Guest

Configurez et vérifiez le réflecteur de sortie avec le cts manual

Options de téléchargement

  • PDF     (219.4 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d’appareils
  • ePub     (201.3 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (127.9 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:25 février 2016
ID du document:1456464085459127
À propos des traductions

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit comment configurer et verifiy un Cisco TrustSec (CTS) avec le réflecteur de sortie.

Conditions préalables

Conditions requises

Cisco recommande que vous ayez la connaissance de base de la solution de Cisco TrustSec.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Les Commutateurs de Catalyst 6500 avec l'engine 2T de superviseur sur l'IOS libèrent 15.0(01)SY
  • Générateur du trafic d'IXIA

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Informations générales

Le Cisco TrustSec est une architecture identité-activée d'accès au réseau qui aide des clients à activer la Collaboration sécurisée, à renforcer la Sécurité, et à adresser des conformités aux réglementations. Il fournit également une infrastructure d'application de stratégie basée par rôle extensible. Des paquets sont étiquetés ont basé sur l'adhésion à des associations de la source de paquet au d'entrée du réseau. Des stratégies associées avec le groupe sont appliquées pendant que ces paquets traversent le réseau.

Les Commutateurs de gamme Catalyst 6500 avec l'engine 2T de superviseur et les linecards de gamme 6900 fournissent le matériel et le support logiciel complets pour mettre en application CTS. Afin de prendre en charge la fonctionnalité CTS, il y a les circuits intégrés spécifiques à l'application dédiés (ASIC) utilisés sur les nouveaux linecards de gamme 6900. Les linecards existants n'ont pas ces ASIC dédiés et donc, ne prenez en charge pas CTS.

Analyseur de port de commutateur Catalyst d'utilisations de réflecteur de Cisco TrustSec (ENVERGURE) pour refléter le trafic d'un module de commutation CTS-incapable à l'engine de superviseur pour le transfert et la mise en place de la balise de groupe de sécurité (SGT).

Un réflecteur de sortie de Cisco TrustSec est mis en application sur un commutateur de distribution avec des liaisons ascendantes de la couche 3, où le module de commutation CTS-incapable fait face à un commutateur d'accès. Il le prend en charge centralisé expédiant les cartes (CFC) et les cartes de transfert distribué (DFC).

Configurez

Diagramme du réseau

Configuration SW1

Configurez le cts manual sur la liaison ascendante à SW2 avec ces commandes :

SW1(config)#int t1/4SW1(config-if)#ip address 10.10.10.1 255.255.255.0SW1(config-if)#no shutdownSW1(config-if)#cts manualSW1(config-if-cts-manual)#propagate sgtSW1(config-if-cts-manual)#policy static sgt 11 trustedSW1(config-if-cts-manual)#exitSW1(config-if)#exit

Configuration SW2

Activez le réflecteur de sortie sur le commutateur avec ces commandes :

SW2(config)#platform cts egress
SW2#write memory
Building configuration...
[OK]SW2#reload

Remarque: Le commutateur doit être rechargé afin d'activer le mode de réflecteur de sortie.

Configurez le cts manual sur le port connecté à SW1 avec ces commandes :

SW2(config)#int t1/4/4SW2(config-if)#ip address 10.10.10.2 255.255.255.0SW2(config-if)#no shutdownSW2(config-if)#cts manualSW2(config-if-cts-manual)#propagate sgtSW2(config-if-cts-manual)#policy  static sgt 10 trustedSW2(config-if-cts-manual)#exitSW2(config-if)#exit

Configurez un SGT statique sur SW2 pour l'adresse IP source 10.10.10.10 de l'IXIA.

SW2(config)#cts role-based sgt-map 10.10.10.10 sgt 11

Vérifiez

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

Le mode du courant CTS peut être visualisé avec cette commande :

SW2#show platform cts CTS Egress mode enabled

L'état de lien CTS peut être visualisé avec cette commande :

show cts interface summary

Vérifiez que l'IFC-état est OUVERT sur les deux Commutateurs. Les sorties devraient ressembler à ceci :

SW1#show cts interface summaryGlobal Dot1x feature is EnabledCTS Layer2 Interfaces---------------------Interface  Mode    IFC-state dot1x-role peer-id    IFC-cache    Critical-Authentication-----------------------------------------------------------------------------Te1/4      MANUAL  
OPEN
      unknown    unknown    invalid      Invalid
SW2#show cts interface summaryGlobal Dot1x feature is EnabledCTS Layer2 Interfaces---------------------Interface  Mode    IFC-state dot1x-role peer-id    IFC-cache    Critical-Authentication-----------------------------------------------------------------------------Te1/4/4    MANUAL  
OPEN
      unknown    unknown    invalid      Invalid

Vérification par la sortie de NetFlow

Le NetFlow peut être configuré avec ces commandes :

SW1(config)#flow record rec2SW1(config-flow-record)#match ipv4 protocolSW1(config-flow-record)#match ipv4 source addressSW1(config-flow-record)#match ipv4 destination addressSW1(config-flow-record)#match transport source-portSW1(config-flow-record)#match transport destination-portSW1(config-flow-record)#match flow directionSW1(config-flow-record)#match flow cts source group-tagSW1(config-flow-record)#match flow cts destination group-tagSW1(config-flow-record)#collect routing forwarding-statusSW1(config-flow-record)#collect counter bytesSW1(config-flow-record)#collect counter packetsSW1(config-flow-record)#exitSW1(config)#flow monitor mon2SW1(config-flow-monitor)#record rec2SW1(config-flow-monitor)#exit

Appliquez le NetFlow sur l'interface d'entrée du commutateur SW1 :

SW1#sh run int t1/4Building configuration...Current configuration : 165 bytes!interface TenGigabitEthernet1/4 no switchport ip address 10.10.10.1 255.255.255.0 ip flow monitor mon2 input cts manual  policy static sgt 11 trustedend

Vérifiez que les paquets entrant sont SGT étiquetés sur le commutateur SW1.

SW1#show flow monitor mon2 cache format table  Cache type:                               Normal  Cache size:                                 4096  Current entries:                               0  High Watermark:                                0  Flows added:                                   0  Flows aged:                                    0    - Active timeout      (  1800 secs)          0    - Inactive timeout    (    15 secs)          0    - Event aged                                 0    - Watermark aged                             0    - Emergency aged                             0There are no cache entries to display.  Cache type:                               Normal (Platform cache)  Cache size:                              Unknown  Current entries:                               0There are no cache entries to display.Module 35:  Cache type:                               Normal (Platform cache)  Cache size:                              Unknown  Current entries:                               0There are no cache entries to display.Module 34:  Cache type:                               Normal  Cache size:                                 4096  Current entries:                               0  High Watermark:                                0  Flows added:                                   0  Flows aged:                                    0    - Active timeout      (  1800 secs)          0    - Inactive timeout    (    15 secs)          0    - Event aged                                 0    - Watermark aged                             0    - Emergency aged                             0There are no cache entries to display.Cache type:                               Normal (Platform cache)  Cache size:                              Unknown  Current entries:                               0There are no cache entries to display.Module 33:  Cache type:                               Normal  Cache size:                                 4096  Current entries:                               0  High Watermark:                                0  Flows added:                                   0  Flows aged:                                    0    - Active timeout      (  1800 secs)          0    - Inactive timeout    (    15 secs)          0    - Event aged                                 0    - Watermark aged                             0    - Emergency aged                             0There are no cache entries to display.  Cache type:                               Normal (Platform cache)  Cache size:                              Unknown  Current entries:                               0There are no cache entries to display.Module 20:  Cache type:                               Normal (Platform cache)  Cache size:                              Unknown  Current entries:                               2IPV4 SRC ADDR    IPV4 DST ADDR    TRNS SRC PORT  TRNS DST PORT  FLOW DIRN  FLOW CTS SRC GROUP TAG  FLOW CTS DST GROUP TAG  IP PROT  ip fwd status  bytes        pkts===============  ===============  =============  =============  =========  ======================  ======================  =======  =============  ==========  ==========
10.10.10.10      10.10.20.10                  0              0  Input                          11                       0      255  Unknown        375483970     8162695
10.10.10.2       224.0.0.5                    0              0  Input                           4                       0       89  Unknown        6800          85
Module 19:  Cache type:                               Normal (Platform cache)  Cache size:                              Unknown  Current entries:                               0There are no cache entries to display.Module 18:  Cache type:                               Normal  Cache size:                                 4096  Current entries:                               0  High Watermark:                                0  Flows added:                                   0  Flows aged:                                    0    - Active timeout      (  1800 secs)          0    - Inactive timeout    (    15 secs)          0    - Event aged                                 0    - Watermark aged                             0    - Emergency aged                             0There are no cache entries to display.  Cache type:                               Normal (Platform cache)  Cache size:                              Unknown  Current entries:                               0

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

TAC Authored

Contribution d’experts de Cisco

  • Sendhil Balakrishnan
    Ingénieur TAC Cisco

Ce document vous est-il utile?

Commentaires

Laissez-nous vous aider

Ce document s’applique à ces produits