この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
SGT 交換プロトコル(SXP)を使用すると、Cisco TrustSec のハードウェア サポートがないネットワーク デバイスに SGT を伝播できます。ここでは、ネットワークのスイッチに Cisco TrustSec SXP を設定する方法について説明します。
• 「SXP で学習された IP アドレスと SGT マッピングの変更をキャプチャするための syslog の作成方法」
• 「Cisco TrustSec ドメイン間のレイヤ 3 SGT トランスポートの設定」
• 「Cisco TrustSec 非対応スイッチング モジュールでの Cisco TrustSec リフレクタの設定」
Cisco TrustSec SXP を設定するには、次の手順を実行します。
ステップ 2 Cisco TrustSec SXP をイネーブルにします(「Cisco TrustSec SXP のイネーブル化」を参照)。
ステップ 3 SXP ピア接続を設定します(「SXP ピア接続の設定」を参照)。
ピアの接続を設定する前に、Cisco TrustSec SXP をイネーブルにする必要があります。Cisco TrustSec SXP をイネーブルにするには、次の作業を行います。
|
|
|
---|---|---|
両方のデバイスで SXP ピア接続を設定する必要があります。一方のデバイスはスピーカーで、他方のデバイスはリスナーになります。パスワード保護を使用している場合は、必ず両エンドに同じパスワードを使用してください。
(注) デフォルトの SXP 送信元 IP アドレスが設定されていない場合に、接続の SXP 送信元アドレスを設定しないと、Cisco TrustSec ソフトウェアは既存のローカル IP アドレスから SXP 送信元 IP アドレスを抽出します。SXP 送信元アドレスは、スイッチから開始される各 TCP 接続ごとに異なる場合があります。
次に、SXP をイネーブルにし、SwitchA(スピーカー)で SwitchB(リスナー)への SXP ピア接続を設定する例を示します。
次に、SwitchB(リスナー)で SwitchA(スピーカー)への SXP ピア接続を設定する例を示します。
デフォルトでは、SXP は接続のセットアップ時にパスワードを使用しません。スイッチのデフォルト SXP パスワードを設定できます。Cisco IOS Release 12.2(50)SY 以降では、SXP のデフォルト パスワードに暗号化されたパスワードを指定できます。
デフォルト SXP パスワードを設定するには、次の作業を行います。
|
|
|
---|---|---|
Router(config)# cts sxp default password [ 0 | 6 | 7 ] password |
SXP のデフォルト パスワードを設定します。クリア テキスト パスワード( 0 またはオプションなしを使用)または暗号化パスワード( 6 または 7 オプションを使用)を入力できます。パスワードの最大長は 32 文字です。 |
|
次に、デフォルト SXP パスワードを設定する例を示します。
SXP は送信元 IP アドレスが指定されないと、新規の TCP 接続すべてにデフォルトの送信元 IP アドレスを使用します。デフォルト SXP 送信元 IP アドレスを設定しても、既存の TCP 接続には影響しません。
デフォルト SXP 送信元 IP アドレスを設定するには、次の作業を行います。
|
|
|
---|---|---|
次に、SXP のデフォルトの送信元 IP アドレスを設定する例を示します。
ピアが SXP 接続を終了すると、内部ホールドダウン タイマーが開始されます。内部ホールドダウン タイマーが終了する前にピアが再接続すると、SXP 復帰期間タイマーが開始されます。SXP 復帰期間タイマーがアクティブな間、Cisco TrustSec ソフトウェアは前回の接続で学習した SGT マッピング エントリを保持し、無効なエントリを削除します。デフォルト値は 120 秒(2 分)です。SXP 復帰期間を 0 秒に設定すると、タイマーがディセーブルになり、前回の接続のすべてのエントリが削除されます。
|
|
|
---|---|---|
SXP リトライ期間によって、Cisco TrustSec ソフトウェアが SXP 接続を再試行する頻度が決まります。SXP 接続が正常に確立されなかった場合、Cisco TrustSec ソフトウェアは SXP リトライ期間タイマーの終了後に、新たな接続の確立を試行します。デフォルト値は 120 秒です。SXP 再試行期間を 0 秒に設定するとタイマーは無効になり、接続は再試行されません。
|
|
|
---|---|---|
cts sxp log binding-changes グローバル コンフィギュレーション コマンドを実行すると、IP アドレスと SGT バインディングの変更(追加、削除、変更)が発生するたびに SXP の syslog(sev 5 syslog)が生成されます。これらの変更は SXP 接続で学習されて伝播されます。
デフォルトは、 no cts sxp log binding-changes です。
バインディングの変更のロギングをイネーブルにするには、次の作業を実行します。
|
|
|
---|---|---|
|
|
|
---|---|---|
|
|
---|---|
Cisco TrustSec 対応のデバイスが存在しないネットワーク ドメインのエッジに Cisco TrustSec ゲートウェイ デバイスのレイヤ 3 SGT トランスポートを設定できます。
レイヤ 3 SGT トランスポートを設定するには、次の作業を行います。
Cisco TrustSec レイヤ 3 SGT トランスポートを設定する場合は、次の使用上のガイドラインおよび制約事項を考慮してください。
• Cisco TrustSec レイヤ 3 SGT トランスポート機能はハードウェア暗号化をサポートするポートだけで設定できます。
• Cisco TrustSec レイヤ 3 SGT トランスポートのトラフィック ポリシーおよび例外ポリシーには次の制限があります。
– ポリシーは、IP 拡張または IP 名前付き拡張 ACL として設定する必要があります。
– ポリシーには deny エントリを含めることはできません。
– 同じ ACE がトラフィック ポリシーおよび例外ポリシーの両方に存在する場合は、例外ポリシーが優先されます。Cisco TrustSec レイヤ 3 カプセル化は、その ACE に一致するパケットで実行されます。
• トラフィック ポリシーおよび例外ポリシーは認証サーバからダウンロード(ご使用の Cisco IOS Release でサポートされている場合)するか、またはデバイスに手動で設定できます。ポリシーは次のルールに基づいて適用されます。
– トラフィック ポリシーまたは例外ポリシーが認証サーバからダウンロードされる場合、手動で設定されたトラフィック ポリシーまたは例外ポリシーよりも優先されます。
– 認証サーバが使用できず、トラフィック ポリシー、および例外ポリシーの両方を手動で設定すると、手動で設定されたポリシーが使用されます。
– 認証サーバが使用できず、トラフィック ポリシーを例外ポリシーなしで設定すると、例外ポリシーは適用されません。Cisco TrustSec レイヤ 3 カプセル化がトラフィック ポリシーに基づいてインターフェイスに適用されます。
– 認証サーバが使用できず、トラフィック ポリシーが手動で設定されていない場合は、Cisco TrustSec レイヤ 3 カプセル化がインターフェイスで実行されません。
次に、リモート Cisco TrustSec ドメインにレイヤ 3 SGT トランスポートを設定する例を示します。
|
|
---|---|
(注) Cisco TrustSec スーパーバイザの入力リフレクタおよび Cisco TrustSec 出力リフレクタは相互に排他的です。両方の機能をイネーブルにしないでください。
出力リフレクタは ERSPAN を設定する場合は無効にします。
Cisco TrustSec スーパーバイザの入力リフレクタ機能を設定するには、次の作業を実行します。
|
|
|
---|---|---|
Cisco TrustSec リフレクタ モード(Ingress、Egress、Pure、または No CTS)を表示します。 |
次に、Cisco TrustSec 入力リフレクタを設定する例を示します。
(注) Cisco TrustSec 入力リフレクタをディセーブルにする前に、Cisco TrustSec 非対応スイッチング モジュールの電力を切る必要があります。
Cisco TrustSec 出力リフレクタ機能を設定するには、次の作業を実行します。
|
|
|
---|---|---|
Cisco TrustSec リフレクタ モード(Ingress、Egress、Pure、または No CTS)を表示します。 |
次に、Cisco TrustSec 出力リフレクタを設定する例を示します。
(注) Cisco TrustSec 出力リフレクタをディセーブルにする前に、Cisco TrustSec 非対応スイッチング モジュールの電力を切る必要があります。
• 「Cisco TrustSec のキャッシングのイネーブル化」
短時間停止から迅速にリカバリするために、Cisco TrustSec 接続の認証、許可、およびポリシー情報のキャッシングをイネーブルにできます。キャッシングすることで、Cisco TrustSec ドメインを完全に再認証しなくても、Cisco TrustSec デバイスが期限の切れていないセキュリティ情報を使用して停止後にリンクを復元できるようになります。Cisco TrustSec デバイスは DRAM にセキュリティ情報をキャッシュします。不揮発性(NV)ストレージもイネーブルにしている場合は、DRAM のキャッシュ情報も NV のメモリに保存されます。リブート中に NV のメモリの内容が DRAM に入力されます。
(注) 長時間の停止中に、Cisco TrustSec キャッシュ情報が期限切れになる可能性が高くなります。
Cisco TrustSec キャッシングをイネーブルにするには、次の作業を行います。
次に、不揮発性ストレージなどの、Cisco TrustSec キャッシングを設定する例を示します。
Cisco TrustSec 接続用のキャッシュをクリアするには、次の作業を行います。
|
|
|
---|---|---|
Router# clear cts cache [ authorization-policies [ peer ] | environment-data | filename filename | interface-controller [ type slot/port ]] |
次に、Cisco TrustSec キャッシュをクリアする例を示します。