ステップ 1 |
parameter-map type regex blacklist-name
Device(config)# parameter-map type regex urlf-blacklist1
|
ブロックリストのパラメータマップを定義します。これは、後に手順 17 で使用します。
|
ステップ 2 |
pattern URL-name
Device(config-profile)# pattern www\.cnn\.com
Device(config-profile)# pattern www\.msnbc\.com
|
ブロックリストに登録する URL を定義します。URL-name 内のピリオドの前には、必ずエスケープ「\」文字を入れてください。ブロックリストに複数の URL を設定するには、この手順を繰り返します。
|
ステップ 3 |
parameter-map type regex whitelist-name
Device(config-profile)# parameter-map type regex urlf-whitelist1
|
許可リストのパラメータマップを定義します。これは、後に手順 20 で使用します。
|
ステップ 4 |
pattern URL-name
Device(config-profile)# pattern www\.nfl\.com
|
許可リストに登録する URL を定義します。ブロックリストの URL では、URL-name 内のピリオドの前には、必ずエスケープ「\」文字を入れてください。許可リストに複数の URL を設定するには、この手順を繰り返します。
|
ステップ 5 |
exit
Device(config-profile)# exit
|
|
ステップ 6 |
utd multi-tenancy
Device(config)# utd multi-tenancy
|
このコマンドは、次の utd engine standard multi-tenancy コマンドに備えて、スイッチの役割を果たします。
|
ステップ 7 |
utd engine standard multi-tenancy
Device(config)# utd engine standard multi-tenancy
|
マルチテナント用の UTD 標準エンジンの設定モードに入ります。
(注)
|
後に手順 50 で UTD 標準エンジンの設定モードを終了すると、ポリシー設定が適用されます。
|
|
ステップ 8 |
web-filter sourcedb sourcedb-number
Device(config)# web-filter sourcedb 1
|
Web フィルタリングのソース DB プロファイル(sourcedb-number は数字)を設定します。これは、後に手順 29 で使用されます。
|
ステップ 9 |
logging level {alerts | critical | debugging | emergencies | errors | informational | notifications | warnings}
Device(config)# logging level errors
|
Web フィルタリングイベントに関して報告されるシステムメッセージのレベルを設定します。指定したレベル以下のメッセージが報告されます。(各レベルには、次の表に示す数値があります)
表 1. システム メッセージの重大度
レベル
|
説明
|
0:emergencies
|
システムが使用不可
|
1:alerts
|
即時処理が必要
|
2:critical
|
クリティカル状態
|
3:errors
|
エラー状態
|
4:warnings
|
警告状態
|
5:notifications
|
正常だが注意を要する状態
|
6:informational
|
情報メッセージだけ
|
7:debugging
|
デバッグ実行時にのみ表示
|
|
ステップ 10 |
web-filter block local-server profile profile-id
Device(config-utd-multi-tenancy)# web-filter block local-server profile 1
コンテンツのテキストはローカルサーバによって表示されます。
|
|
ステップ 11 |
block-page-interface loopback id
Device(config-utd-mt-webf-blk-srvr)# block-page-interface loopback 110
|
ループバックインターフェイスにこのプロファイルを関連付けます。このループバックインターフェイスの IP アドレスは、ブロックローカルサーバの IP アドレスとして使用されます。
|
ステップ 12 |
content text display-text
Device(config-utd-mt-webf-blk-srvr)# content text "Blocked by Web-Filter"
|
ブロックされたページにアクセスした後に表示される警告テキストを指定します。
|
ステップ 13 |
http-ports port-number
Device(config-utd-mt-webf-blk-srvr)# http-ports 80
|
http ポート値は、カンマで区切られたポートの文字列です。nginx HTTP サーバはこれらのポートをリッスンします。
|
ステップ 14 |
web-filter block page profile profile-name
Device(config-utd-multi-tenancy)# web-filter block page profile 1
Device(config-utd-mt-webf-block-urc)# text "this page is blocked"
|
|
ステップ 15 |
web-filter url profile web-filter-profile-id
Device(config-utd-multi-tenancy)# web-filter url profile 1
Device(config-utd-mt-webfltr-url)#
|
Web フィルタリングの URL プロファイルである web-filter-profile-id を指定します。値は 1 ~ 255 です。このコマンドの後、ブロックリスト、許可リスト、およびカテゴリのアラートを設定できます。詳細については、「インラインブロックページを使用した URL ベースの Web フィルタリングの設定」を参照してください。
(注)
|
マルチテナント用のコマンドを設定する場合、シングルテナントと比較して、最初の utd というキーワードを使用しないでください。
|
|
ステップ 16 |
blacklist
Device(config-utd-mt-webfltr-url)# blacklist
|
Web フィルタリングのブロックリストの設定モードに入ります。
|
ステップ 17 |
parameter-map regex blacklist-name
Device(config-utd-mt-webf-url-bl)# parameter-map regex urlf-blacklist1
|
手順 1 で前に定義したブロックリストを使用して、パラメータマップの正規表現を指定します。
|
ステップ 18 |
exit
Device(config-utd-mt-webf-url-bl)# exit
Device(config-utd-mt-webfltr-url)#
|
Web フィルタリングのブロックリストの設定モードを終了します。
|
ステップ 19 |
whitelist
Device(config-utd-mt-webfltr-url)# whitelist
Device(config-utd-mt-webf-url-wl)#
|
Web フィルタリングの許可リストの設定モードに入ります。
|
ステップ 20 |
parameter-map regex whitelist-name
Device(config-utd-mt-webf-url-wl)# parameter-map regex urlf-list1
|
手順 3 で前に定義した許可リストを使用して、パラメータマップの正規表現を指定します。
|
ステップ 21 |
exit
Device(config-utd-mt-webf-url-wl)# exit
Device(config-utd-mt-webfltr-url)#
|
Web フィルタリングの許可リストの設定モードを終了します。
|
ステップ 22 |
exit
Device(config-utd-mt-webfltr-url)# exit
Device(config-utd-multi-tenancy)#
|
Web フィルタリングの URL プロファイルモードを終了します。
|
ステップ 23 |
utd global
Device(config-utd-multi-tenancy)# utd global
|
utd global に入力されたコマンドは、すべてのテナントまたはポリシーに適用されます。Cisco CSR 1000v インスタンスの場合のコマンド例は、logginghost syslog および threat inspection などです。
|
ステップ 24 |
logging {host hostname | syslog}
この例では、アラートは指定されたホストのログファイルに記録されます。Device(config-utd-mt-utd-global)# logging host systemlog1
この例では、アラートは IOS syslog に記録されます。Device(config-utd-mt-utd-global)# logging syslog
|
logging コマンドは、syslog メッセージの送信先となるホスト名または IOS syslog を指定します。
|
ステップ 25 |
threat inspection
Device(config-utd-mt-utd-global)# threat inspection
|
|
ステップ 26 |
signature update server {cisco | url url } [username username [password password]]
Device(config-utd-mt-utd-global-threat)# signature update server cisco username abcd password cisco123
|
署名更新サーバのパラメータを設定します。サーバの詳細で署名更新パラメータを指定する必要があります。署名の更新に www.cisco.com を使用する場合は、ユーザ名とパスワードを入力する必要があります。署名の更新にローカルサーバを使用する場合は、サーバ設定に基づいてユーザ名とパスワードを指定できます。ルータは、インターネットに接続することでドメイン名を解決できる必要があります。
|
ステップ 27 |
signature update occur-at {daily | monthly day-of-month | weekly day-of-week} hour minute
Device(config-utd-mt-utd-global-threat)# signature update occur-at daily 0 0
|
署名の更新間隔パラメータを設定します。この設定をすることで、午前 0 時に署名の更新がトリガーされます。
|
ステップ 28 |
web-filter
Device(config-utd-mt-utd-global-threat)# web-filter
|
このコマンドは、次の sourcedb コマンドと組み合わせて使用し、Web フィルタリングの URL ソースデータベースを指定します。
|
ステップ 29 |
sourcedb sourcedb-number
Device(config-utd-mt-utd-global-threat)# sourcedb 1
|
Web フィルタリングのソースデータベースを割り当てます。アクティブにできるソースデータベースは 1 つだけです。
|
ステップ 30 |
exit
Device(config-utd-mt-utd-global-threat)# exit
|
|
ステップ 31 |
exit
Device(config-utd-mt-global)# exit
|
|
ステップ 32 |
threat-inspection list profile policy-name
Device(config-utd-multi-tenancy)# threat-inspection list profile wh101
|
許可リストのプロファイルを現在設定されているポリシーに関連付けます。同様のコマンドがシングルテナントで使用されますが、utd キーワードを使用します。
|
ステップ 33 |
signature id id
Device(config-utd-mt-list)# signature id 101
|
以前に脅威として特定した ID である id を指定します。たとえば、アラートのログファイルの ID を確認した後などです。
複数の署名 ID に対してこのコマンドを繰り返します。
|
ステップ 34 |
exit
Device(config-utd-mt-whitelist)# exit
|
|
ステップ 35 |
threat-inspection profile profile-name
Device(config-utd-multi-tenancy)# threat-inspection profile 101
|
脅威検知プロファイルを設定することで、複数のテナントにより再利用できるようになります。複数の脅威検知プロファイルを設定できます。プロファイル内では、複数の許可リストを設定できます。profile-name は英数字です。
|
ステップ 36 |
threat {detection | protection }
Device(config-utd-mt-threat)# threat protection
|
Snort エンジンの動作モードとして侵入検知システム(IDS)または侵入防止システム(IPS)を指定します。
デフォルトは threat detection です。
|
ステップ 37 |
policy {balanced | connectivity | security}
Device(config-utd-mt-threat)# policy security
|
Snort エンジンのセキュリティポリシーを設定します。
|
ステップ 38 |
logging level{alert | crit | debug | emerg | err | info | notice | warning}
|
次のいずれかのカテゴリのログを表示します。
-
alert:アラートレベルのログを表示します(重大度 = 2)。
-
crit:クリティカルレベルのログ(重大度 = 3)
-
debug:すべてのログ(重大度 = 8)
-
emerg:緊急レベルのログ(重大度 = 1)
-
err:エラーレベルのログ(重大度 = 4)デフォルト。
-
info:情報レベルのログ(重大度 = 7)
-
notice:通知レベルのログ(重大度 = 6)
-
warning:警告レベルのログ(重大度 = 5)
|
ステップ 39 |
whitelist profile profile-name
Device(config-utd-mt-threat)# whitelist profile wh101
|
また、許可リストプロファイルを別の場所にある許可リストのプロファイルに対してのみ指定することもできます(上記の threat-inspection whitelist profile コマンド)。
(オプション)UTD エンジンで許可リストを有効にします。
|
ステップ 40 |
exit
Device(config-utd-mt-threat)# exit
|
|
ステップ 41 |
脅威検知プロファイルを追加するには、手順 35 〜 40 を繰り返します。
|
|
ステップ 42 |
policy policy-name
Device(config-utd-multi-tenancy)# policy pol101
|
複数のテナントに関連付けるポリシーを定義します。脅威検知(IPS)および Web フィルタリングのプロファイルがポリシーに追加されます。
|
ステップ 43 |
vrf [ vrf-name | global ]
この例では、2 つのテナント(VRF)と 2 つのポリシーの設定を示します。
Device(config-utd-mt-policy)# vrf vrf101
|
UTD ポリシーを使用する VRF(テナント)ごとに vrf vrf-name コマンドを繰り返し入力します。以前に定義されたこれらの VRF については、マルチテナント用の VRF の設定方法 を参照してください。
または、vrf global を使用してグローバル(デフォルト)VRF に関連付け、インターフェイスで VRF を有効にします。
|
ステップ 44 |
all-interfaces
Device(config-utd-mt-policy)# all-interfaces
|
(オプション)VRF のすべてのインターフェイスをポリシーに関連付けます。
|
ステップ 45 |
threat-inspection profile profile-name
Device(config-utd-mt-policy)# threat-inspection profile 101
|
(オプション)以前に定義した脅威検知プロファイルにポリシーを関連付けます。手順 35 を参照してください。
|
ステップ 46 |
web-filter url profile web-filter-profile-id
Device(config-utd-mt-policy)# web-filter url profile 1
|
(オプション)以前に定義した Web フィルタリングのプロファイルにポリシーを関連付けます。手順 15 を参照してください。
|
ステップ 47 |
fail close
Device(config-utd-mt-policy)# fail close
|
(オプション)エンジン障害時に IPS または IDS パケットをドロップします。デフォルトは fail open です。
|
ステップ 48 |
exit
|
|
ステップ 49 |
各ポリシーに対して手順 42 〜 48 を繰り返します。
|
|
ステップ 50 |
exit
Device(config-utd-multi-tenancy)# exit
|
utd engine standard multi-tenancy モードを終了します。
ポリシー設定が適用されます。これには数分かかる場合があります。この間は、utd engine standard multi-tenancy 設定モードのコマンドはそれ以上入力できません。
|
ステップ 51 |
exit
Device(config)# exit
Device#
|
|
ステップ 52 |
show logging
Device(config)# show logging
..UTD MT configuration download has started
..UTD MT configuration download has completed
|
(オプション)ポリシー設定が適用されているかどうかを確認するログメッセージを表示します。次のようなメッセージを検索します。
..UTD MT configuration download has started
..UTD MT configuration download has completed
「download has completed 」を含むメッセージは、ポリシー設定が適用されたことを示します。
|
ステップ 53 |
interface sub-interface
Device(config)# interface GigabitEthernet4.101
|
テナント(VRF)に使用するサブインターフェイスを指定します。
|
ステップ 54 |
encapsulation dot1Q vlan-id
Device(config-if)# encapsulation dot1Q 101
|
VLAN ID をサブインターフェイスに適用します。
|
ステップ 55 |
ip vrf forwarding vrf-name
Device(config-if)# ip vrf forwarding vrf101
|
VRF インスタンスをサブインターフェイスに関連付けます。
|
ステップ 56 |
ip address ip-address subnet-mask
Device(config-if)# ip address 111.0.0.1 255.255.255.0
|
VRF のサブインターフェイスの IP アドレスを指定します。
|
ステップ 57 |
ip route ip-address subnet-mask sub-interface
この例では、VRF のサブネット GigabitEthernet4.101 は、静的 IP アドレス 111.0.0.0 255.255.255.0 を使用してグローバル ルーティング テーブルにリンクされています。Device(config-if)# ip route 111.0.0.0 255.255.255.0 GigabitEthernet4.101
|
(オプション)次の手順のこの ip route コマンドと ip route vrf コマンドはオプションです。VRF とグローバル ルーティング テーブル間の静的ルートを使用してルートリークを設定する場合にこれらの手順を使用できます。
これにより、VRF インターフェイスから VRF サブネットへの静的ルートが設定され、VRF サブネットにグローバル ルーティング テーブルからアクセスできるようになります。ルートリークの設定の詳細については、「MPLS または VPN ネットワークでのルートリーク」を参照してください。
|
ステップ 58 |
ip route vrf vrf-name ip-address subnet-mask global
Device(config-if)# ip route vrf vrf101 0.0.0.0 0.0.0.0 5.2.1.1 global
|
(オプション)この手順と前の手順は任意となります。VRF とグローバル ルーティング テーブル間の静的ルートを使用してルートリークを設定する場合は、次の手順を使用できます。ルートリークの設定の詳細については、「MPLS または VPN ネットワークでのルートリーク」を参照してください。
グローバル ルーティング テーブルへの静的 VRF のデフォルトルートを指定します。
|
ステップ 59 |
utd enable
|
(オプション)インターフェイス上で UTD を有効にします。このコマンドは、all-interfaces コマンドが設定されていない場合に使用できます(手順 44 内)。
|
ステップ 60 |
各テナント(VRF)のサブインターフェイスを設定するには、手順 53 〜 59 を繰り返します。
|
|
ステップ 61 |
exit
|
|