TrustSec セキュリティグループ名のダウンロード
TrustSec セキュリティグループ名のダウンロード機能は、ネットワーク アクセス デバイスにダウンロードするセキュリティグループタグ(SGT)ポリシーを拡張して、SGT 番号とセキュリティ グループ アクセス コントロール リスト(SGACL)ポリシーに加えて SGT 名を含めます。
レイヤ 3 論理インターフェイスと SGT のマッピング
TrustSec セキュリティグループ名のダウンロード機能は、基盤となる物理インターフェイスに関係なく、次のレイヤ 3 インターフェイスのいずれかのトラフィックに SGT を直接マッピングするために使用されます。
-
ルーテッド ポート
-
SVI(VLAN インターフェイス)
-
レイヤ 2 ポートのレイヤ 3 サブインターフェイス
-
トンネル インターフェイス
cts role-based sgt-map interface グローバル コンフィギュレーション コマンドは、(SGT アソシエーションが Cisco ISE または Cisco ACS アクセスサーバーから動的に取得される)特定の SGT 番号またはセキュリティグループ名を指定するために使用します。
TrustSec セキュリティグループ名のダウンロードの設定
手順
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードを有効にします。
|
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
cts role-based sgt-map interface type slot/port [security-group name | sgt number] 例:
|
SGT は指定されたインターフェイスへの入力トラフィックに適用されます。
|
ステップ 4 |
exit 例:
|
グローバル コンフィギュレーション モードを終了します。 |
ステップ 5 |
show cts role-based sgt-map all 例:
|
入力トラフィックに指定された SGT がタグ付けされたことを確認します。 |
例:TrustSec セキュリティグループ名のダウンロード
次の例は、入力インターフェイスへの SGT のダウンロード設定を示します。
Device# config terminal
Device(config)# cts role-based sgt-map interface gigabitEthernet 6/3 sgt 3
Device(config)# exit
次の例は、入力インターフェイスの入力トラフィックが適切にタグ付けされていることを示します。
Device# show cts role-based sgt-map all
IP Address SGT Source
============================================
15.1.1.15 4 INTERNAL
17.1.1.0/24 3 L3IF
21.1.1.2 4 INTERNAL
31.1.1.0/24 3 L3IF
31.1.1.2 4 INTERNAL
43.1.1.0/24 3 L3IF
49.1.1.0/24 3 L3IF
50.1.1.0/24 3 L3IF
50.1.1.2 4 INTERNAL
51.1.1.1 4 INTERNAL
52.1.1.0/24 3 L3IF
81.1.1.1 5 CLI
102.1.1.1 4 INTERNAL
105.1.1.1 3 L3IF
111.1.1.1 4 INTERNAL
IP-SGT Active Bindings Summary
============================================
Total number of CLI bindings = 1
Total number of L3IF bindings = 7
Total number of INTERNAL bindings = 7
Total number of active bindings = 15
TrustSec セキュリティグループ名のダウンロード機能の履歴
次の表に、このモジュールで説明する機能のリリースおよび関連情報を示します。
これらの機能は、特に明記されていない限り、導入されたリリース以降のすべてのリリースで使用できます。
リリース |
機能 |
機能情報 |
---|---|---|
Cisco IOS XE Gibraltar 16.11.1 |
TrustSec セキュリティグループ名のダウンロード |
この機能は、ネットワーク アクセス デバイスにダウンロードする SGT ポリシーを拡張して、SGT 番号と SGACL ポリシーに加えて SGT 名を含めます。 |
Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェアイメージのサポート情報を検索できます。Cisco Feature Navigator には、http://www.cisco.com/go/cfn [英語] からアクセスします。