セキュリティ : Cisco IPS Sensor Software Version 5.1

IPS 5.x 以降/IDSM2: CLI および IDM を使用したインライン VLAN ペア モードの設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

物理インターフェイスのペアの VLAN の関連付けはインライン VLAN ペア モードと呼ばれています。 ペアの VLAN の一方で受信したパケットは分析され、ペアのもう一方の VLAN に転送されます。 インライン VLAN ペアは NM-CIDS、AIP-SSM-10 および AIP-SSM-20 を除く侵入防御システム(IPS) 5.1 と互換性がある、すべてのセンサーでサポートされます。

インライン VLAN ペア モードは検知インターフェイスが 802.1q トランク ポートとして機能する、センサーはトランクの VLAN のペア間の VLANブリッジングを行いますアクティブな検知モードであり。 これは検知インターフェイスに接続されるスイッチがトランク モードにある必要があることを意味します。

センサーは不正侵入試みが検出する場合各ペアの各 VLAN で受信するトラフィックを検査し、ペアの他の VLAN のパケットを転送するか、またはパケットを廃棄できます。 同時に各々の検知インターフェイスの 255 までの VLAN ペアを繋ぐために IPS センサーを設定できます。 センサーはセンサーがパケットを転送する出力 VLAN の ID と各受け取り パケットの 802.1q ヘッダの VLAN ID フィールドを取り替えます。 センサーはインライン VLAN ペアに割り当てられないあらゆる VLAN で受信されるすべてのパケットを廃棄します。

注: IPS-4260 に関しては、故障する開いたハードウェア バイパスはインライン VLAN ペアでサポートされません。 詳細についてはハードウェア バイパス 設定 の 制限を参照して下さい。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

この文書に記載されている情報は 5.1 およびそれ以降を使用する Cisco 侵入防御システム センサーに基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

関連製品

この文書に記載されている情報は Intrusion Detection System (IDSM-2) サービス モジュールにまた適当です。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

VACL は設定をキャプチャ します

IDSM-2 のスイッチの IDSM にトラフィックを送信 するために設定設定 VACL キャプチャ セクションを参照して下さい。

インライン VLAN ペア モードコンフィギュレーション

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

注: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

CLI を使用してインライン VLAN ペアを設定するためにサービス インターフェイス サブモードで物理インターフェイス interface_name コマンドを使用して下さい。 インターフェイス名は FastEthernet または GigabitEthernet です。

これらのオプションによって、次の設定が割り当てられます。

  • adminの状態{有効に なる | 無効} —インターフェイスがイネーブルまたはディセーブルであるかどうか、インターフェイスの管理上のリンク状態。

    注: すべてのモジュール(IDSM-2 NM-CIDS、および AIP-SSM)のインターフェイスを検知するすべてのバックプレーンで adminの状態はイネーブルになったに設定 され、保護されます(設定を変更できません)。 adminの状態はコマンドおよび制御 インタフェースに効果を(保護されます)もたらさないし。 それはインターフェイスを検知することに影響を与えます。 監視することができないのでコマンドおよび制御 インタフェースは有効に なる必要はありません。

  • default — システムデフォルト標準設定に値を設定し直します。

  • description —インライン インターフェイス ペアの記述。

  • duplex — インターフェイスの双方向設定。

    • 自動—自動にインターフェイスをネゴシエートします二重を設定 します。

    • フルセット 全二重へのインターフェイス。

    • 半二重にインターフェイスを設定 します。

    注: デュプレックス オプションはすべてのモジュールで保護されます。

  • エントリまたは選択設定を取除きます。

  • 速度—インターフェイスの速度設定。

    • 自動—自動にインターフェイスをネゴシエートします速度を設定 します。

    • 10 — 10 MB にインターフェイスを設定 します(TX インターフェイスだけのために)。

    • 100 — 100 MB にインターフェイスを設定 します(TX インターフェイスだけのために)。

    • 1000 — 1 GB にインターフェイスを設定 します(ギガビットインターフェイスのために)

    注: 速度オプションはすべてのモジュールで保護されます。

  • サブインターフェイス型—インターフェイスがサブインターフェイスであるどのようなサブインターフェイスが定義されること規定 し。

    • インライン VLAN ペア—インライン VLAN ペアとサブインターフェイスを定義することを許可します。

    • なし—定義されるサブインターフェイス無し。

  • サブインターフェイス—インライン VLAN ペアとサブインターフェイスを定義します。

    • vlan1 —インライン VLAN ペアの最初の VLAN。

    • vlan2 —インライン VLAN ペアの第 2 VLAN。

CLI 設定

CLI を使用してセンサーのインライン VLAN ペア設定を行うためにこれらのステップを完了して下さい:

  1. アドミニストレーター特権のアカウントを使用して CLI へのログイン。

  2. インターフェイス サブモードを入力して下さい:

    sensor#configure terminal
    sensor(config)#service interface 
    sensor(config-int)#
  3. インライン インターフェイスが設定されない場合)どのインライン インターフェイスでもあるかどうか確認して下さい(サブインターフェイス型は「どれも」読む必要があります:

    sensor(config-int)#show settings
       physical-interfaces (min: 0, max: 999999999, current: 2)
       -----------------------------------------------
          <protected entry>
          name: GigabitEthernet0/0 <defaulted>
          -----------------------------------------------
             media-type: tx <protected>
             description: <defaulted>
             admin-state: disabled <protected>
             duplex: auto <defaulted>
             speed: auto <defaulted>
             alt-tcp-reset-interface
             -----------------------------------------------
                none
                -----------------------------------------------
                -----------------------------------------------
             -----------------------------------------------
             subinterface-type
             -----------------------------------------------
                none
                -----------------------------------------------
                -----------------------------------------------
             -----------------------------------------------
          -----------------------------------------------
    <protected entry>
          name: GigabitEthernet0/1 <defaulted>
          -----------------------------------------------
             media-type: tx <protected>
             description: <defaulted>
             admin-state: disabled <defaulted>
             duplex: auto <defaulted>
             speed: auto <defaulted>
             alt-tcp-reset-interface
             -----------------------------------------------
                none
                -----------------------------------------------
                -----------------------------------------------
             -----------------------------------------------
             subinterface-type
             -----------------------------------------------
                none
                -----------------------------------------------
                -----------------------------------------------
             -----------------------------------------------
          -----------------------------------------------
          <protected entry>
          name: GigabitEthernet0/2 <defaulted>
          -----------------------------------------------
             media-type: tx <protected>
             description: <defaulted>
             admin-state: disabled <defaulted>
             duplex: auto <defaulted>
             speed: auto <defaulted>
             alt-tcp-reset-interface
             -----------------------------------------------
                none
                -----------------------------------------------
                -----------------------------------------------
             -----------------------------------------------
             subinterface-type
             -----------------------------------------------
                none
                -----------------------------------------------
                -----------------------------------------------
             -----------------------------------------------
          -----------------------------------------------
          <protected entry>
          name: GigabitEthernet0/3 <defaulted>
          -----------------------------------------------
             media-type: tx <protected>
             description: <defaulted>
             admin-state: disabled <defaulted>
             duplex: auto <defaulted>
             speed: auto <defaulted>
             alt-tcp-reset-interface
             -----------------------------------------------
                none
                -----------------------------------------------
                -----------------------------------------------
             -----------------------------------------------
             subinterface-type
             -----------------------------------------------
                none
                -----------------------------------------------
                -----------------------------------------------
             -----------------------------------------------
          -----------------------------------------------
          <protected entry>
          name: Management0/0 <defaulted>
          -----------------------------------------------
             media-type: tx <protected>
             description: <defaulted>
             admin-state: disabled <protected>
             duplex: auto <defaulted>
             speed: auto <defaulted>
             alt-tcp-reset-interface
             -----------------------------------------------
                none
                -----------------------------------------------
                -----------------------------------------------
             -----------------------------------------------
             subinterface-type
             -----------------------------------------------
                none
                -----------------------------------------------
                -----------------------------------------------
             -----------------------------------------------
          -----------------------------------------------
       -----------------------------------------------
       command-control: Management0/0 <protected>
       inline-interfaces (min: 0, max: 999999999, current: 0)
       -----------------------------------------------
       -----------------------------------------------
       bypass-mode: auto <defaulted>
       interface-notifications
       -----------------------------------------------
          missed-percentage-threshold: 0 percent <defaulted>
          notification-interval: 30 seconds <defaulted>
          idle-interface-delay: 30 seconds <defaulted>
       -----------------------------------------------
    sensor(config-int)#
  4. この物理インターフェイスを使用するインライン インターフェイスを外して下さい:

    sensor(config-int)#no inline-interfaces interface_name
    
  5. 利用可能 な インターフェイスのリストを表示する:

    sensor(config-int)#physical-interfaces ?
    GigabitEthernet0/0     GigabitEthernet0/0 physical interface.
    GigabitEthernet0/1     GigabitEthernet0/1 physical interface.
    GigabitEthernet0/2     GigabitEthernet0/2 physical interface.
    GigabitEthernet0/3     GigabitEthernet0/3 physical interface.
    Management0/0          Management0/0 physical interface.
    sensor(config-int)#physical-interfaces
    
  6. インターフェイスを規定 して下さい:

    sensor(config-int)#physical-interfaces GigabitEthernet0/2
    
  7. インターフェイスの adminの状態を有効に して下さい:

    sensor(config-int-phy)#admin-state enabled
    

    インターフェイスは仮想 なセンサーに割り当てられ、トラフィックをモニタするために有効に する必要があります。

  8. このインターフェイスの説明を追加して下さい:

    sensor(config-int-phy)#description INT1
    
  9. 双方向設定を設定して下さい:

    sensor(config-int-phy)#duplex full
    

    このオプションはモジュールで利用できません。

  10. 速度を設定して下さい:

    sensor(config-int-phy)#speed 1000
    

    このオプションはモジュールで利用できません。

  11. インライン VLAN ペアを設定して下さい:

    sensor(config-int-phy)#subinterface-type inline-vlan-pair
    sensor(config-int-phy-inl)#subinterface 1
    sensor(config-int-phy-inl-sub)#vlan1 52
    sensor(config-int-phy-inl-sub)#vlan2 53
    
  12. インライン VLAN ペアのための説明を追加して下さい:

    sensor(config-int-phy-inl-sub)#description pairs vlans 52 and 53
    
  13. インライン VLAN ペア設定を確認して下さい:

    sensor(config-int-phy-inl-sub)#show settings
       subinterface-number: 1
       -----------------------------------------------
          description: VLANpair1 default:
          vlan1: 52
          vlan2: 53
       -----------------------------------------------
    sensor(config-int-phy-inl-sub)#
  14. インターフェイス サブモードを終了して下さい:

    sensor(config-int-phy-inl-sub)#exit
    sensor(config-int-phy-inl)#exit
    sensor(config-int-phy)#exit
    sensor(config-int)#exit
    Apply Changes:?[yes]:
  15. 変更を加えるために『Enter』 を押さないかまたはそれらを廃棄するためにいいえ入力して下さい。

  16. 仮想 なセンサー コンフィギュレーションモードを開始して下さい:

    sensor(config)#service analysis-engine
            sensor(config-ana)#virtual-sensor vs0
    
  17. バーチャル センサーにインターフェイスを追加して下さい:

    sensor(config-ana-vir)#physical-interface GigabitEthernet0/2
    subinterface-number 1
    
  18. バーチャル センサー サブモードを終了して下さい:

    sensor(config-ana-vir)#exit
            sensor(config-ana)#exit
            Apply Changes:?[yes]:
  19. 変更を加えるために『Enter』 を押さないかまたはそれらを廃棄するためにいいえ入力して下さい。

IDM 設定

IDS Device Manager (IDM)を使用してセンサーのインライン VLAN ペア設定を行うためにこれらのステップを完了して下さい:

  1. ブラウザを開き、IPS の IDM にアクセスするために https:// <Management_IP_Address_of_IPS> を入力して下さい。

  2. IDM ランチャーを『Download』 をクリック し、アプリケーションのためのインストーラをダウンロードし IDM を始めて下さい

  3. ホスト名のようなデバイス情報を、IP アドレス、バージョンおよびモデル。、等は Home ページに表示するために行きます。

    /image/gif/paws/97214/ips5x-vlan-mode-config1.gif

  4. 設定 > センサー セットアップに進み、ネットワークをクリックして下さい。 ホスト名、IP アドレスおよびデフォルト ルートを規定できます。

    /image/gif/paws/97214/ips5x-vlan-mode-config2.gif

  5. 設定 > インターフェイスコンフィギュレーションに行き、概略をクリックして下さい。

    このページは検知インターフェイスの設定 の 要約を表示します。

    /image/gif/paws/97214/ips5x-vlan-mode-config3.gif

  6. 設定 > インターフェイスコンフィギュレーション > インターフェイスに行き、インターフェイス名を選択して下さい。それから、検知インターフェイスをイネーブルに設定するために『Enable』 をクリック して下さい。 また、二重、速度および VLAN 情報を設定して下さい。

    ips5x-vlan-mode-config4.gif

  7. 設定 > インターフェイスコンフィギュレーション > VLAN ペアに行き、インライン VLAN ペアを作成するために『Add』 をクリック して下さい。

    /image/gif/paws/97214/ips5x-vlan-mode-config5.gif

  8. 検知インターフェイス(GigabitEthernet0/0)のためのサブインターフェイス数、VLAN A および VLAN B を入力して下さい。

    ips5x-vlan-mode-config6.gif

    インライン VLAN ペア設定の概略を表示できます。

    /image/gif/paws/97214/ips5x-vlan-mode-config7.gif

  9. > 仮想 なセンサーは設定 > 分析 エンジンに行き、新しく仮想 なセンサーを作成するために『Edit』 をクリック します。

    /image/gif/paws/97214/ips5x-vlan-mode-config8.gif

  10. 仮想 なセンサー vs0 へのインライン VLAN ペア 52 および 53 を割り当てて下さい。

    /image/gif/paws/97214/ips5x-vlan-mode-config9.gif

    割り当てられた仮想 なセンサー情報の概略を表示して下さい。

    /image/gif/paws/97214/ips5x-vlan-mode-config10.gif

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 97214