IDSM-2 用の Catalyst 6500 シリーズ スイッチの混合モードでの設定
トラフィックは、SPAN または VACL キャプチャを使用して、IDSM-2 上での混合分析のために取り込まれます。ポート 1(GigabitEthernet0/1)は TCP リセット ポートとして、ポート 2(GigabitEthernet0/2)はコマンド/コントロール ポートとして、およびポート 7 とポート 8(GigabitEthernet0/7 と GigabitEthernet0/8)はモニタリング ポートとして、それぞれ使用されます。両方のモニタリング ポートを、SPAN 宛先ポートまたは VACL キャプチャ ポートのいずれかとして設定できます。
注意 両方のポートをモニタリング ポートに設定する場合は、必ずこれらのポートが別のトラフィックを監視するように設定してください。
注意 IDSM-2 はトラフィックを受信しないので、IDSM-2 データ ポートを SPAN 宛先ポートと VACL キャプチャ ポートの両方として設定しないでください。このデュアル コンフィギュレーション(SPAN および VACL)を行うと、スイッチで問題が発生し、トラフィックが適切に送信されなくなります。
この項では、次のトピックについて説明します。
• 「TCP リセット インターフェイスの使用方法」
• 「SPAN の設定」
• 「VACL の設定」
• 「mls ip ids コマンドの設定」
TCP リセット インターフェイスの使用方法
IDSM-2 には TCP リセット インターフェイス(ポート 1)があります。IDSM-2 は、センシング ポートに TCP リセットを送信できないので、専用の TCP リセット インターフェイスが用意されています。
IDSM-2 においてリセット上の問題が発生した場合は、次の手順を試してください。
• センシング ポートがアクセス ポート(1 つの VLAN)である場合、リセット ポートが同じ VLAN に存在するように設定する必要があります。
• センシング ポートが dot1q トランク ポート(マルチ VLAN)である場合、このセンシング ポートとリセット ポートはすべて同じネイティブ VLAN を持つ必要があり、リセット ポートは両方のセンシング ポートによってトランク接続されている VLAN すべてにトランク接続されている必要があります。
SPAN の設定
IDSM-2 はイーサネットまたはファースト イーサネット SPAN ソース ポートからのイーサネット VLAN トラフィックを分析できます。つまり、イーサネット VLAN を SPAN ソースとして指定できます。
この項では、次のトピックについて説明します。
• 「Catalyst ソフトウェア」
• 「Cisco IOS ソフトウェア」
Catalyst ソフトウェア
IDSM-2 に対して SPAN をイネーブルにするには、特権モードで set span コマンドを使用します。
(注) IDSM-2 ポート番号は、7 または 8 に限られます。
次のオプションが適用されます。
• disable :ポート モニタリングをディセーブルにします。
• module/port :送信元モジュール番号およびポート番号。
• vlan :送信元 VLAN 番号。
• module/port :宛先モジュール番号およびポート番号。
• both :トラフィックの受信および転送の両方。
• filter :VLAN にフィルタを適用します。
• inpkts :宛先ポートへのパケット着信をイネーブル/ディセーブルにします。
• learning :MAC アドレス ラーニングをイネーブル/ディセーブルにします。
• multicast :マルチキャスト トラフィックをイネーブル/ディセーブルにします。
• rx :トラフィックの受信。
• session :SPAN セッションのセッション番号。
• tx :トラフィックの送信。
IDSM-2 上の SPAN をイネーブルにするには、次の手順を実行します。
ステップ 1 コンソールにログインします。
ステップ 2 特権モードに入ります。
ステップ 3 IDSM-2 に対して SPAN をイネーブルにします。
•送信元ポートから
cat6k> (enable) set span 3/3 13/7
Direction : transmit/receive
Incoming Packets: disabled
(注) 送信元トランク ポートで特定の VLAN のトラフィックを監視するには、filter キーワードを使用します。
•VLAN から
cat6k> (enable) set span 650 13/7 rx
Oper Source : Port 11/1,13/1
Incoming Packets: disabled
ステップ 4 SPAN セッションを表示します。
cat6k> (enable) show span
Oper Source : Port 11/1,13/1
Incoming Packets: disabled
Total local span sessions: 1
ステップ 5 IDSM-2 にトラフィックを送信している SPAN セッションをディセーブルにするには、次のように入力します。
cat6k> (enable) set span disable session 1
This command will disable your span session.
Do you want to continue (y/n) [n]? y
Disabled Port 13/7 to monitor receive traffic of VLAN 650
(注) SPAN の詳細については、『Catalyst 6500 Series Switch Command Reference』を参照してください。
Cisco IOS ソフトウェア
IDSM-2 上で SPAN をイネーブルにするには、グローバル コンフィギュレーション モードで monitor session コマンドを使用します。
(注) IDSM-2 データ ポート番号には、1 または 2 を使用します。
次のオプションが適用されます。
• interface :SPAN 送信元インターフェイス
• remote :SPAN 送信元リモート
• vlan :SPAN 送信元 VLAN
• GigabitEthernet :ギガビット イーサネット IEEE 802.3z
• Port-channel :インターフェイスのイーサネット チャネル
• , :インターフェイスの別の範囲を指定
• - -:インターフェイスの範囲を指定
• both :受信および送信トラフィックを監視
• rx :受信トラフィックのみを監視
• tx :送信トラフィックのみを監視
• intrusion-detection-module :SPAN 宛先侵入検出モジュール
• destination :SPAN 宛先インターフェイスまたは VLAN
• filter :SPAN フィルタ VLAN
• source :SPAN 送信元インターフェイス、VLAN
• type :モニタ セッションのタイプ
IDSM-2 上の SPAN をイネーブルにするには、次の手順を実行します。
ステップ 1 コンソールにログインします。
ステップ 2 グローバル コンフィギュレーション モードに入ります。
switch# configure terminal
ステップ 3 モニタ セッションの送信元インターフェイスを設定します。
switch (config)# monitor session (session_number) source interface interface/port_number [, | - | rx | tx | both]
例
switch (config)# monitor session 1 source interface GigabitEthernet2/23 both
ステップ 4 IDSM-2 データ ポートを SPAN 宛先としてイネーブルにします。
switch (config)# monitor session (session_number) destination intrusion-detection-module module_number data-port data_port_number
例
switch (config)# monitor session 1 destination intrusion-detection-module 9 data-port 1
ステップ 5 (オプション)モニタ セッションをディセーブルにするには、次のように入力します。
switch (config)# no monitor session session_number
ステップ 6 (オプション)スイッチ ポート トランクから特定の VLAN のみが見えるように SPAN セッションをフィルタリングするには、次のように入力します。
switch (config)# monitor session (session_number) {filter vlan {vlan_ID
} [, | - ]}
例
switch (config)# monitor session 1 filter vlan 146
ステップ 7 コンフィギュレーション モードを終了します。
ステップ 8 現在のモニタ セッションを表示するには、次のように入力します。
switch # show monitor session session_number
例
switch # show monitor session 1
Destination Ports : intrusion-detection-module 9 data-port 1
(注) SPAN の詳細については、『Catalyst 6500 Series Cisco IOS Command Reference』を参照してください。
VACL の設定
Cisco IOS ソフトウェアを使用している場合、1 つの VLAN または複数の VLAN から、あるいは 7600 ルータの FLexWAN2 ポートから IPS 用のトラフィックを取り込むように VACL を設定できます。
この項では、次のトピックについて説明します。
• 「Catalyst ソフトウェア」
• 「Cisco IOS ソフトウェア」
Catalyst ソフトウェア
(注) ポート 1 は、TCP リセット ポートとして設定されます。ポート 7 および 8 は、センシング ポートで、セキュリティ ACL キャプチャ ポートとして設定できます。Catalyst Software 8.4(1) 以前のリリースでは、デフォルトで、ポート 7 および 8 はトランク ポートとして設定され、セキュリティ ACL にキャプチャ機能が適用されたすべての VLAN にトランク接続します。特定の VLAN からのトラフィックだけを監視する場合は、監視しない VLAN をクリアして、ポート 7 および 8 にトランク接続されないようにする必要があります。
セキュリティ ACL キャプチャ ポートを設定するには、 set security acl コマンドを使用します。
次のオプションが適用されます。
• ACL :セキュリティ ACL 機能を設定します。
– capture-port :ACL キャプチャ用のポートを設定します。
– cram :セキュリティ ACL クラムを設定します。
– ip :IP セキュリティ ACL 機能を設定します。
– ipx :IPX セキュリティ ACL 機能を設定します。
– mac :MAC セキュリティ ACL 機能を設定します。
– map :セキュリティ ACL を VLAN マッピングに設定します。
• permit :転送するパケットを指定します。
• deny :拒否するパケットを指定します。
• redirect :ポートに転送するパケットを指定します。
• before :編集バッファ内の指定された ACE の前に ACE を挿入します。
• capture :このフローのコピーをキャプチャ ポートに作成します。
• modify :編集バッファ内の指定された ACE を変更します。
VLAN 上の IPS トラフィックを取り込むように VACL を設定するには、次の手順を実行します。
ステップ 1 コンソールにログインします。
ステップ 2 特権モードに入ります。
ステップ 3 トラフィックを取り込むために VACL を作成します。許可、拒否、および取り込むトラフィックを指定します。
cat6k> (enable) set security acl ip acl_name permit ip [permit (...) | deny (...)] capture
(注) 許可したトラフィックのみを取り込むことができます。トラフィックを許可するが、取り込まない場合は、capture キーワードを使用しないでください。
例
console> (enable) set security acl ip CAPTUREALL permit ip any any capture
CAPTUREALL editbuffer modified. Use 'commit' command to apply changes.
ステップ 4 VACL を適用します。
console> (enable) commit security acl CAPTUREALL
VACL を適用すると、VACL および関連 ACE が NVRAM に書き込まれます。
ステップ 5 VACL を VLAN にマッピングします。
console> (enable) set security acl map acl_name vlan_number
例
console> (enable) set security acl map CAPTUREALL 650
ACL CAPTUREALL successfully mapped to VLAN 650.
ステップ 6 IDSM-2 ポート(ポート 7 または 8)をキャプチャ ポートとして設定します。
console> (enable) set security acl capture module_number/port_number
例
console> (enable) set security acl capture 2/13
Successfully set 2/13 to capture ACL traffic.
(注) トランク ポートおよび ACL の詳細については、『Catalyst 6500 Series Switch Command Reference』を参照してください。
Cisco IOS ソフトウェア
VLAN 上の IPS トラフィックを取り込むように VACL を設定するには、次のコマンドを使用します。
次のオプションが適用されます。
• ip access-list :名前付きアクセス リスト
– extended :拡張アクセス リスト
– hardware :ハードウェア フラグメント処理のイネーブル化
– log-update :アクセス リスト ログのアップデートの制御
– logging :アクセス リストのロギングの制御
– resequence :アクセス リストの再シーケンス
– standard :標準アクセス リスト
VLAN 上の IPS トラフィックを取り込むように VACL を設定するには、次の手順を実行します。
ステップ 1 コンソールにログインします。
ステップ 2 グローバル コンフィギュレーション モードに入ります。
switch# configure terminal
ステップ 3 ACL を定義します。
switch (config)# ip access-list [standard | extended] acl_name
例
switch(config)# ip access-list standard CAPTUREALL
switch(config-std-nacl)# exit
ステップ 4 VLAN アクセス マップを定義します。
switch(config)# vlan access-map map_name [0-65535]
ステップ 5 VLAN アクセス マップ シーケンスに match 句を設定します。
switch (config-access-map)# match [ip address {1-199 | 1300-2699 | acl_name}]
ステップ 6 VLAN アクセス マップ シーケンスに action 句を設定して、先行する match 句に付加します。
switch(config-access-map)# action forward capture
ステップ 7 VLAN アクセス マップを指定された VLAN に適用します。
switch (config)# vlan filter map_name vlan-list vlan_list
ステップ 8 取り込まれたフラグ付きトラフィックを取り込むように IDSM-2 データ ポートを設定します。
switch (config)# intrusion-detection module module_number data-port data_port_number capture allowed-vlan capture_vlans
(注) スイッチでトラフィックをルーティングしている場合は、ルーティングされる VLAN すべてを監視するように IDSM-2 を設定します。VACL を FlexWan2 ポートに適用する場合は、すべての VLAN を監視するように IDSM-2 を設定する必要があります。
ステップ 9 IDSM-2 上のキャプチャ機能をイネーブルにします。
switch (config)# intrusion-detection module module_number data-port data_port_number capture
次の例は、 show run コマンドの出力を示します。
intrusion-detection module 4 data-port 1 capture allowed-vlan 450,1002-1005
intrusion-detection module 4 data-port 1 capture
vlan access-map CAPTUREALL 10
match ip address MATCHALL
ip access-list extended MATCHALL
Catalyst ソフトウェア
MSFC で Cisco IOS ファイアウォールを動作させている場合は、VACL を使用して IDSM-2 のトラフィックを取り込むことはできません。これは、Cisco IOS ファイアウォールの IP 検査ルールを適用した VLAN には VACL が適用できないからです。しかし、 mls ip ids コマンドを使用して、取り込むパケットを指定することはできます。ACL によって許可されたパケットが取り込まれます。ACL によって拒否されたパケットは取り込まれません。permit/deny パラメータは、宛先ポートへのパケットの転送に影響を与えません。そのルータ インターフェイスに到着するパケットが IPS ACL に照らしてチェックされ、それらを取り込むかどうかが判断されます。 mls ip ids コマンドは、スーパーバイザ コンフィギュレーションではなく、MSFC コンフィギュレーションの一部として適用されます。 mls ip ids コマンドでは、着信トラフィックのみが取り込まれます。 mls ip ids コマンドは、クライアント側のルータ インターフェイスとサーバ側のルータ インターフェイスの両方で使用する必要があります。これにより、接続の両方向で取り込まれるようになります。
mls ip ids コマンドを使用して IPS トラフィックを取り込むには、次の手順を実行します。
ステップ 1 MSFC にログインします。
ステップ 2 特権モードに入ります。
ステップ 3 コンフィギュレーション モードに入ります。
switch# configure terminal
ステップ 4 ACL を設定して、取り込むパケットを指定します。
switch(config)# ip access-list extended word
ステップ 5 取り込んだパケットを伝送するインターフェイスを選択します。
switch(config)# interface interface_name
ステップ 6 ステップ 4 で作成した ACL を、ステップ 5 で選択したインターフェイスに適用します。
switch(config-if)# mls ip ids word
ステップ 7 スーパーバイザ エンジンにログインします。
ステップ 8 特権モードに入ります。
ステップ 9 スーパーバイザ エンジンで、IDSM-2 モニタ ポート(ポート 7 または 8)を VACL キャプチャ リストに追加します。
cat6k> (enable) set security acl capture module_number/port_number
注意 IDSM-2 が、
mls ip ids コマンドによってマークが付けられたパケットすべてを取り込むには、IDSM-2 のポート 7 または 8 が、パケットのルーティング先の VLAN すべてのメンバーでなければなりません。
Cisco IOS ソフトウェア
ポートを、スイッチ ポートではなく、ルータ インターフェイスとして使用している場合は、VACL を適用する VLAN はありません。
mls ip ids コマンドを使用すると、取り込むパケットを指定することができます。ACL によって許可されたパケットが取り込まれます。ACL によって拒否されたパケットは取り込まれません。permit/deny パラメータは、宛先ポートへのパケットの転送に影響を与えません。そのルータ インターフェイスに到着するパケットが IPS ACL に照らしてチェックされ、それらを取り込むかどうかが判断されます。
mls ip ids コマンドを使用して IDS トラフィックを取り込むには、次の手順を実行します。
ステップ 1 コンソールにログインします。
ステップ 2 グローバル コンフィギュレーション モードに入ります。
switch# configure terminal
ステップ 3 ACL を設定して、取り込むパケットを指定します。
switch(config)# ip access-list extended word
ステップ 4 取り込んだパケットを伝送するインターフェイスを選択します。
switch(config)# interface interface_name
ステップ 5 キャプチャ VLAN を指定します。
switch(config)# intrusion-detection module module_number data-port data_port_number capture allowed-vlan capture_vlans
例
switch(config)# intrusion-detection module 4 data-port 1 capture allowed-vlan 165
ステップ 6 ステップ 4 で作成した ACL を、ステップ 5 で選択したインターフェイスに適用します。
switch(config-if)# mls ip ids word
注意 IDSM-2 が、
mls ip ids コマンドによってマークされたすべてのパケットを取り込むには、IDSM-2 のデータ ポート 1 または 2 が、パケットのルーティング先の VLAN すべてのメンバーでなければなりません。
IDSM-2 用の Catalyst 6500 シリーズ スイッチのインライン モードでの設定
IDM または CLI を使用して、2 つの離れた VLAN(IDM-2 の両側それぞれに 1 つの VLAN)の間でインライン モードで動作するように IDSM-2 を設定できます。インライン モード用の IDSM-2 を準備するには、スイッチと IDSM-2 を設定する必要があります。まずスイッチを設定して、その後インライン モード用の IDSM-2 インターフェイスを設定します。混合モードまたはインライン モードで動作するように IDSM-2 を設定するための手順については、 第5章「インターフェイスの設定」 を参照してください。
この項では、次のトピックについて説明します。
• 「Catalyst ソフトウェア」
• 「Cisco IOS ソフトウェア」
Catalyst ソフトウェア
IDSM-2 モニタリング ポートを、Supervisor Engine 1a、Supervisor Engine 2、Supervisor Engine 32、または Supervisor Engine 720 を備えた Catalyst ソフトウェア 8.4(1) 以上に対するインライン動作用のトランク ポートとして設定します。ネイティブ VLAN はトランク接続される唯一の VLAN と同じであるので、トラフィックは 802.1q カプセル化されていません。
注意 IDSM-2 ポート 7 および 8 のデフォルト コンフィギュレーションでは、すべての VLAN 1 ~ 4094 をトランク接続します。IDSM-2 コンフィギュレーションをクリアすると(
clear configuration
module_number)、IDSM-2 はすべての VLAN をトランク接続します。IDSM-2 インターフェイスがインライン用に設定されている場合、スパニング ツリー ループが作成されてストームが発生する可能性があります。ストームとは数多くのパケットのループであり、それらのパケットが宛先に到達することはありません。
IDSM-2 上にインライン モード用のモニタリング ポートを設定するには、次の手順を実行します。
ステップ 1 コンソールにログインします。
ステップ 2 特権モードに入ります。
ステップ 3 各 IDSM-2 モニタリング ポートにネイティブ VLAN を設定します。
cat6k (enable)> set vlan vlan_number slot_number/port_number
例
cat6k (enable)> set vlan 651 9/7
cat6k (enable)> set vlan 652 9/8
ステップ 4 各 IDSM-2 モニタリング ポートからすべての VLAN をクリアします。ただし、各ポートのネイティブ VLAN(ポート 7 の場合は 651、ポート 8 の場合は 652)は除きます。
cat6k (enable)> clear trunk slot_number/port_number vlan_range
例
cat6k (enable)> clear trunk 9/7 1-650,652-4094
cat6k (enable)> clear trunk 9/8 1-651,653-4094
ステップ 5 IDSM-2 モニタリング ポートの Bpdu スパンツリー フィルタリングをイネーブルにします。
cat6k (enable)> set spantree bpdu-filter 6/7-8 enable
(注) IPS 5.0(2) の場合は、このステップは省略します。
Cisco IOS ソフトウェア
(注) Supervisor Engine 720 を備えた Cisco IOS ソフトウェア 12.2(18)SXE は、2 つの VLAN 間では 1 つの IDSM-2 インラインのみをサポートします。
IDSM-2 モニタリング ポートをインライン動作用のアクセス ポートとして設定します。
(注) Etherchannelling インライン IDSM-2 は、Cisco IOS ではまだサポートされていません。
インライン VLAN を設定するには、次の手順を実行します。
ステップ 1 コンソールにログインします。
ステップ 2 グローバル コンフィギュレーション モードに入ります。
switch# configure terminal
ステップ 3 インライン IDSM-2 のそれぞれの側に 1 つずつ、2 つの VLAN を作成します。
switch(config)# vlan vlan_number
switch(config)# name vlan_name
ステップ 4 各インライン VLAN 上の各インターフェイスに IOS アクセス ポートをまだ設定していない場合は、設定します。
a. グローバル コンフィギュレーション モードに入ります。
switch# configure terminal
b. 設定する IOS インターフェイスを選択します。
switch(config)# interface interface_name
c. インターフェイスの目的が分かるように説明を入力します。
switch(config-if)# description description
d. インターフェイスをレイヤ 2 スイッチ ポートとして設定します。
switch(config-if)# switchport
e. アクセス モード VLAN を設定します。
switch(config-if)# switchport access vlan vlan_number
f. アクセス ポートとするインターフェイス/ポートを設定します。
switch(config-if)# switchport mode access
g. グローバル コンフィギュレーション モードを終了します。
ステップ 5 ステップ 3 で作成した 2 つの VLAN それぞれの上に 1 つの IDSM-2 データ ポートを設定します。
switch# configure terminal
switch(config)# intrusion-detection module slot_number data-port data_port_number access-vlan vlan_number
ステップ 6 コンフィギュレーションを確認します。
(注) 次の例では、スロット 13 の IDSM-2 は、VLAN 661 および 662 の間でインラインです。IDSM-2 データ ポート 1 は VLAN 661 上にあり、データ ポート 2 は VLAN 662 上にあります。
a. IDSM-2 侵入検出設定を確認します。
switch# show run | include intrusion-detection
intrusion-detection module 13 management-port access-vlan 147
intrusion-detection module 13 data-port 1 access-vlan 661
intrusion-detection module 13 data-port 2 access-vlan 662
b. IDSM-2 データ ポート 1 が VLAN 661 上のアクセス ポートであることを確認します。
switch# show intrusion-detection module slot_number data-port data_port_number state
例
switch# show intrusion-detection module 13 data-port 1 state
Intrusion-detection module 13 data-port 1:
Administrative Mode: static access
Operational Mode: static access
Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: native Negotiation of Trunking: Off Access Mode VLAN: 661 (inline-vlan-1) Trunking Native Mode VLAN: 1 (default) Trunking VLANs Enabled: NONE Pruning VLANs Enabled: 2-1001 Vlans allowed on trunk:661 Vlans allowed and active in management domain: 661 Vlans in spanning tree forwarding state and not pruned: 661
Administrative Capture Mode: Disabled
Administrative Capture Allowed-vlans: <empty>
c. VLAN 番号を確認します。
switch# show vlan id vlan_number
例
---- -------------------------------- --------- -------------------------------
661 ward-attack3 active Gi3/2, Gi13/d1
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
661 enet 100661 1500 - - - - - 0 0
Primary Secondary Type Ports
------- --------- ----------------- ------------------------------------------
EtherChanneling の設定
この項では、IDSM-2 に Cisco IOS ソフトウェア用の EtherChanneling を設定する方法について説明します。取り上げる事項は次のとおりです。
• 「概要」
• 「EtherChanneling のイネーブル化」
• 「EtherChanneling のディセーブル化」
• 「EtherChanneling の確認」
概要
Catalyst 6500 シリーズ シャーシのスーパーバイザ エンジンは、IPS 5.0 を EtherChannel デバイスとして実行している IDSM-2 デバイスを認識します。これによって、最大 8 個の IDSM-2 デバイスを同一シャーシに取り付けることができます。
Catalyst 6500 シリーズ スイッチの IDSM-2 には、8 個の内部ポートがあります。これらのポートのうち、4 個のみが使用されます。ポート 1 は、TCP/IP リセット ポートです。ポート 2 は、コマンド/コントロール ポートです。ポート 7 および 8 は Catalyst ソフトウェア用のセンシング ポートで、データ ポート 1 および 2 は Cisco IOS ソフトウェア用です。その他のポートは使用されません。
バックプレーンは 1000 Mbps です。これが、IDSM-2 は約 600 Mbps のパフォーマンスしか処理できない場合でも、IDSM-2 が 1000 Mbps を示す理由です。EtherChannel 機能により、最大 8 台の IDSM-2 デバイスが、ポート 7 または 8 のいずれかのロード バランシングに参加できるようになります。
(注) IDSM-2 の EtherChannel ロード バランシングは、Cisco IOS ソフトウェアでのみサポートされています。Cisco Catalyst ソフトウェア用の EtherChannel ロード バランシングを IDSM-2 に設定するための手順については、これをサポートする Catalyst リリースが使用可能になるときに提供されます。
EtherChanneling のイネーブル化
(注) EtherChannel ロード バランシングを IDSM-2 に設定するには、Cisco IOS 12.2(18)SXE をインストールし、Supervisor Engine 720 を装備する必要があります。Cisco IOS は、VACL キャプチャ(SPAN でも監視でもない)を使用する混合 DSM-2 EtherChanneling のみをサポートします。
EtherChannel は、フレーム内のアドレスから形成されるバイナリ パターンの部分を、チャネル内のリンクの 1 つを選択する数値に縮小して、EtherChannel 内のリンクを越えてトラフィック ロードをバランスさせます。
EtherChannel ロード バランシングでは、MAC アドレス、IP アドレス、またはレイヤ 4 ポート番号が使用できます。アドレスまたはポートは、送信元または宛先のアドレスまたはポートでも、送信元および宛先の両方のアドレスまたはポートでもかまいません。選択されたモードがスイッチに設定されている EtherChannel すべてに適用されます。EtherChannel ロード バランシングでは、MPLS レイヤ 2 情報も使用できます。
使用しているコンフィギュレーションにおいて非常に多様なバランス基準を与えるオプションが使用できます。たとえば、EtherChannel 上のトラフィックが 1 つの MAC アドレスだけに送信され、その宛先 MAC アドレスを EtherChannel ロード バランシングの基準とする場合、EtherChannel は常にその EtherChannel 内の同じリンクを選択します。送信元アドレスまたは IP アドレスを使用すると、ロード バランシングが向上する場合があります。
EtherChanneling の詳細については、『 Catalyst 6500 Series Cisco IOS Software Configuration Guide, 12.2SX 』を参照してください。
EtherChannel ロード バランシングを IDSM-2 に設定するには、次の手順を実行します。
ステップ 1 混合動作用に各 IDSM-2 を設定します。
手順については、 第5章「インターフェイスの設定」 を参照してください。
(注) IDSM-2 EtherChanneling を設定する前に、IDSM-2 VACL キャプチャ、あるいは SPAN またはモニタ コンフィギュレーションの行がすべて、削除されていることを確認します。
ステップ 2 コンソールにログインします。
ステップ 3 グローバル コンフィギュレーション モードに入ります。
switch# configure terminal
ステップ 4 VACL を作成します。
switch(config)# ip access-list extended vacl_name
ステップ 5 任意のアクセス コントロール エントリ(たとえば、 permit any any
)を追加します。
switch(config-ext-nacl)# permit ip any any
ステップ 6 少なくとも 1 つの VLAN アクセス マップ シーケンスを作成します。
switch(config-ext-nacl)# vlan access-map vlan_access_map_name sequence_number
switch(config-access-map)# match ip address vacl_name
switch(config-access-map)# action forward capture
ステップ 7 VLAN アクセス マップを VLAN に適用します。
switch(config-access-map)# vlan filter vlan_access_map_name vlan-list vlan_list
ステップ 8 各 IDSM-2 に対して、目的のデータ ポートを目的の EtherChannel に追加します。
switch(config)# intrusion-detection module module_number data-port data_port_number channel-group channel_number
各 EtherChannel には、番号付きのポート チャネル インターフェイスがあります。最大 64 個のポート チャネル インターフェイス(1 ~ 256 の番号を付けて)を設定できます。
ステップ 9 EtherChannel ロード バランシングを設定します。
switch(config)# port-channel load-balance [dst-ip | dst-mac | dst-port | mpls | src-dst-ip | src-dst-mac | src-dst-port | src-ip | src-mac | src-port]
次のオプションが適用されます。
• dst-ip :宛先 IP アドレス
• dst-mac :宛先 MAC アドレス
• dst-port :宛先 TCP/UDP ポート
• mpls :MPLS パケットのロード バランシング
• src-dst-ip :送信元および宛先 IP アドレス
• src-dst-mac :送信元および宛先 MAC アドレス
• src-dst-port :送信元および宛先 TCP/UDP ポート
• src-ip :送信元 IP アドレス
• src-mac :送信元 MAC アドレス
• src-port :送信元 TCP/UDP ポート
デフォルトは src-dst-ip です。これは、EtherChannel が、配布方法として、送信元と宛先の IP アドレスの組み合せを使用することを意味します。
ステップ 10 ロード バランシングを確認します。
cat6k# show etherchannel load-balance
EtherChannel Load-Balancing Configuration:
EtherChannel Load-Balancing Addresses Used Per-Protocol:
Non-IP: Source XOR Destination MAC address
IPv4: Source XOR Destination IP address
IPv6: Source XOR Destination IP address
ステップ 11 取り込む VLAN を EtherChannel に設定します。
switch(config)# intrusion-detection port-channel channel_number capture allowed-vlan vlan_list
ステップ 12 EtherChannel に対してキャプチャをイネーブルにします。
switch(config)# intrusion-detection port-channel channel_number capture
ステップ 13 グローバル コンフィギュレーション モードを終了します。
ステップ 14 変更内容を保存するには、次のように入力します。
EtherChanneling のディセーブル化
IDSM-2 EtherChanneling をディセーブルにするには、次の手順を実行します。
ステップ 1 コンソールにログインします。
ステップ 2 グローバル コンフィギュレーション モードに入ります。
switch# configure terminal
ステップ 3 EtherChannel から 1 つの IDSM-2 を削除するには、次のように入力します。
switch(config)# no intrusion-detection module module_number data-port data_port_number channel-group channel_number
ステップ 4 EtherChannel 全体を削除するには、次のように入力します。
(注) IDSM-2 用の VACL キャプチャ コマンドは残ります。
switch(config)# no intrusion-detection module port-channel channel_number
EtherChanneling の確認
IDSM-2 EtherChannel コンフィギュレーションを確認するには、次の手順を実行します。
ステップ 1 コンソールにログインします。
ステップ 2 すべての EtherChannel を表示するには、次のように入力します。
switch# show etherchannel
Port-channels: 1 Max Port-channels = 1
ステップ 3 特定の EtherChannel のステータスを表示するには、次のように入力します。
switch# show etherchannel 1 [summary | detail | port | port-channel | protocol]
例
switch# show etherchannel 1 summary
Flags: D - down P - in port-channel
I - stand-alone s - suspended
H - Hot-standby (LACP only)
U - in use f - failed to allocate aggregator
u - unsuitable for bundling
Number of channel-groups in use: 1
Group Port-channel Protocol Ports
------+-------------+-----------+----------------------------
ステップ 4 EtherChannel ロード バランスの設定を表示するには、次のように入力します。
switch# show etherchannel load-balance
EtherChannel Load-Balancing Configuration:
EtherChannel Load-Balancing Addresses Used Per-Protocol:
Non-IP: Source XOR Destination MAC address
IPv4: Source XOR Destination IP address
IPv6: Source XOR Destination IP address
ステップ 5 IDSM-2 データ ポート情報を表示するには、次のように入力します。
switch# show intrusion-detection module module_number data-port data_port_number state
Intrusion-detection module 11 data-port 2:
Administrative Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: Off
Access Mode VLAN: 662 (ward-victim3)
Trunking Native Mode VLAN: 1 (default)
Trunking VLANs Enabled: NONE
Pruning VLANs Enabled: 2-1001
Vlans allowed on trunk:none
Vlans allowed and active in management domain: none
Vlans in spanning tree forwarding state and not pruned:
Administrative Capture Mode: Disabled
Administrative Capture Allowed-vlans: empty
IDSM-2 の管理タスク
この項では、IDSM-2 の管理タスクに役立つ手順について説明します。取り上げる事項は次のとおりです。
• 「全メモリ テストのイネーブル化」
• 「IDSM-2 のリセット」
全メモリ テストのイネーブル化
IDSM-2 を最初にブートするときに、デフォルトでは部分的なメモリ テストが実行されます。Catalyst ソフトウェアおよび Cisco IOS ソフトウェアで全メモリ テストをイネーブルにできます。
この項では、次のトピックについて説明します。
• 「Catalyst ソフトウェア」
• 「Cisco IOS ソフトウェア」
Catalyst ソフトウェア
全メモリ テストをイネーブルにするには、 set boot device boot_sequence module_number mem-test-full コマンドを使用します。全メモリ テストには約 12 分かかります。
全メモリ テストをイネーブルにするには、次の手順を実行します。
ステップ 1 コンソールにログインします。
ステップ 2 特権モードに入ります。
ステップ 3 全メモリ テストをイネーブルにします。
cat6k> (enable) set boot dev cf:1 3 mem-test-full
Device BOOT variable = cf:1
Warning: Device list is not verified but still set in the boot string.
console> (enable) set boot dev hdd:1 3 mem-test-full
Device BOOT variable = hdd:1
Warning: Device list is not verified but still set in the boot string.
set boot device コマンドには、 cf:1 または hdd:1 を指定できます。
ステップ 4 IDSM-2 をリセットします。
手順については、「IDSM-2 のリセット」を参照してください。
全メモリ テストを実行します。
(注) 全メモリ テストは、部分的なメモリ テストよりも完了に時間がかかります。
Cisco IOS ソフトウェア
全メモリ テストをイネーブルにするには、 hw-module module module_number reset mem-test-full コマンドを使用します。全メモリ テストには約 12 分かかります。
全メモリ テストをイネーブルにするには、次の手順を実行します。
ステップ 1 コンソールにログインします。
ステップ 2 全メモリ テストをイネーブルにします。
switch# hw-module module 9 reset mem-test-full
Device BOOT variable for reset = <empty>
Warning: Device list is not verified.
Proceed with reload of module?[confirm]
% reset issued for module 9
ステップ 3 IDSM-2 をリセットします。
手順については、 「IDSM-2 のリセット」 を参照してください。
全メモリ テストを実行します。
(注) 全メモリ テストは、部分的なメモリ テストよりも完了に時間がかかります。
IDSM-2 のリセット
何らかの理由で、SSH、Telnet、またはスイッチの session コマンドを使用して IDSM-2 と通信できない場合は、スイッチ コンソールから IDSM-2 をリセットする必要があります。リセット処理には数分かかります。
この項では、次のトピックについて説明します。
• 「Catalyst ソフトウェア」
• 「Cisco IOS ソフトウェア」
Catalyst ソフトウェア
CLI から IDSM-2 をリセットするには、次の手順を実行します。
ステップ 1 コンソールにログインします。
ステップ 2 特権モードに入ります。
ステップ 3 アプリケーション パーティションまたはメンテナンス パーティションに IDSM-2 をリセットします。
cat6k> (enable) reset module_number [hdd:1 | cf:1]
(注) アプリケーション パーティション(hdd:1 デフォルト)もメンテナンス パーティション(cf:1)も指定しないと、IDSM-2 はブート デバイス変数を使用します。
次の例は、 reset コマンドの出力を示します。
2003 Feb 01 00:18:23 %SYS-5-MOD_RESET: Module 3 reset from console//
Resetting module 3... This may take several minutes.
2003 Feb 01 00:20:03 %SYS-5-MOD_OK: Module 3 is online.
注意 IDSM-2 を先にシャットダウンしないでスイッチ シャーシから取り外した場合、またはシャーシの電源が切れた場合は、IDSM-2 のリセットを複数回行うことが必要な場合があります。リセット操作を 3 回繰り返しても IDSM-2 が反応しない場合は、メンテナンス パーティションをブートし、アプリケーション パーティションの復元手順を実行してください。手順については、
「IDSM-2 システム イメージのインストール」を参照してください。
Cisco IOS ソフトウェア
(注) リセット処理には数分かかります。
CLI から IDSM-2 をリセットするには、次の手順を実行します。
ステップ 1 コンソールにログインします。
ステップ 2 IDSM-2 をリセットします。
switch# hw-module module module_number reset [hdd:1 | cf:1]
(注) アプリケーション パーティション(hdd:1 デフォルト)もメンテナンス パーティション(cf:1)も指定しないと、IDSM-2 はブート デバイス変数を使用します。
次の例は、 reset コマンドの出力を示します。
switch# hw-module module 8 reset
Device BOOT variable for reset =
Warning: Device list is not verified.
Proceed with reload of module? [confirm]
% reset issued for module 8
Catalyst および Cisco IOS ソフトウェアのコマンド
この項では、IDSM-2 に関係する Catalyst ソフトウェアおよび Cisco IOS ソフトウェアのコマンドを示します。
(注) Catalyst および Cisco IOS ソフトウェア コマンドの詳細については、Cisco.com にあるコマンド リファレンスを参照してください。これらの文書の検索方法については、IDSM-2 に付属する『Documentation Roadmap for Cisco Intrusion Prevention System 5.1 』を参照してください。
この項では、次のトピックについて説明します。
• 「Catalyst ソフトウェア」
• 「Cisco IOS ソフトウェア」
サポートされているスーパーバイザ エンジン コマンド
IDSM-2 は、次のスーパーバイザ エンジン CLI コマンドもサポートしています。このコマンドの詳細は、Catalyst 6500 シリーズのコマンド リファレンスに記載されています。
• clear config module_number
指定された IDSM-2 に関連付けられたスーパーバイザ エンジンのコンフィギュレーションをクリアします。
• clear log module_number
指定された IDSM-2 に関するエラー ログのエントリをすべて削除します。
• session slot_number
スイッチ コンソールから IDSM-2 のコンソールにログインします。
• set module コマンド(他のすべての set module コマンドはエラー メッセージを返します)。
– set module name module_number
モジュールの名前を設定します。
– set module power module_number [ up | down]
指定された IDSM-2 の電源をイネーブルまたはディセーブルにします。
• set port name module_number
指定された IDSM-2 ポートの名前を設定します。
• set span
ポート 1 を SPAN 宛先ポートとして設定します。IDSM-2 上のポート 1 は、SPAN 発信元ポートとして使用できません。
• set trunk
トランク ポートを設定します。
• set vlan
VLAN キャプチャ ポートを設定します。
• show config
スーパーバイザ エンジン NVRAM コンフィギュレーションを表示します。
• show log
指定された IDSM-2 のエラー ログを表示します。
• show mac module_number
指定された IDSM-2 の MAC カウンタを表示します。
• show module module_number
IDSM-2 が取り付けられている場合は、Module-Type に「Intrusion Detection System Module」が表示されます。
• show port module_number
指定された IDSM-2 のポート ステータスを表示します。
• show port capabilities [ module | module_number ]
モジュールおよびポートの機能を表示します。
• show test
SPAN ポート(ポート 1)および管理ポート(ポート 2)の両方の診断テストから報告されたエラーと、BIOS および CMOS のブート結果を表示します。
サポートされていないスーパーバイザ エンジン コマンド
次のスーパーバイザ エンジン CLI コマンドは、IDSM-2 ではサポートされていません。
• set module [ enable | disable ] module_number
• set port broadcast
• set port channel
• set port cops
• set port disable
• set port enable
• set port flowcontrol
• set port gmrp
• set port gvrp
• set port host
• set port inlinepower
• set port jumbo
• set port membership
• set port negotiation
• set port protocol
• set port qos
• set port rsvp
• set port security
• set port speed
• set port trap
• set protocolfilter
• set rgmp
• set snmp
• set spantree
• set udld
• set vtp
Cisco IOS ソフトウェア
この項では、IDSM-2 がサポートしている Cisco IOS ソフトウェア コマンドを示します。これらのコマンドは、モードに従ってグループ化されています。
この項では、次のトピックについて説明します。
• 「EXEC コマンド」
• 「コンフィギュレーション コマンド」
EXEC コマンド
次のコマンドはすべて、EXEC モードで実行されます。
• clock read-calendar
クロック時刻をカレンダ時刻にアップデートします。
• clock set time date
現在の時刻と日付を設定します。
• clock update-calendar
カレンダ時刻をクロック時刻にアップデートします。
• hw-module module slot_number reset
IDSM-2 を、ブート デバイス変数で指定されたパーティションにリセットします。ブート デバイス変数が設定されていなかった場合、IDSM-2 はデフォルトでアプリケーション パーティションにリセットされます。ブート デバイス変数の現在の設定を表示するには、 show boot device module module_number コマンドを使用します。
• hw-module module slot_number reset cf:1
モジュールをメンテナンス パーティションにリセットします。
• hw-module module slot_number shutdown
モジュールをシャットダウンして、シャーシから安全に取り外しできるようにします。
• reload
スイッチ全体をリロードします。
• session slot slot_number processor processor_number
スイッチ コンソールから IDSM-2 のコンソールにログインします。
• show intrusion-detection module module_number data-port data_port_number state
指定された IDSM-2 データ ポートの状態を表示します。
• show intrusion-detection module module_number data-port data_port_number traffic
IDSM-2 データ ポート トラフィックのトラフィック統計情報を表示します。
• show intrusion-detection module module_number management-port state
IDSM-2 管理ポートの状態を表示します。
• show intrusion-detection module module_number management-port traffic
IDSM-2 管理ポートのトラフィック統計情報を表示します。
• show ip access-lists
現在のアクセス リストを表示します。
• show module
取り付けられているモジュール、バージョン、および状態を表示します。
• show running-config
現在動作しているコンフィギュレーションを表示します。
• show startup-config
保存されているコンフィギュレーションを表示します。
• show vlan access-map
現在の VLAN アクセス マップをすべて表示します。
コンフィギュレーション コマンド
次のコンフィギュレーション コマンドはすべて、グローバル コンフィギュレーション モード、インターフェイス コンフィギュレーション モード、または VACL コンフィギュレーション サブモードのいずれかで実行されます。
• グローバル コンフィギュレーション モード
– clock calendar valid
現在のカレンダ時刻をブートのスイッチ時刻として設定します。
– clock summer-time zone recurring
サマータイム設定を使用するようにスイッチを設定します。
– clock timezone zone offset
スイッチ/IDSM-2 の時間帯を設定します。
– intrusion-detection module module_number management-port access-vlan access_vlan_number
IDSM-2 コマンド/コントロール ポートのアクセス VLAN を設定します。
– intrusion-detection module module_number data-port data_port_number capture allowed-vlan allowed_capture_vlan(s)
VACL キャプチャ用の VLAN を設定します。
– intrusion-detection module module_number data-port data_port_number capture
指定された IDSM-2 データ ポートの VACL キャプチャをイネーブルにします。
– ip access-list extended word
VACL マップで使用するアクセス リストを作成します。
– monitor session session { destination { interface interface interface-number } [ , | -] { vlan vlan-id }}
SPAN セッションの宛先を設定します。
– monitor session session { source { interface interface interface-number } | { vlan vlan-id }} [ , | - | rx | tx | both ]
SPAN セッションの送信元を設定します。
– no power enable module slot_number
IDSM-2 をシャットダウンして、電源を切ります。
– power enable module slot_number
IDSM-2 の電源がまだオンでない場合は、オンにします。
– vlan access-map map_name_sequence
VACL マップを作成します。
– vlan filter map_name vlan-list vlans
VACL マップを VLAN にマッピングします。
• インターフェイス コンフィギュレーション モード
– switchport
インターフェイスをスイッチ ポートとして設定します。
– switchport access vlan vlan
インターフェイスのアクセス VLAN を設定します。
– switchport capture
インターフェイスをキャプチャ ポートとして設定します。
– switchport mode access
インターフェイスをアクセス ポートとして設定します。
– switchport mode trunk
インターフェイスをトランク ポートとして設定します。
– switchport trunk allowed vlan vlans
トランク用の許可された VLAN を設定します。
– switchport trunk encapsulation dot1q
dot1q をカプセル化タイプとして設定します。
– switchport trunk native vlan vlan
トランク ポート用のネイティブ VLAN を設定します。
• VACL コンフィギュレーション サブモード
– action forward capture
一致したパケットを取り込むことを指定します。
– match ip address [ 1-199 | 1300-2699 | acl_name ]
VACL でのフィルタリングを指定します。