Cisco TrustSec スイッチ コンフィギュレーション ガイド Cisco Catalyst スイッチについて
SGT 交換プロトコル over TCP(SXP)およびレイヤ 3 トランスポートの設定
SGT 交換プロトコル over TCP(SXP)およびレイヤ 3 トランスポートの設定
発行日;2012/12/19 | 英語版ドキュメント(2012/10/16 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

SGT 交換プロトコル over TCP(SXP)およびレイヤ 3 トランスポートの設定

Cisco TrustSec SXP の設定

Cisco TrustSec SXP のイネーブル化

SXP ピア接続の設定

デフォルトの SXP パスワードの設定

デフォルトの SXP 送信元 IP アドレスの設定

SXP の復帰期間の変更

SXP リトライ期間の変更

SXP で学習された IP アドレスと SGT マッピングの変更をキャプチャするための syslog の作成方法

SXP 接続の確認

Cisco TrustSec ドメイン間のレイヤ 3 SGT トランスポートの設定

Cisco TrustSec 非対応スイッチング モジュールでの Cisco TrustSec リフレクタの設定

Cisco TrustSec のキャッシングの設定

Cisco TrustSec のキャッシングのイネーブル化

Cisco TrustSec キャッシュのクリア

SGT 交換プロトコル over TCP(SXP)およびレイヤ 3 トランスポートの設定

SGT 交換プロトコル(SXP)を使用すると、Cisco TrustSec のハードウェア サポートがないネットワーク デバイスに SGT を伝播できます。ここでは、ネットワークのスイッチに Cisco TrustSec SXP を設定する方法について説明します。

ここでは、次の内容について説明します。

「Cisco TrustSec SXP の設定」

「デフォルトの SXP パスワードの設定」

「デフォルトの SXP 送信元 IP アドレスの設定」

「SXP の復帰期間の変更」

「SXP リトライ期間の変更」

「SXP で学習された IP アドレスと SGT マッピングの変更をキャプチャするための syslog の作成方法」

「SXP 接続の確認」

「Cisco TrustSec ドメイン間のレイヤ 3 SGT トランスポートの設定」

「Cisco TrustSec 非対応スイッチング モジュールでの Cisco TrustSec リフレクタの設定」

「Cisco TrustSec のキャッシングの設定」

Cisco TrustSec SXP の設定

Cisco TrustSec SXP を設定するには、次の手順を実行します。


ステップ 1 Cisco TrustSec 機能をイネーブルにします( 「アイデンティティ、接続および SGT の設定」 の章を参照)。

ステップ 2 Cisco TrustSec SXP をイネーブルにします(「Cisco TrustSec SXP のイネーブル化」を参照)。

ステップ 3 SXP ピア接続を設定します(「SXP ピア接続の設定」を参照)。


 

Cisco TrustSec SXP のイネーブル化

ピアの接続を設定する前に、Cisco TrustSec SXP をイネーブルにする必要があります。Cisco TrustSec SXP をイネーブルにするには、次の作業を行います。

 

 
コマンド
目的

ステップ 1

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

Router(config)# [ no ] cts sxp enable

Cisco TrustSec の SXP をイネーブルにします。

ステップ 3

Router(config)# exit

コンフィギュレーション モードを終了します。

SXP ピア接続の設定

両方のデバイスで SXP ピア接続を設定する必要があります。一方のデバイスはスピーカーで、他方のデバイスはリスナーになります。パスワード保護を使用している場合は、必ず両エンドに同じパスワードを使用してください。


) デフォルトの SXP 送信元 IP アドレスが設定されていない場合に、接続の SXP 送信元アドレスを設定しないと、Cisco TrustSec ソフトウェアは既存のローカル IP アドレスから SXP 送信元 IP アドレスを抽出します。SXP 送信元アドレスは、スイッチから開始される各 TCP 接続ごとに異なる場合があります。


SXP ピア接続を設定するには、次の作業を行います。

 

 
コマンド
目的

ステップ 1

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

Router(config)# cts sxp connection
peer
peer-ipv4-addr
[ source src-ipv4-addr ]
password { default | none ] mode { local | peer } { speaker | listener }
[ vrf vrf-name ]

SXP アドレス接続を設定します。

オプションの source キーワードには発信元デバイスの IPv4 アドレスを指定します。アドレスが指定されていない場合、接続は、デフォルトの送信元アドレス(設定されている場合)、またはポートのアドレスを使用します。

password キーワードには、SXP で接続に使用するパスワードを指定します。次のオプションがあります。

default cts sxp default password コマンドを使用して設定したデフォルトの SXP パスワードを使用します。

none :パスワードを使用しません。

mode キーワードでは、リモート ピア デバイスのロールを指定します。

local :指定モードはローカル デバイスを示します。

peer :指定モードはピア デバイスを示します。

speaker :デフォルト。このデバイスが接続の際にスピーカーになります。

listener :このデバイスが接続の際にリスナーになります。

オプションの vrf キーワードでは、ピアに対する VRF を指定します。デフォルトはデフォルト VRF です。

ステップ 3

Router(config)# exit

コンフィギュレーション モードを終了します。

ステップ 4

Router# show cts sxp connections

(任意)SXP 接続情報を表示します。

次に、SXP をイネーブルにし、SwitchA(スピーカー)で SwitchB(リスナー)への SXP ピア接続を設定する例を示します。

Router# configure terminal
Router(config)# cts sxp enable
Router(config)# cts sxp default password Cisco123
Router(config)# cts sxp default source-ip 10.10.1.1
Router(config)# cts sxp connection peer 10.20.2.2 password default mode local speaker
 

次に、SwitchB(リスナー)で SwitchA(スピーカー)への SXP ピア接続を設定する例を示します。

Router# configure terminal
Router(config)# cts sxp enable
Router(config)# cts sxp default password Cisco123
Router(config)# cts sxp default source-ip 10.20.2.2
Router(config)# cts sxp connection peer 10.10.1.1 password default mode local listener
 

デフォルトの SXP パスワードの設定

デフォルトでは、SXP は接続のセットアップ時にパスワードを使用しません。スイッチのデフォルト SXP パスワードを設定できます。Cisco IOS Release 12.2(50)SY 以降では、SXP のデフォルト パスワードに暗号化されたパスワードを指定できます。

デフォルト SXP パスワードを設定するには、次の作業を行います。

 

 
コマンド
目的

ステップ 1

Router# configure terminal

コンフィギュレーション モードに入ります。

ステップ 2

Router(config)# cts sxp default password [ 0 | 6 | 7 ] password

SXP のデフォルト パスワードを設定します。クリア テキスト パスワード( 0 またはオプションなしを使用)または暗号化パスワード( 6 または 7 オプションを使用)を入力できます。パスワードの最大長は 32 文字です。

ステップ 3

Router(config)# exit #

コンフィギュレーション モードを終了します。

次に、デフォルト SXP パスワードを設定する例を示します。

Router# configure terminal
Router(config)# cts sxp default password Cisco123
 

デフォルトの SXP 送信元 IP アドレスの設定

SXP は送信元 IP アドレスが指定されないと、新規の TCP 接続すべてにデフォルトの送信元 IP アドレスを使用します。デフォルト SXP 送信元 IP アドレスを設定しても、既存の TCP 接続には影響しません。

デフォルト SXP 送信元 IP アドレスを設定するには、次の作業を行います。

 

 
コマンド
目的

ステップ 1

Router# configure terminal

コンフィギュレーション モードに入ります。

ステップ 2

Router(config)# cts sxp default source-ip src-ip-addr

SXP のデフォルトの送信元 IP アドレスを設定します。

ステップ 3

Router(config)# exit

コンフィギュレーション モードを終了します。

次に、SXP のデフォルトの送信元 IP アドレスを設定する例を示します。

Router# configure terminal
Router(config)# cts sxp default source-ip 10.20.2.2
 

SXP の復帰期間の変更

ピアが SXP 接続を終了すると、内部ホールドダウン タイマーが開始されます。内部ホールドダウン タイマーが終了する前にピアが再接続すると、SXP 復帰期間タイマーが開始されます。SXP 復帰期間タイマーがアクティブな間、Cisco TrustSec ソフトウェアは前回の接続で学習した SGT マッピング エントリを保持し、無効なエントリを削除します。デフォルト値は 120 秒(2 分)です。SXP 復帰期間を 0 秒に設定すると、タイマーがディセーブルになり、前回の接続のすべてのエントリが削除されます。

SXP の復帰期間を変更するには、次の作業を行います。

 

 
コマンド
目的

ステップ 1

Router# configure terminal

コンフィギュレーション モードに入ります。

ステップ 2

Router(config)# cts sxp reconciliation period seconds

SXP 復帰タイマーを変更します。デフォルト値は 120 秒(2 分)です。範囲は 0 ~ 64000 です。

ステップ 3

Router(config)# exit

コンフィギュレーション モードを終了します。

SXP リトライ期間の変更

SXP リトライ期間によって、Cisco TrustSec ソフトウェアが SXP 接続を再試行する頻度が決まります。SXP 接続が正常に確立されなかった場合、Cisco TrustSec ソフトウェアは SXP リトライ期間タイマーの終了後に、新たな接続の確立を試行します。デフォルト値は 120 秒です。SXP 再試行期間を 0 秒に設定するとタイマーは無効になり、接続は再試行されません。

SXP のリトライ期間を変更するには、次の作業を行います。

 

 
コマンド
目的

ステップ 1

Router# configure terminal

コンフィギュレーション モードに入ります。

ステップ 2

Router(config)# cts sxp retry period seconds

SXP リトライ タイマーを変更します。デフォルト値は 120 秒(2 分)です。範囲は 0 ~ 64000 です。

ステップ 3

Router(config)# exit

コンフィギュレーション モードを終了します。

SXP で学習された IP アドレスと SGT マッピングの変更をキャプチャするための syslog の作成方法

cts sxp log binding-changes グローバル コンフィギュレーション コマンドを実行すると、IP アドレスと SGT バインディングの変更(追加、削除、変更)が発生するたびに SXP の syslog(sev 5 syslog)が生成されます。これらの変更は SXP 接続で学習されて伝播されます。

デフォルトは、 no cts sxp log binding-changes です。

バインディングの変更のロギングをイネーブルにするには、次の作業を実行します。

 

 
コマンド
目的

ステップ 1

Router# configure terminal

コンフィギュレーション モードに入ります。

ステップ 2

Router(config)# cts sxp log binding-changes

IP と SGT のバインディングの変更のロギングをオンにします。

SXP 接続の確認

SXP 接続を表示するには、次の作業を行います。

 

 
コマンド
目的

ステップ 1

Router# show cts sxp connections [ brief ]

SXP のステータスと接続を表示します。

次に、SXP 接続を表示する例を示します。

Router# show cts sxp connections
 
SXP : Enabled
Default Password : Set
Default Source IP: 10.10.1.1
Connection retry open period: 10 secs
Reconcile period: 120 secs
Retry open timer is not running
----------------------------------------------
Peer IP : 10.20.2.2
Source IP : 10.10.1.1
Conn status : On
Conn Version : 2
Connection mode : SXP Listener
Connection inst# : 1
TCP conn fd : 1
TCP conn password: default SXP password
Duration since last state change: 0:00:21:25 (dd:hr:mm:sec)
Total num of SXP Connections = 1

Cisco TrustSec ドメイン間のレイヤ 3 SGT トランスポートの設定

 

機能
履歴

12.2(50) SY

この機能が、Catalyst 6500 シリーズ スイッチに追加されました。

 

Cisco TrustSec 対応のデバイスが存在しないネットワーク ドメインのエッジに Cisco TrustSec ゲートウェイ デバイスのレイヤ 3 SGT トランスポートを設定できます。

レイヤ 3 SGT トランスポートを設定するには、次の作業を行います。

 

 
コマンド
目的

ステップ 1

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

Router(config)# [ no ] cts policy layer3 { ipv4 | ipv6 } traffic acl-name

(任意)認証サーバがトラフィック ポリシーをダウンロードするために使用できない場合に適用されるフォール バックのトラフィック ポリシーを指定します。

acl-name :デバイスにすでに設定されている従来のインターフェイス ACL の名前。

この作業の次に記載されている追加の使用上の注意を参照してください。

ステップ 3

Router(config)# [ no ] cts policy layer3 { ipv4 | ipv6 } exception acl-name

(任意)認証サーバが例外ポリシーをダウンロードするために使用できない場合に適用されるフォール バックの例外ポリシーを指定します。

この作業の次に記載されている追加の使用上の注意を参照してください。

ステップ 4

Router(config)# interface type slot/port

インターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 5

Router(config-if)# [ no ] cts layer3 { ipv4 | ipv6 } trustsec forwarding

(Cisco TrustSec 対応の物理ポートで設定)このインターフェイス上の出力トラフィックが、トラフィック ポリシーおよび例外ポリシーの決定に従って Cisco TrustSec レイヤ 3 SGT トランスポートのカプセル化を使用することを指定します。

Router(config-if)# [ no ] cts layer3 { ipv4 | ipv6 } policy

(ルーテッド ポートまたは SVI で設定)このインターフェイス上の出力トラフィックが、トラフィック ポリシーおよび例外ポリシーの決定に従って Cisco TrustSec レイヤ 3 SGT トランスポートのカプセル化を使用することを指定します。

ステップ 6

Router(config-if)# end

Router(config)# end

インターフェイス コンフィギュレーション モードおよびグローバル コンフィギュレーション モードを終了します。

ステップ 7

Router# show cts policy layer3 { ipv4 | ipv6 }

(任意)インターフェイスのレイヤ 3 SGT トランスポート設定を表示します。

Cisco TrustSec レイヤ 3 SGT トランスポートを設定する場合は、次の使用上のガイドラインおよび制約事項を考慮してください。

Cisco TrustSec レイヤ 3 SGT トランスポート機能はハードウェア暗号化をサポートするポートだけで設定できます。

Cisco TrustSec レイヤ 3 SGT トランスポートのトラフィック ポリシーおよび例外ポリシーには次の制限があります。

ポリシーは、IP 拡張または IP 名前付き拡張 ACL として設定する必要があります。

ポリシーには deny エントリを含めることはできません。

同じ ACE がトラフィック ポリシーおよび例外ポリシーの両方に存在する場合は、例外ポリシーが優先されます。Cisco TrustSec レイヤ 3 カプセル化は、その ACE に一致するパケットで実行されます。

トラフィック ポリシーおよび例外ポリシーは認証サーバからダウンロード(ご使用の Cisco IOS Release でサポートされている場合)するか、またはデバイスに手動で設定できます。ポリシーは次のルールに基づいて適用されます。

トラフィック ポリシーまたは例外ポリシーが認証サーバからダウンロードされる場合、手動で設定されたトラフィック ポリシーまたは例外ポリシーよりも優先されます。

認証サーバが使用できず、トラフィック ポリシー、および例外ポリシーの両方を手動で設定すると、手動で設定されたポリシーが使用されます。

認証サーバが使用できず、トラフィック ポリシーを例外ポリシーなしで設定すると、例外ポリシーは適用されません。Cisco TrustSec レイヤ 3 カプセル化がトラフィック ポリシーに基づいてインターフェイスに適用されます。

認証サーバが使用できず、トラフィック ポリシーが手動で設定されていない場合は、Cisco TrustSec レイヤ 3 カプセル化がインターフェイスで実行されません。

次に、リモート Cisco TrustSec ドメインにレイヤ 3 SGT トランスポートを設定する例を示します。

Router# configure terminal
Router(config)# ip access-list extended traffic-list
Router(config-ext-nacl)# permit ip any 10.1.1.0 0.0.0.255
Router(config-ext-nacl)# exit
Router(config)# ip access-list extended exception-list
Router(config-ext-nacl)# permit ip any 10.2.2.0 0.0.0.255
Router(config-ext-nacl)# exit
Router(config)# cts policy layer3 ipv4 traffic traffic-sgt
Router(config)# cts policy layer3 ipv4 exception exception-list
Router(config)# interface gi2/1
Router(config-if)# cts layer3 trustsec ipv4 forwarding
Router(config-if)# shutdown
Router(config-if)# no shutdown
Router(config-if)# exit
Router(config)# exit

Cisco TrustSec 非対応スイッチング モジュールでの Cisco TrustSec リフレクタの設定

 

機能
履歴

12.2(50) SY

この機能が、Catalyst 6500 シリーズ スイッチに追加されました。


) Cisco TrustSec スーパーバイザの入力リフレクタおよび Cisco TrustSec 出力リフレクタは相互に排他的です。両方の機能をイネーブルにしないでください。


出力リフレクタは ERSPAN を設定する場合は無効にします。

Cisco TrustSec スーパーバイザの入力リフレクタ機能を設定するには、次の作業を実行します。

 

 
コマンド
目的

ステップ 1

Router# configure terminal

コンフィギュレーション モードに入ります。

ステップ 2

Router(config)# [ no ] platform cts ingress

Cisco TrustSec スーパーバイザの入力のリフレクタをアクティブにします。

ステップ 3

Router(config)# exit

コンフィギュレーション モードを終了します。

ステップ 4

Router# show platform cts

Cisco TrustSec リフレクタ モード(Ingress、Egress、Pure、または No CTS)を表示します。

次に、Cisco TrustSec 入力リフレクタを設定する例を示します。

Router# configure terminal
Router(config)# platform cts ingress
Router(config)# exit
Router# show platform cts
CTS Ingress mode enabled

) Cisco TrustSec 入力リフレクタをディセーブルにする前に、Cisco TrustSec 非対応スイッチング モジュールの電力を切る必要があります。


Cisco TrustSec 出力リフレクタ機能を設定するには、次の作業を実行します。

 

 
コマンド
目的

ステップ 1

Router# configure terminal

コンフィギュレーション モードに入ります。

ステップ 2

Router(config)# [ no ] platform cts egress

Cisco TrustSec 出力リフレクタをアクティブにします。

ステップ 3

Router(config)# exit

コンフィギュレーション モードを終了します。

ステップ 4

Router# show platform cts

Cisco TrustSec リフレクタ モード(Ingress、Egress、Pure、または No CTS)を表示します。

次に、Cisco TrustSec 出力リフレクタを設定する例を示します。

Router# configure terminal
Router(config)# platform cts egress
Router(config)# exit
Router# show platform cts
CTS Egress mode enabled

) Cisco TrustSec 出力リフレクタをディセーブルにする前に、Cisco TrustSec 非対応スイッチング モジュールの電力を切る必要があります。


Cisco TrustSec のキャッシングの設定

ここでは、次の内容について説明します。

「Cisco TrustSec のキャッシングのイネーブル化」

「Cisco TrustSec キャッシュのクリア」

Cisco TrustSec のキャッシングのイネーブル化

短時間停止から迅速にリカバリするために、Cisco TrustSec 接続の認証、許可、およびポリシー情報のキャッシングをイネーブルにできます。キャッシングすることで、Cisco TrustSec ドメインを完全に再認証しなくても、Cisco TrustSec デバイスが期限の切れていないセキュリティ情報を使用して停止後にリンクを復元できるようになります。Cisco TrustSec デバイスは DRAM にセキュリティ情報をキャッシュします。不揮発性(NV)ストレージもイネーブルにしている場合は、DRAM のキャッシュ情報も NV のメモリに保存されます。リブート中に NV のメモリの内容が DRAM に入力されます。


) 長時間の停止中に、Cisco TrustSec キャッシュ情報が期限切れになる可能性が高くなります。


Cisco TrustSec キャッシングをイネーブルにするには、次の作業を行います。

 

 
コマンド
目的

ステップ 1

Router# configure terminal

コンフィギュレーション モードに入ります。

ステップ 2

Router(config)# [ no ] cts cache enable

DRAM への認証、許可、および環境データ情報のキャッシュをイネーブルにします。デフォルトでは無効になっています。

このコマンドの no 形式は DRAM および不揮発性ストレージからすべてのキャッシュ情報をクリアします。

ステップ 3

Router(config)# [ no ] cts cache nv-storage { bootdisk: | bootflash: | disk0: } [ directory dir-name ]

DRAM キャッシングをイネーブルにすると、DRAM のキャッシュ更新が不揮発性ストレージに書き込まれるようになります。また、デバイスの起動時に DRAM キャッシュが不揮発性ストレージから初期入力されるようになります。

ステップ 4

Router(config)# exit

コンフィギュレーション モードを終了します。

次に、不揮発性ストレージなどの、Cisco TrustSec キャッシングを設定する例を示します。

Router# configure terminal
Router(config)# cts cache enable
Router(config)# cts cache nv-storage bootdisk:
Router(config)# exit

Cisco TrustSec キャッシュのクリア

Cisco TrustSec 接続用のキャッシュをクリアするには、次の作業を行います。

 

 
コマンド
目的

ステップ 1

Router# clear cts cache [ authorization-policies [ peer ] | environment-data | filename filename | interface-controller [ type slot/port ]]

Cisco TrustSec 接続情報のキャッシュをクリアします。

次に、Cisco TrustSec キャッシュをクリアする例を示します。

Router# clear cts cache