Cisco TrustSec VRF 対応 SGT

Cisco TrustSec VRF 対応 SGT 機能は、特定の Virtual Route Forwarding(VRF)インスタンスとセキュリティグループタグ(SGT)の交換プロトコル(SXP)接続をバインドします。

VRF-Aware SXP

仮想ルーティングおよびフォワーディング(VRF)の SXP の実装は、特定の VRF と SXP 接続をバインドします。Cisco TrustSec を有効にする前に、ネットワーク トポロジがレイヤ 2 またはレイヤ 3 の VPN に対して正しく設定されており、すべての VRF が設定されていることを前提としています。

SXP VRF サポートは、次のようにまとめることができます。

  • 1 つの VRF には 1 つの SXP 接続のみをバインドできます。

  • 別の VRF が重複する SXP ピアまたは送信元 IP アドレス持つ可能性があります。

  • 1 つの VRF で学習(追加または削除)された IP-SGT マッピングは、同じ VRF ドメインでのみ更新できます。SXP 接続は異なる VRF にバインドされたマッピングを更新できません。SXP 接続が VRF で終了しない場合は、その VRF の IP-SGT マッピングは SXP によって更新されません。

  • VRF ごとに複数のアドレス ファミリがサポートされています。そのため、VRF ドメインの 1 つの SXP 接続が IPV4 および IPV6 両方の IP-SGT マッピングを転送できます。

  • SXP には VRF あたりの接続数および IP-SGT マッピング数の制限はありません。

Cisco TrustSec VRF 対応 SGT の設定方法

このセクションでは、Cisco TrustSec VRF 対応 SGT の設定方法について説明します。

VRF とレイヤ 2 VLAN の割り当ての設定

手順

  コマンドまたはアクション 目的

ステップ 1

enable

例:


Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface type number

例:


Device(config)# interface vlan 101

インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 4

vrf forwarding vrf-name

例:


Device(config-if)# vrf forwarding vrf-intf

VRF インスタンスまたは仮想ネットワークをインターフェイスまたはサブインターフェイスに関連付けます。

(注)  

 

管理インターフェイスで VRF を設定しないでください。

ステップ 5

exit

例:


Device(config-if)# end

インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

ステップ 6

cts role-based l2-vrf vrf1 vlan-list 20

例:


Device(config)# cts role-based l2-vrf vrf1 vlan-list 20

レイヤ 2 VLAN の VRF インスタンスを選択します。

ステップ 7

end

例:


Device(config)# end

グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

VRF と SGT のマッピングの設定

手順

  コマンドまたはアクション 目的

ステップ 1

enable

例:


Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

cts role-based sgt-map vrf vrf-name {ip4_netaddress | ipv6_netaddress | host {ip4_address | ip6_address}}] sgt sgt_number

例:


Device(config)# cts role-based sgt-map vrf red 10.0.0.3 sgt 23

指定された VRF のパケットに SGT を適用します。

IP-SGT バインドは、指定された VRF と、IP アドレスのタイプによって示される IP プロトコルのバージョンに関連付けられた IP-SGT のテーブルに入力されます。

ステップ 4

end

例:


Device(config)# end

グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

Cisco TrustSec VRF 対応 SGT の設定例

このセクションでは、Cisco TrustSec VRF 対応 SGT の設定例を示します。

例:VRF とレイヤ 2 VLAN の割り当ての設定

Device> enable
Device# configure terminal
Device(config)# interface vlan 101
Device(config-if)# vrf forwarding vrf-intf
Device(config-if)# exit
Device(config)# cts role-based l2-vrf vrf1 vlan-list 20
Device(config)# end

例:VRF と SGT のマッピングの設定

Device> enable
Device# configure terminal
Device(config)# cts role-based sgt-map vrf red 23.1.1.2 sgt 23
Device(config)# end

Cisco TrustSec VRF 対応 SGT の機能履歴

次の表に、このモジュールで説明する機能のリリースおよび関連情報を示します。

これらの機能は、特に明記されていない限り、導入されたリリース以降のすべてのリリースで使用できます。

リリース

機能

機能情報

Cisco IOS XE Everest 16.5.1a

Cisco TrustSec VRF 対応 SGT

Cisco TrustSec VRF 対応 SGT 機能は、SGT SXP 接続を特定の VRF インスタンスにバインドします。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェアイメージのサポート情報を検索できます。Cisco Feature Navigator には、http://www.cisco.com/go/cfn [英語] からアクセスします。