CISCO конфигурирање на безбедносна група Tag Мапирање

Информации за производот

Производот овозможува конфигурирање на безбедносна група tag (SGT) мапирање. Оваа функција го врзува SGT за сите адреси на домаќинот на одредена подмрежа. Откако ќе се имплементира ова мапирање, Cisco TrustSec го наметнува SGT на кој било дојдовен пакет што има изворна IP адреса што припаѓа на наведената подмрежа.

Ограничувања за мапирање SGT
Следната команда не е поддржана за конфигурација на IP на домаќинот: Device(config)#cts role-based sgt-map 0.0.0.0 sgt 1000

Во текот наview на мапирање од подмрежа во SGT

• Мапирањето од подмрежа-во-SGT го врзува SGT за сите адреси на домаќинот на одредената подмрежа. Cisco TrustSec го наметнува SGT на дојдовен пакет кога изворната IP адреса на пакетот припаѓа на наведената подмрежа. Подмрежата и SGT се наведени во CLI соcts role-based sgt-map net_address/prefix sgt sgt_number команда за глобална конфигурација. Со оваа команда може да се мапира и еден домаќин.
• Во мрежите IPv4, протоколот за размена на безбедност (SXP)v3, и поновите верзии, може да примаат и анализираат низи net_address/префикс на подмрежа од SXPv3 врсниците. Претходните верзии на SXP го конвертираат префиксот на подмрежата во неговиот сет на обврзувачки за домаќините пред да ги извезат во врсник на слушател SXP.
• Врзувањата на подмрежата се статични, нема учење за активни хостови. Тие можат да се користат локално за наметнување SGT и спроведување на SGACL. Пакети tagповрзано со мапирање од подмрежа во SGT може да се пропагира на врски на Layer 2 или Layer 3 Cisco TrustSec.
• За мрежите IPv6, SXPv3 не може да извезува подмрежни врски на SXPv2 или SXPv1 врсници.

Во текот наview на мапирање VLAN-to-SGT

• Функцијата за мапирање VLAN-to-SGT врзува SGT за пакети од одреден VLAN. Ова ја поедноставува миграцијата од наследство во мрежи способни за Cisco TrustSec.
• Врзувањето VLAN-to-SGT е конфигурирано со cts role-based sgt-map vlan-list команда за глобална конфигурација.
• Кога на VLAN му е доделена порта што е префрлен виртуелен интерфејс (SVI) на прекинувач со можност за Cisco TrustSec, и на тој прекинувач е овозможено Следење на IP уред, тогаш Cisco TrustSec може да создаде врзување IP-to-SGT за кој било активен домаќин на тој VLAN мапиран на подмрежата SVI.
• IP-SGT поврзувањата за активните VLAN хостови се извезуваат до слушателите на SXP. Врските за секој мапиран VLAN се вметнуваат во табелата IP-to-SGT поврзана со VRF на кој VLAN е мапиран или од неговиот SVI или од cts role-based l2-vrf команда.
• Врзувањата VLAN-to-SGT имаат најнизок приоритет од сите методи на врзување и се игнорираат кога се примаат врзувања од други извори, како на пример од конфигурации на домаќини SXP или CLI. Приоритетите за врзување се наведени во делот Приоритети на обврзувачки извори.

Упатство за употреба на производот

Конфигурирање на мапирање подмрежа во SGT

1. Пристапете до CLI интерфејсот на уредот.
2. Внесете го режимот на конфигурација користејќи го config команда.
3. Извршете ја следнава команда за да го конфигурирате мапирањето подмрежа во SGT:

cts role-based sgt-map net_address/prefix sgt sgt_number

1. Заменете net_address/prefix со адресата на подмрежата и должината на префиксот што сакате да ги мапирате (на пр., 192.168.1.0/24).
2. Заменете sgt_number со саканата безбедносна група tag број.
3. Притиснете Enter за да ја примените конфигурацијата.
4. Излезете од режимот на конфигурација.

Конфигурирање на мапирање VLAN-to-SGT

1. 1. Пристапете до CLI интерфејсот на уредот.
   2. Внесете го режимот на конфигурација користејќи го config команда.
   3. Извршете ја следнава команда за да го конфигурирате мапирањето VLAN-to-SGT:

cts role-based sgt-map vlan-list

1. Наведете ги VLAN-овите што треба да се мапираат на SGT.
2. Притиснете Enter за да ја примените конфигурацијата.
3. Излезете од режимот на конфигурација.

Спецификации

• Поддржани мрежи: IPv4, IPv6
• Поддржани протоколи: Протокол за размена на безбедност (SXP) v3
• Поддржани методи за врзување: мапирање подмрежа во SGT, мапирање VLAN-to-SGT

Најчесто поставувани прашања (ЧПП)

• П: Дали може да се извезат врски за подмрежа во SXPv2 или SXPv1 врсници во мрежите IPv6?
  О: Не, врските за подмрежа може да се извезат само до SXPv3 врсници во мрежите IPv6.
• П: Кој е приоритетот на врските VLAN-to-SGT?
  О: Врзувањата VLAN-to-SGT имаат најмал приоритет меѓу сите методи на врзување и се игнорираат кога се примаат врзувања од други извори.

Подмрежа на безбедносната група tag (SGT) мапирањето го врзува SGT за сите адреси на домаќинот на одредена подмрежа. Откако ќе се имплементира ова мапирање, Cisco TrustSec го наметнува SGT на кој било дојдовен пакет што има изворна IP адреса што припаѓа на наведената подмрежа.

Ограничувања за мапирање SGT

Ограничувања за мапирање подмрежа во SGT

• Подмрежа IPv4 со префикс /31 не може да се прошири.
• Адресите на домаќините на подмрежата не можат да се врзат за Групата за безбедност Tags (SGT) кога параметарот за поврзување на мрежната мапа е помал од вкупниот број на хостови на подмрежа во наведените подмрежи или кога врзувањето е 0.
• Проширувањата и ширењето на IPv6 се случуваат само кога звучникот и слушателот на протоколот за размена на безбедност (SXP) работат SXPv3 или понови верзии.

Ограничување за мапирање на стандардна рута SGT

• Стандардната конфигурација на рутата е прифатена само со подмрежата /0. Со внесување само на host-ip без подмрежа /0 се прикажува следнава порака:

Информации за SGT Mapping

Овој дел дава информации за мапирањето SGT.

Во текот наview

Во текот наview на мапирање од подмрежа во SGT
Мапирањето од подмрежа-во-SGT го врзува SGT за сите адреси на домаќинот на одредената подмрежа. Cisco TrustSec го наметнува SGT на дојдовен пакет кога изворната IP адреса на пакетот припаѓа на наведената подмрежа. Подмрежата и SGT се наведени во CLI со командата за глобална конфигурација sgt-map net_address/префикс sgt sgt_number заснована на улоги. Со оваа команда може да се мапира и еден домаќин. Во мрежите IPv4, протоколот за размена на безбедност (SXP)v3, и поновите верзии, може да примаат и анализираат низи net_address/префикс на подмрежа од SXPv3 врсниците. Претходните верзии на SXP го конвертираат префиксот на подмрежата во неговиот сет на обврзувачки за домаќините пред да ги извезат во врсник на слушател SXP.

За прampле, подмрежата IPv4 192.0.2.0/24 е проширена на следниов начин (само 3 бита за адресите на домаќинот):

• Адреси на домаќинот 198.0.2.1 до 198.0.2.7 -tagged и се пропагира на SXP peer.
• Мрежни и емитувани адреси 198.0.2.0 и 198.0.2.8 - не tagged и не се размножуваат.

За да го ограничите бројот на врски за подмрежа што SXPv3 може да ги извезува, користете ја командата за глобална конфигурација на мапи на мрежата за мапирање cts sxp. Врзувањата на подмрежата се статични, нема учење за активни хостови. Тие можат да се користат локално за наметнување на SGT и спроведување на SGACL. Пакети tagповрзано со мапирање од подмрежа во SGT може да се пропагира на врски на Layer 2 или Layer 3 Cisco TrustSec. За мрежите IPv6, SXPv3 не може да извезува подмрежни врски на SXPv2 или SXPv1 врсници.

Во текот наview на мапирање VLAN-to-SGT
Функцијата за мапирање VLAN-to-SGT врзува SGT за пакети од одреден VLAN. Ова ја поедноставува миграцијата од наследство во мрежи способни за Cisco TrustSec на следниов начин:

• Поддржува уреди кои не се способни за Cisco TrustSec, но се способни за VLAN, како што се наследени прекинувачи, безжични контролери, точки за пристап, VPN итн.
• Обезбедува компатибилност наназад за топологии каде VLAN и VLAN ACL ја сегментираат мрежата, како што е сегментација на серверот во центрите за податоци.
• Врзувањето VLAN-to-SGT е конфигурирано со командата за глобална конфигурација sgt-map vlan-list базирана на улоги cts.
• Кога на VLAN му е доделена порта што е префрлен виртуелен интерфејс (SVI) на прекинувач со можност за Cisco TrustSec, и на тој прекинувач е овозможено Следење на IP уред, тогаш Cisco TrustSec може да создаде врзување IP-to-SGT за кој било активен домаќин на тој VLAN мапиран на подмрежата SVI.
• IP-SGT поврзувањата за активните VLAN хостови се извезуваат до слушателите на SXP. Врските за секој мапиран VLAN се вметнуваат во табелата IP-to-SGT поврзана со VRF на кој VLAN е мапиран или со неговиот SVI или со командата cts l2-vrf базирана на улоги.
• Врзувањата VLAN-to-SGT имаат најнизок приоритет од сите методи на врзување и се игнорираат кога се примаат врзувања од други извори, како на пример од конфигурации на домаќини SXP или CLI. Приоритетите за врзување се наведени во делот Приоритети на обврзувачки извори.

Приоритети на обврзувачки извор

Cisco TrustSec ги решава конфликтите меѓу IP-SGT обврзувачките извори со строга шема на приоритети. За прampLe, SGT може да се примени на интерфејс со политиката {динамичен идентитет peer-name | статичен наредник tag} Наредба за режим на интерфејс за рачен Cisco Trustsec (Мапирање на порта за идентитет). Тековниот приоритетен налог за извршување, од најнизок (1) до највисок (7), е како што следува:

1. VLAN: Врзувања научени од прислушувани ARP пакети на VLAN што има конфигурирано мапирање VLAN-SGT.
2. CLI: Адресните врзувања конфигурирани со користење на формата IP-SGT на командата за глобална конфигурација sgt-map базирана на улоги cts.
3. SXP: Врски научени од SXP колеги.
4. IP_ARP: Врзувања научи кога tagGed ARP пакетите се примаат на врска способна за CTS.
5. ЛОКАЛНИ: Врзувања на автентицирани хостови кои се учат преку EPM и следење на уреди. Овој тип на врзување вклучува и поединечни хостови кои се учат преку ARP snooping на L2 [I] PM-конфигурирани порти.
6. ВНАТРЕШНО: Врски помеѓу локално конфигурираните IP адреси и сопствениот SGT на уредот.

Забелешка
Ако изворната IP адреса се совпаѓа со повеќе префикси на подмрежа со различни доделени SGT, тогаш најдолгиот префикс SGT има предност освен ако приоритетот не се разликува.

Стандардна рута SGT

• Стандардна група за безбедност на рутата Tag (SGT) доделува SGT број на стандардните рути.
• Стандардна рута е онаа рута што не се совпаѓа со одредена рута и затоа е маршрута до крајната дестинација. Стандардните рути се користат за насочување на пакети адресирани до мрежи кои не се експлицитно наведени во рутирачката табела.

Како да го конфигурирате мапирањето SGT

Овој дел опишува како да го конфигурирате мапирањето SGT.

Рачно конфигурирање на уред SGT
Во нормална работа на Cisco TrustSec, серверот за автентикација доделува SGT на уредот за пакети кои потекнуваат од уредот. Можете рачно да конфигурирате SGT да се користи ако серверот за автентикација не е достапен, но SGT доделен од серверот за автентикација ќе има предност пред рачно доделениот SGT.

За рачно да конфигурирате SGT на уредот, извршете ја оваа задача:

Постапка

	Команда or Акција	Цел
Чекор 1	овозможи	Овозможува привилегиран режим EXEC.

	Exampле: Уред # овозможи	• Внесете ја вашата лозинка ако се побара.
Чекор 2	конфигурирајте го терминалот Exampле: Уред # конфигурирајте го терминалот	Влегува во режим на глобална конфигурација.
Чекор 3	cts sgt tag Exampле: Уред (конфигурација)# cts sgt 1234	Овозможува SXP за Cisco TrustSec.
Чекор 4	излез Exampле: Уред (конфигурација)# излез	Излегува од глобалниот режим на конфигурација и се враќа во привилегираниот режим EXEC

Конфигурирање на мапирање подмрежа во SGT

Постапка

	Команда or Акција	Цел
Чекор 1	овозможи Exampле: Уред # овозможи	Овозможува привилегиран режим EXEC. • Внесете ја вашата лозинка ако се побара.
Чекор 2	конфигурирајте го терминалот Exampле: Уред # конфигурирајте го терминалот	Влегува во режим на глобална конфигурација.
Чекор 3	cts sxp мапирање мрежа-мапа врзива Exampле: Уред (конфигурација)# cts sxp мапирање мрежа-мапа 10000	•  Го конфигурира ограничувањето за бројот на домаќини на подмрежа во SGT Mapping. Аргументот за врзување го одредува максималниот број на IP-домаќини на подмрежа што може да се врзат за SGT и да се извезат до слушателот SXP. •  врзувања - (0 до 65,535) стандардно е 0 (не се вршат проширувања)
Чекор 4	cts sgt-map базирана на улоги ipv4_address/префикс SGT број Exampле: Уред (конфигурација)# cts заснована на улоги sgt-map 10.10.10.10/29 sgt 1234	(IPv4) Одредува подмрежа во CIDR нотација. •  Користете ја формата без на командата за да го деконфигурирате мапирањето подмрежа во SGT. Бројот на поврзувања наведен во Чекор 2 треба да одговара или да го надмине бројот на адреси на домаќинот во подмрежата (со исклучок на мрежните и емитуваните адреси). Клучниот збор за број sgt ја одредува безбедноста

		Група Tag да биде врзан за секој домаќин адреса во наведената подмрежа. •  ipv4_address — Ја одредува IPv4 мрежната адреса во децимална нотација со точки. •  префикс-(0 до 30) Го одредува бројот на битови во мрежната адреса. •  SGT број-(0–65,535) Ја одредува групата за безбедност Tag (SGT) број.
Чекор 5	cts sgt-map базирана на улоги ipv6_address::префикс SGT број Exampле: Уред (конфигурација)# cts заснована на улоги sgt-map 2020::/64 sgt 1234	(IPv6) Одредува подмрежа во хексадецимална нотација на дебелото црево. Користете ја формата без наредбата за да го деконфигурирате мапирањето подмрежа во SGT. Бројот на поврзувања наведен во Чекор 2 треба да одговара или да го надмине бројот на адреси на домаќинот во подмрежата (со исклучок на мрежните и емитуваните адреси). Клучниот збор за број sgt ја одредува групата за безбедност Tag да биде врзана за секоја адреса на домаќинот во наведената подмрежа. •  ipv6_address—Одредува IPv6 мрежна адреса во хексадецимална нотација на две точки. •  префикс — (0 до 128) Го одредува бројот на битови во мрежната адреса. •  SGT број-(0–65,535) Ја одредува групата за безбедност Tag (SGT) број.
Чекор 6	излез Exampле: Уред (конфигурација)# излез	Излегува од глобалниот режим на конфигурација и се враќа во привилегираниот режим EXEC..

Конфигурирање на мапирање VLAN-to-SGT

Тек на задачи за конфигурирање на мапирање VLAN-SGT на уред Cisco TrustSec.

• Направете VLAN на уредот со истиот VLAN_ID на дојдовниот VLAN.
• Направете SVI за VLAN на уредот да биде стандардна порта за клиентите на крајната точка.
• Конфигурирајте го уредот да примени SGT на сообраќајот VLAN.
• Овозможете следење на IP уред на уредот.
• Прикачете политика за следење уред на VLAN.

Забелешка
Во мрежата со повеќе прекинувачи, следењето на уреди базирано на SISF обезбедува способност да се дистрибуираат записи за обврзувачки табели помеѓу прекинувачите што ја извршуваат функцијата. Ова претпоставува дека обврзувачките записи се креираат на прекинувачите каде што домаќинот се појавува на пристапната порта и не се создава запис за домаќин што се појавува преку портата за багажникот. За да го постигнете ова во поставувањето со повеќе прекинувачи, ви препорачуваме да конфигурирате друга политика и да ја прикачите на портот на багажникот, како што е опишано во Конфигурирање мрежа со повеќе прекинувачи за да престанете да создавате обврзувачки записи од багажната порта, во процедурата Конфигурирање на SISF -Поглавје за следење на уреди базирано на Водичот за конфигурација за безбедност.

• Потврдете дека мапирањето VLAN-to-SGT се случува на уредот.

Постапка

	Команда or Акција	Цел
Чекор 1	овозможи Exampле: Уред # овозможи	Овозможува привилегиран режим EXEC. • Внесете ја вашата лозинка ако се побара.
Чекор 2	конфигурирајте го терминалот Exampле: Уред # конфигурирајте го терминалот	Влегува во режим на глобална конфигурација.
Чекор 3	влан vlan_id Exampле: Уред (конфигурација)# влан 100	Создава VLAN 100 на уредот за портал со можност за TrustSec и влегува во VLAN режим на конфигурација.
Чекор 4	[бр] исклучување Exampле: Уред(config-vlan)# нема исклучување	Одредби VLAN 100.
Чекор 5	излез Exampле: Уред(config-vlan)# излез	Излегува од режимот на конфигурација VLAN и се враќа во режимот на глобална конфигурација.
Чекор 6	интерфејс тип слот/порта Exampле: Уред (конфигурација)# интерфејс vlan 100	Го одредува типот на интерфејсот и влегува во режим на конфигурација на интерфејсот.
Чекор 7	ip адреса слот/порта Exampле: Уред (конфигурација-ако)# IP адреса 10.1.1.2 255.0.0.0	Го конфигурира префрлениот виртуелен интерфејс (SVI) за VLAN 100.

Чекор 8	[бр ] исклучување Exampле: Уред (конфигурација-ако)# нема исклучување	Овозможува SVI.
Чекор 9	излез Exampле: Уред (конфигурација-ако)# излез	Излегува од режимот на конфигурација на интерфејсот и се враќа во глобалниот режим на конфигурација.
Чекор 10	cts влан-листа sgt-map базирана на улоги vlan_id SGT sgt_број Exampле: Уред (конфигурација)# cts заснована на улоги sgt-map vlan-list 100 sgt 10	Го доделува наведениот SGT на наведениот VLAN.
Чекор 11	политика за следење на уреди политика-име Exampле: Уред (конфигурација)# политика за следење уред1	Ја одредува политиката и влегува во режим на конфигурација на политиката за следење уред.
Чекор 12	овозможи следење Exampле: Уред (конфигурација-следење на уред)# следење овозможи	Ги отфрла стандардните поставки за следење на уредот за атрибутот политика.
Чекор 13	излез Exampле: Уред (конфигурација-следење на уред)# излез	Излегува од режимот за конфигурација на политиката за следење уред и се враќа во режим на глобална конфигурација.
Чекор 14	vlan конфигурација vlan_id Exampле: Уред (конфигурација)# vlan конфигурација 100	Го одредува VLAN на кој ќе биде прикачена политиката за следење на уредот и влегува во режим на конфигурација на VLAN.
Чекор 15	уред-следење прикачи-политика политика-име Exampле: Уред (config-vlan-config)# Политика за прикачување-политика за следење на уреди1	Прикачува политика за следење на уредот на наведениот VLAN.
Чекор 16	крај Exampле: Уред (config-vlan-config)# крај	Излегува од режимот на конфигурација VLAN и се враќа во привилегираниот режим EXEC.
Чекор 17	прикажи cts sgt-мапа базирана на улоги {ipv4_netaddr | ipv4_netaddr/префикс | ipv6_netaddr | ipv6_netaddr/префикс |сите [ipv4 |ipv6] |домаќин { ipv4 addr |ipv6_addr } |резиме [ ipv4 |ipv6 ]	(Изборно) Ги прикажува мапирањата VLAN-to-SGT.

	Exampле: Уред # прикажи cts улоги-базирани sgt-мапа на сите
Чекор 18	прикажи политика за следење на уреди политика-име Exampле: Уред # прикажи политика1 за следење уред	(Изборно) Ги прикажува тековните атрибути на политиката.

Емулирање на Хардверската продавница за клучеви

Во случаи кога хардверската продавница за клучеви не е присутна или е неупотреблива, можете да го конфигурирате прекинувачот да користи софтверска емулација на продавницата за клучеви. За да ја конфигурирате употребата на софтверска продавница за клучеви, извршете ја оваа задача:

Постапка

	Команда or Акција	Цел
Чекор 1	овозможи Exampле: Уред # овозможи	Овозможува привилегиран режим EXEC. • Внесете ја вашата лозинка ако се побара.
Чекор 2	конфигурирајте го терминалот Exampле: Уред # конфигурирајте го терминалот	Влегува во режим на глобална конфигурација.
Чекор 3	cts keystore емулира Exampле: Уред (конфигурација)# cts keystore емулира	Го конфигурира прекинувачот да користи софтверска емулација на продавницата за клучеви наместо складиштето за хардверски клучеви.
Чекор 4	излез Exampле: Уред (конфигурација)# излез	Излегува од режимот на конфигурација.
Чекор 5	прикажи продавница за клучеви Exampле: Уред # прикажи продавница за клучеви	Ги прикажува статусот и содржината на продавницата за клучеви. Зачуваните тајни не се прикажуваат.

Конфигурирање на стандардната рута SGT

Пред да започнете
Осигурете се дека веќе сте создале стандардна рута на уредот користејќи ја командата ip route 0.0.0.0. Во спротивно, стандардната рута (која доаѓа со стандардната маршрута SGT) добива непозната дестинација и затоа последната дестинација ќе покажува на процесорот.

Постапка

	Команда or Акција	Цел
Чекор 1	овозможи Exampле: Уред> овозможи	Овозможува привилегиран режим EXEC. • Внесете ја вашата лозинка ако се побара.
Чекор 2	конфигурирајте го терминалот Exampле: Терминал за конфигурирање на уред #	Влегува во режим на глобална конфигурација.
Чекор 3	cts заснована на улоги sgt-map 0.0.0.0/0 sgt број Exampле: Уред (конфигурација)# cts sgt-map заснована на улоги 0.0.0.0/0 sgt 3	Го одредува бројот SGT за стандардната рута. Валидни вредности се од 0 до 65,519. Забелешка                    • На домаќин_адреса/подмрежа може да биде или IPv4 адреса (0.0.0.0/0) или IPv6 адреса (0:0::/0) •  Стандардната рута конфигурацијата се прифаќа само со подмрежата /0. Со внесување само на host-ip без подмрежа /0 се прикажува следнава порака: Уред (конфигурација)#cts sgt-map заснована на улоги 0.0.0.0 sgt 1000 Стандардната конфигурација на маршрутата не е поддржана за IP-а на домаќинот
Чекор 4	излез Exampле: Уред (конфигурација) # излез	Излегува од глобалниот режим на конфигурација.

Се потврдува мапирање на SGT

Следниве делови покажуваат како да се потврди мапирањето SGT:

Се потврдува конфигурацијата за мапирање подмрежа во SGT
За да се прикажат информациите за конфигурација за мапирање подмрежа во SGT, користете една од следните команди за прикажување:

Команда	Цел
прикажи cts sxp врски	Ги прикажува врските на SXP звучникот и слушателот со нивниот оперативен статус.
прикажи cts sxp sgt-мапа	Ги прикажува поврзувањата од IP до SGT извезени до слушателите на SXP.
прикажи конфигурација на трчање	Потврдува дека командите за конфигурации од подмрежа-во-SGT се во конфигурацијата што работи file.

Се потврдува мапирање VLAN-to-SGT

За да прикажете информации за конфигурацијата VLAN-to-SGT, користете ги следните команди за прикажување:

Табела 1:

Команда	Цел
прикажи политика за следење на уреди	Ги прикажува тековните атрибути на политиката на политиката за следење на уредот.
прикажи cts sgt-мапа базирана на улоги	Прикажува врски од IP адреса до SGT.

Потврдување на стандардната конфигурација на рутата SGT

Потврдете ја конфигурацијата на стандардната рута SGT:
уред # прикажи sgt-map заснована на улоги сите информации за активни IPv4-SGT врзувања

Конфигурација Прamples за SGT Mapping

Следните делови ја прикажуваат конфигурацијата на прampдел од мапирањето SGT:

Example: Рачно конфигурирање на уред SGT

• Терминал за конфигурирање на уред #
• Уред (конфигурација)# cts sgt 1234
• Уред (конфигурација) # излез

Example: Конфигурација за мапирање подмрежа во SGT
Следниве прampле покажува како да се конфигурира IPv4 Подмрежа-во-SGT мапирање помеѓу уреди што работат SXPv3 (Уред1 и Уред2):

1. Конфигурирајте SXP ѕиркање на звучници/слушатели помеѓу уредите.
   • Конфигурирај го терминалот Device1#
   • Device1(config)# cts sxp овозможи
   • Device1(config)# cts sxp стандарден извор-ip 1.1.1.1
   • Device1(config)# cts sxp стандардна лозинка 1syzygy1
   • Device1(config)# cts sxp конекција peer 2.2.2.2 лозинка стандарден режим локален звучник
2. Конфигурирајте го Device2 како SXP слушател на Device1.
   • Device2(config)# cts sxp овозможи
   • Device2(config)# cts sxp стандарден извор-ip 2.2.2.2
   • Device2(config)# cts sxp стандардна лозинка 1syzygy1
   • Device2(config)# cts sxp конекција peer 1.1.1.1 лозинка стандарден режим локален слушател
3. На Device2, потврдете дека SXP-врската работи:
   Уред2# прикажи кратка врска со cts sxp | вклучи 1.1.1.1 1.1.1.1 2.2.2.2 На 3:22:23:18 (дд:час:мм:сек)
4. Конфигурирајте ги подмрежите да се прошират на Device1.
   • Уред 1(конфигурација)# cts sxp мапирање мрежа-мапа 10000
   • Device1(config)# cts sgt-map заснована на улоги 10.10.10.0/30 sgt 101
   • Device1(config)# cts sgt-map заснована на улоги 11.11.11.0/29 sgt 11111
   • Device1(config)# cts sgt-map заснована на улоги 192.168.1.0/28 sgt 65000
5. На Device2, потврдете ја експанзијата подмрежа во SGT од Device1. Треба да има две проширувања за подмрежата 10.10.10.0/30, шест проширувања за подмрежата 11.11.11.0/29 и 14 проширувања за подмрежата 192.168.1.0/28.
   Уред2# прикажи cts sxp sgt-map brief | вклучуваат 101|11111|65000
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
6. Потврдете го бројот на проширување на Уред 1:
   Уредот1# прикажи cts sxp sgt-map
   • Проширени мапирања на IP-SGT:22
   • Нема IP-SGT мапирања
7. Зачувајте ги конфигурациите на Device1 и Device2 и излезете од глобалниот режим на конфигурација.
   Device1(config)# copy running-config startup-config
   Device1(config)# излез
   Device2(config)# copy running-config startup-config
   Device2(config)# излез

Exampле:
Конфигурација за мапирање VLAN-to-SGT за еден домаќин преку пристапна врска.

Во следните прampле, еден хост се поврзува со VLAN 100 на уред за пристап. Вклучен виртуелен интерфејс на уредот TrustSec е стандардната порта за крајната точка VLAN 100 (IP адреса 10.1.1.1). Уредот TrustSec наметнува Група за безбедност Tag (SGT) 10 на пакети од VLAN 100.

1. Креирајте VLAN 100 на уред за пристап.
   • access_device# конфигурирај терминал
   • access_device(config)# vlan 100
   • access_device(config-vlan)# нема исклучување
   • access_device(config-vlan)# излез
   • access_device(config)#
2. Конфигурирајте го интерфејсот со уредот TrustSec како пристапна врска. Конфигурации за крајната точка
   1. пристапната порта се испуштени во овој прampле.
   2. access_device(config)# интерфејс gigabitEthernet 6/3
   3. access_device(config-if)# прекинувач
   4. access_device(config-if)# пристап до режим на прекинувач
   5. access_device(config-if)# switchport пристап до vlan 100
3. Направете VLAN 100 на уредот TrustSec.
   • TS_device(config)# vlan 100
   • TS_device(config-vlan)# нема исклучување
   • TS_device(config-vlan)# крај
   • TS_уред#
4. Направете SVI како порта за дојдовен VLAN 100.
   • TS_device(config)# интерфејс vlan 100
   • TS_device(config-if)# IP адреса 10.1.1.2 255.0.0.0
   • TS_device(config-if)# нема исклучување
   • TS_device(config-if)# крај
   • TS_device(config)#
5. Доделете група за безбедност Tag (SGT) 10 до домаќините на VLAN 100.
   • TS_device(config)# cts заснована на улоги sgt-map vlan 100 sgt 10
6. Овозможете следење на IP уред на уредот TrustSec. Проверете дали работи.
   • TS_device(config)# ip уред следење
   • TS_device# прикажи ip уред кој ги следи сите
7. (Изборно) ПИНГ на стандардната порта од крајна точка (во овој прample, IP адреса на домаќинот 10.1.1.1). Потврдете дека SGT 10 се мапира на VLAN 100 хостови.
   

Example: Емулирање на Hardware Keystore
Овој ексampЛе покажува како да конфигурирате и да ја потврдите употребата на софтверска продавница за клучеви:

Example: Конфигурирање на маршрутата на уредот SGT

• Терминал за конфигурирање на уред #
• Уред (конфигурација)# cts sgt-map заснована на улоги 0.0.0.0/0 sgt 3
• Уред (конфигурација) # излез

Историја на функции за група за безбедност Tag Мапирање

• Оваа табела обезбедува ослободување и поврзани информации за карактеристиките објаснети во овој модул.
• Овие карактеристики се достапни во сите изданија по она во кое беа претставени, освен ако не е поинаку наведено.

Ослободете	Карактеристика	Карактеристика Информации
Cisco IOS XE Еверест 16.5.1a	Група за безбедност Tag Мапирање	Мапирањето на подмрежа во SGT го врзува SGT за сите адреси на домаќинот на одредената подмрежа. Откако ќе се имплементира ова мапирање, Cisco TrustSec го наметнува SGT на кој било дојдовен пакет што има изворна IP адреса што припаѓа на наведената подмрежа.
Cisco IOS XE Гибралтар 16.11.1	Стандардна класификација на рути SGT	Стандардна рута SGT доделува SGT tag број на оние правци кои не се совпаѓаат со одредена рута.

Користете го Cisco Feature Navigator за да најдете информации за поддршката за слики на платформата и софтверот. За да пристапите до Cisco Feature Navigator, одете на http://www.cisco.com/go/cfn.

Документи / ресурси

CISCO конфигурирање на безбедносна група Tag Мапирање [pdf] Упатство за корисникот Конфигурирање на група за безбедност Tag Мапирање, конфигурирање, група за безбедност Tag Мапирање, група Tag Мапирање, Tag Мапирање

Референци

• Упатство за употреба