Inleiding
Dit document beschrijft hoe u de Cisco Inline Tagging-functie kunt configureren en verifiëren op een Cisco Catalyst Switch 9300.
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
U moet Cisco ISE hebben geïmplementeerd in uw netwerk en eindgebruikers moeten zich via 802.1x (of een andere methode) verifiëren bij hun bekabelde verbinding. Cisco ISE wijst een Security Group Tag (SGT) toe nadat deze zijn geverifieerd naar uw bekabelde netwerk.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Cisco Identity Services Engine met 3.0 P5
- Cisco Catalyst 9300 Switch met 17.03.02a
- Cisco Catalyst 9300 Switch op 17.07.01
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Op de Access-laag is inline-tagging geïmplementeerd omdat dit het eerste contactpunt van de informatie is. Met andere woorden, al uw eindapparaten zijn verbonden met de Access-laag. Zodra de toegangslaagapparaten de classificatie uitvoeren, is het noodzakelijk om deze informatie te delen met de apparaten die de handhaving doen. Hiervoor kan de NAS 20 bytes toevoegen aan het Ethernet frame. Dit is het veld CMD (Cisco metagegevens) van het frame. Hierin is het SGT opgenomen.
Configureren
Netwerkdiagram
Topologiediagram
- PC1 verifieert en ISE dynamisch SGT3 toewijst.
- C9300A inline tagging met C9300B
- PC2 verifieert en ISE dynamisch SGT 17 toewijst
- C9300B dwingt ICMP-verkeer van SGT3 naar SGT17 af.
Inline tagging
C9300A
interface TwoGigabitEthernet1/0/4
switchport trunk allowed vlan 761
switchport mode trunk
cts manual
policy static sgt 2 trusted
end
C9300B
interface GigabitEthernet1/0/4
switchport trunk allowed vlan 761
switchport mode trunk
cts manual
policy static sgt 2 trusted
end
U moet de opdracht cts handleiding gebruiken en vervolgens beleid statisch om inline tagging mogelijk te maken. De sgt die gebruikt wordt in de opdracht kan de sgt van het netwerkapparaat zijn of een ander zijn een plaatsaanduiding. De functie van de vertrouwde opdracht is de switch te instrueren de SGT te eren als deze verkeer ontvangt met CMD-header. Zonder vertrouwde opdracht zal de switch al het verkeer markeren dat afkomstig is van die interface met het gedefinieerde SGT.
Controles
Access Session downloads en SGT
PC1
Switch#show authentication session interface Tw1/0/3 details
Interface: TwoGigabitEthernet1/0/3
IIF-ID: 0x1FB0D90E
MAC Address: 507b.9df0.34bb
IPv6 Address: Unknown
IPv4 Address: 10.4.16.142
User-Name: 50-7B-9D-F0-34-BB
Status: Authorized
Domain: DATA
Oper host mode: multi-auth
Oper control dir: both
Session timeout: N/A
Common Session ID: 3D781F0A0000000F2AE95F4A
Acct Session ID: 0x00000005
Handle: 0x02000004
Current Policy: POLICY_Tw1/0/3
Local Policies:
Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
Security Policy: Should Secure
Server Policies:
SGT Value: 3
Method status list:
Method State
mab Authc Success
PC2
Switch#show authentication session interface Gi1/0/1 details
Interface: GigabitEthernet1/0/1
IIF-ID: 0x1D1CA5C7
MAC Address: 507b.9df8.02ed
IPv6 Address: fe80::114c:dce1:ffa1:1642
IPv4 Address: 10.4.16.141
User-Name: 50-7B-9D-F8-02-ED
Status: Authorized
Domain: DATA
Oper host mode: multi-auth
Oper control dir: both
Session timeout: N/A
Common Session ID: 21781F0A000000242AF41195
Acct Session ID: 0x00000004
Handle: 0x4300000f
Current Policy: POLICY_Gi1/0/1
Local Policies:
Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
Security Policy: Should Secure
Server Policies:
SGT Value: 17
Method status list:
Method State
mab Authc Success
Switch leert IP-SGT binding
C9300A
Switch#show cts role-based sgt-map all
Active IPv4-SGT Bindings Information
IP Address SGT Source
============================================
10.4.16.142 3 LOCAL
C9300B
Switch#show cts role-based sgt-map all
Active IPv4-SGT Bindings Information
IP Address SGT Source
============================================
10.4.16.141 17 LOCAL
10.31.120.33 2 INTERNAL
Vergunningsstatus tussen C9300A en C9300B
C9300A
Switch#show cts interface Two 1/0/4
Global Dot1x feature is Disabled
Interface TwoGigabitEthernet1/0/4:
CTS is enabled, mode: MANUAL
IFC state: OPEN
Interface Active for 01:36:44.332
Authentication Status: NOT APPLICABLE
Peer identity: "unknown"
Peer's advertised capabilities: ""
Authorization Status: SUCCEEDED
Peer SGT: 2:TrustSec_Devices
Peer SGT assignment: Trusted
SAP Status: NOT APPLICABLE
Propagate SGT: Enabled
Cache Info:
Expiration : N/A
Cache applied to link : NONE
Statistics:
authc success: 0
authc reject: 0
authc failure: 0
authc no response: 0
authc logoff: 0
sap success: 0
sap fail: 0
authz success: 0
authz fail: 0
port auth fail: 0
L3 IPM: disabled.
C9300B
Switch#show cts interfac Gig 1/0/4
Global Dot1x feature is Disabled
Interface GigabitEthernet1/0/4:
CTS is enabled, mode: MANUAL
IFC state: OPEN
Interface Active for 01:34:18.433
Authentication Status: NOT APPLICABLE
Peer identity: "unknown"
Peer's advertised capabilities: ""
Authorization Status: SUCCEEDED
Peer SGT: 2:TrustSec_Devices
Peer SGT assignment: Trusted
SAP Status: NOT APPLICABLE
Propagate SGT: Enabled
Cache Info:
Expiration : N/A
Cache applied to link : NONE
Statistics:
authc success: 0
authc reject: 0
authc failure: 0
authc no response: 0
authc logoff: 0
sap success: 0
sap fail: 0
authz success: 0
authz fail: 0
port auth fail: 0
L3 IPM: disabled.
Problemen oplossen
Als u problemen wilt oplossen, overweegt u:
- Frame wordt altijd gelabeld bij ingangspoort van SGT-geschikt apparaat.
- Tagging proces voorafgaand aan andere L2-service zoals QoS.
- Geen impact op IP MTU/Fragmentation.
- L2 frame MTU impact: ~ 40 bytes (~1600 bytes met 1552 bytes MTU)
- MACsec is optioneel voor geschikte hardware.
PacketCapture/EPC
Inline coderingsstroom
Als u inline tagging wilt oplossen, moet u een pakketopname maken bij de ingang.
Tip: Als u een pcap in de uplink van de SW neemt, ziet u de tag niet, aangezien deze is opgenomen op interfaceniveau, zodat de EPC kan worden genomen voordat de tag wordt toegepast.
Let op: er zijn een aantal uitzonderingen hierop, zoals de C4500. Door de architectuur van de C4500 kan de CMD-header niet worden gedetecteerd, zelfs niet als u de pcap bij de ingangsinterface neemt. Voor deze specifieke gevallen kunt u gebruik maken van NetFlow, NetFlow Trustsec configuratie
Neem Embedded Packet Capture (EPC) op Ingress Port van de C9300B
Switch#monitor capture test interface Gig 1/0/4 both
Switch#monitor capture test match any
Switch#monitor capture test start
<
> Switch#
monitor capture test stop
Nadat u de EPC hebt genomen, kunt u de opdracht monitor Capture Buffer Short gebruiken om het framenummer van het ICMP-verzoek te controleren.
Switch#show monitor capture test buffer
..
..
44 17.059569 10.4.16.142 b^F^R 10.4.16.141 ICMP 86 Echo (ping) request id=0x0001, seq=147/37632, ttl=128
45 17.061079 10.4.16.141 b^F^R 10.4.16.142 ICMP 74 Echo (ping) reply id=0x0001, seq=147/37632, ttl=128 (request in 44)
..
..
Uit de vorige uitvoer is gebleken dat ICMP-pakket in frame 44 zit. Hiermee kunt u nu werken: monitor opnemen <name> buffer gedetailleerd tonen | Begin Frame <number>om de inhoud te zien:
..
..
Frame 44: 86 bytes on wire (688 bits), 86 bytes captured (688 bits) on interface 0
Interface id: 0 (/tmp/epc_ws/wif_to_ts_pipe)
Interface name: /tmp/epc_ws/wif_to_ts_pipe
Encapsulation type: Ethernet (1)
Arrival Time: Jun 3, 2022 19:12:00.140014000 UTC
[Time shift for this packet: 0.000000000 seconds]
Epoch Time: 1654283520.140014000 seconds
[Time delta from previous captured frame: 0.362660000 seconds]
[Time delta from previous displayed frame: 0.362660000 seconds]
[Time since reference or first frame: 17.059569000 seconds]
Frame Number: 44
Frame Length: 86 bytes (688 bits)
Capture Length: 86 bytes (688 bits)
[Frame is marked: False]
[Frame is ignored: False]
[Protocols in frame: eth:ethertype:vlan:ethertype:cmd:ethertype:ip:icmp:data]
Ethernet II, Src: 50:7b:9d:f0:34:bb (50:7b:9d:f0:34:bb), Dst: 50:7b:9d:f8:02:ed (50:7b:9d:f8:02:ed)
Destination: 50:7b:9d:f8:02:ed (50:7b:9d:f8:02:ed)
Address: 50:7b:9d:f8:02:ed (50:7b:9d:f8:02:ed)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
Source: 50:7b:9d:f0:34:bb (50:7b:9d:f0:34:bb)
Address: 50:7b:9d:f0:34:bb (50:7b:9d:f0:34:bb)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
Type: 802.1Q Virtual LAN (0x8100)
802.1Q Virtual LAN, PRI: 0, DEI: 0, ID: 761
000. .... .... .... = Priority: Best Effort (default) (0)
...0 .... .... .... = DEI: Ineligible
.... 0010 1111 1001 = ID: 761
Type: CiscoMetaData (0x8909)
Cisco MetaData <<<<<<<<<<<<<<<<<<<<<<< CMD header
Version: 1
Length: 1
Options: 0x0001
SGT: 3 <<<<<<<<<<<<<<<<<<<<<<<<<< SGT of PC1
Type: IPv4 (0x0800)
Internet Protocol Version 4, Src: 10.4.16.142, Dst: 10.4.16.141
0100 .... = Version: 4
.... 0101 = Header Length: 20 bytes (5)
Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)
0000 00.. = Differentiated Services Codepoint: Default (0)
.... ..00 = Explicit Congestion Notification: Not ECN-Capable Transport (0)
Total Length: 60
Identification: 0x7d1f (32031)
Flags: 0x0000
0... .... .... .... = Reserved bit: Not set
.0.. .... .... .... = Don't fragment: Not set
..0. .... .... .... = More fragments: Not set
...0 0000 0000 0000 = Fragment offset: 0
Time to live: 128
Protocol: ICMP (1)
Header checksum: 0x887f [validation disabled]
[Header checksum status: Unverified]
Source: 10.4.16.142
Destination: 10.4.16.141
Internet Control Message Protocol
Type: 8 (Echo (ping) request)
Code: 0
Checksum: 0x4cc8 [correct]
[Checksum Status: Good]
Identifier (BE): 1 (0x0001)
Identifier (LE): 256 (0x0100)
Sequence number (BE): 147 (0x0093)
Sequence number (LE): 37632 (0x9300)
Data (32 bytes)
0000 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 abcdefghijklmnop
0010 71 72 73 74 75 76 77 61 62 63 64 65 66 67 68 69 qrstuvwabcdefghi
Data: 6162636465666768696a6b6c6d6e6f707172737475767761...
[Length: 32]
..
..
SGACL-controle
De switch downloadt alleen de SGACL’s die overeenkomen met de IP-SGT-bindingen die van verschillende methoden zijn geleerd (lokaal, SXP, inline tagging, enzovoort). C9300B leert de doelbeveiligingsgroep dynamisch van ISE. Hoe leert het de bronbeveiligingsgroep? Met inline tagging. Aangezien het bevel cts op rol-gebaseerde sgt-kaart allen toont niet SGTs die van inline het etiketteren wordt geleerd, kunt u concluderen dat als SGACL wordt gedownload, de switch zich van zowel bron (inline het etiketteren) als bestemmings (lokale) veiligheidsgroepen bewust is.
Switch#show cts role-based permissions
IPv4 Role-based permissions default:
Permit_IP_Log-00
IPv4 Role-based permissions from group 3:DataCenter to group 17:MedicalDevices:
denyJonsICMP-06 <<<<
DENY_PRINTER_80_04-01
permitJons-01
IPv4 Role-based permissions from group 16:IUH_Office to group 17:MedicalDevices:
denyJonsICMP-06
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE
Wanneer u van PC1 van PC2 pingelt, wordt ICMP geblokkeerd:
cisco>ping -S 10.4.16.142 10.4.16.141
Pinging 10.4.16.141 from 10.4.16.142 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 10.4.16.141:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
Gerelateerde informatie