Cisco Anomaly Guard Module/ Traffic Anomaly Detector Module インストレーション ノート
目次
Cisco Technical Support Web サイト
Cisco Anomaly Guard Module/
Traffic Anomaly Detector Module
インストレーション ノート
製品番号:WS-SVC-AGM-1-K9、WS-SVC-ADM-1-K9
このマニュアルでは、Cisco Anomaly Guard Module(Guard モジュール)およびCisco Traffic Anomaly Detector Module(Detector モジュール)を Catalyst 6500 シリーズ スイッチに取り付ける方法について説明します。このマニュアルは両方のモジュールに適用できます。
Cisco Catalyst 6500 シリーズ スイッチおよび 7600 シリーズ ルータは、Guard モジュールおよび Detector モジュールをサポートします。
•
Catalyst 6500 には、Detector モジュールをサポートするために IOS 12.2(18)SXD3 以降および MSFC2 を搭載した SUP2 か SUP720 が必要です。
• 7600 シリーズ ルータには、Detector モジュールをサポートするために IOS 12.2(18)SXE 以降および SUP720 が必要です。
Guard モジュールは、distributed denial-of-service(DDoS; 分散型サービス拒絶)軽減製品で、攻撃対象から宛先変更されたトラフィックを受信してそのトラフィックをクリーンにし、元のパスに転送します。
Detector モジュールは、分散型サービス拒絶(DDoS)検出製品で、スイッチ上のトラフィックのコピーを受信してそのトラフィックを分析し、DDoS 攻撃を検出すると警告を送信します。また、Detector モジュールは、設定した Guard モジュールをアクティブにして、このような攻撃を軽減することもできます。
安全に関する概要
警告 安全上の重要な注意事項
「危険」の意味です。人身事故を予防するための注意事項が記述されています。装置の取り扱い作業を行うときは、電気回路の危険性に注意し、一般的な事故防止策をとるよう努めてください。警告の各国語版を参照するには、各注意事項の番号と、装置に付属の「Translated Safety Warnings」の番号を照らし合せてください。ステートメント 1071
これらの注意事項を保管しておいてください。
前面パネル
この項では、Guard モジュールおよび Detector モジュールの物理的な特徴について説明します。Guard モジュールおよび Detector モジュールの前面パネルは同じです。
図1 に Guard モジュールの前面パネルを示します。
LED
Guard モジュールおよび Detector モジュールは電源を入れると、さまざまなハードウェア コンポーネントを初期化し、スーパーバイザ エンジンと通信します。ステータス LED は、スーパーバイザ エンジンの動作と初期化の結果を示します。通常の初期化シーケンスでは、ステータス LED は、消灯の状態から赤色、オレンジ色、および緑色に変化します。
(注) スーパーバイザ エンジンの LED については、『Catalyst 6500 Series Switch Module Installation Guide』を参照してください。
表 1 に、ステータス LED の動作を示します。
• • – |
||
• • • |
||
• |
| 1.show environment temperature mod コマンドを入力して、モジュールの 4 つのセンサーの温度をそれぞれ表示します。 |
環境要件およびシステム要件
次の各項では、環境要件およびシステム要件について説明します。
• 「環境要件」
• 「システム要件」
• 「メモリ要件」
• 「電力要件」
環境要件
表 2 に、このモジュールの環境要件を示します。
システム要件
モジュールを Catalyst 6500 シリーズ スイッチまたは 7600 シリーズ ルータに取り付ける前に、スイッチが次のハードウェア要件とソフトウェア要件を満たしていることを確認します。
• Cisco IOS ソフトウェアと Multilayer Switch Feature Card(MSFC2)を搭載した Supervisor Engine 2
• ソフトウェアを前もってロードしてある Anomaly Guard Module または Traffic Anomaly Detector Module
詳細については、次の URL から『 Catalyst 6500 Series Switch Installation Guide 』を参照してください。
http://www.cisco.com/univercd/home/home.htm
サポートされているハードウェアとソフトウェア
7600 シリーズ ルータまたは Catalyst 6500 シリーズ モジュールを使用するには、MSFC2 を搭載した Supervisor Engine 2 およびサーバ ネットワークとクライアント ネットワーク接続用のポートを備えたモジュールが必要です。
Catalyst 6500 シリーズ スイッチでサポートされているモジュールの最大数については、『 Release Note for the Cisco Anomaly Guard Module 』および『 Release Note for the Cisco Traffic Anomaly Detector Module 』を参照してください。これらのマニュアルは、 http://www.cisco.com/univercd/home/home.htm にあります。
表3 に、このモジュールでサポートされているハードウェアとソフトウェアを示します。
ソフトウェア要件
Catalyst 6500 シリーズ スイッチまたは 7600 シリーズ ルータで Guard モジュールと Detector モジュールを操作するには、スイッチは Cisco IOS Release 12.2(18)SXD3 以降を実行している必要があります。
Catalyst オペレーティング システムは、Guard モジュールまたは Detector モジュールをサポートしていません。
表4 で示したソフトウェア リリースは、所定のスーパーバイザ エンジンで基本的なモジュール設定を行うためのモジュールのサポートに必要な最低限のリリースです。
表4 に、このモジュールのソフトウェア バージョンを示します。
モジュールの取り付け
次の各項では、モジュールを取り付ける方法について説明します。
• 「必要な工具」
必要な工具
Catalyst 6500 シリーズ スイッチにモジュールを取り付けるために次の工具が必要です。
モジュールを取り扱うときは、リスト ストラップまたは他のアース器具を常に使用して Electrostatic Discharge(ESD; 静電放電)を防止してください。
モジュールの取り付けと取り外し
Catalyst 6500 シリーズ スイッチはいずれもホット スワップに対応しているため、シャーシの電源を切らなくても、モジュールの取り付け、取り外し、および交換を行うことができます。スイッチからモジュールを取り外す方法については、「モジュールの取り外し」 を参照してください。
モジュールが取り付けられたか、または取り外されたことをソフトウェアが検出すると、自動的に診断ルーチンとディスカバリ ルーチンが実行され、モジュールの有無が通知されてスイッチの処理が再開されます。
次の各項では、取り付け方法および Catalyst 6500 シリーズ スイッチでのモジュールの処理の確認方法について説明します。
スロットの割り当て
Catalyst 6506 スイッチ シャーシには 6 つのスロットがあり、Catalyst 6509 スイッチ シャーシには 9 つのスロットがあり、Catalyst 6513 スイッチ シャーシには 13 のスロットがあります。
• スロット 1 のスーパーバイザ エンジンに障害が発生した場合に、スロット 2 を冗長スーパーバイザ エンジン用に使用できます。
モジュールの取り外し
この項では、シャーシ スロットから既存のモジュールを取り外す方法について説明します。
警告 接続されていないファイバやコネクタから目に見えないレーザー光が放射されている可能性があります。レーザー光を凝視したり、光学機器を使用して直接見たりしないでください。
モジュールをシャーシから取り外すには、次の手順を実行します。
ステップ 1 シャーシに搭載されているすべてのモジュールについて、非脱落型ネジが固く締まっていることを確認します。
この手順によって、モジュールを取り外したときに生じるスペースを確保します。
(注) 非脱落型ネジが緩んでいると、搭載モジュールの電磁干渉(EMI)ガスケットがモジュールを空いているスロットに押し出し、空きスペースが小さくなって交換用モジュールの取り付けが困難になります。
ステップ 2 モジュールの 2 本の非脱落型ネジを緩めます。
ステップ 3 シャーシのスロットの方向(水平または垂直)に応じて、次のサブステップのいずれかを実行します。
a. 左右のイジェクタ レバーに親指を当てて、左右同時にレバーを外側に回転させ、バックプレーン コネクタからモジュールを外します。
b. モジュールの前面エッジを片手で持ち、スロットからモジュールを引き出します。モジュールの下にもう一方の手を当てて、モジュールの重量を支えます。モジュールの回路に触れないでください。
a. モジュールの上下にあるイジェクト レバーに親指を当てて、上下同時にレバーを外側に回転させ、バックプレーン コネクタからモジュールを外します。
b. モジュールの端を持ち、スロットからモジュールをまっすぐに引き出します。モジュールの回路に触れないでください。
ステップ 4 静電気防止用マットまたは静電気防止用フォームにモジュールを置くか、またはすぐに別のスロットに取り付けます。
ステップ 5 モジュールを取り外したスロットを空のままにする場合、フィラー パネルを取り付けて埃がシャーシに入らないようにし、シャーシのエアフローが適切に保たれるようにします。
警告 ブランクの前面プレート(フィラー パネル)には 3 つの重要な役割があります。シャーシ内部の危険な電圧および電流に接触しないように防御の役割を果たします。他の機器に悪影響を与える EMI(電磁干渉)を外に出しません。さらに、シャーシ全体に冷却用の空気を流します。
モジュールの取り付け
この項では、Catalyst 6500 シリーズ スイッチにモジュールを取り付ける方法について説明します。
警告 接続されていないファイバやコネクタから目に見えないレーザー光が放射されている可能性があります。レーザー光を凝視したり、光学機器を使用して直接見たりしないでください。
モジュールをシャーシに取り付けるには、次の手順を実行します。
ステップ 2 モジュール ポートにインターフェイス機器を直接接続するのに十分な場所があることを確認します。可能であれば、モジュールのフィラー パネルだけが取り付けられている空スロットの間にモジュールを設置してください。
ステップ 3 シャーシに搭載されているすべてのモジュールについて、非脱落型ネジが固く締まっていることを確認します。
この手順によって、全モジュールの EMI ガスケットが完全に圧縮されて、交換用モジュールに最大限のスペースを確保します。
(注) 非脱落型ネジが緩んでいると、搭載モジュールの EMI ガスケットが隣接モジュールを空いているスロットに押し出し、空きスペースが小さくなって交換用モジュールの取り付けが困難になります。
ステップ 4 2 本の平型プラス ネジをフィラー パネルから外して、フィラー パネルを取り外します。
ステップ 5 モジュールの両側のイジェクタ レバーを完全に開きます(図2 参照)。
ステップ 6 シャーシのスロットの方向(水平または垂直)に応じて、次のサブステップのいずれかを実行します。
a. スロットにモジュールを合わせます。モジュール キャリアの両側が両側のスロット ガイドと重なるようにします(図2 を参照)。
b. モジュール上端の EMI ガスケットが上段スロットのモジュールと接触し、両側のイジェクト レバーがモジュールの前面プレートに対して約 45 度閉じるまで、静かにモジュールをスロットに押し込みます(図3 を参照)。
c. 両手の親指と人差し指で両側のイジェクト レバーを押し下げて、EMI ガスケットと上段モジュールの間に隙間を 0.040 インチ(1 mm)作ります(図3 を参照)。
d. 左右のイジェクト レバーを押し下げながら、左右同時に閉じてモジュールをバックプレーン コネクタに完全に装着します。イジェクト レバーが完全に閉じると、モジュールの前面プレートと一直線になります(図4 を参照)。
図4 水平スロット シャーシでの完全に閉じた状態のイジェクト レバー
(注) モジュールがバックプレーン コネクタに完全に装着されていないと、エラー メッセージが表示されることがあります。
(注) 必ずイジェクト レバーを完全に閉じてから、非脱落型ネジを締めてください。
a. スロットにモジュールを合わせます(図5 を参照)。モジュール キャリアの両側がスロットの上下のスロット ガイドと重なるようにします。
b. モジュール右端の EMI ガスケットが隣接スロットのモジュールと接触するまで、静かにモジュールをスロットに押し込みます。両方のイジェクト レバーをモジュールの前面プレートに対して約 45 度閉じます(図6 を参照)。
c. 両手の親指と人差し指で両側のイジェクト レバーを持ち、左側に少し押し付けるようにしてモジュールを約 0.040 インチ(1 mm)寄せ、モジュールの EMI ガスケットと隣接モジュールの間に隙間を作ります(図6 を参照)。
d. イジェクト レバーを押し付けながら、上下同時に閉じてモジュールをバックプレーン コネクタに完全に装着します。イジェクト レバーが完全に閉じると、モジュールの前面プレートと一直線になります(図7 を参照)。
図7 垂直スロット シャーシでの完全に閉じた状態のイジェクト レバー
(注) 必ずイジェクト レバーを完全に閉じてから、非脱落型ネジを締めてください。
取り付けの確認
Catalyst 6500 シリーズ スイッチまたは 7600 シリーズ ルータにモジュールを取り付けると、起動シーケンスが実行されるので、人手を介する必要はありません。起動シーケンスが正常終了すると、緑色のステータス LED が点灯します。ステータス LED が緑色でない場合、すなわち異なる色の場合、表 1 を参照してモジュールのステータスを確認します。
CLI の使用方法
スイッチが十分に信頼できる環境にない場合、Secure Shell(SSH; セキュア シェル)接続でモジュールを設定することをお勧めします。
スイッチ コンソールからモジュールのセッションに入って設定します。Telnet セッションで接続している場合、 terminal monitor コマンドを使用してコンソール メッセージを表示します。
指定したホストからモジュールに SSH 接続することもできます。モジュール コンソールからホストの SSH サポートを設定して有効にします。
関連資料
Guard モジュールの注意事項と Catalyst 6500 シリーズ スイッチでサポートされる最大モジュール数については、『 Release Note for the Cisco Anomaly Guard Module 』を参照してください。
Detector モジュールの注意事項と Catalyst 6500 シリーズ スイッチでサポートされる最大モジュール数については、『 Release Note for the Cisco Traffic Anomaly Detector Module 』を参照してください。
Guard モジュールの設定情報については、次のマニュアルを参照してください。
• Cisco Anomaly Guard Module Configuration Guide
• Cisco Anomaly Guard Module Web-Based Manager Configuration Guide
Detector モジュールの設定情報については、次のマニュアルを参照してください。
• Cisco Traffic Anomaly Detector Module Configuration Guide
• Cisco Traffic Anomaly Detector Module Web-Based Manager Configuration Guide
安全上の警告
警告 目に見えないレーザー光線が放射されています。ステートメント 1016
警告 ブランクの前面プレートおよびカバー パネルには、3 つの重要な役割があります。シャーシ内部の危険な電圧および電流に接触しないように防御の役割を果たします。他の機器に悪影響を与える EMI(電磁干渉)を外に出しません。さらに、シャーシ全体に冷却用の空気を流します。カード、前面プレート、前面カバー、および背面カバーがすべて取り付られてから、システムを稼動させてください。ステートメント 1029
技術情報の入手方法
シスコの製品マニュアルやその他の資料は、Cisco.com でご利用いただけます。また、テクニカル サポートおよびその他のリソースを、さまざまな方法で入手することができます。ここでは、シスコ製品に関する技術情報を入手する方法について説明します。
Cisco.com
最新のシスコのマニュアルには、次の URL からアクセスしてください。
http://www.cisco.com/univercd/home/home.htm
シスコの Web サイトには、次の URL からアクセスしてください。
各国のシスコの Web サイトには、次の URL からアクセスしてください。
http://www.cisco.com/public/countries_languages.shtml
マニュアルの発注方法(英語版)
英文マニュアルの発注方法については、次の URL にアクセスしてください。
http://www.cisco.com/univercd/cc/td/doc/es_inpck/pdi.htm
• Cisco.com(Cisco Direct Customers)に登録されている場合、Ordering Tool からシスコ製品の英文マニュアルを発注できます。次の URL にアクセスしてください。
シスコシステムズマニュアルセンター
シスコシステムズマニュアルセンターでは、シスコ製品の日本語マニュアルの最新版を PDF 形式で公開しています。また、日本語マニュアル、および日本語マニュアル CD-ROM もオンラインで発注可能です。ご希望の方は、次の URL にアクセスしてください。
また、シスコシステムズマニュアルセンターでは、日本語マニュアル中の誤記、誤植に関するコメントをお受けしています。次の URL の「製品マニュアル内容不良報告」をクリックすると、コメント入力画面が表示されます。
なお、技術内容に関するお問い合せは、この Web サイトではお受けできませんので、製品を購入された各代理店へお問い合せください。
テクニカル サポート
シスコと正式なサービス契約を交わしているすべてのお客様、パートナー、および代理店は、Cisco Technical Support で 24 時間テクニカル サポートを利用することができます。Cisco.com の Cisco Technical Support Web サイトでは、多数のサポート リソースをオンラインで提供しています。また、Cisco Technical Assistance Center(TAC)のエンジニアが電話でのサポートにも対応します。シスコと正式なサービス契約を交わしていない場合は、代理店にお問い合せください。
Cisco Technical Support Web サイト
Cisco Technical Support Web サイトでは、シスコ製品やシスコの技術に関するトラブルシューティングにお役立ていただけるように、オンラインでマニュアルやツールを提供しています。この Web サイトは、24 時間 365 日、いつでも利用可能です。URL は次のとおりです。
http://www.cisco.com/techsupport
Cisco Technical Support Web サイトのツールにアクセスするには、Cisco.com のユーザ ID とパスワードが必要です。サービス契約が有効で、ユーザ ID またはパスワードを取得していない場合は、次の URL にアクセスして登録手続きを行ってください。
http://tools.cisco.com/RPF/register/register.do
(注) Web または電話でサービス リクエストを発行する前に、Cisco Product Identification(CPI)ツールを使用して製品のシリアル番号を確認してください。CPI ツールには、Cisco Technical Support Web サイトから、Documentation & Tools の下の Tools & Resources リンクをクリックするとアクセスできます。アルファベット順の索引ドロップダウン リストから Cisco Product Identification Tool を選択するか、Alerts & RMAs の下の Cisco Product Identification Tool リンクをクリックします。CPI ツールには、3 つの検索オプションがあります。製品 ID またはモデル名による検索、ツリー表示による検索、show コマンド出力のコピー アンド ペーストによる特定製品の検索です。検索結果では、製品が図示され、シリアル番号ラベルの位置が強調表示されます。ご使用の製品でシリアル番号ラベルを確認し、その情報を記録してからサービス コールをかけてください。
Japan TAC Web サイト
Japan TAC Web サイトでは、利用頻度の高い TAC Web サイト( http://www.cisco.com/tac )のドキュメントを日本語で提供しています。Japan TAC Web サイトには、次の URL からアクセスしてください。
http://www.cisco.com/jp/go/tac
サポート契約を結んでいない方は、「ゲスト」としてご登録いただくだけで、Japan TAC Web サイトのドキュメントにアクセスできます。Japan TAC Web サイトにアクセスするには、Cisco.com のログイン ID とパスワードが必要です。ログイン ID とパスワードを取得していない場合は、次の URL にアクセスして登録手続きを行ってください。
サービス リクエストの発行
オンラインの TAC Service Request Tool を使用すると、S3 と S4 のサービス リクエストを短時間でオープンできます(S3:ネットワークに軽微な障害が発生した、S4:製品情報が必要である)。状況を入力すると、その状況を解決するための推奨手段が検索されます。これらの推奨手段で問題を解決できない場合は、Cisco TAC のエンジニアが対応します。TAC Service Request Tool には、次の URL からアクセスできます。
http://www.cisco.com/techsupport/servicerequest
S1 または S2 のサービス リクエストの場合、またはインターネットにアクセスできない場合は、Cisco TAC に電話でお問い合せください(S1:ネットワークがダウンした、S2:ネットワークの機能が著しく低下した)。S1 および S2 のサービス リクエストには、Cisco TAC のエンジニアがすぐに割り当てられ、業務を円滑に継続できるようサポートします。
サービス リクエストのシビラティの定義
シスコでは、報告されるサービス リクエストを標準化するために、シビラティを定義しています。
シビラティ 1(S1):ネットワークが「ダウン」した状態か、業務に致命的な損害が発生した場合。お客様およびシスコが、24 時間体制でこの問題を解決する必要があると判断した場合。
シビラティ 2(S2):既存のネットワーク動作が著しく低下したか、シスコ製品が十分に機能しないため、業務に重大な影響を及ぼした場合。お客様およびシスコが、通常の業務中の全時間を費やして、この問題を解決する必要があると判断した場合。
シビラティ 3(S3):ネットワークの動作パフォーマンスが低下しているが、ほとんどの業務運用は継続できる場合。お客様およびシスコが、業務時間中にサービスを十分なレベルにまで復旧させる必要があると判断した場合。
シビラティ 4(S4):シスコ製品の機能、インストレーション、コンフィギュレーションについて、情報または支援が必要な場合。業務の運用には、ほとんど影響がありません。
その他の資料および情報の入手方法
シスコの製品、テクノロジー、およびネットワーク ソリューションに関する情報について、さまざまな資料をオンラインおよび印刷物で入手できます。
• Cisco Marketplace では、シスコの書籍やリファレンス ガイド、ロゴ製品を数多く提供しています。購入を希望される場合は、次の URL にアクセスしてください。
http://www.cisco.com/go/marketplace/
• 『 Cisco Product Catalog 』には、シスコシステムズが提供するネットワーキング製品のほか、発注方法やカスタマー サポート サービスについての情報が記載されています。『Cisco Product Catalog』には、次の URL からアクセスしてください。
http://cisco.com/univercd/cc/td/doc/pcat/
• Cisco Press では、ネットワーク全般、トレーニング、および認定資格に関する出版物を幅広く発行しています。これらの出版物は、初級者にも上級者にも役立ちます。Cisco Press の最新の出版情報などについては、次の URL からアクセスしてください。
• 『 Packet 』はシスコシステムズが発行する技術者向けの雑誌で、インターネットやネットワークへの投資を最大限に活用するために役立ちます。本誌は季刊誌として発行され、業界の最先端トレンド、最新テクノロジー、シスコ製品やソリューション情報が記載されています。また、ネットワーク構成およびトラブルシューティングに関するヒント、コンフィギュレーション例、カスタマー ケース スタディ、認定情報とトレーニング情報、および充実したオンライン サービスへのリンクの内容が含まれます。『Packet』には、次の URL からアクセスしてください。
日本語版『Packet』は、米国版『Packet』と日本版のオリジナル記事で構成されています。日本語版『Packet』には、次の URL からアクセスしてください。
http://www.cisco.com/japanese/warp/public/3/jp/news/packet/
• 『 iQ Magazine 』はシスコシステムズの季刊誌で、成長企業が収益を上げ、業務を効率化し、サービスを拡大するためには技術をどのように利用したらよいかを学べるように構成されています。本誌では、実例とビジネス戦略を挙げて、成長企業が直面する問題とそれを解決するための技術を紹介し、読者が技術への投資に関して適切な決定を下せるよう配慮しています。『iQ Magazine』には、次の URL からアクセスしてください。
http://www.cisco.com/go/iqmagazine
• 『 Internet Protocol Journal 』は、インターネットおよびイントラネットの設計、開発、運用を担当するエンジニア向けに、シスコが発行する季刊誌です。『Internet Protocol Journal』には、次の URL からアクセスしてください。
• シスコは、国際的なレベルのネットワーク関連トレーニングを実施しています。最新情報については、次の URL からアクセスしてください。
フィードバック