简介
本文档介绍软件定义广域网(SD-WAN)中的安全组标记(SGT)内联标记传播方法。
先决条件
Cisco 建议您了解以下主题:
- Cisco Catalyst软件定义的广域网(SD-WAN)
- 软件定义接入(SD接入)交换矩阵
- 思科身份服务引擎(ISE)
使用的组件
本文档中的信息基于:
- 思科IOS® XE Catalyst SD-WAN Edge版本17.9.5a
- Cisco Catalyst SD-WAN Manager版本20.12.4。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
Cisco TrustSec集成
Cisco IOS® XE Catalyst SD-WAN版本17.3.1a支持与Cisco TrustSec集成的SGT传播。此功能使Cisco IOS® XE Catalyst SD-WAN边缘设备能够将分支中支持Cisco TrustSec的交换机生成的安全组标记(SGT)内联标记传播到Cisco Catalyst SD-WAN网络中的其他边缘设备。支持Cisco TrustSec的交换机在分支机构执行分类和实施,而Cisco IOS® XE Catalyst SD-WAN设备设备在边缘设备上传送内联标记。
Cisco Trustsec的基本概念:
- SGT绑定:IP和SGT之间的关联,所有绑定都是最常见的配置和直接从Cisco ISE获知。
- SGT传播:传播方法用于在网络跳之间传播这些SGT
- SGTACL策略:一组规则,用于指定受信任网络中流量源的权限。
- SGT实施:根据SGT策略实施策略的位置。
SGT传播方法
SGT传播方法如下:
- SGT传播内联标记。
- SGT传播安全组标记交换协议(SXP)
带内联标记的SGT传播
通过内联标记,使用特殊的以太网帧在网络跳之间传播这些SGT。对于内联标记传播,分支机构需要配备支持Cisco TrustSec的交换机,以便处理SGT内联标记(Cisco TrustSec设备)。
示例:
- 分支机构1和分支机构2配备支持Cisco TrustSec的交换机,这些分支机构连接到Cisco IOS XE Catalyst SD-WAN设备。
- 分支中的Cisco TrustSec交换机执行绑定、传播和实施操作。
- Branch 1中的Cisco TrustSec交换机在面向边缘路由器1的以太网CMD帧中执行SGT内联标记。
- 然后,边缘路由器1解封CMD帧,提取SGT,并通过Cisco Catalyst SD-WAN IPSec或GRE隧道传播它。
- Cisco Catalyst SD-WAN上的边缘路由器2从Cisco Catalyst SD-WAN提取SGT,生成以太网CMD帧,并复制收到的SGT。
- Branch 2上的Cisco TrustSec交换机检查SGT,并根据目标SGT查找它以确定流量是必须允许还是拒绝(执行)。
在通过Cisco Catalyst SD-WAN数据包的数据包中携带的SGT字段,并且会向其中添加额外的8字节数据。
在SD-WAN IPSEC隧道中启用SGT内联标记传播
SD-WAN IPSEC隧道中SGT在线标记传播的网络图
步骤1.在传输隧道接口(WAN)上启用SGT内联标记传播
- 要通过SD-WAN ipsec隧道启用SGT内联标记传播,传播必须仅在SD-WAN隧道中启用。
- 登录Cisco Catalyst SD-WAN Manager GUI。
- 导航到Configuration > Templates > Feature Template > Cisco VPN Interface Ethernet(VPN0)> Click on Tunnel。
Tunnel部分
隧道配置
等效的CLI命令:
interface Tunnel0
ip unnumbered GigabitEthernet0/0/0
no ip redirects
ipv6 unnumbered GigabitEthernet0/0/0
no ipv6 redirects
cts manual
tunnel source GigabitEthernet0/0/0
tunnel mode sdwan
注意:从20.6/17.6.1版本开始,SGT传播(内联标记)默认在SD-WAN隧道上禁用。
注意:当CTS SGT Propagation处于启用状态时,它会立即引起接口摆动。
注意:当启用CTS SGT传播时,如果在下一跳无法解封包含SGT的CMD帧,则物理WAN接口中的该端口可能导致连接问题,例如数据包丢弃。
步骤2.在服务接口(LAN)上启用SGT内联标记传播
- 导航到配置>模板>设备模板> 服务VPN
- 确定物理接口和子接口的LAN接口功能模板> Cisco VPN接口以太网(服务VPN)
Cisco VPN接口功能模板(LAN)
- 导航到Cisco VPN接口以太网(服务VPN)功能模板,单击TrustSec
TrustSec部分
TrustSec配置
等效的CLI命令:
interface GigabitEthernet0/0/3 <<< Physical Interface
vrf forwarding 4001
no ip address
no ip redirects
ip mtu 1500
load-interval 30
negotiation auto
cts manual
arp timeout 1200
interface GigabitEthernet0/0/3.3 <<< Sub-Interface
encapsulation dot1Q 3
vrf forwarding 4001
ip address 192.168.253.2 255.255.255.252
no ip redirects
ip mtu 1500
cts manual
policy static sgt 999 trusted
arp timeout 1200
注意:在Cisco IOS® XE Catalyst SD-WAN设备上,必须在物理接口和所有子接口上启用Cisco TrustSec。
注意:本实验仅关注于SGT传播,SGT绑定和SGT实施在SD-Access交换矩阵网络中进行。
验证
运行命令show cts interface
以显示接口的Cisco TrustSec信息。
SD-WAN隧道接口。
#show cts interface Tunnel0
Global Dot1x feature is Disabled
Interface Tunnel0:
CTS is enabled, mode: MANUAL
IFC state: OPEN
Interface Active for 1d22h
Authentication Status: NOT APPLICABLE
Peer identity: "unknown"
Peer's advertised capabilities: ""
Authorization Status: NOT APPLICABLE
SAP Status: NOT APPLICABLE
Propagate SGT: Enabled
SD-WAN服务LAN接口。
#show cts interface GigabitEthernet0/0/3.3
Global Dot1x feature is Disabled
Interface GigabitEthernet0/0/3.3:
CTS is enabled, mode: MANUAL
IFC state: OPEN
Interface Active for 6d14h
Authentication Status: NOT APPLICABLE
Peer identity: "unknown"
Peer's advertised capabilities: ""
Authorization Status: SUCCEEDED
Peer SGT: 999
Peer SGT assignment: Trusted
SAP Status: NOT APPLICABLE
Propagate SGT: Enabled
在服务LAN子接口中配置FIA跟踪
要识别数据包的SGT,它可以通过FIA跟踪进行验证。
在启用SGT内联标记传播的LAN接口(GigabitEthernet0/0/3)上配置FIA跟踪条件。
clear platform condition all
debug platform packet-trace packet 2048 fia-trace data-size 2048
debug platform condition interface GigabitEthernet0/0/3.3 both
运行命令debug platform condition start
以启动FIA跟踪。
运行命令debug platform condition stop
以停止FIA跟踪。
运行命令show platform packet-trace summary
,显示FIA跟踪数据包。
#show platform packet-trace summ
Pkt Input Output State Reason
0 Gi0/0/3.3 internal0/0/rp:0 PUNT 3 (Layer2 control and legacy)
1 Gi0/0/3.3 internal0/0/rp:0 PUNT 55 (For-us control)
2 Gi0/0/3.3 Gi0/0/0 FWD
3 Gi0/0/3.3 Gi0/0/0 FWD
4 Gi0/0/3.3 Gi0/0/0 FWD
5 Gi0/0/3.3 Gi0/0/0 FWD
6 Gi0/0/3.3 Gi0/0/0 FWD
7 Gi0/0/3.3 Gi0/0/0 FWD
运行命令show platform packet-trace packet
decode
以解码数据包。
在数据包中,确定功能:SDWAN转发
#show platform packet-trace packet 2 decode
Packet: 2 CBUG ID: 254
Summary
Input : GigabitEthernet0/0/3.3
Output : GigabitEthernet0/0/0
State : FWD
!... Output is suppressed
Feature: SDWAN Forwarding
SDWAN adj OCE:
Output : GigabitEthernet0/0/0
Hash Value : 0x2c
Encap : ipsec
SLA : 0
SDWAN VPN : 4001
SDWAN Proto : MDATA
Out Label : 1003
Local Color : bronze
Remote Color : gold
FTM Tun ID : 2
!... Output is suppressed
MDATA ver : 0x2
MDATA next proto : IPV4(0x1)
MDATA num : 1
MDATA type : SGT_TYPE(0x1)
MDATA SGT : 5 <<<< Packet incoming with SGT 5 and forwarded by Edge router
相关信息