Cisco IOS セキュリティ コンフィギュレーション ガイド: コントロール プレーン セキュリティ
コントロール プレーン ロギング
コントロール プレーン ロギング
発行日;2012/02/05 | 英語版ドキュメント(2010/11/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

コントロール プレーン ロギング

この章の構成

コントロール プレーン ロギングの前提条件

コントロール プレーン ロギングの制約事項

コントロール プレーン ロギングに関する情報

グローバル コントロール プレーン ロギング

機能固有/クラス固有ロギング

コントロール プレーン インターフェイスでのロギングの設定方法

グローバル ロギングの設定

パケット ロギング分類基準の定義

ロギング ポリシー マップの定義

コントロール プレーン インターフェイスでのロギング サービス ポリシーの作成

機能固有/クラス固有ロギングの設定

制約事項

コントロール プレーン ロギング情報の確認

コントロール プレーン ロギングの確認の例

コントロール プレーン ロギングの設定例

廃棄パケットと許可パケットのグローバル コントロール プレーン ロギングの設定例

廃棄パケットのグローバル コントロール プレーン ロギングの設定例

特定クラスのロギングの設定例

ポートフィルタ ポリシー マップのロギングの設定例

その他の関連資料

関連マニュアル

標準

MIB

RFC

テクニカル サポート

コマンド リファレンス

コントロール プレーン ロギングの機能情報

コントロール プレーン ロギング

Cisco IOS コントロール プレーン保護機能では、ルータのコントロール プレーンに送信されるパケットをフィルタリングおよびレート制限することで、悪意のあるパケットやエラー パケットを廃棄できます。コントロール プレーン ロギング機能の追加により、これらの機能で廃棄または許可されたパケットをロギングできるようになります。機能またはクラスの制限なしに、コントロール プレーンで処理されるすべてまたは一部のパケットに対してロギングをオンにできます。あるいは、コントロール プレーン ポリシング、ポートフィルタリング、キューしきい値などの特定のコントロール プレーン保護機能に対してロギングをイネーブルにすることもできます。コントロール プレーン ロギング機能は、コントロール プレーン保護機能を効率的に展開、監視、およびトラブルシューティングするために必要なロギング メカニズムを提供します。

このモジュール内の機能情報の確認

ご使用の Cisco OS ソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。このモジュールで説明される特定機能に関する情報へのリンク、および各機能がサポートされるリリースの一覧については、「コントロール プレーン ロギングの機能情報」を参照してください。

プラットフォームと Cisco IOS および Catalyst OS ソフトウェア イメージのサポート情報の検索

プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

コントロール プレーン ロギングの前提条件

コントロール プレーン ポリシングの原理とコントロールプレーン トラフィックの分類方法を理解している。

コントロール プレーン ポリシング、ポートフィルタリング、およびキューしきい値を含め、コントロール プレーン保護の概念と一般的な設定手順を理解している。

ルータに Quality of Service(QoS)ポリシーを適用するための概念およびその一般的な設定手順を理解している(クラス マップとポリシー マップ)。

コントロール プレーン ポリシングおよびその機能の詳細については、『 Control Plane Policing 』モジュールを参照してください。

コントロール プレーン保護およびその機能の詳細については、『 Control Plane Protection 』モジュールを参照してください。

Cisco IOS QoS の詳細および Modular Quality of Service(QoS)Command-Line Interface(CLI; コマンドライン インターフェイス)(MQC; モジュラ QoS コマンドライン インターフェイス)を使用してご使用のネットワークに QoS を設定する手順の詳細については、『 Applying QoS Features Using the MQC 』モジュールを参照してください。

コントロール プレーン ロギングの制約事項

コントロール プレーン ロギング機能では、コントロールプレーン パケットだけがロギングされます。この機能では、非コントロールプレーン インターフェイス上のルータを経由するデータプレーン トラフィックはロギングされません。

コントロール プレーン ロギング機能では、IPv4 パケットだけがロギングされます。IPv6 パケットのロギングは、サポートされていません。

コントロール プレーン ロギングは、コントロール プレーン保護をサポートするプラットフォーム上でだけサポートされます。

Management Plane Protection(MPP; 管理プレーン保護)機能により許可または廃棄されたパケットは、グローバル コントロール プレーン ロギング メカニズム経由でだけロギングできます。機能固有/クラス固有コントロール プレーン ロギングを使用して MPP トラフィックをロギングすることはできません。

グローバル コントロール プレーン ロギングでは、集約コントロールプレーン インターフェイスにコントロール プレーン ポリシングが適用されたことにより発生する廃棄パケットやエラー パケットだけをロギングできます。許可されたパケットをロギングするには、グローバル コントロールプレーン ロギング ポリシーをホスト、中継、または CEF 例外コントロールプレーン サブインターフェイスに適用するか、機能固有/クラス固有ロギングを使用する必要があります。

コントロール プレーンを通過するパケットは、この機能を使用して 1 回だけロギングできます。ログ メッセージで出力されるステート(PERMIT または DROP)は、コントロール プレーン上でのそのパケットの最終ステートです。たとえば、コントロールプレーン保護ポリシーが集約コントロールプレーン インターフェイス上とホスト コントロールプレーン サブインターフェイス上に別々に存在し、両方ともロギングがイネーブルになっている場合、両方の機能で許可されるパケットは、1 回だけロギングされます(ステートは PERMIT)。つまり、パケットに対して PERMIT ステートがロギングされた場合、そのパケットは、すべてのコントロールプレーン保護機能で許可されたことになります。

コントロールプレーン トラフィックをロギングすればコントロールプレーン トラフィックを詳細に調べるのに役立ちますが、コントロールプレーン トラフィックを過剰にロギングすると、ログ エントリの数が膨大になり、場合によってはルータの CPU 使用率が高くなります。コントロール プレーン ロギングは、コントロールプレーン トラフィックと機能の分類、監視、およびトラブルシューティングに必要なときにだけ短時間使用します。

コントロール プレーン ロギングに関する情報

コントロール プレーン ロギング機能を設定するには、次の概念を理解しておく必要があります。

「グローバル コントロール プレーン ロギング」

「機能固有/クラス固有ロギング」

グローバル コントロール プレーン ロギング

グローバル コントロール プレーン ロギングとは、コントロール プレーンで処理されるすべてまたは一部のパケットを、機能またはクラスの制限なしにロギングできる機能です。この機能を使用して、コントロール プレーン保護機能により許可または廃棄されるすべて(あるいは一部)のトラフィックをロギングできます。ロギングするパケットは、複数の一致基準(入力インターフェイス、発信元 IP アドレス、または宛先 IP アドレス)に基づいてフィルタリングできます。サポートされる一致基準の一覧については、「コントロール プレーン インターフェイスでのロギングの設定方法」を参照してください。

ロギング ポリシーでも、パケットに対してコントロール プレーン機能(コントロール プレーン ポリシング、ポートフィルタリング、またはプロトコルごとのキューしきい値)により実行されるアクション(廃棄または許可)に基づいてパケットをロギングできます。チェックサム エラーが原因でコントロールプレーン インフラストラクチャにより廃棄されるパケットにも、フィルタリングとロギングを実行できます。ロギングされるパケットの種類を「許可」、「廃棄」、または「エラー」アクション一致基準によって指定していなければ、すべてのパケット(許可、廃棄、およびエラー)がロギングの対象となります。

デフォルトでは、ログ メッセージに、発信元 IP アドレス、宛先 IP アドレス、プロトコル名(IP/TCP/UDP)、アクション(許可、廃棄、エラー)、およびポート番号が含まれます。さらに、IP ヘッダー内の他のフィールド(TTL やパケット長など)のロギングをイネーブルにすることをログ アクションで設定することもできます。また、ログ メッセージが作成されるレート制限間隔(2 つのメッセージのロギング間隔)を設定することもできます。

グローバル コントロール プレーン ロギング機能は、新しい MQC クラスマップ、ポリシーマップ、およびサービスポリシーのタイプを使用して設定され、集約コントロールプレーン インターフェイスまたは特定のコントロールプレーン サブインターフェイス(ホスト、中継、または CEF 例外)に適用できます。

機能固有/クラス固有ロギング

機能固有/クラス固有ロギングでは、特定のクラスに一致するパケットと特定のコントロール プレーン保護機能(コントロール プレーン ポリシング、ポートフィルタリング、またはプロトコルごとのキューしきい値)で処理されるパケットだけが追跡されます。このタイプのロギングは、コントロールプレーン インターフェイス上のすべてのパケットをロギングできるグローバル ロギングとは異なります。グローバル ロギングでは、コントロール プレーン保護機能ポリシー内の個々のクラスと一致するトラフィックを区別できません。グローバル ロギングは、たとえば、コントロールプレーン インターフェイス全体で廃棄されるすべてのパケットだけをロギングできます。一方、機能固有/クラス固有ロギングでは、特定のクラスに一致するパケットと特定のコントロール プレーン保護機能で処理されるパケットが抽出されます。コントロール プレーン保護の展開の初期段階では、特定のクラスに一致するパケットについて詳細を知る必要があるときに、機能固有/クラス固有ロギングが非常に役立つ場合があります。たとえば、どのようなトラフィックが class-default クラスと一致しているかがわかれば、分類から漏れているパケットを考慮するためにクラス マップまたはポリシー マップを修正するときや攻撃の特徴を調べるときに役立ちます。

機能固有/クラス固有ロギングでは、機能固有のロギングが提供され、特定のコントロールプレーン インターフェイス上の特定の機能(たとえば、コントロールプレーン ホスト インターフェイス上のポートフィルタリング)のパケットをロギングできるようになります。

機能固有/クラス固有ロギングでは、コントロールプレーン インターフェイスに適用されたコントロール プレーン保護機能サービス ポリシーのクラス マップを通過するパケットをロギングできます。ある機能(コントロール プレーン ポリシングなど)がコントロールプレーン インターフェイスに適用される場合、その機能のポリシー マップ内で定義されたクラスに対して実行されるアクションの 1 つとして機能固有/クラス固有ロギングを追加できます。ロギングがポリシー マップ内のクラスに対するアクションとして追加されると、そのクラスに一致するすべてのパケットがロギングされます。フィルタリングされるパケットは、機能クラス マップがサポートするものだけです。ロギングを指定しても、追加の分類が行われることはありません。 log アクション キーワードは、クラスに他のポリシング アクションが定義されていなくても単体で追加できます。あるいは、クラスに定義されているポリシングまたは廃棄アクションに追加して定義することもできます。 log キーワードがポリシー マップ内のクラスに対するアクションとして追加されると、そのクラスに一致するすべてのパケット(許可または廃棄される)がロギングされます。

デフォルトでは、ログ メッセージに、発信元 IP アドレス、宛先 IP アドレス、プロトコル名(IP/TCP/UDP)、アクション(許可、廃棄、エラー)、およびポート番号が含まれます。さらに、IP ヘッダー内の他のフィールド(TTL やパケット長など)のロギングをイネーブルにすることをログ アクションで設定することもできます。また、ログ メッセージが作成されるレート制限間隔(2 つのメッセージのロギング間隔)を設定することもできます。

コントロール プレーン インターフェイスでのロギングの設定方法

グローバル ロギングまたは機能固有/クラス固有ロギングのためにコントロール プレーン ロギングを設定できます。

「グローバル ロギングの設定」

「機能固有/クラス固有ロギングの設定」

「コントロール プレーン ロギングの確認の例」

グローバル ロギングの設定

グローバル コントロール プレーン ロギングをサポートするために、新しい MQC クラスマップ タイプ、ポリシーマップ タイプ、およびサービスポリシー タイプが作成されました。ポリシーマップ タイプ ロギングは、グローバル コントロール プレーン ロギング ポリシーに対してだけ使用されます。クラスマップ タイプ ロギングは、どのようなタイプのコントロールプレーン トラフィックをロギングするか分類するために使用されます。ロギング タイプ クラス マップは、一部の一般的な QoS 一致基準といくつかのコントロールプレーン固有の一致基準をサポートします。サポートされる一致基準は 次のとおりです。

入力インターフェイス

IPv4 送信元 IP アドレス

IPv4 宛先 IP アドレス

廃棄されるパケット

許可されるパケット

エラー パケット

パケットアクション フィルタ(廃棄されるパケット、許可されるパケット、またはエラー パケット)のいずれかを指定しなければ、すべての一致パケットがそれらに実行されるアクションに関係なくロギングされます。

また、ロギング タイプ ポリシー マップで唯一サポートされるアクションはログです。 log アクション キーワードの設定と動作は、グローバル ロギングの場合と機能固有/クラス固有ロギングの場合で同じです。log アクション キーワードに対して使用可能なオプションは、次のとおりです。

interval:パケット ロギング インターバルを設定します。

ttl:IPv4 パケットの TTL をロギングします。

total-length:IPv4 パケットのパケット長をロギングします。

グローバル ロギングを設定するための作業は、次のとおりです。

「パケット ロギング分類基準の定義」(必須)

「ロギング ポリシー マップの定義」(必須)

「コントロール プレーン インターフェイスでのロギング サービス ポリシーの作成」(必須)


) ロギング ポリシーは、コントロール プレーン、コントロールプレーン ホスト、コントロールプレーン中継、およびコントロールプレーン CEF 例外インターフェイスに適用できます。


パケット ロギング分類基準の定義

グローバル ロギングを設定する場合、先にパケット ロギング分類基準を定義する必要があります。

制約事項

グローバル ロギング ポリシーはコントロール プレーン インターフェイスにだけ適用できます。

手順の概要

1. enable

2. configure terminal

3. class-map [ type { stack | access-control | port-filter | queue-threshold | logging } ] [ match-all | match-any ] class-map-name

4. match [ input-interface | ipv4 source-address | ipv4 destination-address | not input-interface | packets permitted | packets dropped | packets error ]

5. end

詳細手順

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

class-map [type {stack | access-control | port-filter | queue-threshold | logging}] [match-all | match-any] class-map-name

 

Router(config)# class-map type logging match-all log-class

指定したクラスとパケットを照合するために使用されるクラス マップを作成し、クラスマップ コンフィギュレーション モードを開始します。次のキーワードと引数をコントロール プレーン ロギングに使用できます。

type :(任意)クラスマップ タイプを指定します。コントロール プレーン ロギング コンフィギュレーションには、 logging キーワード を使用します。

match-all :(任意)一致基準の論理積をとります。

match-any :(任意)一致基準の論理和をとります。

class-map name :クラスの名前。この名前には、40 文字までの英数字を使用できます。

ステップ 4

match [ input-interface | ipv4 source-address | ipv4 destination-address | not input-interface | packets permitted | packets dropped | packets error ]

 

Router(config-cmap)# match packets dropped

ロギング クラス マップ用の一致基準を定義します。

ステップ 5

end

 

Router(config-cmap)# end

クラスマップ コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

ロギング ポリシー マップの定義

グローバル ロギングのパケット ロギング基準を定義した後、ロギング ポリシー マップを定義する必要があります。

グローバル ロギング ポリシー マップを設定するには、新しい policy-map type logging コンフィギュレーション コマンドを使用します。その後、 class-map type logging コマンドで設定したロギング クラスマップを、 class コマンドを使用してロギング ポリシー マップに関連付けます。このポリシー マップに関連付けたクラスに対し、 log キーワードを使用してログ アクションを設定します。 class コマンドは、ポリシーマップ コンフィギュレーション モードを開始した後に実行しなければなりません。 class コマンドを入力した後、自動的にポリシーマップ クラス コンフィギュレーション モードが開始されます。アクション log は、ポリシーマップ クラス コンフィギュレーション モード時に設定できます。

制約事項

グローバル ロギング ポリシーはコントロール プレーン インターフェイスにだけ適用できます。

手順の概要

1. enable

2. configure terminal

3. policy-map [ type { stack | access-control | port-filter | queue-threshold | logging} ] policy-map-name

4. class class-name

5. log [ interval seconds | total-length | ttl]

6. end

詳細手順

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

policy-map [type {stack | access-control | port-filter | queue-threshold | logging}] policy-map-name

 

Router(config)# policy-map type logging log-policy

ロギング サービス ポリシーを作成し、ポリシーマップ コンフィギュレーション モードを開始します。

type :(任意)ポリシーマップ タイプを指定します。コントロール プレーン ロギング コンフィギュレーションには、 logging キーワードを使用します。

policy-map-name :ポリシー マップの名前。この名前には、40 文字までの英数字を使用できます。

ステップ 4

class class-name

 

Router(config-pmap)# class log-class

クラスをポリシー マップに関連付け、クラスマップ コンフィギュレーション モードを開始します。

class-name :タイプ ロギングのクラスの名前。この名前には、40 文字までの英数字を使用できます。

ステップ 5

log [interval seconds | total-length | ttl]

 

Router(config-pmap-c)# log interval 1000

ログ アクションをロギング クラスに適用します。このコマンドでは、次のオプションのパラメータを入力できます。

interval seconds (任意) パケット ロギング インターバルを設定します。

total-length (任意) IPv4 パケットのパケット長をロギングします。

ttl (任意) IPv4 パケットの TTL をロギングします。

ステップ 6

end

 

Router(config-pmap-c)# end

クラスマップ コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

コントロール プレーン インターフェイスでのロギング サービス ポリシーの作成

ロギング サービス ポリシーを定義した後、そのポリシーを特定のコントロール プレーン インターフェイスに適用する必要があります。

制約事項

グローバル ロギング ポリシーはコントロール プレーン インターフェイスにだけ適用できます。

手順の概要

1. enable

2. configure terminal

3. control-plane [ host | transit | cef-exception | cr ]

4. service-policy type logging input logging-policy-map-name

5. end

詳細手順

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

control-plane [ host | transit | cef-exception | cr]
 

Router(config)# control-plane host

コントロールプレーン コンフィギュレーション モードを開始します。

host :(任意)ポリシーをコントロールプレーン ホスト サブインターフェイスに適用します。

transit :(任意)ポリシーをコントロールプレーン中継サブインターフェイスに適用します。

cef-exception :(任意)ポリシーをコントロールプレーン CEF 例外サブインターフェイスに適用します。

cr :(任意)ポリシーをすべてのコントロールプレーン インターフェイスに適用します。

ステップ 4

service-policy type logging input logging-policy-map-name

 

Router(config-cp)# service-policy type logging input log-policy

ロギング ポリシーをコントロールプレーン インターフェイスに適用します。

input :指定したサービス ポリシーをコントロール プレーンで受信されるパケットに適用します。

logging-policy-map-name :付加されるロギング ポリシー マップ( policy-map コマンドで作成)の名前。この名前には、40 文字までの英数字を使用できます。

ステップ 5

end

 

Router(config-cp)# end

コントロールプレーン コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

機能固有/クラス固有ロギングの設定

機能固有/クラス固有コントロール プレーン ロギングは、シスコのコントロール プレーン保護機能(プロトコルごとのキューしきい値、ポートフィルタ、コントロール プレーン ポリシングなど)の一部として実装されるものであり、各機能のポリシー マップ内のアクションとして組み込まれます。機能固有/クラス固有コントロール プレーン ロギングをイネーブルにするには、ログ アクションを既存のコントロール プレーン保護機能のポリシー マップに追加する必要があります。

ログ アクションを持つポリシーのデフォルトの動作は、一致するパケットをロギングすることです。デフォルトでは、ログ メッセージに、発信元 IP アドレス、宛先 IP アドレス、プロトコル名(IP/TCP/UDP)、アクション(許可、廃棄、エラー)、およびポート番号が含まれます。さらに、IP ヘッダー内の他のフィールド(TTL やパケット長など)のロギングをイネーブルにすることをログ アクションで設定することもできます。また、ログ メッセージが作成されるレート制限間隔(2 つのメッセージのロギング間隔)を設定することもできます。

log アクション キーワードの追加オプションは、次のとおりです。

interval:パケット ロギング インターバルを設定します。

ttl:IPv4 パケットの TTL をロギングします。

total-length:IPv4 パケットのパケット長をロギングします。

制約事項

ログ アクションは、コントロールプレーン保護機能(コントロール プレーン ポリシング、ポートフィルタリング、およびキューしきい値)のポリシー マップにだけ追加できます。

手順の概要

1. e nable

2. configure terminal

3. policy-map [ type {stack | access-control | port-filter | queue-threshold | logging} ] policy-map-name

4. class class-name

5. log [ interval seconds | total-length | ttl ]

6. end

詳細手順

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

policy-map [type {stack | access-control | port-filter | queue-threshold | logging}] policy-map-name

 

Router(config)# policy-map type queue-threshold qt-policy

ポリシー マップを作成し、ポリシーマップ コンフィギュレーション モードを開始します。

type :(任意)サービス ポリシー タイプを指定します。

port-filter :(任意)ポートフィルタ機能のポリシー マップを入力します。

queue-threshold :(任意)キューしきい値機能のポリシー マップを入力します。

logging :(任意)コントロール プレーン ロギング機能のポリシーマップ コンフィギュレーション モードを開始します。

policy-map-name :ポリシー マップの名前。この名前には、40 文字までの英数字を使用できます。

ステップ 4

class class-name

 

Router(config-pmap)# class qt-host

クラスをポリシーに関連付け、クラス マップ コンフィギュレーション モードを開始します。

ステップ 5

log [ interval seconds | total-length | ttl ]

 

Router(config-pmap-c)# log interval 1000

ログ アクションをサービスポリシー クラスに適用します。次の追加のパラメータを設定できます。

interval seconds :(任意)パケット ロギング インターバルを設定します。

total-length :(任意)IPv4 パケットのパケット長をロギングします。

ttl :(任意)IPv4 パケットの TTL をロギングします。

ステップ 6

end

 

Router(config-pmap-c)# end

クラスマップ コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

コントロール プレーン ロギング情報の確認

グローバル ロギング設定と機能固有/クラス固有設定の両方のコントロール プレーン ロギングを確認できます。

グローバル ロギングのアクティブなコントロール プレーン ロギング情報を表示するには、次のオプションの手順を実行します。

手順の概要

1. e nable

2. show policy-map type logging control-plane [host | transit | cef-exception | cr]

3. show policy-map [type policy-type ] control-plane [host | transit | cef-exception | all | cr]

詳細手順

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

show policy-map type logging control-plane [host | transit | cef-exception | cr]

 

Router# show policy-map type logging control-plane host

グローバル コントロール プレーン ロギングの情報を表示します。

ステップ 3

show policy-map [type policy-type ] control-plane [host | transit | cef-exception | all | cr]

 

Router# show policy-map type logging control-plane host

機能固有/クラス固有コントロール プレーン ロギングの情報を表示します。

(注) 例では、ポートフィルタ ポリシーに対してイネーブルな機能固有/クラス固有ロギングが表示されます。

コントロール プレーン ロギングの確認の例

ここでは、次の例について説明します。

「グローバル ロギング設定の出力例」

「機能固有/クラス固有設定の出力例」

「ログの出力例」

グローバル ロギング設定の出力例

次の出力では、コントロールプレーン ホスト機能パス インターフェイスに追加された直後のグローバル ロギング サービス ポリシーを表示しています。

Router# show policy-map type logging control-plane host

Control Plane Host

Service-policy logging input: cpplog-host-policy

Class-map: cpplog-host-map (match-any)

0 packets, 0 bytes

5 minute offered rate 0 bps, drop rate 0 bps

Match: packets dropped

0 packets, 0 bytes

5 minute rate 0 bps

Match: packets permitted

0 packets, 0 bytes

5 minute rate 0 bps

 
 

Class-map: class-default (match-any)

0 packets, 0 bytes

5 minute offered rate 0 bps, drop rate 0 bps

Match: any

機能固有/クラス固有設定の出力例

次の出力では、コントロールプレーン ホスト機能パス インターフェイスに追加された直後のロギング ポリシー マップを表示しています。

Router# show policy-map cpp-policy

Policy Map cpp-policy

Class cppclass-igp

Class cppclass-management

police rate 250 pps burst 61 packets

conform-action transmit

exceed-action drop

Class cppclass-monitoring

police rate 100 pps burst 24 packets

conform-action transmit

exceed-action drop

Class cppclass-undesirable

drop

log interval 5000

Class class-default

police rate 50 pps burst 12 packets

conform-action transmit

exceed-action drop

ログの出力例

次に、IP トラフィックをルータに送信する設定でのログ出力の例を示します。

Router#

%CP-6-IP: PERMIT ttl=59 length=20 209.165.200.225 -> 209.165.200.254

%CP-6-IP: PERMIT ttl=59 length=20 209.165.200.225 -> 209.165.200.254

%CP-6-IP: PERMIT ttl=59 length=20 209.165.200.225 -> 209.165.200.254

%CP-6-IP: PERMIT ttl=59 length=20 209.165.200.225 -> 209.165.200.254

上の例で表示されているログ情報の説明は次のとおりです。

IP は、受信されたトラフィックの種類を表しています。

PERMIT は、そのパケットを廃棄するコントロールプレーン機能がなかったことを意味します。

ttl は、IP ヘッダー内の TTL 値を示します。

length は、IP ヘッダー内の全長フィールドを示します。

209.165.200.225 は、送信元 IP アドレスです。

209.165.200.254 は、宛先 IP アドレスです。

次に、TCP トラフィックをルータに送信する設定でのログ出力の例を示します。

Router#

%CP-6-TCP: PERMIT ttl=59 length=40 209.165.200.225(18611) -> 209.165.200.254(23)
%CP-6-TCP: PERMIT ttl=59 length=40 209.165.200.225(18611) -> 209.165.200.254(23)
%CP-6-TCP: PERMIT ttl=59 length=40 209.165.200.225(18611) -> 209.165.200.254(23)
%CP-6-TCP: PERMIT ttl=59 length=40 209.165.200.225(18611) -> 209.165.200.254(23)

上の例で表示されているログ情報の説明は次のとおりです。

TCP は、受信されたトラフィックの種類を表しています。

PERMIT は、そのパケットを廃棄するコントロールプレーン機能がなかったことを意味します。

ttl は、IP ヘッダー内の TTL 値を示します。

length は、IP ヘッダー内の全長フィールドを示します。

209.165.200.225 は、送信元 IP アドレスです。

18611 は、送信元 TCP ポートです。

209.165.200.254 は、宛先 IP アドレスです。

23 は、宛先 TCP ポートです。

コントロール プレーン ロギングの設定例

ここでは、次の設定例について説明します。

「廃棄パケットと許可パケットのグローバル コントロール プレーン ロギングの設定例」

「廃棄パケットのグローバル コントロール プレーン ロギングの設定例」

「特定クラスのロギングの設定例」

「ポートフィルタ ポリシー マップのロギングの設定例」

廃棄パケットと許可パケットのグローバル コントロール プレーン ロギングの設定例

次に、どのインターフェイスからルータにパケットが入ったかに関係なく、コントロールプレーン ホスト機能パスに分類されたすべての廃棄パケットと許可パケットだけをロギングするように、グローバル コントロールプレーン ロギング サービス ポリシーを設定する例を示します。また、ルータでは、ログ メッセージを 5 秒ごとに 1 つにレート制限します。

! Define a class map of type logging to specify what packets will be logged.

Router# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)# class-map type logging match-any cpplog-host-map

Router(config-cmap)# match packets dropped

Router(config-cmap)# match packets permitted

Router(config-cmap)# exit

! Define a policy map of type logging using your logging class map and rate-limit log messages to one every 5 seconds.

Router(config)# policy-map type logging cpplog-host-policy

Router(config-pmap)# class cpplog-host-map

Router(config-pmap-c)# log interval 5000

Router(config-pmap-c)# exit

Router(config-pmap)# exit

! Apply the new logging policy map to the control-plane host feature path interface.

Router(config)# control-plane host

Router(config-cp)# service-policy type logging input cpplog-host-policy

Router(config-cp)# end

Router#

Aug 8 17:57:57.359: %SYS-5-CONFIG_I: Configured from console by cisco on console

Router#

 

次の出力では、コントロールプレーン ホスト機能パス インターフェイスに追加された直後のロギング ポリシー マップを表示しています。

Router# show policy-map type logging control-plane host

Control Plane Host

Service-policy logging input: cpplog-host-policy

Class-map: cpplog-host-map (match-any)

0 packets, 0 bytes

5 minute offered rate 0 bps, drop rate 0 bps

Match: packets dropped

0 packets, 0 bytes

5 minute rate 0 bps

Match: packets permitted

0 packets, 0 bytes

5 minute rate 0 bps

log interval 5000

Class-map: class-default (match-any)

0 packets, 0 bytes

5 minute offered rate 0 bps, drop rate 0 bps

Match: any

廃棄パケットのグローバル コントロール プレーン ロギングの設定例

次に、GigabitEthernet インターフェイス 0/3 から入力され、集約コントロールプレーン インターフェイスに分類されたすべての廃棄パケットをロギングするように、グローバル コントロールプレーン ロギング サービス ポリシーを設定する例を示します。

! Define a class map of type logging to specify what packets will be logged.

Router# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)# class-map type logging match-all cpplog-gig

Router(config-cmap)# match input-interface gigabitethernet 0/3

Router(config-cmap)# match packets dropped

Router(config-cmap)# exit

! Define a policy map of type logging using your logging type class map.

Router(config)# policy-map type logging cpplog-gig-policy

Router(config-pmap)# class cpplog-gig

Router(config-pmap-c)# log

Router(config-pmap-c)# exit

Router(config-pmap)# exit

! Apply the new logging policy map to the aggregate control-plane interface.

Router(config)# control-plane

Router(config-cp)# service-policy type logging input cpplog-gig-policy

Router(config-cp)# end

Router#

Aug 8 12:53:08.618: %SYS-5-CONFIG_I: Configured from console by cisco on console

Router#

次の出力では、集約コントロールプレーン インターフェイスに追加された直後のロギング ポリシー マップを表示しています。

Router# show policy-map type logging control-plane

Control Plane

Service-policy logging input: cpplog-gig-policy

Class-map: cpplog-gig (match-all)

0 packets, 0 bytes

5 minute offered rate 0 bps, drop rate 0 bps

Match: input-interface GigabitEthernet0/3

Match: dropped-packets

log

Class-map: class-default (match-any)

0 packets, 0 bytes

5 minute offered rate 0 bps, drop rate 0 bps

Match: any

特定クラスのロギングの設定例

次に、コントロール プレーン ポリシング サービス ポリシーで設定された特定のクラスに対してクラス固有コントロール プレーン ロギングを設定する例を示します。また、ログ メッセージを 5 秒ごとに 1 つだけ出力するように、ログのレート制限を設定する方法も示します。この例では、コントロール プレーン ポリシング サービス ポリシーに、Interior Gateway Protocol(IGP; 内部ゲートウェイ プロトコル)、管理、モニタリング、および不要のトラフィックに対するクラスが定義されています。不要クラスは、UDP ポート 1434 上でルータ宛てに送信されるパケットと一致するように設定されています。このサービス ポリシーは、不要クラスに分類されるパケット(この場合、ポート 1434 宛てのパケット)はすべて廃棄するように設定されています。この例では、1434 パケットで攻撃されていることがわかるように、不要クラスで廃棄されるすべてのパケットをロギングします。

この例では、次のコントロール プレーン ポリシング サービス ポリシーが設定されています。

Router# show policy-map cpp-policy

Policy Map cpp-policy

Class cppclass-igp

Class cppclass-management

police rate 250 pps burst 61 packets

conform-action transmit

exceed-action drop

Class cppclass-monitoring

police rate 100 pps burst 24 packets

conform-action transmit

exceed-action drop

Class cppclass-undesirable

drop

Class class-default

police rate 50 pps burst 12 packets

conform-action transmit

exceed-action drop

上のサービス ポリシー内の不要クラスに分類されるすべてのトラフィックをロギングするには、次の手順を実行します。

! Enter control plane policing policy-map configuration mode.

Router# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)# policy-map cpp-policy

! Enter policy-map class configuration mode for the undesirable class.

Router(config-pmap)# class cppclass-undesirable

! Configure the log keyword with a rate limit of one log message every 5 seconds.

Router(config-pmap-c)# log interval 5000

Router(config-pmap-c)# end

次のコマンドを使用して、ログ アクションが不要クラスの下のポリシー マップに追加されていることを確認します。

Router# show policy-map cpp-policy

Policy Map cpp-policy

Class cppclass-igp

Class cppclass-management

police rate 250 pps burst 61 packets

conform-action transmit

exceed-action drop

Class cppclass-monitoring

police rate 100 pps burst 24 packets

conform-action transmit

exceed-action drop

Class cppclass-undesirable

drop

log interval 5000

Class class-default

police rate 50 pps burst 12 packets

conform-action transmit

exceed-action drop

ポートフィルタ ポリシー マップのロギングの設定例

次に、コントロール プレーン保護ポートフィルタ ポリシー マップで設定された特定のクラスに対してクラス固有コントロール プレーン ロギングを設定する例を示します。また、ポートフィルタ クラスに分類される各パケットの IP ヘッダーからパケット長フィールドを表示するように、ロギングを設定する方法も示します。この例では、閉鎖状態の TCP/UDP ポート宛てに送信されるトラフィックをすべて廃棄するように、ポートフィルタ ポリシー マップが設定されています。この例では、ポートフィルタ クラスで廃棄または許可されるすべてのパケットをロギングします。

この例では、次のポートフィルタ サービス ポリシーが設定されており、コントロールプレーン ホスト機能パスに適用されています。このポリシーでは、閉鎖状態または非待ち受け状態の TCP/UDP ポート宛てのトラフィックはすべてブロックされます。

Router# show policy-map type port-filter

Policy Map type port-filter pf-closed-port-policy

Class pf-closed-ports

Drop

上のポートフィルタ ポリシー マップで使用されるものに対応するポートフィルタ タイプ クラス マップは、次のように設定されます。

Router# show class-map type port-filter

Class Map type port-filter match-all pf-closed-ports (id 19)

Match closed-ports

上の pf-closed-port-policy ポートフィルタ ポリシー マップ内で上の pf-closed-ports クラス マップにより処理されるすべてのトラフィックをロギングするには、次の手順を実行します。

! Enter port-filter policy-map configuration mode.

Router# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)# policy-map type port-filter pf-closed-port-policy

! Enter port-filter policy-map class configuration mode for the undesirable class.

Router(config-pmap)# class pf-closed-ports

! Configure the log keyword with the option to log the packet-length field in the IP header.

Router(config-pmap-c)# log total-length

Router(config-pmap-c)# end

次のコマンドを使用して、ログ アクションが適切なクラスの下のポートフィルタ ポリシー マップに追加されていることを確認します。

Router# show policy-map type port-filter

Policy Map type port-filter pf-closed-port-policy

Class pf-closed-ports

drop

log interval 1000 total-length

その他の関連資料

ここでは、コントロール プレーン ロギング機能に関する関連資料について説明します。

関連マニュアル

内容
参照先

QoS コマンド:コマンド構文、コマンド モード、コマンド履歴、デフォルト、使用上のガイドライン、および例

Cisco IOS Quality of Service Solutions Command Reference

QoS 機能の概要

Quality of Service Overview 』モジュール

コントロール プレーン保護

Control Plane Protection 』モジュール

標準

標準
タイトル

この機能によりサポートされた新規標準または改訂標準はありません。またこの機能による既存標準のサポートに変更はありません。

--

MIB

MIB
MIB リンク

なし

選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに対する MIB を特定してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

なし

--

テクニカル サポート

説明
リンク

シスコのテクニカル サポート Web サイトでは、製品、テクノロジー、ソリューション、テクニカル ティップス、ツールへのリンクなど、技術的なコンテンツを検索可能な形で大量に提供しています。Cisco.com 登録ユーザの場合は、次のページからログインしてさらに多くのコンテンツにアクセスできます。

http://www.cisco.com/techsupport

コマンド リファレンス

次のコマンドは、このモジュールで説明した機能で導入または修正されたものです。これらのコマンドの詳細については、 http://www.cisco.com/en/US/docs/ios/qos/command/reference/qos_book.html にある『 Cisco IOS Quality of Service Solutions Command Reference 』を参照してください。すべての Cisco IOS コマンドの詳細については、 http://tools.cisco.com/Support/CLILookup にある Command Lookup Tool を使用するか、Cisco IOS マスター コマンド リストを参照してください。

class-map

debug control-plane

policy-map

コントロール プレーン ロギングの機能情報

表 1 に、この機能のリリース履歴を示します。

すべてのコマンドがご使用の Cisco IOS ソフトウェア リリースで使用できるとは限りません。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

プラットフォーム サポートとソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator により、どの Cisco IOS および Catalyst OS ソフトウェア イメージが特定のソフトウェア リリース、フィーチャ セット、またはプラットフォームをサポートするか調べることができます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。


表 1 は、Cisco IOS ソフトウェア リリース トレインで各機能のサポートが導入されたときの Cisco IOS ソフトウェア リリースだけを示しています。特に明記していないかぎり、その Cisco IOS ソフトウェア リリース トレインの以降のリリースでもその機能はサポートされます。


表 1 コントロール プレーン ロギングの機能情報

機能名
リリース
機能情報

コントロール プレーン ロギング

12.4(6)T

コントロール プレーン機能でクラスマップ エントリに一致するすべてのパケットをロギングできます。