この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Cisco TrustSec セキュリティ グループ アクセス コントロール リスト(SGACL)は、Cisco StackWise 技術をサポートしているスイッチでのハイアベイラビリティ機能をサポートしています。この技術によってステートフルな冗長性が提供され、スイッチスタックはアクセス制御エントリを強制し、処理できます。
このマニュアルでは、次のことを前提としています。
Cisco TrustSec およびセキュリティ グループ アクセス コントロール リスト(SGACL)構成を理解している。
デバイスは、スタックとして機能するように設定されている。
スタック内のすべてのデバイスが同一バージョンの Cisco IOS XE ソフトウェアを実行している。
アクティブスイッチとスタンバイスイッチの両方で同時に障害が発生した場合、SGACL のステートフルスイッチオーバーは発生しません。
Cisco TrustSec セキュリティ グループ アクセス コントロール リスト(SGACL)は、Cisco StackWise 技術をサポートしているスイッチでのハイアベイラビリティ機能をサポートしています。この技術によってステートフルな冗長性が提供され、スイッチスタックはアクセス制御エントリを強制し、処理できます。
この機能を有効にする Cisco TrustSec 固有の設定はありません。これは、Cisco IOS XE Denali 16.2.1 以降のリリースでサポートされます。
スイッチスタックでは、スタックマネージャが最も高い優先順位を持つスイッチをアクティブスイッチとして割り当て、次に高い優先順位を持つスイッチをスタンバイスイッチとして割り当てます。自動または CL I ベースのステートフルスイッチオーバー中は、スタンバイスイッチがアクティブスイッチになり、次に優先順位の高いスイッチなどがスタンバイスイッチになります。
運用データは、初期のシステムブートアップ、運用データの変更(認可変更(CoA)とも呼ばれる)、または運用データのリフレッシュ時に、アクティブスイッチからスタンバイスイッチに同期されます。
ステートフルスイッチオーバー中に、新たにアクティブになったスイッチは、運用データを要求してダウンロードします。環境データ(ENV-data)とロールベース アクセス コントロール リスト(RBACL)は、リフレッシュ時間が完了するまで更新されません。
次の運用データがアクティブスイッチにダウンロードされます。
環境データ(ENV-data):リフレッシュ時または初期化時に RBACL 情報を取得するための優先サーバーリストで構成される可変長フィールド。
Protected Access Credential(PAC):セキュアトンネリング(EAP-FAST)のトンネルを介した拡張可能な認証プロトコル Flexible Authentication(FlexAuth; フレキシブル認証)を保護するために、スイッチとオーセンティケータ間で相互に一意に共有される共有秘密。
ロールベースのポリシー(RBACL または SGACL):スイッチ上のすべてのセキュリティグループタグ(SGT)マッピングのポリシー定義で構成される可変長ロールベースのポリシーリスト。
 (注) |
デバイス ID とパスワードの詳細で構成される Cisco TrustSec クレデンシャルは、アクティブスイッチでコマンドとして実行されます。 |
Cisco TrustSec SGACL ハイアベイラビリティ設定を確認するには、アクティブスイッチとスタンバイスイッチの両方で show cts role-based permissions コマンドを実行します。コマンドの出力は、両方のスイッチで同じである必要があります。
次に、アクティブスイッチでの show cts role-based permissions コマンドの出力例を示します。
Device# show cts role-based permissions
IPv4 Role-based permissions default (monitored):
default_sgacl-01
Deny IP-00
IPv4 Role-based permissions from group 10:SGT_10 to group 15:SGT_15:
SGACL_3-01
IPv4 Role-based permissions from group 14:SGT_14 to group 15:SGT_15:
multple_ace-14
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE
次に、スタンバイスイッチでの show cts role-based permissions コマンドの出力例を示します。
Device-stby# show cts role-based permissions
IPv4 Role-based permissions default (monitored):
default_sgacl-01
Deny IP-00
IPv4 Role-based permissions from group 10:SGT_10 to group 15:SGT_15:
SGACL_3-01
IPv4 Role-based permissions from group 14:SGT_14 to group 15:SGT_15:
multple_ace-14
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE
ステートフル スイッチオーバー後、アクティブスイッチで次のコマンドを実行して機能を確認します。
次に、show cts pacs コマンドの出力例を示します。
Device# show cts pacs
AID: A3B6D4D8353F102346786CF220FF151C
PAC-Info:
PAC-type = Cisco Trustsec
AID: A3B6D4D8353F102346786CF220FF151C
I-ID: CTS_ED_21
A-ID-Info: Identity Services Engine
Credential Lifetime: 17:22:32 IST Mon Mar 14 2016
PAC-Opaque:
000200B80003000100040010A3B6D4D8353F102346786CF220FF151C0006009C00030100E044B2650D8351FD06
F23623C470511E0000001356DEA96C00093A80538898D40F633C368B053200D4C9D2422A7FEB4837EA9DBB89D1
E51DA4E7B184E66D3D5F2839C11E5FB386936BB85250C61CA0116FDD9A184C6E96593EEAF5C39BE08140AFBB19
4EE701A0056600CFF5B12C02DD7ECEAA3CCC8170263669C483BD208052A46C31E39199830F794676842ADEECBB
A30FC4A5A0DEDA93
Refresh timer is set for 01:00:05次に、show cts environment-data コマンドの出力例を示します。
Device# show cts environment-data
CTS Environment Data
====================
Current state = COMPLETE
Last status = Successful
Local Device SGT:
SGT tag = 0:Unknown
Server List Info:
Installed list: CTSServerList1-000D, 1 server(s):
*Server: 10.78.105.47, port 1812, A-ID A3B6D4D8353F102346786CF220FF151C
Status = ALIVE
auto-test = FALSE, keywrap-enable = FALSE, idle-time = 60 mins, deadtime = 20 secs
Multicast Group SGT Table:
Security Group Name Table:
0001-45 :
0-00:Unknown
2-ba:SGT_2
3-00:SGT_3
4-00:SGT_4
5-00:SGT_5
6-00:SGT_6
7-00:SGT_7
8-00:SGT_8
9-00:SGT_9
10-16:SGT_10
!
!
!
Environment Data Lifetime = 3600 secs
Last update time = 14:32:53 IST Mon Mar 14 2016
Env-data expires in 0:00:10:04 (dd:hr:mm:sec)
Env-data refreshes in 0:00:10:04 (dd:hr:mm:sec)
Cache data applied = NONE
State Machine is running
次に、ステートフル スイッチオーバー後の show cts role-based permissions コマンドの出力例を示します。
Device# show cts role-based permissions
IPv4 Role-based permissions default:
default_sgacl-01
Deny IP-00
IPv4 Role-based permissions from group 10:SGT_10 to group 15:SGT_15:
SGACL_3-01
IPv4 Role-based permissions from group 14:SGT_14 to group 15:SGT_15:
multple_ace-14
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE
|
関連項目 |
マニュアル タイトル |
|---|---|
|
この章で使用するコマンドの完全な構文および使用方法の詳細。 |
Command Reference (Catalyst 9300 Series Switches) の「Cisco TrustSec Commands」セクションを参照してください |
次の表に、このモジュールで説明する機能のリリースおよび関連情報を示します。
これらの機能は、特に明記されていない限り、導入されたリリース以降のすべてのリリースで使用できます。
|
リリース |
機能 |
機能情報 |
|---|---|---|
|
Cisco IOS XE Everest 16.5.1a |
SGACL ハイ アベイラビリティ |
Cisco TrustSec SGACL は、Cisco StackWise 技術をサポートしているスイッチでのハイアベイラビリティ機能をサポートしています。この技術によってステートフルな冗長性が提供され、スイッチスタックはアクセス制御エントリを強制し、処理できます。 |
Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェアイメージのサポート情報を検索できます。Cisco Feature Navigator には、http://www.cisco.com/go/cfn [英語] からアクセスします。
フィードバック