Cisco Anomaly Guard Module コンフィギュレーション ガイド Software Release 6.1 and 6.1-XG

Supervisor エンジン 2 または Supervisor エンジン 720 の Cisco IOS ソフトウェア

Cisco IOS ソフトウェア イメージは、Catalyst 6500 シリーズのスイッチまたは Cisco 7600 シリーズのルータの Supervisor エンジン 2 あるいは Supervisor エンジン 720 に常駐します。スーパーバイザ エンジンのイメージは、Guard モジュールとそのプロセッサを認識および初期化します。Guard モジュールをサポートする Cisco IOS ソフトウェア リリースを使用する必要があります。

Guard モジュール ソフトウェア

Guard モジュール ソフトウェアは、プロセッサ制御複合体に統合された Compact Flash（CF; コンパクト フラッシュ）カードに常駐します。コンパクト フラッシュは次のパーティションに分割され、それぞれに Guard モジュール ソフトウェア イメージがあります。

• メンテナンス パーティション（MP）：基本モジュールの初期化およびドーター カードの制御機能で必要とされる Guard モジュールのメンテナンス ソフトウェア イメージが含まれています。スーパーバイザ エンジンは MP を cf:1 として識別します。

• アプリケーション パーティション（AP）：Guard モジュールのアプリケーション ソフトウェア イメージが含まれています。スーパーバイザ エンジンは AP を cf:4 として識別します。

ソフトウェア イメージの一方または両方は、スーパーバイザ エンジン コンソールを使用してアップグレードできます。このアップグレード プロセスでは、最新バージョンの AP イメージや MP イメージを Cisco Software Center から File Transfer Protocol（FTP; ファイル転送プロトコル）サーバまたは Trivial File Transfer Protocol（TFTP）サーバにダウンロードし、コンパクト フラッシュ カードにインストールします。

（注） Guard モジュール ソフトウェアをアップグレードして 1 Gbps から 3 Gbps に帯域幅を増大する場合は、「1 Gbps から 3 Gbps への帯域幅のアップグレード」を参照してください。

Guard モジュールでは、次のアップグレード手順を使用できます。

• AP イメージ アップグレード手順：スーパーバイザ エンジン CLI を使用して AP イメージをアップグレードします。「AP イメージのアップグレード」を参照してください。

• MP イメージ アップグレード手順：スーパーバイザ エンジン CLI を使用して MP イメージをアップグレードします。MP イメージは、アップグレードの必要がほとんどありません。この手順は、ソフトウェア リリースに付属のリリース ノートで指示されている場合にのみ使用してください。「MP イメージのアップグレード」を参照してください。

• インライン イメージのアップグレード手順：Guard モジュール CLI を使用して AP または MP イメージをアップグレードします。「AP および MP イメージをインラインにアップグレード」を参照してください。

• Common Firmware Environment（CFE）：Guard モジュールの CFE をアップグレードします。新しい AP または MP イメージのインストール プロセスによって CFE もアップグレードされるため、CFE はアップグレードの必要がほとんどありません。CFE のアップグレードが必要になるのは、現在の CFE と新しい MP または AP イメージの間に不適合があることを示すエラー メッセージが Guard モジュールに表示された場合だけです。「新しいフラッシュ バージョンの焼き付けによる CFE のアップグレード」を参照してください。

アップグレード時の注意事項

AP と MP のソフトウェア イメージおよび CFE をアップグレードする場合は、次のガイドラインに従います。

• AP および MP のバージョンをアップグレードするには、スーパーバイザ エンジンにログインします。

• CFE をアップグレードするには、Guard モジュールにログインします。

• AP イメージと MP イメージの両方をアップグレードする場合は、MP イメージを先にアップグレードします。

• Guard モジュールを MP 動作モードに切り替えるには、 hw-module module slot_number reset cf:1 コマンドを使用します。MP モードで操作する主な目的は、AP イメージをアップグレードすることです。

• Guard モジュールを通常の動作モードである AP 動作モードに切り替えるには、 hw-module module slot_number reset cf:4 コマンドを使用します。

• show module コマンドを使用すると、実行しているパーティション イメージのソフトウェア バージョンを表示できます。Guard モジュールが AP 動作モードで実行されている場合は、 show module コマンドを実行すると AP イメージ バージョンが表示されます。AP イメージ バージョンのサンプル形式は、5.1（0.12）です。Guard モジュールが MP 動作モードで実行されている場合には、MP イメージ バージョンが表示されます。MP イメージ バージョンのサンプル形式は、5.1（0.0）m です。

• MP イメージ ファイル名は、c6svc-mp.5-0-3.bin 形式です。

• AP イメージ ファイル名では、c6svc-agm-k9.5-0-3.bin 形式を使用します。

• MP は Guard モジュールと同じネットワーク設定を使用します。Guard モジュールのイメージをアップグレードする前に、ネットワークの設定を行う必要があります。詳細については、「スーパーバイザ エンジンへの Guard モジュールの設定」および「Guard モジュールの初期化」を参照してください。

• AP をアップグレードするときに、Guard モジュールは自己保護設定を新しい設定でアップデートします。自己保護設定を古い設定で上書きしないでください。古い設定は現在の設定と互換性がない場合があります。

（注） スーパーバイザ エンジンで logging console コマンドをグローバルに設定して、アップグレード手順の詳細な出力を表示することを強くお勧めします。コンソールではなく Telnet セッションから接続している場合、コンソール メッセージを表示するには terminal monitor コマンドを使用します。

AP イメージのアップグレード

AP イメージをアップグレードするには、次の手順を実行します。

ステップ 1 アップグレード プロセスを開始する前に、 copy running-config コマンドを使用して、Guard モジュールの設定をバックアップします。バックアップすることにより既存の設定を保存できるため、必要な場合は、設定を現在の状態に迅速に復元できます。詳細については、「設定のエクスポート」を参照してください。

ステップ 2 保存するファイルをエクスポートします。次のファイルをエクスポートできます。

• copy reports コマンドまたは copy zone zone-name reports コマンドを使用して、保存する攻撃レポートをエクスポートできます。詳細については、「すべてのゾーンの攻撃レポートのエクスポート」および「ゾーン レポートのエクスポート」を参照してください。

• copy log コマンドを使用して、保存するログをエクスポートします。詳細については、「ログ ファイルのネットワーク サーバへのコピー」を参照してください。

• copy zone zone-name packet-dump captures コマンドを使用して、保存するパケットダンプ キャプチャ ファイルをエクスポートします。詳細については、「パケットダンプ キャプチャ ファイルの手動エクスポート」を参照してください。

ステップ 3 www.cisco.com でイメージを検索し、アプリケーション イメージを使用可能な最新バージョンのソフトウェア リリースにアップグレードします。

FTP または TFTP にアクセス可能なディレクトリにソフトウェア イメージをコピーします。

ステップ 4 Guard モジュールをリセットし、MP イメージをロードします（この処理には約 3 分かかります）。すでに MP イメージを実行している場合は、このステップを省略します。

スーパーバイザ エンジンで次のコマンドを入力します。

slot_number 引数は、モジュールをシャーシに装着するためのスロットの番号です。

ステップ 5 MP がブートされ、Guard モジュールのステータスが OK であることを確認します。次のコマンドを入力します。

ステップ 6 AP イメージをコンパクト フラッシュにインストールします。接続速度に応じて、この操作には最大で 30 分かかります。次のコマンドを入力します。

path/filename 引数には、FTP の場所とイメージ ファイルの名前を指定します。FTP サーバが匿名ユーザを許可しない場合は、ftp-url の値に ftp://user@host/absolute-path/filename という構文を使用します。パスワードを要求されたら入力します。

TFTP サーバから目的のバージョンをダウンロードすることもできます。

ステップ 7 Guard モジュールを AP にリセットするには、次のコマンドを入力します。

ステップ 8 次のコマンドを入力して、コピーした AP イメージが show module コマンドの出力に表示されることを確認します。

（注） 新しいバージョンで Common Firmware Environment（CFE）のアップデートが必要になることがあります。詳細については、各ソフトウェア リリースに対応するリリース ノートを参照してください。CFE が適合していない場合、AP イメージのアップグレードの後でユーザが最初に Guard モジュールへのセッションを確立すると、Guard モジュールは次のメッセージを表示します。「Bad CFE version (X).This version requires version Y.」

詳細については、「新しいフラッシュ バージョンの焼き付けによる CFE のアップグレード」を参照してください。

次の例は、AP イメージをアップグレードする方法を示しています。

MP イメージのアップグレード

MP イメージは、アップグレードの必要がほとんどありません。MP ソフトウェアをアップデートするようソフトウェア リリースに付属のリリース ノートで指示されている場合、次の手順を実行します。

ステップ 1 www.cisco.com でソフトウェア イメージを検索し、最新バージョンのソフトウェア リリースを入手します。FTP または TFTP にアクセス可能なディレクトリにソフトウェア イメージをコピーします。

ステップ 2 Guard モジュールをリセットし、MP イメージをロードするには（この処理には約 3 分かかります）、スーパーバイザ エンジンで次のコマンドを入力します。

すでに MP イメージを実行している場合は、このステップを省略します。

slot_number 引数は、モジュールをシャーシに装着するためのスロットの番号です。

ステップ 3 次のコマンドを入力して、MP がブートされ、Guard モジュールのステータスが OK であることを確認します。

ステップ 4 スーパーバイザ エンジンで次のコマンドを入力することにより、MP イメージをコンパクト フラッシュにコピーします。

path/filename 引数には、FTP の場所とイメージ ファイルの名前を指定します。

FTP サーバが匿名ユーザを許可しない場合は、ftp-url の値に ftp://user@host/absolute-path/filename という構文を使用します。パスワードを要求されたら入力します。

アプリケーション イメージのダウンロードの所要時間は、接続の速度によって異なりますが、最大で約 30 分です。

TFTP サーバから目的のバージョンをダウンロードすることもできます。

MP コマンドの詳細については、「MP 関連コマンドの使用」を参照してください。

ステップ 5 次のコマンドを入力して、コピーした MP イメージが show module コマンドの出力に表示されることを確認します。

ステップ 6 Guard モジュールを AP にリセットするには、次のコマンドを入力します。

次の例は、MP イメージをアップグレードする方法を示しています。

AP および MP イメージをインラインにアップグレード

インライン イメージのアップグレード手順は、AP イメージおよび MP イメージをアップグレードする代替の方法です。インライン イメージのアップグレードを実行する場合は、スーパーバイザ エンジンからではなく Guard モジュールからアップグレードを実行します。

ソフトウェア イメージをアップグレードするには、次の手順を実行します。

ステップ 1 アップグレード プロセスを開始する前に、 copy running-config コマンドを使用して、Guard モジュールの設定をバックアップします。バックアップすることにより既存の設定を保存できるため、必要な場合は、設定を現在の状態に迅速に復元できます。詳細については、「設定のエクスポート」を参照してください。

ステップ 2 保存するファイルをエクスポートします。次のファイルをエクスポートできます。

• copy reports コマンドまたは copy zone zone-name reports コマンドを使用して、保存する攻撃レポートをエクスポートできます。詳細については、「すべてのゾーンの攻撃レポートのエクスポート」および「ゾーン レポートのエクスポート」を参照してください。

• copy log コマンドを使用して、保存するログをエクスポートします。詳細については、「ログ ファイルのネットワーク サーバへのコピー」を参照してください。

• copy zone zone-name packet-dump captures コマンドを使用して、保存するパケットダンプ キャプチャ ファイルをエクスポートします。詳細については、「パケットダンプ キャプチャ ファイルの手動エクスポート」を参照してください。

ステップ 3 www.cisco.com でイメージを検索し、最新バージョンのソフトウェア イメージを入手します。FTP にアクセス可能なディレクトリにソフトウェア イメージをコピーします。

ステップ 4 コンソール ポートまたは Telnet セッションを介してスーパーバイザ エンジンにログインします。

ステップ 5 Guard モジュールがメンテナンス イメージで動作している場合は、ステップ 7 に進みます。Guard モジュールをメンテナンス イメージで実行していない場合は、スーパーバイザ エンジンで次のコマンドを入力します。

slot_number 引数は、モジュールをシャーシに装着するためのスロットの番号です。

ステップ 6 Guard モジュールがオンラインに戻ったら、Guard モジュールとのコンソール セッションを確立し、ルート アカウントにログインします。ルート アカウントのデフォルト パスワードは cisco です。コンソール セッションを確立するには、スーパーバイザ エンジン プロンプトで次のコマンドを入力します。

slot-number は、Guard モジュールをシャーシに装着するためのスロット番号（スイッチまたはルータのモデルに応じて 1 ～ 13）です。 processor_number は、Guard モジュール プロセッサの番号です。Guard モジュールは、プロセッサ 1 を使用した管理だけをサポートします。

ステップ 7 次のコマンドを入力することで、ソフトウェア イメージをアップグレードします。

path/filename 引数には、FTP の場所とイメージ ファイルの名前を指定します。

FTP サーバが匿名ユーザを許可しない場合は、ftp-url の値に ftp://user@host/absolute-path/filename という構文を使用します。パスワードを要求されたら入力します。

AP ソフトウェア イメージをアップグレードするには、AP ソフトウェア イメージのファイル名を入力します。MP ソフトウェア イメージをアップグレードするには、MP ソフトウェア イメージのファイル名を入力します。詳細については、「アップグレード時の注意事項」を参照してください。

ステップ 8 アップグレードが完了したら、 exit コマンドを入力して Guard モジュールからログアウトします。

ステップ 9 Guard モジュールを AP ソフトウェア イメージにリセットするには、次のコマンドを入力します。

（注） 新しいソフトウェア リリースにアップグレードすることで Common Firmware Environment（CFE）のアップデートが必要になることがあります。詳細については、各ソフトウェア リリースに対応するリリース ノートを参照してください。CFE が適合していない場合、AP イメージのアップグレードの後でユーザが最初に Guard モジュールへのセッションを確立すると、Guard モジュールは次のメッセージを表示します。「Bad CFE version (X).This version requires version Y」。詳細については、「新しいフラッシュ バージョンの焼き付けによる CFE のアップグレード」を参照してください。

ステップ 10 Guard モジュールがリブートしたら、show version コマンドを入力して、ソフトウェア バージョンを確認します。

次の例は、Guard モジュールのアプリケーション ソフトウェアをアップグレードする方法を示しています。

新しいフラッシュ バージョンの焼き付けによる CFE のアップグレード

現在の CFE とソフトウェア リリースが適合していない場合にだけ、新しいフラッシュ バージョンを焼き付けることができます。不適合は、Guard モジュールの AP または MP ソフトウェアをアップデートするときに発生する場合があります。

Guard モジュールは、CFE との不適合を検出すると、ソフトウェア リリースのアップグレード後にユーザが Guard モジュールとの最初のセッションを確立するときに次のメッセージを表示します（X は古いフラッシュ バージョンを示し、Y は新しいフラッシュ バージョンを示します）。「Bad CFE version (X).This version requires version Y.」

（注） CFE と Guard モジュールのソフトウェア バージョンが適合している場合に新しいフラッシュを焼き付けようとすると、操作が失敗します。

新しいフラッシュ バージョンを焼き付けるには、次の手順を実行します。

ステップ 1 設定モードで次のコマンドを入力します。

ステップ 2 Guard モジュールをリロードするには、次のコマンドを入力します。

新しいフラッシュ バージョンを焼き付けた後、 reload コマンドを入力する必要があります。Guard モジュールは、 reload コマンドを実行した後でないと完全に機能しません。

次の例は、新しいフラッシュ バージョンを焼き付ける方法を示しています。

3 Gbps 動作の XG ソフトウェア イメージの入手とインストール

XG ソフトウェア イメージのコピーを入手して Guard モジュールにインストールするには、「AP イメージのアップグレード」を参照してください。

XG ソフトウェア イメージがロードされていることを確認するには、 show version コマンドを使用します。XG ソフトウェア イメージがロードされている場合は、ソフトウェア バージョン番号の後に XG と表示されます。

XG ソフトウェア イメージ ライセンス キーの入手とインストール

XG ソフトウェア イメージのアクティブ化に必要なライセンス キーは、XG ソフトウェア イメージが常駐する Guard モジュールの Media Access Control（MAC; メディア アクセス制御）アドレスと結び付いています。この項では、XG ソフトウェア ライセンス キーを注文する際のプロセスについて説明します。

（注） 対応するライセンスを注文およびインストールする前に、ご使用の Guard モジュールに XG バージョン 6.0（以降）のオペレーティング ソフトウェアをインストールしておく必要があります。ご使用の Guard モジュールに現在ロードされているバージョンを確認するには、show version コマンドを使用します。XG ソフトウェア イメージがロードされている場合は、ソフトウェア バージョン番号に -XG 接尾辞が付きます（たとえば、バージョン 6.0(0.39)-XG）。

3 Gbps ライセンスを入手してインストールするには、次の手順を実行します。

ステップ 1 Guard モジュールから show license-key unique-identifier コマンド（このコマンドでは、管理者特権レベルが必要です）を入力し、Guard モジュールの MAC アドレスを表示します。

ステップ 2 3 Gbps 動作ライセンスの注文時に必要になるため、MAC アドレス情報を控えておきます。

ステップ 3 cisco.com で利用可能な シスコの Cisco Ordering ツールのいずれかを使用して、lic-agm-3g-k9 ライセンスを注文します。

ステップ 4 シスコから Software License Claim Certificate を受け取ったら、指示に従って次の cisco.com Web サイトにアクセスします。

http://www.cisco.com/go/license

ステップ 5 購入の証明として、Software License Claim Certificate に記載されている Product Authorization Key（PAK）番号を入力します。

ステップ 6 要求される情報すべてを入力してライセンス キーを生成します。

システムによってライセンス キーが生成されると、ライセンス ファイルとインストールの指示を添付したライセンス キー E メールが送信されます。今後必要が生じる場合に備えて、そのライセンス キー E メールを安全な場所に保存します。

ステップ 7 テキスト エディタを使用してライセンス キー ファイルを開き、内容をデスクトップ コンピュータのクリップボードにコピーします。

ステップ 8 Guard モジュールから、設定モードで license-key add コマンドを入力します。CLI に、ライセンス キー行の入力を求めるプロンプトが表示されます。

ステップ 9 デスクトップ コンピュータのクリップボードの内容（ライセンス キーを含む）を貼り付け、 Enter キーを押します。

ステップ 10 空白行を入力して Enter キーを押します。Guard モジュールに以前にインストールされたライセンスが含まれている場合は、新しいライセンスをインストールするかどうかを尋ねる確認メッセージが表示されます。

ステップ 11 y （yes）と入力します。XG ソフトウェア イメージがアクティブになり、3 Gbps 動作の準備が整います。

ステップ 12 （オプション） show license-key コマンドを入力して、キーが正しくロードされ、有効になっていることを確認します。

3 Gbps 動作に向けた既存ポートとインターフェイス設定のアップデート

XG ソフトウェア イメージをインストールしてアクティブにすることにより、スーパーバイザ エンジンと Guard モジュールの間のデータ トラフィックは、1 つのインターフェイス ポートだけでなく 3 つのインターフェイス ポートを使用して移動できます。3 Gbps 動作をアクティブにするより前に、スーパーバイザ エンジンと Guard モジュールに 1 つのインターフェイス ポートのインターフェイス設定がすでに存在していた場合は、両方のデバイスでインターフェイス設定をアップデートし、2 つの追加インターフェイスを組み込む必要があります。3 つのインターフェイス ポートを設定するには、次のタスクを実行します。

• スーパーバイザ エンジンから、anomaly-guard module コマンドを使用して Guard モジュールに VLAN を割り当てます。データ トラフィック VLAN を Guard モジュールに割り当てる場合は、3 つのスーパーバイザ エンジン ポートすべてに VLAN を割り当てる必要があります。詳細については、「管理およびデータ トラフィックの VLAN の設定」を参照してください。

• Guard モジュールで、次のタスクを実行します。

–設定モードで interface コマンドを使用し、次にインターフェイス設定モードで ip address コマンドを使用することによって、3 つの物理インターフェイスすべてに IP アドレスを設定します。IP アドレスは、インターフェイスごとに固有であり、すべて同じサブネットに属する必要があります。インターフェイス設定モードで no shutdown コマンドを使用することにより、インターフェイスをアクティブにします。詳細については、「物理インターフェイスの設定」を参照してください。

–設定モードで interface コマンドを使用し、次にインターフェイス設定モードで ip address コマンドを使用することによって、3 つの物理インターフェイスすべてにおいて各データ トラフィック VLAN を定義します。インターフェイス設定モードで no shutdown コマンドを使用することにより、インターフェイスをアクティブにします。詳細については、「Guard モジュールのインターフェイスでの VLAN の設定」を参照してください。

3 Gbps 動作のインターフェイスでのプロキシの設定

設定モードで proxy コマンドを使用することにより、Guard モジュールの各インターフェイスに最低でも 1 つのスプーフィング防止プロキシ IP アドレスを設定します。詳細については、「プロキシ IP アドレスの設定」を参照してください。

（注） 3 つのインターフェイス ポートを設定し、インターフェイスのそれぞれでプロキシを定義したら、グローバル モードまたは設定モードで validate network-config コマンドを入力することにより、トラフィックの宛先変更用に 3 つのインターフェイスが正しく設定されていることを確認します（「Guard モジュールのネットワーク設定の検証」を参照）。

3 Gbps 動作の SSL 証明書の再生成

Guard モジュールは、Secure Sockets Layer（SSL）証明書を使用して、関連付けられた Detector との安全な通信チャネルを確立します。1 Gbps ソフトウェア イメージを 3 Gbps ソフトウェア イメージにアップグレードすると、Guard モジュールから既存の SSL 証明書がすべて削除されます。3 Gbps ソフトウェア イメージとライセンスをインストールした後は、安全な通信チャネルを確立するために Guard モジュールおよび関連付けられた Detector が使用する SSL 証明書を再生成する必要があります。関連付けられた Detector の場合、新しい証明書を生成する前に、まず既存の SSL 証明書を削除する必要があります。

詳細については、「SSL 通信チャネル パラメータの設定」を参照してください。