Cisco Anomaly Guard Module コンフィギュレーション ガイド (Software Release 5.0)
スーパーバイザ エンジンへの Guard モジュール の設定
スーパーバイザ エンジンへの Guard モジュールの設定
発行日;2012/01/16 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

スーパーバイザ エンジンへの Guard モジュールの設定

Guard モジュールの設置の確認

Guard モジュールの管理の設定

VLAN の設定

スーパーバイザ エンジンへの VLAN の設定

Guard モジュールへの VLAN の割り当て

VLAN へのレイヤ 3 インターフェイスの設定

Guard モジュールとのセッションの確立

Guard モジュールのリブート

Guard モジュールの設定の確認

1 つのスイッチに対する複数の Guard モジュールの設定

ロード シェアリング

冗長性と高いアベイラビリティ

スーパーバイザ エンジンへの Guard モジュールの設定

この章では、スーパーバイザ エンジンへの Cisco Anomaly Guard Module(Guard モジュール)の設定方法について説明します。

Cisco Anomaly Guard Module(Guard モジュール)は Cisco IOS アプリケーション モジュールの 1 つで、次の製品のどちらかに設置できます。

Supervisor Engine 720(SUP720)、または Multilayer Switch Feature Card 2(MSFC2; マルチレイヤ スイッチ フィーチャ カード 2)を備えた Supervisor Engine 2(SUP2)が搭載された、Cisco Catalyst 6500 シリーズ スイッチ。Catalyst 6500 で Guard モジュールをサポートするには、IOS 12.2(18)SXD3 以降が必要です。

SUP720 が搭載された Cisco 7600 シリーズ ルータ。7600 シリーズ ルータで Guard モジュールをサポートするには、IOS 12.2(18)SXE 以降が必要です。

この章は、次の項で構成されています。

Guard モジュールの設置の確認

Guard モジュールの管理の設定

VLAN の設定

Guard モジュールへの VLAN の割り当て

VLAN へのレイヤ 3 インターフェイスの設定

Guard モジュールとのセッションの確立

Guard モジュールのリブート

Guard モジュールの設定の確認

1 つのスイッチに対する複数の Guard モジュールの設定

スーパーバイザに Guard モジュールを設定するには、EXEC 特権を保有し、設定モードに入る必要があります。

フラッシュ メモリへの設定変更をすべて保存するには、特権 EXEC モードで write memory コマンドを使用します。

Guard モジュールの設置の確認

スーパーバイザ エンジンで新しい Guard モジュールが認識され、オンラインになっていることを確認します。


) Catalyst 6500 シャーシ内に Guard モジュールを設置する方法については、『Cisco Anomaly Guard Module and Traffic Anomaly Detector Module Installation Note』を参照してください。


設置を確認するには、次の手順を実行します。


ステップ 1 スーパーバイザ エンジン コンソールにログインします。

ステップ 2 Guard モジュールがオンラインになっていることを確認します。次のコマンドを入力します。

show module

次の例は、 show module コマンドの出力を示しています。

Sup# show module
Mod Ports Card Type Model Serial No.
--- ----- -------------------------------------- ------------------ -----------
1 2 Catalyst 6000 supervisor 2(Active) WS-X6K-SUP2-2GE SAL081230TJ
... ...
6 3 Anomaly Guard module Module WS-SVC-AGM-1-K9 SAD081000GG
Mod MAC addresses Hw Fw Sw Status
--- -------------------------------- ----- ------- ----------- -------
...
6 000e.847f.fe04 to 000e.847f.fe0b 3.0 7.2(1) 4.0(0.10) Ok
...
Sup#

) Guard モジュールを初めて設置した場合、ステータスは通常 other になります。Guard モジュールが診断ルーチンを完了してオンラインになると、ステータスは Ok になります。Guard モジュールがオンラインになるまで、少なくとも 5 分かかります。



 

Guard モジュールの管理の設定

Guard モジュールとリモート管理セッションを確立するには、Guard モジュールの管理ポートを設定する必要があります。

管理のために VLAN を選択するには、次のコマンドを入力します。

anomaly-guard module module_number port port_number [allowed-vlan vlan_range | native-vlan vlan_id]

表 2-1 で、 anomaly-guard module コマンドの引数とキーワードについて説明します。

 

表 2-1 anomaly-guard コマンドの引数

パラメータ
説明

module_number

モジュールをシャーシに装着するためのスロットの番号(1 ~ 9)。

port_number

管理用に使用するポートの番号。Guard モジュールでは、管理用にポート 1 がサポートされています。

vlan_range

VLAN の範囲、またはカンマ区切りリストで指定するいくつかの VLAN(スペース文字を入力することはできません)。

vlan_id

802.1Q トランキング モードにおけるトランクのネイティブ VLAN を設定します。デフォルトのネイティブ VLAN は 1 です。

次の例は、シャーシの番号 4 のスロットに装着されたモジュールについて、管理のために VLAN 5 を選択する方法を示しています。

Sup(config)# anomaly-guard module 4 port 1 allowed-vlan 5

Guard モジュールとリモート管理セッションを確立するには、次の事項も Guard モジュールに設定する必要があります。

Guard モジュールの管理ポート インターフェイス eth1 を設定する。詳細については、「物理インターフェイスの設定」を参照してください。

関連するサービスをイネーブルにする。詳細については、「Guard モジュールのインターフェイスの設定」を参照してください。

VLAN の設定

トラフィックを Guard モジュールに転送するためのスーパーバイザ エンジンに VLAN を設定するには、次の手順を実行します。


ステップ 1 トラフィックを Guard モジュールに転送するためのスーパーバイザ エンジンに VLAN を設定します。詳細については、「スーパーバイザ エンジンへの VLAN の設定」を参照してください。

ステップ 2 Guard モジュールに VLAN を割り当てます。詳細については、「Guard モジュールへの VLAN の割り当て」を参照してください。

ステップ 3 (オプション)VLAN にレイヤ 3 インターフェイスを設定します。詳細については、「VLAN へのレイヤ 3 インターフェイスの設定」を参照してください。

ステップ 4 Guard モジュールのインターフェイスを設定します。 詳細については、「Guard モジュールのインターフェイスの設定」 を参照してください。


 

スーパーバイザ エンジンへの VLAN の設定

トラフィックを Guard モジュールに転送するには、スーパーバイザ エンジンに VLAN を設定する必要があります。スーパーバイザ エンジン上に VLAN を作成するには、vlan コマンドを入力し、Guard モジュールに割り当てる VLAN 範囲を定義します。次のコマンドを入力します。

vlan vlan_range

vlan_range 引数には、単一の番号、VLAN の範囲、またはカンマ区切りリスト形式の複数の VLAN を指定します(スペース文字を入力することはできません)。vlan_range は、1 つまたは複数の VLAN(1 ~ 4,094)となります。

Sup(config)# vlan 86-89,99
 

Guard モジュールへの VLAN の設定方法については、「VLAN の設定」を参照してください。

Guard モジュールへの VLAN の割り当て

Guard モジュールに VLAN を割り当てるには、Guard モジュールとイーサネット ポート間のマッピングについて理解する必要があります。このイーサネット ポートとは、Guard モジュールをスイッチ ファブリックに接続するものを指します。

Guard モジュールに VLAN を割り当てるには、スーパーバイザ エンジン プロンプトで次のコマンドを入力します。

anomaly-guard module module_number port port_number [allowed-vlan vlan_range | native-vlan vlan_id]

表 2-2 に、 anomaly-guard module コマンドの引数を示します。

 

表 2-2 anomaly-guard module コマンドの引数

パラメータ
説明

module_number

モジュールをシャーシに装着するためのスロットの番号(1 ~ 9)。

port_number

ポート番号(1 ~ 3)。ポート 1 は管理用に、ポート 2 はデータ用に使用されます。ポート 3 は現在使用されていません。

vlan_range

VLAN の範囲、またはカンマ区切りリストで指定するいくつかの VLAN(スペース文字を入力することはできません)。

vlan_id

802.1Q トランキング モードにおけるトランクのネイティブ VLAN を設定します。デフォルトのネイティブ VLAN は 1 です。

使用可能な VLAN の 1 つは、管理 VLAN である必要があります。デフォルトでは、VLAN 1 になっています。

Sup# anomaly-guard module 7 port 2 allowed-vlan 1,3,6-15

) Guard モジュールには、管理ポートとデータ ポートも設定する必要があります。詳細については、「物理インターフェイスの設定」を参照してください。


VLAN へのレイヤ 3 インターフェイスの設定

アプリケーションで必要な場合は、VLAN にレイヤ 3 インターフェイスを設定できます。


) レイヤ 3 インターフェイスを設定する前に、Guard モジュールに VLAN を割り当てる必要があります。


レイヤ 3 VLAN インターフェイスを設定するには、次の手順を実行します。


ステップ 1 VLAN インターフェイス設定モードに入ります。スーパーバイザ エンジン プロンプトで次のコマンドを入力します。

interface vlan vlan-id
 

vlan-id 引数 には、VLAN の番号を指定します。有効な値は 1 ~ 4,094 です。

ステップ 2 VLAN の IP アドレスを設定します。次のコマンドを入力します。

ip address ip_address subnet_mask
 

ip-addr 引数および subnet-mask 引数 には、インターフェイスの IP アドレスを指定します。

ステップ 3 インターフェイスをアクティブにします。次のコマンドを入力します。

no shutdown
 


 

sup (config)# interface vlan 5
sup (config-if)# ip address 192.168.89.100 255.255.255.0
sup (config-if)# no shutdown

Guard モジュールとのセッションの確立

Guard モジュールにログインするには、次の手順を実行します。


ステップ 1 Telnet またはコンソールでスイッチにログインします。

ステップ 2 スーパーバイザ エンジン プロンプトで次のコマンドを入力します。

session slot slot_number processor processor_number
 

表 2-3 に、 session slot コマンドの引数を示します。

 

表 2-3 session slot コマンドの引数

パラメータ
説明

slot-number

モジュールをシャーシに装着するためのスロットの番号(1 ~ 9)。

processor_number

Guard モジュールのプロセッサの番号。 Guard モジュールは、プロセッサ 1 を使用した管理だけをサポートします。

Guard モジュール ログイン プロンプトで、次のコマンドを入力してログインします。

login: admin
 

ステップ 3 パスワードを入力します。

Guard モジュールとセッションを初めて確立する場合は、admin ユーザ アカウントと riverhead ユーザ アカウントのパスワードを選択する必要があります。パスワードは、スペースを含まず、6 ~ 24 文字の長さである必要があります。パスワードは、いつでも変更できます。詳細については、「パスワードの変更」を参照してください。

ログインに成功すると、コマンドライン プロンプトの表示が user@GUARD# になります。このマニュアルでは、表記法としてこのプロンプトを使用します。 hostname コマンドを入力することにより、このプロンプトを変更できます。

 

Guard モジュールのリブート

Cisco IOS には、Guard モジュールを制御するコマンドとして、 boot shutdown、power enable、および reset が用意されています。


注意 スーパーバイザ エンジン レベルで reload コマンドを発行すると、シャーシ全体でリロードが発生し、そのシャーシ内のすべてのモジュールが影響を受けます。Guard モジュールをリロードする方法については、「Guard モジュールのリロード」を参照してください。

shutdown:すべてのデータを確保して、オペレーティング システムを正しくシャットダウンします。Guard モジュールの破損を避けるには、Guard モジュールを正しくシャットダウンする必要があります。スーパーバイザ エンジン プロンプトで次のコマンドを入力します。

hw-module module slot_number shutdown
 

slot_number 引数には、モジュールをシャーシに装着するためのスロットの番号を指定します。

次に、Guard モジュールを再起動するには、hw-module module module_number reset コマンドを入力する必要があります。

Sup# hw-module module 8 shutdown

) スイッチがリブートされると、Guard モジュールもリブートします。


reset:モジュールをリセットします。このコマンドは通常、アップグレード プロセスで、AP イメージと MP イメージとの切り替え、またはシャットダウンからの復旧のために使用します。hw-module reset コマンドは、モジュールの電源をいったん切った後で入れ、モジュールをリセットします。リセット プロセスには数分かかります。スーパーバイザ エンジン プロンプトで次のコマンドを入力します。

hw-module module slot_number reset [string]

slot_number 引数には、モジュールをシャーシに装着するためのスロットの番号を指定します。string 引数は、PC ブート シーケンス用のオプションの文字列です。MP にリセットするには cf:1 を、AP にリセットするには cf:4 を入力します。詳細については、「Guard モジュールのバージョンのアップグレード」を参照してください。

Sup# hw-module module 8 reset
 

no power enable:モジュールをシャットダウンして、シャーシから安全に除去できるようにします。スーパーバイザ エンジン プロンプトで次のコマンドを入力します。

no power enable module slot_number
 

slot_number 引数には、モジュールをシャーシに装着するためのスロットの番号を指定します。

モジュールをもう一度オンにするには、次のコマンドを入力します。

power enable module slot_number
 

Sup (config)# no power enable module 8
 

boot:次回の電源投入時に Guard モジュールをメンテナンス パーティション(MP)からブートさせます。スーパーバイザ エンジン プロンプトで次のコマンドを入力します。

boot device module slot_number cf:1
 

slot_number 引数には、モジュールをシャーシに装着するためのスロットの番号を指定します。

次回のブート サイクルで Guard モジュールをデフォルト パーティション(AP)からブートできるようにするには、次のコマンドを入力します。

no boot device module slot_number cf:1
 

Sup# boot device module 8 cf:1

注意 ゾーンのラーニング プロセスは、リブート後に再起動されます。リブート後のゾーンのデフォルト動作に関する詳細については、「Guard モジュールのリブート」を参照してください。

Guard モジュールの設定の確認

スーパーバイザ エンジンに対する Guard モジュールの設定を確認するには、スーパーバイザ エンジン プロンプトで次のコマンドを入力します。

show anomaly-guard module slot_number port port_number [state | traffic]

表 2-4 で、 show module コマンドの引数とキーワードについて説明します。

 

表 2-4 show module コマンドの引数

パラメータ
説明

slot-number

モジュールをシャーシに装着するためのスロットの番号(1 ~ 9)。

port_number

ポート番号(1 ~ 3)。ポート 1 は管理用に、ポート 2 はデータ用に使用されます。

state

指定のポートの設定を表示します。

traffic

指定のポートのトラフィック統計情報を表示します。

Sup# show anomaly-guard module 8 port 2 state
 

1 つのスイッチに対する複数の Guard モジュールの設定

スーパーバイザ エンジンが少なくとも 1 つ設置されていれば、1 つの Catalyst 6500 シリーズ スイッチに複数の Guard モジュールを設置できます。モジュールの正確な数については、該当するバージョンの リリース ノート を参照してください。

次の設定のどちらかに複数の Guard モジュールを設定できます。

ロード シェアリング

冗長性と高いアベイラビリティ

ロード シェアリング

ゾーン トラフィックを処理するための複数の Guard モジュールを設定できます。スーパーバイザ エンジンは、ゾーン トラフィックを Guard モジュール間に均等に分散させます。同じ宛先に対する複数のルートのコストが等しい場合、スーパーバイザ エンジンは必ずトラフィックを Guard モジュール間に均等に分散させます。

ロード シェアリング用に複数の Guard モジュールを設定するには、次の操作を行います。

すべての Guard モジュールにゾーンを定義する。詳細については、「ゾーンのアトリビュートの設定」を参照してください。

すべての Guard モジュールに、同じ宛先変更ハイジャックの重みを割り当てる。詳細については、「ハイジャック」を参照してください。

すべての Guard モジュールで、ゾーンに対する Guard モジュールのラーニング プロセスを同時にアクティブにする。詳細については、「ゾーン トラフィックの特性のラーニング」を参照してください。

すべての Guard モジュールでゾーンの保護をアクティブにする。詳細については、「ゾーンの保護」を参照してください。


) 半分以上の Guard モジュールにおいて機能が停止した場合、残りの Guard モジュールは、正当なトラフィックをゾーンに対する攻撃と見なす場合があります。


冗長性と高いアベイラビリティ

高いアベイラビリティを実現するために、2 つの Guard モジュール(または Guard モジュールのグループ)を設定できます。このようにすると、アクティブな Guard モジュールが使用不能になった場合に、スーパーバイザ エンジンがゾーン トラフィックをスタンバイ状態の Guard モジュールに宛先変更します。

スーパーバイザ エンジンは、より低コストのルート(重みが最小のルート)にトラフィックを転送します。アクティブな Guard へのルートがダウンしていることを検出した場合は、単に、冗長ルートにトラフィックを転送します。

Guard モジュールの冗長性を設定するには、次の操作を行います。

両方の Guard モジュールに同じゾーンを定義する。詳細については、「ゾーンのアトリビュートの設定」を参照してください。

アクティブな Guard モジュールに、より小さい宛先変更ハイジャックの重みを割り当てる。詳細については、「ハイジャック」を参照してください。

冗長 Guard モジュールに、より大きい宛先変更ハイジャックの重みを割り当てる。詳細については、「ハイジャック」を参照してください。

アクティブな Guard で Guard モジュールのラーニング プロセスをアクティブにする。詳細については、「ゾーン トラフィックの特性のラーニング」を参照してください。

ゾーン設定を冗長 Guard にコピーする。詳細については、「設定のエクスポート」および「設定のインポートとアップデート」を参照してください。

両方の Guard モジュールでゾーンの保護をアクティブにする。詳細については、「ゾーンの保護」を参照してください。