Cisco TrustSec の概要
Cisco TrustSec は、ネットワーク内のユーザ、ホスト、およびネットワーク デバイスを強力に識別する機能に基づいた、シスコ ネットワーク デバイスのセキュリティを改善します。TrustSec は、特定の役割についてデータ トラフィックを一意に分類することで、トポロジに依存しない、スケーラブルなアクセス コントロールを実現します。TrustSec は、認証されたピアおよびこれらのピアとの暗号化リンク間で信頼を確立することで、データの機密保持および整合性を保証します。
Cisco TrustSec の主要コンポーネントは、Cisco Identity Services Engine(ISE)です。スイッチ上で手動で設定することもできますが、Cisco ISE は TrustSec ID およびセキュリティ グループ ACL(SGACL)でスイッチをプロビジョニングできます。
(注) |
CTS サーバを新しいサーバに変更する前に、clear cts environment-data コマンドを使用して CTS 環境データを手動でクリアする必要があります。これにより、show cts environment-data コマンドの実行時に、更新されたデータを取得できるようになります。 |
MTU の注意事項
1518 バイトを超える CTS タグ付きパケットは、Cisco vWLC コントローラでドロップされることがあります。これは、vWLC インスタンスをホストしている UCS サーバで着信パケットのサイズが制限されているためです。UCS サーバのデフォルト MTU は 1500 であるため、1518 バイトのパケットのみが許可されます。この超過分の 18 バイトには、802.1Q の 4 バイトとイーサネット ヘッダーの 14 バイトが含まれています。
CTS タグ用に設定されたイーサネット リンクにより、Cisco メタデータと呼ばれる 8 バイトのカプセル化が課されます。その結果、イーサネット パケットの合計サイズは、8 バイト増えて 1526 バイト(1518 + 8 = 1526)になります。したがって、イーサネットの追加の 8 バイトに対応するために、受信インターフェイスの MTU を 8 バイト増やす必要があります。
ルータおよびスイッチ(たとえば、Cisco ASR 1000 シリーズ ルータ、Cisco 4000 シリーズ サービス統合型ルータ、Cisco Catalyst 3000 シリーズ スイッチ、Cisco Catalyst 9000 シリーズ スイッチ)上の CTS インターフェイスは、MTU を 1508 バイトに自動調整して追加の 8 バイトに対応します。ただし、UCS サーバなどの他のデバイスでは、MTU を 1508 に増やすために手動更新が必要です。UCS でジャンボ MTU を設定する方法については、次のリンクを参照してください。
https://www.cisco.com/c/en/us/support/docs/servers-unified-computing/ucs-b-series-blade-servers/117601-configure-UCS-00.html