SGT インライン タギングと SXPv4

AP および SXPv4 での SGT インライン タギングの概要

Cisco TrustSec(CTS)は、信頼できるネットワーク デバイスのドメインを確立することによってセキュア ネットワークを構築します。ドメイン内の各デバイスは、そのピアによって認証されます。ドメイン内のデバイス間リンクでの通信は、暗号化、メッセージ整合性検査、データパス リプレイ防止メカニズムを組み合わせたセキュリティで保護されます。

スケーラブル グループ タグ(SGT)交換プロトコル(SXP)は、CTS をサポートする複数のプロトコルの 1 つです。CTS SXP バージョン 4(SXPv4)は、ネットワークの古いバインディングを防ぐため、ループ検出メカニズムを追加することで、SXP の機能を強化しました。さらに、Cisco TrustSec は SGT インライン タギングをサポートしているため、クリア テキスト(暗号化されていない)イーサネット パケットに組み込まれた SGT の伝達が可能になります。

ワイヤレスクライアントが接続され、ISE によって認証されると、コントローラ 上で IP-SGT バインディングが生成されます。同じ SGT が他のクライアントの詳細とともに AP にプッシュされます。

AP および SXPv4 での SGT インライン タギングの詳細については、https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_cts/configuration/xe-3s/sec-usr-cts-xe-3s-book/sec-cts-sxpv4.html にある『Cisco TrustSec Configuration Guide』を参照してください。

SXP プロファイルの作成

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wireless cts-sxp profile profile-name

例:

Device(config)# wireless cts-sxp profile rr-profile

ワイヤレス CTS プロファイルを設定し、cts-sxp プロファイル コンフィギュレーション モードを開始します。

ステップ 3

cts sxp enable

例:

Device(config-cts-sxp-profile)# cts sxp enable

Cisco TrustSec の SXP をイネーブルにします。

アクセス ポイントでの SGT インライン タギングの設定

AP で SGT インライン タギングを設定するには、次の手順に従います。

始める前に

  • インライン タギングのために AP にプッシュされる SGT は、ISE 認証によるダイナミック SGT 割り当てによるものだけです。コントローラ で設定されるスタティックバインディングではサポートされていません。

  • SGT は、AP がフレックス モードで動作している場合にのみプッシュされます。

SGT インラインタグ付けをサポートする Cisco AP のリストについては、次のリリースノートを参照してください。 https://www.cisco.com/c/en/us/support/wireless/catalyst-9800-series-wireless-controllers/products-release-notes-list.html

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wireless profile flex flex-profile

例:

Device(config)# wireless profile flex rr-xyz-flex-profile

ワイヤレス flex プロファイルを設定し、ワイヤレス flex プロファイル コンフィギュレーション モードを開始します。

ステップ 3

cts inline-tagging

例:

Device(config-wireless-flex-profile)# cts inline-tagging

AP でインライン タギングを有効にします。

SXP 接続の設定(GUI)

SXP グローバル コンフィギュレーションを設定するには、次の手順を実行します。

手順

ステップ 1

[Global] セクションで、[SXP Enabled] チェック ボックスをオンにして SXP を有効にします。

ステップ 2

[Default Source IP] フィールドに IP アドレスを入力します。

ステップ 3

[Reconciliation Period (sec)] フィールドに値を入力します。

ステップ 4

[Retry Period (sec)] フィールドに値を入力します。

ステップ 5

[Set New Default Password] チェック ボックスをオンにします。このチェック ボックスをオンにすると、[Password Type] および [Enter Password] フィールドが表示されます。

ステップ 6

[Password Type] ドロップダウンリストから、使用可能なタイプのいずれかを選択します。

ステップ 7

[Enter Password] フィールドに値を入力します。

ステップ 8

[Apply] ボタンをクリックします。

ステップ 9

[Peer] セクションで [Add] ボタンをクリックします。

ステップ 10

[Peer IP] フィールドに IP アドレスを入力します。

ステップ 11

[Source IP] フィールドに IP アドレスを入力します。

ステップ 12

[Password] ドロップダウンリストから、使用可能なタイプのいずれかを選択します。

ステップ 13

[Mode of Local Device] ドロップダウンリストから、使用可能なタイプのいずれかを選択します。

ステップ 14

[Save & Apply to Device] ボタンをクリックします。

ステップ 15

[AP] タブで [Add] ボタンをクリックします。[Add SXP AP] ダイアログボックスが表示されます。

ステップ 16

プロファイルの名前を [Name] フィールドに入力します。

ステップ 17

[Status] フィールドを [Enabled] に設定して AP を有効にします。

ステップ 18

[Default Password] フィールドに値を入力します。

ステップ 19

[CTS Speaker Seconds]、[CTS Recon Period]、[CTS Retry Period]、[CTS Listener Maximum]、および [CTS Listener Minimum] の値(秒単位)を入力します。

ステップ 20

[CTS SXP Profile Connections] セクションで [Add] をクリックします。

ステップ 21

[Peer IP] フィールドに IP アドレスを入力します。

ステップ 22

[Connection Mode] ドロップダウンリストからいずれかのモードを選択します。使用可能なモードは、[Both]、[Listener]、および [Speaker] です。

ステップ 23

[Password Type] ドロップダウンリストから、[None] または [Default] を選択します。

ステップ 24

[Add] ボタンをクリックします。

ステップ 25

[Save & Apply to Device] ボタンをクリックします。

SXP 接続の設定

SXP 接続を設定するには、次の手順に従います。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

cts sxp enable

例:

Device(config)# cts sxp enable

CTS SXP サポートを有効にします。

ステップ 3

cts sxp connection peer ipv4-addresspassword none mode local speaker

例:

Device(config)# cts sxp connection peer 1.1.1.1 password none mode local speaker

CTS-SXP ピア アドレス接続を設定します。

(注)  

 

パスワードは必ずしも none にする必要はありません。モードはスピーカーかリスナーまたはその両方を使用できます。

次のタスク

設定を確認するには、次のコマンドを使用します。

Device# show running-config | inc sxp

アクセス ポイントへの SGT プッシュの確認

ワイヤレスクライアントが接続され、ISE によって認証されると、コントローラ 上で IP-SGT バインディングが生成されます。これは、次のコマンドを使用して確認できます。 

Device# show cts role-based sgt-map all

Active IPv4-SGT Bindings Information

IP Address              SGT     Source
============================================
1.1.1.1                 100     CLI

IP-SGT Active Bindings Summary
============================================
Total number of CLI      bindings = 1
Total number of active   bindings = 1

SXP 接続ステータスを確認するには、次のコマンドを使用します。 

Device# show cts sxp connections 

 SXP              : Enabled
 Highest Version Supported: 4
 Default Password : Not Set
 Default Source IP: Not Set
Connection retry open period: 120 secs
Reconcile period: 120 secs
Retry open timer is running
Peer-Sequence traverse limit for export: Not Set
Peer-Sequence traverse limit for import: Not Set
----------------------------------------------
Peer IP          : 40.1.1.1
Source IP        : 40.1.1.2
Conn status      : On
Conn version     : 4
Conn capability  : IPv4-IPv6-Subnet
Conn hold time   : 120 seconds
Local mode       : SXP Listener
Connection inst# : 1
TCP conn fd      : 1
TCP conn password: none
Hold timer is running
Duration since last state change: 0:00:00:06 (dd:hr:mm:sec)

          
Total num of SXP Connections = 1

SXP 接続を介して学習されたバインディングを表示するには、次のコマンドを使用します。

Device# show cts role-based sgt-map all

Active IPv4-SGT Bindings Information

IP Address              SGT     Source
============================================
1.1.1.1                 100     CLI

IP-SGT Active Bindings Summary
============================================
Total number of CLI      bindings = 1
Total number of active   bindings = 1

AP のインライン タギングのステータスとその IP-SGT バインディングを確認するには、AP で次のコマンドを使用します。

AP# show capwap client rcb  

AdminState                         : ADMIN_ENABLED
OperationState                     : UP
Name                               : AP2C33.1185.C4D0
SwVer                              : 16.6.230.41
HwVer                              : 1.0.0.0
MwarApMgrIp                        : 9.3.72.38
MwarName                           : mohit-ewlc
MwarHwVer                          : 0.0.0.0
Location                           : default location
ApMode                             : FlexConnect
ApSubMode                          : Not Configured
CAPWAP Path MTU                    : 1485
CAPWAP UDP-Lite                    : Enabled
IP Prefer-mode                     : IPv4
AP Link DTLS Encryption            : OFF
AP TCP MSS Adjust                  : Disabled
LinkAuditing                       : disabled
Efficient Upgrade State            : Disabled
Flex Group Name                    : anrt-flex
AP Group Name                      : default-group
Cisco Trustsec Config
      AP Inline Tagging Mode                : Enabled
! The status can be Enabled or Disabled and is based on the tag that is pushed to the AP.
      AP Sgacl Enforcement                  : Disabled
      AP Override Status                    : Disabled



AP# show cts role-based sgt-map all

Active IPv4-SGT Bindings Information
        IP SGT SOURCE
9.3.74.101  17  LOCAL
 
IP-SGT Active Bindings Summary
============================================
Total number of LOCAL    bindings = 1
Total number of active   bindings = 1
 
Active IPv6-SGT Bindings Information
                       IP SGT SOURCE
fe80::c1d5:3da2:dc96:757d  17  LOCAL
 
IP-SGT Active Bindings Summary
============================================
Total number of LOCAL    bindings = 1
Total number of active   bindings = 1