この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、さまざまなインターフェイス モードとセンサー上のインターフェイスの設定方法について説明します。この章は、次の項で構成されています。
• 「サマリー」
コマンド/コントロール インターフェイスは、特定のインターフェイスに恒常的にマッピングされます。この物理インターフェイスは、使用しているセンサーのタイプによって異なります。センシング インターフェイスは、混合モード、インライン インターフェイス モード、またはインライン VLAN ペア モードで動作するように設定できます。インライン インターフェイス モードをサポートするセンサーでは、センシング インターフェイスを「インライン ペア」と呼ばれる論理インターフェイスのペアにできます。VLAN をサポートするセンサーでは、VLAN をインライン VLAN ペアにできます。センサーがトラフィックを監視する前に、インターフェイス、インターフェイス ペア、または VLAN ペアをイネーブルにする必要があります。
(注) アプライアンスでは、センシング インターフェイスはデフォルトでディセーブルになっています。モジュールでは、センシング インターフェイスは常にイネーブルで、ディセーブルにはできません。
インライン VLAN ペア(on-a-stick)機能の追加により、各センシング インターフェイスは混合モード、インライン インターフェイス モード、インライン VLAN ペア モードの 3 つのモードのいずれかで動作するようになりました。複数のセンシング インターフェイスを備えたセンサー上では、同一センサー上でモードを任意に組み合せて使用できます。
• センシング インターフェイスがインライン インターフェイス ペアの別のセンシング インターフェイスとペアになり、そのサブインターフェイス タイプが none に設定されている(デフォルト)場合、そのセンシング インターフェイスはインライン モードになります。
• センシング インターフェイスのサブインターフェイス タイプがインライン VLAN ペアに設定されている場合、そのセンシング インターフェイスはインライン VLAN ペア モードになります。
• デフォルト、つまり他の 2 つのどちらのモードでもない場合、センシング インターフェイスは混合モードです。
センシング インターフェイスには IP アドレスが割り当てられていないため、攻撃者からは見えません。このため、センサーは、見張っていることを攻撃者に気づかれずにデータ ストリームを監視できます。混合モードは、ネットワークに出入りするすべてのパケットがセンサーを通過する必要があるインライン インターフェイス モードと対照的です。詳細については、 「混合モードの説明」、 「インライン インターフェイス モードの説明」、および「インライン VLAN ペア モードの説明」を参照してください。
センサーは、デフォルトの仮想センサーに割り当てられているインターフェイス、インライン インターフェイス ペア、インライン VLAN ペア上のトラフィックのみを監視します。詳細については、「インターフェイスの仮想センサーへの割り当て」を参照してください。
SensorApp が動作していない場合にもトラフィックがインライン ペアを経由して流れるようにセンサーを設定するには、バイパス モードをイネーブルにします。バイパス モードでは、再設定、サービス パックのインストール、またはソフトウェア障害時のデータフローの中断が最小限に抑えられます。
センサーは、シャーシの電源が切れている間に、インストールされているモジュールのインターフェイスを検出します。それらのインターフェイスは、次回センサーを起動するときに設定できます。モジュールが取り外されている場合、センサーは次回の起動時に、インターフェイスがないことを検出します。インターフェイス設定は保持されますが、インターフェイスが存在しない場合はセンサーによって無視されます。
混合モードでは、パケットは IPS を経由して流れません。センサーは、実際に転送されたパケットではなく、監視したトラフィックのコピーを分析します。混合モードで運用する利点は、転送されたトラフィックでパケットのフローに IPS が影響を与えないことです。ただし、混合モードで運用する場合の短所は、悪意のあるトラフィックがアトミック アタック(シングル パケット攻撃)などの特定の種類の攻撃のために意図したターゲットに到達するのを、IPS が阻止できないことです。混合 IPS デバイスによって実行される応答アクションはイベント後の応答であるため、多くの場合、攻撃に応答するには、ルータやファイアウォールなど他のネットワーキング デバイスによるサポートが必要です。このような応答アクションは一部の種類の攻撃を防ぐことができますが、アトミック アタックの場合、混合モードベースのセンサーが管理対象デバイス(ファイアウォール、スイッチ、ルータなど)に ACL 修正を適用する前に、シングル パケットがターゲット システムに到達する可能性があります。
インライン インターフェイス モードで動作すると、IPS は直接トラフィック フローに挿入され、パケット転送速度に影響を与えます。パケット転送速度は遅延を加えられることによって遅くなります。インライン IPS はファースト パスにあります。ファースト パスでは、センサーが、意図したターゲットに到達する前に悪意のあるトラフィックを廃棄することによって攻撃を阻止し、保護サービスを提供できます。インライン デバイスは、レイヤ 3 および 4 で情報を処理するだけでなく、より高度な埋め込み型攻撃のパケットの内容およびペイロードも分析します(レイヤ 3 ~ 7)。このより詳細な分析では、通常は従来のファイアウォール デバイスを通過する攻撃をシステムが識別し、停止またはブロックすることができます。
インライン インターフェイス モードでは、パケットはセンサーのペアの 1 つ目のインターフェイスを経由して入り、ペアの 2 つ目のインターフェイスを経由して出ます。パケットは、シグニチャによって拒否または変更されない限り、ペアの 2 つ目のインターフェイスに送信されます。
(注) ASA SSM は、センシング インターフェイスが 1 つしかない場合にもインラインで動作するように設定できます。
物理インターフェイス上で VLAN をペアで関連付けることができます。これは「inline on a stick」として知られています。ペアの VLAN のいずれかで受信されたパケットは、分析された後、別の VLAN にペアで転送されます。インライン VLAN ペアは、NM-CIDS、AIP SSM 10、および AIP SSM 20 を除く、IPS 5.1 と互換性があるすべてのセンサーでサポートされています。
インライン VLAN ペア モードは、アクティブ センシング モードです。このモードでは、センシング インターフェイスが 802.1q トランク ポートとして動作し、センサーがトランク上の VLAN ペア間の VLAN ブリッジングを実行します。センサーは、ペアごとに各 VLAN 上で受信するトラフィックを調べ、そのパケットをペアの他方の VLAN へ転送するか、または侵入の試行が検出された場合はパケットを破棄することができます。IPS センサーでは、各センシング インターフェイスで最大 255 個の VLAN ペアを同時にブリッジするように設定できます。センサーは、受信した各パケットの 802.1q ヘッダー内の VLAN ID フィールドをセンサーがパケットを転送する出力 VLAN の ID に置き換えます。センサーは、インライン VLAN ペアに割り当てられていない VLAN 上で受信されたパケットをすべてドロップします。
表3-1 は、IPS 5.1 を実行するアプライアンスおよびモジュールのインターフェイス サポートを示します。
|
|
するインターフェイス |
|
|
---|---|---|---|---|
FastEthernet0/1 |
1/0<->1/1 |
|||
4FE |
||||
TX オンボード + TX PCI GigabitEthernet0/0 + GigabitEthernet1/0 または GigabitEthernet2/0 |
||||
4FE |
||||
TX オンボード + TX PCI GigabitEthernet0/0 + GigabitEthernet1/0 または GigabitEthernet2/0 |
||||
4 オンボード GE |
||||
4 オンボード GE |
||||
1.4FE カードはスロット 1 または 2 のどちらかにインストールできます。S はスロット番号を示しており、1 または 2 のどちらかになります。 |
センサー上のインターフェイスの設定については、次の制限があります。
• インライン モードをサポートするセンサー プラットフォームでは、バイパス モードを設定してインライン インターフェイス ペアを作成することしかできません。
• インライン インターフェイス ペアには、物理インターフェイスのタイプ(銅または光ファイバ)、速度、またはインターフェイスの二重通信設定に関係なく、任意のセンシング インターフェイスの組み合せを含めることができます。ただし、メディア タイプ、速度、および二重通信設定の異なるインターフェイスの組み合せについては、テストが不完全だったり、正式にサポートされていなかったりする場合があります。
• モジュール(IDSM-2、NM-CIDS、AIP SSM 10、および AIP SSM 20)、IPS-4240、および IPS-4255 では、すべてのバックプレーン インターフェイスの速度、二重通信、状態の設定は固定です。これらの設定は、すべてのバックプレーン インターフェイスのデフォルト設定内で保護されています。
• NM-CIDS 上で、センシング インターフェイスとして機能する同一バックプレーン インターフェイスは、RBCP 制御トラフィックも伝送します。このインターフェイスがダウンすると、モジュールも失敗します。バックプレーン インターフェイスは保護されているため、このインターフェイスがダウン状態になるよう設定することはできません。ただし、Linux ifconfig ユーティリティを使用してこのインターフェイスのダウン状態を設定している場合、RBCP 通信は失敗します。
–代替 TCP リセット インターフェイスはセンシング インターフェイスにしか割り当てできません。管理インターフェイスを代替 TCP リセット インターフェイスとして設定することはできません。代替 TCP リセット インターフェイス オプションは、デフォルトとして none に設定されており、センシング インターフェイスを除くすべてのインターフェイス用に保護されています。
–同じ物理インターフェイスを複数のセンシング インターフェイスの代替 TCP リセット インターフェイスとして割り当てることができます。
–物理インターフェイスは、センシング インターフェイスと代替 TCP リセット インターフェイスの両方として機能できます。
• インライン VLAN ペア内で VLAN を指定する順序は重要ではありません。
• インライン VLAN ペア モードのセンシング インターフェイスは、1 ~ 255 個のインライン VLAN ペアを保持できます。
• 管理インターフェイスはセンシング インターフェイスとして機能することはできません。
• 管理インターフェイスは、センシング インターフェイスの代替 TCP リセット インターフェイスとして機能することはできません。
• 管理インターフェイスは、インライン インターフェイス ペアのメンバにすることはできません。
• 物理インターフェイスとインライン インターフェイス ペア内のそれ自体とをペアにすることはできません。
• 物理インターフェイスは、最大 1 つのインライン インターフェイス ペアのメンバにすることができます。
• センシング インターフェイスは、それ自身の代替 TCP リセット インターフェイスとしては機能できません。
• TCP リセットに対応しているインターフェイスのみを代替 TCP リセット インターフェイスとして設定できます。
(注) この制限事項の例外が IDSM-2 です。両方のセンシング インターフェイスに対する代替 TCP リセット インターフェイスの割り当ては System0/1 です(保護されています)。
• 特定のセンシング インターフェイスの場合、VLAN は最大 1 つのインライン VLAN ペアのメンバにすることができます。ただし、特定の VLAN を複数のセンシング インターフェイスのインライン VLAN ペアのメンバーにすることができます。
• 物理インターフェイスは、インライン インターフェイス ペアのメンバにすることはできません。ただし、物理インターフェイスのサブインターフェイス モードが none の場合は除きます。
• 非バックプレーン FastEthernet インターフェイスの場合、有効な速度設定は 10 Mbps、100 Mbps、および自動です。有効な二重通信設定は、全、半、自動です。
• ギガビット ファイバ インターフェイス(IDS-4250 上の 1000-SX およびXL)の場合、有効な速度設定値は 1000 Mbps および自動のみです。
• ギガビット 銅線 インターフェイス(IDS-4235 および IDS-4250 上の 1000-TX)の場合、有効な速度設定値は 10 Mbps、100 Mbps、1000 Mbps、および自動です。
• ギガビット(銅線またはファイバ)インターフェイスの場合は、速度が 1000 Mbps に設定されている場合、有効な二重通信設定値は自動のみです。
この項では、Summary パネルについて説明します。取り上げる事項は次のとおりです。
• 「概要」
Summary パネルには、センシング インターフェイスをどのように設定したか、つまり、混合モードに設定したインターフェイス、インライン ペアに設定したインターフェイス、およびインライン VLAN ペアに設定したインターフェイスが表示されます。インターフェイス設定を変更すると、このパネルの内容も変更されます。
Summary パネルには、次のフィールドとボタンがあります。
混合インターフェイスでは、この値は FastEthernet または GigabitEthernet になります。インライン インターフェイスでは、ペアに割り当てた名前になります。
• Details :インターフェイスが混合またはインラインであるかどうかを示し、VLAN ペアの有無を示します。
• Assigned Virtual Sensor :インターフェイスまたはインターフェイス ペアが仮想センサー vs0 に割り当て済みであるかどうかを示します。
この項では、センサー上のインターフェイスの設定方法について説明します。取り上げる事項は次のとおりです。
• 「概要」
Interfaces パネルには、センサー上の既存の物理インターフェイスとそれらに関連する設定が表示されます。センサーはインターフェイスを検出し、インターフェイス リストを Interfaces パネルに代入します。
センサーがトラフィックを監視するように設定するには、インターフェイスをイネーブルにする必要があります。 setup コマンドを使用してセンサーを初期化したときに、インターフェイスまたはインライン ペアをデフォルトの仮想センサー vs0 に割り当て、そのインターフェイスまたはインライン ペアをイネーブルにしています。インターフェイス設定を変更する必要がある場合は、Interfaces パネルから変更できます。インターフェイスまたはインライン ペアの仮想センサー vs0 への割り当ては、Edit Virtual Sensor ダイアログボックスの Configuration > Analysis Engine > Virtual Sensor > Edit で実行できます。
次の場合には、代替 TCP リセット インターフェイスを指定する必要があります。
• スイッチが SPAN または VACL キャプチャを使用して監視され、スイッチが SPAN または VACL キャプチャ ポートで着信パケットを受け入れない場合。
• スイッチが複数の VLAN の SPAN キャプチャまたは VACL キャプチャのどちらかを使用して監視され、スイッチが 802.1q ヘッダーのある着信パケットを受け入れない場合。
(注) TCP リセットには、リセットを送信する VLAN を指定する 802.1q ヘッダーが必要です。
(注) タップは、センサーからの着信トラフィックを許可しません。
センシング インターフェイスは代替 TCP リセット インターフェイスとしてのみ割り当てることができます。管理インターフェイスを代替 TCP リセット インターフェイスとして設定することはできません。
Interfaces パネルには、次のフィールドとボタンがあります。
• Interface Name :インターフェイスの名前。
すべてのインターフェイスで、この値は FastEthernet または GigabitEthernet になります。
• Enabled :インターフェイスをイネーブルにするかどうかを指定します。
– Backplane interface :モジュールを親シャーシのバックプレーンに接続する内部インターフェイス。
• Duplex :インターフェイスの二重通信設定を示します。
– Auto :インターフェイスを自動ネゴシエーション二重に設定します。
– Auto :インターフェイスを自動ネゴシエーション速度に設定します。
– 10 MB :インターフェイスを 10 MB に設定します(TX インターフェイスの場合のみ)。
– 100 MB :インターフェイスを 100 MB に設定します(TX インターフェイスの場合のみ)。
– 1000 :インターフェイスを 1 GB に設定します(ギガビット インターフェイスの場合のみ)。
• Alternate TCP Reset Interface :これを選択すると、代替インターフェイスが混合モニタリングに使用され、シグニチャ反応によってリセット アクションがトリガーされた場合、代替インターフェイス上の TCP リセットが送信されます。
• Description :インターフェイスの説明を入力します。
• Select All :リストにあるすべてのエントリを選択できます。
• Edit :Edit Interface ダイアログボックスを開きます。
このダイアログボックスで、このインターフェイスに関連付けられた値の一部を変更できます。
• Disable :インターフェイスをディセーブルにします。
Edit Interface ダイアログボックスには、次のフィールドとボタンがあります。
• Interface Name :インターフェイスの名前。
すべてのインターフェイスで、この値は FastEthernet または GigabitEthernet になります。
• Description :インターフェイスの説明を入力します。
– Backplane interface :モジュールを親シャーシのバックプレーンに接続する内部インターフェイス。
• Enabled :インターフェイスをイネーブルにするかどうかを指定します。
• Duplex :インターフェイスの二重通信設定を示します。
– Auto :インターフェイスを自動ネゴシエーション二重に設定します。
– Auto :インターフェイスを自動ネゴシエーション速度に設定します。
– 10 MB:インターフェイスを 10 MB に設定します(TX インターフェイスの場合のみ)。
– 100 MB :インターフェイスを 100 MB に設定します(TX インターフェイスの場合のみ)。
– 1000 :インターフェイスを 1 GB に設定します(ギガビット インターフェイスの場合のみ)。
• Use Alternate TCP Reset Interface :これを選択すると、代替インターフェイスが混合モニタリングに使用され、シグニチャ反応によってリセット アクションがトリガーされた場合、代替インターフェイス上の TCP リセットが送信されます。
– Select Interface :TCP リセットを送信するインターフェイスを設定します。
インターフェイスをイネーブルまたはディセーブルにする、またはインターフェイス設定を編集するには、次の手順を実行します。
ステップ 1 管理者特権を持つアカウントを使用して IDM にログインします。
ステップ 2 Configuration > Interface Configuration > Interfaces の順にクリックします。
ステップ 3 行を選択またはダブルクリックして、 Enable をクリックします。
インターフェイスがイネーブルになります。インターフェイスがトラフィックを監視するためには、そのインターフェイスを仮想センサーに割り当てる必要があります。手順については、「インターフェイスの仮想センサーへの割り当て」を参照してください。
ステップ 4 インターフェイスに関連付けられている値の一部を編集するには、インターフェイスを選択して、 Edit をクリックします。
Edit Interface ダイアログボックスが表示されます。
ステップ 5 Description フィールドの説明を変更できます。また、 No または Yes チェックボックスをオンにすることで、状態を enabled から disabled に変更できます。 Use Alternative TCP Reset Interface を選択することで、インターフェイスが代替 TCP リセットを使用するように設定できます。
変更内容が Interfaces パネルのリストに表示されます。
ヒント 変更を元に戻す場合は、Reset をクリックします。
ステップ 7 Apply をクリックし、変更を適用して、変更された設定を保存します。
この項では、インライン インターフェイス ペアの設定方法について説明します。取り上げる事項は次のとおりです。
• 「概要」
センサーがインライン モニタリングに対応している場合、センサー上でインターフェイスのペアを作成できます。
(注) AIP SSM には、モニタリング用のインライン ペアは必要ありません。物理インターフェイスを仮想センサーに追加するだけです。
Interface Pairs パネルには、次のフィールドとボタンがあります。
• Interface Pair Name :インターフェイス ペアに指定する名前。
• Paired Interfaces :ペアを作成した 2 つのインターフェイス(GigabitEthernet0/0<->GigabitEthernet0/1 など)。
• Description :このインターフェイス ペアの説明を追加します。
• Select All :すべてのインターフェイス ペアを選択します。
• Add :Add Interface Pair ダイアログボックスを開きます。
このダイアログボックスでは、新しいインターフェイス ペアを追加できます。
• Edit :Edit Interface Pair ダイアログボックスを開きます。
このダイアログボックスでは、インターフェイス ペアの値を編集できます。
• Delete :選択したインターフェイス ペアを削除します。
Add and Edit Interface Pair ダイアログボックスには、次のフィールドとボタンがあります。
• Interface Pair Name :インターフェイス ペアに指定する名前。
• Select two interfaces :リストからペアを作成する 2 つのインターフェイスを選択します(GigabitEthernet0/0<->GigabitEthernet0/1 など)。
• Description :このインターフェイス ペアの説明を追加します。
インライン インターフェイス ペアを設定するには、次の手順を実行します。
ステップ 1 管理者特権を持つアカウントを使用して IDM にログインします。
ステップ 2 Configuration > Interface Configuration > Interface Pairs の順にクリックします。
ステップ 3 インライン インターフェイス ペアを追加するには、 Add をクリックします。
Add Interface Pair ダイアログボックスが表示されます。
ステップ 4 Interface Pair Name フィールドに名前を入力します。
ステップ 5 Select two interfaces フィールドで、ペアを作成する 2 つのインターフェイスを選択します。
たとえば、GigabitEthernet0/0 と GigabitEthernet0/1 のように選択します。
ステップ 6 必要であれば、 Description フィールドにインライン インターフェイス ペアの説明を追加できます。
Interface Pairs パネルのリストに、新しいインライン インターフェイス ペアが表示されます。
ステップ 8 インライン インターフェイス ペアを編集するには、これを選択し、 Edit をクリックします。
Edit Interface Pair ダイアログボックスが表示されます。
ステップ 9 このダイアログボックスで、名前の変更、新しいインライン インターフェイス ペアの選択、説明の編集ができます。
Interface Pairs パネルのリストに、編集されたインライン インターフェイス ペアが表示されます。
ステップ 11 インライン インターフェイス ペアを削除するには、これを選択し、 Delete をクリックします。
削除されたインライン インターフェイス ペアは、Interface Pairs パネルのリストに表示されなくなります。
ヒント 変更を元に戻す場合は、Reset をクリックします。
ステップ 12 Apply をクリックし、変更を適用して、変更された設定を保存します。
この項では、インライン VLAN ペアの設定方法について説明します。取り上げる事項は次のとおりです。
• 「概要」
VLAN Pairs パネルには、各物理インターフェイスの既存のインライン VLAN ペアが表示されます。インライン VLAN ペアを作成するには、 Add をクリックします。
(注) 別のインターフェイスとペアになっているインターフェイスや、混合モードで動作し仮想センサーに割り当てられているインターフェイスでは、インライン VLAN ペアは作成できません。
混合モードで動作するインターフェイスに対してインライン VLAN ぺを作成するには、仮想センサーからそのインターフェイスを除外してから、インライン VLAN ペアを作成します。インライン VLAN ペアを作成するときに、インターフェイスが別のインターフェイスとペアになっていたり、混合モードになっていたりすると、エラー メッセージが表示されます。
(注) センサーが「on-a-stick」機能をサポートしていない場合、VLAN Pairs パネルは表示されません。AIP SSM と NM-CIDS は、インライン VLAN ペアをサポートしていません。
Interface Pairs パネルには、次のフィールドとボタンがあります。
• Interface Name :インライン VLAN ペアの名前。
• Subinterface (VLAN Pair) :インライン VLAN ペアのサブインターフェイス番号。
• VLAN1 :VLAN1 の VLAN 番号を表示します。
• VLAN2 :VLAN2 の VLAN 番号を表示します。
• Description :インライン VLAN ペアの説明。
• Select All :すべての VLAN ペアを選択します。
• Add :Add VLAN Pair ダイアログボックスを開きます。
このダイアログボックスでは、新しい VLAN ペアを追加できます。
• Edit :Edit VLAN Pair ダイアログボックスを開きます。
このダイアログボックスで、VLAN ペアの値を編集できます。
Add and Edit Inline VLAN Pair ダイアログボックスには、次のフィールドとボタンがあります。
• Interface Name :インライン VLAN ペアを作成するために使用可能なインターフェイスを選択します。
• Subinterface Number :サブインターフェイス番号を割り当てます。
• VLAN 1 :インライン VLAN ペアの最初の VLAN を指定します。
1 から 4095 までの任意の VLAN を割り当てることができます。
• VLAN 2 :インライン VLAN ペアの 2 番目の VLAN を指定します。
1 から 4095 までの任意の VLAN を割り当てることができます。
• Description :インライン VLAN ペアの説明を追加します。
(注) サブインターフェイス番号と VLAN 番号は、各物理インターフェイスで一意である必要があります。
インライン VLAN ペアを設定するには、次の手順を実行します。
ステップ 1 管理者特権を持つアカウントを使用して IDM にログインします。
ステップ 2 Configuration > Interface Configuration > VLAN Pairs の順にクリックします。
ステップ 3 インライン VLAN ペアを追加するには、 Add をクリックします。
Add Inline VLAN Pair ダイアログボックスが表示されます。
ステップ 4 Interface Name リストからインターフェイスを選択します。
ステップ 5 Subinterface Number フィールドに、インライン VLAN ペアのサブインターフェイス番号(1 ~ 255)を入力します。
ステップ 6 VLAN 1 フィールドに、インライン VLAN ペアの最初の VLAN(1 ~ 4095)を指定します。
ステップ 7 VLAN 2 フィールドに、インライン VLAN ペアの 2 番目の VLAN(1 ~ 4095)を指定します。
ステップ 8 必要であれば、 Description フィールドにインライン VLAN ペアの説明を追加できます。
VLAN Pairs パネルのリストに、新しいインライン VLAN ペアが表示されます。
ステップ 10 インライン VLAN ペアを編集するには、これを選択し、 Edit をクリックします。
Edit Inline VLAN Pair ダイアログボックスが表示されます。
ステップ 11 このダイアログボックスでサブインターフェイス番号の変更、VLAN 番号の変更、説明の編集ができます。
VLAN Pairs パネルのリストに、編集されたインライン VLAN ペアが表示されます。
ステップ 13 VLAN ペアを削除するには、これを選択し、 Delete をクリックします。
削除された VLAN ペアは、VLAN Pairs パネルのリストに表示されなくなります。
ヒント 変更を元に戻す場合は、Reset をクリックします。
ステップ 14 Apply をクリックし、変更を適用して、変更された設定を保存します。
この項では、バイパス モードの設定方法について説明します。取り上げる事項は次のとおりです。
• 「概要」
バイパス モードは、診断ツールおよびフェールオーバー保護メカニズムとして使用できます。すべての IPS 処理サブシステムをバイパスし、トラフィックが直接インライン ペアに流れることが可能なモードにセンサーを設定できます。このバイパス モードにより、アップグレードのためにセンサーのプロセスが一時的に停止した場合や、センサーのモニタリング プロセスが失敗した場合でも、センサーへのパケット フローは続行します。オン、オフ、自動の 3 つのモードがあります。デフォルトでは、バイパス モードは自動に設定されています。
(注) バイパス モードは、初めはインラインでペアを組んでいるインターフェイスに対してのみ適用されていました。不具合のため、混合モードには適用されません。今後のバージョンでこの不具合に対応できる可能性があります。混合モードでは、バイパス モードを自動またはオフに設定し、オンで使用しないことをお勧めします。
(注) バイパス モードが機能するのは、オペレーティング システムの実行中だけです。センサーの電源を切ったり、センサーがシャットダウンされたりすると、バイパス モードは機能しません。つまり、トラフィックはセンサーに渡されなくなります。
Bypass パネルには、次のフィールドとボタンがあります。
• Auto :センサーのモニタリング プロセスがダウンしている場合を除き、トラフィックがセンサーに流れて検査されます。
センサーのモニタリング プロセスがダウンしていると、センサーが再び動作するようになるまで、トラフィックはセンサーをバイパスします。センサーが動作を再開すると、トラフィックを検査します。自動モードは、センサーがアップグレード中でもトラフィックのフローが続行するので、センサー アップグレードのときに役立ちます。また、モニタリング プロセスが失敗した場合でも、トラフィックのフローを続行するのに役立ちます。
トラフィックはセンサーに流れて検査されます。センサーのモニタリング プロセスがダウンしていると、トラフィックのフローが停止します。つまり、インライン トラフィックの検査は必ず行われます。
• On :トラフィックは SensorApp をバイパスし、検査は行われません。つまり、インライン トラフィックの検査は行われません。
この項では、トラフィック フロー通知の設定方法について説明します。取り上げる事項は次のとおりです。
• 「概要」
センサーがインターフェイスのパケット フローを監視し、指定された時間間隔内でパケット フローに変化があった(開始や停止)場合、通知を送信するように設定できます。特定の通知間隔内の非受信パケットしきい値を設定できます。また、ステータス イベントが報告されるまでのインターフェイス アイドル遅延も設定できます。
Traffic Flow Notifications パネルには、次のフィールドとボタンがあります。
• Missed Packets Threshold :通知が送信される前に、指定された時間内で受信できなかったパケットの率。
• Notification Interval :センサーが未受信パケット率をチェックする時間間隔。
• Interface Idle Threshold :通知が送信される前に、インターフェイスがアイドル状態でパケットを受信していない時間(秒数)。
トラフィック フロー通知を設定するには、次の手順を実行します。
ステップ 1 管理者特権を持つアカウントを使用して IDM にログインします。
ステップ 2 Configuration > Interface Configuration > Traffic Flow Notifications の順にクリックします。
Traffic Flow Notifications パネルが表示されます。
ステップ 3 通知を受信する前に発生した未受信パケット率を選択し、 Missed Packets Threshold フィールドにその値を入力します。
ステップ 4 未受信パケット率をチェックする秒数を選択し、 Notification Interval フィールドにその値を入力します。
ステップ 5 通知を受信する前に、インターフェイスがアイドル状態でパケットを受信していない状況を許可する時間(秒数)を選択し、 Interface Idle Threshold フィールドにその値を入力します。
ヒント 変更を元に戻す場合は、Reset をクリックします。
ステップ 6 Apply をクリックし、変更を適用して、変更された設定を保存します。