この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、スーパーバイザ エンジンで Cisco Traffic Anomaly Detector Module(Detector モジュール)を設定する方法について説明します。
Cisco Traffic Anomaly Detector Module(Detector モジュール)は、次のいずれかの製品に設置できる Cisco IOS アプリケーション モジュールです。
• Supervisor Engine 720(SUP720)、または Multilayer Switch Feature Card 2
(MSFC2; マルチレイヤ スイッチ フィーチャ カード 2)を備えた Supervisor Engine 2(SUP2)が搭載された、Cisco Catalyst 6500 シリーズ スイッチ。Catalyst 6500 で Detector モジュールをサポートするには、IOS 12.2(18)SXD3 以降が必要です。
• SUP720 が搭載された Cisco 7600 シリーズ ルータ。7600 シリーズ ルータで Detector モジュールをサポートするには、IOS 12.2(18)SXE 以降が必要です。
• トラフィックをキャプチャするためのトラフィックの送信元の設定
スーパーバイザで Detector モジュールを設定するには、EXEC 特権を持っており、設定モードである必要があります。
フラッシュ メモリへの設定変更をすべて保存するには、特権 EXEC モードで write memory コマンドを使用します。
スーパーバイザ エンジンが新しい Detector モジュールを認識してオンラインにしたことを確認します。
(注) Catalyst 6500 シャーシに Detector モジュールを設置する方法については、『Cisco Anomaly Guard Module and Traffic Anomaly Detector Module Installation Note』を参照してください。
ステップ 1 スーパーバイザ エンジン コンソールにログインします。
ステップ 2 Detector モジュールがオンラインであることを確認します。次のコマンドを入力します。
次の例は、 show module コマンドの出力を示しています。
(注) Detector モジュールが初めて設置された場合、通常、ステータスは other です。Detector モジュールが診断ルーチンを完了してオンラインになると、ステータスは Ok になります。Detector モジュールがオンラインになるまでの時間として、少なくとも 5 分間見込んでおいてください。
Detector モジュールとのリモート管理セッションを確立するには、Detector モジュールの管理ポートを設定する必要があります。
管理のために VLAN を選択するには、次のコマンドを入力します。
anomaly-detector module module_number management-port access-vlan vlan_number
表 2-1 で、 anomaly-detector module コマンドの引数とキーワードについて説明します。
|
|
---|---|
次の例は、シャーシの番号 4 のスロットに装着されたモジュールについて、管理のために VLAN 5 を選択する方法を示しています。
Detector モジュールとのリモート管理セッションを確立するには、Detector モジュールで、次のような設定も必要になります。
• Detector モジュールの管理ポート インターフェイス eth1 を設定する。詳細については、「物理インターフェイスの設定」を参照してください。
• 関連するサービスをイネーブルにする。詳細については、「Detector モジュールのインターフェイスの設定」を参照してください。
ゾーンに送信されるトラフィックをキャプチャし、そのコピーを Detector モジュールに渡すようにスイッチを設定する必要があります。Detector モジュールは、自身を通過するネットワーク トラフィックを分析し、そのトラフィックを監視して、進化し続ける攻撃パターンがないか調べます。
次のいずれかの方法を使用して、ネットワーク トラフィックを Detector モジュールに渡すことができます。
• SPAN:1 つまたは複数の送信元ポートで受信、送信、または送受信されたトラフィックを分析のために宛先ポートにキャプチャする。Detector モジュールは、SPAN セッション用に 1 つの宛先ポートを提供します。詳細については、「SPAN の設定」を参照してください。
• VLAN access list(VACL; VLAN アクセス リスト):WAN インターフェイスまたは VLAN から Detector モジュールのデータ ポートにトラフィックを転送します。これは、同じ目的での SPAN の使用に代わる方法です。1 つの VLAN または複数の VLAN からのトラフィックをキャプチャするように VACL を設定できます。詳細については、「VACL の設定」を参照してください。
SPAN の詳細については、次の URL を参照してください。
http://www.cisco.com/univercd/cc/td/doc/product/lan/cat6000/122sx/swcg/span.htm
http://www.cisco.com/univercd/cc/td/doc/product/lan/cat6000/sw_8_2/confg_gd/span.htm
VACL の詳細については、次の URL を参照してください。
http://www.cisco.com/univercd/cc/td/doc/product/lan/cat6000/122sx/swcg/vacl.htm
http://www.cisco.com/univercd/cc/td/doc/product/lan/cat6000/sw_82/confg_gd/acc_list.htm#1053650
Detector モジュールで監視するために、1 つの VLAN または複数の VLAN からのトラフィックをキャプチャできます。特定の VLAN からのトラフィックだけを監視する場合は、監視しない VLAN をキャプチャ機能から消去する必要があります。
1 つの VLAN または複数の VLAN からの Detector モジュール用トラフィックをキャプチャするように VACL を設定できます。
VLAN 上の Detector モジュール用トラフィックをキャプチャするように VACL を設定するには、次の手順を実行します。
ステップ 1 access list(ACL; アクセス リスト)を定義し、permit 文および deny 文(あるいはそのいずれか)によって access-control entry(ACE; アクセスコントロール エントリ)を追加します。次のコマンドを入力します。
ip access-list {
standard |
extended}
acl-name
表 2-2 で、 ip access-list コマンドの引数とキーワードについて説明します。
|
|
---|---|
ACL の名前。名前には、スペースも疑問符も使用できません。また、番号付きアクセス リストと明確に区別するために、名前はアルファベット文字で始める必要があります。 |
(注) 代わりに、access-list コマンドを使用することもできます。
ステップ 2 VLAN アクセス マップを定義します。次のコマンドを入力します。
map_name 引数には、 アクセス マップの名前タグを指定します。シーケンス番号を指定できます。シーケンス番号を指定しない場合は、番号が自動的に割り当てられます。このコマンドを実行すると、VLAN アクセス マップ設定モードに入ります。
マップ シーケンスごとに 1 つの match 句と 1 つの action 句を入力できます。
ステップ 3 VLAN アクセス マップ シーケンスに match 句を設定します。次のコマンドを入力します。
{acl_number |
acl_name}
表 2-3 で、 match ip address コマンドの引数とキーワードについて説明します。
|
|
---|---|
VLAN アクセス マップ シーケンス用の 1 つまたは複数の IP ACL を選択します。有効な値は、1 ~ 199 および 1300 ~ 2699 です。 |
|
ステップ 4 ネットワーク トラフィックを転送するように、VLAN アクセス マップ シーケンスに action 句を設定します。次のコマンドを入力します。
ステップ 5 VLAN インターフェイスに VLAN アクセス マップを適用します。次のコマンドを入力します。
map_name
vlan-list
vlan_list
表 2-4 で、 vlan filter コマンドの引数について説明します。
|
|
---|---|
ステップ 6 (オプション)キャプチャフラグの付いたトラフィックをキャプチャするように Detector モジュールのデータ ポートを設定します。データ ポートを指定しない場合、Detector はすべての VLAN からのトラフィックのキャプチャをイネーブルにします。
表 2-5 で、 anomaly-detector module コマンドの引数とキーワードについて説明します。
|
|
---|---|
ステップ 7 Detector モジュールでキャプチャ機能をイネーブルにします。
表 2-6 で、 anomaly-detector module コマンドの引数とキーワードについて説明します。
|
|
---|---|
(注) Detector モジュールのデータ ポートを SPAN 宛先ポートとキャプチャ ポートの両方として設定することはできません。
スーパーバイザ エンジン コンソールで特権 EXEC モードから次の手順を実行し、SPAN セッションを作成して、送信元(監視される)ポートと宛先(監視する)ポートを指定します。
(注) Detector モジュールのポートを SPAN の送信元ポートとして使用することはできません。
ステップ 1 SPAN セッションおよび送信元ポート(監視されるポート)を指定します。次のコマンドを入力します。
session_number
source interface
interface-id [, | -] [rx | tx]
表 2-7 で、 monitor session コマンドの引数とキーワードについて説明します。
ステップ 2 SPAN セッションおよび宛先ポート(監視するポート)を指定します。次のコマンドを入力します。
SPAN_
session_number destination
anomaly-detector-module module_number [data-port port]
表 2-8 で、 monitor session コマンドの引数とキーワードについて説明します。
|
|
---|---|
データのキャプチャに使用するポートの番号。 |
ステップ 3 特権 EXEC モードに戻ります。次のコマンドを入力します。
ステップ 4 エントリを確認します。次のコマンドを入力します。
[
session session_number]
session_number 引数には、セッション識別番号を指定します。
次の例は、SPAN セッションとしてセッション 1 を設定し、送信元ポートから宛先ポートへのトラフィックを監視する方法を示しています。双方向トラフィックが送信元ポート 1 から Detector モジュールにミラーリングされます。
Sup(config)#
monitor session 1 source interface GigabitEthernet 1/2 rx
Sup(config)#
monitor session 1 destination anomaly-detector-module 4 data-port 2.
Detector モジュールにログインするには、次の手順を実行します。
ステップ1 Telnet またはコンソールでスイッチにログインします。
ステップ2 スーパーバイザ エンジン プロンプトで次のコマンドを入力します。
rocessor_number
表 2-9 で、 session slot コマンドの引数について説明します。
|
|
---|---|
Detector モジュールのプロセッサの番号。 Detector モジュールは、プロセッサ 1 を介した管理だけをサポートします。 |
次のように、 Detector モジュール のログイン プロンプトでログインします。
Detector モジュールとのセッションを初めて確立している場合は、admin ユーザ アカウントおよび riverhead ユーザ アカウントのパスワードを選択する必要があります。パスワードは、スペースを含まず、6 ~ 24 文字の長さである必要があります。パスワードは、いつでも変更できます。詳細については、「パスワードの変更」を参照してください。
ログインに成功すると、コマンドライン プロンプトが user@DETECTOR# と表示されます。このマニュアルでは、表記法としてこのプロンプトを使用します。 hostname コマンドを入力することにより、このプロンプトを変更できます。
Detector モジュールを制御するために、Cisco IOS には boot 、 shutdown、power enable、および reset というコマンドが用意されています。
• shutdown:オペレーティング システムを正常に停止させ、データが失われないことを保証します。Detector モジュールの破損を防ぐため、Detector モジュールを正常にシャットダウンすることが重要です。スーパーバイザ エンジン プロンプトで次のコマンドを入力します。
module slot_number
shutdown
slot_number 引数には、モジュールが挿入されているシャーシ内のスロットの番号を指定します。
その後、hw-module module module_number reset コマンドを入力して、Detector モジュールを再起動する必要があります。
(注) スイッチがリブートすると、Detector モジュールがリブートします。
• reset:モジュールをリセットします。このコマンドは通常、アップグレード プロセスで、AP イメージと MP イメージとの切り替え、またはシャットダウンからの復旧のために使用します。hw-module reset コマンドは、モジュールの電源をいったん切った後で入れ、モジュールをリセットします。リセット プロセスには数分かかります。スーパーバイザ エンジン プロンプトで次のコマンドを入力します。
slot_number 引数には、モジュールをシャーシに装着するためのスロットの番号を指定します。string 引数は、PC ブート シーケンス用のオプションの文字列です。MP にリセットするには cf:1 を、AP にリセットするには cf:4 を入力します。詳細については、「Detector モジュールのバージョンのアップグレード」を参照してください。
• no power enable:モジュールをシャットダウンし、シャーシから安全に取り外すことができるようにします。スーパーバイザ エンジン プロンプトで次のコマンドを入力します。
slot_number 引数には、モジュールが挿入されているシャーシ内のスロットの番号を指定します。
モジュールをもう一度オンにするには、次のコマンドを入力します。
• boot:次回電源投入時に Detector モジュールを強制的に maintenance partition(MP; メンテナンス パーティション)からブートさせます。スーパーバイザ エンジン プロンプトで次のコマンドを入力します。
slot_number 引数には、モジュールが挿入されているシャーシ内のスロットの番号を指定します。
Detector モジュールが次のブート サイクルでデフォルト パーティション(AP)からブートできるようにするには、次のコマンドを入力します。
スーパーバイザ エンジンで Detector モジュールの設定を確認するには、スーパーバイザ エンジン プロンプトで次のコマンドを入力します。
show anomaly-detector module slot_number {management-port | data-port port_number} [ state | traffic
]
表 2-10 で、 show module コマンドの引数とキーワードについて説明します。
|
|
---|---|