6 ]	(Valfrjálst) Sýnir VLAN-til-SGT kortlagningu.

	Example: Tæki# sýna cts hlutverk byggt sgt-map allt
Skref 18	sýna tækjarakningarstefnu stefnu-nafn Example: Tæki# sýna stefnu um rakningu tækja1	(Valfrjálst) Sýnir núverandi reglueiginleika.

Herma eftir vélbúnaðarlyklageymslunni

Í þeim tilvikum þar sem lyklageymslur fyrir vélbúnað er ekki til staðar eða er ónothæfur, getur þú stillt rofann þannig að hann noti hugbúnaðarlíkingu af lyklageymslunni. Til að stilla notkun hugbúnaðarlyklageymslu skaltu framkvæma þetta verkefni:

Málsmeðferð

	Skipun or Aðgerð	Tilgangur
Skref 1	virkja Example: Tæki# virkja	Virkjar forréttinda EXEC ham. •  Sláðu inn lykilorðið þitt ef beðið er um það.
Skref 2	stilla flugstöðina Example: Tæki# stilla flugstöðina	Fer í alþjóðlega stillingarham.
Skref 3	cts keystore líkja eftir Example: Tæki(stilling)# cts keystore líkja eftir	Stillir rofann til að nota hugbúnaðarhermi fyrir lyklageymsluna í stað vélbúnaðarlyklageymslunnar.
Skref 4	hætta Example: Tæki(stilling)# hætta	Lokar stillingarstillingu.
Skref 5	sýna lyklageymslu Example: Tæki# sýna lyklageymslu	Sýnir stöðu og innihald lyklageymslunnar. Geymd leyndarmál eru ekki sýnd.

Stillir sjálfgefna leið SGT

Áður en þú byrjar
Gakktu úr skugga um að þú hafir þegar búið til sjálfgefna leið á tækinu með því að nota ip route 0.0.0.0 skipunina. Annars fær sjálfgefin leið (sem kemur með Default Route SGT) óþekktan áfangastað og því mun síðasta úrræðisáfangastaðurinn benda á CPU.

Málsmeðferð

	Skipun or Aðgerð	Tilgangur
Skref 1	virkja Example: Tæki> virkja	Virkjar forréttinda EXEC ham. •  Sláðu inn lykilorðið þitt ef beðið er um það.
Skref 2	stilla flugstöðina Example: Tæki# stilla flugstöðina	Fer í alþjóðlega stillingarham.
Skref 3	cts hlutverkabundið sgt-map 0.0.0.0/0 sgt númer Example: Device(config)# cts hlutverkabundið sgt-map 0.0.0.0/0 sgt 3	Tilgreinir SGT númerið fyrir sjálfgefna leið. Gild gildi eru frá 0 til 65,519. Athugið                    • The hýsilsfang/undirnet getur verið annað hvort IPv4 vistfang (0.0.0.0/0) eða IPv6 vistfang (0:0::/0) •  Sjálfgefin leið stillingar eru aðeins samþykktar með undirnetinu /0. Ef aðeins hýsingar-ip er slegið inn án undirnetsins /0 birtast eftirfarandi skilaboð: Tæki(stilling)#cts hlutverkamiðað sgt-kort 0.0.0.0 sgt 1000 Sjálfgefin leiðarstilling er ekki studd fyrir hýsil-ip
Skref 4	hætta Example: Tæki (config) # hætta	Lokar alþjóðlegri stillingarstillingu.

Staðfestir SGT kortlagningu

Eftirfarandi hlutar sýna hvernig á að staðfesta SGT kortlagningu:

Staðfestir undirnet-til-SGT kortlagningu
Til að birta upplýsingar um stillingar fyrir Subnet-to-SGT Mapping skaltu nota eina af eftirfarandi sýningarskipunum:

Skipun	Tilgangur
sýna cts sxp tengingar	Sýnir SXP hátalara og hlustandatengingar með rekstrarstöðu þeirra.
sýna cts sxp sgt-kort	Sýnir IP til SGT bindinga sem fluttar eru út til SXP hlustenda.
sýna running-config	Staðfestir að undirnet-til-SGT stillingarskipanirnar séu í hlaupandi stillingum file.

Staðfestir VLAN-til-SGT kortlagningu

Til að birta VLAN-til-SGT stillingarupplýsingar, notaðu eftirfarandi sýningarskipanir:

Tafla 1:

Skipun	Tilgangur
sýna tækjarakningarstefnu	Sýnir núverandi stefnueiginleika tækjarakningarstefnunnar.
sýna cts hlutverkamiðað sgt-kort	Sýnir IP-tölu-til-SGT-bindingar.

Staðfestir sjálfgefna leið SGT stillingar

Staðfestu sjálfgefna leið SGT stillingar:
tæki# sýna hlutverkabundið sgt-kort allar upplýsingar um virkar IPv4-SGT bindingar

Stillingar Ddamples fyrir SGT kortlagningu

Eftirfarandi hlutar sýna stillingar tdamples af SGT kortlagningu:

Example: Stilla tæki SGT handvirkt

• Tæki# stilla flugstöðina
• Tæki (config) # cts sgt 1234
• Tæki (config) # hætta

Example: Stillingar fyrir Subnet-to-SGT kortlagningu
Eftirfarandi frvampLe sýnir hvernig á að stilla IPv4 Subnet-to-SGT kortlagningu milli tækja sem keyra SXPv3 (Device1 and Device2):

1. Stilltu SXP hátalara/hlustendapeering á milli tækja.
   • Tæki1# stilla flugstöðina
   • Device1(config)# cts sxp virkja
   • Device1(config)# cts sxp default source-ip 1.1.1.1
   • Device1(config)# cts sxp sjálfgefið lykilorð 1syzygy1
   • Device1(config)# cts sxp tenging jafningi 2.2.2.2 lykilorð sjálfgefinn háttur staðbundinn hátalari
2. Stilltu Device2 sem SXP hlustanda á Device1.
   • Device2(config)# cts sxp virkja
   • Device2(config)# cts sxp default source-ip 2.2.2.2
   • Device2(config)# cts sxp sjálfgefið lykilorð 1syzygy1
   • Device2(config)# cts sxp tenging jafningi 1.1.1.1 lykilorð sjálfgefin stilling staðbundinn hlustandi
3. Á Device2 skaltu ganga úr skugga um að SXP tengingin virki:
   Tæki2# sýna cts sxp tengingar stutt | innihalda 1.1.1.1 1.1.1.1 2.2.2.2 Á 3:22:23:18 (dd:klst:mm:sek)
4. Stilltu undirnetin til að stækka á Tæki1.
   • Device1(config)# cts sxp kortlagning netkort 10000
   • Device1(config)# cts hlutverkabundið sgt-map 10.10.10.0/30 sgt 101
   • Device1(config)# cts hlutverkabundið sgt-map 11.11.11.0/29 sgt 11111
   • Device1(config)# cts hlutverkabundið sgt-map 192.168.1.0/28 sgt 65000
5. Á Device2, staðfestu undirnet-til-SGT stækkun frá Device1. Það ættu að vera tvær stækkanir fyrir 10.10.10.0/30 undirnetið, sex stækkanir fyrir 11.11.11.0/29 undirnetið og 14 stækkanir fyrir 192.168.1.0/28 undirnetið.
   Device2# show cts sxp sgt-map brief | innihalda 101|11111|65000
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
6. Staðfestu stækkunartöluna á tæki 1:
   Tæki1# sýna cts sxp sgt-kort
   • IP-SGT kortlagning stækkuð:22
   • Það eru engar IP-SGT kortlagningar
7. Vistaðu stillingarnar á Device1 og Device2 og farðu úr alþjóðlegri stillingarham.
   Device1(config)# copy running-config startup-config
   Device1(config)# hætta
   Device2(config)# copy running-config startup-config
   Device2(config)# hætta

Example:
Stillingar fyrir VLAN-til-SGT kortlagningu fyrir einn gestgjafa yfir aðgangshlekk.

Í eftirfarandi frvample, einn gestgjafi tengist VLAN 100 á aðgangstæki. Skipt sýndarviðmót á TrustSec tækinu er sjálfgefin gátt fyrir VLAN 100 endapunkt (IP tölu 10.1.1.1). TrustSec tækið setur öryggishóp Tag (SGT) 10 á pökkum frá VLAN 100.

1. Búðu til VLAN 100 á aðgangstæki.
   • access_device# stilla flugstöðina
   • access_device(config)# vlan 100
   • access_device (config-vlan) # engin lokun
   • access_device (config-vlan) # hætta
   • access_device(config)#
2. Stilltu viðmótið við TrustSec tækið sem aðgangshlekk. Stillingar fyrir endapunktinn
   1. aðgangsporti er sleppt í þessu frvample.
   2. access_device(config)# tengi gigabitEthernet 6/3
   3. access_device(config-if)# switchport
   4. access_device(config-if)# skiptiportham aðgangur
   5. access_device(config-if)# switchport aðgangur vlan 100
3. Búðu til VLAN 100 á TrustSec tækinu.
   • TS_device(config)# vlan 100
   • TS_device (config-vlan) # engin lokun
   • TS_device(config-vlan)# end
   • TS_tæki#
4. Búðu til SVI sem gátt fyrir komandi VLAN 100.
   • TS_device(config)# tengi vlan 100
   • TS_device(config-if)# IP-tala 10.1.1.2 255.0.0.0
   • TS_device(config-if)# engin lokun
   • TS_device(config-if)# end
   • TS_device(config)#
5. Úthluta öryggishópi Tag (SGT) 10 til gestgjafa á VLAN 100.
   • TS_device(config)# cts hlutverkabundið sgt-map vlan 100 sgt 10
6. Virkjaðu IP-tækjarakningu á TrustSec tækinu. Staðfestu að það virki.
   • TS_device(config)# ip tæki rakning
   • TS_device# sýna ip tæki að rekja allt
7. (Valfrjálst) PING sjálfgefna gáttina frá endapunkti (í þessu tdample, hýsingar IP tölu 10.1.1.1). Staðfestu að verið sé að kortleggja SGT 10 á VLAN 100 gestgjafa.
   

Example: Herma eftir vélbúnaðarlyklageymslunni
Þetta frvampLe sýnir hvernig á að stilla og staðfesta notkun hugbúnaðarlyklageymslu:

Example: Stilla Device Route SGT

• Tæki# stilla flugstöðina
• Device(config)# cts hlutverkabundið sgt-map 0.0.0.0/0 sgt 3
• Tæki (config) # hætta

Eiginleikasaga fyrir öryggishóp Tag Kortlagning

• Þessi tafla veitir útgáfu og tengdar upplýsingar fyrir þá eiginleika sem útskýrðir eru í þessari einingu.
• Þessir eiginleikar eru fáanlegir í öllum útgáfum á eftir þeirri sem þeir voru kynntir í, nema annað sé tekið fram.

Gefa út	Eiginleiki	Eiginleiki Upplýsingar
Cisco IOS XE Everest 16.5.1a	Öryggishópur Tag Kortlagning	Subnet to SGT kortlagning bindur SGT við öll hýsilföng tiltekins undirnets. Þegar þessi kortlagning hefur verið innleidd, leggur Cisco TrustSec SGT á hvaða komandi pakka sem hefur uppruna IP tölu sem tilheyrir tilgreindu undirneti.
Cisco IOS XE Gíbraltar 16.11.1	Sjálfgefin leið SGT flokkun	Sjálfgefin leið SGT úthlutar SGT tag númer á þær leiðir sem passa ekki við tiltekna leið.

Notaðu Cisco Feature Navigator til að finna upplýsingar um stuðning við vettvang og hugbúnað. Til að fá aðgang að Cisco Feature Navigator skaltu fara á http://www.cisco.com/go/cfn.

Skjöl / auðlindir

CISCO stillingaröryggishópur Tag Kortlagning [pdfNotendahandbók Stillir öryggishóp Tag Kortlagning, stillingar, öryggishópur Tag Kortlagning, Hópur Tag Kortlagning, Tag Kortlagning

Heimildir

• Notendahandbók