CISCO 보안 그룹 구성 Tag 매핑

제품 정보

이 제품에서는 보안 그룹 구성이 가능합니다. tag (SGT) 매핑. 이 기능은 SGT를 지정된 서브넷의 모든 호스트 주소에 바인딩합니다. 이 매핑이 구현되면 Cisco TrustSec는 지정된 서브넷에 속하는 소스 IP 주소가 있는 모든 수신 패킷에 SGT를 적용합니다.

SGT 매핑에 대한 제한 사항
호스트 IP 구성에는 다음 명령이 지원되지 않습니다. Device(config)#cts role-based sgt-map 0.0.0.0 sgt 1000

위에view 서브넷-SGT 매핑

• 서브넷-SGT 매핑은 SGT를 지정된 서브넷의 모든 호스트 주소에 바인딩합니다. Cisco TrustSec는 패킷의 소스 IP 주소가 지정된 서브넷에 속하는 경우 수신 패킷에 SGT를 적용합니다. 서브넷과 SGT는 다음과 같이 CLI에 지정됩니다.cts role-based sgt-map net_address/prefix sgt sgt_number 전역 구성 명령. 이 명령을 사용하여 단일 호스트를 매핑할 수도 있습니다.
• IPv4 네트워크에서 SXP(Security Exchange Protocol)v3 및 최신 버전은 SXPv3 피어로부터 서브넷 net_address/prefix 문자열을 수신하고 구문 분석할 수 있습니다. 이전 SXP 버전은 서브넷 접두사를 SXP 수신기 피어로 내보내기 전에 호스트 바인딩 세트로 변환합니다.
• 서브넷 바인딩은 정적이며 활성 호스트를 학습하지 않습니다. SGT 부과 및 SGACL 시행을 위해 로컬로 사용될 수 있습니다. 패킷 tag서브넷-SGT 매핑을 통해 계층 2 또는 계층 3 Cisco TrustSec 링크에 전파될 수 있습니다.
• IPv6 네트워크의 경우 SXPv3은 서브넷 바인딩을 SXPv2 또는 SXPv1 피어로 내보낼 수 없습니다.

위에view VLAN-SGT 매핑

• VLAN-SGT 매핑 기능은 SGT를 지정된 VLAN의 패킷에 바인딩합니다. 이는 레거시에서 Cisco TrustSec 지원 네트워크로의 마이그레이션을 단순화합니다.
• VLAN-SGT 바인딩은 다음과 같이 구성됩니다. cts role-based sgt-map vlan-list 전역 구성 명령.
• Cisco TrustSec 지원 스위치의 SVI(스위치 가상 인터페이스)인 게이트웨이에 VLAN이 할당되고 해당 스위치에서 IP 장치 추적이 활성화되면 Cisco TrustSec는 모든 활성 호스트에 대해 IP-SGT 바인딩을 생성할 수 있습니다. SVI 서브넷에 매핑된 해당 VLAN에서.
• 활성 VLAN 호스트에 대한 IP-SGT 바인딩은 SXP 수신기로 내보내집니다. 매핑된 각 VLAN에 대한 바인딩은 VLAN이 해당 SVI 또는 cts role-based l2-vrf 명령.
• VLAN-SGT 바인딩은 모든 바인딩 방법 중 우선순위가 가장 낮으며 SXP 또는 CLI 호스트 구성과 같은 다른 소스로부터 바인딩이 수신되면 무시됩니다. 바인딩 우선순위는 바인딩 소스 우선순위 섹션에 나열되어 있습니다.

제품 사용 지침

서브넷-SGT 매핑 구성

1. 장치의 CLI 인터페이스에 액세스합니다.
2. 다음을 사용하여 구성 모드로 들어갑니다. config 명령.
3. 다음 명령을 실행하여 서브넷-SGT 매핑을 구성합니다.

cts role-based sgt-map net_address/prefix sgt sgt_number

1. 바꾸다 net_address/prefix 매핑하려는 서브넷 주소와 접두사 길이를 사용합니다(예: 192.168.1.0/24).
2. 바꾸다 sgt_number 원하는 보안 그룹으로 tag 숫자.
3. Enter를 눌러 구성을 적용하십시오.
4. 구성 모드를 종료합니다.

VLAN-SGT 매핑 구성

1. 1. 장치의 CLI 인터페이스에 액세스합니다.
   2. 다음을 사용하여 구성 모드로 들어갑니다. config 명령.
   3. 다음 명령을 실행하여 VLAN-SGT 매핑을 구성합니다.

cts role-based sgt-map vlan-list

1. SGT에 매핑할 VLAN을 지정합니다.
2. Enter를 눌러 구성을 적용하십시오.
3. 구성 모드를 종료합니다.

명세서

• 지원되는 네트워크: IPv4, IPv6
• 지원되는 프로토콜: SXP(Security Exchange Protocol)v3
• 지원되는 바인딩 방법: 서브넷-SGT 매핑, VLAN-SGT 매핑

자주 묻는 질문(FAQ)

• Q: 서브넷 바인딩을 IPv2 네트워크의 SXPv1 또는 SXPv6 피어로 내보낼 수 있습니까?
  A: 아니요. 서브넷 바인딩은 IPv3 네트워크의 SXPv6 피어로만 내보낼 수 있습니다.
• Q: VLAN-SGT 바인딩의 우선순위는 무엇입니까?
  A: VLAN-SGT 바인딩은 모든 바인딩 방법 중에서 우선순위가 가장 낮으며 다른 소스로부터의 바인딩이 수신되면 무시됩니다.

보안 그룹에 대한 서브넷 tag (SGT) 매핑은 SGT를 지정된 서브넷의 모든 호스트 주소에 바인딩합니다. 이 매핑이 구현되면 Cisco TrustSec는 지정된 서브넷에 속하는 소스 IP 주소가 있는 모든 수신 패킷에 SGT를 적용합니다.

SGT 매핑에 대한 제한 사항

서브넷-SGT 매핑 제한 사항

• 접두사가 /4인 IPv31 서브네트워크는 확장할 수 없습니다.
• 서브넷 호스트 주소는 보안 그룹에 바인딩될 수 없습니다. Tags (SGT)는 네트워크 맵 바인딩 매개변수가 지정된 서브넷의 총 서브넷 호스트 수보다 작거나 바인딩이 0인 경우입니다.
• IPv6 확장 및 전파는 SXP(Security Exchange Protocol) 스피커 및 수신기가 SXPv3 이상 버전을 실행하는 경우에만 발생합니다.

기본 경로 SGT 매핑에 대한 제한 사항

• 기본 경로 구성은 서브넷 /0에만 허용됩니다. 서브넷 /0 없이 호스트 IP만 입력하면 다음 메시지가 표시됩니다.

SGT 매핑에 대한 정보

이 섹션에서는 SGT 매핑에 대한 정보를 제공합니다.

위에view

위에view 서브넷-SGT 매핑
서브넷-SGT 매핑은 SGT를 지정된 서브넷의 모든 호스트 주소에 바인딩합니다. Cisco TrustSec는 패킷의 소스 IP 주소가 지정된 서브넷에 속하는 경우 수신 패킷에 SGT를 적용합니다. 서브넷 및 SGT는 cts 역할 기반 sgt-map net_address/prefix sgt sgt_number 전역 구성 명령을 사용하여 CLI에 지정됩니다. 이 명령을 사용하여 단일 호스트를 매핑할 수도 있습니다. IPv4 네트워크에서 SXP(Security Exchange Protocol)v3 및 최신 버전은 SXPv3 피어로부터 서브넷 net_address/prefix 문자열을 수신하고 구문 분석할 수 있습니다. 이전 SXP 버전은 서브넷 접두사를 SXP 수신기 피어로 내보내기 전에 호스트 바인딩 세트로 변환합니다.

예를 들어amp파일에서 IPv4 서브넷 192.0.2.0/24는 다음과 같이 확장됩니다(호스트 주소의 경우 3비트만).

• 호스트 주소 198.0.2.1 ~ 198.0.2.7—tagSXP 피어로 전달 및 전파됩니다.
• 네트워크 및 브로드캐스트 주소 198.0.2.0 및 198.0.2.8 - 아님 tagged 및 전파되지 않습니다.

SXPv3가 내보낼 수 있는 서브넷 바인딩 수를 제한하려면 cts sxp mapping network-map 전역 구성 명령을 사용하십시오. 서브넷 바인딩은 정적이며 활성 호스트를 학습하지 않습니다. SGT 부과 및 SGACL 시행을 위해 로컬로 사용될 수 있습니다. 패킷 tag서브넷-SGT 매핑을 통해 계층 2 또는 계층 3 Cisco TrustSec 링크에 전파될 수 있습니다. IPv6 네트워크의 경우 SXPv3은 서브넷 바인딩을 SXPv2 또는 SXPv1 피어로 내보낼 수 없습니다.

위에view VLAN-SGT 매핑
VLAN-SGT 매핑 기능은 SGT를 지정된 VLAN의 패킷에 바인딩합니다. 이는 다음과 같이 레거시에서 Cisco TrustSec 지원 네트워크로의 마이그레이션을 단순화합니다.

• 레거시 스위치, 무선 컨트롤러, 액세스 포인트, VPN 등과 같이 Cisco TrustSec을 지원하지는 않지만 VLAN을 지원하는 장치를 지원합니다.
• 데이터 센터의 서버 분할과 같이 VLAN 및 VLAN ACL이 네트워크를 분할하는 토폴로지에 대해 이전 버전과의 호환성을 제공합니다.
• VLAN-SGT 바인딩은 cts role-based sgt-map vlan-list 전역 구성 명령을 사용하여 구성됩니다.
• Cisco TrustSec 지원 스위치의 SVI(스위치 가상 인터페이스)인 게이트웨이에 VLAN이 할당되고 해당 스위치에서 IP 장치 추적이 활성화되면 Cisco TrustSec는 모든 활성 호스트에 대해 IP-SGT 바인딩을 생성할 수 있습니다. SVI 서브넷에 매핑된 해당 VLAN에서.
• 활성 VLAN 호스트에 대한 IP-SGT 바인딩은 SXP 수신기로 내보내집니다. 매핑된 각 VLAN에 대한 바인딩은 SVI 또는 cts 역할 기반 l2-vrf 명령을 통해 VLAN이 매핑된 VRF와 연결된 IP-SGT 테이블에 삽입됩니다.
• VLAN-SGT 바인딩은 모든 바인딩 방법 중 우선순위가 가장 낮으며 SXP 또는 CLI 호스트 구성과 같은 다른 소스로부터 바인딩이 수신되면 무시됩니다. 바인딩 우선순위는 바인딩 소스 우선순위 섹션에 나열되어 있습니다.

바인딩 소스 우선순위

Cisco TrustSec는 엄격한 우선순위 체계를 통해 IP-SGT 바인딩 소스 간의 충돌을 해결합니다. 예를 들어amp파일에서 SGT는 {동적 ID 피어 이름 | 정책을 사용하여 인터페이스에 적용될 수 있습니다. 정적 상사 tag} Cisco Trustsec 수동 인터페이스 모드 명령(ID 포트 매핑). 현재 우선순위 시행 순서는 가장 낮은(1)부터 가장 높은(7)까지 다음과 같습니다.

1. VLAN : VLAN-SGT 매핑이 구성된 VLAN의 스누핑된 ARP 패킷에서 학습된 바인딩입니다.
2. CLI: cts role-based sgt-map 전역 구성 명령의 IP-SGT 형식을 사용하여 구성된 주소 바인딩입니다.
3. SXP: SXP 동료로부터 배운 바인딩.
4. IP_ARP: 학습된 바인딩 tagged ARP 패킷은 CTS 가능 링크에서 수신됩니다.
5. 현지의: EPM 및 장치 추적을 통해 학습된 인증된 호스트의 바인딩입니다. 이 유형의 바인딩에는 L2 [I] PM 구성 포트에서 ARP 스누핑을 통해 학습된 개별 호스트도 포함됩니다.
6. 내부의: 로컬로 구성된 IP 주소와 장치 자체 SGT 간의 바인딩.

메모
소스 IP 주소가 서로 다른 SGT가 할당된 여러 서브넷 접두사와 일치하는 경우 우선순위가 다르지 않는 한 가장 긴 접두사 SGT가 우선합니다.

기본 경로 SGT

• 기본 경로 보안 그룹 Tag (SGT)는 기본 경로에 SGT 번호를 할당합니다.
• 기본 경로는 지정된 경로와 일치하지 않는 경로이므로 최후의 목적지까지의 경로입니다. 기본 경로는 라우팅 테이블에 명시적으로 나열되지 않은 네트워크로 주소가 지정된 패킷을 전달하는 데 사용됩니다.

SGT 매핑을 구성하는 방법

이 섹션에서는 SGT 매핑을 구성하는 방법을 설명합니다.

장치 SGT를 수동으로 구성
일반적인 Cisco TrustSec 작업에서 인증 서버는 장치에서 발생하는 패킷에 대해 장치에 SGT를 할당합니다. 인증 서버에 액세스할 수 없는 경우 사용할 SGT를 수동으로 구성할 수 있지만 인증 서버에 할당된 SGT가 수동으로 할당된 SGT보다 우선합니다.

장치에서 SGT를 수동으로 구성하려면 다음 작업을 수행하십시오.

절차

	명령 or 행동	목적
1단계	~할 수 있게 하다	특권 EXEC 모드를 활성화합니다.

	Examp르 : 장치# ~할 수 있게 하다	• 프롬프트가 표시되면 비밀번호를 입력하십시오.
2단계	터미널 구성 Examp르 : 장치# 터미널 구성	글로벌 구성 모드로 들어갑니다.
3단계	CTS 하사 tag Examp르 : 장치(구성)# CTS 하사 1234	Cisco TrustSec에 대해 SXP를 활성화합니다.
4단계	출구 Examp르 : 장치(구성)# 출구	전역 구성 모드를 종료하고 권한 있는 EXEC 모드로 돌아갑니다.

서브넷-SGT 매핑 구성

절차

	명령 or 행동	목적
1단계	~할 수 있게 하다 Examp르 : 장치# ~할 수 있게 하다	특권 EXEC 모드를 활성화합니다. • 프롬프트가 표시되면 비밀번호를 입력하십시오.
2단계	터미널 구성 Examp르 : 장치# 터미널 구성	글로벌 구성 모드로 들어갑니다.
3단계	cts sxp 매핑 네트워크 맵 바인딩 Examp르 : 장치(구성)# cts sxp 매핑 네트워크 맵 10000	• 서브넷-SGT 매핑 호스트 수 제약 조건을 구성합니다. 바인딩 인수는 SGT에 바인딩하고 SXP 수신기로 내보낼 수 있는 최대 서브넷 IP 호스트 수를 지정합니다. • 바인딩 - (0 ~ 65,535) 기본값은 0(확장 수행 안 함)입니다.
4단계	cts 역할 기반 sgt-map ipv4_address/접두사 sgt 숫자 Examp르 : 장치(구성)# cts 역할 기반 sgt-map 10.10.10.10/29 sgt 1234	(IPv4) CIDR 표기법으로 서브넷을 지정합니다. • 서브넷과 SGT 매핑의 구성을 해제하려면 명령의 no 형식을 사용합니다. 2단계에서 지정한 바인딩 수는 서브넷의 호스트 주소 수(네트워크 및 브로드캐스트 주소 제외)와 일치하거나 초과해야 합니다. sgt number 키워드는 보안을 지정합니다.

		그룹 Tag 모든 호스트에 바인딩됨 지정된 서브넷의 주소입니다. • ipv4_address - 점으로 구분된 십진수 표기법으로 IPv4 네트워크 주소를 지정합니다. • 접두사 - (0 ~ 30) 네트워크 주소의 비트 수를 지정합니다. •  sgt 숫자 - (0–65,535) 보안 그룹을 지정합니다. Tag (SGT) 번호.
5단계	cts 역할 기반 sgt-map ipv6_address::접두사 sgt 숫자 Examp르 : 장치(구성)# cts 역할 기반 sgt-map 2020::/64 sgt 1234	(IPv6) 콜론 XNUMX진수 표기법으로 서브넷을 지정합니다. SGT 매핑에 대한 서브넷 구성을 해제하려면 명령의 no 형식을 사용합니다. 2단계에서 지정한 바인딩 수는 서브넷의 호스트 주소 수(네트워크 및 브로드캐스트 주소 제외)와 일치하거나 초과해야 합니다. sgt number 키워드는 보안 그룹을 지정합니다. Tag 지정된 서브넷의 모든 호스트 주소에 바인딩됩니다. • ipv6_address - 콜론 6진수 표기법으로 IPvXNUMX 네트워크 주소를 지정합니다. • 접두사 - (0 ~ 128) 네트워크 주소의 비트 수를 지정합니다. •  sgt 숫자 - (0–65,535) 보안 그룹을 지정합니다. Tag (SGT) 번호.
6단계	출구 Examp르 : 장치(구성)# 출구	전역 구성 모드를 종료하고 특권 EXEC 모드로 돌아갑니다..

VLAN-SGT 매핑 구성

Cisco TrustSec 장치에서 VLAN-SGT 매핑을 구성하기 위한 작업 흐름입니다.

• 수신 VLAN과 동일한 VLAN_ID를 사용하여 장치에 VLAN을 생성합니다.
• 엔드포인트 클라이언트의 기본 게이트웨이가 될 장치의 VLAN용 SVI를 생성합니다.
• VLAN 트래픽에 SGT를 적용하도록 장치를 구성합니다.
• 장치에서 IP 장치 추적을 활성화합니다.
• VLAN에 장치 추적 정책을 연결합니다.

메모
다중 스위치 네트워크에서 SISF 기반 장치 추적은 해당 기능을 실행하는 스위치 간에 바인딩 테이블 항목을 배포하는 기능을 제공합니다. 이는 호스트가 액세스 포트에 나타나는 스위치에 바인딩 항목이 생성되고 트렁크 포트에 나타나는 호스트에 대한 항목이 생성되지 않는다고 가정합니다. 다중 스위치 설정에서 이를 달성하려면 SISF 구성의 트렁크 포트에서 바인딩 항목 생성을 중지하도록 다중 스위치 네트워크 구성 절차에 설명된 대로 다른 정책을 구성하고 이를 트렁크 포트에 연결하는 것이 좋습니다. -보안 구성 가이드의 기반 장치 추적 장.

• 장치에서 VLAN-SGT 매핑이 발생하는지 확인합니다.

절차

	명령 or 행동	목적
1단계	~할 수 있게 하다 Examp르 : 장치# ~할 수 있게 하다	특권 EXEC 모드를 활성화합니다. • 프롬프트가 표시되면 비밀번호를 입력하십시오.
2단계	터미널 구성 Examp르 : 장치# 터미널 구성	글로벌 구성 모드로 들어갑니다.
3단계	블랜 vlan_id Examp르 : 장치(구성)# 블랜 100	TrustSec 지원 게이트웨이 장치에 VLAN 100을 생성하고 VLAN에 들어갑니다. 구성 모드.
4단계	[아니요] 일시 휴업 Examp르 : 장치(config-vlan)# 종료 안됨	VLAN 100을 프로비저닝합니다.
5단계	출구 Examp르 : 장치(config-vlan)# 출구	VLAN 구성 모드를 종료하고 전역 구성 모드로 돌아갑니다.
6단계	인터페이스 유형 슬롯/포트 Examp르 : 장치(구성)# 인터페이스 vlan 100	인터페이스 유형을 지정하고 인터페이스 구성 모드로 들어갑니다.
7단계	아이피 주소 슬롯/포트 Examp르 : 장치(config-if)# 아이피 주소 10.1.1.2 255.0.0.0	VLAN 100에 대한 SVI(Switched Virtual Interface)를 구성합니다.

8단계	[아니요 ] 일시 휴업 Examp르 : 장치(config-if)# 종료 안됨	SVI를 활성화합니다.
9단계	출구 Examp르 : 장치(config-if)# 출구	인터페이스 구성 모드를 종료하고 전역 구성 모드로 돌아갑니다.
10단계	cts 역할 기반 sgt-map vlan-list vlan_id sgt 하사관_번호 Examp르 : 장치(구성)# cts 역할 기반 sgt-map vlan-list 100 sgt 10	지정된 SGT를 지정된 VLAN에 할당합니다.
11단계	장치 추적 정책 정책 이름 Examp르 : 장치(구성)# 장치 추적 정책 정책1	정책을 지정하고 장치 추적 정책 구성 모드로 들어갑니다.
12단계	추적 활성화 Examp르 : 장치(구성-장치-추적)# 추적 ~할 수 있게 하다	정책 속성에 대한 기본 장치 추적 설정을 재정의합니다.
13단계	출구 Examp르 : 장치(구성-장치-추적)# 출구	장치 추적 정책 구성 모드를 종료하고 전역 구성 모드로 돌아갑니다.
14단계	VLAN 구성 vlan_id Examp르 : 장치(구성)# VLAN 구성 100	장치 추적 정책을 연결할 VLAN을 지정하고 VLAN 구성 모드로 들어갑니다.
15단계	장치 추적 연결 정책 정책 이름 Examp르 : 장치(config-vlan-config)# 장치 추적 연결 정책 정책1	지정된 VLAN에 장치 추적 정책을 연결합니다.
16단계	끝 Examp르 : 장치(config-vlan-config)# 끝	VLAN 구성 모드를 종료하고 권한 있는 EXEC 모드로 돌아갑니다.
17단계	cts 역할 기반 sgt-map 표시 {ipv4_netaddr | ipv4_netaddr/접두사 | ipv6_netaddr | ipv6_netaddr/접두사 |모두 [IPv4는 |IPv6는] |주인 { IPv4 주소 |ipv6_addr } |요약 [ IPv4는 |IPv6는 ]	(선택 사항) VLAN-SGT 매핑을 표시합니다.

	Examp르 : 장치# cts 역할 기반 sgt-map 모두 표시
18단계	장치 추적 정책 표시 정책 이름 Examp르 : 장치# 장치 추적 정책 표시policy1	(선택 사항) 현재 정책 속성을 표시합니다.

하드웨어 키 저장소 에뮬레이션

하드웨어 키 저장소가 없거나 사용할 수 없는 경우 키 저장소의 소프트웨어 에뮬레이션을 사용하도록 스위치를 구성할 수 있습니다. 소프트웨어 키 저장소 사용을 구성하려면 다음 작업을 수행하십시오.

절차

	명령 or 행동	목적
1단계	~할 수 있게 하다 Examp르 : 장치# ~할 수 있게 하다	특권 EXEC 모드를 활성화합니다. • 프롬프트가 표시되면 비밀번호를 입력하십시오.
2단계	터미널 구성 Examp르 : 장치# 터미널 구성	글로벌 구성 모드로 들어갑니다.
3단계	cts 키 저장소 에뮬레이트 Examp르 : 장치(구성)# cts 키 저장소 에뮬레이트	하드웨어 키 저장소 대신 키 저장소의 소프트웨어 에뮬레이션을 사용하도록 스위치를 구성합니다.
4단계	출구 Examp르 : 장치(구성)# 출구	구성 모드를 종료합니다.
5단계	키스토어 표시 Examp르 : 장치# 키스토어 표시	키 저장소의 상태와 내용을 표시합니다. 저장된 비밀은 표시되지 않습니다.

기본 경로 SGT 구성

시작하기 전에
ip Route 0.0.0.0 명령을 사용하여 장치에 기본 경로를 이미 생성했는지 확인하십시오. 그렇지 않으면 기본 경로(Default Route SGT와 함께 제공)가 알 수 없는 대상을 얻게 되므로 최후의 수단 대상은 CPU를 가리킵니다.

절차

	명령 or 행동	목적
1단계	~할 수 있게 하다 Examp르 : 장치> 활성화	특권 EXEC 모드를 활성화합니다. • 프롬프트가 표시되면 비밀번호를 입력하십시오.
2단계	터미널 구성 Examp르 : 장치# 터미널 구성	글로벌 구성 모드로 들어갑니다.
3단계	cts 역할 기반 sgt-map 0.0.0.0/0 sgt 숫자 Examp르 : 장치(config)# cts 역할 기반 sgt-map 0.0.0.0/0 sgt 3	기본 경로의 SGT 번호를 지정합니다. 유효한 값은 0~65,519입니다. 메모                    • 호스트_주소/서브넷 IPv4 주소(0.0.0.0/0) 또는 IPv6 주소(0:0::/0)일 수 있습니다. • 기본 경로 구성은 서브넷에서만 허용됩니다. /0. 서브넷 /0 없이 호스트 IP만 입력하면 다음 메시지가 표시됩니다. 장치(구성)#CT스 역할 기반 sgt-map 0.0.0.0 sgt 1000 호스트 IP에는 기본 경로 구성이 지원되지 않습니다.
4단계	출구 Examp르 : 장치(구성)# 종료	전역 구성 모드를 종료합니다.

SGT 매핑 확인

다음 섹션에서는 SGT 매핑을 확인하는 방법을 보여줍니다.

서브넷-SGT 매핑 구성 확인
서브넷-SGT 매핑 구성 정보를 표시하려면 다음 show 명령 중 하나를 사용하십시오.

명령	목적
cts sxp 연결 표시	작동 상태와 함께 SXP 스피커 및 청취자 연결을 표시합니다.
cts sxp sgt-map 표시	SXP 수신기로 내보낸 SGT 바인딩에 대한 IP를 표시합니다.
실행 구성 표시	실행 중인 구성에 서브넷-SGT 구성 명령이 있는지 확인합니다. file.

VLAN-SGT 매핑 확인

VLAN-SGT 구성 정보를 표시하려면 다음 show 명령을 사용하십시오.

표 1:

명령	목적
장치 추적 정책 표시	장치 추적 정책의 현재 정책 속성을 표시합니다.
cts 역할 기반 sgt-map 표시	IP 주소-SGT 바인딩을 표시합니다.

기본 경로 SGT 구성 확인

기본 경로 SGT 구성을 확인합니다.
device#는 역할 기반 sgt-map 모든 활성 IPv4-SGT 바인딩 정보를 표시합니다.

구성 예ampSGT 매핑용 파일

다음 섹션에서는 구성을 보여줍니다.ampSGT 매핑 파일:

Example: 수동으로 장치 SGT 구성

• 장치# 터미널 구성
• 장치(구성)# cts sgt 1234
• 장치(구성)# 종료

Example: 서브넷-SGT 매핑 구성
다음 예amp파일은 SXPv4를 실행하는 장치(장치3 및 장치1) 간에 IPv2 서브넷-SGT 매핑을 구성하는 방법을 보여줍니다.

1. 장치 간 SXP 스피커/리스너 피어링을 구성합니다.
   • Device1# 터미널 구성
   • Device1(config)# cts sxp 활성화
   • Device1(config)# cts sxp 기본 소스-ip 1.1.1.1
   • Device1(config)# cts sxp 기본 비밀번호 1syzygy1
   • Device1(config)# cts sxp 연결 피어 2.2.2.2 비밀번호 기본 모드 로컬 스피커
2. Device2를 Device1의 SXP 수신기로 구성합니다.
   • Device2(config)# cts sxp 활성화
   • Device2(config)# cts sxp 기본 소스-ip 2.2.2.2
   • Device2(config)# cts sxp 기본 비밀번호 1syzygy1
   • Device2(config)# cts sxp 연결 피어 1.1.1.1 비밀번호 기본 모드 로컬 리스너
3. Device2에서 SXP 연결이 작동 중인지 확인합니다.
   Device2# show cts sxp 연결 요약 | 1.1.1.1 1.1.1.1 2.2.2.2 3:22:23:18 (dd:hr:mm:sec) 포함
4. Device1에서 확장할 하위 네트워크를 구성합니다.
   • Device1(config)# cts sxp 매핑 네트워크 맵 10000
   • Device1(config)# cts 역할 기반 sgt-map 10.10.10.0/30 sgt 101
   • Device1(config)# cts 역할 기반 sgt-map 11.11.11.0/29 sgt 11111
   • Device1(config)# cts 역할 기반 sgt-map 192.168.1.0/28 sgt 65000
5. Device2에서 Device1의 서브넷-SGT 확장을 확인합니다. 10.10.10.0/30 서브네트워크에는 11.11.11.0개의 확장, 29/14 서브네트워크에는 192.168.1.0개의 확장, 28/XNUMX 서브네트워크에는 XNUMX개의 확장이 있어야 합니다.
   Device2# show cts sxp sgt-map 개요 | 101|11111|65000 포함
   • IPv4,SGT: <10.10.10.1 , 101>
   • IPv4,SGT: <10.10.10.2 , 101>
   • IPv4,SGT: <11.11.11.1 , 11111>
   • IPv4,SGT: <11.11.11.2 , 11111>
   • IPv4,SGT: <11.11.11.3 , 11111>
   • IPv4,SGT: <11.11.11.4 , 11111>
   • IPv4,SGT: <11.11.11.5 , 11111>
   • IPv4,SGT: <11.11.11.6 , 11111>
   • IPv4,SGT: <192.168.1.1 , 65000>
   • IPv4,SGT: <192.168.1.2 , 65000>
   • IPv4,SGT: <192.168.1.3 , 65000>
   • IPv4,SGT: <192.168.1.4 , 65000>
   • IPv4,SGT: <192.168.1.5 , 65000>
   • IPv4,SGT: <192.168.1.6 , 65000>
   • IPv4,SGT: <192.168.1.7 , 65000>
   • IPv4,SGT: <192.168.1.8 , 65000>
   • IPv4,SGT: <192.168.1.9 , 65000>
   • IPv4,SGT: <192.168.1.10 , 65000>
   • IPv4,SGT: <192.168.1.11 , 65000>
   • IPv4,SGT: <192.168.1.12 , 65000>
   • IPv4,SGT: <192.168.1.13 , 65000>
   • IPv4,SGT: <192.168.1.14 , 65000>
6. Device1의 확장 수를 확인합니다.
   Device1# show cts sxp sgt-map
   • IP-SGT 매핑 확장:22
   • IP-SGT 매핑이 없습니다.
7. Device1 및 Device2의 구성을 저장하고 전역 구성 모드를 종료합니다.
   Device1(config)# 복사 running-config 시작-config
   Device1(config)# 종료
   Device2(config)# 복사 running-config 시작-config
   Device2(config)# 종료

Examp르 :
액세스 링크를 통한 단일 호스트에 대한 VLAN-SGT 매핑 구성입니다.

다음 예에서amp파일에서 단일 호스트는 액세스 장치의 VLAN 100에 연결됩니다. TrustSec 장치의 스위치 가상 인터페이스는 VLAN 100 끝점(IP 주소 10.1.1.1)에 대한 기본 게이트웨이입니다. TrustSec 장치는 보안 그룹을 적용합니다. Tag (SGT) 10(VLAN 100의 패킷)

1. 액세스 장치에 VLAN 100을 생성합니다.
   • access_device# 터미널 구성
   • access_device(config)# VLAN 100
   • access_device(config-vlan)# 종료 없음
   • access_device(config-vlan)# 종료
   • access_device(구성)#
2. TrustSec 장치에 대한 인터페이스를 액세스 링크로 구성합니다. 엔드포인트 구성
   1. 이 예에서는 액세스 포트가 생략되었습니다.amp르.
   2. access_device(config)# 인터페이스 gigabitEthernet 6/3
   3. access_device(config-if)# 스위치포트
   4. access_device(config-if)# 스위치포트 모드 액세스
   5. access_device(config-if)# 스위치포트 액세스 VLAN 100
3. TrustSec 장치에 VLAN 100을 생성합니다.
   • TS_device(config)# VLAN 100
   • TS_device(config-vlan)# 종료 없음
   • TS_device(config-vlan)# 끝
   • TS_장치#
4. 수신 VLAN 100에 대한 게이트웨이로 SVI를 생성합니다.
   • TS_device(config)# 인터페이스 VLAN 100
   • TS_device(config-if)# IP 주소 10.1.1.2 255.0.0.0
   • TS_device(config-if)# 종료 없음
   • TS_device(config-if)# 끝
   • TS_장치(구성)#
5. 보안 그룹 할당 Tag (SGT) 10을 VLAN 100의 호스트에 연결합니다.
   • TS_device(config)# cts 역할 기반 sgt-map vlan 100 sgt 10
6. TrustSec 장치에서 IP 장치 추적을 활성화합니다. 작동 중인지 확인하세요.
   • TS_device(config)# IP 장치 추적
   • TS_device#는 모두 추적하는 IP 장치를 표시합니다.
7. (선택 사항) 엔드포인트에서 기본 게이트웨이를 PING합니다(이 예에서는amp파일, 호스트 IP 주소 10.1.1.1). SGT 10이 VLAN 100 호스트에 매핑되고 있는지 확인합니다.
   

Example: 하드웨어 키스토어 에뮬레이션
이 전amp파일은 소프트웨어 키 저장소의 사용을 구성하고 확인하는 방법을 보여줍니다.

Example: 장치 경로 SGT 구성

• 장치# 터미널 구성
• 장치(config)# cts 역할 기반 sgt-map 0.0.0.0/0 sgt 3
• 장치(구성)# 종료

보안 그룹의 기능 기록 Tag 매핑

• 이 표에서는 이 모듈에서 설명하는 기능에 대한 릴리스 및 관련 정보를 제공합니다.
• 이러한 기능은 달리 명시되지 않는 한 해당 기능이 도입된 이후의 모든 릴리스에서 사용할 수 있습니다.

풀어 주다	특징	특징 정보
시스코 IOS XE 에베레스트 16.5.1a	보안 그룹 Tag 매핑	서브넷-SGT 매핑은 SGT를 지정된 서브넷의 모든 호스트 주소에 바인딩합니다. 이 매핑이 구현되면 Cisco TrustSec는 지정된 서브넷에 속하는 소스 IP 주소가 있는 모든 수신 패킷에 SGT를 적용합니다.
Cisco IOS XE 지브롤터 16.11.1	기본 경로 SGT 분류	기본 경로 SGT는 SGT를 할당합니다. tag 지정된 경로와 일치하지 않는 경로에 번호를 부여합니다.

플랫폼 및 소프트웨어 이미지 지원에 대한 정보를 찾으려면 Cisco Feature Navigator를 사용하십시오. Cisco Feature Navigator에 액세스하려면 다음으로 이동하십시오. http://www.cisco.com/go/cfn.

문서 / 리소스

CISCO 보안 그룹 구성 Tag 매핑 [PDF 파일] 사용자 가이드 보안 그룹 구성 Tag 매핑, 구성, 보안 그룹 Tag 매핑, 그룹 Tag 매핑, Tag 매핑

참고문헌

• 사용자 설명서