Hướng Dẫn Cấu Hình Cisco TrustSec SGT Caching Trên Router Cisco

TỔNG QUAN VỀ TÍNH NĂNG CISCO TRUSETSEC SGT CACHING TRÊN ROUTER CISCO

Cisco TrustSec SGT Caching Trên Router Cisco Là Gì?

Tính năng Cisco TrustSec SGT Caching trên các thiết bị Router Cisco nâng cao khả năng của Cisco TrustSec để làm cho khả năng vận chuyển của Security Group Tag (SGT) trở nên linh hoạt. Tính năng này xác định liên kết IP-SGT và lưu SGT tương ứng vào bộ đệm để các gói mạng được chuyển tiếp qua tất cả các dịch vụ mạng để xử lý kiểm tra deep packet và tại điểm đầu ra của dịch vụ, các gói được gắn thẻ lại với SGT thích hợp.

Các Hạn Chế Đối Với Cisco TrustSec SGT Caching Trên Router Cisco

Cấu Hình SGT Caching và cấu hình đầu vào dành riêng cho giao diện là loại trừ lẫn nhau. Trong các trường hợp sau, một thông báo cảnh báo sẽ hiển thị nếu bạn cố định cấu hình bộ nhớ đệm SGT trên toàn hệ thống và trên một giao diện.

  • Nếu một giao diện đã bật bộ nhớ đệm SGT xâm nhập bằng cách sử dụng lệnh cts role-based sgt-cache ingress trong chế độ cấu hình giao diện và một cấu hình chung được thử bằng cách sử dụng lệnh cts role-based sgt-caching, thì một thông báo cảnh báo sẽ được hiển thị như trong ví dụ sau:
Device> enable
Device# configure terminal 
Device(config)# interface gigabitEthernet0/0
Device(config-if)# cts role-based sgt-cache ingress    
Device(config-if)# exit 
Device(config)# cts role-based sgt-caching 

There is at least one interface that has ingress sgt caching configured. Please remove all interface ingress sgt caching configuration(s) before attempting global enable.
  • Nếu cấu hình chung được kích hoạt bằng cách sử dụng lệnh cts role-based sgt-caching và thử cấu hình giao diện bằng cách sử dụng lệnh cts role-based sgt-cache ingress trong chế độ cấu hình giao diện, thì một thông báo cảnh báo sẽ được hiển thị như trong ví dụ sau:
Device> enable
Device# configure terminal 
Device(config)# cts role-based sgt-caching 
Device(config)# interface gigabitEthernet0/0
Device(config-if)# cts role-based sgt-cache ingress    

Note that ingress sgt caching is already active on this interface due to global sgt-caching enable.
  • SGT Caching cho Tunnel của gói IPv6 qua truyền tải V4 & gói IPv4 qua truyền tải V6 không được hỗ trợ.
  • Tính sẵn sàng cao và đồng bộ hóa các chính sách IPv6 SGACL trên nền tảng định tuyến không được hỗ trợ cho IPv6-SGT caching.
  • Bộ nhớ đệm SGT không được hỗ trợ cho các gói IPSec mang thẻ SGT trong tiêu đề ESP trên nền tảng dựa trên ISR4K.
  • Bộ nhớ đệm SGT không được thực hiện cho địa chỉ nguồn IPv6 liên kết cục bộ.

CẤU HÌNH CISCO TRUSETSEC SGT CACHING TRÊN ROUTER CISCO

Hướng Dẫn Cấu Hình Cisco TrustSec SGT Caching Trên Router Cisco
Hướng Dẫn Cấu Hình Cisco TrustSec SGT Caching Trên Router Cisco

Cấu Hình SGT Caching Trên Toàn Hệ Thống

  Lệnh hoặc Hành động Mục đích
Bước 1 enable

Ví dụ:

 

Device> enable

Bật chế độ EXEC đặc quyền

  • Nhập mật khẩu của bạn nếu được nhắc
Bước 2 configure terminal

Ví dụ:

 

Device# configure terminal

Vào chế độ cấu hình chung
Bước 3 cts role-based sgt-caching

Ví dụ:

 

Device(config)# cts role-based sgt-caching

Bật bộ nhớ đệm SGT theo hướng vào cho tất cả các giao diện
Bước 4 end

Ví dụ:

 

Device(config)# end

Thoát khỏi chế độ cấu hình chung và quay lại chế độ EXEC đặc quyền

Cấu Hình SGT Caching Trên Một Giao Diện

  Lệnh hoặc Hành động Mục đích
Bước 1 enable

Ví dụ:

 

Device> enable

Bật chế độ EXEC đặc quyền

  • Nhập mật khẩu của bạn nếu được nhắc
Bước 2 configure terminal

Ví dụ:

 

Device# configure terminal

Vào chế độ cấu hình chung
Bước 3 interface type slot/port

Ví dụ:

 

Device(config)# interface gigabitEthernet 0/1/0

Cấu hình giao diện và vào chế độ cấu hình giao diện
Bước 4 cts role-based sgt-cache [ingress egress ]

Ví dụ:

 

Device(config-if)# cts role-based sgt-cache ingress

Cấu hình SGT caching trên một giao diện cụ thể

  • ingress: Bật SGT caching cho lưu lượng truy cập vào giao diện cụ thể (lưu lượng truy cập vào)
  • egress: Bật SGT caching cho lưu lượng truy cập thoát khỏi giao diện cụ thể (lưu lượng gửi đi).
Bước 5 end

Ví dụ:

 

Device(config-if)# end

Thoát khỏi chế độ cấu hình giao diện và quay lại chế độ EXEC đặc quyền.

Xác Minh Cisco TrustSec SGT Caching

Bước 1: enable

Bật chế độ EXEC đặc quyền. Nhập mật khẩu của bạn nếu được nhắc

Ví dụ:

Device> enable

Bước 2: show cts

Hiển thị các kết nối Cisco TrustSec và trạng thái của bộ nhớ đệm SGT toàn hệ thống.

Ví dụ:

Device# show cts

Global Dot1x feature: Disabled
CTS device identity: ""
CTS caching support: disabled
CTS sgt-caching global: Enabled
Number of CTS interfaces in DOT1X mode:  0,    MANUAL mode: 0
Number of CTS interfaces in LAYER3 TrustSec mode: 0
Number of CTS interfaces in corresponding IFC state
  INIT            state:  0
  AUTHENTICATING  state:  0
  AUTHORIZING     state:  0
  SAP_NEGOTIATING state:  0
  OPEN            state:  0
  HELD            state:  0
  DISCONNECTING   state:  0
  INVALID         state:  0
CTS events statistics:
  authentication success: 0
  authentication reject : 0
  authentication failure: 0
  authentication logoff : 0
  authentication no resp: 0
  authorization success : 0
  authorization failure : 0
  sap success           : 0
  sap failure           : 0
  port auth failure     : 0

Bước 3: show cts interface

Hiển thị thống kê cấu hình Cisco TrustSec cho một giao diện và thông tin bộ nhớ đệm SGT với các chi tiết về chế độ (vào hoặc ra).

Ví dụ:

Device# show cts interface GigabitEthernet0/1

Interface GigabitEthernet0/1
    CTS sgt-caching Ingress:  Enabled
    CTS sgt-caching Egress :  Disabled
    CTS is enabled, mode:     MANUAL
      Propagate SGT:          Enabled
      Static Ingress SGT Policy:
        Peer SGT:             200
        Peer SGT assignment:  Trusted

    L2-SGT Statistics
        Pkts In                     : 16298041
        Pkts (policy SGT assigned)  : 0
        Pkts Out                    : 5
        Pkts Drop (malformed packet): 0
        Pkts Drop (invalid SGT)     : 0 

Bước 4: show cts interface brief

Hiển thị thông tin bộ đệm SGT với chi tiết chế độ (vào hoặc ra) cho tất cả các giao diện.

Ví dụ:

Device# show cts interface brief

Interface GigabitEthernet0/0
    CTS sgt-caching Ingress:  Enabled
    CTS sgt-caching Egress :  Disabled
    CTS is disabled

Interface GigabitEthernet0/1
    CTS sgt-caching Ingress:  Enabled
    CTS sgt-caching Egress :  Disabled
    CTS is enabled, mode:     MANUAL
      Propagate SGT:          Enabled
      Static Ingress SGT Policy:
        Peer SGT:             200
        Peer SGT assignment:  Trusted

Interface GigabitEthernet0/2
    CTS sgt-caching Ingress:  Enabled
    CTS sgt-caching Egress :  Disabled
    CTS is enabled, mode:     MANUAL
      Propagate SGT:          Enabled
      Static Ingress SGT Policy:
        Peer SGT:             0
        Peer SGT assignment:  Untrusted

Interface GigabitEthernet0/3
    CTS sgt-caching Ingress:  Enabled
    CTS sgt-caching Egress :  Disabled
    CTS is disabled

Interface Backplane-GigabitEthernet0/4
    CTS sgt-caching Ingress:  Enabled
    CTS sgt-caching Egress :  Disabled
    CTS is disabled

Interface RG-AR-IF-INPUT1
    CTS sgt-caching Ingress:  Enabled
    CTS sgt-caching Egress :  Disabled
    CTS is disabled

Bước 5: show cts role-based sgt-map all ipv4

Hiển thị tất cả các liên kết SGT-IPv4.

Ví dụ:

Device# show cts role-based sgt-map all ipv4

Active IPv4-SGT Bindings Information

IP Address              SGT     Source
============================================
192.0.2.1                50      CACHED
192.0.2.2                50      CACHED
192.0.2.3                50      CACHED
192.0.2.4                50      CACHED
192.0.2.5                3900    INTERNAL
192.0.2.6                3900    INTERNAL
192.0.2.7                3900    INTERNAL

IP-SGT Active Bindings Summary
============================================
Total number of CACHED   bindings = 20
Total number of INTERNAL bindings = 3
Total number of active   bindings = 23

Bước 6: show cts role-based sgt-map vrf

Hiển thị tất cả các ràng buộc SGT-IP cho giao diện Virtual Routing and Forwarding (VRF) cụ thể.

Ví dụ:

Device# show cts role-based sgt-map vrf

%IPv6 protocol is not enabled in VRF RED
Active IPv4-SGT Bindings Information

IP Address              SGT     Source
============================================
192.0.2.1                50      CACHED
192.0.2.2                2007    CACHED
192.0.2.3                50      CACHED
192.0.2.4                50      CACHED

Xác Minh IP-to-SGT Bindings

Hiển thị các ràng buộc IP-to-SGT đã được học trong data-plane

Device# show cts role-based sgt-map all
Active IPv4-SGT Bindings Information

IP Address              SGT     Source
============================================
10.104.33.219           300     INTERNAL

IP-SGT Active Bindings Summary
============================================
Total number of INTERNAL bindings = 1
Total number of active   bindings = 1

Active IPv6-SGT Bindings Information

IP Address                                  SGT     Source
================================================================
100::/64                                    124     CLI
200::2                                      300     INTERNAL
300::1                                      300     INTERNAL
1000::2                                     300     INTERNAL

IP-SGT Active Bindings Summary
============================================
Total number of CLI      bindings = 1
Total number of INTERNAL bindings = 3
Total number of active   bindings = 4

ĐỊA CHỈ PHÂN PHỐI ROUTER CISCO CHÍNH HÃNG GIÁ TỐT NHẤT

ANBINHNET ™ là nhà phân phối Cisco chính hãng, uy tín hàng đầu tại Việt Nam. Đến với chúng tôi, quý khách hàng sẽ nhận được những thông tin chính xác về nguồn gốc xuất xứ, giấy tờ, chứng chỉ, với mức giá Discount theo quy định của Cisco, đặc biệt hơn là hàng luôn sẵn kho số lượng lớn để đáp ứng nhu cầu của khách hàng.

ANBINHNET ™ có văn phòng giao dịch tại 2 thành phố lớn nhất là Hà Nội và Hồ Chí Minh (Sài Gòn), giúp mang lại sự thuận tiện cho khách hàng có nhu cầu mua thiết bị Bộ định tuyến Cisco Chính Hãng có thể đến trực tiếp văn phòng của chúng tôi, cũng như rút ngắn thời gian giao hàng các sản phẩm Cisco Router Giá Tốt đến với khách hàng.

Để Nhận Thông Tin Hỗ Trợ Báo Giá Dự Án, Đặt Hàng, Giao Hàng, Bảo Hành, Khuyến Mại, Hỗ Trợ Kỹ Thuật của các sản phẩm Router CiscoHãy Chát Ngay với chúng tôi ở khung bên dưới hoặc gọi điện tới số hotline hỗ trợ 24/7 của ANBINHNET ™. Hoặc quý khách có thể liên hệ tới văn phòng của chúng tôi tại theo thông tin sau:

Địa Chỉ Phân Phối Router Cisco Chính Hãng Giá Tốt Tại Hà Nội

Địa Chỉ Phân Phối Router Cisco Chính Hãng Giá Tốt Tại Sài Gòn

Bài viết liên quan

Nhập Email để nhận ngay báo giá sản phẩm

    • Kết Nối Với Chúng Tôi