この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、スーパーバイザ エンジンで Cisco Traffic Anomaly Detector Module(Detector モジュール)を設定する方法について説明します。Detector モジュールとのセッションを確立してこれを設定する前に、スーパーバイザ エンジンで Detector モジュールを設定しておく必要があります。
Cisco Traffic Anomaly Detector Module (Detector モジュール)は Catalyst 6500 シリーズ スイッチまたは 7600 シリーズ ルータにインストールできます。詳細については、「Cisco Traffic Anomaly Detector Module について」を参照してください。
• トラフィックをキャプチャするためのトラフィックの送信元の設定
スーパーバイザで Detector モジュールを設定するには、EXEC 特権を持っており、設定モードである必要があります。
フラッシュ メモリへの設定変更をすべて保存するには、特権 EXEC モードで write memory コマンドを使用します。
スーパーバイザ エンジンが新しい Detector モジュールを認識してオンラインにしたことを確認します。
(注) Catalyst 6500 スイッチに Detector モジュールを設置する方法については、『Cisco Anomaly Guard Module and Traffic Anomaly Detector Module Installation Note』を参照してください。
ステップ 1 スーパーバイザ エンジン コンソールにログインします。
ステップ 2 Detector モジュールがオンラインであることを確認します。次のコマンドを入力します。
次の例は、 show module コマンドの出力を示しています。
(注) Detector モジュールが初めてインストールされたときは、通常、ステータスは「other」です。Detector モジュールが診断ルーチンを完了してオンラインになると、ステータスは「OK」になります。Detector モジュールがオンラインになるまでは少なくとも 5 分間はかかります。
Detector モジュールとのリモート管理セッションを確立するには、Detector モジュールの管理ポートを設定する必要があります。
管理のために VLAN を選択するには、次のコマンドを使用します。
anomaly-detector module module_number management-port access-vlan vlan_number
表2-1 で、 anomaly-detector module コマンドの引数とキーワードについて説明します。
|
|
---|---|
次の例は、シャーシの番号 4 のスロットに装着されたモジュールについて、管理のために VLAN 5 を選択する方法を示しています。
Detector モジュールとのリモート管理セッションを確立するには、Detector モジュールで、次のような設定も必要になります。
• Detector モジュールの管理ポート インターフェイス eth1 を設定する。「物理インターフェイスの設定」を参照してください。
• 関連するサービスをイネーブルにする。「Detector モジュールの管理」を参照してください。
ゾーンに送信されるトラフィックをキャプチャし、そのコピーを Detector モジュールに渡すようにスイッチを設定する必要があります。Detector モジュールは、自身を通過するネットワーク トラフィックを分析し、そのトラフィックを監視して、進化し続ける攻撃パターンがないか調べます。
次のいずれかの方法を使用して、ネットワーク トラフィックを Detector モジュールに渡すことができます。
• SPAN:1 つまたは複数の送信元ポートで受信、送信、または送受信されたトラフィックを分析のために宛先ポートにキャプチャする。Detector モジュールは、SPAN セッション用に 1 つの宛先ポートを提供します。詳細については、「SPAN の設定」を参照してください。
• VLAN access list(VACL; VLAN アクセス リスト):WAN インターフェイスまたは VLAN から Detector モジュールのデータ ポートにトラフィックを転送します。これは、同じ目的での SPAN の使用に代わる方法です。1 つの VLAN または複数の VLAN からのトラフィックをキャプチャするように VACL を設定できます。詳細については、「VACL の設定」を参照してください。
SPAN の詳細については、『 Catalyst 6500 Series Switch Software Configuration Guide 』または『 Cisco 7600 Series Router Software Configuration Guide 』の「SPAN および RSPAN の設定」を参照してください。
VACL の詳細については、『 Catalyst 6500 Series Switch Software Configuration Guide 』または『 Cisco 7600 Series Router Software Configuration Guide 』の「VLAN ACL の設定」を参照してください。
Detector モジュールで監視するために、1 つの VLAN または複数の VLAN からのトラフィックをキャプチャできます。特定の VLAN からのトラフィックだけを監視する場合は、監視しない VLAN をキャプチャ機能から消去する必要があります。
1 つの VLAN または複数の VLAN からの Detector モジュール用トラフィックをキャプチャするように VACL を設定できます。
VLAN 上の Detector モジュール用トラフィックをキャプチャするように VACL を設定するには、次の手順を実行します。
ステップ 1 access list(ACL; アクセス リスト)を定義し、permit 文および deny 文(あるいはそのいずれか)によって access-control entry(ACE; アクセスコントロール エントリ)を追加します。次のコマンドを入力します。
ip access-list {
standard |
extended}
acl-name
表2-2 で、 ip access-list コマンドの引数とキーワードについて説明します。
|
|
---|---|
ACL の名前。名前には、スペースも疑問符も使用できません。また、番号付きアクセス リストと明確に区別するために、名前はアルファベット文字で始める必要があります。 |
(注) 代わりに、access-list コマンドを使用することもできます。
ステップ 2 VLAN アクセス マップを定義します。次のコマンドを入力します。
map_name 引数には、 アクセス マップの名前タグを指定します。シーケンス番号を指定できます。シーケンス番号を指定しない場合は、番号が自動的に割り当てられます。このコマンドを実行すると、VLAN アクセス マップ設定モードに入ります。
マップ シーケンスごとに 1 つの match 句と 1 つの action 句を入力できます。
ステップ 3 VLAN アクセス マップ シーケンスに match 句を設定します。次のコマンドを入力します。
{acl_number |
acl_name}
表2-3 で、 match ip address コマンドの引数とキーワードについて説明します。
|
|
---|---|
VLAN アクセス マップ シーケンス用の 1 つまたは複数の IP ACL を選択します。有効な値は、1 ~ 199 および 1300 ~ 2699 です。 |
|
ステップ 4 ネットワーク トラフィックを転送するように、VLAN アクセス マップ シーケンスに action 句を設定します。次のコマンドを入力します。
ステップ 5 VLAN インターフェイスに VLAN アクセス マップを適用します。次のコマンドを入力します。
map_name
vlan-list
vlan_list
表2-4 に、 vlan filter コマンドの引数とキーワードを示します。
|
|
---|---|
ステップ 6 (オプション)キャプチャフラグの付いたトラフィックをキャプチャするように Detector モジュールのデータ ポートを設定します。データ ポートを指定しない場合、Detector はすべての VLAN からのトラフィックのキャプチャをイネーブルにします。
表2-5 で、 anomaly-detector module capture コマンドの引数とキーワードについて説明します。
|
|
---|---|
ステップ 7 Detector モジュールでキャプチャ機能をイネーブルにします。
表2-6 で、 anomaly-detector module capture コマンドの引数とキーワードについて説明します。
|
|
---|---|
(注) Detector モジュールのデータ ポートを SPAN 宛先ポートとキャプチャ ポートの両方として設定することはできません。
次の例は、VLAN の Detector モジュール トラフィックをキャプチャするための VACL の設定方法を示しています。
スーパーバイザ エンジン コンソールで特権 EXEC モードから次の手順を実行し、SPAN セッションを作成して、送信元(監視される)ポートと宛先(監視する)ポートを指定します。
(注) Detector モジュールのポートを SPAN の送信元ポートとして使用することはできません。
ステップ 1 SPAN セッションおよび送信元ポート(監視されるポート)を指定します。次のコマンドを入力します。
session_number
source interface
interface-id [, | -] [
rx |
tx]
表2-7 で、 monitor session コマンドの引数とキーワードについて説明します。
ステップ 2 SPAN セッションおよび宛先ポート(監視するポート)を指定します。次のコマンドを入力します。
SPAN_
session_number destination
anomaly-detector-module module_number [data-port port]
表2-8 で、 monitor session destination コマンドの引数とキーワードについて説明します。
|
|
---|---|
データのキャプチャに使用するポートの番号。Detector モジュールでは、データ用にポート 1 がサポートされています。 |
ステップ 3 特権 EXEC モードに戻ります。次のコマンドを入力します。
ステップ 4 エントリを確認します。次のコマンドを入力します。
[
session session_number]
session_number 引数には、セッション識別番号を指定します。
次の例は、SPAN セッションとしてセッション 1 を設定し、送信元ポートから宛先ポートへのトラフィックを監視する方法を示しています。双方向トラフィックが送信元ポート 1 から Detector モジュールにミラーリングされます。
Sup(config)#
monitor session 1 source interface GigabitEthernet 1/2 rx
Sup(config)#
monitor session 1 destination anomaly-detector-module 4 data-port 2
Detector モジュールにログインするには、次の手順を実行します。
ステップ1 Telnet セッションまたはコンソールのログ セッションを確立してスイッチにログインします。
ステップ2 スーパーバイザ エンジン プロンプトで次のコマンドを入力します。
rocessor_number
表2-9 で、 session slot コマンドの引数とキーワードについて説明します。
|
|
---|---|
Detector モジュールのプロセッサの番号。 Detector モジュールは、プロセッサ 1 を介した管理だけをサポートします。 |
ステップ 3 次のように、 Detector モジュール のログイン プロンプトでログインします。
Detector モジュールとのセッションを初めて確立している場合は、admin ユーザ アカウントおよび riverhead ユーザ アカウントのパスワードを選択する必要があります。パスワードは、スペースを含まず、6 ~ 24 文字にする必要があります。パスワードは、いつでも変更できます。詳細については、「自分のパスワードの変更」を参照してください。
ログインに成功すると、コマンドライン プロンプトが user@DETECTOR# と表示されます。 hostname コマンドを入力することにより、このプロンプトを変更できます。
Detector モジュールを制御するために、Cisco IOS には boot 、 shutdown、 power enable および reset というコマンドが用意されています。
• shutdown:オペレーティング システムを正常に停止させ、データが失われないことを保証します。Detector モジュールの破損を防ぐため、Detector モジュールを正常にシャットダウンすることが重要です。スーパーバイザ エンジン プロンプトで次のコマンドを入力します。
module slot_number
shutdown
slot_number 引数には、モジュールが挿入されているシャーシ内のスロットの番号を指定します。
その後、hw-module module module_number reset コマンドを入力して、Detector モジュールを再起動する必要があります。
次の例は、Detector モジュールをシャットダウンする方法を示しています。
(注) スイッチをリブートすると、Detector モジュールがリブートします。
• reset:モジュールをリセットします。このコマンドは通常、アップグレード プロセスで、アプリケーション パーティション(AP)イメージとメンテナンス パーティション(MP)イメージとの切り替え、またはシャットダウンからの復旧のために使用します。hw-module reset コマンドは、モジュールの電源をいったん切った後で入れ、モジュールをリセットします。リセット プロセスには数分かかります。スーパーバイザ エンジン プロンプトで次のコマンドを入力します。
slot_number 引数には、モジュールが挿入されているシャーシ内のスロットの番号を指定します。string 引数は PC ブート シーケンス用のオプションの文字列です。MP にリセットするには cf:1 を、AP にリセットするには cf:4 を入力します。詳細については、「Detector モジュール ソフトウェアのアップグレード」を参照してください。
次の例は、Detector モジュールをリセットする方法を示しています。
• no power enable:モジュールをシャットダウンし、シャーシから安全に取り外すことができるようにします。スーパーバイザ エンジン プロンプトで次のコマンドを入力します。
slot_number 引数には、モジュールが挿入されているシャーシ内のスロットの番号を指定します。
モジュールをもう一度オンにするには、次のコマンドを使用します。
次の例は、Detector モジュールをシャットダウンする方法を示しています。
• boot:次回電源投入時に Detector モジュールを強制的に MP からブートさせます。スーパーバイザ エンジン プロンプトで次のコマンドを入力します。
slot_number 引数には、モジュールが挿入されているシャーシ内のスロットの番号を指定します。
Detector モジュールが次のブート サイクルでデフォルト パーティション(AP)からブートできるようにするには、スーパーバイザー エンジン プロンプトで 次のコマンドを使用します。
次の例は、次のブート サイクルで Detector モジュールが AP からブートするための設定方法を示しています。
スーパーバイザ エンジンで Detector モジュールの設定を確認するには、スーパーバイザ エンジン プロンプトで次のコマンドを使用します。
show anomaly-detector module slot_number {management-port | data-port port_number} [ state | traffic
]
表2-10 で、 show module コマンドの引数とキーワードについて説明します。
|
|
---|---|
次の例は、スーパーバイザ エンジンでのDetector モジュールの設定を表示する方法を示しています。