SGT インラインタギングに関する情報
Cisco TrustSec ドメイン内の各セキュリティ グループは、セキュリティグループタグ(SGT)と呼ばれる一意の 16 ビットタグが割り当てられます。SGT はネットワーク全体で送信元の権限を示す単一ラベルです。これは、ネットワーク ホップ間で順番に伝搬され、任意の中間デバイス(スイッチ、ルータ)はこれによってアイデンティティ タグに基づいたポリシーを適用できます。
Cisco TrustSec 対応デバイスには、MAC(L2)レイヤ内に組み込まれた SGT を持つパケットを送受信できる、ハードウェア機能が組み込まれています。この機能は、レイヤ 2 (L2)-SGT インポジションと呼ばれます。この機能により、デバイスのイーサネット インターフェイスで L2-SGT インポジションを有効にできるため、そのデバイスはネクスト ホップ イーサネット ネイバーに伝送されるパケット内に SGT を挿入できるようになります。SGT-over-Ethernet は、クリアテキスト(非暗号化)イーサネットパケットに組み込まれた SGT のホップバイホップの伝達方式です。インラインアイデンティティ伝達はスケーラブルで、ほぼラインレートのパフォーマンスを提供し、コントロールプレーンのオーバーヘッドを防ぎます。
Cisco TrustSec SGT Exchange Protocol V4(SXPv4)機能は、Cisco TrustSec メタデータベースの L2-SGT をサポートします。パケットが Cisco TrustSec 対応インターフェイスに入力されると、IP-SGT マッピングデータベース(SXP によって構築されたダイナミックエントリや設定コマンドによって構築されたスタティックエントリがある)が分析され、パケットの送信元 IP アドレスに対応する SGT が学習されます。この SGT はパケットに挿入され、Cisco TrustSec ヘッダー内でネットワーク全体に運ばれます。
このタグは、送信元のグループを表しているので、送信元グループ タグ(SGT)としても参照されます。ネットワークの出力エッジでは、パケットの宛先に割り当てられたグループが既知になります。この時点で、アクセス制御を適用できます。Cisco TrustSec を使用すると、セキュリティ グループ アクセス コントロール リスト(SGACL)と呼ばれるアクセス コントロール ポリシーがセキュリティグループ間で定義されます。任意のパケットから見れば、SGACL は単純にセキュリティグループから送信され、別のセキュリティグループに送信されています。
信頼されるインターフェイスからのパケット内で受信した SGT タグはネットワークに伝播され、アイデンティティ ファイアウォールの分類にも使用されます。IPSec サポートが追加される場合は、受信した SGT タグは SGT タギング用の IPSec と共有されます。
Cisco TrustSec クラウドの入口のネットワーク デバイスは、Cisco TrustSec クラウドにパケットを転送する際に、パケットに SGT をタグ付けできるように、Cisco TrustSec クラウドに入るパケットの SGT を判断する必要があります。パケットの SGT は次の方法で判断できます。
-
Cisco TrustSec ヘッダーの SGT フィールド:パケットを信頼されたピアデバイスから受信している場合は、Cisco TrustSec ヘッダーは正しい SGT フィールドを運んでいることを前提としています。この状況は、そのパケットにとって、そのネットワークが Cisco TrustSec クラウド内の最初のネットワークデバイスではない場合に適用されます。
-
送信元 IP アドレスに基づいた SGT ルックアップ:この場合、送信元 IP アドレスに基づいてパケットの SGT を決定するポリシーを、管理者が手動で設定できます。IP アドレスから SGT へのテーブルも、SXP プロトコルによって入力できます。
ユニキャスト送信元 IPv6 アドレスを持つ IPv6 マルチキャストトラフィックに対する L2 インラインタギングがサポートされています。