Cisco TrustSec VRF 対応 SGT
Cisco TrustSec VRF 対応 SGT 機能は、特定の Virtual Route Forwarding(VRF)インスタンスとセキュリティグループタグ(SGT)の交換プロトコル(SXP)接続をバインドします。
Cisco TrustSec VRF 対応 SGT に関する情報
VRF-Aware SXP
仮想ルーティングおよびフォワーディング(VRF)の SXP の実装は、特定の VRF と SXP 接続をバインドします。Cisco TrustSec を有効にする前に、ネットワーク トポロジがレイヤ 2 またはレイヤ 3 の VPN に対して正しく設定されており、すべての
VRF が設定されていることを前提としています。
SXP VRF サポートは、次のようにまとめることができます。
-
1 つの VRF には 1 つの SXP 接続のみをバインドできます。
-
別の VRF が重複する SXP ピアまたは送信元 IP アドレス持つ可能性があります。
-
1 つの VRF で学習(追加または削除)された IP-SGT マッピングは、同じ VRF ドメインでのみ更新できます。SXP 接続は異なる VRF にバインドされたマッピングを更新できません。SXP 接続が VRF で終了しない場合は、その
VRF の IP-SGT マッピングは SXP によって更新されません。
-
VRF ごとに複数のアドレス ファミリがサポートされています。そのため、VRF ドメインの 1 つの SXP 接続が IPV4 および IPV6 両方の IP-SGT マッピングを転送できます。
-
SXP には VRF あたりの接続数および IP-SGT マッピング数の制限はありません。
VRF 対応 SGT の設定方法
VRF とレイヤ 2 VLAN の割り当ての設定
手順の概要
- enable
- configure terminal
- interface type number
- vrf forwarding vrf-name
- exit
- cts role-based l2-vrf vrf1 vlan-list 20
- end
手順の詳細
|
コマンドまたはアクション |
目的 |
ステップ 1
|
enable
|
|
ステップ 2
|
configure terminal
Device# configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
ステップ 3
|
interface type number
Device(config)# interface vlan 101
|
インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。
|
ステップ 4
|
vrf forwarding vrf-name
Device(config-if)# vrf forwarding vrf-intf
|
VRF インスタンスまたは仮想ネットワークをインターフェイスまたはサブインターフェイスに関連付けます。
(注)
|
管理インターフェイスで VRF を設定しないでください。
|
|
ステップ 5
|
exit
|
インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。
|
ステップ 6
|
cts role-based l2-vrf vrf1 vlan-list 20
Device(config)# cts role-based l2-vrf vrf1 vlan-list 20
|
レイヤ 2 VLAN の VRF インスタンスを選択します。
|
ステップ 7
|
end
|
グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。
|
VRF と SGT のマッピングの設定
手順の概要
- enable
- configure terminal
- cts role-based sgt-map vrf vrf-name {ip4_netaddress | ipv6_netaddress | host {ip4_address | ip6_address}}] sgt sgt_number
- end
手順の詳細
|
コマンドまたはアクション |
目的 |
ステップ 1
|
enable
|
|
ステップ 2
|
configure terminal
Device# configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
ステップ 3
|
cts role-based sgt-map vrf vrf-name {ip4_netaddress | ipv6_netaddress | host {ip4_address | ip6_address}}] sgt sgt_number
Device(config)# cts role-based sgt-map vrf red 10.0.0.3 sgt 23
|
指定された VRF のパケットに SGT を適用します。
IP-SGT バインドは、指定された VRF と、IP アドレスのタイプによって示される IP プロトコルのバージョンに関連付けられた IP-SGT のテーブルに入力されます。
|
ステップ 4
|
end
|
グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。
|
Cisco TrustSec VRF 対応 SGT の設定例
例:VRF とレイヤ 2 VLAN の割り当ての設定
Device> enable
Device# configure terminal
Device(config)# interface vlan 101
Device(config-if)# vrf forwarding vrf-intf
Device(config-if)# exit
Device(config)# cts role-based l2-vrf vrf1 vlan-list 20
Device(config)# end
例:VRF とレイヤ 2 VLAN の割り当ての設定
Device> enable
Device# configure terminal
Device(config)# cts role-based sgt-map vrf red 23.1.1.2 sgt 23
Device(config)# end
Cisco TrustSec VRF 対応 SGT の機能履歴
次の表に、このモジュールで説明する機能のリリースおよび関連情報を示します。
これらの機能は、特に明記されていない限り、導入されたリリース以降のすべてのリリースで使用できます。
リリース
|
機能
|
機能情報
|
Cisco IOS XE Everest 16.5.1a
|
Cisco TrustSec VRF 対応 SGT
|
Cisco TrustSec VRF 対応 SGT 機能は、SGT SXP 接続を特定の VRF インスタンスにバインドします。
|
Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェアイメージのサポート情報を検索できます。Cisco Feature Navigator には、http://www.cisco.com/go/cfn [英語] からアクセスします。