Cisco TrustSec スイッチ コンフィギュレーション ガイド Cisco Catalyst スイッチについて
SGACL ポリシーの設定
SGACL ポリシーの設定
発行日;2012/12/19 | 英語版ドキュメント(2012/10/16 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

SGACL ポリシーの設定

SGACL ポリシーの設定

SGACL ポリシーの設定プロセス

SGACL ポリシーの強制のイネーブル化

VLAN に対する SGACL ポリシーの強制のイネーブル化

SGACL ポリシーの手動設定

手動で SGACL ポリシーを適用する方法

SGACL ポリシーの表示

ダウンロードされた SGACL ポリシーのリフレッシュ

SGACL ポリシーの設定

SGACL ポリシーの設定プロセス

Cisco TrustSec の SGACL ポリシーを設定してイネーブルにするには、次の手順を実行します。


ステップ 1 SGACL ポリシーの設定は、主に Cisco Secure ACS または Cisco Identity Services Engine のポリシー管理機能を使用して行う必要があります(『 Configuration Guide for the Cisco Secure ACS 』または『 Cisco Identity Services Engine User Guide 』を参照)。

Cisco Secure ACS または Cisco ISE での SGACL ポリシー設定のダウンロードに AAA を使用していない場合、またはローカル ポリシーが短期間必要な場合は、SGACL のマッピングとポリシーを手動で設定することもできます(「SGACL ポリシーの手動設定」および「SGACL ポリシーの手動設定」を参照)。


) ACS から動的にダウンロードされた SGACL ポリシーは、競合のローカル定義されたポリシーよりも優先されます。


ステップ 2 ルーテッド ポートの出力トラフィックに対する SGACL ポリシーの強制をイネーブルにするには、「SGACL ポリシーの強制のイネーブル化」に記載されているように、SGACL ポリシー強制をイネーブルにします。

ステップ 3 VLAN 内のスイッチングされたトラフィック、または VLAN に関連付けられた SVI に転送されるトラフィックに対して SGACL ポリシーの強制をイネーブルにするには、「VLAN に対する SGACL ポリシーの強制のイネーブル化」の説明に従って、特定の VLAN に対して SGACL ポリシーの強制をイネーブルにします。


 

SGACL ポリシーの強制のイネーブル

 

機能
履歴

12.2(50) SY

この機能が、Catalyst 6500 シリーズ スイッチに追加されました。

Cisco TrustSec をイネーブルにしたルーテッド インターフェイスで SGACL ポリシーの強制をグローバルにイネーブルにする必要があります。

ルーテッド インターフェイスの SGACL ポリシーの強制をイネーブルにするには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

Router(config)# cts role-based enforcement

ルーテッド インターフェイスで Cisco TrustSec SGACL ポリシーの強制をイネーブルにします。

次に、Cisco TrustSec をイネーブルにしたルーテッド インターフェイスの SGACL ポリシーの強制をグローバルにイネーブルにする例を示します。

Router# configure terminal
Router(config)# cts role-based enforcement
Router(config)# exit
 

VLAN に対する SGACL ポリシーの強制のイネーブル化

 

機能
履歴

12.2(50) SY

この機能が、Catalyst 6500 シリーズ スイッチに追加されました。

VLAN 内のスイッチングされたトラフィック、または VLAN に関連付けられた SVI に転送されるトラフィックに対してアクセス コントロールを適用するには、特定の VLAN に対して SGACL ポリシーの強制をイネーブルにする必要があります。

VLAN または VLAN リスト内で、SGACL ポリシーの強制をイネーブルにするには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

Router(config)# cts role-based enforcement vlan-list vlan-list

VLAN または VLAN リストで Cisco TrustSec SGACL ポリシーの強制をイネーブルにします。

次に、VLAN リスト内で、SGACL ポリシーの強制をイネーブルにする例を示します。

Router# configure terminal
Router(config)# cts role-based enforcement vlan-list 31-35,41
Router(config)# exit
 

SGACL ポリシーの手動設定

 

機能
履歴

12.2(50) SY

この機能が、Catalyst 6500 シリーズ スイッチに追加されました。

SGACL ポリシーの設定は、主に Cisco Secure ACS または Cisco ISE のポリシー管理機能を使用して行う必要がありますが、Cisco ACS または Cisco ISE が使用できないか、またはローカル ポリシーが短期間必要な場合は、スイッチで手動で SGACL ポリシーを設定できます。


) ポリシーで使用する前に SGACL を作成する必要があります。



) ACS から動的にダウンロードされた SGACL ポリシーは、競合のローカル定義されたポリシーよりも優先されます。


IPv4 ポリシーの設定

IPv4 SGACL ポリシーを手動で設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

Router(config)# ip access-list role-based sgacl-name

名前付き SGACL を作成して、ロールベース ACL コンフィギュレーション モードを開始します。

ステップ 3

Router(config-rb-acl)# [ sequence-number | no ] { permit | deny } protocol [ option option-name ] {[ precedence precedence ] [ tos tos ] | [ dscp dscp ]} [ log ] [ fragments ]

SGACL のアクセス コントロール エントリ(ACE)を指定します。

拡張名前付きアクセス リスト コンフィギュレーション モードで使用可能なコマンドおよびオプションの大部分を、送信元および宛先フィールドを省略して使用できます。

次の ACE コマンドまたはキーワードはサポートされていません。

reflect

evaluate

time-range

Router(config-rb-acl)# [ sequence-number | no ] [ permit | deny ] icmp [ icmp-type [ icmp-code ] | icmp-message ] {[ precedence precedence ] [ tos tos ] | [ dscp dscp ]} [ log ] [ fragments ]

Router(config-rb-acl)# [ sequence-number | no ] { permit | deny } tcp [ src operator { src-port }+] [ dst operator { dst-port }+] {[ precedence precedence ] [ tos tos ] | [ dscp dscp ]} [ log ] [ fragments ] [ established | {{ match-any | match-all } {{+ | -} flag-name }+]

Router(config-rb-acl)# [ sequence-number | no ] { permit | deny } udp [ src operator { src-port }+] [ dst operator { dst-port }+] {[ precedence precedence ] [ tos tos ] | [ dscp dscp ]} [ log ] [ fragments ]

Router(config-rb-acl)# [ sequence-number | no ] { permit | deny } igmp [ igmp-type ] {[ precedence precedence ] [ tos tos ] | [ dscp dscp ]} [ log ] [ fragments ]

ステップ 4

Router(config-rb-acl)# exit

ACL コンフィギュレーション モードを終了します。

次に、IPv4 SGACL ポリシーを設定および確認する例を示します。

Router(config)# ip access-list role-based RBAC2
Router(config-rb-acl)# permit tcp src eq 10 dst eq 20
Router(config-rb-acl)# permit udp src range 3100 4200
Router(config-rb-acl)# end
Router# show ip access-lists RBAC2
 
Role-based IP access list RBAC2
10 permit tcp src eq 10 dst eq ftp-data
20 permit udp src range 3100 4200
 

IPv6 ポリシーの設定

IPv6 SGACL ポリシーを手動で設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

Router(config)# ipv6 access-list role-based sgacl-name

名前付き IPv6 SGACL を作成して、IPv6 ロールベース ACL コンフィギュレーション モードを開始します。

ステップ 3

Router(config-ipv6rb-acl)# [ no ] { permit | deny } protocol [ dest-option | dest-option-type { doh-number | doh-type }] [ dscp cp-value ] [ flow-label fl-value ] [ mobility | mobility-type { mh-number | mh-type }] [ routing | routing-type routing-number ] [ fragments ] [ log | log-input ] [ sequence seqno ]

IPv6 SGACL のアクセス コントロール エントリ(ACE)を指定します。

拡張名前付きアクセス リスト コンフィギュレーション モードで使用可能なコマンドおよびオプションの大部分を、送信元および宛先フィールドを省略して使用できます。

次の ACE コマンドまたはキーワードはサポートされていません。

reflect

evaluate

time-range

ステップ 4

Router(config-ipv6rb-acl)# exit

IPv6 ACL コンフィギュレーション モードを終了します。

手動で SGACL ポリシーを適用する方法

 

機能
履歴

12.2(50) SY

この機能が、Catalyst 6500 シリーズ スイッチに追加されました。

手動で SGACL ポリシーを適用するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

Router(config)# cts role-based permissions default [ ipv4 | ipv6 ] sgacl-name1 [ sgacl-name2 [ sgacl-name3 ...]]]

デフォルト SGACL を指定します。デフォルト ポリシーは明示的なポリシーが送信元と宛先セキュリティ グループの間にない場合に適用されます。

ステップ 3

Router(config)# cts role-based permissions from { source-sgt | unknown } to { dest-sgt | unknown } [ ipv4 | ipv6 ] sgacl-name1 [ sgacl-name2 [ sgacl-name3 ...]]]

送信元セキュリティ グループ(SGT)と宛先セキュリティ グループ(DGT)に適用する SGACL を指定します。 source-sgt dest-sgt の値範囲は 1 ~ 65533 です。デフォルトでは、SGACL は IPv4 であると見なされます。

from :送信元 SGT を指定します。

to :宛先セキュリティ グループを指定します。

unknown :SGACL がセキュリティ グループ(送信元または宛先)を特定できないパケットに適用されます。

(注) ACS から動的にダウンロードされた SGACL ポリシーは、競合の手動ポリシーよりも優先されます。

次に、手動でデフォルトおよびカスタム SGACL ポリシーを適用する例を示します。

Router# configure terminal
Router(config)# cts role-based permissions default MYDEFAULTSGACL
Router(config)# cts role-based permissions from 3 to 5 SRB3 SRB5
Router(config)# exit
 

SGACL ポリシーの表示

Cisco TrustSec デバイス クレデンシャルと AAA の設定後、認証サーバからダウンロードされたか、または手動で設定された Cisco TrustSec SGACL ポリシーを検証できます。Cisco TrustSec は、インターフェイスに対する認証および許可、SXP、または IP アドレスおよび SGT の手動マッピングによって新しい SGT を学習すると、SGACL ポリシーをダウンロードします。

SGACL ポリシーの許可マトリクスの内容を表示するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router# show cts role-based permissions default [ ipv4 | ipv6 | details ]

デフォルト ポリシーの SGACL のリストを表示します。

Router# show cts role-based permissions [ from { source-sgt | unknown }] [ to { dest-sg | unknown }] [ ipv4 | ipv6 ] [ details ]

認証サーバからダウンロードされた、またはスイッチに手動で設定された SGACL を含め、許可マトリクスの内容を表示します。

キーワードを使用して、許可マトリクスの全部または一部を表示できます。

from キーワードを省略すると、許可マトリクスのカラムが表示されます。

to キーワードを省略すると、許可マトリクスの行が表示されます。

from および to キーワードを省略すると、許可マトリクス全体が表示されます。

from および to キーワードが指定されている場合、許可マトリクスから 1 つのセルが表示され、 details キーワードを使用できます。 details が入力された場合、1 つのセルの SGACL の ACE が表示されます。

次に、セキュリティ グループ 3 から送信されたトラフィックの SGACL ポリシーの許可マトリクスの内容を表示する例を示します。

Router# show cts role-based permissions from 3
Role-based permissions from group 3 to group 5:
SRB3
SRB5
Role-based permissions from group 3 to group 7:
SRB4
 

ダウンロードされた SGACL ポリシーのリフレッシュ

認証サーバによりスイッチにダウンロードされた SGACL ポリシーをリフレッシュするには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router# cts refresh policy { peer [ peer-id ] | sgt [ sgt_number | default | unknown ]}

 

認証サーバからの SGACL ポリシーの即時リフレッシュを実行します。

peer-id が指定される場合、指定されたピア接続に関連するポリシーだけがリフレッシュされます。すべてのピア ポリシーを更新するには、ID を指定しないで Enter を押します。

SGT 番号が指定されている場合、その SGT に関連するポリシーだけがリフレッシュされます。すべてのセキュリティ グループ タグ ポリシーをリフレッシュするには、SGT 番号を指定せずに Enter を押します。デフォルト ポリシーをリフレッシュするには、default を選択します。不明なポリシーをリフレッシュするには、unknown を選択します。