Cisco Nexus 5600 シリーズ NX-OS セキュリティ コンフィギュレーション ガイド リリース 7.x
Cisco TrustSec の設定
Cisco TrustSec の設定

目次

Cisco TrustSec の設定

この章では、Cisco NX-OS デバイスに Cisco TrustSec を設定する手順について説明します。

この章は、次の項で構成されています。

Cisco TrustSec の概要

ここでは、Cisco TrustSec について説明します。

Cisco TrustSec のアーキテクチャ

Cisco TrusSec のセキュリティ アーキテクチャは、信頼できるネットワーク デバイスのクラウドを確立することによってセキュア ネットワークを構築します。 また Cisco TrustSec は、認証時に取得されたデバイス情報を、ネットワークに入る際のパケットの分類またはカラリングに使用します。 このパケット分類は、Cisco TrustSec ネットワークへの入力時にパケットにタグ付けされることにより維持されます。タグによってパケットはデータ パス全体を通じて正しく識別され、セキュリティおよびその他のポリシー基準が適用されます。 このタグは、セキュリティ グループ タグ(SGT)と呼ばれることもあります。エンドポイント装置が SGT に応じてトラフィックをフィルタリングできるようにすることにより、アクセス コントロール ポリシーをネットワークに強制できます。


(注)  


入力とは、宛先へのパス上のパケットが最初の Cisco TrustSec 対応デバイスに入ることです。出力とは、パス上の最後の Cisco TrustSec 対応デバイスを出ることです。


図 1. Cisco TrustSec ネットワーク クラウドの例. 次の図に、Cisco TrustSec クラウドの例を示します。 この例では、Cisco TrustSec クラウド内に、ネットワーク接続されたデバイスが数台とエンドポイント装置が 1 台あります。 1 台のエンド ポイント装置と 1 台のネットワーク接続されたデバイスは、Cisco TrustSec 対応デバイスではないため、クラウドの外部にあります。

Cisco TrustSec アーキテクチャは、主に次のコンポーネントで構成されています。

認証
Cisco TrustSec ネットワークにデバイスを加入させる前に、各デバイスの識別情報を検証します。
認可
認証されたデバイスの識別情報に基づいて、Cisco TrustSec ネットワークのリソースに対するデバイスのアクセス権のレベルを決定します。
アクセス コントロール
各パケットのソース タグを使用して、パケット単位でアクセス ポリシーを適用します。

Cisco TrustSec ネットワークには、次のエンティティがあります。

オーセンティケータ(AT)
すでに Cisco TrustSec ネットワークに含まれているデバイス
許可サーバ(AS)
認証情報、許可情報、またはその両方を提供できるサーバ

リンクが最初にアップ状態になったときに、許可が実行され、リンクの両側は、SGT および ACL などのリンクに適用されるポリシーを取得します。

認証

Cisco TrustSec は、デバイスのネットワーク加入を許可する前にデバイスを認証します。

Cisco TrustSec と認証

Cisco TrustSec は認証に EAP-FAST を使用します。 EAP-FAST カンバセーションによって、チェーンを使用した EAP-FAST トンネル内で他の EAP 方式の交換が可能になります。これにより、管理者は Microsoft Challenge Handshake Authentication Protocol Version 2(MSCHAPv2)のような従来型のユーザ認証方式を使用しながら、EAP-FAST トンネルが提供するセキュリティも利用できます。

図 2. Cisco TrustSec の認証. 次の図に、EAP-FAST トンネルおよび Cisco TrustSec で使用する内部方式を示します。

EAP-FAST への Cisco TrustSec の機能拡張

Cisco TrustSec に EAP-FAST を実装することにより、次の機能拡張が実現しました。

オーセンティケータの認証
AT と認証サーバの間の共有秘密を得るために Protected Access Credential(PAC)を使用するように AT に求めることにより、AT のアイデンティティをセキュアに判断します。 また、この機能により、AT が使用できるすべての IP アドレスに関して認証サーバに RADIUS 共有秘密を設定する手間が省けます。
ネイバーの ID を各ピアに通知
認証交換の完了までに、認証サーバはサプリカントと AT の両方を識別します。 認証サーバは、保護された EAP-FAST 終端で追加の type-length-value(TLV)パラメータを使用して、AT のアイデンティティと、その AT が Cisco TrustSec に対応しているかどうかをサプリカントに伝えます。 認証サーバはさらに、Access- Accept メッセージの RADIUS 属性を使用して、サプリカントのアイデンティティおよびそのサプリカントが Cisco TrustSec に対応しているかどうかを AT に伝えます。 各ピアは、ネイバーのアイデンティティを認識しているため、認証サーバに追加の RADIUS Access-Requests を送信し、リンクに適用されるポリシーを取得できます。
AT ポスチャ評価
AT は、サプリカントの代わりに認証サーバと認証交換を開始すると、そのポスチャ情報を認証サーバに提供します。
802.1X ロールの選択

802.1X では、AT に認証サーバとの IP 接続が必要です。AT は RADIUS over UDP/IP を使用してサプリカントと AT の認証交換をリレーする必要があるためです。 PC などのエンドポイント装置はネットワークへの接続時にサプリカントとして動作することになります。 ただし、2 つのネットワーク デバイス間の Cisco TrustSec 接続の場合、各ネットワーク デバイスの 802.1X ロールが他方のネットワーク デバイスに即座に認識されない場合もあります。

NX-OS デバイスに AT とサプリカントのロールを手動で設定する代わりに、Cisco TrustSec はロール選択アルゴリズムを実行し、AT として動作する Cisco NX-OS デバイスとサプリカントとして動作するデバイスを自動的に判断します。 ロール選択アルゴリズムは、RADIUS サーバに IP で到達可能なデバイスに AT ロールを割り当てます。 どちらのデバイスも AT とサプリカントの両方のステート マシンを起動します。 ある Cisco NX-OS デバイスが、ピアに RADIUS サーバへのアクセス権があることを検出すると、そのデバイスは自身の AT ステート マシンを終了し、サプリカントのロールを引き受けます。 両方の Cisco NX デバイスに RADIUS サーバへのアクセス権がある場合、アルゴリズムは EAP over LAN(EAPOL)パケット送信の送信元として使用される MAC アドレスを比較します。 MAC アドレスの値が大きい方の Cisco NX-OS デバイスが AT になり、もう一方の Cisco NX-OS デバイスがサプリカントになります。

Cisco TrustSec 認証の概要

Cisco TrustSec 認証プロセスが完了するまでに、認証サーバは次の処理を行います。

  • サプリカントと AT のアイデンティティの検証

  • サプリカントがエンドポイント装置の場合はユーザの認証

Cisco TrustSec 認証プロセスの完了時には、AT およびサプリカントの両方が次の情報を取得しています。

  • ピアのデバイス ID

  • ピアの Cisco TrustSec 機能についての情報

  • SAP に使用されるキー

デバイス ID

Cisco TrustSec はデバイスの ID として IP アドレスも MAC アドレスも使用しません。 その代わり、各 Cisco TrustSec 対応 Cisco NX-OS デバイスに、Cisco TrustSec ネットワークで一意に識別できる名前(デバイス ID)を手動で割り当てる必要があります。 このデバイス ID は次の操作に使用されます。

  • 認証ポリシーの検索

  • 認証時におけるデータベース内のパスワードの検索

デバイスのクレデンシャル

Cisco TrustSec はパスワードベースのクレデンシャルをサポートしています。 認証サーバは、代わりに自己署名式の証明書を使用する場合もあります。 Cisco TrustSec はパスワードでサプリカントを認証し、MSCHAPv2 を使用することにより、たとえ認証サーバの証明書を検証できなくても、相互認証が可能です。

認証サーバは、Cisco TrustSec ネットワークにサプリカントが最初に加入する際に、一時的に設定されたパスワードをそのサプリカントの認証に使用します。 サプリカントが最初に Cisco TrustSec ネットワークに加入する際に、認証サーバは証明書を作成してサプリカントを認証し、強力なパスワードを生成して、これを PAC でサプリカントに送信します。 認証サーバはさらに、データベースに新しいパスワードを保存します。

ユーザ クレデンシャル

Cisco TrustSec には、エンドポイント装置の特定タイプのユーザ クレデンシャルは必要ありません。 ユーザに対して任意のタイプの認証方式(MSCHAPv2、LEAP、Generic Token Card(GTC)、または OTP など)を選択し、対応するクレデンシャルを使用できます。

SGACL と SGT

セキュリティ グループ アクセス リスト(SGACL)を使用すると、割り当てられたセキュリティ グループに基づいてユーザが実行できる操作を制御できます。 許可をロールにまとめることにより、セキュリティ ポリシーの管理が容易になります。 Cisco NX-OS デバイスにユーザを追加する際に、1 つ以上のセキュリティ グループを割り当てれば、ユーザは適切な許可を即座に受信できます。 セキュリティ グループを変更することにより、新しい許可を追加したり、現在の許可を制限することもできます。

Cisco TrustSec はセキュリティ グループに、セキュリティ グループ タグ(SGT)という 16 ビットの固有のタグを割り当てます。 Cisco NX-OS デバイス内の SGT の数は認証済みのネットワーク エンティティの数に制限されます。 SGT は全社内の送信元の許可を示す単一ラベルです。 範囲は Cisco TrustSec ネットワーク内でグローバルです。

管理サーバは、セキュリティ ポリシーの設定に基づいて SGT を引き出します。 これらを手動で設定する必要はありません。

いったん認証されると、Cisco TrustSec はデバイスを送信元とするすべてのパケットに、そのデバイスが割り当てられているセキュリティ グループを表す SGT を付けます。 タグ付けされたパケットはネットワークを通じて Cisco TrustSec ヘッダーで SGT を運びます。 このタグは、送信元のグループを表しているので、送信元の SGT として参照されます。 Cisco TrustSec は、ネットワークの出口で、パケットの宛先デバイスに割り当てられているグループを判断し、アクセス コントロール ポリシーを適用します。

Cisco TrustSec はセキュリティ グループ間のアクセス コントロール ポリシーを定義します。 Cisco TrustSec は、ネットワーク内のデバイスをセキュリティ グループに割り当て、セキュリティ グループ間およびセキュリティ グループ内でアクセス コントロールを適用することにより、ネットワーク内での原則的なアクセス コントロールを行います。

図 3. SGACL ポリシーの例. 次の図に SGACL ポリシーの例を示します。

図 4. Cisco TrustSec ネットワークでの SGT と SGACL. Cisco TrustSec ネットワークでは、次の図のように SGT の割り当てと SGACL の強制が実行されます。

Cisco NX-OS デバイスは、従来の ACL の IP アドレスではなく、デバイス グループに Cisco TrustSec アクセス コントロール ポリシーを定義します。 このような組み合わせの解除によって、ネットワーク全体でネットワーク デバイスを自由に移動し、IP アドレスを変更できます。 ネットワーク トポロジ全体を変更することが可能です。 ロールと許可が同じであれば、ネットワークが変更されてもセキュリティ ポリシーには影響しません。 この機能によって、ACL のサイズが大幅に節約され、保守作業も簡単になります。

従来の IP ネットワークでは、設定されているアクセス コントロール エントリ(ACE)の数は次のようにして決まります。

ACE の数 =(指定されている送信元の数)X(指定されている宛先の数)X(指定されている許可の数)

Cisco TrustSec では、次の式を使用します。

ACE の数 = 指定されている許可の数

送信元セキュリティ グループの判断

Cisco TrustSec クラウドの入口のネットワーク デバイスは、Cisco TrustSec クラウドにパケットを転送する際に、パケットに SGT をタグ付けできるように、Cisco TrustSec クラウドに入るパケットの SGT を判断する必要があります。 出口のネットワーク デバイスは、SGACL を適用できるように、パケットの SGT を判断する必要があります。

ネットワーク デバイスは、次のいずれかの方法でパケットの SGT を判断できます。

  • ポリシー取得時に送信元の SGT を取得する:Cisco TrustSec 認証フェーズ後、ネットワーク デバイスは認証サーバからポリシーを取得します。 認証サーバは、ピア デバイスが信頼できるかどうかを伝えます。 ピア デバイスが信頼できない場合、認証サーバはそのピア デバイスから着信するすべてのパケットに適用する SGT も提供します。

  • Cisco TrustSec ヘッダーの送信元 SGT フィールドを取得する:信頼できるピア デバイスからパケットが着信した場合、そのパケットにとってネットワーク デバイスが Cisco TrustSec クラウド内の最初のネットワーク デバイスではない場合に、Cisco TrustSec ヘッダーの SGT フィールドで正しい値が伝送されます。

宛先セキュリティ グループの判断

Cisco TrustSec クラウドの出口のネットワーク デバイスは、SGACL を適用する宛先グループを判断します。 場合によっては、入口のデバイスまたは出口以外のその他のデバイスが、使用できる宛先グループの情報を持っていることもあります。 このような場合、SGACL は出口のデバイスではなくこれらのデバイスに適用されます。

Cisco TrustSec は、宛先 IP アドレスに基づいてパケットの宛先グループを決定します。

宛先 SGT を設定して、ファブリック エクステンダ(FEX)または vEthernet ポート上の出力ブロードキャスト、マルチキャスト、および不明なユニキャスト トラフィックに対して Cisco TrustSec を強制することはしません。 代わりに、DST をゼロ(不明)に設定します。 次に、正しい設定の例を示します。
cts role-based access-list acl-on-fex-egress
     deny udp
					deny ip
cts role-based sgt 9 dst 0 access-list acl-on-fex-egress

SXP によるレガシー アクセス ネットワークへの SGT の伝播

アクセス レイヤの Cisco NX-OS デバイス ハードウェアは Cisco TrustSec をサポートしています。 Cisco TrustSec ハードウェアがないと、Cisco TrustSec ソフトウェアはパケットに SGT をタグ付けできません。 SXP を使用すると、Cisco TrustSec のハードウェア サポートがないネットワーク デバイスに SGT を伝播できます。

SXP はアクセス レイヤ デバイスと宛先レイヤ デバイスの間で動作します。 アクセス レイヤ デバイスは SXP を使用して、SGT とともに Cisco TrustSec 認証デバイスの IP アドレスをディストリビューション スイッチに渡します。 Cisco TrustSec 対応のソフトウェアとハードウェアを両方備えたディストリビューション デバイスはこの情報を使用して、パケットに適切にタグを付け、SGACL ポリシーを強制します。

図 5. SXP を使用した SGT 情報の伝播. 次の図に、SXP を使用して、従来のネットワークで SGT 情報を伝播する方法を示します。

パケットへの SGT のタグ付けには、ハードウェアによるサポートが必要です。 ネットワーク内に、パケットに SGT のタグ付けを行えないデバイスが含まれている可能性もあります。 これらのデバイスから Cisco TrustSec 対応のハードウェアを搭載しているデバイスに IP アドレスと SGT のマッピングを送信できるようにするには、SXP 接続を手動で設定する必要があります。 SXP 接続の手動での設定には、次のことが必要です。

  • SXP データの整合性と認証が必要になる場合は、ピア デバイスの両方に同じ SXP パスワードを設定する必要があります。 SXP パスワードは各ピア接続に対して明示的に指定することも、デバイスに対してグローバルに設定することもできます。 SXP パスワードは必須ではありません。
  • 各ピアを SXP 接続に SXP スピーカーまたは SXP リスナーとして設定する必要があります。 スピーカー デバイスはリスナー デバイスに SXP 情報を渡します。

    (注)  


    この Cisco Nexus デバイスに SXP リスナーとなる機能はありません。 SXP スピーカーになることだけができます。


  • 送信元 IP アドレスを指定して各ピアの関係付けに使用したり、特定の送信元 IP アドレスを設定していないピア接続に対してデフォルトの送信元 IP アドレスを設定したりすることができます。

許可とポリシーの取得

認証が終了すると、サプリカントと AT はいずれも認証サーバからセキュリティ ポリシーを取得します。 サプリカントと AT はお互いに対してポリシーを強制します。 サプリカントと AT はいずれも、認証後に受信したピア デバイス ID を提供します。 ピア デバイス ID を使用できない場合、Cisco TrustSec は手動で設定されたピア デバイス ID を使用できます。

認証サーバは次の属性を返します。

Cisco TrustSec の信頼状態
パケットに SGT を付けるにあたり、ネイバー デバイスが信用できるかどうかを示します。
ピア SGT
ピアが属しているセキュリティ グループを示します。 ピアが信頼されない場合は、ピアから受信したすべてのパケットは、入力インターフェイスで設定された SGT でタグ付けされます。 このインターフェイスで強制がイネーブルである場合、ピア SGT に関連付けられた SGACL がダウンロードされます。 SGACL がピアの SGT に関連付けられているかどうかデバイスが認識できないと、そのデバイスは SGACL を取得するために追加要求を送信する場合もあります。
許可の有効期限
ポリシーの期限が切れるまでの秒数を示します。 シスコ独自の AV のペアは、許可または Cisco TrustSec デバイスへのポリシー応答の期限を表します。 Cisco TrustSec デバイスはポリシーと許可を期限が切れる前にリフレッシュする必要があります。

ヒント


Cisco TrustSec デバイスは、認証サーバからピアの適切なポリシーを取得できない場合に備えて、最小限のデフォルト アクセス ポリシーをサポートする必要があります。

環境データのダウンロード

Cisco TrustSec 環境データは、Cisco TrustSec ノードとしてのデバイスの機能を支援するひとまとまりの情報またはポリシーです。 デバイスは、Cisco TrustSec クラウドに最初に加入する際に、認証サーバから環境データを取得しますが、一部のデータをデバイスに手動で設定することもできます。 たとえば、Cisco TrustSec のシード デバイスには認証サーバの情報を設定する必要がありますが、この情報は、デバイスが認証サーバから取得するサーバ リストを使用して、後から追加することができます。

デバイスは、期限前に Cisco TrustSec 環境データをリフレッシュする必要があります。 また、このデータの有効期限が切れていなければ、データをキャッシュし、リブート後に再利用することもできます。

デバイスは RADIUS を使用して、認証サーバから次の環境データを取得します。

サーバ リスト
クライアントがその後の RADIUS 要求に使用できるサーバのリスト(認証および許可の両方)
Device SGT
そのデバイス自体が属しているセキュリティ グループ
有効期間
Cisco TrustSec デバイスが環境データをリフレッシュする頻度を左右する期間

RADIUS リレー機能

802.1X 認証プロセスで Cisco TrustSec AT のロールを引き受ける Cisco NX-OS デバイスは、認証サーバへの IP 接続を通じて、UDP/IP での RADIUS メッセージの交換により、認証サーバからポリシーと許可を取得します。 サプリカント デバイスは認証サーバとの IP 接続がなくてもかまいません。 サプリカントに 認証サーバとの IP 接続 がない場合、Cisco TrustSec は AT をサプリカントの RADIUS リレーとして機能させることができます。

サプリカントは、RADIUS サーバの IP アドレスと UDP ポートを持つ Cisco TrustSec AT に特別な EAP over LAN(EAPOL)メッセージを送信し、RADIUS 要求を完了します。 Cisco TrustSec AT は受信した EAPOL メッセージから RADIUS 要求を抽出し、これを UDP/IP を通じて認証サーバに送信します。 認証サーバから RADIUS 応答が返ると、Cisco TrustSec AT はメッセージを EAPOL フレームにカプセル化して、サプリカントに転送します。

Cisco TrustSec のライセンス要件

次の表に、この機能のライセンス要件を示します。

製品

ライセンス要件

Cisco NX-OS

Cisco TrustSec にはライセンスは必要ありません。 ライセンス パッケージに含まれていない機能はすべて Cisco NX-OS システム イメージにバンドルされており、追加費用は一切発生しません。 Cisco NX-OS のライセンス スキームの詳細は、『License and Copyright Information for Cisco NX-OS Software』を参照してください。

Cisco TrustSec の前提条件

Cisco TrustSec の前提条件は次のとおりです。

  • Cisco TrustSec 機能をイネーブルにする前に、802.1X 機能をイネーブルにする必要があります。 802.1X インターフェイス レベルの機能が使用できませんが、デバイスが RADIUS で認証するためには 802.1X が必要です。

  • Cisco TrustSec 機能をイネーブルにする必要があります。

Cisco TrustSec の注意事項と制約事項

Cisco TrustSec に関する注意事項と制約事項は次のとおりです。

  • Cisco TrustSec は認証に RADIUS を使用します。

  • Cisco TrustSec の AAA 認証および認可は、Cisco Secure Access Control Server(ACS)でだけサポートされています。

  • Cisco TrustSec は IPv4 アドレスだけをサポートします。

  • SXP は管理(mgmt 0)インターフェイスを使用できません。

  • 半二重モードのインターフェイスでは、Cisco TrustSec をイネーブルにできません。

  • ポリシーをクリアしても、すぐには有効になりません。フラップが発生する必要があります。 さらに、ポリシーがクリアされる方法は、SGT がスタティックまたはダイナミックのどちらであるかによって異なります。 スタティック SGT の場合、フラップが発生した後で SGT が 0 にリセットされます。 ダイナミック SGT の場合、フラップが発生した後で SGT が RADIUS サーバから再度ダウンロードされます。

  • Cisco TrustSec は、ルーティングされたスイッチ仮想インターフェイス(SVI)ではなく、管理 SVI をサポートしています。

  • Cisco TrustSec 機能をイネーブルにする前に、802.1X 機能がイネーブルになっている必要があります。 ただし、802.1X のインターフェイス レベルの機能はいずれも使用できません。 802.1X 機能は、RADIUS でのデバイスの認証にのみ使用されます。

  • RBACL は、ブリッジされたイーサネット トラフィック上にのみ実装され、ルーティング VLAN またはルーティング インターフェイス上でイネーブルにすることはできません。

  • ピアが信頼できるかどうかの判定や、出力に SGT を伝播する機能は、物理インターフェイス レベルで実行されます。

  • ポート チャネル メンバ上の Cisco TrustedSec インターフェイス設定は、正確に同じである必要があります。 あるポート チャネル メンバが他のポート チャネル メンバと一致していない場合、そのポート チャネル メンバはエラー ディセーブル状態になります。

  • vPC ドメインでは、Cisco TrustSec 設定がピア間で確実に同期されるようにするために、設定同期モード(config-sync)を使用してスイッチ プロファイルを作成します。 同じ vPC を 2 つのピア スイッチ上で異なった方法で設定すると、トラフィックは異なった方法で処理されます。

  • RBACL TCAM エントリの最大数は 128 であり、デフォルトではそのうちの 4 つのエントリが使用され、残りの 124 のエントリはユーザが設定できます。

  • Cisco TrustSec は、レイヤ 3 インターフェイスまたは仮想ルーティング/転送(VRF)インターフェイスではサポートされていません。

  • cts-manualcts trusted mode、および no-propagate sgt の設定は、同じファブリック ポートのすべての FEX ポートまたは vEthernet ポート間で一致している必要があります。 これらの設定が一致していない場合、インターフェイスはエラー ディセーブル状態になります。

  • cts-manualsgt valuects trusted mode、および o-propagate sgt の設定は、同じポート チャネルのすべてのポート チャネル メンバ間で一致している必要があります。 これらの設定が一致していない場合、インターフェイスはエラー ディセーブル状態になります。

Cisco TrustSec のデフォルト設定

次の表に、Cisco TrustSec パラメータのデフォルト設定を示します。

表 1 Cisco TrustSec パラメータのデフォルト設定

パラメータ(Parameters)

デフォルト

Cisco TrustSec

ディセーブル

SXP

ディセーブル

SXP デフォルト パスワード

なし

SXP 復帰期間

120 秒(2 分)

SXP リトライ期間

60 秒(1 分)

RBACL ロギング

ディセーブル

RBACL 統計情報

ディセーブル

Cisco TrustSec の設定

ここでは、Cisco TrustSec の設定作業について説明します。

Cisco TrustSec 機能のイネーブル化

Cisco TrustSec を設定する前に、Cisco NX-OS デバイス上の 802.1X 機能および Cisco TrustSec の機能をイネーブルにする必要があります。 ただし、802.1X のインターフェイス レベルの機能はいずれも使用できません。 802.1X 機能は、RADIUS でのデバイスの認証にのみ使用されます。

手順
     コマンドまたはアクション目的
    ステップ 1 configure terminal


    例:
    switch# configure terminal
    switch(config)#
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 2 feature dot1x


    例:
    switch(config)# feature dot1x
     

    802.1X 機能をイネーブルにします。

     
    ステップ 3 feature cts


    例:
    switch(config)# feature cts
     

    Cisco TrustSec 機能をイネーブルにします。

     
    ステップ 4 exit


    例:
    switch(config)# exit
    switch#
     

    グローバル コンフィギュレーション モードを終了します。

     
    ステップ 5 show cts


    例:
    switch# show cts
     
    (任意)

    Cisco TrustSec の設定を表示します。

     
    ステップ 6 show feature


    例:
    switch# show feature
     
    (任意)

    機能がイネーブルになったステータスを表示します。

     
    ステップ 7 copy running-config startup-config


    例:
    switch# copy running-config startup-config
     
    (任意)

    実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

     

    Cisco TrustSec デバイスのクレデンシャルの設定

    ネットワーク内の Cisco TrustSec 対応 Cisco NX-OS デバイス各々に、固有の Cisco TrustSec クレデンシャルを設定する必要があります。 Cisco TrustSec はクレデンシャルのパスワードをデバイスの認証に使用します。


    (注)  


    Cisco Secure ACS にも Cisco NX-OS デバイスの Cisco TrustSec クレデンシャルを設定する必要があります。次の URL のマニュアルを参照してください。

    http:/​/​www.cisco.com/​en/​US/​products/​sw/​secursw/​ps5338/​products_​installation_​and_​configuration_​guides_​list.html)。
    はじめる前に

    Cisco TrustSec がイネーブルになっていることを確認します。

    手順
       コマンドまたはアクション目的
      ステップ 1 configure terminal


      例:
      switch# configure terminal
      switch(config)#
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 2 cts device-id name password password


      例:
      switch(config)# cts device-id MyDevice1 password CiscO321
       

      固有のデバイス ID およびパスワードを設定します。 name 引数は、最大 32 文字で大文字と小文字を区別します。

       
      ステップ 3 exit


      例:
      switch(config)# exit
      switch#
       

      グローバル コンフィギュレーション モードを終了します。

       
      ステップ 4 show cts


      例:
      switch# show cts
       
      (任意)

      Cisco TrustSec の設定を表示します。

       
      ステップ 5 show cts environment


      例:
      switch# show cts environment
       
      (任意)

      Cisco TrustSec 環境データを表示します。

       
      ステップ 6 copy running-config startup-config


      例:
      switch# copy running-config startup-config
       
      (任意)

      実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

       

      Cisco TrustSec の AAA の設定

      Cisco TrustSec の認証に Cisco Secure ACS を使用できます。 ネットワーク クラウド内の Cisco TrustSec 対応 Cisco NX-OS デバイスの 1 つに、RADIUS サーバ グループを設定し、デフォルトの AAA 認証および許可を指定する必要があります。


      (注)  


      Cisco TrustSec をサポートしているのは、Cisco Secure ACS だけです。


      Cisco TrustSec Cisco NX-OS デバイスでの AAA の設定

      ここでは、Cisco TrustSec ネットワーク クラウド内の Cisco NX-OS デバイスで AAA を設定する手順を説明します。

      はじめる前に

      Cisco Secure ACS の IPv4 のアドレスまたはホスト名を取得します。

      Cisco TrustSec がイネーブルになっていることを確認します。

      手順
         コマンドまたはアクション目的
        ステップ 1 configure terminal


        例:
        switch# configure terminal
        switch(config)#
         

        グローバル コンフィギュレーション モードを開始します。

         
        ステップ 2 radius-server host {ipv4-address | ipv6-address | hostname} key [0 | 7] key pac


        例:
        switch(config)# radius-server host 10.10.1.1 key L1a0K2s9 pac
         

        キーと PAC を使用して RADIUS サーバ ホストを設定します。 hostname 引数は、256 文字以内の英数字で指定します。大文字と小文字が区別されます。 key 引数は、63 文字以内の英数字で指定します。大文字と小文字が区別されます。 0 オプションは、キーがクリア テキストであることを示します。 7 オプションは、キーが暗号化されていることを示します。 デフォルトはクリア テキストです。

         
        ステップ 3 show radius-server


        例:
        switch# show radius-server
         
        (任意)

        RADIUS サーバの設定を表示します。

         
        ステップ 4 aaa group server radius group-name


        例:
        switch(config)# aaa group server radius Rad1
        switch(config-radius)#
         

        RADIUS サーバ グループを指定し、RADIUS サーバ グループ コンフィギュレーション モードを開始します。

         
        ステップ 5 server {ipv4-address | ipv6-address | hostname}


        例:
        switch(config-radius)# server 10.10.1.1
         

        RADIUS サーバ ホストのアドレスを指定します。

         
        ステップ 6 use-vrf vrf-name


        例:
        switch(config-radius)# use-vrf management
         

        AAA サーバ グループの管理 VRF インスタンスを指定します。

        (注)     

        管理 VRF インスタンスを使用する場合、ネットワーク クラウド内の デバイスにそれ以上の設定を行う必要はありません。 異なる VRF インスタンスを使用する場合は、 デバイスに VRF インスタンスを設定する必要があります。

         
        ステップ 7 exit


        例:
        switch(config-radius)# exit
        switch(config)#
         

        RADIUS サーバ グループ コンフィギュレーション モードを終了します。

         
        ステップ 8 aaa authentication cts default group group-name


        例:
        switch(config)# aaa authentication cts default group Rad1
         

        Cisco TrustSec 認証に使用する RADIUS サーバ グループを指定します。

         
        ステップ 9 aaa authorization cts default group group-name


        例:
        switch(config)# aaa authentication cts default group Rad1
         

        Cisco TrustSec 認証に使用する RADIUS サーバ グループを指定します。

         
        ステップ 10 exit


        例:
        switch(config)# exit
        switch#
         

        グローバル コンフィギュレーション モードを終了します。

         
        ステップ 11 show radius-server groups [group-name]


        例:
        switch# show radius-server group rad1
         
        (任意)

        RADIUS サーバ グループの設定を表示します。

         
        ステップ 12 show aaa authentication


        例:
        switch# show aaa authentication
         
        (任意)

        AAA 認証の設定を表示します。

         
        ステップ 13 show aaa authorization


        例:
        switch# show aaa authorization
         
        (任意)

        AAA 認可設定を表示します。

         
        ステップ 14 show cts pacs


        例:
        switch# show cts pacs
         
        (任意)

        Cisco TrustSec PAC 情報を表示します。

         
        ステップ 15 copy running-config startup-config


        例:
        switch# copy running-config startup-config
         
        (任意)

        実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

         

        Cisco TrustSec 非シード NX-OS デバイスでの AAA の設定

        Cisco TrustSec はネットワーク クラウド内の非シード Cisco NX-OS デバイスに aaa-private-sg という名前の AAA サーバ グループを設定します。 デフォルトでは、aaa-private-sg サーバ グループは Cisco Secure ACS との通信に管理 VRF インスタンスを使用します。非シード Cisco NX-OS デバイスに対するそれ以上の設定は必要ありません。 ただし、異なる VRF インスタンスの使用を選択した場合は、正しい VRF インスタンスを使用するように、非シード Cisco NX-OS デバイスの aaa-private-sg を変更する必要があります。

        はじめる前に

        Cisco TrustSec がイネーブルになっていることを確認します。

        ネットワーク内のシード Cisco NX-OS デバイスが設定されていることを確認します。

        手順
           コマンドまたはアクション目的
          ステップ 1 configure terminal


          例:
          switch# configure terminal
          switch(config)#
           

          グローバル コンフィギュレーション モードを開始します。

           
          ステップ 2 aaa group server radius aaa-private-sg


          例:
          switch(config)# aaa group server radius aaa-private-sg
          switch(config-radius)#
           

          RADIUS サーバ グループ aaa-private-sg を指定し、RADIUS サーバ グループ コンフィギュレーション モードを開始します。

           
          ステップ 3 use-vrf vrf-name


          例:
          switch(config-radius)# use-vrf MyVRF
           

          AAA サーバ グループの管理 VRF インスタンスを指定します。

           
          ステップ 4 exit


          例:
          switch(config-radius)# exit
          switch(config)#
           

          RADIUS サーバ グループ コンフィギュレーション モードを終了します。

           
          ステップ 5 show radius-server groups aaa-private-sg


          例:
          switch(config)# show radius-server groups aaa-private-sg
           
          (任意)

          デフォルト サーバ グループ用の RADIUS サーバ グループの設定を表示します。

           
          ステップ 6 copy running-config startup-config


          例:
          switch(config)# copy running-config startup-config
           
          (任意)

          実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

           

          Cisco TrustSec の認証、許可、SAP、およびデータ パス セキュリティの設定

          ここでは、Cisco TrustSec の認証、許可、SAP、およびデータ パス セキュリティの設定作業について説明します。

          Cisco TrustSec の認証および許可の設定プロセス

          Cisco TrustSec の認証および許可を設定するには、次の手順を行います。

          手順
            ステップ 1   Cisco TrustSec 機能をイネーブルにします。
            ステップ 2   Cisco TrustSec 認証をイネーブルにします。
            ステップ 3   インターフェイスに対して Cisco TrustSec の 802.1X 認証をイネーブルにします。

            Cisco TrustSec 認証のイネーブル化

            インターフェイスに対して Cisco TrustSec 認証をイネーブルにする必要があります。 デフォルトでは、データパス リプレイ保護機能がイネーブルになり、SAP 動作モードは GCM-encrypt です。


            注意    


            Cisco TrustSec 認証の設定を有効にするには、インターフェイスのイネーブル化とディセーブル化を行う必要があり、インターフェイス上のトラフィックが中断されます。



            (注)  


            Cisco TrustSec の 802.1X モードをイネーブルにすると、そのインターフェイス上の許可と SAP がイネーブルになります。


            手順
               コマンドまたはアクション目的
              ステップ 1 configure terminal


              例:
              switch# configure terminal
              switch(config)#
               

              グローバル コンフィギュレーション モードを開始します。

               
              ステップ 2 interface ethernet slot/port [- port2]


              例:
              switch(config)# interface ethernet 2/2
              switch(config-if)#
               

              単一ポートまたはポート範囲を指定し、インターフェイス コンフィギュレーション モードを開始します。

               
              ステップ 3 cts dot1x


              例:
              switch(config-if)# cts dot1x
              switch(config-if-cts-dot1x)#
               

              Cisco TrustSec の 802.1X 認証をイネーブルにして、Cisco TrustSec 802.1X コンフィギュレーション モードを開始します。

               
              ステップ 4 no replay-protection


              例:
              switch(config-if-cts-dot1x)# no replay-protection
               
              (任意)

              リプレイ保護をディセーブルにします。 デフォルトではイネーブルになっています。

               
              ステップ 5 sap modelist {gcm-encrypt | gmac | no-encap | null}


              例:
              switch(config-if-cts-dot1x)# sap modelist gcm-encrypt
               
              (任意)

              インターフェイスに SAP 動作モードを設定します。

              GCM 暗号化の場合は gcm-encrypt キーワードを使用します。 このオプションがデフォルトです。

              GCM 認証のみの場合は gmac キーワードを使用します。

              SAP のカプセル化を行わない場合、および SGT 挿入なしの場合は、no-encap キーワードを使用します。

              認証または暗号化なしでカプセル化を行うには、null キーワードを使用します。

               
              ステップ 6 exit


              例:
              switch(config-if-cts-dot1x)# exit
              switch(config-if)#
               

              Cisco TrustSec 802.1X コンフィギュレーション モードを終了します。

               
              ステップ 7 シャットダウン


              例:
              switch(config-if)# shutdown
               

              インターフェイスをディセーブルにします。

               
              ステップ 8 no shutdown


              例:
              switch(config-if)# no shutdown
               

              インターフェイスをイネーブルにして、インターフェイスの Cisco TrustSec 認証をイネーブルにします。

               
              ステップ 9 exit


              例:
              switch(config-if)# exit
              switch(config)#
               

              インターフェイス コンフィギュレーション モードを終了します。

               
              ステップ 10 show cts interface {all | brief | ethernet slot/port}


              例:
              switch(config)# show cts interface all
               
              (任意)

              インターフェイスに対する Cisco TrustSec の設定を表示します。

               
              ステップ 11 copy running-config startup-config


              例:
              switch(config)# copy running-config startup-config
               
              (任意)

              実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

               

              インターフェイスに対する Cisco TrustSec データパス リプレイ保護の設定

              デフォルトでは、Cisco NX-OS ソフトウェアによってデータパス リプレイ保護機能をイネーブルにします。 接続デバイスが SAP をサポートしていない場合は、レイヤ 2 Cisco TrustSec のインターフェイスでデータパス リプレイ保護をディセーブルにできます。


              注意    


              データパス リプレイ保護の設定を有効にするには、インターフェイスのイネーブル化とディセーブル化を行う必要があり、インターフェイス上のトラフィックが中断されます。


              はじめる前に

              インターフェイスの Cisco TrustSec 認証がイネーブルになっていることを確認します。

              手順
                 コマンドまたはアクション目的
                ステップ 1 configure terminal


                例:
                switch# configure terminal
                switch(config)#
                 

                グローバル コンフィギュレーション モードを開始します。

                 
                ステップ 2 interface ethernet slot/port [- port2]


                例:
                switch(config)# interface ethernet 2/2
                switch(config-if)#
                 

                単一ポートまたはポート範囲を指定し、インターフェイス コンフィギュレーション モードを開始します。

                 
                ステップ 3 cts dot1x


                例:
                switch(config-if)# cts dot1x
                switch(config-if-cts-dot1x)#
                 

                Cisco TrustSec の 802.1X 認証をイネーブルにして、Cisco TrustSec 802.1X コンフィギュレーション モードを開始します。

                 
                ステップ 4 no replay-protection


                例:
                switch(config-if-cts-dot1x)# no replay-protection
                 

                データパス リプレイ保護をディセーブルにします。 デフォルトではイネーブルになっています。

                インターフェイスでデータパス リプレイ保護をイネーブルにするには、replay-protection コマンドを使用します。

                 
                ステップ 5 exit


                例:
                switch(config-if-cts-dot1x)# exit
                switch(config-if)#
                 

                Cisco TrustSec 802.1X コンフィギュレーション モードを終了します。

                 
                ステップ 6 シャットダウン


                例:
                switch(config-if)# shutdown
                 

                インターフェイスをディセーブルにします。

                 
                ステップ 7 no shutdown


                例:
                switch(config-if)# no shutdown
                 

                インターフェイスをイネーブルにして、インターフェイスのデータパス リプレイ保護機能をディセーブルにします。

                 
                ステップ 8 exit


                例:
                switch(config-if)# exit
                switch(config)#
                 

                インターフェイス コンフィギュレーション モードを終了します。

                 
                ステップ 9 show cts interface {all | brief | ethernet slot/port}


                例:
                switch(config)# show cts interface all
                 
                (任意)

                インターフェイスに対する Cisco TrustSec の設定を表示します。

                 
                ステップ 10 copy running-config startup-config


                例:
                switch(config)# copy running-config startup-config
                 
                (任意)

                実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                 

                インターフェイスに対する Cisco TrustSec SAP 動作モードの設定

                レイヤ 2 Cisco TrustSec のインターフェイスに SAP 動作モードを設定できます。 デフォルトの SAP 動作モードは GCM-encrypt です。


                注意    


                SAP 動作モードの設定を有効にするには、インターフェイスのイネーブル化とディセーブル化を行う必要があり、インターフェイス上のトラフィックが中断されます。


                はじめる前に

                インターフェイスの Cisco TrustSec 認証がイネーブルになっていることを確認します。

                手順
                   コマンドまたはアクション目的
                  ステップ 1 configure terminal


                  例:
                  switch# configure terminal
                  switch(config)#
                   

                  グローバル コンフィギュレーション モードを開始します。

                   
                  ステップ 2 interface ethernet slot/port [- port2]


                  例:
                  switch(config)# interface ethernet 2/2
                  switch(config-if)#
                   

                  単一のインターフェイスまたはインターフェイス範囲を指定し、インターフェイス コンフィギュレーション モードを開始します。

                   
                  ステップ 3 cts dot1x


                  例:
                  switch(config-if)# cts dot1x
                  switch(config-if-cts-dot1x)#
                   

                  Cisco TrustSec の 802.1X 認証をイネーブルにして、Cisco TrustSec 802.1X コンフィギュレーション モードを開始します。

                   
                  ステップ 4 sap modelist [gcm-encrypt | gmac | no-encap | null]


                  例:
                  switch(config-if-cts-dot1x)# sap modelist gmac
                   

                  インターフェイスに SAP 認証モードを設定します。

                  GCM 暗号化の場合は gcm-encrypt キーワードを使用します。 このオプションがデフォルトです。

                  GCM 認証のみの場合は gmac キーワードを使用します。

                  インターフェース上の SAP のカプセル化を行わない場合、および SGT 挿入なしの場合は、no-encap キーワードを使用します。

                  インターフェース上の SAP の認証または暗号化なしでカプセル化を行うには、null キーワードを使用します。 カプセル化されるのは SGT だけです。

                   
                  ステップ 5 exit


                  例:
                  switch(config-if-cts-dot1x)# exit
                  switch(config-if)#
                   

                  Cisco TrustSec 802.1X コンフィギュレーション モードを終了します。

                   
                  ステップ 6 シャットダウン


                  例:
                  switch(config-if)# shutdown
                   

                  インターフェイスをディセーブルにします。

                   
                  ステップ 7 no shutdown


                  例:
                  switch(config-if)# no shutdown
                   

                  インターフェイスをイネーブルにして、そのインターフェイスの SAP 動作モードをイネーブルにします。

                   
                  ステップ 8 exit


                  例:
                  switch(config-if)# exit
                  switch(config)#
                   

                  インターフェイス コンフィギュレーション モードを終了します。

                   
                  ステップ 9 show cts interface {all | brief | ethernet slot/port}


                  例:
                  switch(config)# show cts interface all
                   
                  (任意)

                  インターフェイスに対する Cisco TrustSec の設定を表示します。

                   
                  ステップ 10 copy running-config startup-config


                  例:
                  switch(config)# copy running-config startup-config
                   
                  (任意)

                  実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                   

                  インターフェイスに対する Cisco TrustSec SGT 伝播の設定

                  レイヤ 2 インターフェイスでの SGT の伝播機能は、デフォルトでイネーブルになっています。 インターフェイスに接続しているピア デバイスで SGT がタグ付けされた Cisco TrustSec パケットを制御できない場合は、そのインターフェイスで SGT 伝播機能をディセーブルにすることができます。


                  注意    


                  SGT の伝播の設定を有効にするには、インターフェイスのイネーブル化とディセーブル化を行う必要があり、インターフェイス上のトラフィックが中断されます。


                  はじめる前に

                  インターフェイスの Cisco TrustSec 認証がイネーブルになっていることを確認します。

                  手順
                     コマンドまたはアクション目的
                    ステップ 1 configure terminal


                    例:
                    switch# configure terminal
                    switch(config)#
                     

                    グローバル コンフィギュレーション モードを開始します。

                     
                    ステップ 2 interface ethernet slot/port [- port2]


                    例:
                    switch(config)# interface ethernet 2/2
                    switch(config-if)#
                     

                    単一ポートまたはポート範囲を指定し、インターフェイス コンフィギュレーション モードを開始します。

                     
                    ステップ 3 cts dot1x


                    例:
                    switch(config-if)# cts dot1x
                    switch(config-if-cts-dot1x)#
                     

                    Cisco TrustSec の 802.1X 認証をイネーブルにして、Cisco TrustSec 802.1X コンフィギュレーション モードを開始します。

                     
                    ステップ 4 no propagate-sgt


                    例:
                    switch(config-if-cts-dot1x)# no propagate-sgt
                     

                    SGT 伝播をディセーブルにします。 デフォルトではイネーブルになっています。

                    インターフェイスで SGT 伝播をイネーブルにするには、propagate-sgt コマンドを使用します。

                     
                    ステップ 5 exit


                    例:
                    switch(config-if-cts-dot1x)# exit
                    switch(config-if)#
                     

                    Cisco TrustSec 802.1X コンフィギュレーション モードを終了します。

                     
                    ステップ 6 シャットダウン


                    例:
                    switch(config-if)# shutdown
                     

                    インターフェイスをディセーブルにします。

                     
                    ステップ 7 no shutdown


                    例:
                    switch(config-if)# no shutdown
                     

                    インターフェイスをイネーブルにして、インターフェイスのデータパス リプレイ保護機能をディセーブルにします。

                     
                    ステップ 8 exit


                    例:
                    switch(config-if)# exit
                    switch(config)#
                     

                    インターフェイス コンフィギュレーション モードを終了します。

                     
                    ステップ 9 show cts interface {all | brief | ethernet slot/port}


                    例:
                    switch(config)# show cts interface all
                     
                    (任意)

                    インターフェイスに対する Cisco TrustSec の設定を表示します。

                     
                    ステップ 10 copy running-config startup-config


                    例:
                    switch(config)# copy running-config startup-config
                     
                    (任意)

                    実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                     

                    インターフェイスの SAP キーの再生成

                    SAP 交換をトリガーして、新しいキー セットを生成し、インターフェイス上のデータ トラフィックを保護できます。

                    はじめる前に

                    Cisco TrustSec がイネーブルになっていることを確認します。

                    手順
                       コマンドまたはアクション目的
                      ステップ 1 cts rekey ethernet slot/port


                      例:
                      switch# cts rekey ethernet 2/3
                       

                      インターフェイスの SAP キーを生成します。

                       
                      ステップ 2 show cts interface {all | brief | ethernet slot/port}


                      例:
                      switch# show cts interface all
                       
                      (任意)

                      インターフェイスに対する Cisco TrustSec の設定を表示します。

                       

                      手動での Cisco TrustSec 認証の設定

                      Cisco NX-OS デバイスに Cisco Secure ACS へのアクセス権がない場合や、には、インターフェイスに手動で Cisco TrustSec を設定することも可能です。 接続の両側のインターフェイスに手動で設定する必要があります。


                      注意    


                      手動モードでの Cisco TrustSec の設定を有効にするには、インターフェイスのイネーブル化とディセーブル化を行う必要があり、インターフェイス上のトラフィックが中断されます。


                      はじめる前に

                      Cisco TrustSec がイネーブルになっていることを確認します。

                      手順
                         コマンドまたはアクション目的
                        ステップ 1 configure terminal


                        例:
                        switch# configure terminal
                        switch(config)#
                         

                        グローバル コンフィギュレーション モードを開始します。

                         
                        ステップ 2 interface interface slot/port


                        例:
                        switch(config)# interface ethernet 2/2
                        switch(config-if)#
                         

                        インターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

                         
                        ステップ 3 cts manual


                        例:
                        switch(config-if)# cts manual
                        switch(config-if-cts-manual)#
                         

                        Cisco TrustSec 手動コンフィギュレーション モードを開始します。

                        (注)     

                        半二重モードのインターフェイスでは、Cisco TrustSec をイネーブルにできません。

                         
                        ステップ 4policy dynamic identity peer-name


                        例:
                        switch(config-if-cts-manual)# policy dynamic identity MyDevice2
                         
                        (任意)

                        ダイナミック許可ポリシーのダウンロードを設定します。 peer-name 引数は、ピア デバイスの Cisco TrustSec デバイス ID です。 ピア名では、大文字と小文字が区別されます。

                        (注)     

                        Cisco TrustSec クレデンシャルが設定されていることおよび Cisco TrustSec の AAA が設定されていることを確認します。

                        (注)     

                        policy dynamic コマンドと policy static コマンドは同時に使用できません。 一度に 1 つしか適用できません。 交互に変更するには、他のコマンドを設定する前に、このコマンドの no 形式を使用して設定を削除する必要があります。

                         
                        ステップ 5 policy static sgt tag [trusted]


                        例:
                        switch(config-if-cts-manual)# policy static sgt 0x2 
                         
                        (任意)
                        スタティック許可ポリシーを設定します。 tag 引数は、0xhhhh 形式の 16 進値です。 範囲は 0x2 ~ 0xffef です。 trusted キーワードを指定すると、SGT 付きでインターフェイスにトラフィックが着信した場合、そのタグは上書きされません。
                        (注)     

                        policy dynamic コマンドと policy static コマンドは同時に使用できません。 一度に 1 つしか適用できません。 交互に変更するには、他のコマンドを設定する前に、このコマンドの no 形式を使用して設定を削除する必要があります。

                         
                        ステップ 6 exit


                        例:
                        switch(config-if-cts-manual)# exit
                        switch(config-if)#
                         

                        Cisco TrustSec 手動コンフィギュレーション モードを終了します。

                         
                        ステップ 7 シャットダウン


                        例:
                        switch(config-if)# shutdown
                         

                        インターフェイスをディセーブルにします。

                         
                        ステップ 8 no shutdown


                        例:
                        switch(config-if)# no shutdown
                         

                        インターフェイスをイネーブルにして、インターフェイスの Cisco TrustSec 認証をイネーブルにします。

                         
                        ステップ 9 exit


                        例:
                        switch(config-if)# exit
                        switch(config)#
                         

                        インターフェイス コンフィギュレーション モードを終了します。

                         
                        ステップ 10 show cts interface {all | brief | ethernet slot/port}


                        例:
                        switch# show cts interface all
                         
                        (任意)

                        インターフェイスの Cisco TrustSec 設定を表示します。

                         
                        ステップ 11 copy running-config startup-config


                        例:
                        switch# copy running-config startup-config
                         
                        (任意)

                        実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                         

                        インターフェイスでの Cisco TrustSec のポーズ フレームの暗号化または復号化の設定

                        ポーズ フレームは、イーサネット フロー制御に使用される MAC 制御フレームです。 一部のラインカードのポートは、ポーズ フレームの暗号化と復号化を実行します。一方、他のラインカードのポートにはこの機能がありません。 このような不一致により相互運用性の問題が発生し、ポートはポーズ フレームを廃棄するか、無視します。

                        ポーズ フレームを暗号化するか、または個々のインターフェイス上でクリアするかを決定できます。 接続の両側のインターフェイスを設定する必要があります。dot1x または手動モードのいずれかを使用して実行できます。 2 つのポートが CTS リンクを実現するように接続され、一方がクリア Pause Capable、他方がセキュア(暗号化または復号化)Pause Capable である場合、ポーズ フレームは、正しく送受信するために、クリア テキストでリンク間に送信する必要があります。


                        (注)  


                        Cisco NX-OS リリース 6.2.2 以降では、すべての F シリーズおよび M1 シリーズ モジュールはセキュア(暗号化または復号化)フレームとクリア ポーズ フレームの両方をサポートします。 以前のリリースでは、F1 シリーズ モジュール、F2 シリーズ モジュール、F2e シリーズ モジュールおよび N7K-M132XP-12(L) モジュールは クリア ポーズ フレームのみサポートしています。



                        (注)  


                        半二重モードのインターフェイスでは、Cisco TrustSec をイネーブルにできません。 インターフェイスが半二重モードに設定されているかどうかを調べるには、show interface コマンドを使用します。



                        注意    


                        ポーズ フレームの暗号化または復号化の設定を有効にするには、インターフェイスのイネーブル化とディセーブル化を行う必要があり、インターフェイス上のトラフィックが中断されます。


                        はじめる前に

                        Cisco TrustSec がイネーブルになっていることを確認します。

                        flowcontrol {send | receive} コマンドを使用して、インターフェイスでフロー制御をイネーブルにしたことを確認します。

                        手順
                           コマンドまたはアクション目的
                          ステップ 1 configure terminal


                          例:
                          switch# configure terminal
                          switch(config)#
                           

                          グローバル コンフィギュレーション モードを開始します。

                           
                          ステップ 2 interface ethernet slot/port


                          例:
                          switch(config)# interface ethernet 2/2
                          switch(config-if)#
                           

                          インターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

                           
                          ステップ 3 cts dot1x または cts manual


                          例:
                          switch(config-if)# cts dot1x
                          switch(config-if-cts-dot1x)#
                           

                          Cisco TrustSec dot1x または手動コンフィギュレーション モードを開始します。

                          (注)     

                          半二重モードのインターフェイスでは、Cisco TrustSec をイネーブルにできません。

                           
                          ステップ 4 [no] encrypt pause-frame


                          例:
                          switch(config-if-cts-dot1x)# no encrypt pause-frame
                           

                          インターフェイスの Cisco TrustSec のポーズ フレームの暗号化または復号化を設定します。 no encrypt pause-frame が設定されている場合、ポーズ フレームはクリア テキストで送信されます。 encrypt pause-frame が設定されている場合、ポーズ フレームは CTS リンク上で暗号化されて送信されます。

                           
                          ステップ 5 exit


                          例:
                          switch(config-if-cts-dot1x)# exit
                          switch(config-if)#
                           

                          Cisco TrustSec dot1x または手動コンフィギュレーション モードを終了します。

                           
                          ステップ 6 シャットダウン


                          例:
                          switch(config-if)# shutdown
                           

                          インターフェイスをディセーブルにします。

                           
                          ステップ 7 no shutdown


                          例:
                          switch(config-if)# no shutdown
                           

                          インターフェイスをイネーブルにしたり、インターフェイス上で Cisco TrustSec のポーズ フレームの暗号化または復号化をイネーブルにしたりします。

                           
                          ステップ 8 exit


                          例:
                          switch(config-if)# exit
                          switch(config)#
                           

                          インターフェイス コンフィギュレーション モードを終了します。

                           
                          ステップ 9 show cts interface {all | brief | ethernet slot/port}


                          例:
                          switch# show cts interface all
                           
                          (任意)

                          インターフェイスの Cisco TrustSec 設定を表示します。

                           
                          ステップ 10 copy running-config startup-config


                          例:
                          switch# copy running-config startup-config
                           
                          (任意)

                          実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                           

                          SGACL ポリシーの設定

                          ここでは、SGACL ポリシーの設定作業について説明します。

                          SGACL ポリシーの設定プロセス

                          Cisco TrustSec の SGACL ポリシーを設定するには、次の手順を行います。

                          手順
                            ステップ 1   レイヤ 2 インターフェイスの場合は、Cisco TrustSec がイネーブルになっているインターフェイスがある VLAN に対して、SGACL ポリシーの強制をイネーブルにします。
                            ステップ 2   SGACL ポリシーの設定のダウンロードに Cisco Secure ACS 上の AAA を使用しない場合は、SGACL のマッピングとポリシーを手動で設定します。

                            VLAN に対する SGACL ポリシーの強制のイネーブル化

                            SGACL を使用する場合、Cisco TrustSec がイネーブルになっているレイヤ 2 インターフェイスがある VLAN 内で、 SGACL ポリシーの強制をイネーブルにする必要があります。

                            (注)  


                            この操作は、FCoE VLAN では実行できません。


                            はじめる前に
                            • Cisco TrustSec がイネーブルになっていることを確認します。

                            • SGACL バッチ プログラミングがイネーブルになっていることを確認します。

                            手順
                               コマンドまたはアクション目的
                              ステップ 1 configure terminal


                              例:
                              switch# configure terminal
                              switch(config)#
                               

                              グローバル コンフィギュレーション モードを開始します。

                               
                              ステップ 2 vlan vlan-id


                              例:
                              switch(config)# vlan 10
                              switch(config-vlan)#
                               

                              VLAN を指定し、VLAN コンフィギュレーション モードを開始します。

                               
                              ステップ 3 cts role-based enforcement


                              例:
                              switch(config-vlan)# cts role-based enforcement
                               

                              VLAN に対する Cisco TrustSec SGACL ポリシーの強制をイネーブルにします。

                               
                              ステップ 4 exit


                              例:
                              switch(config-vlan)# exit
                              switch(config)#
                               

                              VLAN 設定を保存し、VLAN コンフィギュレーション モードを終了します。

                               
                              ステップ 5 show cts role-based enable


                              例:
                              switch(config)# show cts role-based enable
                               
                              (任意)

                              Cisco TrustSec SGACL 強制の設定を表示します。

                               
                              ステップ 6 copy running-config startup-config


                              例:
                              switch(config)# copy running-config startup-config
                               
                              (任意)

                              実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                               

                              VRF インスタンスでの SGACL ポリシーの強制のイネーブル化

                              SGACL を使用する場合、Cisco TrustSec がイネーブルになっているレイヤ 3 インターフェイスがある VRF インスタンス内で、SGACL ポリシーの強制をイネーブルにする必要があります。


                              (注)  


                              管理 VRF インスタンスの場合は、SGACL ポリシーの強制をイネーブルにできません。


                              はじめる前に
                              • Cisco TrustSec がイネーブルになっていることを確認します。

                              • SGACL バッチ プログラミングがイネーブルになっていることを確認します。

                              • ダイナミック アドレス解決プロトコル(ARP)インスペクションまたは Dynamic Host Configuration Protocol(DHCP)スヌーピングがイネーブルになっていることを確認します。

                              手順
                                 コマンドまたはアクション目的
                                ステップ 1 configure terminal


                                例:
                                switch# configure terminal
                                switch(config)#
                                 

                                グローバル コンフィギュレーション モードを開始します。

                                 
                                ステップ 2 vrf context vrf-name


                                例:
                                switch(config)# vrf context MyVrf
                                switch(config-vrf)#
                                 

                                VRF インスタンスを指定し、VRF コンフィギュレーション モードを開始します。

                                 
                                ステップ 3 cts role-based enforcement


                                例:
                                switch(config-vrf)# cts role-based enforcement
                                 

                                VRF インスタンスに対する Cisco TrustSec SGACL ポリシーの強制をイネーブルにします。

                                 
                                ステップ 4 exit


                                例:
                                switch(config-vrf)# exit
                                switch(config)#
                                 

                                VRF コンフィギュレーション モードを終了します。

                                 
                                ステップ 5 show cts role-based enable


                                例:
                                switch(config)# show cts role-based enable
                                 
                                (任意)

                                Cisco TrustSec SGACL 強制の設定を表示します。

                                 
                                ステップ 6 copy running-config startup-config


                                例:
                                switch(config)# copy running-config startup-config
                                 
                                (任意)

                                実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                                 

                                Cisco TrustSec SGT の手動設定

                                このデバイスから発信されるパケットに、固有の Cisco TrustSec Security Group Tag(SGT)を手動で設定できます。

                                はじめる前に

                                Cisco TrustSec がイネーブルになっていることを確認します。

                                手順
                                   コマンドまたはアクション目的
                                  ステップ 1 configure terminal


                                  例:
                                  switch# configure terminal
                                  switch(config)#
                                   

                                  グローバル コンフィギュレーション モードを開始します。

                                   
                                  ステップ 2 cts sgt tag


                                  例:
                                  switch(config)# cts sgt 0x00a2
                                   

                                  デバイスから送信されるパケットの SGT を設定します。 tag 引数は、0xhhhh 形式の 16 進値です。 範囲は 0x2 ~ 0xffef です。

                                   
                                  ステップ 3 exit


                                  例:
                                  switch(config)# exit
                                  switch#
                                   

                                  グローバル コンフィギュレーション モードを終了します。

                                   
                                  ステップ 4 show cts environment-data


                                  例:
                                  switch# show cts environment-data
                                   
                                  (任意)

                                  Cisco TrustSec の環境データ情報を表示します。

                                   
                                  ステップ 5 copy running-config startup-config


                                  例:
                                  switch# copy running-config startup-config
                                   
                                  (任意)

                                  実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                                   

                                  VLAN に対する IPv4 アドレスと SGACL SGT のマッピングの手動設定

                                  SGT ポリシーが Secure ACS サーバからダウンロードされる、または SXP モードを使用している場合に SGT マッピングがリスナーにリレーされるように、IPv4 アドレスを VLAN の SGACL SGT マッピングに手動で設定することができます。

                                  はじめる前に

                                  Cisco TrustSec がイネーブルになっていることを確認します。

                                  VLAN の SGACL ポリシーの強制がイネーブルになっていることを確認します。

                                  手順
                                     コマンドまたはアクション目的
                                    ステップ 1 configure terminal


                                    例:
                                    switch# configure terminal
                                    switch(config)#
                                     

                                    グローバル コンフィギュレーション モードを開始します。

                                     
                                    ステップ 2 vlan vlan-id


                                    例:
                                    switch(config)# vlan 10
                                    switch(config-vlan)#
                                     

                                    VLAN を指定し、VLAN コンフィギュレーション モードを開始します。

                                     
                                    ステップ 3 cts role-based sgt-map ipv4-address tag


                                    例:
                                    switch(config-vlan)# cts role-based sgt-map 10.10.1.1 100
                                     

                                    VLAN に対する SGACL ポリシーの SGT マッピングを設定します。

                                     
                                    ステップ 4 exit


                                    例:
                                    switch(config-vlan)# exit
                                    switch(config)#
                                     

                                    VLAN 設定を保存し、VLAN コンフィギュレーション モードを終了します。

                                     
                                    ステップ 5 show cts role-based sgt-map [summary | sxp peer peer-ipv4-addr | vlan vlan-id | vrf vrf-name]


                                    例:
                                    switch(config)# show cts role-based sgt-map
                                     
                                    (任意)

                                    Cisco TrustSec SGACL SGT のマッピング設定を表示します。

                                     
                                    ステップ 6 copy running-config startup-config


                                    例:
                                    switch(config)# copy running-config startup-config
                                     
                                    (任意)

                                    実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                                     

                                    VRF インスタンスに対する IPv4 アドレスと SGACL SGT のマッピングの手動設定

                                    SGACL ポリシー設定のダウンロードに Cisco Secure ACS を使用できない場合は、IPv4 アドレスと SGACL SGT のマッピングを VRF インスタンスに手動で設定できます。 Cisco NX-OS デバイスで、Cisco Secure ACSを使用できない場合は、この機能を使用できます。 VRF の IPv4 SGT マッピングは SXP スピーカーに役立ちます。

                                    (注)  


                                    cts role based enforcement コマンドは、VRF ではサポートされません。


                                    はじめる前に

                                    Cisco TrustSec がイネーブルになっていることを確認します。

                                    レイヤ 3 モジュールがイネーブルになっていることを確認します。

                                    手順
                                       コマンドまたはアクション目的
                                      ステップ 1 configure terminal


                                      例:
                                      switch# configure terminal
                                      switch(config)#
                                       

                                      グローバル コンフィギュレーション モードを開始します。

                                       
                                      ステップ 2 vrf context vrf-name


                                      例:
                                      switch(config)# vrf context accounting
                                      switch(config-vrf)#
                                       

                                      VRF インスタンスを指定し、VRF コンフィギュレーション モードを開始します。

                                       
                                      ステップ 3 cts role-based sgt-map ipv4-address tag


                                      例:
                                      switch(config-vrf)# cts role-based sgt-map 10.10.1.1 100
                                       

                                      VLAN に対する SGACL ポリシーの SGT マッピングを設定します。

                                       
                                      ステップ 4 exit


                                      例:
                                      switch(config-vrf)# exit
                                      switch(config)#
                                       

                                      VRF コンフィギュレーション モードを終了します。

                                       
                                      ステップ 5 show cts role-based sgt-map [summary | sxp peer peer-ipv4-addr | vlan vlan-id | vrf vrf-name]


                                      例:
                                      switch(config)# show cts role-based sgt-map
                                       
                                      (任意)

                                      Cisco TrustSec SGACL SGT のマッピング設定を表示します。

                                       
                                      ステップ 6 copy running-config startup-config


                                      例:
                                      switch(config)# copy running-config startup-config
                                       
                                      (任意)

                                      実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                                       

                                      SGACL ポリシーの手動設定

                                      SGACL ポリシー設定のダウンロードに Cisco Secure ACS を使用しない場合は、Cisco NX-OS デバイスに手動で SGACL ポリシーを設定できます。 ロールベース アクセス コントロール リスト(RBACL)ロギングをイネーブルにすることもできます。これにより、ユーザは、Cisco NX-OS デバイスに着信する特定タイプのパケットをモニタできるようになります。

                                      はじめる前に

                                      Cisco TrustSec がイネーブルになっていることを確認します。

                                      Cisco TrustSec ロギングを機能させるには、Cisco TrustSec カウンタまたは統計情報をイネーブルにする必要があります。

                                      VLAN に対する SGACL ポリシーの強制がイネーブルになっていることを確認します。

                                      RBACL ロギングをイネーブルにする場合は、VLAN に対する RBACL ポリシーの強制がイネーブルになっていることを確認します。

                                      RBACL ロギングをイネーブルにする場合は、CTS マネージャ syslog のログ レベルが 6 以下に設定されていることを確認します。

                                      手順
                                         コマンドまたはアクション目的
                                        ステップ 1 configure terminal


                                        例:
                                        switch# configure terminal
                                        switch(config)#
                                         

                                        グローバル コンフィギュレーション モードを開始します。

                                         
                                        ステップ 2 cts role-based access-list list-name


                                        例:
                                        switch(config)# cts role-based access-list MySGACL
                                        switch(config-rbacl)#
                                         

                                        SGACL を指定し、ロールベース アクセス リスト コンフィギュレーション モードを開始します。 list-name 引数には、大文字と小文字を区別して、最大 32 文字の英数字で値を指定します。

                                         
                                        ステップ 3 {deny | permit} all [log]


                                        例:
                                        switch(config-rbacl)# deny all log
                                         
                                        (任意)

                                        すべてのトラフィックを拒否または許可します。 必要に応じて log キーワードを使用して、この設定と一致するパケットが記録されるように指定することができます。

                                         
                                        ステップ 4 {deny | permit} icmp [log]


                                        例:
                                        switch(config-rbacl)# permit icmp
                                         
                                        (任意)

                                        インターネット制御メッセージ プロトコル(ICMP)トラフィックを拒否または許可します。 必要に応じて log キーワードを使用して、この設定と一致するパケットが記録されるように指定することができます。

                                         
                                        ステップ 5 {deny | permit} igmp [log]


                                        例:
                                        switch(config-rbacl)# deny igmp
                                         
                                        (任意)

                                        インターネット グループ管理プロトコル(IGMP)トラフィックを拒否または許可します。 必要に応じて log キーワードを使用して、この設定と一致するパケットが記録されるように指定することができます。

                                         
                                        ステップ 6 {deny | permit} ip [log]


                                        例:
                                        switch(config-rbacl)# permit ip
                                         
                                        (任意)

                                        IP トラフィックを拒否または許可します。 必要に応じて log キーワードを使用して、この設定と一致するパケットが記録されるように指定することができます。

                                         
                                        ステップ 7 {deny | permit} tcp [{dst | src} {{eq | gt | lt | neq} port-number | range port-number1 port-number2}] [log]


                                        例:
                                        switch(config-rbacl)# deny tcp dst eq 100
                                         
                                        (任意)

                                        TCP トラフィックを拒否または許可します。 デフォルトではすべての TCP トラフィックが許可されます。 port-numberport-number1、port-number2 の引数の範囲は 0 ~ 65535 です。 必要に応じて log キーワードを使用して、この設定と一致するパケットが記録されるように指定することができます。

                                         
                                        ステップ 8 {deny | permit} udp [{dst | src} {{eq | gt | lt | neq} port-number | range port-number1 port-number2}] [log]


                                        例:
                                        switch(config-rbacl)# permit udp src eq 1312
                                         

                                        UDP トラフィックを拒否または許可します。 デフォルトではすべての UDP トラフィックが許可されます。 port-numberport-number1、port-number2 の引数の範囲は 0 ~ 65535 です。 必要に応じて log キーワードを使用して、この設定と一致するパケットが記録されるように指定することができます。

                                         
                                        ステップ 9 exit


                                        例:
                                        switch(config-rbacl)# exit
                                        switch(config)#
                                         

                                        ロールベース アクセス リスト コンフィギュレーション モードを終了します。

                                         
                                        ステップ 10 cts role-based sgt {sgt-value | any | unknown} dgt {dgt-value | any | unknown} access-list list-name


                                        例:
                                        switch(config)# cts role-based sgt 3 dgt 10 access-list MySGACL
                                         

                                        SGT 値と SGACL をマッピングします。 sgt-value 引数と dgt-value 引数の範囲は、0 ~ 65519 です。

                                        (注)     

                                        SGT と SGACL をマッピングするには、あらかじめ SGACL を作成しておく必要があります。

                                         
                                        ステップ 11 show cts role-based access-list


                                        例:
                                        switch(config)# show cts role-based access-list
                                         
                                        (任意)

                                        Cisco TrustSec SGACL の設定を表示します。

                                         
                                        ステップ 12 copy running-config startup-config


                                        例:
                                        switch(config)# copy running-config startup-config
                                         
                                        (任意)

                                        実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                                         

                                        ダウンロードされた SGACL ポリシーの表示

                                        Cisco TrustSec のデバイス クレデンシャルと AAA の設定後、Cisco Secure ACS からダウンロードされた Cisco TrustSec SGACL ポリシーを検証できます。 Cisco NX-OS ソフトウェアは、インターフェイスに対する認証および許可、、または IPv4 アドレスおよび SGACL SGT の手動マッピングによって新しい SGT を学習すると、SGACL ポリシーをダウンロードします。

                                        はじめる前に

                                        Cisco TrustSec がイネーブルになっていることを確認します。

                                        手順
                                           コマンドまたはアクション目的
                                          ステップ 1 show cts role-based access-list


                                          例:
                                          switch# show cts role-based access-list
                                           

                                          Cisco TrustSec SGACL を表示します(Cisco Secure ACS からダウンロードされたものと Cisco NX-OS デバイスに手動で設定されたものの両方)。

                                           

                                          ダウンロードされた SGACL ポリシーのリフレッシュ

                                          Cisco Secure ACS によって Cisco NX-OS デバイスにダウンロードされた SGACL ポリシーをリフレッシュできます。

                                          はじめる前に

                                          Cisco TrustSec がイネーブルになっていることを確認します。

                                          手順
                                             コマンドまたはアクション目的
                                            ステップ 1 cts refresh role-based policy


                                            例:
                                            switch# cts refresh policy
                                             

                                            Cisco Secure ACS からの Cisco TrustSec SGACL をリフレッシュします。

                                             
                                            ステップ 2 show cts role-based policy


                                            例:
                                            switch# show cts role-based policy
                                             
                                            (任意)

                                            Cisco TrustSec SGACL ポリシーを表示します。

                                             

                                            RBACL の統計情報のイネーブル化

                                            ロールベース アクセス コントロール リスト(RBACL)ポリシーと一致するパケット数のカウントを要求できます。 この統計情報は、ACE ごとに収集されます。


                                            (注)  


                                            RBACL 統計情報は、Cisco NX-OS デバイスのリロード時または統計情報を故意にクリアしたときにだけ失われます。


                                            はじめる前に

                                            Cisco TrustSec がイネーブルになっていることを確認します。

                                            RBACL 統計情報をイネーブルにする場合は、VLAN に対する RBACL ポリシーの強制がイネーブルになっていることを確認します。

                                            RBACL 統計情報をイネーブルにするには、ハードウェアのエントリが各ポリシーに 1 つずつ必要です。 ハードウェアに十分な領域が残っていない場合は、エラー メッセージが表示され、統計情報をイネーブルにできません。

                                            手順
                                               コマンドまたはアクション目的
                                              ステップ 1 configure terminal


                                              例:
                                              switch# configure terminal
                                              switch(config)#
                                               

                                              グローバル コンフィギュレーション モードを開始します。

                                               
                                              ステップ 2 [no] cts role-based counters enable


                                              例:
                                              switch(config)# cts role-based counters enable
                                               

                                              RBACL 統計情報をイネーブルまたはディセーブルにします。 デフォルトではディセーブルになっています。

                                               
                                              ステップ 3 copy running-config startup-config


                                              例:
                                              switch(config)# copy running-config startup-config
                                               
                                              (任意)

                                              実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                                               
                                              ステップ 4 exit


                                              例:
                                              switch(config)# exit
                                              switch#
                                               

                                              グローバル コンフィギュレーション モードを終了します。

                                               
                                              ステップ 5 show cts role-based counters


                                              例:
                                              switch# show cts role-based counters
                                               
                                              (任意)

                                              RBACL 統計情報の設定ステータスを表示し、すべての RBACL ポリシーの統計情報を一覧表示します。

                                               
                                              ステップ 6clear cts role-based counters


                                              例:
                                              switch# clear cts role-based counters
                                               
                                              (任意)

                                              すべてのカウンタが 0 にリセットされるように、RBACL 統計情報をクリアします。

                                               

                                              Cisco TrustSec の SGACL ポリシーのクリア

                                              Cisco TrustSec の SGACL ポリシーをクリアできます。


                                              (注)  


                                              ポリシーをクリアしても、すぐには有効になりません。フラップが発生する必要があります。 さらに、ポリシーがクリアされる方法は、SGT がスタティックまたはダイナミックのどちらであるかによって異なります。 スタティック SGT の場合、フラップが発生した後で SGT が 0 にリセットされます。 ダイナミック SGT の場合、フラップが発生した後で SGT が RADIUS サーバから再度ダウンロードされます。
                                              はじめる前に

                                              Cisco TrustSec がイネーブルになっていることを確認します。

                                              手順
                                                 コマンドまたはアクション目的
                                                ステップ 1 show cts role-based policy


                                                例:
                                                switch# clear cts policy all
                                                 
                                                (任意)

                                                Cisco TrustSec RBACL ポリシーの設定を表示します。

                                                 
                                                ステップ 2 clear cts policy {all | peer device-name | sgt sgt-value}


                                                例:
                                                switch# clear cts policy all
                                                 

                                                Cisco TrustSec 接続情報のポリシーをクリアします。

                                                 

                                                SXP の手動設定

                                                SGT Exchange Protocol(SXP)を使用すると、Cisco TrustSec のハードウェア サポートがないネットワーク デバイスに SGT を伝播できます。 ここでは、ネットワーク内の Cisco NX-OS デバイスに Cisco TrustSec SXP を設定する手順について説明します。

                                                Cisco TrustSec SXP の設定プロセス

                                                Cisco TrustSec SXP の手動による設定手順は次のとおりです。

                                                手順
                                                  ステップ 1   Cisco TrustSec 機能をイネーブルにします。
                                                  ステップ 2   Cisco TrustSec SXP をイネーブルにします。
                                                  ステップ 3   SXP ピア接続を設定します。
                                                  (注)     

                                                  SXP には管理(mgmt 0)接続は使用できません。


                                                  Cisco TrustSec SXP のイネーブル化

                                                  ピアの接続を設定する前に、Cisco TrustSec SXP をイネーブルにする必要があります。

                                                  はじめる前に

                                                  Cisco TrustSec がイネーブルになっていることを確認します。

                                                  手順
                                                     コマンドまたはアクション目的
                                                    ステップ 1 configure terminal


                                                    例:
                                                    switch# configure terminal
                                                    switch(config)#
                                                     

                                                    グローバル コンフィギュレーション モードを開始します。

                                                     
                                                    ステップ 2 cts sxp enable


                                                    例:
                                                    switch(config)# cts sxp enable
                                                     

                                                    Cisco TrustSec の SXP をイネーブルにします。

                                                     
                                                    ステップ 3 exit


                                                    例:
                                                    switch(config)# exit
                                                    switch#
                                                     

                                                    グローバル コンフィギュレーション モードを終了します。

                                                     
                                                    ステップ 4 show cts sxp


                                                    例:
                                                    switch# show cts sxp
                                                     
                                                    (任意)

                                                    SXP の設定を表示します。

                                                     
                                                    ステップ 5 copy running-config startup-config


                                                    例:
                                                    switch# copy running-config startup-config
                                                     
                                                    (任意)

                                                    実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                                                     

                                                    Cisco TrustSec SXP のピア接続の設定

                                                    スピーカーおよびリスナーの両方のデバイスで SXP ピア接続を設定する必要があります。 パスワード保護を使用している場合は、必ず両エンドに同じパスワードを使用してください。


                                                    (注)  


                                                    デフォルトの SXP 送信元 IP アドレスが設定されていない場合に、接続の SXP 送信元アドレスを指定しないと、Cisco NX-OS ソフトウェアは既存のローカル IP アドレスから SXP 送信元 IP アドレスを抽出します。 その Cisco NX-OS デバイスから開始される各 TCP 接続で SXP 送信元アドレスが異なる可能性があります。



                                                    (注)  


                                                    この Cisco Nexus スイッチは SXP スピーカー モードだけをサポートします。 そのため、任意の SXP ピアをリスナーとして設定する必要があります。


                                                    はじめる前に

                                                    Cisco TrustSec がイネーブルになっていることを確認します。

                                                    SXP がイネーブルになっていることを確認します。

                                                    VRF インスタンスの RBACL ポリシーの強制がイネーブルになっていることを確認します。

                                                    手順
                                                       コマンドまたはアクション目的
                                                      ステップ 1 configure terminal


                                                      例:
                                                      switch# configure terminal
                                                      switch(config)#
                                                       

                                                      グローバル コンフィギュレーション モードを開始します。

                                                       
                                                      ステップ 2 cts sxp connection peer peer-ipv4-addr [source src-ipv4-addr] password {default | none | required password} mode listener [vrf vrf-name]


                                                      例:
                                                      switch(config)# cts sxp connection peer 10.10.1.1 source 20.20.1.1 password default mode listener
                                                       

                                                      SXP アドレス接続を設定します。

                                                      source キーワードには発信元デバイスの IPv4 アドレスを指定します。 デフォルトの発信元は、cts sxp default source-ip コマンドを使用して設定した IPv4 アドレスです。

                                                      password キーワードには、SXP で接続に使用するパスワードを指定します。次のオプションがあります。

                                                      • cts sxp default password コマンドを使用して設定したデフォルトの SXP パスワードを使用するには、default オプションを使用します。

                                                      • パスワードを使用しないようにするには none オプションを使用します。

                                                      • コマンドで指定したパスワードを使用するには、required オプションを使用します。

                                                      speaker および listener キーワードは、リモート ピア デバイスのロールを指定します。 この Cisco Nexus シリーズ スイッチは接続でスピーカーとしてのみ機能するため、ピアをリスナーとして設定する必要があります。

                                                      vrf キーワードでは、ピアに対する VRF インスタンスを指定します。 デフォルトはデフォルト VRF インスタンスです。

                                                      (注)     

                                                      SXP には管理(mgmt 0)インターフェイスを使用できません。

                                                       
                                                      ステップ 3 exit


                                                      例:
                                                      switch(config)# exit
                                                      switch#
                                                       

                                                      グローバル コンフィギュレーション モードを終了します。

                                                       
                                                      ステップ 4 show cts sxp connections


                                                      例:
                                                      switch# show cts sxp connections
                                                       
                                                      (任意)

                                                      SXP 接続とステータスを表示します。

                                                       
                                                      ステップ 5 copy running-config startup-config


                                                      例:
                                                      switch# copy running-config startup-config
                                                       
                                                      (任意)

                                                      実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                                                       

                                                      デフォルトの SXP パスワードの設定

                                                      デフォルトでは、SXP は接続のセットアップ時にパスワードを使用しません。 Cisco NX-OS デバイスにデフォルトの SXP パスワードを設定できます。

                                                      はじめる前に

                                                      Cisco TrustSec がイネーブルになっていることを確認します。

                                                      SXP がイネーブルになっていることを確認します。

                                                      手順
                                                         コマンドまたはアクション目的
                                                        ステップ 1 configure terminal


                                                        例:
                                                        switch# configure terminal
                                                        switch(config)#
                                                         

                                                        グローバル コンフィギュレーション モードを開始します。

                                                         
                                                        ステップ 2 cts sxp default password password


                                                        例:
                                                        switch(config)# cts sxp default password A2Q3d4F5
                                                         

                                                        SXP のデフォルト パスワードを設定します。

                                                         
                                                        ステップ 3 exit


                                                        例:
                                                        switch(config)# exit
                                                        switch#
                                                         

                                                        グローバル コンフィギュレーション モードを終了します。

                                                         
                                                        ステップ 4 show cts sxp


                                                        例:
                                                        switch# show cts sxp
                                                         
                                                        (任意)

                                                        SXP の設定を表示します。

                                                         
                                                        ステップ 5 show running-config cts


                                                        例:
                                                        switch# show running-config cts
                                                         
                                                        (任意)

                                                        実行コンフィギュレーションの SXP 設定を表示します。

                                                         
                                                        ステップ 6 copy running-config startup-config


                                                        例:
                                                        switch# copy running-config startup-config
                                                         
                                                        (任意)

                                                        実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                                                         

                                                        デフォルトの SXP 送信元 IPv4 アドレスの設定

                                                        Cisco NX-OS ソフトウェアは、送信元 IPv4 アドレスが指定されないと、新規の TCP 接続すべてにデフォルトの送信元 IPv4 アドレスを使用します。 デフォルト SXP 送信元 IPv4 アドレスを設定しても、既存の TCP 接続には影響しません。

                                                        はじめる前に

                                                        Cisco TrustSec がイネーブルになっていることを確認します。

                                                        SXP がイネーブルになっていることを確認します。

                                                        手順
                                                           コマンドまたはアクション目的
                                                          ステップ 1 configure terminal


                                                          例:
                                                          switch# configure terminal
                                                          switch(config)#
                                                           

                                                          グローバル コンフィギュレーション モードを開始します。

                                                           
                                                          ステップ 2 cts sxp default source-ip src-ip-addr


                                                          例:
                                                          switch(config)# cts sxp default source-ip 10.10.3.3
                                                           

                                                          SXP のデフォルトの送信元 IPv4 アドレスを設定します。

                                                           
                                                          ステップ 3 exit


                                                          例:
                                                          switch(config)# exit
                                                          switch#
                                                           

                                                          グローバル コンフィギュレーション モードを終了します。

                                                           
                                                          ステップ 4 show cts sxp


                                                          例:
                                                          switch# show cts sxp
                                                           
                                                          (任意)

                                                          SXP の設定を表示します。

                                                           
                                                          ステップ 5 copy running-config startup-config


                                                          例:
                                                          switch# copy running-config startup-config
                                                           
                                                          (任意)

                                                          実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                                                           

                                                          SXP 復帰期間の変更

                                                          ピアが SXP 接続を終了すると、内部ホールドダウン タイマーが開始されます。 内部ホールドダウン タイマーが終了する前にピアが再接続すると、SXP 復帰期間タイマーが開始されます。 SXP 復帰期間タイマーがアクティブな間、Cisco NX-OS ソフトウェアは前回の接続で学習した SGT マッピング エントリを保持し、無効なエントリを削除します。 デフォルト値は 120 秒(2 分)です。 SXP 復帰期間を 0 秒に設定すると、タイマーがディセーブルになり、前回の接続のすべてのエントリが削除されます。

                                                          はじめる前に

                                                          Cisco TrustSec がイネーブルになっていることを確認します。

                                                          SXP がイネーブルになっていることを確認します。

                                                          手順
                                                             コマンドまたはアクション目的
                                                            ステップ 1 configure terminal


                                                            例:
                                                            switch# configure terminal
                                                            switch(config)#
                                                             

                                                            グローバル コンフィギュレーション モードを開始します。

                                                             
                                                            ステップ 2 cts sxp reconcile-period seconds


                                                            例:
                                                            switch(config)# cts sxp reconcile-period 180
                                                             

                                                            SXP 復帰タイマー期間を変更します。 デフォルト値は 120 秒(2 分)です。 範囲は 0 ~ 64000 です。

                                                             
                                                            ステップ 3 exit


                                                            例:
                                                            switch(config)# exit
                                                            switch#
                                                             

                                                            グローバル コンフィギュレーション モードを終了します。

                                                             
                                                            ステップ 4 show cts sxp


                                                            例:
                                                            switch# show cts sxp
                                                             
                                                            (任意)

                                                            SXP の設定を表示します。

                                                             
                                                            ステップ 5 copy running-config startup-config


                                                            例:
                                                            switch# copy running-config startup-config
                                                             
                                                            (任意)

                                                            実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                                                             

                                                            SXP リトライ期間の変更

                                                            SXP リトライ期間によって、Cisco NX-OS ソフトウェアが SXP 接続を再試行する頻度が決まります。 SXP 接続が正常に確立されなかった場合、Cisco NX-OS ソフトウェアは SXP リトライ期間タイマーの終了後に、新たな接続の確立を試行します。 デフォルト値は 60 秒(1 分)です。 SXP 再試行期間を 0 秒に設定するとタイマーは無効になり、接続は再試行されません。

                                                            はじめる前に

                                                            Cisco TrustSec がイネーブルになっていることを確認します。

                                                            SXP がイネーブルになっていることを確認します。

                                                            手順
                                                               コマンドまたはアクション目的
                                                              ステップ 1 configure terminal


                                                              例:
                                                              switch# configure terminal
                                                              switch(config)#
                                                               

                                                              グローバル コンフィギュレーション モードを開始します。

                                                               
                                                              ステップ 2 cts sxp retry-period seconds


                                                              例:
                                                              switch(config)# cts sxp retry-period 120
                                                               

                                                              SXP リトライ タイマー期間を変更します。 デフォルト値は 60 秒(1 分)です。 範囲は 0 ~ 64000 です。

                                                               
                                                              ステップ 3 exit


                                                              例:
                                                              switch(config)# exit
                                                              switch#
                                                               

                                                              グローバル コンフィギュレーション モードを終了します。

                                                               
                                                              ステップ 4 show cts sxp


                                                              例:
                                                              switch# show cts sxp
                                                               
                                                              (任意)

                                                              SXP の設定を表示します。

                                                               
                                                              ステップ 5 copy running-config startup-config


                                                              例:
                                                              switch# copy running-config startup-config
                                                               
                                                              (任意)

                                                              実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                                                               

                                                              Cisco TrustSec の設定の確認

                                                              Cisco TrustSec の設定情報を表示するには、次のいずれかの作業を行います。

                                                              コマンド

                                                              目的

                                                              show cts

                                                              Cisco TrustSec の情報を表示します。

                                                              show cts credentials

                                                              EAP-FAST の Cisco TrustSec クレデンシャルを表示します。

                                                              show cts environment-data

                                                              Cisco TrustSec の環境データを表示します。

                                                              show cts interface {all | brief | ethernet slot/port}

                                                              インターフェイスの Cisco TrustSec 設定を表示します。

                                                              show cts role-based access-list

                                                              Cisco TrustSec の SGACL 情報を表示します。

                                                              show cts role-based counters

                                                              RBACL 統計情報の設定ステータスを表示し、すべての RBACL ポリシーの統計情報を一覧表示します。

                                                              show cts role-based enable

                                                              Cisco TrustSec の SGACL 強制の状態を表示します。

                                                              show cts role-based policy

                                                              Cisco TrustSec の SGACL ポリシー情報を表示します。

                                                              show cts role-based sgt-map [summary | sxp peer peer-ipv4-addr | vlan vlan-id | vrf vrf-name]

                                                              Cisco TrustSec SGACL SGT のマップ設定を表示します。

                                                              SGT マッピングのサマリーを表示するには、summary キーワードを使用します。

                                                              特定の SXP ピアに対する SGT マップ設定を表示するには、sxp peer オプションを使用します。

                                                              特定の VLAN に対する SGT マップ設定を表示するには、vlan オプションを使用します。

                                                              特定の VRF に対する SGT マップ設定を表示するには、vrf オプションを使用します。

                                                              show cts sxp

                                                              Cisco TrustSec SXP の情報を表示します。

                                                              show running-config cts

                                                              実行コンフィギュレーションの Cisco TrustSec 情報を表示します。

                                                              Cisco TrustSec の設定例

                                                              ここでは、Cisco TrustSec の設定例を示します。

                                                              Cisco TrustSec のイネーブル化

                                                              Cisco TrustSec をイネーブルにする例を示します。

                                                               
                                                              feature cts 
                                                              cts device-id device1 password Cisco321
                                                              
                                                              

                                                              Cisco NX-OS デバイスへの Cisco TrustSec AAA の設定

                                                              次の例では、Cisco NX-OS デバイスに Cisco TrustSec の AAA を設定します。

                                                              radius-server host 10.10.1.1 key Cisco123 pac
                                                              aaa group server radius Rad1
                                                                server 10.10.1.1
                                                                use-vrf management 
                                                              aaa authentication cts default group Rad1 
                                                              aaa authorization cts default group Rad1
                                                              

                                                              インターフェイスに対する Cisco TrustSec 認証のイネーブル化

                                                              次の例では、インターフェイスに対して、クリア テキスト パスワードを使用する Cisco TrustSec 認証をイネーブルにします。

                                                              interface ethernet 2/1
                                                                cts dot1x 
                                                                shutdown 
                                                                no shutdown
                                                              
                                                              

                                                              手動での Cisco TrustSec 認証の設定

                                                              次の例では、インターフェイスに手動スタティック ポリシーで Cisco TrustSec 認証を設定します。

                                                              interface ethernet 2/1
                                                                cts manual 
                                                                  policy static sgt 0x20 
                                                                  no propagate-sgt
                                                                  
                                                              

                                                              次の例では、インターフェイスに手動ダイナミック ポリシーで Cisco TrustSec 認証を設定します。

                                                              interface ethernet 2/2
                                                                cts manual 
                                                                  policy dynamic identity device2
                                                              
                                                              

                                                              デフォルト VRF インスタンスに対する Cisco TrustSec ロールベース ポリシー強制の設定

                                                              次の例では、デフォルト VRF インスタンスに対して Cisco TrustSec のロールベース ポリシー強制をイネーブルにします。

                                                              cts role-based enforcement 
                                                              
                                                              

                                                              デフォルト以外の VRF に対する Cisco TrustSec ロールベース ポリシー強制の設定

                                                              次の例では、デフォルト以外の VRF に対して Cisco TrustSec のロールベース ポリシー強制をイネーブルにします。

                                                              vrf context test
                                                                cts role-based enforcement
                                                              
                                                              

                                                              VLAN に対する Cisco TrustSec ロールベース ポリシー強制の設定

                                                              次の例では、VLAN に対して Cisco TrustSec のロールベース ポリシー強制をイネーブルにします。

                                                              vlan 10
                                                                cts role-based enforcement
                                                              
                                                              

                                                              デフォルト VRF インスタンスに対する IPv4 アドレスと SGACL SGT のマッピングの設定

                                                              次の例では、デフォルト VRF インスタンスに対して Cisco TrustSec ロールベース ポリシーの IPv4 アドレス対 SGACL SGT マッピングを手動で設定します。

                                                              cts role-based sgt-map 10.1.1.1 20
                                                              
                                                              

                                                              デフォルト以外の VRF インスタンスに対する IPv4 アドレスと SGACL SGT のマッピングの設定

                                                              次の例では、デフォルト以外の VRF インスタンスに対して Cisco TrustSec ロールベース ポリシーの IPv4 アドレス対 SGACL SGT マッピングを手動で設定します。

                                                              vrf context test
                                                                cts role-based sgt-map 30.1.1.1 30
                                                              
                                                              

                                                              VLAN に対する IPv4 アドレスと SGACL SGT のマッピングの設定

                                                              次の例では、VLAN に対して Cisco TrustSec ロールベース ポリシーの IPv4 アドレス対 SGACL SGT マッピングを手動で設定します。

                                                              vlan 10 
                                                                cts role-based sgt-map 20.1.1.1 20
                                                              
                                                              

                                                              Cisco TrustSec SGACL の手動設定

                                                              次に、Cisco TrustSec SGACL を手動で設定する例を示します。

                                                              cts role-based access-list abcd
                                                                permit icmp 
                                                              cts role-based sgt 10 dgt 20 access-list abcd
                                                              
                                                              
                                                              

                                                              次に、RBACL ロギングをイネーブルにする例を示します。

                                                              cts role-based access-list RBACL1
                                                                deny tcp src eq 1111 dest eq 2222 log
                                                              cts role-based sgt 10 dgt 20 access-list RBACL1
                                                              
                                                              
                                                              
                                                              この設定では、次の ACLLOG syslog が生成されます。
                                                              %$ VDC-1 %$ %CTS-6-CTS_RBACL_STAT_LOG: CTS ACE permit all log, Threshold exceeded: Hit count in 10s period = 4

                                                              (注)  


                                                              ACLLOG syslog には、一致した RBACL ポリシーの Destination Group Tag(DGT)情報が含まれていません。


                                                              次に、RBACL 統計情報をイネーブルおよび表示する例を示します。

                                                              cts role-based counters enable
                                                              show cts role-based counters 
                                                              
                                                              RBACL policy counters enabled
                                                              Counters last cleared: 06/08/2009 at 01:32:59 PM
                                                              rbacl:abc
                                                                      deny tcp dest neq 80                            [0]
                                                                      deny tcp dest range 78 79                       [0]
                                                              rbacl:def
                                                                      deny udp                                        [0]
                                                                      deny ip                                         [0]
                                                                      deny igmp                                       [0]

                                                              SXP ピア接続の手動設定

                                                              次の図に、デフォルト VRF インスタンスでの SXP ピア接続の例を示します。

                                                              図 6. SXP ピア接続の例.

                                                              (注)  


                                                              この Cisco Nexus スイッチは SXP のスピーカー モードしかサポートしていないため、この例では SwitchA としてのみ設定できます。




                                                              次に、SwitchA に SXP ピア接続を設定する例を示します。

                                                              feature cts
                                                              cts sxp enable 
                                                              cts sxp connection peer 10.20.2.2 password required A2BsxpPW mode listener 
                                                              cts sxp connection peer 10.30.3.3 password required A2CsxpPW mode listener
                                                              
                                                              

                                                              次に、SwitchB に SXP ピア接続を設定する例を示します。

                                                              feature cts 
                                                              cts sxp enable 
                                                              cts sxp connection peer 10.10.1.1 password required A2BsxpPW mode speaker
                                                              
                                                              

                                                              次に、SwitchC に SXP ピア接続を設定する例を示します。

                                                              feature cts
                                                              cts sxp enable
                                                              cts sxp connection peer 10.10.1.1 password required A2CsxpPW mode speaker
                                                              
                                                              

                                                              Cisco TrustSec に関する追加情報

                                                              ここでは、Cisco TrustSec の実装に関する追加情報について説明します。

                                                              関連資料

                                                              関連項目

                                                              マニュアル タイトル

                                                              Cisco NX-OS のライセンス

                                                              『Cisco NX-OS Licensing Guide』

                                                              コマンド リファレンス

                                                              Cisco TrustSec の機能の履歴

                                                              次の表に、この機能のリリースの履歴を示します。

                                                              表 2 Cisco TrustSec の機能の履歴

                                                              機能名

                                                              リリース

                                                              機能情報

                                                              Cisco TrustSec

                                                              5.1(3)N1(1)

                                                              この機能が導入されました。