SGT 交換プロトコル over TCP(SXP)およびレイヤ 3 トランスポートの設定

SGT Exchange Protocol(SXP)を使用すると、Cisco TrustSec のハードウェア サポートがないネットワーク デバイスに SGT を伝播できます。ここでは、ネットワークのスイッチに Cisco TrustSec SXP を設定する方法について説明します。

このセクションは、次のトピックで構成されています。

blank.gifCisco TrustSec SGT Exchange Protocol 機能の履歴

blank.gifCisco TrustSec SXP の設定

blank.gifデフォルトの SXP パスワードの設定

blank.gifデフォルトの SXP 送信元 IP アドレスの設定

blank.gifSXP の復帰期間の変更

blank.gifSXP リトライ期間の変更

blank.gifSXP で学習された IP アドレスと SGT マッピングの変更をキャプチャするための syslog の作成方法

blank.gifSXP 接続の確認

blank.gifCisco TrustSec のキャッシングの設定

Cisco TrustSec SGT Exchange Protocol 機能の履歴

プラットフォームあたりでサポートされている TrustSec 機能のリストおよび IOS リリースの最小要件については、 次の URL の Cisco TrustSec プラットフォーム サポート マトリックス を参照してください。(TS 4.0 に掲載されている最終 URL)

http://www.cisco.com/en/US/solutions/ns170/ns896/ns1051/trustsec_matrix.html

それ以外の場合は、機能の概要の詳細について、製品のリリースノートを参照してください。

注: vrf aware sgt は現在サポートされていません。

Cisco TrustSec SXP の設定

Cisco TrustSec SXP を設定するには、次の手順を実行します。

1.blank.gif Cisco TrustSec 機能を有効にします(『 Cisco TrustSec Switch Configuration Guide 』
 http://www.cisco.com/c/en/us/td/docs/switches/lan/trustsec/configuration/guide/trustsec/ident-conn_config.html#wpxref29406 )の「Configuring Identities, Connections, and SGTs」の章を参照してください。

2.blank.gif Cisco TrustSec SXP をイネーブルにします(Cisco TrustSec SXP のイネーブル化を参照)。

3.blank.gif SXP ピア接続を設定します(SXP ピア接続の設定を参照)。

 

Cisco TrustSec SXP のイネーブル化

ピアの接続を設定する前に、Cisco TrustSec SXP をイネーブルにする必要があります。Cisco TrustSec SXP をイネーブルにするには、次の作業を行います。

 

 
コマンド
目的

1.blank.gif

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

2.blank.gif

Router(config)# [ no ] cts sxp enable

Cisco TrustSec の SXP をイネーブルにします。

3.blank.gif

Router(config)# exit

コンフィギュレーション モードを終了します。

SXP ピア接続の設定

両方のデバイスで SXP ピア接続を設定する必要があります。一方のデバイスはスピーカーで、他方のデバイスはリスナーになります。パスワード保護を使用している場合は、必ず両エンドに同じパスワードを使用してください。

注: デフォルトの SXP 送信元 IP アドレスが設定されておらず、かつ接続の SXP 送信元アドレスが指定されていない場合、Cisco TrustSec ソフトウェアは既存のローカル IP アドレスから SXP 送信元 IP アドレスを抽出します。SXP 送信元アドレスは、switchから開始される各 TCP 接続ごとに異なる場合があります。

SXP ピア接続を設定するには、次の作業を行います。

 

 
コマンド
目的

1.blank.gif

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

2.blank.gif

Router(config)# cts sxp connection
peer peer-ipv4-addr
 [ source src-ipv4-addr ]
password { default | none ] mode { local | peer } { speaker | listener }
[ vrf vrf-name ]

SXP アドレス接続を設定します。

オプションの source キーワードには発信元デバイスの IPv4 アドレスを指定します。接続アドレスが指定されていない場合、デフォルトの送信元アドレス(設定されている場合)、またはポートのアドレスを使用します。

password キーワードには、SXP で接続に使用するパスワードを指定します。次のオプションがあります。

blank.gif default cts sxp default password コマンドを使用して設定したデフォルトの SXP パスワードを使用します。

blank.gif none :パスワードを使用しません。

mode キーワードでは、リモートピアデバイスのロールを指定します。

blank.gif local :指定したモードはローカル デバイスを参照します。

blank.gif peer :指定したモードはピア デバイスを参照します。

blank.gif speaker :デフォルト。このデバイスが接続の際にスピーカーになります。

blank.gif listener :このデバイスが接続の際にリスナーになります。

オプションの vrf キーワードでは、ピアに対する VRF を指定します。デフォルトはデフォルト VRF です。

3.blank.gif

Router(config)# exit

コンフィギュレーション モードを終了します。

4.blank.gif

Router# show cts sxp connections

(任意)SXP 接続情報を表示します。

次に、SXP をイネーブルにし、スイッチ A(スピーカー)でスイッチ B(リスナー)への SXP ピア接続を設定する例を示します。

Router# configure terminal
Router(config)# cts sxp enable
Router(config)# cts sxp default password Cisco123
Router(config)# cts sxp default source-ip 10.10.1.1
Router(config)# cts sxp connection peer 10.20.2.2 password default mode local speaker
 

次に、スイッチ B(リスナー)でスイッチ A(スピーカー)への SXP ピア接続を設定する例を示します。

Router# configure terminal
Router(config)# cts sxp enable
Router(config)# cts sxp default password Cisco123
Router(config)# cts sxp default source-ip 10.20.2.2
Router(config)# cts sxp connection peer 10.10.1.1 password default mode local listener
 

デフォルトの SXP パスワードの設定

デフォルトでは、SXP は接続のセットアップ時にパスワードを使用しません。switchのデフォルト SXP パスワードを設定できます。Cisco IOS Release 12.2(50)SY 以降では、SXP のデフォルト パスワードに暗号化されたパスワードを指定できます。

デフォルト SXP パスワードを設定するには、次の作業を行います。

 

 
コマンド
目的

1.blank.gif

Router# configure terminal

設定モードを開始します。

2.blank.gif

Router(config)# cts sxp default password [ 0 | 6 | 7 ] password

SXP のデフォルト パスワードを設定します。クリア テキスト パスワード( 0 を使用するかオプションなし)または暗号化パスワード( 6 または 7 オプションを使用)を入力できます。パスワードの最大長は 32 文字です。

3.blank.gif

Router(config)# exit #

コンフィギュレーション モードを終了します。

次に、デフォルト SXP パスワードを設定する例を示します。

Router# configure terminal
Router(config)# cts sxp default password Cisco123
 

デフォルトの SXP 送信元 IP アドレスの設定

SXP は送信元 IP アドレスが指定されないと、新規の TCP 接続すべてにデフォルトの送信元 IP アドレスを使用します。デフォルト SXP 送信元 IP アドレスを設定しても、既存の TCP 接続には影響しません。

デフォルト SXP 送信元 IP アドレスを設定するには、次の作業を行います。

 

 
コマンド
目的

1.blank.gif

Router# configure terminal

設定モードを開始します。

2.blank.gif

Router(config)# cts sxp default source-ip src-ip-addr

SXP のデフォルトの送信元 IP アドレスを設定します。

3.blank.gif

Router(config)# exit

コンフィギュレーション モードを終了します。

次に、SXP のデフォルトの送信元 IP アドレスを設定する例を示します。

Router# configure terminal
Router(config)# cts sxp default source-ip 10.20.2.2

SXP の復帰期間の変更

ピアが SXP 接続を終了すると、内部ホールドダウン タイマーが開始されます。内部ホールドダウン タイマーが終了する前にピアが再接続すると、SXP 復帰期間タイマーが開始されます。SXP 復帰期間タイマーがアクティブな間、Cisco TrustSec ソフトウェアは前回の接続で学習した SGT マッピング エントリを保持し、無効なエントリを削除します。デフォルト値は 120 秒(2 分)です。SXP 復帰期間を 0 秒に設定すると、タイマーがディセーブルになり、前回の接続のすべてのエントリが削除されます。

SXP の復帰期間を変更するには、次の作業を行います。

 

 
コマンド
目的

1.blank.gif

Router# configure terminal

設定モードを開始します。

2.blank.gif

Router(config)# cts sxp reconciliation period seconds

SXP 復帰タイマーを変更します。デフォルト値は 120 秒(2 分)です。範囲は 0 ~ 64000 です。

3.blank.gif

Router(config)# exit

コンフィギュレーション モードを終了します。

SXP リトライ期間の変更

SXP リトライ期間によって、Cisco TrustSec ソフトウェアが SXP 接続を再試行する頻度が決まります。SXP 接続が正常に確立されなかった場合、Cisco TrustSec ソフトウェアは SXP リトライ期間タイマーの終了後に、新たな接続の確立を試行します。デフォルト値は 120 秒です。SXP 再試行期間を 0 秒に設定するとタイマーは無効になり、接続は再試行されません。

SXP のリトライ期間を変更するには、次の作業を行います。

 

 
コマンド
目的

1.blank.gif

Router# configure terminal

設定モードを開始します。

2.blank.gif

Router(config)# cts sxp retry period seconds

SXP リトライ タイマーを変更します。デフォルト値は 120 秒(2 分)です。範囲は 0 ~ 64000 です。

3.blank.gif

Router(config)# exit

コンフィギュレーション モードを終了します。

SXP で学習された IP アドレスと SGT マッピングの変更をキャプチャするための syslog の作成方法

cts sxp log binding-changes グローバル コンフィギュレーション コマンドを実行すると、IP アドレスと SGT バインディングの変更(追加、削除、変更)が発生するたびに SXP の syslog(sev 5 syslog)が生成されます。これらの変更は SXP 接続で学習されて伝播されます。

デフォルトは、 no cts sxp log binding-changes です。

バインディングの変更のロギングをイネーブルにするには、次の作業を実行します。

 

 
コマンド
目的

1.blank.gif

Router# configure terminal

設定モードを開始します。

2.blank.gif

Router(config)# cts sxp log binding-changes

IP と SGT のバインディングの変更のロギングをオンにします。

SXP 接続の確認

SXP 接続を表示するには、次の作業を行います。

 

 
コマンド
目的

1.blank.gif

Router# show cts sxp connections [ brief ]

SXP のステータスと接続を表示します。

次に、SXP 接続を表示する例を示します。

Router# show cts sxp connections
 
SXP : Enabled
Default Password : Set
Default Source IP: 10.10.1.1
Connection retry open period: 10 secs
Reconcile period: 120 secs
Retry open timer is not running
----------------------------------------------
Peer IP : 10.20.2.2
Source IP : 10.10.1.1
Conn status : On
Conn Version : 2
Connection mode : SXP Listener
Connection inst# : 1
TCP conn fd : 1
TCP conn password: default SXP password
Duration since last state change: 0:00:21:25 (dd:hr:mm:sec)
Total num of SXP Connections = 1

Cisco TrustSec のキャッシングの設定

 

機能名
リリース
機能情報

TrustSec のキャッシング

12.2(50) SY

この機能が、Catalyst 6500 シリーズ スイッチに追加されました。

Cisco TrustSec のキャッシングのイネーブル化

短時間停止から迅速にリカバリするために、Cisco TrustSec 接続の認証、許可、およびポリシー情報のキャッシングをイネーブルにできます。キャッシングすることで、Cisco TrustSec ドメインを完全に再認証しなくても、Cisco TrustSec デバイスが期限の切れていないセキュリティ情報を使用して停止後にリンクを復元できるようになります。Cisco TrustSec デバイスは DRAM にセキュリティ情報をキャッシュします。不揮発性(NV)ストレージもイネーブルにしている場合は、DRAM のキャッシュ情報も NV のメモリに保存されます。リブート中に NV のメモリの内容が DRAM に入力されます。

注: 長時間の停止中に、Cisco TrustSec キャッシュ情報が期限切れになる可能性が高くなります。

Cisco TrustSec キャッシングをイネーブルにするには、次の作業を行います。

 

 
コマンド
目的

1.blank.gif

Router# configure terminal

設定モードを開始します。

2.blank.gif

Router(config)# [ no ] cts cache enable

DRAM への認証、許可、および環境データ情報のキャッシュをイネーブルにします。デフォルトでは無効になっています。

このコマンドの no 形式は DRAM および不揮発性ストレージからすべてのキャッシュ情報をクリアします。

3.blank.gif

Router(config)# [ no ] cts cache nv-storage { bootdisk: | bootflash: | disk0: } [ directory dir-name ]

DRAM キャッシングをイネーブルにすると、DRAM のキャッシュ更新が不揮発性ストレージに書き込まれるようになります。また、デバイスの起動時に DRAM キャッシュが不揮発性ストレージから初期入力されるようになります。

4.blank.gif

Router(config)# exit

コンフィギュレーション モードを終了します。

次に、不揮発性ストレージなどの、Cisco TrustSec キャッシングを設定する例を示します。

Router# configure terminal
Router(config)# cts cache enable
Router(config)# cts cache nv-storage bootdisk:
Router(config)# exit

Cisco TrustSec キャッシュのクリア

Cisco TrustSec 接続用のキャッシュをクリアするには、次の作業を行います。

 

 
コマンド
目的

1.blank.gif

Router# clear cts cache [ authorization-policies [ peer ] | environment-data | filename filename | interface-controller [ type slot/port ]]

Cisco TrustSec 接続情報のキャッシュをクリアします。

次に、Cisco TrustSec キャッシュをクリアする例を示します。

Router# clear cts cache