Cisco Security Manager 4.1 ユーザ ガイド
Cisco Catalyst スイッチおよび Cisco 7600 シリーズ ルータの管理
Cisco Catalyst スイッチおよび Cisco 7600 シリーズ ルータの管理
発行日;2012/05/09 | 英語版ドキュメント(2011/03/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

Cisco Catalyst スイッチおよび Cisco 7600 シリーズ ルータの管理

Cisco Catalyst スイッチおよび Cisco 7600 シリーズ ルータにおけるポリシーの検出

Catalyst 概要情報の表示

Catalyst インターフェイス、VLAN、および VLAN グループの概要の表示

[Interfaces]

Cisco Catalyst スイッチおよび Cisco 7600 シリーズ ルータのポートの作成または編集

Cisco Catalyst スイッチおよび Cisco 7600 シリーズ ルータのポートの削除

[Interfaces/VLANs] ページ - [Interfaces] タブ

[Create Interface]/[Edit Interface] ダイアログボックス - アクセス ポート モード

[Create Interface]/[Edit Interface] ダイアログボックス - ルーテッド ポート モード

[Create Interface]/[Edit Interface] ダイアログボックス - トランク ポート モード

[Create Interface]/[Edit Interface] ダイアログボックス - ダイナミック モード

[Create Interface]/[Edit Interface] ダイアログボックス - サブインターフェイス

[Create Interface]/[Edit Interface] ダイアログボックス - サポートされていないモード

VLAN

VLAN の作成または編集

VLAN の削除

[Interfaces/VLANs] ページ - [VLANs] タブ

[Create VLAN]/[Edit VLAN] ダイアログボックス

[Access Port Selector] ダイアログボックス

[Trunk Port Selector] ダイアログボックス

VLAN グループ

VLAN グループの作成または編集

VLAN グループの削除

[Interfaces/VLANs] ページ - [VLAN Groups] タブ

[Create VLAN Group]/[Edit VLAN Group] ダイアログボックス

[Service Module Slot Selector] ダイアログボックス

[VLAN Selector] ダイアログボックス

VLAN ACL(VACL)

VACL の作成または編集

VACL の削除

[VLAN Access Lists] ページ

[Create VLAN ACL]/[Edit VLAN ACL] ダイアログボックス

[Create VLAN ACL Content]/[Edit VLAN ACL Content] ダイアログボックス

IDSM 設定

EtherChannel VLAN 定義の作成または編集

EtherChannel VLAN 定義の削除

データ ポート VLAN 定義の作成または編集

データ ポート VLAN 定義の削除

[IDSM Settings] ページ

[Create IDSM EtherChannel VLANs]/[Edit IDSM EtherChannel VLANs] ダイアログボックス

[Create IDSM Data Port VLANs]/[Edit IDSM Data Port VLANs] ダイアログボックス

Cisco Catalyst スイッチおよび Cisco 7600 シリーズ ルータの管理

Cisco Security Manager は、Cisco Catalyst スイッチおよび Cisco 7600 シリーズ ルータにおけるセキュリティ サービスやその他のプラットフォーム固有サービスの管理と設定をサポートします。

VTP トランスペアレント モードまたは VTP クライアント/サーバ モードで設定された Catalyst スイッチおよび 7600 デバイスを管理できます。Security Manager は、デバイスにおける VLAN データベース管理(VLAN の作成、削除、スイッチ上の VLAN データベース内の VLAN のモニタリングなど)をバイパスすることによって、クライアント/サーバ モードで設定されたスイッチを管理します。

この章は、次の内容で構成されています。

「Cisco Catalyst スイッチおよび Cisco 7600 シリーズ ルータにおけるポリシーの検出」

「Catalyst 概要情報の表示」

「Catalyst インターフェイス、VLAN、および VLAN グループの概要の表示」

「[Interfaces]」

「VLAN」

「VLAN グループ」

「VLAN ACL(VACL)」

「IDSM 設定」

Cisco Catalyst スイッチおよび Cisco 7600 シリーズ ルータにおけるポリシーの検出

Cisco Catalyst スイッチおよび Cisco 7600 シリーズ ルータの設定(およびそれらに関連付けられているサービス モジュールやセキュリティ コンテキストの設定)を検出したり、設定をポリシーとして Security Manager にインポートしたりできます。これにより、各デバイスをポリシーごとに手動で設定することなく、既存のデバイスを追加したり、Security Manager で管理したりできるようになります。詳細については、「デバイス インベントリへのデバイスの追加」を参照してください。

Security Manager で設定できるコマンドを検出できます。サポートされていないコマンドは検出されません。つまり、これらのコマンドは、次に展開が行われたあともデバイスにそのまま残されています。さらに、Security Manager で検出できるコマンドの場合でも、そのコマンドに関連するサブコマンドとキーワードがすべて検出されるわけではなく、サポートされていない要素は、検出されずにデバイスにそのまま残されます。

また、Security Manager ですでに管理されているデバイスの設定をいつでも 再検出 できます。ただし、再検出を実行すると Security Manager で定義したポリシーが上書きされるため、通常は再検出を実行することは推奨しません。詳細については、「Security Manager にすでに存在するデバイス上のポリシーの検出」を参照してください。


) ポリシーの検出後すぐに(ポリシーに変更を加えたり、デバイスからポリシーの割り当てを解除したりする前に)展開を実行することを推奨します(この推奨事項は、デバイスによってホストされているサービス モジュールやセキュリティ コンテキストにも適用されます)。そうしなければ、Security Manager で設定した変更がデバイスに展開されないことがあります。「展開および Configuration Archive の使用」を参照してください。


関連項目

「ポリシーについて」

「ポリシーの検出」

「Cisco Catalyst スイッチおよび Cisco 7600 シリーズ ルータの管理」

「展開および Configuration Archive の使用」

Catalyst 概要情報の表示

[Catalyst Summary Info] ページを使用して、Security Manager によって検出されたサービス モジュール、ポート、VLAN などのシステム情報の概要を表示します。

Catalyst 概要情報を表示するには、デバイス ビューで Catalyst スイッチまたは Cisco 7600 シリーズ ルータを右クリックし、[Catalyst Summary Info] を選択するか、または [Tools] > [Catalyst Summary Info] を選択します。


) Security Manager による特定の Cisco Catalyst スイッチまたは Cisco 7600 シリーズ ルータの検出が完了しなかった場合は、そのデバイスの [Catalyst Summary Info] ページに「No information is available. This information is acquired during device discovery.」というメッセージが表示されます。


関連項目

「[IDSM Settings] ページ」

「[VLAN Access Lists] ページ」

「テーブルのフィルタリング」

フィールド リファレンス

 

表 62-1 [Catalyst Summary Info] ページ

要素
説明

[Hostname]

デバイスの設定済みホスト名が表示されます。

[Device Type]

デバイス タイプが表示されます。

[Serial Number]

デバイスのシリアル番号が表示されます。

[OS Version]

デバイスで実行されている Cisco IOS イメージのバージョンが表示されます。

[Image]

デバイスで実行されているイメージの名前が表示されます。

[Last Update]

最後の検出のタイム スタンプが表示されます。

[Total Ports]

アクセス ポート、ルーテッド ポート、およびトランク ポートを合わせた設定済みポートの合計数が表示されます。

[Access Ports]

シャーシの設定済みアクセス ポートの数が表示されます。

[Trunk Ports]

シャーシの設定済みトランク ポートの数が表示されます。

[Routed Ports]

シャーシの設定済みルーテッド ポートの数が表示されます。

[Total VLANs]

シャーシおよびそのすべてのサービス モジュールの設定済み VLAN の合計数が表示されます。

[Layer 2 VLANs]

レイヤ 2 で稼動している VLAN の数が表示されます。

[Layer 3 VLANs]

レイヤ 3 で稼動している VLAN の数が表示されます。

[Service Module] テーブル

[Slot]

サービス モジュールが接続されているスロットが表示されます。

[Device Type]

サービス モジュールの簡単な説明が表示されます。

[Serial Number]

サービス モジュールのシリアル番号が表示されます。

[Model]

サービス モジュールのモデル タイプが表示されます。

[OS Version]

インストールされ、サービス モジュールで稼動している OS バージョンが表示されます。

[Assigned VLANs]

FWSM が割り当てられている VLAN の合計数が表示されます。

ヒント [Interfaces/VLANs] ポリシーの [Summary] タブをクリックすると、IDSM または VPNSM に割り当てられている VLAN を確認できます。

[Contexts]

マルチ コンテキスト モードで実行されている FWSM の設定済みセキュリティ コンテキストの合計数が表示されます。

ヒント [Interfaces/VLANs] ポリシーの [Summary] タブをクリックすると、IDSM に設定されている仮想センサーの数を確認できます。

Catalyst インターフェイス、VLAN、および VLAN グループの概要の表示

[Interfaces/VLAN] ポリシーの [Summary] タブを使用して、サポートされている Catalyst 6500 シリーズと 7600 シリーズのシャーシおよびそれらに関連付けられたサービス モジュールに設定されているすべての VLAN、VLAN グループ、インターフェイス、およびサブインターフェイスの属性を表示します。

インターフェイス情報の概要を表示するには、デバイス ビューで、ポリシー セレクタから [Interfaces/VLANs] を選択し、[Summary] タブをクリックします。


) [Summary] タブは、Cisco Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータの場合だけ使用できます。


関連項目

「[Interfaces/VLANs] ページ - [VLANs] タブ」

「[Interfaces/VLANs] ページ - [VLAN Groups] タブ」

「[Interfaces/VLANs] ページ - [Interfaces] タブ」

「Catalyst 概要情報の表示」

「テーブルのフィルタリング」

フィールド リファレンス

 

表 62-2 [Interfaces/VLANs] ページ - [Summary] タブ

要素
説明

[VLAN ID]

インターフェイスまたはサブインターフェイスに関連付けられている VLAN ID。VLAN ID は、インターフェイスまたはサブインターフェイスで 802.1Q タグ付きパケットを送受信する場所を示します。VLAN ID が指定されていない場合は、インターフェイスまたはサブインターフェイスでトラフィックを送受信できません。

(注) 同じ物理インターフェイスに設定されたすべてのサブインターフェイスでは、VLAN ID がすべて一意である必要があります。

[VLAN Name]

インターフェイスまたはサブインターフェイスに対応する VLAN の名前。たとえば、VLAN003、Trunk1 など。

[VLAN Group]

テーブルの行が示す VLAN に設定されている VLAN グループの数値 ID。

[VLAN Type]

VLAN が Layer 2 または Layer 3 にアクセスできるかどうかを指定します。

[IP Address/Mask]

インターフェイスまたはサブインターフェイスに設定されている VLAN の IP アドレスおよび対応するサブネット マスク。

[Access Port]

VLAN が使用するアクセス ポートに割り当てられている名前が表示されます(名前が割り当てられている場合)。

[Trunk Port]

トランクを介したトラフィックの伝送が許可される VLAN を示します。

[Slot (-Port)]

シャーシ スロット番号(関連サービス モジュールの取り付け先)を x - y の形式のハイフンでつながれたペアとしてポート番号に関連付けます(たとえば、3-1)。

[Blade Type]

特定の VLAN が設定されているサービス モジュールの種類(FWSM、VPNSM など)を示します。

[Security Context]

インターフェイスに関連付けられたセキュリティ コンテキストを示します。ただし、取り付けられたモジュールでマルチ モードがアクティブであり、そのモジュールに管理コンテキストが設定されている場合にかぎります。

[Security Context Interface]

セキュリティ コンテキストでトラフィックを検査する物理インターフェイスまたはサブインターフェイスの ID が表示されます。表示された ID は、物理インターフェイス、単一のサブインターフェイス(1 つの範囲で定義)、またはサブインターフェイスの範囲を表す場合があります。

[Security Level]

インターフェイスのセキュリティ レベルが表示されます。値の範囲は 0(最低のセキュリティ)~ 100(最高のセキュリティ)です。

外部インターフェイスの場合、デフォルトは 0 です。

内部インターフェイスの場合、デフォルトは 100 です。

DMZ 内のインターフェイスの場合、デフォルトは通常は 1 ~ 99 です。

[Interfaces]

[Interfaces/VLANs] ページの [Interfaces] タブを使用して、次のタイプのポートを表示および管理します。

アクセス ポート:ホスト マシンまたはサーバの接続に使用されるスイッチング ポート。アクセス ポートは、1 つの VLAN だけに属し、1 つの VLAN だけのトラフィックを伝送します。トラフィックは、VLAN タグが付いていないネイティブ形式で送受信されます。

トランク ポート:複数の VLAN のトラフィックを伝送する、レイヤ 2 で動作するスイッチング ポート。トラフィックには、各 VLAN からのトラフィックを区別する VLAN 番号がタグ付けされます。トランク ポートは、スイッチ間の接続またはスイッチとルータ間の接続に使用されます。

ルーテッド ポート:ルータ上のポートのように機能する物理ポート。ルーテッド ポートは特定の VLAN に関連付けられず、通常のルータ インターフェイスのように動作します。ルーテッド ポートにはレイヤ 3 ルーティング プロトコルを設定できます。

ダイナミック ポート:ネイバー ポートがトランク ポートとして設定されている場合に、トランク ポートに動的に変更できるポート。

サポートされないポート:Security Manager によってサポートされない Catalyst デバイス上のポート。

[Interfaces] タブを表示するには、デバイス ビューで Catalyst デバイスを選択し、ポリシー セレクタから [Interfaces/VLANs] を選択して作業領域で [Interfaces] タブをクリックします。

次の項では、Catalyst デバイスのインターフェイスを定義するときに実行できるアクションについて説明します。

「Cisco Catalyst スイッチおよび Cisco 7600 シリーズ ルータのポートの作成または編集」

「Cisco Catalyst スイッチおよび Cisco 7600 シリーズ ルータのポートの削除」

「[Interfaces/VLANs] ページ - [Interfaces] タブ」

関連項目

「VLAN」

「VLAN グループ」

「VLAN ACL(VACL)」

「Cisco Catalyst スイッチおよび Cisco 7600 シリーズ ルータの管理」

Cisco Catalyst スイッチおよび Cisco 7600 シリーズ ルータのポートの作成または編集

Cisco Catalyst スイッチおよび Cisco 7600 シリーズ ルータのアクセス ポート、ルーテッド ポート、またはトランク ポートを作成できますが、次の制限事項があります。

各インターフェイスに名前が必要です。

アクセス ポートは 1 つの VLAN だけに関連付けることができます。

トランク ポートは 1 つ以上の VLAN に関連付けることができます。

関連項目

「Cisco Catalyst スイッチおよび Cisco 7600 シリーズ ルータのポートの削除」

「VLAN の作成または編集」

「VLAN グループの作成または編集」

「[Interfaces/VLANs] ページ - [Interfaces] タブ」

「[Interfaces]」


ステップ 1 (デバイス ビュー)Catalyst デバイスを選択し、ポリシー セレクタから [Interfaces/VLANs] を選択して作業領域で [Interfaces] タブをクリックします。

[Interfaces] タブが表示されます。このタブの各フィールドの説明については、「[Interfaces/VLANs] ページ - [Interfaces] タブ」を参照してください。

ステップ 2 次のいずれかを実行します。

新しいインターフェイスの属性を定義するには、[Add Row] をクリックします。

インターフェイスの属性を編集するには、リストで選択して [Edit Row] をクリックします。

ステップ 3 (任意)このインターフェイスをシャットダウン モードにする場合は、[Enable Interface] チェックボックスをオフにします。

ステップ 4 [Type] リストから [Interface] または [Subinterface] を選択します。

ステップ 5 (インターフェイスだけ)インターフェイスの名前を入力します。[Select] をクリックするとダイアログボックスが開き、インターフェイス タイプと、カード、スロット、およびサブインターフェイスなどのインターフェイスの位置情報に基づいて、標準の名前を生成できます。ダイアログボックスを使用してインターフェイス名を生成する方法については、「[Interface Auto Name Generator] ダイアログボックス」を参照してください。

ステップ 6 (インターフェイスだけ)[Mode] リストからオプションを選択して、ポート設定タイプを指定します。ダイアログボックスのフィールドは、選択に応じて変わります。

ステップ 7 (サブインターフェイスだけ)サブインターフェイスの親インターフェイスを選択し、ID 番号を入力します。

ステップ 8 選択したタイプの設定を定義または指定します。

[Access Port]:フィールドの説明については、「[Create Interface]/[Edit Interface] ダイアログボックス - アクセス ポート モード」を参照してください。

[Routed Port]:フィールドの説明については、「[Create Interface]/[Edit Interface] ダイアログボックス - ルーテッド ポート モード」を参照してください。

[Trunk Port]:フィールドの説明については、「[Create Interface]/[Edit Interface] ダイアログボックス - トランク ポート モード」を参照してください。

[Dynamic Port]:フィールドの説明については、「[Create Interface]/[Edit Interface] ダイアログボックス - ダイナミック モード」を参照してください。

[Subinterface]:フィールドの説明については、「[Create Interface]/[Edit Interface] ダイアログボックス - サブインターフェイス」を参照してください。

[Unsupported]:フィールドの説明については、「[Create Interface]/[Edit Interface] ダイアログボックス - サポートされていないモード」を参照してください。

ステップ 9 [Speed] リストから、インターフェイスの速度を定義するオプションを選択します。

ステップ 10 インターフェイスに特定の速度を定義し、そのため [Duplex] リストが有効になっている場合は、デュプレックス オプションを選択します。

ステップ 11 [MTU] フィールドに、最大伝送ユニット値を入力します。

ステップ 12 インバウンド(受信)トラフィックとアウトバウンド(送信)トラフィックに対してフロー制御を使用するかどうかを設定します。

ステップ 13 (任意)[Description] フィールドに、インターフェイスの説明を入力します。

ステップ 14 [OK] をクリックして定義をクライアントにローカルに保存し、ダイアログボックスを閉じます。


 

Cisco Catalyst スイッチおよび Cisco 7600 シリーズ ルータのポートの削除

インターフェイスの定義はいつでも削除できますが、このオプションは慎重に使用してください。関連デバイスでポリシー定義にインターフェイス定義が含まれている場合は、インターフェイスを削除すると、これらのポリシー定義をデバイスに展開できなくなります。

関連項目

「Cisco Catalyst スイッチおよび Cisco 7600 シリーズ ルータのポートの作成または編集」

「[Interfaces]」


ステップ 1 (デバイス ビュー)デバイス セレクタから Cisco Catalyst スイッチまたは Cisco 7600 シリーズ ルータを選択します。

ステップ 2 ポリシー セレクタから [Interfaces/VLANs] を選択します。

ステップ 3 作業領域で [Interfaces] タブをクリックします。

[Interfaces] タブが表示されます。このタブの各フィールドの説明については、「[Interfaces/VLANs] ページ - [Interfaces] タブ」を参照してください。

ステップ 4 テーブルからインターフェイスを選択し、[Delete Row] をクリックします。インターフェイスが削除されます。


 

[Interfaces/VLANs] ページ - [Interfaces] タブ

[Interfaces] タブを使用して、サポートされている Cisco Catalyst スイッチと Cisco 7600 シリーズ ルータおよびそれらに関連付けられたサービス モジュール(ブレード)のインターフェイスやサブインターフェイスを表示および設定します。

ナビゲーション パス

(デバイス ビュー)デバイス セレクタから [Interfaces/VLANs] を選択し、[Interfaces] タブをクリックします。

関連項目

「[Interfaces/VLANs] ページ - [VLANs] タブ」

「[Interfaces/VLANs] ページ - [VLAN Groups] タブ」

「Catalyst インターフェイス、VLAN、および VLAN グループの概要の表示」

「テーブルのフィルタリング」

フィールド リファレンス

 

表 62-3 [Interfaces/VLANs] ページ - [Interfaces] タブ

要素
説明

[Name]

インターフェイス タイプ、シャーシ スロット、およびインターフェイス カードの番号。たとえば、 FastEthernet 2/7 は、ファスト イーサネット、スロット 2、インターフェイス 7 を意味します。

[Mode]

物理ポートのコンフィギュレーション モード:

[Access]

[Routed]

[Trunk]

[Dynamic Auto]

[Dynamic Desirable]

[Unsupported]

[VLAN ID]

説明されているサブインターフェイスに関連付けられた VLAN ID。イーサネット インターフェイスおよび VLAN インターフェイスに対してだけ表示されます。

[IP Address]

インターフェイスの IP アドレス。

[Enabled]

インターフェイスがイネーブルになっているかディセーブル(シャットダウン状態)になっているかを示します。

[Interface Roles]

命名パターンがこのインターフェイスと一致するインターフェイス ロール。「インターフェイス ロール オブジェクトについて」を参照してください。

[Description]

(任意)インターフェイスの説明。

[Add Row] ボタン

新しいインターフェイスを定義できる [Create Interface] ダイアログボックスを開きます。詳細については、関連するモードの説明を参照してください。

アクセス ポート モード:「[Create Interface]/[Edit Interface] ダイアログボックス - アクセス ポート モード」

ルーテッド ポート モード:「[Create Interface]/[Edit Interface] ダイアログボックス - ルーテッド ポート モード」

トランク ポート モード:「[Create Interface]/[Edit Interface] ダイアログボックス - トランク ポート モード」

ダイナミック モード:「[Create Interface]/[Edit Interface] ダイアログボックス - ダイナミック モード」

[Edit Row] ボタン

選択したインターフェイスを編集できる [Edit Interface] ダイアログボックスを開きます。詳細については、関連するモードの説明を参照してください。

アクセス ポート モード:「[Create Interface]/[Edit Interface] ダイアログボックス - アクセス ポート モード」

ルーテッド ポート モード:「[Create Interface]/[Edit Interface] ダイアログボックス - ルーテッド ポート モード」

トランク ポート モード:「[Create Interface]/[Edit Interface] ダイアログボックス - トランク ポート モード」

ダイナミック モード:「[Create Interface]/[Edit Interface] ダイアログボックス - ダイナミック モード」

サポートされていないモード:「[Create Interface]/[Edit Interface] ダイアログボックス - サポートされていないモード」

[Delete Row] ボタン

選択したインターフェイスを削除します。

[Create Interface]/[Edit Interface] ダイアログボックス - アクセス ポート モード

[Create Interface] ダイアログボックス(または [Edit Interface] ダイアログボックス)を使用して、アクセス ポート モードで稼動する物理インターフェイスや仮想インターフェイスの属性を設定します。

ナビゲーション パス

「[Interfaces/VLANs] ページ - [Interfaces] タブ」に移動し、[Add] または [Edit] をクリックして [Create Interface]/[Edit Interface] ダイアログボックスを開き、[Mode] リストから [Access Port] を選択します。

関連項目

「[Create Interface]/[Edit Interface] ダイアログボックス - ルーテッド ポート モード」

「[Create Interface]/[Edit Interface] ダイアログボックス - トランク ポート モード」

「[Create Interface]/[Edit Interface] ダイアログボックス - ダイナミック モード」

「[Interface Auto Name Generator] ダイアログボックス」

「FlexConfig ポリシーとポリシー オブジェクトについて」

「インターフェイス ロール オブジェクトについて」

フィールド リファレンス

 

表 62-4 [Create Interface]/[Edit Interface] ダイアログボックス - アクセス ポート モード

要素
説明

[Enable Interface]

このチェックボックスをオンにすると、インターフェイスがイネーブルになります。

オフにすると、shutdown コマンドを使用してインターフェイスがディセーブルになります。

[Type]

定義をインターフェイスに適用するか、サブインターフェイスに適用するかを指定します。

サブインターフェイスを定義する方法の詳細については、「[Create Interface]/[Edit Interface] ダイアログボックス - サブインターフェイス」を参照してください。

[Name]([Select] ボタン)

名前が設定されている場合は、生成されたインターフェイスの名前を表示します。

「[Interface Auto Name Generator] ダイアログボックス」を開くには、[Select] をクリックします。このダイアログボックスで、Security Manager がインターフェイス名の生成に使用する詳細情報を入力または編集できます。

[Mode]

このインターフェイスのポート設定タイプ。

[Access Port] を選択すると、アクセス ポートに関連する設定オプションが表示されます。

アクセス ポート設定

[VLAN ID]([Select] ボタン)

VLAN を選択した場合は、アクセス ポート モードで使用する VLAN のインターフェイス固有 ID が表示されます。それ以外の場合は、[Select] をクリックすると「[VLAN Selector] ダイアログボックス」が開きます。

VLAN ID は、サブインターフェイスで 802.1Q タグ付きパケットを送受信する場所を示します。VLAN ID が指定されていない場合は、サブインターフェイスでトラフィックを送受信できません。有効な値の範囲は 1 ~ 4094 です。接続されているデバイスで VLAN ID が予約されている場合があります。詳細については、デバイスのマニュアルを参照してください。マルチ コンテキスト モードの場合、VLAN はシステム設定でしか設定できません。

(注) 同じ物理インターフェイスに設定されたすべてのサブインターフェイスでは、VLAN ID がすべて一意である必要があります。

コマンドを使用します。メイン インターフェイスに VLAN を設定すると、デバイスに設定できる VLAN の数が多くなります。

[Enable Port Security]

このチェックボックスをオンにすると、ポートへのアクセスを許可される MAC アドレスを限定して、インターフェイスへの入力を制限できます。

オフにすると、ポート セキュリティがディセーブルになります。

[Max.MAC Addresses]

[Enable Port Security] がオンの場合にだけ適用されます。

インターフェイスのセキュア MAC アドレスの最大数。有効な値の範囲は 1 ~ 4097 です。

(注) セキュア MAC アドレスは、接続デバイスの MAC アドレスを使用して動的に設定されます。

[Violation Policy]

セキュリティ違反が発生した場合に実行されるアクション。

[Port Security Protect]:セキュア MAC アドレスを必要な数だけ削除してカウントが最大値を下回るまで、送信元アドレスが不明なパケットをドロップします。

[Port Security Restrict]:セキュア MAC アドレスを必要な数だけ削除してカウントが最大値を下回るまで、送信元アドレスが不明なパケットをドロップします。さらに、SecurityViolation カウンタを 1 増やします。

[Port Security Shutdown]:インターフェイスをただちに error-disabled 状態とし、SNMP トラップ通知を送信します。

セキュリティ違反は、セキュア MAC アドレスが最大数まで設定されたあと、アドレス テーブルに MAC アドレスが登録されていないワークステーションがインターフェイスにアクセスしようとした場合に発生します。

[Enable VACL Capture]

このチェックボックスをオンにすると、VACL キャプチャがイネーブルになります。キャプチャ ビットが設定されると、キャプチャ機能がイネーブルなポートで、転送されたパケットを受信できます。

オフにすると、VACL キャプチャがディセーブルになります。

[Capture VLANs]([Select] ボタン)

転送された VLAN パケットを VACL で受信する必要のある VLAN を識別できます。このオプションは、[Enable VACL Capture] チェックボックスをオンにした場合にだけ使用できます。

カンマで区切られた VLAN ID のリストを入力するか、または [Select] をクリックして「[VLAN Selector] ダイアログボックス」を開きます。

VACL は、VLAN パケットが VLAN に最初にルーティングまたはブリッジングされた場合だけ、このパケットをキャプチャできます。キャプチャできるのは、転送されたパケットに限られます。

共通インターフェイス設定

[Speed]

物理インターフェイスの速度。

[10]:10 Mbps で送信します。

[100]:100 Mbps で送信します。

[1000]:1,000 Mbps で送信します。

[10000]:10,000 Mbps で送信します。

[Auto]:[Speed] を [Auto] に設定すると、[Speed] および [Duplex] がどちらもオートネゴシエーションされます。

[Non-Negotiate]:リンクのネゴシエーションをディセーブルにします。

[Duplex]

インターフェイスのデュプレックス設定。

[Auto]:デュプレックス設定をオートネゴシエーションします。

[Half]:データの送受信を同時には行いません。

[Full]:データの送受信を同時に行います。

[Speed] が [Auto] に設定されている場合は、デュプレックス設定も [Auto] に設定する必要があります。

[MTU]

最大伝送ユニット。これは、インターフェイスで処理できる最大パケット サイズ(バイト単位)です。有効な値の範囲は、インターフェイス タイプによって異なります。

[Description]

インターフェイスを説明するテキスト。復帰を使用しないで 1 行に最大 240 文字を入力します。

(注) マルチ コンテキスト モードの場合、システムの説明とコンテキストの説明に関係はありません。

[Flow Control Receive]

受信フレームのフロー制御設定。

[Off]:ネイバー ポートがフロー制御を要求しても、ポートではフロー制御を使用しません。

[On]:ネイバー ポートの要求に従って、ポートでフロー制御を使用します。

[Desired]:ポートでフロー制御フレームは許可されますが、必須ではありません。

フロー制御フレーム(別名ポーズ フレーム)は、バッファが一杯になったときに、指定した間隔だけフレームの送信を停止するよう送信元にシグナリングする特別なパケットです。

[Flow Control Send]

送信フレームのフロー制御設定。

[Off]:ポートはネイバー ポートにフロー制御フレームを送信しません。

[On]:ポートはネイバー ポートにフロー制御フレームを送信します。

[Desired]:ポートでフロー制御フレームは許可されますが、必須ではありません。

[Roles]

インターフェイスに関連付けられたインターフェイス ロールを表示します。インターフェイス ロールとは、各デバイスの設定が生成されるときに、実際のインターフェイス IP アドレスで置き換えられるオブジェクトです。インターフェイス ロールを使用すると、複数のインターフェイスに適用可能な汎用規則を定義できます。「インターフェイス ロール オブジェクトについて」を参照してください。

[Create Interface]/[Edit Interface] ダイアログボックス - ルーテッド ポート モード

[Create Interface] ダイアログボックス(または [Edit Interface] ダイアログボックス)を使用して、レイヤ 3 においてルーテッド ポート モードで稼動する物理インターフェイスの属性を設定します。

ナビゲーション パス

「[Interfaces/VLANs] ページ - [Interfaces] タブ」に移動し、[Add] または [Edit] をクリックして [Create Interface]/[Edit Interface] ダイアログボックスを開き、[Mode] リストから [Routed Port] を選択します。

関連項目

「[Create Interface]/[Edit Interface] ダイアログボックス - アクセス ポート モード」

「[Create Interface]/[Edit Interface] ダイアログボックス - トランク ポート モード」

「[Create Interface]/[Edit Interface] ダイアログボックス - ダイナミック モード」

「インターフェイス ロール オブジェクトについて」

「ポリシーのオブジェクトの選択」

「ネットワーク/ホスト オブジェクトについて(IPv4 および IPv6)」

フィールド リファレンス

 

表 62-5 [Create Interface]/[Edit Interface] ダイアログボックス - ルーテッド ポート モード

要素
説明

[Enable Interface]

このチェックボックスをオンにすると、インターフェイスがイネーブルになります。

オフにすると、shutdown コマンドを使用してインターフェイスがディセーブルになります。

[Type]

定義をインターフェイスに適用するか、サブインターフェイスに適用するかを指定します。

サブインターフェイスを定義する方法の詳細については、「[Create Interface]/[Edit Interface] ダイアログボックス - サブインターフェイス」を参照してください。

[Name]([Select] ボタン)

名前が設定されている場合は、生成されたインターフェイスの名前を表示します。

「[Interface Auto Name Generator] ダイアログボックス」を開くには、[Select] をクリックします。このダイアログボックスで、Security Manager がインターフェイス名の生成に使用する詳細情報を入力または編集できます。

[Mode]

このインターフェイスのポート設定タイプ。

[Routed Port] を選択すると、ルーテッド ポートに関連する設定オプションが表示されます。

ルーテッド ポート設定

[IP Type]

ポートで使用する IP アドレスのタイプ。

[Static IP]:インターフェイスで永続的な IP アドレスを使用することを指定し、関連する GUI 要素をアクティブにします。

[IP Address]([Select] ボタン)

IP アドレスを入力するか、または [Select] をクリックして、IP アドレスを選択できる [Networks/Hosts Selector] を開くことができます。

[Helper IP Addresses]([Select] ボタン)

インターフェイスにヘルパー IP アドレスを割り当てることができます。ヘルパー IP アドレスによって、ブロードキャストの DHCP 要求が、DHCP サーバだけに送信されるユニキャストの要求に変換されます。

[Mask]

サブネット マスクを指定できます。ネットマスク値を入力するか、またはリストからネットマスクを選択できます。ネットマスクを入力する場合は、その値をドット付き 10 進表記(255.255.255.0 など)で指定するか、またはビット数(24 など)を入力します。

(注) ネットワークに接続されているインターフェイスには、255.255.255.254 または 255.255.255.255 を使用しないでください。これらのネットマスクを使用すると、インターフェイス上のすべてのトラフィックが停止します。

共通インターフェイス設定

[Speed]

物理インターフェイスの速度。

[10]:10 Mbps で送信します。

[100]:100 Mbps で送信します。

[1000]:1,000 Mbps で送信します。

[10000]:10,000 Mbps で送信します。

[Auto]:[Speed] を [Auto] に設定すると、[Speed] および [Duplex] がどちらもオートネゴシエーションされます。

[Non-Negotiate]:リンクのネゴシエーションをディセーブルにします。

[Duplex]

インターフェイスのデュプレックス設定。

[Auto]:デュプレックス設定をオートネゴシエーションします。

[Half]:データの送受信を同時には行いません。

[Full]:データの送受信を同時に行います。

[Speed] が [Auto] に設定されている場合は、デュプレックス設定も [Auto] に設定する必要があります。

[MTU]

最大伝送ユニット。これは、インターフェイスで処理できる最大パケット サイズ(バイト単位)です。有効な値の範囲は、インターフェイス タイプによって異なります。

[Description]

インターフェイスを説明するテキスト。復帰を使用しないで 1 行に最大 240 文字を入力します。

(注) マルチ コンテキスト モードの場合、システムの説明とコンテキストの説明に関係はありません。

[Flow Control Receive]

受信フレームのフロー制御設定。

[Off]:ネイバー ポートがフロー制御を要求しても、ポートではフロー制御を使用しません。

[On]:ネイバー ポートの要求に従って、ポートでフロー制御を使用します。

[Desired]:ポートでフロー制御フレームは許可されますが、必須ではありません。

フロー制御フレーム(別名ポーズ フレーム)は、バッファが一杯になったときに、指定した間隔だけフレームの送信を停止するよう送信元にシグナリングする特別なパケットです。

[Flow Control Send]

送信フレームのフロー制御設定。

[Off]:ポートはネイバー ポートにフロー制御フレームを送信しません。

[On]:ポートはネイバー ポートにフロー制御フレームを送信します。

[Desired]:ポートでフロー制御フレームは許可されますが、必須ではありません。

[Roles]

インターフェイスに関連付けられたインターフェイス ロールを表示します。インターフェイス ロールとは、各デバイスの設定が生成されるときに、実際のインターフェイス IP アドレスで置き換えられるオブジェクトです。インターフェイス ロールを使用すると、複数のインターフェイスに適用可能な汎用規則を定義できます。「インターフェイス ロール オブジェクトについて」を参照してください。

[Create Interface]/[Edit Interface] ダイアログボックス - トランク ポート モード

[Create Interface] ダイアログボックス(または [Edit Interface] ダイアログボックス)を使用して、トランク ポート モードで稼動する物理インターフェイスや仮想インターフェイスの属性を設定します。

ナビゲーション パス

「[Interfaces/VLANs] ページ - [Interfaces] タブ」に移動し、[Add] または [Edit] をクリックして [Create Interface]/[Edit Interface] ダイアログボックスを開き、[Mode] リストから [Trunk Port] を選択します。

関連項目

「[Create Interface]/[Edit Interface] ダイアログボックス - アクセス ポート モード」

「[Create Interface]/[Edit Interface] ダイアログボックス - ルーテッド ポート モード」

「[Create Interface]/[Edit Interface] ダイアログボックス - ダイナミック モード」

「FlexConfig ポリシーとポリシー オブジェクトについて」

「インターフェイス ロール オブジェクトについて」

フィールド リファレンス

 

表 62-6 [Create Interface]/[Edit Interface] ダイアログボックス - トランク ポート モード

要素
説明

[Enable Interface]

このチェックボックスをオンにすると、インターフェイスがイネーブルになります。

オフにすると、shutdown コマンドを使用してインターフェイスがディセーブルになります。

[Type]

定義をインターフェイスに適用するか、サブインターフェイスに適用するかを指定します。

サブインターフェイスを定義する方法の詳細については、「[Create Interface]/[Edit Interface] ダイアログボックス - サブインターフェイス」を参照してください。

[Name]([Select] ボタン)

名前が設定されている場合は、生成されたインターフェイスの名前を表示します。

「[Interface Auto Name Generator] ダイアログボックス」を開くには、[Select] をクリックします。このダイアログボックスで、Security Manager がインターフェイス名の生成に使用する詳細情報を入力または編集できます。

[Mode]

このインターフェイスのポート設定タイプ。

[Trunk Port] を選択すると、トランク ポートに関連する設定オプションが表示されます。

トランク ポート設定

[Encapsulation]

次のいずれかを選択します。

[DOT1Q]:トランク リンクでの VLAN カプセル化を、IEEE 802.1Q 規格で定義されたカプセル化に指定します。イーサネット サブインターフェイスだけに適用されます。

[ISL]:トランク リンクでの ISL カプセル化を指定します。10 ギガビット イーサネット ポートは ISL カプセル化をサポートしていません。

コマンドを使用します。メイン インターフェイスに VLAN を設定すると、ルータに設定できる VLAN の数が多くなります。

[Native VLAN]([Select] ボタン)

[VLAN ID] フィールドで指定された ID を使用して、このインターフェイスに関連付けるネイティブ VLAN を選択できます(ネイティブ VLAN に VLAN ID が指定されていない場合、デフォルト値は 1 です)。このオプションは、802.1Q トランク インターフェイスとして機能する物理インターフェイスを設定する場合にだけ適用されます。

カプセル化タイプとして DOT1Q を先に指定しておく必要があります。

トランク インターフェイスのネイティブ VLAN は、タグ付けされていないすべての VLAN パケットが論理的に割り当てられる VLAN です。これには、VLAN に関連付けられた管理トラフィックが含まれます。

オフにすると、ネイティブ VLAN はこのインターフェイスに関連付けられません。

(注) トランク インターフェイスのサブインターフェイスには、ネイティブ VLAN を設定できません。リンクの両端には必ず同じ [Native VLAN] 値を設定してください。同じ値を設定しないと、トラフィックが失われたり、間違った VLAN に送信される場合があります。

「[VLAN Selector] ダイアログボックス」を開くには、[Select] をクリックします。このダイアログボックスで、指定したインターフェイスにネイティブ VLAN を関連付けることができます。

[Enable DTP negotiation]

このチェックボックスをオンにすると、Dynamic Trunking Protocol(DTP; ダイナミック トランキング プロトコル)ネゴシエーションがイネーブルになります。DTP は、デバイス間のトランク オートネゴシエーション(ISL および 802.1Q)を管理します。

オフにすると、DTP ネゴシエーションがディセーブルになります。

[Allowed VLANs]([Select] ボタン)

トランクで許可される VLAN を指定できます。VLAN ID を入力してください。カンマを使用して複数の VLAN を区切るか、またはハイフンを使用して VLAN の範囲を指定します(12,17,22 または 2-200 など)。有効な ID の範囲は 1 ~ 4094 です。

あるいは、[Select] をクリックして「[VLAN Selector] ダイアログボックス」を開きます。このダイアログボックスで、トランクに含める VLAN を選択できます。

[Prune VLANs]([Select] ボタン)

プルーニング可能な VLAN を指定できます。VLAN ID を入力してください。カンマを使用して複数の VLAN を区切るか、またはハイフンを使用して VLAN の範囲を指定します(12,17,22 または 2-200 など)。

あるいは、[Select] をクリックして「[VLAN Selector] ダイアログボックス」を開きます。このダイアログボックスで、プルーニング可能な VLAN を選択できます。

[Enable VACL Capture]

このチェックボックスをオンにすると、VACL キャプチャがイネーブルになります。キャプチャ ビットが設定されると、キャプチャ機能がイネーブルなポートで、転送されたパケットを受信できます。

オフにすると、VACL キャプチャがディセーブルになります。

[Capture VLANs]([Select] ボタン)

転送された VLAN パケットを VACL で受信する必要のある VLAN を識別できます。このオプションは、[Enable VACL Capture] チェックボックスをオンにした場合にだけ使用できます。

カンマで区切られた VLAN ID のリストを入力するか、または [Select] をクリックして「[VLAN Selector] ダイアログボックス」を開きます。

VACL は、VLAN パケットが VLAN に最初にルーティングまたはブリッジングされた場合だけ、このパケットをキャプチャできます。キャプチャできるのは、転送されたパケットに限られます。

[Enable Port Security]

IOS ソフトウェア バージョン 12.2(18)SXE2 以降を実行しているデバイスにだけ適用されます。

このチェックボックスをオンにすると、ポートへのアクセスを許可される MAC アドレスを限定して、インターフェイスへの入力を制限できます。

オフにすると、ポート セキュリティがディセーブルになります。

(注) このオプションを選択した場合、[Enable DTP Negotiation] オプションは自動的にオフになります。

[Max.MAC Addresses]

[Enable Port Security] がオンの場合にだけ適用されます。

インターフェイスのセキュア MAC アドレスの最大数。有効な値の範囲は 1 ~ 4097 です。

(注) セキュア MAC アドレスは、接続デバイスの MAC アドレスを使用して動的に設定されます。

[Violation Policy]

セキュリティ違反が発生した場合に実行されるアクション。

[Port Security Protect]:セキュア MAC アドレスを必要な数だけ削除してカウントが最大値を下回るまで、送信元アドレスが不明なパケットをドロップします。

[Port Security Restrict]:セキュア MAC アドレスを必要な数だけ削除してカウントが最大値を下回るまで、送信元アドレスが不明なパケットをドロップします。さらに、SecurityViolation カウンタを 1 増やします。

[Port Security Shutdown]:インターフェイスをただちに error-disabled 状態とし、SNMP トラップ通知を送信します。

セキュリティ違反は、セキュア MAC アドレスが最大数まで設定されたあと、アドレス テーブルに MAC アドレスが登録されていないワークステーションがインターフェイスにアクセスしようとした場合に発生します。

共通インターフェイス設定

[Speed]

物理インターフェイスの速度。

[10]:10 Mbps で送信します。

[100]:100 Mbps で送信します。

[1000]:1,000 Mbps で送信します。

[10000]:10,000 Mbps で送信します。

[Auto]:[Speed] を [Auto] に設定すると、[Speed] および [Duplex] がどちらもオートネゴシエーションされます。

[Non-Negotiate]:リンクのネゴシエーションをディセーブルにします。

[Duplex]

インターフェイスのデュプレックス設定。

[Auto]:デュプレックス設定をオートネゴシエーションします。

[Half]:データの送受信を同時には行いません。

[Full]:データの送受信を同時に行います。

[Speed] が [Auto] に設定されている場合は、デュプレックス設定も [Auto] に設定する必要があります。

[MTU]

最大伝送ユニット。これは、インターフェイスで処理できる最大パケット サイズ(バイト単位)です。有効な値の範囲は、インターフェイス タイプによって異なります。

[Description]

インターフェイスを説明するテキスト。復帰を使用しないで 1 行に最大 240 文字を入力します。

(注) マルチ コンテキスト モードの場合、システムの説明とコンテキストの説明に関係はありません。

[Flow Control Receive]

受信フレームのフロー制御設定。

[Off]:ネイバー ポートがフロー制御を要求しても、ポートではフロー制御を使用しません。

[On]:ネイバー ポートの要求に従って、ポートでフロー制御を使用します。

[Desired]:ポートでフロー制御フレームは許可されますが、必須ではありません。

フロー制御フレーム(別名ポーズ フレーム)は、バッファが一杯になったときに、指定した間隔だけフレームの送信を停止するよう送信元にシグナリングする特別なパケットです。

[Flow Control Send]

送信フレームのフロー制御設定。

[Off]:ポートはネイバー ポートにフロー制御フレームを送信しません。

[On]:ポートはネイバー ポートにフロー制御フレームを送信します。

[Desired]:ポートでフロー制御フレームは許可されますが、必須ではありません。

[Roles]

インターフェイスに関連付けられたインターフェイス ロールを表示します。インターフェイス ロールとは、各デバイスの設定が生成されるときに、実際のインターフェイス IP アドレスで置き換えられるオブジェクトです。インターフェイス ロールを使用すると、複数のインターフェイスに適用可能な汎用規則を定義できます。「インターフェイス ロール オブジェクトについて」を参照してください。

[Create Interface]/[Edit Interface] ダイアログボックス - ダイナミック モード

[Create Interface] ダイアログボックス(または [Edit Interface] ダイアログボックス)を使用して、ダイナミック モードで稼動する物理インターフェイスや仮想インターフェイスの属性を設定します。ダイナミック ポートは、ネイバー ポートの設定に基づいてリンクをトランク リンクに変換できます。

ナビゲーション パス

「[Interfaces/VLANs] ページ - [Interfaces] タブ」に移動し、[Add] または [Edit] をクリックして [Create Interface]/[Edit Interface] ダイアログボックスを開き、[Mode] リストから [Dynamic] を選択します。

関連項目

「[Create Interface]/[Edit Interface] ダイアログボックス - アクセス ポート モード」

「[Create Interface]/[Edit Interface] ダイアログボックス - ルーテッド ポート モード」

「[Create Interface]/[Edit Interface] ダイアログボックス - トランク ポート モード」

「[Interface Auto Name Generator] ダイアログボックス」

「FlexConfig ポリシーとポリシー オブジェクトについて」

「インターフェイス ロール オブジェクトについて」

フィールド リファレンス

 

表 62-7 [Create Interface]/[Edit Interface] ダイアログボックス - ダイナミック モード

要素
説明

[Enable Interface]

このチェックボックスをオンにすると、インターフェイスがイネーブルになります。

オフにすると、shutdown コマンドを使用してインターフェイスがディセーブルになります。

[Type]

定義をインターフェイスに適用するか、サブインターフェイスに適用するかを指定します。

サブインターフェイスを定義する方法の詳細については、「[Create Interface]/[Edit Interface] ダイアログボックス - サブインターフェイス」を参照してください。

[Name]([Select] ボタン)

名前が設定されている場合は、生成されたインターフェイスの名前を表示します。

「[Interface Auto Name Generator] ダイアログボックス」を開くには、[Select] をクリックします。このダイアログボックスで、Security Manager がインターフェイス名の生成に使用する詳細情報を入力または編集できます。

[Mode]

このインターフェイスのポート設定タイプ。

[Dynamic] を選択すると、ダイナミック ポートに関連する設定オプションが表示されます。

ダイナミック ポート設定

[Dynamic Mode]

ダイナミック トランク モード:

[Auto]:ポートはリンクをトランク リンクに変換できます。ポートがトランク ポートになるのは、ネイバー ポートが [Trunk] または [Desirable] モードに設定されている場合です。

[Desirable]:ポートはアクティブにリンクをトランク リンクに変換しようとします。

[Access VLAN ID]

ポートがトランク リンクとして機能 しない 場合に使用するアクセス VLAN ID。ネイバー リンクが [Trunk]、[Auto]、または [Desirable] モードに設定されている場合に、このような状況になる可能性があります。

有効な値の範囲は 1 ~ 4094 です。

[Encapsulation]

次のいずれかを選択します。

[DOT1Q]:トランク リンクでの VLAN カプセル化を、IEEE 802.1Q 規格で定義されたカプセル化に指定します。イーサネット サブインターフェイスだけに適用されます。

[ISL]:トランク リンクでの ISL カプセル化を指定します。10 ギガビット イーサネット ポートは ISL カプセル化をサポートしていません。

[Negotiate]:インターフェイスがネイバー インターフェイスの設定と機能に基づいて ISL または 802.1Q トランクになるように、ネイバー インターフェイスとネゴシエートすることを指定します。

コマンドを使用します。メイン インターフェイスに VLAN を設定すると、ルータに設定できる VLAN の数が多くなります。

[Native VLAN]([Select] ボタン)

[VLAN ID] フィールドで指定された ID を使用して、このインターフェイスに関連付けるネイティブ VLAN を選択できます(ネイティブ VLAN に VLAN ID が指定されていない場合、デフォルト値は 1 です)。このオプションは、802.1Q トランク インターフェイスとして機能する物理インターフェイスを設定する場合にだけ適用されます。

カプセル化タイプとして DOT1Q を先に指定しておく必要があります。

トランク インターフェイスのネイティブ VLAN は、タグ付けされていないすべての VLAN パケットが論理的に割り当てられる VLAN です。これには、VLAN に関連付けられた管理トラフィックが含まれます。

オフにすると、ネイティブ VLAN はこのインターフェイスに関連付けられません。

(注) トランク インターフェイスのサブインターフェイスには、ネイティブ VLAN を設定できません。リンクの両端には必ず同じ [Native VLAN] 値を設定してください。同じ値を設定しないと、トラフィックが失われたり、間違った VLAN に送信される場合があります。

「[VLAN Selector] ダイアログボックス」を開くには、[Select] をクリックします。このダイアログボックスで、指定したインターフェイスにネイティブ VLAN を関連付けることができます。

[Allowed VLANs]([Select] ボタン)

トランクで許可される VLAN を指定できます。VLAN ID を入力してください。カンマを使用して複数の VLAN を区切るか、またはハイフンを使用して VLAN の範囲を指定します(12,17,22 または 2-200 など)。有効な ID の範囲は 1 ~ 4094 です。

あるいは、[Select] をクリックして「[VLAN Selector] ダイアログボックス」を開きます。このダイアログボックスで、トランクに含める VLAN を選択できます。

[Prune VLANs]([Select] ボタン)

プルーニング可能な VLAN を指定できます。VLAN ID を入力してください。カンマを使用して複数の VLAN を区切るか、またはハイフンを使用して VLAN の範囲を指定します(12,17,22 または 2-200 など)。

あるいは、[Select] をクリックして「[VLAN Selector] ダイアログボックス」を開きます。このダイアログボックスで、プルーニング可能な VLAN を選択できます。

[Enable VACL Capture]

このチェックボックスをオンにすると、VACL キャプチャがイネーブルになります。キャプチャ ビットが設定されると、キャプチャ機能がイネーブルなポートで、転送されたパケットを受信できます。

オフにすると、VACL キャプチャがディセーブルになります。

[Capture VLANs]([Select] ボタン)

転送された VLAN パケットを VACL で受信する必要のある VLAN を識別できます。このオプションは、[Enable VACL Capture] チェックボックスをオンにした場合にだけ使用できます。

カンマで区切られた VLAN ID のリストを入力するか、または [Select] をクリックして「[VLAN Selector] ダイアログボックス」を開きます。

VACL は、VLAN パケットが VLAN に最初にルーティングまたはブリッジングされた場合だけ、このパケットをキャプチャできます。キャプチャできるのは、転送されたパケットに限られます。

共通インターフェイス設定

[Speed]

物理インターフェイスの速度。

[10]:10 Mbps で送信します。

[100]:100 Mbps で送信します。

[1000]:1,000 Mbps で送信します。

[10000]:10,000 Mbps で送信します。

[Auto]:[Speed] を [Auto] に設定すると、[Speed] および [Duplex] がどちらもオートネゴシエーションされます。

[Non-Negotiate]:リンクのネゴシエーションをディセーブルにします。

[Duplex]

インターフェイスのデュプレックス設定。

[Auto]:デュプレックス設定をオートネゴシエーションします。

[Half]:データの送受信を同時には行いません。

[Full]:データの送受信を同時に行います。

[Speed] が [Auto] に設定されている場合は、デュプレックス設定も [Auto] に設定する必要があります。

[MTU]

最大伝送ユニット。これは、インターフェイスで処理できる最大パケット サイズ(バイト単位)です。有効な値の範囲は、インターフェイス タイプによって異なります。

[Description]

インターフェイスを説明するテキスト。復帰を使用しないで 1 行に最大 240 文字を入力します。

(注) マルチ コンテキスト モードの場合、システムの説明とコンテキストの説明に関係はありません。

[Flow Control Receive]

受信フレームのフロー制御設定。

[Off]:ネイバー ポートがフロー制御を要求しても、ポートではフロー制御を使用しません。

[On]:ネイバー ポートの要求に従って、ポートでフロー制御を使用します。

[Desired]:ポートでフロー制御フレームは許可されますが、必須ではありません。

フロー制御フレーム(別名ポーズ フレーム)は、バッファが一杯になったときに、指定した間隔だけフレームの送信を停止するよう送信元にシグナリングする特別なパケットです。

[Flow Control Send]

送信フレームのフロー制御設定。

[Off]:ポートはネイバー ポートにフロー制御フレームを送信しません。

[On]:ポートはネイバー ポートにフロー制御フレームを送信します。

[Desired]:ポートでフロー制御フレームは許可されますが、必須ではありません。

[Roles]

インターフェイスに関連付けられたインターフェイス ロールを表示します。インターフェイス ロールとは、各デバイスの設定が生成されるときに、実際のインターフェイス IP アドレスで置き換えられるオブジェクトです。インターフェイス ロールを使用すると、複数のインターフェイスに適用可能な汎用規則を定義できます。「インターフェイス ロール オブジェクトについて」を参照してください。

[Create Interface]/[Edit Interface] ダイアログボックス - サブインターフェイス

[Create Interface] ダイアログボックス(または [Edit Interface] ダイアログボックス)を使用して、Catalyst 6500/7600 デバイスに定義されているサブインターフェイスの属性を設定します。

ナビゲーション パス

「[Interfaces/VLANs] ページ - [Interfaces] タブ」に移動し、[Add] または [Edit] をクリックして [Create Interface]/[Edit Interface] ダイアログボックスを開き、[Type] リストから [Subinterface] を選択します。

関連項目

「[Create Interface]/[Edit Interface] ダイアログボックス - アクセス ポート モード」

「[Create Interface]/[Edit Interface] ダイアログボックス - ルーテッド ポート モード」

「[Create Interface]/[Edit Interface] ダイアログボックス - トランク ポート モード」

「[Create Interface]/[Edit Interface] ダイアログボックス - ダイナミック モード」

「インターフェイス ロール オブジェクトについて」

フィールド リファレンス

 

表 62-8 [Create Interface]/[Edit Interface] ダイアログボックス - サブインターフェイス

要素
説明

[Enable Interface]

このチェックボックスをオンにすると、サブインターフェイスがイネーブルになります。

オフにすると、shutdown コマンドを使用してサブインターフェイスがディセーブルになります。

[Type]

定義をインターフェイスに適用するか、サブインターフェイスに適用するかを指定します。[Subinterface] を選択します。

[Parent]

サブインターフェイスの親インターフェイスを示します。

[Subint.ID]

サブインターフェイスの ID アドレスを指定します。数値 ID 文字列は 10 文字を超えてはなりません。

[IP Type]

サブインターフェイスで使用する IP アドレスのタイプ。

[Static IP]:サブインターフェイスで永続的な IP アドレスを使用することを指定し、関連する GUI 要素をアクティブにします。

[IP Address]

IP アドレスを入力できます。

[Helper IP Addresses]

サブインターフェイスにヘルパー IP アドレスを割り当てることができます。ヘルパー IP アドレスによって、ブロードキャストの DHCP 要求が、DHCP サーバだけに送信されるユニキャストの要求に変換されます。

[Mask]

サブネット マスクを指定できます。ネットマスク値を入力するか、またはリストからネットマスクを選択できます。ネットマスクを入力する場合は、その値をドット付き 10 進表記(255.255.255.0 など)で指定するか、またはビット数(24 など)を入力します。

(注) ネットワークに接続されているインターフェイスには、255.255.255.254 または 255.255.255.255 を使用しないでください。これらのネットマスクを使用すると、インターフェイス上のすべてのトラフィックが停止します。

[Encapsulation]

サブインターフェイスに定義するカプセル化タイプ:

[blank]:カプセル化は定義されません。

[DOT1Q]:トランク リンクでの VLAN カプセル化を、IEEE 802.1Q 規格で定義されたカプセル化に指定します。イーサネット サブインターフェイスだけに適用されます。

[ISL]:トランク リンクでの ISL カプセル化を指定します。10 ギガビット イーサネット ポートは ISL カプセル化をサポートしていません。

コマンドを使用します。メイン インターフェイスに VLAN を設定すると、ルータに設定できる VLAN の数が多くなります。

[VLAN ID]

サブインターフェイスにカプセル化が定義されている場合にだけ適用されます。

サブインターフェイスに関連付ける VLAN ID。

[Description]

インターフェイスを説明するテキスト。復帰を使用しないで 1 行に最大 240 文字を入力します。

(注) マルチ コンテキスト モードの場合、システムの説明とコンテキストの説明に関係はありません。

[Create Interface]/[Edit Interface] ダイアログボックス - サポートされていないモード

Security Manager でサポートされていないモードが設定されたインターフェイスが検出された場合(dot1q-tunnel、private-vlan など)、そのインターフェイスは [Unsupported] モードで表示されます。このインターフェイスの属性を表示できますが、設定を変更する場合は、まずモードを変更する必要があります。[Mode] を除くすべての定義フィールドは読み取り専用です。

ナビゲーション パス

「[Interfaces/VLANs] ページ - [Interfaces] タブ」に移動し、モードが [Unsupported] として定義されているインターフェイスを選択します。次に、[Add] または [Edit] をクリックして、[Create Interface]/[Edit Interface] ダイアログボックスを開きます。

関連項目

「[Create Interface]/[Edit Interface] ダイアログボックス - アクセス ポート モード」

「[Create Interface]/[Edit Interface] ダイアログボックス - ルーテッド ポート モード」

「[Create Interface]/[Edit Interface] ダイアログボックス - トランク ポート モード」

「[Create Interface]/[Edit Interface] ダイアログボックス - ダイナミック モード」

フィールド リファレンス

 

表 62-9 [Create Interface]/[Edit Interface] ダイアログボックス - サポートされていないモード

要素
説明

[Enable Interface]

このチェックボックスがオンになっている場合、インターフェイスはイネーブルになっています。

オフになっている場合、インターフェイスは shutdown コマンドを使用してディセーブルになっています。

[Type]

定義をインターフェイスに適用するか、サブインターフェイスに適用するかを指定します。

[Name]([Select] ボタン)

インターフェイスの名前を表示します。

[Mode]

[Unsupported] が表示されます。これは、モードが Security Manager によってサポートされないインターフェイスを示します。

インターフェイス モードを変更するには、別のオプションを選択します。

(注) インターフェイス モードを変更すると、このダイアログボックスの他の設定を変更できるようになります。

[Speed]

物理インターフェイスの速度が表示されます。

[10]:10 Mbps で送信します。

[100]:100 Mbps で送信します。

[1000]:1,000 Mbps で送信します。

[10000]:10,000 Mbps で送信します。

[Auto]:[Speed] を [Auto] に設定すると、[Speed] および [Duplex] がどちらもオートネゴシエーションされます。

[Non-Negotiate]:リンクのネゴシエーションをディセーブルにします。

[Duplex]

インターフェイスのデュプレックス設定が表示されます。

[Auto]:デュプレックス設定をオートネゴシエーションします。

[Half]:データの送受信を同時には行いません。

[Full]:データの送受信を同時に行います。

[Speed] が [Auto] に設定されている場合は、デュプレックス設定も [Auto] に設定する必要があります。

[MTU]

最大伝送ユニットが表示されます。これは、インターフェイスで処理できる最大パケット サイズ(バイト単位)です。有効な値の範囲は、インターフェイス タイプによって異なります。

[Description]

インターフェイスを説明するテキストが表示されます。マルチ コンテキスト モードの場合、システムの説明とコンテキストの説明に関係はありません。

[Flow Control Receive]

受信フレームのフロー制御設定が表示されます。

[Off]:ネイバー ポートがフロー制御を要求しても、ポートではフロー制御を使用しません。

[On]:ネイバー ポートの要求に従って、ポートでフロー制御を使用します。

[Desired]:ポートでフロー制御フレームは許可されますが、必須ではありません。

フロー制御フレーム(別名ポーズ フレーム)は、バッファが一杯になったときに、指定した間隔だけフレームの送信を停止するよう送信元にシグナリングする特別なパケットです。

[Flow Control Send]

送信フレームのフロー制御設定が表示されます。

[Off]:ポートはネイバー ポートにフロー制御フレームを送信しません。

[On]:ポートはネイバー ポートにフロー制御フレームを送信します。

[Desired]:ポートでフロー制御フレームは許可されますが、必須ではありません。

[Roles]

インターフェイスに関連付けられたインターフェイス ロールを表示します。インターフェイス ロールとは、各デバイスの設定が生成されるときに、実際のインターフェイス IP アドレスで置き換えられるオブジェクトです。インターフェイス ロールを使用すると、複数のインターフェイスに適用可能な汎用規則を定義できます。「インターフェイス ロール オブジェクトについて」を参照してください。

VLAN

VLAN は、物理的な場所には基づかずに、論理的にセグメント化されたスイッチド ネットワークです。たとえば、VLAN を使用して、地理的に分散されたワークグループのメンバーを相互接続できます。VLAN を使用すると、担当者、装置、およびネットワーク インフラストラクチャの物理的な配置を変更する必要性が低減されるため、多くの組織で利便性が向上します。正しく設定された VLAN はスケーラブルかつ安全であり、ネットワーク管理タスクを簡素化できます。

VLAN は、単一のブリッジ ドメインで接続されたホストおよびネットワーク デバイス(ブリッジ、ルータなど)で構成されます。VLAN 間のトラフィックはルーティングする必要があります。

Security Manager を使用すると、簡単に VLAN を作成したり、Cisco Catalyst スイッチや Cisco 7600 シリーズ ルータ、これらでサポートされているサービス モジュール、およびセキュリティ コンテキストの定義済みインターフェイスの VLAN 設定を定義できます。

次の項では、Catalyst デバイスの VLAN を定義するときに実行できるアクションについて説明します。

「VLAN の作成または編集」

「VLAN の削除」

「[Interfaces/VLANs] ページ - [VLANs] タブ」

関連項目

「VLAN グループ」

「VLAN ACL(VACL)」

「Cisco Catalyst スイッチおよび Cisco 7600 シリーズ ルータの管理」

VLAN の作成または編集

VLAN を作成したり、VLAN の属性を再設定したりできます。

関連項目

「VLAN の削除」

「VLAN グループの作成または編集」

「VACL の作成または編集」

「[Create VLAN]/[Edit VLAN] ダイアログボックス」

「VLAN」


ステップ 1 (デバイス ビュー)Catalyst デバイスを選択し、ポリシー セレクタから [Interfaces/VLANs] を選択して作業領域で [VLANs] タブをクリックします。

[VLANs] タブが表示されます。このタブの各フィールドの説明については、「[Interfaces/VLANs] ページ - [VLANs] タブ」を参照してください。

ステップ 2 次のいずれかを実行します。

新しい VLAN の属性を定義するには、[Add Row] をクリックします。

VLAN の属性を編集するには、リストで選択して [Edit Row] をクリックします。

ダイアログボックスにあるフィールドの説明については、「[Create VLAN]/[Edit VLAN] ダイアログボックス」を参照してください。

ステップ 3 [VLAN ID] フィールドに、VLAN の一意の ID 番号を入力します。ブリッジ グループ内の他の VLAN に割り当てられていない番号を入力する必要があります。

ステップ 4 (任意)VLAN の名前を入力します。

ステップ 5 (任意)VLAN が VLAN グループの一部である場合は、グループ ID を選択するか、または [Add Group] を選択して [Create VLAN Group] ダイアログボックスを開きます。詳細については、「VLAN グループの作成または編集」を参照してください。

ステップ 6 [Status] リストから、VLAN のステータスを指定します([Active] または [Suspended])。

ステップ 7 [Type] リストから [Layer 2] または [Layer 3] を選択します。

ステップ 8 (任意)レイヤ 3 VLAN の場合、Switched Virtual Interface(SVI; スイッチ仮想インターフェイス)を定義します。

a. SVI をアクティブにするには、[Enable Interface] チェックボックスをオンにします。SVI を使用すると、VLAN 間のルーティングが可能になり、スイッチへの IP ホスト接続が提供されます。このチェックボックスをオフにすると、SVI はシャットダウン モードで作成されます。

b. SVI の IP アドレスを入力します。

c. SVI サブネット マスクを入力するか、または [Subnet Mask] リストからネットマスクの値を選択します。

d. (任意)必要に応じて説明を入力します。

ステップ 9 次のいずれか、または両方を実行します。

アクセス ポートを VLAN に関連付けるには、[Access Ports] テキスト ボックスにポート名を入力するか、または [Select] をクリックしてインターフェイス セレクタを開きます。

トランク ポートを VLAN に関連付けるには、[Trunk Ports] テキスト ボックスにポート名を入力するか、または [Select] をクリックしてインターフェイス セレクタを開きます。

このダイアログボックスのフィールドの説明については、「[Interface Selector] ダイアログボックス - VLAN ACL の内容」を参照してください。ポートの定義の詳細については、「Cisco Catalyst スイッチおよび Cisco 7600 シリーズ ルータのポートの作成または編集」を参照してください。

ステップ 10 [OK] をクリックして定義をクライアントにローカルに保存し、ダイアログボックスを閉じます。


 

VLAN の削除

VLAN を削除できます。ただし、VLAN を削除しても、その VLAN を参照する可能性があるポリシーからは削除されません。VLAN を削除する前に、他のポリシーでその VLAN が使用されていないことを確認してください。変更をデータベースに送信するときに、他のポリシーで参照されている未定義の VLAN が示されます。

関連項目

「VLAN の作成または編集」

「VLAN」


ステップ 1 (デバイス ビュー)デバイス セレクタから Cisco Catalyst スイッチまたは Cisco 7600 シリーズ ルータを選択します。

ステップ 2 ポリシー セレクタから [Interfaces/VLANs] を選択します。

ステップ 3 作業領域で [VLANs] タブをクリックします。

[VLANs] タブが表示されます。このタブの各フィールドの説明については、「[Interfaces/VLANs] ページ - [VLANs] タブ」を参照してください。

ステップ 4 テーブルから VLAN を選択し、[Delete Row] をクリックします。

VLAN が削除されます。


 

[Interfaces/VLANs] ページ - [VLANs] タブ

[VLANs] タブを使用して、サポートされている Cisco Catalyst スイッチと Cisco 7600 シリーズ ルータの VLAN を表示および設定します。

ナビゲーション パス

(デバイス ビュー)デバイス セレクタから [Interfaces/VLANs] を選択し、[VLANs] タブをクリックします。

関連項目

「[Interfaces/VLANs] ページ - [VLAN Groups] タブ」

「[Interfaces/VLANs] ページ - [Interfaces] タブ」

「Catalyst インターフェイス、VLAN、および VLAN グループの概要の表示」

「FlexConfig ポリシーとポリシー オブジェクトについて」

「[Create VLAN]/[Edit VLAN] ダイアログボックス」

「テーブルのフィルタリング」

フィールド リファレンス

 

表 62-10 [Interfaces/VLANs] ページ - [VLANs] タブ

要素
説明

[VLAN ID]

テーブルの行が示す VLAN のインターフェイス固有の ID。VLAN ID は、サブインターフェイスで 802.1Q タグ付きパケットを送受信する場所を示します。VLAN ID が指定されていない場合は、サブインターフェイスでトラフィックを送受信できません。有効な値の範囲は 2 ~ 4094 です(VLAN ID 1 は予約されています)。

(注) 同じ物理インターフェイスに設定されたすべてのサブインターフェイスでは、VLAN ID がすべて一意である必要があります。

コマンドを使用します。メイン インターフェイスに VLAN を設定すると、デバイスに設定できる VLAN の数が多くなります。

[Name]

インターフェイスまたはサブインターフェイスの対応する VLAN の名前。

[Interface]

インターフェイス(インターフェイス ロール)または物理インターフェイスの論理名を示します。

[Type]

VLAN が Layer 2 または Layer 3 にアクセスできるかどうかを指定します。

[Status]

VLAN がアクティブになっているか一時停止状態になっているかを示します。

[Add Row] ボタン

新しい VLAN を定義する [Create VLAN] ダイアログボックスを開きます。

[Edit Row] ボタン

選択した VLAN を編集する [Edit VLAN] ダイアログボックスを開きます。

[Delete Row] ボタン

選択した VLAN を削除します。

[Create VLAN]/[Edit VLAN] ダイアログボックス

[Create VLAN] ダイアログボックス(または [Edit VLAN] ダイアログボックス)を使用して、VLAN 設定および属性を設定または再設定します。

ナビゲーション パス

「[Interfaces/VLANs] ページ - [VLANs] タブ」に移動してから、テーブルの下にある [Add] ボタンまたは [Edit] ボタンをクリックします。

関連項目

「FlexConfig ポリシーとポリシー オブジェクトについて」

「[Create VLAN Group]/[Edit VLAN Group] ダイアログボックス」

「[Interface Selector] ダイアログボックス - VLAN ACL の内容」

フィールド リファレンス

 

表 62-11 [Create VLAN]/[Edit VLAN] ダイアログボックス

要素
説明

[VLAN ID]

設定されている VLAN ID が表示されます。設定されていない場合は、ID を手動で入力します。VLAN ID は、インターフェイスまたはサブインターフェイスで 802.1Q タグ付きパケットを送受信する場所を示します。VLAN ID が指定されていない場合は、インターフェイスまたはサブインターフェイスでトラフィックを送受信できません。各 VLAN に ID が必要です。有効な値の範囲は 1 ~ 4094 です。

(注) 同じ物理インターフェイスに設定されたすべてのサブインターフェイスでは、VLAN ID がすべて一意である必要があります。

コマンドを使用します。メイン インターフェイスに VLAN を設定すると、デバイスに設定できる VLAN の数が多くなります。

[Name]

VLAN の名前を入力します。VLAN 名を以前に入力した場合は、その名前が表示されます。各 VLAN に ID が必要であり、名前は任意で指定できます。最大長は 32 文字です。

[Group]

VLAN が属している VLAN グループ。VLAN は 1 つのグループだけに関連付けることができます。

VLAN を既存のグループに関連付けるか、または [Add Group] を選択して [Create VLAN Group] ダイアログボックスを開きます。

[Status]

VLAN の現在のステータス:

[Active]:VLAN はトラフィックを伝送します。

[Suspended]:VLAN はパケットを通過させません。

[Type]

指定された VLAN がレイヤ 2 とレイヤ 3 のどちらに設定されているかを示し、使用する VLAN の種類を選択できます。

レイヤ 3 VLAN の場合、IP アドレスが必要であり、VLAN インターフェイスが作成されます。

[Switch Virtual Interface]

レイヤ 3 VLAN を定義する場合にだけ適用されます。

[Enable Interface]:このチェックボックスをオンにすると、任意の VLAN に接続可能な仮想インターフェイスである Switched Virtual Interface(SVI; スイッチ仮想インターフェイス)がイネーブルになります。SVI を使用すると、VLAN 間のルーティングが可能になり、スイッチへの IP ホスト接続が提供されます。オフにすると、SVI がディセーブルになります。

[IP Address]:SVI の IP アドレス。IP アドレスは管理アクセスに必要です。

[Subnet Mask]:SVI のサブネット マスク。有効なサブネット マスク エントリのリストからオプションを選択します。

[Description]:復帰を使用しないで 1 行に最大 240 文字の説明を入力できます。マルチ コンテキスト モードの場合、システムの説明とコンテキストの説明に関係はありません。

[Access Ports]([Select] ボタン)

指定した VLAN に関連付けられているアクセス ポートが表示され、指定した VLAN のアクセス ポートの関連付けを追加または削除できます。任意の数のアクセス ポートを VLAN に関連付けることができます。

「[Access Port Selector] ダイアログボックス」を開くには、[Select] をクリックします。このダイアログボックスで、指定した VLAN にアクセス ポートを関連付けたり、VLAN からアクセス ポートの関連付けを削除したりできます。

[Trunk Ports]([Select] ボタン)

指定した VLAN に関連付けられているトランク ポートが表示され、指定した VLAN のトランク ポートの関連付けを追加または削除できます。VLAN は、許可された 1 つ以上のトランク ポートに属することができます。トランク ポート グループに VLAN を含めることができます。

「[Trunk Port Selector] ダイアログボックス」を開くには、[Select] をクリックします。このダイアログボックスで、指定した VLAN にトランク ポートを関連付けたり、VLAN からトランク ポートの関連付けを削除したりできます。

[Access Port Selector] ダイアログボックス

[Access Port Selector] ダイアログボックスを使用して、選択した VLAN に関連付けられているアクセス ポートを定義します。

ナビゲーション パス

「[Create VLAN]/[Edit VLAN] ダイアログボックス」を開き、[Access Ports] フィールドの [Select] をクリックします。

関連項目

「[Create Interface]/[Edit Interface] ダイアログボックス - アクセス ポート モード」

「[Trunk Port Selector] ダイアログボックス」

「テーブルのフィルタリング」

フィールド リファレンス

 

表 62-12 [Access Port Selector] ダイアログボックス

要素
説明

[Available Access Ports]

特定の VLAN に割り当てられていないアクセス ポートが表示されます。

[Add >>] ボタン

[Available Access Ports] リストで選択したインターフェイスを [Selected Access Ports] リストに追加します。

[Remove <<] ボタン

選択したインターフェイスを [Selected Access Ports] リストから削除します。

[Selected Access Ports]

選択されたインターフェイス オブジェクトを表示します。

[Add Row] ボタン

新しいインターフェイスを定義する [Create Interface] ダイアログボックスを開きます。

[Edit Row] ボタン

選択したインターフェイスを編集する [Edit Interface] ダイアログボックスを開きます。

[Trunk Port Selector] ダイアログボックス

[Trunk Port Selector] ダイアログボックスを使用して、選択した VLAN に関連付けるトランク ポートを定義します。

ナビゲーション パス

「[Create VLAN]/[Edit VLAN] ダイアログボックス」を開き、[Trunk Ports] フィールドの [Select] をクリックします。

関連項目

「[Create Interface]/[Edit Interface] ダイアログボックス - トランク ポート モード」

「[Access Port Selector] ダイアログボックス」

「テーブルのフィルタリング」

フィールド リファレンス

 

表 62-13 [Trunk Port Selector] ダイアログボックス

要素
説明

[Available Trunk Ports]

使用可能なすべてのトランク ポートが表示されます。

[Add >>] ボタン

[Available Trunk Ports] リストで選択したインターフェイスを [Selected Trunk Ports] リストに追加します。

[Remove <<] ボタン

選択したインターフェイスを [Selected Trunk Ports] リストから削除します。

[Selected Trunk Ports]

選択されたインターフェイス オブジェクトを表示します。

[Add Row] ボタン

新しいインターフェイスを定義する [Create Interface] ダイアログボックスを開きます。

[Edit Row] ボタン

選択したインターフェイスを編集する [Edit Interface] ダイアログボックスを開きます。

VLAN グループ

VLAN グループは、VLAN の論理集合を定義します。[Interfaces/VLANs] ページの [VLAN Groups] タブに、次の情報が表示されます。

選択したデバイスに定義されているすべての VLAN グループ。

VLAN グループがバインドされているサービス モジュール スロット。

各 VLAN グループに属している VLAN。

VLAN グループは、VLAN を FWSM セキュリティ コンテキストに割り当てる場合に使用できます。VLAN グループを複数の FWSM に割り当てたり、各 FWSM に複数の VLAN グループを割り当てたりすることができます。この割り当てを実行するには、「[Add Security Context]/[Edit Security Context] ダイアログボックス(FWSM)」を参照してください。

次の項では、Catalyst デバイスの VLAN グループを定義するときに実行できるアクションについて説明します。

「VLAN グループの作成または編集」

「VLAN グループの削除」

「[Interfaces/VLANs] ページ - [VLAN Groups] タブ」

関連項目

「[Interfaces]」

「VLAN」

「VLAN ACL(VACL)」

「Cisco Catalyst スイッチおよび Cisco 7600 シリーズ ルータの管理」

VLAN グループの作成または編集

VLAN グループを作成できます。VLAN グループを作成する場合は、次の点に留意してください。

各グループに ID が必要です。

VLAN グループは 1 つ以上の FWSM モジュールに関連付けることができます。

各 VLAN を複数の VLAN グループのメンバーにすることはできません。

関連項目

「VLAN グループの削除」

「VLAN の作成または編集」

「VACL の作成または編集」

「[Interfaces/VLANs] ページ - [VLAN Groups] タブ」

「VLAN グループ」


ステップ 1 (デバイス ビュー)Catalyst デバイスを選択し、ポリシー セレクタから [Interfaces/VLANs] を選択して作業領域で [VLAN Groups] タブをクリックします。

[VLAN Groups] タブが表示されます。このタブの各フィールドの説明については、「[Interfaces/VLANs] ページ - [VLAN Groups] タブ」を参照してください。

ステップ 2 次のいずれかを実行します。

新しい VLAN グループの属性を定義するには、[Add Row] をクリックします。

VLAN グループの属性を編集するには、リストで選択して [Edit Row] をクリックします。

このダイアログボックスのフィールドの説明については、「[Create VLAN Group]/[Edit VLAN Group] ダイアログボックス」を参照してください。

ステップ 3 [VLAN Group ID] フィールドに、VLAN グループの一意の ID 番号を入力します。他の VLAN グループに割り当てられていない番号を入力する必要があります。

ステップ 4 VLAN グループを特定のサービス モジュール スロットに関連付けるには、[Service Module Slots] テキスト ボックスにスロット番号を入力するか、または [Select] をクリックしてセレクタを開きます。


) この関連付けを定義すると、あとでこの VLAN グループを FWSM のセキュリティ コンテキストに割り当てることができます。「[Add Security Context]/[Edit Security Context] ダイアログボックス(FWSM)」を参照してください。


ステップ 5 VLAN グループに追加する VLAN を入力するか、または [Select] をクリックしてセレクタを開きます。

ステップ 6 [OK] をクリックして定義をクライアントにローカルに保存し、ダイアログボックスを閉じます。


 

VLAN グループの削除

VLAN グループを削除できます。VLAN グループを削除しても、グループ内の VLAN には影響しません。

関連項目

「VLAN グループの作成または編集」

「VLAN グループ」


ステップ 1 (デバイス ビュー)デバイス セレクタから Catalyst 6500 シリーズ スイッチまたは Cisco 7600 シリーズ ルータを選択します。

ステップ 2 ポリシー セレクタから [Interfaces/VLANs] を選択します。

ステップ 3 作業領域で [VLAN Groups] タブをクリックします。

[VLANs] タブが表示されます。このタブの各フィールドの説明については、「[Interfaces/VLANs] ページ - [VLAN Groups] タブ」を参照してください。

ステップ 4 テーブルから VLAN グループを選択し、[Delete Row] をクリックします。VLAN グループが削除されます。


 

[Interfaces/VLANs] ページ - [VLAN Groups] タブ

[VLAN Groups] タブを使用して、サポートされている 6500 シリーズ スイッチおよび 7600 シリーズ ルータの VLAN グループを表示および設定します。


) [VLAN Groups] タブは、Cisco Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータの場合だけ使用できます。


ナビゲーション パス

(デバイス ビュー)デバイス セレクタから [Interfaces/VLANs] を選択し、[VLAN Groups] タブをクリックします。

関連項目

「[Interfaces/VLANs] ページ - [VLANs] タブ」

「[Interfaces/VLANs] ページ - [Interfaces] タブ」

「Catalyst インターフェイス、VLAN、および VLAN グループの概要の表示」

「[Create VLAN Group]/[Edit VLAN Group] ダイアログボックス」

「テーブルのフィルタリング」

フィールド リファレンス

 

表 62-14 [Interfaces/VLANs] ページ - [VLAN Groups] タブ

要素
説明

[VLAN Group]

選択したデバイスに設定されている VLAN グループの数値 ID。

[Service Module Slots]

シャーシ スロット番号(関連サービス モジュールの取り付け先)を、特定の VLAN が VLAN グループへの参加に使用するインターフェイスに関連付けます。

[VLAN IDs]

このグループに関連付けられている VLAN ID。有効な値の範囲は 1 ~ 65535 です。

[Add Row] ボタン

新しい VLAN グループを定義する [Create VLAN Group] ダイアログボックスを開きます。

[Edit Row] ボタン

選択した VLAN グループを編集する [Edit VLAN Group] ダイアログボックスを開きます。

[Delete Row] ボタン

選択した VLAN グループを削除します。

[Create VLAN Group]/[Edit VLAN Group] ダイアログボックス

[Create VLAN Group]/[Edit VLAN Group] ダイアログボックスを使用して、VLAN グループの属性を設定または再設定します。VLAN グループは、VLAN ポート ポリシーを定義するときに相互に関連付ける VLAN の論理グループです。

ナビゲーション パス

次のいずれかを実行します。

「[Interfaces/VLANs] ページ - [VLAN Groups] タブ」に移動してから、テーブルの下にある [Add] ボタンまたは [Edit] ボタンをクリックします。

「[Interfaces/VLANs] ページ - [VLANs] タブ」に移動し、テーブルの下にある [Add] ボタンまたは [Edit] ボタンをクリックして [Group] リストから [Add Group] を選択します。

関連項目

「[Service Module Slot Selector] ダイアログボックス」

フィールド リファレンス

 

表 62-15 [Create VLAN Group]/[Edit VLAN Group] ダイアログボックス

要素
説明

[VLAN Group ID]

802.1q VLAN グループ名。有効な値の範囲は 1 ~ 65535 です。

[Service Module Slots]([Select] ボタン)

特定の VLAN が VLAN グループへの参加に使用するインターフェイスに関連付けられる、シャーシ スロット番号(関連サービス モジュールの取り付け先)。

スロット番号を入力するか、または [Select] をクリックして「[Service Module Slot Selector] ダイアログボックス」を開きます。

(注) VLAN グループを FWSM などのサービス モジュールに関連付けたあとで、VLAN グループを FWSM のセキュリティ コンテキストに割り当てることができます。「[Add Security Context]/[Edit Security Context] ダイアログボックス(FWSM)」を参照してください。

[VLAN IDs]([Select] ボタン)

グループに含まれるすべての VLAN のカンマで区切られた ID。各 VLAN を複数のグループのメンバーにすることはできません。

「[Service Module Slot Selector] ダイアログボックス」を開くには、[Select] をクリックします。このダイアログボックスで、VLAN グループに含める VLAN を選択できます。

[Service Module Slot Selector] ダイアログボックス

[Service Module Slot Selector] ダイアログボックスを使用して、サービス モジュールを VLAN に関連付けます。

ナビゲーション パス

「[Create VLAN Group]/[Edit VLAN Group] ダイアログボックス」に移動し、[Service Module Slots] フィールドの [Select] をクリックします。

関連項目

「[VLAN Selector] ダイアログボックス」

「テーブルのフィルタリング」

フィールド リファレンス

 

表 62-16 [Service Module Selector] ダイアログボックス

要素
説明

[Available Service Module Slots]

定義されているサービス モジュール スロットが表示されます。

[Add >>] ボタン

選択したサービス モジュール スロットを [Available Service Module Slots] リストから [Selected Service Module Slots] リストに移動します。

[Remove <<] ボタン

選択したサービス モジュール スロットを [Selected Service Module] リストから削除します。

[Selected Service Module Slots]

選択したサービス モジュール スロットが表示されます。

[VLAN Selector] ダイアログボックス

[VLAN Selector] ダイアログボックスを使用して、VLAN をインターフェイス、VLAN グループ、セキュリティ コンテキスト、および VACL に関連付けます。

ナビゲーション パス

このダイアログボックスにアクセスするには、インターフェイス、VLAN グループ、IDSM 設定、または VACL を定義するときに、VLAN の定義に使用するフィールドの [Select] ボタンをクリックします。

関連項目

「[Service Module Slot Selector] ダイアログボックス」

「テーブルのフィルタリング」

フィールド リファレンス

 

表 62-17 [VLAN Selector] ダイアログボックス

要素
説明

[Available VLANs]

設定するオブジェクトに関連付けることができる定義済みの VLAN が表示されます。

(注) 使用可能な VLAN は、設定するオブジェクトのタイプおよびデバイスに定義されているその他の設定によって異なります。たとえば、VLAN グループに割り当てる VLAN を選択する場合、[Available VLANs] リストには、別の VLAN グループに割り当てられていない VLAN だけが含まれます。セキュリティ コンテキストに割り当てる VLAN を選択する場合、[Available VLANs] リストには、設定するサービス モジュールに割り当てられている VLAN グループ内の VLAN だけが含まれます。

[Add >>] ボタン

選択した VLAN を [Available VLANs] リストから [Selected VLANs] リストに移動します。

[Remove <<] ボタン

選択した VLAN を [Selected VLANs] リストから削除します。

[Selected VLANs]

選択した VLAN が表示されます。

[VLAN Ranges]

セレクタを開く前に手動で入力された VLAN 範囲(ある場合)。

VLAN ACL(VACL)

Cisco IOS の標準 ACL と拡張 ACL は、ルータ インターフェイスに対してだけ設定し、ルーティングされるパケットにだけ適用されます。一方、Cisco Catalyst スイッチおよび Cisco 7600 シリーズ ルータでは、VLAN ACL(VACL)を使用して、VLAN 内でブリッジングされるすべてのパケット、または WAN インターフェイスを介した VACL キャプチャのために VLAN との間でルーティングされるすべてのパケットのアクセスを制御できます。VACL の特徴は次のとおりです。

ハードウェアで処理されます。

Cisco IOS ACL を使用します。

ハードウェアでサポートされていない Cisco IOS ACL フィールドを無視します。


) Security Manager では、MAC ACL(MACL)の作成または設定はサポートされません。MACL は、MAC アドレスに基づいて IPX、DECnet、AppleTalk、VINES、または XNS トラフィックをフィルタリングするために、VACL とともに使用されることがある名前付き ACL です。


VACL を設定して VLAN に適用すると、VLAN に着信するすべてのパケットは VACL に基づいてチェックされます。

VACL を VLAN に適用し、その同じ VLAN 内のルーテッド インターフェイスに ACL を適用すると、VLAN に着信するパケットは、まず VACL に基づいてチェックされます。次に、許可されたパケットは、ルーテッド インターフェイスに到達する前に入力 ACL に基づいてチェックされます。

パケットは、ある VLAN から別の VLAN にルーティングされる場合、まずルーテッド インターフェイスに適用される出力 ACL に基づいてチェックされます。次に、許可されたパケットは、宛先 VLAN に設定された VACL に基づいてチェックされます。

パケット タイプに VACL が設定され、そのタイプのパケットが VACL と一致しない場合のデフォルト アクションは拒否です。

VLAN アクセス マップ

Security Manager では、 VLAN アクセス マップ を使用して VACL を設定します。VLAN アクセス マップは概念的にはルート マップと似ており、1 つ以上の ステートメント (アクションと一致する条件)を配置したり、重要度に基づいて番号を付けたりするコンテナです。VLAN アクセス マップでは、マップが適用される VLAN を指定したり、マップ名を含めたり、少なくとも 1 つの VACL シーケンスを指定したりする必要もあります。

VACL シーケンスにはシーケンス番号と少なくとも 1 つのアクションが必要であり、VACL シーケンスは少なくとも 1 つの ACL と一致する必要があります。

デバイスはシーケンス内のマップ ステートメントを評価します。複数の VLAN アクセス マップを任意のデバイス シャーシに関連付けることができます。

VACL を管理するには、デバイス ビューで Catalyst デバイスを選択し、[Platform] > [VLAN Access Lists] を選択します。VLAN アクセス マップを使用して IP トラフィックの VACL を設定します。

次の項では、Catalyst デバイスの VACL を定義するときに実行できるアクションについて説明します。

「VACL の作成または編集」

「VACL の削除」

「[VLAN Access Lists] ページ」

関連項目

「VLAN」

「VLAN グループ」

「Cisco Catalyst スイッチおよび Cisco 7600 シリーズ ルータの管理」

VACL の作成または編集

VACL を作成または編集できる場合は、次の操作を実行する必要があります。

VACL に名前を付けます。

VACL が適用される VLAN を定義します。

少なくとも 1 つの VACL シーケンスが含まれるシーケンス マップを定義します。

関連項目

「VACL の削除」

「VLAN の作成または編集」

「VLAN グループの作成または編集」

「[Create VLAN ACL]/[Edit VLAN ACL] ダイアログボックス」

「[VLAN Access Lists] ページ」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)Catalyst デバイスを選択してから、ポリシー セレクタで [Platform] > [VLAN Access Lists] の順に選択します。

(ポリシー ビュー)[Catalyst Platform] > [VLAN Access Lists] の順に選択します。

[VLAN Access Lists] ページが表示されます。このページにあるフィールドの説明については、「[VLAN Access Lists] ページ」を参照してください。

ステップ 2 次のいずれかを実行します。

新しい VACL の属性を定義するには、[Add Row] をクリックします。

VACL の属性を編集するには、リストで選択して [Edit Row] をクリックします。

ダイアログボックスが開きます。ダイアログボックスにあるフィールドの説明については、「[Create VLAN ACL]/[Edit VLAN ACL] ダイアログボックス」を参照してください。

ステップ 3 [VLAN ACL Name] フィールドに VACL の名前を入力します。

ステップ 4 [VLANs] フィールドで、VACL を適用する VLAN を指定するか、または [Select] をクリックして VLAN セレクタを開きます。

ステップ 5 シーケンス マップを定義します。

a. [Sequence Map] テーブルの下にある [Add Row] または [Edit Row] をクリックします。ダイアログボックスが開きます。「[Create VLAN ACL Content]/[Edit VLAN ACL Content] ダイアログボックス」を参照してください。

b. シーケンスを識別する番号を入力します。

c. シーケンスに割り当てる標準 ACL または拡張 ACL を指定します。または、[Select] をクリックしてリストから ACL オブジェクトを選択するか、新しい ACL オブジェクトを作成します。ACL オブジェクトの詳細については、「アクセス コントロール リスト オブジェクトの作成」を参照してください。

d. このシーケンスで定義されている ACL と一致するトラフィックに対して実行するアクションを指定します(アクションとして [Redirect] を選択した場合は、物理的な宛先インターフェイスを指定するか、または [Select] をクリックしてセレクタを表示します。「ポリシー定義中のインターフェイスの指定」を参照してください)。

e. [OK] をクリックして定義をクライアントにローカルに保存し、ダイアログボックスを閉じます。シーケンスが [Sequence Map] テーブルに表示されます。

f. プロセスを繰り返して、シーケンスをシーケンス マップに追加します。

g. 上向きおよび下向き矢印を使用して、必要に応じてシーケンスを並べ替えます。


) シーケンスを配置する順序が重要です。フローが許可 ACL エントリと一致する場合、関連付けられたアクションが実行され、残りのシーケンスはチェックされません。フローが拒否 ACL エントリと一致する場合、フローは同じシーケンス内の次の ACL または次のシーケンスに基づいてチェックされます。フローがどの ACL エントリとも一致せず、少なくとも 1 つの ACL がそのパケット タイプに対して設定されている場合、パケットは拒否されます。



 

VACL の削除

デバイス、ポリシー、またはオブジェクトで使用されていない VACL は削除できます。

はじめる前に

データベースから VACL を削除する前に、VACL へのすべての参照を削除する必要があります。VACL へのすべての参照を確認するには、その VACL のオブジェクト使用状況レポートを実行します。「オブジェクト使用状況レポートの生成」を参照してください。

関連項目

「VACL の作成または編集」

「[Interfaces/VLANs] ページ - [VLANs] タブ」

「VLAN ACL(VACL)」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)Catalyst デバイスを選択してから、ポリシー セレクタで [Platform] > [VLAN Access Lists] の順に選択します。

(ポリシー ビュー)[Catalyst Platform] > [VLAN Access Lists] の順に選択します。

[VLAN Access Lists] ページが表示されます。このページにあるフィールドの説明については、「[VLAN Access Lists] ページ」を参照してください。

ステップ 2 行をクリックして VACL を選択し、[Delete] をクリックします。

ステップ 3 [OK] をクリックして変更を保存します。


 

[VLAN Access Lists] ページ

[VLAN Access Lists] ページを使用して、Cisco Catalyst スイッチおよび Cisco 7600 シリーズ ルータの VLAN アクセス リストを表示および設定します。

ナビゲーション パス

このページには次の手順でアクセスできます。

(デバイス ビュー)デバイス ポリシー セレクタから [Platform] > [VLAN Access Lists] を選択します。

(デバイス ビュー)ポリシー タイプ セレクタから [Catalyst Platform] > [VLAN Access Lists] を選択します。

関連項目

「アクセス コントロール リスト オブジェクトの作成」

「[Create VLAN ACL]/[Edit VLAN ACL] ダイアログボックス」

「[Create VLAN ACL Content]/[Edit VLAN ACL Content] ダイアログボックス」

「テーブルのフィルタリング」

フィールド リファレンス

 

表 62-18 [VLAN Access Lists] ページ

要素
説明
[VLAN Access Lists] テーブル

[VLAN ACL]

VLAN ACL 名が表示されます。

[Sequence]

マップ シーケンス番号を指定します。VACL シーケンスは、小さい番号から大きい番号の順に適用されます。

[Matching]

一致 ACL が表示されます(定義されている場合)。VACL のマッチングは、ACL 許可が見つかった場合にだけ実行されます。ACL 拒否は無視されます。

[Action]

アクションとして、パケットのドロップ、ドロップと記録、転送、転送とキャプチャ、またはリダイレクトのいずれかを指定します。

(注) リダイレクト アクションを使用すると、最大 5 つのインターフェイス(物理インターフェイスまたは EtherChannel)を指定できます。EtherChannel メンバまたは VLAN インターフェイスにはパケットをリダイレクトできません。

[VLAN IDs]

テーブルの行が示す VLAN のインターフェイス固有の ID。VLAN ID は、サブインターフェイスで 802.1Q タグ付きパケットを送受信する場所を示します。VLAN ID が指定されていない場合は、サブインターフェイスでトラフィックを送受信できません。

[Add Row] ボタン

新しい VACL を定義できる [Create VLAN ACL] ダイアログボックスを開きます。

[Edit Row] ボタン

選択した VACL を編集できる [Edit VLAN ACL] ダイアログボックスを開きます。

[Delete Row] ボタン

選択したアクセス リストを削除します。

その他のフィールド

[Log Table Size]

ログ テーブルのサイズが表示されます。

有効なサイズの範囲は 0 ~ 2048 で、デフォルトは 500 です。新しいフローからの記録済みパケットは、テーブルが一杯になるとドロップされます。

[Max.Packet Rate]

秒あたりの最大リダイレクト VACL ロギング パケット レートが表示されます。

有効なレートの範囲は秒あたり 10 ~ 5000 パケットで、デフォルト レートは 2000 です。制限を超えるパケットはドロップされます。

[Logging Threshold]

ロギングしきい値が表示されます(設定されている場合)。デフォルトでは、しきい値は設定されません。

VACL ロギングを設定した場合、フローのしきい値に達すると、拒否された IP パケットにより、5 分未満の間隔でフローごとにログ メッセージが生成されます。ログに記録できるのは、ドロップされた IP パケットだけです。

[Capture Interfaces]

キャプチャ ビットが設定された転送されるパケットをキャプチャするインターフェイスを示します。任意のインターフェイスをキャプチャ インターフェイスとして設定できます。

転送されるパケットには、キャプチャ処理によってキャプチャ ビットが設定されます。このため、キャプチャ機能が有効なポートでこのパケットを受信できます。キャプチャできるのは、転送されたパケットに限られます。

(注) ここに表示される情報は読み取り専用です。キャプチャ インターフェイスを定義するには、[Create Interface]/[Edit Interface] ダイアログボックスを使用します。「[Interfaces/VLANs] ページ - [Interfaces] タブ」を参照してください。

[Create VLAN ACL]/[Edit VLAN ACL] ダイアログボックス

[Create VLAN ACL] ダイアログボックス(または [Edit VLAN ACL] ダイアログボックス)を使用して、VACL 属性を設定または再設定します。

ナビゲーション パス

「[VLAN Access Lists] ページ」に移動してから、テーブルの下にある [Add] ボタンまたは [Edit] ボタンをクリックします。

関連項目

「[Create VLAN]/[Edit VLAN] ダイアログボックス」

「[Create VLAN Group]/[Edit VLAN Group] ダイアログボックス」

「テーブルのフィルタリング」

フィールド リファレンス

 

表 62-19 [Create VLAN ACL]/[Edit VLAN ACL] ダイアログボックス

要素
説明

[VLAN ACL Name]

VACL のユーザ定義名。

[VLANs]([Select] ボタン)

VACL を適用する VLAN を指定できます。次のいずれかを実行します。

VLAN ID を入力します。カンマを使用して複数の VLAN を区切るか、またはハイフンを使用して VLAN の範囲を指定できます。たとえば、12,17,22、2-200 など。有効な ID の範囲は 1 ~ 4094 です。

「[VLAN Selector] ダイアログボックス」を開くには、[Select] をクリックします。

[Sequence Map] テーブル

VLAN アクセス マップに含まれるシーケンス マップ。

VLAN アクセス マップは、1 つ以上のマップ シーケンスで構成できます。各シーケンスでは、トラック フィルタリング用の ACL オブジェクトを指定する match 句 および一致 ACL で定義されている基準を満たすパケットに対して実行するアクションを指定する action 句 がペアになっています。

シーケンス マップを追加するには、[Add Row](+)ボタンをクリックし、[Create VLAN ACL Content] ダイアログボックスに入力します(「[Create VLAN ACL Content]/[Edit VLAN ACL Content] ダイアログボックス」を参照)。

シーケンス マップを編集するには、そのマップを選択して [Edit Row] ボタンをクリックします。

シーケンス マップを削除するには、そのマップを選択して [Delete Row] ボタンをクリックします。

マップの順序を変更するには、マップを選択し、マップが目的の位置に配置されるまで上矢印ボタンまたは下矢印ボタンをクリックします。シーケンス番号は、移動すると変わります。

[Create VLAN ACL Content]/[Edit VLAN ACL Content] ダイアログボックス

[Create VLAN ACL Content] ダイアログボックス(または [Edit VLAN ACL Content] ダイアログボックス)を使用して、VACL シーケンスを設定または再設定します。

ナビゲーション パス

「[Create VLAN ACL]/[Edit VLAN ACL] ダイアログボックス」に移動してから、[Sequence Map] テーブルの下にある [Add] ボタンまたは [Edit] ボタンをクリックします。

関連項目

「[Create VLAN]/[Edit VLAN] ダイアログボックス」

「[Create VLAN Group]/[Edit VLAN Group] ダイアログボックス」

フィールド リファレンス

 

表 62-20 [Create VLAN ACL Content]/[Edit VLAN ACL Content] ダイアログボックス

要素
説明

[Sequence]

VLAN アクセス マップのマップ シーケンス番号を指定します。有効な値の範囲は 1 ~ 65535 です。

[Match ACLs]

シーケンスの match 句に含める ACL を指定します。

シーケンスに含める標準 ACL オブジェクトまたは拡張 ACL オブジェクトの名前を入力します。または、[Select] をクリックしてリストから ACL を選択するか、新しい ACL を作成します。

MAC レイヤ ACL は使用できません。

[Action]

一致 ACL で定義されている基準を満たすパケットに対して実行するオプション。

[Drop]:パケットをドロップします。

[Drop/Log]:ドロップされたパケットをログに記録します。

[Forward]:ハードウェア スイッチングを使用してパケットを宛先に転送します。

[Forward/Capture]:転送されるパケットにキャプチャ ビットを設定して、キャプチャ機能が有効なポートでこのパケットも受信するようにします。

[Redirect]:[Interfaces] フィールドで定義されているイーサネット インターフェイスにパケットをリダイレクトします。

[Interfaces]([Select] ボタン)

指定したアクションが [Redirect] の場合にだけ適用されます。

リダイレクト パケットの宛先インターフェイス。最大 5 つの物理インターフェイスの名前を入力するか、または [Select] をクリックして「[Interface Selector] ダイアログボックス - VLAN ACL の内容」を開きます。リダイレクト インターフェイスは、VACL アクセス マップが設定されている VLAN 内にある必要があります。

(注) EtherChannel メンバまたは VLAN インターフェイスにはパケットをリダイレクトできません。サブインターフェイスにもパケットをリダイレクトできません。

[Interface Selector] ダイアログボックス - VLAN ACL の内容

VACL シーケンス マップのエントリを作成するときに、[Interface Selector] ダイアログボックスを使用して、リダイレクト インターフェイスを定義します。

ナビゲーション パス

「[Create VLAN ACL Content]/[Edit VLAN ACL Content] ダイアログボックス」を開き、アクションとして [Redirect] を選択します。次に、[Interfaces] フィールドの [Select] をクリックします。

関連項目

「[Create VLAN ACL]/[Edit VLAN ACL] ダイアログボックス」

「[VLAN Access Lists] ページ」

「テーブルのフィルタリング」

フィールド リファレンス

 

表 62-21 [Interface Selector] ダイアログボックス

要素
説明

[Available Interfaces]

[Interfaces/VLANs] ポリシーで定義されている物理インターフェイスが表示されます。

[Add >>] ボタン

[Available Interfaces] リストで選択されているインターフェイスを [Selected Interfaces] リストに追加します。

[Remove <<] ボタン

選択したインターフェイスを [Selected Interfaces] リストから削除します。

[Selected Interfaces]

選択したインターフェイスが表示されます。

IDSM 設定

デバイス ビューで Catalyst デバイスを選択し、ポリシー セレクタから [Platform] > [IDSM Settings] を選択すると、次のリストが表示されます。

Intrusion Detection System Service Module(IDSM)のデータ ポートの設定が表示されます。

このリストは、IDSM データ ポートをチャネル グループに整理するのに役立ちます。

IDSM カードは、ネットワーク接続上のセキュリティ脅威を検出し、阻止します。2 つのデータ ポートに着信したトラフィックを検査し、セキュリティ脅威が検出された場合はパケットをドロップします。データ ポート設定では、次の定義を行います。

VLAN ID で定義されたデータ ポートで受信するトラフィック

データ ポートで使用する検知モード:

[Trunk (IPS)]:IDSM は 802.1q トランクとして動作し、同じデータ ポート内にある VLAN ペア間で VLAN ブリッジングを実行します。IDSM は、VLAN ペアの各 VLAN 上で受信するトラフィックを検査し、そのパケットをペアのもう一方の VLAN に転送するか、または侵入の試行が検出された場合はそのパケットをドロップできます。

[Capture (IDS)]:IDSM は、VACL キャプチャまたは SPAN を使用して、Catalyst スイッチがデータ ポートにコピーしたネットワーク トラフィックをパッシブにモニタします。データ ポートは、別の VLAN をトランキングするように設定できる 802.1q トランクとして動作します。このパッシブ モードで動作している場合、IDSM はネットワーク侵入の試行が検出されてもパケットをドロップできませんが、侵入をブロックする目的でデータ ポートを介して TCP リセットを送信できます。


) Security Manager は、IOS 12.2(18)SXF4 以降が実行されているシャーシにおける一部の IDSM 設定がサポートされます。トランク(IPS)モードとキャプチャ(IDS)モードはサポートされますが、インライン モードはサポートされません。Security Manager では、スパニング ツリーまたはアクセス VLAN の一部である IDSM データ ポートを管理できません。


トラフィックの多いネットワークでは、EtherChannel を使用して複数のデータ ポート間でロード バランシングを実行します。これらのデータ ポートは、同じ Catalyst デバイス内の異なる IDSM カードに配置できます。

EtherChannel を使用して、ポート障害時にトラフィックがチャネル グループ内の残りのポートにリダイレクトされることもあります。このような復元力により、ユーザによる介入なしに最小限のパケット損失で侵入の検出や防御を維持できます。

次の項では、IDSM 設定を定義するときに実行できるアクションについて説明します。

「EtherChannel VLAN 定義の作成または編集」

「EtherChannel VLAN 定義の削除」

「データ ポート VLAN 定義の作成または編集」

「データ ポート VLAN 定義の削除」

「[IDSM Settings] ページ」

関連項目

「VLAN」

「Cisco Catalyst スイッチおよび Cisco 7600 シリーズ ルータの管理」

EtherChannel VLAN 定義の作成または編集

EtherChannel VLAN 定義を行う場合は、次の操作を実行する必要があります。

チャネル グループに追加するデータ ポートを含む、スロットとポートの組み合わせを定義します。

データ ポートで使用する検知モードを選択します。

データ ポートに転送する VLAN を定義します。

次の制約事項が適用されます。

チャネル グループごとに 1 つの定義しか保持できません。

スロットとデータ ポートの組み合わせごとに 1 つの定義しか保持できません。つまり、このスロットとデータ ポートに対してすでにデータ ポート定義が存在する場合は、EtherChannel VLAN 定義を作成できません。

関連項目

「EtherChannel VLAN 定義の削除」

「データ ポート VLAN 定義の作成または編集」

「IDSM 設定」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)Catalyst デバイスを選択してから、ポリシー セレクタで [Platform] > [IDSM Settings] の順に選択します。

(ポリシー ビュー)[Catalyst Platform] > [IDSM Settings] の順に選択します。

[IDSM Settings] ページが表示されます。このページにあるフィールドの説明については、「[IDSM Settings] ページ」を参照してください。

ステップ 2 次のいずれかを実行します。

IDSM EtherChannel VLAN 定義を作成するには、[EtherChannel VLANs] テーブルの下にある [Add Row] をクリックします。

IDSM EtherChannel VLAN 定義を編集するには、リストで定義を選択し、テーブルの下にある [Edit Row] をクリックします。

[IDSM EtherChannel VLAN] ダイアログボックスが表示されます。このダイアログボックスにあるフィールドの説明については、「[Create IDSM EtherChannel VLANs]/[Edit IDSM EtherChannel VLANs] ダイアログボックス」を参照してください。

ステップ 3 VLAN のイーサネット インターフェイスにチャネル グループ番号を割り当てたり、チャネル グループ番号を変更したりするには、[Channel Group] テキスト ボックスに番号を入力します。

ステップ 4 IDSM サービス モジュールを取り付けた番号付きシャーシ スロットに VLAN を関連付け、その VLAN に 1 つのモジュール データ ポートを関連付けるには、次のいずれかを実行します。

[Slot-Ports] テキスト ボックスにスロットポート番号を入力します。

[Select] をクリックして、[IDSM Slot-Port Selector] ダイアログボックスを開きます。


) 1 つのモジュール データ ポートを VLAN に関連付けると、データ ポートを手動で設定する代わりに、グループ レベルでポートを設定できます。


ステップ 5 [Mode] リストから、EtherChannel VLAN の動作モードを選択します。[Capture] を選択する場合は、チェックボックスをオンにして、指定したチャネル グループをキャプチャ先として設定します。


) このチェックボックスをオンにしなかった場合、キャプチャ ポートはシャットダウン モードで作成されます。


ステップ 6 指定したチャネル グループに VLAN を含めるには、次のいずれかを実行します。

[VLAN IDs] テキスト ボックスで数値 ID を入力します。

[Select] をクリックして、[VLAN Selector] ダイアログボックスを開きます。

複数の VLAN ID を入力または選択できます。

ステップ 7 [OK] をクリックして定義をクライアントにローカルに保存し、ダイアログボックスを閉じます。


 

EtherChannel VLAN 定義の削除

IDSM の EtherChannel VLAN 定義を削除できます。

関連項目

「EtherChannel VLAN 定義の作成または編集」

「データ ポート VLAN 定義の削除」

「IDSM 設定」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)Catalyst デバイスを選択してから、ポリシー セレクタで [Platform] > [IDSM Settings] の順に選択します。

(ポリシー ビュー)[Catalyst Platform] > [IDSM Settings] の順に選択します。

[IDSM Settings] ページが表示されます。このページにあるフィールドの説明については、「[IDSM Settings] ページ」を参照してください。

ステップ 2 テーブル内の行をクリックして、削除する VLAN 定義を選択します。

ステップ 3 [Delete Row] をクリックします。


 

データ ポート VLAN 定義の作成または編集

データ ポート VLAN 定義を行う場合は、次の操作を実行する必要があります。

データ ポートを配置するスロットとポートの組み合わせを定義します。

データ ポートで使用する検知モードを選択します。

データ ポートに転送する VLAN を定義します。

次の制約事項が適用されます。

データ ポートごとに 1 つの定義しか保持できません。

データ ポートがチャネル グループの一部としてすでに定義されている場合は、データ ポート定義を作成できません。

関連項目

「データ ポート VLAN 定義の削除」

「EtherChannel VLAN 定義の作成または編集」

「IDSM 設定」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)Catalyst デバイスを選択してから、ポリシー セレクタで [Platform] > [IDSM Settings] の順に選択します。

(デバイス ビュー)[Catalyst Platform] > [IDSM Settings] の順に選択します。

[IDSM Settings] ページが表示されます。このページにあるフィールドの説明については、「[IDSM Settings] ページ」を参照してください。

ステップ 2 次のいずれかを実行します。

IDSM データ ポート VLAN 定義を作成するには、[Data Port VLANs] テーブルの下にある [Add Row] をクリックします。

IDSM データ ポート VLAN 定義を編集するには、リストで定義を選択し、テーブルの下にある [Edit Row] をクリックします。

[IDSM Data Port VLAN] ダイアログボックスが表示されます。このダイアログボックスにあるフィールドの説明については、「[Create IDSM Data Port VLANs]/[Edit IDSM Data Port VLANs] ダイアログボックス」を参照してください。

ステップ 3 IDSM サービス モジュールを取り付けた番号付きシャーシ スロットに VLAN を関連付け、その VLAN に 1 つのモジュール データ ポートを関連付けるには、次のいずれかを実行します。

[Slot-Ports] テキスト ボックスにスロットポート番号を入力します。

[Select] をクリックして、[IDSM Slot-Port Selector] ダイアログボックスを開きます。


) 1 つのモジュール データ ポートを VLAN に関連付けると、データ ポートを手動で設定する代わりに、グループ レベルでポートを設定できます。


ステップ 4 [Mode] リストから、データ ポート VLAN の動作モードを選択します。[Capture] を選択する場合は、チェックボックスをオンにして、指定したデータ ポートをキャプチャ先として設定します。


) このチェックボックスをオンにしなかった場合、キャプチャ ポートはシャットダウン モードで作成されます。


ステップ 5 指定したデータ ポートに VLAN を割り当てるには、次のいずれかを実行します。

[VLAN IDs] テキスト ボックスで数値 ID を入力します。

[Select] をクリックして、[VLAN Selector] ダイアログボックスを開きます。

複数の VLAN ID を入力または選択できます。

ステップ 6 [OK] をクリックして定義をクライアントにローカルに保存し、ダイアログボックスを閉じます。


 

データ ポート VLAN 定義の削除

IDSM のデータ ポート VLAN 定義を削除できます。

関連項目

「データ ポート VLAN 定義の作成または編集」

「EtherChannel VLAN 定義の削除」

「IDSM 設定」


ステップ 1 次のいずれかを実行します。

(デバイス ビュー)Catalyst デバイスを選択してから、ポリシー セレクタで [Platform] > [IDSM Settings] の順に選択します。

(ポリシー ビュー)[Catalyst Platform] > [IDSM Settings] の順に選択します。

[IDSM Settings] ページが表示されます。このページにあるフィールドの説明については、「[IDSM Settings] ページ」を参照してください。

ステップ 2 テーブル内の行をクリックして、削除する VLAN 定義を選択します。

ステップ 3 [Delete Row] をクリックします。


 

[IDSM Settings] ページ

[IDSM Settings] ページを使用して、Intrusion Detection System Service Module(IDSM)のデータ ポートとチャネル グループの VLAN 設定を表示および設定します。

ナビゲーション パス

このページには次の手順でアクセスできます。

(デバイス ビュー)デバイス ポリシー セレクタから [Platform] > [IDSM Settings] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから [Catalyst Platform] > [IDSM Settings] を選択します。

関連項目

「[Create IDSM EtherChannel VLANs]/[Edit IDSM EtherChannel VLANs] ダイアログボックス」

「[Create IDSM Data Port VLANs]/[Edit IDSM Data Port VLANs] ダイアログボックス」

「ファイアウォール デバイスの管理」

「テーブルのフィルタリング」

フィールド リファレンス

 

表 62-22 [IDSM Settings] ページ

要素
説明
[EtherChannel VLANs] テーブル

[Channel Group]

イーサネット インターフェイスが割り当てられる EtherChannel グループを示します。

[Module Slot-Data Port]

2 つのポートを区別する番号(1 または 2)で IDSM サービス モジュールのデータ ポートを示します。

各 IDSM サービス モジュール(ブレード)に 2 つのデータ ポートがあります。データ ポートを個々に設定したり、EtherChannel グループに割り当てたりできます。チャネル グループ内のすべてのデータ ポートは、グループ レベルで設定されます。

[Mode]

動作モードがトランク(IPS)かキャプチャ(IDS)かを示します。

[Capture Enabled]

指定したチャネル グループがキャプチャ先として設定されているかどうかを示します。

[Allowed VLANs]

指定したチャネル グループで許可される VLAN を示します。

[Add Row] ボタン

[Create IDSM EtherChannel VLANs] ダイアログボックスを開きます。このダイアログボックスで、EtherChannel グループ内のデータ ポートに送信するトラフィックと使用する検知モードを定義できます。

[Edit Row] ボタン

[Edit IDSM EtherChannel VLANs] ダイアログボックスを開きます。このダイアログボックスで、EtherChannel VLAN 定義の属性を変更できます。

[Delete Row] ボタン

選択した VLAN を IDSM から削除します。

[Data Port VLANs] テーブル

[Module Slot-Data Port]

2 つのポートを区別する番号(1 または 2)で IDSM サービス モジュールのデータ ポートを示します。

[Mode]

動作モードがトランク(IPS)かキャプチャ(IDS)かを示します。モードを変更するには、関連するテーブル行を選択して編集します。

[Capture Enabled]

指定したデータ ポートがキャプチャ先として設定されているかどうかを示します。

[Allowed VLANs]

指定したデータ ポートで許可される VLAN を示します。

[Add Row] ボタン

[Create IDSM Data Port VLANs] ダイアログボックスを開きます。このダイアログボックスで、特定のデータ ポートに送信するトラフィックと使用する検知モードを定義できます。

[Edit Row] ボタン

[Edit IDSM Data Port VLANs] ダイアログボックスを開きます。このダイアログボックスで、データ ポート VLAN 定義の属性を変更できます。

[Delete Row] ボタン

選択した VLAN を IDSM から削除します。

[Create IDSM EtherChannel VLANs]/[Edit IDSM EtherChannel VLANs] ダイアログボックス

[Create IDSM EtherChannel VLANs] ダイアログボックス(または [Edit IDSM EtherChannel VLANs] ダイアログボックス)を使用して、IDSM EtherChannel VLAN の属性を設定または再設定します。

ナビゲーション パス

「[IDSM Settings] ページ」に移動してから、[EtherChannel VLANs] テーブルの下にある [Add] ボタンまたは [Edit] ボタンをクリックします。

関連項目

「[Create IDSM Data Port VLANs]/[Edit IDSM Data Port VLANs] ダイアログボックス」

「[IDSM Slot-Port Selector] ダイアログボックス」

「[Service Module Slot Selector] ダイアログボックス」

フィールド リファレンス

 

表 62-23 [Create IDSM EtherChannel VLANs]/[Edit IDSM EtherChannel VLANs] ダイアログボックス

要素
説明

[Channel Group]

イーサネット インターフェイスが割り当てられる EtherChannel グループ。

[Slot-Ports]([Select] ボタン)

シャーシ スロット番号(関連サービス モジュールの取り付け先)を x - y の形式でデータ ポートに関連付けます。ここで、 x はスロット番号、 y はポート番号です。たとえば、2-1 はスロット 2 のデータ ポート 1 を表します。

「[IDSM Slot-Port Selector] ダイアログボックス」を開くには、[Select] をクリックします。このダイアログボックスで、EtherChannel グループに含める IDSM のスロットとポートの組み合わせを選択できます。

[Mode]

EtherChannel グループの動作モード:

[Capture (IDS)]:IDSM2 は、VACL キャプチャまたは SPAN を使用して、Catalyst スイッチがデータ ポートにコピーしたネットワーク トラフィックをパッシブにモニタします。

[Trunk (IPS)]:IDSM2 は 802.1Q トランクとして動作し、同じデータ ポート内にある VLAN ペア間で VLAN ブリッジングを実行します。

[Capture Enabled]

動作モードが [Capture (IDS)] の場合にだけ適用されます。

このチェックボックスをオンにすると、指定したチャネル グループがキャプチャ先として設定されます。オフにすると、チャネル グループはキャプチャ先として機能しません。

[VLAN IDs]([Select] ボタン)

指定したチャネル グループで許可される VLAN を示します。

「[VLAN Selector] ダイアログボックス」を開くには、[Select] をクリックします。このダイアログボックスで、追加または除外する VLAN を選択できます。

[Create IDSM Data Port VLANs]/[Edit IDSM Data Port VLANs] ダイアログボックス

[Create IDSM Data Port VLANs] ダイアログボックス(または [Edit IDSM Data Port VLANs] ダイアログボックス)を使用して、IDSM データ ポートに送信するトラフィックとそのトラフィックに対して使用する検知モードを定義します。

ナビゲーション パス

「[IDSM Settings] ページ」に移動してから、[Data Port VLANs] テーブルの下にある [Add] ボタンまたは [Edit] ボタンをクリックします。

関連項目

「[Create IDSM EtherChannel VLANs]/[Edit IDSM EtherChannel VLANs] ダイアログボックス」

「[IDSM Slot-Port Selector] ダイアログボックス」

「[Service Module Slot Selector] ダイアログボックス」

フィールド リファレンス

 

表 62-24 [Create IDSM Data Port VLANs]/[Edit IDSM Data Port VLANs] ダイアログボックス

要素
説明

[Slot-Port]

シャーシ スロット番号(関連サービス モジュールの取り付け先)を x - y の形式でデータ ポートに関連付けます。ここで、 x はスロット番号、 y はポート番号です。たとえば、2-1 はスロット 2 のデータ ポート 1 を表します。

「[IDSM Slot-Port Selector] ダイアログボックス」を開くには、[Select] をクリックします。このダイアログボックスで、データ ポート VLAN 定義に含める IDSM のスロットとポートの組み合わせを選択できます。

[Mode]

データ ポートの動作モード:

[Capture (IDS)]:IDSM2 は、VACL キャプチャまたは SPAN を使用して、Catalyst スイッチがデータ ポートにコピーしたネットワーク トラフィックをパッシブにモニタします。

[Trunk (IPS)]:IDSM2 は 802.1Q トランクとして動作し、同じデータ ポート内にある VLAN ペア間で VLAN ブリッジングを実行します。

[Capture Enabled]

動作モードが [Capture (IDS)] の場合にだけ適用されます。

このチェックボックスをオンにすると、指定したチャネル グループがキャプチャ先として設定されます。オフにすると、チャネル グループはキャプチャ先として機能しません。

[VLAN IDs]([Select] ボタン)

指定したデータ ポートで許可される VLAN を示します。

「[VLAN Selector] ダイアログボックス」を開くには、[Select] をクリックします。このダイアログボックスで、追加または除外する VLAN を選択できます。

[IDSM Slot-Port Selector] ダイアログボックス

[IDSM Slot-Port Selector] ダイアログボックスを使用して、スロットポート オブジェクトを EtherChannel グループに関連付けます。

ナビゲーション パス

「[Create IDSM EtherChannel VLANs]/[Edit IDSM EtherChannel VLANs] ダイアログボックス」または「[Create IDSM Data Port VLANs]/[Edit IDSM Data Port VLANs] ダイアログボックス」に移動し、[Slot-Port] フィールドの [Select] をクリックします。

関連項目

「[VLAN Selector] ダイアログボックス」

「テーブルのフィルタリング」

フィールド リファレンス

 

表 62-25 [IDSM Slot-Port Selector] ダイアログボックス

要素
説明

[Available IDSM Slot-Ports] リスト

使用可能なスロットポート定義が表示されます。

[Add >>] ボタン

EtherChannel VLAN のスロットポートを選択する場合にだけ適用されます。

[Available IDSM Slot-Ports] リストで選択した IDSM スロットポート オブジェクトを [Selected IDSM Slot-Ports] リストに追加します。

[Remove <<] ボタン

EtherChannel VLAN のスロットポートを選択する場合にだけ適用されます。

選択した IDSM スロットポート オブジェクトを [Selected IDSM Slot-Ports] リストから削除します。

[Selected IDSM Slot-Ports] リスト

データ ポートまたは EtherChannel グループに関連付けるために選択された IDSM スロットポート オブジェクトが表示されます。