Hướng Dẫn Cấu Hình Cisco TrustSec SGT Exchange Protocol IPv4 Trên Router Cisco

CISCO TRUSTSEC SGT EXCHANGE PROTOCOL IPV4 TRÊN ROUTER CISCO LÀ GÌ?

Cisco TrustSec (CTS) xây dựng các mạng an toàn bằng cách thiết lập miền của các thiết bị mạng đáng tin cậy. Mỗi thiết bị trong miền được xác thực bởi các peer của nó. Giao tiếp trên các liên kết giữa các thiết bị trong miền được bảo mật bằng sự kết hợp của mã hóa, kiểm tra message integrity và cơ chế data-path replay protection.

Security Group Tag (SGT) Exchange Protocol (SXP) là một trong số các giao thức hỗ trợ CTS và được gọi trong tài liệu này là CTS-SXP. CTS-SXP là một giao thức điều khiển để truyền thông tin liên kết IP-to-SGT trên các thiết bị mạng không có khả năng gắn thẻ các gói. CTS-SXP chuyển các ràng buộc IP-to-SGT từ các điểm xác thực tới các thiết bị upstream trong mạng. Quá trình này cho phép các dịch vụ bảo mật trên các thiết bị Switch Cisco, Router Cisco hoặc Firewall Cisco tìm hiểu thông tin nhận dạng từ các thiết bị truy cập.


CẤU HÌNH CISCO TRUSTSEC SGT EXCHANGE PROTOCOL IPV4 TRÊN ROUTER CISCO

Hướng Dẫn Cấu Hình Cisco TrustSec SGT Exchange Protocol IPv4 Trên Router Cisco
Hướng Dẫn Cấu Hình Cisco TrustSec SGT Exchange Protocol IPv4 Trên Router Cisco

Kích Hoạt CTS-SXP

  Lệnh hoặc Hành động Mục đích
Bước 1 enable

Ví dụ:

 

Device> enable

Bật chế độ EXEC đặc quyền

  • Nhập mật khẩu của bạn nếu được nhắc
Bước 2 configure terminal

Ví dụ:

 

Device# configure terminal

Vào chế độ cấu hình chung
Bước 3 cts sxp enable

Ví dụ:

 

Device(config)# cts sxp enable

Bật kết nối CTS-SXP với bất kỳ kết nối ngang hàng nào được cấu hình.

Note  Đảm bảo rằng các kết nối ngang hàng được cấu hình. Nếu các kết nối ngang hàng không được cấu hình thì không thể thiết lập kết nối CTS-SXP với chúng.

Cấu Hình Kết Nối CTS-SXP Peer

Kết nối CTS-SXP ngang hàng phải được cấu hình trên cả hai thiết bị. Một thiết bị là speaker và thiết bị kia là listener. Khi sử dụng mật khẩu bảo vệ, đảm bảo sử dụng cùng một mật khẩu ở cả hai đầu.

  Lệnh hoặc Hành động Mục đích
Bước 1 enable

Ví dụ:

 

Device> enable

Bật chế độ EXEC đặc quyền

  • Nhập mật khẩu của bạn nếu được nhắc
Bước 2 configure terminal

Ví dụ:

 

Device# configure terminal

Vào chế độ cấu hình chung
Bước 3 cts sxp connection peer ipv4-address {source password } {default none mode {local peer } [[listener speaker ] [vrf vrf-name ]]

Ví dụ:

 

Device(config)# cts sxp connection peer 10.20.2.2 password default mode local speaker

Cấu hinh kết nối địa chỉ CTS-SXP ngang hàng.

Từ khóa source chỉ định địa chỉ IPv4 của thiết bị nguồn. Nếu địa chỉ không được chỉ định, kết nối sẽ sử dụng địa chỉ nguồn mặc định, nếu được cấu hình, hoặc địa chỉ của port.

Từ khóa password chỉ định mật khẩu mà CTS-SXP sử dụng cho kết nối bằng các tùy chọn sau:

  • default: Sử dụng mật khẩu CTS-SXP mặc định mà bạn đã cấu hình bằng lệnh cts sxp default password
  • none: Mật khẩu không được sử dụng

Từ khóa mode chỉ định vai trò của thiết bị remote peer:

  • local: Chế độ được chỉ định đề cập đến thiết bị cục bộ
  • peer: Chế độ được chỉ định đề cập đến thiết bị ngang hàng
  • listener: Chỉ định rằng thiết bị là listener trong kết nối
  • speaker: Chỉ định rằng thiết bị là speaker trong kết nối. Đây là mặc  định

Từ khóa tùy chọn vrf chỉ định VRF cho thiết bị ngang hàng. Mặc định là VRF mặc định.

Bước 4 exit

Ví dụ:

 

Device# exit

Thoát khỏi chế độ cấu hình chung và quay lại chế độ EXEC đặc quyền.
Bước 5 show cts sxp {connections sgt-map } [brief vrf vrf-name ]

Ví dụ:

 

Device# show cts sxp connections

(Tùy chọn) Hiển thị trạng thái CTS-SXP và kết nối.

Cấu Hình Mật Khẩu CTS-SXP Mặc Định

  Lệnh hoặc Hành động Mục đích
Bước 1 enable

Ví dụ:

 

Device> enable

Bật chế độ EXEC đặc quyền.

  • Nhập mật khẩu của bạn nếu được nhắc
Bước 2 configure terminal

Ví dụ:

 

Device# configure terminal

Vào chế độ cấu hình chung
Bước 3 cts sxp default password [password

Ví dụ:

 

Device(config)# cts sxp default password Cisco123

Cấu hình mật khẩu CTS-SXP mặc định. Bạn có thể nhập mật khẩu văn bản rõ ràng (sử dụng tùy chọn hoặc no) hoặc mật khẩu được mã hóa (sử dụng tùy chọn hoặc 7). Độ dài mật khẩu tối đa là 32 kí tự.

Note  Theo mặc định, CTS-SXP không sử dụng mật khẩu khi thiết lập kết nối
Bước 4 exit

Ví dụ:

 

Device# exit

Thoát khỏi chế độ cấu hình chung và quay lại chế độ EXEC đặc quyền.

Cấu Hình Địa Chỉ IP Nguồn CTS-SXP Mặc Định

  Command or Action Purpose
Bước 1 enable

Ví dụ:

 

Device> enable

Bật chế độ EXEC đặc quyền

  • Nhập mật khẩu của bạn nếu được nhắc
Bước 2 configure terminal

Ví dụ:

 

Device# configure terminal

Vào chế độ cấu hình chung
Bước 3 cts sxp default source-ip src-ip-addr

Ví dụ:

 

Device(config)# cts sxp default source-ip 10.20.2.2

Cấu hình địa chỉ IP nguồn mặc định CTS-SXP được sử dụng cho tất cả các kết nối TCP mới khi địa chỉ IP nguồn không được chỉ định.

Note  Các kết nối TCP hiện tại không bị ảnh hưởng khi địa chỉ IP nguồn CTS-SXP mặc định được cấu hình.
Bước 4 exit

Ví dụ:

 

Device# exit

Thoát khỏi chế độ cấu hình chung và quay lại chế độ EXEC đặc quyền.

Cấu Hình CTS-SXP Reconciliation Period

  Lệnh hoặc Hành động Mục đích
Bước 1 enable

Ví dụ:

 

Device> enable

Bật chế độ EXEC đặc quyền

  • Nhập mật khẩu của bạn nếu được nhắc
Bước 2 configure terminal

Ví dụ:

 

Device# configure terminal

Vào chế độ cấu hình chung
Bước 3 cts sxp reconciliation period seconds

Ví dụ:

 

Device(config)# cts sxp reconciliation period 150

Đặt hẹn giờ đối chiếu CTS-SXP, tính bằng giây. Phạm vi là từ 0 đến 64000. Giá trị mặc định là 120.
Bước 4 exit

Ví dụ:

 

Device# exit

Thoát khỏi chế độ cấu hình chung và quay lại chế độ EXEC đặc quyền.

Cấu Hình CTS-SXP Retry Period

Khoảng thời gian thử lại CTS-SXP xác định tần suất phần mềm CTS thử lại kết nối CTS-SXP. Nếu kết nối CTS-SXP không được thiết lập thành công, thì phần mềm CTS sẽ thực hiện một nỗ lực mới để thiết lập kết nối sau khi hết thời gian thử lại CTS-SXP. Giá trị mặc định là 2 phút. Đặt khoảng thời gian thử lại CTS-SXP thành 0 giây sẽ tắt bộ đếm thời gian và không thử lại.

  Lệnh hoặc Hành động Mục đích
Bước 1 enable

Ví dụ:

 

Device> enable

Bật chế độ EXEC đặc quyền

  • Nhập mật khẩu của bạn nếu được nhắc
Bước 2 configure terminal

Ví dụ:

 

Device# configure terminal

Vào chế độ cấu hình chung
Bước 3 cts sxp retry period seconds

Ví dụ:

 

Device(config)# cts sxp retry period 160

Đặt hẹn giờ thử lại CTS-SXP tính bằng giây. Phạm vi là từ 0 đến 64000. Giá trị mặc định là 120.
Bước 4 exit

Ví dụ:

 

Device# exit

Thoát khỏi chế độ cấu hình chung và quay lại chế độ EXEC đặc quyền.

Tạo Syslogs Để Nắm Bắt Các Thay Đổi Ánh Xạ IP-to-SGT

  Lệnh hoặc Hành động Mục đích
Bước 1 enable

Ví dụ:

 

Device> enable

Bật chế độ EXEC đặc quyền

  • Nhập mật khẩu của bạn nếu được nhắc
Bước 2 configure terminal

Ví dụ:

 

Device# configure terminal

Vào chế độ cấu hình chung
Bước 3 cts sxp log binding-changes

Ví dụ:

 

Device(config)# cts sxp log binding-changes

Cho phép ghi lại các thay đổi liên kết IP-to-SGT khiến syslogs CTS-SXP syslogs (sev 5 syslog) được tạo bất cứ khi nào xảy ra thay đổi đối với liên kết IP-SGT (thêm, xóa, thay đổi). Những thay đổi này được học và phổ biến trên kết nối CTS-SXP.

Note  Chức năng ghi nhật ký này bị tắt theo mặc định.
Bước 4 exit

Ví dụ:

 

Device# exit

Thoát khỏi chế độ cấu hình chung và quay lại chế độ EXEC đặc quyền.

Cấu Hình Class Map Cho Security Group Access Zone-Based Policy Firewall

Thực hiện tác vụ này để định cấu hình Class Map để phân loại lưu lượng truy cập mạng tường lửa chính sách dựa trên vùng của Security Group Access (SGA).

  Command or Action Purpose
Bước 1 enable

Ví dụ:

 

Device> enable

Bật chế độ EXEC đặc quyền.

  • Nhập mật khẩu của bạn nếu được nhắc
Bước 2 configure terminal

Ví dụ:

 

Device# configure terminal

Vào chế độ cấu hình chung
Bước 3 object-group security name

Ví dụ:

 

Device(config)# object-group security myobject1a

Tạo một nhóm đối tượng để xác định lưu lượng truy cập đến từ một người dùng hoặc điểm cuối cụ thể và chuyển sang chế độ object-group identity.
Bước 4 security-group tag-id sgt-id

Ví dụ:

 

Device(config-object-group)# security-group tag-id 120

Chỉ định tư cách thành viên của một nhóm bảo mật bằng cách sử dụng số SGT ID. Số này có thể từ 1 đến 65535. Có thể chỉ định nhiều nhóm bảo mật bằng cách sử dụng lệnh này.
Bước 5 group-object name

Ví dụ:

 

Device(config-object-group)# group-object admin

(Tùy chọn) Chỉ định một tham chiếu lồng nhau cho một loại nhóm người dùng. Nhiều nhóm người dùng lồng nhau có thể được chỉ định bằng lệnh này.
Bước 6 description text

Ví dụ:

 

Device(config-object-group)# description my sgtinfo

(Tùy chọn) Xác định thông tin về nhóm bảo mật.
Bước 7 exit

Ví dụ:

 

Device(config-object-group)# exit

Thoát khỏi chế độ object-group identity và vào chế độ cấu hình chung.
Bước 8 class-map type inspect [match-any match-all class-map-name

Ví dụ:

 

Device(config)# class-map type inspect match-any myclass1

Tạo Layer 3 or Layer 4 inspect type class map và vào chế độ cấu hình class-map.
Bước 9 match group-object security source name

Ví dụ:

 

Device(config-cmap)# match group-object security source myobject1

So khớp lưu lượng truy cập từ người dùng trong nhóm bảo mật.
Bước 10 match group-object security destination name

Ví dụ:

 

Device(config-cmap)# match group-object security destination myobject1

So khớp lưu lượng truy cập cho người dùng trong nhóm bảo mật.
Bước 11 end

Ví dụ:

 

Device(config-cmap)# end

Thoát khỏi chế độ cấu hình class-map và quay lại chế độ EXEC đặc quyền.
Bước 12 show object-group [name]

Ví dụ:

 

Device# show object-group admin

(Tùy chọn) Hiển thị nội dung của tất cả các nhóm người dùng. Tùy chọn, sử dụng đối số name để hiển thị thông tin cho một nhóm.

Tạo Policy Map Cho Security Group Access Zone-Based Policy Firewall

  Lệnh hoặc Hành động Mục đích
Bước 1 enable

Ví dụ:

 

Device> enable

Bật chế độ EXEC đặc quyền

  • Nhập mật khẩu của bạn nếu được nhắc
Bước 2 configure terminal

Ví dụ:

 

Device# configure terminal

Vào chế độ cấu hình chung
Bước 3 policy-map type inspect policy-map-name

Ví dụ:

 

Device(config)# policy-map type inspect z1z2-policy

Tạo policy map loại Layer 3 or Layer 4 inspect

  • Vào chế độ cấu hình policy map
Bước 4 class type inspect class-name

Ví dụ:

 

Device(config-pmap)# class type inspect cmap-1

Chỉ định traffic (class) trên đó một hành động sẽ được thực hiện và chuyển sang chế độ cấu hình policy-map class.
Bước 5 inspect

Ví dụ:

 

Device(config-pmap-c)# inspect

Cho phép kiểm tra packet.
Bước 6 exit

Ví dụ:

 

Device(config-pmap-c)# exit

Thoát khỏi chế độ cấu hình policy-map class và vào chế độ cấu hình chung
Bước 7 zone-pair security zone-pair-name source source-zone destination destination-zone

Ví dụ:

 

Device(config)# zone-pair security z1z2 source z1 destination z2

Tạo một zone pair và vào chế độ cấu hình security zone.

Note  Để áp dụng chính sách, bạn phải cấu hình zone pair.
Bước 8 service-policy type inspect policy-map-name

Ví dụ:

 

Device(config-sec-zone)# service-policy type inspect z1z2-policy2

Đính kèm firewall policy map vào zone pair.

Note  Nếu một chính sách không được cấu hình giữa một cặp vùng, lưu lượng truy cập sẽ bị loại bỏ theo mặc định
Bước 9 end

Ví dụ:

 

Device(config-sec-zone)# end

Thoát khỏi chế độ cấu hình security zone và vào chế độ cấu hình global.
Bước 10 interface type number

Ví dụ:

 

Device(config)# interface GigabitEthernet 0/1/1

Cấu hình giao diện và vào chế độ cấu hình giao diện
Bước 11 zone-member security zone-name

Ví dụ:

 

Device(config-if)# zone-member security Inside

Chỉ định một giao diện cho một vùng bảo mật được chỉ định

Note  Khi bạn đặt một giao diện thành thành viên của vùng bảo mật, tất cả lưu lượng vào và ra khỏi giao diện đó (ngoại trừ lưu lượng bị ràng buộc bởi bộ định tuyến hoặc được khởi tạo bởi bộ định tuyến) sẽ bị loại bỏ theo mặc định. Để cho phép lưu lượng truy cập qua giao diện, bạn phải biến vùng thành một phần của cặp vùng mà bạn nên áp dụng chính sách. Nếu chính sách cho phép lưu lượng, lưu lượng có thể chảy qua giao diện đó.
Bước 12 cts manual

Ví dụ:

 

Device(config-if)# cts manual

Bật giao diện cho ủy quyền và chuyển tiếp Cisco TrustSec Security (CTS) SGT, đồng thời chuyển sang chế độ cấu hình giao diện CTS manual.
Bước 13 no propagate sgt

Ví dụ:

 

Device(config-if-cts-manual)# no propagate sgt

Vô hiệu hóa SGT propagation ở Layer 2 trên giao diện CTS.
Bước 14 policy static sgt tag [trusted ]

Ví dụ:

 

Device(config-if-cts-manual)# policy static sgt 100 trusted

Cấu hình static authorization policy cho nhóm bảo mật CTS với gói được gắn thẻ xác định độ tin cậy của SGT.
Bước 15 exit

Ví dụ:

 

Device(config-if)# exit

Thoát khỏi chế độ cấu hình security zone và vào chế độ EXEC đặc quyền.
Bước 16 show policy-map type inspect zone-pair session

Ví dụ:

 

Device# show policy-map type inspect zone-pair session

(Tùy chọn) Hiển thị các phiên kiểm tra gói trạng thái Cisco IOS được tạo do ứng dụng policy-map trên zone pair được chỉ định.

Note  Thông tin được hiển thị trong trường class-map field là tốc độ lưu lượng (bit/giây) của lưu lượng chỉ thuộc về lưu lượng khởi tạo kết nối. Trừ khi tốc độ thiết lập kết nối cao đáng kể và được duy trì trong nhiều khoảng thời gian mà tốc độ được tính toán, không có dữ liệu quan trọng nào được hiển thị cho kết nối.

ĐỊA CHỈ PHÂN PHỐI ROUTER CISCO CHÍNH HÃNG GIÁ TỐT NHẤT

ANBINHNET ™ là nhà phân phối Cisco chính hãng, uy tín hàng đầu tại Việt Nam. Đến với chúng tôi, quý khách hàng sẽ nhận được những thông tin chính xác về nguồn gốc xuất xứ, giấy tờ, chứng chỉ, với mức giá Discount theo quy định của Cisco, đặc biệt hơn là hàng luôn sẵn kho số lượng lớn để đáp ứng nhu cầu của khách hàng.

ANBINHNET ™ có văn phòng giao dịch tại 2 thành phố lớn nhất là Hà Nội và Hồ Chí Minh (Sài Gòn), giúp mang lại sự thuận tiện cho khách hàng có nhu cầu mua thiết bị Router Cisco Chính Hãng có thể đến trực tiếp văn phòng của chúng tôi, cũng như rút ngắn thời gian giao hàng các sản phẩm Cisco Router Giá Tốt đến với khách hàng.

Để Nhận Thông Tin Hỗ Trợ Báo Giá Dự Án, Đặt Hàng, Giao Hàng, Bảo Hành, Khuyến Mại, Hỗ Trợ Kỹ Thuật của các sản phẩm Router CiscoHãy Chát Ngay với chúng tôi ở khung bên dưới hoặc gọi điện tới số hotline hỗ trợ 24/7 của ANBINHNET ™. Hoặc quý khách có thể liên hệ tới văn phòng của chúng tôi tại theo thông tin sau:

Địa Chỉ Phân Phối Router Cisco Chính Hãng Giá Tốt Tại Hà Nội

Địa Chỉ Phân Phối Router Cisco Chính Hãng Giá Tốt Tại Sài Gòn

Bài viết liên quan

Nhập Email để nhận ngay báo giá sản phẩm

    • Kết Nối Với Chúng Tôi