Налаштування групи безпеки CISCO Tag Картографування
Інформація про продукт
Продукт дозволяє налаштувати групу безпеки tag (SGT) відображення. Ця функція прив’язує SGT до всіх адрес хостів у вказаній підмережі. Після реалізації цього відображення Cisco TrustSec накладає SGT на будь-який вхідний пакет, який має IP-адресу джерела, яка належить до вказаної підмережі.
Обмеження для відображення SGT
Наступна команда не підтримується для конфігурації IP хоста: Device(config)#cts role-based sgt-map 0.0.0.0 sgt 1000
закінченоview зіставлення підмережі з SGT
- Відображення підмережі та SGT прив’язує SGT до всіх адрес хостів у вказаній підмережі. Cisco TrustSec накладає SGT на вхідний пакет, якщо IP-адреса джерела пакета належить до вказаної підмережі. Підмережа та SGT вказуються в CLI за допомогою
cts role-based sgt-map net_address/prefix sgt sgt_numberкоманда глобальної конфігурації. За допомогою цієї команди також можна зіставити один хост. - У мережах IPv4 протокол безпеки обміну (SXP) v3 і новіші версії можуть отримувати та аналізувати рядки мережевої адреси/префікса підмережі від вузлів SXPv3. Попередні версії SXP перетворюють префікс підмережі в свій набір прив’язок до хоста перед експортом їх до однорангового слухача SXP.
- Прив’язки підмереж є статичними, немає вивчення активних хостів. Їх можна використовувати локально для накладення SGT і примусового виконання SGACL. Пакети tagза допомогою зіставлення підмережі з SGT може поширюватися на рівнях 2 або 3 рівня Cisco TrustSec.
- Для мереж IPv6 SXPv3 не може експортувати прив’язки підмережі до вузлів SXPv2 або SXPv1.
закінченоview зіставлення VLAN-SGT
- Функція відображення VLAN-SGT прив’язує SGT до пакетів із зазначеної VLAN. Це спрощує перехід від застарілих мереж до мереж із підтримкою Cisco TrustSec.
- Прив’язка VLAN до SGT налаштована за допомогою
cts role-based sgt-map vlan-listкоманда глобальної конфігурації. - Коли VLAN призначається шлюз, який є комутованим віртуальним інтерфейсом (SVI) на комутаторі з підтримкою Cisco TrustSec, і на цьому комутаторі ввімкнено відстеження IP-пристроїв, Cisco TrustSec може створити прив’язку IP-SGT для будь-якого активного хоста на цій VLAN, зіставленій з підмережею SVI.
- Прив’язки IP-SGT для активних хостів VLAN експортуються до слухачів SXP. Прив’язки для кожної зіставленої VLAN вставляються в таблицю IP-to-SGT, пов’язану з VRF, на яку зіставлено VLAN, або її SVI, або за допомогою
cts role-based l2-vrfкоманда. - Прив’язки VLAN до SGT мають найнижчий пріоритет з усіх методів прив’язки та ігноруються, коли надходять прив’язки з інших джерел, наприклад із конфігурацій хосту SXP або CLI. Пріоритети прив’язки наведено в розділі Пріоритети джерела прив’язки.
Інструкція з використання продукту
Налаштування зіставлення підмережі з SGT
- Доступ до інтерфейсу CLI пристрою.
- Увійдіть у режим налаштування за допомогою
configкоманда. - Виконайте таку команду, щоб налаштувати зіставлення підмережі з SGT:
cts role-based sgt-map net_address/prefix sgt sgt_number- Замінити
net_address/prefixз адресою підмережі та довжиною префікса, який потрібно відобразити (наприклад, 192.168.1.0/24). - Замінити
sgt_numberз потрібною групою безпеки tag номер. - Натисніть Enter, щоб застосувати конфігурацію.
- Вийти з режиму налаштування.
Налаштування відображення VLAN-SGT
-
- Доступ до інтерфейсу CLI пристрою.
- Увійдіть у режим налаштування за допомогою
configкоманда. - Виконайте таку команду, щоб налаштувати відображення VLAN-SGT:
cts role-based sgt-map vlan-list- Укажіть VLAN, які потрібно зіставити з SGT.
- Натисніть Enter, щоб застосувати конфігурацію.
- Вийти з режиму налаштування.
Технічні характеристики
- Підтримувані мережі: IPv4, IPv6
- Підтримувані протоколи: Security Exchange Protocol (SXP) v3
- Підтримувані методи прив’язки: відображення підмережі до SGT, відображення VLAN до SGT
Часті запитання (FAQ)
- З: Чи можна експортувати прив’язки підмережі до вузлів SXPv2 або SXPv1 у мережах IPv6?
Відповідь: Ні, прив’язки підмережі можна експортувати лише до вузлів SXPv3 у мережах IPv6. - З: Який пріоритет прив’язок VLAN до SGT?
A: Прив’язки VLAN до SGT мають найнижчий пріоритет серед усіх методів прив’язки та ігноруються, коли надходять прив’язки з інших джерел.
Підмережа до групи безпеки tag (SGT) відображення прив’язує SGT до всіх адрес хостів у вказаній підмережі. Після реалізації цього відображення Cisco TrustSec накладає SGT на будь-який вхідний пакет, який має IP-адресу джерела, яка належить до вказаної підмережі.
Обмеження для відображення SGT
Обмеження для зіставлення підмережі з SGT
- Підмережа IPv4 із префіксом /31 не може бути розширена.
- Адреси хостів підмережі не можна прив’язати до групи безпеки Tags (SGT), коли параметр прив’язки карти мережі менший за загальну кількість хостів підмереж у вказаних підмережах або коли прив’язки дорівнюють 0.
- Розширення та поширення IPv6 відбувається лише тоді, коли спікер і слухач протоколу обміну безпекою (SXP) використовують SXPv3 або новішу версію.
Обмеження для відображення SGT маршруту за замовчуванням
- Конфігурація маршруту за замовчуванням приймається лише для підмережі /0. Якщо ввести лише IP-адресу хоста без підмережі /0, з’явиться таке повідомлення:
Інформація про SGT Mapping
У цьому розділі надається інформація про відображення SGT.
закінченоview
закінченоview зіставлення підмережі з SGT
Відображення підмережі та SGT прив’язує SGT до всіх адрес хостів у вказаній підмережі. Cisco TrustSec накладає SGT на вхідний пакет, якщо IP-адреса джерела пакета належить до вказаної підмережі. Підмережа та SGT вказуються в CLI за допомогою команди глобальної конфігурації sgt-map net_address/prefix sgt sgt_number на основі ролі cts. За допомогою цієї команди також можна зіставити один хост. У мережах IPv4 протокол безпеки обміну (SXP) v3 і новіші версії можуть отримувати та аналізувати рядки мережевої адреси/префікса підмережі від вузлів SXPv3. Попередні версії SXP перетворюють префікс підмережі в свій набір прив’язок до хоста перед експортом їх до однорангового слухача SXP.
наприкладample, підмережа IPv4 192.0.2.0/24 розширюється наступним чином (лише 3 біти для адрес хостів):
- Адреси хостів від 198.0.2.1 до 198.0.2.7—tagстворено та розповсюджено на одноранговий SXP.
- Мережні та широкомовні адреси 198.0.2.0 і 198.0.2.8—ні tagged і не розповсюджується.
Щоб обмежити кількість прив’язок підмережі, які SXPv3 може експортувати, скористайтеся командою глобальної конфігурації cts sxp mapping network-map. Прив’язки підмереж є статичними, немає вивчення активних хостів. Їх можна використовувати локально для накладення SGT і примусового виконання SGACL. Пакети tagза допомогою зіставлення підмережі з SGT може поширюватися на рівнях 2 або 3 рівня Cisco TrustSec. Для мереж IPv6 SXPv3 не може експортувати прив’язки підмережі до вузлів SXPv2 або SXPv1.
закінченоview зіставлення VLAN-SGT
Функція відображення VLAN-SGT прив’язує SGT до пакетів із зазначеної VLAN. Це спрощує перехід від застарілих мереж до мереж із підтримкою Cisco TrustSec наступним чином:
- Підтримує пристрої, які не підтримують Cisco TrustSec, але підтримують VLAN, наприклад застарілі комутатори, бездротові контролери, точки доступу, VPN тощо.
- Забезпечує зворотну сумісність для топологій, у яких VLAN і VLAN ACL сегментують мережу, наприклад, сегментація серверів у центрах обробки даних.
- Прив’язка VLAN до SGT налаштовується за допомогою команди глобальної конфігурації sgt-map vlan-list на основі cts.
- Коли VLAN призначається шлюз, який є комутованим віртуальним інтерфейсом (SVI) на комутаторі з підтримкою Cisco TrustSec, і на цьому комутаторі ввімкнено відстеження IP-пристроїв, Cisco TrustSec може створити прив’язку IP-SGT для будь-якого активного хоста на цій VLAN, зіставленій з підмережею SVI.
- Прив’язки IP-SGT для активних хостів VLAN експортуються до слухачів SXP. Прив’язки для кожної зіставленої VLAN вставляються в таблицю IP-to-SGT, пов’язану з VRF, на яку зіставлено VLAN, за допомогою SVI або команди l2-vrf на основі ролі cts.
- Прив’язки VLAN до SGT мають найнижчий пріоритет з усіх методів прив’язки та ігноруються, коли надходять прив’язки з інших джерел, наприклад із конфігурацій хосту SXP або CLI. Пріоритети прив’язки наведено в розділі Пріоритети джерела прив’язки.
Пріоритети джерел обов’язкових джерел
Cisco TrustSec вирішує конфлікти між джерелами прив’язки IP-SGT за допомогою строгої схеми пріоритетів. наприкладample, SGT може бути застосовано до інтерфейсу з політикою {динамічна ідентифікація peer-name | статичний сержант tag} Команда режиму ручного інтерфейсу Cisco Trustsec (відображення порту ідентифікації). Поточний порядок виконання пріоритетів, від найнижчого (1) до найвищого (7), є таким:
- VLAN: Прив’язки, отримані з переглянутих пакетів ARP у VLAN, для якої налаштовано зіставлення VLAN-SGT.
- CLI: Прив’язки адрес, налаштовані за допомогою форми IP-SGT глобальної команди налаштування sgt-map на основі ролі cts.
- SXP: Прив’язки, отримані від аналогів SXP.
- IP_ARP: Прив’язки вивчені коли tagged пакети ARP отримуються за CTS-сумісним з’єднанням.
- МІСЦЕВИЙ: Прив’язки автентифікованих хостів, які вивчаються через EPM і відстеження пристроїв. Цей тип зв’язування також включає окремі хости, які вивчаються за допомогою відстеження ARP на портах L2 [I], налаштованих PM.
- ВНУТРІШНІЙ: Прив’язки між локально налаштованими IP-адресами та власним SGT пристрою.
Примітка
Якщо IP-адреса джерела збігається з кількома префіксами підмережі з різними призначеними SGT, то пріоритет має найдовший префікс SGT, якщо пріоритет не відрізняється.
Маршрут за замовчуванням SGT
- Група безпеки маршруту за замовчуванням Tag (SGT) призначає номер SGT маршрутам за замовчуванням.
- Маршрут за замовчуванням – це той маршрут, який не збігається з указаним маршрутом і тому є маршрутом до кінцевого пункту призначення. Маршрути за замовчуванням використовуються для спрямування пакетів, адресованих мережам, які явно не вказані в таблиці маршрутизації.
Як налаштувати відображення SGT
У цьому розділі описано, як налаштувати зіставлення SGT.
Налаштування SGT пристрою вручну
У нормальній роботі Cisco TrustSec сервер автентифікації призначає SGT пристрою для пакетів, що надходять із пристрою. Ви можете вручну налаштувати SGT для використання, якщо сервер автентифікації недоступний, але SGT, призначений сервером автентифікації, матиме перевагу над SGT, призначеним вручну.
Щоб вручну налаштувати SGT на пристрої, виконайте це завдання:
Процедура
| Команда or Дія | призначення | |
| Крок 1 | включити | Вмикає привілейований режим EXEC. |
| Exampле:
№ пристрою включити |
• Якщо буде запропоновано, введіть свій пароль. | |
| Крок 2 | налаштувати термінал
Exampле: № пристрою налаштувати термінал |
Перехід у режим глобальної конфігурації. |
| Крок 3 | cts сержант tag
Exampле: Пристрій (конфігурація)# cts sgt 1234 |
Вмикає SXP для Cisco TrustSec. |
| Крок 4 | вихід
Exampле: Пристрій (конфігурація)# вихід |
Вихід із режиму глобальної конфігурації та повернення до привілейованого режиму EXEC |
Налаштування зіставлення підмережі з SGT
Процедура
| Команда or Дія | призначення | |
| Крок 1 | включити
Exampле: № пристрою включити |
Вмикає привілейований режим EXEC.
• Якщо буде запропоновано, введіть свій пароль. |
| Крок 2 | налаштувати термінал
Exampле: № пристрою налаштувати термінал |
Перехід у режим глобальної конфігурації. |
| Крок 3 | відображення cts sxp network-map палітурки
Exampле: Пристрій (конфігурація)# відображення cts sxp network-map 10000 |
• Налаштовує обмеження кількості хостів від підмережі до SGT Mapping. Аргумент прив’язки вказує максимальну кількість IP-хостів підмережі, які можна прив’язати до SGT і експортувати до прослухувача SXP.
• прив’язки—(від 0 до 65,535 0) за умовчанням XNUMX (розгортання не виконується) |
| Крок 4 | sgt-map на основі ролі cts ipv4_адреса/префікс
сержант номер Exampле: Пристрій (конфігурація)# cts на основі ролі sgt-map 10.10.10.10/29 sgt 1234 |
(IPv4) Визначає підмережу в нотації CIDR.
• Використовуйте форму команди no, щоб скасувати зіставлення підмережі з SGT. Кількість прив’язок, указана на кроці 2, має відповідати чи перевищувати кількість адрес хостів у підмережі (за винятком мережевих і широкомовних адрес). Ключове слово sgt number визначає Security |
| Група Tag бути прив’язаним до кожного хоста
адресу у вказаній підмережі. • ipv4_address — визначає мережеву адресу IPv4 у десятковій системі розділення крапками. • префікс—(від 0 до 30) визначає кількість бітів у мережевій адресі. • сержант номер—(0–65,535 XNUMX) Визначає групу безпеки Tag (SGT) номер. |
||
| Крок 5 | sgt-map на основі ролі cts ipv6_address::префікс
сержант номер Exampле: Пристрій (конфігурація)# cts на основі ролі sgt-map 2020::/64 sgt 1234 |
(IPv6) Визначає підмережу в шістнадцятковій системі двокрапки. Використовуйте форму команди no, щоб скасувати зіставлення підмережі з SGT.
Кількість прив’язок, указана на кроці 2, має відповідати чи перевищувати кількість адрес хостів у підмережі (за винятком мережевих і широкомовних адрес). Ключове слово sgt number визначає групу безпеки Tag бути прив’язаним до кожної адреси хоста у вказаній підмережі. • ipv6_address — вказує мережеву адресу IPv6 у шістнадцятковій системі двокрапки. • префікс—(від 0 до 128) визначає кількість бітів у мережевій адресі. • сержант номер—(0–65,535 XNUMX) Визначає групу безпеки Tag (SGT) номер. |
| Крок 6 | вихід
Exampле: Пристрій (конфігурація)# вихід |
Вихід із режиму глобальної конфігурації та повернення до привілейованого режиму EXEC. |
Налаштування відображення VLAN-SGT
Потік завдань для налаштування відображення VLAN-SGT на пристрої Cisco TrustSec.
- Створіть VLAN на пристрої з тим самим VLAN_ID, що й вхідна VLAN.
- Створіть SVI для VLAN на пристрої, який стане шлюзом за замовчуванням для клієнтів кінцевої точки.
- Налаштуйте пристрій для застосування SGT до трафіку VLAN.
- Увімкніть відстеження IP-пристрою на пристрої.
- Додайте політику відстеження пристрою до VLAN.
Примітка
У мережі з кількома комутаторами відстеження пристроїв на основі SISF надає можливість розподіляти записи таблиці зв’язків між комутаторами, на яких запущена функція. Це припускає, що зв’язувальні записи створюються на комутаторах, де хост з’являється на порті доступу, і не створюється жодного запису для хосту, який з’являється через магістральний порт. Щоб досягти цього в налаштуваннях з декількома комутаторами, ми рекомендуємо вам налаштувати іншу політику та приєднати її до магістрального порту, як описано в процедурі «Налаштування мережі з декількома комутаторами для припинення створення прив’язуваних записів із магістрального порту» в розділі «Налаштування SISF». - Розділ відстеження пристроїв на основі посібника з налаштування безпеки.
- Переконайтеся, що на пристрої відбувається відображення VLAN-SGT.
Процедура
| Команда or Дія | призначення | |
| Крок 1 | включити
Exampле: № пристрою включити |
Вмикає привілейований режим EXEC.
• Якщо буде запропоновано, введіть свій пароль. |
| Крок 2 | налаштувати термінал
Exampле: № пристрою налаштувати термінал |
Перехід у режим глобальної конфігурації. |
| Крок 3 | vlan vlan_id
Exampле: Пристрій (конфігурація)# vlan 100 |
Створює VLAN 100 на шлюзовому пристрої з підтримкою TrustSec і входить у VLAN
режим конфігурації. |
| Крок 4 | [немає] відключення
Exampле: Пристрій (config-vlan)# немає відключення |
Положення VLAN 100. |
| Крок 5 | вихід
Exampле: Пристрій (config-vlan)# вихід |
Вихід із режиму конфігурації VLAN і повернення до режиму глобальної конфігурації. |
| Крок 6 | інтерфейс типу слот/порт
Exampле: Пристрій (конфігурація)# інтерфейс vlan 100 |
Визначає тип інтерфейсу та переходить у режим налаштування інтерфейсу. |
| Крок 7 | ip адреса слот/порт
Exampле: Пристрій (config-if)# ip-адреса 10.1.1.2 255.0.0.0 |
Налаштовує комутований віртуальний інтерфейс (SVI) для VLAN 100. |
| Крок 8 | [немає ] відключення
Exampле: Пристрій (config-if)# немає відключення |
Вмикає SVI. |
| Крок 9 | вихід
Exampле: Пристрій (config-if)# вихід |
Вихід із режиму конфігурації інтерфейсу та повернення до режиму глобальної конфігурації. |
| Крок 10 | vlan-list на основі ролі sgt-map cts vlan_id сержант
sgt_number Exampле: Пристрій (конфігурація)# cts на основі ролі sgt-map vlan-list 100 sgt 10 |
Призначає вказаний SGT вказаній VLAN. |
| Крок 11 | політика відстеження пристроїв назва політики
Exampле: Пристрій (конфігурація)# політика відстеження пристрою policy1 |
Визначає політику та переходить у режим налаштування політики відстеження пристрою. |
| Крок 12 | увімкнути відстеження
Exampле: Пристрій (config-device-tracking)# відстеження включити |
Замінює параметри відстеження пристрою за умовчанням для атрибута політики. |
| Крок 13 | вихід
Exampле: Пристрій (config-device-tracking)# вихід |
Вихід із режиму налаштування політики відстеження пристрою та повернення до режиму глобальної конфігурації. |
| Крок 14 | конфігурація vlan vlan_id
Exampле: Пристрій (конфігурація)# конфігурація vlan 100 |
Визначає VLAN, до якої буде підключено політику відстеження пристрою, і переходить у режим налаштування VLAN. |
| Крок 15 | політика приєднання відстеження пристрою назва політики
Exampле: Пристрій (config-vlan-config)# політика прикріплення відстеження пристрою1 |
Додає політику відстеження пристрою до вказаної VLAN. |
| Крок 16 | кінець
Exampле: Пристрій (config-vlan-config)# кінець |
Виходить із режиму налаштування VLAN і повертається до привілейованого режиму EXEC. |
| Крок 17 | показати карту сержанта на основі ролі cts {ipv4_netaddr
| ipv4_netaddr/префікс | ipv6_netaddr | ipv6_netaddr/префікс |все [ipv4 |ipv6] |господар { ipv4 адреса |ipv6_addr } |резюме [ ipv4 |ipv6 ] |
(Необов’язково) Відображає зіставлення VLAN-SGT. |
| Exampле:
№ пристрою показати всю карту сержанта на основі ролі cts |
||
| Крок 18 | показати політику відстеження пристрою назва політики
Exampле: № пристрою показати політику відстеження пристрою policy1 |
(Необов’язково) Показує поточні атрибути політики. |
Емуляція апаратного сховища ключів
У випадках, коли апаратне сховище ключів відсутнє або його не можна використовувати, ви можете налаштувати комутатор на використання програмної емуляції сховища ключів. Щоб налаштувати використання програмного сховища ключів, виконайте це завдання:
Процедура
| Команда or Дія | призначення | |
| Крок 1 | включити
Exampле: № пристрою включити |
Вмикає привілейований режим EXEC.
• Якщо буде запропоновано, введіть свій пароль. |
| Крок 2 | налаштувати термінал
Exampле: № пристрою налаштувати термінал |
Перехід у режим глобальної конфігурації. |
| Крок 3 | емуляція сховища ключів cts
Exampле: Пристрій (конфігурація)# емуляція сховища ключів cts |
Налаштовує комутатор на використання програмної емуляції сховища ключів замість апаратного сховища ключів. |
| Крок 4 | вихід
Exampле: Пристрій (конфігурація)# вихід |
Вихід з режиму налаштування. |
| Крок 5 | показати сховище ключів
Exampле: № пристрою показати сховище ключів |
Відображає стан і вміст сховища ключів. Збережені секрети не відображаються. |
Налаштування маршруту за замовчуванням SGT
Перш ніж почати
Переконайтеся, що ви вже створили маршрут за замовчуванням на пристрої за допомогою команди ip route 0.0.0.0. В іншому випадку маршрут за замовчуванням (який постачається з маршрутом за замовчуванням SGT) отримує невідомий пункт призначення, і тому кінцевий пункт призначення вказуватиме на ЦП.
Процедура
| Команда or Дія | призначення | |
| Крок 1 | включити
Exampле: Пристрій> увімкнути |
Вмикає привілейований режим EXEC.
• Якщо буде запропоновано, введіть свій пароль. |
| Крок 2 | налаштувати термінал
Exampле: Термінал конфігурації пристрою № |
Перехід у режим глобальної конфігурації. |
| Крок 3 | cts на основі ролі sgt-map 0.0.0.0/0 sgt номер
Exampле: Пристрій (конфігурація) # cts на основі ролей sgt-map 0.0.0.0/0 sgt 3 |
Вказує номер SGT для маршруту за замовчуванням. Дійсні значення від 0 до 65,519 XNUMX.
Примітка • The адреса/підмережа може бути адресою IPv4 (0.0.0.0/0) або адресою IPv6 (0:0::/0) • Маршрут за умовчанням конфігурація приймається лише з підмережею /0. Якщо ввести лише IP-адресу хоста без підмережі /0, з’явиться таке повідомлення: Пристрій (конфігурація)#cts рольова карта сержанта 0.0.0.0 sgt 1000 Конфігурація маршруту за замовчуванням не підтримується для IP хоста |
| Крок 4 | вихід
Exampле: Пристрій (конфігурація) # вихід |
Вихід із режиму глобальної конфігурації. |
Перевірка відображення SGT
У наступних розділах показано, як перевірити зіставлення SGT:
Перевірка конфігурації зіставлення підмережі з SGT
Щоб відобразити інформацію про конфігурацію відображення підмережі та SGT, скористайтеся однією з таких команд show:
| Команда | призначення |
| показати підключення cts sxp | Відображає підключення динаміків і слухачів SXP з їхнім робочим станом. |
| показати cts sxp sgt-map | Відображає прив’язки IP до SGT, експортовані до прослуховувачів SXP. |
| показати запущену конфігурацію | Перевіряє, чи є команди конфігурації підмережі до SGT у поточній конфігурації file. |
Перевірка відображення VLAN-SGT
Щоб відобразити інформацію про конфігурацію VLAN-to-SGT, використовуйте такі команди show:
Таблиця 1:
| Команда | призначення |
| показати політику відстеження пристрою | Відображає поточні атрибути політики політики відстеження пристрою. |
| показати карту сержанта на основі ролі cts | Відображає прив’язки IP-адреси до SGT. |
Перевірка конфігурації SGT маршруту за замовчуванням
Перевірте конфігурацію SGT маршруту за замовчуванням:
пристрій № показує рольову карту сержанта, усю активну інформацію про прив’язки IPv4-SGT
Конфігурація Прampфайли для SGT Mapping
У наступних розділах показано конфігурацію напрampфайли зіставлення SGT:
Example: Налаштування SGT пристрою вручну
- Термінал конфігурації пристрою №
- Пристрій (конфігурація) # cts sgt 1234
- Пристрій (конфігурація) # вихід
Example: Конфігурація для зіставлення підмережі з SGT
Наступний прикладampУ файлі показано, як налаштувати відображення IPv4 Subnet-to-SGT між пристроями, на яких працює SXPv3 (Пристрій 1 і Пристрій 2):
- Налаштуйте спікер SXP між пристроями.
- Термінал налаштування Device1#
- Device1(config)# cts sxp enable
- Device1(config)# cts sxp default source-ip 1.1.1.1
- Device1(config)# cts sxp пароль за замовчуванням 1syzygy1
- Device1(config)# cts sxp connection peer 2.2.2.2 пароль за замовчуванням локальний динамік
- Налаштуйте Device2 як слухач SXP для Device1.
- Device2(config)# cts sxp enable
- Device2(config)# cts sxp default source-ip 2.2.2.2
- Device2(config)# cts sxp пароль за замовчуванням 1syzygy1
- Device2(config)# cts sxp підключення peer 1.1.1.1 пароль за замовчуванням локальний слухач
- На пристрої Device2 переконайтеся, що підключення SXP працює:
Device2# показати cts sxp з’єднання короткий | включити 1.1.1.1 1.1.1.1 2.2.2.2 У 3:22:23:18 (дд:год:хх:сек) - Налаштуйте підмережі, які потрібно розширити на Device1.
- Device1(config)# cts sxp mapping network-map 10000
- Device1(config)# cts role-based sgt-map 10.10.10.0/30 sgt 101
- Device1(config)# cts role-based sgt-map 11.11.11.0/29 sgt 11111
- Device1(config)# cts role-based sgt-map 192.168.1.0/28 sgt 65000
- На пристрої 2 перевірте розширення підмережі до SGT із пристрою 1. Має бути два розширення для підмережі 10.10.10.0/30, шість розширень для підмережі 11.11.11.0/29 і 14 розширень для підмережі 192.168.1.0/28.
Device2# показати cts sxp sgt-map brief | включають 101|11111|65000- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- IPv4,SGT:
- Перевірте кількість розширень на пристрої 1:
Device1# показує cts sxp sgt-map- Відображення IP-SGT розширено:22
- Немає зіставлень IP-SGT
- Збережіть конфігурації на Device1 і Device2 і вийдіть з режиму глобальної конфігурації.
Device1(config)# копія run-config startup-config
Device1(config)# вихід
Device2(config)# копія run-config startup-config
Device2(config)# вихід
Exampле:
Конфігурація відображення VLAN-SGT для одного хоста через канал доступу.
У наступному прикладіample один хост підключається до VLAN 100 на пристрої доступу. Комутований віртуальний інтерфейс на пристрої TrustSec є шлюзом за умовчанням для кінцевої точки VLAN 100 (IP-адреса 10.1.1.1). Пристрій TrustSec накладає групу безпеки Tag (SGT) 10 на пакети з VLAN 100.
- Створіть VLAN 100 на пристрої доступу.
- access_device# налаштувати термінал
- access_device(config)# vlan 100
- access_device(config-vlan)# немає вимкнення
- access_device(config-vlan)# вихід
- access_device(config)#
- Налаштуйте інтерфейс до пристрою TrustSec як посилання доступу. Конфігурації для кінцевої точки
- порт доступу опущено в цьому прикладіample.
- access_device(config)# інтерфейс gigabitEthernet 6/3
- access_device(config-if)# switchport
- access_device(config-if)# доступ до режиму switchport
- access_device(config-if)# switchport access vlan 100
- Створіть VLAN 100 на пристрої TrustSec.
- TS_device(config)# vlan 100
- TS_device(config-vlan)# не вимикається
- TS_device(config-vlan)# кінець
- TS_device#
- Створіть SVI як шлюз для вхідної VLAN 100.
- TS_device(config)# інтерфейс vlan 100
- TS_device(config-if)# ip-адреса 10.1.1.2 255.0.0.0
- TS_device(config-if)# немає вимкнення
- TS_device(config-if)# кінець
- TS_device(config)#
- Призначити групу безпеки Tag (SGT) 10 до хостів у VLAN 100.
- TS_device(config)# cts role-based sgt-map vlan 100 sgt 10
- Увімкніть відстеження IP-пристроїв на пристрої TrustSec. Переконайтеся, що він працює.
- TS_device(config)# відстеження IP-пристроїв
- TS_device# показує IP-пристрій, що відстежує всі
- (Необов’язково) PING шлюз за замовчуванням із кінцевої точки (у цьому прикладіample, IP-адреса хоста 10.1.1.1). Переконайтеся, що SGT 10 зіставляється з хостами VLAN 100.
Example: Емуляція апаратного сховища ключів
Цей колишнійampУ файлі показано, як налаштувати та перевірити використання програмного сховища ключів:
Example: Налаштування Device Route SGT
- Термінал конфігурації пристрою №
- Пристрій (конфігурація) # cts на основі ролей sgt-map 0.0.0.0/0 sgt 3
- Пристрій (конфігурація) # вихід
Історія функцій для групи безпеки Tag Картографування
- У цій таблиці наведено випуски та пов’язану інформацію щодо функцій, які пояснюються в цьому модулі.
- Ці функції доступні в усіх випусках після того, у якому вони були представлені, якщо не зазначено інше.
| Звільнення | Особливість | Особливість Інформація |
| Cisco IOS XE Everest 16.5.1a | Група безпеки Tag Картографування | Відображення підмережі та SGT прив’язує SGT до всіх адрес хостів у вказаній підмережі. Після реалізації цього відображення Cisco TrustSec накладає SGT на будь-який вхідний пакет, який має IP-адресу джерела, яка належить до вказаної підмережі. |
| Cisco IOS XE Гібралтар 16.11.1 | Класифікація SGT маршруту за замовчуванням | Маршрут за замовчуванням SGT призначає SGT tag номер тих маршрутів, які не відповідають вказаному маршруту. |
Використовуйте навігатор функцій Cisco, щоб знайти інформацію про підтримку образів платформи та програмного забезпечення. Щоб отримати доступ до Cisco Feature Navigator, перейдіть до http://www.cisco.com/go/cfn.
Документи / Ресурси
 |
Налаштування групи безпеки CISCO Tag Картографування [pdfПосібник користувача Налаштування групи безпеки Tag Відображення, налаштування, група безпеки Tag Картографування, Група Tag картографування, Tag Картографування |
