ເນື້ອໃນ ເຊື່ອງ
1 CISCO Configuring Security Group Tag ແຜນທີ່
2 ຂໍ້ມູນຜະລິດຕະພັນ
3 ຄໍາແນະນໍາການນໍາໃຊ້ຜະລິດຕະພັນ
4 ຂໍ້ຈໍາກັດສໍາລັບ SGT Mapping
5 ຂໍ້ມູນກ່ຽວກັບ SGT Mapping
5.1 ເກີນview
5.2 ບຸລິມະສິດແຫຼ່ງທີ່ມາທີ່ຜູກມັດ
6 ວິທີການກໍານົດ SGT Mapping
6.1 ການຕັ້ງຄ່າ Subnet-to-SGT Mapping
6.2 ການຕັ້ງຄ່າ VLAN-to-SGT Mapping
6.3 ການຈຳລອງ Hardware Keystore
7 ກຳລັງກວດສອບ SGT Mapping
8 ການຕັ້ງຄ່າ Examples ສໍາລັບ SGT Mapping
9 ປະຫວັດຄຸນສົມບັດສໍາລັບກຸ່ມຄວາມປອດໄພ Tag ແຜນທີ່
10 ເອກະສານ / ຊັບພະຍາກອນ
10.1 ເອກະສານອ້າງອີງ
11 ກະທູ້ທີ່ກ່ຽວຂ້ອງ

CISCO-ໂລໂກ້

CISCO Configuring Security Group Tag ແຜນທີ່

CISCO-Configuring-Security-Group-Tag- ການ​ສ້າງ​ແຜນ​ທີ່​ຜະ​ລິດ​ຕະ​ພັນ​

ຂໍ້ມູນຜະລິດຕະພັນ

ຜະລິດຕະພັນອະນຸຍາດໃຫ້ຕັ້ງຄ່າກຸ່ມຄວາມປອດໄພ tag (SGT) ແຜນທີ່. ຄຸນສົມບັດນີ້ຜູກມັດ SGT ກັບທີ່ຢູ່ໂຮດທັງໝົດຂອງເຄືອຂ່າຍຍ່ອຍທີ່ລະບຸໄວ້. ເມື່ອແຜນທີ່ນີ້ຖືກຈັດຕັ້ງປະຕິບັດ, Cisco TrustSec ຈະບັງຄັບໃຊ້ SGT ໃນແພັກເກັດທີ່ເຂົ້າມາທີ່ມີທີ່ຢູ່ IP ແຫຼ່ງທີ່ເປັນຂອງເຄືອຂ່າຍຍ່ອຍທີ່ລະບຸໄວ້.

ຂໍ້ຈໍາກັດສໍາລັບ SGT Mapping
ຄຳສັ່ງຕໍ່ໄປນີ້ບໍ່ຖືກຮອງຮັບສຳລັບການຕັ້ງຄ່າ IP ຂອງເຈົ້າພາບ: Device(config)#cts role-based sgt-map 0.0.0.0 sgt 1000

ເກີນview ຂອງ Subnet-to-SGT Mapping

  • ການສ້າງແຜນທີ່ subnet-to-SGT ຜູກມັດ SGT ກັບທີ່ຢູ່ໂຮດທັງໝົດຂອງເຄືອຂ່າຍຍ່ອຍທີ່ລະບຸ. Cisco TrustSec ບັງຄັບ SGT ໃນແພັກເກັດທີ່ເຂົ້າມາເມື່ອທີ່ຢູ່ IP ແຫຼ່ງຂອງແພັກເກັດເປັນຂອງເຄືອຂ່າຍຍ່ອຍທີ່ລະບຸ. ເຄືອຂ່າຍຍ່ອຍ ແລະ SGT ຖືກລະບຸໄວ້ໃນ CLI ດ້ວຍcts role-based sgt-map net_address/prefix sgt sgt_number ຄໍາສັ່ງ configuration ທົ່ວໂລກ. ໂຮດດຽວອາດຈະຖືກສ້າງແຜນທີ່ດ້ວຍຄໍາສັ່ງນີ້.
  • ໃນເຄືອຂ່າຍ IPv4, Security Exchange Protocol (SXP)v3, ແລະເວີຊັນຫຼ້າສຸດ, ສາມາດຮັບ ແລະແຍກສາຍສະຕຣິງຍ່ອຍ net_address/prefix ຈາກ SXPv3 peers. ຮຸ່ນ SXP ກ່ອນຫນ້ານີ້ປ່ຽນຄໍານໍາຫນ້າຂອງ subnet ເຂົ້າໄປໃນຊຸດຂອງ host bindings ກ່ອນທີ່ຈະສົ່ງອອກໃຫ້ເຂົາເຈົ້າເປັນເພື່ອນຟັງ SXP.
  • ການຜູກມັດເຄືອຂ່າຍຍ່ອຍແມ່ນຄົງທີ່, ບໍ່ມີການຮຽນຮູ້ຂອງໂຮດທີ່ເຄື່ອນໄຫວ. ພວກເຂົາສາມາດຖືກນໍາໃຊ້ໃນທ້ອງຖິ່ນສໍາລັບການບັງຄັບໃຊ້ SGT ແລະການບັງຄັບໃຊ້ SGACL. ແພັກເກັດ tagged ໂດຍ subnet-to-SGT mapping ສາມາດຂະຫຍາຍພັນໄດ້ໃນ Layer 2 ຫຼື Layer 3 Cisco TrustSec links.
  • ສໍາລັບເຄືອຂ່າຍ IPv6, SXPv3 ບໍ່ສາມາດສົ່ງອອກການຜູກມັດເຄືອຂ່າຍຍ່ອຍໄປຫາ SXPv2 ຫຼື SXPv1 peers.

ເກີນview ຂອງການສ້າງແຜນທີ່ VLAN-to-SGT

  • ຄຸນສົມບັດການສ້າງແຜນທີ່ VLAN-to-SGT ຜູກມັດ SGT ກັບແພັກເກັດຈາກ VLAN ທີ່ລະບຸໄວ້. ອັນນີ້ເຮັດໃຫ້ການເຄື່ອນຍ້າຍຈາກມໍລະດົກໄປສູ່ເຄືອຂ່າຍທີ່ມີຄວາມສາມາດ Cisco TrustSec ໄດ້ງ່າຍຂຶ້ນ.
  • ການຜູກມັດ VLAN-to-SGT ຖືກຕັ້ງຄ່າດ້ວຍ cts role-based sgt-map vlan-list ຄໍາສັ່ງ configuration ທົ່ວໂລກ.
  • ເມື່ອ VLAN ຖືກມອບໝາຍໃຫ້ປະຕູທາງທີ່ເປັນຕົວປະສານສະຫຼັບສະເໝືອນ (SVI) ຢູ່ໃນສະວິດທີ່ມີຄວາມສາມາດ Cisco TrustSec, ແລະການຕິດຕາມອຸປະກອນ IP ຖືກເປີດໃຊ້ໃນສະວິດນັ້ນ, Cisco TrustSec ສາມາດສ້າງການຜູກມັດ IP-to-SGT ສໍາລັບໂຮດທີ່ໃຊ້ງານໄດ້. ຢູ່ໃນ VLAN ນັ້ນທີ່ແຜນທີ່ກັບເຄືອຂ່າຍຍ່ອຍ SVI.
  • ການຜູກມັດ IP-SGT ສໍາລັບໂຮດ VLAN ທີ່ເຄື່ອນໄຫວຖືກສົ່ງອອກໄປຫາຜູ້ຟັງ SXP. ການຜູກມັດສໍາລັບແຕ່ລະ VLAN ທີ່ມີແຜນທີ່ຖືກໃສ່ເຂົ້າໄປໃນຕາຕະລາງ IP-to-SGT ທີ່ກ່ຽວຂ້ອງກັບ VRF ທີ່ VLAN ໄດ້ຖືກສ້າງຂື້ນໂດຍ SVI ຂອງມັນຫຼືໂດຍ. cts role-based l2-vrf ຄໍາສັ່ງ.
  • ການຜູກມັດ VLAN-to-SGT ມີບູລິມະສິດຕໍ່າສຸດຂອງວິທີການຜູກມັດທັງໝົດ ແລະຖືກລະເລີຍເມື່ອການຜູກມັດຈາກແຫຼ່ງອື່ນໄດ້ຮັບ, ເຊັ່ນ: ຈາກການຕັ້ງຄ່າໂຮສ SXP ຫຼື CLI. ບູລິມະສິດການຜູກມັດແມ່ນລະບຸໄວ້ໃນພາກສ່ວນບູລິມະສິດແຫຼ່ງທີ່ມາ.

ຄໍາແນະນໍາການນໍາໃຊ້ຜະລິດຕະພັນ

ການຕັ້ງຄ່າ Subnet-to-SGT Mapping

  1. ເຂົ້າເຖິງອິນເຕີເຟດ CLI ຂອງອຸປະກອນ.
  2. ກະລຸນາໃສ່ຮູບແບບການຕັ້ງຄ່າໂດຍໃຊ້ config ຄໍາສັ່ງ.
  3. ປະຕິບັດຄໍາສັ່ງຕໍ່ໄປນີ້ເພື່ອກໍາຫນົດຄ່າ subnet-to-SGT mapping:
cts role-based sgt-map net_address/prefix sgt sgt_number
  1. ແທນທີ່ net_address/prefix ກັບທີ່ຢູ່ຂອງເຄືອຂ່າຍຍ່ອຍ ແລະຄວາມຍາວຂອງຄໍານໍາໜ້າທີ່ທ່ານຕ້ອງການສ້າງແຜນທີ່ (ເຊັ່ນ: 192.168.1.0/24).
  2. ແທນທີ່ sgt_number ກັບກຸ່ມຄວາມປອດໄພທີ່ຕ້ອງການ tag ເລກ.
  3. ກົດ Enter ເພື່ອນຳໃຊ້ການຕັ້ງຄ່າ.
  4. ອອກຈາກໂຫມດການຕັ້ງຄ່າ.

ການຕັ້ງຄ່າ VLAN-to-SGT Mapping

    1. ເຂົ້າເຖິງອິນເຕີເຟດ CLI ຂອງອຸປະກອນ.
    2. ກະລຸນາໃສ່ຮູບແບບການຕັ້ງຄ່າໂດຍໃຊ້ config ຄໍາສັ່ງ.
    3. ປະຕິບັດຄໍາສັ່ງຕໍ່ໄປນີ້ເພື່ອຕັ້ງຄ່າການສ້າງແຜນທີ່ VLAN-to-SGT:
cts role-based sgt-map vlan-list
  1. ລະບຸ VLANs ທີ່ຈະເຮັດແຜນທີ່ກັບ SGTs.
  2. ກົດ Enter ເພື່ອນຳໃຊ້ການຕັ້ງຄ່າ.
  3. ອອກຈາກໂຫມດການຕັ້ງຄ່າ.

ຂໍ້ມູນຈໍາເພາະ

  • ເຄືອຂ່າຍທີ່ຮອງຮັບ: IPv4, IPv6
  • ໂປຣໂຕຄອນທີ່ຮອງຮັບ: Security Exchange Protocol (SXP)v3
  • ວິ​ທີ​ການ​ຜູກ​ມັດ​ສະ​ຫນັບ​ສະ​ຫນູນ​: Subnet-to-SGT Mapping, VLAN-to-SGT Mapping

ຄຳຖາມທີ່ຖາມເລື້ອຍໆ (FAQ)

  • ຖາມ: ການຜູກມັດເຄືອຂ່າຍຍ່ອຍສາມາດສົ່ງອອກໄປຫາເພື່ອນຮ່ວມ SXPv2 ຫຼື SXPv1 ໃນເຄືອຂ່າຍ IPv6 ໄດ້ບໍ?
    A: ບໍ່, ການຜູກມັດຂອງເຄືອຂ່າຍຍ່ອຍສາມາດຖືກສົ່ງອອກໄປຫາເພື່ອນຮ່ວມ SXPv3 ໃນເຄືອຂ່າຍ IPv6 ເທົ່ານັ້ນ.
  • Q: ບູລິມະສິດຂອງການຜູກມັດ VLAN-to-SGT ແມ່ນຫຍັງ?
    A: ການຜູກມັດ VLAN-to-SGT ມີບູລິມະສິດຕໍ່າສຸດໃນບັນດາວິທີການຜູກມັດທັງໝົດ ແລະຖືກລະເລີຍເມື່ອການຜູກມັດຈາກແຫຼ່ງອື່ນໄດ້ຮັບ.

Subnet ກັບກຸ່ມຄວາມປອດໄພ tag ການສ້າງແຜນທີ່ (SGT) ຜູກມັດ SGT ກັບທີ່ຢູ່ໂຮດທັງໝົດຂອງເຄືອຂ່າຍຍ່ອຍທີ່ລະບຸໄວ້. ເມື່ອແຜນທີ່ນີ້ຖືກຈັດຕັ້ງປະຕິບັດ, Cisco TrustSec ຈະບັງຄັບໃຊ້ SGT ໃນແພັກເກັດທີ່ເຂົ້າມາທີ່ມີທີ່ຢູ່ IP ແຫຼ່ງທີ່ເປັນຂອງເຄືອຂ່າຍຍ່ອຍທີ່ລະບຸໄວ້.

ຂໍ້ຈໍາກັດສໍາລັບ SGT Mapping

ຂໍ້ຈໍາກັດສໍາລັບ Subnet-to-SGT Mapping

  • ເຄືອຂ່າຍຍ່ອຍ IPv4 ທີ່ມີຄຳນຳໜ້າ /31 ບໍ່ສາມາດຂະຫຍາຍໄດ້.
  • ທີ່ຢູ່ຂອງເຄືອຂ່າຍຍ່ອຍບໍ່ສາມາດຖືກຜູກມັດກັບກຸ່ມຄວາມປອດໄພ Tags (SGT)s ເມື່ອຕົວກໍານົດການຜູກມັດຂອງເຄືອຂ່າຍ-ແຜນທີ່ໜ້ອຍກວ່າຈຳນວນທັງໝົດຂອງແມ່ຂ່າຍຍ່ອຍໃນເຄືອຂ່າຍຍ່ອຍທີ່ກຳນົດໄວ້, ຫຼືເມື່ອການຜູກມັດແມ່ນ 0.
  • ການຂະຫຍາຍ ແລະຂະຫຍາຍ IPv6 ເກີດຂຶ້ນພຽງແຕ່ເມື່ອລຳໂພງ ແລະຜູ້ຟັງໃຊ້ SXPv3 ຫຼືເວີຊັນຫຼ້າສຸດກວ່າ.

ຂໍ້ຈຳກັດສຳລັບແຜນທີ່ SGT ເສັ້ນທາງເລີ່ມຕົ້ນ

  • ການຕັ້ງຄ່າເສັ້ນທາງເລີ່ມຕົ້ນແມ່ນຍອມຮັບກັບເຄືອຂ່າຍຍ່ອຍ /0 ເທົ່ານັ້ນ. ການໃສ່ພຽງແຕ່ host-ip ໂດຍບໍ່ມີ subnet /0 ສະແດງຂໍ້ຄວາມຕໍ່ໄປນີ້:CISCO-Configuring-Security-Group-Tag- ການ​ສ້າງ​ແຜນ​ທີ່ - (1​)

ຂໍ້ມູນກ່ຽວກັບ SGT Mapping

ພາກນີ້ໃຫ້ຂໍ້ມູນກ່ຽວກັບການສ້າງແຜນທີ່ SGT.

ເກີນview

ເກີນview ຂອງ Subnet-to-SGT Mapping
ການສ້າງແຜນທີ່ subnet-to-SGT ຜູກມັດ SGT ກັບທີ່ຢູ່ໂຮດທັງໝົດຂອງເຄືອຂ່າຍຍ່ອຍທີ່ລະບຸ. Cisco TrustSec ບັງຄັບ SGT ໃນແພັກເກັດທີ່ເຂົ້າມາເມື່ອທີ່ຢູ່ IP ແຫຼ່ງຂອງແພັກເກັດເປັນຂອງເຄືອຂ່າຍຍ່ອຍທີ່ລະບຸ. subnet ແລະ SGT ຖືກລະບຸໄວ້ໃນ CLI ດ້ວຍ cts role-based sgt-map net_address/prefix sgt sgt_number global configuration command. ໂຮດດຽວອາດຈະຖືກສ້າງແຜນທີ່ດ້ວຍຄໍາສັ່ງນີ້. ໃນເຄືອຂ່າຍ IPv4, Security Exchange Protocol (SXP)v3, ແລະເວີຊັນຫຼ້າສຸດ, ສາມາດຮັບ ແລະແຍກສາຍສະຕຣິງຍ່ອຍ net_address/prefix ຈາກ SXPv3 peers. ຮຸ່ນ SXP ກ່ອນຫນ້ານີ້ປ່ຽນຄໍານໍາຫນ້າຂອງ subnet ເຂົ້າໄປໃນຊຸດຂອງ host bindings ກ່ອນທີ່ຈະສົ່ງອອກໃຫ້ເຂົາເຈົ້າເປັນເພື່ອນຟັງ SXP.

ຕົວຢ່າງample, ເຄືອຂ່າຍຍ່ອຍ IPv4 192.0.2.0/24 ຖືກຂະຫຍາຍດັ່ງຕໍ່ໄປນີ້ (ພຽງແຕ່ 3 bits ສໍາລັບທີ່ຢູ່ໂຮດ):

  • ທີ່ຢູ່ເຈົ້າພາບ 198.0.2.1 ຫາ 198.0.2.7—tagged ແລະຂະຫຍາຍພັນກັບ SXP peer.
  • ທີ່ຢູ່ເຄືອຂ່າຍ ແລະອອກອາກາດ 198.0.2.0 ແລະ 198.0.2.8—ບໍ່. tagged ແລະບໍ່ໄດ້ຂະຫຍາຍພັນ.

ເພື່ອຈໍາກັດຈໍານວນການຜູກມັດເຄືອຂ່າຍຍ່ອຍ SXPv3 ສາມາດສົ່ງອອກໄດ້, ໃຊ້ຄໍາສັ່ງ cts sxp mapping network-map global configuration. ການຜູກມັດເຄືອຂ່າຍຍ່ອຍແມ່ນຄົງທີ່, ບໍ່ມີການຮຽນຮູ້ຂອງໂຮດທີ່ເຄື່ອນໄຫວ. ພວກເຂົາສາມາດຖືກນໍາໃຊ້ໃນທ້ອງຖິ່ນສໍາລັບການບັງຄັບໃຊ້ SGT ແລະການບັງຄັບໃຊ້ SGACL. ແພັກເກັດ tagged ໂດຍ subnet-to-SGT mapping ສາມາດຂະຫຍາຍພັນໄດ້ໃນ Layer 2 ຫຼື Layer 3 Cisco TrustSec links. ສໍາລັບເຄືອຂ່າຍ IPv6, SXPv3 ບໍ່ສາມາດສົ່ງອອກການຜູກມັດເຄືອຂ່າຍຍ່ອຍໄປຫາ SXPv2 ຫຼື SXPv1 peers.

ເກີນview ຂອງການສ້າງແຜນທີ່ VLAN-to-SGT
ຄຸນສົມບັດການສ້າງແຜນທີ່ VLAN-to-SGT ຜູກມັດ SGT ກັບແພັກເກັດຈາກ VLAN ທີ່ລະບຸໄວ້. ນີ້ເຮັດໃຫ້ການເຄື່ອນຍ້າຍຈາກມໍລະດົກໄປເປັນເຄືອຂ່າຍທີ່ມີຄວາມສາມາດ Cisco TrustSec ງ່າຍດັ່ງນີ້:

  • ຮອງຮັບອຸປະກອນທີ່ບໍ່ມີຄວາມສາມາດ Cisco TrustSec ແຕ່ສາມາດ VLAN ໄດ້, ເຊັ່ນ: ສະວິດເກົ່າ, ຕົວຄວບຄຸມໄຮ້ສາຍ, ຈຸດເຂົ້າເຖິງ, VPNs, ແລະອື່ນໆ.
  • ສະຫນອງຄວາມເຂົ້າກັນໄດ້ໃນດ້ານຫລັງສໍາລັບ topologies ທີ່ VLANs ແລະ VLAN ACLs ແບ່ງເຄືອຂ່າຍ, ເຊັ່ນ: ການແບ່ງສ່ວນເຄື່ອງແມ່ຂ່າຍໃນສູນຂໍ້ມູນ.
  • ການຜູກມັດ VLAN-to-SGT ຖືກກຳນົດຄ່າດ້ວຍຄຳສັ່ງ cts-based sgt-map vlan-list global configuration command.
  • ເມື່ອ VLAN ຖືກມອບໝາຍໃຫ້ປະຕູທາງທີ່ເປັນຕົວປະສານສະຫຼັບສະເໝືອນ (SVI) ຢູ່ໃນສະວິດທີ່ມີຄວາມສາມາດ Cisco TrustSec, ແລະການຕິດຕາມອຸປະກອນ IP ຖືກເປີດໃຊ້ໃນສະວິດນັ້ນ, Cisco TrustSec ສາມາດສ້າງການຜູກມັດ IP-to-SGT ສໍາລັບໂຮດທີ່ໃຊ້ງານໄດ້. ຢູ່ໃນ VLAN ນັ້ນທີ່ແຜນທີ່ກັບເຄືອຂ່າຍຍ່ອຍ SVI.
  • ການຜູກມັດ IP-SGT ສໍາລັບໂຮດ VLAN ທີ່ເຄື່ອນໄຫວຖືກສົ່ງອອກໄປຫາຜູ້ຟັງ SXP. ການຜູກມັດສໍາລັບແຕ່ລະ VLAN ທີ່ມີແຜນທີ່ຖືກໃສ່ເຂົ້າໄປໃນຕາຕະລາງ IP-to-SGT ທີ່ກ່ຽວຂ້ອງກັບ VRF ທີ່ VLAN ຖືກສ້າງແຜນທີ່ໂດຍ SVI ຂອງມັນຫຼືໂດຍຄໍາສັ່ງ cts ໂດຍອີງໃສ່ບົດບາດ l2-vrf.
  • ການຜູກມັດ VLAN-to-SGT ມີບູລິມະສິດຕໍ່າສຸດຂອງວິທີການຜູກມັດທັງໝົດ ແລະຖືກລະເລີຍເມື່ອການຜູກມັດຈາກແຫຼ່ງອື່ນໄດ້ຮັບ, ເຊັ່ນ: ຈາກການຕັ້ງຄ່າໂຮສ SXP ຫຼື CLI. ບູລິມະສິດການຜູກມັດແມ່ນລະບຸໄວ້ໃນພາກສ່ວນບູລິມະສິດແຫຼ່ງທີ່ມາ.
ບຸລິມະສິດແຫຼ່ງທີ່ມາທີ່ຜູກມັດ

Cisco TrustSec ແກ້ໄຂຂໍ້ຂັດແຍ່ງລະຫວ່າງແຫຼ່ງຜູກມັດ IP-SGT ດ້ວຍລະບົບບູລິມະສິດທີ່ເຂັ້ມງວດ. ຕົວຢ່າງampດັ່ງນັ້ນ, SGT ອາດຈະຖືກນໍາໃຊ້ກັບການໂຕ້ຕອບທີ່ມີນະໂຍບາຍ {dynamic identity peer-name | static sgt tag} ຄຳສັ່ງ Cisco Trustsec Manual interface mode (Identity Port Mapping). ຄໍາສັ່ງບັງຄັບໃຊ້ບູລິມະສິດໃນປະຈຸບັນ, ຈາກຕ່ໍາສຸດ (1) ຫາສູງສຸດ (7), ມີດັ່ງນີ້:

  1. VLAN: ການຜູກມັດທີ່ໄດ້ຮຽນຮູ້ຈາກແພັກເກັດ ARP snooped ຢູ່ໃນ VLAN ທີ່ມີການຕັ້ງຄ່າແຜນທີ່ VLAN-SGT.
  2. CLI: ການຜູກມັດທີ່ຢູ່ທີ່ຖືກຕັ້ງຄ່າໂດຍໃຊ້ຮູບແບບ IP-SGT ຂອງຄໍາສັ່ງ cts sgt-map global configuration ຕາມພາລະບົດບາດ.
  3. SXP: ການຜູກມັດທີ່ໄດ້ຮຽນຮູ້ຈາກເພື່ອນຮ່ວມ SXP.
  4. IP_ARP: ການຜູກມັດໄດ້ຮຽນຮູ້ເມື່ອ tagged ARP packets ແມ່ນໄດ້ຮັບໃນການເຊື່ອມຕໍ່ CTS-capable.
  5. ທ້ອງຖິ່ນ: ການຜູກມັດຂອງແມ່ຂ່າຍທີ່ຮັບຮອງຄວາມຖືກຕ້ອງເຊິ່ງຮຽນຮູ້ຜ່ານ EPM ແລະການຕິດຕາມອຸປະກອນ. ປະເພດຂອງການຜູກມັດນີ້ຍັງປະກອບມີໂຮດສ່ວນບຸກຄົນທີ່ຮຽນຮູ້ຜ່ານ ARP snooping ໃນພອດ L2 [I] PM-configured.
  6. ພາຍໃນ: ການຜູກມັດລະຫວ່າງທີ່ຢູ່ IP ທີ່ຕັ້ງຢູ່ໃນທ້ອງຖິ່ນ ແລະ SGT ຂອງອຸປະກອນ.

ໝາຍເຫດ
ຖ້າທີ່ຢູ່ IP ຕົ້ນສະບັບກົງກັບຄໍານໍາຫນ້າ subnet ຫຼາຍອັນທີ່ມີ SGTs ທີ່ຖືກມອບຫມາຍທີ່ແຕກຕ່າງກັນ, ຫຼັງຈາກນັ້ນ SGT ຄໍານໍາຫນ້າທີ່ຍາວທີ່ສຸດຈະນໍາຫນ້າເວັ້ນເສຍແຕ່ວ່າຄວາມສໍາຄັນແຕກຕ່າງກັນ.

ເສັ້ນທາງເລີ່ມຕົ້ນ SGT

  • ກຸ່ມຄວາມປອດໄພເສັ້ນທາງເລີ່ມຕົ້ນ Tag (SGT) ມອບຫມາຍເລກ SGT ໃຫ້ກັບເສັ້ນທາງເລີ່ມຕົ້ນ.
  • ເສັ້ນທາງເລີ່ມຕົ້ນແມ່ນເສັ້ນທາງທີ່ບໍ່ກົງກັບເສັ້ນທາງທີ່ລະບຸໄວ້ ແລະດັ່ງນັ້ນຈຶ່ງເປັນເສັ້ນທາງໄປສູ່ປາຍທາງສຸດທ້າຍ. ເສັ້ນທາງເລີ່ມຕົ້ນແມ່ນໃຊ້ເພື່ອຊີ້ໄປຫາແພັກເກັດທີ່ສົ່ງໄປຫາເຄືອຂ່າຍທີ່ບໍ່ໄດ້ລະບຸຢ່າງຊັດເຈນຢູ່ໃນຕາຕະລາງການກຳນົດເສັ້ນທາງ.

ວິທີການກໍານົດ SGT Mapping

ພາກນີ້ອະທິບາຍວິທີການກໍານົດແຜນທີ່ SGT.

ຕັ້ງຄ່າອຸປະກອນ SGT ດ້ວຍຕົນເອງ
ໃນການເຮັດວຽກປົກກະຕິ Cisco TrustSec, ເຊີບເວີການພິສູດຢືນຢັນຈະມອບໝາຍ SGT ໃຫ້ກັບອຸປະກອນສຳລັບແພັກເກັດທີ່ມາຈາກອຸປະກອນ. ທ່ານສາມາດກຳນົດຄ່າ SGT ດ້ວຍຕົນເອງເພື່ອນຳໃຊ້ໄດ້ ຖ້າເຊີບເວີການພິສູດຢືນຢັນບໍ່ສາມາດເຂົ້າເຖິງໄດ້, ແຕ່ SGT ທີ່ກຳນົດໃຫ້ເຊີບເວີການພິສູດຢືນຢັນຈະມີຄວາມສຳຄັນກວ່າ SGT ທີ່ກຳນົດເອງ.

ເພື່ອຕັ້ງຄ່າ SGT ດ້ວຍຕົນເອງ, ປະຕິບັດວຽກງານນີ້:

ຂັ້ນຕອນ

  ຄໍາສັ່ງ or ການປະຕິບັດ ຈຸດປະສົງ
ຂັ້ນຕອນທີ 1 ເປີດໃຊ້ ເປີດໃຊ້ໂໝດ EXEC ທີ່ໄດ້ຮັບສິດທິພິເສດ.
  Example:

ອຸປະກອນ# ເປີດໃຊ້

 • ໃສ່ລະຫັດຜ່ານຂອງທ່ານຖ້າຖືກຖາມ.
ຂັ້ນຕອນທີ 2 configure terminal

Example:

ອຸປະກອນ# configure terminal

 ເຂົ້າສູ່ໂໝດການຕັ້ງຄ່າທົ່ວໂລກ.
ຂັ້ນຕອນທີ 3 cts sgt tag

Example:

ອຸປະກອນ(config)# cts sgt 1234

 ເປີດໃຊ້ SXP ສໍາລັບ Cisco TrustSec.
ຂັ້ນຕອນທີ 4 ອອກໄປ

Example:

ອຸປະກອນ(config)# ອອກໄປ

 ອອກຈາກໂໝດການຕັ້ງຄ່າທົ່ວໂລກ ແລະກັບຄືນສູ່ໂໝດ EXEC ທີ່ໄດ້ຮັບສິດທິພິເສດ
ການຕັ້ງຄ່າ Subnet-to-SGT Mapping

ຂັ້ນຕອນ

  ຄໍາສັ່ງ or ການປະຕິບັດ ຈຸດປະສົງ
ຂັ້ນຕອນທີ 1 ເປີດໃຊ້

Example:

ອຸປະກອນ# ເປີດໃຊ້

 ເປີດໃຊ້ໂໝດ EXEC ທີ່ໄດ້ຮັບສິດທິພິເສດ.

• ໃສ່ລະຫັດຜ່ານຂອງທ່ານຖ້າຖືກຖາມ.
ຂັ້ນຕອນທີ 2 configure terminal

Example:

ອຸປະກອນ# configure terminal

 ເຂົ້າສູ່ໂໝດການຕັ້ງຄ່າທົ່ວໂລກ.
ຂັ້ນຕອນທີ 3 cts sxp mapping network-map ຜູກມັດ

Example:

ອຸປະກອນ(config)# cts sxp mapping network-map 10000

 •  ກຳນົດຄ່າ Subnet ກັບ SGT Mapping host ຈຳກັດ. ການໂຕ້ຖຽງການຜູກມັດລະບຸຈໍານວນສູງສຸດຂອງແມ່ຂ່າຍ IP ຂອງເຄືອຂ່າຍຍ່ອຍທີ່ສາມາດຜູກມັດກັບ SGTs ແລະສົ່ງອອກໄປຫາຜູ້ຟັງ SXP.

•  ການຜູກມັດ—(0 ຫາ 65,535) ຄ່າເລີ່ມຕົ້ນແມ່ນ 0 (ບໍ່ມີການຂະຫຍາຍອອກ)
ຂັ້ນຕອນທີ 4 cts ພາລະບົດບາດໂດຍອີງໃສ່ sgt-map ipv4_address/prefix

ຖາດ ເລກ

Example:

ອຸປະກອນ(config)# cts ແຜນທີ່ sgt-based 10.10.10.10/29 sgt 1234

 (IPv4) ລະບຸເຄືອຂ່າຍຍ່ອຍໃນນາມສະກຸນ CIDR.

•  ໃຊ້ບໍ່ມີຮູບແບບຂອງຄໍາສັ່ງເພື່ອຍົກເລີກການຕັ້ງຄ່າ Subnet ກັບ SGT mapping. ຈໍານວນການຜູກມັດທີ່ລະບຸໄວ້ໃນຂັ້ນຕອນທີ 2 ຄວນກົງກັນ ຫຼືເກີນຈໍານວນທີ່ຢູ່ຂອງເຈົ້າພາບໃນເຄືອຂ່າຍຍ່ອຍ (ບໍ່ລວມເຄືອຂ່າຍ ແລະທີ່ຢູ່ອອກອາກາດ). ຄໍາສໍາຄັນ sgt ກໍານົດຄວາມປອດໄພ
    ກຸ່ມ Tag ຜູກມັດກັບທຸກໆເຈົ້າພາບ

ທີ່ຢູ່ໃນເຄືອຂ່າຍຍ່ອຍທີ່ລະບຸໄວ້.

•  ipv4_address—ລະບຸທີ່ຢູ່ເຄືອຂ່າຍ IPv4 ໃນເຄື່ອງໝາຍທົດສະນິຍົມຈຸດ.

•  ຄຳນຳໜ້າ—(0 ຫາ 30) ລະບຸຈຳນວນບິດໃນທີ່ຢູ່ເຄືອຂ່າຍ.

•  ຖາດ number—(0–65,535) ລະບຸກຸ່ມຄວາມປອດໄພ Tag ໝາຍເລກ (SGT).
ຂັ້ນຕອນທີ 5 cts ພາລະບົດບາດໂດຍອີງໃສ່ sgt-map ipv6_address::prefix

ຖາດ ເລກ

Example:

ອຸປະກອນ(config)# cts ແຜນທີ່ sgt-based 2020::/64 sgt 1234

 (IPv6) ລະບຸເຄືອຂ່າຍຍ່ອຍໃນເຄື່ອງໝາຍເລກຖານສິບຫົກຂອງຈໍ້າສອງເມັດ. ໃຊ້ຮູບແບບທີ່ບໍ່ມີຂອງຄໍາສັ່ງເພື່ອຍົກເລີກການຕັ້ງຄ່າ Subnet ກັບ SGT mapping.

ຈໍານວນການຜູກມັດທີ່ລະບຸໄວ້ໃນຂັ້ນຕອນທີ 2 ຄວນກົງກັນ ຫຼືເກີນຈໍານວນທີ່ຢູ່ຂອງເຈົ້າພາບໃນເຄືອຂ່າຍຍ່ອຍ (ບໍ່ລວມເຄືອຂ່າຍ ແລະທີ່ຢູ່ອອກອາກາດ). ຄໍາສໍາຄັນ sgt ກໍານົດກຸ່ມຄວາມປອດໄພ Tag ຜູກມັດກັບທຸກທີ່ຢູ່ໂຮດໃນເຄືອຂ່າຍຍ່ອຍທີ່ລະບຸ.

•  ipv6_address—ລະບຸທີ່ຢູ່ເຄືອຂ່າຍ IPv6 ໃນເຄື່ອງໝາຍເລກຖານສິບຫົກຂອງຈໍ້າສອງເມັດ.

•  ຄໍານໍາຫນ້າ—(0 ຫາ 128) ລະບຸຈໍານວນບິດໃນທີ່ຢູ່ເຄືອຂ່າຍ.

•  ຖາດ number—(0–65,535) ລະບຸກຸ່ມຄວາມປອດໄພ Tag ໝາຍເລກ (SGT).
ຂັ້ນຕອນທີ 6 ອອກໄປ

Example:

ອຸປະກອນ(config)# ອອກໄປ

 ອອກຈາກໂໝດການຕັ້ງຄ່າທົ່ວໂລກ ແລະກັບຄືນສູ່ໂໝດ EXEC ທີ່ໄດ້ຮັບສິດທິພິເສດ..
ການຕັ້ງຄ່າ VLAN-to-SGT Mapping

Task Flow ສໍາລັບການຕັ້ງຄ່າ VLAN-SGT Mapping ໃນອຸປະກອນ Cisco TrustSec.

  • ສ້າງ VLAN ໃນອຸປະກອນດ້ວຍ VLAN_ID ດຽວກັນຂອງ VLAN ທີ່ເຂົ້າມາ.
  • ສ້າງ SVI ສໍາລັບ VLAN ໃນອຸປະກອນເພື່ອເປັນປະຕູເລີ່ມຕົ້ນສໍາລັບລູກຄ້າປາຍທາງ.
  • ຕັ້ງຄ່າອຸປະກອນເພື່ອນຳໃຊ້ SGT ຕໍ່ກັບການສັນຈອນ VLAN.
  • ເປີດໃຊ້ການຕິດຕາມອຸປະກອນ IP ໃນອຸປະກອນ.
  • ແນບນະໂຍບາຍການຕິດຕາມອຸປະກອນໃສ່ VLAN.

ໝາຍເຫດ
ໃນເຄືອຂ່າຍຫຼາຍສະວິດ, ການຕິດຕາມອຸປະກອນທີ່ອີງໃສ່ SISF ສະຫນອງຄວາມສາມາດໃນການແຈກຢາຍຕາຕະລາງການຜູກມັດລະຫວ່າງສະວິດທີ່ແລ່ນຄຸນສົມບັດ. ນີ້ສົມມຸດວ່າການຜູກມັດໄດ້ຖືກສ້າງຂື້ນຢູ່ໃນສະວິດທີ່ໂຮດປາກົດຢູ່ໃນພອດການເຂົ້າເຖິງ, ແລະບໍ່ມີການສ້າງລາຍການເຂົ້າສໍາລັບໂຮດທີ່ປາກົດຢູ່ເທິງພອດລໍາຕົ້ນ. ເພື່ອບັນລຸສິ່ງນີ້ໃນການຕັ້ງຄ່າຫຼາຍສະວິດ, ພວກເຮົາແນະນໍາໃຫ້ທ່ານກໍານົດນະໂຍບາຍອື່ນແລະຕິດມັນກັບພອດລໍາຕົ້ນ, ດັ່ງທີ່ອະທິບາຍໄວ້ໃນການຕັ້ງຄ່າເຄືອຂ່າຍຫຼາຍສະຫຼັບເພື່ອຢຸດການສ້າງການຜູກມັດການປ້ອນຂໍ້ມູນຈາກຂັ້ນຕອນການພອດລໍາຕົ້ນ, ໃນການຕັ້ງຄ່າ SISF -Based Device Tracking chapter of the Security Configuration Guide.

  • ກວດສອບວ່າການສ້າງແຜນທີ່ VLAN-to-SGT ເກີດຂຶ້ນໃນອຸປະກອນ.

ຂັ້ນຕອນ

  ຄໍາສັ່ງ or ການປະຕິບັດ ຈຸດປະສົງ
ຂັ້ນຕອນທີ 1 ເປີດໃຊ້

Example:

ອຸປະກອນ# ເປີດໃຊ້

 ເປີດໃຊ້ໂໝດ EXEC ທີ່ໄດ້ຮັບສິດທິພິເສດ.

• ໃສ່ລະຫັດຜ່ານຂອງທ່ານຖ້າຖືກຖາມ.
ຂັ້ນຕອນທີ 2 configure terminal

Example:

ອຸປະກອນ# configure terminal

 ເຂົ້າສູ່ໂໝດການຕັ້ງຄ່າທົ່ວໂລກ.
ຂັ້ນຕອນທີ 3 vlan vlan_id

Example:

ອຸປະກອນ(config)# vlan 100

 ສ້າງ VLAN 100 ຢູ່ໃນອຸປະກອນ Gateway ທີ່ມີຄວາມສາມາດ TrustSec ແລະເຂົ້າສູ່ VLAN

ຮູບແບບການຕັ້ງຄ່າ.
ຂັ້ນຕອນທີ 4 [ບໍ່] ປິດ

Example:

ອຸປະກອນ(config-vlan)# ບໍ່ມີການປິດ

 ການສະໜອງ VLAN 100.
ຂັ້ນຕອນທີ 5 ອອກໄປ

Example:

ອຸປະກອນ(config-vlan)# ອອກໄປ

 ອອກຈາກໂໝດການຕັ້ງຄ່າ VLAN ແລະກັບຄືນສູ່ໂໝດການຕັ້ງຄ່າທົ່ວໂລກ.
ຂັ້ນຕອນທີ 6 ການໂຕ້ຕອບ ປະເພດຊ່ອງສຽບ / ພອດ

Example:

ອຸປະກອນ(config)# interface vlan 100

 ລະບຸປະເພດອິນເຕີເຟດ ແລະເຂົ້າສູ່ໂໝດການຕັ້ງຄ່າສ່ວນຕິດຕໍ່.
ຂັ້ນຕອນທີ 7 ທີ່ຢູ່ ip ສະລັອດຕິງ/ພອດ

Example:

ອຸປະກອນ(config-if)# ip address 10.1.1.2 255.0.0.0

 ຕັ້ງຄ່າ Switched Virtual Interface (SVI) ສໍາລັບ VLAN 100.
ຂັ້ນຕອນທີ 8 [ບໍ່ ] ປິດ

Example:

ອຸປະກອນ(config-if)# ບໍ່ມີການປິດ

 ເປີດໃຊ້ SVI.
ຂັ້ນຕອນທີ 9 ອອກໄປ

Example:

ອຸປະກອນ(config-if)# ອອກໄປ

 ອອກຈາກໂໝດການຕັ້ງຄ່າສ່ວນຕິດຕໍ່ ແລະກັບຄືນສູ່ໂໝດການຕັ້ງຄ່າທົ່ວໂລກ.
ຂັ້ນຕອນທີ 10 cts ອີງໃສ່ບົດບາດ sgt-map vlan-list vlan_id ຖາດ

sgt_number

Example:

ອຸປະກອນ(config)# cts role-based sgt-map vlan-list 100 sgt 10

 ມອບ SGT ທີ່ລະບຸໃຫ້ກັບ VLAN ທີ່ລະບຸ.
ຂັ້ນຕອນທີ 11 ນະ​ໂຍ​ບາຍ​ການ​ຕິດ​ຕາມ​ອຸ​ປະ​ກອນ​ ຊື່ນະໂຍບາຍ

Example:

ອຸປະກອນ(config)# ນະໂຍບາຍການຕິດຕາມອຸປະກອນ1

 ລະບຸນະໂຍບາຍ ແລະເຂົ້າສູ່ໂໝດການຕັ້ງຄ່ານະໂຍບາຍການຕິດຕາມອຸປະກອນ.
ຂັ້ນຕອນທີ 12 ຕິດຕາມການເປີດໃຊ້ງານ

Example:

ອຸປະກອນ(config-device-tracking)# ການຕິດຕາມ ເປີດໃຊ້

 ລົບລ້າງການຕັ້ງຄ່າການຕິດຕາມອຸປະກອນເລີ່ມຕົ້ນສຳລັບຄຸນສົມບັດນະໂຍບາຍ.
ຂັ້ນຕອນທີ 13 ອອກໄປ

Example:

ອຸປະກອນ(config-device-tracking)# ອອກໄປ

 ອອກຈາກໂໝດການຕັ້ງຄ່ານະໂຍບາຍການຕິດຕາມອຸປະກອນ ແລະກັບຄືນສູ່ໂໝດການຕັ້ງຄ່າທົ່ວໂລກ.
ຂັ້ນຕອນທີ 14 ການຕັ້ງຄ່າ vlan vlan_id

Example:

ອຸປະກອນ(config)# ການຕັ້ງຄ່າ vlan 100

 ລະບຸ VLAN ທີ່ນະໂຍບາຍການຕິດຕາມອຸປະກອນຈະຖືກຄັດຕິດ, ແລະເຂົ້າສູ່ໂໝດການຕັ້ງຄ່າ VLAN.
ຂັ້ນຕອນທີ 15 ນະໂຍບາຍການຕິດຄັດຕິດອຸປະກອນ ຊື່ນະໂຍບາຍ

Example:

ອຸປະກອນ(config-vlan-config)#

ນະ​ໂຍ​ບາຍ​ການ​ຕິດ​ຕາມ​ອຸ​ປະ​ກອນ​ການ​ຕິດ​ຕາມ 1

 ແນບນະໂຍບາຍການຕິດຕາມອຸປະກອນໃສ່ VLAN ທີ່ລະບຸໄວ້.
ຂັ້ນຕອນທີ 16 ສິ້ນສຸດ

Example:

ອຸປະກອນ(config-vlan-config)# ສິ້ນສຸດ

 ອອກຈາກໂໝດການຕັ້ງຄ່າ VLAN ແລະກັບຄືນສູ່ໂໝດ EXEC ທີ່ໄດ້ຮັບສິດທິພິເສດ.
ຂັ້ນຕອນທີ 17 ສະແດງ cts ແຜນທີ່ sgt ອີງໃສ່ບົດບາດ {ipv4_netaddr

| ipv4_netaddr/ຄຳນຳໜ້າ | ipv6_netaddr | ipv6_netaddr/ຄຳນຳໜ້າ |ທັງໝົດ [ipv4 |ipv6] |ເຈົ້າພາບ { ipv4 addr |ipv6_addr } |ສະຫຼຸບ [ ipv4

|ipv6 ]

 (ທາງເລືອກ) ສະແດງແຜນທີ່ VLAN-to-SGT.
  Example:

ອຸປະກອນ# ສະແດງ cts ໂດຍອີງໃສ່ sgt-map ທັງຫມົດ

  
ຂັ້ນຕອນທີ 18 ສະແດງນະໂຍບາຍການຕິດຕາມອຸປະກອນ ຊື່ນະໂຍບາຍ

Example:

ອຸປະກອນ# ສະແດງນະໂຍບາຍການຕິດຕາມອຸປະກອນ1

 (ທາງເລືອກ) ສະແດງຄຸນສົມບັດນະໂຍບາຍປັດຈຸບັນ.
ການຈຳລອງ Hardware Keystore

ໃນກໍລະນີທີ່ບ່ອນເກັບກະແຈຂອງຮາດແວບໍ່ຢູ່ ຫຼືໃຊ້ບໍ່ໄດ້, ທ່ານສາມາດກຳນົດຄ່າສະວິດເພື່ອໃຊ້ການຈຳລອງຊອບແວຂອງ keystore. ເພື່ອກຳນົດຄ່າການໃຊ້ຊອຟແວຣ໌ keystore, ປະຕິບັດວຽກງານນີ້:

ຂັ້ນຕອນ

  ຄໍາສັ່ງ or ການປະຕິບັດ ຈຸດປະສົງ
ຂັ້ນຕອນທີ 1 ເປີດໃຊ້

Example:

ອຸປະກອນ# ເປີດໃຊ້

 ເປີດໃຊ້ໂໝດ EXEC ທີ່ໄດ້ຮັບສິດທິພິເສດ.

• ໃສ່ລະຫັດຜ່ານຂອງທ່ານຖ້າຖືກຖາມ.
ຂັ້ນຕອນທີ 2 configure terminal

Example:

ອຸປະກອນ# configure terminal

 ເຂົ້າສູ່ໂໝດການຕັ້ງຄ່າທົ່ວໂລກ.
ຂັ້ນຕອນທີ 3 cts keystore emulate

Example:

ອຸປະກອນ(config)# cts keystore emulate

 ກຳນົດຄ່າສະວິດເພື່ອໃຊ້ການຈຳລອງຊອບແວຂອງ keystore ແທນ hardware keystore.
ຂັ້ນຕອນທີ 4 ອອກໄປ

Example:

ອຸປະກອນ(config)# ອອກໄປ

 ອອກຈາກໂໝດການຕັ້ງຄ່າ.
ຂັ້ນຕອນທີ 5 ສະ​ແດງ​ໃຫ້​ເຫັນ keystore

Example:

ອຸປະກອນ# ສະ​ແດງ​ໃຫ້​ເຫັນ keystore

 ສະແດງສະຖານະ ແລະເນື້ອໃນຂອງ keystore. ຄວາມລັບທີ່ເກັບໄວ້ບໍ່ໄດ້ສະແດງ.

ກຳນົດຄ່າເສັ້ນທາງເລີ່ມຕົ້ນ SGT

ກ່ອນທີ່ທ່ານຈະເລີ່ມຕົ້ນ
ໃຫ້​ແນ່​ໃຈວ່​າ​ທ່ານ​ໄດ້​ສ້າງ​ເປັນ​ເສັ້ນ​ທາງ​ເລີ່ມ​ຕົ້ນ​ໃນ​ອຸ​ປະ​ກອນ​ການ​ນໍາ​ໃຊ້​ຄໍາ​ສັ່ງ ip route 0.0.0.0 ແລ້ວ. ຖ້າບໍ່ດັ່ງນັ້ນ, ເສັ້ນທາງເລີ່ມຕົ້ນ (ທີ່ມາພ້ອມກັບ Default Route SGT) ໄດ້ຮັບຈຸດຫມາຍປາຍທາງທີ່ບໍ່ຮູ້ຈັກແລະດັ່ງນັ້ນຈຸດຫມາຍປາຍທາງສຸດທ້າຍຈະຊີ້ໄປຫາ CPU.

ຂັ້ນຕອນ

  ຄໍາສັ່ງ or ການປະຕິບັດ ຈຸດປະສົງ
ຂັ້ນຕອນທີ 1 ເປີດໃຊ້

Example:

ອຸປະກອນ> ເປີດໃຊ້ງານ

 ເປີດໃຊ້ໂໝດ EXEC ທີ່ໄດ້ຮັບສິດທິພິເສດ.

• ໃສ່ລະຫັດຜ່ານຂອງທ່ານຖ້າຖືກຖາມ.
ຂັ້ນຕອນທີ 2 configure terminal

Example:

ອຸ​ປະ​ກອນ# configure terminal

 ເຂົ້າສູ່ໂໝດການຕັ້ງຄ່າທົ່ວໂລກ.
ຂັ້ນຕອນທີ 3 cts ຕາມພາລະບົດບາດ sgt-map 0.0.0.0/0 sgt ເລກ

Example:

Device(config)# cts ຕາມພາລະບົດບາດ sgt-map 0.0.0.0/0 sgt 3

 ລະບຸໝາຍເລກ SGT ສໍາລັບເສັ້ນທາງເລີ່ມຕົ້ນ. ຄ່າທີ່ຖືກຕ້ອງແມ່ນຕັ້ງແຕ່ 0 ຫາ 65,519.

ໝາຍເຫດ                    • ການ host_address/subnet ສາມາດເປັນທີ່ຢູ່ IPv4 (0.0.0.0/0) ຫຼືທີ່ຢູ່ IPv6 (0:0::/0)

•  ເສັ້ນທາງເລີ່ມຕົ້ນ

ການຕັ້ງຄ່າຖືກຍອມຮັບກັບເຄືອຂ່າຍຍ່ອຍເທົ່ານັ້ນ /0. ການໃສ່ພຽງແຕ່ host-ip ໂດຍບໍ່ມີ subnet /0 ສະແດງຂໍ້ຄວາມຕໍ່ໄປນີ້:

ອຸປະກອນ(config)#cts ແຜນທີ່ sgt ທີ່ອີງໃສ່ບົດບາດ

0.0.0.0 sgt 1000 ບໍ່ຮອງຮັບການກຳນົດຄ່າເສັ້ນທາງເລີ່ມຕົ້ນສຳລັບ host ip
ຂັ້ນຕອນທີ 4 ອອກໄປ

Example:

ອຸປະກອນ(config)# ອອກ

 ອອກຈາກໂໝດການຕັ້ງຄ່າທົ່ວໂລກ.

ກຳລັງກວດສອບ SGT Mapping

ພາກສ່ວນຕໍ່ໄປນີ້ສະແດງໃຫ້ເຫັນວິທີການກວດສອບແຜນທີ່ SGT:

ກຳລັງກວດສອບການຕັ້ງຄ່າການສ້າງແຜນທີ່ Subnet-to-SGT
ເພື່ອສະແດງຂໍ້ມູນການຕັ້ງຄ່າ Subnet-to-SGT Mapping, ໃຫ້ໃຊ້ໜຶ່ງໃນຄຳສັ່ງສະແດງຕໍ່ໄປນີ້:

ຄໍາສັ່ງ ຈຸດປະສົງ
ສະແດງການເຊື່ອມຕໍ່ cts sxp ສະແດງການເຊື່ອມຕໍ່ລໍາໂພງ ແລະຜູ້ຟັງ SXP ກັບສະຖານະການປະຕິບັດການຂອງເຂົາເຈົ້າ.
ສະແດງ cts sxp sgt-map ສະແດງການຜູກມັດ IP ກັບ SGT ທີ່ສົ່ງອອກໄປຫາຜູ້ຟັງ SXP.
ສະແດງ run-config ກວດ​ສອບ​ວ່າ​ຄໍາ​ສັ່ງ​ການ​ຕັ້ງ​ຄ່າ subnet-to-SGT ແມ່ນ​ຢູ່​ໃນ​ການ​ກໍາ​ນົດ​ຄ່າ​ທີ່​ແລ່ນ​ file.

ກຳລັງກວດສອບການສ້າງແຜນທີ່ VLAN-to-SGT

ເພື່ອສະແດງຂໍ້ມູນການຕັ້ງຄ່າ VLAN-to-SGT, ໃຊ້ຄໍາສັ່ງສະແດງຕໍ່ໄປນີ້:

ຕາຕະລາງ 1:

ຄໍາສັ່ງ ຈຸດປະສົງ
ສະແດງນະໂຍບາຍການຕິດຕາມອຸປະກອນ ສະແດງຄຸນສົມບັດນະໂຍບາຍປັດຈຸບັນຂອງນະໂຍບາຍການຕິດຕາມອຸປະກອນ.
ສະແດງ cts ແຜນທີ່ sgt ອີງໃສ່ບົດບາດ ສະແດງການຜູກມັດທີ່ຢູ່ IP ກັບ SGT.

ກຳລັງກວດສອບການຕັ້ງຄ່າ SGT ເສັ້ນທາງເລີ່ມຕົ້ນ

ກວດສອບການຕັ້ງຄ່າ SGT ເສັ້ນທາງເລີ່ມຕົ້ນ:
ອຸປະກອນ# ສະແດງ sgt-map ທີ່ອີງໃສ່ບົດບາດຂອງຂໍ້ມູນການຜູກມັດ IPv4-SGT ທີ່ໃຊ້ວຽກທັງໝົດ

CISCO-Configuring-Security-Group-Tag- ການ​ສ້າງ​ແຜນ​ທີ່ - (2​)

ການຕັ້ງຄ່າ Examples ສໍາລັບ SGT Mapping

ພາກສ່ວນຕໍ່ໄປນີ້ສະແດງໃຫ້ເຫັນການຕັ້ງຄ່າ examples ຂອງ SGT mapping:

Example: ການຕັ້ງຄ່າອຸປະກອນ SGT ດ້ວຍຕົນເອງ

  • ອຸ​ປະ​ກອນ# configure terminal
  • ອຸປະກອນ(config)# cts sgt 1234
  • ອຸປະກອນ(config)# ອອກ

Example: ການຕັ້ງຄ່າສໍາລັບ Subnet-to-SGT Mapping
ຕໍ່ໄປນີ້ example ສະແດງວິທີການປັບຄ່າ IPv4 Subnet-to-SGT Mapping ລະຫວ່າງອຸປະກອນທີ່ໃຊ້ SXPv3 (Device1 ແລະ Device2):

  1. ກຳນົດຄ່າ SXP ລຳໂພງ/ຜູ້ຟັງ peering ລະຫວ່າງອຸປະກອນ.
    • Device1# ຕັ້ງຄ່າ terminal
    • Device1(config)# cts sxp ເປີດໃຊ້ງານ
    • Device1(config)# cts sxp default source-ip 1.1.1.1
    • Device1(config)# cts sxp ລະຫັດຜ່ານເລີ່ມຕົ້ນ 1syzygy1
    • Device1(config)# cts sxp connection peer 2.2.2.2 password default mode local speaker
  2. ຕັ້ງຄ່າ Device2 ເປັນຜູ້ຟັງ SXP ຂອງ Device1.
    • Device2(config)# cts sxp ເປີດໃຊ້ງານ
    • Device2(config)# cts sxp default source-ip 2.2.2.2
    • Device2(config)# cts sxp ລະຫັດຜ່ານເລີ່ມຕົ້ນ 1syzygy1
    • Device2(config)# cts sxp connection peer 1.1.1.1 password default mode local listener
  3. ໃນ Device2, ກວດສອບວ່າການເຊື່ອມຕໍ່ SXP ເຮັດວຽກຢູ່:
    Device2# ສະແດງການເຊື່ອມຕໍ່ cts sxp ໂດຍຫຍໍ້ | ລວມ 1.1.1.1 1.1.1.1 2.2.2.2 ໃນ 3:22:23:18 (dd:hr:mm:sec)
  4. ຕັ້ງຄ່າເຄືອຂ່າຍຍ່ອຍທີ່ຈະຂະຫຍາຍຢູ່ໃນ Device1.
    • Device1(config)# cts sxp mapping network-map 10000
    • Device1(config)# cts ຕາມພາລະບົດບາດ sgt-map 10.10.10.0/30 sgt 101
    • Device1(config)# cts ຕາມພາລະບົດບາດ sgt-map 11.11.11.0/29 sgt 11111
    • Device1(config)# cts ຕາມພາລະບົດບາດ sgt-map 192.168.1.0/28 sgt 65000
  5. ໃນ Device2, ກວດສອບການຂະຫຍາຍເຄືອຂ່າຍຍ່ອຍເປັນ SGT ຈາກ Device1. ຄວນມີການຂະຫຍາຍສອງອັນສໍາລັບເຄືອຂ່າຍຍ່ອຍ 10.10.10.0/30, ການຂະຫຍາຍຫົກອັນສໍາລັບເຄືອຂ່າຍຍ່ອຍ 11.11.11.0/29 ແລະ 14 ການຂະຫຍາຍສໍາລັບເຄືອຂ່າຍຍ່ອຍ 192.168.1.0/28.
    Device2# ສະແດງ cts sxp sgt-map ໂດຍຫຍໍ້ | ລວມມີ 101|11111|65000
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
  6. ກວດ​ສອບ​ການ​ນັບ​ຂະ​ຫຍາຍ​ຢູ່​ໃນ​ອຸ​ປະ​ກອນ 1​:
    ອຸປະກອນ1# ສະແດງ cts sxp sgt-map
    • ຂະຫຍາຍແຜນທີ່ IP-SGT: 22
    • ບໍ່ມີແຜນທີ່ IP-SGT
  7. ບັນທຶກການຕັ້ງຄ່າໃນ Device1 ແລະ Device2 ແລະອອກຈາກໂໝດການຕັ້ງຄ່າທົ່ວໂລກ.
    Device1(config)# copy running-config startup-config
    Device1(config)# ອອກ
    Device2(config)# copy running-config startup-config
    Device2(config)# ອອກ

Example:
ການຕັ້ງຄ່າສໍາລັບ VLAN-to-SGT Mapping ສໍາລັບໂຮດດຽວຜ່ານການເຊື່ອມຕໍ່ການເຂົ້າເຖິງ.

ໃນຕົວຢ່າງຕໍ່ໄປນີ້ample, ໂຮດດຽວເຊື່ອມຕໍ່ກັບ VLAN 100 ໃນອຸປະກອນການເຂົ້າເຖິງ. ການໂຕ້ຕອບສະເໝືອນທີ່ປ່ຽນຢູ່ໃນອຸປະກອນ TrustSec ແມ່ນປະຕູທາງເລີ່ມຕົ້ນສຳລັບຈຸດສິ້ນສຸດ VLAN 100 (ທີ່ຢູ່ IP 10.1.1.1). ອຸປະກອນ TrustSec ບັງຄັບກຸ່ມຄວາມປອດໄພ Tag (SGT) 10 ໃນແພັກເກັດຈາກ VLAN 100.

  1. ສ້າງ VLAN 100 ໃນອຸປະກອນເຂົ້າເຖິງ.
    • access_device# configure terminal
    • access_device(config)# vlan 100
    • access_device(config-vlan)# ບໍ່ມີການປິດ
    • access_device(config-vlan)# ອອກ
    • access_device(config)#
  2. ຕັ້ງຄ່າສ່ວນຕິດຕໍ່ກັບອຸປະກອນ TrustSec ເປັນການເຊື່ອມຕໍ່ການເຂົ້າເຖິງ. ການຕັ້ງຄ່າສໍາລັບຈຸດສິ້ນສຸດ
    1. ພອດການເຂົ້າເຖິງຖືກລະເວັ້ນໃນຕົວຢ່າງນີ້ampເລ.
    2. access_device(config)# ການໂຕ້ຕອບ gigabitEthernet 6/3
    3. access_device(config-if)# switchport
    4. access_device(config-if)# ການເຂົ້າເຖິງຮູບແບບສະຫຼັບພອດ
    5. access_device(config-if)# switchport access vlan 100
  3. ສ້າງ VLAN 100 ໃນອຸປະກອນ TrustSec.
    • TS_device(config)# vlan 100
    • TS_device(config-vlan)# ບໍ່ມີການປິດ
    • TS_device(config-vlan)# end
    • TS_ອຸປະກອນ#
  4. ສ້າງ SVI ເປັນປະຕູສໍາລັບ VLAN 100 ຂາເຂົ້າ.
    • TS_device(config)# interface vlan 100
    • TS_device(config-if)# ip address 10.1.1.2 255.0.0.0
    • TS_device(config-if)# ບໍ່ມີການປິດ
    • TS_device(config-if)# end
    • TS_device(config)#
  5. ແຕ່ງຕັ້ງກຸ່ມຄວາມປອດໄພ Tag (SGT) 10 ເພື່ອໂຮສຢູ່ໃນ VLAN 100.
    • TS_device(config)# cts role-based sgt-map vlan 100 sgt 10
  6. ເປີດໃຊ້ການຕິດຕາມອຸປະກອນ IP ໃນອຸປະກອນ TrustSec. ກວດ​ສອບ​ວ່າ​ມັນ​ກໍາ​ລັງ​ດໍາ​ເນີນ​ການ​.
    • TS_device(config)# ip ອຸປະກອນຕິດຕາມ
    • TS_device# ສະແດງການຕິດຕາມອຸປະກອນ ip ທັງໝົດCISCO-Configuring-Security-Group-Tag- ການ​ສ້າງ​ແຜນ​ທີ່ - (3​)
  7. (ທາງເລືອກ) PING ປະຕູເລີ່ມຕົ້ນຈາກຈຸດສິ້ນສຸດ (ໃນຕົວຢ່າງນີ້ample, host IP Address 10.1.1.1). ກວດສອບວ່າ SGT 10 ກໍາລັງຖືກສ້າງແຜນທີ່ກັບ VLAN 100 hosts.
    CISCO-Configuring-Security-Group-Tag- ການ​ສ້າງ​ແຜນ​ທີ່ - (4​)

Example: ການຈຳລອງ Hardware Keystore
ນີ້ example ສະ​ແດງ​ໃຫ້​ເຫັນ​ວິ​ທີ​ການ​ຕັ້ງ​ຄ່າ​ແລະ​ກວດ​ສອບ​ການ​ນໍາ​ໃຊ້​ຊອບ​ແວ keystore​:

CISCO-Configuring-Security-Group-Tag- ການ​ສ້າງ​ແຜນ​ທີ່ - (5​)

Example: ການຕັ້ງຄ່າອຸປະກອນເສັ້ນທາງ SGT

  • ອຸ​ປະ​ກອນ# configure terminal
  • Device(config)# cts ຕາມພາລະບົດບາດ sgt-map 0.0.0.0/0 sgt 3
  • ອຸປະກອນ(config)# ອອກ

ປະຫວັດຄຸນສົມບັດສໍາລັບກຸ່ມຄວາມປອດໄພ Tag ແຜນທີ່

  • ຕາຕະລາງນີ້ສະຫນອງການປ່ອຍແລະຂໍ້ມູນທີ່ກ່ຽວຂ້ອງສໍາລັບລັກສະນະທີ່ອະທິບາຍຢູ່ໃນໂມດູນນີ້.
  • ຄຸນສົມບັດເຫຼົ່ານີ້ແມ່ນມີຢູ່ໃນທຸກລຸ້ນຫຼັງຈາກອັນທີ່ພວກມັນຖືກນຳສະເໜີໃນ, ເວັ້ນເສຍແຕ່ຈະສັງເກດເຫັນຢ່າງອື່ນ.
ປ່ອຍ ຄຸນສົມບັດ ຄຸນສົມບັດ ຂໍ້ມູນ
Cisco IOS XE Everest 16.5.1a ກຸ່ມຄວາມປອດໄພ Tag ແຜນທີ່ Subnet ກັບ SGT mapping ຜູກ SGT ກັບທີ່ຢູ່ໂຮດທັງຫມົດຂອງ subnet ທີ່ກໍານົດໄວ້. ເມື່ອແຜນທີ່ນີ້ຖືກຈັດຕັ້ງປະຕິບັດ, Cisco TrustSec ຈະບັງຄັບໃຊ້ SGT ໃນແພັກເກັດທີ່ເຂົ້າມາທີ່ມີທີ່ຢູ່ IP ແຫຼ່ງທີ່ເປັນຂອງເຄືອຂ່າຍຍ່ອຍທີ່ລະບຸໄວ້.
Cisco IOS XE Gibraltar 16.11.1 ການຈັດປະເພດ SGT ເສັ້ນທາງເລີ່ມຕົ້ນ ເສັ້ນທາງເລີ່ມຕົ້ນ SGT ມອບໝາຍ SGT tag ຈໍານວນເສັ້ນທາງເຫຼົ່ານັ້ນທີ່ບໍ່ກົງກັບເສັ້ນທາງທີ່ກໍານົດ.

ໃຊ້ Cisco Feature Navigator ເພື່ອຊອກຫາຂໍ້ມູນກ່ຽວກັບການຮອງຮັບຮູບພາບຂອງເວທີ ແລະຊອບແວ. ເພື່ອເຂົ້າເຖິງ Cisco Feature Navigator, ໃຫ້ໄປທີ່ http://www.cisco.com/go/cfn.

ເອກະສານ / ຊັບພະຍາກອນ

CISCO Configuring Security Group Tag ແຜນທີ່ [pdf] ຄູ່ມືຜູ້ໃຊ້
ການຕັ້ງຄ່າກຸ່ມຄວາມປອດໄພ Tag ການສ້າງແຜນທີ່, ການຕັ້ງຄ່າ, ກຸ່ມຄວາມປອດໄພ Tag ແຜນທີ່, ກຸ່ມ Tag ແຜນທີ່, Tag ແຜນທີ່

ເອກະສານອ້າງອີງ

ກະທູ້ທີ່ກ່ຽວຂ້ອງ

ອອກຄໍາເຫັນ

ທີ່ຢູ່ອີເມວຂອງເຈົ້າຈະບໍ່ຖືກເຜີຍແຜ່. ຊ່ອງຂໍ້ມູນທີ່ຕ້ອງການຖືກໝາຍໄວ້ *