在SD-WAN中配置TrustSec SGT内联标记传播

简介

本文档介绍软件定义广域网(SD-WAN)中的安全组标记(SGT)内联标记传播方法。

先决条件

Cisco 建议您了解以下主题：

• Cisco Catalyst软件定义的广域网(SD-WAN)
• 软件定义接入（SD接入）交换矩阵
• 思科身份服务引擎(ISE)

使用的组件

本文档中的信息基于：

• 思科IOS® XE Catalyst SD-WAN Edge版本17.9.5a
• Cisco Catalyst SD-WAN Manager版本20.12.4。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

Cisco TrustSec集成

Cisco IOS® XE Catalyst SD-WAN版本17.3.1a支持与Cisco TrustSec集成的SGT传播。此功能使Cisco IOS® XE Catalyst SD-WAN边缘设备能够将安全组标记(SGT)内联标记（由分支上支持Cisco TrustSec的交换机生成）传播到Cisco Catalyst SD-WAN网络中的其他边缘设备。支持Cisco TrustSec的交换机在分支机构上执行分类和实施，而Cisco IOS® XE Catalyst SD-WAN设备设备在边缘设备上携带内联标记。 

Cisco Trustsec的基本概念：

• SGT绑定：IP与SGT之间的关联；所有绑定通常配置并直接从思科ISE获取。
• SGT传播：此方法用于在网络跳之间传播这些SGT。
• SGTACL策略:这些规则指定受信任网络中流量源的权限。
• SGT实施:根据SGT策略实施策略的位置

SGT传播方法

SGT传播方法如下：

• SGT传播内联标记。
• SGT传播安全组标记交换协议(SXP)

带内联标记的SGT传播

通过内联标记，使用特殊的以太网帧在网络跳之间传播这些SGT。对于内联标记传播，分支机构必须配备支持Cisco TrustSec的交换机，能够处理SGT内联标记（Cisco TrustSec设备）。

示例：

• 分支机构1和分支机构2配备支持Cisco TrustSec的交换机，这些分支机构连接到Cisco IOS XE Catalyst SD-WAN设备。
• 分支中的Cisco TrustSec交换机执行绑定、传播和实施。
• Branch 1上的Cisco TrustSec交换机在面向边缘路由器1的以太网CMD帧中执行SGT内联标记。
• 然后，边缘路由器1解封CMD帧，提取SGT，并通过Cisco Catalyst SD-WAN IPSec或GRE隧道传播它。
• Cisco Catalyst SD-WAN上的边缘路由器2从Cisco Catalyst SD-WAN提取SGT，生成以太网CMD帧，并复制收到的SGT。
• Branch 2上的Cisco TrustSec交换机检查SGT，并将其与目标SGT进行比较，以确定流量是必须允许还是拒绝（执行）。 

在通过Cisco Catalyst SD-WAN数据包的数据包中携带的SGT字段，并且会向其中添加额外的8字节数据。

在SD-WAN IPSEC隧道中启用SGT内联标记传播

SD-WAN IPSEC隧道中SGT在线标记传播的网络图

步骤1.在传输隧道接口(WAN)上启用SGT内联标记传播

• 要通过SD-WAN ipsec隧道启用SGT内联标记传播，仅必须在SD-WAN隧道中启用传播。
• 登录到Cisco Catalyst SD-WAN Manager GUI。
• 导航到Configuration > Templates > Feature Template > Cisco VPN Interface Ethernet(VPN0)>并单击Tunnel。

Tunnel部分

• 确定CTS SGT传播。选择 开启
  

隧道配置

等效的CLI命令：

interface Tunnel0
ip unnumbered GigabitEthernet0/0/0
no ip redirects
ipv6 unnumbered GigabitEthernet0/0/0
no ipv6 redirects
cts manual
tunnel source GigabitEthernet0/0/0
tunnel mode sdwan

注意：从20.6/17.6.1版本开始，SD-WAN隧道默认禁用SGT传播（内联标记）。

注意：当CTS SGT Propagation处于启用状态时，会导致接口瞬间摆动。

注意：当在物理WAN接口中启用CTS SGT Propagation时，如果下一跳无法解封包含SGT的CMD帧，则会导致连接问题（如丢包）。

步骤2.在服务接口(LAN)上启用SGT内联标记传播

• 导航到配置>模板>设备模板> 服务VPN 
  
• 从Cisco VPN Interface Ethernet(Service VPN)下拉菜单中选择物理接口和子接口的LAN接口功能模板。

Cisco VPN接口功能模板(LAN)

• 导航到Cisco VPN Interface Ethernet(Service VPN)功能模板，点击TrustSec
  

TrustSec部分

• 确定启用SGT传播>选择开
• 确定传播>选择开

TrustSec配置

等效的CLI命令：

interface GigabitEthernet0/0/3 <<< Physical Interface
vrf forwarding 4001
no ip address
no ip redirects
ip mtu 1500
load-interval 30
negotiation auto
cts manual
arp timeout 1200

interface GigabitEthernet0/0/3.3 <<< Sub-Interface
encapsulation dot1Q 3
vrf forwarding 4001
ip address 192.168.253.2 255.255.255.252
no ip redirects
ip mtu 1500
cts manual
policy static sgt 999 trusted
arp timeout 1200

注意：在Cisco IOS® XE Catalyst SD-WAN设备上，必须在物理接口和所有子接口上启用Cisco TrustSec。

注意：本实验室仅关注SGT传播。SGT绑定和SGT实施在SD-Access交换矩阵网络上进行。

验证

运行命令show cts interface 以显示接口的Cisco TrustSec信息。

SD-WAN隧道接口。

#show cts interface Tunnel0 
Global Dot1x feature is Disabled
Interface Tunnel0:
    CTS is enabled, mode:    MANUAL
    IFC state:               OPEN
    Interface Active for      1d22h
    Authentication Status:   NOT APPLICABLE
        Peer identity:       "unknown"
        Peer's advertised capabilities: ""
    Authorization Status:    NOT APPLICABLE
    SAP Status:              NOT APPLICABLE
    Propagate SGT:           Enabled

SD-WAN服务LAN接口。

#show cts interface GigabitEthernet0/0/3.3
Global Dot1x feature is Disabled
Interface GigabitEthernet0/0/3.3:
    CTS is enabled, mode:    MANUAL
    IFC state:               OPEN
    Interface Active for      6d14h
    Authentication Status:   NOT APPLICABLE
      Peer identity:       "unknown"
      Peer's advertised capabilities: ""
Authorization Status:    SUCCEEDED
Peer SGT:            999
Peer SGT assignment: Trusted
SAP Status:              NOT APPLICABLE
Propagate SGT:           Enabled

在服务LAN子接口中配置FIA跟踪

要识别数据包的SGT，它可以通过FIA跟踪进行验证。

在启用SGT内联标记传播的LAN接口(GigabitEthernet0/0/3)上配置FIA跟踪条件。

clear platform condition all
debug platform packet-trace packet 2048 fia-trace data-size 2048 
debug platform condition interface GigabitEthernet0/0/3.3 both 

运行命令debug platform condition start以启动FIA跟踪。

运行命令debug platform condition stop以停止FIA跟踪。

运行命令show platform packet-trace summary，显示FIA跟踪数据包。

#show platform packet-trace summ
Pkt   Input       Output                  State Reason
0     Gi0/0/3.3   internal0/0/rp:0        PUNT  3 (Layer2 control and legacy) 
1     Gi0/0/3.3   internal0/0/rp:0        PUNT  55 (For-us control)
2     Gi0/0/3.3   Gi0/0/0                 FWD
3     Gi0/0/3.3   Gi0/0/0                 FWD
4     Gi0/0/3.3   Gi0/0/0                 FWD
5     Gi0/0/3.3   Gi0/0/0                 FWD
6     Gi0/0/3.3   Gi0/0/0                 FWD
7     Gi0/0/3.3   Gi0/0/0                 FWD

运行命令show platform packet-trace packet decode以解码数据包。

在数据包中，确定功能：SDWAN转发

#show platform  packet-trace packet 2 decode
Packet: 2           CBUG ID: 254
Summary
  Input     : GigabitEthernet0/0/3.3
  Output    : GigabitEthernet0/0/0
  State     : FWD

!... Output is suppressed

Feature: SDWAN Forwarding
    SDWAN adj OCE:
    Output       : GigabitEthernet0/0/0
    Hash Value   : 0x2c
    Encap        : ipsec
    SLA          : 0
    SDWAN VPN    : 4001
    SDWAN Proto  : MDATA
    Out Label    : 1003
    Local Color  : bronze
    Remote Color : gold
    FTM Tun ID   : 2

!... Output is suppressed

    MDATA ver    :  0x2
    MDATA next proto  : IPV4(0x1)
    MDATA  num    : 1
    MDATA type     : SGT_TYPE(0x1)
    MDATA SGT    : 5             <<<< Packet incoming with SGT 5 and forwarded by Edge router

相关信息

• Cisco Catalyst SD-WAN安全配置指南

• Cisco TrustSec概述
• Cisco TrustSec SGT内联标记