この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Cisco Catalyst 6500 シリーズ スイッチまたは Cisco 7600 シリーズ ルータのスーパーバイザ エンジンに設置された Cisco Anomaly Guard Module(Guard モジュール)の設定方法を説明します。Guard モジュールとの新しいセッションを確立して設定を行う前に、スーパーバイザエンジン上の Guard モジュールの設定を行う必要があります。
スーパーバイザ エンジンに Guard モジュールを設定するには、EXEC 特権を保有し、設定モードに入る必要があります。
フラッシュ メモリへの設定変更をすべて保存するには、特権 EXEC モードで write memory コマンドを使用します。
(注) 1 Gbps で動作する Guard モジュールと、3 Gbps で動作する Guard モジュールでは、動作と設定に違いがあります。この章では、1 Gbps 動作と 3 Gbps 動作の違いについて説明します。特に記載がない限り、この章の情報は両方のモードの動作に適用されます。詳細については、「1 Gbps と 3 Gbps の帯域幅オプションについて」を参照してください。
スーパーバイザ エンジンで新しい Guard モジュールが認識され、オンラインになっていることを確認します。
(注) Catalyst 6500 シリーズ スイッチに Guard モジュールを設置する方法については、『Cisco Anomaly Guard Module and Traffic Anomaly Detector Module Installation Note』を参照してください。
ステップ 1 スーパーバイザ エンジン コンソールにログインします。
ステップ 2 Guard モジュールがオンラインになっていることを確認します。次のコマンドを入力します。
次の例は、 show module コマンドの出力を示しています。
(注) Guard モジュールを初めて設置した場合、ステータスは通常「other」になります。Guard モジュールが診断ルーチンを完了してオンラインになると、ステータスは「OK」になります。Guard モジュールがオンラインになるまでは少なくとも 5 分間はかかります。
VLAN は、スーパーバイザ エンジンと Guard モジュール間でのトラフィックの受け渡しに使用されます。VLAN を使用できるように Guard モジュールを設定するには、スーパーバイザ エンジンから、VLAN を Guard モジュールに割り当てる必要があります。スーパーバイザ エンジンおよび Guard モジュールのインターフェイス ポートで VLAN を定義する方法は、Guard モジュールが 1 Gbps と 3 Gbps のどちらのデバイスとして動作しているのか、また次のトラフィック タイプのうち、ポートがどのトラフィック タイプを処理するかによって異なります。
• 管理トラフィック:スーパーバイザ エンジンのインターフェイス ポートの 1 つで、管理 VLAN を定義する必要があります。Guard モジュールは、管理 VLAN を使用して、「Guard モジュールの管理」で説明されている使用可能なリモート管理サービスの 1 つを使用してユーザがアクセスするのを許可します。管理 VLAN を定義する場合の要件は、次の帯域幅パフォーマンス レベルのどちらで Guard モジュールが動作するかによって決まります。
–1 Gbps 動作:スーパーバイザ エンジンと Guard モジュールの間では、インバンドとアウトオブバンドの管理トラフィックがサポートされています。スーパーバイザ エンジンのポート 1 は、アウトオブバンド管理トラフィックをサポートする唯一のポートです。アウトオブバンド管理 VLAN は、このポートで定義する必要があります。管理トラフィックを転送するように Guard モジュールを設定する場合は、アウトオブバンド管理トラフィック専用に使用され、eth1 として識別される Guard モジュールの物理インターフェイスに、同じ管理 VLAN を割り当てます。
–3 Gbps 動作:スーパーバイザ エンジンと Guard モジュールの間では、インバンド管理トラフィックのみがサポートされています。スーパーバイザ エンジンのポート 1、2、および 3 すべてが、Guard モジュール管理トラフィックをサポートします。管理 VLAN は、スーパーバイザ エンジンのいずれかのポートまたはすべてのポートで定義できます。管理 VLAN は、相関する Guard モジュールのインターフェイスで設定する必要があります。たとえば、管理 VLAN をスーパーバイザ エンジンのポート 1 で設定する場合は、同じ VLAN を Guard モジュールの giga1 で設定する必要があります。
• データ トラフィック:Guard モジュールは、ユーザがゾーン保護またはラーニングをアクティブにすると、ネットワーク トラフィックのハイジャックと注入でデータ トラフィック VLAN を使用します。データ トラフィック VLAN を定義する場合の要件は、次の帯域幅パフォーマンス レベルのどちらで Guard モジュールが動作するかによって決まります。
–1 Gbps 動作:データ トラフィックは、スーパーバイザ エンジンのポート 2 のみと、Guard モジュールの giga2 でサポートされています。したがって、データ トラフィック VLAN は、スーパーバイザ エンジンのポート 2 で定義する必要があります。
–3 Gbps 動作:データ トラフィックは、3 つのスーパーバイザ ポート(ポート 1、ポート 2、およびポート 3)、および相関する 3 つの Guard モジュールのインターフェイス(giga1、giga2、および giga3)すべてでサポートされています。スーパーバイザ エンジンの 3 つのポートおよび Guard モジュールの 3 つのインターフェイスすべてで、すべてのデータ トラフィック VLAN を定義する必要があります。
Guard モジュール トラフィックの VLAN を設定するには、次の手順を実行します。
ステップ 1 スーパーバイザ エンジンから、Guard モジュール トラフィックに使用する VLAN を定義します。詳細については、「スーパーバイザ エンジンでの VLAN の定義」を参照してください。
ステップ 2 スーパーバイザ エンジンから、VLAN を Guard モジュールに割り当てます。詳細については、「Guard モジュールへの VLAN の割り当て」を参照してください。
ステップ 3 (オプション)スーパーバイザ エンジンから、VLAN のレイヤ 3 インターフェイスを設定します。詳細については、「VLAN へのレイヤ 3 インターフェイスの設定」を参照してください。
ステップ 4 Guard モジュール から、 Guard モジュール のインターフェイスを設定します。詳細については、「Guard モジュールのインターフェイスの設定」を参照してください。
Guard モジュール トラフィックに使用するスーパーバイザ エンジンで、VLAN を定義する必要があります。Guard モジュールに割り当てるスーパーバイザ エンジンで 1 つ以上の VLAN を定義するには、次のコマンドを使用します。
vlan_range 引数には、単一の番号、VLAN の範囲、またはカンマ区切りリスト形式の複数の VLAN を指定します(スペース文字を入力することはできません)。VLAN の範囲は、1 ~ 4094 の VLAN にすることができます。
次の例は、スーパーバイザ エンジンで VLAN を定義する方法を示しています。
Guard モジュールに VLAN を割り当てるには、Guard モジュールと、Guard モジュールをスイッチ ファブリックに接続する 3 つのギガビット イーサネット ポートとの間のマッピングを理解する必要があります。 表2-1 に、スーパーバイザ エンジンのポートと Guard モジュールのインターフェイスの相関を示します。
|
|
|
---|---|---|
|
|
|
デフォルト値の VLAN 1 のみを使用する場合は、Guard モジュールに VLAN を割り当てる必要はありません。
Guard モジュールに VLAN を割り当てるには、スーパーバイザ エンジン プロンプトで次のコマンドを使用します。
anomaly-guard module module_number port port_number [allowed-vlan vlan_range | native-vlan vlan_id]
表2-2 に、 anomaly-guard module コマンドの引数とキーワードを示します。
次の 1 Gbps 動作例は、データ トラフィック用の VLAN をデータ インターフェイス ポート(ポート 2)に割り当てる方法を示しています。
次の 1 Gbps 動作例は、管理トラフィック用の VLAN を管理ポートに割り当てる方法を示しています。
次の 3 Gbps 動作例は、データ トラフィック用の VLAN を Guard モジュールの 3 つのインターフェイス ポートに割り当てる方法を示しています。
次の 3 Gbps 動作例は、管理トラフィック用の 1 つの VLAN を割り当てる方法を示しています。
スーパーバイザ エンジンから VLAN を Guard モジュールに割り当てるだけでなく、Guard モジュールでインターフェイス ポートも設定する必要があります。詳細については、「物理インターフェイスの設定」 を参照してください。
Guard モジュールで VLAN を設定する方法の詳細については、「Guard モジュールのインターフェイスでの VLAN の設定」を参照してください。
Guard モジュールとリモート管理セッションを確立するには、Guard モジュール上の関連するサービスもイネーブルにする必要があります。「Guard モジュールの管理」を参照してください。
アプリケーションで必要な場合は、VLAN にレイヤ 3 インターフェイスを設定できます。
レイヤ 3 VLAN インターフェイスを設定するには、次の手順を実行します。
ステップ 1 スーパーバイザ エンジン プロンプトで次のコマンドを入力し、VLAN インターフェイス設定モードに入ります。
vlan-id 引数 には、VLAN の番号を指定します。有効な値は 1 ~ 4,094 です。
ステップ 2 次のコマンドを入力して、VLAN IP アドレスを設定します。
ip-addr 引数および subnet-mask 引数には、インターフェイスの IP アドレスを指定します。
ステップ 3 次のコマンドを入力して、インターフェイスをアクティブにします。
次の例は、レイヤ 3 VLAN インターフェイスを設定する方法を示しています。
Guard モジュールにログインするには、次の手順を実行します。
ステップ 1 Telnet セッションまたはコンソール セッションを確立して、スイッチにログインします。
ステップ 2 スーパーバイザ エンジン プロンプトで次のコマンドを入力します。
rocessor_number
表2-3 に、 session slot コマンドの引数とキーワードを示します。
|
|
---|---|
Guard モジュールがシャーシに装着されるときのスロットの番号(スイッチまたはルータのモデルに応じて、1 ~ 13)。 |
|
Guard モジュール プロセッサの番号を指定します。Guard モジュールは、プロセッサ 1 を使用した管理のみをサポートします。 |
ステップ 3 Guard モジュール ログイン プロンプトでログインします。
Guard モジュールとセッションを初めて確立する場合は、admin ユーザ アカウントと riverhead ユーザ アカウントのパスワードを選択する必要があります。パスワードは、スペースを含まず、6 ~ 24 文字の長さである必要があります。パスワードは、いつでも変更できます。詳細については、「自分のパスワードの変更」を参照してください。
ログインに成功すると、コマンドライン プロンプトの表示が user@GUARD# になります。 hostname コマンドを入力することにより、このプロンプトを変更できます。
Cisco IOS には、Guard モジュールを制御するコマンドとして、 boot 、 shutdown、power enable、 および reset が用意されています。
• shutdown:すべてのデータを確保して、オペレーティング システムを正しくシャットダウンします。Guard モジュールの破損を避けるには、Guard モジュールを正しくシャットダウンする必要があります。スーパーバイザ エンジン プロンプトで次のコマンドを入力します。
module slot_number
shutdown
slot_number 引数には、モジュールをシャーシに装着するためのスロットの番号を指定します。
次に、Guard モジュールを再起動するには、hw-module module module_number reset コマンドを入力する必要があります。
次の例は、Guard モジュールをシャットダウンする方法を示しています。
(注) スイッチをリブートすると、Guard モジュールがリブートします。
• reset:モジュールをリセットします。このコマンドは通常、アップグレード プロセスで、アプリケーション パーティション(AP)イメージとメンテナンス パーティション(MP)イメージとの切り替えのため、またはシャットダウンからの復旧のために使用します(詳細については、「Guard モジュールのソフトウェアのアップグレード」を参照してください)。hw-module reset コマンドは、モジュールの電源をいったん切った後で入れ、モジュールをリセットします。リセット プロセスには数分かかります。スーパーバイザ エンジン プロンプトで次のコマンドを入力します。
slot_number 引数は、モジュールをシャーシに装着するためのスロットの番号です。string 引数は、PC ブート シーケンス用のオプション文字列です。MP にリセットするには cf:1 を、AP にリセットするには cf:4 を入力します。詳細については、「Guard モジュールのソフトウェアのアップグレード」を参照してください。
次の例は、Guard モジュールをリセットする方法を示しています。
• no power enable:モジュールをシャットダウンして、シャーシから安全に除去できるようにします。スーパーバイザ エンジン プロンプトで次のコマンドを入力します。
slot_number 引数には、モジュールをシャーシに装着するためのスロットの番号を指定します。
モジュールをもう一度オンにするには、次のコマンドを使用します。
次の例は、Guard モジュールをシャットダウンする方法を示しています。
• boot:次回の電源投入時に Guard モジュールを MP にブートさせます。スーパーバイザ エンジン プロンプトで次のコマンドを入力します。
slot_number 引数には、モジュールをシャーシに装着するためのスロットの番号を指定します。
次回のブート サイクルで Guard モジュールをデフォルト パーティション(AP)にブートできるようにするには、スーパーバイザ エンジン プロンプトで次のコマンドを使用します。
次の例は、次のブート サイクルで Guard モジュールが AP にブートするように設定する方法を示します。
スーパーバイザ エンジンに対する Guard モジュールの設定を確認するには、スーパーバイザ エンジン プロンプトで次のコマンドを使用します。
show anomaly-guard module slot_number port port_number [state | traffic]
表2-4 で、 show module コマンドの引数とキーワードについて説明します。
|
|
---|---|
次の例は、スーパーバイザ エンジン上に Guard モジュールの設定を表示する方法を示しています。
スーパーバイザ エンジンが少なくとも 1 つ設置されていれば、1 つの Catalyst 6500 シリーズ スイッチまたは Cisco 7600 シリーズ ルータに複数の Guard モジュールを設置できます。モジュールの正確な数については、最新のリリース ノートを参照してください。
(注) Guard モジュールの最新のリリース ノートを表示するには、次の URL を参照してください。
http://www.cisco.com/en/US/products/hw/modules/ps2706/prod_release_notes_list.html
次の設定のどちらかに複数の Guard モジュールを設定できます。
ゾーン トラフィックを処理するための複数の Guard モジュールを設定できます。同じ宛先に対する複数のルートのコストが等しい場合、スーパーバイザ エンジンは必ずトラフィックを Guard モジュール間に均等に分散させます。
(注) (3 Gbps 動作のみ)同じ宛先までのコストが等しいルートが複数ある場合、スーパーバイザ エンジンはいつでも、1 つの Guard モジュールの 3 つのインターフェイス間でトラフィックを均等に分散させます。
ロード シェアリング用に複数の Guard モジュールを設定するには、次の操作を行います。
• すべての Guard モジュールにゾーンを定義する。詳細については、「ゾーンのアトリビュートの設定」を参照してください。
• すべての Guard モジュールに、同じ宛先変更ハイジャックの重みを割り当てる。詳細については、「トラフィック ハイジャックの設定」を参照してください。
• すべての Guard モジュールで、ゾーンに対する Guard モジュールのラーニング プロセスを同時にアクティブにする。詳細については、「Guard モジュールの Cisco Traffic Anomaly Detector Moduleとのゾーン設定の同期」を参照してください。
• すべての Guard モジュールのゾーンの保護をアクティブ化する。詳細については、 第 10 章「ゾーンの保護」 を参照してください。
高いアベイラビリティを実現するために、2 つの Guard モジュール(または Guard モジュールのグループ)を設定できます。このように設定すると、アクティブな Guard モジュールが使用不能になった場合に、スーパーバイザ エンジンがゾーン トラフィックをスタンバイ状態の Guard モジュールに宛先変更します。
スーパーバイザ エンジンは、より低コストのルート(重みが最小のルート)にトラフィックを転送します。スーパーバイザ エンジンは、アクティブな Guard モジュールへのルートがダウンしていることを検出した場合に限り、冗長ルートにトラフィックを転送します。
冗長構成で Guard モジュールを設定するには、次の操作を行います。
• 両方の Guard モジュールに同じゾーンを定義する。詳細については、「ゾーンのアトリビュートの設定」を参照してください。
• アクティブな Guard モジュールに、より小さい宛先変更ハイジャックの重みを割り当てる。詳細については、「トラフィック ハイジャックの設定」を参照してください。
• 冗長 Guard モジュールに、より大きい宛先変更ハイジャックの重みを割り当てる。詳細については、「トラフィック ハイジャックの設定」を参照してください。
• アクティブな Guard モジュールのラーニング プロセスをアクティブにする。詳細については、「Guard モジュールの Cisco Traffic Anomaly Detector Moduleとのゾーン設定の同期」を参照してください。
• ゾーン設定を冗長 Guard モジュールにコピーする。詳細については、「設定のエクスポート」および 「設定のインポートとアップデート」を参照してください。
• 両方の Guard モジュールのゾーンの保護をアクティブ化する。詳細については、「ゾーンの保護」を参照してください。