SD-WAN에서 TrustSec SGT 인라인 태깅 전파 구성

다운로드 옵션

PDF (755.9 KB)
다양한 디바이스에서 Adobe Reader로 보기

업데이트:2025년 1월 16일

문서 ID:222694

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 SD-WAN(Software-Defined Wide-Area Network)의 SGT(Security Group Tag) 인라인 태깅 전파 방법에 대해 설명합니다.

사전 요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

Cisco Catalyst SD-WAN(Software-Defined Wide Area Network)
SD-Access(Software-Defined Access) 패브릭
Cisco ISE(Identify Service Engine)

사용되는 구성 요소

이 문서의 정보는 다음을 기반으로 합니다.

Cisco IOS® XE Catalyst SD-WAN Edges 버전 17.9.5a
Cisco Catalyst SD-WAN Manager 버전 20.12.4.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

배경 정보

Cisco TrustSec 통합

Cisco TrustSec 통합을 통한 SGT 전파는 Cisco IOS® XE Catalyst SD-WAN 릴리스 17.3.1a에서 지원됩니다. 이 기능을 통해 Cisco IOS® XE Catalyst SD-WAN 에지 디바이스는 브랜치의 Cisco TrustSec 지원 스위치에 의해 생성된 SGT(Security Group Tag) 인라인 태그를 Cisco Catalyst SD-WAN 네트워크의 다른 에지 디바이스로 전파할 수 있습니다. Cisco TrustSec 지원 스위치가 브랜치에서 분류 및 시행을 수행하는 반면, Cisco IOS® XE Catalyst SD-WAN 디바이스 디바이스는 에지 디바이스 전체에서 인라인 태그를 전달합니다.

Cisco Trustsec의 기본 개념:

SGT 바인딩: IP와 SGT 간의 연결, 모든 바인딩은 가장 일반적인 구성 및 Cisco ISE에서 직접 학습.
SGT 전파: 전파 방법은 네트워크 홉 간에 이러한 SGT를 전파하는 데 사용됩니다
SGTACL 정책: 신뢰할 수 있는 네트워크 내에서 트래픽 소스의 권한을 지정하는 규칙 집합.
SGT 시행: SGT 정책에 따라 정책이 시행되는 위치입니다.

SGT 전파 방법

SGT 전파 방법은 다음과 같습니다.

SGT 전파 인라인 태깅.
SXP(SGT 전파 보안 그룹 태그 교환 프로토콜)

인라인 태깅으로 SGT 전파

인라인 태깅을 사용하면 네트워크 홉 간에 이러한 SGT를 전파하는 데 특수 이더넷 프레임이 사용됩니다. 인라인 태깅 전파를 위해 브랜치에는 SGT 인라인 태깅(Cisco TrustSec 디바이스)을 처리할 수 있는 Cisco TrustSec 지원 스위치가 있어야 합니다.

예:

브랜치 1 및 브랜치 2에는 Cisco TrustSec 지원 스위치가 장착되어 있으며 이 브랜치는 Cisco IOS XE Catalyst SD-WAN 디바이스에 연결됩니다.
브랜치의 Cisco TrustSec 스위치는 바인딩, 전파 및 시행의 성능입니다.
브랜치 1의 Cisco TrustSec 스위치는 에지 라우터 1을 향하는 이더넷 CMD 프레임에서 SGT 인라인 태깅을 수행합니다.
그런 다음 에지 라우터 1은 CMD 프레임을 캡슐화하고 SGT를 추출한 다음 Cisco Catalyst SD-WAN IPSec 또는 GRE 터널을 통해 전파합니다.
Cisco Catalyst SD-WAN의 Edge Router 2는 Cisco Catalyst SD-WAN에서 SGT를 추출하고 이더넷 CMD 프레임을 생성하며 수신된 를 복사합니다.
브랜치 2의 Cisco TrustSec 스위치는 SGT를 검사하고 대상 SGT와 비교하여 트래픽이 허용되거나 거부되어야 하는지(성능) 확인합니다.

SGT field carried inside the packet going across the Cisco Catalyst SD-WAN packet and eight bytes of data is added to it Cisco Catalyst SD-WAN 패킷을 통과하는 패킷 내부에 전달되는 SGT 필드와 8바이트의 추가 데이터가 추가됩니다.

SD-WAN IPSEC 터널에서 SGT 인라인 태깅 전파 활성화

SD-WAN IPSEC 터널에서 SGT 인라인 태깅 전파를 위한 네트워크 다이어그램

1단계. WAN(Transport Tunnel Interface)에서 SGT 인라인 태깅 전파 활성화

SD-WAN ipsec 터널을 통한 SGT 인라인 태깅 전파를 활성화하려면 SD-WAN 터널에서만 전파를 활성화해야 합니다.
Cisco Catalyst SD-WAN Manager GUI에 로그인합니다.
Configuration(컨피그레이션) > Templates(템플릿) > Feature Template(기능 템플릿) > Cisco VPN Interface Ethernet(VPN0) > Click on Tunnel(터널 클릭)로 이동합니다.

Tunnel section 터널 섹션

CTS SGT 전파 식별 > 선택 ON

Tunnel configuration 터널 컨피그레이션

CLI 명령 동급:

interface Tunnel0
ip unnumbered GigabitEthernet0/0/0
no ip redirects
ipv6 unnumbered GigabitEthernet0/0/0
no ipv6 redirects
cts manual
tunnel source GigabitEthernet0/0/0
tunnel mode sdwan

참고: 20.6/17.6.1 릴리스부터 SGT 전파(인라인 태깅)는 SD-WAN 터널에서 기본적으로 비활성화됩니다.

참고: CTS SGT 전파가 활성화되면 인터페이스가 일시적으로 플랩됩니다.

참고: CTS SGT 전파가 활성화된 경우 다음 홉에서 SGT가 포함된 CMD 프레임을 캡슐화할 수 없는 경우 물리적 WAN 인터페이스에서 패킷 삭제와 같은 연결 문제가 발생할 수 있습니다.

2단계. 서비스 인터페이스(LAN)에서 SGT 인라인 태깅 전파 활성화

Configuration(컨피그레이션) > Templates(템플릿) > Device Template(디바이스 템플릿) > 서비스 VPN
물리적 인터페이스 및 하위 인터페이스에 대한 LAN 인터페이스 기능 템플릿 식별 > Cisco VPN 인터페이스 이더넷(서비스 VPN)

Cisco VPN Interface Feature Template (LAN) Cisco VPN 인터페이스 기능 템플릿(LAN)

Cisco VPN Interface Ethernet (Service VPN)(Cisco VPN 인터페이스 이더넷(서비스 VPN)) 기능 템플릿으로 이동하고 TrustSec을 클릭합니다

TrustSec section TrustSec 섹션

Identify Enable SGT Propagation(SGT 전파 활성화) > Select ON(선택)
Identify Propagate(전파 식별) > Select ON(켜기 선택)

TrustSec configuration TrustSec 컨피그레이션

CLI 명령 동급:

interface GigabitEthernet0/0/3 <<< Physical Interface
vrf forwarding 4001
no ip address
no ip redirects
ip mtu 1500
load-interval 30
negotiation auto
cts manual
arp timeout 1200

interface GigabitEthernet0/0/3.3 <<< Sub-Interface
encapsulation dot1Q 3
vrf forwarding 4001
ip address 192.168.253.2 255.255.255.252
no ip redirects
ip mtu 1500
cts manual
policy static sgt 999 trusted
arp timeout 1200

참고: Cisco IOS® XE Catalyst SD-WAN 디바이스의 물리적 인터페이스와 모든 하위 인터페이스에서 Cisco TrustSec을 활성화해야 합니다.

참고: 이 실험실은 SGT 전파, SGT 바인딩 및 SGT 시행에만 초점을 두고 있으며 SD-Access 패브릭 네트워크에서 수행됩니다.

다음을 확인합니다.

이 명령을show cts interface실행하여 인터페이스에 대한 Cisco TrustSec 정보를 표시합니다.

SD-WAN 터널 인터페이스.

#show cts interface Tunnel0 
Global Dot1x feature is Disabled
Interface Tunnel0:
    CTS is enabled, mode:    MANUAL
    IFC state:               OPEN
    Interface Active for      1d22h
    Authentication Status:   NOT APPLICABLE
        Peer identity:       "unknown"
        Peer's advertised capabilities: ""
    Authorization Status:    NOT APPLICABLE
    SAP Status:              NOT APPLICABLE
    Propagate SGT:           Enabled

SD-WAN 서비스 LAN 인터페이스.

#show cts interface GigabitEthernet0/0/3.3
Global Dot1x feature is Disabled
Interface GigabitEthernet0/0/3.3:
    CTS is enabled, mode:    MANUAL
    IFC state:               OPEN
    Interface Active for      6d14h
    Authentication Status:   NOT APPLICABLE
      Peer identity:       "unknown"
      Peer's advertised capabilities: ""
Authorization Status:    SUCCEEDED
Peer SGT:            999
Peer SGT assignment: Trusted
SAP Status:              NOT APPLICABLE
Propagate SGT:           Enabled

서비스 LAN 하위 인터페이스에서 FIA 추적 구성

패킷에 대한 SGT를 식별하기 위해 FIA 추적을 통해 검증할 수 있습니다.

SGT 인라인 태깅 전파가 활성화된 LAN 인터페이스(GigabitEthernet0/0/3)에서 FIA 추적 조건을 구성합니다.

clear platform condition all
debug platform packet-trace packet 2048 fia-trace data-size 2048 
debug platform condition interface GigabitEthernet0/0/3.3 both

명령을 실행하여 debug platform condition start FIA 추적을 시작합니다.

명령을 실행하여 debug platform condition stop FIA 추적을 중지합니다.

명령을 실행하여show platform packet-trace summaryFIA 추적 패킷을 표시합니다.

#show platform packet-trace summ
Pkt   Input       Output                  State Reason
0     Gi0/0/3.3   internal0/0/rp:0        PUNT  3 (Layer2 control and legacy) 
1     Gi0/0/3.3   internal0/0/rp:0        PUNT  55 (For-us control)
2     Gi0/0/3.3   Gi0/0/0                 FWD
3     Gi0/0/3.3   Gi0/0/0                 FWD
4     Gi0/0/3.3   Gi0/0/0                 FWD
5     Gi0/0/3.3   Gi0/0/0                 FWD
6     Gi0/0/3.3   Gi0/0/0                 FWD
7     Gi0/0/3.3   Gi0/0/0                 FWD

명령을 실행하여 패킷show platform packet-trace packet decode을 디코딩합니다.

패킷에서 기능을 식별합니다. SDWAN 포워딩

#show platform  packet-trace packet 2 decode
Packet: 2           CBUG ID: 254
Summary
  Input     : GigabitEthernet0/0/3.3
  Output    : GigabitEthernet0/0/0
  State     : FWD

!... Output is suppressed

Feature: SDWAN Forwarding
    SDWAN adj OCE:
    Output       : GigabitEthernet0/0/0
    Hash Value   : 0x2c
    Encap        : ipsec
    SLA          : 0
    SDWAN VPN    : 4001
    SDWAN Proto  : MDATA
    Out Label    : 1003
    Local Color  : bronze
    Remote Color : gold
    FTM Tun ID   : 2

!... Output is suppressed

    MDATA ver    :  0x2
    MDATA next proto  : IPV4(0x1)
    MDATA  num    : 1
    MDATA type     : SGT_TYPE(0x1)
    MDATA SGT    : 5             <<<< Packet incoming with SGT 5 and forwarded by Edge router

개정	게시 날짜	의견
2.0	16-Jan-2025	최초 릴리스
1.0	15-Jan-2025	최초 릴리스