配置第3层CTS用入口反射器-Cisco.PDF

配置第3层CTS用入口反射器 目录 简介 先决条件 要求 使用的组件 背景信息 配置 网络图 步骤1.设置在出口接口的CTS第3层SW1和SW2之间 步骤2. Enable (event) CTS全局入口反射器 验证 故障排除 简介 本文描述如何配置第3层思科TrustSec (CTS)用入口反射器。 先决条件 要求 思科建议您有CTS解决方案基础知识。 使用的组件 本文档中的信息基于以下软件和硬件版本： Catalyst 6500交换机用在IOS®版本15.0(01)SY的Supervisor引擎2T 鸢尾属数据流生成器 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 背景信息 CTS是提供在间服务提供商骨干网和数据中心网络的端到端安全连接的高级网络访问控制和标识解 决方案。 Catalyst 6500交换机用Supervisor引擎2T和6900系列线卡提供完整硬件和软件支持为了实现CTS。 当Catalyst 6500配置与Supervisor引擎2T和6900系列线卡时，系统充分地能够提供CTS功能。 因为客户希望继续使用已经存在的他们的Catalyst 6500交换机和线卡，当他们移植到CTS网络，和 为此时， Supervisor引擎2T需要是与在CTS网络已经存在，当部署的某些线卡兼容。 为了支持新建的CTS功能例如安全组标记(SGT)和IEEE 802.1AE MACsec链路加密，有在 Supervisor引擎2T和新的6900系列线卡(ASIC)使用的投入的专用集成电路。入口反射器模式提供在 不使用CTS的传统线卡之间的兼容性。入口反射器模式在Supervisor引擎2T PFC支持仅集中化转发 ，信息包转发将发生。例如6748-GE-TX线卡支持只6148系列或支持结构的集中化转发卡(CFC)线卡 。不支持分布式转发卡(DFC)线卡和万兆以太网线卡，当入口反射器模式启用时。当入口反射器模 式配置，不支持的线卡不启动。入口反射器模式启用与使用全局配置命令并且要求系统重新加载。 配置 网络图 步骤1.设置在出口接口的CTS第3层SW1和SW2之间 SW1(config)#int t1/4/2 SW1(config-if)#ip address 172.16.0.1 255.255.255.0 SW1(config-if)# cts layer3 ipv4 trustsec forwarding SW1(config-if)# cts layer3 ipv4 policy SW1(config-if)#no shutdown SW1(config-if)#exit SW2(config)#int t1/2 SW2(config-if)#ip address 172.16.0.2 255.255.255.0 SW2(config-if)# cts layer3 ipv4 trustsec forwarding SW2(config-if)# cts layer3 ipv4 policy SW2(config-if)#no shutdown SW2(config-if)#exit 步骤2. Enable (event) CTS全局入口反射器 SW1(config)#platform cts ingress SW1#sh platform cts CTS Ingress mode enabled 连接从NON CTS支持的线路卡的一个接口到鸢尾属。 SW1#sh run int gi2/4/1 Building configuration... Current configuration : 90 bytes ! interface GigabitEthernet2/4/1 no switchport ip address 10.10.10.1 255.255.255.0 end 为从鸢尾属接收的数据包分配在SW1交换机的静态SGT 1连接到SW1。设置要执行数据包的仅 CTS的permit策略L3在验证器的希望的子网。 SW1(config)#cts role-based sgt-map 10.10.10.10 sgt 15 SW1(config)#ip access-list extended traffic_list SW1(c