イーサネット インターフェイス
Cisco コンテンツ セキュリティ アプライアンスには、構成(任意選択の光ネットワーク インターフェイスがあるかどうか)に応じて、システムの背面パネルに最大 4 つのイーサネット インターフェイスがあります。次のラベルが付いています。
- 管理
- Data1
- Data2
- Data3
- Data4
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この付録の構成は、次のとおりです。
Cisco コンテンツ セキュリティ アプライアンスには、構成(任意選択の光ネットワーク インターフェイスがあるかどうか)に応じて、システムの背面パネルに最大 4 つのイーサネット インターフェイスがあります。次のラベルが付いています。
ネットワークを設定するとき、コンテンツ セキュリティ アプライアンスが発信パケットの送信に一意のインターフェイスを選択できる必要があります。この要件によって、イーサネット インターフェイスの IP アドレスとネットマスクの選択に関して、いくつかのことが決まります。単一のネットワークに配置できるインターフェイスは 1 つのみというのがルールです(ネットマスクがインターフェイスの IP アドレスに適用されることでそのように定められます)。
IP アドレスは、指定されたネットワークの物理インターフェイスを識別します。物理イーサネット インターフェイスは、パケットを受け取る IP アドレスを複数持つことができます。複数の IP アドレスを持つイーサネット インターフェイスは、パケットの送信元アドレスとしていずれか 1 つの IP アドレスを使用して、インターフェイスからパケットを送信できます。このプロパティは、仮想ゲートウェイ テクノロジーの実装で使用されます。
ネットマスクの目的は、IP アドレスをネットワーク アドレスとホスト アドレスに分割することです。ネットワーク アドレスは、IP アドレスのネットワーク部分(ネットマスクと一致するビット)と見なすことができます。ホスト アドレスは、IP アドレスの残りのビットです。4 オクテット アドレス内の有効なビット数は、クラスレス ドメイン間ルーティング(CIDR)形式で表現されることがあります。これは、スラッシュ記号、後にビット数(1 ~ 32)が続きます。
この方法では、単純にバイナリ表記で 1 を数えることでネットマスクを表現できます。したがって 255.255.255.0 は「/24」となり、255.255.240.0 は「/20 」となります。
ここでは、いくつかの代表的なネットワークに基づいたインターフェイスの設定例を示します。この例では、Int1 と Int2 の 2 つのインターフェイスを使用します。コンテンツ セキュリティ アプライアンスの場合、これらのインターフェイス名は、3 つのインターフェイス(Management、Data1、Data2)の中の 2 つのインターフェイスを示します。
個別のインターフェイスは別のネットワーク上に存在するように示す必要があります。
インターフェイス |
IPアドレス |
ネットマスク |
ネット アドレス |
---|---|---|---|
Int1 |
192.168.1.10 |
255.255.255.0 |
192.168.1.0/24 |
Int2 |
192.168.0.10 |
255.255.255.0 |
192.168.0.0/24 |
192.168.1.X 宛てのデータ(X は自分のアドレスを除く 1 ~ 255 の任意の数字、この場合は 10)は Int1 に出力されます。192.168.0.X 宛てのすべてのデータは Int2 に出力されます。この形式ではない他のアドレス(最も考えられるのは WAN またはインターネット上)に向かうパケットは、デフォルト ゲートウェイに送信されます。デフォルト ゲートウェイはこれらのネットワークのどちらかの上に存在する必要があります。その後、デフォルト ゲートウェイがパケットを転送します。
2 つの異なるインターフェイスのネットワーク アドレス(IP アドレスのネットワーク部分)は同じにすることができません。
イーサネット インターフェイス |
IPアドレス |
ネットマスク |
ネット アドレス |
---|---|---|---|
Int1 |
192.168.1.10 |
255.255.0.0 |
192.168.0.0/16 |
Int2 |
192.168.0.10 |
255.255.0.0 |
192.168.0.0/16 |
これは、2 つのイーサネット インターフェイスが同じネットワーク アドレスを持つという、競合した状態を表しています。コンテンツ セキュリティ アプライアンスからのパケットが 192.168.1.11 に送信された場合、パケットの配信にどのイーサネット インターフェイスを使用すべきかは特定できません。2 つのイーサネット インターフェイスが 2 つの物理ネットワークに別々に接続されている場合、パケットは誤ったネットワークに配信される可能性があり、そうするとそのパケットの送信先を見つけることはできません。コンテンツ セキュリティ アプライアンスでは、競合するネットワークを設定できません。
2 つのイーサネット インターフェイスを同じ物理ネットワークに接続することはできますが、コンテンツ セキュリティ アプライアンスが一意の配信インターフェイスを選択できるように IP アドレスとネットマスクを設定する必要があります。
GUI または CLI で、インターフェイスを選択可能なコマンドや関数を実行する際にインターフェイスを選択した場合(たとえば、AsyncOS のアップグレードや DNS の設定など)、ルーティング(デフォルト ゲートウェイ)が選択した内容よりも優先されます。
たとえば、次のように 3 つのネットワーク インターフェイスがそれぞれ別のネットワーク セグメントに設定されたコンテンツ セキュリティ アプライアンスがあるとします(すべて /24 と仮定)。
Ethernet |
IP |
---|---|
管理 |
192.19.0.100 |
Data1 |
192.19.1.100 |
Data2 |
192.19.2.100 |
デフォルト ゲートウェイは 192.19.0.1 です。
ここで、AsyncOS のアップグレード(またはインターフェイスを選択できる他のコマンドや関数)を実行し、Data1 上の IP(192.19.1.100)を選択した場合、すべての TCP トラフィックが Data1 イーサネット インターフェイス経由になると予想されることと思います。しかし、実際には、デフォルト ゲートウェイとして設定されているインターフェイス(ここでは Management)からトラフィックが送出されます。ただし、トラフィックの送信元アドレスには Data1 の IP が設定されています。
コンテンツ セキュリティ アプライアンスは、配信可能なパケットが経由する一意のインターフェイスを常に識別できなければなりません。この決定を行うために、コンテンツ セキュリティ アプライアンスは、パケットの宛先 IP アドレスと、そのイーサネット インターフェイスのネットワークおよび IP アドレス設定を組み合わせて使用します。次の表に、ここまで説明してきた例をまとめます。
同じネットワーク |
異なるネットワーク |
|
---|---|---|
同じ物理インターフェイス |
許可 |
許可 |
異なる物理インターフェイス |
不可 |
許可 |
Cisco Threat Response ポータルにアプライアンスを統合すると、Cisco Threat Response ポータルで次のアクションを実行することができます。
組織内の複数のアプライアンスから電子メール レポート、メッセージ トラッキング、および Web トラッキングのデータを確認します。
電子メール レポート、メッセージ トラッキング、Web トラッキングで検出された脅威を特定、調査、および修正します。
特定した脅威を迅速に解決し、特定した脅威に対して推奨されるアクションを実行します。
ポータルで脅威をドキュメント化して調査を保存し、ポータル内の他のデバイス間で情報を共有します。
![]() (注) |
上記のアクションを実行できるのは、Cisco Threat Response ポータルがコンテンツ セキュリティ管理アプライアンスの統合をサポートする場合のみです。Cisco Threat Response ポータルは、AsyncOS 12.0 for Cisco Content Security Management Appliances - 限定導入リリースをサポートしていません。 |
Cisco Threat Response ポータルにアプライアンスを統合するには、Cisco Threat Response ポータルにアプライアンスを登録する必要があります。
管理者アクセス権限を使用して Cisco Threat Response ポータルでユーザ アカウントが作成されていることを確認します。Cisco Threat Response ポータルのユーザ アカウントを作成する方法については、Cisco TAC にお問い合わせください。
Cisco Threat Response ポータルにアプライアンスを追加します。詳細については、https://visibility.amp.cisco.com/#/help の Cisco Threat Response ドキュメントを参照するか、Cisco TAC にお問い合わせください。
Cisco Threat Response ポータルでアプライアンスを登録する際に使用する Cisco Threat Response ポータルから有効な登録トークンを生成します。詳細については、https://visibility.amp.cisco.com/#/help の Cisco Threat Response ドキュメントを参照するか、Cisco TAC にお問い合わせください。
ステップ 1 |
アプライアンスにログインします。 |
ステップ 2 |
[ネットワーク(Networks)] > [クラウドサービス設定(Cloud Service Settings)] を選択します。 |
ステップ 3 |
[設定の編集(Edit Settings)] をクリックします。 |
ステップ 4 |
[有効(Enable)] をオンにします。 |
ステップ 5 |
変更を送信し、保存します。 |
ステップ 6 |
Cisco Threat Response ポータルにアプライアンスを登録するのに数分かかり、その後でクラウド サービスの設定ページに移動します。 |
ステップ 7 |
Cisco Threat Response ポータルから取得した登録トークンを入力し、[登録(Register)] をクリックします。 |
[登録(Register)] をクリックすると、アプライアンスは Cisco Threat Response ポータルに登録されます。Cisco Threat Response ポータルのアプライアンスから電子メール レポート、メッセージ トラッキング、Web トラッキング情報を表示できます。
![]() (注) |
Cisco Threat Response ポータルからアプライアンスの接続を登録解除するには、アプライアンスの [クラウドサービス設定(Cloud Services Settings)] ページで [登録解除(Deregister)] をクリックします。 |
ここでは、次の CLI コマンドについて説明します。
threatresponseconfig
コマンドは次の目的で使用します。
アプライアンスの Cisco Threat Response 機能を有効にします。
アプライアンスの Cisco Threat Response 機能を無効にします。
確定:このコマンドは「commit」が必要です。
クラスタ管理:このコマンドはマシン モードでのみ使用できます。
バッチ コマンド:このコマンドはバッチ形式をサポートしています。
次の例では、threatresponseconfig
コマンドを使用してアプライアンスの Cisco Threat Response 機能を有効にします。
mail1.example.com> threatresponseconfig
Choose the operation you want to perform:
- ENABLE - To enable the Cisco Threat Response feature on your appliance.
[]> enable
The Cisco Threat Response feature is currently enabled on your appliance. Use the
cloudserviceconfig command to register your appliance with the Cisco Threat
Response portal.
mail1.example.com> commit
Please enter some comments describing your changes:
[]>
Changes committed: Mon Nov 19 10:04:35 2018 GMT
次の例では、threatresponseconfig
コマンドを使用してアプライアンスの Cisco Threat Response 機能を無効にします。
mail1.example.com> threatresponseconfig
Choose the operation you want to perform:
- DISABLE - To disable the Cisco Threat Response feature on your appliance.
[]> disable
The Cisco Threat Response feature is currently disabled on your appliance.
mail1.example.com> commit
Please enter some comments describing your changes:
[]>
Changes committed: Mon Nov 19 10:04:35 2018 GMT
cloudserviceconfig
コマンドは次の目的で使用します。
Cisco Threat Response ポータルにアプライアンスを登録します。
Cisco Threat Response ポータルからアプライアンスを登録解除します。
確定:このコマンドに commit は必要ありません。
クラスタ管理:このコマンドはマシン モードでのみ使用できます。
バッチ コマンド:このコマンドはバッチ形式をサポートしています。
次の例では、cloudserviceconfig
コマンドを使用してアプライアンスを Cisco Threat Response ポータルに登録できます。
mail1.example.com> cloudserviceconfig
Choose the operation you want to perform:
- REGISTER - To register the appliance with the Cisco Threat Response portal.
[]> register
Enter a registration token key to register your appliance with the Cisco Threat
Response portal.
[]> de7c55f3ff0absdfsf4a25aae94dfb064642
The appliance registration is in progress.
次の例では、threatresponseconfig
コマンドを使用してアプライアンスを Cisco Threat Response ポータルから登録解除できます。
mail1.example.com> cloudserviceconfig
The Content Security Management appliance is successfully registered with the
Cisco Threat Response portal.
Choose the operation you want to perform:
- DEREGISTER - To deregister the appliance from the Cisco Threat Response
portal.
[]> deregister
Do you want to deregister your appliance from the Cisco Threat Response portal.
If you deregister, you will not be able to access the Cloud Service features. [N]> yes
The Content Security Management appliance deregistration is in progress.
アプライアンスを接続する際には、次の点に留意してください。
接続に使用するインターフェイスの数とそれらへのアドレス指定の方法は、基礎となるネットワークの複雑性によって決める必要があります。ご使用のネットワーク トポロジやデータのボリュームから判断して不要であれば、複数のインターフェイスに接続する必要はありません。また、最初は単純な接続にしておき、ゲートウェイに慣れてきたら、ボリュームやネットワーク トポロジでの必要に応じて接続を増やすこともできます。