SGT 交換プロトコルの設定

SGT 交換プロトコル(SXP)を使用すると、Cisco TrustSec のハードウェアサポートがないネットワークデバイスにセキュリティグループタグ(SGT)を伝播できます。このモジュールでは、ネットワークのスイッチに Cisco TrustSec SXP を設定する方法について説明します。

Cisco TrustSec は、信頼できるネットワーク デバイスのドメインを確立することによってセキュア ネットワークを構築します。ドメイン内の各デバイスは、そのピアによって認証されます。ドメイン内のデバイス間リンクでの通信は、暗号化、メッセージ整合性検査、データパス リプレイ防止メカニズムを組み合わせたセキュリティで保護されます。

セキュリティグループタグ(SGT)交換プロトコル(SXP)は、CTS をサポートする複数のプロトコルの 1 つであり、本書では Cisco TrustSec-SXP と呼びます。Cisco TrustSec-SXP は、パケットのタグ付け機能がないネットワークデバイス全体に IP と SGT のバインドの情報を伝播する、制御プロトコルです。Cisco TrustSec-SXP は、IP と SGT のバインドをネットワーク上の認証ポイントからアップストリームデバイスへ渡します。このプロセスにより、スイッチ、ルータ、ファイアウォールのセキュリティ サービスは、アクセス デバイスから学習したアイデンティティ情報を伝えることができます。

SGT 交換プロトコルの前提条件

SXP を導入する前に、Cisco TrustSec-SGT Over Exchange Protocol (SXP)ネットワークを確立する必要があります。このネットワークには次の前提条件があります。

  • Cisco TrustSec の機能を既存のルータで使用するには、Cisco TrustSec のセキュリティ ライセンスを購入していること。ルータを発注済みで Cisco TrustSec の機能が必要な場合は、発送前に、このライセンスが使用するルータにプリインストールされていること。

  • Cisco TrustSec ソフトウェアをすべてのネットワークデバイス上で実行すること。

  • すべてのネットワークデバイス間が接続されていること。

  • 認証には Cisco Identity Services Engine 1.0 が必要です。認証には Secure Access Control Server(ACS)Express Appliance サーバーも使用できますが、Cisco TrustSec ではすべての ACS 機能がサポートされていません。ACS 5.1 が Cisco TrustSec-SXP ライセンスで動作していること。

  • 異なるルータで異なる値に retry open timer コマンドを設定します。

SGT 交換プロトコルの制約事項

  • Cisco TrustSec 交換プロトコルは論理インターフェイスでサポートされておらず、物理インターフェイスだけでサポートされています。

  • Cisco IOS XE Everest 16.6.4 以降のリリースでは、ダイナミックホスト制御プロトコル(DHCP)スヌーピングが有効になっている場合、DHCP パケットに対する Cisco TrustSec の適用は、適用ポリシーによってバイパスされます。

SGT 交換プロトコルに関する情報

このセクションでは、SGT 交換プロトコルについて説明します。

SGT 交換プロトコルの概要

Cisco TrustSec は、信頼できるネットワーク デバイスのドメインを確立することによってセキュア ネットワークを構築します。ドメイン内の各デバイスは、そのピアによって認証されます。ドメイン内のデバイス間リンクでの通信は、暗号化、メッセージ整合性検査、データパス リプレイ防止メカニズムを組み合わせたセキュリティで保護されます。

セキュリティグループタグ(SGT)交換プロトコル(SXP)は、Cisco TrustSec をサポートする複数のプロトコルの 1 つです。SXP は、パケットのタグ付け機能がないネットワークデバイス全体に IP と SGT のバインドの情報を伝播する、制御プロトコルです。Cisco TrustSec は、出力インターフェイスでパケットをフィルタリングします。エンドポイント認証時に、Cisco TrustSec ドメイン(エンドポイントの IP アドレス)にアクセスするホストはダイナミックホスト制御プロトコル(DHCP)スヌーピングおよび IP デバイストラッキングによってアクセスデバイスで SGT に関連付けられます。アクセスデバイスは、Cisco TrustSec ハードウェア対応出力のデバイスに、SXP 経由でそのアソシエーションまたはバインドを送信します。これらのデバイスは、送信元の IP と SGT のバインドのテーブルを維持します。パケットは、セキュリティ グループ アクセス コントロール リスト(SGACL)を適用することにより、Cisco TrustSec ハードウェア対応デバイスによって出力インターフェイスでフィルタリングされます。SXP は、IP と SGT のバインドをネットワーク上の認証ポイントからアップストリームデバイスへ渡します。このプロセスにより、スイッチ、ルータ、ファイアウォールのセキュリティ サービスは、アクセス デバイスから学習したアイデンティティ情報を伝えることができます。

SGT は、次のエンドポイント アドミッション コントロール(EAC)アクセス方式のいずれかを使用して割り当てることができます。

  • 802.1X ポートベースの認証

  • MAC 認証バイパス(MAB)

  • Web 認証

SXP は、トランスポートプロトコルとして TCP を使用し、接続を開始するために TCP ポート 64999 を使用します。SXP は、認証と完全性チェックに Message Digest 5(MD5)を使用します。これには、定義された 2 つのロールとして、スピーカー(イニシエータ)とリスナー(レシーバ)があります。

セキュリティ グループ タギング

セキュリティグループタグは、一意のロールに割り当てられる一意の 16 ビットタグです。送信元ユーザー、デバイス、またはエンティティの権限を表し、Cisco TrustSec ドメインの入力でタグ付けされます。SXP は、認証時に取得したデバイスおよびユーザーのクレデンシャルを使用して、ネットワークに進入するパケットをセキュリティグループ(SG)で分類します。このパケット分類は、Cisco TrustSec ネットワークへの入力時にパケットにタグ付けされることにより維持されます。タグによってパケットはデータパス全体を通じて識別され、セキュリティおよびその他のポリシー基準が適用されます。セキュリティ グループ タグ(SGT)によってエンドポイント デバイスはトラフィックをフィルタリングできるので、ネットワークへのアクセス コントロール ポリシーの適用が可能になります。静的ポート ID は、ポートに接続された特定のエンドポイントの SGT 値をルックアップするために使用されます。

SGT の割り当て

パケットのセキュリティグループタグ(SGT)は、パケットが Cisco TrustSec リンクでタグ付けされたとき、または単一のエンドポイントがポートで認証されたときに、ポートレベルで割り当てることができます。着信パケットの SGT は、次の方法で決定されます。

  • SGT でタグ付けされたパケットが信頼ポートに着信すると、パケットのタグはパケットの SGT と見なされます。

  • パケットが SGT でタグ付けされているが、信頼できないポートに着信した場合、パケットの SGT は無視され、ピア SGT がポートに設定されます。

  • パケットに SGT がない場合、ピア SGT はポートに設定されます。

SGT を割り当てる次の方法がサポートされています。

  • IPM(dot1x、MAB、Web 認証)

  • VLAN と VLAN と SGT のマッピングは、認証方式がすでに IP アドレスを割り当てられた認証済みエントリに SGT を提供する際に確立されます。デバイスプロセスは、エンドポイントセッションをモニターし、IP と SGT のバインドの変更または削除を検出します。

  • SXP(SGT 交換プロトコル)リスナー

SGT 交換プロトコルの設定方法

このセクションでは、SGT 交換プロトコルを設定する方法について説明します。

デバイス SGT の手動設定

通常の Cisco TrustSec 動作では、認証サーバーがデバイスから発信されるパケット用に、そのデバイスに SGT を割り当てます。認証サーバーにアクセスできない場合は、使用する SGT を手動で設定できますが、認証サーバーから割り当てられた SGT のほうが、手動で割り当てた SGT よりも優先されます。

デバイスの SGT を手動で設定するには、次の作業を行います。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル設定モードを開始します。

ステップ 2

cts sgt tag

例:

Device(config)# cts sgt tag

デバイスから送信されるパケットの SGT を設定します。tag 引数は 10 進表記です。指定できる範囲は 1 ~ 65533 です。

ステップ 3

exit

例:

Device(config)# exit

設定モードを終了します。

SXP ピア接続の設定

両方のデバイスで SXP ピア接続を設定する必要があります。一方のデバイスはスピーカーで、他方のデバイスはリスナーになります。パスワード保護を使用している場合は、必ず両エンドに同じパスワードを使用してください。


(注)  

デフォルトの SXP 送信元 IP アドレスが設定されておらず、かつ接続の SXP 送信元アドレスが指定されていない場合、Cisco TrustSec ソフトウェアは既存のローカル IP アドレスから SXP 送信元 IP アドレスを抽出します。SXP 送信元アドレスは、デバイスから開始される各 TCP 接続ごとに異なる場合があります。

SXP ピア接続を設定するには、次の作業を行います。

手順

  コマンドまたはアクション 目的

ステップ 1

enable

例:

Device# enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

cts sxp connection peer peer-ipv4-addr [ source src-ipv4-addr] password {default | none } mode {local | peer } {speaker | listener } { vrf vrf-name }

例:

Device(config)# cts sxp connection peer 10.10.1.1 password default mode local listener

SXP アドレス接続を設定します。

オプションの source キーワードには発信元デバイスの IPv4 アドレスを指定します。アドレスが指定されていない場合、接続は、デフォルトの送信元アドレス(設定されている場合)、またはポートのアドレスを使用します。

password キーワードには、SXP で接続に使用するパスワードを指定します。次のオプションがあります。

  • default cts sxp default password コマンドを使用して設定したデフォルトの SXP パスワードを使用します。

  • none :パスワードを使用しないでください。

mode キーワードでは、リモート ピア デバイスのロールを指定します。

  • local :指定したモードはローカルデバイスを参照します。

  • peer :指定したモードはピアデバイスを参照します。

  • speaker :デフォルトこのデバイスが接続の際にスピーカーになります。

  • listener :このデバイスが接続の際にリスナーになります。

オプションの vrf キーワードでは、ピアに対する VRF を指定します。デフォルトはデフォルト VRF です。

ステップ 4

exit

例:

Device(config)# exit

グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

ステップ 5

show cts sxp connections

例:

Device# show cts sxp connections

(任意)SXP 接続情報を表示します。

デフォルトの SXP パスワードの設定

デフォルトでは、SXP は接続のセットアップ時にパスワードを使用しません。

デフォルト SXP パスワードを設定するには、次の作業を行います。

手順

  コマンドまたはアクション 目的

ステップ 1

enable

例:

Device# enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

cts sxp default password [0 | 6 | 7 ] password

例:

Device(config)# cts sxp default password 0 hello

SXP のデフォルト パスワードを設定します。クリアテキストパスワード(0 を使用するかオプションなし)または暗号化パスワード(6 または 7 オプションを使用)を入力できます。パスワードの最大長は 32 文字です。

ステップ 4

exit

例:

Device(config)# exit

グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

デフォルトの SXP 送信元 IP アドレスの設定

SXP は送信元 IP アドレスが指定されないと、新規の TCP 接続すべてにデフォルトの送信元 IP アドレスを使用します。デフォルト SXP 送信元 IP アドレスを設定しても、既存の TCP 接続には影響しません。

デフォルト SXP 送信元 IP アドレスを設定するには、次の作業を行います。

手順

  コマンドまたはアクション 目的

ステップ 1

enable

例:

Device# enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

cts sxp default source-ip src-ip-addr

例:

Device(config)# cts sxp default source-ip 10.0.1.2

SXP のデフォルトの送信元 IP アドレスを設定します。

ステップ 4

exit

例:

Device(config)# exit

グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

SXP の復帰期間の変更

ピアが SXP 接続を終了すると、内部ホールドダウン タイマーが開始されます。内部ホールドダウン タイマーが終了する前にピアが再接続すると、SXP 復帰期間タイマーが開始されます。SXP 復帰期間タイマーがアクティブな間、Cisco TrustSec ソフトウェアは前回の接続で学習した SGT マッピング エントリを保持し、無効なエントリを削除します。デフォルト値は 120 秒(2 分)です。SXP 復帰期間を 0 秒に設定すると、タイマーがディセーブルになり、前回の接続のすべてのエントリが削除されます。

SXP の復帰期間を変更するには、次の作業を行います。

手順

  コマンドまたはアクション 目的

ステップ 1

enable

例:

Device# enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

cts sxp reconciliation period seconds

例:

Device(config)# cts sxp reconciliation period 360

SXP 復帰タイマーを変更します。デフォルト値は 120 秒(2 分)です。範囲は 0 ~ 64000 です。

ステップ 4

exit

例:

Device(config)# exit

グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

SXP リトライ期間の変更

SXP リトライ期間によって、Cisco TrustSec ソフトウェアが SXP 接続を再試行する頻度が決まります。SXP 接続が正常に確立されなかった場合、Cisco TrustSec ソフトウェアは SXP リトライ期間タイマーの終了後に、新たな接続の確立を試行します。デフォルト値は 120 秒です。SXP 再試行期間を 0 秒に設定するとタイマーは無効になり、接続は再試行されません。

SXP のリトライ期間を変更するには、次の作業を行います。

手順

  コマンドまたはアクション 目的

ステップ 1

enable

例:

Device# enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

cts sxp retry period seconds

例:

Device(config)# cts sxp retry period 360

SXP リトライ タイマーを変更します。デフォルト値は 120 秒(2 分)です。範囲は 0 ~ 64000 です。

ステップ 4

exit

例:

Device(config)# exit

グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

SXP で学習された IP アドレスと SGT マッピングの変更をキャプチャするための syslog の作成方法

グローバル コンフィギュレーション モードで cts sxp log binding-changes コマンドを設定すると、IP アドレスと SGT バインドの変更(追加、削除、変更)が発生するたびに SXP の syslog(sev 5 syslog)が生成されます。これらの変更は SXP 接続で学習されて伝播されます。デフォルトは、no cts sxp log binding-changes です。

バインディングの変更のロギングをイネーブルにするには、次の作業を実行します。

手順

  コマンドまたはアクション 目的

ステップ 1

enable

例:

Device# enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

cts sxp log binding-changes

例:

Device(config)# cts sxp log binding-changes

IP と SGT のバインドの変更のロギングを有効にします。

ステップ 4

exit

例:

Device(config)# exit

グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

SGT 交換プロトコルの設定例

このセクションでは、SGT 交換プロトコルの設定例を示します。

例:Cisco TrustSec SXP および SXP ピア接続の有効化

以下に、SXP を有効にし、デバイス A(スピーカー)とデバイス B(リスナー)間に SXP ピア接続を設定する方法の例を示します。

Device# configure terminal
Device(config)# cts sxp enable
Device(config)# cts sxp default password Cisco123
Device(config)# cts sxp default source-ip 10.10.1.1
Device(config)# cts sxp connection peer 10.20.2.2 password default mode local speaker

以下に、デバイス B(リスナー)とデバイス A(スピーカー)間に SXP ピア接続を設定する方法の例を示します。

Device# configure terminal
Device(config)# cts sxp enable
Device(config)# cts sxp default password Cisco123
Device(config)# cts sxp default source-ip 10.20.2.2
Device(config)# cts sxp connection peer 10.10.1.1 password default mode local listener

例:デフォルトの SXP パスワードと送信元 IP アドレスの設定

次に、デフォルトの SXP パスワードとの送信元 IP アドレスを設定する例を示します。

Device# configure terminal
Device(config)# cts sxp default password Cisco123
Device(config)# cts sxp default source-ip 10.20.2.2
Device(config)# end

SGT 交換プロトコルの接続の確認

SXP 接続を表示するには、次の作業を行います。

コマンド

目的

show cts sxp connections

SXP ステータスと接続に関する詳細情報を表示します。

show cts sxp connections [brief]

SXP ステータスと接続に関する要約情報を表示します。

次に、show cts sxp connections コマンドの出力例を示します。 

Device# show cts sxp connections

SXP                     : Enabled
Default Password        : Set
Default Source IP       : 10.10.1.1
Connection retry open period: 10 secs
Reconcile period        : 120 secs
Retry open timer is not running
----------------------------------------------
Peer IP                 : 10.20.2.2
Source IP               : 10.10.1.1
Conn status             : On
Conn Version            : 2
Connection mode         : SXP Listener
Connection inst#        : 1
TCP conn fd             : 1
TCP conn password       : default SXP password
Duration since last state change: 0:00:21:25 (dd:hr:mm:sec)
Total num of SXP Connections = 1

次に、show cts sxp connections brief コマンドの出力例を示します。 

Device# show cts sxp connections brief

SXP                     : Enabled
Default Password        : Set
Default Source IP       : Not Set
Connection retry open period: 120 secs
Reconcile period        : 120 secs
Retry open timer is not running
-----------------------------------------------------------------------------
Peer_IP          Source_IP          Conn Status    Duration
-----------------------------------------------------------------------------
10.1.3.1         10.1.3.2           On             6:00:09:13 (dd:hr:mm:sec)
Total num of SXP Connections = 1

SGT 交換プロトコルの機能履歴

次の表に、このモジュールで説明する機能のリリースおよび関連情報を示します。

これらの機能は、特に明記されていない限り、導入されたリリース以降のすべてのリリースで使用できます。

リリース

機能

機能情報

Cisco IOS XE Everest 16.5.1a

SGT 交換プロトコル

SXP は、Cisco TrustSec のハードウェアサポートがないネットワークデバイスに SGT を伝播します。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェアイメージのサポート情報を検索できます。Cisco Feature Navigator には、http://www.cisco.com/go/cfn [英語] からアクセスします。