この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
• 「Cisco TrustSec シード デバイスのクレデンシャル、AAA 設定」
• 「Cisco TrustSec 非シード デバイスのクレデンシャル、AAA 設定」
• 「アップリンク ポートでの 802.1X モードの Cisco TrustSec 認証のイネーブル化」
• 「アップリンク ポートでの手動モードによる Cisco TrustSec 認証の設定」
• 「Cisco TrustSec インターフェイス設定の確認」
認証サーバに直接接続されているか、または接続は間接でも TrustSec ドメインを開始する最初のデバイスである Cisco TrustSec 対応デバイスは、シード デバイスと呼ばれます。他の Cisco TrustSec ネットワーク デバイスは非シード デバイスです。
Cisco TrustSec ドメインを開始できるように、シード スイッチで NDAC および AAA をイネーブルにするには、次の手順を実行します。
|
|
---|---|
このコマンドが、Catalyst 3750(E)、3560(E)、および 3750(X) シリーズ スイッチに追加されました( vrf または IPv6 サポートなし)。 |
(注) Cisco Secure ACS でスイッチの Cisco TrustSec クレデンシャルを設定する必要があります(『Configuration Guide for the Cisco Secure ACS』を参照)。
次に、Cisco TrustSec シード デバイスの AAA を設定する例を示します。
|
|
---|---|
この機能が、Catalyst 3750(E)、3560(E)、および 3750(X) シリーズ スイッチに追加されました。 |
Cisco TrustSec ドメインに参加できるように、非シード スイッチで NDAC および AAA をイネーブルにするには、次の手順を実行します。
(注) Cisco Secure ACS でスイッチの Cisco TrustSec クレデンシャルを設定する必要があります(『Configuration Guide for the Cisco Secure ACS』を参照)。
次に、非シード デバイスに Cisco TrustSec の AAA を設定する例を示します。
|
|
---|---|
別の Cisco TrustSec デバイスに接続する各インターフェイスで Cisco TrustSec 認証をイネーブルにする必要があります。別の Cisco TrustSec デバイスにアップリンク インターフェイス上で 802.1X を使用して Cisco TrustSec 認証を設定するには、次の作業を行います。
この例では、優先 SAP モードとして GCM を使用しているインターフェイス上で、802.1X モードで Cisco TrustSec 認証をイネーブルにする方法を示します。認証サーバは、再認証タイマーを提供していません。
|
|
---|---|
スイッチが認証サーバにアクセスできない場合、または 802.1X 認証が必要でない場合には、インターフェイスで Cisco TrustSec を手動で設定できます。接続の両側のインターフェイスに手動で設定する必要があります。
別の Cisco TrustSec デバイスにアップリンク インターフェイス上で手動で Cisco TrustSec を設定するには、次の作業を行います。
|
|
|
---|---|---|
Router(config-if-cts-manual)# [ no ] sap pmk key [ mode-list mode1 [ mode2 [ mode3 [ mode4 ]]]] |
(任意)SAP の Pairwise Master Key(PMK)と動作モードを設定します。Cisco TrustSec の手動モードでは、SAP はデフォルトでディセーブルになっています。 です。 |
|
Router(config-if-cts-manual)# [ no ] policy dynamic identity peer-name |
(任意)ピアのアイデンティティに基づいた認可サーバからの認可ポリシーの動的ダウンロードを許可するようにアイデンティティ ポート マッピング(IPM)を設定します。この作業の次に記載されている追加の使用上の注意を参照してください。 • peer-name :ピア デバイスの Cisco TrustSec デバイス ID。ピア名では、大文字と小文字が区別されます。 (注) Cisco TrustSec クレデンシャルが設定されていることを確認します(「Cisco TrustSec シード デバイスのクレデンシャル、AAA 設定」を参照)。 |
|
Router(config-if-cts-manual)# [ no ] policy static sgt tag [ trusted ] |
(任意)スタティック許可ポリシーを設定します。この作業の次に記載されている追加の使用上の注意を参照してください。 • tag :10 進表記の SGT。指定できる範囲は 1 ~ 65533 です。 • trusted :この SGT を使用するインターフェイスの入力トラフィックのタグを上書きしてはいけないことを示します。 |
|
(任意)このコマンドの no 形式は、ピアが SGT を処理できない場合に使用されます。 no propagate sgt コマンドを使用すると、インターフェイスからピアに SGT が送信されなくなります。 |
||
アイデンティティ ポート マッピング(IPM)は、そのポートに着信するすべてのトラフィックに対して、単一の SGT が適用されるように、物理ポートを設定します。この SGT は、新しいバインディングが取得されるまで、そのポートから発信されるすべての IP トラフィックに適用されます。IPM は次のように設定されます。
• CTS 手動インターフェイス コンフィギュレーション モードで policy static sgt tag コマンドを使用
• CTS 手動インターフェイス コンフィギュレーション モードで policy dynamic identity peer-name コマンドを使用。Cisco ACS または Cisco ISE 設定では、 peer-name は non-trusted に指定されています。
インターフェイスの Cisco TrustSec を手動で設定する場合は、次のような使用上の注意事項、および制約事項を考慮してください。
• SAP パラメータが定義されていない場合、Cisco TrustSec カプセル化または暗号化は行われません。
• 選択した SAP モードで SGT を挿入可能にし、すべての着信パケットが SGT を伝送していない場合、タギング ポリシーは次のとおりです。
– policy static コマンドが設定されている場合、パケットには policy static コマンドで設定した SGT がタグ付けされます。
– policy dynamic コマンドが設定されている場合、パケットはタグ付けされません。
• 選択した SAP モードで SGT を挿入可能にし、着信パケットが SGT を伝送している場合、タギング ポリシーは次のとおりです。
– policy static コマンドが trusted キーワードを指定せずに設定されている場合、SGT は policy static コマンドで設定した SGT に置き換えられます。
– policy static コマンドが trusted キーワードを使用して設定されている場合、SGT は変更されません。
– policy dynamic コマンドが設定されていて、認証サーバからダウンロードされた認可ポリシーがパケットの送信元が信頼できないことを示している場合、SGT はダウンロードしたポリシーで指定されている SGT に置き換えられます。
– policy dynamic コマンドが設定されていて、ダウンロードされた認可ポリシーがパケットの送信元が信頼できることを示している場合、SGT は変更されません。
次に、インターフェイスに Cisco TrustSec 認証を手動モードで設定する例を示します。
暗号キーを手動で更新する機能は、多くの場合、ネットワーク アドミニストレーションのセキュリティ要件の一部です。SAP キー リフレッシュは通常、ネットワーク イベントおよび設定不可能な内部タイマーの組み合わせによりトリガーされ、自動的に行われます。
|
|
---|---|
この機能が、Catalyst 3750(E)、3560(E)、および 3750(X) シリーズ スイッチに追加されました。 |
|
|
|
---|---|---|
TrustSec-relate MLS インターフェイスの設定を表示するには、次の作業を行います。
|
|
|
---|---|---|
Router# show cts interface [ interface type slot/port | brief | summary ] |
次に、TrustSec-related インターフェイス コンフィギュレーションを表示する例を示します。
|
|
---|---|
通常の Cisco TrustSec 動作では、認証サーバがデバイスから発信されるパケット用に、そのデバイスに SGT を割り当てます。認証サーバにアクセスできない場合は、使用する SGT を手動で設定できますが、認証サーバから割り当てられた SGT のほうが、手動で割り当てた SGT よりも優先されます。
デバイスの SGT を手動で設定するには、次の作業を行います。
|
|
|
---|---|---|
デバイスから送信されるパケットの SGT を設定します。 tag 引数は 10 進表記です。指定できる範囲は 1 ~ 65533 です。 |
||
|
|
---|---|
SXPv3 が Catalyst 6500 スイッチに追加されました。 次のキーワードが、Catalyst 6500 シリーズ スイッチの cts role-based sgt-map コマンドに追加されました。 |
この項では、SGT と送信元 IP アドレスのマッピングについて説明します。
• 「レイヤ 3 論理インターフェイスと SGT のマッピング(L3IF-SGT マッピング)」
cts インターフェイス手動モードでのアイデンティティ ポート マッピングについては、次の項を参照してください。
• 「アップリンク ポートでの手動モードによる Cisco TrustSec 認証の設定」
サブネットと SGT のマッピングは、指定したサブネット内のすべてのホスト アドレスに SGT をバインドします。TrustSec は着信パケットの送信元 IP アドレスが指定したサブネットに属する場合そのパケットに SGT を適用します。サブネットおよび SGT は、 cts role-based sgt-map net_address / prefix sgt sgt_number グローバル コンフィギュレーション コマンドを使用して CLI で指定されます。単一のホストは、このコマンドでマップされる可能性があります。
IPv4 ネットワークでは、SXPv3 以降のバージョンは SXPv3 ピアからサブネットの net_address / prefix ストリングを受信し、解析できます。以前の SXP バージョンは SXP リスナー ピアへエクスポートする前にサブネット プレフィックスをホストのバインディングのセットに変換します。
たとえば、IPv4 サブネット 198.1.1.0 /29 は次のように拡張されます(ホスト アドレスの 3 ビットのみ)。
• ホスト アドレス 198.1.1.1 ~ 198.1.1.7:タグ付けされ SXP ピアに伝播されます。
• ネットワーク、およびブロードキャスト アドレス 198.1.1.0 および 198.1.1.8:タグ付けされず、伝播しません。
SXPv3 がエクスポートできるサブネット バインディング数は制限するには、 cts sxp mapping network-map グローバル コンフィギュレーション コマンドを使用します。
サブネット バインディングはスタティックで、アクティブ ホストの学習はありません。これらは SGT インポジションおよび SGACL の強制にローカルで使用できます。サブネットと SGT のマッピングによってタグ付けされたパケットは、レイヤ 2 またはレイヤ 3 TrustSec リンクに伝播できます。
IPv6 ネットワークの場合、SXPv3 は SXPv2 または SXPv1 ピアにサブネット バインディングをエクスポートできません。
|
|
|
---|---|---|
このコマンドのサポートが Catalyst 6500 シリーズ スイッチの SXPv3 で導入されました。関連する CLI は以前のリリースで表示されています。 |
• /31 プレフィックスの IPv4 サブ ネットワークを拡張できません。
• サブネット ホスト アドレスは、 network-map bindings パラメータが、指定したサブネットのサブネット ホストの合計数よりも小さいか、 bindings が 0 の場合、SGT にバインドできません。
• SXP スピーカーおよびリスナーが SXPv3 以降のバージョンを実行している場合のみ、IPv6 拡張および伝播が実行されます。
サブネットと SGT のマッピング設定情報を表示するには、次のいずれかの作業を行います。
|
|
---|---|
サブネットと SGT のコンフィギュレーション コマンドが実行コンフィギュレーション ファイル内にあることを確認します。 |
次に、SXPv3 を実行している 2 台の Catalyst 6500 シリーズ スイッチ(Switch1 と Switch2)間で IPv4 のサブネットと SGT のマッピングを設定する例を示します。
ステップ 1 Switch1(1.1.1.1)とスイッチ 2(2.2.2.2)間の SXP スピーカー/リスナー ピアリングを設定します。
ステップ 2 Switch1 の SXP リスナーとしてスイッチ 2 を設定します。
ステップ 3 Switch2 で、SXP 接続が動作していることを確認してください。
ステップ 4 サブネットワークを Switch1 に拡張されるように設定します。
ステップ 5 Switch2 で、Switch1 からのサブネットと SGT の拡張を確認します。ここには、10.10.10.0/30 サブネットワーク用の拡張が 2 個、11.11.11.0/29 サブネットワーク用の拡張が 6 個、192.168.1.0/28 サブネットワーク用の拡張が 14 個存在する必要があります。
ステップ 7 設定をスイッチ 1 およびスイッチ 2 に保存し、グローバル コンフィギュレーション モードを終了します。
VLAN と SGT のマッピング機能にでは、指定された VLAN からのパケットに SGT をバインドします。これは、次のような点で、レガシーネットワークからの TrustSec 対応ネットワークへの移行を簡素化します。
• レガシーのスイッチ、ワイヤレス コントローラ、アクセス ポイント、VPN などの、TrustSec 対応ではないが VLAN 対応のデバイスをサポートします。
• データセンターのサーバ セグメンテーションなどの、VLAN および VLAN ACL がネットワークを分割するトポロジに対する下位互換性を提供します。
VLAN と SGT のバインディングは cts role-based sgt-map vlan-list グローバル コンフィギュレーション コマンドで設定されます。
TrustSec 対応スイッチ上で、スイッチ仮想インターフェイス(SVI)であるゲートウェイが VLAN に割り当てられており、そのスイッチで IP デバイス トラッキングがイネーブルになっている場合、TrustSec は、SVI サブネットにマッピングされている VLAN 上のすべてのアクティブなホストに対して IP と SGT のバインディングを作成できます。
アクティブ VLAN のホストの IP-SGT バインディングは SXP リスナーにエクスポートされます。マッピングされた各 VLAN のバインディングは VRF に関連付けられた IP-to-SGT テーブルに挿入されます。VLAN は SVI または cts role-based l2-vrf cts グローバル コンフィギュレーション コマンドでマッピングされます。
VLAN と SGT のバインディングの優先順位は最も低く、SXP または CLI ホスト コンフィギュレーションなどのその他のソースからのバインディングが受信された場合は、無視されます。バインディング優先順位は「バインディング送信元プライオリティ」に記載しています。
|
|
|
---|---|---|
このコマンドのサポートが Catalyst 6500 シリーズ スイッチの SXPv3 で導入されました。関連する CLI は以前のリリースで表示されています。 |
• 着信 VLAN で同じ VLAN_ID で TrustSec スイッチ上に VLAN を作成します。
• エンドポイントのクライアントに対して、デフォルトのゲートウェイになるように TrustSec スイッチの VLAN に SVI を作成します。
• VLAN トラフィックに SGT を適用するように TrustSec スイッチを設定します。
VLAN と SGT の設定情報を表示するには、次の show コマンドを使用します。
|
|
---|---|
これらのコマンドの出力フィールドの詳細については、または『 Cisco IOS 15.0SY Security and VPN Command Reference 』を参照してください。
次の例では、単一のホストは、アクセス スイッチ上の VLAN 100 に接続します。アクセス スイッチから Catalyst 6500 シリーズ TrustSec ソフトウェア対応スイッチにアクセス モードのリンクがあります。TrustSec スイッチのスイッチ仮想インターフェイスは VLAN 100 のエンドポイントのデフォルト ゲートウェイになります(IP アドレス 10.1.1.1)。TrustSec スイッチは VLAN 100 からのパケットにセキュリティ グループ タグ(SGT)10 を適用します。
ステップ 1 アクセス スイッチ上に VLAN 100 を作成します。
access_switch(config)# vlan 100
access_switch(config-vlan)# no shutdown
access_switch(config-vlan)# exit
ステップ 2 アクセス リンクとして TrustSec スイッチのインターフェイスを設定します。エンドポイントのアクセス ポートの設定は、この例では省略されます。
access_switch(config)# interface gigabitEthernet 6/3
access_switch(config-if)# switchport
access_switch(config-if)# switchport mode access
access_switch(config-if)# switchport access vlan 100
ステップ 3 TrustSec スイッチに VLAN 100 を作成します。
ステップ 4 着信 VLAN 100 のゲートウェイとして SVI を作成します。
ステップ 5 VLAN 100 のホストにセキュリティ グループ タグ(SGT)10 を割り当てます。
ステップ 6 TrustSec スイッチで IP デバイス トラッキングをイネーブルにします。それが動作していることを確認します。
ステップ 7 (任意) エンドポイントからデフォルト ゲートウェイを ping します(この例では、ホスト IP アドレス 10.1.1.1)。SGT 10 が VLAN 100 のホストにマッピングされていることを確認します。
L3IF-SGT マッピングは、基盤となる物理インターフェイスに関係なく、次のレイヤ 3 インターフェイスのトラフィックに直接 SGT をマッピングできます:
(SGT アソシエーションが Cisco ISE または Cisco ACS アクセス サーバから動的に取得される)特定の SGT 番号またはセキュリティ グループ名を指定するには、 cts role-based sgt-map interface グローバル コンフィギュレーション コマンドを使用します。
アイデンティティ ポート マッピング(cts インターフェイス手動サブ モード コンフィギュレーション)および L3IF-SGT が異なる IP と SGT のバインディングを必要とする場合、IPM が優先されます。IP と SGT のバインディングのその他の競合は、「バインディング送信元プライオリティ」にリストされている優先順位に従って解決されます。
|
|
|
---|---|---|
L3IF と SGT の設定情報を表示するには、次の show コマンドを使用します。
|
|
---|---|
次の例では、Catalyst 6500 シリーズ スイッチ ラインカードのレイヤ 3 インターフェイスで、すべての入力トラフィックに SGT 3 がタグ付けされるように設定します。接続されたサブネットのプレフィックスがすでにわかっています。
Switch(config)# interface gigabitEthernet 6/3 sgt 3
ステップ 2 インターフェイスに着信するトラフィックが適切にタグ付けされることを確認します。
TrustSec は完全優先方式で IP-SGT バインディング ソース間の競合を解決します。たとえば、SGT は policy { dynamic identity peer-name | static sgt tag } CTS 手動インターフェイス モード コマンド(アイデンティティ ポート マッピング)を使用してインターフェイスに適用されます。 現在の優先順位の適用順序は、最も小さい(1)から最高(7)まで、次のとおりです。
1. VLAN:VLAN-SGT マッピングが設定された VLAN 上のスヌーピングされた ARP パケットから学習されたバインディング。
2. CLI: cts role-based sgt-map グローバル コンフィギュレーション コマンドの IP-SGT 形式を使用して設定されたアドレス バインディング。
3. レイヤ 3 インターフェイス:(L3IF)一貫した L3IF-SGT マッピングやアイデンティティ ポート マッピングを使用する 1 つ以上のインターフェイスを通るパスを持つ FIB 転送エントリが原因で追加されたバインディング。
5. IP_ARP:タグ付けされた ARP パケットが CTS 対応リンクで受信されたときに学習されたバインディング。
6. LOCAL:EPM とデバイス トラッキングによって学習された認証済みホストのバインディング。このタイプのバインディングには、L2 [I]PM が設定されたポートの ARP スヌーピングによって学習された個々のホストも含まれます。
スイッチと Cisco TrustSec サーバ間の相互対話を設定するには、次の作業を 1 つまたは複数行います。
次に、サーバ設定を設定して Cisco TrustSec サーバ リストを表示する例を示します。
|
|
---|---|
スイッチと認証サーバ間のパスワードを手動で設定する方法の代替方法として、スイッチからパスワード ネゴシエーションを開始できます。パスワード ネゴシエーションを設定するには、次の作業を行います。
|
|
|
---|---|---|
Router# cts change-password server ip-address port { key secret | a-id a-id } |
スイッチと認証サーバ間のパスワード ネゴシエーションを開始します。 |