CISCO Configuring Security Group Tag Mapping
Product Information
Ny vokatra dia mamela ny configuring vondrona fiarovana tag sarintany (SGT). Ity endri-javatra ity dia mamatotra SGT amin'ny adiresin'ny mpampiantrano rehetra amin'ny sobika voatondro. Rehefa ampiharina io sarintany io, ny Cisco TrustSec dia mametraka ny SGT amin'ny fonosana miditra izay manana adiresy IP loharano izay an'ny subnet voatondro.
Fameperana ho an'ny SGT Mapping
Ity baiko manaraka ity dia tsy tohanana amin'ny fanamafisana IP mpampiantrano: Device(config)#cts role-based sgt-map 0.0.0.0 sgt 1000
TAPITRAview ny Subnet-to-SGT Mapping
- Ny sarintany Subnet-to-SGT dia mamatotra SGT amin'ny adiresin'ny mpampiantrano rehetra amin'ny zana-tsarimihetsika voafaritra. Cisco TrustSec dia mametraka ny SGT amin'ny fonosana ho avy rehefa ny adiresy IP loharanon'ny fonosana dia an'ny subnet voatondro. Ny subnet sy SGT dia voafaritra ao amin'ny CLI miaraka amin'ny
cts role-based sgt-map net_address/prefix sgt sgt_numberbaiko fanamafisam-peo manerantany. Ny mpampiantrano tokana ihany koa dia azo sari-tany miaraka amin'ity baiko ity. - Ao amin'ny tambajotra IPv4, ny Security Exchange Protocol (SXP)v3, ary ny dikan-teny vao haingana kokoa, dia afaka mandray sy manara-maso ny tady net_address/prefix amin'ny SXPv3 mitovy. Ny dikan-teny SXP teo aloha dia mamadika ny prefix subnet ho an'ny fatorana mpampiantrano azy alohan'ny hanondranana azy ireo ho an'ny mpihaino mpihaino SXP.
- Ny fatoran'ny subnet dia static, tsy misy fianarana ny mpampiantrano mavitrika. Azo ampiasaina eo an-toerana izy ireo amin'ny fametrahana SGT sy ny fampiharana ny SGACL. Fonosana tagazo aparitaka amin'ny rohy Layer 2 na Layer 3 Cisco TrustSec ny sarintany subnet-to-SGT.
- Ho an'ny tambajotra IPv6, ny SXPv3 dia tsy afaka manondrana ny fatorana subnet amin'ny SXPv2 na SXPv1 mitovy.
TAPITRAview ny VLAN-to-SGT Mapping
- Ny endri-tsarintany VLAN-to-SGT dia mamatotra SGT amin'ny fonosana avy amin'ny VLAN voafaritra. Manamora ny fifindra-monina avy amin'ny lova mankany amin'ny tambajotran'ny Cisco TrustSec izany.
- Ny fatorana VLAN-to-SGT dia namboarina miaraka amin'ny
cts role-based sgt-map vlan-listbaiko fanamafisam-peo manerantany. - Rehefa nomena vavahady iray ny VLAN iray izay interface tsara virtoaly (SVI) amin'ny switch afaka Cisco TrustSec, ary ny fanaraha-maso ny fitaovana IP dia alefa amin'io switch io, dia afaka mamorona fifandraisana IP-to-SGT ho an'ny mpampiantrano mavitrika ny Cisco TrustSec. amin'io VLAN io no napetaka tamin'ny subnet SVI.
- Ny fatorana IP-SGT ho an'ireo mpampiantrano VLAN mavitrika dia aondrana any amin'ny mpihaino SXP. Ny fatorana ho an'ny VLAN voatanisa tsirairay dia ampidirina ao amin'ny latabatra IP-to-SGT mifandray amin'ny VRF izay misy sarin-tany VLAN na amin'ny SVI na amin'ny
cts role-based l2-vrfbaiko. - Ny fatorana VLAN-to-SGT dia manana ny laharam-pahamehana ambany indrindra amin'ny fomba famatorana rehetra ary tsy raharahiana rehefa voaray ny fatorana avy amin'ny loharano hafa, toy ny avy amin'ny SXP na CLI fampiantranoana. Ny laharam-pahamehana mamatotra dia voatanisa ao amin'ny fizarana Laharam-pahamehana amin'ny loharano mamatotra.
Torolàlana momba ny fampiasana vokatra
Fanamboarana sarintany Subnet-to-SGT
- Midira amin'ny interface CLI an'ny fitaovana.
- Ampidiro ny fomba fanamboarana mampiasa ny
configbaiko. - Fenoy ity baiko manaraka ity hanitsiana ny sarintany subnet-to-SGT:
cts role-based sgt-map net_address/prefix sgt sgt_number- Soloy
net_address/prefixmiaraka amin'ny adiresy subnet sy ny halavan'ny prefix tianao hosoratana (oh : 192.168.1.0/24). - Soloy
sgt_numbermiaraka amin'ny vondrona fiarovana irina tag isa. - Tsindrio ny Enter raha hampihatra ny fandrindrana.
- Mialà amin'ny fomba fandrindrana.
Fanamboarana sarintany VLAN-to-SGT
-
- Midira amin'ny interface CLI an'ny fitaovana.
- Ampidiro ny fomba fanamboarana mampiasa ny
configbaiko. - Fenoy ity baiko manaraka ity hanitsiana ny sarintany VLAN-to-SGT:
cts role-based sgt-map vlan-list- Lazao ny VLAN hosoritana amin'ny SGT.
- Tsindrio ny Enter raha hampihatra ny fandrindrana.
- Mialà amin'ny fomba fandrindrana.
fepetra arahana
- Tambajotra tohanana: IPv4, IPv6
- Protocols tohanana: Protocol Exchange Security (SXP) v3
- Fomba famatorana tohanana: Sarintany Subnet-to-SGT, Mapping VLAN-to-SGT
Fanontaniana matetika (FAQ)
- F: Afaka aondrana any amin'ny SXPv2 na SXPv1 mpiara-dia amin'ny tambajotra IPv6 ve ny fatorana subnet?
A: Tsia, tsy misy afa-tsy aondrana any amin'ny SXPv3 mitovy amin'ny tambajotra IPv6 ny fatorana subnet. - F: Inona no laharam-pahamehana amin'ny fatorana VLAN-to-SGT?
A: Ny fatorana VLAN-to-SGT dia manana ny laharam-pahamehana ambany indrindra amin'ireo fomba famatorana rehetra ary tsy raharahaina rehefa voaray ny fatorana avy amin'ny loharano hafa.
Hiverina any amin'ny security group tag Ny sarintany (SGT) dia mamatotra SGT amin'ny adiresin'ny mpampiantrano rehetra amin'ny zana-tsarimihetsika voafaritra. Rehefa ampiharina io sarintany io, ny Cisco TrustSec dia mametraka ny SGT amin'ny fonosana miditra izay manana adiresy IP loharano izay an'ny subnet voatondro.
Fameperana ho an'ny SGT Mapping
Fameperana momba ny sarintany Subnet-to-SGT
- Ny zana-tambajotra IPv4 misy tovana /31 dia tsy azo itarina.
- Ny adiresy mpampiantrano subnet dia tsy azo fehezina amin'ny Security Group Tags (SGT)s rehefa latsaky ny isan'ny mpampiantrano zana-tsarimihetsika ao amin'ny sobika voatondro ny mari-pamantarana famatorana sari-tambajotra, na rehefa 0 ny fatorana.
- Ny fanitarana sy ny fampielezana IPv6 dia mitranga rehefa mampiasa SXPv3 na dikan-teny vao haingana kokoa ny mpandahateny sy mpihaino Security Exchange Protocol (SXP).
Famerana ho an'ny Sarintany SGT Lalana Default
- Ny fanefena zotra default dia tsy ekena afa-tsy amin'ny subnet /0. Ny fampidirana fotsiny ny host-ip tsy misy subnet / 0 dia mampiseho ity hafatra manaraka ity:
Fampahalalana momba ny SGT Mapping
Ity fizarana ity dia manome fampahalalana momba ny sarintany SGT.
TAPITRAview
TAPITRAview ny Subnet-to-SGT Mapping
Ny sarintany Subnet-to-SGT dia mamatotra SGT amin'ny adiresin'ny mpampiantrano rehetra amin'ny zana-tsarimihetsika voafaritra. Cisco TrustSec dia mametraka ny SGT amin'ny fonosana ho avy rehefa ny adiresy IP loharanon'ny fonosana dia an'ny subnet voatondro. Ny subnet sy SGT dia voafaritra ao amin'ny CLI miaraka amin'ny cts role-based sgt-map net_address/prefix sgt sgt_number global configuration command. Ny mpampiantrano tokana ihany koa dia azo sari-tany miaraka amin'ity baiko ity. Ao amin'ny tambajotra IPv4, ny Security Exchange Protocol (SXP)v3, sy ny dikan-teny vao haingana kokoa, dia afaka mandray sy mametaka tadin'ny subnet net_address/prefix avy amin'ny SXPv3 mitovy. Ny dikan-teny SXP teo aloha dia mamadika ny prefix subnet ho an'ny fatorana mpampiantrano azy alohan'ny hanondranana azy ireo ho an'ny mpihaino mpihaino SXP.
Ho an'ny exampAry ny IPv4 subnet 192.0.2.0/24 dia nitarina toy izao manaraka izao (bits 3 ihany ho an'ny adiresy mpampiantrano):
- Adiresin'ny mpampiantrano 198.0.2.1 hatramin'ny 198.0.2.7—tagged ary aparitaka amin'ny SXP peer.
- Adiresy tambajotra sy fampielezam-peo 198.0.2.0 sy 198.0.2.8—tsy tagged ary tsy aparitaka.
Mba hamerana ny isan'ny fatorana zana-tsarimihetsika azon'ny SXPv3 aondrana, ampiasao ny baiko fanamafisam-peo manerantany cts sxp mapping network-map. Ny fatoran'ny subnet dia static, tsy misy fianarana ny mpampiantrano mavitrika. Azo ampiasaina eo an-toerana izy ireo amin'ny fametrahana SGT sy ny fampiharana ny SGACL. Fonosana tagazo aparitaka amin'ny rohy Layer 2 na Layer 3 Cisco TrustSec ny sarintany subnet-to-SGT. Ho an'ny tambajotra IPv6, ny SXPv3 dia tsy afaka manondrana ny fatorana subnet amin'ny SXPv2 na SXPv1 mitovy.
TAPITRAview ny VLAN-to-SGT Mapping
Ny endri-tsarintany VLAN-to-SGT dia mamatotra SGT amin'ny fonosana avy amin'ny VLAN voafaritra. Izany dia manamora ny fifindra-monina avy amin'ny lova mankany amin'ny tambajotra afaka Cisco TrustSec toy izao manaraka izao:
- Manohana fitaovana izay tsy mahavita Cisco TrustSec fa mahavita VLAN, toy ny, switch legacy, mpanara-maso tsy misy tariby, teboka fidirana, VPN, sns.
- Manome fampifanarahana mihemotra ho an'ny topologie izay mizara ny tambajotra VLAN sy VLAN ACLs, toy ny fizarana mpizara amin'ny foibe data.
- Ny fatoran'ny VLAN-to-SGT dia amboarina miaraka amin'ny baikon'ny fanamafisana eran-tany momba ny cts-map vlan-list.
- Rehefa nomena vavahady iray ny VLAN iray izay interface tsara virtoaly (SVI) amin'ny switch afaka Cisco TrustSec, ary ny fanaraha-maso ny fitaovana IP dia alefa amin'io switch io, dia afaka mamorona fifandraisana IP-to-SGT ho an'ny mpampiantrano mavitrika ny Cisco TrustSec. amin'io VLAN io no napetaka tamin'ny subnet SVI.
- Ny fatorana IP-SGT ho an'ireo mpampiantrano VLAN mavitrika dia aondrana any amin'ny mpihaino SXP. Ampidirina ao amin'ny tabilao IP-to-SGT mifandray amin'ny VRF ny fatorana ho an'ny VLAN tsirairay voasariky ny sarintany miaraka amin'ny VRF ny VLAN dia sarintany amin'ny alalan'ny SVI-ny na amin'ny baiko l2-vrf mifototra amin'ny andraikitra cts.
- Ny fatorana VLAN-to-SGT dia manana ny laharam-pahamehana ambany indrindra amin'ny fomba famatorana rehetra ary tsy raharahiana rehefa voaray ny fatorana avy amin'ny loharano hafa, toy ny avy amin'ny SXP na CLI fampiantranoana. Ny laharam-pahamehana mamatotra dia voatanisa ao amin'ny fizarana Laharam-pahamehana amin'ny loharano mamatotra.
Laharam-pahamehana loharano mamatotra
Cisco TrustSec dia mamaha ny fifandirana eo amin'ireo loharano mifamatotra IP-SGT miaraka amin'ny rafitra laharam-pahamehana. Ho an'ny exampary ny SGT dia azo ampiharina amin'ny fifandraisana misy ny politika {dynamic identity peer-name | static sgt tag} Cisco Trustsec Manual interface mode baiko (Identity Port Mapping). Ny didy fampiharana ny laharam-pahamehana amin'izao fotoana izao, manomboka amin'ny ambany indrindra (1) ka hatramin'ny ambony indrindra (7), dia toy izao manaraka izao:
- VLAN: Ny fatorana nianarana avy amin'ny fonosana ARP voasokajy amin'ny VLAN izay manana sarintany VLAN-SGT voarindra.
- CLI: Adiresy fatorana namboarina tamin'ny alàlan'ny endrika IP-SGT an'ny cts rôle mifototra amin'ny st-map global configuration command.
- SXP: Famatorana nianarana avy amin'ny mpiara-mianatra SXP.
- IP_ARP: Nianarana ny fatorana rehefa tagNy fonosana ARP ged dia raisina amin'ny rohy afaka CTS.
- eo an-toerana: Famatorana ireo mpampiantrano voamarina izay ianarana amin'ny alàlan'ny EPM sy ny fanaraha-maso ny fitaovana. Ity karazana famatorana ity dia misy ihany koa ny mpampiantrano tsirairay izay ianarana amin'ny alàlan'ny ARP snooping amin'ny seranan-tsambo L2 [I] PM.
- ANATINY: Famatorana eo amin'ny adiresy IP voarindra eo an-toerana sy ny SGT an'ny fitaovana.
Fanamarihana
Raha mifanandrify amin'ny prefix subnet maromaro miaraka amin'ny SGT voatendry ny adiresy IP loharano, dia ny SGT prefix lava indrindra no atao laharam-pahamehana raha tsy hoe tsy mitovy ny laharam-pahamehana.
Lalana Default SGT
- Default Route Security Group Tag (SGT) dia manome isa SGT amin'ny lalana mahazatra.
- Ny Lalana Default dia ilay lalana tsy mifanandrify amin'ny lalana voafaritra ary noho izany dia ny lalana mankany amin'ny toerana fialokalofana farany. Ny làlam-pandehanana dia ampiasaina amin'ny fitarihana ny fonosana miantefa amin'ny tambajotra tsy voatanisa mazava ao amin'ny tabilao zotra.
Ahoana ny fametrahana sarintany SGT
Ity fizarana ity dia mamaritra ny fomba fanamboarana sarintany SGT.
Fametrahana fitaovana SGT amin'ny tanana
Amin'ny asa mahazatra Cisco TrustSec, ny mpizara fanamarinana dia manome SGT ho an'ny fitaovana ho an'ny fonosana avy amin'ny fitaovana. Azonao atao ny manamboatra SGT ampiasaina amin'ny tanana raha tsy azo idirana ny mpizara fanamarinana, fa ny SGT voatendry ho an'ny mpizara fanamarinana no ho loha laharana noho ny SGT voatendry amin'ny tanana.
Raha te hanamboatra SGT amin'ny fitaovana ianao dia ataovy ity asa ity:
fitsarana
| didy or Action | Zava-kendreny | |
| Dingana 1 | Tadiavo | Mandeha ny fomba EXEC manokana. |
| Example:
Fitaovana# Tadiavo |
• Ampidiro ny tenimiafinao raha asaina. | |
| Dingana 2 | configure terminal
Example: Fitaovana# configure terminal |
Miditra amin'ny fomba fandrindrana manerantany. |
| Dingana 3 | cts sy tag
Example: Fitaovana(config)# cts sy 1234 |
Mamela ny SXP ho an'ny Cisco TrustSec. |
| Dingana 4 | Fivoahana
Example: Fitaovana(config)# Fivoahana |
Miala amin'ny fomba fanefena eran-tany ary miverina amin'ny maody EXEC manokana |
Fanamboarana sarintany Subnet-to-SGT
fitsarana
| didy or Action | Zava-kendreny | |
| Dingana 1 | Tadiavo
Example: Fitaovana# Tadiavo |
Mandeha ny fomba EXEC manokana.
• Ampidiro ny tenimiafinao raha asaina. |
| Dingana 2 | configure terminal
Example: Fitaovana# configure terminal |
Miditra amin'ny fomba fandrindrana manerantany. |
| Dingana 3 | cts sxp mapping network-map famatorana
Example: Fitaovana(config)# cts sxp mapping network-map 10000 |
• Ampifanaraho ny famerana isan'ny mpampiantrano sarintany mankany amin'ny SGT Mapping. Ny arguments bindings dia mamaritra ny isa ambony indrindra amin'ny mpampiantrano IP subnet izay azo mifamatotra amin'ny SGT ary aondrana any amin'ny mpihaino SXP.
• famatorana—(0 hatramin'ny 65,535) ny default dia 0 (tsy misy fanitarana natao) |
| Dingana 4 | sarintany sgt mifototra amin'ny rôle cts ipv4_address/prefix
sgt isa Example: Fitaovana(config)# sarintany sgt mifototra amin'ny andraikitry ny cts 10.10.10.10/29 sgt 1234 |
(IPv4) Manondro sobika amin'ny notation CIDR.
• Ampiasao ny endrika tsy misy ny baiko hanesorana ny sarintany Subnet ho SGT. Ny isan'ny fatorana voalaza ao amin'ny dingana 2 dia tokony hifanaraka na mihoatra ny isan'ny adiresin'ny mpampiantrano ao amin'ny subnet (ankoatra ny adiresin'ny tambajotra sy fampielezam-peo). Ny teny fanalahidy laharana sgt dia mamaritra ny fiarovana |
| vondrona Tag ho voafatotra amin'ny mpampiantrano rehetra
adiresy ao amin'ny subnet voatondro. • ipv4_address—Mamariparitra ny adiresin'ny tambajotra IPv4 amin'ny fanondro isa isa misy teboka. • prefix—(0 hatramin'ny 30) mamaritra ny isan'ny bits amin'ny adiresin'ny tambajotra. • sgt laharana—(0–65,535) mamaritra ny vondrona fiarovana Tag (SGT) laharana. |
||
| Dingana 5 | sarintany sgt mifototra amin'ny rôle cts ipv6_address::prefix
sgt isa Example: Fitaovana(config)# sarintany sgt mifototra amin'ny anjara andraikitry ny cts 2020::/64 sgt 1234 |
(IPv6) Manondro zana-tambajotra ao amin'ny fanamarihana hexadecimal colon. Ampiasao ny endrika tsy misy ny baiko hanesorana ny Subnet amin'ny sarintany SGT.
Ny isan'ny fatorana voalaza ao amin'ny dingana 2 dia tokony hifanaraka na mihoatra ny isan'ny adiresin'ny mpampiantrano ao amin'ny subnet (ankoatra ny adiresin'ny tambajotra sy fampielezam-peo). Ny teny fototra laharana sgt dia mamaritra ny vondrona fiarovana Tag mifamatotra amin'ny adiresin'ny mpampiantrano rehetra ao amin'ny subnet voatondro. • ipv6_address—Mametraka adiresin'ny tambazotra IPv6 amin'ny fanamarihana hexadecimal colon. • prefix—(0 hatramin'ny 128) mamaritra ny isan'ny bits amin'ny adiresin'ny tambajotra. • sgt laharana—(0–65,535) mamaritra ny vondrona fiarovana Tag (SGT) laharana. |
| Dingana 6 | Fivoahana
Example: Fitaovana(config)# Fivoahana |
Miala amin'ny maodely fanefena eran-tany ary miverina amin'ny maody EXEC manokana.. |
Fanamboarana sarintany VLAN-to-SGT
Asa Flow ho an'ny fanamafisana ny sarintany VLAN-SGT amin'ny fitaovana Cisco TrustSec.
- Mamorona VLAN amin'ny fitaovana miaraka amin'ny VLAN_ID mitovy amin'ny VLAN miditra.
- Mamorona SVI ho an'ny VLAN amin'ny fitaovana mba ho vavahadin-tserasera ho an'ny mpanjifa farany.
- Ampifanaraho ny fitaovana hampiharana SGT amin'ny fifamoivoizana VLAN.
- Alefaso ny fanaraha-maso ny fitaovana IP amin'ny fitaovana.
- Ampifandraiso amin'ny VLAN ny politikan'ny fanaraha-maso fitaovana.
Fanamarihana
Ao amin'ny tambajotra multi-switch, ny fanaraha-maso ny fitaovana mifototra amin'ny SISF dia manome ny fahafahana mizara ny fidirana amin'ny latabatra mifamatotra eo amin'ny switch mitantana ny endri-javatra. Izany dia mihevitra fa ny fidirana mamatotra dia noforonina amin'ny switch izay ahitana ny mpampiantrano amin'ny seranana fidirana, ary tsy misy fidirana noforonina ho an'ny mpampiantrano izay miseho eo amin'ny seranan-tsambo. Mba hahatongavana amin'izany amin'ny fananganana multi-switch, dia manoro hevitra anao izahay hanitsy ny politika hafa ary ampifandraiso amin'ny seranan-tsambo, araka ny voalaza ao amin'ny Configuring a Multi-Switch Network mba hampitsahatra ny famoronana entries mamatotra avy amin'ny Trunk Port procedure, ao amin'ny Configuring SISF -Based Device Tracking toko amin'ny Security Configuration Guide.
- Hamarino fa ny sarintany VLAN-to-SGT dia miseho amin'ny fitaovana.
fitsarana
| didy or Action | Zava-kendreny | |
| Dingana 1 | Tadiavo
Example: Fitaovana# Tadiavo |
Mandeha ny fomba EXEC manokana.
• Ampidiro ny tenimiafinao raha asaina. |
| Dingana 2 | configure terminal
Example: Fitaovana# configure terminal |
Miditra amin'ny fomba fandrindrana manerantany. |
| Dingana 3 | vlan vlan_id
Example: Fitaovana(config)# vlan 100 |
Mamorona VLAN 100 amin'ny fitaovan'ny vavahady afaka TrustSec ary miditra VLAN
fomba fanamboarana. |
| Dingana 4 | [tsy misy] hidio
Example: Fitaovana(config-vlan)# tsy misy fanakatonana |
VLAN 100. |
| Dingana 5 | Fivoahana
Example: Fitaovana(config-vlan)# Fivoahana |
Miala amin'ny fomba fanefena VLAN ary miverina amin'ny fomba fanefena manerantany. |
| Dingana 6 | interface tsara karazana slot/port
Example: Fitaovana(config)# interface tsara vlan 100 |
Manondro ny karazana interface tsara ary miditra amin'ny fomba fandrindrana ny interface. |
| Dingana 7 | adiresy ip slot / seranana
Example: Fitaovana(config-raha)# adiresy ip 10.1.1.2 255.0.0.0 |
Ampifanaraho ny Interface Virtual Switched (SVI) ho an'ny VLAN 100. |
| Dingana 8 | [tsy misy ] hidio
Example: Fitaovana(config-raha)# tsy misy fanakatonana |
Mamela ny SVI. |
| Dingana 9 | Fivoahana
Example: Fitaovana(config-raha)# Fivoahana |
Miala amin'ny fomba fanefena interface tsara ary miverina amin'ny fomba fanefena manerantany. |
| Dingana 10 | cts vlan-list mifototra amin'ny rôle vlan_id sgt
sgt_number Example: Fitaovana(config)# cts mifototra amin'ny andraikitry ny sari-tany vlan-list 100 sgt 10 |
Manendry ny SGT voafaritra amin'ny VLAN voafaritra. |
| Dingana 11 | politika fanaraha-maso ny fitaovana anarana politika
Example: Fitaovana(config)# politikan'ny fanaraha-maso ny fitaovana1 |
Manondro ny politika ary miditra amin'ny fomba fanefena ny politikan'ny fanaraha-maso ny fitaovana. |
| Dingana 12 | afaka ny fanaraha-maso
Example: Fitaovana(config-device-tracking)# ampy Tadiavo |
Manafoana ny kiran'ny fanaraha-maso ny fitaovana ho an'ny toetra politika. |
| Dingana 13 | Fivoahana
Example: Fitaovana(config-device-tracking)# Fivoahana |
Miala amin'ny fomba fanefena ny politikan'ny fanaraha-maso ny fitaovana ary miverina amin'ny fomba fanamboarana manerantany. |
| Dingana 14 | vlan configuration vlan_id
Example: Fitaovana(config)# vlan configuration 100 |
Manondro ny VLAN izay hampiarahana ny politikan'ny fanaraha-maso ny fitaovana, ary miditra amin'ny fomba fanamboarana VLAN. |
| Dingana 15 | politikan'ny fanaraha-maso ny fitaovana anarana politika
Example: Fitaovana(config-vlan-config)# Politika mifandraika amin'ny fanaraha-maso ny fitaovana1 |
Mametraka politika fanaraha-maso ny fitaovana amin'ny VLAN voafaritra. |
| Dingana 16 | tapitra
Example: Fitaovana(config-vlan-config)# tapitra |
Miala amin'ny fomba fandrindrana VLAN ary miverina amin'ny fomba EXEC manokana. |
| Dingana 17 | asehoy ny sarintany sgt mifototra amin'ny cts {ipv4_netaddr
| ipv4_netaddr/prefix | ipv6_netaddr | ipv6_netaddr/prefix |rEHETRA [ipv4 |ipv6] |miaramila { ipv4 addr |ipv6_addr } |FAMINTINANA [ ipv4 |ipv6 ] |
(Tsy voatery) Mampiseho ny sarintany VLAN-to-SGT. |
| Example:
Fitaovana# asehoy ny sarintany sgt mifototra amin'ny cts rehetra |
||
| Dingana 18 | asehoy ny politikan'ny fanaraha-maso ny fitaovana anarana politika
Example: Fitaovana# asehoy ny politikan'ny fanaraha-maso ny fitaovana1 |
(Tsy azo atao) Mampiseho ny toetra politika ankehitriny. |
Manahaka ny Hardware Keystore
Raha toa ka tsy misy na tsy azo ampiasaina ny fitehirizam-bokin'ny fitaovana, dia azonao atao ny manitsy ny fanodikodinana mba hampiasaina amin'ny rindrambaiko rindrambaiko amin'ny fivarotana keystore. Mba hanefena ny fampiasana rindrankajy keystore dia ataovy ity asa ity:
fitsarana
| didy or Action | Zava-kendreny | |
| Dingana 1 | Tadiavo
Example: Fitaovana# Tadiavo |
Mandeha ny fomba EXEC manokana.
• Ampidiro ny tenimiafinao raha asaina. |
| Dingana 2 | configure terminal
Example: Fitaovana# configure terminal |
Miditra amin'ny fomba fandrindrana manerantany. |
| Dingana 3 | cts keystore emulate
Example: Fitaovana(config)# cts keystore emulate |
Ampifanaraho amin'ny fampiasàna rindrankajy amin'ny fitehirizam-boky fa tsy ny fitehirizam-bokatra. |
| Dingana 4 | Fivoahana
Example: Fitaovana(config)# Fivoahana |
Miala amin'ny fomba fandrindrana. |
| Dingana 5 | asehoy ny fivarotana keystore
Example: Fitaovana# asehoy ny fivarotana keystore |
Mampiseho ny sata sy ny votoatin'ny fitehirizam-boky. Tsy aseho ireo tsiambaratelo voatahiry. |
Fanamboarana Lalana Default SGT
Alohan'ny hanombohanao
Ataovy azo antoka fa efa namorona zotra mahazatra amin'ny fitaovana ianao amin'ny fampiasana ny baiko ip route 0.0.0.0. Raha tsy izany, ny lalana mahazatra (izay miaraka amin'ny Default Route SGT) dia mahazo toerana tsy fantatra ary noho izany dia manondro ny CPU ny toerana fialan-tsasatra farany.
fitsarana
| didy or Action | Zava-kendreny | |
| Dingana 1 | Tadiavo
Example: Fitaovana> afaka |
Mandeha ny fomba EXEC manokana.
• Ampidiro ny tenimiafinao raha asaina. |
| Dingana 2 | configure terminal
Example: Fitaovana # configure terminal |
Miditra amin'ny fomba fandrindrana manerantany. |
| Dingana 3 | sarintany sgt mifototra amin'ny andraikitry ny cts 0.0.0.0/0 sgt isa
Example: Fitaovana(config)# cts mifototra amin'ny sari-tany 0.0.0.0/0 sgt 3 |
Mamaritra ny laharana SGT ho an'ny lalana mahazatra. Ny sanda manan-kery dia manomboka amin'ny 0 ka hatramin'ny 65,519.
Fanamarihana • Ny host_address/subnet Mety ho adiresy IPv4 (0.0.0.0/0) na adiresy IPv6 (0:0::/0) • Ny lalana mahazatra config dia ekena miaraka amin'ny subnet ihany /0. Ny fampidirana fotsiny ny host-ip tsy misy subnet / 0 dia mampiseho ity hafatra manaraka ity: Fitaovana(config)#cts sarintany sgt mifototra amin'ny anjara 0.0.0.0 sg 1000 Tsy tohanana ho an'ny mpampiantrano ip ny fanefena lalana default |
| Dingana 4 | Fivoahana
Example: Fitaovana(config)# fivoahana |
Miala amin'ny fomba fandrindrana manerantany. |
Fanamarinana ny sarintany SGT
Ireto fizarana manaraka ireto dia mampiseho ny fomba hanamarinana ny sarintany SGT:
Fanamarinana ny Configuration Mapping Subnet-to-SGT
Mba hampisehoana ny fampahafantarana ny fanefena ny Subnet-to-SGT Mapping dia ampiasao ny iray amin'ireto baiko fampisehoana manaraka ireto:
| didy | Zava-kendreny |
| asehoy ny fifandraisana cts sxp | Mampiseho ny fifandraisan'ny mpandahateny SXP sy ny mpihaino miaraka amin'ny sata fiasan'izy ireo. |
| asehoy ny cts sxp sgt-map | Mampiseho ny IP amin'ny SGT fatorana aondrana any amin'ny mpihaino SXP. |
| asehoy ny running-config | Manamarina fa ny baikon'ny fanamafisam-peo subnet-to-SGT dia ao anatin'ny fikirakirana mihazakazaka file. |
Fanamarinana VLAN-to-SGT Mapping
Mba hampisehoana ny fampahafantarana momba ny fanamafisana VLAN-to-SGT dia ampiasao ireto baiko manaraka ireto:
tabilao 1:
| didy | Zava-kendreny |
| asehoy ny politikan'ny fanaraha-maso ny fitaovana | Mampiseho ny toetran'ny politika ankehitriny amin'ny politikan'ny fanaraha-maso ny fitaovana. |
| asehoy ny sarintany sgt mifototra amin'ny cts | Mampiseho adiresy IP-to-SGT fatorana. |
Fanamarinana ny lalana SGT Configuration Default
Hamarino ny fanitsiana SGT Lalana Default:
fitaovana# dia asehoy ny sari-tany mifototra amin'ny andraikitry ny rehetra Active IPv4-SGT Bindings Information
Configuration Examples ho an'ny SGT Mapping
Ireto fizarana manaraka ireto dia mampiseho config exampny sarintany SGT:
Example: Fametrahana fitaovana SGT amin'ny tanana
- Fitaovana # configure terminal
- Fitaovana(config)# cts sgt 1234
- Fitaovana(config)# fivoahana
Example: Fanamboarana ho an'ny Subnet-to-SGT Mapping
Ny manaraka exampAsehoy ny fomba hanamboarana sarintany IPv4 Subnet-to-SGT eo anelanelan'ny fitaovana mampiasa SXPv3 (Device1 sy Device2):
- Ampifanaraho ny SXP mpandahateny / mpihaino mijery eo anelanelan'ny fitaovana.
- Device1# amboary ny terminal
- Device1(config)# cts sxp enable
- Device1(config)# cts sxp default source-ip 1.1.1.1
- Device1(config)# cts sxp tenimiafina default 1syzygy1
- Device1(config)# cts sxp connexion peer 2.2.2.2 tenimiafina fomba fanao mahazatra mpandahateny eo an-toerana
- Amboary ny Device2 ho mpihaino SXP an'ny Device1.
- Device2(config)# cts sxp enable
- Device2(config)# cts sxp default source-ip 2.2.2.2
- Device2(config)# cts sxp tenimiafina default 1syzygy1
- Device2(config)# cts sxp connexion peer 1.1.1.1 tenimiafina fomba fanao mahazatra mpihaino eo an-toerana
- Ao amin'ny Device2, hamarino fa miasa ny fifandraisana SXP:
Device2# mampiseho cts sxp fifandraisana fohy | ahitana 1.1.1.1 1.1.1.1 2.2.2.2 Amin'ny 3:22:23:18 (dd:hr:mm:sec) - Amboary ny zana-tambajotra hitarina amin'ny Device1.
- Device1(config)# cts sxp mapping network-map 10000
- Device1(config)# cts sari-tany sgt mifototra amin'ny anjara 10.10.10.0/30 sgt 101
- Device1(config)# cts sari-tany sgt mifototra amin'ny anjara 11.11.11.0/29 sgt 11111
- Device1(config)# cts sari-tany sgt mifototra amin'ny anjara 192.168.1.0/28 sgt 65000
- Amin'ny Device2, hamarino ny fanitarana subnet-to-SGT avy amin'ny Device1. Tokony hisy fanitarana roa ho an'ny subnetwork 10.10.10.0/30, fanitarana enina ho an'ny subnetwork 11.11.11.0/29, ary fanitarana 14 ho an'ny subnetwork 192.168.1.0/28.
Device2# asehoy cts sxp sgt-sarintany fohy | ahitana 101|11111|65000- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- Hamarino ny isa fanitarana amin'ny Device1:
Device1# mampiseho cts sxp sgt-map- Nitarina ny sarintany IP-SGT: 22
- Tsy misy sarintany IP-SGT
- Tehirizo ao amin'ny Device1 sy ny Device2 ny configurations ary mialà amin'ny mode configuration global.
Device1(config)# copie running-config startup-config
Device1(config)# fivoahana
Device2(config)# copie running-config startup-config
Device2(config)# fivoahana
Example:
Fanamboarana ho an'ny sarintany VLAN-to-SGT ho an'ny mpampiantrano tokana amin'ny rohy fidirana.
Ao amin'ny ex manarakaample, mpampiantrano tokana mampifandray amin'ny VLAN 100 amin'ny fitaovana fidirana. Ny seha-pifandraisana virtoaly mifamadika amin'ny fitaovana TrustSec no vavahadin-tserasera ho an'ny teboka farany VLAN 100 (Adiresy IP 10.1.1.1). Ny fitaovana TrustSec dia mametraka Security Group Tag (SGT) 10 amin'ny fonosana avy amin'ny VLAN 100.
- Mamorona VLAN 100 amin'ny fitaovana fidirana.
- access_device# configure terminal
- access_device(config)# vlan 100
- access_device(config-vlan)# tsy misy fanakatonana
- access_device(config-vlan)# fivoahana
- access_device(config)#
- Ampifanaraho amin'ny fitaovana TrustSec ho rohy fidirana ny interface. Configurations ho an'ny teboka farany
- Ny seranan-tsambo fidirana dia nesorina amin'ity example.
- access_device(config)# interface gigabitEthernet 6/3
- access_device(config-if)# switchport
- access_device(config-if)# switchport mode access
- access_device(config-if)# switchport access vlan 100
- Mamorona VLAN 100 amin'ny fitaovana TrustSec.
- TS_device(config)# vlan 100
- TS_device(config-vlan)# tsy misy fanakatonana
- TS_device(config-vlan)# end
- TS_fitaovana#
- Mamorona SVI ho vavahadin'ny VLAN 100 ho avy.
- TS_device(config)# interface vlan 100
- TS_device(config-raha)# adiresy ip 10.1.1.2 255.0.0.0
- TS_device(config-if)# tsy misy fanakatonana
- TS_device(config-if)# farany
- TS_fitaovana(config)#
- Asio vondrona fiarovana Tag (SGT) 10 ho fampiantranoana amin'ny VLAN 100.
- TS_device(config)# cts vlan 100 sgt 10
- Alefaso ny fanaraha-maso ny fitaovana IP amin'ny fitaovana TrustSec. Hamarino fa miasa izy io.
- TS_device(config)# ip fitaovana fanaraha-maso
- TS_device# asehoy ny fitaovana ip manara-maso ny rehetra
- (Azo atao) PING ny vavahady default avy amin'ny teboka iray (amin'ity example, adiresy IP mpampiantrano 10.1.1.1). Hamarino fa ny SGT 10 dia sarintany amin'ny mpampiantrano VLAN 100.
Example: Manahaka ny Hardware Keystore
Ity example dia mampiseho ny fomba fanamboarana sy fanamarinana ny fampiasana keystore rindrambaiko:
Example: Fametrahana ny lalan'ny fitaovana SGT
- Fitaovana # configure terminal
- Fitaovana(config)# cts mifototra amin'ny sari-tany 0.0.0.0/0 sgt 3
- Fitaovana(config)# fivoahana
Feature History for Security Group Tag Mapping
- Ity tabilao ity dia manome fampahalalana momba ny famoahana sy ny fampahalalana mifandraika amin'ireo endri-javatra hazavaina amin'ity module ity.
- Ireo endri-javatra ireo dia misy amin'ny famoahana rehetra aorian'ilay nampidirana azy ireo, raha tsy misy fanamarihana hafa.
| NAFAHANA | endri-javatra | endri-javatra Information |
| Cisco IOS XE Everest 16.5.1a | Vondrona fiarovana Tag Mapping | Subnet to SGT mapping dia mamatotra SGT amin'ny adiresin'ny mpampiantrano rehetra amin'ny subnet voatondro. Rehefa ampiharina io sarintany io, ny Cisco TrustSec dia mametraka ny SGT amin'ny fonosana miditra izay manana adiresy IP loharano izay an'ny subnet voatondro. |
| Cisco IOS XE Gibraltar 16.11.1 | Fanasokajiana SGT Lalana Default | Ny Lalana Default SGT dia manome SGT tag laharana mankany amin'ireo lalana tsy mifanaraka amin'ny lalana voafaritra. |
Ampiasao ny Cisco Feature Navigator hitadiavana fampahalalana momba ny fanohanana sary amin'ny sehatra sy rindrambaiko. Raha te hiditra amin'ny Cisco Feature Navigator, mandehana any http://www.cisco.com/go/cfn.
Documents / Loharano
 |
CISCO Configuring Security Group Tag Mapping [pdf] Torolàlana ho an'ny mpampiasa Fametrahana vondrona fiarovana Tag Mapping, Configuring, Security Group Tag Mapping, Vondrona Tag Mapping, Tag Mapping |
