Druk richting uitgang instellen met CTS-handleiding

Downloadopties

  • PDF     (224.4 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (195.0 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (127.6 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:14 maart 2018
Document-id:1456464084966126

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u een Cisco TrustSec (CTS) met de reflector van het Estricht moet configureren.

    Voorwaarden

    Vereisten

    Cisco raadt u aan basiskennis van CTS-oplossing te hebben.

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Catalyst 6500 switches met Supervisor Engine 2T op IOS 15.0(10)SY
    • IXIA verkeersgenerator

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

    Achtergrondinformatie

    CTS is een op identiteit gebaseerde netwerktoegangsarchitectuur die klanten helpt om veilige samenwerking mogelijk te maken, veiligheid te versterken en aan conformiteitseisen te voldoen. Het biedt ook een schaalbare, op beleidshandhaving gebaseerde infrastructuur. Packets zijn gelabeld op basis van het groepslidmaatschap van de pakketbron bij de ingang van het netwerk. Het beleid dat met de groep wordt geassocieerd wordt toegepast aangezien deze pakketten het netwerk oversteken.

    De Catalyst 6500 Series-switches met Supervisor Engine 2T en 6900 Series lijnkaarten bieden volledige hardware- en softwareondersteuning voor de implementatie van CTS. Om de CTS-functionaliteit te ondersteunen, zijn er speciale Application Specific Integrated Circuits (ASIC’s) gebruikt op de nieuwe 6900 Series lijnkaarten. Verouderde lijnkaarten hebben deze specifieke ASIC's niet en ondersteunen daarom geen CTS.

    CTS-reflector gebruikt Catalyst Switch Port Analyzer (SPAN) om verkeer weer te geven van een CTS-ongeschikt switchmodule naar de Supervisor Engine voor Security Group Tag (SGT) toewijzing en invoeging.

    Een CTS drukreflector wordt op een distributieschakelaar met Layer 3 uplinks geïmplementeerd, waar de CTS-ongeschikte switchmodule met een toegangsschakelaar wordt geconfronteerd. Zij ondersteunt Centralized Forwarding Cards (CFC’s) en Distributed Forwarding Cards (DFC’s).

    Configureren

    Netwerkdiagram

    200367-Configure-and-Verify-Egress-Reflector-wi-00.png

    SW1 configureren

    Configureer de CTS handleiding in de uplink naar SW2 met deze opdrachten:

    SW1(config)#int t1/4
SW1(config-if)#ip address 10.10.10.1 255.255.255.0
SW1(config-if)#no shutdown
SW1(config-if)#cts manual
SW1(config-if-cts-manual)#propagate sgt
SW1(config-if-cts-manual)#policy static sgt 11 trusted
SW1(config-if-cts-manual)#exit
SW1(config-if)#exit

    SW2 configureren

    Druk op reflector op de schakelaar met deze opdrachten om:

    SW2(config)#platform cts egress
    SW2#write memory
    Building configuration...
    [OK]
SW2#reload

    Opmerking: De schakelaar moet opnieuw worden geladen om de omgevingsreflectiemodus in te schakelen.

    Configureer de CTS handleiding op de poort die is aangesloten op SW1 met deze opdrachten:

    SW2(config)#int t1/4/4
SW2(config-if)#ip address 10.10.10.2 255.255.255.0
SW2(config-if)#no shutdown
SW2(config-if)#cts manual
SW2(config-if-cts-manual)#propagate sgt
SW2(config-if-cts-manual)#policy  static sgt 10 trusted
SW2(config-if-cts-manual)#exit
SW2(config-if)#exit

    Configureer een statische SGT op SW2 voor het IP-bronadres 10.10.10.10 vanaf IXIA.

    SW2(config)#cts role-based sgt-map 10.10.10.10 sgt 11

    Verifiëren

    Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.

    De huidige CTS-modus kan met deze opdracht worden bekeken:

    SW2#show platform cts
 CTS Egress mode enabled

    De CTS verbindingsstaat kan met deze opdracht worden bekeken:

    show cts interface summary

    Controleer dat de IFC-status op beide switches is OPEN. De output zou er als volgt moeten uitzien:

    SW1#show cts interface summary

Global Dot1x feature is Enabled

CTS Layer2 Interfaces
---------------------
Interface  Mode    IFC-state dot1x-role peer-id    IFC-cache    Critical-Authentication
-----------------------------------------------------------------------------
Te1/4      MANUAL  OPEN      unknown    unknown    invalid      Invalid
    SW2#show cts interface summary

Global Dot1x feature is Enabled

CTS Layer2 Interfaces
---------------------
Interface  Mode    IFC-state dot1x-role peer-id    IFC-cache    Critical-Authentication
-----------------------------------------------------------------------------
Te1/4/4    MANUAL  OPEN      unknown    unknown    invalid      Invalid

    Controleer door NetFlow-uitvoer

    NetFlow kan met deze opdrachten worden ingesteld:

    SW1(config)#flow record rec2
SW1(config-flow-record)#match ipv4 protocol
SW1(config-flow-record)#match ipv4 source address
SW1(config-flow-record)#match ipv4 destination address
SW1(config-flow-record)#match transport source-port
SW1(config-flow-record)#match transport destination-port
SW1(config-flow-record)#match flow direction
SW1(config-flow-record)#match flow cts source group-tag
SW1(config-flow-record)#match flow cts destination group-tag
SW1(config-flow-record)#collect routing forwarding-status
SW1(config-flow-record)#collect counter bytes
SW1(config-flow-record)#collect counter packets
SW1(config-flow-record)#exit
SW1(config)#flow monitor mon2
SW1(config-flow-monitor)#record rec2
SW1(config-flow-monitor)#exit

    NetFlow toepassen op de ingangsinterface van de SW1-schakelaar:

    SW1#sh run int t1/4
Building configuration...

Current configuration : 165 bytes
!
interface TenGigabitEthernet1/4
 no switchport
 ip address 10.10.10.1 255.255.255.0
 ip flow monitor mon2 input
 cts manual
  policy static sgt 11 trusted
end

    Controleer dat de inkomende pakketten SGT zijn gelabeld op SW1-switch.

    SW1#show flow monitor mon2 cache format table
  Cache type:                               Normal
  Cache size:                                 4096
  Current entries:                               0
  High Watermark:                                0

  Flows added:                                   0
  Flows aged:                                    0
    - Active timeout      (  1800 secs)          0
    - Inactive timeout    (    15 secs)          0
    - Event aged                                 0
    - Watermark aged                             0
    - Emergency aged                             0

There are no cache entries to display.

  Cache type:                               Normal (Platform cache)
  Cache size:                              Unknown
  Current entries:                               0

There are no cache entries to display.

Module 35:
  Cache type:                               Normal (Platform cache)
  Cache size:                              Unknown
  Current entries:                               0

There are no cache entries to display.

Module 34:
  Cache type:                               Normal
  Cache size:                                 4096
  Current entries:                               0
  High Watermark:                                0

  Flows added:                                   0
  Flows aged:                                    0
    - Active timeout      (  1800 secs)          0
    - Inactive timeout    (    15 secs)          0
    - Event aged                                 0
    - Watermark aged                             0
    - Emergency aged                             0

There are no cache entries to display.
Cache type:                               Normal (Platform cache)
  Cache size:                              Unknown
  Current entries:                               0

There are no cache entries to display.

Module 33:
  Cache type:                               Normal
  Cache size:                                 4096
  Current entries:                               0
  High Watermark:                                0

  Flows added:                                   0
  Flows aged:                                    0
    - Active timeout      (  1800 secs)          0
    - Inactive timeout    (    15 secs)          0
    - Event aged                                 0
    - Watermark aged                             0
    - Emergency aged                             0

There are no cache entries to display.
  Cache type:                               Normal (Platform cache)
  Cache size:                              Unknown
  Current entries:                               0

There are no cache entries to display.

Module 20:
  Cache type:                               Normal (Platform cache)
  Cache size:                              Unknown
  Current entries:                               2

IPV4 SRC ADDR    IPV4 DST ADDR    TRNS SRC PORT  TRNS DST PORT  FLOW DIRN  FLOW CTS SRC GROUP TAG  FLOW CTS DST GROUP TAG  IP PROT  ip fwd status  bytes        pkts
===============  ===============  =============  =============  =========  ======================  ======================  =======  =============  ==========  ==========
10.10.10.10      10.10.20.10                  0              0  Input                          11                       0      255  Unknown        375483970     8162695
10.10.10.2       224.0.0.5                    0              0  Input                           4                       0       89  Unknown        6800          85

    Module 19:
  Cache type:                               Normal (Platform cache)
  Cache size:                              Unknown
  Current entries:                               0

There are no cache entries to display.

Module 18:
  Cache type:                               Normal
  Cache size:                                 4096
  Current entries:                               0
  High Watermark:                                0

  Flows added:                                   0
  Flows aged:                                    0
    - Active timeout      (  1800 secs)          0
    - Inactive timeout    (    15 secs)          0
    - Event aged                                 0
    - Watermark aged                             0
    - Emergency aged                             0

There are no cache entries to display.
  Cache type:                               Normal (Platform cache)
  Cache size:                              Unknown
  Current entries:                               0

    Problemen oplossen

    Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.

    TAC Authored

    Bijgedragen door Cisco-engineers

    • Sendhil Balakrishnan

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten