Cisco TrustSec の設定
Cisco TrustSec の設定

目次

Cisco TrustSec の設定

この章では、Cisco NX-OS デバイスに Cisco TrustSec を設定する手順について説明します。

この章は、次の項で構成されています。

Cisco TrustSec の概要

ここでは、Cisco TrustSec について説明します。

Cisco TrustSec のアーキテクチャ

Cisco TrusSec のセキュリティ アーキテクチャは、信頼できるネットワーク デバイスのクラウドを確立することによってセキュア ネットワークを構築します。 クラウド内の各デバイスは、そのネイバーによって認証されます。 クラウド内のデバイス間リンクでの通信は、暗号化、メッセージ整合性検査、データパス リプレイ防止メカニズムを組み合わせたセキュリティで保護されます。 また Cisco TrustSec は、認証時に取得されたデバイスおよびユーザの識別情報を、ネットワークに入る際のパケットの分類またはカラリングに使用します。 このパケット分類は、Cisco TrustSec ネットワークへの入力時にパケットにタグ付けされることにより維持されます。タグによってパケットはデータ パス全体を通じて正しく識別され、セキュリティおよびその他のポリシー基準が適用されます。 このタグは、セキュリティ グループ タグ(SGT)と呼ばれることもあります。エンドポイント装置が SGT に応じてトラフィックをフィルタリングできるようにすることにより、アクセス コントロール ポリシーをネットワークに強制できます。


(注)  


入力とは、宛先へのパス上のパケットが最初の Cisco TrustSec 対応デバイスに入ることです。出力とは、パス上の最後の Cisco TrustSec 対応デバイスを出ることです。


図 1. Cisco TrustSec ネットワーク クラウドの例. 次の図に、Cisco TrustSec クラウドの例を示します。 この例では、Cisco TrustSec クラウド内に、ネットワーク接続されたデバイスが数台とエンドポイント装置が 1 台あります。 エンドポイント装置 1 台とネットワーク接続デバイス 1 台がクラウドの外部にあるのは、これらが Cisco TrustSec 対応デバイスでないか、またはアクセスを拒否されたからです。

Cisco TrustSec アーキテクチャは、主に次のコンポーネントで構成されています。

認証
Cisco TrustSec ネットワークにデバイスを加入させる前に、各デバイスの識別情報を検証します。
認可
認証されたデバイスの識別情報に基づいて、Cisco TrustSec ネットワークのリソースに対するデバイスのアクセス権のレベルを決定します。
アクセス コントロール
各パケットのソース タグを使用して、パケット単位でアクセス ポリシーを適用します。
セキュアな通信
Cisco TrustSec ネットワークの各リンク上のパケットに、暗号化、整合性検査、およびデータパス リプレイ防止を提供します。

Cisco TrustSec ネットワークには、次のエンティティがあります。

サプリカント
Cisco TrustSec ネットワークへの加入を試行するデバイス
オーセンティケータ(AT)
すでに Cisco TrustSec ネットワークに含まれているデバイス
許可サーバ
認証情報、許可情報、またはその両方を提供できるサーバ

サプリカントと AT の間のリンクの初回の確立時には、次の一連のイベントが発生します。

認証(802.1X)
認証サーバがサプリカントの認証を実行します。または、これらのデバイスが無条件に相互認証するように設定している場合は認証がそのまま完了します。
認可
リンクの両側が、そのリンクに適用する SGT および ACL などのポリシーを取得します。サプリカントは、認証サーバへの他のレイヤ 3 ルートがない場合には、AT をリレーとして使用する必要があります。
セキュリティ アソシエーション プロトコル(SAP)ネゴシエーション
サプリカントと AT の間で、EAPOL-Key が交換され、暗号スイートのネゴシエーション、セキュリティ パラメータ インデックス(SPI)の交換、およびキーの管理が実行されます。 これら 3 つの作業が正常に完了すると、セキュリティ アソシエーション(SA)が確立します。

SAP ネゴシエーションが完了するまで、ポートは無許可ステート(ブロッキング ステート)です。

図 2. SAP ネゴシエーション. 次の図に、SAP ネゴシエーションを示します。この図では、SAP ネゴシエーションが完了するまで、ポートが無許可ステートであることも示しています。

SAP ネゴシエーションには、次のいずれかの動作モードを使用します。

  • Galois/Counter Mode(GCM)暗号化

  • GCM 認証(GMAC)

  • カプセル化なし(クリア テキスト)

  • 暗号化も認証もなしのカプセル化

Cisco TrustSec は、IEEE 802.1AE 規格に基づいて、ESP-128 GCM および GMAC を使用します。

認証

Cisco TrustSec は、デバイスのネットワーク加入を許可する前にデバイスを認証します。 Cisco TrustSec は、拡張認証プロトコル(EAP)方式としての Extensible Authentication Protocol Flexible Authentication via Secure Tunnel(EAP-FAST)とともに、802.1X 認証を使用して、認証を実行します。

Cisco TrustSec と認証

Cisco TrustSec は認証に EAP-FAST を使用します。 EAP-FAST カンバセーションによって、チェーンを使用した EAP-FAST トンネル内で他の EAP 方式の交換が可能になります。これにより、管理者は Microsoft Challenge Handshake Authentication Protocol Version 2(MSCHAPv2)のような従来型のユーザ認証方式を使用しながら、EAP-FAST トンネルが提供するセキュリティも利用できます。

図 3. Cisco TrustSec の認証. 次の図に、EAP-FAST トンネルおよび Cisco TrustSec で使用する内部方式を示します。

EAP-FAST への Cisco TrustSec の機能拡張

Cisco TrustSec に EAP-FAST を実装することにより、次の機能拡張が実現しました。

オーセンティケータの認証
AT と認証サーバの間の共有秘密を得るために Protected Access Credential(PAC)を使用するように AT に求めることにより、AT のアイデンティティをセキュアに判断します。 また、この機能により、AT が使用できるすべての IP アドレスに関して認証サーバに RADIUS 共有秘密を設定する手間が省けます。
ネイバーの ID を各ピアに通知
認証交換の完了までに、認証サーバはサプリカントと AT の両方を識別します。 認証サーバは、保護された EAP-FAST 終端で追加の type-length-value(TLV)パラメータを使用して、AT のアイデンティティと、その AT が Cisco TrustSec に対応しているかどうかをサプリカントに伝えます。 認証サーバはさらに、Access- Accept メッセージの RADIUS 属性を使用して、サプリカントのアイデンティティおよびそのサプリカントが Cisco TrustSec に対応しているかどうかを AT に伝えます。 各ピアは、ネイバーのアイデンティティを認識しているため、認証サーバに追加の RADIUS Access-Requests を送信し、リンクに適用されるポリシーを取得できます。
AT ポスチャ評価
AT は、サプリカントの代わりに認証サーバと認証交換を開始すると、そのポスチャ情報を認証サーバに提供します。
802.1X ロールの選択

802.1X では、AT に認証サーバとの IP 接続が必要です。AT は RADIUS over UDP/IP を使用してサプリカントと AT の認証交換をリレーする必要があるためです。 PC などのエンドポイント装置はネットワークへの接続時にサプリカントとして動作することになります。 ただし、2 つのネットワーク デバイス間の Cisco TrustSec 接続の場合、各ネットワーク デバイスの 802.1X ロールが他方のネットワーク デバイスに即座に認識されない場合もあります。

NX-OS デバイスに AT とサプリカントのロールを手動で設定する代わりに、Cisco TrustSec はロール選択アルゴリズムを実行し、AT として動作する Cisco NX-OS デバイスとサプリカントとして動作するデバイスを自動的に判断します。 ロール選択アルゴリズムは、RADIUS サーバに IP で到達可能なデバイスに AT ロールを割り当てます。 どちらのデバイスも AT とサプリカントの両方のステート マシンを起動します。 ある Cisco NX-OS デバイスが、ピアに RADIUS サーバへのアクセス権があることを検出すると、そのデバイスは自身の AT ステート マシンを終了し、サプリカントのロールを引き受けます。 両方の Cisco NX デバイスに RADIUS サーバへのアクセス権がある場合、アルゴリズムは EAP over LAN(EAPOL)パケット送信の送信元として使用される MAC アドレスを比較します。 MAC アドレスの値が大きい方の Cisco NX-OS デバイスが AT になり、もう一方の Cisco NX-OS デバイスがサプリカントになります。

Cisco TrustSec 認証の概要

Cisco TrustSec 認証プロセスが完了するまでに、認証サーバは次の処理を行います。

  • サプリカントと AT のアイデンティティの検証

  • サプリカントがエンドポイント装置の場合はユーザの認証

Cisco TrustSec 認証プロセスの完了時には、AT およびサプリカントの両方が次の情報を取得しています。

  • ピアのデバイス ID

  • ピアの Cisco TrustSec 機能についての情報

  • SAP に使用されるキー

デバイス ID

Cisco TrustSec はデバイスの ID として IP アドレスも MAC アドレスも使用しません。 その代わり、各 Cisco TrustSec 対応 Cisco NX-OS デバイスに、Cisco TrustSec ネットワークで一意に識別できる名前(デバイス ID)を手動で割り当てる必要があります。 このデバイス ID は次の操作に使用されます。

  • 認証ポリシーの検索

  • 認証時におけるデータベース内のパスワードの検索

デバイスのクレデンシャル

Cisco TrustSec はパスワードベースのクレデンシャルをサポートしています。 認証サーバは、代わりに自己署名式の証明書を使用する場合もあります。 Cisco TrustSec はパスワードでサプリカントを認証し、MSCHAPv2 を使用することにより、たとえ認証サーバの証明書を検証できなくても、相互認証が可能です。

認証サーバはこれらのクレデンシャルを EAP-FAST フェーズ 0(プロビジョニング)の交換(サプリカントで PAC がプロビジョニングされる)中にサプリカントの相互認証に使用します。 Cisco TrustSec は PAC の期限が切れるまで、EAP-FAST フェーズ 0 の交換は再実行しません。その後のリンク起動時には、EAP-FAST フェーズ 1 とフェーズ 2 の交換だけを実行します。 EAP-FAST フェーズ 1 交換では、認証サーバとサプリカントの相互認証に PAC を使用します。 Cisco TrustSec がデバイスのクレデンシャルを使用するのは、PAC プロビジョニング(または再プロビジョニング)段階だけです。

認証サーバは、Cisco TrustSec ネットワークにサプリカントが最初に加入する際に、一時的に設定されたパスワードをそのサプリカントの認証に使用します。 サプリカントが最初に Cisco TrustSec ネットワークに加入する際に、認証サーバは証明書を作成してサプリカントを認証し、強力なパスワードを生成して、これを PAC でサプリカントに送信します。 認証サーバはさらに、データベースに新しいパスワードを保存します。 認証サーバとサプリカントは、その後の EAP-FAST フェーズ 0 交換の相互認証にこのパスワードを使用します。

ユーザ クレデンシャル

Cisco TrustSec には、エンドポイント装置の特定タイプのユーザ クレデンシャルは必要ありません。 ユーザに対して任意のタイプの認証方式(MSCHAPv2、LEAP、Generic Token Card(GTC)、または OTP など)を選択し、対応するクレデンシャルを使用できます。 Cisco TrustSec は、EAP-FAST フェーズ 2 交換の一部として EAP-FAST トンネル内でユーザ認証を実行します。

SGACL と SGT

Security Group Access List(SGACL; セキュリティ グループ アクセス リスト)を使用すると、割り当てられたセキュリティ グループに基づいてユーザが実行できる操作を制御できます。 許可をロールにまとめることにより、セキュリティ ポリシーの管理が容易になります。 Cisco NX-OS デバイスにユーザを追加する際に、1 つ以上のセキュリティ グループを割り当てれば、ユーザは適切な許可を即座に受信できます。 セキュリティ グループを変更することにより、新しい許可を追加したり、現在の許可を制限することもできます。

Cisco TrustSec はセキュリティ グループに、Security Group Tag(SGT; セキュリティ グループ タグ)という 16 ビットの固有のタグを割り当てます。 Cisco NX-OS デバイス内の SGT の数は認証済みのネットワーク エンティティの数に制限されます。 SGT は全社内の送信元の許可を示す単一ラベルです。 範囲は Cisco TrustSec ネットワーク内でグローバルです。

管理サーバは、セキュリティ ポリシーの設定に基づいて SGT を引き出します。 これらを手動で設定する必要はありません。

いったん認証されると、Cisco TrustSec はデバイスを送信元とするすべてのパケットに、そのデバイスが割り当てられているセキュリティ グループを表す SGT を付けます。 タグ付けされたパケットはネットワークを通じて Cisco TrustSec ヘッダーで SGT を運びます。 このタグは、送信元のグループを表しているので、送信元の SGT として参照されます。 Cisco TrustSec は、ネットワークの出口で、パケットの宛先デバイスに割り当てられているグループを判断し、アクセス コントロール ポリシーを適用します。

Cisco TrustSec はセキュリティ グループ間のアクセス コントロール ポリシーを定義します。 Cisco TrustSec は、ネットワーク内のデバイスをセキュリティ グループに割り当て、セキュリティ グループ間およびセキュリティ グループ内でアクセス コントロールを適用することにより、ネットワーク内での原則的なアクセス コントロールを行います。

図 4. SGACL ポリシーの例. 次の図に SGACL ポリシーの例を示します。

図 5. Cisco TrustSec ネットワークでの SGT と SGACL. Cisco TrustSec ネットワークでは、次の図のように SGT の割り当てと SGACL の強制が実行されます。

Cisco NX-OS デバイスは、従来の ACL の IP アドレスではなく、デバイス グループに Cisco TrustSec アクセス コントロール ポリシーを定義します。 このような組み合わせの解除によって、ネットワーク全体でネットワーク デバイスを自由に移動し、IP アドレスを変更できます。 ネットワーク トポロジ全体を変更することが可能です。 ロールと許可が同じであれば、ネットワークが変更されてもセキュリティ ポリシーには影響しません。 この機能によって、ACL のサイズが大幅に節約され、保守作業も簡単になります。

従来の IP ネットワークでは、設定されているアクセス コントロール エントリ(ACE)の数は次のようにして決まります。

ACE の数 =(指定されている送信元の数)X(指定されている宛先の数)X(指定されている許可の数)

Cisco TrustSec では、次の式を使用します。

ACE の数 = 指定されている許可の数

送信元セキュリティ グループの判断

Cisco TrustSec クラウドの入口のネットワーク デバイスは、Cisco TrustSec クラウドにパケットを転送する際に、パケットに SGT をタグ付けできるように、Cisco TrustSec クラウドに入るパケットの SGT を判断する必要があります。 出口のネットワーク デバイスは、SGACL を適用できるように、パケットの SGT を判断する必要があります。

ネットワーク デバイスは、次のいずれかの方法でパケットの SGT を判断できます。

  • ポリシー取得時に送信元の SGT を取得する:Cisco TrustSec 認証フェーズ後、ネットワーク デバイスは認証サーバからポリシーを取得します。 認証サーバは、ピア デバイスが信頼できるかどうかを伝えます。 ピア デバイスが信頼できない場合、認証サーバはそのピア デバイスから着信するすべてのパケットに適用する SGT も提供します。

  • Cisco TrustSec ヘッダーの送信元 SGT フィールドを取得する:信頼できるピア デバイスからパケットが着信した場合、そのパケットにとってネットワーク デバイスが Cisco TrustSec クラウド内の最初のネットワーク デバイスではない場合に、Cisco TrustSec ヘッダーの SGT フィールドで正しい値が伝送されます。

  • 送信元 IP アドレスに基づいて送信元 SGT を検索する:場合によっては、送信元 IP アドレスに基づいてパケットの SGT を判断するようにパケットを手動で設定できます。 SGT Exchange Protocol(SXP)も、IP-address-to-SGT マッピング テーブルに値を格納できます。

宛先セキュリティ グループの判断

Cisco TrustSec クラウドの出口のネットワーク デバイスは、SGACL を適用する宛先グループを判断します。 場合によっては、入口のデバイスまたは出口以外のその他のデバイスが、使用できる宛先グループの情報を持っていることもあります。 このような場合、SGACL は出口のデバイスではなくこれらのデバイスに適用されます。

Cisco TrustSec は、パケットの宛先グループを決定します。 以下のとおりに設定します。

  • ポリシー取得時に出力ポートの宛先 SGT を取得する。

  • 宛先 IP アドレスに基づいて宛先 SGT を検索する。

宛先 SGT を設定して、ファブリック エクステンダ(FEX)または vEthernet ポート上の出力ブロードキャスト、マルチキャスト、および不明なユニキャスト トラフィックに対して Cisco TrustSec を強制することはしません。 代わりに、DST をゼロ(不明)に設定します。 次に、正しい設定の例を示します。
cts role-based access-list acl-on-fex-egress
     deny udp
					deny ip
cts role-based sgt 9 dst 0 access-list acl-on-fex-egress

SXP によるレガシー アクセス ネットワークへの SGT の伝播

アクセス レイヤの Cisco NX-OS デバイス ハードウェアは Cisco TrustSec をサポートしています。 Cisco TrustSec ハードウェアがないと、Cisco TrustSec ソフトウェアはパケットに SGT をタグ付けできません。 SXP を使用すると、Cisco TrustSec のハードウェア サポートがないネットワーク デバイスに SGT を伝播できます。

SXP はアクセス レイヤ デバイスと宛先レイヤ デバイスの間で動作します。 アクセス レイヤ デバイスは SXP を使用して、SGT とともに Cisco TrustSec 認証デバイスの IP アドレスをディストリビューション スイッチに渡します。 Cisco TrustSec 対応のソフトウェアとハードウェアを両方備えたディストリビューション デバイスはこの情報を使用して、パケットに適切にタグを付け、SGACL ポリシーを強制します。

図 6. SXP を使用した SGT 情報の伝播. 次の図に、SXP を使用して、従来のネットワークで SGT 情報を伝播する方法を示します。



パケットへの SGT のタグ付けには、ハードウェアによるサポートが必要です。 ネットワーク内に、パケットに SGT のタグ付けを行えないデバイスが含まれている可能性もあります。 これらのデバイスから Cisco TrustSec 対応のハードウェアを搭載しているデバイスに IP アドレスと SGT のマッピングを送信できるようにするには、SXP 接続を手動で設定する必要があります。 SXP 接続の手動での設定には、次のことが必要です。

  • SXP データの整合性と認証が必要になる場合は、ピア デバイスの両方に同じ SXP パスワードを設定する必要があります。 SXP パスワードは各ピア接続に対して明示的に指定することも、デバイスに対してグローバルに設定することもできます。 SXP パスワードは必須ではありません。
  • 各ピアを SXP 接続に SXP スピーカーまたは SXP リスナーとして設定する必要があります。 スピーカー デバイスはリスナー デバイスに SXP 情報を渡します。
  • 送信元 IP アドレスを指定して各ピアの関係付けに使用したり、特定の送信元 IP アドレスを設定していないピア接続に対してデフォルトの送信元 IP アドレスを設定したりすることができます。

許可とポリシーの取得

認証が終了すると、サプリカントと AT はいずれも認証サーバからセキュリティ ポリシーを取得します。 サプリカントと AT はお互いに対してポリシーを強制します。 サプリカントと AT はいずれも、認証後に受信したピア デバイス ID を提供します。 ピア デバイス ID を使用できない場合、Cisco TrustSec は手動で設定されたピア デバイス ID を使用できます。

認証サーバは次の属性を返します。

Cisco TrustSec の信頼状態
パケットに SGT を付けるにあたり、ネイバー デバイスが信用できるかどうかを示します。
ピア SGT
ピアが属しているセキュリティ グループを示します。 ピアが信頼できない場合は、ピアから受信したすべてのパケットにこの SGT がタグ付けされます。 SGACL がピアの SGT に関連付けられているかどうかデバイスが認識できないと、そのデバイスは SGACL を取得するために追加要求を送信する場合もあります。
許可の有効期限
ポリシーの期限が切れるまでの秒数を示します。 シスコ独自の AV のペアは、許可または Cisco TrustSec デバイスへのポリシー応答の期限を表します。 Cisco TrustSec デバイスはポリシーと許可を期限が切れる前にリフレッシュする必要があります。

ヒント


Cisco TrustSec デバイスは、認証サーバからピアの適切なポリシーを取得できない場合に備えて、最小限のデフォルト アクセス ポリシーをサポートする必要があります。

環境データのダウンロード

Cisco TrustSec 環境データは、Cisco TrustSec ノードとしてのデバイスの機能を支援するひとまとまりの情報またはポリシーです。 デバイスは、Cisco TrustSec クラウドに最初に加入する際に、認証サーバから環境データを取得しますが、一部のデータをデバイスに手動で設定することもできます。 たとえば、Cisco TrustSec のシード デバイスには認証サーバの情報を設定する必要がありますが、この情報は、デバイスが認証サーバから取得するサーバ リストを使用して、後から追加することができます。

デバイスは、期限前に Cisco TrustSec 環境データをリフレッシュする必要があります。 また、このデータの有効期限が切れていなければ、データをキャッシュし、リブート後に再利用することもできます。

デバイスは RADIUS を使用して、認証サーバから次の環境データを取得します。

サーバ リスト
クライアントがその後の RADIUS 要求に使用できるサーバのリスト(認証および許可の両方)
Device SGT
そのデバイス自体が属しているセキュリティ グループ
有効期間
Cisco TrustSec デバイスが環境データをリフレッシュする頻度を左右する期間

RADIUS リレー機能

802.1X 認証プロセスで Cisco TrustSec AT のロールを引き受ける Cisco NX-OS デバイスは、認証サーバへの IP 接続を通じて、UDP/IP での RADIUS メッセージの交換により、認証サーバからポリシーと許可を取得します。 サプリカント デバイスは認証サーバとの IP 接続がなくてもかまいません。 サプリカントに 認証サーバとの IP 接続 がない場合、Cisco TrustSec は AT をサプリカントの RADIUS リレーとして機能させることができます。

サプリカントは、RADIUS サーバの IP アドレスと UDP ポートを持つ Cisco TrustSec AT に特別な EAP over LAN(EAPOL)メッセージを送信し、RADIUS 要求を完了します。 Cisco TrustSec AT は受信した EAPOL メッセージから RADIUS 要求を抽出し、これを UDP/IP を通じて認証サーバに送信します。 認証サーバから RADIUS 応答が返ると、Cisco TrustSec AT はメッセージを EAPOL フレームにカプセル化して、サプリカントに転送します。

TrustSec のバーチャライゼーション サポート

Cisco TrustSec の設定と操作は、仮想デバイス コンテキスト(VDC)に対してローカルです。 VDC の詳細については、『Cisco Nexus 7000 Series NX-OS Virtual Device Context Configuration Guide』を参照してください。

Cisco TrustSec のライセンス要件

次の表に、この機能のライセンス要件を示します。

製品

ライセンス要件

Cisco NX-OS

Cisco NX-OS Release 6.1 以降では、Cisco TrustSec にはライセンスは不要です。 ライセンス パッケージに含まれていない機能はすべて Cisco NX-OS システム イメージにバンドルされており、追加費用は一切発生しません。

Cisco NX-OS Release 6.1 よりも前の場合は、Cisco TrustSec には Advanced Services ライセンスが必要です。 Cisco TrustSec ライセンスには猶予期間はありません。 Cisco TrustSec を使用するためには、事前に Advanced Services ライセンスを取得しインストールする必要があります。

(注)     

Cisco NX-OS ライセンス方式の詳細と、ライセンスの取得および適用の方法については、『Cisco NX-OS Licensing Guide』を参照してください。

Cisco TrustSec の前提条件

Cisco TrustSec の前提条件は次のとおりです。

  • デバイスが 6.1 よりも前の Cisco NX-OS リリースを実行している場合は、Advanced Services ライセンスをインストールする必要があります。

  • 802.1X 機能をイネーブルにする必要があります。

  • Cisco TrustSec 機能をイネーブルにする前に、802.1X 機能をイネーブルにする必要があります。 802.1X インターフェイス レベルの機能が使用できませんが、デバイスが RADIUS で認証するためには 802.1X が必要です。

  • Cisco TrustSec 機能をイネーブルにする必要があります。

Cisco TrustSec の注意事項と制約事項

Cisco TrustSec に関する注意事項と制約事項は次のとおりです。

  • F1 シリーズ モジュールは、Cisco TrustSec をサポートしていません。

  • Cisco NX-OS リリース 6.2(2) 以降、propagate-sgt コマンドは F2 シリーズおよび F2e シリーズ モジュールでサポートされます。

  • 次のコマンドは、F1 シリーズ、F2 シリーズ、または F2e シリーズ モジュールではサポートされません。
    • cts dot1x
    • replay-protection
    • sap pmk
    • sap hash-algorithm
  • F2 シリーズおよび F2e シリーズ モジュールでは、CTS RBACL のみがサポートされます。 これらのモジュールは cts-dot1x モードまたは cts-manual モードをサポートしません。

  • F1 シリーズ、F2 シリーズ、および F2e シリーズ モジュールは FIPS モードをサポートしません。

  • Cisco TrustSec は認証に RADIUS を使用します。

  • 1 つのインターフェイスに、Cisco TrustSec と 802.1X の両方は設定できません。設定できるのはこれらのどちらか一方です。 ただし、Cisco TrustSec で EAP-FAST 認証を使用するには、802.1X 機能をイネーブルにする必要があります。

  • Cisco TrustSec の AAA 認証および認可は、Cisco Secure Access Control Server(ACS)でだけサポートされています。

  • Cisco TrustSec は IPv4 アドレスだけをサポートします。

  • SXP は管理(mgmt 0)インターフェイスを使用できません。

  • 半二重モードのインターフェイスでは、Cisco TrustSec をイネーブルにできません。

  • SVI を通じてルーティングされるパケットに SGACL を適用する場合、すべての VLAN および関連する VRF インスタンスで SGACL をイネーブルにする必要があります。

  • スイッチが N ポート仮想化(NPV)モードにあるときは、NP モードにある仮想ファイバ チャネルにバインドされているイーサネット インターフェイスに有効な SGT を割り当てることはできません。 この制限によって SGT と DGT のラベル ルックアップが失敗し、それにより、論理インターフェイス上で設定されたロールベース アクセス コントロール リスト(RBACL)ラベルが出力レイヤ 3 のバインディング チェックに使用されるようになります。

  • 40G および 100G M2 シリーズ モジュールは、IEEE 802.1AE MAC セキュリティ(MACsec)をサポートします。 40G 以上で同じ帯域幅がある MACsec リンクでは、複数のセキュリティ アソシエーション(SCI/AN ペア)は、セキュリティ アソシエーション プロトコル(SAP)交換で設定します。 F1、F2、および F2e シリーズ モジュールは、MACsec をサポートしていません。

  • sgname テーブルをダウンロードしたり、環境データをリフレッシュするには、Cisco Identity Services Engine(ISE)リリース 1.0 以降のリリースを使用する必要があります。 Cisco Secure Access Control Server(ACS)は、これらの機能をサポートしません。

Cisco TrustSec のデフォルト設定

次の表に、Cisco TrustSec パラメータのデフォルト設定を示します。

表 1 Cisco TrustSec パラメータのデフォルト設定

パラメータ(Parameters)

デフォルト

Cisco TrustSec

ディセーブル

すべてのインターフェイスのポーズ フレームの暗号化および復号化

ポーズ フレームの暗号化および復号化をサポートするラインカードでイネーブル

SXP

ディセーブル

SXP デフォルト パスワード

なし

SXP 復帰期間

120 秒(2 分)

SXP リトライ期間

60 秒(1 分)

キャッシング

ディセーブル

RBACL ロギング

ディセーブル

RBACL 統計情報

ディセーブル

Cisco TrustSec の設定

ここでは、Cisco TrustSec の設定作業について説明します。

Cisco TrustSec 機能のイネーブル化

Cisco TrustSec を設定する前に、Cisco NX-OS デバイス上の 802.1X 機能および Cisco TrustSec の機能をイネーブルにする必要があります。


(注)  


Cisco TrustSec 機能をイネーブルにすると、その後に 802.1X 機能をディセーブルにすることはできません。


はじめる前に

デバイスが 6.1 よりも前の Cisco NX-OS リリースを実行している場合は、Advanced Services ライセンスをインストールしていることを確認します。

手順の概要

    1.    configure terminal

    2.    feature dot1x

    3.    feature cts

    4.    exit

    5.    (任意) show cts

    6.    (任意) show feature

    7.    (任意) copy running-config startup-config


手順の詳細
     コマンドまたはアクション目的
    ステップ 1 configure terminal


    例:
    switch# configure terminal
    switch(config)#
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 2 feature dot1x


    例:
    switch(config)# feature dot1x
     

    802.1X 機能をイネーブルにします。

     
    ステップ 3 feature cts


    例:
    switch(config)# feature cts
     

    Cisco TrustSec 機能をイネーブルにします。

     
    ステップ 4 exit


    例:
    switch(config)# exit
    switch#
     

    グローバル コンフィギュレーション モードを終了します。

     
    ステップ 5 show cts


    例:
    switch# show cts
     
    (任意)

    Cisco TrustSec の設定を表示します。

     
    ステップ 6 show feature


    例:
    switch# show feature
     
    (任意)

    機能がイネーブルになったステータスを表示します。

     
    ステップ 7 copy running-config startup-config


    例:
    switch# copy running-config startup-config
     
    (任意)

    実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

     

    Cisco TrustSec デバイスのクレデンシャルの設定

    ネットワーク内の Cisco TrustSec 対応 Cisco NX-OS デバイス各々に、固有の Cisco TrustSec クレデンシャルを設定する必要があります。 Cisco TrustSec はクレデンシャルのパスワードをデバイスの認証に使用します。


    (注)  


    Cisco Secure ACS にも Cisco NX-OS デバイスの Cisco TrustSec クレデンシャルを設定する必要があります。次の URL のマニュアルを参照してください。

    http:/​/​www.cisco.com/​en/​US/​products/​sw/​secursw/​ps5338/​products_​installation_​and_​configuration_​guides_​list.html)。
    はじめる前に

    Cisco TrustSec がイネーブルになっていることを確認します。

    手順の概要

      1.    configure terminal

      2.    cts device-id name password password

      3.    exit

      4.    (任意) show cts

      5.    (任意) show cts environment

      6.    (任意) copy running-config startup-config


    手順の詳細
       コマンドまたはアクション目的
      ステップ 1 configure terminal


      例:
      switch# configure terminal
      switch(config)#
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 2 cts device-id name password password


      例:
      switch(config)# cts device-id MyDevice1 password CiscO321
       

      固有のデバイス ID およびパスワードを設定します。 name 引数は、最大 32 文字で大文字と小文字を区別します。

       
      ステップ 3 exit


      例:
      switch(config)# exit
      switch#
       

      グローバル コンフィギュレーション モードを終了します。

       
      ステップ 4 show cts


      例:
      switch# show cts
       
      (任意)

      Cisco TrustSec の設定を表示します。

       
      ステップ 5 show cts environment


      例:
      switch# show cts environment
       
      (任意)

      Cisco TrustSec 環境データを表示します。

       
      ステップ 6 copy running-config startup-config


      例:
      switch# copy running-config startup-config
       
      (任意)

      実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

       

      Cisco TrustSec の AAA の設定

      Cisco TrustSec の認証に Cisco Secure ACS を使用できます。 ネットワーク クラウド内の Cisco TrustSec 対応 Cisco NX-OS デバイスの 1 つに、RADIUS サーバ グループを設定し、デフォルトの AAA 認証および許可を指定する必要があります。 Cisco TrustSec は RADIUS リレーをサポートしているため、AAA を設定するのは、Cisco Secure ACS に直接接続されている Cisco NX-OS シード デバイスだけです。 Cisco TrustSec がイネーブルのすべての Cisco NX-OS デバイスに対して、Cisco TrustSec は自動的にプライベート AAA サーバ グループ aaa-private-sg を提供します。 シード Cisco NX-OS デバイスは、Cisco Secure ACS との通信に管理仮想ルーティングおよび転送(VRF)インスタンスを使用します。


      (注)  


      Cisco TrustSec をサポートしているのは、Cisco Secure ACS だけです。


      Cisco TrustSec シード Cisco NX-OS デバイスでの AAA の設定

      ここでは、Cisco TrustSec ネットワーク クラウド内のシード Cisco NX-OS デバイスで AAA を設定する手順を説明します。


      (注)  


      シード Cisco NX-OS デバイスの AAA RADIUS サーバ グループを設定する際には、VRF インスタンスを指定する必要があります。 管理 VRF インスタンスを使用する場合、ネットワーク クラウド内の非シード デバイスにそれ以上の設定を行う必要はありません。 異なる VRF インスタンスを使用する場合は、非シード デバイスに VRF インスタンスを設定する必要があります。


      はじめる前に

      Cisco Secure ACS の IPv4 または IPv6 のアドレスまたはホスト名を取得します。

      Cisco TrustSec がイネーブルになっていることを確認します。

      手順の概要

        1.    configure terminal

        2.    radius-server host {ipv4-address | ipv6-address | hostname} key [0 | 7] key pac

        3.    (任意) show radius-server

        4.    aaa group server radius group-name

        5.    server {ipv4-address | ipv6-address | hostname}

        6.    use-vrf vrf-name

        7.    exit

        8.    aaa authentication dot1x default group group-name

        9.    aaa authorization cts default group group-name

        10.    exit

        11.    (任意) show radius-server groups [group-name]

        12.    (任意) show aaa authentication

        13.    (任意) show aaa authorization

        14.    (任意) show cts pacs

        15.    (任意) copy running-config startup-config


      手順の詳細
         コマンドまたはアクション目的
        ステップ 1 configure terminal


        例:
        switch# configure terminal
        switch(config)#
         

        グローバル コンフィギュレーション モードを開始します。

         
        ステップ 2 radius-server host {ipv4-address | ipv6-address | hostname} key [0 | 7] key pac


        例:
        switch(config)# radius-server host 10.10.1.1 key L1a0K2s9 pac
         

        キーと PAC を使用して RADIUS サーバ ホストを設定します。 hostname 引数は、256 文字以内の英数字で指定します。大文字と小文字が区別されます。 key 引数は、63 文字以内の英数字で指定します。大文字と小文字が区別されます。 0 オプションは、キーがクリア テキストであることを示します。 7 オプションは、キーが暗号化されていることを示します。 デフォルトはクリア テキストです。

         
        ステップ 3 show radius-server


        例:
        switch# show radius-server
         
        (任意)

        RADIUS サーバの設定を表示します。

         
        ステップ 4 aaa group server radius group-name


        例:
        switch(config)# aaa group server radius Rad1
        switch(config-radius)#
         

        RADIUS サーバ グループを指定し、RADIUS サーバ グループ コンフィギュレーション モードを開始します。

         
        ステップ 5 server {ipv4-address | ipv6-address | hostname}


        例:
        switch(config-radius)# server 10.10.1.1
         

        RADIUS サーバ ホストのアドレスを指定します。

         
        ステップ 6 use-vrf vrf-name


        例:
        switch(config-radius)# use-vrf management
         

        AAA サーバ グループの管理 VRF インスタンスを指定します。

        (注)     

        管理 VRF インスタンスを使用する場合、ネットワーク クラウド内の非シード デバイスにそれ以上の設定を行う必要はありません。 異なる VRF インスタンスを使用する場合は、非シード デバイスに VRF インスタンスを設定する必要があります。

         
        ステップ 7 exit


        例:
        switch(config-radius)# exit
        switch(config)#
         

        RADIUS サーバ グループ コンフィギュレーション モードを終了します。

         
        ステップ 8 aaa authentication dot1x default group group-name


        例:
        switch(config)# aaa authentication dot1x default group Rad1
         

        802.1X 認証に使用する RADIUS サーバ グループを指定します。

         
        ステップ 9 aaa authorization cts default group group-name


        例:
        switch(config)# aaa authentication cts default group Rad1
         

        Cisco TrustSec 認証に使用する RADIUS サーバ グループを指定します。

         
        ステップ 10 exit


        例:
        switch(config)# exit
        switch#
         

        グローバル コンフィギュレーション モードを終了します。

         
        ステップ 11 show radius-server groups [group-name]


        例:
        switch# show radius-server group rad1
         
        (任意)

        RADIUS サーバ グループの設定を表示します。

         
        ステップ 12 show aaa authentication


        例:
        switch# show aaa authentication
         
        (任意)

        AAA 認証の設定を表示します。

         
        ステップ 13 show aaa authorization


        例:
        switch# show aaa authorization
         
        (任意)

        AAA 認可設定を表示します。

         
        ステップ 14 show cts pacs


        例:
        switch# show cts pacs
         
        (任意)

        Cisco TrustSec PAC 情報を表示します。

         
        ステップ 15 copy running-config startup-config


        例:
        switch# copy running-config startup-config
         
        (任意)

        実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

         

        Cisco TrustSec 非シード NX-OS デバイスでの AAA の設定

        Cisco TrustSec はネットワーク クラウド内の非シード Cisco NX-OS デバイスに aaa-private-sg という名前の AAA サーバ グループを設定します。 デフォルトでは、aaa-private-sg サーバ グループは Cisco Secure ACS との通信に管理 VRF インスタンスを使用します。非シード Cisco NX-OS デバイスに対するそれ以上の設定は必要ありません。 ただし、異なる VRF インスタンスの使用を選択した場合は、正しい VRF インスタンスを使用するように、非シード Cisco NX-OS デバイスの aaa-private-sg を変更する必要があります。

        はじめる前に

        Cisco TrustSec がイネーブルになっていることを確認します。

        ネットワーク内のシード Cisco NX-OS デバイスが設定されていることを確認します。

        手順の概要

          1.    configure terminal

          2.    aaa group server radius aaa-private-sg

          3.    use-vrf vrf-name

          4.    exit

          5.    (任意) show radius-server groups aaa-private-sg

          6.    (任意) copy running-config startup-config


        手順の詳細
           コマンドまたはアクション目的
          ステップ 1 configure terminal


          例:
          switch# configure terminal
          switch(config)#
           

          グローバル コンフィギュレーション モードを開始します。

           
          ステップ 2 aaa group server radius aaa-private-sg


          例:
          switch(config)# aaa group server radius aaa-private-sg
          switch(config-radius)#
           

          RADIUS サーバ グループ aaa-private-sg を指定し、RADIUS サーバ グループ コンフィギュレーション モードを開始します。

           
          ステップ 3 use-vrf vrf-name


          例:
          switch(config-radius)# use-vrf MyVRF
           

          AAA サーバ グループの管理 VRF インスタンスを指定します。

           
          ステップ 4 exit


          例:
          switch(config-radius)# exit
          switch(config)#
           

          RADIUS サーバ グループ コンフィギュレーション モードを終了します。

           
          ステップ 5 show radius-server groups aaa-private-sg


          例:
          switch(config)# show radius-server groups aaa-private-sg
           
          (任意)

          デフォルト サーバ グループ用の RADIUS サーバ グループの設定を表示します。

           
          ステップ 6 copy running-config startup-config


          例:
          switch(config)# copy running-config startup-config
           
          (任意)

          実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

           

          Cisco TrustSec の認証、許可、SAP、およびデータ パス セキュリティの設定

          ここでは、Cisco TrustSec の認証、許可、SAP、およびデータ パス セキュリティの設定作業について説明します。

          Cisco TrustSec の認証および許可の設定プロセス

          Cisco TrustSec の認証および許可を設定するには、次の手順を行います。

          手順の概要

            1.    Cisco TrustSec 機能をイネーブルにします。

            2.    Cisco TrustSec 認証をイネーブルにします。

            3.    インターフェイスに対して Cisco TrustSec の 802.1X 認証をイネーブルにします。


          手順の詳細
            ステップ 1   Cisco TrustSec 機能をイネーブルにします。
            ステップ 2   Cisco TrustSec 認証をイネーブルにします。
            ステップ 3   インターフェイスに対して Cisco TrustSec の 802.1X 認証をイネーブルにします。

            Cisco TrustSec 認証のイネーブル化

            インターフェイスに対して Cisco TrustSec 認証をイネーブルにする必要があります。 デフォルトでは、データパス リプレイ保護機能がイネーブルになり、SAP 動作モードは GCM-encrypt です。


            注意    


            Cisco TrustSec 認証の設定を有効にするには、インターフェイスのイネーブル化とディセーブル化を行う必要があり、インターフェイス上のトラフィックが中断されます。



            (注)  


            Cisco TrustSec の 802.1X モードをイネーブルにすると、そのインターフェイス上の許可と SAP がイネーブルになります。


            手順の概要

              1.    configure terminal

              2.    interface ethernet slot/port [- port2]

              3.    cts dot1x

              4.    (任意) no replay-protection

              5.    (任意) sap modelist {gcm-encrypt | gmac | no-encap | null}

              6.    exit

              7.    シャットダウン

              8.    no shutdown

              9.    exit

              10.    (任意) show cts interface {all | brief | ethernet slot/port}

              11.    (任意) copy running-config startup-config


            手順の詳細
               コマンドまたはアクション目的
              ステップ 1 configure terminal


              例:
              switch# configure terminal
              switch(config)#
               

              グローバル コンフィギュレーション モードを開始します。

               
              ステップ 2 interface ethernet slot/port [- port2]


              例:
              switch(config)# interface ethernet 2/2
              switch(config-if)#
               

              単一ポートまたはポート範囲を指定し、インターフェイス コンフィギュレーション モードを開始します。

               
              ステップ 3 cts dot1x


              例:
              switch(config-if)# cts dot1x
              switch(config-if-cts-dot1x)#
               

              Cisco TrustSec の 802.1X 認証をイネーブルにして、Cisco TrustSec 802.1X コンフィギュレーション モードを開始します。

               
              ステップ 4 no replay-protection


              例:
              switch(config-if-cts-dot1x)# no replay-protection
               
              (任意)

              リプレイ保護をディセーブルにします。 デフォルトではイネーブルになっています。

               
              ステップ 5 sap modelist {gcm-encrypt | gmac | no-encap | null}


              例:
              switch(config-if-cts-dot1x)# sap modelist gcm-encrypt
               
              (任意)

              インターフェイスに SAP 動作モードを設定します。

              GCM 暗号化の場合は gcm-encrypt キーワードを使用します。 このオプションがデフォルトです。

              GCM 認証のみの場合は gmac キーワードを使用します。

              SAP のカプセル化を行わない場合、および SGT 挿入なしの場合は、no-encap キーワードを使用します。

              認証または暗号化なしでカプセル化を行うには、null キーワードを使用します。

               
              ステップ 6 exit


              例:
              switch(config-if-cts-dot1x)# exit
              switch(config-if)#
               

              Cisco TrustSec 802.1X コンフィギュレーション モードを終了します。

               
              ステップ 7 シャットダウン


              例:
              switch(config-if)# shutdown
               

              インターフェイスをディセーブルにします。

               
              ステップ 8 no shutdown


              例:
              switch(config-if)# no shutdown
               

              インターフェイスをイネーブルにして、インターフェイスの Cisco TrustSec 認証をイネーブルにします。

               
              ステップ 9 exit


              例:
              switch(config-if)# exit
              switch(config)#
               

              インターフェイス コンフィギュレーション モードを終了します。

               
              ステップ 10 show cts interface {all | brief | ethernet slot/port}


              例:
              switch(config)# show cts interface all
               
              (任意)

              インターフェイスに対する Cisco TrustSec の設定を表示します。

               
              ステップ 11 copy running-config startup-config


              例:
              switch(config)# copy running-config startup-config
               
              (任意)

              実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

               

              インターフェイスに対する Cisco TrustSec データパス リプレイ保護の設定

              デフォルトでは、Cisco NX-OS ソフトウェアによってデータパス リプレイ保護機能をイネーブルにします。 接続デバイスが SAP をサポートしていない場合は、レイヤ 2 Cisco TrustSec のインターフェイスでデータパス リプレイ保護をディセーブルにできます。


              注意    


              データパス リプレイ保護の設定を有効にするには、インターフェイスのイネーブル化とディセーブル化を行う必要があり、インターフェイス上のトラフィックが中断されます。


              はじめる前に

              インターフェイスの Cisco TrustSec 認証がイネーブルになっていることを確認します。

              手順の概要

                1.    configure terminal

                2.    interface ethernet slot/port [- port2]

                3.    cts dot1x

                4.    no replay-protection

                5.    exit

                6.    シャットダウン

                7.    no shutdown

                8.    exit

                9.    (任意) show cts interface {all | brief | ethernet slot/port}

                10.    (任意) copy running-config startup-config


              手順の詳細
                 コマンドまたはアクション目的
                ステップ 1 configure terminal


                例:
                switch# configure terminal
                switch(config)#
                 

                グローバル コンフィギュレーション モードを開始します。

                 
                ステップ 2 interface ethernet slot/port [- port2]


                例:
                switch(config)# interface ethernet 2/2
                switch(config-if)#
                 

                単一ポートまたはポート範囲を指定し、インターフェイス コンフィギュレーション モードを開始します。

                 
                ステップ 3 cts dot1x


                例:
                switch(config-if)# cts dot1x
                switch(config-if-cts-dot1x)#
                 

                Cisco TrustSec の 802.1X 認証をイネーブルにして、Cisco TrustSec 802.1X コンフィギュレーション モードを開始します。

                 
                ステップ 4 no replay-protection


                例:
                switch(config-if-cts-dot1x)# no replay-protection
                 

                データパス リプレイ保護をディセーブルにします。 デフォルトではイネーブルになっています。

                インターフェイスでデータパス リプレイ保護をイネーブルにするには、replay-protection コマンドを使用します。

                 
                ステップ 5 exit


                例:
                switch(config-if-cts-dot1x)# exit
                switch(config-if)#
                 

                Cisco TrustSec 802.1X コンフィギュレーション モードを終了します。

                 
                ステップ 6 シャットダウン


                例:
                switch(config-if)# shutdown
                 

                インターフェイスをディセーブルにします。

                 
                ステップ 7 no shutdown


                例:
                switch(config-if)# no shutdown
                 

                インターフェイスをイネーブルにして、インターフェイスのデータパス リプレイ保護機能をディセーブルにします。

                 
                ステップ 8 exit


                例:
                switch(config-if)# exit
                switch(config)#
                 

                インターフェイス コンフィギュレーション モードを終了します。

                 
                ステップ 9 show cts interface {all | brief | ethernet slot/port}


                例:
                switch(config)# show cts interface all
                 
                (任意)

                インターフェイスに対する Cisco TrustSec の設定を表示します。

                 
                ステップ 10 copy running-config startup-config


                例:
                switch(config)# copy running-config startup-config
                 
                (任意)

                実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                 

                インターフェイスに対する Cisco TrustSec SAP 動作モードの設定

                レイヤ 2 Cisco TrustSec のインターフェイスに SAP 動作モードを設定できます。 デフォルトの SAP 動作モードは GCM-encrypt です。


                注意    


                SAP 動作モードの設定を有効にするには、インターフェイスのイネーブル化とディセーブル化を行う必要があり、インターフェイス上のトラフィックが中断されます。


                はじめる前に

                インターフェイスの Cisco TrustSec 認証がイネーブルになっていることを確認します。

                手順の概要

                  1.    configure terminal

                  2.    interface ethernet slot/port [- port2]

                  3.    cts dot1x

                  4.    sap modelist [gcm-encrypt | gmac | no-encap | null]

                  5.    exit

                  6.    シャットダウン

                  7.    no shutdown

                  8.    exit

                  9.    (任意) show cts interface {all | brief | ethernet slot/port}

                  10.    (任意) copy running-config startup-config


                手順の詳細
                   コマンドまたはアクション目的
                  ステップ 1 configure terminal


                  例:
                  switch# configure terminal
                  switch(config)#
                   

                  グローバル コンフィギュレーション モードを開始します。

                   
                  ステップ 2 interface ethernet slot/port [- port2]


                  例:
                  switch(config)# interface ethernet 2/2
                  switch(config-if)#
                   

                  単一のインターフェイスまたはインターフェイス範囲を指定し、インターフェイス コンフィギュレーション モードを開始します。

                   
                  ステップ 3 cts dot1x


                  例:
                  switch(config-if)# cts dot1x
                  switch(config-if-cts-dot1x)#
                   

                  Cisco TrustSec の 802.1X 認証をイネーブルにして、Cisco TrustSec 802.1X コンフィギュレーション モードを開始します。

                   
                  ステップ 4 sap modelist [gcm-encrypt | gmac | no-encap | null]


                  例:
                  switch(config-if-cts-dot1x)# sap modelist gmac
                   

                  インターフェイスに SAP 認証モードを設定します。

                  GCM 暗号化の場合は gcm-encrypt キーワードを使用します。 このオプションがデフォルトです。

                  GCM 認証のみの場合は gmac キーワードを使用します。

                  インターフェース上の SAP のカプセル化を行わない場合、および SGT 挿入なしの場合は、no-encap キーワードを使用します。

                  インターフェース上の SAP の認証または暗号化なしでカプセル化を行うには、null キーワードを使用します。 カプセル化されるのは SGT だけです。

                   
                  ステップ 5 exit


                  例:
                  switch(config-if-cts-dot1x)# exit
                  switch(config-if)#
                   

                  Cisco TrustSec 802.1X コンフィギュレーション モードを終了します。

                   
                  ステップ 6 シャットダウン


                  例:
                  switch(config-if)# shutdown
                   

                  インターフェイスをディセーブルにします。

                   
                  ステップ 7 no shutdown


                  例:
                  switch(config-if)# no shutdown
                   

                  インターフェイスをイネーブルにして、そのインターフェイスの SAP 動作モードをイネーブルにします。

                   
                  ステップ 8 exit


                  例:
                  switch(config-if)# exit
                  switch(config)#
                   

                  インターフェイス コンフィギュレーション モードを終了します。

                   
                  ステップ 9 show cts interface {all | brief | ethernet slot/port}


                  例:
                  switch(config)# show cts interface all
                   
                  (任意)

                  インターフェイスに対する Cisco TrustSec の設定を表示します。

                   
                  ステップ 10 copy running-config startup-config


                  例:
                  switch(config)# copy running-config startup-config
                   
                  (任意)

                  実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                   

                  インターフェイスに対する Cisco TrustSec SGT 伝播の設定

                  レイヤ 2 インターフェイスでの SGT の伝播機能は、デフォルトでイネーブルになっています。 インターフェイスに接続しているピア デバイスで SGT がタグ付けされた Cisco TrustSec パケットを制御できない場合は、そのインターフェイスで SGT 伝播機能をディセーブルにすることができます。


                  注意    


                  SGT の伝播の設定を有効にするには、インターフェイスのイネーブル化とディセーブル化を行う必要があり、インターフェイス上のトラフィックが中断されます。


                  はじめる前に

                  インターフェイスの Cisco TrustSec 認証がイネーブルになっていることを確認します。

                  手順の概要

                    1.    configure terminal

                    2.    interface ethernet slot/port [- port2]

                    3.    cts dot1x

                    4.    no propagate-sgt

                    5.    exit

                    6.    シャットダウン

                    7.    no shutdown

                    8.    exit

                    9.    (任意) show cts interface {all | brief | ethernet slot/port}

                    10.    (任意) copy running-config startup-config


                  手順の詳細
                     コマンドまたはアクション目的
                    ステップ 1 configure terminal


                    例:
                    switch# configure terminal
                    switch(config)#
                     

                    グローバル コンフィギュレーション モードを開始します。

                     
                    ステップ 2 interface ethernet slot/port [- port2]


                    例:
                    switch(config)# interface ethernet 2/2
                    switch(config-if)#
                     

                    単一ポートまたはポート範囲を指定し、インターフェイス コンフィギュレーション モードを開始します。

                     
                    ステップ 3 cts dot1x


                    例:
                    switch(config-if)# cts dot1x
                    switch(config-if-cts-dot1x)#
                     

                    Cisco TrustSec の 802.1X 認証をイネーブルにして、Cisco TrustSec 802.1X コンフィギュレーション モードを開始します。

                     
                    ステップ 4 no propagate-sgt


                    例:
                    switch(config-if-cts-dot1x)# no propagate-sgt
                     

                    SGT 伝播をディセーブルにします。 デフォルトではイネーブルになっています。

                    インターフェイスで SGT 伝播をイネーブルにするには、propagate-sgt コマンドを使用します。

                     
                    ステップ 5 exit


                    例:
                    switch(config-if-cts-dot1x)# exit
                    switch(config-if)#
                     

                    Cisco TrustSec 802.1X コンフィギュレーション モードを終了します。

                     
                    ステップ 6 シャットダウン


                    例:
                    switch(config-if)# shutdown
                     

                    インターフェイスをディセーブルにします。

                     
                    ステップ 7 no shutdown


                    例:
                    switch(config-if)# no shutdown
                     

                    インターフェイスをイネーブルにして、インターフェイスのデータパス リプレイ保護機能をディセーブルにします。

                     
                    ステップ 8 exit


                    例:
                    switch(config-if)# exit
                    switch(config)#
                     

                    インターフェイス コンフィギュレーション モードを終了します。

                     
                    ステップ 9 show cts interface {all | brief | ethernet slot/port}


                    例:
                    switch(config)# show cts interface all
                     
                    (任意)

                    インターフェイスに対する Cisco TrustSec の設定を表示します。

                     
                    ステップ 10 copy running-config startup-config


                    例:
                    switch(config)# copy running-config startup-config
                     
                    (任意)

                    実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                     

                    インターフェイスの SAP キーの再生成

                    SAP 交換をトリガーして、新しいキー セットを生成し、インターフェイス上のデータ トラフィックを保護できます。

                    はじめる前に

                    Cisco TrustSec がイネーブルになっていることを確認します。

                    手順の概要

                      1.    cts rekey ethernet slot/port

                      2.    (任意) show cts interface {all | brief | ethernet slot/port}


                    手順の詳細
                       コマンドまたはアクション目的
                      ステップ 1 cts rekey ethernet slot/port


                      例:
                      switch# cts rekey ethernet 2/3
                       

                      インターフェイスの SAP キーを生成します。

                       
                      ステップ 2 show cts interface {all | brief | ethernet slot/port}


                      例:
                      switch# show cts interface all
                       
                      (任意)

                      インターフェイスに対する Cisco TrustSec の設定を表示します。

                       

                      手動での Cisco TrustSec 認証の設定

                      Cisco NX-OS デバイスに Cisco Secure ACS へのアクセス権がない場合や、MAC アドレス認証バイパス機能がイネーブルになっていて認証が必要でない場合には、インターフェイスに手動で Cisco TrustSec を設定することも可能です。 接続の両側のインターフェイスに手動で設定する必要があります。


                      (注)  


                      半二重モードのインターフェイスでは、Cisco TrustSec をイネーブルにできません。 インターフェイスが半二重モードに設定されているかどうかを調べるには、show interface コマンドを使用します。



                      注意    


                      手動モードでの Cisco TrustSec の設定を有効にするには、インターフェイスのイネーブル化とディセーブル化を行う必要があり、インターフェイス上のトラフィックが中断されます。


                      はじめる前に

                      Cisco TrustSec がイネーブルになっていることを確認します。

                      手順の概要

                        1.    configure terminal

                        2.    interface interface slot/port

                        3.    cts manual

                        4.    sap pmk {key [left-zero-padded] [display encrypt] | encrypted encrypted_pmk | use-dot1x} [modelist {gcm-encrypt | gmac | no-encap | null}]

                        5.    (任意) policy dynamic identity peer-name

                        6.    (任意) policy static sgt tag [trusted]

                        7.    exit

                        8.    シャットダウン

                        9.    no shutdown

                        10.    exit

                        11.    (任意) show cts interface {all | brief | ethernet slot/port}

                        12.    (任意) show cts sap pmk {all | interface ethernet slot/port}

                        13.    (任意) copy running-config startup-config


                      手順の詳細
                         コマンドまたはアクション目的
                        ステップ 1 configure terminal


                        例:
                        switch# configure terminal
                        switch(config)#
                         

                        グローバル コンフィギュレーション モードを開始します。

                         
                        ステップ 2 interface interface slot/port


                        例:
                        switch(config)# interface ethernet 2/2
                        switch(config-if)#
                         

                        インターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

                         
                        ステップ 3 cts manual


                        例:
                        switch(config-if)# cts manual
                        switch(config-if-cts-manual)#
                         

                        Cisco TrustSec 手動コンフィギュレーション モードを開始します。

                        (注)     

                        半二重モードのインターフェイスでは、Cisco TrustSec をイネーブルにできません。

                         
                        ステップ 4 sap pmk {key [left-zero-padded] [display encrypt] | encrypted encrypted_pmk | use-dot1x} [modelist {gcm-encrypt | gmac | no-encap | null}]


                        例:
                        switch(config-if-cts-manual)# sap pmk fedbaa modelist gmac
                         

                        SAP の Pairwise Master Key(PMK)と動作モードを設定します。 Cisco TrustSec の手動モードでは、SAP はデフォルトでディセーブルになっています。

                        key 引数は、最大 32 文字の偶数文字数の 16 進値です。

                        PMK の長さが 32 バイト未満の場合に入力された文字列の左側にゼロを割り当てるには、left-zero-padded キーワードを使用します。

                        設定された PMK が実行コンフィギュレーションの AES 暗号化形式で表示されるように指定するには、display encrypt キーワードを使用します。

                        64 バイトの暗号化された PMK 文字列(128 の 16 進数文字)を指定するには、encrypted encrypted_pmk キーワードを使用します。

                        ピア デバイスで Cisco TrustSec 802.1X 認証または許可をサポートしておらず、SAP データ パス暗号化と認証をサポートしている場合は、use-dot1x キーワードを使用してください。

                        モードのリストには、次に示すデータ パス暗号化と認証の暗号モードを指定します。

                        GCM 暗号化の場合は gcm-encrypt キーワードを使用します。 このオプションがデフォルトです。

                        GCM 認証の場合は gmac キーワードを使用します。

                        カプセル化なしおよび SGT 挿入なしの場合は、no-encap キーワードを使用します。

                        認証または暗号化なしで SGT のカプセル化を行うには、null キーワードを使用します。

                         
                        ステップ 5policy dynamic identity peer-name


                        例:
                        switch(config-if-cts-manual)# policy dynamic identity MyDevice2
                         
                        (任意)

                        ダイナミック許可ポリシーのダウンロードを設定します。 peer-name 引数は、ピア デバイスの Cisco TrustSec デバイス ID です。 ピア名では、大文字と小文字が区別されます。

                        (注)     

                        Cisco TrustSec クレデンシャルが設定されていることおよび Cisco TrustSec の AAA が設定されていることを確認します。

                        (注)     

                        policy dynamic コマンドと policy static コマンドは同時に使用できません。 一度に 1 つしか適用できません。 交互に変更するには、他のコマンドを設定する前に、このコマンドの no 形式を使用して設定を削除する必要があります。

                         
                        ステップ 6 policy static sgt tag [trusted]


                        例:
                        switch(config-if-cts-manual)# policy static sgt 0x2 
                         
                        (任意)
                        スタティック許可ポリシーを設定します。 tag 引数は、0xhhhh 形式の 10 進値または 16 進値です。 10 進数の範囲は 2 ~ 65519 で、16 進数の範囲は 0x2 ~ 0xffef です。 trusted キーワードを指定すると、SGT 付きでインターフェイスにトラフィックが着信した場合、そのタグは上書きされません。
                        (注)     

                        policy dynamic コマンドと policy static コマンドは同時に使用できません。 一度に 1 つしか適用できません。 交互に変更するには、他のコマンドを設定する前に、このコマンドの no 形式を使用して設定を削除する必要があります。

                         
                        ステップ 7 exit


                        例:
                        switch(config-if-cts-manual)# exit
                        switch(config-if)#
                         

                        Cisco TrustSec 手動コンフィギュレーション モードを終了します。

                         
                        ステップ 8 シャットダウン


                        例:
                        switch(config-if)# shutdown
                         

                        インターフェイスをディセーブルにします。

                         
                        ステップ 9 no shutdown


                        例:
                        switch(config-if)# no shutdown
                         

                        インターフェイスをイネーブルにして、インターフェイスの Cisco TrustSec 認証をイネーブルにします。

                         
                        ステップ 10 exit


                        例:
                        switch(config-if)# exit
                        switch(config)#
                         

                        インターフェイス コンフィギュレーション モードを終了します。

                         
                        ステップ 11 show cts interface {all | brief | ethernet slot/port}


                        例:
                        switch# show cts interface all
                         
                        (任意)

                        インターフェイスの Cisco TrustSec 設定を表示します。

                         
                        ステップ 12 show cts sap pmk {all | interface ethernet slot/port}


                        例:
                        switch# show cts sap pmk all
                         
                        (任意)

                        すべてのインターフェイスまたは特定のイーサネット インターフェイスに対し設定された PMK の 16 進値を表示します。

                         
                        ステップ 13 copy running-config startup-config


                        例:
                        switch# copy running-config startup-config
                         
                        (任意)

                        実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                         

                        インターフェイスでの Cisco TrustSec のポーズ フレームの暗号化または復号化の設定

                        ポーズ フレームは、イーサネット フロー制御に使用される MAC 制御フレームです。 一部のラインカードのポートは、ポーズ フレームの暗号化と復号化を実行します。一方、他のラインカードのポートにはこの機能がありません。 このような不一致により相互運用性の問題が発生し、ポートはポーズ フレームを廃棄するか、無視します。

                        ポーズ フレームを暗号化するか、または個々のインターフェイス上でクリアするかを決定できます。 接続の両側のインターフェイスを設定する必要があります。dot1x または手動モードのいずれかを使用して実行できます。 2 つのポートが CTS リンクを実現するように接続され、一方がクリア Pause Capable、他方がセキュア(暗号化または復号化)Pause Capable である場合、ポーズ フレームは、正しく送受信するために、クリア テキストでリンク間に送信する必要があります。


                        (注)  


                        Cisco NX-OS リリース 6.2.2 以降では、すべての F シリーズおよび M1 シリーズ モジュールはセキュア(暗号化または復号化)フレームとクリア ポーズ フレームの両方をサポートします。 以前のリリースでは、F1 シリーズ モジュール、F2 シリーズ モジュール、F2e シリーズ モジュールおよび N7K-M132XP-12(L) モジュールは クリア ポーズ フレームのみサポートしています。



                        (注)  


                        半二重モードのインターフェイスでは、Cisco TrustSec をイネーブルにできません。 インターフェイスが半二重モードに設定されているかどうかを調べるには、show interface コマンドを使用します。



                        注意    


                        ポーズ フレームの暗号化または復号化の設定を有効にするには、インターフェイスのイネーブル化とディセーブル化を行う必要があり、インターフェイス上のトラフィックが中断されます。


                        はじめる前に

                        Cisco TrustSec がイネーブルになっていることを確認します。

                        flowcontrol {send | receive} コマンドを使用して、インターフェイスでフロー制御をイネーブルにしたことを確認します。

                        手順の概要

                          1.    configure terminal

                          2.    interface ethernet slot/port

                          3.    cts dot1x または cts manual

                          4.    [no] encrypt pause-frame

                          5.    exit

                          6.    シャットダウン

                          7.    no shutdown

                          8.    exit

                          9.    (任意) show cts interface {all | brief | ethernet slot/port}

                          10.    (任意) copy running-config startup-config


                        手順の詳細
                           コマンドまたはアクション目的
                          ステップ 1 configure terminal


                          例:
                          switch# configure terminal
                          switch(config)#
                           

                          グローバル コンフィギュレーション モードを開始します。

                           
                          ステップ 2 interface ethernet slot/port


                          例:
                          switch(config)# interface ethernet 2/2
                          switch(config-if)#
                           

                          インターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

                           
                          ステップ 3 cts dot1x または cts manual


                          例:
                          switch(config-if)# cts dot1x
                          switch(config-if-cts-dot1x)#
                           

                          Cisco TrustSec dot1x または手動コンフィギュレーション モードを開始します。

                          (注)     

                          半二重モードのインターフェイスでは、Cisco TrustSec をイネーブルにできません。

                           
                          ステップ 4 [no] encrypt pause-frame


                          例:
                          switch(config-if-cts-dot1x)# no encrypt pause-frame
                           

                          インターフェイスの Cisco TrustSec のポーズ フレームの暗号化または復号化を設定します。 no encrypt pause-frame が設定されている場合、ポーズ フレームはクリア テキストで送信されます。 encrypt pause-frame が設定されている場合、ポーズ フレームは CTS リンク上で暗号化されて送信されます。

                           
                          ステップ 5 exit


                          例:
                          switch(config-if-cts-dot1x)# exit
                          switch(config-if)#
                           

                          Cisco TrustSec dot1x または手動コンフィギュレーション モードを終了します。

                           
                          ステップ 6 シャットダウン


                          例:
                          switch(config-if)# shutdown
                           

                          インターフェイスをディセーブルにします。

                           
                          ステップ 7 no shutdown


                          例:
                          switch(config-if)# no shutdown
                           

                          インターフェイスをイネーブルにしたり、インターフェイス上で Cisco TrustSec のポーズ フレームの暗号化または復号化をイネーブルにしたりします。

                           
                          ステップ 8 exit


                          例:
                          switch(config-if)# exit
                          switch(config)#
                           

                          インターフェイス コンフィギュレーション モードを終了します。

                           
                          ステップ 9 show cts interface {all | brief | ethernet slot/port}


                          例:
                          switch# show cts interface all
                           
                          (任意)

                          インターフェイスの Cisco TrustSec 設定を表示します。

                           
                          ステップ 10 copy running-config startup-config


                          例:
                          switch# copy running-config startup-config
                           
                          (任意)

                          実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                           

                          SGACL ポリシーの設定

                          ここでは、SGACL ポリシーの設定作業について説明します。

                          SGACL ポリシーの設定プロセス

                          Cisco TrustSec の SGACL ポリシーを設定するには、次の手順を行います。


                            ステップ 1   パフォーマンスを向上させるためには、全体的に SGACL バッチ プログラミングをイネーブルにします。
                            ステップ 2   レイヤ 2 インターフェイスの場合は、Cisco TrustSec がイネーブルになっているインターフェイスがある VLAN に対して、SGACL ポリシーの強制をイネーブルにします。
                            ステップ 3   レイヤ 3 インターフェイスの場合は、Cisco TrustSec がイネーブルになっているインターフェイスがある VRF インスタンスに対して、SGACL ポリシーの強制をイネーブルにします。
                            ステップ 4   SGACL ポリシーの設定のダウンロードに Cisco Secure ACS 上の AAA を使用しない場合は、SGACL のマッピングとポリシーを手動で設定します。

                            SGACL バッチ プログラミングのイネーブル化

                            セキュリティ グループ アクセス コントロール リスト(SGACL)のプログラミングのバッチ処理をイネーブルにするには、次のタスクを実行します。

                            はじめる前に

                            Cisco TrustSec がイネーブルになっていることを確認します。

                            手順の概要

                              1.    switch# configure terminal

                              2.    switch(config)# [no] cts role-based policy batched-programming enable


                            手順の詳細
                               コマンドまたはアクション目的
                              ステップ 1 switch# configure terminal  

                              グローバル コンフィギュレーション モードを開始します。

                               
                              ステップ 2switch(config)# [no] cts role-based policy batched-programming enable  

                              SGACL プログラミング関連タスクのバッチ処理をイネーブルにします。

                              この機能を明示的にイネーブルにした後に SGACL バッチ プログラミングをディセーブルにするには、このコマンドの no 形式を使用します。

                               

                              VLAN に対する SGACL ポリシーの強制のイネーブル化

                              SGACL を使用する場合、Cisco TrustSec がイネーブルになっているレイヤ 2 インターフェイスがある VLAN 内で、 SGACL ポリシーの強制をイネーブルにする必要があります。

                              (注)  


                              この操作は、FCoE VLAN では実行できません。


                              はじめる前に
                              • Cisco TrustSec がイネーブルになっていることを確認します。

                              • SGACL バッチ プログラミングがイネーブルになっていることを確認します。

                              手順の概要

                                1.    configure terminal

                                2.    vlan vlan-id

                                3.    cts role-based enforcement

                                4.    exit

                                5.    (任意) show cts role-based enable

                                6.    (任意) copy running-config startup-config


                              手順の詳細
                                 コマンドまたはアクション目的
                                ステップ 1 configure terminal


                                例:
                                switch# configure terminal
                                switch(config)#
                                 

                                グローバル コンフィギュレーション モードを開始します。

                                 
                                ステップ 2 vlan vlan-id


                                例:
                                switch(config)# vlan 10
                                switch(config-vlan)#
                                 

                                VLAN を指定し、VLAN コンフィギュレーション モードを開始します。

                                 
                                ステップ 3 cts role-based enforcement


                                例:
                                switch(config-vlan)# cts role-based enforcement
                                 

                                VLAN に対する Cisco TrustSec SGACL ポリシーの強制をイネーブルにします。

                                 
                                ステップ 4 exit


                                例:
                                switch(config-vlan)# exit
                                switch(config)#
                                 

                                VLAN 設定を保存し、VLAN コンフィギュレーション モードを終了します。

                                 
                                ステップ 5 show cts role-based enable


                                例:
                                switch(config)# show cts role-based enable
                                 
                                (任意)

                                Cisco TrustSec SGACL 強制の設定を表示します。

                                 
                                ステップ 6 copy running-config startup-config


                                例:
                                switch(config)# copy running-config startup-config
                                 
                                (任意)

                                実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                                 

                                VRF インスタンスでの SGACL ポリシーの強制のイネーブル化

                                SGACL を使用する場合、Cisco TrustSec がイネーブルになっているレイヤ 3 インターフェイスがある VRF インスタンス内で、SGACL ポリシーの強制をイネーブルにする必要があります。


                                (注)  


                                管理 VRF インスタンスの場合は、SGACL ポリシーの強制をイネーブルにできません。


                                はじめる前に
                                • Cisco TrustSec がイネーブルになっていることを確認します。

                                • SGACL バッチ プログラミングがイネーブルになっていることを確認します。

                                • ダイナミック アドレス解決プロトコル(ARP)インスペクションまたは Dynamic Host Configuration Protocol(DHCP)スヌーピングがイネーブルになっていることを確認します。

                                手順の概要

                                  1.    configure terminal

                                  2.    vrf context vrf-name

                                  3.    cts role-based enforcement

                                  4.    exit

                                  5.    (任意) show cts role-based enable

                                  6.    (任意) copy running-config startup-config


                                手順の詳細
                                   コマンドまたはアクション目的
                                  ステップ 1 configure terminal


                                  例:
                                  switch# configure terminal
                                  switch(config)#
                                   

                                  グローバル コンフィギュレーション モードを開始します。

                                   
                                  ステップ 2 vrf context vrf-name


                                  例:
                                  switch(config)# vrf context MyVrf
                                  switch(config-vrf)#
                                   

                                  VRF インスタンスを指定し、VRF コンフィギュレーション モードを開始します。

                                   
                                  ステップ 3 cts role-based enforcement


                                  例:
                                  switch(config-vrf)# cts role-based enforcement
                                   

                                  VRF インスタンスに対する Cisco TrustSec SGACL ポリシーの強制をイネーブルにします。

                                   
                                  ステップ 4 exit


                                  例:
                                  switch(config-vrf)# exit
                                  switch(config)#
                                   

                                  VRF コンフィギュレーション モードを終了します。

                                   
                                  ステップ 5 show cts role-based enable


                                  例:
                                  switch(config)# show cts role-based enable
                                   
                                  (任意)

                                  Cisco TrustSec SGACL 強制の設定を表示します。

                                   
                                  ステップ 6 copy running-config startup-config


                                  例:
                                  switch(config)# copy running-config startup-config
                                   
                                  (任意)

                                  実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                                   

                                  Cisco TrustSec SGT の手動設定

                                  このデバイスから発信されるパケットに、固有の Cisco TrustSec Security Group Tag(SGT)を手動で設定できます。


                                  (注)  


                                  Cisco Secure ACS にも、Cisco NX-OS デバイスの Cisco TrustSec クレデンシャルを設定する必要があります。


                                  はじめる前に

                                  Cisco TrustSec がイネーブルになっていることを確認します。

                                  手順の概要

                                    1.    configure terminal

                                    2.    cts sgt tag

                                    3.    exit

                                    4.    (任意) show cts environment-data

                                    5.    (任意) copy running-config startup-config


                                  手順の詳細
                                     コマンドまたはアクション目的
                                    ステップ 1 configure terminal


                                    例:
                                    switch# configure terminal
                                    switch(config)#
                                     

                                    グローバル コンフィギュレーション モードを開始します。

                                     
                                    ステップ 2 cts sgt tag


                                    例:
                                    switch(config)# cts sgt 0x00a2
                                     

                                    デバイスから送信されるパケットの SGT を設定します。 tag 引数は、0xhhhh 形式の 10 進値または 16 進値です。 10 進数の範囲は 2 ~ 65519 で、16 進数の範囲は 0x2 ~ 0xffef です。

                                     
                                    ステップ 3 exit


                                    例:
                                    switch(config)# exit
                                    switch#
                                     

                                    グローバル コンフィギュレーション モードを終了します。

                                     
                                    ステップ 4 show cts environment-data


                                    例:
                                    switch# show cts environment-data
                                     
                                    (任意)

                                    Cisco TrustSec の環境データ情報を表示します。

                                     
                                    ステップ 5 copy running-config startup-config


                                    例:
                                    switch# copy running-config startup-config
                                     
                                    (任意)

                                    実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                                     

                                    VLAN に対する IPv4 アドレスと SGACL SGT のマッピングの手動設定

                                    Cisco NX-OS デバイスに使用可能な Cisco Secure ACS、ダイナミック ARP インスペクション、または DHCP スヌーピングが搭載されていない場合は、IPv4 アドレスを VLAN の SGACL SGT マッピングに手動で設定することもできます。

                                    はじめる前に

                                    Cisco TrustSec がイネーブルになっていることを確認します。

                                    VLAN の SGACL ポリシーの強制がイネーブルになっていることを確認します。

                                    手順の概要

                                      1.    configure terminal

                                      2.    vlan vlan-id

                                      3.    cts role-based sgt-map ipv4-address tag

                                      4.    exit

                                      5.    (任意) show cts role-based sgt-map [summary | sxp peer peer-ipv4-addr | vlan vlan-id | vrf vrf-name]

                                      6.    (任意) copy running-config startup-config


                                    手順の詳細
                                       コマンドまたはアクション目的
                                      ステップ 1 configure terminal


                                      例:
                                      switch# configure terminal
                                      switch(config)#
                                       

                                      グローバル コンフィギュレーション モードを開始します。

                                       
                                      ステップ 2 vlan vlan-id


                                      例:
                                      switch(config)# vlan 10
                                      switch(config-vlan)#
                                       

                                      VLAN を指定し、VLAN コンフィギュレーション モードを開始します。

                                       
                                      ステップ 3 cts role-based sgt-map ipv4-address tag


                                      例:
                                      switch(config-vlan)# cts role-based sgt-map 10.10.1.1 100
                                       

                                      VLAN に対する SGACL ポリシーの SGT マッピングを設定します。

                                       
                                      ステップ 4 exit


                                      例:
                                      switch(config-vlan)# exit
                                      switch(config)#
                                       

                                      VLAN 設定を保存し、VLAN コンフィギュレーション モードを終了します。

                                       
                                      ステップ 5 show cts role-based sgt-map [summary | sxp peer peer-ipv4-addr | vlan vlan-id | vrf vrf-name]


                                      例:
                                      switch(config)# show cts role-based sgt-map
                                       
                                      (任意)

                                      Cisco TrustSec SGACL SGT のマッピング設定を表示します。

                                       
                                      ステップ 6 copy running-config startup-config


                                      例:
                                      switch(config)# copy running-config startup-config
                                       
                                      (任意)

                                      実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                                       

                                      VRF インスタンスに対する IPv4 アドレスと SGACL SGT のマッピングの手動設定

                                      SGACL ポリシー設定のダウンロードに Cisco Secure ACS を使用できない場合は、IPv4 アドレスと SGACL SGT のマッピングを VRF インスタンスに手動で設定できます。 Cisco NX-OS デバイスで、Cisco Secure ACS、ダイナミック ARP インスペクション、DHCP スヌーピングを使用できない場合は、この機能を使用できます。

                                      はじめる前に

                                      Cisco TrustSec がイネーブルになっていることを確認します。

                                      VRF インスタンスの SGACL ポリシーの強制がイネーブルになっていることを確認します。

                                      レイヤ 3 モジュールがイネーブルになっていることを確認します。

                                      手順の概要

                                        1.    configure terminal

                                        2.    vrf context vrf-name

                                        3.    cts role-based sgt-map ipv4-address tag

                                        4.    exit

                                        5.    (任意) show cts role-based sgt-map [summary | sxp peer peer-ipv4-addr | vlan vlan-id | vrf vrf-name]

                                        6.    (任意) copy running-config startup-config


                                      手順の詳細
                                         コマンドまたはアクション目的
                                        ステップ 1 configure terminal


                                        例:
                                        switch# configure terminal
                                        switch(config)#
                                         

                                        グローバル コンフィギュレーション モードを開始します。

                                         
                                        ステップ 2 vrf context vrf-name


                                        例:
                                        switch(config)# vrf context accounting
                                        switch(config-vrf)#
                                         

                                        VRF インスタンスを指定し、VRF コンフィギュレーション モードを開始します。

                                         
                                        ステップ 3 cts role-based sgt-map ipv4-address tag


                                        例:
                                        switch(config-vrf)# cts role-based sgt-map 10.10.1.1 100
                                         

                                        VLAN に対する SGACL ポリシーの SGT マッピングを設定します。

                                         
                                        ステップ 4 exit


                                        例:
                                        switch(config-vrf)# exit
                                        switch(config)#
                                         

                                        VRF コンフィギュレーション モードを終了します。

                                         
                                        ステップ 5 show cts role-based sgt-map [summary | sxp peer peer-ipv4-addr | vlan vlan-id | vrf vrf-name]


                                        例:
                                        switch(config)# show cts role-based sgt-map
                                         
                                        (任意)

                                        Cisco TrustSec SGACL SGT のマッピング設定を表示します。

                                         
                                        ステップ 6 copy running-config startup-config


                                        例:
                                        switch(config)# copy running-config startup-config
                                         
                                        (任意)

                                        実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                                         

                                        VLAN と SGT のマッピングの設定

                                        VLAN を SGT にマッピングできます。 この手順は、VLAN には対応しているが SGT には非対応のデバイスに対して CTS を配置するのに役立ちます。 ホストまたはサーバに割り当てられている VLAN に基づき、そのホストまたはサーバに SGT を割り当てることができます。この VLAN からのトラフィックには、所定の SGT のマークが付けられます。

                                        はじめる前に

                                        Cisco TrustSec がイネーブルになっていることを確認します。

                                        手順の概要

                                          1.    configure terminal

                                          2.    vlan vlan-id

                                          3.    cts role-based sgt sgt-value

                                          4.    exit

                                          5.    (任意) show cts role-based sgt vlan {all | vlan-id}

                                          6.    (任意) show cts role-based sgt-map [summary | sxp peer peer-ipv4-addr | vlan vlan-id | vrf vrf-name]

                                          7.    (任意) copy running-config startup-config


                                        手順の詳細
                                           コマンドまたはアクション目的
                                          ステップ 1 configure terminal


                                          例:
                                          switch# configure terminal
                                          switch(config)#
                                           

                                          グローバル コンフィギュレーション モードを開始します。

                                           
                                          ステップ 2 vlan vlan-id


                                          例:
                                          switch(config)# vlan 10
                                          switch(config-vlan)#
                                           

                                          VLAN を指定し、VLAN コンフィギュレーション モードを開始します。

                                           
                                          ステップ 3 cts role-based sgt sgt-value


                                          例:
                                          switch(config-vlan)# cts role-based sgt 3
                                           

                                          SGT に VLAN をマッピングします。 sgt-value 引数の範囲は 1 ~ 65519 です。

                                           
                                          ステップ 4 exit


                                          例:
                                          switch(config-vlan)# exit
                                          switch(config)#
                                           

                                          VLAN 設定を保存し、VLAN コンフィギュレーション モードを終了します。

                                           
                                          ステップ 5 show cts role-based sgt vlan {all | vlan-id}


                                          例:
                                          switch(config)# show cts role-based sgt vlan all
                                           
                                          (任意)

                                          指定した VLAN に対し設定された SGT を表示します。

                                           
                                          ステップ 6 show cts role-based sgt-map [summary | sxp peer peer-ipv4-addr | vlan vlan-id | vrf vrf-name]


                                          例:
                                          switch(config)# show cts role-based sgt-map summary
                                           
                                          (任意)

                                          SGT のマッピングを表示します。

                                           
                                          ステップ 7 copy running-config startup-config


                                          例:
                                          switch(config)# copy running-config startup-config
                                           
                                          (任意)

                                          実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                                           

                                          SGACL ポリシーの手動設定

                                          SGACL ポリシー設定のダウンロードに Cisco Secure ACS を使用しない場合は、Cisco NX-OS デバイスに手動で SGACL ポリシーを設定できます。 ロールベース アクセス コントロール リスト(RBACL)ロギングをイネーブルにすることもできます。これにより、ユーザは、Cisco NX-OS デバイスに着信する特定タイプのパケットをモニタできるようになります。


                                          (注)  


                                          システムで ACLLOG と RBACL の syslog が生成される前に、記録されたパケットがレート制限され、フローがキャッシュされます。 show logging ip access-list cache detail コマンドを使用すると、記録されたパケットの Source Group Tag(SGT)を表示できます。 このコマンドの詳細については、『Cisco Nexus 7000 Series NX-OS System Management Command Reference』を参照してください。
                                          はじめる前に

                                          Cisco TrustSec がイネーブルになっていることを確認します。

                                          Cisco TrustSec ロギングを機能させるには、Cisco TrustSec カウンタまたは統計情報をイネーブルにする必要があります。

                                          VLAN および VRF インスタンスに対する SGACL ポリシーの強制がイネーブルになっていることを確認します。

                                          RBACL ロギングをイネーブルにする場合は、VLAN および VRF インスタンスに対する RBACL ポリシーの強制がイネーブルになっていることを確認します。

                                          RBACL ロギングをイネーブルにする場合は、ACLLOG syslog のログレベルが 6 に、CTS マネージャ syslog のログレベルが 5 に設定されていることを確認します。

                                          RBACL ロギングをイネーブルにする場合は、CTS マネージャ syslog のログ レベルが 6 以下に設定されていることを確認します。

                                          手順の概要

                                            1.    configure terminal

                                            2.    cts role-based access-list list-name

                                            3.    (任意) {deny | permit} all [log]

                                            4.    (任意) {deny | permit} icmp [log]

                                            5.    (任意) {deny | permit} igmp [log]

                                            6.    (任意) {deny | permit} ip [log]

                                            7.    (任意) {deny | permit} tcp [{dst | src} {{eq | gt | lt | neq} port-number | range port-number1 port-number2}] [log]

                                            8.    {deny | permit} udp [{dst | src} {{eq | gt | lt | neq} port-number | range port-number1 port-number2}] [log]

                                            9.    exit

                                            10.    cts role-based sgt {sgt-value | any | unknown} dgt {dgt-value | any | unknown} access-list list-name

                                            11.    (任意) show cts role-based access-list

                                            12.    (任意) copy running-config startup-config


                                          手順の詳細
                                             コマンドまたはアクション目的
                                            ステップ 1 configure terminal


                                            例:
                                            switch# configure terminal
                                            switch(config)#
                                             

                                            グローバル コンフィギュレーション モードを開始します。

                                             
                                            ステップ 2 cts role-based access-list list-name


                                            例:
                                            switch(config)# cts role-based access-list MySGACL
                                            switch(config-rbacl)#
                                             

                                            SGACL を指定し、ロールベース アクセス リスト コンフィギュレーション モードを開始します。 list-name 引数には、大文字と小文字を区別して、最大 32 文字の英数字で値を指定します。

                                             
                                            ステップ 3 {deny | permit} all [log]


                                            例:
                                            switch(config-rbacl)# deny all log
                                             
                                            (任意)

                                            すべてのトラフィックを拒否または許可します。 必要に応じて log キーワードを使用して、この設定と一致するパケットが記録されるように指定することができます。

                                             
                                            ステップ 4 {deny | permit} icmp [log]


                                            例:
                                            switch(config-rbacl)# permit icmp
                                             
                                            (任意)

                                            インターネット制御メッセージ プロトコル(ICMP)トラフィックを拒否または許可します。 必要に応じて log キーワードを使用して、この設定と一致するパケットが記録されるように指定することができます。

                                             
                                            ステップ 5 {deny | permit} igmp [log]


                                            例:
                                            switch(config-rbacl)# deny igmp
                                             
                                            (任意)

                                            インターネット グループ管理プロトコル(IGMP)トラフィックを拒否または許可します。 必要に応じて log キーワードを使用して、この設定と一致するパケットが記録されるように指定することができます。

                                             
                                            ステップ 6 {deny | permit} ip [log]


                                            例:
                                            switch(config-rbacl)# permit ip
                                             
                                            (任意)

                                            IP トラフィックを拒否または許可します。 必要に応じて log キーワードを使用して、この設定と一致するパケットが記録されるように指定することができます。

                                             
                                            ステップ 7 {deny | permit} tcp [{dst | src} {{eq | gt | lt | neq} port-number | range port-number1 port-number2}] [log]


                                            例:
                                            switch(config-rbacl)# deny tcp dst eq 100
                                             
                                            (任意)

                                            TCP トラフィックを拒否または許可します。 デフォルトではすべての TCP トラフィックが許可されます。 port-numberport-number1、port-number2 の引数の範囲は 0 ~ 65535 です。 必要に応じて log キーワードを使用して、この設定と一致するパケットが記録されるように指定することができます。

                                             
                                            ステップ 8 {deny | permit} udp [{dst | src} {{eq | gt | lt | neq} port-number | range port-number1 port-number2}] [log]


                                            例:
                                            switch(config-rbacl)# permit udp src eq 1312
                                             

                                            UDP トラフィックを拒否または許可します。 デフォルトではすべての UDP トラフィックが許可されます。 port-numberport-number1、port-number2 の引数の範囲は 0 ~ 65535 です。 必要に応じて log キーワードを使用して、この設定と一致するパケットが記録されるように指定することができます。

                                             
                                            ステップ 9 exit


                                            例:
                                            switch(config-rbacl)# exit
                                            switch(config)#
                                             

                                            ロールベース アクセス リスト コンフィギュレーション モードを終了します。

                                             
                                            ステップ 10 cts role-based sgt {sgt-value | any | unknown} dgt {dgt-value | any | unknown} access-list list-name


                                            例:
                                            switch(config)# cts role-based sgt 3 dgt 10 access-list MySGACL
                                             

                                            SGT 値と SGACL をマッピングします。 sgt-value 引数と dgt-value 引数の範囲は、0 ~ 65520 です。

                                            (注)     

                                            SGT と SGACL をマッピングするには、あらかじめ SGACL を作成しておく必要があります。

                                             
                                            ステップ 11 show cts role-based access-list


                                            例:
                                            switch(config)# show cts role-based access-list
                                             
                                            (任意)

                                            Cisco TrustSec SGACL の設定を表示します。

                                             
                                            ステップ 12 copy running-config startup-config


                                            例:
                                            switch(config)# copy running-config startup-config
                                             
                                            (任意)

                                            実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                                             

                                            ダウンロードされた SGACL ポリシーの表示

                                            Cisco TrustSec のデバイス クレデンシャルと AAA の設定後、Cisco Secure ACS からダウンロードされた Cisco TrustSec SGACL ポリシーを検証できます。 Cisco NX-OS ソフトウェアは、インターフェイスに対する認証および許可、SXP、または IPv4 アドレスおよび SGACL SGT の手動マッピングによって新しい SGT を学習すると、SGACL ポリシーをダウンロードします。

                                            はじめる前に

                                            Cisco TrustSec がイネーブルになっていることを確認します。

                                            手順の概要

                                              1.    show cts role-based access-list


                                            手順の詳細
                                               コマンドまたはアクション目的
                                              ステップ 1 show cts role-based access-list


                                              例:
                                              switch# show cts role-based access-list
                                               

                                              Cisco TrustSec SGACL を表示します(Cisco Secure ACS からダウンロードされたものと Cisco NX-OS デバイスに手動で設定されたものの両方)。

                                               

                                              ダウンロードされた SGACL ポリシーのリフレッシュ

                                              Cisco Secure ACS によって Cisco NX-OS デバイスにダウンロードされた SGACL ポリシーをリフレッシュできます。

                                              はじめる前に

                                              Cisco TrustSec がイネーブルになっていることを確認します。

                                              手順の概要

                                                1.    cts refresh role-based policy

                                                2.    (任意) show cts role-based policy


                                              手順の詳細
                                                 コマンドまたはアクション目的
                                                ステップ 1 cts refresh role-based policy


                                                例:
                                                switch# cts refresh policy
                                                 

                                                Cisco Secure ACS からの Cisco TrustSec SGACL をリフレッシュします。

                                                 
                                                ステップ 2 show cts role-based policy


                                                例:
                                                switch# show cts role-based policy
                                                 
                                                (任意)

                                                Cisco TrustSec SGACL ポリシーを表示します。

                                                 

                                                環境データの更新

                                                AAA サーバから環境データのダウンロードを更新できます。

                                                はじめる前に

                                                Cisco TrustSec がイネーブルになっていることを確認します。

                                                Cisco Identity Services Engine(ISE)リリース 1.0 以降を使用していることを確認します。

                                                手順の概要

                                                  1.    cts refresh environment-data

                                                  2.    show cts environment-data


                                                手順の詳細
                                                   コマンドまたはアクション目的
                                                  ステップ 1 cts refresh environment-data


                                                  例:
                                                  switch# cts refresh environment-data
                                                   

                                                  AAA サーバから環境データをリフレッシュします。

                                                   
                                                  ステップ 2 show cts environment-data


                                                  例:
                                                  switch# show cts environment-data
                                                   

                                                  ローカル デバイスに関するダウンロードされた環境データを表示します。

                                                  (注)     

                                                  SGT 名テーブル エントリは ISE からダウンロードできます。

                                                   

                                                  RBACL の統計情報のイネーブル化

                                                  ロールベース アクセス コントロール リスト(RBACL)ポリシーと一致するパケット数のカウントを要求できます。 この統計情報は、 Source Group Tag(SGT)と Destination Group Tag(DGT)ごとに収集されます。


                                                  (注)  


                                                  RBACL ポリシーを変更するとき、割り当て済みのアクセス コントロール エントリ(ACE)の統計情報が表示され、新しく割り当てられた ACE 統計情報が 0 に初期化されます。



                                                  (注)  


                                                  RBACL 統計情報は、Cisco NX-OS デバイスのリロード時または統計情報を故意にクリアしたときにだけ失われます。


                                                  はじめる前に

                                                  Cisco TrustSec がイネーブルになっていることを確認します。

                                                  RBACL 統計情報をイネーブルにする場合は、VLAN および VRF インスタンスに対する RBACL ポリシーの強制がイネーブルになっていることを確認します。

                                                  RBACL 統計情報をイネーブルにするには、ハードウェアのエントリが各ポリシーに 1 つずつ必要です。 ハードウェアに十分な領域が残っていない場合は、エラー メッセージが表示され、統計情報をイネーブルにできません。

                                                  手順の概要

                                                    1.    configure terminal

                                                    2.    [no] cts role-based counters enable

                                                    3.    (任意) copy running-config startup-config

                                                    4.    exit

                                                    5.    (任意) show cts role-based counters [sgt {sgt-value | any | unknown}] [dgt {dgt-value | any | unknown}]

                                                    6.    (任意) clear cts role-based counters


                                                  手順の詳細
                                                     コマンドまたはアクション目的
                                                    ステップ 1 configure terminal


                                                    例:
                                                    switch# configure terminal
                                                    switch(config)#
                                                     

                                                    グローバル コンフィギュレーション モードを開始します。

                                                     
                                                    ステップ 2 [no] cts role-based counters enable


                                                    例:
                                                    switch(config)# cts role-based counters enable
                                                     

                                                    RBACL 統計情報をイネーブルまたはディセーブルにします。 デフォルトではディセーブルになっています。

                                                     
                                                    ステップ 3 copy running-config startup-config


                                                    例:
                                                    switch(config)# copy running-config startup-config
                                                     
                                                    (任意)

                                                    実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                                                     
                                                    ステップ 4 exit


                                                    例:
                                                    switch(config)# exit
                                                    switch#
                                                     

                                                    グローバル コンフィギュレーション モードを終了します。

                                                     
                                                    ステップ 5 show cts role-based counters [sgt {sgt-value | any | unknown}] [dgt {dgt-value | any | unknown}]


                                                    例:
                                                    switch# show cts role-based counters sgt 10 dgt 20
                                                     
                                                    (任意)

                                                    RBACL 統計情報の設定ステータスを表示し、すべての RBACL ポリシーの統計情報を一覧表示します。必要に応じて、特定の Source Group Tag(SGT)または Destination Group Tag(DGT)の RBACL ポリシーと一致するパケットの合計数を表示します。 sgt-value 引数と dgt-value 引数の範囲は、0 ~ 65519 です。

                                                     
                                                    ステップ 6clear cts role-based counters


                                                    例:
                                                    switch# clear cts role-based counters
                                                     
                                                    (任意)

                                                    すべてのカウンタが 0 にリセットされるように、RBACL 統計情報をクリアします。

                                                     

                                                    Cisco TrustSec の SGACL ポリシーのクリア

                                                    Cisco TrustSec の SGACL ポリシーをクリアできます。

                                                    はじめる前に

                                                    Cisco TrustSec がイネーブルになっていることを確認します。

                                                    手順の概要

                                                      1.    (任意) show cts role-based policy

                                                      2.    clear cts policy {all | peer device-name | sgt sgt-value}


                                                    手順の詳細
                                                       コマンドまたはアクション目的
                                                      ステップ 1 show cts role-based policy


                                                      例:
                                                      switch# clear cts policy all
                                                       
                                                      (任意)

                                                      Cisco TrustSec RBACL ポリシーの設定を表示します。

                                                       
                                                      ステップ 2 clear cts policy {all | peer device-name | sgt sgt-value}


                                                      例:
                                                      switch# clear cts policy all
                                                       

                                                      Cisco TrustSec 接続情報のポリシーをクリアします。

                                                       

                                                      SXP の手動設定

                                                      SGT Exchange Protocol(SXP)を使用すると、Cisco TrustSec のハードウェア サポートがないネットワーク デバイスに SGT を伝播できます。 ここでは、ネットワーク内の Cisco NX-OS デバイスに Cisco TrustSec SXP を設定する手順について説明します。

                                                      Cisco TrustSec SXP の設定プロセス

                                                      Cisco TrustSec SXP の手動による設定手順は次のとおりです。

                                                      手順の概要

                                                        1.    Cisco TrustSec 機能をイネーブルにします。

                                                        2.    VRF インスタンスに対する SGACL ポリシーの強制をイネーブルにします。

                                                        3.    Cisco TrustSec SXP をイネーブルにします。

                                                        4.    SXP ピア接続を設定します。


                                                      手順の詳細
                                                        ステップ 1   Cisco TrustSec 機能をイネーブルにします。
                                                        ステップ 2   VRF インスタンスに対する SGACL ポリシーの強制をイネーブルにします。
                                                        ステップ 3   Cisco TrustSec SXP をイネーブルにします。
                                                        ステップ 4   SXP ピア接続を設定します。
                                                        (注)     

                                                        SXP には管理(mgmt 0)接続は使用できません。


                                                        Cisco TrustSec SXP のイネーブル化

                                                        ピアの接続を設定する前に、Cisco TrustSec SXP をイネーブルにする必要があります。

                                                        はじめる前に

                                                        Cisco TrustSec がイネーブルになっていることを確認します。

                                                        手順の概要

                                                          1.    configure terminal

                                                          2.    cts sxp enable

                                                          3.    exit

                                                          4.    (任意) show cts sxp

                                                          5.    (任意) copy running-config startup-config


                                                        手順の詳細
                                                           コマンドまたはアクション目的
                                                          ステップ 1 configure terminal


                                                          例:
                                                          switch# configure terminal
                                                          switch(config)#
                                                           

                                                          グローバル コンフィギュレーション モードを開始します。

                                                           
                                                          ステップ 2 cts sxp enable


                                                          例:
                                                          switch(config)# cts sxp enable
                                                           

                                                          Cisco TrustSec の SXP をイネーブルにします。

                                                           
                                                          ステップ 3 exit


                                                          例:
                                                          switch(config)# exit
                                                          switch#
                                                           

                                                          グローバル コンフィギュレーション モードを終了します。

                                                           
                                                          ステップ 4 show cts sxp


                                                          例:
                                                          switch# show cts sxp
                                                           
                                                          (任意)

                                                          SXP の設定を表示します。

                                                           
                                                          ステップ 5 copy running-config startup-config


                                                          例:
                                                          switch# copy running-config startup-config
                                                           
                                                          (任意)

                                                          実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                                                           

                                                          Cisco TrustSec SXP のピア接続の設定

                                                          スピーカーおよびリスナーの両方のデバイスで SXP ピア接続を設定する必要があります。 パスワード保護を使用している場合は、必ず両エンドに同じパスワードを使用してください。


                                                          (注)  


                                                          デフォルトの SXP 送信元 IP アドレスが設定されていない場合に、接続の SXP 送信元アドレスを指定しないと、Cisco NX-OS ソフトウェアは既存のローカル IP アドレスから SXP 送信元 IP アドレスを抽出します。 その Cisco NX-OS デバイスから開始される各 TCP 接続で SXP 送信元アドレスが異なる可能性があります。


                                                          はじめる前に

                                                          Cisco TrustSec がイネーブルになっていることを確認します。

                                                          SXP がイネーブルになっていることを確認します。

                                                          VRF インスタンスの RBACL ポリシーの強制がイネーブルになっていることを確認します。

                                                          手順の概要

                                                            1.    configure terminal

                                                            2.    cts sxp connection peer peer-ipv4-addr [source src-ipv4-addr] password {default | none | required password} mode {speaker | listener} [vrf vrf-name]

                                                            3.    exit

                                                            4.    (任意) show cts sxp connections

                                                            5.    (任意) copy running-config startup-config


                                                          手順の詳細
                                                             コマンドまたはアクション目的
                                                            ステップ 1 configure terminal


                                                            例:
                                                            switch# configure terminal
                                                            switch(config)#
                                                             

                                                            グローバル コンフィギュレーション モードを開始します。

                                                             
                                                            ステップ 2 cts sxp connection peer peer-ipv4-addr [source src-ipv4-addr] password {default | none | required password} mode {speaker | listener} [vrf vrf-name]


                                                            例:
                                                            switch(config)# cts sxp connection peer 10.10.1.1 source 20.20.1.1 password default mode listener
                                                             

                                                            SXP アドレス接続を設定します。

                                                            source キーワードには発信元デバイスの IPv4 アドレスを指定します。 デフォルトの発信元は、cts sxp default source-ip コマンドを使用して設定した IPv4 アドレスです。

                                                            password キーワードには、SXP で接続に使用するパスワードを指定します。次のオプションがあります。

                                                            • cts sxp default password コマンドを使用して設定したデフォルトの SXP パスワードを使用するには、default オプションを使用します。

                                                            • パスワードを使用しないようにするには none オプションを使用します。

                                                            • コマンドで指定したパスワードを使用するには、required オプションを使用します。

                                                            speaker および listener キーワードは、リモート ピア デバイスのロールを指定します。

                                                            vrf キーワードでは、ピアに対する VRF インスタンスを指定します。 デフォルトはデフォルト VRF インスタンスです。

                                                            (注)     

                                                            SXP には管理(mgmt 0)インターフェイスを使用できません。

                                                             
                                                            ステップ 3 exit


                                                            例:
                                                            switch(config)# exit
                                                            switch#
                                                             

                                                            グローバル コンフィギュレーション モードを終了します。

                                                             
                                                            ステップ 4 show cts sxp connections


                                                            例:
                                                            switch# show cts sxp connections
                                                             
                                                            (任意)

                                                            SXP 接続とステータスを表示します。

                                                             
                                                            ステップ 5 copy running-config startup-config


                                                            例:
                                                            switch# copy running-config startup-config
                                                             
                                                            (任意)

                                                            実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                                                             

                                                            デフォルトの SXP パスワードの設定

                                                            デフォルトでは、SXP は接続のセットアップ時にパスワードを使用しません。 Cisco NX-OS デバイスにデフォルトの SXP パスワードを設定できます。

                                                            はじめる前に

                                                            Cisco TrustSec がイネーブルになっていることを確認します。

                                                            SXP がイネーブルになっていることを確認します。

                                                            手順の概要

                                                              1.    configure terminal

                                                              2.    cts sxp default password password

                                                              3.    exit

                                                              4.    (任意) show cts sxp

                                                              5.    (任意) show running-config cts

                                                              6.    (任意) copy running-config startup-config


                                                            手順の詳細
                                                               コマンドまたはアクション目的
                                                              ステップ 1 configure terminal


                                                              例:
                                                              switch# configure terminal
                                                              switch(config)#
                                                               

                                                              グローバル コンフィギュレーション モードを開始します。

                                                               
                                                              ステップ 2 cts sxp default password password


                                                              例:
                                                              switch(config)# cts sxp default password A2Q3d4F5
                                                               

                                                              SXP のデフォルト パスワードを設定します。

                                                               
                                                              ステップ 3 exit


                                                              例:
                                                              switch(config)# exit
                                                              switch#
                                                               

                                                              グローバル コンフィギュレーション モードを終了します。

                                                               
                                                              ステップ 4 show cts sxp


                                                              例:
                                                              switch# show cts sxp
                                                               
                                                              (任意)

                                                              SXP の設定を表示します。

                                                               
                                                              ステップ 5 show running-config cts


                                                              例:
                                                              switch# show running-config cts
                                                               
                                                              (任意)

                                                              実行コンフィギュレーションの SXP 設定を表示します。

                                                               
                                                              ステップ 6 copy running-config startup-config


                                                              例:
                                                              switch# copy running-config startup-config
                                                               
                                                              (任意)

                                                              実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                                                               

                                                              デフォルトの SXP 送信元 IPv4 アドレスの設定

                                                              Cisco NX-OS ソフトウェアは、送信元 IPv4 アドレスが指定されないと、新規の TCP 接続すべてにデフォルトの送信元 IPv4 アドレスを使用します。 デフォルト SXP 送信元 IPv4 アドレスを設定しても、既存の TCP 接続には影響しません。

                                                              はじめる前に

                                                              Cisco TrustSec がイネーブルになっていることを確認します。

                                                              SXP がイネーブルになっていることを確認します。

                                                              手順の概要

                                                                1.    configure terminal

                                                                2.    cts sxp default source-ip src-ip-addr

                                                                3.    exit

                                                                4.    (任意) show cts sxp

                                                                5.    (任意) copy running-config startup-config


                                                              手順の詳細
                                                                 コマンドまたはアクション目的
                                                                ステップ 1 configure terminal


                                                                例:
                                                                switch# configure terminal
                                                                switch(config)#
                                                                 

                                                                グローバル コンフィギュレーション モードを開始します。

                                                                 
                                                                ステップ 2 cts sxp default source-ip src-ip-addr


                                                                例:
                                                                switch(config)# cts sxp default source-ip 10.10.3.3
                                                                 

                                                                SXP のデフォルトの送信元 IPv4 アドレスを設定します。

                                                                 
                                                                ステップ 3 exit


                                                                例:
                                                                switch(config)# exit
                                                                switch#
                                                                 

                                                                グローバル コンフィギュレーション モードを終了します。

                                                                 
                                                                ステップ 4 show cts sxp


                                                                例:
                                                                switch# show cts sxp
                                                                 
                                                                (任意)

                                                                SXP の設定を表示します。

                                                                 
                                                                ステップ 5 copy running-config startup-config


                                                                例:
                                                                switch# copy running-config startup-config
                                                                 
                                                                (任意)

                                                                実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                                                                 

                                                                SXP 復帰期間の変更

                                                                ピアが SXP 接続を終了すると、内部ホールドダウン タイマーが開始されます。 内部ホールドダウン タイマーが終了する前にピアが再接続すると、SXP 復帰期間タイマーが開始されます。 SXP 復帰期間タイマーがアクティブな間、Cisco NX-OS ソフトウェアは前回の接続で学習した SGT マッピング エントリを保持し、無効なエントリを削除します。 デフォルト値は 120 秒(2 分)です。 SXP 復帰期間を 0 秒に設定すると、タイマーがディセーブルになり、前回の接続のすべてのエントリが削除されます。

                                                                はじめる前に

                                                                Cisco TrustSec がイネーブルになっていることを確認します。

                                                                SXP がイネーブルになっていることを確認します。

                                                                手順の概要

                                                                  1.    configure terminal

                                                                  2.    cts sxp reconcile-period seconds

                                                                  3.    exit

                                                                  4.    (任意) show cts sxp

                                                                  5.    (任意) copy running-config startup-config


                                                                手順の詳細
                                                                   コマンドまたはアクション目的
                                                                  ステップ 1 configure terminal


                                                                  例:
                                                                  switch# configure terminal
                                                                  switch(config)#
                                                                   

                                                                  グローバル コンフィギュレーション モードを開始します。

                                                                   
                                                                  ステップ 2 cts sxp reconcile-period seconds


                                                                  例:
                                                                  switch(config)# cts sxp reconcile-period 180
                                                                   

                                                                  SXP 復帰タイマー期間を変更します。 デフォルト値は 120 秒(2 分)です。 範囲は 0 ~ 64000 です。

                                                                   
                                                                  ステップ 3 exit


                                                                  例:
                                                                  switch(config)# exit
                                                                  switch#
                                                                   

                                                                  グローバル コンフィギュレーション モードを終了します。

                                                                   
                                                                  ステップ 4 show cts sxp


                                                                  例:
                                                                  switch# show cts sxp
                                                                   
                                                                  (任意)

                                                                  SXP の設定を表示します。

                                                                   
                                                                  ステップ 5 copy running-config startup-config


                                                                  例:
                                                                  switch# copy running-config startup-config
                                                                   
                                                                  (任意)

                                                                  実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                                                                   

                                                                  SXP リトライ期間の変更

                                                                  SXP リトライ期間によって、Cisco NX-OS ソフトウェアが SXP 接続を再試行する頻度が決まります。 SXP 接続が正常に確立されなかった場合、Cisco NX-OS ソフトウェアは SXP リトライ期間タイマーの終了後に、新たな接続の確立を試行します。 デフォルト値は 60 秒(1 分)です。 SXP 再試行期間を 0 秒に設定するとタイマーは無効になり、接続は再試行されません。

                                                                  はじめる前に

                                                                  Cisco TrustSec がイネーブルになっていることを確認します。

                                                                  SXP がイネーブルになっていることを確認します。

                                                                  手順の概要

                                                                    1.    configure terminal

                                                                    2.    cts sxp retry-period seconds

                                                                    3.    exit

                                                                    4.    (任意) show cts sxp

                                                                    5.    (任意) copy running-config startup-config


                                                                  手順の詳細
                                                                     コマンドまたはアクション目的
                                                                    ステップ 1 configure terminal


                                                                    例:
                                                                    switch# configure terminal
                                                                    switch(config)#
                                                                     

                                                                    グローバル コンフィギュレーション モードを開始します。

                                                                     
                                                                    ステップ 2 cts sxp retry-period seconds


                                                                    例:
                                                                    switch(config)# cts sxp retry-period 120
                                                                     

                                                                    SXP リトライ タイマー期間を変更します。 デフォルト値は 60 秒(1 分)です。 範囲は 0 ~ 64000 です。

                                                                     
                                                                    ステップ 3 exit


                                                                    例:
                                                                    switch(config)# exit
                                                                    switch#
                                                                     

                                                                    グローバル コンフィギュレーション モードを終了します。

                                                                     
                                                                    ステップ 4 show cts sxp


                                                                    例:
                                                                    switch# show cts sxp
                                                                     
                                                                    (任意)

                                                                    SXP の設定を表示します。

                                                                     
                                                                    ステップ 5 copy running-config startup-config


                                                                    例:
                                                                    switch# copy running-config startup-config
                                                                     
                                                                    (任意)

                                                                    実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                                                                     

                                                                    Cisco TrustSec の設定の確認

                                                                    Cisco TrustSec の設定情報を表示するには、次のいずれかの作業を行います。

                                                                    コマンド

                                                                    目的

                                                                    show cts

                                                                    Cisco TrustSec の情報を表示します。

                                                                    show cts capability interface {all | ethernet slot/port}

                                                                    すべてのインターフェイスまたは特定のイーサネット インターフェイスの Cisco TrustSec 機能を表示します。

                                                                    show cts credentials

                                                                    EAP-FAST の Cisco TrustSec クレデンシャルを表示します。

                                                                    show cts environment-data

                                                                    Cisco TrustSec の環境データを表示します。

                                                                    show cts interface {all | brief | ethernet slot/port}

                                                                    インターフェイスの Cisco TrustSec 設定を表示します。

                                                                    show cts pacs

                                                                    デバイス キー ストア内の Cisco TrustSec 許可情報と PAC を表示します。

                                                                    show cts role-based access-list

                                                                    Cisco TrustSec の SGACL 情報を表示します。

                                                                    show cts role-based counters [sgt sgt-value] [dgt dgt-value]

                                                                    RBACL 統計情報の設定ステータスを表示し、すべての RBACL ポリシーの統計情報を一覧表示します。 必要に応じて、特定の Source Group Tag(SGT)または Destination Group Tag(DGT)の RBACL ポリシーと一致するパケットの合計数を表示します。

                                                                    show cts role-based enable

                                                                    Cisco TrustSec の SGACL 強制の状態を表示します。

                                                                    show cts role-based policy

                                                                    Cisco TrustSec の SGACL ポリシー情報を表示します。

                                                                    show cts role-based sgt-map [summary | sxp peer peer-ipv4-addr | vlan vlan-id | vrf vrf-name]

                                                                    Cisco TrustSec SGACL SGT のマップ設定を表示します。

                                                                    SGT マッピングのサマリーを表示するには、summary キーワードを使用します。

                                                                    特定の SXP ピアに対する SGT マップ設定を表示するには、sxp peer オプションを使用します。

                                                                    特定の VLAN に対する SGT マップ設定を表示するには、vlan オプションを使用します。

                                                                    特定の VRF に対する SGT マップ設定を表示するには、vrf オプションを使用します。

                                                                    show cts role-based sgt vlan {all | vlan-id}

                                                                    すべての VLAN または特定の VLAN に対する設定済み SGT を表示します。

                                                                    show cts sxp

                                                                    Cisco TrustSec SXP の情報を表示します。

                                                                    show running-config cts

                                                                    実行コンフィギュレーションの Cisco TrustSec 情報を表示します。

                                                                    Cisco TrustSec の設定例

                                                                    ここでは、Cisco TrustSec の設定例を示します。

                                                                    Cisco TrustSec のイネーブル化

                                                                    Cisco TrustSec をイネーブルにする例を示します。

                                                                    feature dot1x 
                                                                    feature cts 
                                                                    cts device-id device1 password Cisco321
                                                                    
                                                                    

                                                                    シード Cisco NX-OS デバイスへの Cisco TrustSec AAA の設定

                                                                    次の例では、シード Cisco NX-OS デバイスに Cisco TrustSec の AAA を設定します。

                                                                    radius-server host 10.10.1.1 key Cisco123 pac
                                                                    aaa group server radius Rad1
                                                                      server 10.10.1.1
                                                                      use-vrf management 
                                                                    aaa authentication dot1x default group Rad1 
                                                                    aaa authorization cts default group Rad1
                                                                    
                                                                    

                                                                    インターフェイスに対する Cisco TrustSec 認証のイネーブル化

                                                                    次の例では、インターフェイスに対して、クリア テキスト パスワードを使用する Cisco TrustSec 認証をイネーブルにします。

                                                                    interface ethernet 2/1
                                                                      cts dot1x 
                                                                      shutdown 
                                                                      no shutdown
                                                                    
                                                                    

                                                                    手動での Cisco TrustSec 認証の設定

                                                                    次の例では、インターフェイスに手動スタティック ポリシーで Cisco TrustSec 認証を設定します。

                                                                    interface ethernet 2/1
                                                                      cts manual 
                                                                        sap pmk abcdef modelist gmac 
                                                                        policy static sgt 0x20 
                                                                        
                                                                    

                                                                    次の例では、インターフェイスに手動ダイナミック ポリシーで Cisco TrustSec 認証を設定します。

                                                                    interface ethernet 2/2
                                                                      cts manual 
                                                                        policy dynamic identity device2
                                                                    
                                                                    

                                                                    次の例では、設定された PMK が実行コンフィギュレーションの AES 暗号化形式で表示されるよう指定する方法を示します。

                                                                     interface ethernet 2/2
                                                                       cts manual 
                                                                         sap pmk fedbaa display encrypt
                                                                    
                                                                    show cts sap pmk interface ethernet 2/2
                                                                    show running-config
                                                                    		
                                                                    

                                                                    デフォルト VRF インスタンスに対する Cisco TrustSec ロールベース ポリシー強制の設定

                                                                    次の例では、デフォルト VRF インスタンスに対して Cisco TrustSec のロールベース ポリシー強制をイネーブルにします。

                                                                    cts role-based enforcement 
                                                                    
                                                                    

                                                                    デフォルト以外の VRF に対する Cisco TrustSec ロールベース ポリシー強制の設定

                                                                    次の例では、デフォルト以外の VRF に対して Cisco TrustSec のロールベース ポリシー強制をイネーブルにします。

                                                                    vrf context test
                                                                      cts role-based enforcement
                                                                    
                                                                    

                                                                    VLAN に対する Cisco TrustSec ロールベース ポリシー強制の設定

                                                                    次の例では、VLAN に対して Cisco TrustSec のロールベース ポリシー強制をイネーブルにします。

                                                                    vlan 10
                                                                      cts role-based enforcement
                                                                    
                                                                    

                                                                    デフォルト VRF インスタンスに対する IPv4 アドレスと SGACL SGT のマッピングの設定

                                                                    次の例では、デフォルト VRF インスタンスに対して Cisco TrustSec ロールベース ポリシーの IPv4 アドレス対 SGACL SGT マッピングを手動で設定します。

                                                                    cts role-based sgt-map 10.1.1.1 20
                                                                    
                                                                    

                                                                    デフォルト以外の VRF インスタンスに対する IPv4 アドレスと SGACL SGT のマッピングの設定

                                                                    次の例では、デフォルト以外の VRF インスタンスに対して Cisco TrustSec ロールベース ポリシーの IPv4 アドレス対 SGACL SGT マッピングを手動で設定します。

                                                                    vrf context test
                                                                      cts role-based sgt-map 30.1.1.1 30
                                                                    
                                                                    

                                                                    VLAN に対する IPv4 アドレスと SGACL SGT のマッピングの設定

                                                                    次の例では、VLAN に対して Cisco TrustSec ロールベース ポリシーの IPv4 アドレス対 SGACL SGT マッピングを手動で設定します。

                                                                    vlan 10 
                                                                      cts role-based sgt-map 20.1.1.1 20
                                                                    
                                                                    

                                                                    Cisco TrustSec SGACL の手動設定

                                                                    次に、Cisco TrustSec SGACL を手動で設定する例を示します。

                                                                    cts role-based access-list abcd
                                                                      permit icmp 
                                                                    cts role-based sgt 10 dgt 20 access-list abcd
                                                                    
                                                                    
                                                                    

                                                                    次に、RBACL ロギングをイネーブルにする例を示します。

                                                                    cts role-based access-list RBACL1
                                                                      deny tcp src eq 1111 dest eq 2222 log
                                                                    cts role-based sgt 10 dgt 20 access-list RBACL1
                                                                    cts role-based sgt-map 1.1.1.1 10
                                                                    cts role-based sgt-map 1.1.1.2 20
                                                                    
                                                                    
                                                                    この設定では、次の ACLLOG syslog が生成されます。
                                                                    %ACLLOG-6-ACLLOG_FLOW_INTERVAL: SGT: 10, Source IP: 1.1.1.1, Destination IP: 1.1.1.2, Source Port: 1111, Destination Port: 2222, Source Interface: Ethernet4/1, Protocol: tcp, Hit-count = 2

                                                                    (注)  


                                                                    ACLLOG syslog には、一致した RBACL ポリシーの Destination Group Tag(DGT)情報が含まれていません。 この情報を検索するには、ログ メッセージで宛先 IP アドレスの IP-SGT マッピングを参照し、show cts role-based sgt-map コマンドを入力します。


                                                                    次に、RBACL 統計情報をイネーブルおよび表示する例を示します。

                                                                    cts role-based counters enable
                                                                    show cts role-based counters sgt 10 dgt 20
                                                                    
                                                                    
                                                                    RBACL policy counters enabled
                                                                    sgt: 10 dgt: 20 [180]
                                                                    rbacl test1:
                                                                    deny tcp src eq 1111 dest eq 2222   [75]
                                                                    deny tcp src eq 2222 dest eq 3333   [25]
                                                                    rbacl test2:
                                                                    deny udp src eq 1111 dest eq 2222   [30]
                                                                    deny udp src eq 2222 dest eq 3333   [50]
                                                                    

                                                                    SXP ピア接続の手動設定

                                                                    次の図に、デフォルト VRF インスタンスでの SXP ピア接続の例を示します。

                                                                    図 7. SXP ピア接続の例.

                                                                    次に、SwitchA に SXP ピア接続を設定する例を示します。

                                                                    feature cts
                                                                    cts role-based enforcement
                                                                    cts sxp enable 
                                                                    cts sxp connection peer 10.20.2.2 password required A2BsxpPW mode listener 
                                                                    cts sxp connection peer 10.30.3.3 password required A2CsxpPW mode listener
                                                                    
                                                                    

                                                                    次に、SwitchB に SXP ピア接続を設定する例を示します。

                                                                    feature cts 
                                                                    cts role-based enforcement
                                                                    cts sxp enable 
                                                                    cts sxp connection peer 10.10.1.1 password required A2BsxpPW mode speaker
                                                                    
                                                                    

                                                                    次に、SwitchC に SXP ピア接続を設定する例を示します。

                                                                    feature cts
                                                                    cts role-based enforcement
                                                                    cts sxp enable
                                                                    cts sxp connection peer 10.10.1.1 password required A2CsxpPW mode speaker
                                                                    
                                                                    

                                                                    Cisco TrustSec に関する追加情報

                                                                    ここでは、Cisco TrustSec の実装に関する追加情報について説明します。

                                                                    関連資料

                                                                    関連項目

                                                                    マニュアル タイトル

                                                                    Cisco NX-OS のライセンス

                                                                    『Cisco NX-OS Licensing Guide』

                                                                    コマンド リファレンス

                                                                    『Cisco Nexus 7000 Series NX-OS Security Command Reference』

                                                                    Cisco TrustSec の機能の履歴

                                                                    次の表に、この機能のリリースの履歴を示します。

                                                                    表 2 Cisco TrustSec の機能の履歴

                                                                    機能名

                                                                    リリース

                                                                    機能情報

                                                                    Cisco TrustSec

                                                                    6.2(2)

                                                                    VLAN を SGT にマップする機能が追加されました。

                                                                    Cisco TrustSec

                                                                    6.2(2)

                                                                    SAP PMK を暗号化し、実行コンフィギュレーションに暗号化された形式で PMK を表示する機能が追加されました。

                                                                    Cisco TrustSec

                                                                    6.2(2)

                                                                    設定された PMK の 16 進値を表示するための show cts sap pmk コマンドが追加されました。

                                                                    Cisco TrustSec

                                                                    6.2(2)

                                                                    インターフェイスの Cisco TrustSec 機能を表示するための show cts capability interface コマンドが追加されました。

                                                                    Cisco TrustSec

                                                                    6.2(2)

                                                                    10 進値を受け入れるための、cts sgtpolicy static sgt、および clear cts policy sqt コマンドがイネーブルになりました。

                                                                    Cisco TrustSec

                                                                    6.2(2)

                                                                    ISE から sgname テーブルをダウンロードし、環境データ タイマーが切れると環境データを手動で更新する機能が追加されました。

                                                                    Cisco TrustSec

                                                                    6.2(2)

                                                                    特定の SXP ピア、VLAN、または VRF に対する SGT マッピングまたは SGT マップ設定のサマリーを表示するためのオプションのキーワードが show cts role-based sgt-map コマンドに追加されました。

                                                                    Cisco TrustSec

                                                                    6.2(2)

                                                                    すべての CTS 対応インターフェイスに関する概要を表示するための brief キーワードが show cts interface コマンドに追加されました。

                                                                    Cisco TrustSec

                                                                    6.2(2)

                                                                    F2e および F2 シリーズ モジュールに対する SGT サポートが追加されました。

                                                                    Cisco TrustSec

                                                                    6.1(1)

                                                                    Advanced Services ライセンスの要件を削除しました。

                                                                    Cisco TrustSec

                                                                    6.1(1)

                                                                    40G および 100G M2 シリーズ モジュールの MACsec のサポートが追加されました。

                                                                    Cisco TrustSec

                                                                    6.0(1)

                                                                    F2 シリーズ モジュールが更新されました。

                                                                    Cisco TrustSec

                                                                    5.2(1)

                                                                    インターフェイス上のポーズ フレームの暗号化と復号化をサポートします。

                                                                    SGACL ポリシー

                                                                    5.0(2)

                                                                    RBACL ロギングのイネーブル化またはディセーブル化をサポートします。

                                                                    SGACL ポリシー

                                                                    5.0(2)

                                                                    RBACL 統計情報のイネーブル化、ディセーブル化、モニタリング、およびクリアをサポートします。

                                                                    Cisco TrustSec

                                                                    4.2(1)

                                                                    リリース 4.1 からの変更はありません。