Application Visibility and Control(AVC)によるアプリケーション パフォーマンスの向上
デバイス ワーク センターからデバイスの機能設定を変更したり、ブランチのデバイスをセットアップしたりするために必要な一連のデバイス コンフィギュレーションを設計するには、Cisco Prime Infrastructure の設定テンプレートを使用します。
WSMA で AVC 機能を使用するためのデバイスの設定
Prime Infrastructure では、主に Telnet または SSHv2 を介した CLI 方式を使用してデバイスを設定します。ASR および ISR デバイスの特定の機能を設定するために WSMA(SSHv2 経由)を使用できます。Cisco Web Services Management Agent は、デバイスを設定するためのより効率的で堅牢な方法です。 Prime Infrastructure は、ASR および ISR デバイスでの WSMA によるゾーンベース ファイアウォールおよびアプリケーション可視性の設定をサポートします。
WSMA を介してゾーンベース ファイアウォールまたはアプリケーション可視性を設定するには、次の手順を実行します。
手順
ステップ 1 |
管理トランスポート プロトコルとして Telnet ではなく SSHv2 を使用するために、 Prime Infrastructure でデバイスを追加または編集します。
|
ステップ 2 |
デバイスが(SSH2 を使用するよう設定されていない) Prime Infrastructure によっても管理される場合は、デバイス クレデンシャルを次のように編集します。
|
ステップ 3 |
WSMA の設定プロファイルを次のように設定することで、デバイスの WSMA プロファイルをアクティブ化します。 例:
|
ステップ 4 |
デバイスで次の CLI コマンドを使用して、設定アーカイブを設定します。これは WSMA でトランザクションの設定とロールバックの処理に使用されます。 例:
|
AVC とは
アプリケーション可視性(アプリケーションの表示)機能を使用すると、特定のインターフェイスでトラフィックをモニタし、パフォーマンスおよび帯域幅統計情報のレポートを生成できます。この情報は Cisco Prime Infrastructure のさまざまなダッシュレットとレポートに使用されます。デバイスは Cisco Prime Infrastructure にこれらのレポートを送信し、各レポートが Cisco Prime Infrastructure のダッシュレットおよびレポートのサブセットに情報を提供します。Cisco Prime Infrastructure では、(Telnet または SSH を介した)CLI または WSMA を使用してアプリケーションの可視性を設定できます。WSMA を使用すると、より効率的かつ堅牢な方法でアプリケーションの可視性を設定できます。したがって、アプリケーションの可視性の設定には WSMA プロトコルを使用することを推奨します。Cisco Prime Infrastructure での WSMA の使用に関する詳細を参照してください。
設定を簡素化するために、アプリケーション可視性機能は、次の 4 種類のメトリックおよび NetFlow レポートに分割されています。
レポート |
説明 |
||
---|---|---|---|
トラフィック統計情報(Traffic Statistics) |
ユーザ単位およびインターフェイス単位で、NBAR で認識される各アプリケーションが消費する帯域幅の統計情報を送信します。このレポートの情報が、「上位 N 個のアプリケーション」、「アプリケーション帯域幅レポート」、「上位 N 個のクライアント」などの形で Cisco Prime Infrastructure のさまざまなアプリケーション帯域幅ダッシュレットおよびレポートに表示されます。 |
||
HTTP URL 可視性(HTTP URL Visibility) |
HTTP ベースのトラフィックのパフォーマンスおよび帯域幅レポートを送信します。このレポートの情報は、「ヒット件数の上位 N 個の URL」および「応答時間の上位 N 個の URL」として Cisco Prime Infrastructure のさまざまな URL ダッシュレットおよびレポートに表示されます。
|
||
アプリケーション応答時間(Application Response Time) |
TCP トラフィックのパフォーマンス関連情報を送信します。このレポートの情報は、「アプリケーション ART 分析」、「トランザクション時間の下位 N 個のクライアント」などの形で Cisco Prime Infrastructure のさまざまな応答時間ダッシュレットおよびレポートに表示されます。 |
||
音声/ビデオ メトリック(Voice/Video Metrics) |
RTP ベースの音声/ビデオ トラフィックのさまざまな RTP 主要パフォーマンス評価指標を送信し、その情報が音声/ビデオ カテゴリの「パケット損失の下位 N 個の RTP ストリーム」として Cisco Prime Infrastructure のダッシュレットおよびレポートに表示されます。 |
AVC がサポートされるデバイス
アプリケーション可視性機能は次のプラットフォームでサポートされています。
- Cisco IOS-XE リリース 15.3(1)S1 以降の ASR 1000 シリーズ プラットフォーム
- 次に示す、Cisco IOS リリース 15.2(4)M2 以降の ISR G2 プラットフォーム
- Cisco 1900 シリーズ サービス統合型ルータ
- Cisco MWR 1900 モバイル ワイヤレス ルータ
- Cisco 2900 シリーズ サービス統合型ルータ
- Cisco 3900 シリーズ サービス統合型ルータ
- Cisco 812 CiFi サービス統合型ルータ
- Cisco 819 Non-Hardened サービス統合型ルータ
- Cisco 819 Hardened サービス統合型ルータ
- Cisco 819 Hardened 3G - Dual Radio 802.11n WiFi ISR
- Cisco 861、861W サービス統合型ルータ G2
- Cisco 867、867W サービス統合型ルータ G2
- Cisco 866VAE サービス統合型ルータ
- Cisco 880 3G サービス統合型ルータ G2
- Cisco 881、881W サービス統合型ルータ G2
- Cisco 881SRST、881SRSTW サービス統合型ルータ G2
- Cisco 881W、881WD サービス統合型ルータ
- Cisco 886、886W サービス統合型ルータ G2
- Cisco 886SRST、886SRSTW サービス統合型ルータ G2
- Cisco 886VA、886VAG サービス統合型ルータ G2
- Cisco 886VA-W サービス統合型ルータ G2
- Cisco 887、887W サービス統合型ルータ G2
- Cisco 887V サービス統合型ルータ G2
- Cisco 886VA サービス統合型ルータ G2
- Cisco 887VA M サービス統合型ルータ G2
- Cisco 887VA-W サービス統合型ルータ G2
- Cisco 888、888W、888GW サービス統合型ルータ G2
- Cisco 888ESRST、888ESRSTW サービス統合型ルータ G2
- Cisco 888E、888EW サービス統合型ルータ G2
- Cisco 888EA サービス統合型ルータ G2
- Cisco 888SRST、888SRSTW サービス統合型ルータ G2
- Cisco 891、891W サービス統合型ルータ G2
- Cisco 892、892W サービス統合型ルータ G2
- Cisco 892F、892FW サービス統合型ルータ
- Cisco C892FSP サービス統合型ルータ
- Cisco C897VA サービス統合型ルータ
- Cisco C897VAW サービス統合型ルータ
- Cisco C891F サービス統合型ルータ
- Cisco C881 サービス統合型ルータ
- マルチモード 4G LTE ルータ搭載 Cisco C899 セキュア ギガビット イーサネット
- 4 ポート LAN サービス統合型ルータ搭載 Cisco 800M
- 8 ポート LAN サービス統合型ルータ搭載 Cisco 800M
- Cisco C896VA サービス統合型ルータ
- Cisco IOS-XE リリース 16.3 以降のシスコ サービス統合型仮想ルータ(ISRv)プラットフォーム
- Cisco IOS-XE リリース 15.3(2)S 以降の ISR 4300 および 4400 シリーズ プラットフォーム
- Cisco IOS-XE リリース 15.3(2)S 以降の CSR プラットフォーム
Application Visibility and Control の使用時の前提条件
アプリケーション可視性機能をアクティブ化すると、デバイスのパフォーマンスに影響を与える場合があります。潜在的影響を最小限に抑えるために、モニタするトラフィック インターフェイスと生成するレポートをテンプレートで選択できます。
アプリケーションの可視性を設定する方法は、プラットフォームおよび IOS リリースによって異なります。新しい IOS リリースでは、Application Visibility and Control(AVC)のセットアップ用に、よりパフォーマンスの高い新しいメカニズムを使用できます。したがって、15.4(1)S より前の IOS-XE リリースを実行する ASR 1000、CSR または ISR 4400 プラットフォームを IOS-XE リリース 15.4(1)S 以降にアップグレードする場合、または 15.4(1)T より前の IOS リリースを実行する ISR-G2 プラットフォームを IOS リリース 15.4(1)T 以降にアップグレードする場合は、これらのデバイスで AVC を再設定することを推奨します。
ネットワークでのアプリケーション可視性を設定する方法は次のとおりです。
- (任意)CLI ではなく WSMA プロトコルを使用してデバイスが設定されるようにするには、デバイスで WSMA を設定します。WSMA には、より堅牢な設定メカニズムが備わっています。
- デバイスで最新の NBAR プロトコル パックが実行されていることを確認してください。
- デバイスでアプリケーション可視性をアクティブ化する前に、デバイスへのリソース(CPU とメモリ)の潜在的な影響を推測します。
テンプレートを作成してネットワーク全体にプッシュするか、デバイス ワーク センターからインターフェイスの AVC を有効化することによって、デバイスでアプリケーション可視性をアクティブ化します。
(注) |
アプリケーション トラフィック フローの可視性を確認するには、次を参照してください。 https://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/Aug2014/CVD-ApplicationMonitoringUsingNetFlowDesignGuide-AUG14.pdf |
ASR デバイス上の CPU、メモリ、およびネットワーク リソースの推測
ASR デバイスでアプリケーションの可視性機能を展開する際に、レディネス アセスメント機能を使用すると、CPU 消費量、メモリ使用量、および NetFlow エクスポート トラフィックを推測することができます。ASR デバイスでのこれらのリソースの需要を、標準的な定義済みトラフィック プロファイルおよびデバイスのインターフェイス速度に基づいて分析するには、DRE が役立ちます。
DRE は、次のモジュールが 1 つ以上インストールされた、Cisco IOS-XE リリース 15.3(1)S1 以降を実行するすべての ASR でサポートされます。
- cevModuleASR1000ESP5
- cevModuleASR1000ESP10
- cevModuleASR1000ESP20
- cevModuleASR1001ESP
- cevModuleASR1002FESP
特定のデバイス上のリソース使用率を推測するには、次の手順を実行します。
手順
ステップ 1 |
[サービス(Services)] > [アプリケーションの可視性と制御(Application Visibility and Control)] > [レディネス アセスメント(Readiness Assessment)] を選択します。 |
ステップ 2 |
推測するデバイスの [インターフェイス(Interface)] 列で、下矢印アイコンをクリックします。 アプリケーション可視性機能をサポートするインターフェイスのみがリストに表示されます。 |
ステップ 3 |
[インターネット プロファイル(Internet Profile)] または [エンタープライズ プロファイル(Enterprise Profile)] を選択します。デバイス リソースの推測は、標準的なトラフィック プロファイルに基づきます。標準的なサービスプロバイダー トラフィックには [インターネット プロファイル(Internet Profile)]、標準的な企業トラフィックには [エンタープライズ プロファイル(Enterprise Profile)] を選択してください。 |
ステップ 4 |
リソース使用率を推測するインターフェイスを選択します。 表示される速度は、各インターフェイスに関して現在設定されている速度です。別の速度を推測のベースにする場合は、[速度(Mbps)(Speed (Mbps))] をクリックして別の値を入力します。 |
ステップ 5 |
[推測を取得(Get Estimates)] をクリックします。 [リソース使用率の推測(Estimated Resource Usage)] グラフに、CPU およびメモリの現在の使用率、追加使用率、および総使用率に加えて、これらのリソースのしきい値制限が表示されます。また、推測される最大 NetFlow エクスポート トラフィックも表示されます。AVC がすでに有効になっているデバイスについては、現在および追加の使用率のみが表示されます。 リソース使用率がしきい値制限を超えている場合は、問題のあるデバイスを次の方法で最適化してください。
|
ルータの DMVPN 詳細の表示
ルータの DMVPN 詳細を表示するには、次の手順を実行します。
手順
ステップ 1 |
を選択し、DMVPN とアクティブなスポーク カウントをサポートするルータの詳細を表示します。 |
ステップ 2 |
デバイス名をクリックし、VRF、ローカル トンネル IP、トンネル インターフェイス番号、およびスポーク カウントを含めたハブの詳細を表示します。 |
ステップ 3 |
[スポークの詳細の表示(Show Spoke Details)] ボタンをクリックし、選択したハブのスポークの詳細を表示します。 |
NBAR プロトコル パックとは
アプリケーションの可視性レポートを作成するデバイスの機能は、NBAR テクノロジーに基づきます。NBAR(つまり Network-Based Application Recognition)とは、多種多様なプロトコルおよびアプリケーション(動的な TCP/ユーザ データグラム プロトコル(UDP)ポート割り当てを使用する Web ベースなどの分類困難なアプリケーションおよびプロトコルを含む)を認識して分類する分類エンジンです。
NBAR は新しいアプリケーションとプロトコルをサポートするように頻繁に更新され、NBAR のソフトウェア アップデートはプロトコル パックと呼ばれます。
NBAR プロトコル パックの詳細とそのアップグレード方法の詳細。
デバイスで NBAR プロトコル パックをアップグレードする際には、対応する Prime Infrastructure のアップデートを実行することで、デバイスでのサポート対象プロトコルおよびアプリケーションによって Prime Infrastructure を更新する必要があります。
これを行うために、新しいプロトコル パックがリリースされると、定期的な Prime Infrastructure のソフトウェア アップデート(UBF ファイル)が発行されます。デバイスで NBAR プロトコル パックをアップグレードした後、 Prime Infrastructure もまた最新のプロトコルで更新されるように、 Prime Infrastructure のソフトウェア アップグレードを使用する必要があります。
ネットワークには常に、さまざまな Cisco IOS ソフトウェア リリースおよびさまざまなプロトコル パック リリースを実行しているプラットフォーム(ISR-G2/ASR)が含まる可能性があります。アプリケーション可視性レポートを生成するさまざまなデバイスで、別々のプロトコル パック リリースを同時に使用することは推奨されません。ただし、異なるバージョンの NBAR プロトコル パックを実行する複数のデバイスにアプリケーション可視性テンプレートを展開する際に、各デバイスでテンプレートのフィルタリング条件として定義されたサポート対象プロトコル/アプリケーションのサブセットのみを設定することで、 Prime Infrastructure はこれに対応できます。
詳細については、『NBAR Configuration Guide』を参照してください。
アプリケーションの可視性テンプレートの作成
アプリケーション可視性モニタリング ポリシーは、選択したインターフェイス グループに対して定義されます。テンプレートを定義する際には、トラフィックをモニタして NetFlow レポートを生成する対象のインターフェイス グループに一致するインターフェイスロール オブジェクトを必ず定義してください。
アプリケーション可視性テンプレートを作成するには、次の手順を実行します。
手順
ステップ 1 |
[設定(Configuration)] > [テンプレート(Templates)] > [機能およびテクノロジー(Features & Technologies)] > [アプリケーションの可視性(Application Visibility)] > [AVC 設定(AVC Configuration)] を選択します。 |
ステップ 2 |
[テンプレートの基本設定(Template Basic)] 領域で、適切なフィールドに一意の名前と説明を入力します。 |
ステップ 3 |
[検証基準(Validation Criteria)] 領域で、リストからデバイス タイプを選択し、OS バージョンを入力します。 |
ステップ 4 |
[テンプレートの詳細(Template Detail)] 領域で、ドロップダウン リストからインターフェイス ロールを選択します。インターフェイス ロールは、トラフィックをモニタしてアプリケーション可視性レポートを作成する対象のインターフェイス グループを示します。 |
ステップ 5 |
[トラフィック統計情報(Traffic Statistics)] 領域では、トラフィック統計情報のレポートを作成するためにモニタする対象のトラフィックを決定できます。データ パケットの統計情報を収集しない場合は [オフ(Off)] オプション ボタンを選択します。
|
ステップ 6 |
[HTTP URL 可視性(HTTP URL Visibility)] 領域で、レポートを作成するためにモニタするトラフィックを選択できます。URL の統計情報を収集しない場合は、[オフ(Off)] オプション ボタンをオンにします。
|
ステップ 7 |
[アプリケーション応答時間(Application Response Time)] 領域では、アプリケーション応答時間レポートを作成するためにモニタするトラフィックを決定できます。また、レポートのサンプリング オプションを設定することもできます。ART メトリックを収集しない場合は、[オフ(Off)] オプション ボタンを選択します。 |
ステップ 8 |
[音声/ビデオ メトリック(Voice/Video metrics)] 領域では、音声/ビデオ レポートを作成するためにモニタするトラフィックを決定できます。音声/ビデオ メトリックを収集しない場合は、[オフ(Off)] オプション ボタンを選択します。 |
ステップ 9 |
[新しいテンプレートとして保存(Save as New Template)] をクリックします。 |
インターフェイスでデフォルトのアプリケーションの可視性を有効にする
デバイス ワーク センターから、各インターフェイスに関して生成されたレポートを表示し、選択したインターフェイスでのアプリケーション可視性のデフォルト設定を有効/無効にすることができます。
デバイスにアプリケーション可視性の設定が展開されていない場合や、アプリケーション可視性のデフォルト設定が展開されている場合(一連のデフォルト パラメータですべてのメトリックが収集される場合)は、デバイス ワーク センターを使用すると、デバイス上のインターフェイスを選択し、そのインターフェイスのデフォルト設定を有効/無効にすることで、デバイスのアプリケーション可視性のデフォルト設定を有効/無効にすることができます。
(注) |
デバイスにアプリケーション可視性テンプレートを導入すると、デバイス ワーク センターから有効化したアプリケーション可視性のデフォルト設定が、アプリケーション可視性テンプレートの設定によって上書きされます。 |
デフォルト設定では、該当するすべての IPv4 トラフィックで収集可能な可視性メトリックをすべて収集します。
アプリケーション可視性機能は次のプラットフォームでサポートされています。
- Cisco IOS-XE リリース 15.3(1)S1 以降の ASR プラットフォーム
- Cisco IOS リリース 15.2(4)M2 以降の ISR G2 プラットフォーム
- Cisco IOS-XE リリース 15.3(2)S 以降の ISR G3 プラットフォーム
- Cisco IOS-XE リリース 15.3(2)S 以降の CSR プラットフォーム
- Cisco IOS-XE リリース 16.3 以降のシスコ サービス統合型仮想ルータ(ISRv)プラットフォーム
(注) |
Cisco IOS-XE15.3(1)S1 を実行する ASR プラットフォームでのアプリケーション可視性の設定は、Cisco IOS-XE15.3(2)S 以降のリリースでの設定とは異なります。ASR プラットフォームの Cisco IOS リリースを、Cisco IOS-XE15.3(1)S1 から Cisco IOS-XE リリース 15.3(2)S 以降にアップグレードした後は、デバイスでアプリケーション可視性を再設定することを推奨します。 |
デバイスに設定されたアプリケーション可視性のデフォルト設定プロファイルを変更するには、最初にすべてのインターフェイスでアプリケーション可視性ポリシーを無効にしてから、選択したインターフェイスで新しいプロファイルを使って再び有効化します。
特定のインターフェイスでアプリケーション可視性のデフォルト設定を有効または無効にするには、次の手順を実行します。
手順
ステップ 1 |
[インベントリ(Inventory)] > [デバイス管理(Device Management)] > [ネットワーク デバイス(Network Devices)] を選択します。 |
||||||||
ステップ 2 |
リストからデバイスを選択した後、[設定(Configuration)] をクリックします。[機能設定(Feature Configuration)] ペインが表示されます。 |
||||||||
ステップ 3 |
[アプリの可視性と制御(App Visibility & control)] フォルダを展開して、[アプリの可視性(App Visibility)] を選択します。 |
||||||||
ステップ 4 |
次のいずれかを実行します。
次のオプションが表示される可能性があります。
|
AVC を使用したトラフィック フローのトラブルシューティング
モニタ対象インターフェイスを通過するすべてのフローでアプリケーション可視性データを収集できます。ただし、これはデバイスのパフォーマンスに大きな影響を与える可能性があるため、アプリケーション可視性データは集約されて収集されます。特定フローの詳細なトラブルシューティングを行う場合は、デバイスでのアプリケーション可視性のトラブルシューティング セッションをアクティブ化できます。セッションは、特定のインターフェイスと特定のトラフィックに関してアクティブ化されます。これによりフローに基づくレベルで非集約情報を収集でき、 Prime Infrastructure に Raw NetFlow レポートが提供されます。この情報を、後で特定のフローを分析する際に使用できます。
アプリケーション可視性トラブルシューティング機能では、次の作業が可能です。
- 特定のインターフェイスに関するトラブルシューティング セッションの作成およびアクティブ化
- 特定のインターフェイスに関するトラブルシューティング セッションの非アクティブ化および削除
注意 |
サーバのオーバーロードを回避するために、設定するアクティブなトラブルシューティング セッションの数を 10 以下にすることを推奨します。ISR-G2 プラットフォームではアプリケーション トラブルシューティングはサポートされません。 |
(注) |
Cisco IOS-XE Release 15.3(1)S1 を実行する ASR プラットフォームでのトラブルシューティング セッションの設定は、Cisco IOS-XE Release15.3(2)S 以降のリリースでの設定とは異なります。ASR プラットフォームの Cisco IOS リリースを Cisco IOS-XE リリース 15.3(1)S1 から Cisco IOS-XE リリース 15.3(2)S 以降にアップグレードした後は、デバイスでアクティブなトラブルシューティング セッションを非アクティブ化してから再度アクティブ化することを推奨します。 |
アプリケーション可視性のトラブルシューティングを行うには、次の手順を実行します。
手順
ステップ 1 |
[サービス(Services)] > [アプリケーションの可視性と制御(Application Visibility & Control)] > [アプリケーションのトラブルシューティング(Application Troubleshooting)] の順に選択します。 |
||
ステップ 2 |
[AVC トラブルシューティング セッション(AVC Troubleshooting Session)] ページで、[追加(Add)] をクリックしてセッション名を入力します。 |
||
ステップ 3 |
[送信元/宛先 IP(Source/Destination IPs)] フィールドで [編集(Edit)] をクリックし、ドロップダウン リストから送信元および宛先の IP アドレスを選択します。IP トラフィックを選択して、その特定の IP トラフィックのアプリケーション可視性のトラブルシューティング情報を収集することができます。すべての IPv6 トラフィック、すべての IPv4 トラフィック、または特定の IPv4 アドレス/サブネットを選択できます。また、IP 制約ペアのリストを選択することもできます。この場合、各ペアはトラフィックの送信元と宛先 IP の双方向の対称条件を指定します。たとえば、Any IPv4 <=> IPv4 サブネット 192.168.0.0/16 ペアは、192.168.0.0/16 から他の IP へのフローおよびその逆のフロー(任意の IP アドレスから 192.168.0.0/16)のすべてに一致します。複数のペア条件を追加できます。 |
||
ステップ 4 |
IP 制約を IP 送信元/宛先ペア形式でさらに追加するには、[送信元宛先の選択(Select Source Destination)] ダイアログボックスの [+] アイコンをクリックします。
|
||
ステップ 5 |
[OK] をクリックします。 |
||
ステップ 6 |
[デバイス テーブル(Device Table)] リストからデバイスを選択します。 |
||
ステップ 7 |
[インターフェイス テーブル(Interface Table)] リストからインターフェイスを選択します。 |
||
ステップ 8 |
オブジェクト セレクタ ダイアログボックスからアプリケーションを選択します。アプリケーションを選択する際には、使用可能なリストのカテゴリ、サブカテゴリ、暗号化アプリケーション、およびトンネル アプリケーションを組み合わせることができます。アプリケーション、カテゴリ、または属性を 32 個まで選択できます。 |
||
ステップ 9 |
[保存(Save)] をクリックすると、セッションが自動的にアクティブ化されます。 |
||
ステップ 10 |
トラブルシューティング セッションがアクティブ化した後、[レポートを起動(Launch Report)] をクリックして Raw NetFlow レポートを生成します。 |
AVC トラブルシューティング セッションのアクティブ化
非アクティブなトラブルシューティング セッションをアクティブ化したり、既存のトラブルシューティング セッションを非アクティブ化したりすることができます。
トラブルシューティング セッションをアクティブ化または非アクティブ化するには、次の手順を実行します。
手順
ステップ 1 |
[サービス(Services)] > [アプリケーションの可視性と制御(Application Visibility & Control)] > [アプリケーションのトラブルシューティング(Application Troubleshooting)] の順に選択します。 |
ステップ 2 |
リストからトラブルシューティング セッションを選択し、[アクティブ化(Activate)] または [非アクティブ化(Deactivate)] をクリックします。 |
ステップ 3 |
[保存(Save)] をクリックします。 |
AVC トラブルシューティング セッションの編集
非アクティブなトラブルシューティング セッションを編集または削除できます。(アクティブなセッションを編集または削除するには、その前に非アクティブ化する必要があります)。
トラブルシューティング セッションを編集または削除するには、次の手順を実行します。
手順
ステップ 1 |
[サービス(Services)] > [アプリケーションの可視性と制御(Application Visibility & Control)] > [アプリケーションのトラブルシューティング(Application Troubleshooting)] の順に選択します。 |
ステップ 2 |
次のいずれかを実行します。 |
AVC で使用するデータ ソースの設定
Prime Infrastructure は、デバイス、パフォーマンス、保証データを正確に収集およびレポート作成するうえで、さまざまなソースに依存しています。これらのソースとしては、NAM などの特殊なモニタリング デバイスのほかに、Cisco Medianet、NetFlow、Network Based Application Recognition(NBAR)、Performance Monitoring(PerfMon)、Performance Agent などの通常のデバイスで実行されるプロトコルもあります。
アクティブなソースから正確なデータのみが収集されるようにするには、これらのソースの管理が必要となります。[データ ソース(Data Sources)] ページを使用すれば、現在のデータ ソースを確認し、非アクティブになった項目を削除することができます。
[データ ソース(Data Sources)] ページを使用することにより、 Prime Infrastructure の現在のデータ ソースを表示できます。
手順
ステップ 1 |
[サービス(Services)] > [アプリケーションの可視性と制御(Application Visibility & Control)] > [データ ソース(Data Sources)] の順に選択します。 Prime Infrastructure では、要約ページに各データ ソースに関する次の情報が表示されます。
|
ステップ 2 |
データ ソースの設定テンプレート、またはエクスポート元デバイスのデバイス 360 度ビューの詳細を確認するには、リストのデータ ソースまたはエクスポート元デバイスの横に表示される [i] アイコンをクリックします。 |
ステップ 3 |
非アクティブな Prime Infrastructure のデータ ソースを削除するには、削除する非アクティブ データ ソースの隣にあるチェックボックスをオンにします。 |
ステップ 4 |
[削除(Delete)] をクリックします。 |
ステップ 5 |
[OK] をクリックして削除を実行します。 |
AVC データ重複除去の設定
データ重複除去を使用すると、対応するロケーション グループに対する信頼できるデータ ソースを識別できます。
Prime Infrastructure は、すべてのソースから受信したネットワーク使用率に関するすべてのデータを保存します。これには、複数のソースから受信した重複データも含まれます。正式なデータ ソースを指定した場合、特定のサイトを表示した際に、指定したソースからのデータだけが表示されます。
データ重複除去ページを使用すれば、特定のサイトのデータ ソースを指定することができます。たとえば、ブランチ(支社)オフィスのネットワーク解析モジュール(NAM)に加えて、同じブランチから送信される NetFlow データも存在する場合、信頼できるデータ ソースを使用した NAM または NetFlow データで報告されたときにサイト情報を表示することを選択できます。
2 つの信頼できるデータ ソースは、次のとおりです。
- システムで検出:管理対象デバイス製品ファミリに基づきます。デバイス ファミリの選択の優先順位を変更できます。優先順位を変更するには、設定アイコンをクリックして、デバイス ファミリをドラッグ アンド ドロップします。この手順に従って、信頼できるデータソースが選択されます。
- カスタマイズ:管理対象データ ソースから選択できます。
手順
ステップ 1 |
[サービス(Services)] > [アプリケーションの可視性と制御(Application Visibility & Control)] > [データ重複除去(Data Deduplication)] の順に選択します。[データ重複除去(Data Deduplication)] ページが表示されます。 |
ステップ 2 |
[システムで検出(System Detected)] をクリックしてロケーション グループ内のデータ ソースを特定するか、または [カスタマイズ(Customized)] を選択してデータ ソースを選択します。 |
ステップ 3 |
[保存(Save)] をクリックします。 |
ステップ 4 |
[適用(Apply)] をクリックします。 |
設定テンプレートを使用した VPN IKE ポリシーと設定の構成
IKE ポリシー テンプレートを作成するには、次の手順を実行します。
手順
ステップ 1 |
[設定(Configuration)] > [テンプレート(Templates)] > [機能およびテクノロジー(Features & Technologies)] > [セキュリティ(Security)] > [VPN コンポーネント(VPN Components)] > [IKE ポリシー(IKE Policies)] を選択します。 |
ステップ 2 |
[テンプレートの基本設定(Template Basic)] 領域で、該当するテキスト ボックスにテンプレートの名前、説明、およびタグを入力します。 |
ステップ 3 |
[検証基準(Validation Criteria)] 領域で、ドロップダウン リストからデバイス タイプを選択し、OS バージョンを入力します。必須フィールドの詳しい説明については、『Cisco Prime Infrastructure Reference Guide』を参照してください。 |
ステップ 4 |
[新しいテンプレートとして保存(Save as New Template)] をクリックします。 |
設定テンプレートを使用した VPN IPSec プロファイルの設定
IPsec プロファイル テンプレートを作成するには、次の手順を実行します。
手順
ステップ 1 |
[設定(Configuration)] > [テンプレート(Templates)] > [機能およびテクノロジー(Features & Technologies)] > [セキュリティ(Security)] > [VPN コンポーネント(VPN Components)] > [IPSec プロファイル(IPSec Profile)] を選択します。 |
ステップ 2 |
[テンプレートの基本設定(Template Basic)] 領域で、該当するテキスト ボックスにテンプレートの名前、説明、およびタグを入力します。 |
ステップ 3 |
[検証基準(Validation Criteria)] 領域で、ドロップダウン リストからデバイス タイプを選択し、OS バージョンを入力します。 |
ステップ 4 |
[テンプレートの詳細(Template Detail)] 領域で、[行を追加(Add Row)] をクリックして必要な情報を入力します。トランスフォーム セットは、特定のセキュリティ プロトコルとアルゴリズムの組み合わせを表します。IPsec ネゴシエーション中に、ピアは、特定のトランスフォーム セットを使用して特定のデータ フローを保護することに合意します。トランスフォーム セットは、特定のセキュリティ プロトコルとそれに対応するアルゴリズムを記述します。必須フィールドの詳しい説明については、『Cisco Prime Infrastructure Reference Guide』を参照してください。 |
ステップ 5 |
[新しいテンプレートとして保存(Save as New Template)] をクリックします。 |
設定テンプレートを使用した VPN 事前共有キーの設定
事前共有キー テンプレートを作成するには、次の手順を実行します。
手順
ステップ 1 |
[設定(Configuration)] > [テンプレート(Templates)] > [機能およびテクノロジー(Features & Technologies)] > [セキュリティ(Security)] > [VPN コンポーネント(VPN Components)] > [事前共有キー(Preshared Keys)] を選択します。 |
ステップ 2 |
[テンプレートの基本設定(Template Basic)] 領域で、該当するテキスト ボックスにテンプレートの名前、説明、およびタグを入力します。 |
ステップ 3 |
[検証基準(Validation Criteria)] 領域で、ドロップダウン リストからデバイス タイプを選択し、OS バージョンを入力します。 |
ステップ 4 |
[テンプレートの詳細(Template Detail)] 領域で、[行を追加(Add Row)] をクリックして必要な情報を入力します。 |
ステップ 5 |
[新しいテンプレートとして保存(Save as New Template)] をクリックします。 |
設定テンプレートを使用した VPN RSA キーの設定
RSA キー テンプレートを作成するには、次の手順を実行します。
手順
ステップ 1 |
[設定(Configuration)] > [テンプレート(Templates)] > [機能およびテクノロジー(Features & Technologies)] > [セキュリティ(Security)] > [VPN コンポーネント(VPN Components)] > [RSA キー(RSA Keys)] を選択します。 |
ステップ 2 |
[テンプレートの基本設定(Template Basic)] 領域で、該当するテキスト ボックスにテンプレートの名前、説明、およびタグを入力します。 |
ステップ 3 |
[検証基準(Validation Criteria)] 領域で、ドロップダウン リストからデバイス タイプを選択し、OS バージョンを入力します。 |
ステップ 4 |
[テンプレートの詳細(Template Detail)] 領域で、[追加(Add)] をクリックして必要な情報を入力します。 |
ステップ 5 |
エクスポート可能キーとして RSA を生成するには、[エクスポート可能(Exportable)] ボックスをオンにして [OK] をクリックします。 |
ステップ 6 |
[新しいテンプレートとして保存(Save as New Template)] をクリックします。 |
設定テンプレートを使用した VPN トランスフォーム セットの設定
トランスフォーム セット テンプレートを作成するには、次の手順を実行します。
手順
ステップ 1 |
[設定(Configuration)] > [テンプレート(Templates)] > [機能およびテクノロジー(Features & Technologies)] > [セキュリティ(Security)] > [VPN コンポーネント(VPN Components)] > [トランスフォーム セット(Transform Sets)] を選択します。 |
||
ステップ 2 |
[テンプレートの基本設定(Template Basic)] 領域で、該当するテキスト ボックスにテンプレートの名前、説明、およびタグを入力します。 |
||
ステップ 3 |
[検証基準(Validation Criteria)] 領域で、ドロップダウン リストからデバイス タイプを選択し、OS バージョンを入力します。 |
||
ステップ 4 |
[テンプレートの詳細(Template Detail)] 領域で、[行を追加(Add Row)] をクリックして必要な情報を入力します。
|
||
ステップ 5 |
[新しいテンプレートとして保存(Save as New Template)] をクリックします。 |
エンドポイント アソシエーションを使用した NetFlow データの分類
Prime Infrastructure は、NetFlow データをサイトごとに分類し、[ネットワークヘルスとサービスヘルス(Network Health and Service Health)] ページに表示します。エンドポイント アソシエーションを使用すると、着信クライアント/サーバ IP をそれらのサブネットやデータ ソースに応じて分類するルールを作成するのに役立ちます。
(注) |
デバイスまたはクライアント/サーバ IP を特定のロケーション グループに割り当てるには、 で、ロケーション グループを定義する必要があります。 |
ルールを作成するには、次の手順を実行します。
手順
ステップ 1 |
に移動します。 |
||
ステップ 2 |
[+](行の追加)アイコンをクリックし、新しいルールを作成します。 |
||
ステップ 3 |
[ロケーショングループ(Location Group)] ドロップダウン リストから必要なロケーション グループを選択します。 |
||
ステップ 4 |
[サブネット(Subnet)] フィールドで有効なサブネットを指定します。 |
||
ステップ 5 |
(任意)[データソース(Data Source)] ドロップダウン リストで、必要なデータ ソースを選択します。 |
||
ステップ 6 |
[保存(Save)] をクリックします。ルールが作成されます。Netflow があるときは常に、UDP ペイロードのクライアント/サーバ IP は、作成されたルールに従って分類されます。
|
NetFlow テンプレートの表示
Netflow テンプレートでは、受信 UDP パケットの処理に使用されるメタデータ/構造を定義します。このテンプレートでは、デバイスから収集するメトリックを指定します。Prime Infrastructure では、
から定義したテンプレートを表示できます。[アプリケーション制御(Application Control)] ページの AVC プロファイルまたは CLI のいずれかを介してテンプレートを手動で設定することができます。Easy VPN サーバとは
ケーブル モデム、xDSL ルータ、その他の形式のブロードバンド アクセスは高いインターネット接続性能を提供しますが、多くのアプリケーションでは、ハイレベルの認証を実行したり、2 つのエンドポイント間のデータを暗号化したりするなど、VPN 接続のセキュリティも必要となります。しかし 2 つのルータ間に VPN 接続を確立するには複雑な作業が伴う場合があり、2 つのルータの VPN パラメータを設定するには通常、ネットワーク管理者間で面倒な調整が必要です。
Cisco Easy VPN Remote 機能を使用し、Cisco Unity Client プロトコルを実装することで、ほとんどの VPN パラメータが Cisco IOS Easy VPN サーバで定義可能になるため、こうした面倒な作業が大幅に軽減されます。このサーバとして、たとえば次のいずれかの専用 VPN デバイスを使用できます。
- Cisco VPN 3000 コンセントレータ
- Cisco PIX Firewall
- Cisco Unity Client プロトコルをサポートする Cisco IOS ルータ
Cisco Easy VPN サーバを設定すると、Cisco 800 シリーズ ルータや Cisco 2800 シリーズ ルータなどの Easy VPN Remote 上で最小限の設定を行うだけで VPN 接続を作成できます。Easy VPN Remote が VPN トンネル接続を開始すると、Cisco Easy VPN サーバは IPsec ポリシーを Easy VPN Remote にプッシュし、それに対応する VPN トンネル接続を作成します。
設定テンプレートを使用した Easy VPN サーバの Web ブラウザ プロキシ設定
Easy VPN サーバ プロキシ機能を使用して、Easy VPN クライアントの設定を指定できます。この機能を使用すると、Cisco IOS VPN クライアントを使用して社内ネットワークに接続する際に Web ブラウザのプロキシ設定を手動で変更する必要はありません。また、ネットワークから切断する際にプロキシ設定を手動で元に戻す必要もありません。
Easy VPN サーバ プロキシ テンプレートを作成するには、次の手順を実行します。
手順
ステップ 1 |
[設定(Configuration)] > [テンプレート(Templates)] > [機能およびテクノロジー(Features & Technologies)] > [セキュリティ(Security)] > [Easy VPN サーバ プロキシ設定(Easy VPN Server Proxy Setting)] を選択します。 |
ステップ 2 |
基本的なテンプレート情報を入力します。 |
ステップ 3 |
[デバイス タイプ(Device Type)] ドロップダウン リストから、[ルータ(Routers)] を選択します。 |
ステップ 4 |
[テンプレートの詳細(Template Detail)] 領域に名前を入力して、グループに関連付ける設定を選択します。 |
ステップ 5 |
[プロキシ サーバなし(No Proxy Server)] オプションを選択します。あるいは、このグループのクライアントが VPN トンネルを使用する際にプロキシ サーバを自動的に検出させるには [プロキシ設定を自動検出(Automatically Detect Proxy Settings)] オプションを選択します。 |
ステップ 6 |
このグループのクライアントにプロキシ サーバを手動で設定するには、[手動設定(Manual Configuration)] オプションを選択します。このオプションを選択した場合は、手動でプロキシ サーバを設定してください。 |
ステップ 7 |
クライアントがローカル(LAN)アドレスにプロキシ サーバを使用しないように設定するには、[ローカル アドレスのプロキシ サーバをバイパス(Bypass proxy server for local addresses)] チェックボックスをオンにします。 |
ステップ 8 |
[新しいテンプレートとして保存(Save as New Template)] をクリックします。 |
設定テンプレートを使用した Easy VPN Remote の設定
Cisco Easy VPN Remote 機能を使用し、Cisco Unity Client プロトコルを実装することで、ほとんどの VPN パラメータが Cisco IOS Easy VPN サーバで定義可能になるため、こうした面倒な作業が大幅に軽減されます。
はじめる前に
ACL テンプレートを作成して公開します。
Easy VPN Remote テンプレートを作成するには、次の手順を実行します。
手順の概要
- [設定(Configuration)] > [テンプレート(Templates)] > [機能およびテクノロジー(Features & Technologies)] > [セキュリティ(Security)] > [Easy VPN Remote] を選択します。
- 基本的なテンプレート情報を入力します。
- [デバイス タイプ(Device Type)] ドロップダウン リストから、[ルータ(Routers)] を選択します。
- [Easy VPN Remote インターフェイスの設定(Easy VPN Remote Interface Configuration)] 領域に必要な情報を入力します。必須フィールドの詳しい説明については、『Cisco Prime Infrastructure Reference Guide』を参照してください。
- [リモート認証メカニズム(Remote Authentication Mechanisms)] 領域で、認証方式を選択します。
- [リモート ファイアウォール設定(Remote Firewall Settings)] 領域で、Easy VPN Remote 接続のファイアウォール設定を行います。
- [新規テンプレートとして保存(Save as New Template)] をクリックします。
- My Templates フォルダに移動し、保存したテンプレートを選択します。
- 右上の隅にある [公開(Publish)] アイコンをクリックし、OK をクリックします。
- 複合テンプレートを作成して ACL テンプレートと Easy VPN Remote テンプレートを複合テンプレートに追加します。
- 矢印ボタンを使用して、テンプレートをデバイスに展開する順序に並べ替えます。たとえば、ACL を作成してそれをインターフェイスに関連付けるには、Easy VPN Remote テンプレートの前に ACL テンプレートを配置します。
- [新しいテンプレートとして保存(Save as New Template)] をクリックします。
手順の詳細
ステップ 1 |
[設定(Configuration)] > [テンプレート(Templates)] > [機能およびテクノロジー(Features & Technologies)] > [セキュリティ(Security)] > [Easy VPN Remote] を選択します。 |
ステップ 2 |
基本的なテンプレート情報を入力します。 |
ステップ 3 |
[デバイス タイプ(Device Type)] ドロップダウン リストから、[ルータ(Routers)] を選択します。 |
ステップ 4 |
[Easy VPN Remote インターフェイスの設定(Easy VPN Remote Interface Configuration)] 領域に必要な情報を入力します。必須フィールドの詳しい説明については、『Cisco Prime Infrastructure Reference Guide』を参照してください。 |
ステップ 5 |
[リモート認証メカニズム(Remote Authentication Mechanisms)] 領域で、認証方式を選択します。 |
ステップ 6 |
[リモート ファイアウォール設定(Remote Firewall Settings)] 領域で、Easy VPN Remote 接続のファイアウォール設定を行います。 |
ステップ 7 |
[新規テンプレートとして保存(Save as New Template)] をクリックします。 |
ステップ 8 |
My Templates フォルダに移動し、保存したテンプレートを選択します。 |
ステップ 9 |
右上の隅にある [公開(Publish)] アイコンをクリックし、OK をクリックします。 |
ステップ 10 |
複合テンプレートを作成して ACL テンプレートと Easy VPN Remote テンプレートを複合テンプレートに追加します。 |
ステップ 11 |
矢印ボタンを使用して、テンプレートをデバイスに展開する順序に並べ替えます。たとえば、ACL を作成してそれをインターフェイスに関連付けるには、Easy VPN Remote テンプレートの前に ACL テンプレートを配置します。 |
ステップ 12 |
[新しいテンプレートとして保存(Save as New Template)] をクリックします。 |
設定テンプレートを使用した Easy VPN サーバの設定
Easy VPN サーバ機能により、Cisco VPN ソフトウェア クライアントのリリース 3.x 以降および Cisco VPN ハードウェア クライアント(Cisco 800、Cisco 900、Cisco 1700、VPN 3002、PIX 501 の各デバイス)に対するサーバ サポートが可能になります。IP セキュリティ(IPsec)を使用すると、リモート エンド ユーザは Easy VPN サーバによって任意の Cisco IOS バーチャル プライベート ネットワーク(VPN)ゲートウェイと通信できます。また、集中管理された IPsec ポリシーがサーバによってクライアント デバイスにプッシュされることで、エンド ユーザによる設定を最小限に抑えることができます。
はじめる前に
次の手順を実行します。
- CLI テンプレートを使用して、グループおよびユーザの AAA メソッド リストを作成します。
- IPsec プロファイル テンプレートを作成します。
- 暗号マップを使用する場合は、トランスフォーム セット テンプレートを作成します。
- (任意)RADIUS サーバ グループ作成用の CLI テンプレートを作成するか、AAA メソッド リストの作成時に RADIUS サーバを設定します。
- (任意)ISAKMP グループ設定でスプリット トンネル ACL 用の ACL テンプレートを作成します。
- ISAKMP グループ設定用のブラウザ プロキシ テンプレートを作成します。
Easy VPN Remote テンプレートを作成するには、次の手順を実行します。
手順
ステップ 1 |
[設定(Configuration)] > [テンプレート(Templates)] > [機能およびテクノロジー(Features & Technologies)] > [セキュリティ(Security)] > [Easy VPN サーバ(Easy VPN Server)] を選択します。 |
ステップ 2 |
基本的なテンプレート情報を入力します。 |
ステップ 3 |
[デバイス タイプ(Device Type)] ドロップダウン リストから、[ルータ(Routers)] を選択します。 |
ステップ 4 |
[インターフェイスの設定(Interface Configuration)] 領域で設定方法を選択し、デバイスに設定されるインターフェイスのフィールドに入力します。 |
ステップ 5 |
[VPN コンポーネント アセンブリ(VPN Components Assembly)] 領域で、トランスフォーム セット テンプレートで作成したトランスフォーム セット プロファイル名を入力し(「VPN トランスフォーム セットの設定」)、この領域内のフィールドに入力します。 |
ステップ 6 |
[グループ認証(Group Authorization)] 領域で、CLI テンプレートで作成したメソッド リスト プロファイル名を入力し、この領域内のフィールドに入力します。 |
ステップ 7 |
[ユーザ認証(User Authorization)] 領域で、CLI テンプレートで作成した同じメソッド リスト プロファイル名を入力し、この領域内のフィールドに入力します。 |
ステップ 8 |
[ISAKMP グループ設定(ISAKMP Group configuration)] 領域で、[行を追加(Add Row)] をクリックして ISAKMP グループ設定を追加します。 |
ステップ 9 |
[ISAKMP グループ設定(ISAKMP Group configuration)] ダイアログボックスで、ACL テンプレートで作成した ACL プロファイル名と、ブラウザ プロキシ テンプレートで作成したブラウザ プロキシ プロファイル名を入力し、この領域内のフィールドに入力します。 |
ステップ 10 |
[新しいテンプレートとして保存(Save as New Template)] をクリックします。 |
ステップ 11 |
複合テンプレートを作成し(「VPN トランスフォーム セットの設定」)、AAA メソッド リストと RADIUS サーバ、IPsec プロファイル(「設定テンプレートを使用した VPN IPSec プロファイルの設定」)、ACL ブラウザ プロキシ(「Easy VPN サーバとは」)、および Easy VPN_ Remote テンプレートを複合テンプレートに追加します。 |
ステップ 12 |
矢印アイコンを使用して、テンプレートをデバイスに展開する順序に並べ替えます。たとえば ACL を作成してそれをインターフェイスに関連付けるには、Easy VPN Remote テンプレートの前に ACL テンプレートを配置します。 |
ステップ 13 |
[新しいテンプレートとして保存(Save as New Template)] をクリックします。 |
設定テンプレートを使用した GSM プロファイルの設定
GSM プロファイル テンプレートを作成するには、次の手順を実行します。
手順
ステップ 1 |
[設定(Configuration)] > [テンプレート(Templates)] > [機能およびテクノロジー(Features & Technologies)] > [インターフェイス(Interfaces)] > [セルラー(Cellular)] > [GSM プロファイル(GSM Profile)] をクリックします。 |
ステップ 2 |
基本的なテンプレート情報を入力します。 |
ステップ 3 |
[デバイス タイプ(Device Type)] ドロップダウン リストから、[ルータ(Routers)] を選択します。 |
ステップ 4 |
[テンプレートの詳細(Template Detail)] 領域で、アクセス ポイント名を入力し、ドロップダウン リストからプロファイル番号を選択します。 |
ステップ 5 |
サービス プロバイダーが使用する認証のタイプを選択します。(CHAP 認証は PAP 認証よりもセキュアです)。 |
ステップ 6 |
ISP またはネットワーク管理者から付与されたユーザ名を入力し、パスワードを入力します。 |
ステップ 7 |
[新しいテンプレートとして保存(Save as New Template)] をクリックします。 |
ステップ 8 |
[OK] をクリックします。 |
設定テンプレートを使用した セルラー プロファイルの設定
セルラー プロファイル テンプレートを作成するには、次の手順を実行します。
(注) |
セルラー プロファイル テンプレートを GSM HSPA、HSPA+R7、および LTE-Verizon モデムに展開するには、ルータ上に GSM プロファイルを作成しておく必要があります(「設定プロファイルを使用した GSM プロファイルの設定」)。 |
手順
ステップ 1 |
[設定(Configuration)] > [テンプレート(Templates)] > [機能およびテクノロジー(Features & Technologies)] > [インターフェイス(Interfaces)] > [セルラー(Cellular)] > [セルラー プロファイル(Cellular Profile)] を選択します。 |
ステップ 2 |
基本的なテンプレート情報を入力します。 |
ステップ 3 |
[デバイス タイプ(Device Type)] ドロップダウン リストから、[ルータ(Routers)] を選択します。 |
ステップ 4 |
[テンプレートの詳細(Template Detail)] 領域で、インターフェイスをプライマリ WAN インターフェイスまたはバックアップ WAN インターフェイスとして定義し、フィールドに入力します。 |
ステップ 5 |
[ダイヤラの設定(Dialer Configuration)] 領域で、[はい(Yes)] を選択して永続的データ接続を有効化し、フィールドに入力します。 |
ステップ 6 |
[新しいテンプレートとして保存(Save as New Template)] をクリックします。 |
ステップ 7 |
[OK] をクリックします。 |
ScanSafe を使用した HTTP および HTTPS トラフィックのスキャンの有効化
ScanSafe の Software as a Service(SaaS)Web セキュリティを使用すると、HTTP および HTTPS トラフィックの内容をスキャンできます。ScanSafe Web セキュリティとルータを統合すると、選択した HTTP トラフィックと HTTPS トラフィックが ScanSafe クラウドにリダイレクトされ、そこでコンテンツ スキャンおよびマルウェア検出が行われます。
Cisco サービス統合型ルータ(ISR)Web セキュリティでの Cisco ScanSafe の使用を有効にして、Web トラフィックを ScanSafe にリダイレクトするように ISR を設定すると、サービス統合型ルータ(ISR)は IP アドレスとポートに基づいて HTTP および HTTPS トラフィックを ScanSafe プロキシ サーバに透過的にリダイレクトします。ScanSafe でスキャンせずに、最初に要求された Web サーバに Web トラフィックを直接リレーするように ISR を設定することができます。
承認された Web トラフィックがスキャン用に ScanSafe にリダイレクトされないように ISR を設定できます。ScanSafe スキャンをバイパスすると、ISR は ScanSafe に接続せず、最初に要求された Web サーバからコンテンツを直接取得します。ISR は Web サーバから応答を受け取ると、データをクライアントに送信します。これをトラフィックのホワイトリストといいます。
ScanSafe の詳細については、『Cisco ISR Web Security with Cisco ScanSafe Solution Guide』を参照してください。
ScanSafe テンプレートを作成するには、次の項目を指定する必要があります。
- ScanSafe サーバおよびインターフェイス情報
- ホワイトリスト情報
ScanSafe テンプレートを作成するには、次の手順を実行します。
手順
ステップ 1 |
[設定(Configuration)] > [テンプレート(Templates)] > [機能およびテクノロジー(Features & Technologies)] > [セキュリティ(Security)] > [ScanSafe] を選択します。 |
ステップ 2 |
[テンプレートの基本設定(Template Basic)] 領域で、適切なフィールドに名前と説明を入力します。 |
ステップ 3 |
[検証基準(Validation Criteria)] 領域で、リストからデバイス タイプを選択し、OS バージョンを入力します。 |
ステップ 4 |
[テンプレートの詳細(Template Detail)] 領域で、必要な情報を入力します。必須フィールドの詳しい説明については、『Cisco Prime Infrastructure Reference Guide』を参照してください。 |
ステップ 5 |
[新しいテンプレートとして保存(Save as New Template)] をクリックします。 |
CDMA セルラー WAN インターフェイスの設定
CDMA インターフェイスを設定するには、次の手順を実行します。
手順
ステップ 1 |
[インベントリ(Inventory)] > [デバイス管理(Device Management)] > [ネットワーク デバイス(Network Devices)] を選択します。 |
ステップ 2 |
リストからデバイスを選択してから、[設定(Configuration)] をクリックします。[機能設定(Feature Configuration)] ペインが表示されます。 |
ステップ 3 |
[機能設定(Feature Configuration)] ペインで、[インターフェイス(Interface)] フォルダを展開して [セルラー WAN インターフェイス(Cellular WAN Interfaces)] をクリックします。 |
ステップ 4 |
CDMA Sprint モデムの場合は次の手順を実行します。
|
ステップ 5 |
CDMA Verizon モデムの場合は次の手順を実行します。
|
ステップ 6 |
CDMA Generic モデムの場合は次の手順を実行します。
|
GSM セルラー WAN インターフェイスの設定
GSM インターフェイスを設定するには、次の手順を実行します。
手順
ステップ 1 |
[インベントリ(Inventory)] > [デバイス管理(Device Management)] > [ネットワーク デバイス(Network Devices)] を選択します。 |
ステップ 2 |
リストからデバイスを選択するか、[追加(Add)] をクリックして新しいデバイスを追加した後、デバイスを設定します。 |
ステップ 3 |
デバイスを選択した後、[設定(Configuration)] をクリックします。[機能設定(Feature Configuration)] ペインが表示されます。 |
ステップ 4 |
[インターフェイス(Interface)] フォルダを展開して、[セルラー WAN インターフェイス(Cellular WAN Interfaces)] を選択します。 |
ステップ 5 |
GSM インターフェイスを選択し、[モデムの管理(Manage Modem)] をクリックします。 |
ステップ 6 |
[モデムの管理(Manage Modem)] ダイアログボックスで、[行を追加(Add Row)] をクリックします。 |
ステップ 7 |
ドロップダウン リストからプロファイル番号を選択し、アクセス ポイント名を入力して [OK] をクリックします。 |
ネットワーク アドレス変換(NAT)の設定
ネットワーク アドレス変換(NAT)とは、ネットワーク デバイス(通常はファイアウォール)がプライベート ネットワーク内のコンピュータ(またはコンピュータ グループ)にパブリック アドレスを割り当てるプロセスのことです。NAT は、組織または会社で使用されるパブリック IP アドレスの数を、経済性とセキュリティの両方の目的で制限するうえで役立ちます。
組織が NAT 機能を使用すると、既存のネットワークを持っていてインターネットにアクセスする必要がある場合に、IP アドレスが枯渇する問題を解決できます。組織の IP ネットワークで NAT を使用することにより、外部ネットワーク用に異なる IP アドレス空間を使用できます。したがって NAT を使用すると、グローバル ルーティング可能なアドレスを持たない組織でも、アドレスをグローバル ルーティング可能アドレス空間に変換して、インターネットに接続できるようになります。また、サービス プロバイダーの変更や、Classless Inter Domain Routing(CIDR)ブロックへの自発的な番号再割り当てを行う組織は、NAT によって、よりグレースフルな方法で番号を再割り当てできます。NAT は RFC 1631 に記述されています。
NAT が設定されたルータには、少なくとも内部ネットワークに対して 1 つ、外部ネットワークに対して 1 つのインターフェイスがあります。標準的な環境では、NAT はサブドメインとバックボーンの間の出口ルータで設定されます。パケットがドメインから出て行く際、NAT はローカルに意味のある送信元アドレスをグローバルで一意なアドレスに変換します。パケットがドメインに入ってくる際は、NAT はグローバルに一意な宛先アドレスをローカル アドレスに変換します。出口点が複数存在する場合、個々の NAT は同じ変換テーブルを持っている必要があります。アドレスが足りなくなってアドレスを割り当てられなくなった場合、NAT はそのパケットをドロップし、Internet Control Message Protocol(ICMP)ホスト到達不能パケットを送信します。
NAT の詳細については、『IP Addressing: NAT Configuration Guide, Cisco IOS XE Release 3S』を参照してください。
NAT タイプ
NAT は(通常、2 つのネットワーク間のみを接続する)ルータで動作し、パケットが別のネットワークに転送される前に、内部ネットワークのプライベート(内部ローカル)アドレスをパブリック(内部グローバル)アドレスに変換します。この機能により、ネットワーク全体を表す 1 つのアドレスのみを外部にアドバタイズするように NAT を設定できます。これにより、内部ネットワークを外部から実質的に隠すことができるため、追加のセキュリティが提供されます。
NAT には次のタイプがあります。
- スタティック アドレス変換(SAT):ローカル アドレスとグローバル アドレスを 1 対 1 でマッピングできます。
- ダイナミック アドレス変換(DAT):未登録の IP アドレスを、登録済み IP アドレスのプールから取得される登録済み IP アドレスにマップします。
- オーバーロード:複数の未登録 IP アドレスを、複数の異なるポートを使用して、1 つの登録済み IP アドレスにマップする(多対 1)ダイナミック NAT の一形式。この方法は、ポート アドレス変換(PAT)とも呼ばれます。PAT を使用することにより、実際のグローバル IP アドレスを 1 つだけ使って数千のユーザをインターネットに接続することができます。
IP アドレス節約のための NAT 設定
NAT を設定する手順は、次のとおりです。
- NAT IP プールの作成(ダイナミック NAT で必須)
- ACL テンプレートの作成と ACL の設定
- NAT44 ルールの作成
- インターフェイスの設定およびルールの割り当て
- NAT MAX 変換を使用したルータでの同時 NAT 操作数の制限(オプション)
(注) |
NAT 機能は Cisco IOS リリース 3.5 以降の ASR プラットフォーム、および Cisco IOS リリース 12.4(24)T 以降の ISR プラットフォームでサポートされます。 |
注意 |
「EMS_」で始まる CLI 変更はサポートされず、予期しない動作を引き起こす可能性があります。 |
NAT IP プールの作成
IP プールは、ダイナミック NAT で使われる IP の範囲を表すデバイス オブジェクトです。NAT の IP プール機能を使用すると、ダイナミック NAT で使用できる新しいプールの作成、既存のプールの変更、デバイスからのプールの削除が可能です。
IP プールを作成するには、次の手順を実行します。
手順
ステップ 1 |
[インベントリ(Inventory)] > [デバイス管理(Device Management)] > [ネットワークデバイス(Network Devices)] を選択します。 |
||
ステップ 2 |
リストからデバイスを選択してから、[設定(Configuration)] をクリックします。[機能設定(Feature Configuration)] ペインが表示されます。 |
||
ステップ 3 |
[機能設定(Feature Configuration)] ペインで [セキュリティ(Security)] を展開し、[NAT] サブフォルダを展開して [IP プール(IP Pools)] をクリックします。[NAT プール(NAT Pools)] ページが表示されます。 |
||
ステップ 4 |
[IP プールの追加(Add IP Pool)] > [IP + プレフィックス(IP+Prefix)] または [IP 範囲 + プレフィックス(IP Range + Prefix)] をクリックし、[名前(Name)]、[IP アドレス/範囲(IP Address/Range)]、[プレフィックス長(Prefix Length)]、および [説明(Description)] に入力します。プールの作成後に、プール名を変更することはできません。
|
||
ステップ 5 |
デバイスに IP プールを展開するには [保存(Save)]、編集をキャンセルする場合は [キャンセル(Cancel)] をクリックします。 |
||
ステップ 6 |
既存の IP プールを編集するには、[NAT IP プール(NAT IP Pools)] ページで次のようにします。
|
||
ステップ 7 |
[保存(Save)] をクリックして、デバイスに変更を展開します。 |
NAT44 ルールの作成
NAT44 機能を使用すると、NAT44 ルールを作成、削除、および変更できます。
NAT ルールには、次の 3 つのタイプがあります。
- 静的
- ダイナミック
- ダイナミック PAT
NAT44 ルールを作成するには、次の手順を実行します。
手順
ステップ 1 |
[インベントリ(Inventory)] > [デバイス管理(Device Management)] > [ネットワークデバイス(Network Devices)] を選択します。 |
ステップ 2 |
リストからデバイスを選択してから、[設定(Configuration)] をクリックします。[機能設定(Feature Configuration)] ペインが表示されます。 |
ステップ 3 |
[機能設定(Feature Configuration)] ペインで [セキュリティ(Security)] を展開し、[NAT] サブフォルダを展開して [NAT44 ルール(NAT44 Rules)] をクリックします。 |
ステップ 4 |
[NAT 44] ページで、[NAT ルールを追加(Add NAT Rule)] ボタンの横の下矢印アイコンをクリックします。
|
ステップ 5 |
[保存(Save)] をクリックして変更を保存し、デバイスに展開します。 |
ステップ 6 |
既存の NAT44 ルールを編集するには、[NAT44] ページで次のいずれかを実行します。
|
ステップ 7 |
作成ルールに従って、発信元と送信先を変更できます。また、[オプション(Options)] の選択を作成ルールに従って変更することもできます。 |
ステップ 8 |
[保存(Save)] をクリックして、変更をサーバに保存します。 |
インターフェイスの設定
仮想インターフェイスは、特定の目的または特定のユーザ向けの汎用情報とルータ固有の情報を使って設定された論理インターフェイスです。
仮想インターフェイスを設定するには、次の手順を実行します。
手順
ステップ 1 |
[インベントリ(Inventory)] > [デバイス管理(Device Management)] > [ネットワーク デバイス(Network Devices)] を選択します。 |
ステップ 2 |
リストからデバイスを選択した後、[設定(Configuration)] をクリックします。[機能設定(Feature Configuration)] ペインが表示されます。 |
ステップ 3 |
[機能設定(Feature Configuration)] ペインで [セキュリティ(Security)] を展開し、[NAT] サブフォルダを展開して [インターフェイス(Interfaces)] をクリックします。 [インターフェイス(Interface)] ページで、変更するインターフェイスを選択し、ドロップダウン リストからアソシエーションを選択します。選択できる項目は、[内部(Inside)]、[外部(Outside)]、および [なし(None)] です。 |
ステップ 4 |
[保存(Save)] をクリックして、変更をサーバに保存します。 |
NAT MAX 変換を使用したルータでの同時 NAT 操作数の制限
NAT MAX 変換機能によって、ルータ上で同時に処理される NAT の最大数を制限できます。さらに、NAT MAX 機能を使用して、ユーザは NAT アドレスの使用を詳細に制御できます。NAT 変換のレート制限機能を使用して、ウイルスやワーム、サービス拒絶攻撃の影響を抑制することができます。NAT 変換のレート制限機能の設定の詳細については、『IP Addressing: NAT Configuration Guide, Cisco IOS XE Release 3S』の「Configuring NAT for IP Address Conservation」を参照してください。
NAT MAX 変換機能を使用すると、グローバル変換の属性値をリセットできます。
MAX 変換を設定するには、次の手順を実行します。
手順
ステップ 1 |
[インベントリ(Inventory)] > [デバイス管理(Device Management)] > [ネットワーク デバイス(Network Devices)] を選択します。 |
ステップ 2 |
リストからデバイスを選択するか、[追加(Add)] をクリックして新しいデバイスを作成した後、デバイスを設定します。 |
ステップ 3 |
デバイスを選択した後、[設定(Configuration)] をクリックします。[機能設定(Feature Configuration)] ペインが表示されます。 |
ステップ 4 |
[セキュリティ(Security)] を展開し、[NAT] サブフォルダを展開して [詳細設定(Advanced Settings)] > [変換の最大数(Max Translation)] をクリックします。 |
ステップ 5 |
パラメータ値をリセットします。すべてのパラメータで許可される NAT エントリの最大数を設定します。一般的な NAT レート制限の範囲は、100 ~ 300 エントリです。 |
ステップ 6 |
[保存(Save)] をクリックして、変更をサーバに保存します。 |
DMVPN を使用した IPSec トポロジの設定
DMVPN 機能により、総称ルーティング カプセル化(GRE)トンネル、IP Security(IPSec)暗号化、および Next Hop Resolution Protocol(NHRP)を組み合わせて、大小さまざまな規模の IPSec VPN を構築できます。
一般的な VPN 接続は、2 台のルータを接続するポイントツーポイント IPsec トンネルです。DMVPN を使用すると、中央ハブから IPsec トンネル経由で GRE を使用して他のリモート ルータ(スポークと呼ばれる)を接続するネットワークを作成できます。IPsec トラフィックは、ハブを通じてネットワーク内のスポークにルーティングされます。
DMVPN の詳細については、『Dynamic Multipoint IPsec VPNs (Using Multipoint GRE/NHRP to Scale IPsec VPNs)』を参照してください(Cisco.com ログイン ID が必要です)。
Cisco Network Control System では、ルータを DMVPN ハブ、DMVPN スポークまたはクラスタとして設定できます。次のようにルータを設定できます。
DMVPN トンネルの作成
DMVPN トンネルを作成するには、次の手順を実行します。
手順
ステップ 1 |
[インベントリ(Inventory)] > [デバイス管理(Device Management)] > [ネットワーク デバイス(Network Devices)] を選択します。 |
||||
ステップ 2 |
リストからデバイスを選択してから、[設定(Configuration)] をクリックします。[機能設定(Feature Configuration)] ペインが表示されます。 |
||||
ステップ 3 |
[機能設定(Feature Configuration)] ペインで、[セキュリティ(Security)] フォルダを展開して [DMVPN] をクリックします。[追加(Add)] をクリックして DMVPN を作成します。 |
||||
ステップ 4 |
[デバイス ロールとトポロジ タイプ(Device Role and Topology Type)] 領域で、トポロジとデバイス ロールを選択します。選択できる項目は [スポーク(Spoke)]、[ハブ(Hub)]、および [スポーク間のダイナミック接続(Dynamic Connection between Spokes)] です。 |
||||
ステップ 5 |
[マルチポイント GRE インターフェイス情報(Multipoint GRE Interface Information)] 領域で、インターネットに接続する WAN インターフェイスをドロップダウン リストから選択します。 |
||||
ステップ 6 |
トンネル インターフェイスの IP アドレスとサブネット マスクを入力します。 |
||||
ステップ 7 |
[NHRP およびトンネル パラメータ(NHRP and Tunnel Parameters)] 領域のフィールドに入力します。
|
||||
ステップ 8 |
[暗号化ポリシー(Encryption policy)] フィールドで、プラス(+)のアンカー ボタンをクリックし、トランスフォーム セット プロファイルを追加します(『Cisco Prime Infrastructure Reference Guide』の「Security > VPN Components > Transform Sets」を参照)。 |
||||
ステップ 9 |
[トランスフォーム セット プロファイル(Transform Set Profile)] ダイアログボックスで [名前(Name)] に入力し、ドロップダウン リストからセキュリティ プロトコルとアルゴリズムの許容可能な組み合わせを選択して、トランスフォーム セットを設定します。 |
||||
ステップ 10 |
[IP 圧縮(IP Compression)] チェックボックスをオンにして、トランスフォーム セットの IP 圧縮を有効にします。 |
||||
ステップ 11 |
トランスフォーム セットのモードを選択します。選択できる項目は [トンネル(Tunnel)] モードまたは [トランスポート(Transport)] モードです。 |
||||
ステップ 12 |
[NHS サーバ情報(NHS Server Information)] 領域で、ハブとトンネルの物理インターフェイスの IP アドレス、および [フォールバック時間(Fallback Time)] を入力します。デバイスがクラスタをサポートしている場合は、[クラスタ ID(Cluster ID)]、[最大接続(Max Connection)]、[ハブ IP アドレス(Hub IP address)]、[優先度(Priority)] などのネクスト ホップ サーバ情報を追加します。
|
||||
ステップ 13 |
[ルーティング情報(Routing Information)] 領域では、ルーティング情報を選択します。選択できる項目は [EIGR]、[RIPV2]、および [その他(Other)] です。
|
||||
ステップ 14 |
ドロップダウン リストから既存の EIGRP 番号を選択するか、EIGRP 番号を入力します。その他のプロトコルを設定するには、[その他(Other)] オプションを使用します。 |
||||
ステップ 15 |
[保存(Save)] をクリックすると、単一の NHS サーバ エントリの詳細とそのサーバのプライオリティ、サーバ グループ全体、および NHS クラスタ情報が保存されます。NHS クラスタ情報を保存すると、NHS サーバが編集不可フィールドに入力されます。 |
||||
ステップ 16 |
[OK] をクリックして、設定をデバイスに保存します。 |
DMVPN ハブ アンド スポーク トポロジの設定
ハブ アンド スポーク トポロジを設定するには、次の手順を実行します。
手順
ステップ 1 |
[インベントリ(Inventory)] > [デバイス管理(Device Management)] > [ネットワーク デバイス(Network Devices)] を選択します。 |
ステップ 2 |
リストからデバイスを選択してから、[設定(Configuration)] をクリックします。[機能設定(Feature Configuration)] ペインが表示されます。 |
ステップ 3 |
[機能設定(Feature Configuration)] ペインで、[セキュリティ(Security)] フォルダを展開して [DMVPN] をクリックします。[追加(Add)] ボタンをクリックして DMVPN トンネルを作成します。 |
ステップ 4 |
[デバイス タイプとトポロジ(Device Type and Topology)] 領域で、トポロジとして [ハブ アンド スポーク(Hub and Spoke)] を選択し、デバイス ロールとして [ハブ(Hub)] または [スポーク(Spoke)] のいずれかを選択します。 |
ステップ 5 |
ドロップダウン リストから WAN インターフェイスを選択した後、トンネル インターフェイスのマルチポイント GRE IP アドレスとサブネット マスクを設定します。 |
ステップ 6 |
NHRP およびトンネル インターフェイスのパラメータ、たとえば IP アドレス、NHRP パラメータとマップ、MTU 値、トンネルの送信元、トンネル モード、トンネル キーなどを設定します。 |
ステップ 7 |
デバイス間のデータ フローを保護するためのトランスフォーム セットを作成します。最大 4 つのトランスフォーム、つまり 1 つの認証ヘッダー(AH)、1 つのカプセル化セキュリティ ペイロード(ESP)暗号化、1 つの ESP 認証、および 1 つの圧縮を指定できます。これらのトランスフォームは、IPsec プロトコルとアルゴリズムを定義します。 |
ステップ 8 |
使用するルーティング プロトコルを設定します。 |
ステップ 9 |
[保存(Save)] をクリックして、設定をデバイスに保存します。 |
DMVPN フルメッシュ トポロジの設定
ダイナミック スポークツースポーク オプションを使用すると、DMVPN フルメッシュ型トポロジを設定できます。このトポロジでは、ネットワーク内の他のスポークに直接 IPsec トンネルを確立できるスポークとして、ルータを設定できます。
DMVPN フルメッシュ トポロジを設定するには、次の手順を実行します。
手順
ステップ 1 |
[インベントリ(Inventory)] > [デバイス管理(Device Management)] > [ネットワーク デバイス(Network Devices)] を選択します。 |
ステップ 2 |
リストからデバイスを選択するか、[追加(Add)] をクリックして新しいデバイスを作成した後、デバイスを設定します。 |
ステップ 3 |
デバイスを選択して [設定(Configuration)] をクリックします。[機能設定(Feature Configuration)] ペインが表示されます。 |
ステップ 4 |
[セキュリティ(Security)] フォルダを展開して [DMVPN] をクリックします。[追加(Add)] をクリックして、フルメッシュ トポロジで DMVPN トンネルを作成します。 |
ステップ 5 |
[DMVPN トンネルの作成(Create DMVPN Tunnel)] 設定ページで [フル メッシュ(Full Mesh)] オプション ボタンを選択して、ネットワーク タイプをフルメッシュ トポロジとして設定します。 |
ステップ 6 |
「DMVPN ハブ アンド スポーク トポロジの設定」の項にあるステップ 6 ~ 8 を繰り返します。 |
ステップ 7 |
フルメッシュ スポーク トポロジでは、[NHS サーバ情報(NHS Server Information)] 領域に、ハブの物理インターフェイスの IP アドレスやハブのトンネル インターフェイスの IP アドレスなど、ネクスト ハブ サーバ情報を追加します。 |
ステップ 8 |
[保存(Save)] をクリックして、設定をデバイスに保存します。 |
DMVPN クラスタ トポロジの設定
クラスタ トポロジを設定するには、次の手順を実行します。
手順
ステップ 1 |
[インベントリ(Inventory)] > [デバイス管理(Device Management)] > [ネットワーク デバイス(Network Devices)] を選択します。 |
||
ステップ 2 |
リストからデバイスを選択してから、[設定(Configuration)] をクリックします。[機能設定(Feature Configuration)] ペインが表示されます。 |
||
ステップ 3 |
[機能設定(Feature Configuration)] ペインで、[セキュリティ(Security)] フォルダを展開して [DMVPN] をクリックします。[追加(Add)] をクリックして DMVPN トンネルを作成します。 |
||
ステップ 4 |
[DMVPN トンネルの作成(Create DMVPN Tunnel)] 設定ページで、[スポーク(Spoke)] オプション ボタンを選択して、デバイス ロールをスポークとして設定します。 |
||
ステップ 5 |
「DMVPN ハブ アンド スポーク トポロジの設定」の項にあるステップ 6 ~ 8 を繰り返します。
|
||
ステップ 6 |
[行を追加(Add Row)] をクリックしてクラスタ関連情報を設定し、[クラスタ ID(Cluster-ID)] と [最大接続(Maximum Connection)] の値を追加します。 |
||
ステップ 7 |
(オプション ボタンの横にある)[行を展開(Expand Row)] をクリックし、[行を追加(Add Row)] をクリックして NHS サーバ情報を追加します。 |
||
ステップ 8 |
NHS サーバ、GRE トンネル IP アドレス、およびこの NHS サーバの優先度を入力します。[保存(Save)] をクリックして、NHS サーバ エントリの設定を保存します。 |
||
ステップ 9 |
[保存(Save)] をクリックして、NHS サーバ グループ情報を保存します。 |
||
ステップ 10 |
再び [保存(Save)] をクリックして、クラスタ設定を含む NHS グループ情報を保存します。これにより、テーブルに NHS サーバ IP アドレスが自動的に入力されます。 |
デバイスからの DMVPN トンネルの削除
DMVPN トンネルを削除するには、次の手順を実行します。
手順
ステップ 1 |
[インベントリ(Inventory)] > [デバイス管理(Device Management)] > [ネットワーク デバイス(Network Devices)] を選択します。 |
ステップ 2 |
DMVPN トンネルを削除するデバイスをリストから選択します。デバイスが追加されていない場合は、[追加(Add)] をクリックしてデバイスを追加します。 |
ステップ 3 |
デバイスを選択して [設定(Configuration)] をクリックします。[機能設定(Feature Configuration)] ペインが表示されます。 |
ステップ 4 |
[セキュリティ(Security)] フォルダを展開して [DMVPN] をクリックします。使用可能なトンネルが表示されます。 |
ステップ 5 |
トンネルを選択して [削除(Delete)] をクリックします。 |
ステップ 6 |
警告メッセージに対して [はい(Yes)] をクリックすると、選択したトンネルが削除されます。 |
ステップ 7 |
選択したトンネルを削除しない場合は、警告メッセージに対して [いいえ(No)] をクリックします。 |
ステップ 8 |
変更内容をルータへ送信せずに、すべての変更を取り消すには、[キャンセル(Cancel)] をクリックします。 |
デバイスの QoS 設定
デバイスに QoS を有効または無効にするには、次の手順を実行します。
手順
ステップ 1 |
の順に選択します。 |
||
ステップ 2 |
QoS を有効にするデバイス名をクリックし、 を選択します。 |
||
ステップ 3 |
QoS 対応のインターフェイスを選択し、[QoS の有効化(Enable QoS)] をクリックします。 |
||
ステップ 4 |
要件に応じて、[入力時に QoS を有効化(Enable QoS on Ingress)] チェックボックスまたは [出力時に QoS を有効化(Enable QoS on Egress)] チェックボックスをオンにするか、あるいはその両方をオンにします。 |
||
ステップ 5 |
[入力時に QoS を有効化(Enable QoS on Ingress)] をオンにした場合は、[プロファイルの選択(Select Profile)] ドロップダウン リストからプロファイルを選択して [OK] をクリックします。 |
||
ステップ 6 |
[出力時に QoS を有効化(Enable QoS on Egress)] をオンにした場合は、次の手順を実行します。
|
||
ステップ 7 |
展開する前に [CLI プレビュー(CLI Preview)] タブをクリックし、QoS 設定をプレビューします。 |
||
ステップ 8 |
[展開(Deploy)] をクリックします。 |
||
ステップ 9 |
デバイスの QoS を無効にするには、次の手順を実行します。
|
GETVPN を使用した IPSec トポロジの設定
Group Encrypted Transport VPN(GETVPN)展開には、グループ メンバー、キー サーバ、およびグループ ドメイン オブ インタープリテーション プロトコルという 3 つの主要コンポーネントがあります。グループ メンバーはトラフィックを暗号化および復号化し、キー サーバはすべてのグループ メンバーに暗号キーを配布します。キー サーバは、ある一定期間において 1 つのデータ暗号化キーを決定します。すべてのグループ メンバーが同じキーを使用するため、どのグループ メンバーも、他のすべてのグループ メンバーによって暗号化されたトラフィックを復号化することができます。グループ キーおよびグループのセキュリティ アソシエーション(SA)管理のために、グループ メンバーとキー サーバの間で GDOI プロトコルが使用されます。GETVPN 展開には、少なくとも 1 つのキー サーバが必要です。
従来の IPsec 暗号化ソリューションとは異なり、GETVPN ではグループ SA の概念を使用します。GETVPN グループ内のすべてのメンバーは、共通の暗号化ポリシーと共有 SA を使用して互いに通信することができます。したがって、グループ メンバー間でピアツーピア ベースの IPsec ネゴシエーションを行う必要はなく、これによってグループ メンバー ルータにかかるリソースの負荷が軽減されます。
グループ メンバー
グループ メンバーは、グループ内のデータ トラフィックを暗号化するのに必要な IPsec SA を取得するために、キー サーバに登録します。グループ メンバーはキー サーバにグループ識別番号を提供し、そのグループのポリシーとキーを取得します。これらのキーは、トラフィックが喪失しないよう、現在の IPsec SA が期限切れになる前にキー サーバによって定期的に更新されます。
キー サーバ
キー サーバは、セキュリティ ポリシーの保守、グループ メンバーの認証、トラフィック暗号化用のセッション キーの提供を行います。キー サーバは個々のグループ メンバーを登録時に認証します。グループ メンバーは登録が成功した場合にのみ、グループ SA に参加できます。
グループ メンバーはいつでも登録可能で、最新のポリシーとキーを受け取ります。グループ メンバーがキー サーバに登録する際に、キー サーバはグループ メンバーのグループ識別番号を検証します。この識別番号が有効で、しかもグループ メンバーから提供されたインターネット キー エクスチェンジ(IKE)クレデンシャルが有効である場合には、キー サーバが SA ポリシーとキーをグループ メンバーに送信します。
グループ メンバーに送信されるキーは、キー暗号キー(KEK)とトラフィック暗号キーの 2 種類です。TEK は、同じグループ内のグループ メンバーがデータの暗号化に使用する IPsec SA の一部になります。KEK は、キー サーバとグループ メンバーの間でキー再生成メッセージを保護するために使用されます。
キー サーバは、IPsec SA の期限切れが近づいている場合や、キー サーバでセキュリティ ポリシーが変更された場合に、キー再生成メッセージを送信します。マルチキャストまたはユニキャスト トランスポートを使用してキー再生成中にキーの配布を行うことができます。マルチキャスト方式の場合、キーを各グループ メンバーに個別に送信する必要がないため、拡張性に優れています。ユニキャストとは異なり、キー サーバは、マルチキャスト キー再生成方式を使用して成功したキー再生成の受信に関する確認応答をグループ メンバーから受信しません。ユニキャスト キー再生成方式を使用すると、グループ メンバーが 3 回連続でキー再生成の確認応答を行わない場合、キー サーバはそのグループ メンバーをデータベースから削除します。
グループ ドメイン オブ インタープリテーション
グループ ドメイン オブ インタープリテーション プロトコルは、グループ キーとグループ SA の管理に使用されます。グループ ドメイン オブ インタープリテーションでは、グループ メンバーとキー サーバの認証に Internet Security Association Key Management Protocol(ISAKMP)を使用します。RSA 署名(証明書)や事前共有キーなど、標準的なすべての ISAKMP 認証スキームを GETVPN に使用できます。
GETVPN の詳細については、http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6635/ps7180/deployment_guide_c07_554713.html を参照してください。
GETVPN グループ メンバーの設定
[グループ メンバーの追加(Add GroupMember)] 設定ページを使用して、GETVPN グループ メンバーを設定します。
GETVPN グループ メンバーを作成するには、次の手順を実行します。
手順
ステップ 1 |
[インベントリ(Inventory)] > [デバイス管理(Device Management)] > [ネットワーク デバイス(Network Devices)] を選択します。 |
||
ステップ 2 |
リストからデバイスを選択してから、[設定(Configuration)] をクリックします。[機能設定(Feature Configuration)] ペインが表示されます。 |
||
ステップ 3 |
[機能設定(Feature Configuration)] ペインで、[セキュリティ(Security)] フォルダを展開して [GETVPN-GroupMember] をクリックします。[追加(Add)] をクリックして、GET VPN のグループ メンバーを作成します。 |
||
ステップ 4 |
[グループ メンバーの追加(Add GroupMember)] ダイアログボックスで [一般(General)] タブを選択し、[グループ名(Group Name)] および [グループ アイデンティティ(Group Identity)] を入力します。ドロップダウン リストから [登録インターフェイス(Registration Interface)] を選択します。 |
||
ステップ 5 |
プライマリ キー サーバとセカンダリ キー サーバの IP アドレスを入力します。セカンダリ キー サーバの IP アドレスを追加または削除するには、[行を追加(Add Row)] または [削除(Delete)] をクリックします。
|
||
ステップ 6 |
[行(row)] または [フィールド(field)] をクリックして、セカンダリ キー サーバの IP アドレスを編集します。 |
||
ステップ 7 |
[保存(Save)] をクリックして、設定を保存します。 |
||
ステップ 8 |
[グループ メンバーの追加(Add Group Member)] ダイアログボックスで [高度な設定(Advanced)] タブを選択し、ドロップダウン リストから [ローカル例外 ACL(Local Exception ACL)] および [フェール クローズ ACL(Fail Close ACL)] を選択します。 フェール クローズ機能を設定した場合、グループ メンバーが正常に登録されるまでは、グループ メンバーを通過するすべてのトラフィックがドロップされます。グループ メンバーが正常に登録されて SA がダウンロードされた後、この機能は自動的にオフになります。 |
||
ステップ 9 |
[移行(Migration)] タブを選択し、[パッシブ SA を有効化(Enable Passive SA)] チェックボックスをオンにして、パッシブ SA を有効にします。このグループ メンバーでパッシブ SA モードをオンにするには、このオプションを使用します。 |
||
ステップ 10 |
[OK] をクリックしてテーブルにグループ メンバーを追加します。コマンドを表示するには、[CLI] プレビューをクリックします。スケジュールした展開が完了すると、設定がデバイスに適用されます。 |
GETVPN キー サーバの設定
[キー サーバの追加(Add KeyServer)] 設定ページを使用して、GETVPN キー サーバを設定します。
GETVPN キー サーバを作成するには、次の手順を実行します。
手順の概要
- [インベントリ(Inventory)] > [デバイス管理(Device Management)] > [ネットワーク デバイス(Network Devices)] を選択します。
- リストからデバイスを選択してから、[設定(Configuration)] をクリックします。[機能設定(Feature Configuration)] ペインが表示されます。
- [機能設定(Feature Configuration)] ペインで、[セキュリティ(Security)] フォルダを展開して [GETVPN-KeyServer] をクリックします。[追加(Add)] をクリックして GETVPN キー サーバを作成します。
- [キー サーバの追加(Add Key Server)] ダイアログボックスで [一般(General)] タブを選択し、このキー サーバの [グループ名(Group Name)]、[グループ アイデンティティ(Group Identity)]、[WAN IP アドレス(WAN IP address)]、および [優先度(Priority)] を入力します。
- 共同キー サーバの IP アドレスを入力します。共同キー サーバの IP アドレスを追加または削除するには、[行を追加(Add Row)] または [削除(Delete)] をクリックします。[行(row)] または [フィールド(field)] をクリックして、IP アドレスを編集します。
- [キー サーバの追加(Add KeyServer)] ダイアログボックスで [キー再生成(Rekey)] タブを選択し、ドロップダウン リストから配布方法を選択します。
- [キー サーバの追加(Add KeyServer)] ダイアログボックスで [GETVPN トラフィック(GETVPN Traffic)] タブを選択し、暗号化するトラフィック、暗号化ポリシー、およびアンチリプレイを入力します。
- [OK] をクリックしてテーブルにグループ メンバーを追加します。コマンドを表示するには、[CLI] プレビューをクリックします。スケジュールした展開が完了すると、デバイスに設定が適用されます。
手順の詳細
ステップ 1 |
[インベントリ(Inventory)] > [デバイス管理(Device Management)] > [ネットワーク デバイス(Network Devices)] を選択します。 |
ステップ 2 |
リストからデバイスを選択してから、[設定(Configuration)] をクリックします。[機能設定(Feature Configuration)] ペインが表示されます。 |
ステップ 3 |
[機能設定(Feature Configuration)] ペインで、[セキュリティ(Security)] フォルダを展開して [GETVPN-KeyServer] をクリックします。[追加(Add)] をクリックして GETVPN キー サーバを作成します。 |
ステップ 4 |
[キー サーバの追加(Add Key Server)] ダイアログボックスで [一般(General)] タブを選択し、このキー サーバの [グループ名(Group Name)]、[グループ アイデンティティ(Group Identity)]、[WAN IP アドレス(WAN IP address)]、および [優先度(Priority)] を入力します。 |
ステップ 5 |
共同キー サーバの IP アドレスを入力します。共同キー サーバの IP アドレスを追加または削除するには、[行を追加(Add Row)] または [削除(Delete)] をクリックします。[行(row)] または [フィールド(field)] をクリックして、IP アドレスを編集します。 |
ステップ 6 |
[キー サーバの追加(Add KeyServer)] ダイアログボックスで [キー再生成(Rekey)] タブを選択し、ドロップダウン リストから配布方法を選択します。 この配布方法は、キー サーバからグループ メンバーにキー再生成情報を送信するために使用されます。配布方法としてマルチキャストを選択した場合は、キー再生成の伝送先となるマルチキャスト アドレスを指定します。 |
ステップ 7 |
[キー サーバの追加(Add KeyServer)] ダイアログボックスで [GETVPN トラフィック(GETVPN Traffic)] タブを選択し、暗号化するトラフィック、暗号化ポリシー、およびアンチリプレイを入力します。 このアクセス リストは、暗号化されるトラフィックを定義します。「許可」行に一致するトラフィックだけが暗号化されます。暗号化セッションが非アクティブである場合でも常に許可されるべき特定のトラフィックは、決して暗号化しないでください。 |
ステップ 8 |
[OK] をクリックしてテーブルにグループ メンバーを追加します。コマンドを表示するには、[CLI] プレビューをクリックします。スケジュールした展開が完了すると、デバイスに設定が適用されます。 |
VPN のコンポーネント
インターネット キー エクスチェンジ(IKE)は、セキュアな認証された通信を設定するための標準的な方式です。IKE では、ネットワークを介した 2 つのホスト間でセッション キー(およびそれに関連する暗号とネットワーク設定)を確立します。IKE ポリシーは、認証中にピアの識別情報を保護します。
IKE ネゴシエーションは保護される必要があります。このため、それぞれの IKE ネゴシエーションの最初に、共通する(共有されている)IKE ポリシーに関して各ピアが同意します。このポリシーは、後続の IKE ネゴシエーションを保護するために使用されるセキュリティ パラメータを示します。ピアがポリシーに同意した後、そのポリシーのセキュリティ パラメータが、各ピアで確立されたセキュリティ アソシエーションによって識別されます。それらのセキュリティ アソシエーションは、ネゴシエーションの間、後続のすべての IKE トラフィックに適用されます。
ネゴシエーションが開始されると、IKE は、両方のピアで同じ IKE ポリシーを検索します。ネゴシエーションを開始したピアは、そのすべてのポリシーをリモート ピアに送信します。リモート ピアは、相手側ピアから受信したすべてのポリシーと、自身の最優先ポリシーを比較することにより、一致を検索します。両方のピアのポリシーが一致するのは、暗号化、ハッシュ、認証、Diffie-Hellman(D-H)の各パラメータ値が同じで、リモート ピアのポリシーに指定されているライフタイムが、比較対象ポリシーのライフタイム以下である場合です。ライフタイムが同一でない場合は、より短い、リモート ピアのポリシーのライフタイムが使用されます。
VPN IKE ポリシーの設定
IKE ポリシーを設定するには、次の手順を実行します。
手順
ステップ 1 |
[インベントリ(Inventory)] > [デバイス管理(Device Management)] > [ネットワーク デバイス(Network Devices)] を選択します。 |
ステップ 2 |
リストからデバイスを選択してから、[設定(Configuration)] をクリックします。[機能設定(Feature Configuration)] ペインが表示されます。 |
ステップ 3 |
[機能設定(Feature Configuration)] ペインで、[セキュリティ(Security)] フォルダを展開して [VPN コンポーネント(VPN Components)] > [IKE ポリシー(IKE Policies)] を選択します。 |
ステップ 4 |
[行を追加(Add Row)] をクリックして IKE ポリシーを作成します。 |
ステップ 5 |
[IKE ポリシー(IKE Policies)] ページで、優先度、認証、D-H グループ、暗号化、ハッシュ、およびライフタイムを入力します。 [IKE ポリシー(IKE Policies)] ページの要素の説明については、『Cisco Prime Infrastructure Reference Guide』の「Security > VPN Components > IKE Policies」を参照してください。 |
ステップ 6 |
[IKE の有効化(Enable IKE)] と [アグレッシブ モードの有効化(Enable Aggressive Mode)] チェックボックスをオンにし、ピア ルータとアグレッシブ モードの IKE ポリシーをグローバルに有効にします。 |
ステップ 7 |
ドロップダウン リストから [IKE アイデンティティ(IKE Identity)] を選択します。 |
ステップ 8 |
[停止ピア検出キープアライブ(Dead Peer Detection Keepalive)] および [停止ピア検出再試行(Dead Peer Detection Retry)] の時間を秒単位で入力します。 [IKE ポリシー(IKE Policies)] ページの要素の説明については、『Cisco Prime Infrastructure Reference Guide』の「Security > VPN Components > IKE Policies」を参照してください。 |
ステップ 9 |
[保存(Save)] をクリックして設定を保存し、再び [保存(Save)] をクリックして CLI コマンドを生成します。 |
VPN IPSec プロファイルの設定
IPsec プロファイル(ISAKMP プロファイルとも呼ばれる)を使用すると、一連の IKE パラメータを定義して 1 つ以上の IPsec トンネルにそれを関連付けることができます。IPsec プロファイルは、その一致識別基準の概念によって一意に識別される着信 IPsec 接続に、パラメータを適用します。これらの基準は、着信 IKE 接続によって提示される IKE 識別情報に基づいており、これには IP アドレス、完全修飾ドメイン名(FQDN)、およびグループ(VPN リモート クライアント グループ)が含まれます。
IKE プロファイル機能を使用して、IPsec プロファイルを作成できます。
手順
ステップ 1 |
[インベントリ(Inventory)] > [デバイス管理(Device Management)] > [ネットワーク デバイス(Network Devices)] を選択します。 |
||
ステップ 2 |
リストからデバイスを選択してから、[設定(Configuration)] をクリックします。[機能設定(Feature Configuration)] ペインが表示されます。 |
||
ステップ 3 |
[機能設定(Feature Configuration)] ペインで、[セキュリティ(Security)] フォルダを展開して [VPN コンポーネント(VPN Components)] > [IPsec プロファイル(IPsec Profile)] を選択します。 |
||
ステップ 4 |
[行を追加(Add Row)] をクリックして IPsec プロファイルを作成します。 |
||
ステップ 5 |
[IPSec プロファイル(IPsec Profile)] ページで、[名前(Name)]、[説明(Description)]、[トランスフォーム セット(Transform Set)]、[IPSec SA ライフタイム(IPsec SA Lifetime)] などの情報を入力します。
|
||
ステップ 6 |
設定した期間が経過した後に新しい SA を確立するための [IPSec SA ライフタイム(IPsec SA Lifetime)] を秒単位で入力します。 |
||
ステップ 7 |
IPsec プロファイル パラメータを編集するには、[フィールド(Field)] をクリックし、その IPsec プロファイルのパラメータを編集します。 |
||
ステップ 8 |
IPSec プロファイルを削除するには、リストから [IPSec プロファイル(IPsec Profile)] を選択し、[削除(Delete)] をクリックします。 |
||
ステップ 9 |
[保存(Save)] をクリックして設定を保存し、再び [保存(Save)] をクリックして CLI コマンドを生成します。 |
VPN 事前共有キーの設定
事前共有キー機能を使用すると、2 つのピア間で秘密キーを共有できます。このキーは、IKE が認証フェーズで使用します。
事前共有キーを作成するには、次の手順を実行します。
手順
ステップ 1 |
[インベントリ(Inventory)] > [デバイス管理(Device Management)] > [ネットワーク デバイス(Network Devices)] を選択します。 |
ステップ 2 |
リストからデバイスを選択してから、[設定(Configuration)] をクリックします。[機能設定(Feature Configuration)] ペインが表示されます。 |
ステップ 3 |
[機能設定(Feature Configuration)] ペインで、[セキュリティ(Security)] フォルダを展開して [VPN コンポーネント(VPN Components)] > [事前共有キー(Preshared Keys)] を選択します。 |
ステップ 4 |
[行を追加(Add Row)] をクリックして事前共有キーを作成します。 |
ステップ 5 |
[事前共有キー(Preshared Keys)] ページで、[IP アドレス(IP Address)]、[ホスト名(Host Name)]、[サブネット マスク(Subnet Mask)]、および [事前共有キー(Preshared Keys)] を入力します。 |
ステップ 6 |
事前共有キーのパラメータを編集するには、[フィールド(Field)] をクリックし、その事前共有キーのパラメータを編集します。 |
ステップ 7 |
事前共有キーを削除するには、リストから事前共有キーを選択して [削除(Delete)] をクリックします。 |
ステップ 8 |
[保存(Save)] をクリックして設定を保存し、再び [保存(Save)] をクリックして CLI コマンドを生成します。 |
VPN RSA キーの設定
RSA キー ペアは、公開キーと秘密キーで構成されます。公開キー インフラストラクチャ(PKI)を設定する際には、証明書登録要求に公開キーを含める必要があります。証明書が付与された後、公開キーが証明書に組み込まれ、ピアはこれを使用して、ルータに送られるデータを暗号化できます。秘密キーはルータに保持され、ピアから送信されたデータの復号化、およびピアとネゴシエーションする際のトランザクションのデジタル署名に使用されます。
RSA キー ペアには、キーのモジュラス値が含まれています。モジュラス値に応じて、RSA キーのサイズが決まります。モジュラス値が大きいほど、RSA キーの安全性が高まります。ただしモジュラス値が大きいと、キーの生成、暗号化、および復号化にかかる時間が長くなります。
RSA キーを作成するには、次の手順を実行します。
手順
ステップ 1 |
[インベントリ(Inventory)] > [デバイス管理(Device Management)] > [ネットワーク デバイス(Network Devices)] を選択します。 |
||
ステップ 2 |
リストからデバイスを選択してから、[設定(Configuration)] をクリックします。[機能設定(Feature Configuration)] ペインが表示されます。 |
||
ステップ 3 |
[機能設定(Feature Configuration)] ペインで、[セキュリティ(Security)] フォルダを展開して [VPN コンポーネント(VPN Components)] > [RSA キー(RSA Keys)] を選択します。 |
||
ステップ 4 |
[行を追加(Add Row)] をクリックして RSA キーを作成します。 |
||
ステップ 5 |
[RSA キーの追加(Add RSA Keys)] ダイアログボックスが表示されます。 |
||
ステップ 6 |
[RSA キーの追加(Add RSA Keys)] ダイアログボックスで、[ラベル(Label)]、[モジュラス(Modulus)]、および [タイプ(Type)] を入力します。
|
||
ステップ 7 |
RSA をエクスポート可能キーとして生成するには、[キーをエクスポート可能にする(Make the Key exportable)] チェックボックスをオンにします。 |
||
ステップ 8 |
[OK] をクリックして、設定を保存します。 |
||
ステップ 9 |
RSA キーをインポートするには、[インポート(Import)] をクリックします。[RSA キーのインポート(Import RSA Key)] ダイアログボックスが表示されます。 |
||
ステップ 10 |
[RSA キーのインポート(Import RSA Key)] ダイアログボックスで、RSA キーのラベル、キー タイプ、およびキーを復号化するためのパスワードを入力します。キー タイプが汎用キー、署名、または暗号である場合は、保存された公開キーと秘密キーのデータをコピーして貼り付けます。 |
||
ステップ 11 |
用途キー(usage-key)をインポートするには、署名キーと暗号キーの両方の公開および秘密キー データを入力します。 |
||
ステップ 12 |
[インポート(Import)] をクリックして、RSA キーをインポートします。 |
||
ステップ 13 |
RSA キーをエクスポートするには、リストから RSA キーを選択して [エクスポート(Export)] をクリックします。[RSA キー ペアのエクスポート(Export RSA Key Pair)] ダイアログボックスが表示されます。 |
||
ステップ 14 |
[RSA キー ペアのエクスポート(Export RSA Key Pair)] ダイアログボックスで、RSA キーを暗号化するためのパスワードを入力し、ドロップダウン リストから暗号化アルゴリズムを選択します。 |
||
ステップ 15 |
[OK] をクリックして、エクスポートしたキーを表示します。 |
||
ステップ 16 |
RSA キーを削除するには、リストから RSA キーを選択して [削除(Delete)] をクリックします。 |
VPN トランスフォーム セットの設定
トランスフォーム セットを定義するには、1 ~ 3 個のトランスフォームを指定します。各トランスフォームは、IPsec セキュリティ プロトコル(AH または ESP)および使用するアルゴリズムを表します。IPsec セキュリティ アソシエーションのネゴシエーション中に特定のトランスフォーム セットを使用する場合は、トランスフォーム セット全体(プロトコル、アルゴリズム、その他の設定値の組み合わせ)が、リモート ピアのトランスフォーム セットと一致している必要があります。
トランスフォーム セットを設定する手順は、次のとおりです。
手順
ステップ 1 |
[インベントリ(Inventory)] > [デバイス管理(Device Management)] > [ネットワーク デバイス(Network Devices)] を選択します。 |
||
ステップ 2 |
リストからデバイスを選択してから、[設定(Configuration)] をクリックします。[機能設定(Feature Configuration)] ペインが表示されます。 |
||
ステップ 3 |
[機能設定(Feature Configuration)] ペインで、[セキュリティ(Security)] フォルダを展開して [VPN コンポーネント(VPN Components)] > [トランスフォーム セット(Transform Sets)] を選択します。 |
||
ステップ 4 |
[行の追加(Add Row)] をクリックしてトランスフォーム セットを作成します。 |
||
ステップ 5 |
[トランスフォーム セット(Transform Sets)] ページで、[名前(Name)] を入力し、トランスフォーム セットを設定するために適切なセキュリティ プロトコルとアルゴリズムの組み合わせを選択します。
|
||
ステップ 6 |
トランスフォーム セットのモードを次のように指定します。
|
||
ステップ 7 |
[保存(Save)] をクリックして設定を保存し、再び [保存(Save)] をクリックして設定の変更を保存します。 |
ゾーンベースのファイアウォールを使用したインターフェイス グループ間のファイアウォール ポリシーの制御
ゾーンベース ファイアウォール機能を使用すると、ゾーンと呼ばれるインターフェイス グループの間で Cisco IOS 単方向ファイアウォール ポリシーを簡単に管理できます。
ゾーンとは、同様の機能を果たすインターフェイスからなるグループです。たとえばルータで、ギガビット イーサネット インターフェイス 0/0/0 とギガビット イーサネット インターフェイス 0/0/1 を LAN に接続するとします。これら 2 つのインターフェイスは、内部ネットワークを表している点で同類です。したがって、これらをファイアウォール設定用のゾーンとしてグループ化できます。
デフォルトでは、同じゾーン内のインターフェイス間のトラフィックはポリシーの制約を受けません。トラフィックは自由に通過します。
あるインターフェイスがセキュリティ ゾーンのメンバーである場合、そのインターフェイスで送受信されるトラフィックはすべてドロップされます(ルータ宛てのトラフィック、および同じゾーンの別のインターフェイス宛てのトラフィックを除く)。
別のゾーンに属するインターフェイス間のトラフィックを許可するには、具体的なルールを含むファイアウォール ポリシーをデバイスにプッシュする必要があります。ポリシーで(inspect または pass アクションによって)これら 2 つのゾーン間のトラフィックが許可される場合、トラフィックはゾーンを通過できます。図 48-1 では、セキュリティ ゾーンについて説明します。
上の図に示したインターフェイスとセキュリティ ゾーンの関係について、以下で説明します。
- インターフェイス E0 と E1 はセキュリティ ゾーン Z1 のメンバーです。
- インターフェイス E2 はセキュリティ ゾーン Z2 のメンバーです。
- インターフェイス E3 は、どのセキュリティ ゾーンのメンバーでもありません。
このシナリオでは、次のような状況になっています。
- インターフェイス E0 と E1 は同じセキュリティ ゾーン(Z1)のメンバーなので、これらのインターフェイス間のトラフィックは自由に流れます。
- ポリシーが設定されていない場合、ゾーン間(たとえば、E0 と E2 の間、E1 と E2 の間、E3 と E1 の間、および E3 と E2 の間)でトラフィックは流れません。
- インターフェイス E0 または E1 と E2 の間のトラフィック フローが可能になるのは、ゾーン Z1 とゾーン Z2 の間のトラフィックを許可する明示的なポリシーが設定されている場合だけです。
E3 は、どのセキュリティ ゾーンにも属していないため、インターフェイス E3 と E0、E1、または E2 の間でトラフィックが流れることはありません。
Cisco Prime Infrastructure は、Cisco ASR、ISR、CSR ルータでのゾーンベース ファイアウォール機能をサポートしています。Cisco Prime Infrastructure を使用して、ゾーンベース ファイアウォール ポリシー テンプレートを設定し、複数のデバイスにそれを展開できます。ゾーンベースの設定を展開した後、デバイス ワーク センターに移動して、特定のデバイスに展開されたファイアウォールの設定を確認できます。
ゾーンベース ファイアウォールをモニタするには、デバイス ワーク センターまたは(ゾーンベース ファイアウォールの syslog メッセージをサポートする)Cisco Prime Infrastructure の syslog 機能で、Zone-Based Firewall Monitor Hits 機能を確認します。
Cisco Prime Infrastructure では、(Telnet または SSH を介した)CLI または WSMA を使用してゾーンベース ファイアウォールを設定できます。WSMA を使用すると、より効率的かつ堅牢な方法でゾーンベース ファイアウォールを設定できます。したがって、ゾーンベース ファイアウォールの設定には WSMA プロトコルを使用することを推奨します。Cisco Prime Infrastructure での WSMA の使用の詳細については、「WSMA で AVC 機能を使用するためのデバイスの設定」を参照してください。
ゾーンベース ファイアウォールの設定:ワークフロー
複数のデバイスでゾーンベース ファイアウォールを設定するには、ゾーンベース テンプレートを使用して変更を行います。ゾーンベース ファイアウォール テンプレートを使用するには、まず、ネットワーク内のゾーンを定義してネットワークでゾーンベース ファイアウォールを設計する必要があります。Cisco Prime Infrastructure では、ゾーンはインターフェイス ロールのグローバル オブジェクトで表され、ゾーンに属するインターフェイスのリストが動的に選択されます。次に、ファイアウォール環境でネットワーク オブジェクトを定義して作成します。ゾーンベース ファイアウォールの機能は、Cisco Prime Infrastructure で IPv4 ネットワークのみをサポートしています。(IPv6 はサポートされていません)。
(注) |
ゾーンベース ファイアウォール機能は、Cisco IOS-XE リリース 15.2(2)S 以降の ASR プラットフォーム、Cisco IOS リリース 15.0(1)M 以降の ISR G2 プラットフォーム、Cisco IOS-XE 15.3(2)S リリース以降の ISR G3 プラットフォーム、および Cisco IOS-XE 15.3(1)S リリース以降の CSR プラットフォームでサポートされます。 |
ゾーンベース ファイアウォール テンプレートを設定する手順は、次のとおりです。
- ゾーンを定義します。セキュリティ ゾーンはインターフェイス ロールとして定義されます。
- IPv4 ネットワーク オブジェクトを定義します。
(注)
Cisco Prime Infrastructure 2.0 は、IPv4 ネットワーク オブジェクトのみをサポートしています。
- ファイアウォール ポリシーを設計し、複数のデバイスに展開します(詳細については、「単一デバイスのゾーンベース ファイアウォールに関するポリシー ルールの作成」を参照)。
- 特定のデバイスの設定を検証します(「ゾーンベースのファイアウォールを使用したインターフェイス グループ間のファイアウォール ポリシーの制御」を参照)。
- グローバル オブジェクトとテンプレートの設定を変更します(「ゾーンベース ファイアウォールのポリシー ルールの設定」を参照)。
- ポリシー ルールをモニタします(単一デバイスのゾーンベース ファイアウォールに関するポリシー ルールのモニタとトラブルシューティング を参照)。
- Syslog メッセージをモニタします。
セキュリティ ゾーン、IPv4 ネットワーク オブジェクト、およびファイアウォール ポリシーを変更するには、ファイアウォール ポリシーを編集して、該当するデバイスに再び展開します。
ゾーンベース ファイアウォールのポリシー ルールの設定
共有ポリシー オブジェクトを作成した後に、ゾーンベース ファイアウォールのポリシー ルール テンプレートを作成します。
ゾーンベース ファイアウォールのポリシー ルール テンプレートを作成するには、次の手順を実行します。
手順
ステップ 1 |
[設定(Configuration)] > [テンプレート(Templates)] > [機能およびテクノロジー(Features & Technologies)] > [セキュリティ(Security)] > [ゾーンベース ファイアウォール(Zone Based Firewall)] > [ポリシー ルール(Policy Rules)] を選択します。 |
ステップ 2 |
[テンプレートの基本設定(Template Basic)] 領域で、適切なフィールドに名前と説明を入力します。 |
ステップ 3 |
[検証基準(Validation Criteria)] 領域で、リストからデバイス タイプを選択し、OS バージョンを入力します。 |
ステップ 4 |
必要なフィールドに入力します。テンプレート パラメータの説明については、『Cisco Prime Infrastructure Reference Guide』を参照してください。 |
ステップ 5 |
[新しいテンプレートとして保存(Save as New Template)] をクリックします。 |
単一デバイスのゾーン ベースのファイアウォールのポリシー ルールを構成します。
単一のデバイスでゾーンベース ファイアウォールを設定するには、デバイス ワーク センターのゾーンベースの設定を使用して変更を行います。
単一デバイスのゾーンベース ファイアウォール用のセキュリティ ゾーンを作成する
セキュリティ ゾーンを作成するには、次の手順を実行します。
(注) |
ゾーンベース ファイアウォール機能は、Cisco IOS-XE リリース 15.2 (2)S 以降の ASR プラットフォーム、Cisco IOS リリース 15.0 (1) M 以降の ISR G2 プラットフォーム、Cisco IOS-XE リリース 15.3(2)S 以降の ISR G3 プラットフォーム、および Cisco IOS-XE リリース 15.3(1)S の CSR プラットフォームでサポートされます。 |
手順
ステップ 1 |
[インベントリ(Inventory)] > [デバイス管理(Device Management)] > [ネットワーク デバイス(Network Devices)] を選択してから、デバイスをクリックします。 |
||
ステップ 2 |
[設定(Configuration)] タブで [セキュリティ(Security)] サブフォルダを展開します。 |
||
ステップ 3 |
[セキュリティ(Security)] サブフォルダで、[ゾーンベース ファイアウォール(Zone Based Firewall)] > [共通のビルディング ブロック(Common Building Blocks)] を展開して [ゾーン(Zones)] をクリックします。 |
||
ステップ 4 |
[ゾーンを追加(Add Zone)] をクリックしてセキュリティ ゾーンを作成します。 |
||
ステップ 5 |
[ゾーン名(Zone Name)]を選択します。 |
||
ステップ 6 |
(Cisco ASR デバイスのみ)これを Cisco ASR デバイスのデフォルト ゾーンにするには、[デフォルトの有効化(Enable Default)] をクリックします。デフォルト ゾーンは、どのゾーンにも関連付けられていないすべてのインターフェイスをホスティングします。 |
||
ステップ 7 |
[OK] をクリックして、設定を保存します。 |
||
ステップ 8 |
ゾーンの VRF を選択します。
|
||
ステップ 9 |
インターフェイスをセキュリティ ゾーンに割り当てるには、下矢印アイコンをクリックします。[インターフェイス オブジェクト セレクタ(Interface Object Selector)] ダイアログボックスが表示されます。
|
||
ステップ 10 |
[高度なオプション(Advanced options)] 列で [設定(Configure)] をクリックします。[高度なパラメータ設定(Advanced Parameters Configuration)] ダイアログボックスが表示されます。 |
||
ステップ 11 |
ゾーンに属するインターフェイスを通過する検査対象トラフィックに適用される、一連の詳細パラメータを定義します。パラメータごとに、デフォルト値をオーバーライドするパラメータ名の左にあるチェックボックスをオンにして、そのパラメータの新しい値を選択します。(任意)[高度なパラメータ設定(Advanced Parameters Configuration)] ダイアログボックスで、次の手順を実行します。
|
||
ステップ 12 |
次をクリックします。
|
||
ステップ 13 |
既存のセキュリティ ゾーン パラメータを編集するには、ゾーンを選択し、[高度なオプション(Advance options)] 列で [編集(Edit)] をクリックします。[高度なパラメータ設定(Advanced Parameters Configuration)] ダイアログボックスが表示されます。 |
||
ステップ 14 |
[高度なパラメータ設定(Advanced Parameters Configuration)] ダイアログボックスで値を編集し、[保存(Save)] をクリックして変更を保存します。[高度なオプション(Advanced Options)] アイコンにマウス カーソルを合わせると、設定されたパラメータがクイック ビュー ウィンドウに表示されます。 |
||
ステップ 15 |
ゾーンの説明を入力してから、[保存(Save)] をクリックします。 |
単一デバイスのゾーンベース ファイアウォール用のポリシー ルールを作成する
ポリシー ルール(規則)を作成するには、次の手順を実行します。
手順
ステップ 1 |
[インベントリ(Inventory)] > [デバイス管理(Device Management)] > [ネットワークデバイス(Network Devices)] を選択してから、デバイスを選択します。 |
||
ステップ 2 |
[機能設定(Feature Configuration)] ペインで [セキュリティ(Security)] サブフォルダを展開します。 |
||
ステップ 3 |
[セキュリティ(Security)] サブフォルダで、[ゾーンベース ファイアウォール(Zone Based Firewall)] を展開して [ポリシー ルール(Policy Rules)] をクリックします。[ポリシー ルール(Policy Rules)] ページが表示されます。 |
||
ステップ 4 |
既存のポリシー ルールを編集するには、次のオプションのいずれかを選択します。
|
||
ステップ 5 |
[ポリシー ルール(Policy Rules)] ページから、[ルールの追加(Add Rule)] をクリックし、フィールドに入力します。ルールを追加する際には、ポリシーの最上部や最下部、または既存のルールの前/後にルールを配置できます。複数のファイアウォール ルールは、その順序に従って処理されます。ルールの順序を制御するには、テーブルでルールの場所を選択し、[最上部に追加(Add Top)] または [最下部に追加(Add Bottom)] オプションを使用してルールをテーブルの最上部または最下部に追加します。ルールを選択し、[後ろに追加(Add After)] または [前に追加(Add Before)] オプションを使用してルールを既存のルールの前または後ろに追加します。所定の場所にルールを配置して後でドラッグ アンド ドロップを使用することでその場所を変更できます。 |
||
ステップ 6 |
(任意)ファイアウォール ルール名を入力します。ファイアウォール ルールの名前を指定しない場合、システムによってファイアウォール ルールの名前が生成されます。rule_<number> または EMS_rule_<number> という形式のファイアウォール ルール名を作成することはできません(たとえば rule_1)。これらは、システムで予約済みの形式です。 |
||
ステップ 7 |
ルールの送信元および宛先のゾーンを選択します。ルールは送信元ゾーンから宛先ゾーンに流れるトラフィックにのみ適用されます。送信元ゾーンと宛先ゾーンを同一にすることはできません。 |
||
ステップ 8 |
送信元および宛先 IP アドレスを追加するには、[追加(add)] アイコンをクリックします。[送信元/宛先 IP アドレス(Source/Destination IP address)] ダイアログボックスが表示されます。
|
||
ステップ 9 |
(任意)[サービス(Service)] の値を設定します。サービスを追加または削除するには、下矢印アイコンをクリックします。[ファイアウォール サービス(Firewall Service)] ダイアログボックスが表示されます。また、定義済みのサービスを選択することもできます。サービスの作成については、「単一デバイスのゾーンベース ファイアウォールのサービス グループの作成」を参照してください。
|
||
ステップ 10 |
適切なアクションを選択します。オプションは、[ドロップ(Drop)]、[ドロップして記録(Drop and Log)]、[検査(Inspect)]、[通過(Pass)]、および [通過させて記録(Pass and Log)] です。 |
||
ステップ 11 |
検査のアクションを選択した場合は、[高度なオプション(Advance options)] 列で [設定(Configure)] をクリックします。[高度なパラメータ設定(Advanced Parameters Configuration)] ダイアログボックスが表示されます。 |
||
ステップ 12 |
[高度なパラメータ設定(Advanced Parameters Configuration)] ダイアログボックスで、次のようにします。 |
||
ステップ 13 |
[保存(Save)] をクリックして、ルールをデバイスに適用します。要素の説明については、『Cisco Prime Infrastructure Reference Guide』を参照してください。 |
単一デバイスのゾーンベース ファイアウォールに関するポリシー ルールのモニタとトラブルシューティング
モニタリング機能を使用すると、ポリシー ルールをモニタすることができます。最も使用されたルールの特定、特定のルールのトラブルシューティング、選択したルールのヒットの確認を行うことができます。
ポリシー ルールをモニタするには、次の手順を実行します。
手順
ステップ 1 |
[インベントリ(Inventory)] > [デバイス管理(Device Management)] > [ネットワーク デバイス(Network Devices)] を選択してデバイスを選択します。 |
||
ステップ 2 |
[機能設定(Feature Configuration)] ペインで [セキュリティ(Security)] フォルダを展開します。 |
||
ステップ 3 |
[セキュリティ(Security)] サブフォルダで、[ゾーンベース ファイアウォール(Zone Based Firewall)] を展開して [ポリシー ルール(Policy Rules)] をクリックします。[ファイアウォール ルール(Firewall Rules)] ページが表示されます。 |
||
ステップ 4 |
[ファイアウォール ルール(Firewall Rules)] ページで [ヒット カウンタ(Hit Counters)] をクリックし、次のいずれかのオプションを使用して、ファイアウォール ルールのセッションおよびパケットのヒット カウンタを分析します。 |
||
ステップ 5 |
ファイアウォール ルールのパケットおよびセッション カウンタを表示するには、[すべて表示(Show all)] オプションをクリックします。パケットおよびセッション カウンタは別個の 2 つの列に表示されます。
|
||
ステップ 6 |
ルールの最終更新時刻を確認するには、列名にマウス カーソルを合わせるか、[ヒット カウンタ(Hit Counters)] の [最終更新時刻(Last Update Time)] オプションをクリックします。 |
||
ステップ 7 |
特定のルールまたは選択した複数のルールのヒット カウンタを表示するには、[選択したルールについて表示(Show for selected rules)] オプションをクリックします。ヒット カウントがポップアップ ダイアログボックスに表示され、データを即座に更新できるボタンも一緒に表示されます。 |
||
ステップ 8 |
パケット/セッション数を基準にした上位または下位のルールを表示するには、テーブルの右上隅に表示される定義済みフィルタ オプションを使用します。 |
||
ステップ 9 |
デバイスのすべてのルール カウンタを破棄するには、[すべてのカウンタをリセット(Reset All Counters)] をクリックします。ルール カウンタをリセットする前に、警告メッセージがアプリケーションによって表示されます。 |
単一デバイスのゾーンベース ファイアウォール用のサービス グループを作成する
サービス グループを作成、更新、または削除することができます。サービス グループには、複数のポートベースのアプリケーションをファイアウォール ポリシーで使用できる論理グループにグループ化するオプションがあります。
たとえば、参照サービス グループ オブジェクトを定義して、HTTP と HTTPS の両方のアプリケーションをそれに割り当てることができます。次に、この参照サービス グループをファイアウォール ルールで使用して、トラフィックの参照を許可または拒否できます。ルールで HTTP と HTTPS の両方を選択する必要はありません。
サービス グループを作成するには、次の手順を実行します。
手順
ステップ 1 |
[インベントリ(Inventory)] > [デバイス管理(Device Management)] > [ネットワークデバイス(Network Devices)] を選択してから、デバイスを選択します。 |
ステップ 2 |
[機能設定(Feature Configuration)] ペインで [セキュリティ(Security)] サブフォルダを展開します。 |
ステップ 3 |
[セキュリティ(Security)] サブフォルダで、[ゾーンベース ファイアウォール(Zone Based Firewall)] > [共通のビルディング ブロック(Common Building Blocks)] を展開して [サービス グループ(Service Groups)] をクリックします。[サービス グループ(Service Groups)] ページが表示されます。 |
ステップ 4 |
次の手順でサービス グループを作成します。
|
ステップ 5 |
既存のサービス グループを編集するには、次のいずれかを実行します。
|
ステップ 6 |
[保存(Save)] をクリックして、変更内容をデバイスに適用します。 |
単一デバイスのゾーンベース ファイアウォール用のアプリケーション TCP/UDP ポートを割り当てる
伝送制御プロトコル(TCP)またはユーザ データグラム プロトコル(UDP)ポートをアプリケーションに割り当てたり、割り当てを解除したりすることができます。
(注) |
次の手順で [保存(Save)] をクリックすると、デバイスに変更が展開されます。要求した操作を確認したり、保留中の変更キューから要求を削除したりすることはできません。 |
アプリケーションに TCP/UDP ポートを割り当てるか、割り当てを解除するには、次の手順を実行します。
手順の概要
- [インベントリ(Inventory)] > [デバイス管理(Device Management)] > [ネットワークデバイス(Network Devices)] を選択してから、デバイスを選択します。
- [機能設定(Feature Configuration)] ペインで [セキュリティ(Security)] サブフォルダを展開します。
- [セキュリティ(Security)] サブフォルダで、[ゾーンベース ファイアウォール(Zone Based Firewall)] > [共通のビルディング ブロック(Common Building Blocks)] を展開して [ポート マッピング(Port Mappings)] をクリックします。[ポート アプリケーション マッピング(Port Application Mapping)] ページが表示されます。
- アプリケーションに TCP/UDP ポートを割り当てるか、割り当てを解除するには、アプリケーションをクリックし、その TCP/UDP ポート値を更新します。TCP/UDP ポート値が特定のアプリケーションに割り当てられます。
- [保存(Save)] をクリックして、設定を保存します。
手順の詳細
ステップ 1 |
[インベントリ(Inventory)] > [デバイス管理(Device Management)] > [ネットワークデバイス(Network Devices)] を選択してから、デバイスを選択します。 |
||
ステップ 2 |
[機能設定(Feature Configuration)] ペインで [セキュリティ(Security)] サブフォルダを展開します。 |
||
ステップ 3 |
[セキュリティ(Security)] サブフォルダで、[ゾーンベース ファイアウォール(Zone Based Firewall)] > [共通のビルディング ブロック(Common Building Blocks)] を展開して [ポート マッピング(Port Mappings)] をクリックします。[ポート アプリケーション マッピング(Port Application Mapping)] ページが表示されます。
|
||
ステップ 4 |
アプリケーションに TCP/UDP ポートを割り当てるか、割り当てを解除するには、アプリケーションをクリックし、その TCP/UDP ポート値を更新します。TCP/UDP ポート値が特定のアプリケーションに割り当てられます。
|
||
ステップ 5 |
[保存(Save)] をクリックして、設定を保存します。 |
単一 Cisco ISR デバイスのゾーンベース ファイアウォール用にデフォルトのパラメータを設定する
デフォルト パラメータを設定するには、次の手順を実行します。
手順
ステップ 1 |
[インベントリ(Inventory)] > [デバイス管理(Device Management)] > [ネットワークデバイス(Network Devices)] を選択してから、デバイスを選択します。 |
||
ステップ 2 |
[機能設定(Feature Configuration)] ペインで [セキュリティ(Security)] サブフォルダを展開します。 |
||
ステップ 3 |
[セキュリティ(Security)] サブフォルダで、[ゾーンベース ファイアウォール(Zone Based Firewall)] を展開して [デフォルト パラメータ(Default Parameters)] をクリックします。[デフォルト パラメータ(Default Parameters)] ページが表示されます。 |
||
ステップ 4 |
[デフォルト パラメータ(Default Parameters)] ページで、パラメータ値を変更します。
|
||
ステップ 5 |
[保存(Save)] をクリックして、設定を保存します。 |
単一デバイスのゾーンベース ファイアウォール内の別のゾーンへのインターフェイスの割り当て
インターフェイス ビューには、ファイアウォール検査の対象となるデバイス上のインターフェイスの概要が表示されます。このビューでは、インターフェイスのセキュリティ ゾーンへの割り当てを確認および変更できます。
ゾーンに対するインターフェイスの割り当てまたは割り当て解除を行うには、次の手順を実行します。
手順
ステップ 1 |
[インベントリ(Inventory)] > [デバイス管理(Device Management)] > [ネットワークデバイス(Network Devices)] を選択してから、デバイスを選択します。 |
ステップ 2 |
[機能設定(Feature Configuration)] ペインで [セキュリティ(Security)] サブフォルダを展開します。 |
ステップ 3 |
[セキュリティ(Security)] サブフォルダで、[ゾーンベース ファイアウォール(Zone Based Firewall)] を展開して [インターフェイス(Interfaces)] をクリックします。 |
ステップ 4 |
[インターフェイス(Interface)] ページで、変更するインターフェイスを選択し、下矢印アイコンをクリックします。[ゾーン(Zone)] ダイアログボックスが表示されます。 |
ステップ 5 |
[ゾーン(Zone)] ダイアログボックスで、インターフェイスの新しいセキュリティ ゾーンを選択します。選択したインターフェイスがすでにゾーンに割り当てられている場合は、警告メッセージが表示されます。 |
ステップ 6 |
そのインターフェイスの割り当てを変更する場合は、警告メッセージに対して [はい(Yes)] をクリックします。 |
ステップ 7 |
特定のゾーンからインターフェイスの割り当てを解除するには、そのインターフェイスを選択し、ゾーン情報を削除します。 |
ステップ 8 |
[保存(Save)] をクリックすると、変更内容が保存されて適用されます。 |
データ ソースとしての NAM アプリケーション サーバの追加
Prime Infrastructure では、さまざまな機能をリモートで NAM に設定できます。NAM アプリケーション サーバ機能を使用すると、アプリケーション サーバで NAM デバイスを設定することができます。
アプリケーション サーバのパラメータを NAM デバイスで設定するには、次の手順を実行します。
手順
ステップ 1 |
[インベントリ(Inventory)] > [デバイス管理(Device Management)] > [ネットワークデバイス(Network Devices)] を選択してから、デバイスを選択します。 |
ステップ 2 |
[追加(Add)] をクリックします。 |
ステップ 3 |
[サーバを追加(Add Servers)] ダイアログボックスにサーバの IP アドレスを入力し、ダイアログボックス内の [追加(Add)] ボタンをクリックします。サーバの IP アドレスのリストが [IPアドレス(IP address)] 列の下に表示されます。 |
ステップ 4 |
NAM デバイスに展開するサーバの IP アドレスを選択して、[NAMサーバリストに追加(Add to NAM Server lists)] をクリックします。 |
ステップ 5 |
[NAMサーバリストにサーバを追加(Add Server(s) to NAM Server List)] ダイアログボックスで、1 つ以上の NAM デバイスの IP アドレスを選択し、ダイアログボックス内の [追加(Add)] ボタンをクリックします。 選択したデバイス IP アドレスが [NAM サーバ リストの一部(Part of NAM Server List on)] 列の下に表示され、選択した NAM デバイスにサーバ パラメータが設定されます。 |