Isine ndhelikake
1 CISCO Configuring Security Group Tag pemetaan
2 Informasi produk
3 Pandhuan Panggunaan Produk
4 Watesan kanggo SGT Mapping
5 Informasi Babagan SGT Mapping
5.1 Swaraview
5.2 Binding Source Prioritas
6 Carane Ngatur SGT Mapping
6.1 Konfigurasi Subnet-to-SGT Mapping
6.2 Konfigurasi VLAN-kanggo-SGT Mapping
6.3 Emulating Hardware Keystore
7 Verifikasi SGT Mapping
8 Konfigurasi Examples kanggo SGT Mapping
9 Riwayat Fitur kanggo Grup Keamanan Tag pemetaan
10 Dokumen / Sumber Daya
10.1 Referensi
11 Kiriman sing gegandhengan

CISCO-logo

CISCO Configuring Security Group Tag pemetaan

CISCO-Configuring-Security-Group-Tag-Pemetaan-produk

Informasi produk

Produk ngidini kanggo ngatur grup keamanan tag (SGT) pemetaan. Fitur iki ngiket SGT menyang kabeh alamat host subnet tartamtu. Sawise pemetaan iki dipun ginakaken, Cisco TrustSec nemtokke SGT ing sembarang paket mlebu sing duwe alamat IP sumber sing belongs kanggo subnet kasebut.

Watesan kanggo SGT Mapping
Printah ing ngisor iki ora didhukung kanggo konfigurasi IP host: Device(config)#cts role-based sgt-map 0.0.0.0 sgt 1000

Swaraview saka Subnet-to-SGT Mapping

  • Pemetaan Subnet-to-SGT ngiket SGT menyang kabeh alamat host saka subnet sing ditemtokake. Cisco TrustSec nemtokke SGT ing paket mlebu nalika alamat IP sumber paket belongs kanggo subnet kasebut. Subnet lan SGT kasebut ing CLI karocts role-based sgt-map net_address/prefix sgt sgt_number printah konfigurasi global. Sawijining host uga bisa dipetakan nganggo printah iki.
  • Ing jaringan IPv4, Security Exchange Protocol (SXP)v3, lan versi sing luwih anyar, bisa nampa lan ngurai subnet net_address/prefix strings saka kanca-kanca SXPv3. Versi SXP sadurungé ngowahi ater-ater subnet dadi kumpulan bindings host sadurunge ngekspor menyang peer listener SXP.
  • Bindings subnet statis, ora ana sinau saka host aktif. Bisa digunakake sacara lokal kanggo imposisi SGT lan penegakan SGACL. Paket tagged dening subnet-kanggo-SGT pemetaan bisa propagated ing Layer 2 utawa Layer 3 pranala Cisco TrustSec.
  • Kanggo jaringan IPv6, SXPv3 ora bisa ngekspor ikatan subnet menyang SXPv2 utawa SXPv1 peer.

Swaraview saka VLAN-kanggo-SGT Mapping

  • Fitur pemetaan VLAN-kanggo-SGT ngiket SGT menyang paket saka VLAN sing ditemtokake. Iki nyederhanakake migrasi saka warisan menyang jaringan sing nduweni kemampuan Cisco TrustSec.
  • VLAN-kanggo-SGT naleni diatur karo cts role-based sgt-map vlan-list printah konfigurasi global.
  • Nalika VLAN diutus gateway sing diuripake antarmuka virtual (SVI) ing Cisco TrustSec-bisa ngalih, lan IP Piranti nelusuri diaktifake ing ngalih, banjur Cisco TrustSec bisa nggawe IP-kanggo-SGT naleni kanggo sembarang host aktif. ing VLAN sing dipetakan menyang subnet SVI.
  • Ikatan IP-SGT kanggo host VLAN aktif diekspor menyang pamireng SXP. Bindings kanggo saben VLAN sing dipetakan dilebokake menyang tabel IP-to-SGT sing digandhengake karo VRF sing VLAN dipetakan dening SVI utawa dening cts role-based l2-vrf dhawuh.
  • VLAN-kanggo-SGT bindings duwe prioritas paling saka kabeh cara naleni lan digatèkaké nalika bindings saka sumber liyane ditampa, kayata saka SXP utawa konfigurasi inang CLI. Prioritas ikatan kadhaptar ing bagean Prioritas Sumber Binding.

Pandhuan Panggunaan Produk

Konfigurasi Subnet-to-SGT Mapping

  1. Ngakses antarmuka CLI piranti.
  2. Ketik mode konfigurasi nggunakake config dhawuh.
  3. Jalanake printah ing ngisor iki kanggo ngatur pemetaan subnet-to-SGT:
cts role-based sgt-map net_address/prefix sgt sgt_number
  1. Ganti net_address/prefix kanthi alamat subnet lan dawa ater-ater sing pengin dipetakan (contone, 192.168.1.0/24).
  2. Ganti sgt_number karo grup keamanan sing dikarepake tag nomer.
  3. Pencet Enter kanggo ngetrapake konfigurasi.
  4. Metu saka mode konfigurasi.

Konfigurasi VLAN-kanggo-SGT Mapping

    1. Ngakses antarmuka CLI piranti.
    2. Ketik mode konfigurasi nggunakake config dhawuh.
    3. Jalanake printah ing ngisor iki kanggo ngatur pemetaan VLAN-to-SGT:
cts role-based sgt-map vlan-list
  1. Nemtokake VLAN sing bakal dipetakan menyang SGT.
  2. Pencet Enter kanggo ngetrapake konfigurasi.
  3. Metu saka mode konfigurasi.

Spesifikasi

  • Jaringan sing Didhukung: IPv4, IPv6
  • Protokol sing Didhukung: Protokol Exchange Keamanan (SXP)v3
  • Metode Binding yang Didukung: Subnet-to-SGT Mapping, VLAN-to-SGT Mapping

Pitakonan sing Sering Ditakoni (FAQ)

  • P: Apa subnet bindings bisa diekspor menyang SXPv2 utawa SXPv1 peer ing jaringan IPv6?
    A: Ora, binding subnet mung bisa diekspor menyang SXPv3 peer ing jaringan IPv6.
  • P: Apa prioritas pengikatan VLAN-kanggo-SGT?
    A: VLAN-kanggo-SGT bindings duwe prioritas paling ing antarane kabeh cara naleni lan digatèkaké nalika bindings saka sumber liyane ditampa.

Subnet menyang grup keamanan tag (SGT) pemetaan njiret SGT kanggo kabeh alamat host saka subnet tartamtu. Sawise pemetaan iki dipun ginakaken, Cisco TrustSec nemtokke SGT ing sembarang paket mlebu sing duwe alamat IP sumber sing belongs kanggo subnet kasebut.

Watesan kanggo SGT Mapping

Watesan kanggo Subnet-to-SGT Mapping

  • Subjaringan IPv4 kanthi awalan /31 ora bisa ditambahi.
  • Alamat host subnet ora bisa diikat menyang Grup Keamanan Tags (SGT)s nalika parameter ikatan peta jaringan kurang saka jumlah total host subnet ing subnet sing ditemtokake, utawa nalika binding 0.
  • Ekspansi lan panyebaran IPv6 mung dumadi nalika speaker lan pamireng Keamanan Exchange Protocol (SXP) mbukak SXPv3 utawa versi sing luwih anyar.

Watesan kanggo Default Route SGT Mapping

  • Konfigurasi rute Default ditampa mung karo subnet /0. Ngetik mung host-ip tanpa subnet / 0 nampilake pesen ing ngisor iki:CISCO-Configuring-Security-Group-Tag-Pemetaan-anjir- (1)

Informasi Babagan SGT Mapping

Bagean iki menehi informasi babagan pemetaan SGT.

Swaraview

Swaraview saka Subnet-to-SGT Mapping
Pemetaan Subnet-to-SGT ngiket SGT menyang kabeh alamat host saka subnet sing ditemtokake. Cisco TrustSec nemtokke SGT ing paket mlebu nalika alamat IP sumber paket belongs kanggo subnet kasebut. Subnet lan SGT ditemtokake ing CLI kanthi cts role-based sgt-map net_address/prefix sgt sgt_number printah konfigurasi global. Sawijining host uga bisa dipetakan nganggo printah iki. Ing jaringan IPv4, Security Exchange Protocol (SXP)v3, lan versi sing luwih anyar, bisa nampa lan ngurai subnet net_address/prefix strings saka kanca-kanca SXPv3. Versi SXP sadurungé ngowahi ater-ater subnet dadi kumpulan bindings host sadurunge ngekspor menyang peer pamireng SXP.

Kanggo exampNanging, subnet IPv4 192.0.2.0/24 ditambahi kaya ing ngisor iki (mung 3 bit kanggo alamat host):

  • Alamat host 198.0.2.1 nganti 198.0.2.7—tagged lan propagated kanggo SXP peer.
  • Alamat jaringan lan siaran 198.0.2.0 lan 198.0.2.8—ora tagged lan ora disebarake.

Kanggo matesi jumlah subnet bindings SXPv3 bisa ngekspor, nggunakake cts sxp mapping network-map printah konfigurasi global. Bindings subnet statis, ora ana sinau saka host aktif. Bisa digunakake sacara lokal kanggo imposisi SGT lan penegakan SGACL. Paket tagged dening subnet-kanggo-SGT pemetaan bisa propagated ing Layer 2 utawa Layer 3 pranala Cisco TrustSec. Kanggo jaringan IPv6, SXPv3 ora bisa ngekspor ikatan subnet menyang SXPv2 utawa SXPv1 peer.

Swaraview saka VLAN-kanggo-SGT Mapping
Fitur pemetaan VLAN-kanggo-SGT ngiket SGT menyang paket saka VLAN sing ditemtokake. Iki nyederhanakake migrasi saka warisan menyang jaringan sing nduweni kemampuan Cisco TrustSec kaya ing ngisor iki:

  • Ndhukung piranti sing ora Cisco TrustSec-bisa nanging VLAN-mampu, kayata, ngalih warisan, controller nirkabel, titik akses, VPN, etc.
  • Nyedhiyakake kompatibilitas mundur kanggo topologi ing ngendi VLAN lan VLAN ACL segmen jaringan, kayata, segmentasi server ing pusat data.
  • Ikatan VLAN-kanggo-SGT dikonfigurasi karo cts role-based sgt-map vlan-list printah konfigurasi global.
  • Nalika VLAN diutus gateway sing diuripake antarmuka virtual (SVI) ing Cisco TrustSec-bisa ngalih, lan IP Piranti nelusuri diaktifake ing ngalih, banjur Cisco TrustSec bisa nggawe IP-kanggo-SGT naleni kanggo sembarang host aktif. ing VLAN sing dipetakan menyang subnet SVI.
  • Ikatan IP-SGT kanggo host VLAN aktif diekspor menyang pamireng SXP. Ikatan kanggo saben VLAN sing dipetakan dilebokake menyang tabel IP-kanggo-SGT sing digandhengake karo VRF ing VLAN sing digambarake dening SVI utawa perintah l2-vrf adhedhasar peran cts.
  • VLAN-kanggo-SGT bindings duwe prioritas paling saka kabeh cara naleni lan digatèkaké nalika bindings saka sumber liyane ditampa, kayata saka SXP utawa konfigurasi inang CLI. Prioritas ikatan kadhaptar ing bagean Prioritas Sumber Binding.
Binding Source Prioritas

Cisco TrustSec mutusake masalah konflik antarane sumber naleni IP-SGT karo rencana prioritas ketat. Kanggo example, SGT bisa diterapake ing antarmuka kanthi kabijakan {identitas dinamis peer-name | statis wae tag} Cisco Trustsec Manual printah mode antarmuka (Identity Port Mapping). Urutan penegakan prioritas saiki, saka paling (1) nganti paling dhuwur (7), kaya ing ngisor iki:

  1. VLAN: Bindings sinau saka paket ARP snooped ing VLAN sing wis VLAN-SGT pemetaan diatur.
  2. CLI: bindings alamat diatur nggunakake wangun IP-SGT saka cts peran basis sgt-map printah konfigurasi global.
  3. SXP: Bindings sinau saka kanca-kanca SXP.
  4. IP_ARP: Bindings sinau nalika tagpaket ARP ged ditampa ing link CTS-mampu.
  5. LOKAL: Bindings saka sarwa dumadi otentikasi kang sinau liwat EPM lan nelusuri piranti. Jinis naleni iki uga kalebu host individu sing sinau liwat ARP snooping ing L2 [I] port PM-dikonfigurasi.
  6. Internal: Bindings antarane alamat IP diatur sacara lokal lan SGT piranti dhewe.

Cathetan
Yen alamat IP sumber cocog karo macem-macem ater-ater subnet kanthi SGT sing beda-beda, mula SGT ater-ater paling dawa bakal diutamakake kajaba prioritas beda.

Rute Default SGT

  • Grup Keamanan Rute Default Tag (SGT) nemtokake nomer SGT kanggo rute standar.
  • Rute Default yaiku rute sing ora cocog karo rute sing ditemtokake lan mulane minangka rute menyang tujuan pungkasan. Rute standar digunakake kanggo ngarahake paket menyang jaringan sing ora kadhaptar kanthi jelas ing tabel routing.

Carane Ngatur SGT Mapping

Bagean iki nerangake carane ngatur pemetaan SGT.

Konfigurasi Piranti SGT kanthi manual
Ing operasi Cisco TrustSec normal, server bukti asli menehi SGT kanggo piranti kanggo paket sing asalé saka piranti. Sampeyan bisa kanthi manual ngatur SGT kanggo digunakake yen server bukti asli ora bisa diakses, nanging SGT diutus server otentikasi bakal njupuk precedence liwat SGT diutus manual.

Kanggo ngatur SGT kanthi manual ing piranti, tindakake tugas iki:

tata cara

  dhawuh or Tumindak tujuane
Langkah 1 ngaktifake Ngaktifake mode EXEC sing duwe hak istimewa.
  Example:

Piranti# ngaktifake

 • Ketik sandhi yen dijaluk.
Langkah 2 ngatur terminal

Example:

Piranti# ngatur terminal

 Mlebet mode konfigurasi global.
Langkah 3 cts sgt tag

Example:

Piranti(config)# cts sg 1234

 Mbisakake SXP kanggo Cisco TrustSec.
Langkah 4 metu

Example:

Piranti(config)# metu

 Metu saka mode konfigurasi global lan bali menyang mode EXEC istimewa
Konfigurasi Subnet-to-SGT Mapping

tata cara

  dhawuh or Tumindak tujuane
Langkah 1 ngaktifake

Example:

Piranti# ngaktifake

 Ngaktifake mode EXEC sing duwe hak istimewa.

• Ketik sandhi yen dijaluk.
Langkah 2 ngatur terminal

Example:

Piranti# ngatur terminal

 Mlebet mode konfigurasi global.
Langkah 3 cts sxp pemetaan jaringan-peta pangiket

Example:

Piranti(config)# cts sxp mapping network-map 10000

 •  Konfigurasi Subnet kanggo SGT Mapping watesan count host. Argumentasi bindings nemtokake jumlah maksimum host IP subnet sing bisa diikat menyang SGT lan diekspor menyang pamireng SXP.

•  bindings—(0 nganti 65,535) standar yaiku 0 (ora ana ekspansi sing ditindakake)
Langkah 4 cts peran-based sgt-map ipv4_address/prefix

sgt nomer

Example:

Piranti(config)# cts peran-based sgt-map 10.10.10.10/29 sgt 1234

 (IPv4) Nemtokake subnet ing notasi CIDR.

•  Gunakake printah ora ana kanggo mbatalake konfigurasi pemetaan Subnet menyang SGT. Jumlah ikatan sing ditemtokake ing Langkah 2 kudu cocog utawa ngluwihi jumlah alamat host ing subnet (ora kalebu alamat jaringan lan siaran). Tembung kunci nomer sgt nemtokake Keamanan
    Kelompok Tag kanggo kaiket kanggo saben host

alamat ing subnet sing ditemtokake.

•  ipv4_address—Nemtokake alamat jaringan IPv4 ing notasi desimal titik-titik.

•  awalan—(0 nganti 30) Nemtokake jumlah bit ing alamat jaringan.

•  sgt nomer—(0–65,535) Nemtokake Grup Keamanan Tag (SGT) angka.
Langkah 5 cts peran-based sgt-map ipv6_address::prefix

sgt nomer

Example:

Piranti(config)# cts peran-based sgt-map 2020::/64 sgt 1234

 (IPv6) Nemtokake subnet ing notasi heksadesimal titik. Gunakake ora wangun printah kanggo unconfigure Subnet kanggo pemetaan SGT.

Jumlah ikatan sing ditemtokake ing Langkah 2 kudu cocog utawa ngluwihi jumlah alamat host ing subnet (ora kalebu alamat jaringan lan siaran). Tembung kunci nomer sgt nemtokake Grup Keamanan Tag diikat menyang saben alamat host ing subnet sing ditemtokake.

•  ipv6_address—Nemtokake alamat jaringan IPv6 ing notasi heksadesimal titik.

•  awalan—(0 nganti 128) Nemtokake jumlah bit ing alamat jaringan.

•  sgt nomer—(0–65,535) Nemtokake Grup Keamanan Tag (SGT) angka.
Langkah 6 metu

Example:

Piranti(config)# metu

 Metu saka mode konfigurasi global lan bali menyang mode EXEC istimewa.
Konfigurasi VLAN-kanggo-SGT Mapping

Alur tugas kanggo Konfigurasi VLAN-SGT Mapping ing piranti Cisco TrustSec.

  • Nggawe VLAN ing piranti karo VLAN_ID padha VLAN mlebu.
  • Nggawe SVI kanggo VLAN ing piranti dadi gateway standar kanggo klien endpoint.
  • Ngatur piranti kanggo aplikasi SGT kanggo lalu lintas VLAN.
  • Aktifake nelusuri Piranti IP ing piranti.
  • Pasang kabijakan nelusuri piranti menyang VLAN.

Cathetan
Ing jaringan multi-switch, nelusuri piranti basis SISF nyedhiyakake kemampuan kanggo nyebarake entri tabel sing naleni antarane switch sing nganggo fitur kasebut. Iki nganggep yen entri naleni digawe ing switch ing ngendi host katon ing port akses, lan ora ana entri sing digawe kanggo host sing katon ing port trunk. Kanggo entuk iki ing persiyapan multi-switch, disaranake sampeyan ngatur kabijakan liyane lan masang menyang port trunk, kaya sing diterangake ing Konfigurasi Jaringan Multi-Switch kanggo Mungkasi Nggawe Entri Binding saka prosedur Trunk Port, ing Konfigurasi SISF -Based Piranti nelusuri bab Pandhuan Konfigurasi Keamanan.

  • Verifikasi yen pemetaan VLAN-kanggo-SGT dumadi ing piranti.

tata cara

  dhawuh or Tumindak tujuane
Langkah 1 ngaktifake

Example:

Piranti# ngaktifake

 Ngaktifake mode EXEC sing duwe hak istimewa.

• Ketik sandhi yen dijaluk.
Langkah 2 ngatur terminal

Example:

Piranti# ngatur terminal

 Mlebet mode konfigurasi global.
Langkah 3 vlan vlan_id

Example:

Piranti(config)# vlan 100

 Nggawe VLAN 100 ing piranti gateway sing bisa dipercaya TrustSec lan mlebu VLAN

mode konfigurasi.
Langkah 4 [ora] mateni

Example:

Piranti(config-vlan)# ora mati

 Ketentuan VLAN 100.
Langkah 5 metu

Example:

Piranti(config-vlan)# metu

 Metu saka mode konfigurasi VLAN lan bali menyang mode konfigurasi global.
Langkah 6 antarmuka jinis slot / port

Example:

Piranti(config)# antarmuka vlan 100

 Nemtokake jinis antarmuka lan mlebu mode konfigurasi antarmuka.
Langkah 7 alamat ip slot / port

Example:

Piranti (config-if)# IP Address 10.1.1.2 255.0.0.0

 Konfigurasi Switched Virtual Interface (SVI) kanggo VLAN 100.
Langkah 8 [ora ] mateni

Example:

Piranti (config-if)# ora mati

 Ngaktifake SVI.
Langkah 9 metu

Example:

Piranti (config-if)# metu

 Metu saka mode konfigurasi antarmuka lan bali menyang mode konfigurasi global.
Langkah 10 cts peran-based sgt-map vlan-list vlan_id sgt

nomer_sg

Example:

Piranti(config)# cts peran-based sgt-map vlan-list 100 sgt 10

 Nemtokake SGT sing ditemtokake menyang VLAN sing ditemtokake.
Langkah 11 kabijakan nelusuri piranti jeneng privasi

Example:

Piranti(config)# kabijakan kabijakan nelusuri piranti1

 Nemtokake kabijakan lan mlebu mode konfigurasi kabijakan nelusuri piranti.
Langkah 12 nelusuri ngaktifake

Example:

Piranti(config-device-tracking)# nglacak ngaktifake

 Ninggalake setelan nelusuri piranti gawan kanggo atribut kabijakan.
Langkah 13 metu

Example:

Piranti(config-device-tracking)# metu

 Metu saka mode konfigurasi kabijakan nelusuri piranti lan bali menyang mode konfigurasi global.
Langkah 14 konfigurasi vlan vlan_id

Example:

Piranti(config)# konfigurasi vlan 100

 Nemtokake VLAN kanggo kabijakan nelusuri piranti bakal ditempelake, lan lumebu ing mode konfigurasi VLAN.
Langkah 15 kabijakan lampiran pelacakan piranti jeneng privasi

Example:

Piranti(config-vlan-config)#

kabijakan lampiran-pelacakan piranti1

 Masang kabijakan nelusuri piranti menyang VLAN sing ditemtokake.
Langkah 16 pungkasan

Example:

Piranti(config-vlan-config)# pungkasan

 Metu saka mode konfigurasi VLAN lan bali menyang mode EXEC istimewa.
Langkah 17 nuduhake cts peran-based sgt-map {ipv4_netaddr

| ipv4_netaddr/awalan | ipv6_netaddr | ipv6_netaddr/awalan |kabeh [ipv4 |ipv6] |tuan rumah { ipv4 addr |ipv6_addr } |ringkesan [ ipv4

|ipv6 ]

 (Opsional) Nampilake pemetaan VLAN-kanggo-SGT.
  Example:

Piranti# nuduhake cts peran-based sgt-map kabeh

  
Langkah 18 nuduhake kabijakan nelusuri piranti jeneng privasi

Example:

Piranti# nuduhake kabijakan kabijakan nelusuri piranti1

 (Opsional) Nampilake atribut kebijakan saiki.
Emulating Hardware Keystore

Ing kasus nalika keystore hardware ora ana utawa ora bisa digunakake, sampeyan bisa ngatur saklar kanggo nggunakake emulasi piranti lunak saka keystore. Kanggo ngatur panggunaan keystore piranti lunak, tindakake tugas iki:

tata cara

  dhawuh or Tumindak tujuane
Langkah 1 ngaktifake

Example:

Piranti# ngaktifake

 Ngaktifake mode EXEC sing duwe hak istimewa.

• Ketik sandhi yen dijaluk.
Langkah 2 ngatur terminal

Example:

Piranti# ngatur terminal

 Mlebet mode konfigurasi global.
Langkah 3 cts keystore emulate

Example:

Piranti(config)# cts keystore emulate

 Ngatur saklar kanggo nggunakake emulasi piranti lunak saka keystore tinimbang keystore hardware.
Langkah 4 metu

Example:

Piranti(config)# metu

 Metu saka mode konfigurasi.
Langkah 5 nuduhake keystore

Example:

Piranti# nuduhake keystore

 Nampilake status lan isi keystore. Rahasia sing disimpen ora ditampilake.

Konfigurasi Default Route SGT

Sadurunge miwiti
Priksa manawa sampeyan wis nggawe rute standar ing piranti nggunakake printah ip route 0.0.0.0. Yen ora, rute gawan (sing nerangake karo Default Route SGT) entuk panggonan sing ora dingerteni lan mulane tujuan pungkasan bakal tumuju menyang CPU.

tata cara

  dhawuh or Tumindak tujuane
Langkah 1 ngaktifake

Example:

Piranti> ngaktifake

 Ngaktifake mode EXEC sing duwe hak istimewa.

• Ketik sandhi yen dijaluk.
Langkah 2 ngatur terminal

Example:

Piranti # ngatur terminal

 Mlebet mode konfigurasi global.
Langkah 3 cts peran-based sgt-map 0.0.0.0/0 sgt nomer

Example:

Piranti(config)# cts peran-based sgt-map 0.0.0.0/0 sgt 3

 Nemtokake nomer SGT kanggo rute standar. Nilai sing bener yaiku saka 0 nganti 65,519.

Cathetan                    • Ing host_address / subnet bisa dadi alamat IPv4 (0.0.0.0/0) utawa alamat IPv6 (0:0::/0)

•  Rute standar

konfigurasi ditampa mung karo subnet /0. Ngetik mung host-ip tanpa subnet / 0 nampilake pesen ing ngisor iki:

Piranti(config)#cts peran-based sgt-map

0.0.0.0 sg 1000 Konfigurasi rute standar ora didhukung kanggo ip host
Langkah 4 metu

Example:

Piranti(config)# metu

 Metu saka mode konfigurasi global.

Verifikasi SGT Mapping

Bagean ing ngisor iki nuduhake cara verifikasi pemetaan SGT:

Verifikasi Konfigurasi Pemetaan Subnet-kanggo-SGT
Kanggo nampilake informasi konfigurasi Pemetaan Subnet-to-SGT, gunakake salah siji saka printah show ing ngisor iki:

dhawuh tujuane
nuduhake sambungan cts sxp Nampilake sambungan speaker lan pamireng SXP kanthi status operasional.
nuduhake cts sxp sgt-map Nampilake ikatan IP menyang SGT sing diekspor menyang pamireng SXP.
nuduhake running-config Priksa manawa printah konfigurasi subnet-to-SGT ana ing konfigurasi sing mlaku file.

Verifikasi VLAN-kanggo-SGT Mapping

Kanggo nampilake informasi konfigurasi VLAN-to-SGT, gunakake printah show ing ngisor iki:

Tabel 1:

dhawuh tujuane
nuduhake kabijakan nelusuri piranti Nampilake atribut kabijakan saiki saka kabijakan pelacakan piranti.
nuduhake cts peran-based sgt-map Nampilake binding alamat IP-kanggo-SGT.

Verifikasi Default Route SGT Konfigurasi

Verifikasi konfigurasi SGT Rute Default:
piranti # nuduhake peran-based sgt-map kabeh Active IPv4-SGT Bindings Informasi

CISCO-Configuring-Security-Group-Tag-Pemetaan-anjir- (2)

Konfigurasi Examples kanggo SGT Mapping

Bagean ing ngisor iki nuduhake konfigurasi examppemetaan SGT:

Example: Ngatur SGT Piranti kanthi manual

  • Piranti # ngatur terminal
  • Piranti(config)# cts sgt 1234
  • Piranti(config)# metu

Example: Konfigurasi kanggo Subnet-kanggo-SGT Mapping
Ex ing ngisor ikiampnuduhake carane ngatur IPv4 Subnet-to-SGT Mapping antarane piranti sing nganggo SXPv3 (Piranti1 lan Piranti2):

  1. Konfigurasi speaker / pamireng SXP peering antarane piranti.
    • Piranti1# ngatur terminal
    • Device1(config)# cts sxp ngaktifake
    • Device1(config)# cts sxp default source-ip 1.1.1.1
    • Piranti1(config)# cts sxp sandi standar 1syzygy1
    • Device1(config)# cts sambungan sxp peer 2.2.2.2 sandi mode standar speaker lokal
  2. Konfigurasi Device2 minangka pamireng SXP saka Device1.
    • Device2(config)# cts sxp ngaktifake
    • Device2(config)# cts sxp default source-ip 2.2.2.2
    • Piranti2(config)# cts sxp sandi standar 1syzygy1
    • Device2(config)# cts sxp sambungan peer 1.1.1.1 sandi mode standar pamireng lokal
  3. Ing Device2, verifikasi manawa sambungan SXP mlaku:
    Device2# nuduhake cts sxp sambungan singkat | kalebu 1.1.1.1 1.1.1.1 2.2.2.2 Ing 3:22:23:18 (dd: hr: mm: sec)
  4. Konfigurasi subnetwork sing bakal ditambahi ing Piranti1.
    • Device1(config)# cts sxp mapping network-map 10000
    • Device1(config)# cts peran-based sgt-map 10.10.10.0/30 sgt 101
    • Device1(config)# cts peran-based sgt-map 11.11.11.0/29 sgt 11111
    • Device1(config)# cts peran-based sgt-map 192.168.1.0/28 sgt 65000
  5. Ing Device2, verifikasi ekspansi subnet-to-SGT saka Device1. Mesthine ana rong ekspansi kanggo subjaringan 10.10.10.0/30, enem ekspansi kanggo subjaringan 11.11.11.0/29, lan 14 ekspansi kanggo subjaringan 192.168.1.0/28.
    Device2 # nuduhake cts sxp sgt-peta ringkes | kalebu 101|11111|65000
    • IPv4, SGT:
    • IPv4, SGT:
    • IPv4, SGT:
    • IPv4, SGT:
    • IPv4, SGT:
    • IPv4, SGT:
    • IPv4, SGT:
    • IPv4, SGT:
    • IPv4, SGT:
    • IPv4, SGT:
    • IPv4, SGT:
    • IPv4, SGT:
    • IPv4, SGT:
    • IPv4, SGT:
    • IPv4, SGT:
    • IPv4, SGT:
    • IPv4, SGT:
    • IPv4, SGT:
    • IPv4, SGT:
    • IPv4, SGT:
    • IPv4, SGT:
    • IPv4, SGT:
  6. Verifikasi jumlah ekspansi ing Piranti1:
    Piranti1 # nuduhake cts sxp sgt-map
    • IP-SGT Mappings ditambahi:22
    • Ora ana Pemetaan IP-SGT
  7. Simpen konfigurasi ing Device1 lan Device2 lan metu saka mode konfigurasi global.
    Device1(config)# nyalin running-config startup-config
    Piranti1(config)# metu
    Device2(config)# nyalin running-config startup-config
    Piranti2(config)# metu

Example:
Konfigurasi kanggo VLAN-kanggo-SGT Mapping kanggo Host Single liwat Link Akses.

Ing ngisor iki example, inang siji nyambung menyang VLAN 100 ing piranti akses. Antarmuka virtual sing diuripake ing piranti TrustSec minangka gateway standar kanggo titik pungkasan VLAN 100 (Alamat IP 10.1.1.1). Piranti TrustSec ngetrapake Grup Keamanan Tag (SGT) 10 ing paket saka VLAN 100.

  1. Nggawe VLAN 100 ing piranti akses.
    • access_device# konfigurasi terminal
    • access_device(config)# vlan 100
    • access_device(config-vlan)# ora mati
    • access_device(config-vlan)# metu
    • akses_device(config)#
  2. Konfigurasi antarmuka menyang piranti TrustSec minangka link akses. Konfigurasi kanggo titik pungkasan
    1. port akses sing tilar ing ex ikiample.
    2. access_device(config)# antarmuka gigabitEthernet 6/3
    3. access_device(config-if)# switchport
    4. access_device(config-if)# akses mode switchport
    5. access_device(config-if)# switchport akses vlan 100
  3. Nggawe VLAN 100 ing piranti TrustSec.
    • TS_device(config)# vlan 100
    • TS_device(config-vlan)# ora mati
    • TS_device(config-vlan)# pungkasan
    • TS_piranti#
  4. Nggawe SVI minangka gateway kanggo mlebu VLAN 100.
    • TS_device(config)# antarmuka vlan 100
    • TS_device(config-if)# alamat ip 10.1.1.2 255.0.0.0
    • TS_device(config-if)# ora mati
    • TS_device(config-if)# pungkasan
    • TS_device(config)#
  5. Nemtokake Grup Keamanan Tag (SGT) 10 kanggo host ing VLAN 100.
    • TS_device(config)# cts role-based sgt-map vlan 100 sgt 10
  6. Aktifake Pelacakan Piranti IP ing piranti TrustSec. Verifikasi yen lagi operasi.
    • TS_device(config)# pelacakan piranti ip
    • TS_device# nuduhake piranti ip nelusuri kabehCISCO-Configuring-Security-Group-Tag-Pemetaan-anjir- (3)
  7. (Opsional) PING gateway standar saka titik pungkasan (ing ex ikiample, alamat IP host 10.1.1.1). Verifikasi sing SGT 10 lagi dipetakan menyang VLAN 100 sarwa dumadi.
    CISCO-Configuring-Security-Group-Tag-Pemetaan-anjir- (4)

Example: Emulating Hardware Keystore
Mantan ikiample nuduhake carane ngatur lan verifikasi panggunaan keystore piranti lunak:

CISCO-Configuring-Security-Group-Tag-Pemetaan-anjir- (5)

Example: Konfigurasi Piranti Route SGT

  • Piranti # ngatur terminal
  • Piranti(config)# cts peran-based sgt-map 0.0.0.0/0 sgt 3
  • Piranti(config)# metu

Riwayat Fitur kanggo Grup Keamanan Tag pemetaan

  • Tabel iki nyedhiyakake release lan informasi sing gegandhengan karo fitur sing diterangake ing modul iki.
  • Fitur-fitur kasebut kasedhiya ing kabeh rilis sawise sing padha dikenalaké ing, kajaba nyatet liyane.
Ngeculake Fitur Fitur Informasi
Cisco IOS XE Everest 16.5.1a Grup Keamanan Tag pemetaan Subnet kanggo pemetaan SGT ngiket SGT kanggo kabeh alamat host saka subnet tartamtu. Sawise pemetaan iki dipun ginakaken, Cisco TrustSec nemtokke SGT ing sembarang paket mlebu sing duwe alamat IP sumber sing belongs kanggo subnet kasebut.
Cisco IOS XE Gibraltar 16.11.1 Klasifikasi SGT Rute Default Default Route SGT menehi SGT tag nomer menyang rute sing ora cocog rute tartamtu.

Gunakake Cisco Feature Navigator kanggo golek informasi babagan platform lan support gambar lunak. Kanggo ngakses Cisco Feature Navigator, pindhah menyang http://www.cisco.com/go/cfn.

Dokumen / Sumber Daya

CISCO Configuring Security Group Tag pemetaan [pdf] Pandhuan pangguna
Konfigurasi Grup Keamanan Tag Pemetaan, Konfigurasi, Grup Keamanan Tag Mapping, Group Tag pemetaan, Tag pemetaan

Referensi

Kiriman sing gegandhengan

Ninggalake komentar

Alamat email sampeyan ora bakal diterbitake. Kolom sing dibutuhake ditandhani *