この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
サブネットとセキュリティ グループ タグ(SGT)のマッピングは、指定したサブネット内のすべてのホスト アドレスに SGT をバインドします。このマッピングが実行されると、Cisco TrustSec により、指定のサブネットに属する送信元 IP アドレスを持つ任意の着信パケットに SGT が課せられます。
/31 プレフィックスの IPv4 サブ ネットワークを拡張できません。
サブネットホストアドレスは、cts sxp mapping network-map コマンドの bindings 引数が、指定されたサブネット内のサブネットホストの合計数より小さいか、バインド数が 0 の場合、SGT にバインドできません。
SXP スピーカーおよびリスナーが SXPv3 以降のバージョンを実行している場合のみ、IPv6 拡張および伝播が実行されます。
IPv4 ネットワークでは、SXPv3 以降のバージョンは SXPv3 ピアからサブネットの network address/prefix ストリングを受信し、解析できます。SXP の以前のバージョンでは、SXP リスナー ピアにエクスポートする前に、サブネットのプレフィックスをホスト バインドのセットに変換します。
ホスト アドレス 198.1.1.1 から 198.1.1.7 はタグ付けされて SXP ピアに伝播します。
ネットワーク、およびブロードキャスト アドレス 198.1.1.0 および 198.1.1.8 は、タグ付けされず、伝播しません。
 Note |
SXPv3 がエクスポートできるサブネットバインドの数を制限するには、cts sxp mapping network-map グローバル コンフィギュレーション コマンドを使用します。 |
Note |
IPv6 ネットワークの場合、SXPv3 は SXPv2 または SXPv1 ピアにサブネット バインディングをエクスポートできません。 |
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
enable Example: |
特権 EXEC モードを有効にします。
|
|
Step 2 |
configure terminal Example: |
グローバル コンフィギュレーション モードを開始します。 |
|
Step 3 |
cts sxp mapping network-map bindings Example: |
サブネットと SGT のマッピングのホスト数の制限を設定します。bindings 引数は、SGT にバインドされ、SXP リスナーにエクスポートできる、0 ~ 65,535 のサブネット IP ホストの最大数を指定します。デフォルトは 0(実行される拡張なし)です。 |
|
Step 4 |
cts role-based sgt-map ipv4-address sgt number Example: |
(IPv4)CIDR 表記で IPv4 サブネットを指定します。 手順 3 で指定するバインディングの数は、サブネット上のホスト アドレスの数以上である必要があります(ネットワーク、およびブロードキャスト アドレスを除く)。sgt number キーワードペアでは、指定したサブネットの各ホストアドレスにバインドする SGT 番号を指定します。
|
|
Step 5 |
cts role-based sgt-map ipv6-address::prefix sgt number Example: |
(IPv6)16 進数表記で IPv6 サブネットを指定します。 手順 3 で指定するバインディングの数は、サブネット上のホスト アドレスの数以上である必要があります(ネットワーク、およびブロードキャスト アドレスを除く)。sgt number キーワードペアでは、指定したサブネットの各ホストアドレスにバインドする SGT 番号を指定します。
|
|
Step 6 |
exit Example: |
グローバル コンフィギュレーション モードを終了します。 |
|
Step 7 |
show running-config | include search-string Example: |
cts role-based sgt-map コマンドと cts sxp mapping network-map コマンドが実行コンフィギュレーション内にあることを確認します。 |
|
Step 8 |
show cts sxp connections Example: |
SXP スピーカーとリスナーの接続と、動作ステータスを表示します。 |
|
Step 9 |
show cts sxp sgt-map Example: |
SXP リスナーにエクスポートした IP と SGT のバインディングを表示します。 |
|
Step 10 |
copy running-config startup-config Example: |
実行設定を、スタートアップ設定にコピーします。 |
次の例は、SXPv3 を実行している 2 つのデバイス(Device 1 と Device 2)間の IPv4 サブネットと SGT のマッピングを設定する方法を示します。
Device 1(10.1.1.1)と Device 2(10.2.2.2)間の SXP スピーカー/リスナー ピアリングを設定します。
Device1# configure terminal
Device1(config)# cts sxp enable
Device1(config)# cts sxp default source-ip 10.1.1.1
Device1(config)# cts sxp default password 1syzygy1
Device1(config)# cts sxp connection peer 10.2.2.2 password default mode local speakerDevice 1 の SXP リスナーとして Device 2 を設定します。
Device2(config)# cts sxp enable
Device2(config)# cts sxp default source-ip 10.2.2.2
Device2(config)# cts sxp default password 1syzygy1
Device2(config)# cts sxp connection peer 10.1.1.1 password default mode local listenerDevice 2 で、SXP 接続が動作していることを確認してください。
Device2# show cts sxp connections brief | include 10.1.1.1
10.1.1.1 10.2.2.2 On 3:22:23:18 (dd:hr:mm:sec)サブネットワークが Device 1 に拡張されるように設定します。
Device1(config)# cts sxp mapping network-map 10000
Device1(config)# cts role-based sgt-map 10.10.10.0/30 sgt 101
Device1(config)# cts role-based sgt-map 10.11.11.0/29 sgt 11111
Device1(config)# cts role-based sgt-map 172.168.1.0/28 sgt 65000Device 2 で、Device 1 からのサブネットと SGT の拡張を確認します。ここには、10.10.10.0/30 サブネットワーク用の拡張が 2 個、10.11.11.0/29 サブネットワーク用の拡張が 6 個、172.168.1.0/28 サブネットワーク用の拡張が 14 個存在する必要があります。
Device2# show cts sxp sgt-map brief | include 101|11111|65000
IPv4,SGT: <10.10.10.1 , 101>
IPv4,SGT: <10.10.10.2 , 101>
IPv4,SGT: <10.11.11.1 , 11111>
IPv4,SGT: <10.11.11.2 , 11111>
IPv4,SGT: <10.11.11.3 , 11111>
IPv4,SGT: <10.11.11.4 , 11111>
IPv4,SGT: <10.11.11.5 , 11111>
IPv4,SGT: <10.11.11.6 , 11111>
IPv4,SGT: <172.168.1.1 , 65000>
IPv4,SGT: <172.168.1.2 , 65000>
IPv4,SGT: <172.168.1.3 , 65000>
IPv4,SGT: <172.168.1.4 , 65000>
IPv4,SGT: <172.168.1.5 , 65000>
IPv4,SGT: <172.168.1.6 , 65000>
IPv4,SGT: <172.168.1.7 , 65000>
IPv4,SGT: <172.168.1.8 , 65000>
IPv4,SGT: <172.168.1.9 , 65000>
IPv4,SGT: <172.168.1.10 , 65000>
IPv4,SGT: <172.168.1.11 , 65000>
IPv4,SGT: <172.168.1.12 , 65000>
IPv4,SGT: <172.168.1.13 , 65000>
IPv4,SGT: <172.168.1.14 , 65000>
Device 1 の拡張数を確認します。
Device1# show cts sxp sgt-map
IP-SGT Mappings expanded:22
There are no IP-SGT MappingsDevice 1 と Device 2 の設定を保存して、グローバル コンフィギュレーション モードを終了します。
Device1(config)# copy running-config startup-config
Device1(config)# exit
Device2(config)# copy running-config startup-config
Device2(config)# exit|
関連項目 |
マニュアル タイトル |
|---|---|
|
セキュリティ コマンド |
|
|
Cisco TrustSec と SXP の設定 |
|
|
IPsec の設定 |
|
|
IKEv2 の設定 |
『Configuring Internet Key Exchange Version 2 (IKEv2) and FlexVPN Site-to-Site』 |
|
Cisco Secure Access Control Server |
|
説明 |
リンク |
|---|---|
|
右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。 |
次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
|
機能名 |
リリース |
機能情報 |
|---|---|---|
|
Cisco TrustSec サブネットと SGT のマッピング |
サブネットとセキュリティ グループ タグ(SGT)のマッピングは、指定したサブネット内のすべてのホスト アドレスに SGT をバインドします。このマッピングが実行されると、Cisco TrustSec により、指定のサブネットに属する送信元 IP アドレスを持つ任意の着信パケットに SGT が課せられます。 次のコマンドが導入されました:cts sxp mapping network-map |
フィードバック