- はじめに
- 概要
- コマンドライン インターフェイスの使用方法
- スイッチの IP アドレスおよびデフォルト ゲートウェイの割り当て
- Cisco IOS Configuration Engine の設定
- スイッチの管理
- スイッチのクラスタ化
- スイッチ スタックの管理
- SDM テンプレートの設定
- スイッチ ベース認証の設定
- IEEE 802.1x ポートベース認証の設定
- Web ベース認証の設定
- Cisco TrustSec の設定
- インターフェイス特性の設定
- VLAN の設定
- VTP の設定
- 音声 VLAN の設定
- STP の設定
- MSTP の設定
- オプションのスパニングツリー機能の設定
- Flex Link および MAC アドレス テーブル移動更新機能の設定
- DHCP および IP ソース ガード機能の設定
- IGMP スヌーピングおよび MVR の設定
- ダイナミック ARP インスペクションの設定
- ポート単位のトラフィック制御の設定
- UDLD の設定
- CDP の設定
- LLDP、LLDP-MED、およびワイヤード ロケーション サービスの設定
- SPAN および RSPAN の設定
- RMON の設定
- システム メッセージ ロギングの設定
- SNMP の設定
- ACL によるネットワーク セキュリティの設定
- Cisco IOS IP SLA 動作の設定
- QoS の設定
- スタティック IP ユニキャスト ルーティングの設定
- IPv6 ホスト機能の設定
- IPv6 MLD スヌーピングの設定
- IPv6 ACL の設定
- EtherChannel およびリンクステート トラッキングの設定
- トラブルシューティング
- オンライン診断の設定
- Cisco IOS ファイル システム、コンフィギュレーション ファイル、およびソフトウェア イメージの操作
- Cisco IOS Release 15.0(2)SE 以降でサポートされていないコマンド
- Catalyst 2950 スイッチから Catalyst 2960 スイッチへのアップグレードの推奨
- 索引
Catalyst 2960 および 2960-S スイッチ ソフトウェア コンフィギュレーション ガイド Cisco IOS Release 15.0(2)SE 以降
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年5月30日
章のタイトル: Cisco TrustSec の設定
Cisco TrustSec の設定
Cisco TrustSec は、ネットワーク内のユーザ、ホスト、およびネットワーク デバイスを強力に識別する機能に基づいた、シスコ ネットワーク デバイスのセキュリティを改善します。TrustSec は、特定のロールについてデータ トラフィックを一意に分類することで、トポロジに依存しない、スケーラブルなアクセス コントロールを実現します。TrustSec は、認証されたピアおよびこれらのピアとの暗号化リンク間で信頼を確立することで、データの機密保持および整合性を保証します。
Cisco TrustSec の主要コンポーネントは、 Cisco Identity Services Engine (ISE)です。スイッチ上で手動で設定することもできますが、Cisco ISE は TrustSec ID およびセキュリティ グループ ACL(SGACL)でスイッチをプロビジョニングできます。
スイッチ上で Cisco TrustSec を設定するには、次の URL にある『 Cisco TrustSec Switch Configuration Guide 』を参照してください。
http://www.cisco.com/en/US/docs/switches/lan/trustsec/configuration/guide/trustsec.html
Cisco TrustSec General Availability リリースのリリース ノートについては、次の URL を参照してください。
http://www.cisco.com/en/US/docs/switches/lan/trustsec/release/notes/rn_cts_crossplat.html
Cisco TrustSec ソリューションの詳細(概要、データシート、およびケース スタディなど)については、次の URL を参照してください。
http://www.cisco.com/en/US/netsol/ns1051/index.html
表 1 に、TrustSec がイネーブルになった Cisco スイッチで実装される TrustSec 機能を示します。継続的な TrustSec の General Availability リリースによって、サポートされるスイッチの数および各スイッチでサポートされる TrustSec 機能の数は増加しています。
TrustSec 機能の制限の詳細については、「設定時の注意事項および制限事項」を参照してください。
設定時の注意事項および制限事項
Cisco TrustSec SGT および SGACL 設定には、次の注意事項と制限事項が適用されます。
•
IP サブネットを SGT に静的にマッピングすることはできません。SGT には、IP アドレスだけをマッピングできます。IP アドレスから SGT へのマッピングを設定する場合、IP アドレス プレフィックスは 32 である必要があります。
• ポートがマルチ認証モードに設定されている場合は、そのポートに接続されているすべてのホストを同じ SGT に割り当てる必要があります。ホストが認証を試みると、割り当てられた SGT は以前に認証されたホストに割り当てられた SGT と同じでなければなりません。SGT がすでに認証されているホストの SGT ではない場合にホストが認証を試みると、これらのホストが属する VLAN ポート(VP)は errdisable になります。
• Cisco TrustSec 強制は、VLAN トランク リンクの最大 8 つの VLAN でだけサポートされます。VLAN トランク リンクに 8 つを超える VLAN が設定されている場合、Cisco TrustSec 強制がこれらの VLAN でイネーブルにされると、これらの VLAN トランク リンクのスイッチ ポートが errdisable になります。
• スイッチは、エンドホストがスイッチに隣接するレイヤ 2 である場合にだけ SGT を割り当て、SXP リスニングに基づいて、対応する SGACL をエンドホストに適用できます。
• ポートから SGT へのマッピングは、Cisco TrustSec リンク(つまり、スイッチ間リンクのスイッチ)でだけ設定できます。ポートから SGT へのマッピングは、ホストからスイッチへのリンクには設定できません。
• ポートにポートから SGT へのマッピングが設定されている場合、そのポートのすべての入力トラフィックに SGT が割り当てられます。ポートの出力トラフィックに対する SGACL 強制はありません。
フィードバック