この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
TrustSec 対応スーパーバイザおよびラインカードは、次の URL の『 Cisco Catalyst 6500 Series with Supervisor Engine 2T: Enabling Cisco TrustSec with Investment Protection 』の表 3 および 4 にリストされています。
http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps708/white_paper_c11-658388.html
TrustSec ハードウェア対応ではない Catalyst 6500 シリーズ スイッチは、SAP または 802.1AE リンク暗号化を使用しないで TrustSec ネットワーク デバイス アドミッション コントロール(NDAC)を実装しています。
|
|
---|---|
次の Flexible NetFlow コマンドおよびフロー オブジェクトは Catalyst 6500 シリーズ スイッチで導入されました。 • cts role-based { ip | ipv6 } flow monitor monitor_name dropped |
標準の 5 タプル フロー オブジェクトを使用してフロー レコードに SGT および DGT フロー オブジェクトが設定されている場合、Flexible NetFlow は、SGACL 強制によってドロップされたパケットに対応できます
flow record および flow exporter グローバル コンフィギュレーション コマンドを使用してフロー レコードおよびフロー エクスポータを設定してから、それらを flow monitor コマンドを使用してフロー モニタに追加します。 show flow show コマンドを使用して設定を確認します。
SGACL のドロップされたパケットだけを収集するには、[ no ] cts role-based { ip | ipv6 } flow monitor dropped グローバル コンフィギュレーション コマンドを使用します。
Flexible NetFlow の概要および設定の詳細については、次のマニュアルを参照してください。
『Cisco IOS Flexible Netflow Configuration Guide, Release 15.0SY』
http://www.cisco.com/en/US/docs/ios-xml/ios/fnetflow/configuration/15-0sy/fnf-15-0sy-book.html
『Catalyst 6500 Release 15.0SY Software Configuration Guide』
http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/15.0SY/configuration/guide/15_0_sy_swcg.html
次の設定は、ルータまたはスイッチのすべての TrustSec インターフェイスのロールベース アクセス コントロール リスト(RBACL)によってドロップされたパケットにフロー モニタを適用します。
フロー モニタはインターフェイスごとに接続でき、入力(受信)、出力(発信)、マルチキャスト、ユニキャスト、またはレイヤ 2 でスイッチングされるトラフィックの組み合わせでフィルタリングするように設定できます。
IPv6 の場合、フロー モニタは Cisco IOS Release 12.2(50) SY でルーティングされたトラフィックに対してだけサポートされます。
show flow monitor <monitor_name> cache
show flow monitor <monitor_name> statistics
show platform software flow internal fnf
show platform hardware flow table flowmask
show platform hardware flow table profile
show platform hardware acl entry rbacl all
show platform hardware acl entry tcam
show platform software flow internal export
show platform software flow internal export statistics
Cisco TrustSec システム エラー メッセージは、次の URL の『Cisco Catalyst 6500 Series Switches Error and System Messages』ガイドにリストされています。
http://www.cisco.com/en/US/products/hw/switches/ps708/products_system_message_guides_list.html
エラー メッセージ デコーダ ツールは次の URL にあります。
http://www.cisco.com/en/US/support/tsd_most_requested_tools.html
Catalyst 6500 シリーズ スイッチ ソフトウェアおよびハードウェアの組み合わせに対する、連邦情報処理標準(FIPS)認証ドキュメントは、次の Web サイトで公開されています。
http://www.cisco.com/web/strategy/government/security_certification/net_business_benefit_seccert_fips140.html
Catalyst 6500 シリーズの FIPS 認証ドキュメントでは、ソフトウェアとハードウェアの組み合わせごとに FIPS の概念および実装を説明します。
ご使用のハードウェアおよびソフトウェア設定に適した FIPS 認証 ガイドに従って、Catalyst スイッチの初期設定、初期化、設定手順を実行してください。
• Telnet をディセーブルにします。ユーザのログインはセキュア シェル(SSH)だけで行ってください。
• SNMP v1 および v2 をディセーブルにしてください。SNMP v3 に対して設定された、デバイス上の既存ユーザ アカウントのいずれについても、認証およびプライバシー用 AES/3DES は SHA で設定されていなければなりません。
• RADIUS keywrap 機能は Cisco Identity Services Engine 1.1 または Cisco ACS Release 5.2 以降のリリースだけで動作します。
• モジュールへの HTTPS/TLS アクセスは SSLv3.1/TLSv1.0 および FIPS で承認されているアルゴリズムを使用して FIPS で承認されている動作モードで許可されます。
• モジュールへの SSH アクセスは SSHv2 と FIPS で承認されているアルゴリズムを使用して FIPS で承認されている動作モードで許可されます。多くの SSH クライアントは、すべての暗号操作を FIPS 140-2 レベル 2 準拠にして、FIPS モードに設定できる暗号ライブラリを提供します。