连结1000v 信任安全 Configuration

在这篇博客中,我将为TrustSec实际配置Nexus 1000v。我将逐步配置SXP连接,下载环境数据,然后将SGT分配给设备。 

注意:对于Nexus 1000v,它需要高级服务许可证才能启用802.1x。 信任安全和SXP功能。 

在配置Nexus 1000v之前,请导航至 行政>Network Resources>Network Devices 并点击Nexus 1000v(如果您已经创建或立即创建)。选中旁边的框 Advanced 信任安全 Settings 并填写以下内容:

 

在上述配置中,将设备ID用于TrustSec标识,配置密码,然后选中其他TrustSec设备将信任此设备的复选框。 

在Nexus 1000v上,配置以下内容:

svs switch版高级- 启用高级许可证
功能dot1x-启用802.1x功能
功能cts - Enables Cisco 信任安全 feature
dhcp功能 -启用DHCP功能

接下来,我们将配置一些特定于CTS的命令:
cts启用 -开启此功能后,默认情况下应已启用此功能,但如果未启用,请输入此命令
ip dhcp侦听- 启用DHCP侦听以进行CTS设备跟踪
ip dhcp监听vlan 100-在VLAN上启用DHCP
cts设备ID NX-Sw1 密码 网络节点-此配置唯一的设备ID和密码。它应该匹配ISE中的内容
cts sxp启用 -启用SXP功能
cts设备跟踪- 在TrustSec上启用设备跟踪。它将从VEM上的ARP / IP流量检查以及DHCP侦听中跟踪IP地址。 
cts sxp默认密码 网络节点-配置SXP默认密码
cts sxp默认源IP 10.1.100.4-将mgmt0接口配置为SXP默认源IPv4地址
cts sxp重试时间 60-指定SXP重试计时器周期
cts接口删除保持 60-指定接口的删除保持计时器时间。默认值为60秒。
cts sxp连接对等 10.1.100.21 资源 10.100.4 密码默认模式侦听器vrf管理- 配置SXP地址连接。 
半径服务器主机 10.1.100.21 网络节点 pac认证计费 -使用密钥和PAC配置RADIUS服务器主机
aaa组服务器半径 伊势-指定RADIUS服务器组并进入RADIUS组配置模式
服务器 10.1.100.21-指定RADIUS(ISE)服务器
使用-vrf 管理 指定AAA服务器组的管理VRF实例
aaa授权cts默认组 伊势 指定用于Cisco 信任安全授权的RADIUS服务器组
aaa会计默认组 伊势-指定用于记帐的RADIUS服务器组

接下来,我们将在端口配置文件上配置静态STG绑定:

端口配置文件Proxy
cts手册
策略静态sgt 0x8
没有繁殖


端口配置文件 ADISE
cts手册
策略静态sgt 0x7
没有繁殖

 

端口配置文件NetworkServices
cts手册
策略静态sgt 0x3
没有繁殖

 

端口配置文件基础结构
cts手册
策略静态sgt 0x2
没有繁殖

 

端口配置文件ProductionServer
cts手册
策略静态sgt 0xB
没有繁殖

 

端口配置文件SecurityServer
cts手册
策略静态sgt 0x5
没有繁殖

现在,我们将配置TrustSec实施:

CTS基于角色的计数器启用- 启用RBACL统计信息

端口配置文件Proxy
cts手册
基于角色的执行


端口配置文件 ADISE
cts手册

基于角色的执行

 

端口配置文件NetworkServices
cts手册

基于角色的执行

 

端口配置文件基础结构
cts手册

基于角色的执行

 

端口配置文件ProductionServer
cts手册

基于角色的执行

 

端口配置文件SecurityServer
cts手册

基于角色的执行

现在,我们已经为TrustSec配置了Nexus 1000v,将标记应用于端口配置文件,并开始执行该策略,让我们验证其是否有效。

显示cts基于角色的策略

 

显示cts基于角色的计数器

blog3.JPG

 

显示cts基于角色的访问列表

 

显示cts sxp连接

 

显示cts sxp

 

在ISE中,导航至 工作中心>TrustSec>SXP>All SXP Mappings 查看通过SXP传达的IP-SGT映射