Cisco TrustSec スイッチ コンフィギュレーション ガイド Cisco Catalyst スイッチについて
Catalyst 6500 シリーズ スイッチのノート
Catalyst 6500 シリーズ スイッチのノート
発行日;2012/12/19 | 英語版ドキュメント(2012/10/16 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

Catalyst 6500 シリーズ スイッチのノート

TrustSec のサポート対象ハードウェア

Flexible NetFlow のサポート

設定例

IPV4 フロー レコードの設定の抜粋(5 タプル、方向、SGT、DGT)

IPV6 フロー レコードの設定の抜粋(5 タプル、方向、SGT、DGT)

IPv4 フロー モニタの設定の抜粋

IPv6 フロー モニタの設定の抜粋

グローバル フロー モニタの設定の抜粋(IPv4 および IPv6)

インターフェイスのモニタ設定の抜粋

Flexible NetFlow の show コマンド

TrustSec システム エラー メッセージ

FIPS のサポート

FIPS の設定時の TrustSec に関する考慮事項

FIPS のライセンス要件

FIPS 設定の前提条件

FIPS の注意事項と制約事項

FIPS のデフォルト設定

Catalyst 6500 シリーズ スイッチのノート

この付録の内容は、次のとおりです。

「TrustSec のサポート対象ハードウェア」

「Flexible NetFlow のサポート」

「TrustSec システム エラー メッセージ」

「FIPS のサポート」

TrustSec のサポート対象ハードウェア

TrustSec 対応スーパーバイザおよびラインカードは、次の URL の『 Cisco Catalyst 6500 Series with Supervisor Engine 2T: Enabling Cisco TrustSec with Investment Protection 』の表 3 および 4 にリストされています。

http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps708/white_paper_c11-658388.html

TrustSec ハードウェア対応ではない Catalyst 6500 シリーズ スイッチは、SAP または 802.1AE リンク暗号化を使用しないで TrustSec ネットワーク デバイス アドミッション コントロール(NDAC)を実装しています。

Flexible NetFlow のサポート

 

リリース
機能の履歴

IOS 12.2(50) SY
IP ベース LAN イメージ

次の Flexible NetFlow コマンドおよびフロー オブジェクトは Catalyst 6500 シリーズ スイッチで導入されました。

cts role-based { ip | ipv6 } flow monitor monitor_name dropped

cts source group-tag

cts destination group-tag

標準の 5 タプル フロー オブジェクトを使用してフロー レコードに SGT および DGT フロー オブジェクトが設定されている場合、Flexible NetFlow は、SGACL 強制によってドロップされたパケットに対応できます

flow record および flow exporter グローバル コンフィギュレーション コマンドを使用してフロー レコードおよびフロー エクスポータを設定してから、それらを flow monitor コマンドを使用してフロー モニタに追加します。 show flow show コマンドを使用して設定を確認します。

SGACL のドロップされたパケットだけを収集するには、[ no ] cts role-based { ip | ipv6 } flow monitor dropped グローバル コンフィギュレーション コマンドを使用します。

Flexible NetFlow の概要および設定の詳細については、次のマニュアルを参照してください。

『Cisco IOS Flexible Netflow Configuration Guide, Release 15.0SY』

http://www.cisco.com/en/US/docs/ios-xml/ios/fnetflow/configuration/15-0sy/fnf-15-0sy-book.html

『Catalyst 6500 Release 15.0SY Software Configuration Guide』

http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/15.0SY/configuration/guide/15_0_sy_swcg.html

設定例

IPV4 フロー レコードの設定の抜粋(5 タプル、方向、SGT、DGT)

router(config)# flow record cts-record-ipv4
router(config-flow-record)# match ipv4 protocol
router(config-flow-record)# match ipv4 source address
router(config-flow-record)# match ipv4 destination address
router(config-flow-record)# match transport source-port
router(config-flow-record)# match transport destination-port
router(config-flow-record)# match flow direction
router(config-flow-record)# match flow cts source group-tag
router(config-flow-record)# match flow cts destination group-tag
router(config-flow-record)# collect counter packets

IPV6 フロー レコードの設定の抜粋(5 タプル、方向、SGT、DGT)

router(config)# flow record cts-record-ipv6
router(config-flow-record)# match ipv6 protocol
router(config-flow-record)# match ipv6 source address
router(config-flow-record)# match ipv6 destination address
router(config-flow-record)# match transport source-port
router(config-flow-record)# match transport destination-port
router(config-flow-record)# match flow direction
router(config-flow-record)# match flow cts source group-tag
router(config-flow-record)# match flow cts destination group-tag
router(config-flow-record)# collect counter packets

IPv4 フロー モニタの設定の抜粋

router(config)# flow monitor cts-monitor-ipv4
router(config-flow-monitor)# record cts-record-ipv4

IPv6 フロー モニタの設定の抜粋

router(config)# flow monitor cts-monitor-ipv6
router(config-flow-monitor)# record cts-record-ipv6

グローバル フロー モニタの設定の抜粋(IPv4 および IPv6)

次の設定は、ルータまたはスイッチのすべての TrustSec インターフェイスのロールベース アクセス コントロール リスト(RBACL)によってドロップされたパケットにフロー モニタを適用します。

router(config)# cts role-based ip flow monitor cts-monitor-ipv4 dropped
router(config)# cts role-based ipv6 flow monitor cts-monitor-ipv6 dropped

インターフェイスのモニタ設定の抜粋

フロー モニタはインターフェイスごとに接続でき、入力(受信)、出力(発信)、マルチキャスト、ユニキャスト、またはレイヤ 2 でスイッチングされるトラフィックの組み合わせでフィルタリングするように設定できます。

IPv6 の場合、フロー モニタは Cisco IOS Release 12.2(50) SY でルーティングされたトラフィックに対してだけサポートされます。

router(config)# interface TenGigabitEthernet 8/1
router(config-if)# ip address 192.1.1.1 255.255.255.0
 
;; Ingress IPv4 unicast only and egress unicast only
router(config-if)# ip flow monitor cts-monitor-ipv4 unicast input
router(config-if)# ip flow monitor cts-monitor-ipv4 unicast output
 
;; Ingress IPV4 L2-switched traffic only
router(config-if)# ip flow monitor cts-monitor-ipv4 layer2-switched input
 
;; Ingress Ipv4 multicast and egress IPv4 multicast traffic only
router(config-if)# ip flow monitor cts-monitor-ipv4 multicast input
router(config-if)# ip flow monitor cts-monitor-ipv4 multicast output
 
;; For both Unicast/multicast egress traffic
router(config-if)# ip flow monitor cts-monitor-ipv4 output
 
;; For both Unicast/multicast ingress traffic
router(config-if)# ip flow monitor cts-monitor-ipv4 input
 
;; For Ipv6 only the following are supported in Cisco IOS Release 12.2(50)SY
router(config-if)# ipv6 address 2022::22:1:1:11/64
router(config-if)# ipv6 flow monitor cts-monitor-ipv6 input
router(config-if)# ipv6 flow monitor cts-monitor-ipv6 unicast input
router(config-if)# ipv6 flow monitor cts-monitor-ipv6 output
router(config-if)# ipv6 flow monitor cts-monitor-ipv6 unicast output

Flexible NetFlow の show コマンド

show flow record

show flow monitor

show flow exporter

show flow interface

show cts role-based counters

show flow monitor <monitor_name> cache

show flow monitor <monitor_name> statistics

show platform flow ip

show platform software flow internal fnf

show platform hardware flow table flowmask

show platform hardware flow table profile

show platform hardware acl entry rbacl all

show platform hardware acl entry tcam

show platform software flow internal export

show platform software flow internal export statistics

show platform internal export information

show platform internal export statistics

TrustSec システム エラー メッセージ

Cisco TrustSec システム エラー メッセージは、次の URL の『Cisco Catalyst 6500 Series Switches Error and System Messages』ガイドにリストされています。
http://www.cisco.com/en/US/products/hw/switches/ps708/products_system_message_guides_list.html

エラー メッセージ デコーダ ツールは次の URL にあります。
http://www.cisco.com/en/US/support/tsd_most_requested_tools.html

FIPS のサポート

Catalyst 6500 シリーズ スイッチ ソフトウェアおよびハードウェアの組み合わせに対する、連邦情報処理標準(FIPS)認証ドキュメントは、次の Web サイトで公開されています。

http://www.cisco.com/web/strategy/government/security_certification/net_business_benefit_seccert_fips140.html

Catalyst 6500 シリーズの FIPS 認証ドキュメントでは、ソフトウェアとハードウェアの組み合わせごとに FIPS の概念および実装を説明します。

FIPS の設定時の TrustSec に関する考慮事項

ご使用のハードウェアおよびソフトウェア設定に適した FIPS 認証 ガイドに従って、Catalyst スイッチの初期設定、初期化、設定手順を実行してください。

FIPS のライセンス要件

FIPS は Catalyst 6500 シリーズ スイッチのライセンスは必要としません。

FIPS 設定の前提条件

Telnet をディセーブルにします。ユーザのログインはセキュア シェル(SSH)だけで行ってください。

SNMP v1 および v2 をディセーブルにしてください。SNMP v3 に対して設定された、デバイス上の既存ユーザ アカウントのいずれについても、認証およびプライバシー用 AES/3DES は SHA で設定されていなければなりません。

SSH サーバの RSA1 キー ペアすべてを削除してください。

FIPS の注意事項と制約事項

RADIUS keywrap 機能は Cisco Identity Services Engine 1.1 または Cisco ACS Release 5.2 以降のリリースだけで動作します。

モジュールへの HTTPS/TLS アクセスは SSLv3.1/TLSv1.0 および FIPS で承認されているアルゴリズムを使用して FIPS で承認されている動作モードで許可されます。

モジュールへの SSH アクセスは SSHv2 と FIPS で承認されているアルゴリズムを使用して FIPS で承認されている動作モードで許可されます。多くの SSH クライアントは、すべての暗号操作を FIPS 140-2 レベル 2 準拠にして、FIPS モードに設定できる暗号ライブラリを提供します。

パスワードは、最低 1 文字は数字を含む 8 文字以上の英数字であることが必要です。

FIPS のデフォルト設定

デフォルトは FIPS モードはディセーブル、RADIUS keywrap はディセーブルです。