Cisco Router and Security Device Manager (SDM) バージョン 2.1ユーザーズ ガイド
ルータ情報の表示
ルータ情報の表示
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

ルータ情報の表示

概要

インターフェイス ステータス

VPN ステータス

ファイアウォール ステータス

ロギング

ルータ情報の表示

Cisco Router and Security Device Manager(SDM) を監視モードで使用すると、ルータ、ルータ インターフェイス、ファイアウォール、およびアクティブな VPN 接続についての情報の最新スナップショットを表示できます。また、ルータ イベント ログ内のメッセージも表示できます。


) [監視]ウィンドウは、ダイナミックに最新情報で更新されるわけではありません。このウィンドウを開いた後に変更された情報を表示するには、[更新]をクリックする必要があります。


監視モードでは、ルータのログが検査され、Cisco IOS show コマンドの結果が参照されます。監視モードの機能のうち、ファイアウォール統計情報などのログ エントリに基づく機能を使用するには、ロギングが有効になっている必要があります。SDM ではロギングがデフォルトで有効になっています。ただし、この設定は、[追加タスク]>[ルータ プロパティ]>[ロギング]を選択すると表示されるウィンドウで変更することができます。また、ログ イベントが生成されるように個々の ルールを設定する作業が必要になることもあります。詳細については、ヘルプ トピック「 ファイアウォール上のアクティビティを表示する方法」を参照してください。

 

目的
手順

ルータ インターフェイスについての情報を表示する。

ツールバーで[ 監視] をクリックし、左側のフレームで[ インターフェイス ステータス] をクリックする。情報を表示するインターフェイスを[インターフェイスの選択]フィールドから選択し、表示する情報を[Available Items](選択可能な項目) グループで選択する。次に、 [詳細の表示] をクリックする。

CPU またはメモリの使用状況を示すグラフを表示する。

ツールバーで[ 監視] をクリックする。[概要]ページに CPU およびメモリの使用状況のグラフが表示される。

ファイアウォールについての情報を表示する。

ツールバーで[ 監視] をクリックし、左側のフレームで[ ファイアウォール ステータス] をクリックする。

VPN 接続についての情報を表示する。

ツールバーで[ 監視] をクリックし、左側のフレームで[ VPN ステータス] をクリックする。[IPSec トンネル]、[DMVPN トンネル]、[Easy VPN サーバ]、または[IKE SA]のタブを選択する。

ルータ イベント ログ内のメッセージを表示する。

ツールバーで[ 監視] をクリックし、左側のフレームで[ ロギング] をクリックする。

概要

監視モードの[概要]画面には、ルータのアクティビティと統計情報の概要が表示されます。この画面は、監視モードの他の画面の情報を要約する役割を果たします。次の情報が表示されます。

更新ボタン

ルータから最新の情報を取得し、画面に表示されている統計情報を更新します。

リソース ステータス

ルータのハードウェアの基本的な情報が表示されます。次のフィールドがあります。

CPU の使用状況

CPU の使用率が表示されます。

メモリの使用状況

RAM の使用率が表示されます。

フラッシュの使用状況

ルータにインストールされているフラッシュの合計容量に占める使用可能フラッシュの容量の割合が表示されます。

インターフェイス ステータス

ルータにインストールされているインターフェイスの基本的な情報とステータスが表示されます。


) SDM でサポートされているタイプのインターフェイスのみが、ここでの統計の対象になります。サポートされていないインターフェイスは対象になりません。


稼働インターフェイスの合計数

ルータ上の有効な(稼働中の) インターフェイスの合計数。

停止インターフェイスの合計数

ルータ上の無効な(停止中の) インターフェイスの合計数。

インターフェイス

インターフェイス名。

IP

インターフェイスの IP アドレス。

ステータス

インターフェイスのステータス([稼働]または[停止])。

帯域幅の使用状況

インターフェイスの帯域幅の使用率。

説明

インターフェイスの説明を参照できる場合、その説明。$FW_OUTSIDE$ や $ETH_LAN$ などの説明が SDM によって追加される場合があります。

ファイアウォール ステータス グループ

ルータのリソースの基本的な情報が表示されます。次のフィールドがあります。

拒否した試行回数

Telnet HTTP、HTTPS ping などのプロトコルを利用して行われた接続試行を ファイアウォールで拒否したときに生成されたログ メッセージの数が表示されます。接続試行を拒否した場合にログ エントリが生成されるようにするには、接続試行を拒否するアクセス ルールを、ログ エントリを作成するように設定する必要があります。

ファイアウォール ログ

有効になっている場合、ファイアウォール ログのエントリの数が表示されます。

QoS

関連付けられた QoS ポリシーがあるインターフェイスの数。

VPN ステータス グループ

ルータのリソースの基本的な情報が表示されます。次のフィールドがあります。

接続中の IKE SA の数

現在設定済みかつ動作中の IKE セキュリティ アソシエーション( SA) 接続の数が表示されます。

接続中の IPSec トンネルの数

現在設定済みかつ動作中の IPSec 仮想プライベート ネットワーク( VPN) 接続の数が表示されます。

DMVPN クライアントの数

ルータが DMVPN ハブとして設定されている場合、DMVPN クライアントの数が表示されます。

アクティブな VPN クライアントの数

ルータが Easy VPN サーバとして設定されている場合、Easy VPN リモート クライアントの数がこのフィールドに表示されます。

ログ グループ

ルータのリソースの基本的な情報が表示されます。次のフィールドがあります。

ログ エントリの合計数

ルータのログに現在保存されているエントリの合計数。

高い重大度

保存されているログ エントリのうち、重大度レベルが 2 以下のものの数。これらのメッセージには直ちに対処する必要があります。重大度の高いメッセージがない場合、このリストは空になります。

警告

保存されているログ エントリのうち、重大度レベルが 3 または 4 のものの数。これらのメッセージは、ネットワークの問題を示していることがあります。ただし、直ちに対処する必要はありません。

情報

保存されているログ エントリのうち、重大度レベルが 6 以上のものの数。これらの情報メッセージは、正常なネットワーク イベントを通知するものです。

インターフェイス ステータス

[インターフェイス ステータス]画面には、ルータ上のさまざまなインターフェイスの現在のステータスが表示されます。また、選択したインターフェイスを経由して転送されたパケット、バイト、またはデータ エラーの数も表示されます。この画面に表示される統計情報は、ルータの再起動、カウンタのリセット、または選択したインターフェイスのリセットが最後に行われてからの累計です。

[監視インターフェイス]/[監視の終了]ボタン

このボタンをクリックすると、選択したインターフェイスの監視を開始または終了できます。

接続のテスト ボタン

選択した接続をテストする場合にクリックします。ダイアログ ボックスが表示され、この接続を使用して ping を実行するリモート ホストを指定できます。ping を実行すると、このダイアログ ボックスにテスト結果(合格または不合格) が表示されます。テストが失敗した場合は、考えられる原因と問題の解決手順が表示されます。

インターフェイス リスト

統計情報を表示するインターフェイスをこのリストから選択します。このリストには、IP アドレスとサブネット マスク、およびインターフェイスがあるスロットとポートが表示されます。SDM の説明やユーザの説明が入力されていれば、その説明も表示されます。

監視するグラフ タイプの選択グループ

ここに表示されているチェック ボックスが示しているのは、選択したインターフェイスのデータ項目のうち、SDM を使用して統計情報を表示できる項目です。次のデータ項目があります。

[入力されたパケット]― 選択したインターフェイスの受信パケット数。

[出力されたパケット]― 選択したインターフェイスの送信パケット数。

[帯域幅の使用状況]― インターフェイスによる帯域幅の使用率。割合(%) で表示されます。帯域幅の割合の計算方法は次のとおりです。

帯域幅の割合=(Kbps/bw) * 100

この式の各値は次のとおりです。

ビット数/秒=((入力数の変化+出力数の変化) * 8) / ポーリング間隔

Kbps= 1 秒あたりのビット数/1024

bw=インターフェイスの帯域幅の容量

入力バイトと出力バイトの差は、2 回目の表示間隔の後でのみ計算されるので、帯域幅の割合のグラフには、2 回目の表示間隔以降の帯域幅の使用状況が正しく表示されます。ポーリング間隔と表示間隔については、このトピックの「表示間隔」のセクションを参照してください。

[入力されたバイト]― 選択したインターフェイスの受信バイト数。

[出力されたバイト]― 選択したインターフェイスの送信バイト数。

[入力エラー]― 選択したインターフェイスでデータ受信時に発生したエラーの数。

[出力エラー]― 選択したインターフェイスでデータ送信時に発生したエラーの数。

上記の項目の統計情報を表示するには


ステップ 1 チェック ボックスを選択して、統計情報を表示する項目を選びます。

ステップ 2 [監視インターフェイス] をクリックすると、選択したすべてのデータ項目の統計情報が表示されます。


 

インターフェイス ステータス エリア

表示間隔

このプルダウン フィールドでは、各項目のデータの表示量と、データの更新頻度の両方を選択します。次のオプションがあります。


) リストに表示されるポーリング頻度はおよその値です。実際の頻度とは多少異なることがあります。


10 秒ごとのリアルタイム データ。このオプションを選択すると、ルータに対するポーリングが最大 2 時間継続され、約 120 個のデータ ポイントが取得されます。

過去 10 分間のデータを 10 秒ごとにポーリング

過去 60 分間のデータを 1 分ごとにポーリング

過去 12 時間のデータを 10 分ごとにポーリング


) 最後から 3 番目までのオプションを選択すると、最大 60 個のデータ ポイントが取得されます。60 個のデータ ポイントが取得された後も SDM によるデータのポーリングは継続され、最も古いデータ ポイントが最も新しいデータ ポイントで置き換えられます。


テーブルの表示/テーブルの非表示

このボタンをクリックすると、パフォーマンス グラフの表示と非表示を切り替えることができます。

リセット ボタン

このボタンをクリックすると、インターフェイスの統計情報の集計をゼロにリセットできます。

グラフ エリア

このエリアには、指定したデータのグラフと単純な数値が表示されます。


) 最後から 3 番目までのオプションを選択すると、最大 30 個のデータ ポイントが取得されます。30 個のデータ ポイントが取得された後も SDM によるデータのポーリングは継続され、最も古いデータ ポイントが最も新しいデータ ポイントで置き換えられます。


VPN ステータス

この画面には、ルータ上でアクティブな VPN 接続の統計情報が表示されます。

カテゴリの選択

このプルダウン フィールドでは、どのタイプの VPN の統計情報を表示するかを選択します。このフィールドで選択した項目に対応する統計情報が、その下にあるフィールドに表示されます。次のいずれかの VPN カテゴリを選択できます。

IPSec トンネル

DMVPN トンネル

Easy VPN サーバ

IKE SA

トンネルのテスト ボタン

選択した VPN 接続をクリックしてテストします。テストの結果は、別のウィンドウに表示されます。

IPSec トンネル

このグループには、ルータに設定されている各 IPSec VPN の統計情報が表示されます。表の行は、それぞれ 1 つの IPSec VPN を表しています。表のカラムと、各カラムに表示される情報は次のとおりです。

インターフェイス カラム

IPSec トンネルがアクティブになっている、ルータ上の WAN インターフェイス。

ローカル IP カラム

ローカル IPSec インターフェイスの IP アドレス。

リモート IP カラム

リモート IPSec インターフェイスの IP アドレス。

ピア カラム

リモート ピアの IP アドレス。

トンネル ステータス

IPSec トンネルの現在のステータス。値は次のとおりです。

[稼働]― トンネルはアクティブです。

[停止]― エラーまたはハードウェア障害のため、トンネルは非アクティブです。

カプセル化パケット カラム

IPSec VPN 接続上でカプセル化されたパケットの数。

非カプセル化パケット カラム

IPSec VPN 接続上で非カプセル化されたパケットの数。

送信エラー パケット カラム

パケット送信時に発生したエラーの数。

受信エラー パケット カラム

パケット受信時に発生したエラーの数。

暗号化されたパケット カラム

接続上で暗号化されたパケットの数。

解読されたパケット カラム

接続上で解読されたパケットの数。

更新ボタン

このボタンをクリックすると、[IPSec トンネル]表が更新され、ルータから取得した最新のデータが表示されます。

クリア ボタン

表の行を選択してから [クリア] ボタンをクリックすると、その行に対応する IPSec トンネル接続をクリアできます。

DMVPN トンネル

このグループには、ダイナミック マルチポイント VPN(DMVPN) トンネルに関する以下の統計情報が表示されます。各行は、それぞれ 1 つの VPN トンネルを表しています。

リモート サブネット カラム

トンネルが接続するサブネットのネットワーク アドレス。

リモート トンネル IP カラム

リモート トンネルの IP アドレス。これは、リモート デバイスによってトンネルに割り当てられたプライベート IP アドレスです。

リモート ルータのパブリック インターフェイスの IP カラム

リモート ルータのパブリック(外部) インターフェイスの IP アドレス。

有効期限カラム

トンネルの登録が期限切れになり DMVPN トンネルがシャットダウンされる日時。

ステータス カラム

DMVPN トンネルのステータス。

リセット ボタン

リスト上のトンネルの統計情報カウンタをリセットします。これにより、カプセル化パケットと非カプセル化パケットの数、送信エラーと受信エラーの数、および暗号化されたパケットと解読されたパケットの数がゼロに設定されます。

Easy VPN サーバ

このグループには、各 Easy VPN サーバ グループの次の情報が表示されます。

サーバ クライアントの合計数(右上隅に表示されます)

グループ名

クライアント接続の数

グループ詳細ボタン

[グループ詳細] ボタンをクリックすると、選択したグループの次の情報が表示されます。

グループ名

キー

プール名

DNS サーバ

WINS サーバ

ドメイン名

ACL

バックアップ サーバ

ファイアウォールの R-U-There

ローカル LAN を含む

グループ ロック

パスワードの保存

このグループでの最大許容接続数

ユーザあたりの最大ログイン数

このグループ内のクライアント接続

このエリアには、選択したグループの次の情報が表示されます。

パブリック IP アドレス

割り当てられた IP アドレス

暗号化されたパケット

解読されたパケット

廃棄されたアウトバウンド パケット

廃棄されたインバウンド パケット

ステータス

IKE SA

このグループには、ルータに設定されているアクティブな IKE セキュリティ アソシエーションに関する以下の統計情報が表示されます。

送信元 IP カラム

IKE SA を開始したピアの IP アドレス。

宛先 IP カラム

リモート IKE ピアの IP アドレス。

状態カラム

IKE ネゴシエーションの現在の状態が表示されます。次の状態があります。

[MM_NO_STATE]― Internet Security Association and Key Management Protocol(ISAKMP) SA は作成されましたが、それ以外にはまだ何も行われていません。

[MM_SA_SETUP]― ピア間で ISAKMP SA のパラメータについての合意が行われました。

[MM_KEY_EXCH]― ピア間で Diffie-Hellman パブリック キーが交換され、共有秘密キーが生成されました。ISAKMP SA はまだ認証されていません。

[MM_KEY_AUTH]― ISAKMP SA が認証されました。ルータがこの交換プロセスの開始側である場合、状態は直ちに QM_IDLE に移行し、クイック モードでの交換プロセスが開始されます。

[AG_NO_STATE]― ISAKMP SA は作成されましたが、それ以外にはまだ何も行われていません。

[AG_INIT_EXCH]― ピア間で最初の交換プロセスがアグレッシブ モードで行われましたが、SA は認証されていません。

[AG_AUTH]― ISAKMP SA が認証されました。ルータがこの交換プロセスの開始側である場合、状態は直ちに QM_IDLE に移行し、クイック モードでの交換プロセスが開始されます。

[QM_IDLE]― ISAKMP SA はアイドル状態です。ピアでの認証は取り消されません。後続のクイック モードでの交換プロセスに使用される可能性があります。

更新ボタン

このボタンをクリックすると、[IKE SA]表が更新され、ルータから取得した最新データが表示されます。

クリア ボタン

表の行を選択してから[クリア]をクリックすると、その行に対応する IKE SA 接続をクリアできます。

ファイアウォール ステータス

[ファイアウォール ステータス]ページには、ルータに設定されている ファイアウォールに関する以下の統計情報が表示されます。この画面に表示される統計情報とログ エントリは、ファイアウォールによって生成されたログ メッセージに基づいています。ファイアウォールによってログ エントリが生成されるようにするには、アクセス ルールが呼び出されたときにログ メッセージが生成されるように、個々のアクセス ルールを設定する必要があります。ログ メッセージが生成されるようにアクセス ルールを設定する手順については、ヘルプ トピック「 ファイアウォール上のアクティビティを表示する方法」を参照してください。

ファイアウォール ログ

ファイアウォールで許可した接続試行と拒否した接続試行のログを保持するように、ルータが設定されているかどうかが表示されます。

ファイアウォールで拒否した試行回数

ファイアウォールで拒否した接続試行の回数が表示されます。

ファイアウォールで拒否した試行表

ファイアウォールで拒否した接続試行のリストが表示されます。この表には、次のカラムがあります。

時刻カラム

拒否した接続試行のそれぞれの発生時刻が表示されます。

説明 カラム

拒否した試行について、ログ名、アクセス ルール名または番号、サービス、送信元アドレス、宛先アドレス、およびパケット数が表示されます。その例を次に示します。

%SEC-6-IPACCESSLOGDP:list 100 denied icmp 171.71.225.148->10.77.158.140 (0/0), 3 packets

更新ボタン

ルータに対してポーリングを行い、画面に表示されている情報を最新の情報で更新します。

管理者ビュー ユーザ アカウント以外のユーザ アカウントでのファイアウォール監視

ファイアウォールを監視するには、ルータでバッファへのロギングが有効になっている必要があります。バッファへのロギングが有効になっていない場合は、管理者ビュー アカウントまたは非ビュー ベースの権限レベル 15 のユーザ アカウントを使用して SDM にログインし、ロギングを設定してください。

SDM でロギングを設定するには、 [追加タスク]>[ルータ プロパティ]>[ロギング] を選択します。

ロギング

ルータはイベントのログを保持できます。このログでは、UNIX のシスログ(syslog) サービスのログと同様に、イベントが重大度レベル別に分類されています。この画面にはルータのログが表示されます。ログ メッセージがシスログ(syslog) サーバに転送されていても、表示されるのはルータのログです。

ロギング バッファ

ロギング バッファとシスログ(syslog) ロギングが有効になっているかどうかが表示されます。両方が有効な場合には「有効」というテキストが表示されます。ロギング バッファが有効な場合、ログ メッセージの保持のため一定量のメモリが確保されます。このフィールドの設定は、ルータがリブートされると保持されません。これらのフィールドの設定がデフォルト設定の場合、ロギング バッファ用に 4096 バイトのメモリが使用されます。

ロギング ホスト

ログ メッセージが転送されているシスログ(syslog) ホストの IP アドレスが表示されます。このフィールドは読み取り専用です。シスログ(syslog) ホストの IP アドレスを設定するには、[追加タスク]>[ルータ プロパティ]>[ロギング]を選択すると表示されるウィンドウを使用します。

ロギング レベル(バッファ)

ルータ上のバッファに対して設定されているロギング レベルが表示されます。

ログ内のメッセージ数

ルータのログに保存されているメッセージの合計数が表示されます。

表示するロギング レベルの選択

このフィールドでは、ログ内のメッセージのうちどの重大度レベルのものを表示するかを選択します。このフィールドの設定を変更すると、ログ メッセージのリストが更新されます。

ログ

[表示するロギング レベルの選択]フィールドで指定した重大度レベルのメッセージがすべて表示されます。ログ イベントには次の情報が含まれています。

重大度カラム

ログ イベントの重大度が表示されます。重大度は 1 ~ 7 の数値で表されます。数値が小さいほどイベントの重大度は高くなります。各重大度レベルの説明は次のとおりです。

0 - 緊急

システムが使用不可です。

1 - アラート

直ちに対処が必要です。

2 - 重大

重大な状態が発生しました。

3 - エラー

エラー状態が発生しました。

4 - 警告

警告対象の状態が発生しました。

5 - 通知

特別な意味のある状態が発生しましたが、異常ではありません。

6 - 情報

単なる情報メッセージです。

7 - デバッグ

デバッグ用のメッセージです。

時刻カラム

ログ イベントが発生した時刻が表示されます。

説明カラム

ログ イベントの説明が表示されます。

更新

ログの最新の詳細情報と最新のログ エントリが反映されるように画面を更新します。

クリア

ルータ上のログ バッファからすべてのメッセージが消去されます。