Inhoud verbergen
1 CISCO Beveiligingsgroep configureren Tag In kaart brengen
2 Productinformatie
3 Instructies voor productgebruik
4 Beperkingen voor SGT-toewijzing
5 Informatie over SGT-toewijzing
5.1 Overview
5.2 Bindende bronprioriteiten
6 SGT-toewijzing configureren
6.1 Subnet-naar-SGT-toewijzing configureren
6.2 VLAN-naar-SGT-toewijzing configureren
6.3 Het emuleren van de hardwaresleutelopslag
7 SGT-toewijzing verifiëren
8 Configuratie Exampbestanden voor SGT Mapping
9 Functiegeschiedenis voor beveiligingsgroep Tag In kaart brengen
10 Documenten / Bronnen
10.1 Referenties
11 Gerelateerde berichten

CISCO-logo

CISCO Beveiligingsgroep configureren Tag In kaart brengen

CISCO-Configuring-Security-Group-Tag-Mapping-product

Productinformatie

Met het product kan een beveiligingsgroep worden geconfigureerd tag (SGT)-toewijzing. Deze functie bindt een SGT aan alle hostadressen van een opgegeven subnet. Zodra deze toewijzing is geïmplementeerd, legt Cisco TrustSec de SGT op aan elk binnenkomend pakket dat een bron-IP-adres heeft dat tot het opgegeven subnet behoort.

Beperkingen voor SGT-toewijzing
De volgende opdracht wordt niet ondersteund voor host-IP-configuratie: Device(config)#cts role-based sgt-map 0.0.0.0 sgt 1000

Overview van subnet-naar-SGT-toewijzing

  • Subnet-naar-SGT-toewijzing bindt een SGT aan alle hostadressen van een opgegeven subnet. Cisco TrustSec legt de SGT op aan een binnenkomend pakket wanneer het bron-IP-adres van het pakket tot het opgegeven subnet behoort. Het subnet en de SGT worden in de CLI gespecificeerd met dects role-based sgt-map net_address/prefix sgt sgt_number globale configuratieopdracht. Met deze opdracht kan ook een enkele host in kaart worden gebracht.
  • In IPv4-netwerken kunnen Security Exchange Protocol (SXP)v3 en recentere versies subnet net_address/prefix-reeksen van SXPv3-peers ontvangen en parseren. Eerdere SXP-versies converteren het subnetvoorvoegsel naar de set hostbindingen voordat ze naar een SXP-listener-peer worden geëxporteerd.
  • Subnetbindingen zijn statisch, er wordt niet geleerd over actieve hosts. Ze kunnen lokaal worden gebruikt voor SGT-oplegging en SGACL-handhaving. Pakketten tagged by subnet-naar-SGT-toewijzing kan worden doorgegeven op Layer 2- of Layer 3 Cisco TrustSec-koppelingen.
  • Voor IPv6-netwerken kan SXPv3 geen subnetbindingen exporteren naar SXPv2- of SXPv1-peers.

Overview van VLAN-naar-SGT-toewijzing

  • De VLAN-naar-SGT-toewijzingsfunctie bindt een SGT aan pakketten van een opgegeven VLAN. Dit vereenvoudigt de migratie van oudere naar Cisco TrustSec-compatibele netwerken.
  • De VLAN-naar-SGT-binding wordt geconfigureerd met de cts role-based sgt-map vlan-list globale configuratieopdracht.
  • Wanneer aan een VLAN een gateway wordt toegewezen die een geschakelde virtuele interface (SVI) is op een Cisco TrustSec-compatibele switch, en IP Device Tracking is ingeschakeld op die switch, kan Cisco TrustSec een IP-naar-SGT-binding creëren voor elke actieve host op dat VLAN toegewezen aan het SVI-subnet.
  • IP-SGT-bindingen voor de actieve VLAN-hosts worden geëxporteerd naar SXP-listeners. De bindingen voor elk toegewezen VLAN worden ingevoegd in de IP-naar-SGT-tabel die is gekoppeld aan de VRF waaraan het VLAN is toegewezen door de SVI ervan of door de cts role-based l2-vrf commando.
  • VLAN-naar-SGT-bindingen hebben de laagste prioriteit van alle bindingsmethoden en worden genegeerd wanneer bindingen van andere bronnen worden ontvangen, zoals van SXP- of CLI-hostconfiguraties. Bindingsprioriteiten worden vermeld in de sectie Bindingsbronprioriteiten.

Instructies voor productgebruik

Subnet-naar-SGT-toewijzing configureren

  1. Toegang tot de CLI-interface van het apparaat.
  2. Ga naar de configuratiemodus met behulp van de config commando.
  3. Voer de volgende opdracht uit om de subnet-naar-SGT-toewijzing te configureren:
cts role-based sgt-map net_address/prefix sgt sgt_number
  1. Vervangen net_address/prefix met het subnetadres en de prefixlengte die u wilt toewijzen (bijvoorbeeld 192.168.1.0/24).
  2. Vervangen sgt_number met de gewenste beveiligingsgroep tag nummer.
  3. Druk op Enter om de configuratie toe te passen.
  4. Verlaat de configuratiemodus.

VLAN-naar-SGT-toewijzing configureren

    1. Toegang tot de CLI-interface van het apparaat.
    2. Ga naar de configuratiemodus met behulp van de config commando.
    3. Voer de volgende opdracht uit om de VLAN-naar-SGT-toewijzing te configureren:
cts role-based sgt-map vlan-list
  1. Geef de VLAN's op die moeten worden toegewezen aan SGT's.
  2. Druk op Enter om de configuratie toe te passen.
  3. Verlaat de configuratiemodus.

Specificaties

  • Ondersteunde netwerken: IPv4, IPv6
  • Ondersteunde protocollen: Security Exchange Protocol (SXP)v3
  • Ondersteunde bindingsmethoden: Subnet-naar-SGT-toewijzing, VLAN-naar-SGT-toewijzing

Veelgestelde vragen (FAQ)

  • Vraag: Kunnen subnetbindingen worden geëxporteerd naar SXPv2- of SXPv1-peers in IPv6-netwerken?
    A: Nee, subnetbindingen kunnen alleen worden geëxporteerd naar SXPv3-peers in IPv6-netwerken.
  • Vraag: Wat is de prioriteit van VLAN-naar-SGT-bindingen?
    A: VLAN-naar-SGT-bindingen hebben de laagste prioriteit van alle bindingsmethoden en worden genegeerd wanneer bindingen van andere bronnen worden ontvangen.

Subnet naar beveiligingsgroep tag (SGT)-toewijzing bindt een SGT aan alle hostadressen van een opgegeven subnet. Zodra deze toewijzing is geïmplementeerd, legt Cisco TrustSec de SGT op aan elk binnenkomend pakket dat een bron-IP-adres heeft dat tot het opgegeven subnet behoort.

Beperkingen voor SGT-toewijzing

Beperkingen voor subnet-naar-SGT-toewijzing

  • Een IPv4-subnetwerk met een /31-voorvoegsel kan niet worden uitgebreid.
  • Subnethostadressen kunnen niet aan de beveiligingsgroep worden gekoppeld Tags (SGT)s wanneer de netwerkkaartbindingsparameter kleiner is dan het totale aantal subnethosts in de opgegeven subnetten, of wanneer de bindingen 0 zijn.
  • IPv6-uitbreidingen en -propagatie vinden alleen plaats wanneer de spreker en luisteraar van het Security Exchange Protocol (SXP) SXPv3 of recentere versies gebruiken.

Beperking voor standaardroute-SGT-toewijzing

  • Standaardrouteconfiguratie wordt alleen geaccepteerd met het subnet /0. Als u alleen het host-IP-adres invoert zonder het subnet /0, wordt het volgende bericht weergegeven:CISCO-Configuring-Security-Group-Tag-Mapping-fig- (1)

Informatie over SGT-toewijzing

In deze sectie vindt u informatie over SGT-toewijzing.

Overview

Overview van subnet-naar-SGT-toewijzing
Subnet-naar-SGT-toewijzing bindt een SGT aan alle hostadressen van een opgegeven subnet. Cisco TrustSec legt de SGT op aan een binnenkomend pakket wanneer het bron-IP-adres van het pakket tot het opgegeven subnet behoort. Het subnet en SGT worden gespecificeerd in de CLI met de cts rolgebaseerde sgt-map net_address/prefix sgt sgt_number globale configuratieopdracht. Met deze opdracht kan ook een enkele host in kaart worden gebracht. In IPv4-netwerken kunnen Security Exchange Protocol (SXP)v3 en recentere versies subnet net_address/prefix-reeksen van SXPv3-peers ontvangen en parseren. Eerdere SXP-versies converteren het subnetvoorvoegsel naar de set hostbindingen voordat ze naar een SXP-listener-peer worden geëxporteerd.

Bijvoorbeeldample wordt het IPv4-subnet 192.0.2.0/24 als volgt uitgebreid (slechts 3 bits voor hostadressen):

  • Hostadressen 198.0.2.1 tot 198.0.2.7—taggeded en doorgegeven aan SXP-peer.
  • Netwerk- en broadcastadressen 198.0.2.0 en 198.0.2.8 – niet taggeded en niet gepropageerd.

Om het aantal subnetbindingen dat SXPv3 kan exporteren te beperken, gebruikt u de opdracht cts sxp mapping network-map globale configuratie. Subnetbindingen zijn statisch, er wordt niet geleerd over actieve hosts. Ze kunnen lokaal worden gebruikt voor SGT-oplegging en SGACL-handhaving. Pakketten tagged by subnet-naar-SGT-toewijzing kan worden doorgegeven op Layer 2- of Layer 3 Cisco TrustSec-koppelingen. Voor IPv6-netwerken kan SXPv3 geen subnetbindingen exporteren naar SXPv2- of SXPv1-peers.

Overview van VLAN-naar-SGT-toewijzing
De VLAN-naar-SGT-toewijzingsfunctie bindt een SGT aan pakketten van een opgegeven VLAN. Dit vereenvoudigt de migratie van oudere naar Cisco TrustSec-compatibele netwerken als volgt:

  • Ondersteunt apparaten die niet geschikt zijn voor Cisco TrustSec, maar wel geschikt zijn voor VLAN, zoals oudere switches, draadloze controllers, toegangspunten, VPN's, enz.
  • Biedt achterwaartse compatibiliteit voor topologieën waarbij VLAN's en VLAN ACL's het netwerk segmenteren, zoals serversegmentatie in datacenters.
  • De VLAN-naar-SGT-binding wordt geconfigureerd met de cts rolgebaseerde sgt-map vlan-list globale configuratieopdracht.
  • Wanneer aan een VLAN een gateway wordt toegewezen die een geschakelde virtuele interface (SVI) is op een Cisco TrustSec-compatibele switch, en IP Device Tracking is ingeschakeld op die switch, kan Cisco TrustSec een IP-naar-SGT-binding creëren voor elke actieve host op dat VLAN toegewezen aan het SVI-subnet.
  • IP-SGT-bindingen voor de actieve VLAN-hosts worden geëxporteerd naar SXP-listeners. De bindingen voor elk toegewezen VLAN worden ingevoegd in de IP-naar-SGT-tabel die is gekoppeld aan de VRF waaraan het VLAN is toegewezen door zijn SVI of door de cts rolgebaseerde l2-vrf-opdracht.
  • VLAN-naar-SGT-bindingen hebben de laagste prioriteit van alle bindingsmethoden en worden genegeerd wanneer bindingen van andere bronnen worden ontvangen, zoals van SXP- of CLI-hostconfiguraties. Bindingsprioriteiten worden vermeld in de sectie Bindingsbronprioriteiten.
Bindende bronprioriteiten

Cisco TrustSec lost conflicten tussen IP-SGT-bindingsbronnen op met een strikt prioriteitsschema. Bijvoorbeeldample kan een SGT worden toegepast op een interface met het beleid {dynamische identiteit peer-naam | statisch sergeant tag} Cisco Trustsec Handmatige interfacemodusopdracht (Identity Port Mapping). Het huidige prioritaire handhavingsbevel, van laagste (1) tot hoogste (7), is als volgt:

  1. VLAN: Bindingen geleerd van gesnoopte ARP-pakketten op een VLAN waarvoor VLAN-SGT-toewijzing is geconfigureerd.
  2. KLI: Adresbindingen geconfigureerd met behulp van de IP-SGT-vorm van de cts op rollen gebaseerde globale configuratieopdracht sgt-map.
  3. SXP: Bindingen geleerd van SXP-collega's.
  4. IP_ARP: Bindingen geleerd wanneer tagged ARP-pakketten worden ontvangen op een CTS-compatibele link.
  5. LOKAAL: Bindingen van geauthenticeerde hosts die worden geleerd via EPM en apparaattracking. Dit type binding omvat ook individuele hosts die worden geleerd via ARP-spionage op L2 [I] PM-geconfigureerde poorten.
  6. INTERN: Bindingen tussen lokaal geconfigureerde IP-adressen en de eigen SGT van het apparaat.

Opmerking
Als het bron-IP-adres overeenkomt met meerdere subnetvoorvoegsels met verschillende toegewezen SGT's, heeft het langste voorvoegsel SGT voorrang, tenzij de prioriteit verschilt.

Standaardroute SGT

  • Standaardroutebeveiligingsgroep Tag (SGT) wijst een SGT-nummer toe aan standaardroutes.
  • Standaardroute is de route die niet overeenkomt met een opgegeven route en daarom de route is naar de laatste resortbestemming. Standaardroutes worden gebruikt om pakketten te sturen die zijn geadresseerd aan netwerken die niet expliciet in de routeringstabel zijn vermeld.

SGT-toewijzing configureren

In deze sectie wordt beschreven hoe u SGT-toewijzing configureert.

Een apparaat-SGT handmatig configureren
Bij normale Cisco TrustSec-werking wijst de authenticatieserver een SGT toe aan het apparaat voor pakketten die afkomstig zijn van het apparaat. U kunt handmatig een SGT configureren die moet worden gebruikt als de authenticatieserver niet toegankelijk is, maar een door de authenticatieserver toegewezen SGT heeft voorrang op een handmatig toegewezen SGT.

Voer deze taak uit om handmatig een SGT op het apparaat te configureren:

Procedure

  Commando or Actie Doel
Stap 1 inschakelen Schakelt bevoorrechte EXEC-modus in.
  Exampon:

Apparaat# inschakelen

 • Voer uw wachtwoord in als daarom wordt gevraagd.
Stap 2 terminal configureren:

Exampon:

Apparaat# terminal configureren:

 Gaat naar de globale configuratiemodus.
Stap 3 cts sergeant tag

Exampon:

Apparaat(configuratie)# cts sgt 1234

 Schakelt SXP in voor Cisco TrustSec.
Stap 4 Uitgang

Exampon:

Apparaat(configuratie)# Uitgang

 Verlaat de globale configuratiemodus en keert terug naar de geprivilegieerde EXEC-modus
Subnet-naar-SGT-toewijzing configureren

Procedure

  Commando or Actie Doel
Stap 1 inschakelen

Exampon:

Apparaat# inschakelen

 Schakelt bevoorrechte EXEC-modus in.

• Voer uw wachtwoord in als daarom wordt gevraagd.
Stap 2 terminal configureren:

Exampon:

Apparaat# terminal configureren:

 Gaat naar de globale configuratiemodus.
Stap 3 cts sxp mapping netwerkkaart bindingen

Exampon:

Apparaat(configuratie)# cts sxp mapping netwerkkaart 10000

 •  Configureert de beperking van het aantal hosts voor subnet-naar-SGT-toewijzing. Het bindingsargument specificeert het maximale aantal subnet-IP-hosts dat kan worden gebonden aan SGT's en kan worden geëxporteerd naar de SXP-listener.

•  bindingen: (0 tot 65,535) standaard is 0 (geen uitbreidingen uitgevoerd)
Stap 4 cts op rollen gebaseerde sgt-map ipv4_adres/voorvoegsel

sgt nummer

Exampon:

Apparaat(configuratie)# cts op rollen gebaseerde sgt-map 10.10.10.10/29 sgt 1234

 (IPv4) Specificeert een subnet in CIDR-notatie.

•  Gebruik de no-vorm van de opdracht om de toewijzing van subnet naar SGT ongedaan te maken. Het aantal bindingen dat is opgegeven in stap 2 moet overeenkomen met of groter zijn dan het aantal hostadressen in het subnet (exclusief netwerk- en broadcastadressen). Het trefwoord sgt number specificeert de beveiliging
    Groep Tag gebonden te zijn aan elke gastheer

adres in het opgegeven subnet.

•  ipv4_address: specificeert het IPv4-netwerkadres in decimale notatie met stippellijnen.

•  voorvoegsel: (0 tot 30) Specificeert het aantal bits in het netwerkadres.

•  sgt nummer: (0–65,535) Specificeert de beveiligingsgroep Tag (SGT)-nummer.
Stap 5 cts op rollen gebaseerde sgt-map ipv6_adres::voorvoegsel

sgt nummer

Exampon:

Apparaat(configuratie)# cts rolgebaseerde sgt-map 2020::/64 sgt 1234

 (IPv6) Specificeert een subnet in hexadecimale notatie met dubbele punten. Gebruik de no-vorm van de opdracht om de toewijzing van subnet naar SGT ongedaan te maken.

Het aantal bindingen dat is opgegeven in stap 2 moet overeenkomen met of groter zijn dan het aantal hostadressen in het subnet (exclusief netwerk- en broadcastadressen). Het trefwoord sgt number specificeert de beveiligingsgroep Tag gebonden te zijn aan elk hostadres in het opgegeven subnet.

•  ipv6_address: specificeert het IPv6-netwerkadres in hexadecimale notatie met dubbele punten.

•  voorvoegsel: (0 tot 128) Specificeert het aantal bits in het netwerkadres.

•  sgt nummer: (0–65,535) Specificeert de beveiligingsgroep Tag (SGT)-nummer.
Stap 6 Uitgang

Exampon:

Apparaat(configuratie)# Uitgang

 Verlaat de globale configuratiemodus en keert terug naar de geprivilegieerde EXEC-modus.
VLAN-naar-SGT-toewijzing configureren

Taakstroom voor het configureren van VLAN-SGT-toewijzing op een Cisco TrustSec-apparaat.

  • Maak een VLAN op het apparaat met dezelfde VLAN_ID als het inkomende VLAN.
  • Maak een SVI zodat het VLAN op het apparaat de standaardgateway voor de eindpuntclients wordt.
  • Configureer het apparaat om een ​​SGT toe te passen op het VLAN-verkeer.
  • Schakel het volgen van IP-apparaten in op het apparaat.
  • Koppel een beleid voor het volgen van apparaten aan een VLAN.

Opmerking
In een netwerk met meerdere switches biedt op SISF gebaseerde apparaattracking de mogelijkheid om bindingstabelgegevens te distribueren tussen switches waarop de functie wordt uitgevoerd. Hierbij wordt ervan uitgegaan dat bindende vermeldingen worden gemaakt op de switches waar de host op een toegangspoort verschijnt, en dat er geen vermelding wordt gemaakt voor een host die via een trunkpoort verschijnt. Om dit te bereiken in een configuratie met meerdere switches, raden we u aan een ander beleid te configureren en dit aan de trunkpoort te koppelen, zoals beschreven in de procedure Een multi-switch-netwerk configureren om te stoppen met het maken van bindende gegevens op basis van een trunkpoort, in de SISF configureren -Gebaseerd apparaat volgen, hoofdstuk van de Beveiligingsconfiguratiegids.

  • Controleer of VLAN-naar-SGT-toewijzing plaatsvindt op het apparaat.

Procedure

  Commando or Actie Doel
Stap 1 inschakelen

Exampon:

Apparaat# inschakelen

 Schakelt bevoorrechte EXEC-modus in.

• Voer uw wachtwoord in als daarom wordt gevraagd.
Stap 2 terminal configureren:

Exampon:

Apparaat# terminal configureren:

 Gaat naar de globale configuratiemodus.
Stap 3 vlan vlan_id

Exampon:

Apparaat(configuratie)# vlan100

 Creëert VLAN 100 op het TrustSec-compatibele gateway-apparaat en gaat naar VLAN

configuratie modus.
Stap 4 [Nee] afsluiten

Exampon:

Apparaat(config-vlan)# geen uitschakeling

 Voorzieningen VLAN 100.
Stap 5 Uitgang

Exampon:

Apparaat(config-vlan)# Uitgang

 Verlaat de VLAN-configuratiemodus en keert terug naar de globale configuratiemodus.
Stap 6 interface type sleuf/poort

Exampon:

Apparaat(configuratie)# interface-vlan 100

 Specificeert het interfacetype en gaat naar de interfaceconfiguratiemodus.
Stap 7 IP-adres sleuf/poort

Exampon:

Apparaat(config-if)# IP-adres 10.1.1.2 255.0.0.0

 Configureert Switched Virtual Interface (SVI) voor VLAN 100.
Stap 8 [Nee ] afsluiten

Exampon:

Apparaat(config-if)# geen uitschakeling

 Schakelt de SVI in.
Stap 9 Uitgang

Exampon:

Apparaat(config-if)# Uitgang

 Verlaat de interfaceconfiguratiemodus en keert terug naar de globale configuratiemodus.
Stap 10 cts op rollen gebaseerde sgt-map vlan-lijst vlan_id sgt

sgt_nummer

Exampon:

Apparaat(configuratie)# cts op rollen gebaseerde sgt-map vlan-lijst 100 sgt 10

 Wijst de opgegeven SGT toe aan het opgegeven VLAN.
Stap 11 beleid voor het volgen van apparaten beleidsnaam

Exampon:

Apparaat(configuratie)# beleid voor het volgen van apparaten1

 Specificeert het beleid en gaat naar de configuratiemodus voor het volgen van apparaten.
Stap 12 tracking inschakelen

Exampon:

Apparaat (config-apparaat-tracking) # volgen inschakelen

 Overschrijft de standaardinstellingen voor het volgen van apparaten voor het beleidskenmerk.
Stap 13 Uitgang

Exampon:

Apparaat (config-apparaat-tracking) # Uitgang

 Sluit de configuratiemodus voor het volgen van apparaten af ​​en keert terug naar de algemene configuratiemodus.
Stap 14 vlan-configuratie vlan_id

Exampon:

Apparaat(configuratie)# vlan-configuratie 100

 Specificeert het VLAN waaraan het apparaattraceringsbeleid zal worden gekoppeld, en gaat naar de VLAN-configuratiemodus.
Stap 15 apparaat-tracking bijlage-beleid beleidsnaam

Exampon:

Apparaat(config-vlan-config)#

beleid voor het volgen van apparaten1

 Koppelt een beleid voor het volgen van apparaten aan het opgegeven VLAN.
Stap 16 einde

Exampon:

Apparaat(config-vlan-config)# einde

 Verlaat de VLAN-configuratiemodus en keert terug naar de geprivilegieerde EXEC-modus.
Stap 17 toon cts rolgebaseerde sgt-map {ipv4_netaddr

| ipv4_netaddr/voorvoegsel | ipv6_netaddr | ipv6_netaddr/voorvoegsel |alle [IPv4-adres |IPv6-adres] |gastheer { ipv4-adr |ipv6_adr } |samenvatting [ IPv4-adres

|IPv6-adres ]

 (Optioneel) Geeft de VLAN-naar-SGT-toewijzingen weer.
  Exampon:

Apparaat# toon cts op rollen gebaseerde sgt-map alles

  
Stap 18 beleid voor het volgen van apparaten weergeven beleidsnaam

Exampon:

Apparaat# toon het beleid voor het volgen van apparaten1

 (Optioneel) Geeft de huidige beleidskenmerken weer.
Het emuleren van de hardwaresleutelopslag

In gevallen waarin er geen hardwaresleutelarchief aanwezig is of onbruikbaar is, kunt u de switch configureren om een ​​software-emulatie van het sleutelarchief te gebruiken. Voer deze taak uit om het gebruik van een softwaresleutelarchief te configureren:

Procedure

  Commando or Actie Doel
Stap 1 inschakelen

Exampon:

Apparaat# inschakelen

 Schakelt bevoorrechte EXEC-modus in.

• Voer uw wachtwoord in als daarom wordt gevraagd.
Stap 2 terminal configureren:

Exampon:

Apparaat# terminal configureren:

 Gaat naar de globale configuratiemodus.
Stap 3 cts keystore emuleren

Exampon:

Apparaat(configuratie)# cts keystore emuleren

 Configureert de switch om een ​​software-emulatie van de sleutelopslag te gebruiken in plaats van de hardwaresleutelopslag.
Stap 4 Uitgang

Exampon:

Apparaat(configuratie)# Uitgang

 Verlaat de configuratiemodus.
Stap 5 toon sleutelopslag

Exampon:

Apparaat# toon sleutelopslag

 Toont de status en inhoud van het sleutelarchief. De opgeslagen geheimen worden niet weergegeven.

Standaardroute SGT configureren

Voordat je begint
Zorg ervoor dat u al een standaardroute op het apparaat hebt gemaakt met behulp van de opdracht ip route 0.0.0.0. Anders krijgt de standaardroute (die bij de standaardroute SGT wordt geleverd) een onbekende bestemming en daarom zal de laatste redmiddelbestemming naar CPU wijzen.

Procedure

  Commando or Actie Doel
Stap 1 inschakelen

Exampon:

Apparaat> inschakelen

 Schakelt bevoorrechte EXEC-modus in.

• Voer uw wachtwoord in als daarom wordt gevraagd.
Stap 2 terminal configureren:

Exampon:

Apparaat# terminal configureren

 Gaat naar de globale configuratiemodus.
Stap 3 cts op rollen gebaseerde sgt-map 0.0.0.0/0 sgt nummer

Exampon:

Apparaat (config) # cts op rollen gebaseerde sgt-map 0.0.0.0/0 sgt 3

 Specificeert het SGT-nummer voor de standaardroute. Geldige waarden zijn van 0 tot 65,519.

Opmerking                    • De host_adres/subnet kan een IPv4-adres (0.0.0.0/0) of een IPv6-adres (0:0::/0) zijn

•  De standaardroute

configuratie wordt alleen geaccepteerd met het subnet /0. Als u alleen het host-IP-adres invoert zonder het subnet /0, wordt het volgende bericht weergegeven:

Apparaat(configuratie)#cts op rollen gebaseerde sgt-map

0.0.0.0 sgt 1000 Standaardrouteconfiguratie wordt niet ondersteund voor host-IP
Stap 4 Uitgang

Exampon:

Apparaat(config)# afsluiten

 Sluit de algemene configuratiemodus af.

SGT-toewijzing verifiëren

In de volgende secties ziet u hoe u de SGT-toewijzing kunt verifiëren:

Configuratie van subnet-naar-SGT-toewijzing verifiëren
Om configuratie-informatie voor Subnet-naar-SGT-toewijzing weer te geven, gebruikt u een van de volgende show-opdrachten:

Commando Doel
toon cts sxp-verbindingen Toont de SXP-luidspreker- en luisteraarverbindingen met hun operationele status.
toon cts sxp sgt-kaart Geeft de IP-naar-SGT-bindingen weer die naar de SXP-listeners zijn geëxporteerd.
toon running-config Controleert of de subnet-naar-SGT-configuratieopdrachten zich in de actieve configuratie bevinden file.

VLAN-naar-SGT-toewijzing verifiëren

Om VLAN-naar-SGT-configuratie-informatie weer te geven, gebruikt u de volgende show-opdrachten:

Tabel 1:

Commando Doel
beleid voor het volgen van apparaten weergeven Geeft de huidige beleidskenmerken van het apparaattrackingbeleid weer.
toon cts rolgebaseerde sgt-map Geeft IP-adres-naar-SGT-bindingen weer.

Standaardroute-SGT-configuratie verifiëren

Controleer de standaardroute-SGT-configuratie:
device# toon op rollen gebaseerde sgt-map alle actieve IPv4-SGT-bindingsinformatie

CISCO-Configuring-Security-Group-Tag-Mapping-fig- (2)

Configuratie Exampbestanden voor SGT Mapping

De volgende secties tonen de configuratie, bijvampbestanden van SGT-toewijzing:

Example: Een apparaat-SGT handmatig configureren

  • Apparaat# terminal configureren
  • Apparaat (config) # cts sgt 1234
  • Apparaat(config)# afsluiten

Example: Configuratie voor subnet-naar-SGT-toewijzing
De volgende example laat zien hoe u IPv4 Subnet-naar-SGT-toewijzing configureert tussen apparaten met SXPv3 (Apparaat1 en Apparaat2):

  1. Configureer SXP-luidspreker/luisteraar-peering tussen apparaten.
    • Device1# configureert terminal
    • Device1(config)# cts sxp inschakelen
    • Device1(config)# cts sxp standaard bron-IP 1.1.1.1
    • Device1(config)# cts sxp standaardwachtwoord 1syzygy1
    • Device1(config)# cts sxp-verbinding peer 2.2.2.2 wachtwoord standaardmodus lokale luidspreker
  2. Configureer Device2 als SXP-listener van Device1.
    • Device2(config)# cts sxp inschakelen
    • Device2(config)# cts sxp standaard bron-IP 2.2.2.2
    • Device2(config)# cts sxp standaardwachtwoord 1syzygy1
    • Device2(config)# cts sxp-verbinding peer 1.1.1.1 wachtwoord standaardmodus lokale luisteraar
  3. Controleer op Apparaat2 of de SXP-verbinding werkt:
    Device2# toont cts sxp-verbindingen kort | opnemen 1.1.1.1 1.1.1.1 2.2.2.2 Op 3:22:23:18 (dd:uur:mm:sec)
  4. Configureer de subnetwerken die moeten worden uitgebreid op Apparaat1.
    • Device1(config)# cts sxp mapping netwerkkaart 10000
    • Device1(config)# cts op rollen gebaseerde sgt-map 10.10.10.0/30 sgt 101
    • Device1(config)# cts op rollen gebaseerde sgt-map 11.11.11.0/29 sgt 11111
    • Device1(config)# cts op rollen gebaseerde sgt-map 192.168.1.0/28 sgt 65000
  5. Controleer op Apparaat 2 de subnet-naar-SGT-uitbreiding vanaf Apparaat 1. Er zouden twee uitbreidingen moeten zijn voor het 10.10.10.0/30-subnetwerk, zes uitbreidingen voor het 11.11.11.0/29-subnetwerk en 14 uitbreidingen voor het 192.168.1.0/28-subnetwerk.
    Device2# toon cts sxp sgt-map kort | omvatten 101|11111|65000
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
    • IPv4,SGT:
  6. Controleer het aantal uitbreidingen op Apparaat1:
    Device1# toon cts sxp sgt-kaart
    • IP-SGT-toewijzingen uitgebreid:22
    • Er zijn geen IP-SGT-toewijzingen
  7. Sla de configuraties op Apparaat1 en Apparaat2 op en sluit de algemene configuratiemodus af.
    Device1(config)# kopieer running-config startup-config
    Apparaat1(config)# afsluiten
    Device2(config)# kopieer running-config startup-config
    Apparaat2(config)# afsluiten

Exampon:
Configuratie voor VLAN-naar-SGT-toewijzing voor een enkele host via een toegangslink.

In het volgende voorbeeldample: een enkele host maakt verbinding met VLAN 100 op een toegangsapparaat. Een geschakelde virtuele interface op het TrustSec-apparaat is de standaardgateway voor het VLAN 100-eindpunt (IP-adres 10.1.1.1). Het TrustSec-apparaat legt een beveiligingsgroep op Tag (SGT) 10 op pakketten van VLAN 100.

  1. Creëer VLAN 100 op een toegangsapparaat.
    • access_device# terminal configureren
    • access_device(config)# vlan 100
    • access_device(config-vlan)# geen afsluiting
    • access_device(config-vlan)# exit
    • access_device(config)#
  2. Configureer de interface naar het TrustSec-apparaat als toegangslink. Configuraties voor het eindpunt
    1. toegangspoort zijn in dit voorbeeld weggelatenampik.
    2. access_device(config)# interface gigabitEthernet 6/3
    3. access_device(config-if)# switchport
    4. access_device(config-if)# toegang tot switchport-modus
    5. access_device(config-if)# switchport toegang vlan 100
  3. Maak VLAN 100 op het TrustSec-apparaat.
    • TS_device(config)# vlan 100
    • TS_device(config-vlan)# geen afsluiting
    • TS_device(config-vlan)# einde
    • TS_apparaat#
  4. Maak een SVI als gateway voor binnenkomend VLAN 100.
    • TS_device(config)# interface vlan 100
    • TS_device(config-if)# ip-adres 10.1.1.2 255.0.0.0
    • TS_device(config-if)# geen afsluiting
    • TS_device(config-if)# einde
    • TS_apparaat(config)#
  5. Beveiligingsgroep toewijzen Tag (SGT) 10 naar hosts op VLAN 100.
    • TS_device(config)# cts op rollen gebaseerde sgt-map vlan 100 sgt 10
  6. Schakel IP-apparaattracering in op het TrustSec-apparaat. Controleer of deze werkt.
    • TS_device(config)# IP-apparaat volgen
    • TS_device# toon IP-apparaat dat alles volgtCISCO-Configuring-Security-Group-Tag-Mapping-fig- (3)
  7. (Optioneel) PING de standaardgateway vanaf een eindpunt (in dit voorbeeldample, host-IP-adres 10.1.1.1). Controleer of SGT 10 wordt toegewezen aan VLAN 100-hosts.
    CISCO-Configuring-Security-Group-Tag-Mapping-fig- (4)

Example: Het emuleren van de hardwaresleutelopslag
Deze example laat zien hoe u het gebruik van een softwaresleutelarchief kunt configureren en verifiëren:

CISCO-Configuring-Security-Group-Tag-Mapping-fig- (5)

Example: Apparaatroute SGT configureren

  • Apparaat# terminal configureren
  • Apparaat (config) # cts op rollen gebaseerde sgt-map 0.0.0.0/0 sgt 3
  • Apparaat(config)# afsluiten

Functiegeschiedenis voor beveiligingsgroep Tag In kaart brengen

  • Deze tabel bevat release- en gerelateerde informatie voor de functies die in deze module worden uitgelegd.
  • Deze functies zijn beschikbaar in alle releases na de release waarin ze zijn geïntroduceerd, tenzij anders aangegeven.
Uitgave Functie Functie Informatie
Cisco IOS XE Everest 16.5.1a Beveiligingsgroep Tag In kaart brengen Subnet-naar-SGT-toewijzing bindt een SGT aan alle hostadressen van een opgegeven subnet. Zodra deze toewijzing is geïmplementeerd, legt Cisco TrustSec de SGT op aan elk binnenkomend pakket dat een bron-IP-adres heeft dat tot het opgegeven subnet behoort.
Cisco IOS XE Gibraltar 16.11.1 Standaard route-SGT-classificatie Standaardroute SGT wijst een SGT toe tag nummer toewijzen aan routes die niet overeenkomen met een opgegeven route.

Gebruik de Cisco Feature Navigator om informatie te vinden over ondersteuning voor platform- en software-images. Voor toegang tot Cisco Feature Navigator gaat u naar http://www.cisco.com/go/cfn.

Documenten / Bronnen

CISCO Beveiligingsgroep configureren Tag In kaart brengen [pdf] Gebruikershandleiding
Beveiligingsgroep configureren Tag In kaart brengen, configureren, beveiligingsgroep Tag In kaart brengen, groep Tag In kaart brengen, Tag In kaart brengen

Referenties

Gerelateerde berichten

Laat een reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *