Cisco Cisco ASA 5510 Adaptive Security Appliance Leaflet
1-33
Cisco ASA Series 명령 참조, S 명령
1장 same-security-traffic through shape 명령
security-group-tag value
security-group-tag value
로컬 사용자 데이터베이스와 VPN 세션에 대한 그룹 정책에서 보안 그룹 태그 지정 특성을 구성하
려면 group-policy 컨피그레이션 모드에서 security-group-tag value 명령을 사용합니다. 서버 그룹
태그 지정 특성을 제거하려면 이 명령의 no 형식을 사용합니다.
려면 group-policy 컨피그레이션 모드에서 security-group-tag value 명령을 사용합니다. 서버 그룹
태그 지정 특성을 제거하려면 이 명령의 no 형식을 사용합니다.
security-group
-tag value sgt
no security-group
-tag value sgt
구문 설명
명령 기본값
이 명령의 기본 형식은 security-group-tag none입니다. 이는 이 특성 집합에 보안 그룹 태그가 없
음을 의미합니다.
음을 의미합니다.
명령 모드
다음 표에서 명령을 입력할 수 있는 모드를 확인할 수 있습니다.
명령 기록
사용 지침
ASA 버전 9.3(1)은 VPN 세션의 보안 그룹 태그 지정을 모두 지원합니다. 외부 AAA 서버를 사용하
거나 로컬 사용자 데이터베이스를 구성하여 SGT(보안 그룹 태그)를 VPN 세션에 할당할 수 있습니
다. 그런 다음 계층 2 이더넷에서 Cisco TrustSec 시스템을 통해 이 태그를 전파할 수 있습니다. 보
안 그룹 태그는 AAA 서버에서 SGT를 제공할 수 없는 경우 그룹 정책 및 로컬 사용자에게 유용합
니다.
거나 로컬 사용자 데이터베이스를 구성하여 SGT(보안 그룹 태그)를 VPN 세션에 할당할 수 있습니
다. 그런 다음 계층 2 이더넷에서 Cisco TrustSec 시스템을 통해 이 태그를 전파할 수 있습니다. 보
안 그룹 태그는 AAA 서버에서 SGT를 제공할 수 없는 경우 그룹 정책 및 로컬 사용자에게 유용합
니다.
AAA 서버의 특성에 VPN 사용자에게 할당할 SGT가 없는 경우에는 ASA에서 기본 그룹 정책의
SGT를 사용합니다. 그룹 정책에 SGT가 없으면 0x0 태그가 할당됩니다.
SGT를 사용합니다. 그룹 정책에 SGT가 없으면 0x0 태그가 할당됩니다.
서버에 연결하는 원격 사용자에 대한 일반적인 단계
1.
사용자가 ASA에 연결합니다.
2.
ASA가 ISE에서 AAA 정보를 요청합니다. 여기에는 SGT가 포함될 수 있습니다. 또한 ASA에
서 사용자의 터널링된 트래픽에 대한 IP 주소를 할당합니다.
서 사용자의 터널링된 트래픽에 대한 IP 주소를 할당합니다.
3.
ASA에서는 AAA 정보를 사용하여 터널을 인증하고 생성합니다.
4.
ASA에서는 AAA 정보의 SGT 및 할당된 IP 주소를 사용하여 계층 2 헤더에 SGT를 추가합니다.
5.
SGT가 포함된 패킷은 Cisco TrustSec 네트워크의 다음 피어 디바이스로 전달됩니다.
sgt
보안 그룹 태그 번호를 지정합니다.
명령 모드
방화벽 모드
보안 상황
라우팅 모드
투명 모드
단일 모드
다중 모드
상황
시스템
group-policy 컨피그레이션
•
예
•
예
•
예
•
예
—
릴리스
수정 사항
9.3(1)
이 명령이 도입되었습니다.