Cisco Traffic Anomaly Detector Module コンフィギュレーション ガイド (Software Release 5.1)
スーパーバイザ エンジンでの Detector モジュール の設定
スーパーバイザ エンジンでの Detector モジュールの設定
発行日;2012/02/28 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

スーパーバイザ エンジンでの Detector モジュールの設定

の設置確認

管理の設定

トラフィックをキャプチャするためのトラフィックの送信元の設定

VACL の設定

SPAN の設定

とのセッションの確立

のリブート

の設定の確認

スーパーバイザ エンジンでの Detector モジュールの設定

この章では、スーパーバイザ エンジンで Cisco Traffic Anomaly Detector Module(Detector モジュール)を設定する方法について説明します。Detector モジュールとのセッションを確立してこれを設定する前に、スーパーバイザ エンジンで Detector モジュールを設定しておく必要があります。

Cisco Traffic Anomaly Detector Module (Detector モジュール)は Catalyst 6500 シリーズ スイッチまたは 7600 シリーズ ルータにインストールできます。詳細については、「Cisco Traffic Anomaly Detector Module について」を参照してください。

この章は、次の項で構成されています。

Detector モジュールの設置確認

Detector モジュール管理の設定

トラフィックをキャプチャするためのトラフィックの送信元の設定

Detector モジュールとのセッションの確立

Detector モジュールのリブート

Detector モジュールの設定の確認

スーパーバイザで Detector モジュールを設定するには、EXEC 特権を持っており、設定モードである必要があります。

フラッシュ メモリへの設定変更をすべて保存するには、特権 EXEC モードで write memory コマンドを使用します。

Detector モジュールの設置確認

スーパーバイザ エンジンが新しい Detector モジュールを認識してオンラインにしたことを確認します。


) Catalyst 6500 スイッチに Detector モジュールを設置する方法については、『Cisco Anomaly Guard Module and Traffic Anomaly Detector Module Installation Note』を参照してください。


設置を確認するには、次の手順を実行します。


ステップ 1 スーパーバイザ エンジン コンソールにログインします。

ステップ 2 Detector モジュールがオンラインであることを確認します。次のコマンドを入力します。

show module

次の例は、 show module コマンドの出力を示しています。

Sup# show module
Mod Ports Card Type Model Serial No.
--- ----- -------------------------------------- ------------------ -----------
1 2 Catalyst 6000 supervisor 2(Active) WS-X6K-SUP2-2GE SAL081230TJ
... ...
6 3 Anomaly Detector module Module WS-SVC-adm-1-K9 SAD081000GG
Mod MAC addresses Hw Fw Sw Status
--- -------------------------------- ----- ------- ----------- -------
...
6 000e.847f.fe04 to 000e.847f.fe0b 3.0 7.2(1) 4.0(0.10) Ok
...
Sup
#

) Detector モジュールが初めてインストールされたときは、通常、ステータスは「other」です。Detector モジュールが診断ルーチンを完了してオンラインになると、ステータスは「OK」になります。Detector モジュールがオンラインになるまでは少なくとも 5 分間はかかります。



 

Detector モジュール管理の設定

Detector モジュールとのリモート管理セッションを確立するには、Detector モジュールの管理ポートを設定する必要があります。

管理のために VLAN を選択するには、次のコマンドを使用します。

anomaly-detector module module_number management-port access-vlan vlan_number

表2-1 で、 anomaly-detector module コマンドの引数とキーワードについて説明します。

 

表2-1 module コマンドの引数とキーワード

パラメータ
説明

module_number

モジュールをシャーシに装着するためのスロットの番号(1 ~ 9)。

vlan_number

管理に使用する VLAN ID を設定します。

次の例は、シャーシの番号 4 のスロットに装着されたモジュールについて、管理のために VLAN 5 を選択する方法を示しています。

Sup(config)# anomaly-detector module 4 management-port access-vlan 5
 

Detector モジュールとのリモート管理セッションを確立するには、Detector モジュールで、次のような設定も必要になります。

Detector モジュールの管理ポート インターフェイス eth1 を設定する。「物理インターフェイスの設定」を参照してください。

関連するサービスをイネーブルにする。「Detector モジュールの管理」を参照してください。

トラフィックをキャプチャするためのトラフィックの送信元の設定

ゾーンに送信されるトラフィックをキャプチャし、そのコピーを Detector モジュールに渡すようにスイッチを設定する必要があります。Detector モジュールは、自身を通過するネットワーク トラフィックを分析し、そのトラフィックを監視して、進化し続ける攻撃パターンがないか調べます。

次のいずれかの方法を使用して、ネットワーク トラフィックを Detector モジュールに渡すことができます。

SPAN:1 つまたは複数の送信元ポートで受信、送信、または送受信されたトラフィックを分析のために宛先ポートにキャプチャする。Detector モジュールは、SPAN セッション用に 1 つの宛先ポートを提供します。詳細については、「SPAN の設定」を参照してください。

VLAN access list(VACL; VLAN アクセス リスト):WAN インターフェイスまたは VLAN から Detector モジュールのデータ ポートにトラフィックを転送します。これは、同じ目的での SPAN の使用に代わる方法です。1 つの VLAN または複数の VLAN からのトラフィックをキャプチャするように VACL を設定できます。詳細については、「VACL の設定」を参照してください。

SPAN の詳細については、『 Catalyst 6500 Series Switch Software Configuration Guide 』または『 Cisco 7600 Series Router Software Configuration Guide 』の「SPAN および RSPAN の設定」を参照してください。

VACL の詳細については、『 Catalyst 6500 Series Switch Software Configuration Guide 』または『 Cisco 7600 Series Router Software Configuration Guide 』の「VLAN ACL の設定」を参照してください。

Detector モジュールで監視するために、1 つの VLAN または複数の VLAN からのトラフィックをキャプチャできます。特定の VLAN からのトラフィックだけを監視する場合は、監視しない VLAN をキャプチャ機能から消去する必要があります。

VACL の設定

1 つの VLAN または複数の VLAN からの Detector モジュール用トラフィックをキャプチャするように VACL を設定できます。

VLAN 上の Detector モジュール用トラフィックをキャプチャするように VACL を設定するには、次の手順を実行します。


ステップ 1 access list(ACL; アクセス リスト)を定義し、permit 文および deny 文(あるいはそのいずれか)によって access-control entry(ACE; アクセスコントロール エントリ)を追加します。次のコマンドを入力します。

ip access-list {standard | extended} acl-name
 

表2-2 で、 ip access-list コマンドの引数とキーワードについて説明します。

 

表2-2 ip access-list コマンドの引数とキーワード

パラメータ
説明

standard

標準の IP アクセス リストを指定します。

extended

拡張 IP アクセス リストを指定します。

acl-name

ACL の名前。名前には、スペースも疑問符も使用できません。また、番号付きアクセス リストと明確に区別するために、名前はアルファベット文字で始める必要があります。


) 代わりに、access-list コマンドを使用することもできます。


ステップ 2 VLAN アクセス マップを定義します。次のコマンドを入力します。

vlan access-map map_name [0-65535]
 

map_name 引数には、 アクセス マップの名前タグを指定します。シーケンス番号を指定できます。シーケンス番号を指定しない場合は、番号が自動的に割り当てられます。このコマンドを実行すると、VLAN アクセス マップ設定モードに入ります。

マップ シーケンスごとに 1 つの match 句と 1 つの action 句を入力できます。

ステップ 3 VLAN アクセス マップ シーケンスに match 句を設定します。次のコマンドを入力します。

match ip address {acl_number | acl_name}
 

表2-3 で、 match ip address コマンドの引数とキーワードについて説明します。

 

表2-3 match ip address コマンドの引数

パラメータ
説明

acl_number

VLAN アクセス マップ シーケンス用の 1 つまたは複数の IP ACL を選択します。有効な値は、1 ~ 199 および 1300 ~ 2699 です。

acl_name

IP ACL を名前で選択します。

ステップ 4 ネットワーク トラフィックを転送するように、VLAN アクセス マップ シーケンスに action 句を設定します。次のコマンドを入力します。

action forward capture
 

ステップ 5 VLAN インターフェイスに VLAN アクセス マップを適用します。次のコマンドを入力します。

vlan filter map_name vlan-list vlan_list
 

表2-4 に、 vlan filter コマンドの引数とキーワードを示します。

 

表2-4 vlan filter コマンドの引数とキーワード

パラメータ
説明

map_name

VLAN アクセス マップ タグ。

vlan-list vlan_list

VLAN リスト。有効な値は、1 ~ 4094 です。

ステップ 6 (オプション)キャプチャフラグの付いたトラフィックをキャプチャするように Detector モジュールのデータ ポートを設定します。データ ポートを指定しない場合、Detector はすべての VLAN からのトラフィックのキャプチャをイネーブルにします。

次のコマンドを入力します。

anomaly-detector module slot_number data-port port_number capture allowed-vlan vlan_range
 

表2-5 で、 anomaly-detector module capture コマンドの引数とキーワードについて説明します。

 

表2-5 anomaly-detector module capture コマンドの引数とキーワード

パラメータ
説明

slot_number

モジュールをシャーシに装着するためのスロットの番号(1 ~ 9)。

data-port port_number

データ用に使用するポートの番号。Detector モジュールでは、データ用にポート 2 がサポートされています。

allowed-vlan vlan_range

VLAN の範囲、またはカンマ区切りリストで指定するいくつかの VLAN(スペース文字を入力することはできません)。

ステップ 7 Detector モジュールでキャプチャ機能をイネーブルにします。

次のコマンドを入力します。

anomaly-detector module module_number data-port port_number capture
 

表2-6 で、 anomaly-detector module capture コマンドの引数とキーワードについて説明します。

 

表2-6 anomaly-detector module capture コマンドの引数とキーワード

パラメータ
説明

module_number

モジュールをシャーシに装着するためのスロットの番号(1 ~ 9)。

data-port port_number

データ用に使用するポートの番号。Detector モジュールでは、データ用にポート 1 がサポートされています。


) Detector モジュールのデータ ポートを SPAN 宛先ポートとキャプチャ ポートの両方として設定することはできません。



 

次の例は、VLAN の Detector モジュール トラフィックをキャプチャするための VACL の設定方法を示しています。

Sup (config)# ip access-list extended 10
Sup (config-ext-nacl)# vlan access-map Detector 10
Sup (config-ext-nacl)# match ip address 10
Sup (config-ext-nacl)# action forward capture
Sup (config-ext-nacl)# exit
Sup (config)# vlan filter Detector vlan-list 85
Sup (config)# anomaly-detector module 8 data-port 2 capture
 

SPAN の設定

スーパーバイザ エンジン コンソールで特権 EXEC モードから次の手順を実行し、SPAN セッションを作成して、送信元(監視される)ポートと宛先(監視する)ポートを指定します。


) Detector モジュールのポートを SPAN の送信元ポートとして使用することはできません。



ステップ 1 SPAN セッションおよび送信元ポート(監視されるポート)を指定します。次のコマンドを入力します。

monitor session session_number source interface interface-id [, | -] [rx | tx]
 

表2-7 で、 monitor session コマンドの引数とキーワードについて説明します。

 

表2-7 monitor session source コマンドの引数とキーワード

パラメータ
説明
session_number

セッションの識別番号。

interface interface-id

監視対象の送信元ポート。有効なインターフェイスには、物理インターフェイスおよびポートチャネル論理インターフェイス(port-channel port-channel-number)が含まれます。

, | -

(オプション)一連のインターフェイスまたはインターフェイス範囲を指定します。カンマの前後およびハイフンの前後にはスペースを入力します。

rx | tx

(オプション)監視対象のトラフィックの方向を指定します。トラフィックの方向を指定しない場合、送信元インターフェイスは、送信トラフィックと受信トラフィックの両方を送信します。


注意 Detector モジュールは、指定されたすべての方向のトラフィックのキャプチャを受信します。rx と tx の両方を指定しないでください。両方を指定すると、パケットの 2 つのコピーが Detector モジュールのポートに転送され、パフォーマンスが低下する可能性があります。

rx:受信トラフィックを監視します。

tx:送信トラフィックを監視します。

ステップ 2 SPAN セッションおよび宛先ポート(監視するポート)を指定します。次のコマンドを入力します。

monitor session SPAN_session_number destination anomaly-detector-module module_number [data-port port]
 

表2-8 で、 monitor session destination コマンドの引数とキーワードについて説明します。

 

表2-8 monitor session destination コマンドの引数とキーワード

パラメータ
説明

SPAN_session_number

インターフェイスの識別番号。 1 と指定します。

anomaly-detector-module module-number

モジュールをシャーシに装着するためのスロットの番号(1 ~ 9)。

data-port port

データのキャプチャに使用するポートの番号。Detector モジュールでは、データ用にポート 1 がサポートされています。

ステップ 3 特権 EXEC モードに戻ります。次のコマンドを入力します。

end
 

ステップ 4 エントリを確認します。次のコマンドを入力します。

show monitor [session session_number]
 

session_number 引数には、セッション識別番号を指定します。


 

次の例は、SPAN セッションとしてセッション 1 を設定し、送信元ポートから宛先ポートへのトラフィックを監視する方法を示しています。双方向トラフィックが送信元ポート 1 から Detector モジュールにミラーリングされます。

Sup(config)# monitor session 1 source interface GigabitEthernet 1/2 rx
Sup(config)# monitor session 1 destination anomaly-detector-module 4 data-port 2
 

Detector モジュールとのセッションの確立

Detector モジュールにログインするには、次の手順を実行します。


ステップ1 Telnet セッションまたはコンソールのログ セッションを確立してスイッチにログインします。

ステップ2 スーパーバイザ エンジン プロンプトで次のコマンドを入力します。

session slot slot_number processor processor_number
 

表2-9 で、 session slot コマンドの引数とキーワードについて説明します。

 

表2-9 session slot コマンドの引数とキーワード

パラメータ
説明

slot-number

モジュールをシャーシに装着するためのスロットの番号(1 ~ 9)。

processor processor_number

Detector モジュールのプロセッサの番号。 Detector モジュールは、プロセッサ 1 を介した管理だけをサポートします。

ステップ 3 次のように、 Detector モジュール のログイン プロンプトでログインします。

login: admin
 

ステップ4 パスワードを入力します。

Detector モジュールとのセッションを初めて確立している場合は、admin ユーザ アカウントおよび riverhead ユーザ アカウントのパスワードを選択する必要があります。パスワードは、スペースを含まず、6 ~ 24 文字にする必要があります。パスワードは、いつでも変更できます。詳細については、「自分のパスワードの変更」を参照してください。

ログインに成功すると、コマンドライン プロンプトが user@DETECTOR# と表示されます。 hostname コマンドを入力することにより、このプロンプトを変更できます。

 

Detector モジュールのリブート

Detector モジュールを制御するために、Cisco IOS には boot shutdown、 power enable および reset というコマンドが用意されています。


注意 スーパーバイザ エンジン プロンプトで reload コマンドを入力すると、シャーシ全体でリロードが発生し、そのシャーシ内のすべてのモジュールが影響を受けます。Detector モジュールをリロードする方法については、「Detector モジュールのリロード」を参照してください。

shutdown:オペレーティング システムを正常に停止させ、データが失われないことを保証します。Detector モジュールの破損を防ぐため、Detector モジュールを正常にシャットダウンすることが重要です。スーパーバイザ エンジン プロンプトで次のコマンドを入力します。

hw-module module slot_number shutdown
 

slot_number 引数には、モジュールが挿入されているシャーシ内のスロットの番号を指定します。

その後、hw-module module module_number reset コマンドを入力して、Detector モジュールを再起動する必要があります。

次の例は、Detector モジュールをシャットダウンする方法を示しています。

Sup# hw-module module 8 shutdown
 

) スイッチをリブートすると、Detector モジュールがリブートします。


reset:モジュールをリセットします。このコマンドは通常、アップグレード プロセスで、アプリケーション パーティション(AP)イメージとメンテナンス パーティション(MP)イメージとの切り替え、またはシャットダウンからの復旧のために使用します。hw-module reset コマンドは、モジュールの電源をいったん切った後で入れ、モジュールをリセットします。リセット プロセスには数分かかります。スーパーバイザ エンジン プロンプトで次のコマンドを入力します。

hw-module module slot_number reset [string]

slot_number 引数には、モジュールが挿入されているシャーシ内のスロットの番号を指定します。string 引数は PC ブート シーケンス用のオプションの文字列です。MP にリセットするには cf:1 を、AP にリセットするには cf:4 を入力します。詳細については、「Detector モジュール ソフトウェアのアップグレード」を参照してください。

次の例は、Detector モジュールをリセットする方法を示しています。

Sup# hw-module module 8 reset
 

no power enable:モジュールをシャットダウンし、シャーシから安全に取り外すことができるようにします。スーパーバイザ エンジン プロンプトで次のコマンドを入力します。

no power enable module slot_number
 

slot_number 引数には、モジュールが挿入されているシャーシ内のスロットの番号を指定します。

モジュールをもう一度オンにするには、次のコマンドを使用します。

power enable module slot_number
 

次の例は、Detector モジュールをシャットダウンする方法を示しています。

Sup (config)# no power enable module 8
 

boot:次回電源投入時に Detector モジュールを強制的に MP からブートさせます。スーパーバイザ エンジン プロンプトで次のコマンドを入力します。

boot device module slot_number cf:1
 

slot_number 引数には、モジュールが挿入されているシャーシ内のスロットの番号を指定します。

Detector モジュールが次のブート サイクルでデフォルト パーティション(AP)からブートできるようにするには、スーパーバイザー エンジン プロンプトで 次のコマンドを使用します。

no boot device module slot_number cf:1
 

次の例は、次のブート サイクルで Detector モジュールが AP からブートするための設定方法を示しています。

Sup# boot device module 8 cf:1
 

注意 ゾーンのラーニング フェーズは、リブート後に再起動されます。リブート後のゾーンのデフォルト動作の詳細については、「Detector モジュールのリブートおよびゾーンの非アクティブ化」を参照してください。

Detector モジュールの設定の確認

スーパーバイザ エンジンで Detector モジュールの設定を確認するには、スーパーバイザ エンジン プロンプトで次のコマンドを使用します。

show anomaly-detector module slot_number {management-port | data-port port_number} [ state | traffic ]

表2-10 で、 show module コマンドの引数とキーワードについて説明します。

 

表2-10 show module コマンドの引数とキーワード

パラメータ
説明

slot-number

モジュールをシャーシに装着するためのスロットの番号(1 ~ 9)。

management-port

管理ポートの情報。

data-port port_number

ポート番号。ポート 1 だけが使用されています。

state

指定のポートの設定。

traffic

指定のポートのトラフィック統計情報。

次の例は、スーパーバイザ エンジンでのDetector モジュールの設定を表示する方法を示しています。

Sup# show anomaly-detector module 7 data-port 1 state