CISCO Configuring Security Group Tag Харитасозӣ
Маълумот оид ба маҳсулот
Маҳсулот имкон медиҳад, ки гурӯҳи амниятро танзим кунад tag (SGT) харитасозӣ. Ин хусусият SGT-ро ба ҳама суроғаҳои мизбони зершабакаи муайян мепайвандад. Пас аз татбиқи ин харитасозӣ, Cisco TrustSec SGT-ро ба ҳама бастаи воридотӣ, ки суроғаи IP-и манбаи ба зершабакаи муайяншуда тааллуқ дорад, мегузорад.
Маҳдудиятҳо барои харитасозии SGT
Фармони зерин барои конфигуратсияи IP ҳост дастгирӣ намешавад: Device(config)#cts role-based sgt-map 0.0.0.0 sgt 1000
Барview Харитаи зершабака ба SGT
- Харитасозии зершабакаи SGT SGT-ро ба ҳама суроғаҳои мизбони зершабакаи мушаххас мепайвандад. Cisco TrustSec SGT-ро ба бастаи воридотӣ мегузорад, вақте ки суроғаи IP-и манбаи пакет ба зершабакаи муайян тааллуқ дорад. Зершабака ва SGT дар CLI бо
cts role-based sgt-map net_address/prefix sgt sgt_numberфармони конфигуратсияи глобалӣ. Як ҳост низ метавонад бо ин фармон харита карда шавад. - Дар шабакаҳои IPv4, Security Exchange Protocol (SXP)v3 ва версияҳои навтарин метавонанд сатрҳои зершабакаи net_address/prefix-ро аз ҳамсолони SXPv3 қабул ва таҳлил кунанд. Версияҳои қаблии SXP префикси зершабакаро пеш аз содир кардани онҳо ба ҳамсолони шунавандаи SXP ба маҷмӯи пайвандҳои ҳост табдил медиҳанд.
- Пайвасткуниҳои зершабақа статикӣ мебошанд, омӯхтани ҳостҳои фаъол вуҷуд надорад. Онҳо метавонанд ба таври маҳаллӣ барои ҷорӣ кардани SGT ва иҷрои SGACL истифода шаванд. Бастаҳо tagтавассути харитасозии зершабака ба SGT метавонад дар пайвандҳои қабати 2 ё қабати 3 Cisco TrustSec паҳн карда шавад.
- Барои шабакаҳои IPv6, SXPv3 пайвастҳои зершабақаро ба ҳамсолони SXPv2 ё SXPv1 содир карда наметавонад.
Барview Харитасозии VLAN-to-SGT
- Хусусияти харитасозии VLAN-to-SGT SGT-ро ба бастаҳои VLAN-и муайяншуда мепайвандад. Ин интиқолро аз мерос ба шабакаҳои Cisco TrustSec қобили осонтар мекунад.
- Пайвастагии VLAN-to-SGT бо танзим карда мешавад
cts role-based sgt-map vlan-listфармони конфигуратсияи глобалӣ. - Вақте ки ба VLAN шлюз таъин карда мешавад, ки интерфейси маҷозӣ (SVI) дар коммутатори Cisco TrustSec қобили истифода аст ва пайгирии IP дастгоҳ дар он коммутатор фаъол аст, Cisco TrustSec метавонад барои ҳама гуна ҳости фаъол пайвасти IP-to-SGT эҷод кунад. дар он VLAN ба зершабакаи SVI харита шудааст.
- Пайвастҳои IP-SGT барои ҳостҳои фаъоли VLAN ба шунавандагони SXP содир карда мешаванд. Пайвастшавӣ барои ҳар як VLAN-и хариташуда ба ҷадвали IP-to-SGT, ки бо VRF алоқаманд аст, ворид карда мешавад, ки VLAN аз ҷониби SVI ё тавассути он харита шудааст.
cts role-based l2-vrfфармон. - Пайвастҳои VLAN-to-SGT дар байни ҳамаи усулҳои ҳатмӣ афзалияти пасттарин доранд ва ҳангоми қабули пайвандҳо аз дигар манбаъҳо, ба монанди конфигуратсияҳои SXP ё CLI, нодида гирифта мешаванд. Афзалиятҳои ҳатмӣ дар бахши Афзалиятҳои манбаи ҳатмӣ номбар шудаанд.
Дастурҳои истифодаи маҳсулот
Танзими харитасозии зершабака ба SGT
- Ба интерфейси CLI дастгоҳ дастрасӣ пайдо кунед.
- Бо истифода аз режими конфигуратсияро ворид кунед
configфармон. - Барои танзим кардани харитасозии зершабака ба SGT фармони зеринро иҷро кунед:
cts role-based sgt-map net_address/prefix sgt sgt_number- Иваз кардан
net_address/prefixбо суроғаи зершабака ва дарозии префикс, ки шумо мехоҳед харита кунед (масалан, 192.168.1.0/24). - Иваз кардан
sgt_numberбо гурӯҳи амнияти дилхоҳ tag рақам. - Барои татбиқ кардани конфигуратсия, Enter-ро пахш кунед.
- Аз реҷаи конфигуратсия хориҷ шавед.
Танзими харитасозии VLAN-ба-SGT
-
- Ба интерфейси CLI дастгоҳ дастрасӣ пайдо кунед.
- Бо истифода аз режими конфигуратсияро ворид кунед
configфармон. - Барои танзим кардани харитасозии VLAN-to-SGT фармони зеринро иҷро кунед:
cts role-based sgt-map vlan-list- VLANҳоеро, ки ба SGTs харита карда мешаванд, муайян кунед.
- Барои татбиқ кардани конфигуратсия, Enter-ро пахш кунед.
- Аз реҷаи конфигуратсия хориҷ шавед.
Мушаххасоти
- Шабакаҳои дастгирӣшаванда: IPv4, IPv6
- Протоколҳои дастгирӣшаванда: Протоколи мубодилаи амният (SXP) v3
- Усулҳои дастгиришавандаи пайвастшавӣ: Харитасозии зершабака ба SGT, харитасозии VLAN ба SGT
Саволҳои зуд-зуд пурсидашаванда (FAQ)
- Савол: Оё пайвандҳои зершабақаро ба ҳамсолони SXPv2 ё SXPv1 дар шабакаҳои IPv6 содир кардан мумкин аст?
Ҷавоб: Не, пайвандҳои зершабақаро танҳо ба ҳамсолони SXPv3 дар шабакаҳои IPv6 содир кардан мумкин аст. - Савол: Афзалияти пайвандҳои VLAN-to-SGT чист?
A: Пайвастшавиҳои VLAN-to-SGT дар байни ҳама усулҳои ҳатмӣ афзалияти пасттарин доранд ва ҳангоми қабули пайвандҳо аз дигар манбаъҳо сарфи назар карда мешаванд.
Зершабакаи гурӯҳи амниятӣ tag Харитасозии (SGT) SGT-ро ба ҳама суроғаҳои мизбони зершабакаи муайян мепайвандад. Пас аз татбиқи ин харитасозӣ, Cisco TrustSec SGT-ро ба ҳама бастаи воридотӣ, ки суроғаи IP-и манбаи ба зершабакаи муайяншуда тааллуқ дорад, мегузорад.
Маҳдудиятҳо барои харитасозии SGT
Маҳдудиятҳо барои харитасозии зершабака ба SGT
- Зершабакаи IPv4 бо префикси /31 васеъ карда намешавад.
- Суроғаҳои мизбони зершабака наметавонанд ба Гурӯҳи Амният пайваст шаванд Tags (SGT) вақте ки параметри пайвастҳои харитаи шабака аз шумораи умумии ҳостҳои зершабақа дар зершабақаҳои муайяншуда камтар аст ё вақте ки пайвастшавӣ 0 аст.
- Тавсеа ва паҳнкунии IPv6 танҳо вақте рух медиҳад, ки баландгӯяк ва шунавандаи Протоколи мубодилаи Амният (SXP) SXPv3 ё версияҳои навтаринро иҷро мекунанд.
Маҳдудият барои харитасозии роҳи пешфарз SGT
- Конфигуратсияи масири пешфарз танҳо бо зершабакаи /0 қабул карда мешавад. Ворид кардани танҳо хост-ip бе зершабакаи /0 паёми зеринро нишон медиҳад:
Маълумот дар бораи харитаи SGT
Ин бахш маълумотро дар бораи харитасозии SGT пешниҳод мекунад.
Барview
Барview Харитаи зершабака ба SGT
Харитасозии зершабакаи SGT SGT-ро ба ҳама суроғаҳои мизбони зершабакаи мушаххас мепайвандад. Cisco TrustSec SGT-ро ба бастаи воридотӣ мегузорад, вақте ки суроғаи IP-и манбаи пакет ба зершабакаи муайян тааллуқ дорад. Зершабака ва SGT дар CLI бо фармони конфигуратсияи глобалии cts sgt-map net_address/prefix sgt sgt_number дар асоси нақш муайян карда шудаанд. Як ҳост низ метавонад бо ин фармон харита карда шавад. Дар шабакаҳои IPv4, Security Exchange Protocol (SXP)v3 ва версияҳои навтарин метавонанд сатрҳои зершабакаи net_address/prefix-ро аз ҳамсолони SXPv3 қабул ва таҳлил кунанд. Версияҳои қаблии SXP префикси зершабакаро пеш аз содир кардани онҳо ба ҳамсолони шунавандаи SXP ба маҷмӯи пайвандҳои ҳост табдил медиҳанд.
Барои мисолample, зершабакаи IPv4 192.0.2.0/24 ба таври зерин васеъ карда мешавад (танҳо 3 бит барои суроғаҳои ҳост):
- Суроғаҳои мизбон аз 198.0.2.1 то 198.0.2.7—tagкарда шуда, ба хамсолони SXP пахн карда мешавад.
- Суроғаҳои шабакавӣ ва пахши 198.0.2.0 ва 198.0.2.8 — не tagкарда, пропаганда карда нашудааст.
Барои маҳдуд кардани шумораи пайвастҳои зершабакаи SXPv3 метавонад содир кунад, фармони конфигуратсияи глобалии харитаи шабака-харитаи cts sxp -ро истифода баред. Пайвасткуниҳои зершабақа статикӣ мебошанд, омӯхтани ҳостҳои фаъол вуҷуд надорад. Онҳо метавонанд ба таври маҳаллӣ барои ҷорӣ кардани SGT ва иҷрои SGACL истифода шаванд. Бастаҳо tagтавассути харитасозии зершабака ба SGT метавонад дар пайвандҳои қабати 2 ё қабати 3 Cisco TrustSec паҳн карда шавад. Барои шабакаҳои IPv6, SXPv3 пайвастҳои зершабақаро ба ҳамсолони SXPv2 ё SXPv1 содир карда наметавонад.
Барview Харитасозии VLAN-to-SGT
Хусусияти харитасозии VLAN-to-SGT SGT-ро ба бастаҳои VLAN-и муайяншуда мепайвандад. Ин интиқолро аз мерос ба шабакаҳои Cisco TrustSec-ро ба таври зерин содда мекунад:
- Дастгоҳҳоеро дастгирӣ мекунад, ки ба Cisco TrustSec қобилият надоранд, вале қобилияти VLAN доранд, ба монанди коммутаторҳои кӯҳна, контроллерҳои бесим, нуқтаҳои дастрасӣ, VPN ва ғайра.
- Мутобиқати ақибро барои топологияҳое таъмин мекунад, ки дар он VLANҳо ва VLAN ACL шабакаро сегмент мекунанд, ба монанди сегментатсияи сервер дар марказҳои додаҳо.
- Пайвастагии VLAN-to-SGT бо фармони конфигуратсияи глобалии cts дар асоси нақш sgt-map vlan-list танзим карда мешавад.
- Вақте ки ба VLAN шлюз таъин карда мешавад, ки интерфейси маҷозӣ (SVI) дар коммутатори Cisco TrustSec қобили истифода аст ва пайгирии IP дастгоҳ дар он коммутатор фаъол аст, Cisco TrustSec метавонад барои ҳама гуна ҳости фаъол пайвасти IP-to-SGT эҷод кунад. дар он VLAN ба зершабакаи SVI харита шудааст.
- Пайвастҳои IP-SGT барои ҳостҳои фаъоли VLAN ба шунавандагони SXP содир карда мешаванд. Пайвастшавӣ барои ҳар як VLAN-и хариташуда ба ҷадвали IP-to-SGT, ки бо VRF алоқаманд аст, ворид карда мешавад, ки VLAN аз ҷониби SVI ё фармони cts дар асоси нақш l2-vrf харита шудааст.
- Пайвастҳои VLAN-to-SGT дар байни ҳамаи усулҳои ҳатмӣ афзалияти пасттарин доранд ва ҳангоми қабули пайвандҳо аз дигар манбаъҳо, ба монанди конфигуратсияҳои SXP ё CLI, нодида гирифта мешаванд. Афзалиятҳои ҳатмӣ дар бахши Афзалиятҳои манбаи ҳатмӣ номбар шудаанд.
Афзалиятҳои манбаи ҳатмӣ
Cisco TrustSec ихтилофҳоро дар байни манбаъҳои ҳатмии IP-SGT бо нақшаи афзалиятноки қатъӣ ҳал мекунад. Барои мисолample, SGT метавонад ба интерфейс бо сиёсати {ҳамсол номи динамикӣ | сержанти статикӣ tag} Cisco Trustsec Фармони режими интерфейси дастӣ (Харитаи порти шахсият). Тартиби татбиқи афзалиятноки ҷорӣ аз пасттарин (1) то баландтарин (7) чунин аст:
- VLAN: Пайвастшавӣ аз бастаҳои snooped ARP дар VLAN, ки харитасозии VLAN-SGT танзим шудааст, омӯхта шудааст.
- CLI: Пайвасткуниҳои суроғаҳо бо истифода аз шакли IP-SGT фармони конфигуратсияи глобалии sgt-map дар асоси нақш cts танзим карда шудаанд.
- SXP: Пайвандҳо аз ҳамсолони SXP омӯхтаанд.
- IP_ARP: Пайвасткуниҳоро кай омӯхтанд tagБастаҳои ged ARP дар истиноди CTS қобили қабул карда мешаванд.
- МАҲАЛЛӢ: Пайвасткунии ҳостҳои тасдиқшуда, ки тавассути EPM ва пайгирии дастгоҳ омӯхта мешаванд. Ин намуди ҳатмӣ инчунин ҳостҳои инфиродиро дар бар мегирад, ки тавассути snooping ARP дар бандарҳои танзимшудаи PM L2 [I] омӯхта мешаванд.
- ДОХИЛИ: Пайвастшавӣ байни суроғаҳои IP-и ба таври маҳаллӣ танзимшуда ва SGT-и худи дастгоҳ.
Шарҳ
Агар суроғаи IP-и манбаъ ба префиксҳои сершумори зершабақа бо SGT-ҳои гуногуни таъиншуда мувофиқат кунад, пас префикси дарозтарини SGT, агар афзалият фарқ накунад, афзалият дорад.
Масири пешфарз SGT
- Гурӯҳи Амнияти Default Route Tag (SGT) ба хатсайрҳои пешфарз рақами SGT таъин мекунад.
- Масири пешфарз ин масирест, ки ба масири муайян мувофиқат намекунад ва аз ин рӯ масир то макони охирини курорт аст. Масирҳои пешфарз барои равона кардани пакетҳо ба шабакаҳое истифода мешаванд, ки дар ҷадвали масир ба таври возеҳ номбар нашудаанд.
Чӣ тавр танзим кардани харитаи SGT
Ин бахш тасвир мекунад, ки чӣ тавр ба танзим дароред харитасозии SGT.
Ба таври дастӣ танзим кардани дастгоҳи SGT
Дар амалиёти муқаррарии Cisco TrustSec, сервери аутентификатсия ба дастгоҳ SGT-ро барои бастаҳои аз дастгоҳ тавлидшуда таъин мекунад. Шумо метавонед SGT-ро дастӣ танзим кунед, ки агар сервери аутентификатсия дастрас набошад, истифода шавад, аммо SGT аз сервери аутентификатсия таъиншуда аз SGT-и дастӣ таъиншуда бартарӣ хоҳад дошт.
Барои ба таври дастӣ танзим кардани SGT дар дастгоҳ, ин вазифаро иҷро кунед:
Тартиб
| Фармон or Амал | Мақсад | |
| Қадами 1 | имкон додан | Ҳолати имтиёзноки EXEC-ро фаъол мекунад. |
| Exampле:
Дастгоҳ# имкон додан |
• Агар талаб карда шавад, пароли худро ворид кунед. | |
| Қадами 2 | терминалро танзим кунед
Exampле: Дастгоҳ# терминалро танзим кунед |
Ҳолати конфигуратсияи глобалиро ворид мекунад. |
| Қадами 3 | cts сержант tag
Exampле: Дастгоҳ (конфигуратсия)# cts Sgt 1234 |
SXP-ро барои Cisco TrustSec фаъол месозад. |
| Қадами 4 | Баромадгоҳ
Exampле: Дастгоҳ (конфигуратсия)# Баромадгоҳ |
Аз реҷаи конфигуратсияи глобалӣ мебарояд ва ба ҳолати имтиёзноки EXEC бармегардад |
Танзими харитасозии зершабака ба SGT
Тартиб
| Фармон or Амал | Мақсад | |
| Қадами 1 | имкон додан
Exampле: Дастгоҳ# имкон додан |
Ҳолати имтиёзноки EXEC-ро фаъол мекунад.
• Агар талаб карда шавад, пароли худро ворид кунед. |
| Қадами 2 | терминалро танзим кунед
Exampле: Дастгоҳ# терминалро танзим кунед |
Ҳолати конфигуратсияи глобалиро ворид мекунад. |
| Қадами 3 | cts sxp харитасозии шабака-харитаи пайвандҳо
Exampле: Дастгоҳ (конфигуратсия)# cts sxp харитасозии шабака-харитаи 10000 |
• Маҳдудияти ҳисоби мизбони зершабакаи SGT Mapping-ро танзим мекунад. Аргументи пайвастшавӣ шумораи ниҳоии ҳостҳои зершабакаи IP-ро, ки метавонанд ба SGTҳо пайваст шаванд ва ба шунавандаи SXP содир карда шаванд, муайян мекунад.
• Пайвастшавӣ—(0 то 65,535) пешфарз 0 аст (васеъкунӣ иҷро нашудааст) |
| Қадами 4 | cts харитаи sgt дар асоси нақш ipv4_адрес/префикс
сержант рақам Exampле: Дастгоҳ (конфигуратсия)# cts харитаи sgt дар асоси нақш 10.10.10.10/29 sgt 1234 |
(IPv4) Зершабакаро дар қайди CIDR муайян мекунад.
• Барои ғайриконфигуратсияи зершабака ба харитасозии SGT шакли ғайри фармонро истифода баред. Миқдори пайвандҳое, ки дар Қадами 2 нишон дода шудаанд, бояд ба шумораи суроғаҳои ҳост дар зершабака мувофиқат кунанд ё зиёд бошанд (ба истиснои суроғаҳои шабакавӣ ва пахши барнома). Калимаи калидии рақами sgt Амниятро муайян мекунад |
| Гурӯҳ Tag ки ба хар як мизбон вобаста бошад
суроға дар зершабакаи муайяншуда. • ipv4_address — Суроғаи шабакаи IPv4-ро бо аломати даҳии нуқта муайян мекунад. • префикс—(0 то 30) Шумораи битҳоро дар суроғаи шабака муайян мекунад. • сержант рақам — (0–65,535) Гурӯҳи Амниятро муайян мекунад Tag (SGT) рақам. |
||
| Қадами 5 | cts харитаи sgt дар асоси нақш ipv6_адрес :: префикс
сержант рақам Exampле: Дастгоҳ (конфигуратсия)# cts харитаи sgt дар асоси нақш 2020::/64 sgt 1234 |
(IPv6) Зершабакаро дар аломати шонздаҳӣ муайян мекунад. Шакли "Не"-и фармонро барои ғайриконфигуратсияи зершабака ба харитасозии SGT истифода баред.
Миқдори пайвандҳое, ки дар Қадами 2 нишон дода шудаанд, бояд ба шумораи суроғаҳои ҳост дар зершабака мувофиқат кунанд ё зиёд бошанд (ба истиснои суроғаҳои шабакавӣ ва пахши барнома). Калимаи калидии рақами sgt Гурӯҳи Амниятро муайян мекунад Tag ки ба ҳар як суроғаи мизбон дар зершабакаи муайяншуда пайваст карда шавад. • ipv6_address — Суроғаи шабакаи IPv6-ро бо аломати шонздаҳӣ дар ду нуқта муайян мекунад. • префикс—(0 то 128) Шумораи битҳоро дар суроғаи шабака муайян мекунад. • сержант рақам — (0–65,535) Гурӯҳи Амниятро муайян мекунад Tag (SGT) рақам. |
| Қадами 6 | Баромадгоҳ
Exampле: Дастгоҳ (конфигуратсия)# Баромадгоҳ |
Аз реҷаи конфигуратсияи глобалӣ мебарояд ва ба ҳолати имтиёзноки EXEC бармегардад. |
Танзими харитасозии VLAN-ба-SGT
Ҷараёни вазифаҳо барои танзими харитасозии VLAN-SGT дар дастгоҳи Cisco TrustSec.
- Дар дастгоҳ бо ҳамон VLAN_ID-и VLAN-и воридотӣ VLAN эҷод кунед.
- Барои VLAN дар дастгоҳ як SVI эҷод кунед, то дарвозаи пешфарз барои муштариёни нуқтаи ниҳоӣ бошад.
- Дастгоҳро барои истифодаи SGT ба трафики VLAN танзим кунед.
- Дар дастгоҳ пайгирии IP дастгоҳро фаъол созед.
- Сиёсати пайгирии дастгоҳро ба VLAN замима кунед.
Шарҳ
Дар шабакаи бисёр коммутаторӣ, пайгирии дастгоҳ дар асоси SISF имкон медиҳад, ки вурудоти ҷадвали ҳатмӣ байни коммутаторҳои ин хусусият паҳн карда шаванд. Ин тахмин мекунад, ки вурудоти ҳатмӣ дар коммутаторҳое сохта мешаванд, ки дар он ҳост дар бандари дастрасӣ пайдо мешавад ва барои ҳост, ки дар болои бандари тана пайдо мешавад, ягон вуруд эҷод намешавад. Барои ноил шудан ба ин дар танзими бисёркавитаҳо, мо тавсия медиҳем, ки сиёсати дигареро танзим кунед ва онро ба бандари магистралӣ замима кунед, тавре ки дар Конфигуратсияи шабакаи бисёркавитавӣ барои қатъ кардани эҷоди вурудоти ҳатмӣ аз тартиби бандари танаффус дар Танзими SISF тавсиф шудааст. -Боби пайгирии дастгоҳ дар асоси Дастури конфигуратсияи амният.
- Боварӣ ҳосил кунед, ки харитасозии VLAN-to-SGT дар дастгоҳ сурат мегирад.
Тартиб
| Фармон or Амал | Мақсад | |
| Қадами 1 | имкон додан
Exampле: Дастгоҳ# имкон додан |
Ҳолати имтиёзноки EXEC-ро фаъол мекунад.
• Агар талаб карда шавад, пароли худро ворид кунед. |
| Қадами 2 | терминалро танзим кунед
Exampле: Дастгоҳ# терминалро танзим кунед |
Ҳолати конфигуратсияи глобалиро ворид мекунад. |
| Қадами 3 | влан vlan_id
Exampле: Дастгоҳ (конфигуратсия)# vlan 100 |
VLAN 100-ро дар дастгоҳи шлюзи қобили эътимоди TrustSec эҷод мекунад ва ба VLAN ворид мешавад
ҳолати танзимот. |
| Қадами 4 | [не] пӯшида шудан
Exampле: Дастгоҳ(config-vlan)# қатъ нест |
Муқаррароти VLAN 100. |
| Қадами 5 | Баромадгоҳ
Exampле: Дастгоҳ(config-vlan)# Баромадгоҳ |
Аз ҳолати конфигуратсияи VLAN мебарояд ва ба ҳолати конфигуратсияи глобалӣ бармегардад. |
| Қадами 6 | интерфейс слот / портро нависед
Exampле: Дастгоҳ (конфигуратсия)# интерфейси vlan 100 |
Навъи интерфейсро муайян мекунад ва ба ҳолати конфигуратсияи интерфейс дохил мешавад. |
| Қадами 7 | суроғаи ip слот/порт
Exampле: Дастгоҳ(конфигуратсия-агар)# IP суроғаи 10.1.1.2 255.0.0.0 |
Интерфейси ивазшудаи виртуалӣ (SVI) -ро барои VLAN 100 танзим мекунад. |
| Қадами 8 | [не ] пӯшида шудан
Exampле: Дастгоҳ(конфигуратсия-агар)# қатъ нест |
SVI-ро фаъол мекунад. |
| Қадами 9 | Баромадгоҳ
Exampле: Дастгоҳ(конфигуратсия-агар)# Баромадгоҳ |
Ҳолати конфигуратсияи интерфейсро тарк мекунад ва ба ҳолати конфигуратсияи глобалӣ бармегардад. |
| Қадами 10 | cts дар асоси нақш sgt-map vlan-list vlan_id сержант
рақами sgt Exampле: Дастгоҳ (конфигуратсия)# cts дар асоси нақш sgt-map vlan-list 100 sgt 10 |
SGT-и муайяншударо ба VLAN-и муайяншуда таъин мекунад. |
| Қадами 11 | сиёсати пайгирии дастгоҳ сиёсат-ном
Exampле: Дастгоҳ (конфигуратсия)# Сиёсати пайгирии дастгоҳ1 |
Сиёсатро муайян мекунад ва ба ҳолати конфигуратсияи сиёсати пайгирии дастгоҳ ворид мешавад. |
| Қадами 12 | пайгирӣ имкон медиҳад
Exampле: Дастгоҳ(конфигуратсияи дастгоҳи пайгирӣ)# пайгирӣ имкон додан |
Танзимоти пешфарзии пайгирии дастгоҳро барои атрибутҳои сиёсат бекор мекунад. |
| Қадами 13 | Баромадгоҳ
Exampле: Дастгоҳ(конфигуратсияи дастгоҳи пайгирӣ)# Баромадгоҳ |
Ҳолати конфигуратсияи сиёсати пайгирии дастгоҳ хориҷ мешавад ва ба ҳолати конфигуратсияи глобалӣ бармегардад. |
| Қадами 14 | конфигуратсияи vlan vlan_id
Exampле: Дастгоҳ (конфигуратсия)# конфигуратсияи vlan 100 |
VLAN-ро, ки сиёсати пайгирии дастгоҳ ба он замима мешавад, муайян мекунад ва ба ҳолати конфигуратсияи VLAN дохил мешавад. |
| Қадами 15 | Сиёсати пайгирии дастгоҳ сиёсат-ном
Exampле: Дастгоҳ(config-vlan-config)# Сиёсати пайгирии дастгоҳ1 |
Сиёсати пайгирии дастгоҳро ба VLAN-и муайяншуда замима мекунад. |
| Қадами 16 | Поён
Exampле: Дастгоҳ(config-vlan-config)# Поён |
Аз ҳолати конфигуратсияи VLAN мебарояд ва ба ҳолати имтиёзноки EXEC бармегардад. |
| Қадами 17 | cts харитаи sgt-ро дар асоси нақши нишон диҳед {ipv4_netaddr
| ipv4_netaddr/prefix | ipv6_netaddr | ipv6_netaddr/prefix |ҳама [ipv4 |ipv6] |мизбон { ipv4 addr |ipv6_addr } |хулоса [ ipv4 |ipv6 ] |
(Ихтиёрӣ) Харитасозии VLAN-ба-SGT-ро намоиш медиҳад. |
| Exampле:
Дастгоҳ# Cts-ро дар асоси нақш sgt-map ҳама нишон диҳед |
||
| Қадами 18 | сиёсати пайгирии дастгоҳро нишон диҳед сиёсат-ном
Exampле: Дастгоҳ# сиёсати пайгирии дастгоҳро нишон диҳед1 |
(Ихтиёрӣ) Хусусиятҳои сиёсати ҷорӣро нишон медиҳад. |
Тақлид ба мағозаи калидҳои сахтафзор
Дар ҳолатҳое, ки мағозаи калидҳои сахтафзор мавҷуд нест ё корношоям аст, шумо метавонед гузаришро барои истифодаи эмулятсияи нармафзори анбори калидҳо танзим кунед. Барои танзим кардани истифодаи калиди нармафзор, ин вазифаро иҷро кунед:
Тартиб
| Фармон or Амал | Мақсад | |
| Қадами 1 | имкон додан
Exampле: Дастгоҳ# имкон додан |
Ҳолати имтиёзноки EXEC-ро фаъол мекунад.
• Агар талаб карда шавад, пароли худро ворид кунед. |
| Қадами 2 | терминалро танзим кунед
Exampле: Дастгоҳ# терминалро танзим кунед |
Ҳолати конфигуратсияи глобалиро ворид мекунад. |
| Қадами 3 | cts мағозаи калидҳо тақлид мекунад
Exampле: Дастгоҳ (конфигуратсия)# cts мағозаи калидҳо тақлид мекунад |
Калидро барои истифодаи эмулятсияи нармафзори анбори калидҳо ба ҷои анбори сахтафзор танзим мекунад. |
| Қадами 4 | Баромадгоҳ
Exampле: Дастгоҳ (конфигуратсия)# Баромадгоҳ |
Ҳолати конфигуратсияро тарк мекунад. |
| Қадами 5 | мағозаи калидҳоро нишон диҳед
Exampле: Дастгоҳ# мағозаи калидҳоро нишон диҳед |
Ҳолат ва мундариҷаи анбори калидҳоро нишон медиҳад. Сирри захирашуда намоиш дода намешавад. |
Конфигуратсияи роҳи пешфарз SGT
Пеш аз он ки шумо оғоз кунед
Боварӣ ҳосил кунед, ки шумо аллакай дар дастгоҳ масири пешфарзро бо истифода аз фармони ip route 0.0.0.0 сохтаед. Дар акси ҳол, масири пешфарз (ки бо Default Route SGT меояд) як макони номаълумро мегирад ва аз ин рӯ макони охирин ба CPU ишора мекунад.
Тартиб
| Фармон or Амал | Мақсад | |
| Қадами 1 | имкон додан
Exampле: Дастгоҳ> фаъол кунед |
Ҳолати имтиёзноки EXEC-ро фаъол мекунад.
• Агар талаб карда шавад, пароли худро ворид кунед. |
| Қадами 2 | терминалро танзим кунед
Exampле: Дастгоҳ # конфигуратсияи терминал |
Ҳолати конфигуратсияи глобалиро ворид мекунад. |
| Қадами 3 | cts дар асоси нақш sgt-харитаи 0.0.0.0/0 сержант рақам
Exampле: Дастгоҳ(конфигуратсия)# cts харитаи sgt-ба нақш 0.0.0.0/0 sgt 3 |
Рақами SGT-ро барои масири пешфарз муайян мекунад. Қиматҳои дуруст аз 0 то 65,519 мебошанд.
Шарҳ • Дар мизбон_адрес/зершабака метавонад ё суроғаи IPv4 (0.0.0.0/0) ё суроғаи IPv6 (0:0::/0) бошад. • Масири пешфарз конфигуратсия танҳо бо зершабака қабул карда мешавад /0. Ворид кардани танҳо хост-ip бе зершабакаи /0 паёми зеринро нишон медиҳад: Дастгоҳ (конфигуратсия)#cts харитаи сержант дар асоси роль 0.0.0.0 сгт 1000 Конфигуратсияи масири пешфарз барои IP ҳост дастгирӣ намешавад |
| Қадами 4 | Баромадгоҳ
Exampле: Дастгоҳ (конфигуратсия) # баромадан |
Аз ҳолати конфигуратсияи глобалӣ мебарояд. |
Тафтиши харитаи SGT
Фаслҳои зерин нишон медиҳанд, ки чӣ тавр тафтиш кардани харитаи SGT:
Тафтиши конфигуратсияи харитасозии зершабака-ба-SGT
Барои намоиш додани маълумоти конфигуратсияи Subnet-to-SGT Mapping, яке аз фармонҳои зерини намоишро истифода баред:
| Фармон | Мақсад |
| пайвастҳои cts sxp -ро нишон диҳед | Пайвастҳои баландгӯяк ва шунавандаи SXP-ро бо ҳолати кориашон нишон медиҳад. |
| харитаи cts sxp sgt-ро нишон диҳед | Пайвастҳои IP ба SGT-ро, ки ба шунавандагони SXP содир шудаанд, нишон медиҳад. |
| run-config нишон диҳед | Тасдиқ мекунад, ки фармонҳои конфигуратсияҳои зершабака ба SGT дар конфигуратсияи иҷрошаванда ҳастанд file. |
Тафтиши харитасозии VLAN-to-SGT
Барои намоиш додани маълумоти конфигуратсияи VLAN-to-SGT, фармонҳои зерини намоишро истифода баред:
Ҷадвали 1:
| Фармон | Мақсад |
| сиёсати пайгирии дастгоҳро нишон диҳед | Атрибутҳои сиёсати ҷории сиёсати пайгирии дастгоҳро нишон медиҳад. |
| cts харитаи sgt-ро дар асоси нақши нишон диҳед | Пайвасткунии суроғаи IP-ба-SGT-ро нишон медиҳад. |
Тасдиқи конфигуратсияи пешфарзии масири SGT
Конфигуратсияи Default Route SGT-ро тафтиш кунед:
дастгоҳ # нишон додани харитаи sgt дар асоси нақш ҳама Маълумоти Пайвасткунии IPv4-SGT
Конфигуратсия Мисamples барои харитасозии SGT
Фаслҳои зерин конфигуратсияро нишон медиҳандampХаритасозии SGT:
Example: Ба таври дастӣ танзим кардани дастгоҳи SGT
- Дастгоҳ # конфигуратсияи терминал
- Дастгоҳ (конфигуратсия) # cts sgt 1234
- Дастгоҳ (конфигуратсия) # баромадан
Example: Конфигуратсия барои харитасозии зершабака-ба-SGT
Собиқ зеринample нишон медиҳад, ки чӣ тавр танзим кардани харитаи зершабакаи IPv4-to-SGT байни дастгоҳҳои SXPv3 (Дастгоҳ1 ва Дастгоҳи 2) кор мекунанд:
- Банақшагирии SXP баландгӯяк/шунавандаро байни дастгоҳҳо танзим кунед.
- Device1 # конфигуратсияи терминал
- Дастгоҳ1(конфигуратсия)# cts sxp имкон медиҳад
- Дастгоҳ1(конфигуратсия)# cts sxp манбаи пешфарз-ip 1.1.1.1
- Дастгоҳ1(конфигуратсия)# cts sxp пароли пешфарз 1syzygy1
- Device1(config)# cts sxp connection peer 2.2.2.2 ҳолати пешфарз парол сухангӯи маҳаллӣ
- Device2-ро ҳамчун шунавандаи SXP аз Device1 танзим кунед.
- Дастгоҳ2(конфигуратсия)# cts sxp имкон медиҳад
- Дастгоҳ2(конфигуратсия)# cts sxp манбаи пешфарз-ip 2.2.2.2
- Дастгоҳ2(конфигуратсия)# cts sxp пароли пешфарз 1syzygy1
- Device2(config)# cts sxp connection peer 1.1.1.1 ҳолати пешфарз парол шунавандаи маҳаллӣ
- Дар дастгоҳ2, тафтиш кунед, ки пайвасти SXP кор мекунад:
Device2# нишон cts sxp пайвастҳои мухтасар | дохил 1.1.1.1 1.1.1.1 2.2.2.2 Дар 3:22:23:18 (дд:соат:мм:сон) - Зершабакаҳоро барои васеъ кардан дар дастгоҳи1 танзим кунед.
- Дастгоҳ1(конфигуратсия)# cts sxp харитаи шабака-харитаи 10000
- Дастгоҳи1(конфигуратсия)# cts харитаи sgt-ба нақш 10.10.10.0/30 sgt 101
- Дастгоҳи1(конфигуратсия)# cts харитаи sgt-ба нақш 11.11.11.0/29 sgt 11111
- Дастгоҳи1(конфигуратсия)# cts харитаи sgt-ба нақш 192.168.1.0/28 sgt 65000
- Дар Device2, васеъшавии зершабака ба SGT-ро аз Дастгоҳи 1 тафтиш кунед. Барои зершабакаи 10.10.10.0/30 ду васеъшавӣ, шаш васеъшавӣ барои зершабакаи 11.11.11.0/29 ва 14 васеъшавӣ барои зершабакаи 192.168.1.0/28 бояд мавҷуд бошад.
Device2# нишон cts sxp sgt-харитаи мухтасар | 101|11111|65000 дохил мешаванд- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- Миқдори васеъшавиро дар дастгоҳи 1 тафтиш кунед:
Дастгоҳ1# харитаи cts sxp sgt-ро нишон медиҳад- Харитаҳои IP-SGT васеъ карда шуданд: 22
- Харитаҳои IP-SGT вуҷуд надоранд
- Конфигуратсияҳоро дар Device1 ва Device2 захира кунед ва аз ҳолати конфигуратсияи глобалӣ берун шавед.
Дастгоҳ1(конфигуратсия)# нусхабардории run-config startup-config
Дастгоҳ1(конфигуратсия)# баромадан
Дастгоҳ2(конфигуратсия)# нусхабардории run-config startup-config
Дастгоҳ2(конфигуратсия)# баромадан
Exampле:
Конфигуратсия барои VLAN-to-SGT харитасозӣ барои як мизбони ягона тавассути пайванди дастрасӣ.
Дар мисоли зеринample, як мизбони ягона ба VLAN 100 дар дастгоҳи дастрасӣ пайваст мешавад. Интерфейси маҷозии ивазшуда дар дастгоҳи TrustSec дарвозаи пешфарз барои нуқтаи ниҳоии VLAN 100 мебошад (Суроғаи IP 10.1.1.1). Дастгоҳи TrustSec Гурӯҳи Амниятро муқаррар мекунад Tag (SGT) 10 дар бастаҳо аз VLAN 100.
- Дар дастгоҳи дастрасӣ VLAN 100 эҷод кунед.
- access_device# терминалро танзим кунед
- access_device(config)# vlan 100
- access_device(config-vlan)# хомӯш нест
- access_device(config-vlan)# баромадан
- дастрасӣ_дастгоҳ(конфигуратсия)#
- Интерфейсро ба дастгоҳи TrustSec ҳамчун пайванди дастрасӣ танзим кунед. Конфигуратсияҳо барои нуқтаи ниҳоӣ
- бандари дастрасӣ дар ин собиқ хориҷ карда шудаандampле.
- access_device(конфигуратсия) # интерфейси gigabitEthernet 6/3
- access_device(config-agar)# switchport
- access_device(config-agar)# дастрасии ҳолати гузариш
- access_device(config-agar)# switchport access vlan 100
- Дар дастгоҳи TrustSec VLAN 100 эҷод кунед.
- Дастгоҳи TS_(конфигуратсия) # vlan 100
- TS_device(config-vlan)# хомӯш нест
- TS_device(config-vlan)# охири
- Дастгоҳи TS_#
- SVI-ро ҳамчун дарвоза барои VLAN 100 ворид кунед.
- TS_device(config)# интерфейси vlan 100
- TS_device(config-agar)# суроғаи IP 10.1.1.2 255.0.0.0
- TS_device(config-if)# хомӯш нест
- TS_device(config-agar)# end
- Дастгоҳи TS_(конфигуратсия)#
- Гурӯҳи амниятро таъин кунед Tag (SGT) 10 ба мизбонҳо дар VLAN 100.
- TS_device(config)# cts дар асоси нақш sgt-map vlan 100 sgt 10
- Дар дастгоҳи TrustSec пайгирии IP-и дастгоҳро фаъол созед. Тасдиқ кунед, ки он кор мекунад.
- TS_device(config)# пайгирии дастгоҳи IP
- TS_device# ҳама пайгирии дастгоҳи IP-ро нишон медиҳад
- (Ихтиёрӣ) PING шлюзи пешфарзро аз нуқтаи ниҳоӣ (дар ин мисолample, мизбон Суроғаи IP 10.1.1.1). Боварӣ ҳосил кунед, ки SGT 10 ба ҳостҳои VLAN 100 харита карда мешавад.
Example: Тақлид кардани мағозаи калидҳои сахтафзор
Ин собикample нишон медиҳад, ки чӣ тавр ба танзим даровардан ва тафтиш кардани истифодаи калиди нармафзор:
Exampле: Конфигуратсияи дастгоҳи масири SGT
- Дастгоҳ # конфигуратсияи терминал
- Дастгоҳ(конфигуратсия)# cts харитаи sgt-ба нақш 0.0.0.0/0 sgt 3
- Дастгоҳ (конфигуратсия) # баромадан
Таърихи хусусият барои Гурӯҳи Амният Tag Харитасозӣ
- Ин ҷадвали нашр ва иттилооти марбут ба хусусиятҳои дар ин модул шарҳ додашударо пешкаш мекунад.
- Ин хусусиятҳо дар ҳама нашрияҳо пас аз нашри онҳо дастрасанд, агар тартиби дигаре қайд нашуда бошад.
| Озод кардан | Хусусият | Хусусият Маълумот |
| Cisco IOS XE Everest 16.5.1a | Гурӯҳи амниятӣ Tag Харитасозӣ | Харитасозии зершабакаи SGT SGT-ро ба ҳама суроғаҳои мизбони зершабакаи мушаххас мепайвандад. Пас аз татбиқи ин харитасозӣ, Cisco TrustSec SGT-ро ба ҳама бастаи воридотӣ, ки суроғаи IP-и манбаи ба зершабакаи муайяншуда тааллуқ дорад, мегузорад. |
| Cisco IOS XE Гибралтар 16.11.1 | Таснифи роҳи пешфарз SGT | Масири пешфарз SGT як SGT таъин мекунад tag рақам ба он хатсайрҳое, ки ба масири муайян мувофиқат намекунанд. |
Барои дарёфти маълумот дар бораи дастгирии тасвири платформа ва нармафзор аз Cisco Feature Navigator истифода баред. Барои дастрасӣ ба Cisco Feature Navigator, гузаред http://www.cisco.com/go/cfn.
Ҳуҷҷатҳо / Сарчашмаҳо
 |
CISCO Configuring Security Group Tag Харитасозӣ [pdf] Дастури корбар Танзими Гурӯҳи Амният Tag Харитасозӣ, Танзимкунӣ, Гурӯҳи Амният Tag Харитасозӣ, гурӯҳ Tag Харитасозӣ, Tag Харитасозӣ |
