この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
TrustSec シード デバイスで使用する AAA サーバのリストを指定するには、TrustSec シード デバイスで、グローバル コンフィギュレーション モードで cts authorization コマンドを使用します。認証中にリストの使用を停止するには、このコマンドの no 形式を使用します。
cts authorization list server_list
no cts authorization list server_list
|
|
---|---|
このコマンドは、シード デバイスだけです。非シード デバイスは、TrustSec 環境データのコンポーネントとして TrustSec オーセンティケータのピアからの TrustSec AAA サーバ リストを取得します。
次の例は、TrustSec シード デバイスの AAA コンフィギュレーションを表示します。
|
|
---|---|
DRAM および NVRAM への TrustSec 認可および環境データ情報のキャッシングをイネーブルにするには、 cts cache グローバル コンフィギュレーション コマンドを使用します。キャッシングをディセーブルにするには、このコマンドの no 形式を使用します。
[ no ] cts cache {
enable |
nv-storage { bootflash: [ dir ] | disk0: [ dir ] | disk1: [ dir ] | sup-bootflash: [ image ]}
DRAM キャッシュ更新が不揮発性ストレージに書き込まれるようにし、ネットワーク デバイスの起動時に nv ストレージから DRAM キャッシュが初期入力されるようにします。 |
|
|
|
---|---|
cts cache コマンドは認証、許可、および環境データ情報の DRAM へのキャッシュをイネーブルにします。キャッシングは、認証および認可によって取得された情報のメンテナンスおよび再使用のためです。キーストアはデバイス自身のクレデンシャル(パスワード、証明書、PAC)のセキュアなストレージを、ソフトウェアまたは専用のハードウェア コンポーネントで提供します。専用のハードウェア キーストアがない場合、ソフトウェア エミュレーション キーストアは DRAM および NVRAM を使用して作成されます。
Cisco TrustSec では、各デバイスが信頼できる AAA サーバ(Cisco Secure ACS 5.1 以降)を使用して各自のネイバーを認証および認可してから、TrustSec ネットワークへのアクセスが承認されるように要求することで、ネットワーク デバイスのセキュア クラウドを作成します。認証および認可が完了すると、情報はしばらくの間有効です。キャッシングがイネーブルになっている場合、その情報は再利用できるため、ネットワーク デバイスは ACS に接続しなくてもリンクを起動できるため、リブート時に CTS クラウドが素早く形成でき、ネットワークのアベイラビリティが向上して、ACS の負荷が低減します。キャッシングは揮発性メモリ(情報はリブート時に消える)または不揮発性メモリ(情報はリブート後も存続)に保存できます。
|
|
---|---|
ローカル デバイスと認証サーバの間でパスワードを変更するには、 cts change-password 特権 EXEC コマンドを使用します。
cts change-password server ipv4_address udp_port { a-id hex_string | key radius_key } [ source interface _ list ]
|
|
---|---|
cts change-password コマンドにより、管理者は認証サーバを再設定しなくても、ローカル デバイスと Cisco Secure ACS 認証サーバ間で使用されるパスワードを変更することができます。
(注) cts change-password は、Cisco Secure ACS の 5.1 以降のバージョンでサポートされています。
デュアル スーパーバイザ シャーシの Catalyst 6500 では、2 つめのスーパーバイザのラインカードを挿入するときに、ハードウェア ベースのキーストアを手動で同期する必要があります。パスワード変更プロセスにより、アクティブおよびスタンバイ スーパーバイザに、同じデバイス パスワードが設定される場合があります。
ネットワーク デバイスの TrustSec ID およびパスワードを指定するには、特権 EXEC モードで cts credentials コマンドを使用します。クレデンシャルを削除するには、 clear cts credentials コマンドを使用します。
cts credentials id cts_id password cts_pwd
EAP-FAST を使用して他の Cisco TrustSec デバイスで認証するときにこのデバイスが使用する Cisco TrustSec デバイス ID を指定します。 cts-id 変数は、最大 32 文字で大文字と小文字を区別します。 |
|
EAP-FAST を使用して他の Cisco TrustSec デバイスで認証するときにこのデバイスが使用するパスワードを指定します。 |
|
|
---|---|
TrustSec ネットワーク デバイス アドミッション コントロール(NDAC)認証で使用する場合、 cts credentials コマンドは、EAP-FAST を使用して別の Cisco TrustSec デバイスと認証を行う際に、このスイッチが使用する Cisco TrustSec デバイス ID およびパスワードを指定します。CTS のクレデンシャル情報は startup-config ではなくキーストアに保存されているため、CTS のクレデンシャルの状態取得は不揮発性生成(NVGEN)プロセスでは実行されません。デバイスは、Cisco Secure Access Control Server(ACS)から CTS アイデンティティを割り当てられるか、ACS から要求されたときに新しいパスワードを自動生成するようにできます。これらのクレデンシャルは、キーストアで保存され、running-config を保存する必要性がなくなります。CTS デバイス ID を表示するには、 show cts credentials コマンドを使用します。保存されたパスワードは表示されません。
デバイス ID またはパスワードを変更するには、コマンドを再入力します。キーストアをクリアするには、 clear cts credentials コマンドを使用します。
(注) CTS デバイス ID が変更された場合、Protected Access Credential(PAC)は古いデバイス ID に関連付けられており、新しいアイデンティティに対しては有効でないため、すべての PAC はキーストアから消去されます。
次に、CTS デバイス ID を himalaya、パスワードを cisco に設定する例を示します。
次に、CTS バイス ID を atlas、パスワードを cisco123 に変更する例を示します。
次に、CTS デバイス ID およびパスワード ステートを表示する例を示します。
|
|
---|---|
CTS dot1x インターフェイス コンフィギュレーション モード(config-if-cts-dot1x)を開始してインターフェイスの TrustSec 再認証タイマーを設定するには、 cts dot1x コマンドを使用します。インターフェイス タイマーをディセーブルにするには、このコマンドの no 形式を使用します。
インターフェイス コンフィギュレーション(config-if)
|
|
---|---|
TrustSec dot1x 再認証タイマーを設定する前に、インターフェイス コンフィギュレーション モードからインターフェイスからの dot1x をグローバルに設定します。CTS dot1x の設定は、TrustSec EAC プロセスではなく TrustSec NDAC を制御します。
次の例では、Catalyst 6500 シリーズ スイッチは最初に dot1x インターフェイス コンフィギュレーション モードをイネーブルにせずに CTS コンフィギュレーション モードを開始します。
|
|
---|---|
CTS dot1x 認証タイマーをデフォルト値にリセットするには、CTS インターフェイス コンフィギュレーション モードで default timer reauthentication コマンドを使用します。
default timer reauthentication
CTS インターフェイス コンフィギュレーション(config-if-cts-dot1x)
|
|
---|---|
CTS 再認証タイマーのデフォルト値はグローバルな dot1x 再認証のデフォルト(3600 秒)です。このタイマーが満了すると、デバイスは、CTS のネットワークに再認証します(NDAC)。
次に、 グローバル デフォルト値に CTS 再認証タイマーをリセットする例を示します。
|
|
---|---|
CTS dot1x インターフェイス コンフィギュレーション モードを開始します(config-if-cts-dot1x)。 |
|
再認証タイマーを設定するには、CTS インターフェイス コンフィギュレーション モードで timer reauthentication コマンドを使用します。タイマーをディセーブルにするには、このコマンドの no 形式を使用します。
[ no ] timer reauthentication seconds
CTS インターフェイス コンフィギュレーション(config-if-cts-dot1x)
|
|
---|---|
このコマンドは、TrustSec 再認証タイマーを設定します。このタイマーが満了すると、デバイスは、CTS のネットワークに再認証します(NDAC)。
|
|
---|---|
CTS dot1x インターフェイス コンフィギュレーション モードを開始します(config-if-cts-dot1x)。 |
|
CTS レイヤ 3 トランスポート ゲートウェイ インターフェイスをイネーブルに設定し、例外ポリシーとトラフィック ポリシーを適用するには、 cts layer 3 インターフェイス コンフィギュレーション コマンドを使用します。
cts layer3 { ipv4 | ipv6 } { policy | trustsec forwarding }
インターフェイス コンフィギュレーション(config-if)
|
|
---|---|
いずれのトラフィック コマンドおよび例外コマンドを CTS レイヤ 3 ゲートウェイに適用するかを指定するには、 cts policy layer3 グローバル コンフィギュレーション コマンドを使用します。CTS レイヤ 3 ゲートウェイ インターフェイスをイネーブルにして、トラフィック ポリシーおよび例外ポリシーを適用するには、 cts layer3 インターフェイス コンフィギュレーション コマンドを使用します。トラフィック ポリシーおよび例外ポリシーの詳細については、 cts policy layer3を参照してください。
次に、CTS レイヤ 3 トランスポート ゲートウェイ インターフェイスをイネーブルにする例を示します。
|
|
---|---|
CTS レイヤ 3 トランスポート コンフィギュレーションで使用されるトラフィック ポリシーおよび例外ポリシーの名前を表示します。 |
TrustSec 手動インターフェイス コンフィギュレーション サブモードを開始するには、 cts manual インターフェイス コンフィギュレーション コマンドを使用します。
インターフェイス コンフィギュレーション(config-if)
|
|
---|---|
リンクにポリシーおよびセキュリティ アソシエーション プロトコル(SAP)を設定する TrustSec 手動インターフェイス コンフィギュレーション サブモードを開始するには、 cts manual インターフェイス コンフィギュレーション コマンドを使用します。 sap または policy サブ コマンドが設定されていない場合、TrustSec にインターフェイスが設定されていないように見えます。
CTS 手動モードが設定された場合、802.1X 認証はリンクで実行されません。ポリシーを定義し、リンクに適用するには、 policy サブコマンドを使用します。デフォルトは no policy です。MACsec リンク間暗号化を設定するには、SAP ネゴシエーション パラメータを定義する必要があります。デフォルトは no SAP です。同じ SAP PMK をリンクの両端で設定する必要があります(つまり、共有秘密)。
|
|
---|---|
Cisco Secure ACS が使用できない場合、システムで CTS レイヤ 3 トランスポート用にトラフィック ポリシーと例外ポリシーを指定するには、cts policy layer3 グローバル コンフィギュレーション コマンドを使用します。
[ no ] cts policy layer3 ipv4 {[ exception access_list ] | [ traffic access_list ]}
[ no ] cts policy layer3 ipv6 {[ exception access_list ] | [ traffic access_list ]}
IPv4 TrustSec をイネーブルにしたサブネットおよびゲートウェイをリストした定義済みの ACL を指定します。 |
|
|
|
---|---|
CTS レイヤ 3 トランスポート機能は、TrustSec をイネーブルにしたネットワーク セグメントからのレイヤ 2 SGT タグ付きトラフィックが、アプリケーションにより非 TrustSec ネットワーク セグメントを経由して転送され、指定した CTS レイヤ 3 ゲートウェイでレイヤ 3 カプセル化が解除されるようにできます。トラフィック ポリシーは、すべての TrustSec をイネーブルにしたサブネットおよびこれに対応するゲートウェイ アドレスをリストしたアクセス リストです。例外ポリシーは、CTS レイヤ 3 トランスポートのカプセル化を適用しないトラフィックをリストするアクセス リストです。たとえば、ポリシーの取得に使用される RADIUS パケットは、クリアで送信する必要があります。
トラフィック ポリシーおよび例外ポリシーは、cts policy layer3 {ipv4 | ipv6} traffic access_list and the cts policy layer3 {ipv4 | ipv6} exception access_list グローバル コンフィギュレーション コマンドで指定します。CTS L3 ゲートウェイ インターフェイスにトラフィック ポリシーおよび例外ポリシーを適用するには、 cts layer3 {ipv4 | ipv6} policy インターフェイス コンフィギュレーション コマンドを使用します。CTS L3 ゲートウェイ インターフェイスをイネーブルにするには、 cts layer3 {ipv4 | ipv6} trustsec forwarding インターフェイス コンフィギュレーション コマンドを使用します。
次のような使用上のガイドラインおよび制限を考慮して Cisco TrustSec レイヤ 3 SGT トランスポートを設定します。
• Cisco TrustSec レイヤ 3 SGT トランスポート機能はハードウェア暗号化をサポートするポートだけで設定できます。
• Cisco TrustSec レイヤ 3 SGT トランスポートのトラフィック ポリシーおよび例外ポリシーには次の制限があります。
– ポリシーは、IP 拡張または IP 名前付き拡張 ACL として設定する必要があります。
– ポリシーには deny エントリを含めることはできません。
– 同じ ACE がトラフィック ポリシーおよび例外ポリシーの両方に存在する場合は、例外ポリシーが優先されます。Cisco TrustSec レイヤ 3 カプセル化は、その ACE に一致するパケットで実行されます。
• トラフィック ポリシーおよび例外ポリシーは認証サーバからダウンロード(ご使用の Cisco IOS Release でサポートされている場合)するか、または ip access-list global コンフィギュレーション コマンドを使用して、デバイスに手動で設定できます。ポリシーは次のルールに基づいて適用されます。
– トラフィック ポリシーまたは例外ポリシーが認証サーバからダウンロードされる場合、手動で設定されたトラフィック ポリシーまたは例外ポリシーよりも優先されます。
– 認証サーバが使用できず、トラフィック ポリシー、および例外ポリシーの両方を手動で設定すると、手動で設定されたポリシーが使用されます。
– 認証サーバが使用できず、トラフィック ポリシーを例外ポリシーなしで設定すると、例外ポリシーは適用されません。Cisco TrustSec レイヤ 3 カプセル化がトラフィック ポリシーに基づいてインターフェイスに適用されます。
– 認証サーバが使用できず、トラフィック ポリシーが手動で設定されていない場合は、Cisco TrustSec レイヤ 3 カプセル化がインターフェイスで実行されません。
次に、リモート Cisco TrustSec ドメインにレイヤ 3 SGT トランスポートを設定する例を示します。
|
|
---|---|
トラフィック ポリシーおよび例外ポリシーをイネーブルにし、CTS のレイヤ 3 トランスポート ゲートウェイ インターフェイスに適用します。 |
|
すべてまたは特定の CTS ピアの TrustSec ピア認可ポリシーをリフレッシュするか、認証サーバによりスイッチにダウンロードされた SGACL ポリシーをリフレッシュするには、特権 EXEC モードで cts refresh コマンドを使用します。
cts refresh policy { peer [ peer_id ] | sgt [ sgt_number | default | unknown ] }
|
|
---|---|
このコマンドは、Catalyst 6500 シリーズ スイッチで cts policy refresh として追加されました。 |
|
このコマンドは、Catalyst 6500 シリーズ スイッチで cts refresh policy に変更されました。 sgt 、 default 、および unknown キーワードが追加されました。 |
すべての TrustSec ピアのピア認可ポリシーをリフレッシュするには、ピア ID を指定しないで cts policy refresh を入力します。
ピア認可ポリシーは EAP-FAST NDAC 認証の成功の最後に Cisco ACS から最初にダウンロードされます。Cisco ACS はピア認可ポリシーを更新するように設定されていますが、 cts policy refresh コマンドにより、Cisco ACS タイマーが期限切れになる前にポリシーの即時更新を強制できます。このコマンドは、セキュリティ グループ タグ(SGT)を適用でき、セキュリティ グループ アクセス コントロール リスト(SGACL)を強制できる TrustSec デバイスだけに関連します。
次に、すべてのピアの TrustSec ピア認可ポリシーをリフレッシュする例を示します。
次に、すべてのピアの TrustSec ピア認可ポリシーを表示する例を示します。
|
|
---|---|
セキュリティ アソシエーション プロトコル(SAP)で使用する Pairwise Master Key を再生成するには、 cts rekey 特権 EXEC コマンドを使用します。
|
|
---|---|
SAP の Pairwise Master Key(PMK)リフレッシュは通常、ネットワーク イベントおよび Dot1X 認証に関連する設定不可能な内部タイマーの組み合わせによりトリガーされ、自動的に行われます。暗号キーを手動で更新する機能は、多くの場合、ネットワーク アドミニストレーションのセキュリティ要件の一部です。手動で PMK のリフレッシュを強制するには、 cts rekey コマンドを使用します。
TrustSec は、Dot1X 認証でスイッチ間のリンク間暗号化を作成する必要のない手動コンフィギュレーション モードをサポートします。この場合、PMK は、 sap pmk CTS 手動インターフェイス コンフィギュレーション コマンドを使用してリンクの両端のデバイスで手動で設定されます。
次の例では、指定したインターフェイスの PMK を再生成します。
|
|
---|---|
SGT のインポジション、TrustSec NetFlow パラメータと SGACL 強制を手動で設定するには、 cts role-based グローバル コンフィギュレーション コマンドを使用します。コンフィギュレーションを削除するには、コマンドの no 形式を使用します。
[ no ] cts role-based enforcement [ vlan-list { vl an-ids | all } ]
[ no ] cts role-based { ip | ipv6 } flow monitor fnf-ubm dropped
[ no ] cts role-based ipv6-copy
[ no ] cts role-based l2-vrf instance_name vlan-list vlan-ids [ all ]
[ no ] cts role-based permissions default { access-list | ipv4 | ipv6 } access-list access-list . . .
[ no ] cts role-based permissions from { sgt | unknown to { sgt | unknown }} { access-list | ipv4 | ipv6 } access-list , access-list, . . .
[ no ] cts role-based sgt-caching vlan-list { vlan_ids | all}
[ no ] cts role-based sgt-caching with-enforcement
[ no ] cts role-based sgt-map {i pv4_netaddress | ipv6_netaddress } | sgt sgt_number
[ no ] cts role-based sgt-map {i pv4_netaddress/prefix | ipv6_netaddress/prefix } | sgt sgt_number
[ no ] cts role-based sgt-map host {i pv4_hostaddress | ipv6_hostaddress | sgt sgt_number
[ no ] cts role-based sgt-map vrf instance_name { ip4_netaddress | ipv6_netaddress | host { ip4_address | ip6_address }}] sgt sgt_number
[ no ] cts role-based sgt-map interface interface_type slot / port { security-group | sgt } sgt_number
[ no ] cts role-based sgt-map vlan-list [ vlan_ids | all] slot / port sgt sgt_number
自動的に SGT を送信元 IP アドレスにマッピングするための、Cisco Identity Services Engine、Cisco Secure ACS、ダイナミック ARP インスペクション、DHCP スヌーピング、ホスト トラッキングがスイッチで使用できない場合、 cts role-based sgt-map コマンドを使用して SGT を次の内容にマッピングできます。
• IPv4 または IPv6 ネットワークまたはサブネットワーク上のすべてのホスト
cts role-based sgt-map host コマンドは、IP 送信元アドレスが指定ホスト アドレスが一致した場合に、この着信パケットに指定 SGT をバインドします。この IP-SGT バインディングは優先順位が最も低く、他の送信元から動的に検出されたその他のバインディング(SXP またはローカルで認証済みホストなど)が存在する場合は無視されます。バインディングは、SGT インポジションおよび SGACL 強制用にスイッチ上でローカルに使用されます。このバインディングが指定したホスト IP アドレスに認識される唯一のバインディングである場合、これが SXP ピアにエクスポートされます。
ネットワークまたはサブネットワーク アドレスと SGT のバインディング
cts role-based sgt-map ipv4_netaddress | ipv6_netaddress および cts role-based sgt-map ipv4_subnetaddress/prefix | ipv6_subnetaddress/prefix コマンドは、指定したネットワーク アドレス範囲内のパケットに、指定した SGT をバインドします。
SXP は指定されたネットワークまたはサブネットワーク内のすべての可能な個別 IP-SGT バインディングの包括的な拡張をエクスポートします。IPv6 バインディングとサブネット バインディングは SXP バージョン 2 以降の SXP リスナー ピアだけにエクスポートされます。
vrf キーワードは、以前に vrf definition グローバル コンフィギュレーション コマンドで定義された仮想ルーティングおよびフォワーディング テーブルを指定します。VRF コンテキストの設定はこのマニュアルの範囲外です。 cts role-based sgt-map vrf グローバル コンフィギュレーション コマンドで指定された IP-SGT バインディングは、指定された VRF と、入力された IP アドレスのタイプによって示される IP プロトコルのバージョンに関連付けられた IP-SGT のテーブルに入力されます。
cts role-based sgt-map vlan-list コマンドは、SGT を指定された VLAN または VLAN のセットにバインドします。キーワード all は、スイッチでサポートされている VLAN の全範囲と同じで、不揮発性生成(NVGEN)プロセスで保持されません。指定 SGT は指定した VLAN のいずれかで受信した着信パケットにバインドされます。
cts role-based sgt-map interface コマンドは、指定したレイヤ 3 論理インターフェイスをセキュリティ グループの名前または SGT にバインドします。セキュリティ グループの名前に SGT をマッピングするセキュリティ グループ情報テーブルは、TrustSec 環境データと一緒に認証サーバからダウンロードされます。 cts role-based sgt-map interface security-group コマンドは、セキュリティ グループの名前のテーブルが使用できない場合は拒否されます。
セキュリティ グループのテーブルが初めてダウンロードされるか更新されるたびに、すべての L3IF マッピングは再処理されます。指定されたインターフェイスを経由する出力パスを持つすべてのネットワーク プレフィックスに対して、IP-SGT バインディングが追加、更新、または削除されます。
TrustSec は完全優先方式で、マスター バインディング データベースの IP-SGT バインディング ソース間の競合を解決します。たとえば、SGT も policy { dynamic identity peer-name | static sgt tag } cts interface コマンドでインターフェイスに適用される場合があります(アイデンティティ ポート マッピング)。 現在の優先順位の適用順序は、最小から最大まで、次のとおりです。
1. VLAN:VLAN-SGT マッピングが設定された VLAN 上のスヌーピングされた ARP パケットから学習されたバインディング。
2. CLI: cts role-based sgt-map グローバル コンフィギュレーション コマンドの IP-SGT 形式を使用して設定されたアドレス バインディング。
3. レイヤ 3 インターフェイス:(L3IF)一貫した L3IF-SGT マッピングやアイデンティティ ポート マッピングを使用する 1 つ以上のインターフェイスを通るパスを持つ FIB 転送エントリが原因で追加されたバインディング。
5. IP_ARP:タグ付けされた ARP パケットが CTS 対応リンクで受信されたときに学習されたバインディング。
6. LOCAL:EPM とデバイス トラッキングによって学習された認証済みホストのバインディング。このタイプのバインディングには、L2 [I]PM が設定されたポートの ARP スヌーピングによって学習された個々のホストも含まれます。
7. INTERNAL:ローカルで設定された IP アドレスとデバイス独自の SGT 間のバインディング。
[ no ] cts role-based l2-vrf vrf-name vlan-list { vlan-list | all } グローバル コンフィギュレーション コマンドでは、 vlan-list 引数には単一の VLAN ID、カンマで区切った VLAN ID のリスト、またはハイフンで区切った VLAN ID の範囲を指定できます。
キーワード all は、ネットワーク デバイスによってサポートされている VLAN の全範囲と同等です。キーワード all は、不揮発性生成(NVGEN)プロセスで保持されません。
cts role-based l2-vrf コマンドが同じ VRF に複数回実行する場合、入力される連続した各コマンドは、指定された VRF に指定された VLAN ID を追加します。
cts role-based l2-vrf コマンドで設定された VRF 割り当ては、VLAN がレイヤ 2 VLAN として維持されている間はアクティブです。VRF の割り当てがアクティブな間に、学習した IP-SGT バインディングも VRF と IP プロトコル バージョンに関連付けられた転送情報ベース(FIB)テーブルに追加されます。VLAN の SVI がアクティブになると、VRF から VLAN への割り当てが非アクティブになり、VLAN で学習されたすべてのバインディングが SVI の VRF に関連付けられた FIB テーブルに移動されます。
VRF から VLAN への割り当ては、割り当てが非アクティブになっても保持されます。SVI が削除された、または SVI の IP アドレスの設定が解除された場合に再アクティブ化されます。再アクティブ化された場合、IP-SGT バインディングは、SVI の FIB に関連付けられた FIB テーブルから、 cts role-based l2-vrf コマンドによって割り当てられた VRF に関連付けられた FIB テーブルに戻されます。
システムの CTS をイネーブルにしたレイヤ 3 インターフェイスの SGACL 強制をグローバルにイネーブルまたはディセーブルにするには、[ no ] cts role-based enforcement コマンドを使用します。
(注) CTS の CLI コマンドの説明に表示されるロールベース アクセス コントロールおよびロールベース ACL は、Cisco TrustSec マニュアルのセキュリティ グループ アクセス コントロール リスト(SGACL)に相当します。
SVI インターフェイス上でのレイヤ 2 スイッチド パケットと L3 スイッチド パケットに対する SGACL 強制をイネーブルまたはディセーブルにするには、 [ no ] cts role-based enforcement vlan-list { v lan-ids | all } コマンドを使用します。
vlan-ids 引数には単一の VLAN ID、VLAN ID リスト、または VLAN ID 範囲を指定できます。複数のエントリはハイフン「-」またはカンマ「,」で区切ります。
キーワード all は、プラットフォームによってサポートされている VLAN の全範囲と同等です(たとえば、Catalyst 6500 VLAN 範囲は 1 ~ 4094 です)。複数のコマンドを発行すると、付加的な効果があります。SGACL が指定されたすべてのリストのすべての VLAN に適用されます。キーワード all は、不揮発性生成(NVGEN)プロセスで保持されません。
(注) デフォルトでは、SGACL 強制は VLAN でイネーブルではありません。VLAN の SGACL 強制をイネーブルにするためには、cts role-based enforcement vlan-list コマンドを発行する必要があります。
(注) ロールベース アクセス コントロール(RBAC)が強制されている VLAN で SVI がアクティブである場合、RBAC はその VLAN 内のレイヤ 2 およびレイヤ 3 の両方のスイッチド パケットに対して強制されます。レイヤ 3 スイッチングは SVI を使用しない VLAN 内では使用できないため、SVI を使用しない場合、RBAC はレイヤ 2 スイッチド パケットのみに対して強制されます。
標準の 5 タプル フロー オブジェクトを使用してフロー レコードに SGT および DGT フロー オブジェクトが設定されている場合、Flexible NetFlow は、SGACL 強制によってドロップされたパケットに対応できます
flow record および flow exporter グローバル コンフィギュレーション コマンドを使用してフロー レコードおよびフロー エクスポータを設定してから、それらを flow monitor コマンドを使用してフロー モニタに追加します。 show flow show コマンドを使用して設定を確認します。
SGACL のドロップされたパケットだけを収集するには、[ no ] cts role-based { ip | ipv6 } flow monitor dropped グローバル コンフィギュレーション コマンドを使用します。
Flexible NetFlow の概要および設定の詳細については、次のマニュアルを参照してください。
『Getting Started with Configuring Cisco IOS Flexible NetFlow』
http://www.cisco.com/en/US/docs/ios/fnetflow/configuration/guide/get_start_cfg_fnflow.html
『Cisco IOS Flexible Netflow Configuration Guide, Release 15.0SY』
http://www.cisco.com/en/US/docs/ios-xml/ios/fnetflow/configuration/15-0sy/fnf-15-0sy-book.html
次の例では、Catalyst 4500 シリーズ スイッチが、ホスト IP アドレス 10.1.2.1 を SGT 3 に、10.1.2.2 を SGT 4 にバインドしてから、 show コマンドで確認します。これらのバインディングは、SXP によって SGACL 強制のスイッチに転送されます。
次の例では、Catalyst 6500 シリーズで、VLAN 57、および 89 ~ 101 を VRF l2ipv4 に割り当てます。VRF は vrf グローバル コンフィギュレーション コマンドで作成済みです。
|
|
---|---|
RADIUS サーバ グループのロード バランシングを設定するには、グローバル コンフィギュレーション モードで cts server コマンドを使用します。ロード バランシングをディセーブルにするには、このコマンドの no 形式を使用します。
[ no ] cts server deadtime timer_secs
[ no ] cts server key-wrap enable
[ no ] cts server load-balance method least-outstanding [ batch-size transactions ]
[ ignore-preferred-server ]
[ no ] cts server test { ip4_address | all } { deadtime seconds | enable | idle-time minutes }
|
|
---|---|
スイッチを FIPS モードで稼働させる場合は、 key-wrap キーワードを使用します。
RADIUS サーバ ロード バランシングの情報は次の URL で入手できます。
http://www.cisco.com/en/US/docs/ios/12_2sb/feature/guide/sbrdldbl.html
次に、 サーバ設定を設定して Cisco TrustSec サーバ リストを表示する例を示します。
|
|
---|---|
手動でネットワーク デバイスにセキュリティ グループ タグ(SGT)番号を割り当てるには、グローバル コンフィギュレーション モードで cts sgt コマンドを使用します。タグを削除するには、コマンドの no 形式を使用します。
デバイスから送信されるパケットの SGT を設定します。 tag 引数は 10 進表記です。指定できる範囲は 1 ~ 65533 です。 |
|
|
---|---|
通常の Cisco TrustSec 動作では、認証サーバがデバイスから発信されるパケット用に、そのデバイスに SGT を割り当てます。認証サーバにアクセスできない場合は、使用する SGT を手動で設定できますが、認証サーバから割り当てられた SGT のほうが、手動で割り当てた SGT よりも優先されます。
次に、ネットワーク デバイスの SGT を手動で設定する例を示します。
|
|
---|---|
ネットワーク デバイスに SXP を設定するには、 cts sxp グローバル コンフィギュレーション コマンドを使用します。このコマンドは、SXP をイネーブルにし、SXP パスワード、ピアのスピーカーとリスナー関係および復帰期間を決定します。また、バインディング変更のログのオン/オフを切り替えます。SXP コンフィギュレーションをディセーブルにするには、このコマンドの no 形式を使用します。
[ no ] cts sxp connection peer ip4_address password { default | none } mode { local | peer }
[ speaker | listener ] [ vrf vrf_name ]
[ no ] cts sxp connection peer ip4_address source ip4_address password { default | none } mode { local | peer } [ speaker | listener ] [ vrf vrf_name ]
[ no ] cts sxp default password { 0 unencrypted_pwd | 6 encrypted_key | 7 encrypted_key | cleartext_pwd }
[ no ] cts sxp default source-ip ip4_address
[ no ] cts sxp log binding-changes
[ no ] cts sxp mapping network-map bindings
[ no ] cts sxp reconciliation period seconds
[ no ] cts sxp retry period seconds
|
|
---|---|
このコマンドは、Catalyst 3750(E) および 3560(E) シリーズ スイッチに追加されました( log binding-changes キーワードなし)。 |
|
このコマンドは、Catalyst 3750(X) シリーズ スイッチに追加されました( log binding-changes キーワードなし)。 |
|
ピアへの SXP 接続が cts sxp connection peer コマンドを使用して設定された場合、接続モードだけを変更できます。 vrf キーワードは任意です。VRF 名が指定されていない、または VRF 名が「default」という名前で指定されている場合、接続はデフォルト ルーティングまたはフォワーディング ドメインで設定されます。
SXP 接続パスワードのデフォルト設定は none です。SXP 接続は IP アドレスごとに設定されるため、複数のピアを持つデバイスは、できるだけ多くの SXP 接続を持つことができます。 cts sxp default password コマンドは、デバイスに設定されているすべての SXP 接続に任意で使用するデフォルト SXP パスワードを設定します。SXP パスワードは、
0 | 7 | 6 encrypted_key 暗号化タイプ オプションを使用してクリア テキストまたは暗号化したものを使用します。デフォルトはタイプ 0(クリア テキスト)です。暗号化タイプが 6 または 7 である場合、暗号化の password 引数は、有効なタイプ 6 またはタイプ 7 の暗号テキストである必要があります。
SXP パスワードを削除するには、 no cts sxp default password コマンドを使用します。
cts sxp default source-ip コマンドは、送信元 IP アドレスが指定されていない場合に、SXP が新規の TCP 接続すべてに使用するデフォルトの送信元 IP アドレスを設定します。既存の TCP 接続は、このコマンドが入力されても影響を受けません。SXP 接続は 3 台のタイマーによって制御されます。
再試行タイマーは、少なくとも 1 つの SXP 接続が稼働していない場合にトリガーされます。このタイマーの期限が切れると新しい SXP 接続が試行されます。このタイマー値を設定するには、 cts sxp retry period コマンドを使用します。デフォルト値は 120 秒です。指定できる範囲は 0 ~ 64000 秒です。ゼロの値は、再試行が発生しなくなります。
削除のホールドダウン タイマー値は設定できず、120 秒に設定されています。このタイマーは、SXP リスナー接続がダウンするとトリガーされます。ダウンした接続から学習した IP-SGT マッピングは、このタイマーが期限切れになると削除されます。削除のホールドダウン タイマーが期限切れになる前にダウンした接続が復元された場合、復帰タイマーが開始されます。
ピアが SXP 接続を終了すると、内部の削除のホールドダウン タイマーが開始されます。削除のホールドダウン タイマーが終了する前にピアが再接続すると、SXP 復帰タイマーが開始されます。SXP 復帰期間タイマーがアクティブな間、Cisco TrustSec ソフトウェアは前回の接続で学習した SGT マッピング エントリを保持し、無効なエントリを削除します。デフォルト値は 120 秒(2 分)です。SXP 復帰期間を 0 秒に設定すると、タイマーがディセーブルになり、前回の接続のすべてのエントリが削除されます。このタイマーを設定するには、 cts sxp reconciliation period コマンドを使用します。
次に、SXP をイネーブルにし、SwitchA(スピーカー)で SwitchB(リスナー)への SXP ピア接続を設定する例を示します。
次に、SwitchB(リスナー)で SwitchA(スピーカー)への SXP ピア接続を設定する例を示します。
|
|
---|---|
TrustSec 認可をクリアし、 clear cts counter 特権 EXEC コマンドを使用します。
clear cts cache authorization-policies [ peer | sgt ]
clear cts cache environment-data
clear cts cache interface-controller [ type slot / port ]
|
|
---|---|
interface-controller キーワードは、Catalyst 6500 シリーズ スイッチで導入されました。 |
(注) ピアの認可および SGT ポリシーのクリアは、SGACL を強制できる TrustSec デバイスだけに関連します。
|
|
---|---|
指定したインターフェイスの TrustSec 統計情報をクリアするには、 clear cts counter 特権 EXEC コマンドを使用します。
clear cts counter [ type slot / port ]
|
|
---|---|
c lear cts counter コマンドは、選択したインターフェイスに固有の CTS カウンタをクリアします。インターフェイスが指定されていない場合、すべての TrustSec インターフェイスのすべての TrustSec カウンタがクリアされます。
次に、GigabitEthernet インターフェイス 3/1 の CTS 統計情報をクリアしてから、 show cts interface コマンドを使用して確認する例を示します( show コマンド出力のフラグメントを表示)。
Router# clear cts counter gigabitEthernet3/1
Router# show cts interface gigabitEthernet3/1
|
|
---|---|
TrustSec デバイス ID およびパスワードを削除するには、特権 EXEC モードで clear cts credentials コマンドを使用します。
|
|
---|---|
|
|
---|---|
キャッシュから TrustSec 環境データを消去するには、特権 EXEC モードで clear cts environment-data コマンドを使用します。
|
|
---|---|
|
|
---|---|
指定されたインターフェイスの MACsec カウンタをクリアするには、 clear cts macsec counters コマンドを使用します。
clear cts macsec counters interface type slot / port
|
|
---|---|
次の例では、Catalyst 6500 シリーズ スイッチの gigabitEthernet インターフェイス カウンタをクリアします。
|
|
---|---|
キーストアから TrustSec Protected Access Credential(PAC)情報をクリアするには、特権 EXEC モードで clear cts pac コマンドを使用します。
clear cts pac { A-ID hexstring | all }
|
|
---|---|
次のコマンドは、キーストアのすべての PAC をクリアします。
|
|
---|---|
TrustSec ピアのピア認可ポリシーを削除するには、特権 EXEC モードで clear cts policy コマンドを使用します。
clear cts policy { peer [ peer_id ] | sgt [ sgt ]}
|
|
---|---|
すべての TrustSec ピアのピア認可ポリシーをクリアするには、ピア ID を指定しないで clear cts policy peer コマンドを使用します。TrustSec ピアのセキュリティ グループ タグをクリアするには、 clear cts policy sgt コマンドを使用します。確認するには、 show cts policy peer コマンドを使用します。
次の例では、ピア ID が atlas2 の TrustSec ピアのピア認可ポリシーをクリアします。
|
|
---|---|
セキュリティ グループ ACL 統計カウンタをリセットするには、EXEC モードまたは特権 EXEC モードで clear cts role-basedcounters コマンドを使用します。
clear cts role-based counters default [ ipv4 | ipv6 ]
clear cts role-based counters from { sgt_num | unknown } [ ipv4 | ipv6 | to { sgt_num | unknown } [ ipv4 | ipv6 ]]
clear cts role-based counters to { sgt_num | unknown } [ ipv4 | ipv6 | ]
clear cts role-based counters [ ipv4 | ipv6 ]
|
|
---|---|
指定したスコープのセキュリティ グループ ACL(SGACL)強制カウンタをクリアするには、 clear cts role-based counters コマンドを使用します。 show cts role-based counters は、最後に clear コマンドが発行されてから蓄積された統計情報を、例 7-1に示されているような表形式で表示します。
例 7-1 show role-based カウンタからの表形式の SGACL 出力
from キーワードで送信元 SGT を、 to キーワードで宛先 SGT を指定します。 from および句、 to キーワードの両方が省略された場合は、許可マトリクス全体のカウンタがクリアされます。
次の例では、IPv4 トラフィックの SGACL 強制の統計情報をコンパイルしているすべてのロールベース カウンタをクリアします。
CTS の AAA サーバ リストからサーバを削除するには、 clear cts server コマンドを使用します。
|
|
---|---|
このコマンドは、 cts authorization list グローバル コンフィギュレーション コマンドで設定された CTS AAA サーバのリスト、または CTS のオーセンティケータのピアによりプロビジョニングされた AAA サーバ リストから、サーバを削除します。
次の例は、CTS の AAA サーバ リストから AAA サーバ 10.10.10.1 を削除します。
|
|
---|---|
任意の cts dot1x コンフィギュレーションをデフォルト値に復元するには、CTS dot1x インターフェイス コンフィギュレーション サブモードで default コマンドを使用します。
default timer reauthentication
CTS dot1x インターフェイス コンフィギュレーション サブモード(config-if-cts-dot1x)
|
|
---|---|
|
|
---|---|
任意の cts manual コンフィギュレーションをデフォルト値に復元するには、CTS 手動インターフェイス コンフィギュレーション サブモードで default コマンドを使用します。
default policy dynamic identity
CTS 手動インターフェイス コンフィギュレーション サブモード(config-if-cts-manual)
|
|
---|---|
CTS の手動インターフェイス コンフィギュレーション サブモード パラメータをデフォルト値に戻すには、 default サブコマンドを使用します。
次に、Catalyst 6500 シリーズ スイッチの CTS イネーブルにされたインターフェイスのデフォルトのダイナミック ポリシーと、SGT 伝播ポリシーを復元する例を示します。
|
|
---|---|
Flexible NetFlow フロー レコードに、Cisco TrustSec フロー オブジェクトを追加するには、 match flow cts レコード コンフィギュレーション コマンドを使用します。
[ no ] match flow cts destination group-tag
[ no ] match flow cts source group-tag
Flexible NetFlow レコード コンフィギュレーション(config-flow-record)
|
|
---|---|
標準の 5 タプル フロー オブジェクトを使用してフロー レコードに SGT および DGT フロー オブジェクトが設定されている場合、Flexible NetFlow は、SGACL 強制によってドロップされたパケットに対応できます
flow record および flow exporter グローバル コンフィギュレーション コマンドを使用してフロー レコードおよびフロー エクスポータを設定してから、それらを flow monitor コマンドを使用してフロー モニタに追加します。 show flow show コマンドを使用して設定を確認します。
SGACL のドロップされたパケットだけを収集するには、[ no ] cts role-based { ip | ipv6 } flow monitor dropped グローバル コンフィギュレーション コマンドを使用します。
Flexible NetFlow の概要および設定の詳細については、次のマニュアルを参照してください。
『Getting Started with Configuring Cisco IOS Flexible NetFlow』
http://www.cisco.com/en/US/docs/ios/fnetflow/configuration/guide/get_start_cfg_fnflow.html
『Catalyst 6500 Release 12.2SY Software Configuration Guide』
http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SY/configuration/guide/netflow_hw_support.htm l
次に、IPv4 フロー レコード(5 タプル、方向、SGT、SGT)を設定する例を示します。
|
|
---|---|
Flexible NetFlow では、このコマンドには、すべてのレイヤ 3 インターフェイスにフロー モニタを接続して、SGACL によってドロップされるトラフィックの統計情報を収集するように設定するオプションがあります。 |
TrustSec 出力または入力のリフレクタをイネーブルにするには、platform cts グローバル コンフィギュレーション コマンドを使用します。リフレクタをディセーブルにするには、コマンドの no 形式を入力します。
[ no ] platform cts { egress | ingress }
|
|
---|---|
次の例では、Catalyst 6500 スイッチで CTS 入力リフレクタをイネーブル化します。
次の例では、Catalyst 6500 スイッチで CTS 入力リフレクタをディセーブル化します。
|
|
---|---|
手動で設定された TrustSec リンクにポリシーを適用するには、policy インターフェイス手動サブモード コマンドを使用します。ポリシーを削除するには、コマンドの no 形式を使用します。
[ no ] policy dynamic identity peer_deviceID
[ no ] policy static sgt sgt_number [ trusted ]
コマンドで SGT が指定されたインターフェイスの入力トラフィックでは、SGT を上書きしてはいけないことを示します。デフォルトは untrusted です。 |
CTS インターフェイスの手動サブモード(config-if-cts-manual)
|
|
---|---|
TrustSec リンクを手動で設定する場合はポリシーを適用するには、policy コマンドを使用します。デフォルトは no policy で、すべてのトラフィックを SGT を適用しないで通過させます。 sap CTS 手動モード サブコマンドはまた、TrustSec リンクをアップするように設定する必要があります。
選択した SAP モードで SGT を挿入可能にし、すべての着信パケットが SGT を伝送していない場合、タギング ポリシーは次のとおりです。
• policy static コマンドが設定されている場合、パケットには policy static コマンドで設定した SGT がタグ付けされます。
• policy dynamic コマンドが設定されている場合、パケットはタグ付けされません。
選択した SAP モードで SGT を挿入可能にし、着信パケットが SGT を伝送している場合、タギング ポリシーは次のとおりです。
• policy static コマンドが trusted キーワードを指定せずに設定されている場合、SGT は policy static コマンドで設定した SGT に置き換えられます。
• policy static コマンドが trusted キーワードを使用して設定されている場合、SGT は変更されません。
• policy dynamic コマンドが設定されていて、認証サーバからダウンロードされた認可ポリシーがパケットの送信元が信頼できないことを示している場合、SGT はダウンロードしたポリシーで指定されている SGT に置き換えられます。
認可ポリシーは、ピアの SGT、ピアの SGT 割り当ての信頼状態、関連するピア SGT の RBACL、およびインターフェイス ACL を指定できます。
• policy dynamic コマンドが設定されていて、ダウンロードされた認可ポリシーがパケットの送信元が信頼できることを示している場合、SGT は変更されません。
静的に設定された SGT については RBACL は適用されませんが、従来のインターフェイス ACL は、必要に応じてトラフィック フィルタリング用に個別に設定できます。
次の例 では、タグ付け済みのトラフィックを除き、ピアからの着信トラフィックに SGT 3 を適用します(Cisco Secure ACS サーバと通信していないインターフェイス)。
|
|
---|---|
|
Cisco TrustSec インターフェイスで SGT 伝播をイネーブルまたはディセーブルにするには、CTS dot1x インターフェイス コンフィギュレーション サブモードで propagate sgt コマンドを使用します。
SGT 伝播は、CTS dot1x および CTS 手動インターフェイス コンフィギュレーション サブモードでデフォルトでイネーブルになっています。
CTS Dot1x インターフェイス コンフィギュレーション サブモード(config-if-cts-dot1x)
|
|
---|---|
SGT の伝播(SGT タグ カプセル化)は、CTS dot1x および CTS 手動インターフェイス コンフィギュレーション サブモードの両方でデフォルトでイネーブルになっています。TrustSec 対応ポートはレイヤ 2 MACsec および SGT カプセル化をサポートできます。SGT のタグとデータの送信のためにピアと最もセキュアなモードをネゴシエートします。MACsec はスイッチおよびサーバが使用する 802.1AE 規格ベースのリンク間プロトコルです。ピアは MACsec をサポートできますが、SGT カプセル化はサポートできません。このような場合、 no propagate sgt CTS Dot1x インターフェイス コンフィギュレーション コマンドを使用して、このレイヤ 2 SGT 伝播をディセーブルにしておくことをお勧めします。
SGT の伝播を再度イネーブルにするには propagate sgt コマンドを入力します。SGT の伝播の状態を確認するには、 show cts interface コマンドを使用します。ディセーブル ステートだけが不揮発生成(NVGEN)に保存されます。
次の例は、TrustSec 対応インターフェイスで SGT 伝播をディセーブル化します。
|
|
---|---|
セキュリティ グループ タグをインターフェイス上で伝播するインターフェイスの機能をイネーブルまたはディセーブルにするには、 cts propagate cts インターフェイス手動設定サブモード コマンドを使用します。
CTS 手動インターフェイス コンフィギュレーション サブモード(config-if-cts-manual)
|
|
---|---|
セキュリティ グループ タグの伝播は、CTS dot1x および CTS 手動モードの両方でデフォルトでイネーブルです。SGT 処理をディセーブルにするには、 no propagate sgt コマンドを入力します。再度イネーブルにするには、 propagate sgt を入力します。不揮発生成(NVGEN)プロセスを呼び出す CLI コマンドを発行した場合、 no propagate sgt ステートだけが保存されます(たとえば、 copy system running-config )。
TrustSec 対応インターフェイスは MACsec(レイヤ 2 802.1AE のセキュリティ)および SGT タギングをサポートできます。TrustSec 対応インターフェイスがピアと最もセキュアなモードをネゴシエートしようとします。ピアは、MACsec 対応ですが、SGT を処理できないことがあります。手動 CTS インターフェイス コンフィギュレーションでは、MACsec 機能のみを設定している場合、CTS 対応インターフェイスで SGT 伝播をディセーブルにします。
次に、手動で設定した TrustSec 対応インターフェイスで SGT タギングをディセーブル化する例を示します。
|
|
---|---|
2 個のインターフェイス間のリンク暗号化をネゴシエーションするために、セキュリティ アソシエーション プロトコル(SAP)の認証および暗号化モード選択するには、 sap mode-list コマンドを使用します。modelist を削除してデフォルトに戻すには、このコマンドの no 形式を使用します。
[ no ] sap mode-list { gcm-encrypt | gmac | no-encap | null } [ gcm-encrypt | gmac | no-encap | null ] . . .}
デフォルトの暗号化は、 sap modelist gcm-encrypt null です。 ピア インターフェイスが dot1x、802.1AE MACsec、または 802.REV レイヤ 2 リンク暗号化をサポートしない場合、デフォルトの暗号化は null です
CTS dot1x インターフェイス サブモード(config-if-cts-dot1x)
|
|
---|---|
Dot1x 認証中に使用する認証および暗号化方式を指定するには、sap mode-list コマンドを使用します。
セキュリティ アソシエーション プロトコル(SAP)は 802.11i IEEE プロトコルのドラフト バージョンに基づいた暗号キーの取得および交換プロトコルです。SAP は MACsec をサポートするインターフェイス間の 802.1AE リンク間暗号化(MACsec)を確立および管理するために使用します。
Dot1x 認証後に SAP 交換が開始される前に、両側(サプリカントとオーセンティケータ)で Cisco Secure Access Control Server(Cisco Secure ACS)から Pairwise Master Key(PMK)とピアのポートの MAC アドレスを受信しています。802.1X 認証が不可能である場合、CTS 手動コンフィギュレーション モードで、SAP および PMK を 2 個のインターフェイス間で手動で設定できます。
デバイスが CTS-Aware ソフトウェアを実行していて、ハードウェアが CTS 非対応である場合は、 sap modelist no-encap コマンドを使用してカプセル化を拒否します。
期間が Cisco Secure ACS から使用できない場合は、 timer reauthentication コマンドを使用して CTS リンクに適用する再認証期間を設定します。デフォルトの再認証期間は 86,400 秒です。
(注) TrustSec NDAC および SAP はスイッチ間リンクでスイッチングだけでサポートされているため、dot1x はマルチホスト モードで設定する必要があります。オーセンティケータ PAE は dot1x system-auth-control がグローバルにイネーブルになっている場合のみ開始されます。
次に、SAP が CTS カプセル化の使用を GCM 暗号化と、または第 2 の選択肢として null-cipher とネゴシエートするが、ピアがハードウェアで CTS カプセル化をサポートしない場合は CTS カプセル化を受け入れることができない例を示します。
|
|
---|---|
2 個のインターフェイス間で MACsec のリンク暗号化のネゴシエーションを行うために、Pairwise Master Key(PMK)と Security Association Protocol(SAP)の認証および暗号化モードを手動で指定するには、 sap mode-list コマンドを使用します。デフォルトに戻すには、このコマンドの no 形式を使用します。
[ no ] sap pmk hex_value [ modelist { gcm-encrypt | gmac | no-encap | null } [ gcm-encrypt | gmac | no-encap | null ] . . . ]
16 進数データの PMK(先頭の 0x は付けません。偶数の 16 進数文字を入力し、最後の文字に 0 をプレフィックスします) |
|
デフォルトの暗号化は、 sap modelist gcm-encrypt null です。 ピア インターフェイスが dot1x、802.1AE MACsec、または 802.REV レイヤ 2 リンク暗号化をサポートしない場合、デフォルトの暗号化は null です
CTS 手動インターフェイス コンフィギュレーション サブモード(config-if-cts-manual)
|
|
---|---|
セキュリティ アソシエーション プロトコル(SAP)は 802.11i IEEE プロトコルのドラフト バージョンに基づいた暗号キーの取得および交換プロトコルです。TrustSec 設定では、キーは 2 個のインターフェイス間での MACsec のリンク間暗号化に使用されます。
802.1X 認証が不可能である場合、SAP、および Pairwise Master Key(PMK)を sap pmk コマンドで 2 個のインターフェイス間に手動で設定できます。802.1X 認証を使用する場合、両方(サプリカントおよびオーセンティケータ)が Cisco Secure Access Control Server からピアのポートの PMK および MAC アドレスを受信します。
次に、ギガビット イーサネット インターフェイスの SAP 設定の例を示します。
|
|
---|---|
Cisco TrustSec に関連するステートおよび統計情報を表示するには、 show cts 特権 EXEC コマンドを使用します。
interface {type slot / port | vlan vlan_number |
macsec counters interface type slot / port [ delta ] |
policy layer3 [ ipv4 | ipv6 ] |
role-based permissions . . . |
|
|
---|---|
次に、キーワードを使用しないで入力した show cts の例を示します。
|
|
---|---|
TrustSec NDAC 認証エントリを表示するには、EXEC モードまたは特権 EXEC モードで show cts authorization entries コマンドを使用します。
show cts authorization entries
|
|
---|---|
次の例では、Catalyst 6500 スイッチからの show コマンドの出力です。
|
|
---|---|
TrustSec デバイス ID を表示するには、EXEC モードまたは特権 EXEC モードで show cts credentials コマンドを使用します。
|
|
---|---|
|
|
---|---|
TrustSec 環境データを表示するには、EXEC モードまたは特権 EXEC モードで show cts environment-data コマンドを使用します。
|
|
---|---|
次の例は、Cisco Catalyst 6500 シリーズ スイッチの環境データを表示します。
|
|
---|---|
TrustSec 設定の統計情報を表示するには、EXEC モードまたは特権 EXEC モードで show cts interface コマンドを使用します。
show cts interface [ type slot / port ] | [ brief] | [ summary ]
(任意)インターフェイス タイプ、スロット番号、およびポート番号を指定します。このインターフェイスの冗長ステータス出力が返されます。 |
|
(任意)インターフェイスごとに、すべての CTS インターフェイスのサマリーを、4 個または 5 個のキー ステータス フィールドを持つ表形式で表示します。 |
|
|
---|---|
すべての CTS インターフェイスの冗長ステータスを表示するには、キーワードなしで show cts interface コマンドを使用します。
次に、キーワードを使用せずに出力を表示する例を示します(すべての CTS インターフェイスの冗長ステータス)。
次に、 brief キーワードを使用した出力例を表示します。
次に、 summary キーワードを使用した出力例を表示します。
|
|
---|---|
CTS リンク間暗号化に関連するインターフェイスごとに暗号 ASIC のパケット カウンタを表示するには、 show cts macsec コマンドを使用します。
show cts macsec counters interface interface_type slot / port [ delta ]
|
|
---|---|
このコマンドは、インターフェイス単位の暗号 ASIC のパケット カウンタを表示します。セキュリティ アソシエーション(SA)がインストールされている場合(NDAC または sap cts インターフェイス do1x または手動サブコマンドを介して)、アクティブな SA カウンタが表示されます。一度に 1 つの SA しかアクティブになりません。SA のサポートされる値は 1 と 2. です。delta キーワードにより、 clear cts macsec counters interface コマンドが発行された時点以降のカウンタ値がリストされます。
次の例では、Catalyst 6500 シリーズ スイッチ上で手動で設定された CTS アップリンク インターフェイスの MACsec カウンタを表示します。
|
|
---|---|
Protected Access Credential(PAC)を表示するには、EXEC モードまたは特権 EXEC モードで show cts pacs コマンドを使用します。
|
|
---|---|
次に、atlas という名前のデバイスによって acs1 のオーセンティケータ ID(A-ID-Info)を使用して Cisco ACS から受け取った Protected Access Credential(PAC)を表示する例を示します。
|
|
---|---|
CTS レイヤ 3 トランスポート コンフィギュレーションに使用されるトラフィック ポリシーおよび例外ポリシーの名前を表示するには、EXEC モードまたは特権 EXEC モードで show cts policy layer3 コマンドを使用します。
show cts policy layer3 { ipv4 | ipv6 }
|
|
---|---|
トラフィックまたは例外ポリシーは、ローカルで設定されるか、Cisco Secure ACS から取得されます。
CTS レイヤ 3 トランスポート機能の詳細については、「cts policy layer3」を参照してください。
次に、 show cts policy3 のコマンドの出力を表示します。
|
|
---|---|
トラフィック ポリシーおよび例外ポリシーをイネーブルにし、CTS のレイヤ 3 トランスポート ゲートウェイ インターフェイスに適用します。 |
TrustSec ピアのピア認可ポリシーのデータを表示するには、EXEC モードまたは特権 EXEC モードで show cts policy peer コマンドを使用します。
|
|
---|---|
次に、すべてのピアの TrustSec ピア認可ポリシーを表示する例を示します。
|
|
---|---|
|
|
---|---|
待機中の RADIUS サーバ CTS プロビジョニング ジョブを表示するには、EXEC モードまたは特権 EXEC モードで show cts provisioning コマンドを使用します。
Protected Access Credential Provisioning(PAC-provisioning)ジョブ用のキューを表示するには、このコマンドを使用します。PAC が期限切れになるか、またはデバイスが再設定されたときに再プロビジョニングが発生します。
次の出力 では、CTS のプロビジョニング ドライバが PAC プロビジョニングを再試行している AAA サーバのリストを表示します。
|
|
---|---|
セキュリティ グループ ACL 強制の統計情報を表示するには、 show cts role-based カウンタの show コマンドを使用します。カウンタをクリアするには、 clear cts role-based counters コマンドを使用します。
show cts role-based counters default [ ipv4 | ipv6 ]
show cts role-based counters from { sgt_num | unknown } [ ipv4 | ipv6 |
to { sgt_num | unknown } [ ipv4 | ipv6 ]]
show cts role-based counters to { sgt_num | unknown } [ ipv4 | ipv6 | ]
show cts role-based counters [ ipv4 | ipv6 ]
|
|
---|---|
セキュリティ グループ ACL(SGACL)強制の統計情報を表示するには、 show cts role-based counters コマンドを使用します。すべてまたは任意の範囲の統計情報をリセットするには、 clear cts role-based counters を使用します。
from キーワードで送信元 SGT を、 to キーワードで宛先 SGT を指定します。 from および to の両方のキーワードを省略すると、すべての統計情報が表示されます。
次の例は、IPv4 および IPv6 イベントのすべての強制の統計情報を表示します。
|
|
---|---|
手動で送信元 IP アドレスをホストまたは VRF 上のセキュリティ グループ タグ(SGT)にマッピングし、SGACL 強制をイネーブルにします。 |
SXP 送信元 IP と SGT のバインディング テーブル(IP-SGT バインディング)を表示するには、EXEC モードまたは特権 EXEC モードで show cts role-based sgt-map コマンドを使用します。
show cts role-based sgt-map { ipv4_dec | ipv4_cidr | ipv6_hex | ipv6_cidr | all [ ipv4 | ipv6 ] |
host { ipv4_decimal | ipv6_dec } | summary [ ipv4 | ipv6 ] |
vrf instance_name { ipv4_dec | ipv4_cidr | ipv6_dec | ipv6_cidr | all { ipv4 | ipv6 } | host { ipv4_decimal | ipv6_dec } |summary { ipv4 | ipv6 } }
|
|
---|---|
このコマンドは、Catalyst 3750(E) および 3560(E) シリーズ スイッチに追加されました( vrf キーワードなし)。 |
|
SXP が適切なセキュリティ グループ タグ(SGT)に送信元 IP アドレスを正しくバインドしていることを確認するには、このコマンドを使用します。VRF のレポートは、特権 EXEC モードからだけ使用できます。
次の例は、IP アドレスおよび SGT の送信元名のバインディングを表示します。
|
|
---|---|
TrustSec シードおよび非シード デバイスで利用可能な RADIUS サーバのリストを表示するには、EXEC モードまたは特権 EXEC モードで show cts server-list コマンドを使用します。
|
|
---|---|
次の例は、TrustSec RADIUS サーバ リストを表示します。
|
|
---|---|
SXP 接続または SourceIP-to-SGT マッピング情報を表示するには、EXEC モードまたは特権 EXEC モードで show cts sxp コマンドを使用します。
show cts sxp { connections | sgt-map } [ brief | vrf instance_name ]
|
|
ネットワーク デバイスの SXP 設定のステータスを表示するには、 cts sxp connections のコマンドを使用します。現在の SourceIP-to-SGT のマッピング データベースを表示するには、 cts sxp sgt-map コマンドを使用します。
次の例では、Catalyst 6500 シリーズ スイッチのデフォルト SXP の設定を表示します。
次に、 brief キーワードを使用して Catalyst 6500 スイッチの SXP 接続を表示する例を示します。
次の例では、Catalyst 6500 シリーズ スイッチの SXP 接続を表示します。
次の例は、SXP スピーカーへの接続が切断された SXP リスナーからの出力を表示します。SourceIP-to-SGT のマッピングは 120 秒(削除のホールドダウン タイマーのデフォルト値)の間保持されます。
次の例は、SXP を介して学習された現在の SourceIP-to-SGT マッピング データベースを表示します。
次の例は、 brief キーワードを使用して現在の SourceIP-to-SGT マッピング データベースを表示します。
|
|
---|---|
ソフトウェアまたはハードウェア暗号化キーストアの内容を表示するには、EXEC モードまたは特権 EXEC モードで show cts keystore コマンドを使用します。
|
|
---|---|
このコマンドが show cts keystore として Catalyst 6500 シリーズ スイッチに追加されました。 |
次の例は、Catalyst 6500 ソフトウェア エミュレート キーストアの内容を表示します。
次の例は、Catalyst 6500 ハードウェア キーストアの内容を表示します。
|
|
---|---|
特定のインターフェイスの Cisco TrustSec リフレクタ モード(Ingress、Egress、Pure、No CTS)のステータスを表示するには、 show platform cts reflector コマンドを使用します。
show platformcts reflector interface type slot / port
|
|
---|---|
|
|
---|---|
dot1x 認証タイマーを設定するには、タイマーの認証の CTS dot1x インターフェイス コンフィギュレーション コマンドを使用します。dot1x 再認証をディセーブルにするには、このコマンドの no 形式を使用します。
[no] timer reauthentication seconds
CTS dot1x インターフェイス コンフィギュレーション サブモード(config-if-cts-dot1x)
|
|
---|---|
認証サーバが期間を指定していない場合は、timer reauthentication コマンドを使用して dot1x 再認証期間を設定します。再認証期間が指定されていない場合、デフォルトの期間は 86,400 秒です。dot1x 再認証をディセーブルにするには、このコマンドの no 形式を使用するか、または 0 秒の期間を指定します。デフォルト値に戻すには、 default timer reauthentication コマンドを使用します。
次の例では、802.1X 再認証期間を 48 時間(172,800 秒)に設定します。
|
|
---|---|