SGACL ポリシーの設定の制約事項
-
ハードウェアの制限により、Cisco TrustSec SGACL はハードウェアのパント(CPUバウンド)トラフィックに適用できません。ソフトウェアでの SGACL の適用は、SVI、レイヤ 2 とレイヤ 3 の Location Identifier Separation Protocol(LISP)、およびループバック インターフェイスの CPU バウンドトラフィックではバイパスされます。
-
SGACL ポリシーを設定する際に、IP バージョンを IPv4 または IPv6 から 非依存(IPv4 と IPv6 の両方に適用)に変更した場合(逆も同様)、IPv4 と IPv6 に対応する SGACL ポリシーは管理 VRF インターフェイスを介して完全にダウンロードされません。
-
SGACL ポリシーを設定する際に、既存の IP バージョンを他のバージョン(IPv4 または IPv6 または 非依存)に変更した場合(逆も同様)、RADIUS を使用して Cisco Identity Services Engine(ISE)からの認可変更(CoA)を実行しないでください。代わりに、SSH を使用して cts refresh policy コマンドを実行し、手動でポリシーをリフレッシュします。
-
デフォルトのアクションを deny all とした SGT 許可リストモデルを使用する場合、デバイスのリロード後に Cisco TrustSec ポリシーが ISE サーバーから部分的にダウンロードされることがあります。
これを回避するには、デバイスで静的ポリシーを定義します。deny all オプションが適用されている場合でも、静的ポリシーはトラフィックを許可します。これにより、デバイスは ISE サーバーからポリシーをダウンロードし、定義された静的ポリシーを上書きできます。デバイス SGT では、グローバル コンフィギュレーション モードで次のコマンドを設定します。
-
cts role-based permissions from <sgt_num> to unknown
-
cts role-based permissions from unknown to <sgt_num>
-