セキュリティ グループ アクセス コントロール リスト(SGACL)の制約事項
Cisco Catalyst 3650 シリーズ スイッチおよび Cisco Catalyst 3850 シリーズ スイッチには、次の制限が適用されます。
-
ハードウェアの制限により、CTS SGACL はハードウェアのパント(CPU バウンド)トラフィックに適用できません。
The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.
セキュリティ グループ アクセス コントロール リスト(SGACL)を使用して、ユーザと宛先リソースのセキュリティ グループの割り当てに基づいて、ユーザが実行できる操作を制御できます。Cisco TrustSec ドメイン内のポリシーの適用は、軸の 1 つが送信元セキュリティグループ番号、もう 1 つの軸が宛先セキュリティグループ番号である、許可マトリックスで表示されます。マトリクスの本体の各セルには送信元セキュリティ グループから宛先セキュリティ グループ宛てに送信されるパケットに適用される必要がある許可を指定する SGACL の順序リストを含めることができます。
Cisco Catalyst 3650 シリーズ スイッチおよび Cisco Catalyst 3850 シリーズ スイッチには、次の制限が適用されます。
ハードウェアの制限により、CTS SGACL はハードウェアのパント(CPU バウンド)トラフィックに適用できません。
このセクションでは、さまざまな SGACL ポリシー設定について説明します。
Cisco TrustSec のセキュリティグループ ACL(SGACL)ポリシーを設定してイネーブルにするには、次の手順を実行します。
SGACL ポリシーの設定は、Cisco Secure Access Control Server(ACS)または Cisco Identity Services Engine(ISE)の主にポリシー管理機能によって実行する必要があります。
SGACL ポリシーの設定のダウンロードに Cisco Secure ACS または Cisco ISE 上の AAA を使用しない場合は、SGACL のマッピングとポリシーを手動で設定できます。
(注) |
Cisco Secure ACS または Cisco ISE からダイナミックにダウンロードされた SGACL ポリシーは、競合のローカル定義されたポリシーよりも優先されます。 |
ルーテッドポートの出力トラフィックに対する SGACL ポリシーの適用を有効にするには、「SGACL ポリシーの適用のグローバルな有効化」セクションに記載されているように、SGACL ポリシー適用を有効にします。
VLAN 内のスイッチングされたトラフィック、または VLAN に関連付けられた SVI に転送されるトラフィックに対して SGACL ポリシーの適用を有効にするには、「VLAN に対する SGACL ポリシーの適用の有効化」セクションの説明に従って、特定の VLAN に対して SGACL ポリシーの適用を有効にします。
Cisco TrustSec をイネーブルにしたルーテッド インターフェイスで SGACL ポリシーの強制をグローバルにイネーブルにする必要があります。
ルーテッド インターフェイスの SGACL ポリシーの強制をイネーブルにするには、次の作業を行います。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードを有効にします。
|
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
cts role-based enforcement 例:
|
ルーテッド インターフェイスで Cisco TrustSec SGACL ポリシーの強制をイネーブルにします。 |
まず、Cisco TrustSec を有効にしたルーテッドインターフェイスで SGACL ポリシーの適用をグローバルに有効にする必要があります。この機能はポート チャネル インターフェイスではサポートされません。
レイヤ 3 インターフェイスでの SGACL ポリシーの適用を有効化するには、次の作業を行います。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードを有効にします。
|
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
interface type slot/port 例:
|
インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。 |
ステップ 4 |
cts role-based enforcement 例:
|
ルーテッド インターフェイスで Cisco TrustSec SGACL ポリシーの強制をイネーブルにします。 |
ステップ 5 |
end 例:
|
特権 EXEC モードに戻ります。 |
ステップ 6 |
show cts interface 例:
|
インターフェイスごとの Cisco TrustSec ステートおよび統計情報を表示します。 |
VLAN 内のスイッチングされたトラフィック、または VLAN に関連付けられた SVI に転送されるトラフィックに対してアクセス コントロールを適用するには、特定の VLAN に対して SGACL ポリシーの強制をイネーブルにする必要があります。
VLAN または VLAN リスト内で、SGACL ポリシーの強制をイネーブルにするには、次の作業を行います。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードを有効にします。
|
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
cts role-based enforcement vlan-list vlan-list 例:
|
VLAN または VLAN リストで Cisco TrustSec SGACL ポリシーの強制をイネーブルにします。 |
SGACL モニタモードを設定する前に、次の点を確認してください。
Cisco TrustSec が有効になっている。
カウンタが有効になっている。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードを有効にします。 パスワードを入力します(要求された場合)。 |
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
cts role-based monitor enable 例:
|
デバイスレベルのモニタモードをイネーブルにします。
|
ステップ 4 |
cts role-based monitor permissions from {sgt_num} to {dgt_num} [ipv4 | ipv6] 例:
|
IPv4/IPv6 ロール ベースアクセス制御リスト(RBACL)(セキュリティグループタグ(SGT):接続先グループタグ(DGT)ペア)のモニタモードを有効にします。 |
ステップ 5 |
end 例:
|
特権 EXEC モードに戻ります。 |
ステップ 6 |
show cts role-based monitor permissions from {sgt_num} to {dgt_num} [ipv4 | ipv6] [details] 例:
|
SGACL ポリシーとペアごとのモニタモード機能に関する詳細を表示します。<SGT-DGT> ペアでセルごとのモニタモードが有効になっている場合、コマンド出力にはモニタ対象が表示されます。 |
ステップ 7 |
show cts role-based counters [ipv4 | ipv6] 例:
|
IPv4 および IPv6 イベントのすべての SGACL 適用の統計情報を表示します。 |
SGT と DGT の範囲にバインドされたロールベースアクセス制御リストは、出力トラフィックに適用される Cisco TrustSec ポリシーである SGACL を形成します。SGACL ポリシーの設定は、Cisco ISE または Cisco Secure ACS のポリシー管理機能を使用して行うのが最適です。手動で(ローカルに)SGACL ポリシーを設定するには、次の手順を実行します。
ロールベース ACL を設定します。
ロールベース ACL を SGT の範囲にバインドします。
(注) |
Cisco ISE または Cisco ACS からダイナミックにダウンロードされた SGACL ポリシーは、競合の手動設定されたポリシーよりも優先されます。 |
(注) |
SGACL およびロールベース アクセス コントロール リスト(RBACL)を設定する場合、名前付きアクセスコントロールリスト(ACL)はアルファベットで始まる必要があります。 |
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードを有効にします。
|
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
ip access-list role-based rbacl-name 例:
|
ロールベースの ACL を作成して、ロールベース ACL コンフィギュレーション モードを開始します。 |
ステップ 4 |
{ [ sequence-number] | default | permit | deny | remark} 例:
|
RBACL のアクセス コントロール エントリ(ACE)を指定します。 拡張名前付きアクセス リスト コンフィギュレーション モードで使用可能なコマンドおよびオプションの大部分を、送信元および宛先フィールドを省略して使用できます。 Enter キーを押して ACE を完了し、次の手順を開始します。 次の ACE コマンドまたはキーワードはサポートされていません。
|
ステップ 5 |
exit 例:
|
ロールベース ACL コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。 |
ステップ 6 |
cts role-based permissions {default | [from {sgt_num | unknown} to {dgt_num | unknown }] {rbacls | ipv4 rbacls} 例:
|
SGT と DGT を RBACL にバインドします。この設定は、Cisco ISE または Cisco Secure ACS で設定された許可マトリックスにデータを入力することに似ています。
|
ステップ 7 |
end 例:
|
グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
ステップ 8 |
show cts role-based permissions 例:
|
RBACL 設定に対する権限を表示します。 |
ステップ 9 |
show ip access-lists {rbacls | ipv4 rbacls} 例:
|
すべての RBACL または指定された RBACL の ACE を表示します。 |
IPv6 SGACL ポリシーを手動で設定するには、次の作業を行います。
(注) |
IPv6 SGACL は、Cisco IOS XE Everest 16.8.1 ではサポートされていません。 |
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードを有効にします。 パスワードを入力します(要求された場合)。 |
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
ipv6 access-list role-based sgacl-name 例:
|
名前付き IPv6 SGACL を作成して、IPv6 ロールベース ACL コンフィギュレーション モードを開始します。 |
ステップ 4 |
{permit | deny } protocol [dest-option | dest-option-type {doh-number | doh-type}] [ dscp cp-value] [ flow-label fl-value] [mobility | mobility-type {mh-number | mh-type}] [routing | routing-type routing-number] [fragments] [log | log-input] [ sequence seqno] |
RBACL のアクセス コントロール エントリ(ACE)を指定します。 拡張名前付きアクセス リスト コンフィギュレーション モードで使用可能なコマンドおよびオプションの大部分を、送信元および宛先フィールドを省略して使用できます。 次の ACE コマンドまたはキーワードはサポートされていません。
|
ステップ 5 |
end 例:
|
IPv6 ロールベース ACL コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
手動で SGACL ポリシーを適用するには、次の作業を行います。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードを有効にします。
|
||
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 3 |
cts role-based permissions default [ipv4 | ipv6] sgacl-name1 [sgacl-name2 [sgacl-name3 ...]]] 例:
|
デフォルト SGACL を指定します。デフォルト ポリシーは明示的なポリシーが送信元と宛先セキュリティ グループの間にない場合に適用されます。 |
||
ステップ 4 |
cts role-based permissions from {source-sgt | unknown} to {dest-sgt | unknown} [ipv4 | ipv6] sgacl-name1 [sgacl-name2 [sgacl-name3 ...]]] 例:
|
送信元セキュリティ グループ(SGT)と宛先セキュリティ グループ(DGT)に適用する SGACL を指定します。source-sgt と dest-sgt の値範囲は 1 ~ 65533 です。デフォルトでは、SGACL は IPv4 であると見なされます。
|
Cisco TrustSec デバイス クレデンシャルと AAA の設定後、認証サーバからダウンロードされたか、または手動で設定された Cisco TrustSec SGACL ポリシーを検証できます。Cisco TrustSec は、インターフェイスに対する認証および許可、SXP、または IP アドレスおよび SGT の手動マッピングによって新しい SGT を学習すると、SGACL ポリシーをダウンロードします。
キーワードを使用して、許可マトリクスの全部または一部を表示できます。
from キーワードを省略すると、許可マトリックスのカラムが表示されます。
to キーワードを省略すると、許可マトリックスの行が表示されます。
from および to キーワードを省略すると、許可マトリックス全体が表示されます。
from および to キーワードが指定されている場合、許可マトリックスから 1 つのセルが表示され、details キーワードを使用できます。details が入力された場合、1 つのセルの SGACL の ACE が表示されます。
SGACL ポリシーの許可マトリクスの内容を表示するには、次の作業を行います。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードを有効にします。
|
||
ステップ 2 |
show cts role-based permissions default [ipv4 | ipv6 | details] 例:
|
デフォルト ポリシーの SGACL のリストを表示します。 |
||
ステップ 3 |
show cts role-based permissions from {source-sgt | unknown} to {dest-sgt | unknown}] [ipv4 | ipv6 | details] 例:
|
送信元セキュリティ グループ(SGT)と宛先セキュリティ グループ(DGT)に適用する SGACL を指定します。source-sgt と dest-sgt の値範囲は 1 ~ 65533 です。デフォルトでは、SGACL は IPv4 であると見なされます。
|
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードを有効にします。 パスワードを入力します(要求された場合)。 |
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
cts refresh policy {peer [peer-id] | sgt [sgt_number | default | unknown]} 例:
|
認証サーバからの SGACL ポリシーの即時リフレッシュを実行します。
|
次のセクションでは、さまざまな SGACK ポリシーの設定例を示します。
Device# configure terminal
Device(config)# cts role-based enforcement
Device# configure terminal
Device(config)# interface gigabitethernet 1/0/2
Device(config-if)# cts role-based enforcement
Device(config-if)# end
Device# configure terminal
Device(config)# cts role-based enforcement vlan-list 31-35,41
Device(config)# exit
Device# configure terminal
Device(config)# cts role-based monitor enable
Device(config)# cts role-based permissions from 2 to 3 ipv4
Device# show cts role-based permissions from 2 to 3 ipv4
IPv4 Role-based permissions from group 2:sgt2 to group 3:sgt3 (monitored):
denytcpudpicmp-10
Deny IP-00
Device# show cts role-based permissions from 2 to 3 ipv4 details
IPv4 Role-based permissions from group 2:sgt2 to group 3:sgt3 (monitored):
denytcpudpicmp-10
Deny IP-00
Details:
Role-based IP access list denytcpudpicmp-10 (downloaded)
10 deny tcp
20 deny udp
30 deny icmp
Role-based IP access list Permit IP-00 (downloaded)
10 permit ip
Device# show cts role-based counters ipv4
Role-based IPv4 counters
From To SW-Denied HW-Denied SW-Permitt HW_Permitt SW-Monitor HW-Monitor
* * 0 0 8 18962 0 0
2 3 0 0 0 0 0 341057
Device# configure terminal
Device(config)# ip access role allow_webtraff
Device(config-rb-acl)# 10 permit tcp dst eq 80
Device(config-rb-acl)# 20 permit tcp dst eq 443
Device(config-rb-acl)# 30 permit icmp
Device(config-rb-acl)# 40 deny ip
Device(config-rb-acl)# exit
Device(config)# cts role-based permissions from 55 to 66 allow_webtraff
Device# show ip access allow_webtraff
Role-based IP access list allow_webtraff
10 permit tcp dst eq www
20 permit tcp dst eq 443
30 permit icmp
40 deny ip
Device# show show cts role-based permissions from 50 to 70
Device# configure terminal
Device(config)# cts role-based permissions default MYDEFAULTSGACL
Device(config)# cts role-based permissions from 3 to 5 SRB3 SRB5
Device(config)# exit
次に、セキュリティ グループ 3 から送信されたトラフィックの SGACL ポリシーの許可マトリクスの内容を表示する例を示します。
Device# show cts role-based permissions from 3
Role-based permissions from group 3 to group 5:
SRB3
SRB5
Role-based permissions from group 3 to group 7:
SRB4
次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
機能名 |
リリース |
機能情報 |
---|---|---|
SGACL ポリシー |
Cisco IOS XE Denali 16.1.1 |
この機能が導入されました。 |