Trustsecインラインタギングのトラブルシューティング

Updated: 2023 年 1 月 31 日
Document ID:220183

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    概要

    このドキュメントでは、Cisco Catalystスイッチ9300でCiscoインラインタギング機能を設定および確認する方法について説明します。 

    要件

    次の項目に関する知識があることが推奨されます。

    • Cisco TrustSec(CTS)コンポーネントの基礎知識

    • Catalyst スイッチの CLI 設定に関する基本的な知識

    • Identity Services Engine(ISE)設定の経験

    ネットワークにCisco ISEを導入し、エンドユーザが有線で接続する際には、802.1x(またはその他の方法)を使用してCisco ISEに認証する必要があります。Cisco ISEは、有線ネットワークに対して認証を行うと、セキュリティグループタグ(SGT)を割り当てます。

    使用するコンポーネント

    このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

    • 3.0 P5が稼働するCisco Identity Services Engine(ISE)
    • 17.03.02aが稼働するCisco Catalyst 9300スイッチ
    • 17.07.01が稼働するCisco Catalyst 9300スイッチ

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    背景説明

    インラインタギングは、情報の最初の接点であるため、アクセス層で実装されます。つまり、すべてのエンドデバイスがアクセス層に接続されます。アクセスレイヤデバイスが分類を行ったら、この情報を適用を行うデバイスと共有する必要があります。これを行うには、NASはイーサネットフレームに20バイトを追加できます。これは、フレームのCMD(シスコメタデータ)フィールドです。この中にSGTが含まれています。

    設定

    ネットワーク図

    Topology Diagramトポロジ ダイアグラム

    • PC1が認証し、ISEがSGT3を動的に割り当てます。
    • C9300Aインラインタギング(C9300B)
    • PC2が認証し、ISEがSGT 17を動的に割り当てる
    • C9300Bは、SGT3からSGT17へのICMPトラフィックを適用します。

    インラインタギング

    C9300A

    interface TwoGigabitEthernet1/0/4
 switchport trunk allowed vlan 761
 switchport mode trunk
 cts manual
  policy static sgt 2 trusted
end

    C9300B

    interface GigabitEthernet1/0/4
 switchport trunk allowed vlan 761
 switchport mode trunk
 cts manual 
  policy static sgt 2 trusted
end

    インラインタギングを有効にするには、コマンドcts manualを使用してから、policy staticを使用する必要があります。コマンドで使用されるsgtは、ネットワークデバイスのsgtか、その他の任意のプレースホルダです。trustedコマンドの機能は、スイッチがCMDヘッダーを含むトラフィックを受信した場合に、SGTを優先するようにスイッチに指示することです。trustedコマンドを使用しない場合、スイッチはそのインターフェイスから送信されるすべてのトラフィックに、定義されたSGTを使用してタグ付けします。

    チェック

    アクセスセッションダウンロードSGT

    PC1

    Switch#show authentication session interface Tw1/0/3 details
            Interface:  TwoGigabitEthernet1/0/3
               IIF-ID:  0x1FB0D90E
          MAC Address:  507b.9df0.34bb
         IPv6 Address:  Unknown
         IPv4 Address:  10.4.16.142
            User-Name:  50-7B-9D-F0-34-BB
               Status:  Authorized
               Domain:  DATA
       Oper host mode:  multi-auth
     Oper control dir:  both
      Session timeout:  N/A
    Common Session ID:  3D781F0A0000000F2AE95F4A
      Acct Session ID:  0x00000005
               Handle:  0x02000004
       Current Policy:  POLICY_Tw1/0/3


Local Policies:
        Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
      Security Policy:  Should Secure

Server Policies:
            SGT Value:  3


Method status list:
       Method           State
          mab           Authc Success

    PC2

    Switch#show authentication session interface Gi1/0/1 details  
            Interface:  GigabitEthernet1/0/1
               IIF-ID:  0x1D1CA5C7
          MAC Address:  507b.9df8.02ed
         IPv6 Address:  fe80::114c:dce1:ffa1:1642
         IPv4 Address:  10.4.16.141
            User-Name:  50-7B-9D-F8-02-ED
               Status:  Authorized
               Domain:  DATA
       Oper host mode:  multi-auth
     Oper control dir:  both
      Session timeout:  N/A
    Common Session ID:  21781F0A000000242AF41195
      Acct Session ID:  0x00000004
               Handle:  0x4300000f
       Current Policy:  POLICY_Gi1/0/1


Local Policies:
        Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
      Security Policy:  Should Secure

Server Policies:
            SGT Value:  17


Method status list:
       Method           State
          mab           Authc Success

    スイッチがIP-SGTバインディングを学習

    C9300A

    Switch#show cts role-based sgt-map all
Active IPv4-SGT Bindings Information

IP Address              SGT     Source
============================================
10.4.16.142             3       LOCAL

    C9300B

    Switch#show cts role-based sgt-map all
Active IPv4-SGT Bindings Information

IP Address              SGT     Source
============================================
10.4.16.141             17      LOCAL
10.31.120.33            2       INTERNAL

    C9300AとC9300B間の認証ステータス

    C9300A

    Switch#show cts interface Two 1/0/4 
Global Dot1x feature is Disabled
Interface TwoGigabitEthernet1/0/4:
    CTS is enabled, mode:    MANUAL
    IFC state:               OPEN
    Interface Active for 01:36:44.332
    Authentication Status:   NOT APPLICABLE
        Peer identity:       "unknown"
        Peer's advertised capabilities: ""
    Authorization Status:    SUCCEEDED
        Peer SGT:            2:TrustSec_Devices
        Peer SGT assignment: Trusted
    SAP Status:              NOT APPLICABLE
    Propagate SGT:           Enabled
    Cache Info:
        Expiration            : N/A
        Cache applied to link : NONE

    Statistics:
        authc success:              0
        authc reject:               0
        authc failure:              0
        authc no response:          0
        authc logoff:               0
        sap success:                0
        sap fail:                   0
        authz success:              0
        authz fail:                 0
        port auth fail:             0

    L3 IPM:   disabled.

    C9300B

    Switch#show cts interfac Gig 1/0/4         
Global Dot1x feature is Disabled
Interface GigabitEthernet1/0/4:
    CTS is enabled, mode:    MANUAL
    IFC state:               OPEN
    Interface Active for 01:34:18.433
    Authentication Status:   NOT APPLICABLE
        Peer identity:       "unknown"
        Peer's advertised capabilities: ""
    Authorization Status:    SUCCEEDED
        Peer SGT:            2:TrustSec_Devices
        Peer SGT assignment: Trusted
    SAP Status:              NOT APPLICABLE
    Propagate SGT:           Enabled
    Cache Info:
        Expiration            : N/A
        Cache applied to link : NONE

    Statistics:
        authc success:              0
        authc reject:               0
        authc failure:              0
        authc no response:          0
        authc logoff:               0
        sap success:                0
        sap fail:                   0
        authz success:              0
        authz fail:                 0
        port auth fail:             0

    L3 IPM:   disabled.

    トラブルシュート

    問題をトラブルシューティングするには、次の点を考慮します。

    • フレームは常にSGT対応デバイスの入力ポートでタグ付けされます。
    • QoSなど、他のL2サービスよりも前のタギングプロセス。
    • IP MTU/フラグメンテーションには影響しません。
    • L2フレームMTUの影響:最大40バイト(1552バイトMTUでは最大1600バイト)
    • MACsecは、対応するハードウェアではオプションです。

    パケットキャプチャ/EPC

    Inline Tagging Flowインラインタギングフロー

    インラインタギングのトラブルシューティングを行う場合は、入力でパケットキャプチャを取得する必要があります。

    tip-icon

    ヒント:SWのアップリンクでpcapを取得すると、タグが表示されません。これはインターフェイスレベルで含まれているため、タグが適用される前にEPCを取得できます。

    caution-icon

    注意:C4500のような例外がいくつかあります。C4500のアーキテクチャにより、入力インターフェイスでpcapを取得しても、CMDヘッダーを検出できません。この特定のケースでは、Netflow、Netflow Trustsec設定を使用できます

    C9300Bの入力ポートでEmbedded Packet Capture(EPC)を実行

    Switch#monitor capture test interface Gig 1/0/4 both 
Switch#monitor capture test match any 
Switch#monitor capture test start

<
     
     
       > Switch# 
      monitor capture test stop

    EPCを取得したら、show monitor capture buffer briefコマンドを使用して、ICMP要求のフレーム番号を確認できます。

    Switch#show monitor capture test buffer 
..
..
 
   44  17.059569  10.4.16.142 b^F^R 10.4.16.141  ICMP 86 Echo (ping) request  id=0x0001, seq=147/37632, ttl=128
   45  17.061079  10.4.16.141 b^F^R 10.4.16.142  ICMP 74 Echo (ping) reply    id=0x0001, seq=147/37632, ttl=128 (request in 44)
..
..

    前の出力から、ICMPパケットがフレーム44にあることが確認されました。これで、show monitor capture <name> buffer detailed | begin Frame <number>を使用して内容を表示します。

    ..
..
Frame 44: 86 bytes on wire (688 bits), 86 bytes captured (688 bits) on interface 0
    Interface id: 0 (/tmp/epc_ws/wif_to_ts_pipe)
        Interface name: /tmp/epc_ws/wif_to_ts_pipe
    Encapsulation type: Ethernet (1)
    Arrival Time: Jun  3, 2022 19:12:00.140014000 UTC
    [Time shift for this packet: 0.000000000 seconds]
    Epoch Time: 1654283520.140014000 seconds
    [Time delta from previous captured frame: 0.362660000 seconds]
    [Time delta from previous displayed frame: 0.362660000 seconds]
    [Time since reference or first frame: 17.059569000 seconds]
    Frame Number: 44
    Frame Length: 86 bytes (688 bits)
    Capture Length: 86 bytes (688 bits)
    [Frame is marked: False]
    [Frame is ignored: False]
    [Protocols in frame: eth:ethertype:vlan:ethertype:cmd:ethertype:ip:icmp:data]
Ethernet II, Src: 50:7b:9d:f0:34:bb (50:7b:9d:f0:34:bb), Dst: 50:7b:9d:f8:02:ed (50:7b:9d:f8:02:ed)
    Destination: 50:7b:9d:f8:02:ed (50:7b:9d:f8:02:ed)
        Address: 50:7b:9d:f8:02:ed (50:7b:9d:f8:02:ed)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
    Source: 50:7b:9d:f0:34:bb (50:7b:9d:f0:34:bb)
        Address: 50:7b:9d:f0:34:bb (50:7b:9d:f0:34:bb)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
    Type: 802.1Q Virtual LAN (0x8100)
802.1Q Virtual LAN, PRI: 0, DEI: 0, ID: 761
    000. .... .... .... = Priority: Best Effort (default) (0)
    ...0 .... .... .... = DEI: Ineligible
    .... 0010 1111 1001 = ID: 761
    Type: CiscoMetaData (0x8909)
Cisco MetaData <<<<<<<<<<<<<<<<<<<<<<< CMD header 
    Version: 1
    Length: 1
    Options: 0x0001
 SGT: 3 <<<<<<<<<<<<<<<<<<<<<<<<<< SGT of PC1
    Type: IPv4 (0x0800)
Internet Protocol Version 4, Src: 10.4.16.142, Dst: 10.4.16.141
    0100 .... = Version: 4
    .... 0101 = Header Length: 20 bytes (5)
    Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)
        0000 00.. = Differentiated Services Codepoint: Default (0)
        .... ..00 = Explicit Congestion Notification: Not ECN-Capable Transport (0)
    Total Length: 60
    Identification: 0x7d1f (32031)
    Flags: 0x0000
        0... .... .... .... = Reserved bit: Not set
        .0.. .... .... .... = Don't fragment: Not set
        ..0. .... .... .... = More fragments: Not set
        ...0 0000 0000 0000 = Fragment offset: 0
    Time to live: 128
    Protocol: ICMP (1)
    Header checksum: 0x887f [validation disabled]
    [Header checksum status: Unverified]
    Source: 10.4.16.142
    Destination: 10.4.16.141
Internet Control Message Protocol
    Type: 8 (Echo (ping) request)
    Code: 0
    Checksum: 0x4cc8 [correct]
    [Checksum Status: Good]
    Identifier (BE): 1 (0x0001)
    Identifier (LE): 256 (0x0100)
    Sequence number (BE): 147 (0x0093)
    Sequence number (LE): 37632 (0x9300)
    Data (32 bytes)

0000  61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70   abcdefghijklmnop
0010  71 72 73 74 75 76 77 61 62 63 64 65 66 67 68 69   qrstuvwabcdefghi
        Data: 6162636465666768696a6b6c6d6e6f707172737475767761...
        [Length: 32]
..
..

    SGACLチェック

    スイッチは、さまざまな方法(ローカル、SXP、インラインタギングなど)から学習したIP-SGTバインディングと一致するSGACLのみをダウンロードします。C9300Bは、宛先セキュリティグループをISEから動的に学習します。送信元のセキュリティグループはどのように学習されますか。インラインタギングを使用します。コマンドshow cts role-based sgt-map allはインラインタギングから学習したSGTを表示しないため、SGACLがダウンロードされている場合、スイッチは送信元(インラインタギング)と宛先(ローカル)の両方のセキュリティグループを認識していると結論付けることができます。

    Switch#show cts role-based permissions 
IPv4 Role-based permissions default:
        Permit_IP_Log-00
IPv4 Role-based permissions from group 3:DataCenter to group  17:MedicalDevices:  
        denyJonsICMP-06     <<<< 
        DENY_PRINTER_80_04-01
        permitJons-01
IPv4 Role-based permissions from group 16:IUH_Office to group 17:MedicalDevices:
        denyJonsICMP-06
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE

    PC1からPC2にpingを実行すると、ICMPがブロックされます。

    cisco>ping -S 10.4.16.142 10.4.16.141

Pinging 10.4.16.141 from 10.4.16.142 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 10.4.16.141:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

    関連情報

    更新履歴

    改定 発行日 コメント
    1.0
    01-Feb-2023
    初版
    TAC Authored

    シスコ エンジニア提供

    • Jonathan Daniel Casillas Gutierrez
      シスコエンジニアリングテクニカルリーダー

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています