Cisco DCNM for LAN セキュリティ コンフィギュレーション ガイド リリース 5.x
レイヤ 2 セキュリティ監査ウィザードの使用
レイヤ 2 セキュリティ監査ウィザードの使用
発行日;2012/09/13   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

レイヤ 2 セキュリティ監査ウィザードの使用

この章では、レイヤ 2 セキュリティ監査ウィザードを使用する方法について説明します。

この章は、次の内容で構成されています。

セキュリティ監査ウィザードに関する情報

セキュリティ監査ウィザードを使用すると、ポート セキュリティ、ダイナミック ARP インスペクション(DAI)、DHCP スヌーピング、IP ソース ガード、トラフィック ストーム制御など、さまざまなデバイスに設定された既存のレイヤ 2 セキュリティ機能を確認できます。 また、そのデバイスに欠けている設定を適用することもできます。

セキュリティ監査ウィザードのライセンス要件

次の表に、この機能のライセンス要件を示します。

製品

ライセンス要件

Cisco DCNM

セキュリティ監査ウィザードには、LAN Enterprise ライセンスが必要です。 Cisco DCNM ライセンス方式について、およびライセンスの取得方法と適用方法の詳細については、『Cisco DCNM Installation and Licensing Guide, Release 5.x』を参照してください。

Cisco NX-OS

セキュリティ監査ウィザードは、Cisco NX-OS では使用できません。 各プラットフォームの Cisco NX-OS ライセンス方式の詳細については、『Cisco NX-OS Licensing Guide』を参照してください。

セキュリティ監査ウィザードの前提条件

セキュリティ監査ウィザードには、次の前提条件があります。

セキュリティ監査ウィザードを使用してセキュリティ コンフィギュレーションを変更するためには、次の機能についての知識が必要です。

  • アドレス解決プロトコル(ARP)
  • DHCP スヌーピング
  • ポート セキュリティ
  • IP ソース ガード
  • トラフィック ストーム制御

監査を実行するデバイス上で次の機能をイネーブルにする必要があります。

  • DHCP スヌーピング
  • ポート セキュリティ

セキュリティ監査ウィザードをサポートしているプラットフォーム

この機能は、次のプラットフォームでサポートされています。 注意事項や制約事項、システムのデフォルト値、コンフィギュレーションの制限などに関するプラットフォーム固有の情報については、対応するマニュアルを参照してください。

プラットフォーム マニュアル
Cisco Nexus 7000 シリーズ スイッチ Cisco Nexus 7000 シリーズ スイッチのマニュアル

セキュリティ監査ウィザードを使用したレイヤ 2 セキュリティの設定

セキュリティ監査ウィザードを使用して、ポート セキュリティ、ダイナミック ARP インスペクション、DHCP スヌーピング、IP ソース ガード、トラフィック ストーム制御などのレイヤ 2 セキュリティ機能を設定できます。

手順
    ステップ 1   ツールバーで、 アイコンを選択します。

    [Layer 2 Security Audit] ダイアログボックスに、ウェルカム メッセージおよび実行する手順のリストが表示されます。

    次の図に、[Security Audit] ダイアログボックスを示します。

    図 1. [Security Audit] のウェルカム メッセージ



    ステップ 2   [Next] をクリックします。

    [Layer 2 Security Audit] ダイアログボックスに、ネットワークで監査用に選択できる、使用可能なインターフェイスのリストが表示されます。

    次の図に、使用可能なインターフェイスのリストを示します。

    図 2. レイヤ 2 セキュリティ監査ウィザード:[Select Interfaces]



    ステップ 3   [Interfaces Available in Network] 領域で、セキュリティ監査を実行するインターフェイスを選択して、[Add] をクリックします。
    ステップ 4   (任意)[Save] をクリックして選択内容を保存します。
    ステップ 5   [Next] をクリックします。

    [Layer 2 Security Audit] ダイアログボックスに、ネットワークで監査用に選択できる、使用可能な VLAN のリストが表示されます。

    次の図に、使用可能な VLAN のリストを示します。

    図 3. レイヤ 2 セキュリティ監査ウィザード:[Select VLANs]



    ステップ 6   [VLANs Available in Network] 領域で、セキュリティ監査を実行する VLAN を選択して、[Add] をクリックします。
    ステップ 7   [Next] をクリックします。

    [Layer 2 Security Audit] ダイアログボックスに、監査中に報告された、トラフィック ストーム制御の設定に関する問題のリストが表示されます。

    次の図に、ウィザードから報告された、トラフィック ストーム制御の設定に関する問題のリストを示します。

    図 4. レイヤ 2 セキュリティ監査ウィザード:トラフィック ストーム制御の設定に関する問題のリスト



    ステップ 8   [Next] をクリックします。

    [Layer 2 Security Audit] ダイアログボックスに、監査中に報告された、信頼定義と IP ソース ガードに関する問題のリストが表示されます。

    次の図に、信頼定義と IP ソース ガードに関する問題のリストを示します。

    図 5. レイヤ 2 セキュリティ監査ウィザード:信頼定義と IP ソース ガードに関する問題のリスト



    ステップ 9   (任意)[Fix all] をクリックして、報告された問題をすべて修正します。
    ステップ 10   [Next] をクリックします。

    [Layer 2 Security Audit] ダイアログボックスに、監査中に報告された、ポート セキュリティに関する問題のリストが表示されます。

    次の図に、ポート セキュリティに関する問題のリストを示します。

    図 6. レイヤ 2 セキュリティ監査ウィザード:ポート セキュリティに関する問題のリスト



    ステップ 11   (任意)[Fix all] をクリックして、報告された問題をすべて修正します。
    ステップ 12   [Next] をクリックします。

    [Layer 2 Security Audit] ダイアログボックスに、監査中に報告された、DHCP スヌーピングおよび DAI に関する問題のリストが表示されます。

    次の図に、DHCP スヌーピングおよび DAI に関する問題のリストを示します。

    図 7. レイヤ 2 セキュリティ監査ウィザード:DHCP スヌーピングおよび DAI に関する問題のリスト



    ステップ 13   (任意)[Fix all] をクリックして、報告された問題をすべて修正します。
    ステップ 14   [Next] をクリックします。

    [Layer 2 Security Audit] ダイアログボックスに、デバイスに適用される設定の概要が表示されます。

    次の図に、設定の概要を示します。

    図 8. レイヤ 2 セキュリティ監査ウィザード:設定の概要



    ステップ 15   [Finish] をクリックして、すべてのコンフィギュレーション設定をデバイスに適用します。

    セキュリティ監査ウィザードのフィールドの説明

    ここでは、セキュリティ監査ウィザードのフィールドについて説明します。

    セキュリティ監査ウィザード:[Select Interfaces]

    表 1  セキュリティ監査ウィザード:[Select Interfaces]

    フィールド

    説明

    Interface

    インターフェイス ID。

    Description

    インターフェイスの説明。

    Type

    インターフェイスのタイプ。

    セキュリティ監査ウィザード:[Select VLANs]

    表 2  セキュリティ監査ウィザード:[Select VLANs]

    フィールド

    説明

    VLAN ID

    VLAN ID。

    VLAN Name

    VLAN の名前。

    セキュリティ監査ウィザード:[Apply Traffic Storm Control Configurations]

    表 3  セキュリティ監査ウィザード:[Apply Traffic Storm Control Configurations]

    フィールド

    説明

    Interface

    インターフェイス ID。

    Unicast

    ユニキャスト トラフィック制御に割り当てられた値。

    Multicast

    マルチキャスト トラフィック制御に割り当てられた値。

    Broadcast

    ブロードキャスト トラフィック制御に割り当てられた値。

    セキュリティ監査ウィザード:[Apply Trust Definitions and IP Source Guard]

    表 4  セキュリティ監査ウィザード:[Apply Trust Definitions and IP Source Guard]

    フィールド

    説明

    Interface

    インターフェイス ID。

    DHCP Trust State

    インターフェイスの信頼状態。 ネットワーク内でトラフィックを受信するには、信頼できるインターフェイスを設定します。 このフィールドは、DHCP 信頼状態がイネーブルかを示します。

    ARP Trust State

    インターフェイスの信頼状態。 ネットワーク内でトラフィックを受信するには、信頼できるインターフェイスを設定します。 このフィールドは、ARP 信頼状態がイネーブルかを示します。

    IP Source Guard

    IP ソース ガードがイネーブルかどうか。

    セキュリティ監査ウィザード:[Port Security]

    表 5  セキュリティ監査ウィザード:[Port Security]

    フィールド

    説明

    Interface

    インターフェイス ID。

    Port Type

    インターフェイス タイプが Access であるか Trunk であるか。

    Port Security

    デバイスのグローバルなポート タイプ。

    Maximum Number of Secure Addresses

    ポートにバインドできる最大アドレス数。

    Stickiness

    ホストアドレスのスティッキ性がイネーブルかどうか。

    Violation Action

    ポート セキュリティをイネーブルにしたインターフェイスに設定された違反時の処理。 有効な値は protect、restrict、および shutdown です。 違反時のデフォルト処理は shutdown です。

    Port Security Capable

    ポートにポート セキュリティが設定できるかどうか。

    セキュリティ監査ウィザード:[DHCP Snooping and DAI]

    表 6  セキュリティ監査ウィザード:[DHCP Snooping and DAI]

    フィールド

    説明

    VLAN ID

    VLAN ID。

    VLAN Name

    VLAN の名前。

    DHCP Snooping

    VLAN の DHCP スヌーピングがイネーブルかどうか。 デフォルトでは、このチェックボックスはオフになっています。

    DAI

    VLAN の DAI がイネーブルかどうか。 デフォルトでは、このチェックボックスはオフになっています。

    セキュリティ監査ウィザードに関する追加情報

    ここでは、セキュリティ監査ウィザードの使用に関する追加情報について説明します。

    関連資料

    関連項目

    参照先

    Cisco NX-OS のライセンス

    Cisco NX-OS ライセンス ガイド

    Cisco DCNM ライセンス設定

    『Cisco DCNM Installation and Licensing Guide, Release 5.x』

    セキュリティ監査ウィザード機能の履歴

    次の表に、この機能のリリースの履歴を示します。



    表 7 セキュリティ監査ウィザード機能の履歴

    機能名

    リリース

    機能情報

    セキュリティ監査ウィザード

    5.2(1)

    Release 5.1 以降、変更はありません。

    セキュリティ監査ウィザード

    5.1(1)

    Release 5.0 以降、変更はありません。

    セキュリティ監査ウィザード

    5.0(2)

    Release 4.2 以降、変更はありません。

    セキュリティ監査ウィザード

    4.0(1)

    この機能が導入されました。