この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Cisco Anomaly Guard Module(Guard module)をネットワーク内で初期化するために必要な基本的作業と管理方法について説明します。
コマンドライン インターフェイス(CLI)を使用して、Guard モジュールの機能を制御できます。Guard モジュールのユーザ インターフェイスはさまざまなコマンド モードに分かれていて、CLI へのアクセス権はユーザの特権レベルに対応しています。ユーザが使用可能なコマンドは、現在どのモードにいるかによって異なります。
CLI へのアクセス権は、ユーザの特権レベルに対応しています。各特権レベルには、独自のコマンドのグループがあります。
表3-1 に、ユーザの特権レベルを示します。
|
|
---|---|
監視と診断、保護、およびラーニングに関する操作にアクセスできます。dynamic 特権を持つユーザは、フレックスコンテンツ フィルタおよび動的フィルタを設定することもできます。 |
|
(注) フィルタの設定はすべて、管理者の特権レベルまたは設定の特権レベルを持つユーザが実行することをお勧めします。これより下位の特権レベルしか持たないユーザも、動的フィルタを追加および削除できます。
この項では、Guard モジュール CLI で使用するコマンドおよび設定モードの概要を説明します。各コマンド モードで使用可能なコマンドのリストを入手するには、システム プロンプトで ? を入力します。
表3-2 に、Guard モジュールのコマンド モードを示します。
表3-3 に、CLI コマンドの入力規則を示します。
|
|
---|---|
more number-of-lines コマンドを入力する。 more コマンドでは、Space キーを押したときにウィンドウに表示される追加の行数が設定されます。デフォルトは、その端末で表示可能な行数より 2 行少ない行数です。 |
|
(注) ルート レベルで exit コマンドを入力すると、CLI 環境が終了し、オペレーティング システムのログイン画面に戻ります。
ほとんどすべての設定コマンドに、 no 形式があります。一般に、コマンドの no 形式は、特定の機能をデイセーブルにする場合に使用します。ディセーブルになっている機能をイネーブルにするには、キーワード no を取ってそのコマンドを使用します。たとえば、 event monitor コマンドではイベント モニタが有効になり、 no event monitor コマンドでは無効になります。
ゾーン設定モードから、ゾーン関連の show コマンドを実行できます。また、これらのコマンドは、グローバル モードまたは設定モードからも実行できます。
グローバル モードまたは設定モードの show コマンドの構文は、次のとおりです。
show zone zone-name parameters...
ゾーン設定モードの show コマンドの構文は、次のとおりです。
(注) このマニュアルでは、明示的な指定がない限り、ゾーン設定モードの show コマンド構文を使用します。
この項では、CLI の使用に関するヒントを提供し、次のトピックについて取り上げます。
• ヘルプの使用
• タブ補完の使用
• コマンドの省略
CLI では、コマンド階層のすべてのモードで状況依存のヘルプが用意されています。ヘルプの情報では、現在のコマンド モードで使用可能なコマンドが示され、各コマンドの簡単な説明が提供されます。
コマンドのヘルプを表示するには、そのコマンドの後ろに ? を入力します。
タブ補完を使用すると、コマンドの入力に必要な文字数を減らすことができます。コマンドの初めの文字をいくつか入力して Tab キーを押すと、コマンドを補完することができます。
複数のオプションで値を指定するコマンドを入力し、Tab キーを 2 回押すと、使用可能な入力パラメータが表示されます。これにはシステム定義のパラメータとユーザ定義のパラメータも含まれます。たとえば、ゾーン設定モードで policy-template コマンドを入力し、Tab キーを 2 回押すと、ポリシー テンプレート名のリストが表示されます。設定モードで zone コマンドを入力し、Tab キーを 2 回押すと、定義済みのゾーンが表示されます。
タブ補完で複数のコマンドが一致する場合は、何も表示されず、入力した現在の行がもう一度表示されます。
タブ補完機能では、現在のモードで使用可能なコマンドのみが表示されます。
aaa authorization commands zone-completion tacacs+ コマンドを使用すると、グローバル モードと設定モードですべてのコマンド( zone コマンドや show zone コマンドなど)におけるゾーン名のタブ補完をディセーブルにできます。詳細については、「ゾーン名のタブ補完のディセーブル化」を参照してください。
コマンド構文中のキーワードの順序によって、操作の方向が規定されます。コマンドを入力する前にキーワードを入力すると、Guard モジュールは Guard モジュールからサーバにデータをコピーします。キーワードを入力する前にコマンドを入力すると、Guard モジュールはサーバから Guard モジュールにデータをコピーします。たとえば、 copy log ftp コマンドではログ ファイルが Guard モジュールから FTP サーバにコピーされます。 copy ftp new-version コマンドでは、新規ソフトウェア バージョン ファイルが FTP サーバから Guard モジュールにコピーされます。
たとえば、 learning policy-construction * コマンドを入力すると、Guard モジュールで設定されているすべてのゾーンでポリシー構築フェーズがアクティブになります。
learning policy-construction scan* コマンド を入力すると、 scan で始まる名前を持つ Guard モジュールで設定されているすべてのゾーン(scannet や scanserver など)でポリシー構築フェーズがアクティブになります。
Guard モジュールは、スーパーバイザ エンジン上に 1 つの管理ポートと 2 つのデータ ポートを備えています。データ ポートは 1 つだけが使用されています。
次のコマンドを入力し、設定モードに入って Guard モジュールを設定してください。
Guard モジュールが正しく動作するように、Guard モジュールのインターフェイスを設定する必要があります。インターフェイス特性には、IP アドレスやインターフェイスの MTU などがあります。
多くの機能は、インターフェイス単位でイネーブルになります。 interface コマンドを入力するときには、インターフェイスのタイプと番号を指定する必要があります。
次のガイドラインは、すべての物理インターフェイスおよび仮想インターフェイスの設定プロセスに適用されます。
• 各インターフェイスには、IP アドレスと IP サブネット マスクを設定する必要があります。
• no shutdown コマンドを使用して、各インターフェイスをアクティブにする必要があります。
インターフェイスの設定を表示するには、 show または show running-config コマンドを入力します。
• VLAN の設定
Guard モジュールをネットワークに接続するには、物理インターフェイスを設定します。
ステップ 1 設定モードで次のコマンドを入力し、インターフェイス設定モードに入ります。
Guard モジュールは、次のインターフェイスをサポートします。
ステップ 2 次のコマンドを入力して、インターフェイスの IP アドレスを設定します。
ip-addr 引数および ip-mask 引数には、インターフェイスの IP アドレスを指定します。IP アドレスとサブネット マスクをドット区切り 10 進表記で入力します(たとえば IP アドレスが 192.168.100.1、サブネット マスクが 255.255.255.0)。
ステップ 3 (オプション)次のコマンドを入力して、インターフェイスの MTU を定義します。
integer 引数は、eth1 インターフェイスの場合は 576 ~ 16,384 バイトの整数で、giga2 インターフェイスの場合は 576 ~ 1,824 の整数です。
ステップ 4 (オプション)次のコマンドを入力して、インターフェイスの速度とデュプレックス モードを設定します。
表3-4 に、 speed コマンドの引数とキーワードを示します。
ステップ 5 次のコマンドを入力して、インターフェイスをアクティブにします。
設定の変更を有効にするには、Guard モジュールをリロードする必要があります。
次の例は、インターフェイス eth1 を設定してアクティブにする方法を示しています。
データ ポートだけに VLAN を定義できます。正しい機能をイネーブルにするためには、スーパーバイザ エンジンに VLAN を設定して、Guard モジュールに VLAN を割り当てる必要があります。詳細については、「VLAN の設定」を参照してください。
Guard モジュール上で VLAN を定義するには、次の手順を実行します。
ステップ 1 VLAN インターフェイスが存在する場合は、その設定モードに入ります。存在しない場合は、設定モードで次のコマンドを入力して、新しい VLAN を定義します。
vlan-id 引数は、VLAN ID 番号を指定する整数です。VLAN ID は、TAG IEEE 802.1Q に従った番号です。
ステップ 2 次のコマンドを入力して、VLAN IP アドレスを設定します。
ip-addr 引数および ip-mask 引数には、インターフェイスの IP アドレスを指定します。IP アドレスとサブネット マスクをドット区切り 10 進表記で入力します(たとえば IP アドレスが 192.168.100.1、サブネット マスクが 255.255.255.0)。
ステップ 3 (オプション)次のコマンドを入力して、インターフェイスの MTU を定義します。
integer 引数は、576 ~ 1,824 バイトの整数です。
ステップ 4 次のコマンドを入力して、インターフェイスをアクティブにします。
次の例は、Guard モジュール上で VLAN を設定する方法を示しています。
ループバック インターフェイスと呼ばれる仮想インターフェイスが物理インターフェイスをエミュレーションするように指定できます。ループバック インターフェイスを使用して、高度な宛先変更設定を設定できます。
他のルータやアクセス サーバなどがこのループバック インターフェイスに到達しようとするアプリケーションでは、このループバック アドレスに割り当てられているサブネットを配信するためのルーティング プロトコルを設定する必要があります。
ループバック インターフェイスを設定するには、次の手順を実行します。
ステップ 1 ループバック インターフェイスが存在する場合は、その設定モードに入ります。存在しない場合は、設定モードで次のコマンドを入力して、新しいループバック インターフェイスを定義します。
if-name 引数には、ループバック インターフェイス名を指定します。インターフェイス名は、lo: integer で、 integer は 0 ~ 99 の整数です。
ステップ 2 次のコマンドを入力して、ループバック インターフェイスの IP アドレスを設定します。
ip-addr 引数および ip-mask 引数には、インターフェイスの IP アドレスを指定します。IP アドレスとサブネット マスクをドット区切り 10 進表記で入力します(たとえば IP アドレスが 192.168.100.1、サブネット マスクが 255.255.255.0)。
ステップ 3 次のコマンドを入力して、ループバック インターフェイス設定モードを終了します。
次の例は、ループバック インターフェイスを設定する方法を示しています。
テストを行う予定があり、データ(ギガ)に使用される物理インターフェイスのカウンタにテスト セッションの情報だけを反映する場合は、このカウンタをクリアすることができます。
物理インターフェイスのカウンタをクリアするには、インターフェイス設定モードで次のコマンドを入力します。
次の例は、インターフェイス giga2 のカウンタをクリアする方法を示しています。
デフォルト ゲートウェイは、ローカル ネットワークで未知の IP アドレスを持つパケットの受信と転送を行います。ほとんどの場合、Guard モジュールのデフォルト ゲートウェイの IP アドレスは、Guard モジュールとインターネットの間に存在する隣接ルータです。デフォルト ゲートウェイ アドレスは、Guard モジュールのネットワーク インターフェイスの IP アドレスのいずれかと同じネットワーク上にある必要があります。
(注) ゾーン保護がイネーブルになっているときは、デフォルト ゲートウェイに IP アドレスを割り当てないでください。
デフォルト ゲートウェイ アドレスを割り当てるには、設定モードで次のコマンドを入力します。
ip-addr 引数には、デフォルト ゲートウェイの IP アドレスを指定します。IP アドレスをドット区切り 10 進表記で入力します(たとえば 192.168.100.1)。
デフォルト ゲートウェイ アドレスを変更するには、このコマンドを再入力します。
次の例は、デフォルト ゲートウェイを設定する方法を示しています。
Guard モジュールのルーティング テーブルにスタティック ルートを追加できます。スタティック ルートは、Guard モジュールの IP インターフェイスに関連付けられたローカル ネットワークの外側にあるサーバやネットワークのルートを指定するために追加します。
スタティック ルートは永続的に追加され、Guard モジュールのリブート後も削除されません。
Guard モジュールのルーティング テーブルにスタティック ルートを追加するには、設定モードで次のコマンドを入力します。
ip route ip-addr ip-mask nexthop-ip [if-name]
表3-5 に、 ip route コマンドの引数を示します。
次の例は、スタティック ルートを設定する方法を示しています。
Guard モジュールのプロキシ IP アドレスは、プロキシ モードのスプーフィング防止保護メカニズムで必要になります。このメカニズムで、Guard モジュールはゾーンに対して TCP プロキシの役割を果たします。Guard モジュールはまず新しい接続を認証し、その後自分自身の IP アドレスを発信元 IP アドレスとして使用して、ゾーンとの接続を開始します。ゾーン保護をアクティブにする前に、プロキシ IP アドレスを設定する必要があります。
ゾーン保護がイネーブルになっているときには、Guard モジュールにプロキシ IP アドレスを割り当てないでください。
ネットワークでロード バランシングを使用してネットワークの過負荷を分散している場合、または多数の同時接続が必要な場合は、プロキシ IP アドレスを 3 つまたは 4 つ設定することをお勧めします。
プロキシ IP アドレスは最大 60 個設定できますが、プロキシ IP アドレスの数が増えるとメモリ リソースの消費量も増えるため、プロキシ IP アドレスは 20 個以上設定しないことをお勧めします。
Guard モジュールのスプーフィング防止プロキシ IP アドレスを設定するには、設定モードで次のコマンドを入力します。
ip-addr 引数には、プロキシ IP アドレスを指定します。IP アドレスをドット区切り 10 進表記で入力します(たとえば 192.168.100.1)。
各ゾーンと Guard モジュールのプロキシ IP アドレス間のルートを確認する必要があります。Guard モジュールは、プロキシ IP アドレスに対する ping 要求には応答しません。
追加のプロキシ IP アドレスを設定するには、このコマンドを再入力します。
次の例は、プロキシ IP アドレスを設定する方法を示しています。
スーパーバイザからセッションを確立し、Guard モジュールのネットワーク機能を設定した後は( 第 2 章「スーパーバイザ エンジンへの Guard モジュールの設定」 と 「Guard モジュールのインターフェイスの設定」を参照)、次のいずれかの方法を使用して Guard モジュールにアクセスし、管理することができます。
• Secure Shell(SSH; セキュア シェル)のセッションを使用したアクセス。
• Web-Based Manager(WBM)を使用した Guard モジュールへのアクセス。
• DDoS 検知ネットワーク要素からのアクセス。詳細については、該当するマニュアルを参照してください。
• Web-Based Manager による Guard モジュールの管理
WBM を使用すると、Web ブラウザを使用して Web から Guard モジュールを管理できます。
WBM を使用して Guard モジュールを管理するには、次の手順を実行します。
ステップ 1 設定モードで次のコマンドを入力して、WBM サービスをイネーブルにします。
ステップ 2 設定モードで次のコマンドを入力して、リモート マネージャの IP アドレスから Guard モジュールへのアクセスを許可します。
ip-addr 引数および ip-mask 引数には、リモート マネージャの IP アドレスを指定します。IP アドレスとサブネット マスクをドット区切り 10 進表記で入力します。
Guard module-ip-address 引数は、Guard モジュールの IP アドレスです。
Guard モジュールの WBM ウィンドウが表示されます。
(注) Web ベース管理制御をイネーブルにするには、HTTP ではなく HTTPS が使用されます。
ステップ 4 ユーザ名とパスワードを入力し、OK をクリックします。
ユーザ名とパスワードを正しく入力すると、Guard モジュールのホームページが表示されます。
TACACS+ 認証が設定されている場合は、ローカル データベースの代わりに TACACS+ ユーザ データベースがユーザ認証に使用されます。TACACS+ サーバ上で高度な認証アトリビュート(パスワードの有効期限など)が設定されている場合、Guard モジュールが TACACS+ サーバ上のユーザ設定に基づいて新しいパスワードの入力を要求したり、パスワードがいつ期限切れになるかを通知したりします。
次の例は、Guard モジュール WBM をイネーブルにする方法を示しています。
セキュア シェル(SSH)の接続を使用して、Guard モジュールにアクセスすることができます。
SSH を使用して Guard モジュールにアクセスするには、次の手順を実行します。
ステップ 1 設定モードで次のコマンドを入力して、リモート ネットワークの IP アドレスから Guard モジュールへのアクセスを許可します。
ip-addr 引数および ip-mask 引数には、リモート ネットワークの IP アドレスを指定します。IP アドレスとサブネット マスクをドット区切り 10 進表記で入力します(たとえば IP アドレスとして 192.168.10.2 を、サブネット マスクとして
255.255.255.252 を入力)。
ステップ 2 リモート ネットワーク アドレスから接続を確立し、ログイン ユーザ名とパスワードを入力します。
TACACS+ 認証が設定されている場合は、ローカル データベースの代わりに TACACS+ ユーザ データベースがユーザ認証に使用されます。TACACS+ サーバ上で高度な認証アトリビュート(パスワードの有効期限など)が設定されている場合、Guard モジュールが TACACS+ サーバ上のユーザ設定に基づいて新しいパスワードの入力を要求したり、パスワードがいつ期限切れになるかを通知したりします。
ログイン ユーザ名とパスワードを入力しないで SSH 接続をイネーブルにするには、次の手順を実行します。
• ローカルに設定されたログインとパスワードを認証に使用するように Guard モジュールを設定します。詳細については、「認証の設定」を参照してください。
• リモート接続 SSH の公開鍵を Guard モジュール SSH 鍵リストに追加します。詳細については、「SSH 鍵の管理」を参照してください。
次の例は、Guard モジュールへの SSH 接続をイネーブルにする方法を示しています。