CISCO TRUSTSEC SGT EXCHANGE PROTOCOL IPV4 TRÊN ROUTER CISCO LÀ GÌ?

Cisco TrustSec (CTS) xây dựng các mạng an toàn bằng cách thiết lập miền của các thiết bị mạng đáng tin cậy. Mỗi thiết bị trong miền được xác thực bởi các peer của nó. Giao tiếp trên các liên kết giữa các thiết bị trong miền được bảo mật bằng sự kết hợp của mã hóa, kiểm tra message integrity và cơ chế data-path replay protection.

Security Group Tag (SGT) Exchange Protocol (SXP) là một trong số các giao thức hỗ trợ CTS và được gọi trong tài liệu này là CTS-SXP. CTS-SXP là một giao thức điều khiển để truyền thông tin liên kết IP-to-SGT trên các thiết bị mạng không có khả năng gắn thẻ các gói. CTS-SXP chuyển các ràng buộc IP-to-SGT từ các điểm xác thực tới các thiết bị upstream trong mạng. Quá trình này cho phép các dịch vụ bảo mật trên các thiết bị Switch Cisco, Router Cisco hoặc Firewall Cisco tìm hiểu thông tin nhận dạng từ các thiết bị truy cập.

---

CẤU HÌNH CISCO TRUSTSEC SGT EXCHANGE PROTOCOL IPV4 TRÊN ROUTER CISCO

Kích Hoạt CTS-SXP

	Lệnh hoặc Hành động	Mục đích
Bước 1	enable Ví dụ:   Device> enable	Bật chế độ EXEC đặc quyền Nhập mật khẩu của bạn nếu được nhắc
Bước 2	configure terminal Ví dụ:   Device# configure terminal	Vào chế độ cấu hình chung
Bước 3	cts sxp enable Ví dụ:   Device(config)# cts sxp enable	Bật kết nối CTS-SXP với bất kỳ kết nối ngang hàng nào được cấu hình. Note  Đảm bảo rằng các kết nối ngang hàng được cấu hình. Nếu các kết nối ngang hàng không được cấu hình thì không thể thiết lập kết nối CTS-SXP với chúng.

Cấu Hình Kết Nối CTS-SXP Peer

Kết nối CTS-SXP ngang hàng phải được cấu hình trên cả hai thiết bị. Một thiết bị là speaker và thiết bị kia là listener. Khi sử dụng mật khẩu bảo vệ, đảm bảo sử dụng cùng một mật khẩu ở cả hai đầu.

	Lệnh hoặc Hành động	Mục đích
Bước 1	enable Ví dụ:   Device> enable	Bật chế độ EXEC đặc quyền Nhập mật khẩu của bạn nếu được nhắc
Bước 2	configure terminal Ví dụ:   Device# configure terminal	Vào chế độ cấu hình chung
Bước 3	cts sxp connection peer ipv4-address {source | password } {default | none } mode {local | peer } [[listener | speaker ] [vrf vrf-name ]] Ví dụ:   Device(config)# cts sxp connection peer 10.20.2.2 password default mode local speaker	Cấu hinh kết nối địa chỉ CTS-SXP ngang hàng. Từ khóa source chỉ định địa chỉ IPv4 của thiết bị nguồn. Nếu địa chỉ không được chỉ định, kết nối sẽ sử dụng địa chỉ nguồn mặc định, nếu được cấu hình, hoặc địa chỉ của port. Từ khóa password chỉ định mật khẩu mà CTS-SXP sử dụng cho kết nối bằng các tùy chọn sau: default: Sử dụng mật khẩu CTS-SXP mặc định mà bạn đã cấu hình bằng lệnh cts sxp default password none: Mật khẩu không được sử dụng Từ khóa mode chỉ định vai trò của thiết bị remote peer: local: Chế độ được chỉ định đề cập đến thiết bị cục bộ peer: Chế độ được chỉ định đề cập đến thiết bị ngang hàng listener: Chỉ định rằng thiết bị là listener trong kết nối speaker: Chỉ định rằng thiết bị là speaker trong kết nối. Đây là mặc  định Từ khóa tùy chọn vrf chỉ định VRF cho thiết bị ngang hàng. Mặc định là VRF mặc định.
Bước 4	exit Ví dụ:   Device# exit	Thoát khỏi chế độ cấu hình chung và quay lại chế độ EXEC đặc quyền.
Bước 5	show cts sxp {connections | sgt-map } [brief | vrf vrf-name ] Ví dụ:   Device# show cts sxp connections	(Tùy chọn) Hiển thị trạng thái CTS-SXP và kết nối.

Cấu Hình Mật Khẩu CTS-SXP Mặc Định

	Lệnh hoặc Hành động	Mục đích
Bước 1	enable Ví dụ:   Device> enable	Bật chế độ EXEC đặc quyền. Nhập mật khẩu của bạn nếu được nhắc
Bước 2	configure terminal Ví dụ:   Device# configure terminal	Vào chế độ cấu hình chung
Bước 3	cts sxp default password [0 | 6 | 7 ] password Ví dụ:   Device(config)# cts sxp default password Cisco123	Cấu hình mật khẩu CTS-SXP mặc định. Bạn có thể nhập mật khẩu văn bản rõ ràng (sử dụng tùy chọn 0 hoặc no) hoặc mật khẩu được mã hóa (sử dụng tùy chọn 6 hoặc 7). Độ dài mật khẩu tối đa là 32 kí tự. Note  Theo mặc định, CTS-SXP không sử dụng mật khẩu khi thiết lập kết nối
Bước 4	exit Ví dụ:   Device# exit	Thoát khỏi chế độ cấu hình chung và quay lại chế độ EXEC đặc quyền.

Cấu Hình Địa Chỉ IP Nguồn CTS-SXP Mặc Định

	Command or Action	Purpose
Bước 1	enable Ví dụ:   Device> enable	Bật chế độ EXEC đặc quyền Nhập mật khẩu của bạn nếu được nhắc
Bước 2	configure terminal Ví dụ:   Device# configure terminal	Vào chế độ cấu hình chung
Bước 3	cts sxp default source-ip src-ip-addr Ví dụ:   Device(config)# cts sxp default source-ip 10.20.2.2	Cấu hình địa chỉ IP nguồn mặc định CTS-SXP được sử dụng cho tất cả các kết nối TCP mới khi địa chỉ IP nguồn không được chỉ định. Note  Các kết nối TCP hiện tại không bị ảnh hưởng khi địa chỉ IP nguồn CTS-SXP mặc định được cấu hình.
Bước 4	exit Ví dụ:   Device# exit	Thoát khỏi chế độ cấu hình chung và quay lại chế độ EXEC đặc quyền.

Cấu Hình CTS-SXP Reconciliation Period

	Lệnh hoặc Hành động	Mục đích
Bước 1	enable Ví dụ:   Device> enable	Bật chế độ EXEC đặc quyền Nhập mật khẩu của bạn nếu được nhắc
Bước 2	configure terminal Ví dụ:   Device# configure terminal	Vào chế độ cấu hình chung
Bước 3	cts sxp reconciliation period seconds Ví dụ:   Device(config)# cts sxp reconciliation period 150	Đặt hẹn giờ đối chiếu CTS-SXP, tính bằng giây. Phạm vi là từ 0 đến 64000. Giá trị mặc định là 120.
Bước 4	exit Ví dụ:   Device# exit	Thoát khỏi chế độ cấu hình chung và quay lại chế độ EXEC đặc quyền.

Cấu Hình CTS-SXP Retry Period

Khoảng thời gian thử lại CTS-SXP xác định tần suất phần mềm CTS thử lại kết nối CTS-SXP. Nếu kết nối CTS-SXP không được thiết lập thành công, thì phần mềm CTS sẽ thực hiện một nỗ lực mới để thiết lập kết nối sau khi hết thời gian thử lại CTS-SXP. Giá trị mặc định là 2 phút. Đặt khoảng thời gian thử lại CTS-SXP thành 0 giây sẽ tắt bộ đếm thời gian và không thử lại.

	Lệnh hoặc Hành động	Mục đích
Bước 1	enable Ví dụ:   Device> enable	Bật chế độ EXEC đặc quyền Nhập mật khẩu của bạn nếu được nhắc
Bước 2	configure terminal Ví dụ:   Device# configure terminal	Vào chế độ cấu hình chung
Bước 3	cts sxp retry period seconds Ví dụ:   Device(config)# cts sxp retry period 160	Đặt hẹn giờ thử lại CTS-SXP tính bằng giây. Phạm vi là từ 0 đến 64000. Giá trị mặc định là 120.
Bước 4	exit Ví dụ:   Device# exit	Thoát khỏi chế độ cấu hình chung và quay lại chế độ EXEC đặc quyền.

Tạo Syslogs Để Nắm Bắt Các Thay Đổi Ánh Xạ IP-to-SGT

	Lệnh hoặc Hành động	Mục đích
Bước 1	enable Ví dụ:   Device> enable	Bật chế độ EXEC đặc quyền Nhập mật khẩu của bạn nếu được nhắc
Bước 2	configure terminal Ví dụ:   Device# configure terminal	Vào chế độ cấu hình chung
Bước 3	cts sxp log binding-changes Ví dụ:   Device(config)# cts sxp log binding-changes	Cho phép ghi lại các thay đổi liên kết IP-to-SGT khiến syslogs CTS-SXP syslogs (sev 5 syslog) được tạo bất cứ khi nào xảy ra thay đổi đối với liên kết IP-SGT (thêm, xóa, thay đổi). Những thay đổi này được học và phổ biến trên kết nối CTS-SXP. Note  Chức năng ghi nhật ký này bị tắt theo mặc định.
Bước 4	exit Ví dụ:   Device# exit	Thoát khỏi chế độ cấu hình chung và quay lại chế độ EXEC đặc quyền.

Cấu Hình Class Map Cho Security Group Access Zone-Based Policy Firewall

Thực hiện tác vụ này để định cấu hình Class Map để phân loại lưu lượng truy cập mạng tường lửa chính sách dựa trên vùng của Security Group Access (SGA).

	Command or Action	Purpose
Bước 1	enable Ví dụ:   Device> enable	Bật chế độ EXEC đặc quyền. Nhập mật khẩu của bạn nếu được nhắc
Bước 2	configure terminal Ví dụ:   Device# configure terminal	Vào chế độ cấu hình chung
Bước 3	object-group security name Ví dụ:   Device(config)# object-group security myobject1a	Tạo một nhóm đối tượng để xác định lưu lượng truy cập đến từ một người dùng hoặc điểm cuối cụ thể và chuyển sang chế độ object-group identity.
Bước 4	security-group tag-id sgt-id Ví dụ:   Device(config-object-group)# security-group tag-id 120	Chỉ định tư cách thành viên của một nhóm bảo mật bằng cách sử dụng số SGT ID. Số này có thể từ 1 đến 65535. Có thể chỉ định nhiều nhóm bảo mật bằng cách sử dụng lệnh này.
Bước 5	group-object name Ví dụ:   Device(config-object-group)# group-object admin	(Tùy chọn) Chỉ định một tham chiếu lồng nhau cho một loại nhóm người dùng. Nhiều nhóm người dùng lồng nhau có thể được chỉ định bằng lệnh này.
Bước 6	description text Ví dụ:   Device(config-object-group)# description my sgtinfo	(Tùy chọn) Xác định thông tin về nhóm bảo mật.
Bước 7	exit Ví dụ:   Device(config-object-group)# exit	Thoát khỏi chế độ object-group identity và vào chế độ cấu hình chung.
Bước 8	class-map type inspect [match-any | match-all ] class-map-name Ví dụ:   Device(config)# class-map type inspect match-any myclass1	Tạo Layer 3 or Layer 4 inspect type class map và vào chế độ cấu hình class-map.
Bước 9	match group-object security source name Ví dụ:   Device(config-cmap)# match group-object security source myobject1	So khớp lưu lượng truy cập từ người dùng trong nhóm bảo mật.
Bước 10	match group-object security destination name Ví dụ:   Device(config-cmap)# match group-object security destination myobject1	So khớp lưu lượng truy cập cho người dùng trong nhóm bảo mật.
Bước 11	end Ví dụ:   Device(config-cmap)# end	Thoát khỏi chế độ cấu hình class-map và quay lại chế độ EXEC đặc quyền.
Bước 12	show object-group [name] Ví dụ:   Device# show object-group admin	(Tùy chọn) Hiển thị nội dung của tất cả các nhóm người dùng. Tùy chọn, sử dụng đối số name để hiển thị thông tin cho một nhóm.

Tạo Policy Map Cho Security Group Access Zone-Based Policy Firewall

	Lệnh hoặc Hành động	Mục đích
Bước 1	enable Ví dụ:   Device> enable	Bật chế độ EXEC đặc quyền Nhập mật khẩu của bạn nếu được nhắc
Bước 2	configure terminal Ví dụ:   Device# configure terminal	Vào chế độ cấu hình chung
Bước 3	policy-map type inspect policy-map-name Ví dụ:   Device(config)# policy-map type inspect z1z2-policy	Tạo policy map loại Layer 3 or Layer 4 inspect Vào chế độ cấu hình policy map
Bước 4	class type inspect class-name Ví dụ:   Device(config-pmap)# class type inspect cmap-1	Chỉ định traffic (class) trên đó một hành động sẽ được thực hiện và chuyển sang chế độ cấu hình policy-map class.
Bước 5	inspect Ví dụ:   Device(config-pmap-c)# inspect	Cho phép kiểm tra packet.
Bước 6	exit Ví dụ:   Device(config-pmap-c)# exit	Thoát khỏi chế độ cấu hình policy-map class và vào chế độ cấu hình chung
Bước 7	zone-pair security zone-pair-name source source-zone destination destination-zone Ví dụ:   Device(config)# zone-pair security z1z2 source z1 destination z2	Tạo một zone pair và vào chế độ cấu hình security zone. Note  Để áp dụng chính sách, bạn phải cấu hình zone pair.
Bước 8	service-policy type inspect policy-map-name Ví dụ:   Device(config-sec-zone)# service-policy type inspect z1z2-policy2	Đính kèm firewall policy map vào zone pair. Note  Nếu một chính sách không được cấu hình giữa một cặp vùng, lưu lượng truy cập sẽ bị loại bỏ theo mặc định
Bước 9	end Ví dụ:   Device(config-sec-zone)# end	Thoát khỏi chế độ cấu hình security zone và vào chế độ cấu hình global.
Bước 10	interface type number Ví dụ:   Device(config)# interface GigabitEthernet 0/1/1	Cấu hình giao diện và vào chế độ cấu hình giao diện
Bước 11	zone-member security zone-name Ví dụ:   Device(config-if)# zone-member security Inside	Chỉ định một giao diện cho một vùng bảo mật được chỉ định Note  Khi bạn đặt một giao diện thành thành viên của vùng bảo mật, tất cả lưu lượng vào và ra khỏi giao diện đó (ngoại trừ lưu lượng bị ràng buộc bởi bộ định tuyến hoặc được khởi tạo bởi bộ định tuyến) sẽ bị loại bỏ theo mặc định. Để cho phép lưu lượng truy cập qua giao diện, bạn phải biến vùng thành một phần của cặp vùng mà bạn nên áp dụng chính sách. Nếu chính sách cho phép lưu lượng, lưu lượng có thể chảy qua giao diện đó.
Bước 12	cts manual Ví dụ:   Device(config-if)# cts manual	Bật giao diện cho ủy quyền và chuyển tiếp Cisco TrustSec Security (CTS) SGT, đồng thời chuyển sang chế độ cấu hình giao diện CTS manual.
Bước 13	no propagate sgt Ví dụ:   Device(config-if-cts-manual)# no propagate sgt	Vô hiệu hóa SGT propagation ở Layer 2 trên giao diện CTS.
Bước 14	policy static sgt tag [trusted ] Ví dụ:   Device(config-if-cts-manual)# policy static sgt 100 trusted	Cấu hình static authorization policy cho nhóm bảo mật CTS với gói được gắn thẻ xác định độ tin cậy của SGT.
Bước 15	exit Ví dụ:   Device(config-if)# exit	Thoát khỏi chế độ cấu hình security zone và vào chế độ EXEC đặc quyền.
Bước 16	show policy-map type inspect zone-pair session Ví dụ:   Device# show policy-map type inspect zone-pair session	(Tùy chọn) Hiển thị các phiên kiểm tra gói trạng thái Cisco IOS được tạo do ứng dụng policy-map trên zone pair được chỉ định. Note  Thông tin được hiển thị trong trường class-map field là tốc độ lưu lượng (bit/giây) của lưu lượng chỉ thuộc về lưu lượng khởi tạo kết nối. Trừ khi tốc độ thiết lập kết nối cao đáng kể và được duy trì trong nhiều khoảng thời gian mà tốc độ được tính toán, không có dữ liệu quan trọng nào được hiển thị cho kết nối.

---

ĐỊA CHỈ PHÂN PHỐI ROUTER CISCO CHÍNH HÃNG GIÁ TỐT NHẤT

ANBINHNET ™ là nhà phân phối Cisco chính hãng, uy tín hàng đầu tại Việt Nam. Đến với chúng tôi, quý khách hàng sẽ nhận được những thông tin chính xác về nguồn gốc xuất xứ, giấy tờ, chứng chỉ, với mức giá Discount theo quy định của Cisco, đặc biệt hơn là hàng luôn sẵn kho số lượng lớn để đáp ứng nhu cầu của khách hàng.

ANBINHNET ™ có văn phòng giao dịch tại 2 thành phố lớn nhất là Hà Nội và Hồ Chí Minh (Sài Gòn), giúp mang lại sự thuận tiện cho khách hàng có nhu cầu mua thiết bị Router Cisco Chính Hãng có thể đến trực tiếp văn phòng của chúng tôi, cũng như rút ngắn thời gian giao hàng các sản phẩm Cisco Router Giá Tốt đến với khách hàng.

Để Nhận Thông Tin Hỗ Trợ Báo Giá Dự Án, Đặt Hàng, Giao Hàng, Bảo Hành, Khuyến Mại, Hỗ Trợ Kỹ Thuật của các sản phẩm Router Cisco, Hãy Chát Ngay với chúng tôi ở khung bên dưới hoặc gọi điện tới số hotline hỗ trợ 24/7 của ANBINHNET ™. Hoặc quý khách có thể liên hệ tới văn phòng của chúng tôi tại theo thông tin sau:

Địa Chỉ Phân Phối Router Cisco Chính Hãng Giá Tốt Tại Hà Nội

• Địa chỉ: Số 59 Võ Chí Công, Phường Nghĩa Đô, Quận Cầu Giấy, TP Hà Nội.
• Hotline/Zalo: 0936.366.606
• Email: info@anbinhnet.com.vn
• Website: https://anbinhnet.com.vn/

Địa Chỉ Phân Phối Router Cisco Chính Hãng Giá Tốt Tại Sài Gòn

• Địa chỉ: Số 736/182 Lê Đức Thọ, Phường 15, Quận Gò Vấp, TP Hồ Chí Minh
• Hotline/Zalo: 0936.366.606
• Email: info@anbinhnet.com.vn
• Website: https://anbinhnet.com.vn/