Avez-vous un compte?

  •   Contenu personnalisé
  •   Vos produits et votre soutien technique

Vous voulez un compte?

Créer un compte

Configurez et vérifiez le réflecteur de sortie avec le cts manual

Options de téléchargement

  • PDF     (257.3 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d’appareils
  • ePub     (187.7 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (129.5 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:14 mars 2018
ID du document:1456464084966126
À propos des traductions

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment configurer et vérifier un Cisco TrustSec (CTS) avec le réflecteur de sortie.

    Conditions préalables

    Conditions requises

    Cisco recommande que vous ayez la connaissance de base de la solution CTS.

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • Les Commutateurs de Catalyst 6500 avec l'engine 2T de superviseur sur l'IOS libèrent 15.0(01)SY
    • Générateur du trafic d'IXIA

    Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

    Informations générales

    CTS est une architecture identité-activée d'accès au réseau qui aide des clients à activer la Collaboration sécurisée, à renforcer la Sécurité, et à adresser des conformités aux réglementations. Il fournit également une infrastructure d'application de stratégie basée par rôle extensible. Des paquets sont étiquetés ont basé sur l'adhésion à des associations de la source de paquet au d'entrée du réseau. Des stratégies associées avec le groupe sont appliquées pendant que ces paquets traversent le réseau.

    Les Commutateurs de gamme Catalyst 6500 avec l'engine 2T de superviseur et les linecards de gamme 6900 fournissent le matériel et le support logiciel complets pour mettre en application CTS. Afin de prendre en charge la fonctionnalité CTS, il y a les circuits intégrés spécifiques à l'application dédiés (ASIC) utilisés sur les nouveaux linecards de gamme 6900. Les linecards existants n'ont pas ces ASIC dédiés et donc, ne prenez en charge pas CTS.

    Analyseur de port de commutateur Catalyst d'utilisations de réflecteur CTS (ENVERGURE) pour refléter le trafic d'un module de commutation CTS-incapable à l'engine de superviseur pour le transfert et la mise en place de la balise de groupe de sécurité (SGT).

    Un réflecteur de sortie CTS est mis en application sur un commutateur de distribution avec des liaisons ascendantes de la couche 3, où le module de commutation CTS-incapable fait face à un commutateur d'accès. Il le prend en charge centralisé expédiant les cartes (CFC) et les cartes de transfert distribué (DFC).

    Configurez

    Diagramme du réseau

    Configurez SW1

    Configurez le cts manual sur la liaison ascendante à SW2 avec ces commandes :

    SW1(config)#int t1/4
SW1(config-if)#ip address 10.10.10.1 255.255.255.0
SW1(config-if)#no shutdown
SW1(config-if)#cts manual
SW1(config-if-cts-manual)#propagate sgt
SW1(config-if-cts-manual)#policy static sgt 11 trusted
SW1(config-if-cts-manual)#exit
SW1(config-if)#exit

    Configurez SW2

    Activez le réflecteur de sortie sur le commutateur avec ces commandes :

    SW2(config)#platform cts egress
    SW2#write memory
    Building configuration...
    [OK]
SW2#reload

    Note: Le commutateur doit être rechargé afin d'activer le mode de réflecteur de sortie.

    Configurez le cts manual sur le port connecté à SW1 avec ces commandes :

    SW2(config)#int t1/4/4
SW2(config-if)#ip address 10.10.10.2 255.255.255.0
SW2(config-if)#no shutdown
SW2(config-if)#cts manual
SW2(config-if-cts-manual)#propagate sgt
SW2(config-if-cts-manual)#policy  static sgt 10 trusted
SW2(config-if-cts-manual)#exit
SW2(config-if)#exit

    Configurez un SGT statique sur SW2 pour l'adresse IP source 10.10.10.10 de l'IXIA.

    SW2(config)#cts role-based sgt-map 10.10.10.10 sgt 11

    Vérifiez

    Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

    Le mode du courant CTS peut être visualisé avec cette commande :

    SW2#show platform cts
 CTS Egress mode enabled

    L'état de lien CTS peut être visualisé avec cette commande :

    show cts interface summary

    Vérifiez que l'IFC-état est OUVERT sur les deux Commutateurs. Les sorties devraient ressembler à ceci :

    SW1#show cts interface summary

Global Dot1x feature is Enabled

CTS Layer2 Interfaces
---------------------
Interface  Mode    IFC-state dot1x-role peer-id    IFC-cache    Critical-Authentication
-----------------------------------------------------------------------------
Te1/4      MANUAL  OPEN      unknown    unknown    invalid      Invalid
    SW2#show cts interface summary

Global Dot1x feature is Enabled

CTS Layer2 Interfaces
---------------------
Interface  Mode    IFC-state dot1x-role peer-id    IFC-cache    Critical-Authentication
-----------------------------------------------------------------------------
Te1/4/4    MANUAL  OPEN      unknown    unknown    invalid      Invalid

    Vérifiez par la sortie de NetFlow

    Le NetFlow peut être configuré avec ces commandes :

    SW1(config)#flow record rec2
SW1(config-flow-record)#match ipv4 protocol
SW1(config-flow-record)#match ipv4 source address
SW1(config-flow-record)#match ipv4 destination address
SW1(config-flow-record)#match transport source-port
SW1(config-flow-record)#match transport destination-port
SW1(config-flow-record)#match flow direction
SW1(config-flow-record)#match flow cts source group-tag
SW1(config-flow-record)#match flow cts destination group-tag
SW1(config-flow-record)#collect routing forwarding-status
SW1(config-flow-record)#collect counter bytes
SW1(config-flow-record)#collect counter packets
SW1(config-flow-record)#exit
SW1(config)#flow monitor mon2
SW1(config-flow-monitor)#record rec2
SW1(config-flow-monitor)#exit

    Appliquez le NetFlow sur l'interface d'entrée du commutateur SW1 :

    SW1#sh run int t1/4
Building configuration...

Current configuration : 165 bytes
!
interface TenGigabitEthernet1/4
 no switchport
 ip address 10.10.10.1 255.255.255.0
 ip flow monitor mon2 input
 cts manual
  policy static sgt 11 trusted
end

    Vérifiez que les paquets entrant sont SGT étiquetés sur le commutateur SW1.

    SW1#show flow monitor mon2 cache format table
  Cache type:                               Normal
  Cache size:                                 4096
  Current entries:                               0
  High Watermark:                                0

  Flows added:                                   0
  Flows aged:                                    0
    - Active timeout      (  1800 secs)          0
    - Inactive timeout    (    15 secs)          0
    - Event aged                                 0
    - Watermark aged                             0
    - Emergency aged                             0

There are no cache entries to display.

  Cache type:                               Normal (Platform cache)
  Cache size:                              Unknown
  Current entries:                               0

There are no cache entries to display.

Module 35:
  Cache type:                               Normal (Platform cache)
  Cache size:                              Unknown
  Current entries:                               0

There are no cache entries to display.

Module 34:
  Cache type:                               Normal
  Cache size:                                 4096
  Current entries:                               0
  High Watermark:                                0

  Flows added:                                   0
  Flows aged:                                    0
    - Active timeout      (  1800 secs)          0
    - Inactive timeout    (    15 secs)          0
    - Event aged                                 0
    - Watermark aged                             0
    - Emergency aged                             0

There are no cache entries to display.
Cache type:                               Normal (Platform cache)
  Cache size:                              Unknown
  Current entries:                               0

There are no cache entries to display.

Module 33:
  Cache type:                               Normal
  Cache size:                                 4096
  Current entries:                               0
  High Watermark:                                0

  Flows added:                                   0
  Flows aged:                                    0
    - Active timeout      (  1800 secs)          0
    - Inactive timeout    (    15 secs)          0
    - Event aged                                 0
    - Watermark aged                             0
    - Emergency aged                             0

There are no cache entries to display.
  Cache type:                               Normal (Platform cache)
  Cache size:                              Unknown
  Current entries:                               0

There are no cache entries to display.

Module 20:
  Cache type:                               Normal (Platform cache)
  Cache size:                              Unknown
  Current entries:                               2

IPV4 SRC ADDR    IPV4 DST ADDR    TRNS SRC PORT  TRNS DST PORT  FLOW DIRN  FLOW CTS SRC GROUP TAG  FLOW CTS DST GROUP TAG  IP PROT  ip fwd status  bytes        pkts
===============  ===============  =============  =============  =========  ======================  ======================  =======  =============  ==========  ==========
10.10.10.10      10.10.20.10                  0              0  Input                          11                       0      255  Unknown        375483970     8162695
10.10.10.2       224.0.0.5                    0              0  Input                           4                       0       89  Unknown        6800          85

    Module 19:
  Cache type:                               Normal (Platform cache)
  Cache size:                              Unknown
  Current entries:                               0

There are no cache entries to display.

Module 18:
  Cache type:                               Normal
  Cache size:                                 4096
  Current entries:                               0
  High Watermark:                                0

  Flows added:                                   0
  Flows aged:                                    0
    - Active timeout      (  1800 secs)          0
    - Inactive timeout    (    15 secs)          0
    - Event aged                                 0
    - Watermark aged                             0
    - Emergency aged                             0

There are no cache entries to display.
  Cache type:                               Normal (Platform cache)
  Cache size:                              Unknown
  Current entries:                               0

    Dépannez

    Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

    TAC Authored

    Contribution d’experts de Cisco

    • Sendhil Balakrishnan

    Ce document vous est-il utile?

    FeedbackCommentaires

    Laissez-nous vous aider

    Discussions connexes de communautés de Cisco

    Ce document s’applique à ces produits

    À PROPOS DE NOUS
    COMMUNIQUER AVEC NOUS
    TRAVAILLER AVEC NOUS