CISCO Güvenlik Grubunu Yapılandırma Tag Haritalama

Ürün Bilgileri

Ürün, güvenlik grubunun yapılandırılmasına olanak tanır tag (SGT) haritalaması. Bu özellik, bir SGT'yi belirtilen bir alt ağın tüm ana bilgisayar adreslerine bağlar. Bu eşleme uygulandıktan sonra Cisco TrustSec, SGT'yi belirtilen alt ağa ait bir kaynak IP adresine sahip gelen herhangi bir pakete uygular.

SGT Eşlemesine İlişkin Kısıtlamalar
Ana bilgisayar IP yapılandırması için aşağıdaki komut desteklenmez: Device(config)#cts role-based sgt-map 0.0.0.0 sgt 1000

Üzerindeview Alt Ağdan SGT'ye Eşlemenin

• Alt ağdan SGT'ye eşleme, bir SGT'yi belirli bir alt ağın tüm ana bilgisayar adreslerine bağlar. Cisco TrustSec, paketin kaynak IP adresi belirtilen alt ağa ait olduğunda gelen pakete SGT'yi uygular. Alt ağ ve SGT, CLI'de şu şekilde belirtilir:cts role-based sgt-map net_address/prefix sgt sgt_number genel yapılandırma komutu. Bu komutla tek bir ana bilgisayar da eşlenebilir.
• IPv4 ağlarında, Güvenlik Değişim Protokolü (SXP)v3 ve daha yeni sürümler, SXPv3 eşlerinden alt ağ net_adresi/ön ek dizelerini alabilir ve ayrıştırabilir. Önceki SXP sürümleri, alt ağ önekini bir SXP dinleyici eşine aktarmadan önce kendi ana bilgisayar bağlamaları kümesine dönüştürür.
• Alt ağ bağlamaları statiktir, etkin ana bilgisayarların öğrenilmesi yoktur. SGT uygulaması ve SGACL uygulaması için yerel olarak kullanılabilirler. Paketler tagAlt ağdan SGT'ye eşlemeyle oluşturulan veriler, Katman 2 veya Katman 3 Cisco TrustSec bağlantılarında yayılabilir.
• IPv6 ağları için SXPv3, alt ağ bağlamalarını SXPv2 veya SXPv1 eşlerine aktaramaz.

Üzerindeview VLAN'dan SGT'ye Eşlemenin

• VLAN'dan SGT'ye eşleme özelliği, bir SGT'yi belirli bir VLAN'dan gelen paketlere bağlar. Bu, eski ağlardan Cisco TrustSec özellikli ağlara geçişi kolaylaştırır.
• VLAN'dan SGT'ye bağlama şu şekilde yapılandırılır: cts role-based sgt-map vlan-list genel yapılandırma komutu.
• Bir VLAN'a, Cisco TrustSec özellikli bir anahtar üzerinde anahtarlamalı sanal arayüz (SVI) olan bir ağ geçidi atandığında ve bu anahtarda IP Cihaz İzleme etkinleştirildiğinde, Cisco TrustSec herhangi bir aktif ana bilgisayar için bir IP'den SGT'ye bağlama oluşturabilir SVI alt ağıyla eşlenen VLAN'da.
• Aktif VLAN ana bilgisayarlarına yönelik IP-SGT bağlamaları SXP dinleyicilerine aktarılır. Eşlenen her VLAN için bağlamalar, VLAN'ın SVI'sı veya cts role-based l2-vrf emretmek.
• VLAN'dan SGT'ye bağlamalar, tüm bağlama yöntemleri arasında en düşük önceliğe sahiptir ve SXP veya CLI ana bilgisayar yapılandırmaları gibi diğer kaynaklardan bağlanmalar alındığında göz ardı edilir. Bağlama öncelikleri Bağlayıcı Kaynak Öncelikleri bölümünde listelenmiştir.

Ürün Kullanım Talimatları

Alt Ağdan SGT'ye Eşlemeyi Yapılandırma

1. Cihazın CLI arayüzüne erişin.
2. kullanarak konfigürasyon moduna girin. config emretmek.
3. Alt ağdan SGT'ye eşlemeyi yapılandırmak için aşağıdaki komutu yürütün:

cts role-based sgt-map net_address/prefix sgt sgt_number

1. Yer değiştirmek net_address/prefix eşlemek istediğiniz alt ağ adresi ve önek uzunluğuyla birlikte (ör. 192.168.1.0/24).
2. Yer değiştirmek sgt_number İstenilen güvenlik grubuyla tag sayı.
3. Yapılandırmayı uygulamak için Enter tuşuna basın.
4. Yapılandırma modundan çıkın.

VLAN-SGT Eşlemesini Yapılandırma

1. 1. Cihazın CLI arayüzüne erişin.
   2. kullanarak konfigürasyon moduna girin. config emretmek.
   3. VLAN-SGT eşlemesini yapılandırmak için aşağıdaki komutu yürütün:

cts role-based sgt-map vlan-list

1. SGT'lerle eşlenecek VLAN'ları belirtin.
2. Yapılandırmayı uygulamak için Enter tuşuna basın.
3. Yapılandırma modundan çıkın.

Özellikler

• Desteklenen Ağlar: IPv4, IPv6
• Desteklenen Protokoller: Güvenlik Değişim Protokolü (SXP)v3
• Desteklenen Bağlama Yöntemleri: Alt Ağdan SGT'ye Eşleme, VLAN'dan SGT'ye Eşleme

Sıkça Sorulan Sorular (SSS)

• S: Alt ağ bağlamaları IPv2 ağlarındaki SXPv1 veya SXPv6 eşlerine aktarılabilir mi?
  C: Hayır, alt ağ bağlamaları yalnızca IPv3 ağlarındaki SXPv6 eşlerine aktarılabilir.
• S: VLAN'dan SGT'ye bağlamaların önceliği nedir?
  C: VLAN'dan SGT'ye bağlamalar, tüm bağlama yöntemleri arasında en düşük önceliğe sahiptir ve diğer kaynaklardan bağlanmalar alındığında dikkate alınmaz.

Güvenlik grubuna alt ağ tag (SGT) eşlemesi, bir SGT'yi belirtilen bir alt ağın tüm ana bilgisayar adreslerine bağlar. Bu eşleme uygulandıktan sonra Cisco TrustSec, SGT'yi belirtilen alt ağa ait bir kaynak IP adresine sahip gelen herhangi bir pakete uygular.

SGT Eşlemesine İlişkin Kısıtlamalar

Alt Ağdan SGT'ye Eşlemeye İlişkin Kısıtlamalar

• /4 önekine sahip bir IPv31 alt ağı genişletilemez.
• Alt ağ ana bilgisayar adresleri Güvenlik Grubuna bağlanamaz Tags (SGT) ağ haritası bağlama parametresi, belirtilen alt ağlardaki alt ağ ana bilgisayarlarının toplam sayısından az olduğunda veya bağlamalar 0 olduğunda.
• IPv6 genişletmeleri ve yayılması yalnızca Güvenlik Değişim Protokolü (SXP) hoparlörü ve dinleyicisi SXPv3 veya daha yeni sürümleri çalıştırdığında gerçekleşir.

Varsayılan Rota SGT Eşlemesi Kısıtlaması

• Varsayılan rota yapılandırması yalnızca /0 alt ağıyla kabul edilir. Alt ağ /0 olmadan yalnızca ana bilgisayar ipinin girilmesi aşağıdaki mesajı görüntüler:

SGT Haritalama Hakkında Bilgi

Bu bölümde SGT eşlemesi hakkında bilgi verilmektedir.

Üzerindeview

Üzerindeview Alt Ağdan SGT'ye Eşlemenin
Alt ağdan SGT'ye eşleme, bir SGT'yi belirli bir alt ağın tüm ana bilgisayar adreslerine bağlar. Cisco TrustSec, paketin kaynak IP adresi belirtilen alt ağa ait olduğunda gelen pakete SGT'yi uygular. Alt ağ ve SGT, CLI'de cts rol tabanlı sgt-map net_address/prefix sgt sgt_number genel yapılandırma komutuyla belirtilir. Bu komutla tek bir ana bilgisayar da eşlenebilir. IPv4 ağlarında, Güvenlik Değişim Protokolü (SXP)v3 ve daha yeni sürümler, SXPv3 eşlerinden alt ağ net_adresi/ön ek dizelerini alabilir ve ayrıştırabilir. Önceki SXP sürümleri, alt ağ önekini bir SXP dinleyici eşine aktarmadan önce kendi ana bilgisayar bağlamaları kümesine dönüştürür.

Örneğinampdosya, IPv4 alt ağı 192.0.2.0/24 aşağıdaki şekilde genişletilir (ana bilgisayar adresleri için yalnızca 3 bit):

• Ana bilgisayar adresleri 198.0.2.1 ila 198.0.2.7—tagSXP eşine aktarılır ve yayılır.
• Ağ ve yayın adresleri 198.0.2.0 ve 198.0.2.8—değil tagiletilir ve yayılmaz.

SXPv3'ün dışa aktarabileceği alt ağ bağlamalarının sayısını sınırlamak için cts sxp eşleme ağ haritası genel yapılandırma komutunu kullanın. Alt ağ bağlamaları statiktir, etkin ana bilgisayarların öğrenilmesi yoktur. SGT uygulaması ve SGACL uygulaması için yerel olarak kullanılabilirler. Paketler tagAlt ağdan SGT'ye eşlemeyle oluşturulan veriler, Katman 2 veya Katman 3 Cisco TrustSec bağlantılarında yayılabilir. IPv6 ağları için SXPv3, alt ağ bağlamalarını SXPv2 veya SXPv1 eşlerine aktaramaz.

Üzerindeview VLAN'dan SGT'ye Eşlemenin
VLAN'dan SGT'ye eşleme özelliği, bir SGT'yi belirli bir VLAN'dan gelen paketlere bağlar. Bu, eski ağlardan Cisco TrustSec özellikli ağlara geçişi aşağıdaki şekilde basitleştirir:

• Eski anahtarlar, kablosuz denetleyiciler, erişim noktaları, VPN'ler vb. gibi Cisco TrustSec özellikli olmayan ancak VLAN özellikli cihazları destekler.
• Veri merkezlerinde sunucu bölümlendirmesi gibi VLAN'ların ve VLAN ACL'lerin ağı bölümlendirdiği topolojiler için geriye dönük uyumluluk sağlar.
• VLAN'dan SGT'ye bağlama, cts rol tabanlı sgt-map vlan-list genel yapılandırma komutuyla yapılandırılır.
• Bir VLAN'a, Cisco TrustSec özellikli bir anahtar üzerinde anahtarlamalı sanal arayüz (SVI) olan bir ağ geçidi atandığında ve bu anahtarda IP Cihaz İzleme etkinleştirildiğinde, Cisco TrustSec herhangi bir aktif ana bilgisayar için bir IP'den SGT'ye bağlama oluşturabilir SVI alt ağıyla eşlenen VLAN'da.
• Aktif VLAN ana bilgisayarlarına yönelik IP-SGT bağlamaları SXP dinleyicilerine aktarılır. Eşlenen her VLAN için bağlamalar, VLAN'ın SVI'sı veya cts rol tabanlı l2-vrf komutu tarafından eşlendiği VRF ile ilişkili IP-SGT tablosuna eklenir.
• VLAN'dan SGT'ye bağlamalar, tüm bağlama yöntemleri arasında en düşük önceliğe sahiptir ve SXP veya CLI ana bilgisayar yapılandırmaları gibi diğer kaynaklardan bağlanmalar alındığında göz ardı edilir. Bağlama öncelikleri Bağlayıcı Kaynak Öncelikleri bölümünde listelenmiştir.

Bağlayıcı Kaynak Öncelikleri

Cisco TrustSec, IP-SGT bağlama kaynakları arasındaki çatışmaları katı bir öncelik şemasıyla çözer. Eski içinampdosyasında, bir SGT, {dinamik kimlik eş adı | statik kontrol tag} Cisco Trustsec Manuel arayüz modu komutu (Kimlik Bağlantı Noktası Eşleme). En düşükten (1) en yükseğe (7) kadar mevcut öncelikli uygulama sırası aşağıdaki gibidir:

1. VLAN: VLAN-SGT eşlemesi yapılandırılmış bir VLAN'da gözetlenen ARP paketlerinden öğrenilen bağlamalar.
2. CLI: Cts rol tabanlı sgt-map genel yapılandırma komutunun IP-SGT formu kullanılarak yapılandırılan adres bağlamaları.
3. SXP: SXP eşlerinden öğrenilen bağlamalar.
4. IP_ARP: Bağlamalar ne zaman öğrenildi tagged ARP paketleri CTS özellikli bir bağlantı üzerinden alınır.
5. YEREL: EPM ve cihaz izleme yoluyla öğrenilen, kimliği doğrulanmış ana bilgisayarların bağlantıları. Bu tür bağlama aynı zamanda L2 [I] PM ile yapılandırılmış bağlantı noktalarında ARP gözetleme yoluyla öğrenilen bireysel ana bilgisayarları da içerir.
6. İÇ: Yerel olarak yapılandırılmış IP adresleri ile cihazın kendi SGT'si arasındaki bağlantılar.

Not
Kaynak IP adresi, atanmış farklı SGT'lere sahip birden fazla alt ağ önekiyle eşleşiyorsa, öncelik farklı olmadığı sürece en uzun SGT öneki öncelikli olur.

Varsayılan Rota SGT

• Varsayılan Rota Güvenlik Grubu Tag (SGT), varsayılan rotalara bir SGT numarası atar.
• Varsayılan Rota, belirtilen rotayla eşleşmeyen rotadır ve bu nedenle son çare varış noktasına giden rotadır. Varsayılan yollar, yönlendirme tablosunda açıkça listelenmeyen ağlara adreslenen paketleri yönlendirmek için kullanılır.

SGT Eşlemesini Yapılandırma

Bu bölümde SGT eşlemesinin nasıl yapılandırılacağı açıklanmaktadır.

Cihaz SGT'sini Manuel Olarak Yapılandırma
Normal Cisco TrustSec işleminde kimlik doğrulama sunucusu, cihazdan kaynaklanan paketler için cihaza bir SGT atar. Kimlik doğrulama sunucusuna erişilemiyorsa kullanılacak bir SGT'yi manuel olarak yapılandırabilirsiniz, ancak kimlik doğrulama sunucusu tarafından atanan bir SGT, manuel olarak atanan bir SGT'ye göre öncelikli olacaktır.

Cihazda bir SGT'yi manuel olarak yapılandırmak için şu görevi gerçekleştirin:

Prosedür

	Emretmek or Aksiyon	Amaç
Adım 1	olanak vermek	Ayrıcalıklı EXEC modunu etkinleştirir.

	Examptarih: Cihaz# olanak vermek	• İstenirse parolanızı girin.
Adım 2	terminali yapılandır Examptarih: Cihaz# terminali yapılandır	Küresel yapılandırma moduna girer.
Adım 3	cts sgt tag Examptarih: Cihaz(yapılandırma)# cts sgt 1234	Cisco TrustSec için SXP'yi etkinleştirir.
Adım 4	çıkış Examptarih: Cihaz(yapılandırma)# çıkış	Genel yapılandırma modundan çıkar ve ayrıcalıklı EXEC moduna geri döner

Alt Ağdan SGT'ye Eşlemeyi Yapılandırma

Prosedür

	Emretmek or Aksiyon	Amaç
Adım 1	olanak vermek Examptarih: Cihaz# olanak vermek	Ayrıcalıklı EXEC modunu etkinleştirir. • İstenirse parolanızı girin.
Adım 2	terminali yapılandır Examptarih: Cihaz# terminali yapılandır	Küresel yapılandırma moduna girer.
Adım 3	cts sxp eşleme ağ haritası bağlamalar Examptarih: Cihaz(yapılandırma)# cts sxp eşleme ağ haritası 10000	•  Alt Ağı SGT Eşleme ana bilgisayar sayısı kısıtlamasıyla yapılandırır. Bağlamalar bağımsız değişkeni, SGT'lere bağlanabilecek ve SXP dinleyicisine aktarılabilecek alt ağ IP ana bilgisayarlarının maksimum sayısını belirtir. •  bağlamalar—(0 - 65,535) varsayılan 0'dır (genişletme yapılmaz)
Adım 4	cts rol tabanlı sgt haritası ipv4_adresi/önek sgt sayı Examptarih: Cihaz(yapılandırma)# cts rol tabanlı sgt haritası 10.10.10.10/29 sgt 1234	(IPv4) CIDR gösteriminde bir alt ağı belirtir. •  Alt Ağdan SGT'ye eşlemenin yapılandırmasını kaldırmak için komutun no formunu kullanın. Adım 2'de belirtilen bağlama sayısı, alt ağdaki ana bilgisayar adreslerinin sayısıyla (ağ ve yayın adresleri hariç) eşleşmeli veya bu sayıyı aşmalıdır. Sgt numarası anahtar sözcüğü Güvenliği belirtir.

		Grup Tag her ev sahibine bağlı olmak Belirtilen alt ağdaki adres. •  ipv4_address—IPv4 ağ adresini noktalı ondalık gösterimle belirtir. •  önek—(0 ila 30) Ağ adresindeki bit sayısını belirtir. •  sgt sayı—(0–65,535) Güvenlik Grubunu belirtir Tag (SGT) numarası.
Adım 5	cts rol tabanlı sgt haritası ipv6_adresi::prefix sgt sayı Examptarih: Cihaz(yapılandırma)# cts rol tabanlı sgt haritası 2020::/64 sgt 1234	(IPv6) İki nokta üst üste onaltılık gösterimde bir alt ağı belirtir. Alt Ağ ile SGT eşlemesinin yapılandırmasını kaldırmak için komutun no formunu kullanın. Adım 2'de belirtilen bağlama sayısı, alt ağdaki ana bilgisayar adreslerinin sayısıyla (ağ ve yayın adresleri hariç) eşleşmeli veya bu sayıyı aşmalıdır. Sgt numarası anahtar sözcüğü Güvenlik Grubunu belirtir Tag belirtilen alt ağdaki her ana bilgisayar adresine bağlanacak. •  ipv6_address—IPv6 ağ adresini iki nokta üst üste onaltılı gösterimle belirtir. •  önek—(0 ila 128) Ağ adresindeki bit sayısını belirtir. •  sgt sayı—(0–65,535) Güvenlik Grubunu belirtir Tag (SGT) numarası.
Adım 6	çıkış Examptarih: Cihaz(yapılandırma)# çıkış	Genel yapılandırma modundan çıkar ve ayrıcalıklı EXEC moduna geri döner.

VLAN-SGT Eşlemesini Yapılandırma

Cisco TrustSec cihazında VLAN-SGT Eşlemesini Yapılandırmak için Görev Akışı.

• Cihazda, gelen VLAN ile aynı VLAN_ID'ye sahip bir VLAN oluşturun.
• Uç nokta istemcileri için varsayılan ağ geçidi olacak cihazdaki VLAN'a yönelik bir SVI oluşturun.
• Cihazı VLAN trafiğine SGT uygulayacak şekilde yapılandırın.
• Cihazda IP Cihazı izlemeyi etkinleştirin.
• Bir VLAN'a cihaz izleme ilkesi ekleyin.

Not
Çoklu anahtarlı bir ağda, SISF tabanlı cihaz izleme, bağlama tablosu girişlerini, özelliği çalıştıran anahtarlar arasında dağıtma yeteneği sağlar. Bu, ana bilgisayarın bir erişim bağlantı noktasında göründüğü anahtarlarda bağlama girişlerinin oluşturulduğunu ve bir ana bağlantı noktası üzerinde görünen bir ana bilgisayar için herhangi bir giriş oluşturulmadığını varsayar. Çoklu anahtar kurulumunda bunu başarmak için, SISF'i Yapılandırma bölümündeki Bir Devre Bağlantı Noktasından Bağlama Girişleri Oluşturmayı Durdurmak için Çoklu Anahtar Ağı Yapılandırma prosedüründe açıklandığı gibi başka bir ilke yapılandırmanızı ve devre bağlantı noktasına eklemenizi öneririz. Güvenlik Yapılandırma Kılavuzu'nun Tabanlı Cihaz İzleme bölümü.

• Cihazda VLAN-SGT eşlemesinin gerçekleştiğini doğrulayın.

Prosedür

	Emretmek or Aksiyon	Amaç
Adım 1	olanak vermek Examptarih: Cihaz# olanak vermek	Ayrıcalıklı EXEC modunu etkinleştirir. • İstenirse parolanızı girin.
Adım 2	terminali yapılandır Examptarih: Cihaz# terminali yapılandır	Küresel yapılandırma moduna girer.
Adım 3	vlan vlan_id Examptarih: Cihaz(yapılandırma)# vlan 100	TrustSec özellikli ağ geçidi cihazında VLAN 100 oluşturur ve VLAN'a girer yapılandırma modu.
Adım 4	[HAYIR] kapat Examptarih: Cihaz(config-vlan)# kapanma yok	VLAN 100'ü sağlar.
Adım 5	çıkış Examptarih: Cihaz(config-vlan)# çıkış	VLAN yapılandırma modundan çıkar ve genel yapılandırma moduna geri döner.
Adım 6	arayüz yuva/bağlantı noktası yazın Examptarih: Cihaz(yapılandırma)# arayüz vlan 100	Arayüz tipini belirtir ve arayüz yapılandırma moduna girer.
Adım 7	ip adresi yuva/bağlantı noktası Examptarih: Cihaz(config-if)# ip adresi 10.1.1.2 255.0.0.0	VLAN 100 için Anahtarlamalı Sanal Arayüzü (SVI) yapılandırır.

Adım 8	[HAYIR ] kapat Examptarih: Cihaz(config-if)# kapanma yok	SVI'yı etkinleştirir.
Adım 9	çıkış Examptarih: Cihaz(config-if)# çıkış	Arayüz yapılandırma modundan çıkar ve genel yapılandırma moduna geri döner.
Adım 10	cts rol tabanlı sgt haritası vlan listesi vlan_id sgt sgt_number Examptarih: Cihaz(yapılandırma)# cts rol tabanlı sgt-map vlan listesi 100 sgt 10	Belirtilen SGT'yi belirtilen VLAN'a atar.
Adım 11	cihaz izleme politikası Poliçe ismi Examptarih: Cihaz(yapılandırma)# cihaz izleme politikası politikası1	İlkeyi belirtir ve cihaz izleme ilkesi yapılandırma moduna girer.
Adım 12	izlemeyi etkinleştir Examptarih: Cihaz(yapılandırma-cihaz-takibi)# takip olanak vermek	Politika özelliği için varsayılan cihaz izleme ayarlarını geçersiz kılar.
Adım 13	çıkış Examptarih: Cihaz(yapılandırma-cihaz-takibi)# çıkış	Cihaz izleme ilkesi yapılandırma modundan çıkar ve genel yapılandırma moduna geri döner.
Adım 14	vlan yapılandırması vlan_id Examptarih: Cihaz(yapılandırma)# vlan yapılandırması 100	Cihaz izleme politikasının ekleneceği VLAN'ı belirtir ve VLAN yapılandırma moduna girer.
Adım 15	cihaz izleme ekleme politikası Poliçe ismi Examptarih: Cihaz(config-vlan-config)# cihaz izleme ekleme politikası politikası1	Belirtilen VLAN'a bir cihaz izleme ilkesi ekler.
Adım 16	son Examptarih: Cihaz(config-vlan-config)# son	VLAN yapılandırma modundan çıkar ve ayrıcalıklı EXEC moduna geri döner.
Adım 17	cts rol tabanlı sgt haritasını göster {ipv4_netaddr | ipv4_netaddr/prefix | ipv6_netaddr | ipv6_netaddr/prefix |Tümü [ipv4 |ipv6] |ev sahibi { ipv4 adresi |ipv6_addr } |özet [ ipv4 |ipv6 ]	(İsteğe bağlı) VLAN-SGT eşlemelerini görüntüler.

	Examptarih: Cihaz# cts rol tabanlı sgt haritasını göster
Adım 18	cihaz izleme politikasını göster Poliçe ismi Examptarih: Cihaz# cihaz izleme politikası politikasını göster1	(İsteğe bağlı) Geçerli ilke özniteliklerini görüntüler.

Donanım Anahtar Deposunu Öykünme

Donanım anahtar deposunun bulunmadığı veya kullanılamadığı durumlarda anahtarı, anahtar deposunun yazılım öykünmesini kullanacak şekilde yapılandırabilirsiniz. Bir yazılım anahtar deposunun kullanımını yapılandırmak için şu görevi gerçekleştirin:

Prosedür

	Emretmek or Aksiyon	Amaç
Adım 1	olanak vermek Examptarih: Cihaz# olanak vermek	Ayrıcalıklı EXEC modunu etkinleştirir. • İstenirse parolanızı girin.
Adım 2	terminali yapılandır Examptarih: Cihaz# terminali yapılandır	Küresel yapılandırma moduna girer.
Adım 3	cts anahtar deposu öykünmesi Examptarih: Cihaz(yapılandırma)# cts anahtar deposu öykünmesi	Anahtarı, donanım anahtar deposu yerine anahtar deposunun yazılım öykünmesini kullanacak şekilde yapılandırır.
Adım 4	çıkış Examptarih: Cihaz(yapılandırma)# çıkış	Yapılandırma modundan çıkar.
Adım 5	anahtar deposunu göster Examptarih: Cihaz# anahtar deposunu göster	Anahtar deposunun durumunu ve içeriğini görüntüler. Saklanan sırlar görüntülenmez.

Varsayılan Rota SGT'yi Yapılandırma

Başlamadan önce
IP Route 0.0.0.0 komutunu kullanarak cihazda zaten bir varsayılan rota oluşturduğunuzdan emin olun. Aksi takdirde, varsayılan rota (Varsayılan Rota SGT ile birlikte gelir) bilinmeyen bir hedefe ulaşır ve bu nedenle son çare varış noktası CPU'yu işaret eder.

Prosedür

	Emretmek or Aksiyon	Amaç
Adım 1	olanak vermek Examptarih: Aygıt> etkinleştir	Ayrıcalıklı EXEC modunu etkinleştirir. • İstenirse parolanızı girin.
Adım 2	terminali yapılandır Examptarih: Aygıt# terminali yapılandır	Küresel yapılandırma moduna girer.
Adım 3	cts rol tabanlı sgt haritası 0.0.0.0/0 sgt sayı Examptarih: Cihaz(yapılandırma)# cts rol tabanlı sgt haritası 0.0.0.0/0 sgt 3	Varsayılan rota için SGT numarasını belirtir. Geçerli değerler 0 ila 65,519 arasındadır. Not                    • ana bilgisayar_adresi/alt ağ IPv4 adresi (0.0.0.0/0) veya IPv6 adresi (0:0::/0) olabilir •  Varsayılan rota yapılandırma yalnızca alt ağ ile kabul edilir /0. Alt ağ /0 olmadan yalnızca ana bilgisayar ipinin girilmesi aşağıdaki mesajı görüntüler: Cihaz(yapılandırma)#cts rol tabanlı sgt haritası 0.0.0.0 sgt 1000 Ana bilgisayar IP'si için varsayılan rota yapılandırması desteklenmiyor
Adım 4	çıkış Examptarih: Cihaz(yapılandırma)# çıkış	Genel yapılandırma modundan çıkar.

SGT Eşlemesinin Doğrulanması

Aşağıdaki bölümlerde SGT eşlemesinin nasıl doğrulanacağı gösterilmektedir:

Alt Ağdan SGT'ye Eşleme Yapılandırmasının Doğrulanması
Alt Ağdan SGT'ye Eşleme yapılandırma bilgilerini görüntülemek için aşağıdaki show komutlarından birini kullanın:

Emretmek	Amaç
cts sxp bağlantılarını göster	SXP hoparlör ve dinleyici bağlantılarını çalışma durumlarıyla birlikte görüntüler.
cts sxp sgt haritasını göster	SXP dinleyicilerine aktarılan IP'den SGT'ye bağlamaları görüntüler.
çalışan yapılandırmayı göster	Alt ağdan SGT'ye yapılandırma komutlarının çalışan yapılandırmada olduğunu doğrular file.

VLAN-SGT Eşlemesini Doğrulama

VLAN'dan SGT'ye yapılandırma bilgilerini görüntülemek için aşağıdaki show komutlarını kullanın:

Tablo 1:

Emretmek	Amaç
cihaz izleme politikasını göster	Cihaz izleme ilkesinin geçerli ilke niteliklerini görüntüler.
cts rol tabanlı sgt haritasını göster	IP adresinden SGT'ye bağlamaları görüntüler.

Varsayılan Rota SGT Yapılandırmasını Doğrulama

Varsayılan Rota SGT yapılandırmasını doğrulayın:
cihaz#, tüm Aktif IPv4-SGT Bağlantı Bilgilerini rol tabanlı sgt haritasını göster

Yapılandırma Örn.ampSGT Eşleme için dosyalar

Aşağıdaki bölümlerde yapılandırma gösterilmektedirampSGT eşlemesinin dosyaları:

Exampdosya: Bir Cihaz SGT'sinin Manuel Olarak Yapılandırılması

• Aygıt# terminali yapılandır
• Cihaz(yapılandırma)# cts sgt 1234
• Cihaz(yapılandırma)# çıkış

Exampdosya: Alt Ağdan SGT'ye Eşleme için Yapılandırma
Aşağıdaki örnekampdosya, SXPv4 çalıştıran cihazlar (Cihaz3 ve Cihaz1) arasında IPv2 Alt Ağdan SGT Eşlemesinin nasıl yapılandırılacağını gösterir:

1. Cihazlar arasında SXP hoparlör/dinleyici eşlemesini yapılandırın.
   • Cihaz1# terminali yapılandır
   • Cihaz1(yapılandırma)# cts sxp'yi etkinleştir
   • Cihaz1(yapılandırma)# cts sxp varsayılan kaynak-ip 1.1.1.1
   • Cihaz1(config)# cts sxp varsayılan şifresi 1syzygy1
   • Device1(config)# cts sxp bağlantı eş 2.2.2.2 parolası varsayılan mod yerel hoparlör
2. Device2'yi Device1'in SXP dinleyicisi olarak yapılandırın.
   • Cihaz2(yapılandırma)# cts sxp'yi etkinleştir
   • Cihaz2(yapılandırma)# cts sxp varsayılan kaynak-ip 2.2.2.2
   • Cihaz2(config)# cts sxp varsayılan şifresi 1syzygy1
   • Device2(config)# cts sxp bağlantı eş 1.1.1.1 parolası varsayılan mod yerel dinleyici
3. Cihaz2'de SXP bağlantısının çalıştığını doğrulayın:
   Device2# cts sxp bağlantı özetini göster | 1.1.1.1 1.1.1.1 2.2.2.2 3:22:23:18 (gg:saat:dd:saniye) dahil
4. Cihaz1'de genişletilecek alt ağları yapılandırın.
   • Cihaz1(config)# cts sxp eşleme ağ haritası 10000
   • Device1(config)# cts rol tabanlı sgt haritası 10.10.10.0/30 sgt 101
   • Device1(config)# cts rol tabanlı sgt haritası 11.11.11.0/29 sgt 11111
   • Device1(config)# cts rol tabanlı sgt haritası 192.168.1.0/28 sgt 65000
5. Cihaz2'de, Cihaz1'den alt ağdan SGT'ye genişlemeyi doğrulayın. 10.10.10.0/30 alt ağı için iki genişletme, 11.11.11.0/29 alt ağı için altı genişletme ve 14/192.168.1.0 alt ağı için 28 genişletme olmalıdır.
   Device2# cts sxp sgt harita özetini göster | 101|11111|65000'i içerir
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
   • IPv4,SGT:
6. Cihaz1'deki genişletme sayısını doğrulayın:
   Device1# cts sxp sgt haritasını göster
   • IP-SGT Eşlemeleri genişletildi:22
   • IP-SGT Eşlemesi yok
7. Cihaz1 ve Cihaz2'deki konfigürasyonları kaydedin ve global konfigürasyon modundan çıkın.
   Cihaz1(config)# kopya çalışan-yapılandırma başlangıç-yapılandırması
   Cihaz1(yapılandırma)# çıkış
   Cihaz2(config)# kopya çalışan-yapılandırma başlangıç-yapılandırması
   Cihaz2(yapılandırma)# çıkış

Examptarih:
Erişim Bağlantısı Üzerinden Tek Bir Ana Bilgisayar için VLAN'dan SGT'ye Eşleme Yapılandırması.

Aşağıdaki örnekteampDosyada tek bir ana bilgisayar, bir erişim cihazındaki VLAN 100'e bağlanır. TrustSec cihazındaki anahtarlanmış bir sanal arayüz, VLAN 100 uç noktası (IP Adresi 10.1.1.1) için varsayılan ağ geçididir. TrustSec cihazı Güvenlik Grubunu empoze eder Tag (SGT) 10, VLAN 100'den gelen paketlerde.

1. Bir erişim cihazında VLAN 100 oluşturun.
   • erişim_device# terminali yapılandır
   • erişim_aygıtı(yapılandırma)# vlan 100
   • erişim_device(config-vlan)# kapatma yok
   • erişim_device(config-vlan)# çıkış
   • erişim_aygıtı(yapılandırma)#
2. TrustSec cihazının arayüzünü erişim bağlantısı olarak yapılandırın. Uç nokta için yapılandırmalar
   1. bu örnekte erişim bağlantı noktası atlanmıştırampley.
   2. erişim_device(config)# arayüz gigabitEthernet 6/3
   3. erişim_device(config-if)# anahtar bağlantı noktası
   4. erişim_device(config-if)# anahtar bağlantı noktası modu erişimi
   5. erişim_device(config-if)# anahtar bağlantı noktası erişimi vlan 100
3. TrustSec cihazında VLAN 100 oluşturun.
   • TS_device(config)# vlan 100
   • TS_device(config-vlan)# kapatma yok
   • TS_device(config-vlan)# sonu
   • TS_cihaz#
4. Gelen VLAN 100 için ağ geçidi olarak bir SVI oluşturun.
   • TS_device(config)# arayüz vlan'ı 100
   • TS_device(config-if)# ip adresi 10.1.1.2 255.0.0.0
   • TS_device(config-if)# kapatma yok
   • TS_device(config-if)# sonu
   • TS_device(config)#
5. Güvenlik Grubunu Ata Tag (SGT) 10'dan VLAN 100'deki ana bilgisayarlara.
   • TS_device(config)# cts rol tabanlı sgt haritası vlan 100 sgt 10
6. TrustSec cihazında IP Cihaz Takibini etkinleştirin. Çalıştığını doğrulayın.
   • TS_device(config)# ip cihazı takibi
   • TS_device# ip cihazının tümünü takip ettiğini göster
7. (İsteğe bağlı) Bir uç noktadan varsayılan ağ geçidine PING gönderin (bu örnekteampdosya, ana bilgisayar IP Adresi 10.1.1.1). SGT 10'un VLAN 100 ana bilgisayarlarıyla eşlendiğini doğrulayın.
   

Exampdosya: Donanım Anahtar Deposunu Öykünme
Bu eskiampdosya, bir yazılım anahtar deposunun kullanımının nasıl yapılandırılacağını ve doğrulanacağını gösterir:

Exampdosya: Cihaz Rotası SGT'yi Yapılandırma

• Aygıt# terminali yapılandır
• Cihaz(yapılandırma)# cts rol tabanlı sgt haritası 0.0.0.0/0 sgt 3
• Cihaz(yapılandırma)# çıkış

Güvenlik Grubu İçin Özellik Geçmişi Tag Haritalama

• Bu tablo, bu modülde açıklanan özelliklere ilişkin sürüm ve ilgili bilgileri sağlar.
• Bu özellikler, aksi belirtilmediği sürece, tanıtıldıkları sürümden sonraki tüm sürümlerde mevcuttur.

Serbest bırakmak	Özellik	Özellik Bilgi
Cisco IOS XE Everest 16.5.1a	Güvenlik Grubu Tag Haritalama	Alt ağdan SGT'ye eşleme, bir SGT'yi belirtilen bir alt ağın tüm ana bilgisayar adreslerine bağlar. Bu eşleme uygulandıktan sonra Cisco TrustSec, SGT'yi belirtilen alt ağa ait bir kaynak IP adresine sahip gelen herhangi bir pakete uygular.
Cisco IOS XE Cebelitarık 16.11.1	Varsayılan Rota SGT Sınıflandırması	Varsayılan Rota SGT bir SGT atar tag Belirtilen rotayla eşleşmeyen rotaların numarası.

Platform ve yazılım görüntüsü desteği hakkında bilgi bulmak için Cisco Özellik Gezgini'ni kullanın. Cisco Özellik Gezgini'ne erişmek için şuraya gidin: http://www.cisco.com/go/cfn.

Belgeler / Kaynaklar

CISCO Güvenlik Grubunu Yapılandırma Tag Haritalama [pdf] Kullanıcı Kılavuzu Güvenlik Grubunu Yapılandırma Tag Eşleme, Yapılandırma, Güvenlik Grubu Tag Haritalama, Grup Tag Haritalama, Tag Haritalama

Referanslar

• Kullanıcı Kılavuzu