SGT 交換プロトコル over TCP(SXP)およびレイヤ 3 トランスポートの設定
SGT Exchange Protocol(SXP)を使用すると、Cisco TrustSec のハードウェア サポートがないネットワーク デバイスに SGT を伝播できます。ここでは、ネットワークのスイッチに Cisco TrustSec SXP を設定する方法について説明します。
このセクションは、次のトピックで構成されています。
■Cisco TrustSec SGT Exchange Protocol 機能の履歴
■Cisco TrustSec SXP の設定
■デフォルトの SXP パスワードの設定
■デフォルトの SXP 送信元 IP アドレスの設定
■SXP の復帰期間の変更
■SXP リトライ期間の変更
■SXP で学習された IP アドレスと SGT マッピングの変更をキャプチャするための syslog の作成方法
■SXP 接続の確認
■Cisco TrustSec のキャッシングの設定
Cisco TrustSec SXP の設定
Cisco TrustSec SXP を設定するには、次の手順を実行します。
1. Cisco TrustSec 機能を有効にします(『 Cisco TrustSec Switch Configuration Guide 』 http://www.cisco.com/c/en/us/td/docs/switches/lan/trustsec/configuration/guide/trustsec/ident-conn_config.html#wpxref29406 )の「Configuring Identities, Connections, and SGTs」の章を参照してください。
2. Cisco TrustSec SXP をイネーブルにします(Cisco TrustSec SXP のイネーブル化を参照)。
3. SXP ピア接続を設定します(SXP ピア接続の設定を参照)。
Cisco TrustSec SXP のイネーブル化
ピアの接続を設定する前に、Cisco TrustSec SXP をイネーブルにする必要があります。Cisco TrustSec SXP をイネーブルにするには、次の作業を行います。
|
|
|
1. |
Router#
configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
2. |
Router(config)# [
no ]
cts sxp enable
|
Cisco TrustSec の SXP をイネーブルにします。 |
3. |
|
コンフィギュレーション モードを終了します。 |
SXP ピア接続の設定
両方のデバイスで SXP ピア接続を設定する必要があります。一方のデバイスはスピーカーで、他方のデバイスはリスナーになります。パスワード保護を使用している場合は、必ず両エンドに同じパスワードを使用してください。
注: デフォルトの SXP 送信元 IP アドレスが設定されておらず、かつ接続の SXP 送信元アドレスが指定されていない場合、Cisco TrustSec ソフトウェアは既存のローカル IP アドレスから SXP 送信元 IP アドレスを抽出します。SXP 送信元アドレスは、switch から開始される各 TCP 接続ごとに異なる場合があります。
SXP ピア接続を設定するには、次の作業を行います。
|
|
|
1. |
Router#
configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
2. |
Router(config)#
cts sxp connection peer
peer-ipv4-addr [
source
src-ipv4-addr ]
password
{
default |
none ]
mode
{
local |
peer } {
speaker |
listener }
[
vrf
vrf-name ]
|
SXP アドレス接続を設定します。 オプションの source キーワードには発信元デバイスの IPv4 アドレスを指定します。接続アドレスが指定されていない場合、デフォルトの送信元アドレス(設定されている場合)、またはポートのアドレスを使用します。 password キーワードには、SXP で接続に使用するパスワードを指定します。次のオプションがあります。 ■ default : cts sxp default password コマンドを使用して設定したデフォルトの SXP パスワードを使用します。 ■ none :パスワードを使用しません。 mode キーワードでは、リモートピアデバイスのロールを指定します。 ■ local :指定したモードはローカル デバイスを参照します。 ■ peer :指定したモードはピア デバイスを参照します。 ■ speaker :デフォルト。このデバイスが接続の際にスピーカーになります。 ■ listener :このデバイスが接続の際にリスナーになります。 オプションの vrf キーワードでは、ピアに対する VRF を指定します。デフォルトはデフォルト VRF です。 |
3. |
|
コンフィギュレーション モードを終了します。 |
4. |
Router#
show cts sxp connections
|
(任意)SXP 接続情報を表示します。 |
次に、SXP をイネーブルにし、スイッチ A(スピーカー)でスイッチ B(リスナー)への SXP ピア接続を設定する例を示します。
Router# configure terminal
Router(config)# cts sxp enable
Router(config)# cts sxp default password Cisco123
Router(config)# cts sxp default source-ip 10.10.1.1
Router(config)# cts sxp connection peer 10.20.2.2 password default mode local speaker
次に、スイッチ B(リスナー)でスイッチ A(スピーカー)への SXP ピア接続を設定する例を示します。
Router# configure terminal
Router(config)# cts sxp enable
Router(config)# cts sxp default password Cisco123
Router(config)# cts sxp default source-ip 10.20.2.2
Router(config)# cts sxp connection peer 10.10.1.1 password default mode local listener
デフォルトの SXP パスワードの設定
デフォルトでは、SXP は接続のセットアップ時にパスワードを使用しません。switch のデフォルト SXP パスワードを設定できます。Cisco IOS Release 12.2(50)SY 以降では、SXP のデフォルト パスワードに暗号化されたパスワードを指定できます。
デフォルト SXP パスワードを設定するには、次の作業を行います。
|
|
|
1. |
Router#
configure terminal
|
設定モードを開始します。 |
2. |
Router(config)#
cts sxp default
password [
0 |
6 |
7 ]
password
|
SXP のデフォルト パスワードを設定します。クリア テキスト パスワード( 0 を使用するかオプションなし)または暗号化パスワード( 6 または 7 オプションを使用)を入力できます。パスワードの最大長は 32 文字です。 |
3. |
|
コンフィギュレーション モードを終了します。 |
次に、デフォルト SXP パスワードを設定する例を示します。
Router# configure terminal
Router(config)# cts sxp default password Cisco123
デフォルトの SXP 送信元 IP アドレスの設定
SXP は送信元 IP アドレスが指定されないと、新規の TCP 接続すべてにデフォルトの送信元 IP アドレスを使用します。デフォルト SXP 送信元 IP アドレスを設定しても、既存の TCP 接続には影響しません。
デフォルト SXP 送信元 IP アドレスを設定するには、次の作業を行います。
|
|
|
1. |
Router#
configure terminal
|
設定モードを開始します。 |
2. |
Router(config)#
cts sxp default source-ip
src-ip-addr
|
SXP のデフォルトの送信元 IP アドレスを設定します。 |
3. |
|
コンフィギュレーション モードを終了します。 |
次に、SXP のデフォルトの送信元 IP アドレスを設定する例を示します。
Router# configure terminal
Router(config)# cts sxp default source-ip 10.20.2.2
SXP の復帰期間の変更
ピアが SXP 接続を終了すると、内部ホールドダウン タイマーが開始されます。内部ホールドダウン タイマーが終了する前にピアが再接続すると、SXP 復帰期間タイマーが開始されます。SXP 復帰期間タイマーがアクティブな間、Cisco TrustSec ソフトウェアは前回の接続で学習した SGT マッピング エントリを保持し、無効なエントリを削除します。デフォルト値は 120 秒(2 分)です。SXP 復帰期間を 0 秒に設定すると、タイマーがディセーブルになり、前回の接続のすべてのエントリが削除されます。
SXP の復帰期間を変更するには、次の作業を行います。
|
|
|
1. |
Router#
configure terminal
|
設定モードを開始します。 |
2. |
Router(config)#
cts sxp reconciliation period
seconds
|
SXP 復帰タイマーを変更します。デフォルト値は 120 秒(2 分)です。範囲は 0 ~ 64000 です。 |
3. |
|
コンフィギュレーション モードを終了します。 |
SXP リトライ期間の変更
SXP リトライ期間によって、Cisco TrustSec ソフトウェアが SXP 接続を再試行する頻度が決まります。SXP 接続が正常に確立されなかった場合、Cisco TrustSec ソフトウェアは SXP リトライ期間タイマーの終了後に、新たな接続の確立を試行します。デフォルト値は 120 秒です。SXP 再試行期間を 0 秒に設定するとタイマーは無効になり、接続は再試行されません。
SXP のリトライ期間を変更するには、次の作業を行います。
|
|
|
1. |
Router#
configure terminal
|
設定モードを開始します。 |
2. |
Router(config)#
cts sxp retry period
seconds
|
SXP リトライ タイマーを変更します。デフォルト値は 120 秒(2 分)です。範囲は 0 ~ 64000 です。 |
3. |
|
コンフィギュレーション モードを終了します。 |
SXP で学習された IP アドレスと SGT マッピングの変更をキャプチャするための syslog の作成方法
cts sxp log binding-changes グローバル コンフィギュレーション コマンドを実行すると、IP アドレスと SGT バインディングの変更(追加、削除、変更)が発生するたびに SXP の syslog(sev 5 syslog)が生成されます。これらの変更は SXP 接続で学習されて伝播されます。
デフォルトは、 no cts sxp log binding-changes です。
バインディングの変更のロギングをイネーブルにするには、次の作業を実行します。
|
|
|
1. |
Router#
configure terminal
|
設定モードを開始します。 |
2. |
Router(config)#
cts sxp log binding-changes
|
IP と SGT のバインディングの変更のロギングをオンにします。 |
SXP 接続の確認
SXP 接続を表示するには、次の作業を行います。
|
|
|
1. |
Router#
show cts sxp connections [
brief ]
|
SXP のステータスと接続を表示します。 |
次に、SXP 接続を表示する例を示します。
Router# show cts sxp connections
Default Source IP: 10.10.1.1
Connection retry open period: 10 secs
Reconcile period: 120 secs
Retry open timer is not running
----------------------------------------------
Connection mode : SXP Listener
TCP conn password: default SXP password
Duration since last state change: 0:00:21:25 (dd:hr:mm:sec)
Total num of SXP Connections = 1
Cisco TrustSec のキャッシングの設定
|
|
|
TrustSec のキャッシング |
12.2(50) SY |
この機能が、Catalyst 6500 シリーズ スイッチに追加されました。 |
Cisco TrustSec のキャッシングのイネーブル化
短時間停止から迅速にリカバリするために、Cisco TrustSec 接続の認証、許可、およびポリシー情報のキャッシングをイネーブルにできます。キャッシングすることで、Cisco TrustSec ドメインを完全に再認証しなくても、Cisco TrustSec デバイスが期限の切れていないセキュリティ情報を使用して停止後にリンクを復元できるようになります。Cisco TrustSec デバイスは DRAM にセキュリティ情報をキャッシュします。不揮発性(NV)ストレージもイネーブルにしている場合は、DRAM のキャッシュ情報も NV のメモリに保存されます。リブート中に NV のメモリの内容が DRAM に入力されます。
注: 長時間の停止中に、Cisco TrustSec キャッシュ情報が期限切れになる可能性が高くなります。
Cisco TrustSec キャッシングをイネーブルにするには、次の作業を行います。
|
|
|
1. |
Router#
configure terminal
|
設定モードを開始します。 |
2. |
Router(config)# [
no ]
cts cache enable
|
DRAM への認証、許可、および環境データ情報のキャッシュをイネーブルにします。デフォルトでは無効になっています。 このコマンドの no 形式は DRAM および不揮発性ストレージからすべてのキャッシュ情報をクリアします。 |
3. |
Router(config)# [
no ]
cts cache nv-storage {
bootdisk: |
bootflash: |
disk0: } [
directory
dir-name ]
|
DRAM キャッシングをイネーブルにすると、DRAM のキャッシュ更新が不揮発性ストレージに書き込まれるようになります。また、デバイスの起動時に DRAM キャッシュが不揮発性ストレージから初期入力されるようになります。 |
4. |
|
コンフィギュレーション モードを終了します。 |
次に、不揮発性ストレージなどの、Cisco TrustSec キャッシングを設定する例を示します。
Router# configure terminal
Router(config)# cts cache enable
Router(config)# cts cache nv-storage bootdisk:
Cisco TrustSec キャッシュのクリア
Cisco TrustSec 接続用のキャッシュをクリアするには、次の作業を行います。
|
|
|
1. |
Router#
clear cts cache [
authorization-policies
[
peer ] |
environment-data |
filename
filename |
interface-controller [
type slot/port ]]
|
Cisco TrustSec 接続情報のキャッシュをクリアします。 |
次に、Cisco TrustSec キャッシュをクリアする例を示します。