CISCO-ロゴ

CISCO セキュリティ グループの設定 Tag マッピング

CISCO-設定-セキュリティ-グループ-Tag-マッピング製品

製品情報

この製品ではセキュリティグループを設定できます tag (SGT) マッピング。この機能は、指定されたサブネットのすべてのホスト アドレスに SGT をバインドします。このマッピングが実装されると、Cisco TrustSec は、指定されたサブネットに属する送信元 IP アドレスを持つすべての受信パケットに SGT を適用します。

SGT マッピングの制限事項
次のコマンドはホスト IP 構成ではサポートされていません。 Device(config)#cts role-based sgt-map 0.0.0.0 sgt 1000

以上view サブネットから SGT へのマッピング

  • サブネットから SGT へのマッピングは、SGT を指定されたサブネットのすべてのホスト アドレスにバインドします。 Cisco TrustSec は、パケットの送信元 IP アドレスが指定されたサブネットに属している場合、受信パケットに SGT を課します。サブネットと SGT は CLI で次のように指定します。cts role-based sgt-map net_address/prefix sgt sgt_number グローバル設定コマンド。このコマンドを使用して単一のホストをマッピングすることもできます。
  • IPv4 ネットワークでは、Security Exchange Protocol (SXP)v3 およびより最近のバージョンは、SXPv3 ピアからサブネットの net_address/prefix 文字列を受信して​​解析できます。以前の SXP バージョンでは、SXP リスナー ピアにエクスポートする前に、サブネット プレフィックスをホスト バインディングのセットに変換します。
  • サブネット バインディングは静的であり、アクティブなホストは学習されません。これらは、SGT の適用と SGACL の施行にローカルで使用できます。パケット tagサブネットから SGT へのマッピングによって生成された情報は、レイヤ 2 またはレイヤ 3 の Cisco TrustSec リンクに伝播できます。
  • IPv6 ネットワークの場合、SXPv3 はサブネット バインディングを SXPv2 または SXPv1 ピアにエクスポートできません。

以上view VLAN から SGT へのマッピング

  • VLAN から SGT へのマッピング機能は、指定された VLAN からのパケットに SGT をバインドします。これにより、レガシー ネットワークから Cisco TrustSec 対応ネットワークへの移行が簡素化されます。
  • VLAN から SGT へのバインディングは、 cts role-based sgt-map vlan-list グローバル設定コマンド。
  • VLAN が Cisco TrustSec 対応スイッチ上のスイッチ仮想インターフェイス(SVI)であるゲートウェイに割り当てられ、そのスイッチで IP デバイス トラッキングが有効になっている場合、Cisco TrustSec は任意のアクティブ ホストに対して IP から SGT へのバインディングを作成できます。 SVI サブネットにマッピングされた VLAN 上で。
  • アクティブな VLAN ホストの IP-SGT バインディングは SXP リスナーにエクスポートされます。マッピングされた各 VLAN のバインディングは、VLAN がその SVI または cts role-based l2-vrf 指示。
  • VLAN から SGT へのバインディングは、すべてのバインディング方式の中で最も優先順位が低く、SXP または CLI ホスト設定など、他のソースからのバインディングを受信した場合には無視されます。バインディングの優先順位は、「バインディング ソースの優先順位」セクションにリストされています。

製品使用説明書

サブネットから SGT へのマッピングの設定

  1. デバイスの CLI インターフェイスにアクセスします。
  2. を使用して設定モードに入ります。 config 指示。
  3. 次のコマンドを実行して、サブネットから SGT へのマッピングを設定します。
cts role-based sgt-map net_address/prefix sgt sgt_number
  1. 交換する net_address/prefix マッピングするサブネット アドレスとプレフィックス長を指定します (例: 192.168.1.0/24)。
  2. 交換する sgt_number 目的のセキュリティグループで tag 番号。
  3. Enter キーを押して構成を適用します。
  4. 設定モードを終了します。

VLAN から SGT へのマッピングの設定

    1. デバイスの CLI インターフェイスにアクセスします。
    2. を使用して設定モードに入ります。 config 指示。
    3. 次のコマンドを実行して、VLAN から SGT へのマッピングを設定します。
cts role-based sgt-map vlan-list
  1. SGT にマッピングされる VLAN を指定します。
  2. Enter キーを押して構成を適用します。
  3. 設定モードを終了します。

仕様

  • サポートされているネットワーク: IPv4、IPv6
  • サポートされているプロトコル: Security Exchange Protocol (SXP)v3
  • サポートされているバインド方法:サブネットから SGT へのマッピング、VLAN から SGT へのマッピング

よくある質問(FAQ)

  • Q: サブネット バインディングを IPv2 ネットワークの SXPv1 または SXPv6 ピアにエクスポートできますか?
    A: いいえ、サブネット バインディングは、IPv3 ネットワーク内の SXPv6 ピアにのみエクスポートできます。
  • Q: VLAN と SGT のバインディングの優先順位は何ですか?
    A: VLAN から SGT へのバインディングは、すべてのバインディング方式の中で優先度が最も低く、他の送信元からバインディングを受信した場合は無視されます。

サブネットからセキュリティグループへ tag (SGT) マッピングは、指定されたサブネットのすべてのホスト アドレスに SGT をバインドします。このマッピングが実装されると、Cisco TrustSec は、指定されたサブネットに属する送信元 IP アドレスを持つすべての受信パケットに SGT を適用します。

SGT マッピングの制限事項

サブネットから SGT へのマッピングの制限事項

  • /4 プレフィックスを持つ IPv31 サブネットワークは拡張できません。
  • サブネット ホスト アドレスをセキュリティ グループにバインドすることはできません Tags (SGT)ネットワーク マップ バインディング パラメータが指定されたサブネット内のサブネット ホストの総数より小さい場合、またはバインディングが 0 の場合。
  • IPv6 の拡張と伝播は、Security Exchange Protocol (SXP) スピーカーとリスナーが SXPv3 以降のバージョンを実行している場合にのみ発生します。

デフォルト ルート SGT マッピングの制約事項

  • デフォルトのルート設定は、サブネット /0 でのみ受け入れられます。サブネット /0 を指定せずに host-ip のみを入力すると、次のメッセージが表示されます。CISCO-設定-セキュリティ-グループ-Tag-マッピング図- (1)

SGT マッピングに関する情報

このセクションでは、SGT マッピングについて説明します。

以上view

以上view サブネットから SGT へのマッピング
サブネットから SGT へのマッピングは、SGT を指定されたサブネットのすべてのホスト アドレスにバインドします。 Cisco TrustSec は、パケットの送信元 IP アドレスが指定されたサブネットに属している場合、受信パケットに SGT を課します。サブネットと SGT は、CLI で cts role-based sgt-map net_address/prefix sgt sgt_number グローバル コンフィギュレーション コマンドを使用して指定します。このコマンドを使用して単一のホストをマッピングすることもできます。 IPv4 ネットワークでは、Security Exchange Protocol (SXP)v3 およびより最近のバージョンは、SXPv3 ピアからサブネットの net_address/prefix 文字列を受信して​​解析できます。以前の SXP バージョンでは、SXP リスナー ピアにエクスポートする前に、サブネット プレフィックスをホスト バインディングのセットに変換します。

例えばampファイルでは、IPv4 サブネット 192.0.2.0/24 は次のように拡張されます (ホスト アドレスの 3 ビットのみ)。

  • ホストアドレス 198.0.2.1 ~ 198.0.2.7—tagged され、SXP ピアに伝播されます。
  • ネットワークおよびブロードキャスト アドレス 198.0.2.0 および 198.0.2.8 - ではない tagged され、伝播されません。

SXPv3 がエクスポートできるサブネット バインディングの数を制限するには、cts sxp Mapping network-map グローバル コンフィギュレーション コマンドを使用します。サブネット バインディングは静的であり、アクティブなホストは学習されません。これらは、SGT の適用と SGACL の施行にローカルで使用できます。パケット tagサブネットから SGT へのマッピングによって生成された情報は、レイヤ 2 またはレイヤ 3 の Cisco TrustSec リンクに伝播できます。 IPv6 ネットワークの場合、SXPv3 はサブネット バインディングを SXPv2 または SXPv1 ピアにエクスポートできません。

以上view VLAN から SGT へのマッピング
VLAN から SGT へのマッピング機能は、指定された VLAN からのパケットに SGT をバインドします。これにより、次のようにレガシー ネットワークから Cisco TrustSec 対応ネットワークへの移行が簡素化されます。

  • Cisco TrustSec には対応していないが、VLAN には対応しているデバイス(レガシー スイッチ、ワイヤレス コントローラ、アクセス ポイント、VPN など)をサポートします。
  • データセンターでのサーバーのセグメント化など、VLAN と VLAN ACL がネットワークをセグメント化するトポロジに下位互換性を提供します。
  • VLAN と SGT のバインディングは、cts role-based sgt-map vlan-list グローバル コンフィギュレーション コマンドで設定されます。
  • VLAN が Cisco TrustSec 対応スイッチ上のスイッチ仮想インターフェイス(SVI)であるゲートウェイに割り当てられ、そのスイッチで IP デバイス トラッキングが有効になっている場合、Cisco TrustSec は任意のアクティブ ホストに対して IP から SGT へのバインディングを作成できます。 SVI サブネットにマッピングされた VLAN 上で。
  • アクティブな VLAN ホストの IP-SGT バインディングは SXP リスナーにエクスポートされます。マッピングされた各 VLAN のバインディングは、SVI または cts role-based l2-vrf コマンドのいずれかによって VLAN がマッピングされる VRF に関連付けられた IP-to-SGT テーブルに挿入されます。
  • VLAN から SGT へのバインディングは、すべてのバインディング方式の中で最も優先順位が低く、SXP または CLI ホスト設定など、他のソースからのバインディングを受信した場合には無視されます。バインディングの優先順位は、「バインディング ソースの優先順位」セクションにリストされています。
バインディングソースの優先順位

Cisco TrustSec は、完全優先スキームを使用して IP-SGT バインディング ソース間の競合を解決します。元の場合ampファイルの場合、SGT はポリシー {dynamic id ピア名 | インターフェイスに適用できます。静的軍曹 tagCisco Trustsec 手動インターフェイス モード コマンド(アイデンティティ ポート マッピング)。現在の優先順位の施行順序は、最低 (1) から最高 (7) まで次のとおりです。

  1. VLAN: VLAN-SGT マッピングが設定されている VLAN 上でスヌープされた ARP パケットから学習されたバインディング。
  2. CLI: cts role-based sgt-map グローバル コンフィギュレーション コマンドの IP-SGT 形式を使用して設定されたアドレス バインディング。
  3. SXP: SXP ピアから学習したバインディング。
  4. IP_ARP: バインディングが学習されるタイミング tagged ARP パケットは、CTS 対応リンクで受信されます。
  5. 地元: EPM およびデバイス追跡を通じて学習される、認証されたホストのバインド。このタイプのバインディングには、L2 [I] PM 設定ポート上の ARP スヌーピングを介して学習される個々のホストも含まれます。
  6. 内部: ローカルに設定された IP アドレスとデバイス自体の SGT 間のバインディング。

注記
送信元 IP アドレスが、割り当てられた異なる SGT を持つ複数のサブネット プレフィックスと一致する場合、優先順位が異なる場合を除き、最も長いプレフィックス SGT が優先されます。

デフォルト ルート SGT

  • デフォルトルートセキュリティグループ Tag (SGT) デフォルト ルートに SGT 番号を割り当てます。
  • デフォルト ルートは、指定されたルートと一致しないルートであり、最終手段の宛先へのルートです。デフォルト ルートは、ルーティング テーブルに明示的にリストされていないネットワークにアドレス指定されたパケットを送信するために使用されます。

SGT マッピングを設定する方法

このセクションでは、SGT マッピングを設定する方法について説明します。

デバイス SGT の手動設定
通常の Cisco TrustSec 動作では、認証サーバは、デバイスから発信されたパケットに対して SGT をデバイスに割り当てます。認証サーバにアクセスできない場合に使用する SGT を手動で設定できますが、認証サーバによって割り当てられた SGT は手動で割り当てられた SGT よりも優先されます。

デバイス上で SGT を手動で設定するには、次の作業を実行します。

手順

  指示 or アクション 目的
ステップ1 有効にする 特権 EXEC モードを有効にします。
  Examp上:

デバイス# 有効にする

• プロンプトが表示されたら、パスワードを入力します。
ステップ2 ターミナルの構成

Examp上:

デバイス# ターミナルの構成

グローバル コンフィギュレーション モードに入ります。
ステップ3 cts軍曹 tag

Examp上:

デバイス(構成)# cts軍曹1234

Cisco TrustSec の SXP を有効にします。
ステップ4 出口

Examp上:

デバイス(構成)# 出口

グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。
サブネットから SGT へのマッピングの設定

手順

  指示 or アクション 目的
ステップ1 有効にする

Examp上:

デバイス# 有効にする

特権 EXEC モードを有効にします。

• プロンプトが表示されたら、パスワードを入力します。

ステップ2 ターミナルの構成

Examp上:

デバイス# ターミナルの構成

グローバル コンフィギュレーション モードに入ります。
ステップ3 cts sxp マッピング ネットワーク マップ バインディング

Examp上:

デバイス(構成)# cts sxp マッピング ネットワーク マップ 10000

• サブネットから SGT へのマッピングのホスト数の制約を設定します。 bindings 引数は、SGT にバインドして SXP リスナーにエクスポートできるサブネット IP ホストの最大数を指定します。

• バインディング — (0 ~ 65,535) デフォルトは 0 (拡張は実行されません)

ステップ4 cts ロールベースの sgt-map ipv4_アドレス/プレフィックス

SGT 番号

Examp上:

デバイス(構成)# cts ロールベースの sgt-map 10.10.10.10/29 sgt 1234

(IPv4) サブネットをCIDR表記で指定します。

• サブネットから SGT へのマッピングの設定を解除するには、コマンドの no 形式を使用します。手順 2 で指定したバインディングの数は、サブネット内のホスト アドレスの数 (ネットワーク アドレスとブロードキャスト アドレスを除く) と一致するか、それを超える必要があります。 sgt number キーワードはセキュリティを指定します。

    グループ Tag すべてのホストにバインドされる

指定されたサブネット内のアドレス。

• ipv4_address - IPv4 ネットワーク アドレスをドット区切り XNUMX 進表記で指定します。

• prefix—(0 ~ 30) ネットワーク アドレスのビット数を指定します。

•  SGT 数値:(0 ~ 65,535)セキュリティ グループを指定します。 Tag (SGT) 番号。

ステップ5 cts ロールベースの sgt-map ipv6_アドレス::プレフィックス

SGT 番号

Examp上:

デバイス(構成)# cts 役割ベースの軍曹マップ 2020::/64 軍曹 1234

(IPv6) サブネットをコロン XNUMX 進数で指定します。サブネットから SGT へのマッピングの設定を解除するには、コマンドの no 形式を使用します。

手順 2 で指定したバインディングの数は、サブネット内のホスト アドレスの数 (ネットワーク アドレスとブロードキャスト アドレスを除く) と一致するか、それを超える必要があります。 sgt number キーワードはセキュリティ グループを指定します Tag 指定されたサブネット内のすべてのホスト アドレスにバインドされます。

• ipv6_address - IPv6 ネットワーク アドレスをコロン XNUMX 進表記で指定します。

• prefix—(0 ~ 128) ネットワーク アドレスのビット数を指定します。

•  SGT 数値:(0 ~ 65,535)セキュリティ グループを指定します。 Tag (SGT) 番号。

ステップ6 出口

Examp上:

デバイス(構成)# 出口

グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。
VLAN から SGT へのマッピングの設定

Cisco TrustSec デバイスで VLAN-SGT マッピングを設定するためのタスク フロー。

  • 受信 VLAN と同じ VLAN_ID を持つデバイス上に VLAN を作成します。
  • エンドポイント クライアントのデフォルト ゲートウェイとなるデバイス上の VLAN の SVI を作成します。
  • SGT を VLAN トラフィックに適用するようにデバイスを設定します。
  • デバイス上で IP デバイス追跡を有効にします。
  • デバイス追跡ポリシーを VLAN にアタッチします。

注記
マルチスイッチ ネットワークでは、SISF ベースのデバイス トラッキングにより、この機能を実行しているスイッチ間でバインディング テーブル エントリを配布する機能が提供されます。これは、ホストがアクセス ポート上に表示されるスイッチ上にバインディング エントリが作成され、トランク ポート上に表示されるホストに対してはエントリが作成されないことを前提としています。マルチスイッチ設定でこれを実現するには、「SISF の設定」の「トランク ポートからのバインディング エントリの作成を停止するためのマルチスイッチ ネットワークの設定」の手順で説明されているように、別のポリシーを設定してトランク ポートに付加することをお勧めします。 -「セキュリティ構成ガイド」の「ベースのデバイス追跡」の章。

  • VLAN から SGT へのマッピングがデバイス上で行われていることを確認します。

手順

  指示 or アクション 目的
ステップ1 有効にする

Examp上:

デバイス# 有効にする

特権 EXEC モードを有効にします。

• プロンプトが表示されたら、パスワードを入力します。

ステップ2 ターミナルの構成

Examp上:

デバイス# ターミナルの構成

グローバル コンフィギュレーション モードに入ります。
ステップ3 VLAN vlan_id

Examp上:

デバイス(構成)# VLAN 100

TrustSec 対応ゲートウェイ デバイス上に VLAN 100 を作成し、VLAN に入ります

構成モード。

ステップ4 [いいえ] シャットダウン

Examp上:

デバイス(config-vlan)# シャットダウンなし

VLAN 100 をプロビジョニングします。
ステップ5 出口

Examp上:

デバイス(config-vlan)# 出口

VLAN コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。
ステップ6 インタフェース タイプ スロット/ポート

Examp上:

デバイス(構成)# インターフェースVLAN100

インターフェイス タイプを指定し、インターフェイス コンフィギュレーション モードを開始します。
ステップ7 IPアドレス スロット/ポート

Examp上:

デバイス(config-if)# IPアドレス 10.1.1.2 255.0.0.0

VLAN 100 のスイッチ仮想インターフェイス(SVI)を設定します。
ステップ8 [いいえ ] シャットダウン

Examp上:

デバイス(config-if)# シャットダウンなし

SVI を有効にします。
ステップ9 出口

Examp上:

デバイス(config-if)# 出口

インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。
ステップ10 cts ロールベースの sgt-map vlan-list vlan_id SGT

軍曹番号

Examp上:

デバイス(構成)# cts ロールベース sgt-map vlan-list 100 sgt 10

指定された SGT を指定された VLAN に割り当てます。
ステップ11 デバイス追跡ポリシー ポリシー名

Examp上:

デバイス(構成)# デバイス追跡ポリシー ポリシー1

ポリシーを指定し、デバイス追跡ポリシー コンフィギュレーション モードを開始します。
ステップ12 追跡を有効にする

Examp上:

デバイス(config-device-tracking)# トラッキング 有効にする

ポリシー属性のデフォルトのデバイス追跡設定をオーバーライドします。
ステップ13 出口

Examp上:

デバイス(config-device-tracking)# 出口

デバイス追跡ポリシー コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。
ステップ14 VLAN設定 vlan_id

Examp上:

デバイス(構成)# VLAN 構成 100

デバイス追跡ポリシーが適用される VLAN を指定し、VLAN コンフィギュレーション モードを開始します。
ステップ15 デバイス追跡接続ポリシー ポリシー名

Examp上:

デバイス(config-vlan-config)#

デバイス追跡アタッチポリシーポリシー1

デバイス追跡ポリシーを指定された VLAN にアタッチします。
ステップ16 終わり

Examp上:

デバイス(config-vlan-config)# 終わり

VLAN コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。
ステップ17 show cts ロールベースの sgt-map {ipv4_netaddr

| ipv4_netaddr/プレフィックス | ipv6_netaddr | ipv6_netaddr/プレフィックス |全て [IPv4 の |IPv6 の] |ホスト { ipv4 アドレス |ipv6_addr } |まとめ [ IPv4 の

|IPv6 の ]

(任意)VLAN から SGT へのマッピングを表示します。
  Examp上:

デバイス# show cts role-based sgt-map all

 
ステップ18 デバイス追跡ポリシーを表示 ポリシー名

Examp上:

デバイス# show device-tracking ポリシーpolicy1

(オプション) 現在のポリシー属性を表示します。
ハードウェアキーストアのエミュレーション

ハードウェア キーストアが存在しないか使用できない場合は、キーストアのソフトウェア エミュレーションを使用するようにスイッチを構成できます。ソフトウェア キーストアの使用を設定するには、次の作業を実行します。

手順

  指示 or アクション 目的
ステップ1 有効にする

Examp上:

デバイス# 有効にする

特権 EXEC モードを有効にします。

• プロンプトが表示されたら、パスワードを入力します。

ステップ2 ターミナルの構成

Examp上:

デバイス# ターミナルの構成

グローバル コンフィギュレーション モードに入ります。
ステップ3 ctsキーストアエミュレート

Examp上:

デバイス(構成)# ctsキーストアエミュレート

ハードウェア キーストアの代わりにキーストアのソフトウェア エミュレーションを使用するようにスイッチを設定します。
ステップ4 出口

Examp上:

デバイス(構成)# 出口

設定モードを終了します。
ステップ5 キーストアを表示

Examp上:

デバイス# キーストアを表示

キーストアのステータスと内容を表示します。保存されているシークレットは表示されません。

デフォルトルート SGT の設定

始める前に
ip Route 0.0.0.0 コマンドを使用して、デバイス上にデフォルト ルートがすでに作成されていることを確認してください。それ以外の場合、デフォルト ルート(デフォルト ルート SGT に付属)は不明な宛先を取得するため、最終手段の宛先は CPU を指すことになります。

手順

  指示 or アクション 目的
ステップ1 有効にする

Examp上:

デバイス>有効

特権 EXEC モードを有効にします。

• プロンプトが表示されたら、パスワードを入力します。

ステップ2 ターミナルの構成

Examp上:

デバイス# 端末の設定

グローバル コンフィギュレーション モードに入ります。
ステップ3 cts ロールベースの sgt-map 0.0.0.0/0 sgt 番号

Examp上:

デバイス(config)# cts role-based sgt-map 0.0.0.0/0 sgt 3

デフォルト ルートの SGT 番号を指定します。有効な値は 0 ~ 65,519 です。

注記                    ホストアドレス/サブネット IPv4 アドレス (0.0.0.0/0) または IPv6 アドレス (0:0::/0) のいずれかを指定できます。

• デフォルトルート

構成はサブネットでのみ受け入れられます /0。サブネット /0 を指定せずに host-ip のみを入力すると、次のメッセージが表示されます。

デバイス(構成)#cts 役割ベースの軍曹マップ

0.0.0.0 1000軍曹 デフォルトのルート設定はホスト IP ではサポートされていません

ステップ4 出口

Examp上:

デバイス(config)# 終了

グローバル コンフィギュレーション モードを終了します。

SGT マッピングの確認

次のセクションでは、SGT マッピングを確認する方法を示します。

サブネットから SGT へのマッピング設定の確認
サブネットから SGT へのマッピングの設定情報を表示するには、次のいずれかの show コマンドを使用します。

指示 目的
cts sxp 接続を表示 SXP スピーカーとリスナーの接続とその動作ステータスを表示します。
cts sxp sgt-map を表示 SXP リスナーにエクスポートされた IP から SGT へのバインディングを表示します。
実行中の設定を表示 サブネットから SGT への設定コマンドが実行コンフィギュレーションに含まれていることを確認します。 file.

VLAN から SGT へのマッピングの確認

VLAN から SGT への設定情報を表示するには、次の show コマンドを使用します。

表1:

指示 目的
デバイス追跡ポリシーを表示 デバイス追跡ポリシーの現在のポリシー属性を表示します。
show cts ロールベースの sgt-map IP アドレスと SGT のバインディングを表示します。

デフォルトルートの SGT 設定の確認

デフォルト ルートの SGT 設定を確認します。
device# show role-based sgt-map all アクティブな IPv4-SGT バインディング情報

CISCO-設定-セキュリティ-グループ-Tag-マッピング図- (2)

構成例ampSGT マッピングのファイル

次のセクションでは、例の構成を示します。ampSGT マッピングのファイル:

Exampファイル: デバイス SGT の手動設定

  • デバイス# 端末の設定
  • デバイス(構成)# cts sgt 1234
  • デバイス(config)# 終了

Exampファイル: サブネットから SGT へのマッピングの設定
次の例ampこのファイルは、SXPv4 を実行しているデバイス(Device3 と Device1)間で IPv2 サブネットから SGT へのマッピングを設定する方法を示しています。

  1. デバイス間の SXP スピーカー/リスナー ピアリングを構成します。
    • Device1# 端末を構成する
    • Device1(config)# cts sxp を有効にする
    • Device1(config)# cts sxp デフォルトのソース IP 1.1.1.1
    • Device1(config)# cts sxp デフォルトのパスワード 1syzygy1
    • Device1(config)# cts sxp 接続ピア 2.2.2.2 パスワード デフォルト モード ローカル スピーカー
  2. Device2 を Device1 の SXP リスナーとして設定します。
    • Device2(config)# cts sxp を有効にする
    • Device2(config)# cts sxp デフォルトのソース IP 2.2.2.2
    • Device2(config)# cts sxp デフォルトのパスワード 1syzygy1
    • Device2(config)# cts sxp 接続ピア 1.1.1.1 パスワード デフォルト モード ローカル リスナー
  3. Device2 で、SXP 接続が動作していることを確認します。
    Device2# cts sxp 接続の概要を表示 | 1.1.1.1 1.1.1.1 2.2.2.2 を含む 3:22:23:18 (dd:hr:mm:sec)
  4. Device1 で拡張されるサブネットワークを構成します。
    • Device1(config)# cts sxp マッピング ネットワーク マップ 10000
    • Device1(config)# cts role-based sgt-map 10.10.10.0/30 sgt 101
    • Device1(config)# cts role-based sgt-map 11.11.11.0/29 sgt 11111
    • Device1(config)# cts role-based sgt-map 192.168.1.0/28 sgt 65000
  5. Device2 で、Device1 からサブネットから SGT への拡張を確認します。 10.10.10.0/30 サブネットワークには 11.11.11.0 つの拡張、29/14 サブネットワークには 192.168.1.0 つの拡張、28/XNUMX サブネットワークには XNUMX の拡張が必要です。
    Device2# show cts sxp sgt-map 概要 | 101|11111|65000を含む
    • IPv4、SGT:
    • IPv4、SGT:
    • IPv4、SGT:
    • IPv4、SGT:
    • IPv4、SGT:
    • IPv4、SGT:
    • IPv4、SGT:
    • IPv4、SGT:
    • IPv4、SGT:
    • IPv4、SGT:
    • IPv4、SGT:
    • IPv4、SGT:
    • IPv4、SGT:
    • IPv4、SGT:
    • IPv4、SGT:
    • IPv4、SGT:
    • IPv4、SGT:
    • IPv4、SGT:
    • IPv4、SGT:
    • IPv4、SGT:
    • IPv4、SGT:
    • IPv4、SGT:
  6. Device1 の拡張数を確認します。
    Device1# show cts sxp sgt-map
    • 拡張された IP-SGT マッピング:22
    • IP-SGT マッピングはありません
  7. Device1 と Device2 の設定を保存し、グローバル コンフィギュレーション モードを終了します。
    Device1(config)# 実行コンフィギュレーションのコピー スタートアップコンフィギュレーション
    Device1(config)# 終了
    Device2(config)# 実行コンフィギュレーションのコピー スタートアップコンフィギュレーション
    Device2(config)# 終了

Examp上:
アクセス リンク上の単一ホストの VLAN から SGT へのマッピングの設定。

次の例ではampたとえば、単一のホストがアクセス デバイス上の VLAN 100 に接続します。 TrustSec デバイス上のスイッチ仮想インターフェイスは、VLAN 100 エンドポイント (IP アドレス 10.1.1.1) のデフォルト ゲートウェイです。 TrustSec デバイスはセキュリティ グループを課します Tag (SGT) VLAN 10 からのパケットでは 100。

  1. アクセスデバイス上に VLAN 100 を作成します。
    • access_device# 端末を構成する
    • access_device(config)# vlan 100
    • access_device(config-vlan)# シャットダウンなし
    • access_device(config-vlan)# exit
    • アクセスデバイス(構成)#
  2. TrustSec デバイスへのインターフェイスをアクセス リンクとして設定します。エンドポイントの構成
    1. この例ではアクセス ポートは省略されていますampル。
    2. access_device(config)# インターフェイス ギガビットイーサネット 6/3
    3. access_device(config-if)# スイッチポート
    4. access_device(config-if)# スイッチポートモードアクセス
    5. access_device(config-if)# スイッチポート アクセス VLAN 100
  3. TrustSec デバイス上に VLAN 100 を作成します。
    • TS_device(config)# vlan 100
    • TS_device(config-vlan)# シャットダウンなし
    • TS_device(config-vlan)# 終了
    • TS_デバイス#
  4. 受信 VLAN 100 のゲートウェイとして SVI を作成します。
    • TS_device(config)# インターフェイス VLAN 100
    • TS_device(config-if)# IP アドレス 10.1.1.2 255.0.0.0
    • TS_device(config-if)# シャットダウンなし
    • TS_device(config-if)# 終了
    • TS_デバイス(構成)#
  5. セキュリティグループの割り当て Tag (SGT) 10 を VLAN 100 上のホストに送信します。
    • TS_device(config)# cts role-based sgt-map vlan 100 sgt 10
  6. TrustSec デバイスで IP デバイス トラッキングを有効にします。動作していることを確認します。
    • TS_device(config)# ip デバイス追跡
    • TS_device# すべての IP デバイス追跡を表示CISCO-設定-セキュリティ-グループ-Tag-マッピング図- (3)
  7. (オプション) エンドポイントからデフォルト ゲートウェイに PING を実行します (この例では、ampファイル、ホスト IP アドレス 10.1.1.1)。 SGT 10 が VLAN 100 ホストにマッピングされていることを確認します。
    CISCO-設定-セキュリティ-グループ-Tag-マッピング図- (4)

Exampファイル: ハードウェア キーストアのエミュレーション
この元ampこのファイルは、ソフトウェア キーストアの使用を構成および確認する方法を示しています。

CISCO-設定-セキュリティ-グループ-Tag-マッピング図- (5)

Exampファイル: デバイス ルート SGT の設定

  • デバイス# 端末の設定
  • デバイス(config)# cts role-based sgt-map 0.0.0.0/0 sgt 3
  • デバイス(config)# 終了

セキュリティグループの機能履歴 Tag マッピング

  • この表には、このモジュールで説明されている機能のリリースおよび関連情報が記載されています。
  • これらの機能は、特に明記されていない限り、導入された後のすべてのリリースで利用できます。
リリース 特徴 特徴 情報
Cisco IOS XE エベレスト 16.5.1a セキュリティグループ Tag マッピング サブネットから SGT へのマッピングは、SGT を指定されたサブネットのすべてのホスト アドレスにバインドします。このマッピングが実装されると、Cisco TrustSec は、指定されたサブネットに属する送信元 IP アドレスを持つすべての受信パケットに SGT を適用します。
Cisco IOS XE ジブラルタル 16.11.1 デフォルト ルート SGT 分類 デフォルト ルート SGT による SGT の割り当て tag 指定されたルートに一致しないルートに番号を追加します。

Cisco Feature Navigator を使用して、プラットフォームおよびソフトウェア イメージのサポートに関する情報を検索します。 Cisco Feature Navigator にアクセスするには、次の場所に移動します。 http://www.cisco.com/go/cfn.

ドキュメント / リソース

CISCO セキュリティ グループの設定 Tag マッピング [pdf] ユーザーガイド
セキュリティグループの構成 Tag マッピング、設定、セキュリティグループ Tag マッピング、グループ Tag マッピング、 Tag マッピング

参考文献

コメントを残す

あなたのメールアドレスは公開されません。 必須項目はマークされています *