Cisco Intrusion Detection System アプライ アンスおよびモジュール インストレーション コンフィギュレーション ガイド
IDSM-2 の取り付け
IDSM-2 の取り付け
発行日;2012/02/05 | 英語版ドキュメント(2010/02/22 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 10MB) | フィードバック

目次

IDSM-2 の取り付け

仕様

ソフトウェア要件およびハードウェア要件

サポートされている IDSM-2 の構成

TCP リセット インターフェイスの使用方法

前面パネルの説明

取り付けおよび取り外しの方法

必要な工具

スロットの割り当て

IDSM-2 の取り付け

IDSM-2 取り付けの確認

IDSM-2 の取り外し

IDSM-2 の取り付け

この章では、IDSM-2 のソフトウェアおよびハードウェアの要件を示し、IDSM-2 の取り外しおよび取り付けの方法について説明します。

この章は、次の内容で構成されています。

「仕様」

「ソフトウェア要件およびハードウェア要件」

「サポートされている IDSM-2 の構成」

「前面パネルの説明」

「取り付けおよび取り外しの方法」

仕様

表 8-1 に IDSM-2 の仕様を示します。

 

表 8-1 IDSM-2 の仕様

仕様
説明

寸法(高さ×幅×奥行き)

30 × 394 × 415 mm(1.18 × 15.51 × 16.34 インチ)

重量

最小:1.36 kg(3 ポンド)
最大:2.27 kg(5 ポンド)

動作温度

0 ~ 40 °C(32 ~ 104 °F)

非動作時温度

-40 ~ 75 °C(-40 ~ 167 °F)

湿度

10 ~ 90%、結露しないこと

ソフトウェア要件およびハードウェア要件

IDSM-2 のソフトウェアおよびハードウェアの要件は次のとおりです。

Catalyst ソフトウェア リリース 7.5(1) 以降、MSFC2 組み込みのスーパーバイザ エンジン 1A を実装

Catalyst ソフトウェア リリース 7.5(1) 以降、MSFC2 または PFC2 組み込みのスーパーバイザ エンジン 2 を実装

Cisco IOS ソフトウェア リリース 12.2(14)SY、MSFC2 組み込みのスーパーバイザ エンジン 2 を実装

Cisco IOS ソフトウェア リリース 12.1(19)E 以降、MSFC2 組み込みのスーパーバイザ エンジン 2 を実装

Cisco IOS ソフトウェア リリース 12.1(19)E1 以降、MSFC2 組み込みのスーパーバイザ エンジン 1A を実装

Cisco IOS ソフトウェア リリース 12.2(14)、SX1 スーパーバイザ エンジン 720 を実装

Cisco IDS ソフトウェア リリース 4.0 以降

任意の Catalyst 6500 シリーズ スイッチ シャーシまたは 7600 ルータ

サポートされている IDSM-2 の構成

表 8-2 に、サポートされている IDSM-2 の構成を示します。

 

表 8-2 サポートされている構成

スーパーバイザ
SPAN/RSPAN
VACL キャプチャ
VACL ブロッキング
RACL ブロッキング
Catalyst ソフトウェア
Cisco IOS ソフトウェア

スーパーバイザ 1A

X

7.5(1)

PFC1 組み込みのスーパーバイザ 1A

X

X

X

7.5(1)

PFC1 または MSFC1 組み込みのスーパーバイザ 1A

X

X

X1

X

7.5(1)

2

スーパーバイザ 1A-PFC2 または MSFC2

X

X

X3

X

7.5(1)

12.1(19)E1

PFC2 組み込みのスーパーバイザ 2

X

X

X

7.5(1)

PFC2 または MSFC2 組み込みのスーパーバイザ 2

X

X

X4

X

7.5(1)

12.1(19)E、12.2(14)SY

スーパーバイザ 720(PFC3 および MSFC3 統合)

X

X

5

X

12.2(14)SX1 以降

1.IDSM-2 による VACL ブロッキングは、Catalyst ソフトウェアでサポートされていますが、この設定に関しては Cisco IOS ではサポートされていません。

2.Cisco IOS は PFC1 または MSFC1 組み込みのスーパーバイザ 1A でサポートされています。しかし、IDSM-2 はこの設定ではサポートされていません。

3.IDSM-2 による VACL ブロッキングは、Catalyst ソフトウェアでサポートされていますが、この設定に関しては Cisco IOS ではサポートされていません。

4.IDSM-2 による VACL ブロッキングは、Catalyst ソフトウェアでサポートされていますが、この設定に関しては Cisco IOS ではサポートされていません。

5.Cisco IOS 組み込みのスーパーバイザ 720 は VACL の deny 文をサポートしています。しかし、IDSM-2 は、Cisco IOS 形式の VACL でブロックを実行できません。


注意 スーパーバイザ 1A と PFC2 の組み合せはサポートされていません。PFC2 または MSFC2 が組み込まれていないスーパーバイザ 2 は、Catalyst ソフトウェアや Cisco IOS ソフトウェアではサポートされていません。

TCP リセット インターフェイスの使用方法

IDSM-2 には、TCP リセット インターフェイス(ポート 1)があります。IDSM-2 は、センシング ポートに TCP リセットを送信できないので、専用の TCP リセット インターフェイスが用意されています。

IDSM-2 においてリセット上の問題が発生した場合は、次の手順を試してください。

センシング ポートがアクセス ポート(1 つの VLAN)である場合、リセット ポートが同じ VLAN に存在するように設定する必要があります。

センシング ポートが dot1q トランク ポート(マルチ VLAN)である場合、このセンシング ポートとリセット ポートはすべて同じネイティブ VLAN を持つ必要があり、リセット ポートは両方のセンシング ポートによってトランク接続されている VLAN すべてにトランク接続されている必要があります。

前面パネルの説明

IDSM-2(図 8-1 を参照)には、ステータス インジケータと Shutdown ボタンがあります。

図 8-1 IDSM-2 の前面パネル

 

 

ステータス インジケータ

表 8-3 では、ステータス インジケータの示す IDSM-2 の状態を説明します。

 

表 8-3 ステータス インジケータ

説明

すべての診断テストが正常に終了し、IDSM-2 は動作可能。

個別ポート テスト以外の診断テストでエラーが発生。

オレンジ

IDSM-2 は起動時のセルフテスト診断シーケンスを実行中、または IDSM-2 がディセーブルになっている、または IDSM-2 がシャットダウン状態。

オフ

IDSM-2 に電源が入っていない。

Shutdown ボタン

IDSM-2 が破損するのを防ぐには、 shutdown コマンドを使用して正しくシャットダウンする必要があります。IDSM-2 を正しくシャットダウンする方法については、「IDSM-2 の取り外し」 のステップ 1 を参照してください。IDSM-2 が反応しない場合は、前面プレートの Shutdown ボタンを強く押してステータス インジケータがオレンジになるのを待ちます。シャットダウン手順には数分間かかることがあります。


注意 モジュールが完全にシャットダウンするまで、スイッチから IDSM-2 を取り外さないでください。シャットダウン手順を踏まずにモジュールを取り外すと、モジュールのアプリケーション パーティションが破損し、データ損失を招く可能性があります。

取り付けおよび取り外しの方法

Catalyst 6500 シリーズ スイッチは、いずれもホットスワップ対応であるため、スイッチのシステム電源を切らなくてもモジュールの取り付け、取り外し、交換、および再配置を行うことができます。システムはモジュールの取り付けまたは取り外しを検出すると、診断およびディスカバリ ルーチンを実行してモジュールの有無を認識し、システム動作を再開します。ユーザによる操作は不要です。


注意 IDSM-2 は、まずシャットダウンしてから、Catalyst 6500 シリーズ スイッチから取り外す必要があります。Catalyst 6500 シリーズ スイッチから IDSM-2 を取り外す方法については、「IDSM-2 の取り外し」を参照してください。

ここでは、次の内容について説明します。

「必要な工具」

「スロットの割り当て」

「IDSM-2 の取り付け」

「IDSM-2 の取り外し」

必要な工具


) IDSM-2 を使用する場合は、Catalyst 6500 シリーズ スイッチでスーパーバイザ エンジンが最低 1 つは実行されていなければなりません。詳細については、『Catalyst 6500 Series Switch Installation Guide』を参照してください。


Catalyst 6500 シリーズ スイッチに IDSM-2 を取り付けるには、次の工具が必要です。

マイナス ドライバ

リスト ストラップまたはその他のアース用器具

静電気防止用マットまたは静電気防止材

静電放電(ESD)による重大な損傷を防ぐために、IDSM-2 を扱うときは、必ずリスト ストラップまたはその他のアース用器具を使用してください。詳細については、「静電気防止対策を施した環境での作業」を参照してください。


警告 この装置の設置、交換、保守は、訓練を受けた相応の資格のある人が行ってください。ステートメント 1030


スロットの割り当て

Catalyst 6006 および 6506 スイッチのシャーシにはそれぞれ 6 つのスロットがあります。Catalyst 6009 および 6509 スイッチのシャーシにはそれぞれ 9 つのスロットがあります。Catalyst 6513 スイッチのシャーシには 13 のスロットがあります。


) Catalyst 6509-NEB スイッチでは、スロットが縦に並んでおり、右から左へ 1 ~ 9 の番号が付けられています。IDSM-2 は、部品側を右に向けて取り付けます。


IDSM-2 は、スーパーバイザ エンジンが使用するものを除き、任意のスロットに取り付けることができます。

1 台のシャーシにつき、最大で 8 つの IDSM-2 を取り付けることができます。


注意 空きスロットには、モジュール フィラー プレート(ブランク モジュール キャリア)を取り付けて、スイッチ シャーシを通るエアーフローが一定に保たれるようにしてください。


IDSM-2 は、スイッチド ポート アナライザ(SPAN)を使用するスーパーバイザ エンジンと組み合わせて使用できますが、セキュリティ VACL を持つコピー キャプチャ機能を使用するには、スーパーバイザ エンジンに Policy Feature Card(PFC; ポリシー フィーチャ カード)または Multilayer Switch Feature Card(MSFC; マルチレイヤ スイッチ フィーチャ カード)オプションを組み込む必要があります。


IDSM-2 の取り付け

IDSM-2 を Catalyst 6500 シリーズ スイッチに取り付けるには、次の手順を実行します。


ステップ 1 必要な ESD 予防措置を講じてください。


警告 作業中は、リスト ストラップを着用して静電放電による損傷を防止してください。手や金属の道具でバックプレーンに触れないでください。感電するおそれがあります。


詳細については、「静電気防止対策を施した環境での作業」を参照してください。

ステップ 2 IDSM-2 を取り付けるスロットを選びます。


IDSM-2 は、スーパーバイザ エンジンやその他のモジュール用に予約されているものを除き、任意のスロットに取り付けることができます。スーパーバイザ エンジンやその他のモジュール用に予約されているスロットについては、スイッチのマニュアルを参照してください。


ステップ 3 対象のスロットにフィラー プレートを固定している非脱落型ネジを取り外します(必要に応じてドライバを使用します)。

ステップ 4 フィラー プレートを慎重に引き出すようにして取り外します。

 


警告 ブランクの前面プレートおよびカバー パネルには 3 つの重要な役割があります。シャーシ内部の危険な電圧および電流に接触しないように防御の役割を果たします。他の機器に悪影響を与えるElectromagnetic Interference(EMI; 電磁干渉)を外に出しません。さらに、シャーシ全体に冷却用の空気を流します。カード、前面プレート、前面カバー、および背面カバーをすべて取り付けてから、システムを稼動させてください。ステートメント 1029


ステップ 5 IDSM-2 を片手で持ち、もう一方の手を IDSM-2 キャリアの下に添えて、モジュールを支えます。


注意 IDSM-2 のプリント基板またはコネクタ ピンに触れないよう注意してください。

ステップ 6 IDSM-2 キャリアの両側のノッチをスロットの溝に合わせて、IDSM-2 をスロットに差し込みます。

 

ステップ 7 IDSM-2 をバックプレーンに対して垂直に保ち、両側のイジェクト レバーにあるノッチがシャーシ側とかみ合うまで、IDSM-2 を慎重にスロットに押し込みます。

 

ステップ 8 両手の親指と人差し指で両側のイジェクト レバーを同時に回し、IDSM-2 がバックプレーン コネクタに完全にはまるようにします。


注意 IDSM-2 の取り付けまたは取り外しの際は、必ずイジェクト レバーを使用してください。モジュールがバックプレーンに完全にはまっていないと、システムが停止したり、クラッシュしたりする原因になります。


ホット スワップを実行すると、コンソールに「Module x has been inserted.」というメッセージが表示されます。しかし、Telnet セッションで Catalyst 6500 シリーズ スイッチに接続している場合は、このメッセージは表示されません。


ステップ 9 IDSM-2 の左右の端にある非脱落型ネジをドライバで締めます。

ステップ 10 IDSM-2 が正しく取り付けられていて、オンライン状態に移行できることを確認します。手順については、「IDSM-2 取り付けの確認」を参照してください。

ステップ 11 IDSM-2 を初期化します。

手順については、「センサーの初期化」を参照してください。

ステップ 12 IDSM-2 へのコマンド/コントロール アクセスをスイッチに設定します。

「Catalyst 6500 シリーズ スイッチにおける IDSM-2 へのコマンド/コントロール アクセスの設定」を参照してください。

ステップ 13 IDSM-2 を最新の Cisco IDS ソフトウェアにアップグレードします。

手順については、「Cisco IDS ソフトウェアの入手方法」を参照してください。

ステップ 14 インターフェイスを割り当てます。

手順については、「センシング インターフェイスの割り当てとイネーブル化」を参照してください。TCP リセット インターフェイスの詳細については、「TCP リセット インターフェイスの使用方法」を参照してください。

ステップ 15 IDSM-2 が IDS トラフィックをキャプチャするように設定します。

手順については、「IDS トラフィックのキャプチャ」を参照してください。

これで IDSM-2 の侵入検知を設定する準備ができました。


 

IDSM-2 取り付けの確認

スイッチが新しい IDSM-2 を認識し、オンラインに移行させたことを確認します。

取り付けを確認するには、次の手順を実行します。


ステップ 1 コンソールにログインします。

ステップ 2 Catalyst ソフトウェアの場合は、次のように入力して IDSM-2 がオンラインであることを確認します。

cat6k> enable
console> (enable) show module
Mod Slot Ports Module-Type Model Sub Status
--- ---- ----- ----------------------- ----------------- --- -----
1 1 2 1000BaseX Supervisor WS-X6K-SUP2-2GE yes ok
15 1 1 Multilayer Switch Featu WS-F6K-MSFC2 no ok
2 2 48 10/100BaseTX Ethernet WS-X6548-RJ-45 no ok
3 3 2 Intrusion Detection Sys WS-X6381-IDS no faulty
4 4 8 1000BaseX Ethernet WS-X6408-GBIC no ok
5 5 2 Intrusion Detection Sys WS-X6381-IDS no ok
6 6 0 FlexWAN Module WS-X6182-2PA no ok
7 7 2 Intrusion Detection Sys WS-x6381-IDS no ok
9 9 8 Intrusion Detection Sys WS-SVC-IDSM2 yes ok
 
Mod Module-Name Serial-Num
--- -------------------- -----------
1 SAD044409HJ
15 SAD044509KZ
2 SAD060304VG
3 SAD04130DZ4
4 JAB04040859
5 SAD044508PH
6 SAD06450316
7 SAD04130DZ9
9 SAD063803KK
Mod MAC-Address(es) Hw Fw Sw
--- -------------------------------------- ------ ---------- ------------
1 00-01-63-d0-73-20 to 00-01-63-d0-73-21 1.1 6.1(3) 8.2(2)
00-01-63-d0-73-1e to 00-01-63-d0-73-1f
00-04-de-43-ec-00 to 00-04-de-43-ef-ff
15 00-04-9a-12-3b-40 to 00-04-9a-12-3b-7f 1.1 12.1(22)E1 12.1(22)E1
2 00-01-63-d4-a0-aa to 00-01-63-d4-a0-d9 4.0 6.3(1) 8.2(2)
3 00-d0-97-38-74-71 to 00-d0-97-38-74-72 0.301 5.3(1) 8.2(2)
4 00-30-a3-38-9a-30 to 00-30-a3-38-9a-37 2.3 4.2(0.24)V 8.2(2)
5 00-30-f2-70-d8-5e to 00-30-f2-70-d8-5f 1.2 4B4LZ0XA 3.0(7)S82
6 00-09-7c-be-37-80 to 00-09-7c-be-37-bf 1.5 12.1(22)E1 12.1(22)E1
7 00-50-3e-7e-70-62 to 00-50-3e-7e-70-63 0.301 4B4LZ0XA 3.0(7)S82
9 00-03-fe-aa-c0-d8 to 00-03-fe-aa-c0-df 0.102 7.2(1) 4.1(4)S91
 
Mod Sub-Type Sub-Model Sub-Serial Sub-Hw Sub-Sw
--- ----------------------- ------------------- ----------- ------ ------
1 L3 Switching Engine II WS-F6K-PFC2 SAD044302BP 1.0
9 IDS 2 accelerator board WS-SVC-IDSUPG . 2.0
console> (enable)
 

ステップ 3 Cisco IOS ソフトウェアの場合は、次のように入力して IDSM-2 がオンラインであることを確認します。

Router# show module
Mod Ports Card Type Model Serial No.
--- ----- -------------------------------------- ------------------ -----------
1 2 Catalyst 6000 supervisor 2 (Active) WS-X6K-SUP2-2GE SAD060300AR
2 48 SFM-capable 48 port 10/100/1000mb RJ45 WS-X6548-GE-TX SAD074806XS
5 8 8 port 1000mb ethernet WS-X6408-GBIC SAD03380401
6 2 Intrusion Detection System WS-X6381-IDS SAD052106AX
7 0 2 port adapter FlexWAN WS-X6182-2PA SAD064502WY
9 8 Intrusion Detection System WS-SVC-IDSM2 SAD060301T4
 
Mod MAC addresses Hw Fw Sw Status
--- ---------------------------------- ------ ------------ ------------ -------
1 0002.7e38.7630 to 0002.7e38.7631 3.2 7.1(1) 12.1(19)E1 Ok
2 000e.8336.d730 to 000e.8336.d75f 6.0 7.2(1) 7.6(1.6)T195 Ok
5 0030.961a.b194 to 0030.961a.b19b 2.6 5.4(2) 7.6(1.6)T195 Ok
6 0002.7ef9.9c80 to 0002.7ef9.9c81 1.1 4B4LZ0XA 3.0(6)S42 Ok
7 0008.7cd5.2340 to 0008.7cd5.237f 1.5 12.1(19)E1 12.1(19)E1 Ok
9 0001.0002.0003 to 0001.0002.000a 0.102 7.2(1) 4.1(4)S91 Ok
 
Mod Sub-Module Model Serial Hw Status
--- --------------------------- --------------- --------------- ------- -------
1 Policy Feature Card 2 WS-F6K-PFC2 SAD060300XG 3.0 Ok
1 Cat6k MSFC 2 daughterboard WS-F6K-MSFC2 SAD060102D7 1.3 Ok
9 IDS 2 accelerator board WS-SVC-IDSUPG . 2.0 Ok
 
Mod Online Diag Status
--- -------------------
1 Pass
2 Pass
5 Pass
6 Not Supported
7 Not Supported
9 Pass
router#
 

) IDSM-2 を初めて取り付けたときに、ステータスが「other」を示すのは正常な動作です。IDSM-2 が診断ルーチンを完了してオンラインになると、ステータスが「ok」を示します。IDSM-2 がオンラインになるまでの時間は、最長で 5 分かかることがあります。


IDSM-2 の取り付けを確認した後に全メモリ テストをイネーブルにする方法については、「全メモリ テストのイネーブル」を参照してください。


 

IDSM-2 の取り外し

ここでは、Catalyst 6500 シリーズ スイッチから IDSM-2 を取り外す方法について説明します。


警告 この装置の設置、交換、保守は、訓練を受けた相応の資格のある人が行ってください。ステートメント 1030



注意 必ずシャットダウン手順を実行してから IDSM-2 を取り外してください。IDSM-2 を正しくシャットダウンしないと、ソフトウェアが破損する可能性があります。


警告 作業中は、リスト ストラップを着用して静電放電による損傷を防止してください。手や金属の道具でバックプレーンに触れないでください。感電するおそれがあります。


詳細については、「静電気防止対策を施した環境での作業」を参照してください。

IDSM-2 を取り外すには、次の手順を実行します。


ステップ 1 次のいずれかの方法で、IDSM-2 をシャットダウンします。

IDSM-2 CLI にログインして reset powerdown と入力します。

スイッチ CLI にログインして、次のいずれかのコマンドを入力します。

Catalyst ソフトウェアの場合は、次のように入力します。

set module shutdown module_number
 

Cisco IOS ソフトウェアの場合は、次のように入力します。

hw-module module module_number shutdown
 

IDM または IDS MC を使用して IDSM-2 をシャットダウンします。

Shutdown ボタンを押します。


) シャットダウンには数分かかることがあります。



注意 IDSM-2 を先にシャットダウンしないでスイッチ シャーシから取り外した場合、またはシャーシの電源が切れた場合は、IDSM-2 を複数回リセットしなければならないことがあります。手順については、「IDSM-2 のリセット」を参照してください。リセット操作を 3 回繰り返してもモジュールが反応しない場合は、メンテナンス パーティションをブートし、アプリケーション パーティションの復元手順を実行してください。手順については、「IDSM-2 のイメージの再作成」を参照してください。

ステップ 2 IDSM-2 がシャットダウンしたことを確認します。ステータス インジケータがオレンジに点灯するか、または消えるまで、IDSM-2 を取り外さないでください。

ステップ 3 IDSM-2 の左右にある非脱落型ネジをドライバで緩めます。

ステップ 4 左右のイジェクト レバーを持ち、両方のレバーを外側に同時に引き出して、バックプレーン コネクタから IDSM-2 モジュールを外します。

ステップ 5 IDSM-2 をスロットから引き出すときには、片手を IDSM-2 のキャリアの下に添えて支えます。


注意 プリント基板またはコネクタ ピンに触れないよう注意してください。

ステップ 6 片手でフレームを下から支えながら、スロットから IDSM-2 をまっすぐ引き出します。


) IDSM-2 をバックプレーンに対して垂直(床と水平)に保つように注意してください。


ステップ 7 IDSM-2 を静電気防止用マットまたは静電気防止材の上に置きます。

ステップ 8 スロットが空のままになる場合は、フィラー プレート(部品番号 800-00292-01)を取り付けて、シャーシの中に埃が入らないように、またモジュール コンパートメントを通るエアーフローが適正に保たれるようにします。


警告 ブランクの前面プレートおよびカバー パネルには 3 つの重要な役割があります。シャーシ内部の危険な電圧および電流に接触しないように防御の役割を果たします。他の機器に悪影響を与えるElectromagnetic Interference(EMI; 電磁干渉)を外に出しません。さらに、シャーシ全体に冷却用の空気を流します。カード、前面プレート、前面カバー、および背面カバーをすべて取り付けてから、システムを稼動させてください。ステートメント 1029