- はじめに
- CLI 設定ガイドについて
- センサーへのログイン
- センサーの初期化
- センサーのセットアップ
- 仮想センサーの設定
- インターフェイスの設定
- イベント アクション規則の設定
- シグニチャの定義
- 異常検出の設定
- グローバル相関の設定
- 外部製品インターフェイスの設定
- IP ロギングの設定
- インターフェイスのライブ トラフィックの表示とキャプチャ
- Attack Response Controller でのブロッキ ングとレート制限の設定
- SNMP の設定
- コンフィギュレーション ファイルの操作
- センサーの管理タスク
- AIM IPS の設定
- AIP SSM の設定
- IDSM2 の設定
- NME IPS の設定
- ソフトウェアの入手
- システム イメージのアップグレード、ダウン グレード、およびインストール
- システム アーキテクチャ
- シグニチャ エンジン
- トラブルシューティング
- CLIのエラー メッセージ
- オープン ソース ライセンス ファイル
- 用語集
- 索引
Cisco Intrusion Prevention System Sensor CLI コンフィギュレーション ガイド for IPS 7.0
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月2日
章のタイトル: AIM IPS の設定
AIM IPS の設定
(注) すべての IPS プラットフォームで、許可される同時 CLI セッション数は 10 です。
この章では、AIM IPS を設定し、IPS トラフィックの受信を準備する方法について説明します。その後で、侵入検知を設定できます。この章は、次の内容で構成されています。
•
「AIM IPS およびルータでのインターフェイスの設定」
• 「ハートビート リセットのイネーブル化とディセーブル化」
AIM IPS の設定手順
setup コマンドを実行して AIM IPS を初期化します。
5. ユーザの追加、信頼されるホストの追加など、その他の初期タスクを実行します。
8. AIM IPS をスムーズに実行し続けるための管理タスクを実行します。
9. 新しいシグニチャ アップデートおよびサービス パックで IPS ソフトウェアをアップグレードします。
10. 必要な場合はブート ヘルパーとブートローダのイメージを再作成します。
• インターフェイスを設定する手順については、「AIM IPS およびルータでのインターフェイスの設定」を参照してください。
• AIM IPS にログインする手順については、「セッションの確立」を参照してください。
• AIM IPS で setup コマンドを実行する手順については、「AIM IPS の高度な設定」を参照してください。
• サービス アカウントを作成する手順については、「サービス アカウントの作成」を参照してください。
• センサーを設定する手順については、 「センサーのセットアップ」 を参照してください。
• グローバル相関を設定する手順については、「グローバル相関の設定」を参照してください。
• 侵入防御を設定する手順については、「異常検出の設定」、「イベント アクション規則の設定」、「シグニチャの定義」、および 「Attack Response Controller でのブロッキングとレート制限の設定」 を参照してください。
• グローバル相関を設定する手順については、「グローバル相関の設定」を参照してください。
• センサーをスムーズに実行し続ける手順については、 「センサーの管理タスク」 を参照してください。
• Cisco IPS ソフトウェアの入手の詳細については、「Cisco IPS ソフトウェアの入手方法」を参照してください。
• AIM IPS のイメージを再作成する手順については、「AIM IPS システム イメージのインストール」を参照してください。
インストールの検証とシリアル番号の確認
AIM IPS のインストールを検証するには、特権 EXEC モードで show inventory コマンドを使用します。
(注) このコマンドを使用して、TAC とのトラブルシューティングで使用される AIM IPS のシリアル番号を調べることもできます。シリアル番号は、SN: FOC11372M9X のように PID 行に表示されます。
AIM IPS のインストールを検証するには、次の手順に従います。
ルータにログインします。
ステップ 3 AIM IPS がルータ インベントリに含まれていることを確認します。
ハードウェア インターフェイス
図 18-1 に、内部通信に使用されるルータ インターフェイスと AIM IPS インターフェイスを示します。ルータ インターフェイスは Cisco IOS CLI で設定し、AIM IPS インターフェイスは IPS CLI、IDM、IME、または CSM で設定できます。
図 18-1 AIM IPS インターフェイスとルータ インターフェイス
(注) AIM IPS を設定するには、2 つの IP アドレスが必要です。AIM IPS には、Cisco IPS CLI から設定するコマンド/コントロール IP アドレスがあります。また、AIM IPS への内部インターフェイス(IDS-Sensor 0/x)用の IP アドレスをルータに割り当てます。この IP アドレスはルータ自体に属しており、AIM IPS のコマンド/コントロール インターフェイスへのルーティング トラフィックに使用されます。これは AIM IPS コマンド/コントロール インターフェイスを設定する場合にデフォルトのルータ IP アドレスとして使用されます。
AIM IPS およびルータでのインターフェイスの設定
ここでは、AIM IPS とルータでインターフェイスを設定する方法について説明します。内容は次のとおりです。
• 「アンナンバード IP アドレス インターフェイスの使用」
• 「ルーティング可能な IP アドレス インターフェイスの使用」
AIM IPS インターフェイスの設定
AIM IPS とルータでインターフェイスを設定するには、次の手順に従います。
1. 次のいずれかの方法を使用して、ルータで IPS コマンド/コントロール インターフェイスを設定し、AIM IPS の IP アドレス、マスク、ゲートウェイを設定します。
• IDS-Sensor インターフェイスのアンナンバード IP アドレス
(注) IDS-Sensor インターフェイスのアンナンバード IP アドレスは、モジュールおよびルータのインターフェイスを設定するための推奨方法です。
2. モニタリング インターフェイスをイネーブルにし、無差別またはインラインのいずれであるかを指定し、インターフェイスに ACL を割り当て、モジュールに障害が発生した場合にルータでトラフィックを処理する方法を指定し、モニタリング ACL(任意)を作成します。
• IDS-Sensor インターフェイスでアンナンバード IP アドレスを設定する手順については、「アンナンバード IP アドレス インターフェイスの使用」を参照してください。
• ルーティング可能な IP アドレスを設定する手順については、「ルーティング可能な IP アドレス インターフェイスの使用」を参照してください。
• NAT によるデフォルト モジュール IP アドレスを設定する手順については、「デフォルト IP アドレスと NAT の使用」を参照してください。
• NAT による IP アドレスを設定する手順については、「ユーザ設定の IP アドレスと NAT の使用」を参照してください。F
• モニタリング インターフェイスをイネーブルにする手順については、「ルータ インターフェイスでのモニタリングの設定」を参照してください。
NAT の利点
• 内部ネットワークでプライベート IP アドレスを使用できます。プライベート IP アドレスは、インターネット上でルーティングできません。
• NAT はローカル IP アドレスを他のネットワークから隠蔽するため、攻撃者はホストの実際の IP アドレスを取得できません。
• NAT は、重複 IP アドレスをサポートすることで、IP ルーティングの問題を解決できます。
• ARC と NAT を連携させる方法については、「ARC および NAT」を参照してください。
• NAT を使用するように AIM を設定する手順については、「デフォルト IP アドレスと NAT の使用」を参照してください。
ARC および NAT
NAT を使用して、AIM IPS への管理アクセスを確立する場合、AIM IPS の ARC は、AIM IPS の外部 IP アドレスを認識しません AIM IPS への管理アクセスが、AIM IPS が管理しているデバイスによって中断されないようにするには、ブロッキング デバイスを追加するたびに、AIM IPS の NAT アドレスを宣言する必要があります。
• ARC の詳細については、「Attack Response Controller でのブロッキングとレート制限の設定」を参照してください。
• ブロッキング デバイスを追加するたびに AIM IPS NAT アドレスを設定する手順については、次の手順を参照してください。
– 「Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータを管理するセンサーの設定」
アンナンバード IP アドレス インターフェイスの使用
(注) IDS-Sensor インターフェイスのアンナンバード IP アドレスは、AIM IPS およびルータのインターフェイスを設定するための推奨方法です。
アンナンバード IP アドレス インターフェイスを使用してインターフェイスを設定するには、次の手順に従います。
ルータにログインします。
ステップ 3 ルータのモジュール スロット番号を確認します。
ステップ 4 IDS-Sensor インターフェイスで ip unnumbered コマンドを使用してルータ上で IPS コマンドおよび制御インターフェイスを設定し、外部接続を確立するルータ インターフェイスを指定します。
a. IDS-Sensor インターフェイスがシャット ダウンしていないことを確認します。
(注) IDS-Sensor インターフェイスは 2 つのルータ インターフェイス(IDS-Sensor インターフェイスとその他の指定されたインターフェイス)の間で IP アドレスを共有します。
(注) センサーの IP アドレスと other_router_interface の IP アドレスは同じサブネット上に存在している必要があります。
c. AIM IPS の IP アドレスへのトラフィックを IDS-Sensor インターフェイスに送信するルートを入力します。
ステップ 5 IP アドレス、マスク、およびゲートウェイを設定します。
(注) setup コマンドで AIM IPS を初期化することで、これらのパラメータを設定することもできます。
(注) AIM IPS の IP アドレスのデフォルトは 192.168.1.2/24,192.168.1.1 です。
c. グローバル コンフィギュレーション モードを開始します。
e. コマンド、制御インターフェイス、およびゲートウェイを割り当てます。
(注) ゲートウェイは、ステップ 4b で設定した other_router_interface の IP アドレスにする必要があります。
g. Enter を押して変更を適用するか、 no と入力して変更を破棄します。
• setup コマンドを使用して AIM IPS を初期化する手順については、「AIM IPS の高度な設定」を参照してください。
• ルータから AIM IPS へのセッションの接続と終了の詳細については、「セッションの開閉」を参照してください。
ルーティング可能な IP アドレス インターフェイスの使用
ルーティング可能な IP アドレス インターフェイスを使用してインターフェイスを設定するには、次の手順に従います。
ルータにログインします。
ステップ 3 ルータのモジュール スロット番号を確認します。
ステップ 4 IDS-Sensor インターフェイスで ip unnumbered コマンドを使用してルータ上で IPS コマンドおよび制御インターフェイスを設定し、外部接続を確立するルータ インターフェイスを指定します。
a. IDS-Sensor インターフェイスがシャット ダウンしていないことを確認します。
b. IDS-Sensor インターフェイスの IP アドレスを設定します。
192.168.1.2(AIM IPS のデフォルト ゲートウェイのデフォルト IP アドレス)を使用します。インターフェイスがこの IP アドレスになっていない場合は、AIM IPS にセッション接続できません。
c. AIM IPS の IP アドレスへのトラフィックを IDS-Sensor インターフェイスに送信するルートを入力します。
ステップ 5 AIM IPS の IP アドレス、マスク、およびゲートウェイを設定します。
(注) AIM IPS の IP アドレスのデフォルトは 192.168.1.2/24,192.168.1.1 です。
c. グローバル コンフィギュレーション モードを開始します。
e. コマンド、制御インターフェイス、およびゲートウェイを割り当てます。
g. Enter を押して変更を適用するか、 no と入力して変更を破棄します。
• setup コマンドを使用して AIM IPS を初期化する手順については、「AIM IPS の高度な設定」を参照してください。
• ルータから AIM IPS へのセッションの接続と終了の詳細については、「セッションの開閉」を参照してください。
デフォルト IP アドレスと NAT の使用
デフォルト IP アドレスと NAT を使用してインターフェイスを設定するには、次の手順に従います。
ルータにログインします。
ステップ 3 ルータのモジュール スロット番号を確認します。
ステップ 4 デフォルトのセンサー IP アドレスを使用してルータ上で IPS コマンドおよび制御インターフェイスを設定し、ルータで NAT を実行します。
a. IDS-Sensor インターフェイスがシャット ダウンしていないことを確認します。
b. IDS-Sensor インターフェイスの IP アドレスを設定します(AIM IPS で設定したデフォルト ゲートウェイと一致している必要があります)。
192.168.1.2(AIM IPS のデフォルト ゲートウェイのデフォルト IP アドレス)を使用します。インターフェイスがこの IP アドレスになっていない場合は、AIM IPS にセッション接続できません。
c. AIM IPS の NAT アドレスを設定します(AIM IPS のデフォルト IP アドレスは 192.168.1.2 です)。
(注) aim_external_ip_address の IP アドレスと router_nat_outside_interface の IP アドレスは同じサブネット上に存在している必要があります。AIM IPS の IP アドレスは別のサブネット上に存在している必要があります。
ステップ 5 AIM IPS の IP アドレス、マスク、およびゲートウェイを設定します。
(注) AIM IPS の IP アドレスのデフォルトは 192.168.1.2/24,192.168.1.1 です。
c. グローバル コンフィギュレーション モードを開始します。
e. コマンド、制御インターフェイス、およびゲートウェイを割り当てます。
g. Enter を押して変更を適用するか、 no と入力して変更を破棄します。
• AIM IPS 上で ARC と NAT を連携させる方法の詳細については、「ARC および NAT」を参照してください。
• setup コマンドを使用して AIM IPS を初期化する手順については、「AIM IPS の高度な設定」を参照してください。
• ルータから AIM IPS へのセッションの接続と終了の詳細については、「セッションの開閉」を参照してください。
ユーザ設定の IP アドレスと NAT の使用
ユーザ設定の IP アドレスおよび NAT を使用してインターフェイスを設定するには、次の手順に従います。
ルータにログインします。
ステップ 3 ルータのモジュール スロット番号を確認します。
ステップ 4 デフォルトのセンサー IP アドレスを使用してルータ上で IPS コマンドおよび制御インターフェイスを設定し、ルータで NAT を実行します。
a. IDS-Sensor インターフェイスがシャット ダウンしていないことを確認します。
b. IDS-Sensor インターフェイスの IP アドレスを設定します。
インターフェイスがこの IP アドレスになっていない場合は、AIM IPS にセッション接続できません。
ステップ 5 AIM IPS の IP アドレス、マスク、およびゲートウェイを設定します。
(注) AIM IPS の IP アドレスのデフォルトは 192.168.1.2/24,192.168.1.1 です。
c. グローバル コンフィギュレーション モードを開始します。
e. コマンド、制御インターフェイス、およびゲートウェイを割り当てます。
g. Enter を押して変更を適用するか、 no と入力して変更を破棄します。
• AIM IPS 上で ARC と NAT を連携させる方法の詳細については、「ARC および NAT」を参照してください。
• setup コマンドを使用して AIM IPS を初期化する手順については、「AIM IPS の高度な設定」を参照してください。
• ルータから AIM IPS へのセッションの接続と終了の詳細については、「セッションの開閉」を参照してください。
ルータ インターフェイスでのモニタリングの設定
(注) AIM IPS 内部インターフェイスを仮想センサー(vs0)に追加し、トラフィックをモニタできるようにする必要があります。
モニタするルータ インターフェイスを設定するには、次の手順に従います。
ルータにログインします。
ステップ 3 (任意)ルータのモニタリング アクセス リストを設定します。
標準アクセス リストを設定し、どの種類のトラフィックを検査するかのフィルタリングにそのリストを適用できます。ACL が一致すると、その ACL に対してトラフィックは検査されません。この例では、HTTP トラフィックの検査だけをバイパスします。 access-list コマンドのオプションの詳細については、『Cisco IOS Command Reference』を参照してください。
ステップ 4 インライン モードまたは無差別モードのいずれかでインターフェイスのモニタリングをイネーブルにし、アクセス リストを関連付けます。
(注) インターフェイスにアクセス リストを関連付けることによって、AIM IPS に送信されるトラフィックがさらに制御されます。
ステップ 5 (インライン モードで)ルータのモジュール スロット番号を確認します。
ステップ 6 (インライン モードで)ルータが、モジュールの障害時にトラフィック検査を処理する方法を指定します。
(注) fail-close オプションでは、AIM IPS に障害が発生した場合に、ルータがトラフィックを通過させません。fail-open オプションでは、AIM IPS に障害が発生した場合に、ルータはトラフィックを通過させますが、IPS による検査は実行されません。
• AIM IPS 内部インターフェイスを仮想センサー(vs0)に追加する手順については、「AIM IPS の高度な設定」を参照してください。
• 無差別モードの詳細については、「無差別モードの設定」を参照してください。
• インライン インターフェイス モードの詳細については、「インライン インターフェイス モードの設定」を参照してください。
セッションの確立
AIM IPS には外部コンソール ポートがないため、ルータで service-module ids-sensor slot / port session コマンドを発行するか、ルータへの Telnet 接続を、AIM IPS ポート番号に対応するスロット番号で開始すると、AIM IPS のコンソールにアクセスできるようになります。外部コンソール ポートがないことは、初期ブート設定がルータを通じてのみ可能であることを意味します。
service-module ids-sensor slot / port session コマンドを発行すると、AIM IPS との間にコンソール セッションが作成されます。このセッションで任意の IPS コンフィギュレーション コマンドを発行できます。セッションでの作業を完了し、IPS CLI を終了すると、Cisco IOS CLI に戻ります。
session コマンドを使用すると、IDS-Sensor インターフェイスの IP アドレスを使用して逆方向の Telnet 接続が開始されます。IDS-Sensor インターフェイスは、AIM IPS とルータの間のインターフェイスです。 session コマンドを起動する前に、IDS-Sensor インターフェイスに IP アドレスを割り当てる必要があります。ルーティング可能な IP アドレスを割り当てると、IDS-Sensor インターフェイス自体が攻撃に対して脆弱になることがあります。これは、AIM IPS がルーティング可能な IP アドレスによってネットワーク上に露出する(ルータの外部で AIM IPS と通信できる)ためです。この脆弱性に対応するには、IDS-Sensor インターフェイスにアンナンバード IP アドレスを割り当てます。これにより、AIM IPS IP アドレスは、ルータと AIM IPS の間でローカルにのみ使用され、AIM IPS との間にセッションを確立する目的のために分離されます。
(注) アプリケーション ソフトウェアをインストールするか、モジュールのイメージを再作成する前に、ブートローダを始動するセッションを開始します。ソフトウェアのインストール後、アプリケーションを始動するセッションを開始します。
アンナンバード IP アドレスを設定する手順については、「アンナンバード IP アドレス インターフェイスの使用」を参照してください。
セッションの開閉
(注) ルータから AIM IPS を初期化する必要があります(setup コマンドを実行します)。ネットワークを設定すると、SSH と Telnet を使用できるようになります。
AIM IPS からモジュールとのセッションを確立するには、 service-module ids-sensor slot / port session コマンドを使用します。Ctrl キーと Shift キーを押した状態で 6 を押してから、x キーを押して、セッション プロンプトをルータ プロンプトに戻します。AIM IPS プロンプトからルータ プロンプトに戻ります。空白行で Enter を押して、セッション プロンプト(これもルータ プロンプト)に戻ります。ルータ コマンドの実行後にセッションに戻る場合にだけ、ルータとのセッションを一時停止する必要があります。AIM IPS セッションに戻る予定がない場合は、セッションを一時停止する代わりに、セッションを閉じる必要があります。
セッションを閉じる場合は、AIM IPS CLI から完全にログアウトします。新しいセッション接続では、ログインのためにユーザ名とパスワードが必要です。一時停止したセッションでは、CLI にログインしたままになります。 session コマンドで接続した場合は、ユーザ名とパスワードを入力せずに、同じ CLI に戻ることができます。
(注) Telnet クライアントには多くの種類があります。クライアントによっては、Ctrl キーを押した状態で 6 を押してから x キーを押す必要があります。制御文字は、^^、Ctrl-^、または ASCII 値 30(16 進数では 1E)で表されます。
AIM IPS とのセッションを開始および閉じるには、次の手順に従います。
ルータにログインします。
ステップ 2 AIM IPS のステータスをチェックし、動作していることを確認します。
ステップ 3 ルータから AIM IPS へのセッションを開きます。
ステップ 4 モジュール セッションを終了または一時停止して、閉じます。
(注) IPS CLI のサブモードを開始している場合は、すべてのサブモードを終了する必要があります。センサーのログイン プロンプトが表示されるまで、exit と入力します。
router# プロンプトで
exit と入力してください。
• AIM IPS との間のセッションを一時停止し、閉じるには、Ctrl キーと Shift キーを押した状態で 6 を押します。すべてのキーから指を離してから、x キーを押します。
(注) セッションでの作業が終了したら、ルータに戻ってセッション(IPS アプリケーション)とモニタ対象のルータ インターフェイスの間の関連付けを確立する必要があります。
AIM IPS を初期化する手順については、「AIM IPS の高度な設定」を参照してください。
AIM IPS のステータスの表示
AIM IPS のステータスと統計情報を表示するには、特権 EXEC モードで、 service-module ids-sensor slot/port status コマンドを使用します。
AIM IPS のステータスを表示するには、次の手順に従います。
ルータにログインします。
ハートビート リセットのイネーブル化とディセーブル化
AIM IPS のハートビートをリセットするには、特権 EXEC モードで service-module ids-sensor slot/port heartbeat reset {enable | disable} コマンドを使用します。
AIM IPS がフェールセーフ モードでブートされるか、アップグレード中の場合、 service-module ids heartbeat-reset コマンドを使用するとプロセス中のリブートを防止できます。アップグレード中にハートビート リセットをイネーブルのままにした場合、AIM IPS ハートビートが失われることがあります。
AIM IPS ハートビートが失われた場合、ルータは、AIM IPS に fail-open または fail-close の設定オプションを適用し、AIM IPS へのトラフィックの送信を停止し、AIM IPS をエラー状態に設定します。ルータは AIM IPS でハードウェア リセットを実行し、ハートビートが再確立されるまで AIM IPS をモニタします。
(注) ハートビート リセットをディセーブルにすると、システム イメージのインストール中に(このプロセスに非常に長い時間がかかる場合)、ルータによるモジュールのリセットが防止されます。
AIM IPS のハートビートをリセットするには、次の手順に従います。
ルータにログインします。
ステップ 3 ハートビート リセットのステータスを確認します。
ステップ 4 AIM IPS でハートビートをディセーブルにするには、次のコマンドを実行します。
ステップ 5 AIM IPS でハートビートを再びイネーブルにするには、次のコマンドを実行します。
• AIM IPS をアップグレードする手順については、「センサーのアップグレード」を参照してください。
• AIM IPS システム イメージをインストールする手順については、「AIM IPS システム イメージのインストール」を参照してください
AIM IPS のリブート、リセット、およびシャットダウン
ここでは、AIM IPS をシャットダウンする場合と方法について説明します。次の項目について説明します。
• 「AIM IPS のリブート、リセット、およびシャットダウン」
AIM IPS ステータス モニタリング
AIM IPS は RBCP を使用して、そのステータスをモニタします。RBCP は、SensorApp ではなく、AIM IPS のメイン アプリケーションによってモニタされます。AIM IPS のメイン アプリケーションに障害が発生した場合、RBCP ハートビート応答は AIM IPS から返されません。ルータで、AIM IPS に障害が発生したと判断された場合、RBCP を通じて reload コマンドが発行され、AIM IPS で Linux カーネルがリブートされます。AIM IPS の修復を試みている間、ルータは設定したフェールオーバー処理によって決定されるモードで動作します。
SensorApp の処理は停止する場合がありますが、AIM IPS のメイン アプリケーションは、RBCP パケットの処理を続けます。この場合、AIM IPS に対して設定したバイパス設定に従って、IPS CLI、IDM、または IME により、パケットが処理されます。
次のような 2 つの状況で、AIM IPS はシャットダウンされます。
• ハードウェアまたはソフトウェアのエラーにより障害が発生した場合。ルータは、RBCP ハートビートの損失を通じて、これを検出できます。
• SensorApp の詳細については、「SensorApp」を参照してください。
• ソフトウェア バイパスの詳細については、「インライン バイパス モードの設定」を参照してください。
AIM IPS のリブート、リセット、およびシャットダウン
AIM IPS のリブート、リセット、およびシャットダウンを行うには、特権 EXEC モードで、 service-module ids-sensor slot/port [ reload | reset | shutdown ] コマンドを使用します。
AIM IPS のリブート、リセット、およびシャットダウンを行うには、次の手順に従います。
ルータにログインします。
ステップ 3 AIM IPS でオペレーティング システムを正常に停止し、リブートするには、次のコマンドを実行します。
ステップ 4 AIM IPS でハードウェアをリセットするには、次のコマンドを実行します。
(注) AIM IPS には、永続的なストレージ デバイスとして機能するコンパクト フラッシュ デバイスが搭載されています(ハードディスク ドライブではありません)。
ステップ 5 AIM IPS で実行中のアプリケーションをシャットダウンするには、次のコマンドを実行します。
新しいコマンドと変更されたコマンド
(注) その他の Cisco IOS ソフトウェア コマンドについては、Cisco.com(http://www.cisco.com/en/US/products/ps6441/index.html)の『Cisco IOS Release 12.4(20)T Command Reference』を参照してください。
ここでは、次の Cisco IOS の新しいコマンドと変更されたコマンド、および AIM IPS を設定するために使用する特定のコマンドについて説明します。次の項目について説明します。
• 「service-module ids-bootmode」
interface ids-sensor
IPS センサー インターフェイスを設定し、config-if モードを開始するには、config モードで interface ids-sensor コマンドを使用します。モジュールの障害時にルータでトラフィック検査を処理する方法を指定するには、config-if モードで service-module コマンドを使用します。デフォルトはフェール オープンです。
構文の説明
| 引数の間には、スラッシュ記号が必要です。 | |
デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
interface ids-sensor slot/port コマンドでは、config-if モードを開始し、IPS センサー スロットおよびポートを設定できます。AIM IPS で、スロットの値は 0 で、ポート番号値はルータにモジュールが取り付けられている物理的な場所を判定することによって指定されます。
例
次の例は、interface ids-sensor コマンドを使用して、スロット 0、ポート 1 で AIM IPS の config-if モードを開始する方法を示します。
次の例は、 ip unnumbered サブコマンドとともに interface ids-sensor コマンドを使用して、ルータ コマンドおよび制御インターフェイスを指定する方法を示しています。
次の例は、ハードウェアの障害時に、すべてのトラフィックはモジュールを通過するが、トラフィック検査は実行しないように、service-module fail-open コマンドを使用して AIM IPS を設定する方法を示しています。
関連コマンド
|
|
|
|---|---|
interface interface_name
config-if モードを開始するには、無差別モードまたはインライン モードでモニタリング用にインターフェイスを設定し、インライン モニタリングに標準 ACL または拡張 ACL を適用し、config モードで interface interface_name コマンドを使用します。
ids-service-module monitoring { promiscuous | inline} access-list number
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
interface interface_name コマンドでは、config-if モードを開始し、インターフェイスに対してインライン モードまたは無差別モードで動作するようにルータを設定できます。
例
次の例は、interface コマンドを使用して config-if モードを開始し、ACL 101 を使用して GigabitEthernet0/0 のモニタリングを設定する方法を示しています。
関連コマンド
|
|
|
|---|---|
service-module ids-sensor
ハートビートが失われたときに、Cisco IOS software が AIM IPS をリブートすることを防ぎ、モジュールに対してリブート、リセット、コンソール アクセスのイネーブル化、シャットダウン、統計情報の表示、ステータスのモニタを実行するには、特権 EXEC モードで service-module ids-sensor コマンドを使用します。
service-module ids-sensor slot/port {heartbeat-reset [enable | disable] reload | reset | session | shutdown | status}
構文の説明
| 引数の間には、スラッシュ記号が必要です。 | |
ハートビート リセットをイネーブルまたはディセーブルにします。デフォルトではイネーブルになっています。 (注) ハートビート リセットをディセーブルにすると、システム イメージのインストール中に(このプロセスに非常に長い時間がかかる場合)、ルータによる AIM IPS のリセットが防止されます。 |
|
デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
AIM IPS がフェールセーフ モードでブートされるか、アップグレード中の場合、 service-module ids heartbeat-reset コマンドを使用するとプロセス中のリブートを防止できます。アップグレード中にハートビート リセットをイネーブルのままにした場合、AIM IPS ハートビートが失われることがあります。
AIM IPS ハートビートが失われた場合、ルータは、AIM IPS に fail-open または fail-close の設定オプションを適用し、AIM IPS へのトラフィックの送信を停止し、AIM IPS をエラー状態に設定します。ルータは、AIM IPS でハードウェア リセットを実行し、ハートビートが再確立されるまで AIM IPS をモニタします。
例
次の例は、スロット 0、ポート 1 で、AIM IPS のハートビートが失われた場合に、リセット アクションをディセーブルまたはイネーブルにする方法を示しています。
次の例は、AIM IPS でハートビートをイネーブルにする方法を示しています。
次の例は、 service-module ids slot / port status コマンドを使用して、ハートビート リセットのステータスを表示する方法を示しています。
次の例は、AIM IPS でオペレーティング システムをスムーズに停止し、リブートする方法を示しています。
次の例は、AIM IPS でハードウェアをリセットする方法を示しています。警告が表示されます。
次の例は、AIM IPS オペレーティング システムへのコンソール アクセスをイネーブルにする方法を示しています。
次の例は、AIM IPS で実行中の IPS アプリケーションをシャットダウンする方法を示しています。
次の例は、IPS ソフトウェア統計情報を表示する方法を示しています。
次の例は、AIM IPS の IPS ソフトウェアのステータスを表示する方法を示しています。
関連コマンド
|
|
|
|---|---|
service-module ids-bootmode
AIM IPS でフェールセーフ モードまたは通常ブート モードを開始するには、特権 EXEC モードで service-module ids-sensor bootmode コマンドを使用します。
service-module ids-sensor slot / port bootmode { failsafe | normal }
構文の説明
AIM IPS のルータ シャーシ スロットの数。 slot 引数と port 引数の間には、スラッシュ記号( / )が必要です。 |
|
デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例は、スロット 0、ポート 1 で、AIM IPS のフェールセーフ ブート モードを開始する方法を示しています。
次の例は、AIM IPS で通常ブート モードをイネーブルにする方法を示しています。
関連コマンド
|
|
|
|---|---|
フィードバック