د CISCO د امنیت ګروپ ترتیب کول Tag نقشه کول

د محصول معلومات

محصول د امنیت ګروپ تنظیم کولو ته اجازه ورکوي tag (SGT) نقشه کول. دا خصوصیت SGT د یو مشخص فرعي نیټ ټولو کوربه ادرسونو سره تړلی. یوځل چې دا نقشه پلي شي ، د سیسکو ټرسټ سیک SGT په هر راتلونکي کڅوړه باندې تحمیلوي چې د سرچینې IP پته لري چې د ټاکل شوي فرعي شبکې پورې اړه لري.

د SGT نقشه کولو لپاره محدودیتونه
لاندې کمانډ د کوربه IP ترتیب لپاره ملاتړ نه کوي: Device(config)#cts role-based sgt-map 0.0.0.0 sgt 1000

اوورview د Subnet-to-SGT نقشه کول

• Subnet-to-SGT نقشه یو SGT د یو مشخص فرعي نیټ ټولو کوربه ادرسونو سره تړلی. د سیسکو ټرسټ سیک SGT په راتلونکي پاکټ باندې تحمیلوي کله چې د کڅوړې سرچینې IP پته په ټاکل شوي فرعي نیټ پورې اړه ولري. subnet او SGT د CLI سره مشخص شوي ديcts role-based sgt-map net_address/prefix sgt sgt_number د نړیوال تنظیم کولو قومانده. یو واحد کوربه هم د دې کمانډ سره نقشه کیدی شي.
• په IPv4 شبکو کې، د امنیت تبادلې پروتوکول (SXP)v3، او نور وروستي نسخې، کولی شي د SXPv3 همکارانو څخه د subnet net_address/prefix تارونه ترلاسه او پارس کړي. د SXP پخوانۍ نسخې د SXP اوریدونکي ملګري ته د صادرولو دمخه د فرعي نیټ مختګ د کوربه بانډونو سیټ ته بدلوي.
• د سبنیټ پابندۍ جامد دي، د فعال کوربه زده کړه نشته. دوی په محلي توګه د SGT تطبیق او SGACL پلي کولو لپاره کارول کیدی شي. کڅوړې tagد فرعي نیټ څخه تر SGT نقشه کولو لخوا ged په Layer 2 یا Layer 3 Cisco TrustSec لینکونو کې تبلیغ کیدی شي.
• د IPv6 شبکو لپاره، SXPv3 نشي کولی د SXPv2 یا SXPv1 ملګرو ته د فرعي نیټ بندیز صادر کړي.

اوورview د VLAN-to-SGT نقشه

• د VLAN-to-SGT نقشه کولو ځانګړتیا SGT د ټاکل شوي VLAN څخه پاکټونو سره تړلې ده. دا له میراث څخه د Cisco TrustSec وړ وړ شبکو ته مهاجرت اسانه کوي.
• د VLAN-to-SGT پابند د سره ترتیب شوی cts role-based sgt-map vlan-list د نړیوال تنظیم کولو قومانده.
• کله چې VLAN ته یوه ګیټ وے ټاکل شوی وي چې د سیسکو ټرسټسیک وړ سویچ کې سویچ شوی مجازی انٹرفیس (SVI) وي ، او د IP وسیلې تعقیب په دې سویچ کې فعال شوی وي ، نو سیسکو ټرسټ سیک کولی شي د هر فعال کوربه لپاره IP-to-SGT پابند رامینځته کړي. په هغه VLAN کې د SVI فرعي نیټ ته نقشه شوې.
• د فعال VLAN کوربه لپاره IP-SGT پابندونه د SXP اوریدونکو ته صادریږي. د هر نقشه شوي VLAN لپاره بندیزونه د IP-to-SGT جدول کې داخل شوي چې د VRF سره تړاو لري VLAN د هغې د SVI یا لخوا نقشه شوی. cts role-based l2-vrf قومانده
• د VLAN-to-SGT پابندۍ د ټولو پابندۍ میتودونو کې ترټولو ټیټ لومړیتوب لري او له پامه غورځول کیږي کله چې د نورو سرچینو څخه پابندۍ ترلاسه کیږي ، لکه د SXP یا CLI کوربه تشکیلاتو څخه. د پابندۍ لومړیتوبونه د پابند سرچینې لومړیتوبونو برخه کې لیست شوي دي.

د محصول کارولو لارښوونې

د Subnet-to-SGT نقشه ترتیب کول

1. د وسیلې CLI انٹرفیس ته لاسرسی ومومئ.
2. په کارولو سره د ترتیب کولو حالت ته ننوځئ config قومانده
3. د subnet-to-SGT نقشه تنظیم کولو لپاره لاندې کمانډ اجرا کړئ:

cts role-based sgt-map net_address/prefix sgt sgt_number

1. پر ځای net_address/prefix د فرعي نیټ پته او مخکینۍ اوږدوالی سره چې تاسو یې نقشه کول غواړئ (د مثال په توګه، 192.168.1.0/24).
2. پر ځای sgt_number د مطلوب امنیتي ډلې سره tag شمیره
3. د تنظیم کولو پلي کولو لپاره Enter فشار ورکړئ.
4. د ترتیب کولو حالت څخه وځئ.

د VLAN-to-SGT نقشه ترتیب کول

1. 1. د وسیلې CLI انٹرفیس ته لاسرسی ومومئ.
   2. په کارولو سره د ترتیب کولو حالت ته ننوځئ config قومانده
   3. د VLAN-to-SGT نقشه تنظیم کولو لپاره لاندې کمانډ اجرا کړئ:

cts role-based sgt-map vlan-list

1. VLANs مشخص کړئ چې SGTs ته نقشه کیږي.
2. د تنظیم کولو پلي کولو لپاره Enter فشار ورکړئ.
3. د ترتیب کولو حالت څخه وځئ.

مشخصات

• ملاتړ شوي شبکې: IPv4، IPv6
• ملاتړ شوي پروتوکولونه: د امنیت تبادلې پروتوکول (SXP) v3
• د پابندۍ ملاتړ شوي میتودونه: د سبنیټ څخه SGT نقشه کول، VLAN څخه تر SGT نقشه کول

ډیری پوښتل شوي پوښتنې (FAQ)

• پوښتنه: ایا د فرعي نیټ بندیزونه په IPv2 شبکو کې SXPv1 یا SXPv6 ملګرو ته صادر کیدی شي؟
  ځواب: نه، د فرعي نیټ بانډونه یوازې په IPv3 شبکو کې د SXPv6 همکارانو ته صادر کیدی شي.
• پوښتنه: د VLAN-to-SGT پابندۍ لومړیتوب څه دی؟
  الف: د VLAN-to-SGT پابندۍ د ټولو پابندۍ میتودونو کې ترټولو ټیټ لومړیتوب لري او کله چې د نورو سرچینو څخه پابندۍ ترلاسه کیږي له پامه غورځول کیږي.

امنیتي ګروپ ته Subnet tag (SGT) نقشه یو SGT د یو مشخص فرعي شبکې ټولو کوربه ادرسونو سره تړلی. یوځل چې دا نقشه پلي شي ، د سیسکو ټرسټ سیک په هر راتلونکي کڅوړه کې SGT پلي کوي چې د سرچینې IP پته لري چې د ټاکل شوي فرعي شبکې پورې اړه لري.

د SGT نقشه کولو لپاره محدودیتونه

د Subnet-to-SGT نقشه کولو لپاره محدودیتونه

• د IPv4 فرعي شبکه د /31 مخکیني سره نشي پراخ کیدی.
• د Subnet کوربه پتې نشي کولی د امنیت ګروپ پورې تړلی وي Tags (SGT)s کله چې د شبکې نقشه د پابندۍ پیرامیټر په ټاکل شوي فرعي نیټونو کې د فرعي نیټو کوربه توب له مجموعي شمیر څخه کم وي، یا کله چې پابندۍ 0 وي.
• د IPv6 پراختیا او تبلیغ یوازې هغه وخت پیښیږي کله چې د امنیت تبادلې پروتوکول (SXP) سپیکر او اوریدونکي SXPv3 یا نور وروستي نسخې پرمخ وړي.

د ډیفالټ روټ SGT نقشه کولو لپاره محدودیت

• د ډیفالټ روټ ترتیب یوازې د سبنټ /0 سره منل کیږي. د سبنټ /0 پرته یوازې کوربه ip ته ننوتل لاندې پیغام ښیې:

د SGT نقشه کولو په اړه معلومات

دا برخه د SGT نقشه کولو په اړه معلومات وړاندې کوي.

اوورview

اوورview د Subnet-to-SGT نقشه کول
Subnet-to-SGT نقشه یو SGT د یو مشخص فرعي نیټ ټولو کوربه ادرسونو سره تړلی. د سیسکو ټرسټ سیک SGT په راتلونکي پاکټ باندې تحمیلوي کله چې د کڅوړې سرچینې IP پته په ټاکل شوي فرعي نیټ پورې اړه ولري. Subnet او SGT په CLI کې د cts رول پر بنسټ sgt-map net_address/prefix sgt sgt_number نړیوال ترتیب کمانډ سره مشخص شوي. یو واحد کوربه هم د دې کمانډ سره نقشه کیدی شي. په IPv4 شبکو کې، د امنیت تبادلې پروتوکول (SXP)v3، او نور وروستي نسخې، کولی شي د SXPv3 همکارانو څخه د subnet net_address/prefix تارونه ترلاسه او پارس کړي. د SXP پخوانۍ نسخې د SXP اوریدونکي ملګري ته د صادرولو دمخه د فرعي نیټ مختګ د کوربه بانډونو سیټ ته بدلوي.

د مثال لپارهample، د IPv4 subnet 192.0.2.0/24 په لاندې ډول پراخ شوی دی (یوازې د کوربه پتې لپاره 3 بټونه):

• کوربه ادرسونه 198.0.2.1 څخه تر 198.0.2.7 –tagged او د SXP پییر ته تبلیغ شوی.
• د شبکې او خپرونو پتې 198.0.2.0 او 198.0.2.8—نه tagged او نه تبلیغ شوی.

د دې لپاره چې د فرعي نیټ بانډونو شمیر محدود کړي SXPv3 صادرولی شي، د cts sxp نقشه کولو شبکې نقشه نړیوال ترتیب کمانډ وکاروئ. د سبنیټ پابندۍ جامد دي، د فعال کوربه زده کړه نشته. دوی په محلي توګه د SGT تطبیق او SGACL پلي کولو لپاره کارول کیدی شي. کڅوړې tagged د subnet-to-SGT نقشه کولو لخوا په Layer 2 یا Layer 3 Cisco TrustSec لینکونو کې تبلیغ کیدی شي. د IPv6 شبکو لپاره، SXPv3 نشي کولی د SXPv2 یا SXPv1 ملګرو ته د فرعي نیټ بندیز صادر کړي.

اوورview د VLAN-to-SGT نقشه
د VLAN-to-SGT نقشه کولو ځانګړتیا SGT د ټاکل شوي VLAN څخه پاکټونو سره تړلې ده. دا د میراث څخه د Cisco TrustSec وړ وړ شبکو ته مهاجرت په لاندې ډول ساده کوي:

• د وسیلو ملاتړ کوي چې د Cisco TrustSec وړ ندي مګر د VLAN وړ دي ، لکه میراث سویچونه ، بې سیم کنټرولرونه ، د لاسرسي نقطې ، VPNs او نور.
• د ټوپولوژیو لپاره شاته مطابقت چمتو کوي چیرې چې VLANs او VLAN ACLs شبکه قطع کوي ، لکه د ډیټا مرکزونو کې د سرور قطع کول.
• د VLAN-to-SGT پابند د cts رول پر بنسټ د sgt-map vlan-list نړیوال ترتیب کمانډ سره ترتیب شوی.
• کله چې VLAN ته یوه ګیټ وے ټاکل شوی وي چې د سیسکو ټرسټسیک وړ سویچ کې سویچ شوی مجازی انٹرفیس (SVI) وي ، او د IP وسیلې تعقیب په دې سویچ کې فعال شوی وي ، نو سیسکو ټرسټ سیک کولی شي د هر فعال کوربه لپاره IP-to-SGT پابند رامینځته کړي. په هغه VLAN کې د SVI فرعي نیټ ته نقشه شوې.
• د فعال VLAN کوربه لپاره IP-SGT پابندونه د SXP اوریدونکو ته صادریږي. د هر نقشه شوي VLAN لپاره بندیزونه د IP-to-SGT جدول کې داخل شوي چې د VRF سره تړاو لري VLAN د هغې SVI یا د cts رول پراساس l2-vrf کمانډ لخوا نقشه شوی.
• د VLAN-to-SGT پابندۍ د ټولو پابندۍ میتودونو کې ترټولو ټیټ لومړیتوب لري او له پامه غورځول کیږي کله چې د نورو سرچینو څخه پابندۍ ترلاسه کیږي ، لکه د SXP یا CLI کوربه تشکیلاتو څخه. د پابندۍ لومړیتوبونه د پابند سرچینې لومړیتوبونو برخه کې لیست شوي دي.

د سرچینې لومړیتوبونه پابند کول

Cisco TrustSec د سخت لومړیتوب سکیم سره د IP-SGT پابند سرچینو ترمینځ شخړې حل کوي. د مثال لپارهample، یو SGT کیدای شي د پالیسۍ سره په انٹرفیس کې پلي شي {متحرک پیژندنه peer-name | static sgt tag} Cisco Trustsec د لاسي انٹرفیس حالت کمانډ (د پیژندنې پورټ نقشه کول). د لومړیتوب د پلي کولو اوسنی حکم، له ټیټ (1) څخه تر لوړ (7) پورې، په لاندې ډول دی:

1. VLAN: پابندۍ په VLAN کې د Snooped ARP پاکټونو څخه زده شوي چې د VLAN-SGT نقشه ترتیب شوي.
2. CLI: د پته پابندۍ د cts رول پر بنسټ د sgt-map نړیوال ترتیب کمانډ IP-SGT فارم په کارولو سره ترتیب شوي.
3. SXP: پابندۍ د SXP ملګرو څخه زده شوي.
4. IP_ARP: پابندۍ زده کړل کله چې tagد ged ARP پاکټونه د CTS وړ لینک کې ترلاسه کیږي.
5. ځايي: د تصدیق شوي کوربه توبونه چې د EPM او وسیلې تعقیب له لارې زده شوي. په دې ډول پابندۍ کې انفرادي کوربه هم شامل دي چې په L2 [I] PM ترتیب شوي بندرونو کې د ARP سنوپ کولو له لارې زده شوي.
6. داخلي: د ځایی ترتیب شوي IP پتې او د وسیلې د خپل SGT ترمنځ پابندۍ.

نوټ
که چیرې د سرچینې IP پته د مختلف ټاکل شوي SGTs سره ډیری فرعي نیټ مخکیني سره سمون ولري، نو تر ټولو اوږد مختګ SGT لومړیتوب لري پرته لدې چې لومړیتوب توپیر ولري.

اصلي لاره SGT

• د ډیفالټ لارې امنیت ګروپ Tag (SGT) ډیفالټ لارو ته د SGT شمیره ورکوي.
• Default Route هغه لاره ده چې د ټاکل شوې لارې سره سمون نه خوري او له همدې امله د وروستي ځای ځای ته لاره ده. د ډیفالټ لارې د مستقیم کڅوړو لپاره کارول کیږي چې شبکې ته په نښه شوي په روښانه توګه د روټینګ جدول کې لیست شوي ندي.

د SGT نقشه تنظیم کولو څرنګوالی

دا برخه تشریح کوي چې څنګه د SGT نقشه تنظیم کړئ.

د آلې SGT په لاسي ډول تنظیم کول
په نورمال سیسکو ټرسټ سیک عملیاتو کې ، د تصدیق کولو سرور د وسیلې څخه رامینځته شوي پاکټونو لپاره وسیلې ته SGT ګماري. تاسو کولی شئ په لاسي ډول یو SGT د کارولو لپاره تنظیم کړئ که چیرې د تصدیق سرور د لاسرسي وړ نه وي ، مګر د تصدیق کولو سرور لخوا ټاکل شوی SGT به په لاسي ډول ټاکل شوي SGT ته لومړیتوب ورکړي.

په وسیله کې د SGT په لاسي ډول تنظیم کولو لپاره، دا دنده ترسره کړئ:

کړنلاره

	امر or عمل	موخه
1 ګام	فعالول	د امتیاز لرونکي EXEC حالت فعالوي.

	ExampLe: وسیله# فعالول	• که غوښتل شوي وي خپل پټنوم دننه کړئ.
2 ګام	ټرمینل تنظیم کړئ ExampLe: وسیله# ټرمینل تنظیم کړئ	د نړیوال ترتیب حالت ته ننوځي.
3 ګام	cts sgt tag ExampLe: وسیله (تشکیل) # cts sgt 1234	د Cisco TrustSec لپاره SXP فعالوي.
4 ګام	وتل ExampLe: وسیله (تشکیل) # وتل	د نړیوال ترتیب کولو حالت څخه وځي او د امتیاز لرونکي EXEC حالت ته راستنیږي

د Subnet-to-SGT نقشه ترتیب کول

کړنلاره

	امر or عمل	موخه
1 ګام	فعالول ExampLe: وسیله# فعالول	د امتیاز لرونکي EXEC حالت فعالوي. • که غوښتل شوي وي خپل پټنوم دننه کړئ.
2 ګام	ټرمینل تنظیم کړئ ExampLe: وسیله# ټرمینل تنظیم کړئ	د نړیوال ترتیب حالت ته ننوځي.
3 ګام	د cts sxp نقشه کولو شبکه - نقشه پابندۍ ExampLe: وسیله (تشکیل) # cts sxp نقشه کولو شبکه - نقشه 10000	• Subnet د SGT نقشه کولو کوربه شمیرنې محدودیت ته تنظیموي. د پابندۍ دلیل د فرعي نیټ IP کوربه توب اعظمي شمیر مشخص کوي کوم چې SGTs ته پابند کیدی شي او د SXP لیستونکي ته صادر شي. • پابندۍ — (0 څخه تر 65,535) ډیفالټ 0 دی (هیڅ پراخوالی ندی ترسره شوی)
4 ګام	د cts رول پر بنسټ sgt-نقشه ipv4_address/prefix ساګټ شمیره ExampLe: وسیله (تشکیل) # د cts رول پر بنسټ sgt-نقشه 10.10.10.10/29 sgt 1234	(IPv4) د CIDR نوټیشن کې فرعي نیټ مشخص کوي. • د SGT نقشه کولو لپاره د Subnet غیر تنظیم کولو لپاره د کمانډ هیڅ ډول وکاروئ. په 2 ګام کې مشخص شوي بندیزونه باید په فرعي نیټ کې د کوربه ادرسونو شمیر سره سمون ولري یا ډیر وي (د شبکې او نشراتي ادرسونو پرته). د sgt شمیره کلیدي کلمه امنیت ټاکي

		ګروپ Tag هر کوربه ته پابند وي پته په ټاکل شوي فرعي نیټ کې. • ipv4_address — د IPv4 شبکې پته په ډاټډ ډیسیمیل نوټیشن کې مشخص کوي. • مخفف - (0 څخه تر 30) د شبکې پته کې د بټونو شمیر مشخص کوي. •  ساګټ شمېره—(0–65,535) امنیتي ګروپ مشخصوي Tag (SGT) شمیره.
5 ګام	د cts رول پر بنسټ sgt-نقشه ipv6_address::prefix ساګټ شمیره ExampLe: وسیله (تشکیل) # د cts رول پر بنسټ sgt-نقشه 2020::/64 sgt 1234	(IPv6) د کولن هیکساډیسیمل نوټیشن کې فرعي نیټ مشخص کوي. د SGT نقشه کولو لپاره سبنټ غیر تنظیم کولو لپاره د کمانډ هیڅ ډول وکاروئ. په 2 ګام کې مشخص شوي بندیزونه باید په فرعي نیټ کې د کوربه ادرسونو شمیر سره سمون ولري یا ډیر وي (د شبکې او نشراتي ادرسونو پرته). د sgt شمیره کلیدي کلمه د امنیت ګروپ مشخصوي Tag په ټاکل شوي فرعي نیټ کې هر کوربه پتې ته پابند وي. • ipv6_address — د کولن هیکساډیسیمل نوټیشن کې د IPv6 شبکې پته مشخص کوي. • مخفف - (0 څخه تر 128) د شبکې پته کې د بټونو شمیر مشخص کوي. •  ساګټ شمېره—(0–65,535) امنیتي ګروپ مشخصوي Tag (SGT) شمیره.
6 ګام	وتل ExampLe: وسیله (تشکیل) # وتل	د نړیوال ترتیب کولو حالت څخه وځي او د امتیاز لرونکي EXEC حالت ته راستنیږي..

د VLAN-to-SGT نقشه ترتیب کول

په Cisco TrustSec وسیلې کې د VLAN-SGT نقشه کولو تنظیم کولو لپاره کاري جریان.

• په وسیله کې VLAN جوړ کړئ د ورته VLAN_ID د راتلونکي VLAN سره.
• په وسیله کې د VLAN لپاره SVI رامینځته کړئ ترڅو د پای ټکي پیرودونکو لپاره ډیفالټ دروازه وي.
• د VLAN ترافیک ته د SGT پلي کولو لپاره وسیله تنظیم کړئ.
• په وسیله کې د IP وسیله تعقیب فعال کړئ.
• د VLAN سره د وسیلې تعقیب پالیسي ضمیمه کړئ.

نوټ
په څو-سویچ شبکه کې، د SISF پر بنسټ د وسیلې تعقیب د دې وړتیا برابروي چې د بائنډ جدول ننوتونه د سویچونو تر منځ چې د فیچر پرمخ وړي توزیع کړي. دا ګومان کوي ​​چې پابند ننوتل په سویچونو کې رامینځته شوي چیرې چې کوربه د لاسرسي بندر کې څرګندیږي ، او د کوربه لپاره هیڅ ننوتل نه رامینځته کیږي چې د ټرنک بندر کې څرګندیږي. د دې لپاره په څو-سوئچ ترتیب کې ترلاسه کولو لپاره، موږ وړاندیز کوو چې تاسو بله پالیسي ترتیب کړئ او د ټرانک پورټ سره یې وصل کړئ، لکه څنګه چې د ملټي سویچ شبکې تنظیم کولو کې تشریح شوي ترڅو د ټرنک پورټ طرزالعمل څخه د پابند ننوتلو رامینځته کولو مخه ونیسي، د SISF ترتیب کولو کې. - د امنیت تنظیم کولو لارښود د وسیلې تعقیب څپرکی.

• تصدیق کړئ چې د VLAN-to-SGT نقشه په وسیله کې پیښیږي.

کړنلاره

	امر or عمل	موخه
1 ګام	فعالول ExampLe: وسیله# فعالول	د امتیاز لرونکي EXEC حالت فعالوي. • که غوښتل شوي وي خپل پټنوم دننه کړئ.
2 ګام	ټرمینل تنظیم کړئ ExampLe: وسیله# ټرمینل تنظیم کړئ	د نړیوال ترتیب حالت ته ننوځي.
3 ګام	vlan vlan_id ExampLe: وسیله (تشکیل) # vlan 100	VLAN 100 د TrustSec وړ وړ ګیټ ویز وسیله رامینځته کوي او VLAN ته ننوځي د تنظیم کولو حالت.
4 ګام	[نه] ‍‍‍بندول ExampLe: وسیله(config-vlan)# نه بند	د VLAN 100 احکام.
5 ګام	وتل ExampLe: وسیله(config-vlan)# وتل	د VLAN ترتیب کولو حالت څخه وځي او نړیوال ترتیب حالت ته راستنیږي.
6 ګام	انٹرفیس سلاټ/پورټ ډول ExampLe: وسیله (تشکیل) # انٹرفیس vlan 100	د انٹرفیس ډول مشخص کوي او د انٹرفیس ترتیب کولو حالت ته ننوځي.
7 ګام	IP پته سلاټ/پورټ ExampLe: وسیله(config-if)# د IP پته 10.1.1.2 255.0.0.0	د VLAN 100 لپاره سویچ شوی مجازی انٹرفیس (SVI) تنظیموي.

8 ګام	[نه ] ‍‍‍بندول ExampLe: وسیله(config-if)# نه بند	SVI فعالوي.
9 ګام	وتل ExampLe: وسیله(config-if)# وتل	د انٹرفیس ترتیب کولو حالت څخه وځي او نړیوال ترتیب حالت ته راستنیږي.
10 ګام	د cts رول پر بنسټ sgt-map vlan-list vlan_id ساګټ sgt_number ExampLe: وسیله (تشکیل) # د cts رول پر بنسټ sgt-map vlan-list 100 sgt 10	ټاکل شوي SGT ټاکل شوي VLAN ته ټاکي.
11 ګام	د وسیلې تعقیب پالیسي د پالیسۍ نوم ExampLe: وسیله (تشکیل) # د وسایلو د تعقیبولو پالیسي پالیسي 1	پالیسي مشخصوي او د وسیلې تعقیب پالیسي ترتیب کولو حالت ته ننوځي.
12 ګام	تعقیب فعالول ExampLe: وسیلې(config-device-tracking)# تعقیب فعالول	د پالیسي خاصیت لپاره د ډیفالټ وسیلې تعقیب تنظیمات بدلوي.
13 ګام	وتل ExampLe: وسیلې(config-device-tracking)# وتل	د وسیلې تعقیبولو پالیسي ترتیب کولو حالت څخه وځي او نړیوال ترتیب حالت ته راستنیږي.
14 ګام	vlan ترتیب vlan_id ExampLe: وسیله (تشکیل) # vlan ترتیب 100	VLAN مشخص کوي چې ورسره به د وسیلې تعقیب پالیسي ضمیمه شي ، او د VLAN ترتیب حالت ته ننوځي.
15 ګام	د وسیلې تعقیب ضمیمه پالیسي د پالیسۍ نوم ExampLe: وسیله(config-vlan-config)# د وسیلې تعقیب ضمیمه پالیسي 1	ټاکل شوي VLAN ته د وسیلې تعقیب پالیسي ضمیمه کوي.
16 ګام	پای ExampLe: وسیله(config-vlan-config)# پای	د VLAN ترتیب کولو حالت څخه وځي او د امتیاز لرونکي EXEC حالت ته راستنیږي.
17 ګام	د cts رول پر بنسټ sgt-نقشه وښایاست {ipv4_netaddr | ipv4_netaddr/prefix | ipv6_netaddr | ipv6_netaddr/prefix |ټول [ipv4 |ipv6] |کوربه {ipv4 addr |ipv6_addr } |لنډیز [ ipv4 |ipv6 ]	(اختیاري) د VLAN-to-SGT نقشه ښیي.

	ExampLe: وسیله# د cts رول پر بنسټ sgt-نقشه ټول وښایاست
18 ګام	د وسیلې تعقیب پالیسي وښایاست د پالیسۍ نوم ExampLe: وسیله# د وسیلې تعقیبولو پالیسي پالیسي ښکاره کړئ1	(اختیاري) د اوسني پالیسۍ ځانګړتیاوې ښیې.

د هارډویر کیسټور تقلید کول

په هغه حالتونو کې چې د هارډویر کیسټور شتون نلري یا د کارونې وړ نه وي ، تاسو کولی شئ د کیسټور سافټویر ایمولیشن کارولو لپاره سویچ تنظیم کړئ. د سافټویر کیسټور کارولو تنظیم کولو لپاره، دا دنده ترسره کړئ:

کړنلاره

	امر or عمل	موخه
1 ګام	فعالول ExampLe: وسیله# فعالول	د امتیاز لرونکي EXEC حالت فعالوي. • که غوښتل شوي وي خپل پټنوم دننه کړئ.
2 ګام	ټرمینل تنظیم کړئ ExampLe: وسیله# ټرمینل تنظیم کړئ	د نړیوال ترتیب حالت ته ننوځي.
3 ګام	cts keystore emulate ExampLe: وسیله (تشکیل) # cts keystore emulate	د هارډویر کیسټور پرځای د کیسټور سافټویر ایمولیشن کارولو لپاره سویچ تنظیموي.
4 ګام	وتل ExampLe: وسیله (تشکیل) # وتل	د ترتیب کولو حالت څخه وځي.
5 ګام	keystore ښودل ExampLe: وسیله# keystore ښودل	د کیسټور حالت او مینځپانګې ښیې. ساتل شوي رازونه نه ښکاره کیږي.

د ډیفالټ روټ SGT ترتیب کول

مخکې له دې چې تاسو پیل کړئ
ډاډ ترلاسه کړئ چې تاسو دمخه د ip روټ 0.0.0.0 کمانډ په کارولو سره په وسیله کې ډیفالټ لاره جوړه کړې ده. که نه نو، ډیفالټ لاره (کوم چې د ډیفالټ روټ SGT سره راځي) یو نامعلوم منزل ترلاسه کوي او له همدې امله د وروستي ځای ځای به CPU ته اشاره وکړي.

کړنلاره

	امر or عمل	موخه
1 ګام	فعالول ExampLe: وسیله> فعال کړئ	د امتیاز لرونکي EXEC حالت فعالوي. • که غوښتل شوي وي خپل پټنوم دننه کړئ.
2 ګام	ټرمینل تنظیم کړئ ExampLe: وسیله # ترتیب ټرمینل	د نړیوال ترتیب حالت ته ننوځي.
3 ګام	د cts رول پر بنسټ sgt-نقشه 0.0.0.0/0 sgt شمیره ExampLe: وسیله(تشکیل)# cts رول پر بنسټ sgt-map 0.0.0.0/0 sgt 3	د ډیفالټ لارې لپاره د SGT شمیره مشخص کوي. د اعتبار وړ ارزښتونه له 0 څخه تر 65,519 پورې دي. نوټ                    • د host_address/subnet کیدای شي د IPv4 پته وي (0.0.0.0/0) یا IPv6 پته (0:0::/0) • د ډیفالټ لاره تشکیلات یوازې د فرعي نیټ سره منل کیږي /0. د سبنټ /0 پرته یوازې کوربه ip ته ننوتل لاندې پیغام ښیې: وسیله (تشکیل) #cts د رول پر بنسټ sgt-نقشه 0.0.0.0 sgt 1000 د ډیفالټ روټ ترتیب د کوربه ip لپاره نه ملاتړ کیږي
4 ګام	وتل ExampLe: وسیله(config)# وتل	د نړیوال ترتیب کولو حالت څخه وځي.

د SGT نقشه تایید کول

لاندې برخې ښیې چې څنګه د SGT نقشه تصدیق کړئ:

د Subnet-to-SGT نقشه کولو ترتیب تصدیق کول
د Subnet-to-SGT نقشې ترتیب کولو معلوماتو ښودلو لپاره، د لاندې ښودلو کمانډونو څخه یو وکاروئ:

امر	موخه
د cts sxp اړیکې ښکاره کړئ	د SXP سپیکر او اوریدونکي اړیکې د دوی عملیاتي حالت سره ښیې.
د cts sxp sgt-نقشه وښایاست	د SXP اوریدونکو ته صادر شوي IP ته SGT پابندۍ ښکاره کوي.
د چلولو ترتیب ښکاره کړئ	تاییدوي چې د فرعي نیټ څخه تر SGT ترتیب کولو کمانډونه په روان ترتیب کې دي file.

د VLAN-to-SGT نقشه تصدیق کول

د VLAN-to-SGT ترتیب کولو معلوماتو ښودلو لپاره، لاندې ښودل شوي کمانډونه وکاروئ:

جدول 1:

امر	موخه
د وسیلې تعقیب پالیسي وښایاست	د وسیلې تعقیب پالیسۍ اوسني پالیسۍ ځانګړتیاوې ښیې.
د cts رول پر بنسټ sgt-نقشه وښایاست	د IP پتې څخه تر SGT پابندۍ ښیې.

د ډیفالټ روټ SGT ترتیب تایید کول

د ډیفالټ روټ SGT ترتیب تایید کړئ:
وسیله# د رول پراساس sgt-نقشه ښیې ټول فعال IPv4-SGT پابندۍ معلومات

ترتیب Exampد SGT نقشه کولو لپاره

لاندې برخې د ترتیب ترتیب ښیيampد SGT نقشه اخیستل:

Example: په لاسي ډول د SGT وسیله تنظیم کول

• وسیله # ترتیب ټرمینل
• وسیله (تشکیل) # cts sgt 1234
• وسیله(config)# وتل

Example: د Subnet-to-SGT نقشه کولو لپاره ترتیب
لاندې پخوانيample ښیي چې څنګه د SXPv4 (Device3 او Device1) چلولو وسیلو ترمینځ IPv2 Subnet-to-SGT نقشه تنظیم کړئ:

1. د وسیلو تر مینځ د SXP سپیکر / اوریدونکي پییر کول تنظیم کړئ.
   • وسیله 1# ټرمینل تنظیم کړئ
   • Device1(config)# cts sxp فعالوي
   • وسیله 1(تشکیل) # cts sxp ډیفالټ سرچینه - ip 1.1.1.1
   • وسیله1(تشکیل) # cts sxp ډیفالټ پټنوم 1syzygy1
   • Device1(config)# cts sxp پییر 2.2.2.2 پټنوم ډیفالټ حالت سیمه ایز سپیکر
2. Device2 د Device1 د SXP اوریدونکي په توګه تنظیم کړئ.
   • Device2(config)# cts sxp فعالوي
   • وسیله 2(تشکیل) # cts sxp ډیفالټ سرچینه - ip 2.2.2.2
   • وسیله2(تشکیل) # cts sxp ډیفالټ پټنوم 1syzygy1
   • Device2(config)# cts sxp پییر 1.1.1.1 پټنوم ډیفالټ حالت سیمه ایز اوریدونکی
3. په Device2 کې، تصدیق کړئ چې د SXP پیوستون کار کوي:
   وسیله2# د cts sxp پیوستون لنډیز ښکاره کوي | شامل دي 1.1.1.1 1.1.1.1 2.2.2.2 په 3:22:23:18 (dd:hr:mm:sec)
4. فرعي شبکې تنظیم کړئ چې په Device1 کې پراخ شي.
   • وسیله1(تشکیل) # cts sxp نقشه کولو شبکه - نقشه 10000
   • Device1(config)# cts رول پر بنسټ sgt-map 10.10.10.0/30 sgt 101
   • Device1(config)# cts رول پر بنسټ sgt-map 11.11.11.0/29 sgt 11111
   • Device1(config)# cts رول پر بنسټ sgt-map 192.168.1.0/28 sgt 65000
5. په Device2 کې، د Device1 څخه د فرعي نیټ څخه تر SGT توسیع تایید کړئ. د 10.10.10.0/30 فرعي شبکې لپاره باید دوه پراخوالی وي، د 11.11.11.0/29 فرعي شبکې لپاره شپږ پراخوالی، او د 14/192.168.1.0 فرعي شبکې لپاره 28 پراخوالی.
   Device2# cts sxp sgt-نقشې لنډه ښکاره کوي | 101|11111|65000 شامل دي
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
   • IPv4, SGT:
6. په وسیله 1 کې د توسعې شمیر تایید کړئ:
   وسیله 1# د cts sxp sgt-نقشه ښیې
   • IP-SGT نقشه پراخه شوې: 22
   • هیڅ IP-SGT نقشه شتون نلري
7. په Device1 او Device2 کې تشکیلات خوندي کړئ او د نړیوال ترتیب کولو حالت څخه وځئ.
   Device1(config)# کاپي run-config startup-config
   وسیله1(تشکیل)# وتل
   Device2(config)# کاپي run-config startup-config
   وسیله2(تشکیل)# وتل

ExampLe:
د لاسرسي لینک له لارې د واحد کوربه لپاره د VLAN-to-SGT نقشه کولو لپاره ترتیب.

په لاندې ډول کېample، یو واحد کوربه د لاسرسي وسیله کې VLAN 100 سره نښلوي. په TrustSec وسیلې کې بدل شوی مجازی انٹرفیس د VLAN 100 پای ټکي (IP پته 10.1.1.1) لپاره ډیفالټ ګیټس دی. د TrustSec وسیله د امنیت ګروپ تطبیقوي Tag (SGT) 10 د VLAN 100 څخه په پاکټونو کې.

1. د لاسرسي وسیله کې VLAN 100 جوړ کړئ.
   • لاسرسي_آلې # ترتیب ټرمینل
   • لاسرسي_آلې(تشکیل) # vlan 100
   • لاسرسي_آلې(config-vlan)# هیڅ بند نه دی
   • لاسرسي_آلې(config-vlan)# وتل
   • لاسرسي_آلې(تشکیل)#
2. د TrustSec وسیلې ته د لاسرسي لینک په توګه انٹرفیس تنظیم کړئ. د پای ټکی لپاره تشکیلات
   1. د لاسرسي بندر په دې سابقه کې پریښودل شويample.
   2. لاسرسي_آلې(تشکیل)# انٹرفیس ګیګابایټ ایترنیټ 6/3
   3. لاسرسي_آلې(config-if)# سویچپورټ
   4. لاسرسي_آلې(config-if)# سویچپورټ حالت ته لاسرسی
   5. لاسرسي_آلې(config-if)# سویچپورټ لاسرسی vlan 100
3. په TrustSec وسیله کې VLAN 100 جوړ کړئ.
   • TS_device(config) # vlan 100
   • TS_device(config-vlan)# هیڅ بند نه دی
   • TS_device(config-vlan)# پای
   • TS_وسیله#
4. د راتلوونکي VLAN 100 لپاره د دروازې په توګه SVI جوړ کړئ.
   • TS_device(config)# انٹرفیس vlan 100
   • TS_device(config-if)# IP پته 10.1.1.2 255.0.0.0
   • TS_device(config-if)# هیڅ بند نه دی
   • TS_device(config-if)# پای
   • TS_وسیله(تشکیل)#
5. د امنیت ګروپ وټاکئ Tag (SGT) 10 په VLAN 100 کې کوربه ته.
   • TS_device(config)# cts رول پر بنسټ sgt-map vlan 100 sgt 10
6. په TrustSec وسیله کې د IP وسیلې تعقیب فعال کړئ. ډاډ ترلاسه کړئ چې دا کار کوي.
   • TS_device(config)# IP وسیلې تعقیب
   • TS_device# د ip آلې ټول تعقیب وښيي
7. (اختیاري) د پای ټکي څخه ډیفالټ ګیټس پینګ کړئ (په دې مثال کېample، کوربه IP پته 10.1.1.1). تایید کړئ چې SGT 10 د VLAN 100 کوربه ته نقشه کیږي.
   

Example: د هارډویر کیسټور تقلید
دا پخوانیample ښیې چې څنګه د سافټویر کیسټور کارول تنظیم او تایید کړئ:

Example: د وسیلې روټ SGT ترتیب کول

• وسیله # ترتیب ټرمینل
• وسیله(تشکیل)# cts رول پر بنسټ sgt-map 0.0.0.0/0 sgt 3
• وسیله(config)# وتل

د امنیت ګروپ لپاره د فیچر تاریخ Tag نقشه کول

• دا جدول په دې ماډل کې تشریح شوي ځانګړتیاو لپاره خوشې او اړوند معلومات چمتو کوي.
• دا ځانګړتیاوې په ټولو خپرونو کې شتون لري وروسته له هغه چې دوی معرفي شوي، پرته لدې چې بل ډول یادونه وشي.

خوشې کول	فیچر	فیچر معلومات
سیسکو IOS XE ایوریسټ 16.5.1a	امنیتي ګروپ Tag نقشه کول	د SGT نقشه کولو لپاره سبنټ یو SGT د ټاکل شوي فرعي نیټ ټولو کوربه ادرسونو سره تړلی دی. یوځل چې دا نقشه پلي شي ، د سیسکو ټرسټ سیک په هر راتلونکي کڅوړه کې SGT پلي کوي چې د سرچینې IP پته لري چې د ټاکل شوي فرعي شبکې پورې اړه لري.
سیسکو IOS XE جبرالټر 16.11.1	د اصلي لارې SGT طبقه بندي	ډیفالټ لاره SGT یو SGT ګماري tag د هغو لارو شمیر چې د یوې ټاکلې لارې سره سمون نه لري.

د پلیټ فارم او سافټویر عکس ملاتړ په اړه معلوماتو موندلو لپاره د سیسکو فیچر نیویګیټر وکاروئ. د سیسکو فیچر نیویګیټر ته د لاسرسي لپاره ، لاړشئ http://www.cisco.com/go/cfn.

اسناد / سرچینې

د CISCO د امنیت ګروپ ترتیب کول Tag نقشه کول [pdf] د کارونکي لارښود د امنیت ګروپ تنظیم کول Tag نقشه کول، ترتیب کول، امنیتي ګروپ Tag نقشه کول، ګروپ Tag نقشه کول، Tag نقشه کول

حوالې

• د کارن لارښود