المقدمة
يصف هذا وثيقة كيف أن يشكل cisco TrustSec (CTS) مع مخرج عاكس.
المتطلبات الأساسية
المتطلبات
cisco يوصي أن يتلقى أنت معرفة الأساسية ال CTS حل.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- مادة حفازة 6500 مفتاح مع مشرف محرك 2T على IOS® إطلاق 15.0(01)SY
- مولد حركة مرور Ixia
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
CTS هي بنية وصول إلى الشبكة تدعم الهوية وتساعد العملاء على تمكين التعاون الآمن وتعزيز الأمان وتلبية متطلبات التوافق. كما يوفر بنية أساسية لتطبيق السياسات تستند إلى الدور القابل للتوسع. حددت ربط يؤسس على المجموعة عضوية من الربط مصدر عند مدخل من الشبكة. يتم تطبيق السياسات المرتبطة بالمجموعة بينما تعبر هذه الحزم الشبكة.
المادة حفازة 6500 sery يزود مفتاح مع مشرف محرك 2T و 6900 sery خط بطاقة يزود كامل جهاز وبرمجية دعم لتنفيذ CTS. لدعم وظيفة CTS، هناك دوائر مدمجة خاصة بالتطبيق (ASICs) مخصصة يتم إستخدامها في بطاقات الخط الجديدة من السلسلة 6900. لا تحتوي بطاقات الخط القديمة على بطاقات ASIC المخصصة هذه، وبالتالي، لا تدعم CTS.
يستخدم العاكس CTS Catalyst Switch Port Analyzer (فسحة بين دعامتين) لعكس حركة مرور البيانات من وحدة تحويل غير قادرة ل CTS إلى Supervisor Engine (محرك المشرف) لتعيين وإدراج علامة مجموعة الأمان (SGT).
يتم تنفيذ عاكس CTS مخرج على محول توزيع مع وصلات الطبقة 3، حيث تواجه وحدة تحويل غير قادرة على CTS محول وصول. وهو يدعم بطاقات إعادة التوجيه المركزية (CFCs) وبطاقات إعادة التوجيه الموزعة (DFCs).
التكوين
الرسم التخطيطي للشبكة
تكوين SW1
قم بتكوين دليل CTS على الوصلة إلى SW2 باستخدام الأوامر التالية:
SW1(config)#int t1/4
SW1(config-if)#ip address 10.10.10.1 255.255.255.0
SW1(config-if)#no shutdown
SW1(config-if)#cts manual
SW1(config-if-cts-manual)#propagate sgt
SW1(config-if-cts-manual)#policy static sgt 11 trusted
SW1(config-if-cts-manual)#exit
SW1(config-if)#exit
تكوين SW2
مكنت مخرج عاكس على المفتاح مع هذا أمر:
SW2(config)#platform cts egress
SW2#write memory
Building configuration...
[OK]
SW2#reload
ملاحظة: المفتاح ينبغي كنت أعدت in order to مكنت المخرج عاكس أسلوب.
قم بتكوين دليل CTS على المنفذ المتصل SW1 باستخدام الأوامر التالية:
SW2(config)#int t1/4/4
SW2(config-if)#ip address 10.10.10.2 255.255.255.0
SW2(config-if)#no shutdown
SW2(config-if)#cts manual
SW2(config-if-cts-manual)#propagate sgt
SW2(config-if-cts-manual)#policy static sgt 10 trusted
SW2(config-if-cts-manual)#exit
SW2(config-if)#exit
قم بتكوين رقيب ثابت على SW2 لمصدر عنوان IP 10.10.10.10 من IXIA.
SW2(config)#cts role-based sgt-map 10.10.10.10 sgt 11
التحقق من الصحة
استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.
يمكن عرض وضع CTS الحالي باستخدام هذا الأمر:
SW2#show platform cts
CTS Egress mode enabled
يمكن عرض حالة إرتباط CTS باستخدام هذا الأمر:
show cts interface summary
دققت أن ال IFC-state مفتوح على كلا مفتاح. وينبغي أن تبدو النواتج كما يلي:
SW1#show cts interface summary
Global Dot1x feature is Enabled
CTS Layer2 Interfaces
---------------------
Interface Mode IFC-state dot1x-role peer-id IFC-cache Critical-Authentication
-----------------------------------------------------------------------------
Te1/4 MANUAL OPEN unknown unknown invalid Invalid
SW2#show cts interface summary
Global Dot1x feature is Enabled
CTS Layer2 Interfaces
---------------------
Interface Mode IFC-state dot1x-role peer-id IFC-cache Critical-Authentication
-----------------------------------------------------------------------------
Te1/4/4 MANUAL OPEN unknown unknown invalid Invalid
التحقق من خلال إخراج NetFlow
يمكن تكوين NetFlow باستخدام الأوامر التالية:
SW1(config)#flow record rec2
SW1(config-flow-record)#match ipv4 protocol
SW1(config-flow-record)#match ipv4 source address
SW1(config-flow-record)#match ipv4 destination address
SW1(config-flow-record)#match transport source-port
SW1(config-flow-record)#match transport destination-port
SW1(config-flow-record)#match flow direction
SW1(config-flow-record)#match flow cts source group-tag
SW1(config-flow-record)#match flow cts destination group-tag
SW1(config-flow-record)#collect routing forwarding-status
SW1(config-flow-record)#collect counter bytes
SW1(config-flow-record)#collect counter packets
SW1(config-flow-record)#exit
SW1(config)#flow monitor mon2
SW1(config-flow-monitor)#record rec2
SW1(config-flow-monitor)#exit
تطبيق NetFlow على واجهة الدخول الخاصة بمحول SW1:
SW1#sh run int t1/4
Building configuration...
Current configuration : 165 bytes
!
interface TenGigabitEthernet1/4
no switchport
ip address 10.10.10.1 255.255.255.0
ip flow monitor mon2 input
cts manual
policy static sgt 11 trusted
end
تحقق من أن الحزم الواردة هي SGT التي تم وضع علامة عليها على المحول SW1.
SW1#show flow monitor mon2 cache format table
Cache type: Normal
Cache size: 4096
Current entries: 0
High Watermark: 0
Flows added: 0
Flows aged: 0
- Active timeout ( 1800 secs) 0
- Inactive timeout ( 15 secs) 0
- Event aged 0
- Watermark aged 0
- Emergency aged 0
There are no cache entries to display.
Cache type: Normal (Platform cache)
Cache size: Unknown
Current entries: 0
There are no cache entries to display.
Module 35:
Cache type: Normal (Platform cache)
Cache size: Unknown
Current entries: 0
There are no cache entries to display.
Module 34:
Cache type: Normal
Cache size: 4096
Current entries: 0
High Watermark: 0
Flows added: 0
Flows aged: 0
- Active timeout ( 1800 secs) 0
- Inactive timeout ( 15 secs) 0
- Event aged 0
- Watermark aged 0
- Emergency aged 0
There are no cache entries to display.
Cache type: Normal (Platform cache)
Cache size: Unknown
Current entries: 0
There are no cache entries to display.
Module 33:
Cache type: Normal
Cache size: 4096
Current entries: 0
High Watermark: 0
Flows added: 0
Flows aged: 0
- Active timeout ( 1800 secs) 0
- Inactive timeout ( 15 secs) 0
- Event aged 0
- Watermark aged 0
- Emergency aged 0
There are no cache entries to display.
Cache type: Normal (Platform cache)
Cache size: Unknown
Current entries: 0
There are no cache entries to display.
Module 20:
Cache type: Normal (Platform cache)
Cache size: Unknown
Current entries: 2
IPV4 SRC ADDR IPV4 DST ADDR TRNS SRC PORT TRNS DST PORT FLOW DIRN FLOW CTS SRC GROUP TAG FLOW CTS DST GROUP TAG IP PROT ip fwd status bytes pkts
=============== =============== ============= ============= ========= ====================== ====================== ======= ============= ========== ==========
10.10.10.10 10.10.20.10 0 0 Input 11 0 255 Unknown 375483970 8162695
10.10.10.2 224.0.0.5 0 0 Input 4 0 89 Unknown 6800 85
Module 19:
Cache type: Normal (Platform cache)
Cache size: Unknown
Current entries: 0
There are no cache entries to display.
Module 18:
Cache type: Normal
Cache size: 4096
Current entries: 0
High Watermark: 0
Flows added: 0
Flows aged: 0
- Active timeout ( 1800 secs) 0
- Inactive timeout ( 15 secs) 0
- Event aged 0
- Watermark aged 0
- Emergency aged 0
There are no cache entries to display.
Cache type: Normal (Platform cache)
Cache size: Unknown
Current entries: 0
استكشاف الأخطاء وإصلاحها
لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.