はじめに
このドキュメントでは、ソフトウェア定義ワイドエリアネットワーク(SD-WAN)でのセキュリティグループタグ(SGT)インラインタギングの伝播方法について説明します。
前提条件
次の項目に関する知識があることが推奨されます。
- Cisco Catalystソフトウェア定義型ワイドエリアネットワーク(SD-WAN)
- ソフトウェア定義型アクセス(SDアクセス)ファブリック
- Cisco Identify Service Engine(ISE)
使用するコンポーネント
このドキュメントの情報は、次のハードウェアに基づくものです。
- Cisco IOS® XE Catalyst SD-WAN Edgesバージョン17.9.5a
- Cisco Catalyst SD-WAN Managerバージョン20.12.4
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
Cisco TrustSecの統合
Cisco TrustSec統合を使用したSGT伝搬は、Cisco IOS® XE Catalyst SD-WANリリース17.3.1aでサポートされています。この機能により、Cisco IOS® XE Catalyst SD-WANエッジデバイスは、ブランチ内のCisco TrustSec対応スイッチによって生成されたセキュリティグループタグ(SGT)インラインタグを、Cisco Catalyst SD-WANネットワーク内の他のエッジデバイスに伝播できます。Cisco TrustSec対応スイッチがブランチで分類と適用を実行するのに対し、Cisco IOS® XE Catalyst SD-WANデバイスデバイスは、エッジデバイス全体でインラインタグを伝送します。
Cisco TrustSecの基本概念:
- SGTバインディング:IPとSGTの関連付け。すべてのバインディングは最も一般的に設定され、Cisco ISEから直接学習される
- SGT伝播:これらのSGTをネットワークホップ間で伝播するために伝播方法が使用されます
- SGTACLポリシー:信頼できるネットワーク内のトラフィックソースの権限を指定するルールのセット。
- SGTの適用:SGTポリシーに基づいてポリシーが適用されます。
SGTの伝播方法
SGTの伝播方法は次のとおりです。
- SGT伝播インラインタギング
- SGT伝播セキュリティグループタグ交換プロトコル(SXP)
インラインタギングを使用したSGT伝播
インラインタギングでは、特別なイーサネットフレームを使用して、これらのSGTをネットワークホップ間で伝播します。インラインタギングの伝播では、SGTインラインタギングを処理できるCisco TrustSec対応スイッチ(Cisco TrustSecデバイス)をブランチに装備する必要があります。
例:
- ブランチ1とブランチ2にはCisco TrustSec対応スイッチが設置されており、これらのブランチはCisco IOS XE Catalyst SD-WANデバイスに接続されています。
- ブランチ内のCisco TrustSecスイッチは、バインディング、伝搬、および適用のパフォーマンスです。
- ブランチ1のCisco TrustSecスイッチは、エッジルータ1へのイーサネットCMDフレームでSGTインラインタギングを実行します。
- 次に、エッジルータ1はCMDフレームのカプセル化を解除し、SGTを抽出し、Cisco Catalyst SD-WAN IPSecまたはGREトンネル経由でそれを伝播します。
- Cisco Catalyst SD-WAN上のエッジルータ2は、Cisco Catalyst SD-WANからSGTを抽出し、イーサネットCMDフレームを生成し、受信したSGTをコピーします。
- Branch 2のCisco TrustSecスイッチはSGTを検査し、宛先SGTと照合して、トラフィックを許可(Allow)または拒否(Enformance)する必要があるかどうかを判断します。
Cisco Catalyst SD-WANパケットを通過するパケットの内部で伝送されるSGTフィールドに、8バイトのデータが追加されます。
SD-WAN IPSECトンネルでのSGTインラインタギング伝播の有効化
SD-WAN IPSECトンネルでのSGTインラインのタギング伝播のネットワーク図
ステップ 1:トランスポートトンネルインターフェイス(WAN)でのSGTインラインタギング伝播の有効化
- SD-WAN ipsecトンネル経由のSGTインラインタギング伝播を有効にするには、SD-WANトンネルでのみ伝播を有効にする必要があります。
- Cisco Catalyst SD-WAN ManagerのGUIにログインします。
- Configuration > Templates > Feature Template > Cisco VPN Interface Ethernet (VPN0) >Click on Tunnelの順に移動します。
トンネルセクション
- CTS SGT Propagationの特定>選択 オン
トンネルの設定
CLIコマンドに相当:
interface Tunnel0
ip unnumbered GigabitEthernet0/0/0
no ip redirects
ipv6 unnumbered GigabitEthernet0/0/0
no ipv6 redirects
cts manual
tunnel source GigabitEthernet0/0/0
tunnel mode sdwan
注:20.6 / 17.6.1リリース以降では、SGT Propagation(インラインタギング)はSD-WANトンネルではデフォルトで無効になっています。
注:CTS SGT Propagationが有効になっていると、瞬間的にインターフェイスのフラップが発生します。
注:CTS SGT Propagationが有効になっている場合、物理WANインターフェイスでその機能を使用すると、ネクストホップでSGTを含むCMDフレームのカプセル化を解除できない場合にパケットドロップなどの接続の問題が発生する可能性があります。
ステップ 2:サービスインターフェイス(LAN)でのSGTインラインタギング伝播の有効化
- Configuration > Templates > Device Templateの順に移動します。 サービスVPN
- 物理インターフェイスおよびサブインターフェイスのLANインターフェイス機能テンプレートの特定> Cisco VPNインターフェイスイーサネット(サービスVPN)
Cisco VPNインターフェイス機能テンプレート(LAN)
- Cisco VPN Interface Ethernet(Service VPN)機能テンプレートに移動し、TrustSecをクリックします。
TrustSecセクション
- Enable SGT Propagationを選択し、ONを選択します。
- Propagate > Select ONを識別します。
TrustSecの設定
CLIコマンドに相当:
interface GigabitEthernet0/0/3 <<< Physical Interface
vrf forwarding 4001
no ip address
no ip redirects
ip mtu 1500
load-interval 30
negotiation auto
cts manual
arp timeout 1200
interface GigabitEthernet0/0/3.3 <<< Sub-Interface
encapsulation dot1Q 3
vrf forwarding 4001
ip address 192.168.253.2 255.255.255.252
no ip redirects
ip mtu 1500
cts manual
policy static sgt 999 trusted
arp timeout 1200
注:Cisco IOS® XE Catalyst SD-WANデバイスでは、物理インターフェイスおよびすべてのサブインターフェイスでCisco TrustSecを有効にする必要があります。
注:このラボ演習はSGT伝播にのみ焦点を当てており、SGTバインディングとSGT適用はSDアクセスファブリックネットワークで実行されます。
確認
show cts interface
コマンドを実行して、インターフェイスのCisco TrustSec情報を表示します。
SD-WANトンネルインターフェイス。
#show cts interface Tunnel0
Global Dot1x feature is Disabled
Interface Tunnel0:
CTS is enabled, mode: MANUAL
IFC state: OPEN
Interface Active for 1d22h
Authentication Status: NOT APPLICABLE
Peer identity: "unknown"
Peer's advertised capabilities: ""
Authorization Status: NOT APPLICABLE
SAP Status: NOT APPLICABLE
Propagate SGT: Enabled
SD-WANサービスLANインターフェイス。
#show cts interface GigabitEthernet0/0/3.3
Global Dot1x feature is Disabled
Interface GigabitEthernet0/0/3.3:
CTS is enabled, mode: MANUAL
IFC state: OPEN
Interface Active for 6d14h
Authentication Status: NOT APPLICABLE
Peer identity: "unknown"
Peer's advertised capabilities: ""
Authorization Status: SUCCEEDED
Peer SGT: 999
Peer SGT assignment: Trusted
SAP Status: NOT APPLICABLE
Propagate SGT: Enabled
FIA Trace in Service LANサブインターフェイスの設定
パケットのSGTを識別するために、FIAトレースを介して検証できます。
SGTインラインタギング伝播が有効になっているLANインターフェイス(GigabitEthernet0/0/3)でFIAトレース条件を設定します。
clear platform condition all
debug platform packet-trace packet 2048 fia-trace data-size 2048
debug platform condition interface GigabitEthernet0/0/3.3 both
debug platform condition start
コマンドを実行して、FIAトレースを開始します。
debug platform condition stop
コマンドを実行して、FIAトレースを停止します。
FIAトレースパケットを表示するには、コマンドshow platform packet-trace summary
を実行します。
#show platform packet-trace summ
Pkt Input Output State Reason
0 Gi0/0/3.3 internal0/0/rp:0 PUNT 3 (Layer2 control and legacy)
1 Gi0/0/3.3 internal0/0/rp:0 PUNT 55 (For-us control)
2 Gi0/0/3.3 Gi0/0/0 FWD
3 Gi0/0/3.3 Gi0/0/0 FWD
4 Gi0/0/3.3 Gi0/0/0 FWD
5 Gi0/0/3.3 Gi0/0/0 FWD
6 Gi0/0/3.3 Gi0/0/0 FWD
7 Gi0/0/3.3 Gi0/0/0 FWD
show platform packet-trace packet
decode
コマンドを実行して、パケットをデコードします。
パケットで、機能:SDWAN転送を特定します。
#show platform packet-trace packet 2 decode
Packet: 2 CBUG ID: 254
Summary
Input : GigabitEthernet0/0/3.3
Output : GigabitEthernet0/0/0
State : FWD
!... Output is suppressed
Feature: SDWAN Forwarding
SDWAN adj OCE:
Output : GigabitEthernet0/0/0
Hash Value : 0x2c
Encap : ipsec
SLA : 0
SDWAN VPN : 4001
SDWAN Proto : MDATA
Out Label : 1003
Local Color : bronze
Remote Color : gold
FTM Tun ID : 2
!... Output is suppressed
MDATA ver : 0x2
MDATA next proto : IPV4(0x1)
MDATA num : 1
MDATA type : SGT_TYPE(0x1)
MDATA SGT : 5 <<<< Packet incoming with SGT 5 and forwarded by Edge router
関連情報