CISCO Konfigurazzjoni Grupp tas-Sigurtà Tag Immappjar

Informazzjoni dwar il-Prodott

Il-prodott jippermetti l-konfigurazzjoni tal-grupp tas-sigurtà tag (SGT) immappjar. Din il-karatteristika torbot SGT ma' l-indirizzi ospitanti kollha ta' subnet speċifikat. Ladarba dan l-immappjar jiġi implimentat, Cisco TrustSec jimponi l-SGT fuq kwalunkwe pakkett li jkun dieħel li għandu indirizz IP tas-sors li jappartjeni għas-subnet speċifikat.

Restrizzjonijiet għall-Immappjar SGT
Il-kmand li ġej mhuwiex appoġġjat għall-konfigurazzjoni tal-IP ospitanti: Device(config)#cts role-based sgt-map 0.0.0.0 sgt 1000

Fuqview tas-Subnet-to-SGT Immappjar

• L-immappjar tas-subnet għal SGT jorbot SGT mal-indirizzi ospitanti kollha ta' subnet speċifikat. Cisco TrustSec jimponi l-SGT fuq pakkett li jkun dieħel meta l-indirizz IP tas-sors tal-pakkett jappartjeni għas-subnet speċifikat. Is-subnet u l-SGT huma speċifikati fis-CLI bil-cts role-based sgt-map net_address/prefix sgt sgt_number kmand tal-konfigurazzjoni globali. Host wieħed jista' wkoll jiġi mmappjat b'dan il-kmand.
• Fin-netwerks IPv4, Security Exchange Protocol (SXP) v3, u verżjonijiet aktar reċenti, jistgħu jirċievu u jparsjaw is-subnet net_address/prefix strings minn peers SXPv3. Verżjonijiet preċedenti SXP jikkonvertu l-prefiss tas-subnet fis-sett tiegħu ta 'bindings tal-hosts qabel ma jesportawhom lil peer tas-semmiegħa SXP.
• L-irbit tas-subnet huma statiċi, m'hemm l-ebda tagħlim ta 'hosts attivi. Jistgħu jintużaw lokalment għall-impożizzjoni SGT u l-infurzar SGACL. Pakketti tagged by subnet-to-SGT mapping jistgħu jiġu propagati fuq konnessjonijiet Cisco TrustSec Saff 2 jew Saff 3.
• Għan-netwerks IPv6, SXPv3 ma jistax jesporta rbit tas-subnet lil peers SXPv2 jew SXPv1.

Fuqview tal-VLAN-to-SGT Mapping

• Il-karatteristika tal-mapping VLAN-to-SGT torbot SGT ma' pakketti minn VLAN speċifikat. Dan jissimplifika l-migrazzjoni minn wirt għal netwerks kapaċi Cisco TrustSec.
• L-irbit VLAN-to-SGT huwa kkonfigurat bil- cts role-based sgt-map vlan-list kmand tal-konfigurazzjoni globali.
• Meta VLAN jiġi assenjat gateway li huwa interface virtwali switched (SVI) fuq swiċċ li kapaċi Cisco TrustSec, u l-IP Device Tracking ikun attivat fuq dak is-swiċċ, allura Cisco TrustSec jista’ joħloq rabta ta’ IP għal SGT għal kwalunkwe host attiv. fuq dak il-VLAN immappjat mas-subnet SVI.
• L-irbit IP-SGT għall-ospiti VLAN attivi huma esportati lil semmiegħa SXP. L-irbit għal kull VLAN immappjat jiddaħħlu fit-tabella IP-to-SGT assoċjata mal-VRF li l-VLAN huwa mmappjat bih jew mill-SVI tiegħu jew mill- cts role-based l2-vrf kmand.
• L-irbit VLAN-to-SGT għandhom l-inqas prijorità mill-metodi kollha ta' rbit u jiġu injorati meta jiġu riċevuti rbit minn sorsi oħra, bħal minn konfigurazzjonijiet tal-host SXP jew CLI. Prijoritajiet vinkolanti huma elenkati fit-taqsima Prijoritajiet tas-Sors Vinkolanti.

Istruzzjonijiet għall-Użu tal-Prodott

Konfigurazzjoni tal-Immappjar tas-Subnet għal SGT

1. Aċċessa għall-interface CLI tal-apparat.
2. Daħħal il-mod ta' konfigurazzjoni billi tuża l- config kmand.
3. Esegwi l-kmand li ġej biex tikkonfigura l-immappjar tas-subnet għal SGT:

cts role-based sgt-map net_address/prefix sgt sgt_number

1. Ibdel net_address/prefix bl-indirizz tas-subnet u t-tul tal-prefiss li trid timmappa (eż., 192.168.1.0/24).
2. Ibdel sgt_number mal-grupp tas-sigurtà mixtieq tag numru.
3. Agħfas Enter biex tapplika l-konfigurazzjoni.
4. Ħruġ mill-mod ta 'konfigurazzjoni.

Konfigurazzjoni ta 'VLAN-to-SGT Mapping

1. 1. Aċċessa għall-interface CLI tal-apparat.
   2. Daħħal il-mod ta' konfigurazzjoni billi tuża l- config kmand.
   3. Esegwi l-kmand li ġej biex tikkonfigura l-immappjar VLAN-to-SGT:

cts role-based sgt-map vlan-list

1. Speċifika l-VLANs li għandhom jiġu mmappjati għal SGTs.
2. Agħfas Enter biex tapplika l-konfigurazzjoni.
3. Ħruġ mill-mod ta 'konfigurazzjoni.

Speċifikazzjonijiet

• Netwerks Appoġġjati: IPv4, IPv6
• Protokolli Appoġġjati: Protokoll għall-Iskambju tas-Sigurtà (SXP)v3
• Metodi ta' rbit appoġġjati: Immappjar minn subnet għal SGT, Immappjar minn VLAN għal SGT

Mistoqsijiet Frekwenti (FAQ)

• Q: Jistgħu l-irbit tas-subnet jiġu esportati lejn peers SXPv2 jew SXPv1 f'netwerks IPv6?
  A: Le, l-irbit tas-subnet jistgħu jiġu esportati biss lil peers SXPv3 f'netwerks IPv6.
• Q: X'inhi l-prijorità tal-irbit VLAN-to-SGT?
  A: VLAN-to-SGT bindings għandhom l-inqas prijorità fost il-metodi kollha vinkolanti u huma injorati meta rbit minn sorsi oħra huma riċevuti.

Subnet għall-grupp tas-sigurtà tag L-immappjar (SGT) jorbot SGT mal-indirizzi ospitanti kollha ta' subnet speċifikat. Ladarba dan l-immappjar jiġi implimentat, Cisco TrustSec jimponi l-SGT fuq kwalunkwe pakkett li jkun dieħel li għandu indirizz IP tas-sors li jappartjeni għas-subnet speċifikat.

Restrizzjonijiet għall-Immappjar SGT

Restrizzjonijiet għall-Immappjar tas-Subnet għal SGT

• Subnetwork IPv4 bi prefiss /31 ma jistax jiġi estiż.
• L-indirizzi tal-host tas-subnet ma jistgħux ikunu marbuta mal-Grupp tas-Sigurtà Tags (SGT)s meta l-parametru tal-irbit tan-netwerk-mappa huwa inqas min-numru totali ta 'hosts tas-subnet fis-subnets speċifikati, jew meta l-irbit ikun 0.
• L-espansjonijiet u l-propagazzjoni tal-IPv6 iseħħu biss meta l-kelliem u s-semmiegħ tal-Protokoll tal-Iskambju tas-Sigurtà (SXP) ikunu qed iħaddmu SXPv3 jew verżjonijiet aktar riċenti.

Restrizzjoni għall-Immappjar ta' Rotta Default SGT

• Il-konfigurazzjoni default tar-rotta hija aċċettata biss bis-subnet /0. Id-dħul biss tal-host-ip mingħajr is-subnet /0 juri l-messaġġ li ġej:

Informazzjoni Dwar SGT Mapping

Din it-taqsima tipprovdi informazzjoni dwar l-immappjar SGT.

Fuqview

Fuqview tas-Subnet-to-SGT Immappjar
L-immappjar tas-subnet għal SGT jorbot SGT mal-indirizzi ospitanti kollha ta' subnet speċifikat. Cisco TrustSec jimponi l-SGT fuq pakkett li jkun dieħel meta l-indirizz IP tas-sors tal-pakkett jappartjeni għas-subnet speċifikat. Is-subnet u l-SGT huma speċifikati fis-CLI bil-kmand tal-konfigurazzjoni globali sgt-map bbażat fuq ir-rwoli cts net_address/prefix sgt sgt_number. Host wieħed jista' wkoll jiġi mmappjat b'dan il-kmand. Fin-netwerks IPv4, Security Exchange Protocol (SXP) v3, u verżjonijiet aktar reċenti, jistgħu jirċievu u jparsjaw is-subnet net_address/prefix strings minn peers SXPv3. Verżjonijiet preċedenti SXP jikkonvertu l-prefiss tas-subnet fis-sett tiegħu ta 'bindings ospitanti qabel ma jesportawhom lil peer semmiegħa SXP.

Per example, is-subnet IPv4 192.0.2.0/24 hija estiża kif ġej (3 bits biss għall-indirizzi tal-host):

• Ospitanti indirizzi 198.0.2.1 sa 198.0.2.7—tagged u propagati lil SXP peer.
• L-indirizzi tan-netwerk u tax-xandir 198.0.2.0 u 198.0.2.8—mhux tagged u mhux propagat.

Biex tillimita n-numru ta 'subnet bindings SXPv3 jista' jesporta, uża l-cts sxp mapping network-map kmand tal-konfigurazzjoni globali. L-irbit tas-subnet huma statiċi, m'hemm l-ebda tagħlim ta 'hosts attivi. Jistgħu jintużaw lokalment għall-impożizzjoni SGT u l-infurzar SGACL. Pakketti tagged by subnet-to-SGT mapping jistgħu jiġu propagati fuq konnessjonijiet Cisco TrustSec Saff 2 jew Saff 3. Għan-netwerks IPv6, SXPv3 ma jistax jesporta rbit tas-subnet lil peers SXPv2 jew SXPv1.

Fuqview tal-VLAN-to-SGT Mapping
Il-karatteristika tal-mapping VLAN-to-SGT torbot SGT ma' pakketti minn VLAN speċifikat. Dan jissimplifika l-migrazzjoni minn wirt għal netwerks kapaċi Cisco TrustSec kif ġej:

• Jappoġġja apparati li mhumiex kapaċi Cisco TrustSec iżda li huma kapaċi VLAN, bħal swiċċijiet legacy, kontrolluri mingħajr fili, punti ta 'aċċess, VPNs, eċċ.
• Jipprovdi kompatibilità b'lura għal topoloġiji fejn il-VLANs u l-VLAN ACLs jissegmentaw in-netwerk, bħal, is-segmentazzjoni tas-server fiċ-ċentri tad-dejta.
• L-irbit VLAN-to-SGT huwa kkonfigurat bil-kmand tal-konfigurazzjoni globali sgt-map vlan-list ibbażat fuq ir-rwol cts.
• Meta VLAN jiġi assenjat gateway li huwa interface virtwali switched (SVI) fuq swiċċ li kapaċi Cisco TrustSec, u l-IP Device Tracking ikun attivat fuq dak is-swiċċ, allura Cisco TrustSec jista’ joħloq rabta ta’ IP għal SGT għal kwalunkwe host attiv. fuq dak il-VLAN immappjat mas-subnet SVI.
• L-irbit IP-SGT għall-ospiti VLAN attivi huma esportati lil semmiegħa SXP. L-irbit għal kull VLAN immappjat huma mdaħħla fit-tabella IP-to-SGT assoċjata mal-VRF li l-VLAN huwa mmappjat jew mill-SVI tiegħu jew mill-kmand l2-vrf ibbażat fuq ir-rwol cts.
• L-irbit VLAN-to-SGT għandhom l-inqas prijorità mill-metodi kollha ta' rbit u jiġu injorati meta jiġu riċevuti rbit minn sorsi oħra, bħal minn konfigurazzjonijiet tal-host SXP jew CLI. Prijoritajiet vinkolanti huma elenkati fit-taqsima Prijoritajiet tas-Sors Vinkolanti.

Prijoritajiet tas-Sors vinkolanti

Cisco TrustSec issolvi kunflitti fost sorsi vinkolanti IP-SGT bi skema ta 'prijorità stretta. Per example, SGT jista' jiġi applikat għal interface mal-politika {peer-name tal-identità dinamika | sgt statiku tag} Kmand tal-mod tal-interface manwali Cisco Trustsec (Identity Port Mapping). L-ordni attwali ta' infurzar ta' prijorità, mill-aktar baxx (1) sal-ogħla (7), hija kif ġej:

1. VLAN: Bindings tgħallmu minn pakketti ARP snooped fuq VLAN li għandu mapping VLAN-SGT konfigurat.
2. CLI: L-irbit ta' l-indirizzi kkonfigurat bl-użu tal-forma IP-SGT tal-kmand tal-konfigurazzjoni globali sgt-map ibbażat fuq ir-rwol cts.
3. SXP: Bindings mitgħallma minn sħabhom SXP.
4. IP_ARP: Bindings tgħallmu meta tagpakketti ged ARP huma riċevuti fuq link kapaċi CTS.
5. LOKALI: L-irbit ta' hosts awtentikati li jiġu mgħallma permezz ta' EPM u traċċar tat-tagħmir. Dan it-tip ta 'irbit jinkludi wkoll hosts individwali li huma mgħallma permezz ta' ARP snooping fuq portijiet L2 [I] PM konfigurati.
6. INTERN: L-irbit bejn l-indirizzi IP konfigurati lokalment u l-SGT tal-apparat stess.

Nota
Jekk l-indirizz IP tas-sors jaqbel ma' prefissi tas-subnet multipli ma' SGTs assenjati differenti, allura l-itwal prefiss SGT jieħu preċedenza sakemm il-prijorità ma tkunx differenti.

Rotta Default SGT

• Grupp ta' Sigurtà ta' Rotta Default Tag (SGT) jassenja numru SGT għal rotot default.
• Rotta Default hija dik ir-rotta li ma taqbilx ma' rotta speċifikata u għalhekk hija r-rotta lejn l-aħħar destinazzjoni. Ir-rotot awtomatiċi jintużaw biex jidderieġu pakketti indirizzati lil netwerks mhux elenkati b'mod espliċitu fit-tabella tar-routing.

Kif tikkonfigura l-immappjar SGT

Din it-taqsima tiddeskrivi kif tikkonfigura l-immappjar SGT.

Konfigurazzjoni ta' Apparat SGT manwalment
Fl-operazzjoni normali ta' Cisco TrustSec, is-server ta' awtentikazzjoni jassenja SGT lill-apparat għal pakketti li joriġinaw mill-apparat. Tista' tikkonfigura manwalment SGT biex jintuża jekk is-server tal-awtentikazzjoni ma jkunx aċċessibbli, iżda SGT assenjat mis-server tal-awtentikazzjoni jieħu preċedenza fuq SGT assenjat manwalment.

Biex tikkonfigura manwalment SGT fuq l-apparat, wettaq dan il-kompitu:

Proċedura

	Kmand or Azzjoni	Għan
Pass 1	jippermettu	Jippermetti modalità EXEC privileġġata.

	Example: Apparat # jippermettu	• Daħħal il-password tiegħek jekk tintalab.
Pass 2	kkonfigurat terminal Example: Apparat # kkonfigurat terminal	Jidħol fil-mod ta' konfigurazzjoni globali.
Pass 3	cts sgt tag Example: Apparat (konfigurazzjoni) # cts sgt 1234	Jippermetti SXP għal Cisco TrustSec.
Pass 4	ħruġ Example: Apparat (konfigurazzjoni) # ħruġ	Joħroġ mill-mod ta' konfigurazzjoni globali u jerġa' lura għall-modalità EXEC privileġġjata

Konfigurazzjoni tal-Immappjar tas-Subnet għal SGT

Proċedura

	Kmand or Azzjoni	Għan
Pass 1	jippermettu Example: Apparat # jippermettu	Jippermetti modalità EXEC privileġġata. • Daħħal il-password tiegħek jekk tintalab.
Pass 2	kkonfigurat terminal Example: Apparat # kkonfigurat terminal	Jidħol fil-mod ta' konfigurazzjoni globali.
Pass 3	cts sxp mapping netwerk-mappa irbit Example: Apparat (konfigurazzjoni) # cts sxp mapping network-map 10000	• Jikkonfigura r-restrizzjoni tal-għadd tal-host tal-Mapping tas-Subnet għal SGT. L-argument tal-irbit jispeċifika n-numru massimu ta 'hosts IP tas-subnet li jistgħu jiġu marbuta ma' SGTs u esportati lis-semmiegħ SXP. • rbit — (0 sa 65,535) default huwa 0 (l-ebda espansjonijiet imwettqa)
Pass 4	cts sgt-mappa bbażata fuq ir-rwol indirizz_ipv4/prefiss is-sgt numru Example: Apparat (konfigurazzjoni) # cts sgt-map ibbażat fuq ir-rwol 10.10.10.10/29 sgt 1234	(IPv4) Jispeċifika subnet f'notazzjoni CIDR. • Uża l-ebda forma tal-kmand biex tneħħi l-konfigurazzjoni tas-Subnet għall-immappjar SGT. In-numru ta' rbit speċifikati fil-Pass 2 għandu jaqbel jew jaqbeż in-numru ta' indirizzi ospitanti fis-subnet (esklużi l-indirizzi tan-netwerk u tax-xandir). Il-kelma prinċipali tan-numru sgt tispeċifika s-Sigurtà

		Grupp Tag li jkun marbut ma kull ospitanti indirizz fis-subnet speċifikat. • ipv4_address—Jispeċifika l-indirizz tan-netwerk IPv4 f'notazzjoni deċimali bit-tikek. • prefiss—(0 sa 30) Jispeċifika n-numru ta' bits fl-indirizz tan-netwerk. •  is-sgt numru—(0–65,535) Jispeċifika l-Grupp tas-Sigurtà Tag (SGT) numru.
Pass 5	cts sgt-mappa bbażata fuq ir-rwol indirizz_ipv6::prefiss is-sgt numru Example: Apparat (konfigurazzjoni) # cts sgt-map ibbażat fuq ir-rwoli 2020::/64 sgt 1234	(IPv6) Jispeċifika subnet f'notazzjoni eżadeċimali tal-kolon. Uża l-ebda forma tal-kmand biex tneħħi l-konfigurazzjoni tas-Subnet għall-immappjar SGT. In-numru ta' rbit speċifikati fil-Pass 2 għandu jaqbel jew jaqbeż in-numru ta' indirizzi ospitanti fis-subnet (esklużi l-indirizzi tan-netwerk u tax-xandir). Il-kelma prinċipali tan-numru sgt tispeċifika l-Grupp tas-Sigurtà Tag li jkun marbut ma' kull indirizz ospitanti fis-subnet speċifikat. • ipv6_address — Jispeċifika l-indirizz tan-netwerk IPv6 f'notazzjoni eżadeċimali tal-kolon. • prefiss—(0 sa 128) Jispeċifika n-numru ta' bits fl-indirizz tan-netwerk. •  is-sgt numru—(0–65,535) Jispeċifika l-Grupp tas-Sigurtà Tag (SGT) numru.
Pass 6	ħruġ Example: Apparat (konfigurazzjoni) # ħruġ	Joħroġ mill-mod ta' konfigurazzjoni globali u jerġa' lura għall-modalità EXEC privileġġata..

Konfigurazzjoni ta 'VLAN-to-SGT Mapping

Fluss tal-Kompitu għall-Konfigurazzjoni tal-Immappjar VLAN-SGT fuq apparat Cisco TrustSec.

• Oħloq VLAN fuq l-apparat bl-istess VLAN_ID tal-VLAN li jkun dieħel.
• Oħloq SVI għall-VLAN fuq l-apparat biex tkun il-portal default għall-klijenti endpoint.
• Ikkonfigura l-apparat biex japplika SGT għat-traffiku VLAN.
• Ippermetti l-intraċċar tal-Apparat IP fuq it-tagħmir.
• Waħħal politika ta' traċċar ta' apparat ma' VLAN.

Nota
F'netwerk b'ħafna swiċċijiet, it-traċċar tal-apparat ibbażat fuq SISF jipprovdi l-kapaċità li jqassam l-entrati tat-tabella vinkolanti bejn swiċċijiet li jmexxu l-karatteristika. Dan jassumi li l-entrati vinkolanti jinħolqu fuq is-swiċċijiet fejn il-host jidher fuq port ta 'aċċess, u l-ebda dħul ma jinħoloq għal host li jidher fuq port trunk. Biex jinkiseb dan f'setup b'ħafna swiċċijiet, nirrakkomandaw li tikkonfigura politika oħra u tehmeżha mal-port tat-trunk, kif deskritt fil-Konfigurazzjoni ta' Netwerk ta' Multi-Swiċċijiet biex Twaqqaf il-Ħolqien ta' Daħliet Vinkolanti minn Trunk Port, fil-proċedura Konfigurazzjoni tas-SISF. -Kapitlu tat-Traċċar tal-Apparat Ibbażat tal-Gwida tal-Konfigurazzjoni tas-Sigurtà.

• Ivverifika li l-immappjar VLAN-to-SGT iseħħ fuq l-apparat.

Proċedura

	Kmand or Azzjoni	Għan
Pass 1	jippermettu Example: Apparat # jippermettu	Jippermetti modalità EXEC privileġġata. • Daħħal il-password tiegħek jekk tintalab.
Pass 2	kkonfigurat terminal Example: Apparat # kkonfigurat terminal	Jidħol fil-mod ta' konfigurazzjoni globali.
Pass 3	vlan vlan_id Example: Apparat (konfigurazzjoni) # vlan 100	Joħloq VLAN 100 fuq l-apparat gateway kapaċi TrustSec u jidħol VLAN mod ta 'konfigurazzjoni.
Pass 4	[le] għeluq Example: Apparat (konfig-vlan) # ebda għeluq	Dispożizzjonijiet VLAN 100.
Pass 5	ħruġ Example: Apparat (konfig-vlan) # ħruġ	Joħroġ mill-mod ta 'konfigurazzjoni VLAN u jerġa' lura għall-mod ta 'konfigurazzjoni globali.
Pass 6	interface tip slot/port Example: Apparat (konfigurazzjoni) # interface vlan 100	Jispeċifika t-tip ta 'interface u jidħol fil-mod ta' konfigurazzjoni ta 'interface.
Pass 7	indirizz ip slot/port Example: Apparat (konfigurazzjoni-jekk) # indirizz ip 10.1.1.2 255.0.0.0	Jikkonfigura Interface Virtwali Switched (SVI) għal VLAN 100.

Pass 8	[le ] għeluq Example: Apparat (konfigurazzjoni-jekk) # ebda għeluq	Jippermetti l-SVI.
Pass 9	ħruġ Example: Apparat (konfigurazzjoni-jekk) # ħruġ	Joħroġ mill-mod ta 'konfigurazzjoni ta' l-interface u jerġa 'lura għall-mod ta' konfigurazzjoni globali.
Pass 10	cts sgt-map ibbażat fuq ir-rwol-lista vlan vlan_id is-sgt numru_sgt Example: Apparat (konfigurazzjoni) # cts sgt-map bbażat fuq ir-rwoli-lista vlan 100 sgt 10	Jassenja l-SGT speċifikat lill-VLAN speċifikat.
Pass 11	politika tat-traċċar tal-apparat isem-politika Example: Apparat (konfigurazzjoni) # politika ta' politika dwar it-traċċar tal-apparat1	Jispeċifika l-politika u jidħol fil-mod ta 'konfigurazzjoni tal-politika tat-traċċar tal-apparat.
Pass 12	it-traċċar jippermetti Example: Apparat (konfig-device-tracking) # traċċar jippermettu	Jissupera s-settings default tat-traċċar tal-apparat għall-attribut tal-politika.
Pass 13	ħruġ Example: Apparat (konfig-device-tracking) # ħruġ	Joħroġ mill-mod ta' konfigurazzjoni tal-politika tat-traċċar tat-tagħmir u jerġa' lura għall-mod ta' konfigurazzjoni globali.
Pass 14	konfigurazzjoni vlan vlan_id Example: Apparat (konfigurazzjoni) # konfigurazzjoni vlan 100	Jispeċifika l-VLAN li miegħu se tkun mehmuża l-politika tat-traċċar tal-apparat, u jidħol fil-mod ta 'konfigurazzjoni tal-VLAN.
Pass 15	apparat-traċċar attach-policy isem-politika Example: Apparat (config-vlan-config) # il-politika ta' attach-tracking tal-apparat1	Tehmeż politika ta' traċċar tal-apparat mal-VLAN speċifikat.
Pass 16	tmiem Example: Apparat (config-vlan-config) # tmiem	Joħroġ mill-mod ta 'konfigurazzjoni VLAN u jerġa' lura għall-modalità EXEC privileġġjata.
Pass 17	uri cts sgt-mappa bbażata fuq ir-rwol {ipv4_netaddr | ipv4_netaddr/prefiss | ipv6_netaddr | ipv6_netaddr/prefiss |kollha [ipv4 |ipv6] |ospitanti { ipv4 addr |ipv6_addr } |sommarju [ ipv4 |ipv6 ]	(Mhux obbligatorju) Juri l-immappjar VLAN-to-SGT.

	Example: Apparat # juru cts sgt-map ibbażati fuq ir-rwoli kollha
Pass 18	uri l-politika tat-traċċar tal-apparat isem-politika Example: Apparat # uri l-politika tal-politika tat-traċċar tal-apparat1	(Mhux obbligatorju) Turi l-attributi tal-politika attwali.

Emulazzjoni tal-Hardware Keystore

F'każijiet fejn hardware keystore ma jkunx preżenti jew ma jistax jintuża, tista 'tikkonfigura l-iswiċċ biex tuża emulazzjoni tas-softwer tal-keystore. Biex tikkonfigura l-użu ta 'keystore tas-softwer, wettaq dan il-kompitu:

Proċedura

	Kmand or Azzjoni	Għan
Pass 1	jippermettu Example: Apparat # jippermettu	Jippermetti modalità EXEC privileġġata. • Daħħal il-password tiegħek jekk tintalab.
Pass 2	kkonfigurat terminal Example: Apparat # kkonfigurat terminal	Jidħol fil-mod ta' konfigurazzjoni globali.
Pass 3	cts keystore emulate Example: Apparat (konfigurazzjoni) # cts keystore emulate	Jikkonfigura l-iswiċċ biex juża emulazzjoni tas-softwer tal-keystore minflok il-keystore tal-ħardwer.
Pass 4	ħruġ Example: Apparat (konfigurazzjoni) # ħruġ	Joħroġ mill-mod ta' konfigurazzjoni.
Pass 5	juru keystore Example: Apparat # juru keystore	Juri l-istatus u l-kontenut tal-keystore. Is-sigrieti maħżuna mhumiex murija.

Konfigurazzjoni tar-Rotta Default SGT

Qabel ma tibda
Kun żgur li diġà ħloqt rotta default fuq l-apparat billi tuża l-kmand tal-ip route 0.0.0.0. Inkella, ir-rotta default (li tiġi flimkien mal-SGT Rotta Default) tikseb destinazzjoni mhux magħrufa u għalhekk l-aħħar destinazzjoni se tipponta lejn CPU.

Proċedura

	Kmand or Azzjoni	Għan
Pass 1	jippermettu Example: Device> enable	Jippermetti modalità EXEC privileġġata. • Daħħal il-password tiegħek jekk tintalab.
Pass 2	kkonfigurat terminal Example: Apparat # kkonfigurat terminal	Jidħol fil-mod ta' konfigurazzjoni globali.
Pass 3	cts sgt-map ibbażat fuq ir-rwol 0.0.0.0/0 sgt numru Example: Apparat (konfigurazzjoni) # cts sgt-map ibbażat fuq ir-rwol 0.0.0.0/0 sgt 3	Jispeċifika n-numru SGT għar-rotta default. Valuri validi huma minn 0 sa 65,519. Nota                    • Il- indirizz_host/subnet jista' jkun jew indirizz IPv4 (0.0.0.0/0) jew indirizz IPv6 (0:0::/0) • Ir-rotta default konfigurazzjoni hija aċċettata biss mas-subnet /0. Id-dħul biss tal-host-ip mingħajr is-subnet /0 juri l-messaġġ li ġej: Apparat (konfigurazzjoni) #cts sgt-map ibbażat fuq ir-rwol 0.0.0.0 sgt 1000 Il-konfigurazzjoni default tar-rotta mhix appoġġata għall-ip host
Pass 4	ħruġ Example: Device(config)# ħruġ	Joħroġ mill-mod ta' konfigurazzjoni globali.

Verifika tal-Immappjar SGT

It-taqsimiet li ġejjin juru kif tivverifika l-immappjar SGT:

Verifika tal-Konfigurazzjoni tal-Immappjar tas-Subnet għal SGT
Biex turi l-informazzjoni tal-konfigurazzjoni tal-Mapping tas-Subnet għal SGT, uża waħda mill-kmandi tal-wirja li ġejjin:

Kmand	Għan
juru konnessjonijiet cts sxp	Juri l-konnessjonijiet tal-kelliem u tas-semmiegħ SXP bl-istatus operattiv tagħhom.
uri cts sxp sgt-map	Juri l-IP għall-irbit SGT esportati lis-semmiegħa SXP.
juru running-config	Jivverifika li l-kmandi tal-konfigurazzjonijiet tas-subnet-to-SGT huma fil-konfigurazzjoni li qed taħdem file.

Verifika tal-VLAN-to-SGT Mapping

Biex turi l-informazzjoni tal-konfigurazzjoni VLAN-to-SGT, uża l-kmandi tal-wirja li ġejjin:

Tabella 1:

Kmand	Għan
uri l-politika tat-traċċar tal-apparat	Juri l-attributi tal-politika attwali tal-politika tat-traċċar tal-apparat.
uri cts sgt-mappa bbażata fuq ir-rwol	Juri l-irbit ta' l-indirizz IP għal SGT.

Verifika tal-Konfigurazzjoni SGT tar-Rotta Default

Ivverifika l-konfigurazzjoni ta' Rotta Default SGT:
apparat # uri sgt-map ibbażat fuq ir-rwoli kollha ta' l-Informazzjoni Attiva tal-Irbit IPv4-SGT

Konfigurazzjoni Eżamples għal SGT Mapping

Is-sezzjonijiet li ġejjin juru konfigurazzjoni examples tal-immappjar SGT:

Example: Konfigurazzjoni ta' Apparat SGT Manwalment

• Apparat # kkonfigurat terminal
• Apparat (konfigurazzjoni) # cts sgt 1234
• Device(config)# ħruġ

Example: Konfigurazzjoni għall-Immappjar tas-Subnet għal SGT
L-eżample turi kif tikkonfigura l-Immappjar tas-Subnet għal SGT tal-IPv4 bejn it-tagħmir li jħaddem SXPv3 (Device1 u Device2):

1. Ikkonfigura l-peering tal-kelliem/semmiegħ SXP bejn it-tagħmir.
   • Device1# kkonfigurat it-terminal
   • Device1(config)# cts sxp enable
   • Device1(config)# cts sxp default source-ip 1.1.1.1
   • Device1(config)# cts sxp default password 1syzygy1
   • Device1(config)# cts sxp connection peer 2.2.2.2 password default mode kelliem lokali
2. Ikkonfigura Device2 bħala SXP semmiegħ ta Device1.
   • Device2(config)# cts sxp enable
   • Device2(config)# cts sxp default source-ip 2.2.2.2
   • Device2(config)# cts sxp default password 1syzygy1
   • Device2(config)# cts sxp connection peer 1.1.1.1 password default mode semmiegħa lokali
3. Fuq Device2, ivverifika li l-konnessjoni SXP qed topera:
   Device2# juru cts sxp konnessjonijiet fil-qosor | jinkludu 1.1.1.1 1.1.1.1 2.2.2.2 Fit-3:22:23:18 (dd:hr:mm:sec)
4. Ikkonfigura s-subnetworks li għandhom jiġu estiżi fuq Device1.
   • Device1(config)# cts sxp mapping network-map 10000
   • Device1(config)# cts sgt-map ibbażat fuq ir-rwol 10.10.10.0/30 sgt 101
   • Device1(config)# cts sgt-map ibbażat fuq ir-rwol 11.11.11.0/29 sgt 11111
   • Device1(config)# cts sgt-map ibbażat fuq ir-rwol 192.168.1.0/28 sgt 65000
5. Fuq Device2, ivverifika l-espansjoni tas-subnet għal SGT minn Device1. Għandu jkun hemm żewġ espansjonijiet għas-subnetwork 10.10.10.0/30, sitt espansjonijiet għas-subnetwork 11.11.11.0/29, u 14-il espansjoni għas-subnetwork 192.168.1.0/28.
   Device2# juru cts sxp sgt-map fil-qosor | jinkludu 101|11111|65000
   • IPv4,SGT: <10.10.10.1 , 101>
   • IPv4,SGT: <10.10.10.2 , 101>
   • IPv4,SGT: <11.11.11.1 , 11111>
   • IPv4,SGT: <11.11.11.2 , 11111>
   • IPv4,SGT: <11.11.11.3 , 11111>
   • IPv4,SGT: <11.11.11.4 , 11111>
   • IPv4,SGT: <11.11.11.5 , 11111>
   • IPv4,SGT: <11.11.11.6 , 11111>
   • IPv4,SGT: <192.168.1.1 , 65000>
   • IPv4,SGT: <192.168.1.2 , 65000>
   • IPv4,SGT: <192.168.1.3 , 65000>
   • IPv4,SGT: <192.168.1.4 , 65000>
   • IPv4,SGT: <192.168.1.5 , 65000>
   • IPv4,SGT: <192.168.1.6 , 65000>
   • IPv4,SGT: <192.168.1.7 , 65000>
   • IPv4,SGT: <192.168.1.8 , 65000>
   • IPv4,SGT: <192.168.1.9 , 65000>
   • IPv4,SGT: <192.168.1.10 , 65000>
   • IPv4,SGT: <192.168.1.11 , 65000>
   • IPv4,SGT: <192.168.1.12 , 65000>
   • IPv4,SGT: <192.168.1.13 , 65000>
   • IPv4,SGT: <192.168.1.14 , 65000>
6. Ivverifika l-għadd ta' espansjoni fuq Device1:
   Device1# juri cts sxp sgt-map
   • IP-SGT Mappings estiża:22
   • M'hemm l-ebda Mappings IP-SGT
7. Issejvja l-konfigurazzjonijiet fuq Device1 u Device2 u oħroġ mill-mod ta 'konfigurazzjoni globali.
   Device1(config)# kopja running-config startup-config
   Device1(config)# ħruġ
   Device2(config)# kopja running-config startup-config
   Device2(config)# ħruġ

Example:
Konfigurazzjoni għall-Immappjar ta' VLAN-to-SGT għal Host Uniku Fuq Link ta' Aċċess.

Fl-eżample, ospitanti wieħed jgħaqqad ma 'VLAN 100 fuq apparat ta' aċċess. Interface virtwali maqluba fuq l-apparat TrustSec hija l-portal default għall-endpoint VLAN 100 (Indirizz IP 10.1.1.1). L-apparat TrustSec jimponi Grupp tas-Sigurtà Tag (SGT) 10 fuq pakketti minn VLAN 100.

1. Oħloq VLAN 100 fuq apparat ta 'aċċess.
   • access_device# kkonfigura t-terminal
   • access_device (konfigurazzjoni) # vlan 100
   • access_device(config-vlan)# ebda għeluq
   • access_device(config-vlan)# ħruġ
   • access_device(konfigurazzjoni)#
2. Ikkonfigura l-interface għall-apparat TrustSec bħala link ta 'aċċess. Konfigurazzjonijiet għall-endpoint
   1. port ta' aċċess jitħallew barra f'dan example.
   2. access_device(config)# interface gigabitEthernet 6/3
   3. access_device(config-if)# switchport
   4. access_device(config-if)# aċċess mod switchport
   5. access_device(config-if)# switchport access vlan 100
3. Oħloq VLAN 100 fuq l-apparat TrustSec.
   • TS_device (konfigurazzjoni) # vlan 100
   • TS_device(config-vlan)# ebda għeluq
   • TS_device(config-vlan)# tmiem
   • TS_device#
4. Oħloq SVI bħala l-portal għal VLAN 100 deħlin.
   • TS_device(config)# interface vlan 100
   • TS_device(config-if)# indirizz ip 10.1.1.2 255.0.0.0
   • TS_device(config-if)# ebda għeluq
   • TS_device (konfigurazzjoni-jekk) # tmiem
   • TS_device (konfigurazzjoni) #
5. Assenja Grupp tas-Sigurtà Tag (SGT) 10 lil hosts fuq VLAN 100.
   • TS_device (konfigurazzjoni) # cts sgt-map ibbażat fuq ir-rwol vlan 100 sgt 10
6. Ippermetti l-Intraċċar tal-Apparat IP fuq it-tagħmir TrustSec. Ivverifika li qed topera.
   • TS_device(config)# traċċar tat-tagħmir ip
   • TS_device# juri l-apparat ip traċċar kollu
7. (Mhux obbligatorju) PING il-portal default minn endpoint (f'dan example, l-indirizz IP ospitanti 10.1.1.1). Ivverifika li SGT 10 qed jiġi mmappjat għal hosts VLAN 100.
   

Example: Emulazzjoni tal-Hardware Keystore
Dan example turi kif tikkonfigura u tivverifika l-użu ta 'keystore tas-softwer:

Example: Konfigurazzjoni ta' Device Route SGT

• Apparat # kkonfigurat terminal
• Apparat (konfigurazzjoni) # cts sgt-map ibbażat fuq ir-rwol 0.0.0.0/0 sgt 3
• Device(config)# ħruġ

Storja tal-Karatteristiċi għall-Grupp tas-Sigurtà Tag Immappjar

• Din it-tabella tipprovdi rilaxx u informazzjoni relatata għall-karatteristiċi spjegati f'dan il-modulu.
• Dawn il-karatteristiċi huma disponibbli fir-rilaxxi kollha wara dik li ġew introdotti fiha, sakemm ma jkunx innutat mod ieħor.

Rilaxx	Karatteristika	Karatteristika Informazzjoni
Cisco IOS XE Everest 16.5.1a	Grupp tas-Sigurtà Tag Immappjar	L-immappjar tas-subnet għal SGT jorbot SGT mal-indirizzi ospitanti kollha ta' subnet speċifikat. Ladarba dan l-immappjar jiġi implimentat, Cisco TrustSec jimponi l-SGT fuq kwalunkwe pakkett li jkun dieħel li għandu indirizz IP tas-sors li jappartjeni għas-subnet speċifikat.
Cisco IOS XE Ġibiltà 16.11.1	Klassifikazzjoni ta' Rotta Default SGT	Rotta Default SGT jassenja SGT tag numru għal dawk ir-rotot li ma jaqblux ma’ rotta speċifikata.

Uża l-Cisco Feature Navigator biex issib informazzjoni dwar l-appoġġ tal-immaġni tal-pjattaforma u tas-softwer. Biex taċċessa Cisco Feature Navigator, mur fuq http://www.cisco.com/go/cfn.

Dokumenti / Riżorsi

CISCO Konfigurazzjoni Grupp tas-Sigurtà Tag Immappjar [pdfGwida għall-Utent Konfigurazzjoni tal-Grupp tas-Sigurtà Tag Immappjar, Konfigurazzjoni, Grupp tas-Sigurtà Tag Mapping, Grupp Tag Immappjar, Tag Immappjar

Referenzi

• Manwal għall-Utent