SD-WANでのTrustSec SGTインラインタギング伝播の設定

ダウンロード オプション

  • PDF     (808.7 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
Updated: 2025 年 1 月 16 日
Document ID:222694

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに


    このドキュメントでは、ソフトウェア定義ワイドエリアネットワーク(SD-WAN)でのセキュリティグループタグ(SGT)インラインタギングの伝播方法について説明します。

    前提条件

    次の項目に関する知識があることが推奨されます。

    • Cisco Catalystソフトウェア定義型ワイドエリアネットワーク(SD-WAN)
    • ソフトウェア定義型アクセス(SDアクセス)ファブリック
    • Cisco Identify Service Engine(ISE)

    使用するコンポーネント

    このドキュメントの情報は、次のハードウェアに基づくものです。

    • Cisco IOS® XE Catalyst SD-WAN Edgesバージョン17.9.5a
    • Cisco Catalyst SD-WAN Managerバージョン20.12.4

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    背景説明

    Cisco TrustSecの統合

    Cisco TrustSec統合を使用したSGT伝搬は、Cisco IOS® XE Catalyst SD-WANリリース17.3.1aでサポートされています。この機能により、Cisco IOS® XE Catalyst SD-WANエッジデバイスは、ブランチ内のCisco TrustSec対応スイッチによって生成されたセキュリティグループタグ(SGT)インラインタグを、Cisco Catalyst SD-WANネットワーク内の他のエッジデバイスに伝播できます。Cisco TrustSec対応スイッチがブランチで分類と適用を実行するのに対し、Cisco IOS® XE Catalyst SD-WANデバイスデバイスは、エッジデバイス全体でインラインタグを伝送します。 

    Cisco TrustSecの基本概念:

    • SGTバインディング:IPとSGTの関連付け。すべてのバインディングは最も一般的に設定され、Cisco ISEから直接学習される
    • SGT伝播:これらのSGTをネットワークホップ間で伝播するために伝播方法が使用されます
    • SGTACLポリシー:信頼できるネットワーク内のトラフィックソースの権限を指定するルールのセット。
    • SGTの適用:SGTポリシーに基づいてポリシーが適用されます。

    SGTの伝播方法

    SGTの伝播方法は次のとおりです。

    • SGT伝播インラインタギング
    • SGT伝播セキュリティグループタグ交換プロトコル(SXP)

    インラインタギングを使用したSGT伝播

    インラインタギングでは、特別なイーサネットフレームを使用して、これらのSGTをネットワークホップ間で伝播します。インラインタギングの伝播では、SGTインラインタギングを処理できるCisco TrustSec対応スイッチ(Cisco TrustSecデバイス)をブランチに装備する必要があります。

    例:

    • ブランチ1とブランチ2にはCisco TrustSec対応スイッチが設置されており、これらのブランチはCisco IOS XE Catalyst SD-WANデバイスに接続されています。
    • ブランチ内のCisco TrustSecスイッチは、バインディング、伝搬、および適用のパフォーマンスです。
    • ブランチ1のCisco TrustSecスイッチは、エッジルータ1へのイーサネットCMDフレームでSGTインラインタギングを実行します。
    • 次に、エッジルータ1はCMDフレームのカプセル化を解除し、SGTを抽出し、Cisco Catalyst SD-WAN IPSecまたはGREトンネル経由でそれを伝播します。
    • Cisco Catalyst SD-WAN上のエッジルータ2は、Cisco Catalyst SD-WANからSGTを抽出し、イーサネットCMDフレームを生成し、受信したSGTをコピーします。
    • Branch 2のCisco TrustSecスイッチはSGTを検査し、宛先SGTと照合して、トラフィックを許可(Allow)または拒否(Enformance)する必要があるかどうかを判断します。 

    SGT field carried inside the packet going across the Cisco Catalyst SD-WAN packet and eight bytes of data is added to itCisco Catalyst SD-WANパケットを通過するパケットの内部で伝送されるSGTフィールドに、8バイトのデータが追加されます。

    SD-WAN IPSECトンネルでのSGTインラインタギング伝播の有効化

    Network Diagram for SGT Inline Tagging Propagation in SD-WAN IPSEC tunnelsSD-WAN IPSECトンネルでのSGTインラインのタギング伝播のネットワーク図

    ステップ 1:トランスポートトンネルインターフェイス(WAN)でのSGTインラインタギング伝播の有効化

    • SD-WAN ipsecトンネル経由のSGTインラインタギング伝播を有効にするには、SD-WANトンネルでのみ伝播を有効にする必要があります。
    • Cisco Catalyst SD-WAN ManagerのGUIにログインします。
    • Configuration > Templates > Feature Template > Cisco VPN Interface Ethernet (VPN0) >Click on Tunnelの順に移動します。

    Tunnel sectionトンネルセクション

    • CTS SGT Propagationの特定>選択 オン

    Tunnel configurationトンネルの設定

    CLIコマンドに相当:

    interface Tunnel0
    ip unnumbered GigabitEthernet0/0/0
    no ip redirects
    ipv6 unnumbered GigabitEthernet0/0/0
    no ipv6 redirects
    cts manual
    tunnel source GigabitEthernet0/0/0
    tunnel mode sdwan

    :20.6 / 17.6.1リリース以降では、SGT Propagation(インラインタギング)はSD-WANトンネルではデフォルトで無効になっています。

    注:CTS SGT Propagationが有効になっていると、瞬間的にインターフェイスのフラップが発生します。

    :CTS SGT Propagationが有効になっている場合、物理WANインターフェイスでその機能を使用すると、ネクストホップでSGTを含むCMDフレームのカプセル化を解除できない場合にパケットドロップなどの接続の問題が発生する可能性があります。

    ステップ 2:サービスインターフェイス(LAN)でのSGTインラインタギング伝播の有効化

    • Configuration > Templates > Device Templateの順に移動します。 サービスVPN
    • 物理インターフェイスおよびサブインターフェイスのLANインターフェイス機能テンプレートの特定> Cisco VPNインターフェイスイーサネット(サービスVPN)

    Cisco VPN Interface Feature Template (LAN)Cisco VPNインターフェイス機能テンプレート(LAN)

    • Cisco VPN Interface Ethernet(Service VPN)機能テンプレートに移動し、TrustSecをクリックします。

    TrustSec sectionTrustSecセクション

    • Enable SGT Propagationを選択し、ONを選択します。
    • Propagate > Select ONを識別します。

    TrustSec configurationTrustSecの設定

    CLIコマンドに相当:

    interface GigabitEthernet0/0/3 <<< Physical Interface
    vrf forwarding 4001
    no ip address
    no ip redirects
    ip mtu 1500
    load-interval 30
    negotiation auto
    cts manual
    arp timeout 1200

    interface GigabitEthernet0/0/3.3 <<< Sub-Interface
    encapsulation dot1Q 3
    vrf forwarding 4001
    ip address 192.168.253.2 255.255.255.252
    no ip redirects
    ip mtu 1500
    cts manual
    policy static sgt 999 trusted
    arp timeout 1200

    注:Cisco IOS® XE Catalyst SD-WANデバイスでは、物理インターフェイスおよびすべてのサブインターフェイスでCisco TrustSecを有効にする必要があります。

    :このラボ演習はSGT伝播にのみ焦点を当てており、SGTバインディングとSGT適用はSDアクセスファブリックネットワークで実行されます。

    確認

    show cts interface コマンドを実行して、インターフェイスCisco TrustSec情報を表示します。

    SD-WANトンネルインターフェイス。

    #show cts interface Tunnel0 
    Global Dot1x feature is Disabled
    Interface Tunnel0:
        CTS is enabled, mode:    MANUAL
        IFC state:               OPEN
        Interface Active for      1d22h
        Authentication Status:   NOT APPLICABLE
            Peer identity:       "unknown"
            Peer's advertised capabilities: ""
        Authorization Status:    NOT APPLICABLE
        SAP Status:              NOT APPLICABLE
        Propagate SGT:           Enabled

    SD-WANサービスLANインターフェイス。

    #show cts interface GigabitEthernet0/0/3.3
    Global Dot1x feature is Disabled
    Interface GigabitEthernet0/0/3.3:
        CTS is enabled, mode:    MANUAL
        IFC state:               OPEN
        Interface Active for      6d14h
        Authentication Status:   NOT APPLICABLE
          Peer identity:       "unknown"
          Peer's advertised capabilities: ""
    Authorization Status:    SUCCEEDED
    Peer SGT:            999
    Peer SGT assignment: Trusted
    SAP Status:              NOT APPLICABLE
    Propagate SGT:           Enabled

    FIA Trace in Service LANサブインターフェイスの設定

    パケットのSGTを識別するために、FIAトレースを介して検証できます。

    SGTインラインタギング伝播が有効になっているLANインターフェイス(GigabitEthernet0/0/3)でFIAトレース条件を設定します。

    clear platform condition all
    debug platform packet-trace packet 2048 fia-trace data-size 2048 
    debug platform condition interface GigabitEthernet0/0/3.3 both

    debug platform condition startコマンドを実行して、FIAトレースを開始します。

    debug platform condition stopコマンドを実行して、FIAトレースを停止します。

    FIAトレースパケットを表示するには、コマンドshow platform packet-trace summaryを実行します。

    #show platform packet-trace summ
    Pkt   Input       Output                  State Reason
    0     Gi0/0/3.3   internal0/0/rp:0        PUNT  3 (Layer2 control and legacy) 
    1     Gi0/0/3.3   internal0/0/rp:0        PUNT  55 (For-us control)
    2     Gi0/0/3.3   Gi0/0/0                 FWD
    3     Gi0/0/3.3   Gi0/0/0                 FWD
    4     Gi0/0/3.3   Gi0/0/0                 FWD
    5     Gi0/0/3.3   Gi0/0/0                 FWD
    6     Gi0/0/3.3   Gi0/0/0                 FWD
    7     Gi0/0/3.3   Gi0/0/0                 FWD

    show platform packet-trace packet decode コマンドを実行して、パケットをデコードします。

    パケットで、機能:SDWAN転送を特定します。

    #show platform  packet-trace packet 2 decode
    Packet: 2           CBUG ID: 254
    Summary
      Input     : GigabitEthernet0/0/3.3
      Output    : GigabitEthernet0/0/0
      State     : FWD

    !... Output is suppressed

    Feature: SDWAN Forwarding
        SDWAN adj OCE:
        Output       : GigabitEthernet0/0/0
        Hash Value   : 0x2c
        Encap        : ipsec
        SLA          : 0
        SDWAN VPN    : 4001
        SDWAN Proto  : MDATA
        Out Label    : 1003
        Local Color  : bronze
        Remote Color : gold
        FTM Tun ID   : 2

    !... Output is suppressed

        MDATA ver    :  0x2
        MDATA next proto  : IPV4(0x1)
        MDATA  num    : 1
        MDATA type     : SGT_TYPE(0x1)
        MDATA SGT    : 5             <<<< Packet incoming with SGT 5 and forwarded by Edge router

    関連情報

    更新履歴

    改定 発行日 コメント
    2.0
    16-Jan-2025
    初版リリース
    1.0
    15-Jan-2025
    初版
    TAC Authored

    シスコ エンジニア提供

    • ダニエル・マルドナド・ヴィラシス
      テクニカルコンサルティングエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています