CISCO უსაფრთხოების ჯგუფის კონფიგურაცია Tag რუკების შედგენა

პროდუქტის ინფორმაცია

პროდუქტი საშუალებას იძლევა უსაფრთხოების ჯგუფის კონფიგურაცია tag (SGT) რუკა. ეს ფუნქცია აკავშირებს SGT- ს მითითებული ქვესახეობის ყველა მასპინძელ მისამართს. ამ რუკის განხორციელების შემდეგ, Cisco TrustSec აწესებს SGT-ს ნებისმიერ შემოსულ პაკეტზე, რომელსაც აქვს წყაროს IP მისამართი, რომელიც ეკუთვნის მითითებულ ქვექსელს.

შეზღუდვები SGT რუკებისთვის
შემდეგი ბრძანება არ არის მხარდაჭერილი ჰოსტის IP კონფიგურაციისთვის: Device(config)#cts role-based sgt-map 0.0.0.0 sgt 1000

დასრულდაview Subnet-to-SGT Mapping-ის

• Subnet-to-SGT რუკება აკავშირებს SGT-ს მითითებული ქვექსელის ყველა ჰოსტის მისამართს. Cisco TrustSec აწესებს SGT-ს შემომავალ პაკეტზე, როდესაც პაკეტის წყაროს IP მისამართი ეკუთვნის მითითებულ ქვექსელს. ქვექსელი და SGT მითითებულია CLI-შიcts role-based sgt-map net_address/prefix sgt sgt_number გლობალური კონფიგურაციის ბრძანება. ერთი ჰოსტი ასევე შეიძლება დაფიქსირდეს ამ ბრძანებით.
• IPv4 ქსელებში, უსაფრთხოების გაცვლის პროტოკოლს (SXP)v3 და უფრო უახლეს ვერსიებს, შეუძლიათ მიიღონ და გააანალიზონ ქვექსელის net_address/პრეფიქსის სტრიქონები SXPv3 თანატოლებისგან. SXP-ის ადრინდელი ვერსიები ქვექსელის პრეფიქსს გარდაქმნის მასპინძელ კავშირების კომპლექტად, სანამ ისინი SXP მსმენელთან გაიტანენ.
• ქვექსელის შეკვრა სტატიკურია, აქტიური ჰოსტების სწავლა არ არის. ისინი შეიძლება გამოყენებულ იქნას ადგილობრივად SGT დაწესებისა და SGACL აღსრულებისთვის. პაკეტები tagგადაყვანილი ქვექსელიდან SGT რუკებით შეიძლება გავრცელდეს Layer 2 ან Layer 3 Cisco TrustSec ბმულებზე.
• IPv6 ქსელებისთვის, SXPv3 არ შეუძლია ქვექსელის კავშირების ექსპორტი SXPv2 ან SXPv1 თანატოლებთან.

დასრულდაview VLAN-to-SGT რუკების შესახებ

• VLAN-to-SGT რუკების ფუნქცია აკავშირებს SGT-ს პაკეტებს მითითებული VLAN-დან. ეს ამარტივებს მიგრაციას მემკვიდრეობიდან Cisco TrustSec-ის მქონე ქსელებში.
• VLAN-to-SGT კავშირი კონფიგურირებულია cts role-based sgt-map vlan-list გლობალური კონფიგურაციის ბრძანება.
• როდესაც VLAN-ს მინიჭებული აქვს კარიბჭე, რომელიც არის ჩართული ვირტუალური ინტერფეისი (SVI) Cisco TrustSec-ის მქონე გადამრთველზე და IP Device Tracking ჩართულია ამ გადამრთველზე, მაშინ Cisco TrustSec-ს შეუძლია შექმნას IP-to-SGT კავშირი ნებისმიერი აქტიური ჰოსტისთვის. იმ VLAN-ზე, რომელიც შედგენილია SVI ქვექსელზე.
• IP-SGT შეკვრა აქტიური VLAN ჰოსტებისთვის ექსპორტირებულია SXP მსმენელებში. თითოეული რუკირებული VLAN-ის შეკვრა ჩასმულია IP-to-SGT ცხრილში, რომელიც ასოცირდება VRF-თან, რომელზეც VLAN არის შედგენილი მისი SVI ან cts role-based l2-vrf ბრძანება.
• VLAN-to-SGT აკინძებს აქვთ ყველაზე დაბალი პრიორიტეტი ყველა სავალდებულო მეთოდთან შედარებით და იგნორირებულია სხვა წყაროებიდან შეკავშირების მიღებისას, როგორიცაა SXP ან CLI ჰოსტის კონფიგურაციებიდან. სავალდებულო პრიორიტეტები ჩამოთვლილია სავალდებულო წყაროს პრიორიტეტების განყოფილებაში.

პროდუქტის გამოყენების ინსტრუქცია

მიმდინარეობს Subnet-to-SGT Mapping-ის კონფიგურაცია

1. წვდომა მოწყობილობის CLI ინტერფეისზე.
2. შედით კონფიგურაციის რეჟიმში გამოყენებით config ბრძანება.
3. შეასრულეთ შემდეგი ბრძანება subnet-to-SGT რუკების კონფიგურაციისთვის:

cts role-based sgt-map net_address/prefix sgt sgt_number

1. ჩანაცვლება net_address/prefix ქვექსელის მისამართით და პრეფიქსის სიგრძით, რომლის დახატვა გსურთ (მაგ., 192.168.1.0/24).
2. ჩანაცვლება sgt_number სასურველ უსაფრთხოების ჯგუფთან ერთად tag ნომერი.
3. დააჭირეთ Enter კონფიგურაციის გამოსაყენებლად.
4. გამოდით კონფიგურაციის რეჟიმიდან.

VLAN-to-SGT რუკების კონფიგურაცია

1. 1. წვდომა მოწყობილობის CLI ინტერფეისზე.
   2. შედით კონფიგურაციის რეჟიმში გამოყენებით config ბრძანება.
   3. შეასრულეთ შემდეგი ბრძანება VLAN-to-SGT რუკების კონფიგურაციისთვის:

cts role-based sgt-map vlan-list

1. მიუთითეთ VLAN-ები SGT-ებთან შესატანად.
2. დააჭირეთ Enter კონფიგურაციის გამოსაყენებლად.
3. გამოდით კონფიგურაციის რეჟიმიდან.

სპეციფიკაციები

• მხარდაჭერილი ქსელები: IPv4, IPv6
• მხარდაჭერილი პროტოკოლები: უსაფრთხოების გაცვლის პროტოკოლი (SXP)v3
• მხარდაჭერილი დაკავშირების მეთოდები: Subnet-to-SGT Mapping, VLAN-to-SGT Mapping

ხშირად დასმული კითხვები (FAQ)

• Q: შეიძლება თუ არა ქვექსელის კავშირების ექსპორტი SXPv2 ან SXPv1 თანატოლებში IPv6 ქსელებში?
  პასუხი: არა, ქვექსელური კავშირების ექსპორტი შესაძლებელია მხოლოდ SXPv3-ის თანატოლებთან IPv6 ქსელებში.
• Q: რა არის VLAN-to-SGT აკინძვის პრიორიტეტი?
  A: VLAN-to-SGT შეკვრას აქვს ყველაზე დაბალი პრიორიტეტი ყველა სავალდებულო მეთოდს შორის და იგნორირებულია სხვა წყაროებიდან შეკავშირების მიღებისას.

ქვექსელი უსაფრთხოების ჯგუფში tag (SGT) რუკა აკავშირებს SGT-ს მითითებული ქვექსელის ყველა ჰოსტის მისამართთან. ამ რუკის განხორციელების შემდეგ, Cisco TrustSec აწესებს SGT-ს ნებისმიერ შემოსულ პაკეტზე, რომელსაც აქვს წყაროს IP მისამართი, რომელიც ეკუთვნის მითითებულ ქვექსელს.

შეზღუდვები SGT რუკებისთვის

შეზღუდვები Subnet-to-SGT რუკებისთვის

• IPv4 ქვექსელი /31 პრეფიქსით ვერ გაფართოვდება.
• ქვექსელის ჰოსტის მისამართები არ შეიძლება იყოს მიბმული უსაფრთხოების ჯგუფთან Tags (SGT)s, როდესაც ქსელის რუქის შეკავშირების პარამეტრი ნაკლებია ქვექსელის ჰოსტების საერთო რაოდენობაზე მითითებულ ქვექსელებში, ან როცა კავშირი არის 0.
• IPv6 გაფართოება და გავრცელება ხდება მხოლოდ მაშინ, როდესაც უსაფრთხოების გაცვლის პროტოკოლის (SXP) სპიკერი და მსმენელი მუშაობს SXPv3 ან უფრო უახლეს ვერსიებზე.

ნაგულისხმევი მარშრუტის SGT რუკების შეზღუდვა

• მარშრუტის ნაგულისხმევი კონფიგურაცია მიიღება მხოლოდ ქვექსელში /0. მხოლოდ ჰოსტ-ip-ის შეყვანა ქვექსელის გარეშე /0 აჩვენებს შემდეგ შეტყობინებას:

ინფორმაცია SGT Mapping-ის შესახებ

ამ განყოფილებაში მოცემულია ინფორმაცია SGT რუკების შესახებ.

დასრულდაview

დასრულდაview Subnet-to-SGT Mapping-ის
Subnet-to-SGT რუკება აკავშირებს SGT-ს მითითებული ქვექსელის ყველა ჰოსტის მისამართს. Cisco TrustSec აწესებს SGT-ს შემომავალ პაკეტზე, როდესაც პაკეტის წყაროს IP მისამართი ეკუთვნის მითითებულ ქვექსელს. ქვექსელი და SGT მითითებულია CLI-ში cts როლზე დაფუძნებული sgt-map net_address/prefix sgt sgt_number გლობალური კონფიგურაციის ბრძანებით. ერთი ჰოსტი ასევე შეიძლება დაფიქსირდეს ამ ბრძანებით. IPv4 ქსელებში, უსაფრთხოების გაცვლის პროტოკოლს (SXP)v3 და უფრო უახლეს ვერსიებს, შეუძლიათ მიიღონ და გააანალიზონ ქვექსელის net_address/პრეფიქსის სტრიქონები SXPv3 თანატოლებისგან. SXP-ის ადრინდელი ვერსიები ქვექსელის პრეფიქსს გარდაქმნის მასპინძელ კავშირების კომპლექტად, სანამ ისინი SXP მსმენელთან გაიტანენ.

მაგampასევე, IPv4 ქვექსელი 192.0.2.0/24 გაფართოებულია შემდეგნაირად (მხოლოდ 3 ბიტი ჰოსტის მისამართებისთვის):

• მასპინძლის მისამართები 198.0.2.1 - 198.0.2.7-tagged და გავრცელდა SXP peer-ზე.
• ქსელის და სამაუწყებლო მისამართები 198.0.2.0 და 198.0.2.8 — არა tagged და არა გამრავლებული.

SXPv3-ის ქვექსელების შეკვრის რაოდენობის შესაზღუდად, რომელსაც შეუძლია ექსპორტირება, გამოიყენეთ cts sxp mapping network-map გლობალური კონფიგურაციის ბრძანება. ქვექსელის შეკვრა სტატიკურია, აქტიური ჰოსტების სწავლა არ არის. ისინი შეიძლება გამოყენებულ იქნას ადგილობრივად SGT დაწესებისა და SGACL აღსრულებისთვის. პაკეტები tagგადაყვანილი ქვექსელიდან SGT რუკებით შეიძლება გავრცელდეს Layer 2 ან Layer 3 Cisco TrustSec ბმულებზე. IPv6 ქსელებისთვის, SXPv3 არ შეუძლია ქვექსელის კავშირების ექსპორტი SXPv2 ან SXPv1 თანატოლებთან.

დასრულდაview VLAN-to-SGT რუკების შესახებ
VLAN-to-SGT რუკების ფუნქცია აკავშირებს SGT-ს პაკეტებს მითითებული VLAN-დან. ეს ამარტივებს მიგრაციას მემკვიდრეობიდან Cisco TrustSec-ის მქონე ქსელებში შემდეგნაირად:

• მხარს უჭერს მოწყობილობებს, რომლებსაც არ გააჩნიათ Cisco TrustSec-ის უნარი, მაგრამ აქვთ VLAN-ის ფუნქციონირება, როგორიცაა, ძველი კონცენტრატორები, უკაბელო კონტროლერები, წვდომის წერტილები, VPN და ა.შ.
• უზრუნველყოფს უკანა თავსებადობას ტოპოლოგიებისთვის, სადაც VLAN და VLAN ACL ქსელის სეგმენტირებას ახდენს, როგორიცაა სერვერის სეგმენტაცია მონაცემთა ცენტრებში.
• VLAN-to-SGT დაკავშირება კონფიგურირებულია cts როლზე დაფუძნებული sgt-map vlan-list გლობალური კონფიგურაციის ბრძანებით.
• როდესაც VLAN-ს მინიჭებული აქვს კარიბჭე, რომელიც არის ჩართული ვირტუალური ინტერფეისი (SVI) Cisco TrustSec-ის მქონე გადამრთველზე და IP Device Tracking ჩართულია ამ გადამრთველზე, მაშინ Cisco TrustSec-ს შეუძლია შექმნას IP-to-SGT კავშირი ნებისმიერი აქტიური ჰოსტისთვის. იმ VLAN-ზე, რომელიც შედგენილია SVI ქვექსელზე.
• IP-SGT შეკვრა აქტიური VLAN ჰოსტებისთვის ექსპორტირებულია SXP მსმენელებში. თითოეული შედგენილი VLAN-ის შეკვრა ჩასმულია IP-to-SGT ცხრილში, რომელიც ასოცირდება VRF-თან, რომელზეც VLAN არის შედგენილი მისი SVI ან cts როლზე დაფუძნებული l2-vrf ბრძანებით.
• VLAN-to-SGT აკინძებს აქვთ ყველაზე დაბალი პრიორიტეტი ყველა სავალდებულო მეთოდთან შედარებით და იგნორირებულია სხვა წყაროებიდან შეკავშირების მიღებისას, როგორიცაა SXP ან CLI ჰოსტის კონფიგურაციებიდან. სავალდებულო პრიორიტეტები ჩამოთვლილია სავალდებულო წყაროს პრიორიტეტების განყოფილებაში.

სავალდებულო წყაროს პრიორიტეტები

Cisco TrustSec წყვეტს კონფლიქტებს IP-SGT სავალდებულო წყაროებს შორის მკაცრი პრიორიტეტული სქემით. მაგampასევე, SGT შეიძლება გამოყენებულ იქნას ინტერფეისზე პოლიტიკით {dynamic ID peer-name | სტატიკური სგტ tag} Cisco Trustsec Manual ინტერფეისის რეჟიმის ბრძანება (Identity Port Mapping). ამჟამინდელი პრიორიტეტული სააღსრულებო ორდერი, ყველაზე დაბალი (1)-დან უმაღლეს (7-მდე), ასეთია:

1. VLAN: შეკვრა, რომელიც შეიტყო შენახული ARP პაკეტებიდან VLAN-ზე, რომელსაც აქვს VLAN-SGT რუკების კონფიგურაცია.
2. CLI: მისამართის საკინძები კონფიგურირებულია cts როლზე დაფუძნებული sgt-map გლობალური კონფიგურაციის ბრძანების IP-SGT ფორმის გამოყენებით.
3. SXP: SXP-ის თანატოლებისგან ნასწავლი კავშირი.
4. IP_ARP: ბინდები ისწავლა როდის tagged ARP პაკეტები მიიღება CTS-ის მქონე ბმულზე.
5. ლოკალური: ავტორიზებული ჰოსტების დაკავშირება, რომლებიც ისწავლება EPM და მოწყობილობის თვალთვალის საშუალებით. ამ ტიპის აკინძვა ასევე მოიცავს ცალკეულ ჰოსტებს, რომლებიც სწავლობენ ARP სნოოპინგის საშუალებით L2 [I] PM-კონფიგურირებულ პორტებზე.
6. შიდა: დაკავშირება ადგილობრივად კონფიგურირებულ IP მისამართებსა და მოწყობილობის საკუთარ SGT-ს შორის.

შენიშვნა
თუ წყაროს IP მისამართი ემთხვევა რამდენიმე ქვექსელის პრეფიქსს სხვადასხვა მინიჭებულ SGT-ებთან, მაშინ ყველაზე გრძელი პრეფიქსი SGT იკავებს უპირატესობას, თუ პრიორიტეტი არ განსხვავდება.

ნაგულისხმევი მარშრუტი SGT

• ნაგულისხმევი მარშრუტის უსაფრთხოების ჯგუფი Tag (SGT) ანიჭებს SGT ნომერს ნაგულისხმევ მარშრუტებს.
• ნაგულისხმევი მარშრუტი არის ის მარშრუტი, რომელიც არ ემთხვევა მითითებულ მარშრუტს და, შესაბამისად, არის მარშრუტი ბოლო კურორტის დანიშნულებისკენ. ნაგულისხმევი მარშრუტები გამოიყენება პაკეტების მიმართული ქსელებისთვის, რომლებიც პირდაპირ არ არის ჩამოთვლილი მარშრუტიზაციის ცხრილში.

როგორ დავაკონფიგურიროთ SGT Mapping

ამ განყოფილებაში აღწერილია, თუ როგორ უნდა დააკონფიგურიროთ SGT რუქა.

SGT მოწყობილობის ხელით კონფიგურაცია
Cisco TrustSec-ის ნორმალურ ოპერაციებში, ავთენტიფიკაციის სერვერი ანიჭებს SGT-ს მოწყობილობას მოწყობილობიდან წარმოშობილი პაკეტებისთვის. თქვენ შეგიძლიათ ხელით დააკონფიგურიროთ SGT გამოსაყენებლად, თუ ავტორიზაციის სერვერი მიუწვდომელია, მაგრამ ავტორიზაციის სერვერის მიერ მინიჭებული SGT უპირატესობა ექნება ხელით მინიჭებულ SGT-ს.

მოწყობილობაზე SGT-ის ხელით კონფიგურაციისთვის შეასრულეთ ეს დავალება:

პროცედურა

	ბრძანება or მოქმედება	მიზანი
ნაბიჯი 1	ჩართვა	რთავს პრივილეგირებულ EXEC რეჟიმს.

	Exampლე: მოწყობილობა# ჩართვა	• მოთხოვნის შემთხვევაში შეიყვანეთ თქვენი პაროლი.
ნაბიჯი 2	ტერმინალის კონფიგურაცია Exampლე: მოწყობილობა# ტერმინალის კონფიგურაცია	შედის გლობალური კონფიგურაციის რეჟიმში.
ნაბიჯი 3	cts sgt tag Exampლე: მოწყობილობა(კონფიგურაცია)# cts sgt 1234	ჩართავს SXP-ს Cisco TrustSec-ისთვის.
ნაბიჯი 4	გასასვლელი Exampლე: მოწყობილობა(კონფიგურაცია)# გასასვლელი	გამოდის გლობალური კონფიგურაციის რეჟიმიდან და უბრუნდება პრივილეგირებულ EXEC რეჟიმს

მიმდინარეობს Subnet-to-SGT Mapping-ის კონფიგურაცია

პროცედურა

	ბრძანება or მოქმედება	მიზანი
ნაბიჯი 1	ჩართვა Exampლე: მოწყობილობა# ჩართვა	რთავს პრივილეგირებულ EXEC რეჟიმს. • მოთხოვნის შემთხვევაში შეიყვანეთ თქვენი პაროლი.
ნაბიჯი 2	ტერმინალის კონფიგურაცია Exampლე: მოწყობილობა# ტერმინალის კონფიგურაცია	შედის გლობალური კონფიგურაციის რეჟიმში.
ნაბიჯი 3	cts sxp რუკების ქსელის რუკა საკინძები Exampლე: მოწყობილობა(კონფიგურაცია)# cts sxp mapping network-map 10000	•  აკონფიგურირებს ქვექსელის SGT Mapping ჰოსტების რაოდენობის შეზღუდვას. Bindings არგუმენტი განსაზღვრავს ქვექსელის IP ჰოსტების მაქსიმალურ რაოდენობას, რომლებიც შეიძლება იყოს დაკავშირებული SGT-ებთან და ექსპორტირებული SXP მსმენელთან. •  bindings — (0-დან 65,535-მდე) ნაგულისხმევი არის 0 (გაფართოებები არ არის შესრულებული)
ნაბიჯი 4	cts როლზე დაფუძნებული sgt-რუქა ipv4_address/prefix სგტ ნომერი Exampლე: მოწყობილობა(კონფიგურაცია)# cts როლებზე დაფუძნებული sgt-map 10.10.10.10/29 sgt 1234	(IPv4) განსაზღვრავს ქვექსელს CIDR ნოტაციაში. •  გამოიყენეთ ბრძანების ფორმა არა, რათა გააუქმოთ Subnet-ის SGT რუკების კონფიგურაცია. მე-2 საფეხურში მითითებულ შეკვრათა რაოდენობა უნდა ემთხვეოდეს ან აღემატებოდეს ჰოსტის მისამართების რაოდენობას ქვექსელში (ქსელის და სამაუწყებლო მისამართების გამოკლებით). sgt ნომრის საკვანძო სიტყვა განსაზღვრავს უსაფრთხოებას

		ჯგუფი Tag ყველა მასპინძელთან იყოს შეკრული მისამართი მითითებულ ქვექსელში. •  ipv4_address — განსაზღვრავს IPv4 ქსელის მისამართს წერტილოვანი ათობითი აღნიშვნით. •  პრეფიქსი — (0-დან 30-მდე) განსაზღვრავს ბიტების რაოდენობას ქსელის მისამართში. •  სგტ ნომერი — (0–65,535) განსაზღვრავს უსაფრთხოების ჯგუფს Tag (SGT) ნომერი.
ნაბიჯი 5	cts როლზე დაფუძნებული sgt-რუქა ipv6_address::prefix სგტ ნომერი Exampლე: მოწყობილობა(კონფიგურაცია)# cts როლებზე დაფუძნებული sgt-map 2020::/64 sgt 1234	(IPv6) განსაზღვრავს ქვექსელს მსხვილი ნაწლავის თექვსმეტობითი აღნიშვნით. გამოიყენეთ ბრძანების ფორმა არა, რათა გააუქმოთ Subnet-ის SGT რუკების კონფიგურაცია. მე-2 საფეხურში მითითებულ შეკვრათა რაოდენობა უნდა ემთხვეოდეს ან აღემატებოდეს ჰოსტის მისამართების რაოდენობას ქვექსელში (ქსელის და სამაუწყებლო მისამართების გამოკლებით). sgt ნომრის საკვანძო სიტყვა განსაზღვრავს უსაფრთხოების ჯგუფს Tag ყველა მასპინძელ მისამართს მიეკუთვნება მითითებულ ქვესადგურში. •  ipv6_address — განსაზღვრავს IPv6 ქსელის მისამართს ორწერტილის თექვსმეტობითი აღნიშვნით. •  პრეფიქსი — (0-დან 128-მდე) განსაზღვრავს ბიტების რაოდენობას ქსელის მისამართში. •  სგტ ნომერი — (0–65,535) განსაზღვრავს უსაფრთხოების ჯგუფს Tag (SGT) ნომერი.
ნაბიჯი 6	გასასვლელი Exampლე: მოწყობილობა(კონფიგურაცია)# გასასვლელი	გამოდის გლობალური კონფიგურაციის რეჟიმიდან და უბრუნდება პრივილეგირებულ EXEC რეჟიმს..

VLAN-to-SGT რუკების კონფიგურაცია

სამუშაო ნაკადი VLAN-SGT რუკების კონფიგურაციისთვის Cisco TrustSec მოწყობილობაზე.

• შექმენით VLAN მოწყობილობაში შემომავალი VLAN იგივე VLAN_ID.
• შექმენით SVI მოწყობილობაზე VLAN-ისთვის, რათა იყოს ნაგულისხმევი კარიბჭე საბოლოო წერტილის კლიენტებისთვის.
• დააკონფიგურირეთ მოწყობილობა, რომ გამოიყენოთ SGT VLAN ტრაფიკზე.
• ჩართეთ IP მოწყობილობის თვალყურის დევნება მოწყობილობაზე.
• მიამაგრეთ მოწყობილობის თვალთვალის პოლიტიკა VLAN-ზე.

შენიშვნა
მრავალ გადამრთველ ქსელში, SISF-ზე დაფუძნებული მოწყობილობის თვალყურის დევნება იძლევა შესაძლებლობას განაწილდეს სავალდებულო ცხრილის ჩანაწერები ფუნქციის გაშვებულ გადამრთველებს შორის. ეს ვარაუდობს, რომ სავალდებულო ჩანაწერები იქმნება გადამრთველებზე, სადაც ჰოსტი ჩნდება წვდომის პორტზე, და არ იქმნება ჩანაწერი ჰოსტისთვის, რომელიც ჩნდება მაგისტრალურ პორტზე. ამის მისაღწევად მრავალ გადამრთველ კონფიგურაციაში, ჩვენ გირჩევთ, რომ დააკონფიგურიროთ სხვა პოლიტიკა და მიამაგროთ იგი საბარგულის პორტში, როგორც ეს აღწერილია საბარგულის პორტიდან სავალდებულო ჩანაწერების შექმნის შეწყვეტის პროცედურში, SISF-ის კონფიგურაციაში. უსაფრთხოების კონფიგურაციის სახელმძღვანელოს მოწყობილობის თვალთვალის დაფუძნებული თავი.

• გადაამოწმეთ, რომ VLAN-to-SGT რუკა ხდება მოწყობილობაზე.

პროცედურა

	ბრძანება or მოქმედება	მიზანი
ნაბიჯი 1	ჩართვა Exampლე: მოწყობილობა# ჩართვა	რთავს პრივილეგირებულ EXEC რეჟიმს. • მოთხოვნის შემთხვევაში შეიყვანეთ თქვენი პაროლი.
ნაბიჯი 2	ტერმინალის კონფიგურაცია Exampლე: მოწყობილობა# ტერმინალის კონფიგურაცია	შედის გლობალური კონფიგურაციის რეჟიმში.
ნაბიჯი 3	ვლან vlan_id Exampლე: მოწყობილობა(კონფიგურაცია)# vlan 100	ქმნის VLAN 100-ს TrustSec-ის მქონე გეითვეის მოწყობილობაზე და შედის VLAN-ში კონფიგურაციის რეჟიმი.
ნაბიჯი 4	[არა] გამორთვა Exampლე: მოწყობილობა (config-vlan)# არ გამორთვა	დებულებები VLAN 100.
ნაბიჯი 5	გასასვლელი Exampლე: მოწყობილობა (config-vlan)# გასასვლელი	გამოდის VLAN კონფიგურაციის რეჟიმიდან და უბრუნდება გლობალური კონფიგურაციის რეჟიმს.
ნაბიჯი 6	ინტერფეისი ტიპის სლოტი/პორტი Exampლე: მოწყობილობა(კონფიგურაცია)# ინტერფეისი vlan 100	განსაზღვრავს ინტერფეისის ტიპს და შედის ინტერფეისის კონფიგურაციის რეჟიმში.
ნაბიჯი 7	ip მისამართი სლოტი/პორტი Exampლე: მოწყობილობა (კონფიგურაცია-თუ)# IP მისამართი 10.1.1.2 255.0.0.0	აკონფიგურირებს Switched Virtual Interface (SVI) VLAN 100-ისთვის.

ნაბიჯი 8	[არა ] გამორთვა Exampლე: მოწყობილობა (კონფიგურაცია-თუ)# არ გამორთვა	ჩართავს SVI.
ნაბიჯი 9	გასასვლელი Exampლე: მოწყობილობა (კონფიგურაცია-თუ)# გასასვლელი	გადის ინტერფეისის კონფიგურაციის რეჟიმიდან და უბრუნდება გლობალური კონფიგურაციის რეჟიმს.
ნაბიჯი 10	cts როლებზე დაფუძნებული sgt-map vlan-list vlan_id სგტ სგტ_ნომერი Exampლე: მოწყობილობა(კონფიგურაცია)# cts როლებზე დაფუძნებული sgt-map vlan-list 100 sgt 10	ანიჭებს მითითებულ SGT-ს მითითებულ VLAN-ს.
ნაბიჯი 11	მოწყობილობის თვალთვალის პოლიტიკა პოლიტიკა-სახელი Exampლე: მოწყობილობა(კონფიგურაცია)# მოწყობილობის თვალთვალის პოლიტიკა 1	განსაზღვრავს პოლიტიკას და შედის მოწყობილობის თვალთვალის პოლიტიკის კონფიგურაციის რეჟიმში.
ნაბიჯი 12	თვალთვალის ჩართვა Exampლე: მოწყობილობა (config-device-tracking)# თვალთვალის ჩართვა	უგულებელყოფს მოწყობილობის თვალთვალის ნაგულისხმევ პარამეტრებს პოლიტიკის ატრიბუტისთვის.
ნაბიჯი 13	გასასვლელი Exampლე: მოწყობილობა (config-device-tracking)# გასასვლელი	გამოდის მოწყობილობის თვალთვალის პოლიტიკის კონფიგურაციის რეჟიმიდან და უბრუნდება გლობალური კონფიგურაციის რეჟიმს.
ნაბიჯი 14	vlan კონფიგურაცია vlan_id Exampლე: მოწყობილობა(კონფიგურაცია)# vlan კონფიგურაცია 100	განსაზღვრავს VLAN-ს, რომელსაც დაერთვება მოწყობილობის თვალთვალის პოლიტიკა და გადადის VLAN-ის კონფიგურაციის რეჟიმში.
ნაბიჯი 15	მოწყობილობის თვალთვალის მიმაგრება-პოლიტიკა პოლიტიკა-სახელი Exampლე: მოწყობილობა(config-vlan-config)# მოწყობილობის თვალთვალის მიმაგრება-პოლიტიკის პოლიტიკა1	ანიჭებს მოწყობილობის თვალთვალის პოლიტიკას მითითებულ VLAN-ზე.
ნაბიჯი 16	დასასრული Exampლე: მოწყობილობა(config-vlan-config)# დასასრული	გამოდის VLAN კონფიგურაციის რეჟიმიდან და უბრუნდება პრივილეგირებულ EXEC რეჟიმში.
ნაბიჯი 17	აჩვენე cts როლებზე დაფუძნებული sgt-რუქა {ipv4_netaddr | ipv4_netaddr/პრეფიქსი | ipv6_netaddr | ipv6_netaddr/პრეფიქსი |ყველა [ipv4 |ipv6] |მასპინძელი { ipv4 adr |ipv6_addr } |შეჯამება [ ipv4 |ipv6 ]	(სურვილისამებრ) აჩვენებს VLAN-to-SGT რუკებს.

	Exampლე: მოწყობილობა# აჩვენე cts როლებზე დაფუძნებული sgt-map all
ნაბიჯი 18	მოწყობილობის თვალთვალის პოლიტიკის ჩვენება პოლიტიკა-სახელი Exampლე: მოწყობილობა# მოწყობილობის თვალთვალის პოლიტიკის ჩვენება1	(სურვილისამებრ) აჩვენებს მიმდინარე პოლიტიკის ატრიბუტებს.

Hardware Keystore-ის ემულაცია

იმ შემთხვევებში, როდესაც ტექნიკის გასაღებების მაღაზია არ არის ან გამოუსადეგარია, შეგიძლიათ დააკონფიგურიროთ გადამრთველი, რათა გამოიყენოს გასაღების მაღაზიის პროგრამული ემულაცია. პროგრამული უზრუნველყოფის გასაღების მაღაზიის გამოყენების კონფიგურაციისთვის, შეასრულეთ ეს დავალება:

პროცედურა

	ბრძანება or მოქმედება	მიზანი
ნაბიჯი 1	ჩართვა Exampლე: მოწყობილობა# ჩართვა	რთავს პრივილეგირებულ EXEC რეჟიმს. • მოთხოვნის შემთხვევაში შეიყვანეთ თქვენი პაროლი.
ნაბიჯი 2	ტერმინალის კონფიგურაცია Exampლე: მოწყობილობა# ტერმინალის კონფიგურაცია	შედის გლობალური კონფიგურაციის რეჟიმში.
ნაბიჯი 3	cts keystore ემულაცია Exampლე: მოწყობილობა(კონფიგურაცია)# cts keystore ემულაცია	კონფიგურაციას ახდენს შეცვლა, რომ გამოიყენოთ პროგრამული უზრუნველყოფის ემულაცია Keystore– ის ნაცვლად, აპარატის გასაღების მაღაზიის ნაცვლად.
ნაბიჯი 4	გასასვლელი Exampლე: მოწყობილობა(კონფიგურაცია)# გასასვლელი	გადის კონფიგურაციის რეჟიმიდან.
ნაბიჯი 5	გასაღების მაღაზიის ჩვენება Exampლე: მოწყობილობა# გასაღების მაღაზიის ჩვენება	აჩვენებს გასაღების მაღაზიის სტატუსს და შინაარსს. შენახული საიდუმლოებები არ არის ნაჩვენები.

ნაგულისხმევი მარშრუტის SGT კონფიგურაცია

სანამ დაიწყებ
დარწმუნდით, რომ უკვე შექმენით ნაგულისხმევი მარშრუტი მოწყობილობაზე ip route 0.0.0.0 ბრძანების გამოყენებით. წინააღმდეგ შემთხვევაში, ნაგულისხმევი მარშრუტი (რომელსაც მოყვება ნაგულისხმევი მარშრუტი SGT) მიიღებს უცნობ დანიშნულებას და, შესაბამისად, ბოლო კურორტის დანიშნულება მიუთითებს CPU-ზე.

პროცედურა

	ბრძანება or მოქმედება	მიზანი
ნაბიჯი 1	ჩართვა Exampლე: მოწყობილობა> ჩართვა	რთავს პრივილეგირებულ EXEC რეჟიმს. • მოთხოვნის შემთხვევაში შეიყვანეთ თქვენი პაროლი.
ნაბიჯი 2	ტერმინალის კონფიგურაცია Exampლე: მოწყობილობის # კონფიგურაციის ტერმინალი	შედის გლობალური კონფიგურაციის რეჟიმში.
ნაბიჯი 3	cts როლზე დაფუძნებული sgt-map 0.0.0.0/0 sgt ნომერი Exampლე: Device(config)# cts როლებზე დაფუძნებული sgt-map 0.0.0.0/0 sgt 3	განსაზღვრავს SGT ნომერს ნაგულისხმევი მარშრუტისთვის. მოქმედი მნიშვნელობებია 0-დან 65,519-მდე. შენიშვნა                    • The მასპინძლის_მისამართი/ქვექსელი შეიძლება იყოს IPv4 მისამართი (0.0.0.0/0) ან IPv6 მისამართი (0:0::/0) •  ნაგულისხმევი მარშრუტი კონფიგურაცია მიიღება მხოლოდ ქვექსელთან /0. მხოლოდ ჰოსტ-ip-ის შეყვანა ქვექსელის გარეშე /0 აჩვენებს შემდეგ შეტყობინებას: მოწყობილობა(კონფიგურაცია)#cts როლებზე დაფუძნებული sgt-map 0.0.0.0 სგტ 1000 მარშრუტის ნაგულისხმევი კონფიგურაცია არ არის მხარდაჭერილი ჰოსტის IP-სთვის
ნაბიჯი 4	გასასვლელი Exampლე: Device(config)# გასვლა	გადის გლობალური კონფიგურაციის რეჟიმიდან.

SGT რუკების შემოწმება

შემდეგი სექციები გვიჩვენებს, თუ როგორ უნდა გადაამოწმოთ SGT რუკა:

მიმდინარეობს Subnet-to-SGT რუკების კონფიგურაციის შემოწმება
Subnet-to-SGT Mapping-ის კონფიგურაციის ინფორმაციის საჩვენებლად, გამოიყენეთ ერთ-ერთი შემდეგი ჩვენების ბრძანება:

ბრძანება	მიზანი
cts sxp კავშირების ჩვენება	აჩვენებს SXP დინამიკისა და მსმენელის კავშირებს მათი ოპერატიული სტატუსით.
აჩვენე cts sxp sgt-რუკა	აჩვენებს IP- ს SGT– ს სავალდებულოებს, რომლებიც ექსპორტირებულია SXP მსმენელებზე.
გაშვების კონფიგურაციის ჩვენება	ამოწმებს, რომ subnet-to-SGT კონფიგურაციის ბრძანებები გაშვებულ კონფიგურაციაშია file.

VLAN-to-SGT რუკების შემოწმება

VLAN-to-SGT კონფიგურაციის ინფორმაციის საჩვენებლად, გამოიყენეთ შემდეგი ჩვენების ბრძანებები:

ცხრილი 1:

ბრძანება	მიზანი
მოწყობილობის თვალთვალის პოლიტიკის ჩვენება	აჩვენებს მოწყობილობის თვალთვალის პოლიტიკის ამჟამინდელ პოლიტიკურ ატრიბუტებს.
აჩვენე cts როლებზე დაფუძნებული sgt-რუქა	აჩვენებს IP-მისამართის SGT კავშირებს.

ნაგულისხმევი მარშრუტის SGT კონფიგურაციის შემოწმება

გადაამოწმეთ ნაგულისხმევი მარშრუტის SGT კონფიგურაცია:
მოწყობილობის # ჩვენება როლებზე დაფუძნებული sgt-map ყველა აქტიური IPv4-SGT Bindings ინფორმაცია

კონფიგურაცია მაგamples for SGT Mapping

შემდეგი სექციები აჩვენებს კონფიგურაციას მაგampSGT რუკების ნაწილები:

Example: მოწყობილობის SGT კონფიგურაცია ხელით

• მოწყობილობის # კონფიგურაციის ტერმინალი
• მოწყობილობა(კონფიგურაცია)# cts sgt 1234
• Device(config)# გასვლა

Example: კონფიგურაცია Subnet-to-SGT რუკებისთვის
შემდეგი ყოფილიampგვიჩვენებს, თუ როგორ უნდა დააკონფიგურიროთ IPv4 Subnet-to-SGT Mapping მოწყობილობებს შორის, რომლებიც მუშაობენ SXPv3 (Device1 და Device2):

1. კონფიგურაცია SXP სპიკერი/მსმენელი, რომელიც ხელს უშლის მოწყობილობებს შორის.
   • Device1# კონფიგურაციის ტერმინალი
   • Device1(config)# cts sxp ჩართვა
   • Device1(config)# cts sxp ნაგულისხმევი წყარო-ip 1.1.1.1
   • Device1(config)# cts sxp ნაგულისხმევი პაროლი 1syzygy1
   • Device1(config)# cts sxp connect peer 2.2.2.2 პაროლი ნაგულისხმევი რეჟიმი ლოკალური დინამიკი
2. Device2-ის კონფიგურაცია, როგორც Device1-ის SXP მსმენელი.
   • Device2(config)# cts sxp ჩართვა
   • Device2(config)# cts sxp ნაგულისხმევი წყარო-ip 2.2.2.2
   • Device2(config)# cts sxp ნაგულისხმევი პაროლი 1syzygy1
   • Device2(config)# cts sxp Connection peer 1.1.1.1 პაროლი ნაგულისხმევი რეჟიმი ადგილობრივი მსმენელი
3. მოწყობილობაზე 2, დაადასტურეთ, რომ SXP კავშირი მოქმედებს:
   Device2# ჩვენება cts sxp კავშირების მოკლე | მოიცავს 1.1.1.1 1.1.1.1 2.2.2.2 3:22:23:18 (დდ:სთ:მმ:წმ)
4. დააკონფიგურირეთ ქვექსელები, რომლებიც უნდა გაფართოვდეს Device1-ზე.
   • მოწყობილობა 1 (კონფიგურაცია)# CTS SXP რუკების ქსელის რუქა 10000
   • Device1(config)# cts როლებზე დაფუძნებული sgt-map 10.10.10.0/30 sgt 101
   • Device1(config)# cts როლებზე დაფუძნებული sgt-map 11.11.11.0/29 sgt 11111
   • Device1(config)# cts როლებზე დაფუძნებული sgt-map 192.168.1.0/28 sgt 65000
5. Device2-ზე გადაამოწმეთ ქვექსელის SGT გაფართოება Device1-დან. უნდა იყოს ორი გაფართოება 10.10.10.0/30 ქვექსელისთვის, ექვსი გაფართოება 11.11.11.0/29 ქვექსელისთვის და 14 გაფართოება 192.168.1.0/28 ქვექსელისთვის.
   Device2# show cts sxp sgt-map brief | მოიცავს 101|11111|65000
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
6. შეამოწმეთ გაფართოების რაოდენობა Device1-ზე:
   მოწყობილობა1# აჩვენებს cts sxp sgt-map
   • IP-SGT Mappings გაფართოებული:22
   • არ არსებობს IP-SGT რუკები
7. შეინახეთ კონფიგურაციები Device1-სა და Device2-ზე და გამოდით გლობალური კონფიგურაციის რეჟიმიდან.
   Device1(config)# copy running-config startup-config
   Device1(config)# გასვლა
   Device2(config)# copy running-config startup-config
   Device2(config)# გასვლა

Exampლე:
კონფიგურაცია VLAN-to-SGT რუკებისთვის ერთი ჰოსტისთვის წვდომის ბმულზე.

შემდეგში ეგampერთი ჰოსტი უერთდება VLAN 100-ს წვდომის მოწყობილობაზე. ჩართული ვირტუალური ინტერფეისი TrustSec მოწყობილობაზე არის ნაგულისხმევი კარიბჭე VLAN 100 ბოლო წერტილისთვის (IP მისამართი 10.1.1.1). TrustSec მოწყობილობა აწესებს უსაფრთხოების ჯგუფს Tag (SGT) 10 პაკეტებზე VLAN 100-დან.

1. შექმენით VLAN 100 წვდომის მოწყობილობაზე.
   • access_device# კონფიგურაციის ტერმინალი
   • access_device(config)# vlan 100
   • access_device(config-vlan)# გამორთვა არ არის
   • access_device(config-vlan)# გასასვლელი
   • წვდომა_მოწყობილობა(კონფიგურაცია)#
2. დააკონფიგურირეთ ინტერფეისი TrustSec მოწყობილობაზე, როგორც წვდომის ბმული. კონფიგურაციები ბოლო წერტილისთვის
   1. წვდომის პორტი გამოტოვებულია ამ მაგampლე.
   2. access_device(config)# ინტერფეისი gigabitEthernet 6/3
   3. access_device(config-if)# switchport
   4. access_device(config-if)# switchport რეჟიმში წვდომა
   5. access_device(config-if)# switchport access vlan 100
3. შექმენით VLAN 100 TrustSec მოწყობილობაზე.
   • TS_device(config)# vlan 100
   • TS_device(config-vlan)# გამორთვა არ არის
   • TS_device(config-vlan)# დასასრული
   • TS_device#
4. შექმენით SVI, როგორც კარიბჭე შემომავალი VLAN 100-ისთვის.
   • TS_device(config)# ინტერფეისი vlan 100
   • TS_device(config-if)# ip მისამართი 10.1.1.2 255.0.0.0
   • TS_device(config-if)# გამორთვა არ არის
   • TS_device(config-if)# დასასრული
   • TS_device(config)#
5. დანიშნეთ უსაფრთხოების ჯგუფი Tag (SGT) 10 მასპინძლებს VLAN 100-ზე.
   • TS_device(config)# cts როლებზე დაფუძნებული sgt-map vlan 100 sgt 10
6. ჩართეთ IP მოწყობილობის თვალყურის დევნება TrustSec მოწყობილობაზე. შეამოწმეთ, რომ ის მუშაობს.
   • TS_device(config)# ip მოწყობილობის თვალთვალი
   • TS_device# აჩვენებს ip მოწყობილობას, რომელიც აკონტროლებს ყველაფერს
7. (სურვილისამებრ) Ping ნაგულისხმევი კარიბჭე ბოლო წერტილიდან (ამ ყოფილიample, ჰოსტის IP მისამართი 10.1.1.1). გადაამოწმეთ, რომ SGT 10 დაფიქსირდა VLAN 100 ჰოსტებზე.
   

Example: Hardware Keystore-ის ემულაცია
ეს ყოფილიampLE გვიჩვენებს, თუ როგორ უნდა დააკონფიგურიროთ და გადაამოწმოთ პროგრამული უზრუნველყოფის საკვანძო მაღაზიის გამოყენება:

Example: მოწყობილობის მარშრუტის SGT კონფიგურაცია

• მოწყობილობის # კონფიგურაციის ტერმინალი
• Device(config)# cts როლებზე დაფუძნებული sgt-map 0.0.0.0/0 sgt 3
• Device(config)# გასვლა

ფუნქციების ისტორია უსაფრთხოების ჯგუფისთვის Tag რუკების შედგენა

• ეს ცხრილი შეიცავს გამოშვებას და შესაბამის ინფორმაციას ამ მოდულში ახსნილი ფუნქციების შესახებ.
• ეს ფუნქციები ხელმისაწვდომია ყველა გამოშვების შემდეგ, რომელშიც დაინერგა, თუ სხვაგვარად არ არის აღნიშნული.

გათავისუფლება	ფუნქცია	ფუნქცია ინფორმაცია
Cisco IOS XE Everest 16.5.1a	უსაფრთხოების ჯგუფი Tag რუკების შედგენა	Subnet to SGT mapping აკავშირებს SGT-ს მითითებული ქვექსელის ყველა ჰოსტის მისამართთან. ამ რუკის განხორციელების შემდეგ, Cisco TrustSec აწესებს SGT-ს ნებისმიერ შემოსულ პაკეტზე, რომელსაც აქვს წყაროს IP მისამართი, რომელიც ეკუთვნის მითითებულ ქვექსელს.
Cisco IOS XE Gibraltar 16.11.1	ნაგულისხმევი მარშრუტის SGT კლასიფიკაცია	ნაგულისხმევი მარშრუტი SGT ანიჭებს SGT-ს tag ნომერი იმ მარშრუტებისთვის, რომლებიც არ ემთხვევა მითითებულ მარშრუტს.

გამოიყენეთ Cisco ფუნქციის ნავიგატორი, რომ იპოვოთ ინფორმაცია პლატფორმისა და პროგრამული უზრუნველყოფის სურათის მხარდაჭერის შესახებ. Cisco Feature Navigator-ზე წვდომისთვის გადადით http://www.cisco.com/go/cfn.

დოკუმენტები / რესურსები

CISCO უსაფრთხოების ჯგუფის კონფიგურაცია Tag რუკების შედგენა [pdf] მომხმარებლის სახელმძღვანელო უსაფრთხოების ჯგუფის კონფიგურაცია Tag რუკების დაყენება, კონფიგურაცია, უსაფრთხოების ჯგუფი Tag რუქა, ჯგუფი Tag რუკების შედგენა, Tag რუკების შედგენა

ცნობები

• მომხმარებლის სახელმძღვანელო